CN114785691A - 网络安全管控方法、装置、计算机设备及存储介质 - Google Patents
网络安全管控方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN114785691A CN114785691A CN202210403632.7A CN202210403632A CN114785691A CN 114785691 A CN114785691 A CN 114785691A CN 202210403632 A CN202210403632 A CN 202210403632A CN 114785691 A CN114785691 A CN 114785691A
- Authority
- CN
- China
- Prior art keywords
- configuration
- rule
- terminal
- configuration data
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000007726 management method Methods 0.000 claims description 54
- 238000004590 computer program Methods 0.000 claims description 7
- 239000000284 extract Substances 0.000 claims description 6
- 238000007689 inspection Methods 0.000 claims description 2
- 230000008859 change Effects 0.000 abstract description 11
- 238000010586 diagram Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000006835 compression Effects 0.000 description 2
- 238000007906 compression Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/085—Retrieval of network configuration; Tracking network configuration history
- H04L41/0853—Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0866—Checking the configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例属于网络安全领域,涉及一种网络安全管控方法,包括管控终端向交换终端发送配置采集请求,并接收由交换终端发送的当前的配置数据,其中当前的配置数据由交换终端响应配置采集请求得到;管控终端获取当前的配置数据上一次的历史的配置数据,并将当前的配置数据与历史的配置数据进行比对,得到比对结果;管控终端根据比对结果生成异动报告。本申请还提供一种网络安全管控装置、计算机设备及存储介质。本申请将当前的配置数据与历史的配置数据进行比对,以判断当前网络配置是否发生变化,之后根据得到移动报告得知网络配置的变化信息,以可及时对网络安全进行维护,从而有效保证网络的安全性。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及网络安全管控方法、装置、计算机设备及存储介质。
背景技术
目前,随着云计算、物联网等网络的普及,未来网络正向着移动化、全民化和大数据化的方向发展。同时,这也势必带来更多新的安全风险。对于企事业机构而言,当前除了要防备传统的病毒、木马攻击,还要尽力解决在网络信息化建设中不断出现的非法接入和主机安全问题。而现有一般通过人工对配置数据进行监控,监控效果差,且容易受到人为因素的影响导致数据错漏,无法实时根据配置的变化及时作出调整,导致网络的安全性受到极大的威胁。
发明内容
本申请实施例的目的在于提出一种网络安全管控方法、装置、计算机设备及存储介质,以解决现有技术中网络安全性低的问题。
为了解决上述技术问题,本申请实施例提供一种网络安全管控方法,采用了如下所述的技术方案:
管控终端向交换终端发送配置采集请求,并接收由所述交换终端发送的当前的配置数据,其中所述当前的配置数据由所述交换终端响应所述配置采集请求得到;
所述管控终端获取所述当前的配置数据上一次的历史的配置数据,并将所述当前的配置数据与所述历史的配置数据进行比对,得到比对结果;
所述管控终端根据所述比对结果生成异动报告。
进一步的,在所述管控终端向交换终端发送配置采集请求步骤之前,还包括:
交换终端接收由访问终端发送的网络访问请求;
