CN114584341B - 一种零边界可信任网络架构系统、数据处理方法、装置 - Google Patents
一种零边界可信任网络架构系统、数据处理方法、装置 Download PDFInfo
- Publication number
- CN114584341B CN114584341B CN202210044840.2A CN202210044840A CN114584341B CN 114584341 B CN114584341 B CN 114584341B CN 202210044840 A CN202210044840 A CN 202210044840A CN 114584341 B CN114584341 B CN 114584341B
- Authority
- CN
- China
- Prior art keywords
- access
- data
- network
- level
- alarm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 8
- 238000013475 authorization Methods 0.000 claims abstract description 51
- 238000012545 processing Methods 0.000 claims abstract description 34
- 238000000034 method Methods 0.000 claims abstract description 10
- 230000008569 process Effects 0.000 claims abstract description 8
- 238000005259 measurement Methods 0.000 claims description 34
- 238000004445 quantitative analysis Methods 0.000 claims description 34
- 238000004364 calculation method Methods 0.000 claims description 27
- 238000011217 control strategy Methods 0.000 claims description 18
- 238000004451 qualitative analysis Methods 0.000 claims description 15
- 238000004458 analytical method Methods 0.000 claims description 10
- 238000010276 construction Methods 0.000 abstract description 4
- 238000013461 design Methods 0.000 abstract description 4
- 238000005516 engineering process Methods 0.000 description 10
- 230000006399 behavior Effects 0.000 description 9
- 230000035945 sensitivity Effects 0.000 description 5
- 230000007123 defense Effects 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000007547 defect Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明属于网络架构设计技术领域,具体提供一种零边界可信任网络架构系统、数据处理方法、装置,所述系统包括多个网络节点,每个网络节点内设置有安全信任判定与动态授权模块,多个网络节点组成端到端的逻辑网络;一个网络节点接收到访问源数据时,该网络节点的安全信任判定与动态授权模块对接收到的数据进行处理,根据处理结果判断直接流转访问处理或进行授权访问或限制访问;其中访问源数据即访问主体发起的访问。在这个无边界网络上比在物理网络上构建可信网络复杂度更低、灵活性更高、对业务无中断影响、整体建设成本更低。
Description
技术领域
本发明涉及网络架构设计技术领域,具体涉及一种零边界可信任网络架构系统、数据处理方法、装置。
背景技术
目前在一个基于局域网的安全网络架构中,一体机内的设备采用Overlay技术与现网组成一个互通网络,一般会采用防火墙技术或者智能网关来实现边界安全防控的功能。现有技术方案防火墙基本分为网络层防火墙、应用层防火墙、数据库防火墙。网络层防火墙:可视为一种IP封包过滤器,运作在底层的TCP/IP协议堆栈上,可以以枚举的方式只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙。应用层防火墙:是在TCP/IP堆栈的“应用层”上运作,应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。数据库防火墙:通过SQL协议分析,根据预定义的禁止和许可策略让合法的SQL操作通过,阻断非法违规操作,形成数据库的外围防御圈,实现SQL危险操作的主动预防、实时审计。