所述交换终端响应所述网络访问请求,并获取准入认证规则后,根据所述准入认证规则对所述访问终端进行认证;
若所述访问终端认证通过时,所述交换终端获取网址配置规则以及所述访问终端的MAC地址,并根据所述网址配置规则配置所述MAC地址对应的目标端口后,将所述MAC地址和所述目标端口进行绑定;
所述交换终端获取ARP配置规则以及IP地址,并根据所述ARP配置规则将与所述目标端口绑定的所述MAC地址与IP地址绑定后,允许所述访问终端访问网络。
进一步的,在所述交换终端接收由访问终端发送的网络访问请求的步骤之前,还包括:
所述交换终端向管控终端发送规则配置请求,并接收由所述管控终端发送的规则配置信息,其中所述规则配置信息由所述管控终端响应所述规则配置请求得到;
所述交换终端从所述规则配置信息中提取准入认证规则、网址配置规则以及ARP配置规则,并配置所述准入认证规则、所述网址配置规则以及所述ARP配置规则。
进一步的,所述根据所述准入认证规则对所述访问终端进行认证的步骤,包括:
所述交换终端获取预设待检信息,根据所述预设待检信息和所述准入认证规则对所述访问终端进行认证。
进一步的,所述并根据所述网址配置规则配置所述MAC地址对应的目标端口后的步骤包括:
当所述网址配置规则为IPSG配置规则时,所述交换终端从所述IPSG配置规则中提取预设名单,并判断所述预设名单中是否包含所述访问终端的MAC地址,若所述预设名单中包含所述访问终端的MAC地址,所述交换终端获取配置有所述IPSG配置规则的所有端口,并从配置有所述IPSG配置规则的所有端口中随意选取一个端口作为目标端口;
当所述网址配置规则为对应配置规则时,所述交换终端获取与所述MAC地址对应的端口,将所述端口作为目标端口。
进一步的,在所述允许所述访问终端访问网络的步骤之后,还包括:
所述管控终端获取覆盖率检验规则,并获取所述交换终端配置所述准入认证规则、所述网址配置规则和所述ARP配置规则后的配置状态信息;
根据所述覆盖率检验规则检验所述配置状态信息,得到检验结果。
进一步的,所述配置数据包括端口信息、准入认证信息、网址配置信息以及ARP配置信息;所述并将所述当前的配置数据与所述历史的配置数据进行比对,得到比对结果的步骤包括:
所述管控终端比对所述当前的配置数据的端口信息与所述历史的配置数据的端口信息,得到端口使用状态;
所述管控终端将所述当前的配置数据的端口信息、准入认证信息、网址配置信息以及ARP配置信息与所述历史的配置数据的端口信息、准入认证信息、网址配置信息以及ARP配置信息一一对应比对,得到端口配置状态;
所述管控终端将所述端口使用状态和所述端口配置状态汇合得到比对结果。
为了解决上述技术问题,本申请实施例还提供一种网络安全管控装置,采用了如下所述的技术方案:
数据接收模块,用于管控终端向交换终端发送配置采集请求,并接收由所述交换终端发送的当前的配置数据,其中所述当前的配置数据由所述交换终端响应所述配置采集请求得到;
数据比对模块,用于所述管控终端获取所述当前的配置数据上一次的历史的配置数据,并将所述当前的配置数据与所述历史的配置数据进行比对,得到比对结果;以及
报告生成模块,用于所述管控终端根据所述比对结果生成异动报告。
为了解决上述技术问题,本申请实施例还提供一种计算机设备,采用了如下所述的技术方案:
包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时实现如上所述的网络安全管控方法的步骤。
为了解决上述技术问题,本申请实施例还提供一种计算机可读存储介质,采用了如下所述的技术方案:
所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的网络安全管控方法的步骤。
与现有技术相比,本申请实施例主要有以下有益效果:本申请通过管控终端向交换终端发送配置采集请求,并接收由所述交换终端发送的当前的配置数据,其中所述当前的配置数据由所述交换终端响应所述配置采集请求得到;所述管控终端获取所述当前的配置数据上一次的历史的配置数据,并将所述当前的配置数据与所述历史的配置数据进行比对,得到比对结果;所述管控终端根据所述比对结果生成异动报告。本申请中,将当前的配置数据与历史的配置数据进行比对,以判断当前网络配置是否发生变化,之后根据得到移动报告得知网络配置的变化信息,以可及时对网络安全进行维护,从而有效保证网络的安全性;同时,本申请的网络安全管控方式不需要改造当前用户的网络结构,可灵活的部署到网络中,同时能很好的兼容不同厂家的网络或安全设备,具有良好的网适配性。
附图说明
为了更清楚地说明本申请中的方案,下面将对本申请实施例描述中所需要使用的附图作一个简单介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请可以应用于其中的示例性系统架构图;
图2根据本申请的网络安全管控方法的一个实施例的流程图;
图3是根据本申请的网络安全管控装置的一个实施例的结构示意图;
图4是根据本申请的计算机设备的一个实施例的结构示意图。
具体实施方式
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同;本文中在申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请;本申请的说明书和权利要求书及上述附图说明中的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。本申请的说明书和权利要求书或上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
为了使本技术领域的人员更好地理解本申请方案,下面将结合附图,对本申请实施例中的技术方案进行清楚、完整地描述。
如图1所示,系统架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种通讯客户端应用,例如网页浏览器应用、购物类应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、电子书阅读器、MP3播放器(Moving Picture ExpertsGroup Audio Layer III,动态影像专家压缩标准音频层面3)、MP4(Moving PictureExperts Group Audio Layer IV,动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机和台式计算机等等。
服务器105可以是提供各种服务的服务器,例如对终端设备101、102、103上显示的页面提供支持的后台服务器。
需要说明的是,本申请实施例所提供的网络安全管控方法一般由服务器/终端设备执行,相应地,网络安全管控装置一般设置于服务器/终端设备中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
继续参考图2,示出了根据本申请的网络安全管控的方法的一个实施例的流程图。所述的网络安全管控方法,包括以下步骤:
步骤S201,管控终端向交换终端发送配置采集请求,并接收由所述交换终端发送的当前的配置数据,其中所述当前的配置数据由所述交换终端响应所述配置采集请求得到。
在本实施例中,网络安全管控方法运行于其上的电子设备(例如图1所示的服务器/终端设备)可以通过有线连接方式或者无线连接方式由管控终端向交换终端发送配置采集请求。需要指出的是,上述无线连接方式可以包括但不限于3G/4G连接、WiFi连接、蓝牙连接、WiMAX连接、Zigbee连接、UWB(ultra wideband)连接、以及其他现在已知或将来开发的无线连接方式。
具体地,在实际应用中,管控终端持续采集交换终端的配置数据,将最新采集到的配置数据作为当前的配置数据,其中管控终端采集交换终端配置数据的方式为采集交换终端的快照,如在交换终端获取管理页面上的运行信息(包括端口配置状态以及端口使用状态),之后将采集的快照打包发送至管控终端;其中快照包括交换终端的端口配置状态以及端口使用状态,具体端口配置状态以及端口使用状态请参见下文描述。
步骤S202,所述管控终端获取所述当前的配置数据上一次的历史的配置数据,并将所述当前的配置数据与所述历史的配置数据进行比对,得到比对结果。
在本实施例中,管控终端在每次得到当前的配置数据后,都会将当前的配置数据储存于数据库中,而当前的配置数据储存于数据库后,当前的配置数据转换成历史的配置数据。
在实际应用中,将当前的配置数据与历史的配置数据进行比对,即将当前的配置数据中对应的子数据(如端口信息、准入认证信息、网址配置信息以及ARP配置信息等)与历史的配置数据中对应的子数据(如端口信息、准入认证信息、网址配置信息以及ARP配置信息等)一一进行比对,若当前的配置数据与历史的配置数据相同,且生成配置数据无异动的比对结果;若当前的配置数据与历史的配置数据不同,且生成配置数据异动的比对结果。
步骤S203,所述管控终端根据所述比对结果生成异动报告。
在本实施例中,根据比对结果生成的异动报告,以便于操作人员进行查阅,并基于异动报告内的内容进行及时调整,以保证网络安全的稳定性。
本申请中,将当前的配置数据与历史的配置数据进行比对,以判断当前网络配置是否发生变化,之后根据得到移动报告得知网络配置的变化信息,以可及时对网络安全进行维护,从而有效保证网络的安全性;同时,本申请的网络安全管控方式不需要改造当前用户的网络结构,可灵活的部署到网络中,同时能很好的兼容不同厂家的网络或安全设备,具有良好的网适配性。
在一些可选的实现方式中,在上述步骤S201,在所述管控终端向交换终端发送配置采集请求步骤之前,还包括:
交换终端接收由访问终端发送的网络访问请求;
所述交换终端响应所述网络访问请求,并获取准入认证规则后,根据所述准入认证规则对所述访问终端进行认证;