基于边界安全防御架构建设的安全体系,在边界上利用防火墙等安全设备制定一系列的访问控制策略来阻止外部用户的进入,或者利用NIPS、WAF等安全产品的防护特征来阻止攻击者的恶意访问。这种安全模型在一定程度上解决了来自外部世界的安全威胁,但这种城墙式的固定边界防御体系在4G/5G网络时代向无边界网络方向演进过程种越来越不能满足需求。主要存在如下几个问题:1.存在“隐含信任”问题:传统的网络安全架构默认了内网比外网更安全,在某种程度上预设了对内网中的人、设备、系统和应用的“隐含信任”。在无边界的网络环境中“内网”“外网”的界限变得模糊,“隐含信任”让安全管理忽视内网安全措施的加强。2.暴露面越来越多:在多局域网中普遍存在跨网络的业务访问场景。在传统边界网络架构下,这种跨网络的访问需要系统向外开放访问IP地址和端口,或通过VPN、堡垒机进行远程连接。直接开放IP地址和端口显示会增加被黑客攻击的风险。3.管理越来越复杂:各自为政的认证授权和访问控制策略在多云混合、云网互联环境中会导致管理成本成倍增加,企业越来越需要以用户为中心建立集中统一的身份认证授权与访问控制体系。
发明内容
针对城墙式的固定边界防御体系在4G/5G网络时代向无边界网络方向演进过程种越来越不能满足需求的问题,本发明提供一种零边界可信任网络架构系统、数据处理方法、装置。
本发明的技术方案是:
第一方面,本发明技术方案提供一种零边界可信任网络架构系统,包括多个网络节点,每个网络节点内设置有安全信任判定与动态授权模块,多个网络节点组成端到端的逻辑网络;
一个网络节点接收到访问源数据时,该网络节点的安全信任判定与动态授权模块对接收到的数据进行处理,根据处理结果判断直接流转访问处理或进行授权访问或限制访问;其中访问源数据即访问主体发起的访问。
进一步的,安全信任判定与动态授权模块包括定性分析单元、定量分析单元和控制策略授权单元;
定性分析单元,用于接收访问源数据并对接收到的数据进行处理,判断数据可信时,将数据放行进入定量分析单元,判断数据不可信时,结束访问授权;
定量分析单元,用于根据同一类型数据的数量来分析计算数据的访问主体在此级别内的安全系数;并根据信任定性级别限定信任分值范围与安全系数进行度量,并根据度量结果对访问源数据进行可信度的设置;
控制策略授权单元,用于根据度量结果进行访问主体访问权限的授权或限制。
进一步的,定量分析单元包括统计子模块、告警值计算子模块、告警评分计算子模块、安全系数处理模块;
统计子模块,用于统计各风险级别的违规告警数量;
告警值计算子模块,用于根据统计的本级别的告警数量计算每个级别的告警值;
告警评分计算子模块,用于根据各级别的告警值计算告警评分;
安全系数处理模块,用于计算安全系数,并根据信任定性级别限定信任分值范围与计算的安全系数进行度量,输出度量结果到控制策略授权单元。
进一步的,网络节点包括路由器、交换机和网络设备;
外部数据通过防火墙与路由器通信,路由器通过交换机与各网络设备通信。
进一步的,网络设备包括服务器、PC机和终端。
第二方面,本发明技术方案还提供一种零边界可信任网络架构数据处理方法,包括如下步骤:
接收访问源数据;
对接收到的数据进行数据可信的判断;
当数据可信时,在量的角度对访问主体的信誉分数在同一个级别内进行度量;
根据度量结果判断直接流转访问处理或进行授权访问或限制访问;
当数据不可信时,结束访问授权。
进一步的,对接收到的数据进行数据可信的判断的步骤包括:
获取数据的安全标记位信息;
根据安全标记位的值判断数据是否可信。
进一步的,在量的角度对访问主体的信誉分数在同一个级别内进行度量的步骤包括:
统计各风险级别的违规告警数量;
根据统计的本级别的告警数量计算每个级别的告警值;
根据各级别的告警值计算告警评分;
计算安全系数,并根据信任定性级别限定信任分值范围与计算的安全系数进行比较输出度量结果,并根据度量结果重置安全标志位的值。
第三方面,本发明技术方案还提供一种零边界可信任网络架构数据处理装置,包括定性分析单元、定量分析单元和控制策略授权单元;
定性分析单元,用于接收访问源数据并获取数据的安全标记位信息;根据安全标记位的值判断数据是否可信,判断数据可信时,将数据放行进入定量分析单元,判断数据不可信时,结束访问授权;
定量分析单元,用于根据同一类型数据的数量来分析计算数据的访问主体在此级别内的安全系数,并根据信任定性级别限定信任分值范围与安全系数进行度量;根据度量结果重置该访问数据的数据安全标记位的值;
控制策略授权单元,用于根据度量结果进行访问主体访问权限的授权或限制。
进一步的,定量分析单元包括统计模块、告警值计算模块、告警评分计算模块、分析处理模块;
统计模块,用于统计各风险级别的违规告警数量;
告警值计算模块,用于根据统计的本级别的告警数量计算每个级别的告警值;
告警评分计算模块,用于根据各级别的告警值计算告警评分;
分析处理模块,用于计算安全系数,并根据信任定性级别限定信任分值范围与计算的安全系数进行比较输出度量结果,并根据度量结果重置安全标志位的值。