若所述访问终端认证通过时,所述交换终端获取网址配置规则以及所述访问终端的MAC地址,并根据所述网址配置规则配置所述MAC地址对应的目标端口后,将所述MAC地址和所述目标端口进行绑定;
所述交换终端获取ARP配置规则以及IP地址,并根据所述ARP配置规则将与所述目标端口绑定的所述MAC地址与IP地址绑定后,允许所述访问终端访问网络。
在本实施例中,上述交换终端为交换机;上述访问终端为具有通讯功能的手机、平板、PC机等;上述网络访问请求表征为交换终端需接入网络。
上述准入认证规则为802.1X(dot1x)准入认证,以用于对访问终端的安全性进行认证,如认证访问终端的病毒库版本、系统补丁版本等,若认证成功时,则执行步骤S203,若认证失败,则拒绝网络访问请求。
进一步的,可设置拒绝次数限制,当第一预设时长内,访问终端被拒绝次数大于预设拒绝次数时,则在第二预设时长内不再接收访问终端发送的网络访问请求,其中上述第一预设时长和第二预设时长可由网络监控的操作人员自行设置,且第一预设时长和第二预设时长可相同或不同。
上述网址配置规则包括IPSG配置规则以及对应配置规则,其中关于IPSG配置规则和对应配置规则请参见描述。
在IPSG配置规则中,交换终端中开启了IPSG配置规则的端口均可作为备用端口使用,在实际应用中,可从备用端口任意选择其中一个备用端口作为目标端口;而在对应配置规则中,MAC地址与目标端口为一一对应的关系,相对于IPSG配置规则,可选用的端口少。因此,若交换终端支持IPSG配置规则时,则优先选用IPSG配置规则,若交换终端不支持IPSG配置规则时,再选用对应配置规则。
上述ARP规则中,为进一步的认证访问终端的身份,将根据ARP规则将IP地址和MAC地址进行绑定,其中ARP是地址解析协议,是根据IP地址获取物理地址的一个TCP/IP协议。
在一些可选的实现方式中,所述交换终端接收由访问终端发送的网络访问请求的步骤之前,还包括:
所述交换终端向管控终端发送规则配置请求,并接收由所述管控终端发送的规则配置信息,其中所述规则配置信息由所述管控终端响应所述规则配置请求得到;
所述交换终端从所述规则配置信息中提取准入认证规则、网址配置规则以及ARP配置规则,并配置所述准入认证规则、所述网址配置规则以及所述ARP配置规则。
在本实施例中,本步骤为配置下放的步骤,用于将准入认证规则、网址配置规则以及ARP配置规则配置于交换终端上;在实际应用中,可根据调用相应的规则(准入认证规则、网址配置规则或ARP配置规则)完成对访问终端的认证。
在一些可选的实现方式中,所述根据所述准入认证规则对所述访问终端进行认证的步骤,包括:
所述交换终端获取预设待检信息,根据所述预设待检信息和所述准入认证规则对所述访问终端进行认证。
在本实施例中,上述准入认证规则为802.1X(dot1x)准入认证(具体请参见上文描述),由于每个企业机构需检测的事项不同;因此在初始阶段,可先将当前企业机构的需求作为预设待检信息进行保存至交换终端,之后在实际应用中交换终端可直接调用预设待检信息。
进一步的,预设待检信息具有待检标识,在实际应用中,可通过标识匹配的方式,根据访问终端的终端或当前运行本申请网络安全管控方法的企业机构对应的机构标识直接匹配得到,有效减少代用预设待检信息所需时间。
进一步的,预设待检信息预存有多个,且每个预设待检信息均具有待检标识,以便于用户根据需求自行选用。
在一些可选的实现方式中,所述并根据所述网址配置规则配置所述MAC地址对应的目标端口后的步骤包括:
当所述网址配置规则为IPSG配置规则时,所述交换终端从所述IPSG配置规则中提取预设名单,并判断所述预设名单中是否包含所述访问终端的MAC地址,若所述预设名单中包含所述访问终端的MAC地址,所述交换终端获取配置有所述IPSG配置规则的所有端口,并从配置有所述IPSG配置规则的所有端口中随意选取一个端口作为目标端口;
当所述网址配置规则为对应配置规则时,所述交换终端获取与所述MAC地址对应的端口,将所述端口作为目标端口。
在本实施例中,在IPSG配置规则中,上述预设名单为白名单,若访问终端的MAC地址存在于白名单中,则表征为访问终端为可靠、安全的终端,在实际应用中配合符合IPSG配置规则的所有端口,以有效提升认证过程中的安全性。
在对应配置规则,交换终端具有多个端口,在实际应用中,为保证访问终端的认证安全性,因此限制只有在一个端口可进行访问,从而保证认证的安全性,防止被假冒。
在一些可选的实现方式中,在所述允许所述访问终端访问网络的步骤之后,还包括:
所述管控终端获取覆盖率检验规则,并获取所述交换终端配置所述准入认证规则、所述网址配置规则和所述ARP配置规则后的配置状态信息;
根据所述覆盖率检验规则检验所述配置状态信息,得到检验结果。