所有终端、业务资源的安全接入一级业务访问都应采用可信任安全架构进行统一的认证、授权和持续的行为监控,对网络中的终端与业务系统执行端到端的访问控制,这样可实现基于Overlay技术的可信任网络访问控制策略,解决传统网络安全的边界防护弊端。
从以上技术方案可以看出,本发明具有以下优点:使用户可以通过SRDC一体机的可信任网络架构快速构建一个端到端的无边界、可控的业务访问网络,在这个无边界网络上比在物理网络上构建可信网络复杂度更低、灵活性更高、对业务无中断影响、整体建设成本更低。
此外,本发明设计原理可靠,结构简单,具有非常广泛的应用前景。
由此可见,本发明与现有技术相比,具有突出的实质性特点和显著地进步,其实施的有益效果也是显而易见的。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例的系统架构示意框图。
图2是本发明一个实施例中数据报文格式示意图。
图3是本发明一个实施例的方法的示意性流程图。
图4是本发明一个实施例的装置的示意性框图。
具体实施方式
Overlay网络技术是一种在物理网络架构上叠加的虚拟化网络技术。该网络技术由逻辑网络节点和逻辑网络链路组成,Overlay网络具有独立的控制平面和数据平面,对于Overlay边缘设备来说,物理网络是透明的。Overlay网络使终端、云资源、数据中心资源摆脱物理网络限制,适用于在复杂网络环境中用软件定义的方式构建一个端到端的逻辑网络。可信任网络架构认为主机无论处于网络的哪一个位置,都被认为是互联网主机,其所在网络无论是内部网络还是互联网,都被视为充满威胁的危险网络。所有设备、业务资源的安全接入一级业务访问都应采用可信任安全架构进行统一的认证、授权和持续的行为监控,对网络中的终端与业务系统执行端到端的访问控制,这样可实现基于Overlay技术的可信任网络访问控制策略,解决传统网络安全的边界防护弊端。本申请提供一种零边界可信任网络架构系统,通过设计一个安全信任判定与动态授权模块,可信任网络架构需要对账号属性、账号行为、终端属性、终端行为的各项数据进行多维度分析,对访问主体的信誉进行量化,并将访问主体的信誉值作为访问控制规则动态调整的决策依据,信誉分析包括对账号的信誉定性、定量分析和对终端的信誉定性、定量分析。
需要说明的是,SRDC一体机:智能一体机微数据中心(Smart Rack Data Center)基于模块化的架构设计,SRDC将服务器、存储、网络以及机柜、PDU、UPS、动环监控系统、组网布线等产品深度融合,通过定向开发、深度优化、系统集成实现一体机产品,根据客户需求进行一体机组件选配,产线生产后运输至客户现场,开箱即用,助力客户业务快速上线。
Overlay是一种网络架构上叠加的虚拟化技术模式,其大体框架是对基础网络不进行大规模修改的条件下,实现应用在网络上的承载,并能与其它网络业务分离,并且以基于IP的基础网络技术为主。
可信任网络:根据一体机的网络特点及业务访问存在的安全问题,将一体机的网络结构放弃内外网的概念,设计一种可信任的安全架构。所有的终端和业务资源在接入时,都需要经过可信任安全系统进行统一的认证、授权和持续的行为监控,对网络中的终端和业务系统执行端到端的访问控制。
防火墙:通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
如图1所示,本发明实施例提供一种零边界可信任网络架构系统,包括多个网络节点,每个网络节点内设置有安全信任判定与动态授权模块,多个网络节点组成端到端的逻辑网络;
一个网络节点接收到访问源数据时,该网络节点的安全信任判定与动态授权模块对接收到的数据进行处理,根据处理结果判断直接流转访问处理或进行授权访问或限制访问;其中访问源数据即访问主体发起的访问。
可信任网络架构是基于Overlay技术架构实现,Overlay网络使终端、云资源、数据中心资源摆脱物理网络限制,适用于在复杂网络环境中用软件定义的方式构建一个端到端的逻辑网络。基于软件实现的零边界网络,在网络中的每个节点都集成了安全信任判定与动态授权模块,此模块为一个软件单元。另外,需要说明的是,访问主体和被访问主体是相对的,发起数据访问的都是访问主体,数据流经的下一网络节点的设备为被访问主体。
在有些实施例中,安全信任判定与动态授权模块包括定性分析单元、定量分析单元和控制策略授权单元;
定性分析单元,用于接收访问源数据并对接收到的数据进行处理,判断数据可信时,将数据放行进入定量分析单元,判断数据不可信时,结束访问授权;
在访问主体对被访问主体进行访问时,对访问主体的信任级别进行研判,根据确定性高并能明确指明访问主体可信状态的数据,来判定访问主体当前的信誉级别。在对访问主体进行定性分析时,访问主体的数据包会有一个默认字段标识信息的信任级别,0为不可信,1为可信,可以放行进入定量分析流程。
定量分析单元,用于根据同一类型数据的数量来分析计算数据的访问主体在此级别内的安全系数;并根据信任定性级别限定信任分值范围与安全系数进行度量,并根据度量结果对访问源数据进行可信度的设置;