在本实施例中,在将准入认证规则、网址配置规则以及ARP配置规则配置于交换终端后,需检验交换终端配置后的覆盖率;具体为,若准入认证规则成功配置后,得到的配置状态信息中准入认证为开启状态,反之为失败状态,同理若网址配置规则成功配置后,得到的配置状态信息中网址配置为开启状态,反之为失败状态,若ARP配置规则成功配置后,得到的配置状态信息中ARP配置为开启状态,反之为失败状态,上述覆盖率检验规则通过检测是否为开启状态,进行覆盖率判断,如若准入认证规则、网址配置规则以及ARP配置规则均为开启状态,则判断当前访问终端已覆盖准入,若准入认证规则、网址配置规则以及ARP配置规则中的其中一个或两个为关闭状态,则判断当前访问终端未覆盖。
进一步的,在未覆盖后,可根据处于关闭状态的规则进行重新配置,如当前的准入认证规则为关闭状态,则根据所述准入认证规则对所述访问终端进行认证;而在所述访问终端认证通过后,可再进行网址配置规则以及ARP配置规则的认证,以提升认证准确性及网路的安全性。
在一些可选的实现方式中,所述配置数据包括端口信息、准入认证信息、网址配置信息以及ARP配置信息;所述并将所述当前的配置数据与所述历史的配置数据进行比对,得到比对结果的步骤包括:
所述管控终端比对所述当前的配置数据的端口信息与所述历史的配置数据的端口信息,得到端口使用状态;
所述管控终端将所述当前的配置数据的端口信息、准入认证信息、网址配置信息以及ARP配置信息与所述历史的配置数据的端口信息、准入认证信息、网址配置信息以及ARP配置信息一一对应比对,得到端口配置状态;
所述管控终端将所述端口使用状态和端口配置状态汇合得到比对结果。
在本实施例中,上述端口使用状态可用于表征端口的工作状态,在将述当前的配置数据的端口信息与历史的配置数据的端口信息对比后,可判断各端口的开启和关闭状态,并可根据端口的开启和关闭状态确定访问终端的增减;如端口从关闭状态切换为开启状态时,则认为当前端口接入有访问端口;又如端口从开启状态切换为关闭状态时,则认为访问终端从当前端口中断开连接;而若端口持续处于开启状态时,则认为访问终端与当前端口始终处于连接的状态,若端口持续处于断开状态时,则认为当前端口始终未与访问终端连接。
上述端口配置状态包括IP地址状态以及MAC地址状态,在将述当前的配置数据的端口信息与历史的配置数据的端口信息对比后,可得知新增/减少的IP地址和MAC地址。
这样可根据比对结果得知端口使用状态和端口配置状态的变化,若出现非法操作时,可被提前发现,识别安全隐患,提升网络安全性。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,该计算机程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,前述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)等非易失性存储介质,或随机存储记忆体(Random Access Memory,RAM)等。
应该理解的是,虽然附图的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
进一步参考图3,作为对上述图2所示方法的实现,本申请提供了一种网络安全装置的一个实施例,该装置实施例与图2所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图4所示,本实施例所述的网络安全装置300包括:数据接收模块301、数据比对模块302以及报告生成模块303。其中:
数据接收模块301,用于管控终端向交换终端发送配置采集请求,并接收由所述交换终端发送的当前的配置数据,其中所述当前的配置数据由所述交换终端响应所述配置采集请求得到;
数据比对模块302,用于所述管控终端获取所述当前的配置数据上一次的历史的配置数据,并将所述当前的配置数据与所述历史的配置数据进行比对,得到比对结果;以及
报告生成模块303,用于所述管控终端根据所述比对结果生成异动报告。
本申请中,将当前的配置数据与历史的配置数据进行比对,以判断当前网络配置是否发生变化,之后根据得到移动报告得知网络配置的变化信息,以可及时对网络安全进行维护,从而有效保证网络的安全性;同时,本申请的网络安全管控方式不需要改造当前用户的网络结构,可灵活的部署到网络中,同时能很好的兼容不同厂家的网络或安全设备,具有良好的网适配性。
在一些可选的实现方式中,还包括请求接收模块、认证模块、绑定模块以及访问模块。其中:
请求接收模块,用于交换终端接收由访问终端发送的网络访问请求;
认证模块,用于所述交换终端响应所述网络访问请求,并获取准入认证规则后,根据所述准入认证规则对所述访问终端进行认证;
绑定模块,用于若所述访问终端认证通过时,所述交换终端获取网址配置规则以及所述访问终端的MAC地址,并根据所述网址配置规则配置所述MAC地址对应的目标端口后,将所述MAC地址和所述目标端口进行绑定;
访问模块,用于所述交换终端获取ARP配置规则以及IP地址,并根据所述ARP配置规则将与所述目标端口绑定后的所述MAC地址与IP地址绑定后,允许所述访问终端访问网络。