定量分析着重在量的角度对访问主体的信誉分数在同一个级别内进行度量,主要根据同一类型数据的数量来分析访问主体在此级别内的安全系数高低。访问源数据即访问主体发起的访问,数据在经过每个设备时都会经过安全信任判定与动态授权模块的处理,分别经过定性分析单元、定量分析单元的处理。数据报文格式如图2所示,报文包括源mac地址、源IP地址、UDP信息、VXLAN信息、数据信息,及主要的安全标记位。安全标记位的值共分为0,1两个值,0代表不安全、1代表安全;默认值是1,默认每个来访的设备数据都是安全的,并进行定量分析和认证/访问控制策略授权,并根据判定结果重置安全标记位的值。
控制策略授权单元,用于根据度量结果进行访问主体访问权限的授权或限制。对存在安全阈值预警的访问进行认证/访问控制策略授权。
在有些实施例中,信任分析需要的支撑数据包括主账号信息、账号违规行为告警、业务访问日志、终端漏洞信息、防病毒、木马告警和终端软硬件信息等,不限于此列举信息;定量分析单元包括统计子模块、告警值计算子模块、告警评分计算子模块、安全系数处理模块;
统计子模块,用于统计各风险级别的违规告警数量α;
告警值计算子模块,用于根据统计的本级别的告警数量计算每个级别的告警值;
告警值=atan(本级别告警数量/πβ)×α/π,其中,β为不同风险级别的取值系数,告警值代表告警数量对分值的敏感度和不同级别的告警对整体分值的影响度,可根据实际场景进行调整,α代表采集的点数,例如100,200等。
告警评分计算子模块,用于根据各级别的告警值计算告警评分;
告警评分=MAX+(100-MAX)×(各级别告警值之和-MAX)/2α,其中,MAX为各级别告警值中的最大值。
安全系数处理模块,用于计算安全系数,并根据信任定性级别限定信任分值范围与计算的安全系数进行度量,输出度量结果到控制策略授权单元;
根据信任定性级别限定信任分值范围。安全系数=信任分级最低分值+20×告警评分/100。
控制策略授权单元,用于根据度量结果进行访问主体访问权限的授权或限制。对存在安全阈值预警的访问进行认证/访问控制策略授权。例如将信任等级划分为5级,根据度量结果进行访问主体访问权限的授权或限制主要包括:
①安全系数≥80,信任等级=5级(正常)。访问主体信誉最高级,意味访问主体是完全可信的,访问主体可使用全部已经静态授予的权限。
②60≤安全系数<80,信任等级=4级(需重验证)。访问主体的行为或状态仅存在超出阈值的基线偏离,访问主体需要进行二次认证,确认访问主体是预期的正常访问主体。需要二次认证时,将返回定量分析单元进行重新定量分析。
③40≤安全系数<60,信任等级=3级(可疑)。访问主体使用临时终端、存在违规操作、未修补中危漏洞等,访问主体比较可疑,需要限制访问主体对高敏感度业务系统的访问以及高危操作。
④20≤安全系数<40,信任等级=2级(非常可疑)。访问主体存在高危漏洞、严重违规等,访问主体非常可疑,需要限制访问主体仅能访问敏感度最低级别的业务系统,不容许任何高危操作。
⑤安全系数<20,信任等级=1级(不可信)。访问主体信誉最低级,意味访问主体完全不可信,应限制访问主体访问任何业务系统。如访问主体存在高危木马行为、访问主体账号为离职账号等。
需要说明的是,网络节点包括路由器、交换机和网络设备;
外部数据通过防火墙与路由器通信,路由器通过交换机与各网络设备通信。网络设备包括服务器、PC机和终端。
如图3所示,本发明实施例还提供一种零边界可信任网络架构数据处理方法,零边界可信任网络架构包括多个网络节点,每个网络节点内设置有安全信任判定与动态授权模块,多个网络节点组成端到端的逻辑网络;一个网络节点接收到访问源数据时,该网络节点的安全信任判定与动态授权模块对接收到的数据进行处理,根据处理结果判断直接流转访问处理或进行授权访问或限制访问;其中访问源数据即访问主体发起的访问,所述方法包括如下步骤:
步骤1:接收访问源数据;
步骤2:对接收到的数据进行数据可信的判断;当数据可信时,执行步骤3,当数据不可信时,执行步骤5;
步骤3:在量的角度对访问数据的访问主体的信誉分数在同一个级别内进行度量;
步骤4:根据度量结果判断直接流转访问处理或进行授权访问或限制访问;
步骤5:结束访问授权。
在有些实施例中,步骤2中,对接收到的数据进行数据可信的判断的步骤包括:
步骤21:获取数据的安全标记位信息;
步骤22:安全标记位的值是否为1;若是,数据可信,执行步骤3,若否,数据不可信,执行步骤5。
在有些实施例中,步骤3中,在量的角度对访问数据的访问主体的信誉分数在同一个级别内进行度量的步骤包括:
步骤31:统计各风险级别的违规告警数量α;
步骤32:根据统计的本级别的告警数量计算每个级别的告警值;告警值=atan(本级别告警数量/πβ)×α/π,其中,β为不同风险级别的取值系数,告警值代表告警数量对分值的敏感度和不同级别的告警对整体分值的影响度,可根据实际场景进行调整,α代表采集的点数,例如100,200等。
步骤33:根据各级别的告警值计算告警评分;告警评分=MAX+(100-MAX)×(各级别告警值之和-MAX)/2α,其中,MAX为各级别告警值中的最大值。
步骤34:计算安全系数,并根据信任定性级别限定信任分值范围与计算的安全系数进行比较输出度量结果;根据信任定性级别限定信任分值范围。安全系数=信任分级最低分值+20×告警评分/100。
步骤35:根据度量结果重置安全标志位的值。安全标记位的值共分为0,1两个值,0代表不安全、1代表安全;默认值是1,默认每个来访的设备数据都是安全的,并进行定量分析和认证/访问控制策略授权,并根据判定结果重置安全标记位的值。