在一些可选的实现方式中,还包括配置接收模块以及配置模块;其中:
配置接收模块,用于所述交换终端向管控终端发送规则配置请求,并接收由所述管控终端发送的规则配置信息,其中所述规则配置信息由所述管控终端响应所述规则配置请求得到;
配置模块,用于所述交换终端从所述规则配置信息中提取准入认证规则、网址配置规则以及ARP配置规则,并配置所述准入认证规则、所述网址配置规则以及所述ARP配置规则。
在一些可选的实现方式中,上述认证模块包括认证子模块。其中:
认证子模块,用于所述交换终端获取预设待检信息后,根据所述预设待检信息和所述准入认证规则对所述访问终端进行认证。
在一些可选的实现方式中,所述绑定模块包括第一确定子模块以及第二确定子模块。其中:
第一确定子模块,用于当所述网址配置规则为IPSG配置规则时,所述交换终端从所述IPSG配置规则中提取预设名单,并判断所述预设名单中是否包含所述访问终端的MAC地址,若所述预设名单中包含所述访问终端的MAC地址,所述交换终端获取符合配置有所述IPSG配置规则的所有端口,并从符合所述预设名单的所有端口中随意选取一个端口作为目标端口;
第二确定子模块,用于当所述网址配置规则为对应配置规则时,所述交换终端获取与所述MAC地址对应的端口,将所述端口作为目标端口。
在一些可选的实现方式中,还包括获取模块以及检验模块。其中:
获取模块,用于所述管控终端获取覆盖率检验规则,并获取所述交换终端配置所述准入认证规则、所述网址配置规则和所述ARP配置规则后的配置状态信息;
检验模块,用于根据所述覆盖率检验规则检验所述配置状态信息,得到检验结果。
在一些可选的实现方式中,上述数据比对模块302包括第一比对子模块、第二比对子模块以及汇合模块。其中:
第一比对子模块,用于所述管控终端比对所述当前的配置数据的端口信息与所述历史的配置数据的端口信息,得到端口使用状态;
第二比对子模块,用于所述管控终端将所述当前的配置数据的端口信息、准入认证信息、网址配置信息以及ARP配置信息与所述历史的配置数据的端口信息、准入认证信息、网址配置信息以及ARP配置信息一一对应比对,得到端口配置状态;
汇合模块,用于所述管控终端将所述端口使用状态和端口配置状态汇合得到比对结果。
为解决上述技术问题,本申请实施例还提供计算机设备。具体请参阅图4,图4为本实施例计算机设备基本结构框图。
所述计算机设备4括通过系统总线相互通信连接存储器41、处理器42、网络接口43。需要指出的是,图中仅示出了具有组件41-43的计算机设备4,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。其中,本技术领域技术人员可以理解,这里的计算机设备是一种能够按照事先设定或存储的指令,自动进行数值计算和/或信息处理的设备,其硬件包括但不限于微处理器、专用集成电路(ApplicationSpecific Integrated Circuit,ASIC)、可编程门阵列(Field-Programmable GateArray,FPGA)、数字处理器(Digital Signal Processor,DSP)、嵌入式设备等。
所述计算机设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机设备可以与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互。
所述存储器41至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,所述存储器41可以是所述计算机设备4的内部存储单元,例如该计算机设备4的硬盘或内存。在另一些实施例中,所述存储器41也可以是所述计算机设备4的外部存储设备,例如该计算机设备4上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(FlashCard)等。当然,所述存储器41还可以既包括所述计算机设备4的内部存储单元也包括其外部存储设备。本实施例中,所述存储器41通常用于存储安装于所述计算机设备4的操作系统和各类应用软件,例如网络安全管控方法的程序代码等。此外,所述存储器41还可以用于暂时地存储已经输出或者将要输出的各类数据。
所述处理器42在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器42通常用于控制所述计算机设备4的总体操作。本实施例中,所述处理器42用于运行所述存储器41中存储的程序代码或者处理数据,例如运行所述X方法的程序代码。
所述网络接口43可包括无线网络接口或有线网络接口,该网络接口43通常用于在所述计算机设备4与其他电子设备之间建立通信连接。
本申请中,将当前的配置数据与历史的配置数据进行比对,以判断当前网络配置是否发生变化,之后根据得到移动报告得知网络配置的变化信息,以可及时对网络安全进行维护,从而有效保证网络的安全性;同时,本申请的网络安全管控方式不需要改造当前用户的网络结构,可灵活的部署到网络中,同时能很好的兼容不同厂家的网络或安全设备,具有良好的网适配性。