需要说明的是,例如将信任等级划分为5级,在步骤4中,根据度量结果判断直接流转访问处理或进行授权访问或限制访问的步骤包括:
①安全系数≥80,信任等级=5级(正常访问)。访问主体信誉最高级,意味访问主体是完全可信的,访问主体可使用全部已经静态授予的权限。
②60≤安全系数<80,信任等级=4级(需重验证)。访问主体的行为或状态仅存在超出阈值的基线偏离,访问主体需要进行二次认证,确认访问主体是预期的正常访问主体。需要二次认证时,将步骤3进行重新定量分析。
③40≤安全系数<60,信任等级=3级(可疑)。访问主体使用临时终端、存在违规操作、未修补中危漏洞等,访问主体比较可疑,需要限制访问主体对高敏感度业务系统的访问以及高危操作。
④20≤安全系数<40,信任等级=2级(非常可疑)。访问主体存在高危漏洞、严重违规等,访问主体非常可疑,需要限制访问主体仅能访问敏感度最低级别的业务系统,不容许任何高危操作。
⑤安全系数<20,信任等级=1级(不可信)。访问主体信誉最低级,意味访问主体完全不可信,应限制访问主体访问任何业务系统。如访问主体存在高危木马行为、访问主体账号为离职账号等。当度量结果信任等级为1级即数据不可信时,需要将安全标记位的值重置为0。
如图4所示,本发明实施例还提供一种零边界可信任网络架构数据处理装置,包括定性分析单元、定量分析单元和控制策略授权单元;
定性分析单元,用于接收访问源数据并获取数据的安全标记位信息;根据安全标记位的值判断数据是否可信,判断数据可信时,将数据放行进入定量分析单元,判断数据不可信时,结束访问授权;
定量分析单元,用于根据同一类型数据的数量来分析计算数据的访问主体在此级别内的安全系数,并根据信任定性级别限定信任分值范围与安全系数进行度量;根据度量结果重置该访问数据的数据安全标记位的值;
控制策略授权单元,用于根据度量结果进行访问主体访问权限的授权或限制。
在有些实施例中,定量分析单元包括统计模块、告警值计算模块、告警评分计算模块、分析处理模块;
统计模块,用于统计各风险级别的违规告警数量;
告警值计算模块,用于根据统计的本级别的告警数量计算每个级别的告警值;告警值=atan(本级别告警数量/πβ)×α/π,其中,β为不同风险级别的取值系数,告警值代表告警数量对分值的敏感度和不同级别的告警对整体分值的影响度,可根据实际场景进行调整,α代表采集的点数。
告警评分计算模块,用于根据各级别的告警值计算告警评分;告警评分=MAX+(100-MAX)×(各级别告警值之和-MAX)/2α,其中,MAX为各级别告警值中的最大值。
分析处理模块,用于计算安全系数,并根据信任定性级别限定信任分值范围与计算的安全系数进行比较输出度量结果,并根据度量结果重置安全标志位的值。安全系数=信任分级最低分值+20×告警评分/100。
尽管通过参考附图并结合优选实施例的方式对本发明进行了详细描述,但本发明并不限于此。在不脱离本发明的精神和实质的前提下,本领域普通技术人员可以对本发明的实施例进行各种等效的修改或替换,而这些修改或替换都应在本发明的涵盖范围内/任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (5)
1.一种零边界可信任网络架构系统,其特征在于,包括多个网络节点,每个网络节点内设置有安全信任判定与动态授权模块,多个网络节点组成端到端的逻辑网络;
一个网络节点接收到访问源数据时,该网络节点的安全信任判定与动态授权模块对接收到的数据进行处理,根据处理结果判断直接流转访问处理或进行授权访问或限制访问;其中访问源数据即访问主体发起的访问;
安全信任判定与动态授权模块包括定性分析单元、定量分析单元和控制策略授权单元;
定性分析单元,用于接收访问源数据并对接收到的数据进行处理,判断数据可信时,将数据放行进入定量分析单元,判断数据不可信时,结束访问授权;
定量分析单元,用于根据同一类型数据的数量来分析计算数据的访问主体在此级别内的安全系数;并根据信任定性级别限定信任分值范围与安全系数进行度量,并根据度量结果对访问源数据进行可信度的设置;
控制策略授权单元,用于根据度量结果进行访问主体访问权限的授权或限制;
定量分析单元包括统计子模块、告警值计算子模块、告警评分计算子模块、安全系数处理模块;
统计子模块,用于统计各风险级别的违规告警数量;
告警值计算子模块,用于根据统计的本级别的告警数量计算每个级别的告警值;
告警评分计算子模块,用于根据各级别的告警值计算告警评分;
安全系数处理模块,用于计算安全系数,并根据信任定性级别限定信任分值范围与计算的安全系数进行度量,输出度量结果到控制策略授权单元。
2.根据权利要求1所述的零边界可信任网络架构系统,其特征在于,网络节点包括路由器、交换机和网络设备;
外部数据通过防火墙与路由器通信,路由器通过交换机与各网络设备通信。
3.根据权利要求2所述的零边界可信任网络架构系统,其特征在于,网络设备包括服务器、PC机和终端。
4.一种零边界可信任网络架构数据处理方法,其特征在于,包括如下步骤:
接收访问源数据;
对接收到的数据进行数据可信的判断;
当数据可信时,在量的角度对访问主体的信誉分数在同一个级别内进行度量;
根据度量结果判断直接流转访问处理或进行授权访问或限制访问;