本申请还提供了另一种实施方式,即提供一种计算机可读存储介质,所述计算机可读存储介质存储有网络安全管控程序,所述网络安全管控程序可被至少一个处理器执行,以使所述至少一个处理器执行如上述的网络安全管控方法的步骤。
本申请中,将当前的配置数据与历史的配置数据进行比对,以判断当前网络配置是否发生变化,之后根据得到移动报告得知网络配置的变化信息,以可及时对网络安全进行维护,从而有效保证网络的安全性;同时,本申请的网络安全管控方式不需要改造当前用户的网络结构,可灵活的部署到网络中,同时能很好的兼容不同厂家的网络或安全设备,具有良好的网适配性。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所述的方法。
显然,以上所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例,附图中给出了本申请的较佳实施例,但并不限制本申请的专利范围。本申请可以以许多不同的形式来实现,相反地,提供这些实施例的目的是使对本申请的公开内容的理解更加透彻全面。尽管参照前述实施例对本申请进行了详细的说明,对于本领域的技术人员来而言,其依然可以对前述各具体实施方式所记载的技术方案进行修改,或者对其中部分技术特征进行等效替换。凡是利用本申请说明书及附图内容所做的等效结构,直接或间接运用在其他相关的技术领域,均同理在本申请专利保护范围之内。
Claims (10)
1.网络安全管控方法,其特征在于,包括下述步骤:
管控终端向交换终端发送配置采集请求,并接收由所述交换终端发送的当前的配置数据,其中所述当前的配置数据由所述交换终端响应所述配置采集请求得到;
所述管控终端获取所述当前的配置数据上一次的历史的配置数据,并将所述当前的配置数据与所述历史的配置数据进行比对,得到比对结果;
所述管控终端根据所述比对结果生成异动报告。
2.根据权利要求1所述的网络安全管控方法,其特征在于:在所述管控终端向交换终端发送配置采集请求步骤之前,还包括:
交换终端接收由访问终端发送的网络访问请求;
所述交换终端响应所述网络访问请求,并获取准入认证规则后,根据所述准入认证规则对所述访问终端进行认证;
若所述访问终端认证通过时,所述交换终端获取网址配置规则以及所述访问终端的MAC地址,并根据所述网址配置规则配置所述MAC地址对应的目标端口后,将所述MAC地址和所述目标端口进行绑定;
所述交换终端获取ARP配置规则以及IP地址,并根据所述ARP配置规则将与所述目标端口绑定的所述MAC地址与IP地址绑定后,允许所述访问终端访问网络。
3.根据权利要求2所述的网络安全管控方法,其特征在于,在所述交换终端接收由访问终端发送的网络访问请求的步骤之前,还包括:
所述交换终端向管控终端发送规则配置请求,并接收由所述管控终端发送的规则配置信息,其中所述规则配置信息由所述管控终端响应所述规则配置请求得到;
所述交换终端从所述规则配置信息中提取准入认证规则、网址配置规则以及ARP配置规则,并配置所述准入认证规则、所述网址配置规则以及所述ARP配置规则。
4.根据权利要求2所述的网络安全管控方法,其特征在于:所述根据所述准入认证规则对所述访问终端进行认证的步骤,包括:
所述交换终端获取预设待检信息,根据所述预设待检信息和所述准入认证规则对所述访问终端进行认证。
5.根据权利要求2所述的网络安全管控方法,其特征在于:所述并根据所述网址配置规则配置所述MAC地址对应的目标端口后的步骤包括:
当所述网址配置规则为IPSG配置规则时,所述交换终端从所述IPSG配置规则中提取预设名单,并判断所述预设名单中是否包含所述访问终端的MAC地址,若所述预设名单中包含所述访问终端的MAC地址,所述交换终端获取配置有所述IPSG配置规则的所有端口,并从配置有所述IPSG配置规则的所有端口中随意选取一个端口作为目标端口;
当所述网址配置规则为对应配置规则时,所述交换终端获取与所述MAC地址对应的端口,将所述端口作为目标端口。
6.根据权利要求2所述的网络安全管控方法,其特征在于,在所述允许所述访问终端访问网络的步骤之后,还包括:
所述管控终端获取覆盖率检验规则,并获取所述交换终端配置所述准入认证规则、所述网址配置规则和所述ARP配置规则后的配置状态信息;
根据所述覆盖率检验规则检验所述配置状态信息,得到检验结果。
7.根据权利要求1至6中任一项所述的网络安全管控方法,其特征在于:所述配置数据包括端口信息、准入认证信息、网址配置信息以及ARP配置信息;所述并将所述当前的配置数据与所述历史的配置数据进行比对,得到比对结果的步骤包括:
所述管控终端比对所述当前的配置数据的端口信息与所述历史的配置数据的端口信息,得到端口使用状态;
所述管控终端将所述当前的配置数据的端口信息、准入认证信息、网址配置信息以及ARP配置信息与所述历史的配置数据的端口信息、准入认证信息、网址配置信息以及ARP配置信息一一对应比对,得到端口配置状态;
所述管控终端将所述端口使用状态和所述端口配置状态汇合得到比对结果。
8.网络安全管控装置,其特征在于,包括:
数据接收模块,用于管控终端向交换终端发送配置采集请求,并接收由所述交换终端发送的当前的配置数据,其中所述当前的配置数据由所述交换终端响应所述配置采集请求得到;
数据比对模块,用于所述管控终端获取所述当前的配置数据上一次的历史的配置数据,并将所述当前的配置数据与所述历史的配置数据进行比对,得到比对结果;以及
报告生成模块,用于所述管控终端根据所述比对结果生成异动报告。
9.计算机设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至7中任一项所述的网络安全管控方法的步骤。
10.计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的网络安全管控方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210403632.7A CN114785691B (zh) | 2022-04-18 | 2022-04-18 | 网络安全管控方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210403632.7A CN114785691B (zh) | 2022-04-18 | 2022-04-18 | 网络安全管控方法、装置、计算机设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114785691A true CN114785691A (zh) | 2022-07-22 |
| CN114785691B CN114785691B (zh) | 2024-04-16 |
Family
ID=82431091
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210403632.7A Active CN114785691B (zh) | 2022-04-18 | 2022-04-18 | 网络安全管控方法、装置、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114785691B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120082048A1 (en) * | 2010-10-05 | 2012-04-05 | Cisco Technology, Inc. | System and method for providing smart grid communications and management |
| CN103825846A (zh) * | 2014-02-28 | 2014-05-28 | 迈普通信技术股份有限公司 | 一种端口安全的实现方法及装置 |
| CN109327324A (zh) * | 2017-08-01 | 2019-02-12 | 国基电子(上海)有限公司 | 验证方法、电子装置、管理服务器及计算机可读存储介质 |
| CN111262832A (zh) * | 2020-01-08 | 2020-06-09 | 北京工业大学 | 云环境下融合信任和学习的DDoS攻击发现方法 |
| CN113411302A (zh) * | 2021-05-11 | 2021-09-17 | 银雁科技服务集团股份有限公司 | 局域网设备网络安全预警方法及装置 |
| CN114157571A (zh) * | 2021-12-06 | 2022-03-08 | 上海中通吉网络技术有限公司 | 自动检测网络配置变化的方法 |
-
2022
- 2022-04-18 CN CN202210403632.7A patent/CN114785691B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120082048A1 (en) * | 2010-10-05 | 2012-04-05 | Cisco Technology, Inc. | System and method for providing smart grid communications and management |
| CN103825846A (zh) * | 2014-02-28 | 2014-05-28 | 迈普通信技术股份有限公司 | 一种端口安全的实现方法及装置 |
| CN109327324A (zh) * | 2017-08-01 | 2019-02-12 | 国基电子(上海)有限公司 | 验证方法、电子装置、管理服务器及计算机可读存储介质 