当数据不可信时,结束访问授权;
对接收到的数据进行数据可信的判断的步骤包括:
获取数据的安全标记位信息;
根据安全标记位的值判断数据是否可信;
在量的角度对访问主体的信誉分数在同一个级别内进行度量的步骤包括:
统计各风险级别的违规告警数量;
根据统计的本级别的告警数量计算每个级别的告警值;
根据各级别的告警值计算告警评分;
计算安全系数,并根据信任定性级别限定信任分值范围与计算的安全系数进行比较输出度量结果,并根据度量结果重置安全标志位的值。
5.一种零边界可信任网络架构数据处理装置,其特征在于,包括定性分析单元、定量分析单元和控制策略授权单元;
定性分析单元,用于接收访问源数据并获取数据的安全标记位信息;根据安全标记位的值判断数据是否可信,判断数据可信时,将数据放行进入定量分析单元,判断数据不可信时,结束访问授权;
定量分析单元,用于根据同一类型数据的数量来分析计算数据的访问主体在此级别内的安全系数,并根据信任定性级别限定信任分值范围与安全系数进行度量;根据度量结果重置访问源数据的安全标记位的值;
控制策略授权单元,用于根据度量结果进行访问主体访问权限的授权或限制;
定量分析单元包括统计模块、告警值计算模块、告警评分计算模块、分析处理模块;
统计模块,用于统计各风险级别的违规告警数量;
告警值计算模块,用于根据统计的本级别的告警数量计算每个级别的告警值;
告警评分计算模块,用于根据各级别的告警值计算告警评分;
分析处理模块,用于计算安全系数,并根据信任定性级别限定信任分值范围与计算的安全系数进行比较输出度量结果,并根据度量结果重置安全标志位的值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210044840.2A CN114584341B (zh) | 2022-01-14 | 2022-01-14 | 一种零边界可信任网络架构系统、数据处理方法、装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210044840.2A CN114584341B (zh) | 2022-01-14 | 2022-01-14 | 一种零边界可信任网络架构系统、数据处理方法、装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114584341A CN114584341A (zh) | 2022-06-03 |
| CN114584341B true CN114584341B (zh) | 2023-06-16 |
Family
ID=81771110
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210044840.2A Active CN114584341B (zh) | 2022-01-14 | 2022-01-14 | 一种零边界可信任网络架构系统、数据处理方法、装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114584341B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112737824A (zh) * | 2020-12-23 | 2021-04-30 | 中电积至(海南)信息技术有限公司 | 一种零信任sdn网络中的用户信任度量方法 |
| CN113901499A (zh) * | 2021-10-18 | 2022-01-07 | 北京八分量信息科技有限公司 | 一种基于可信计算零信任访问权限控制系统及方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2763357B1 (en) * | 2011-11-03 | 2019-03-13 | Huawei Technologies Co., Ltd. | Data security channel processing method and device |
| US11108557B2 (en) * | 2017-11-30 | 2021-08-31 | Cable Television Laboratories, Inc. | Systems and methods for distributed trust model and framework |
-
2022
- 2022-01-14 CN CN202210044840.2A patent/CN114584341B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112737824A (zh) * | 2020-12-23 | 2021-04-30 | 中电积至(海南)信息技术有限公司 | 一种零信任sdn网络中的用户信任度量方法 |
| CN113901499A (zh) * | 2021-10-18 | 2022-01-07 | 北京八分量信息科技有限公司 | 一种基于可信计算零信任访问权限控制系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114584341A (zh) | 2022-06-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8230505B1 (en) | Method for cooperative intrusion prevention through collaborative inference | |
| CN100443910C (zh) | 主动网络防护系统与方法 | |
| Dastres et al. | A review in recent development of network threats and security measures | |
| Kolomoitcev et al. | The fault-tolerant structure of multilevel secure access to the resources of the public network | |
| CN117081868B (zh) | 一种基于安全策略的网络安全运营方法 | |
| Sharma et al. | Survey of intrusion detection techniques and architectures in cloud computing | |
| Tudosi et al. | Secure network architecture based on distributed firewalls | |
| Patidar et al. | Information Theory-based Techniques to Detect DDoS in SDN: A Survey | |
| CN112437043B (zh) | 基于双向访问控制的安全保障方法 | |
| Khan et al. | Artificial intelligence for cyber security: performance analysis of network intrusion detection | |
| Abdulqadder et al. | Validating user flows to protect software defined network environments | |
| CN114584341B (zh) | 一种零边界可信任网络架构系统、数据处理方法、装置 | |
| Fernandez et al. | A pattern language for firewalls | |
| KR20130033161A (ko) | 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템 | |
| Singh et al. | A study on various attacks and detection methodologies in software defined networks | |
| CN112437070B (zh) | 一种基于操作生成树状态机完整性验证计算方法及系统 | |
| Cisco | Tuning Sensor Signatures Using Policy Override Settings | |
| Singh et al. | A review on intrusion detection system | |
| CN113411296A (zh) | 态势感知虚拟链路防御方法、装置及系统 | |
| Rezaei et al. | An SDN-based firewall for networks with varying security requirements | |
| Wang | Research on firewall technology and its application in computer network security strategy | |
| Kim et al. | Structure design and test of enterprise security management system with advanced internal security | |
| Ibrahim | A comprehensive study of distributed denial of service attack with the detection techniques | |
| Pires et al. | A framework for agent-based intrusion detection in wireless sensor networks | |
| Selvaraj et al. | Enhancing intrusion detection system performance using firecol protection services based honeypot system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |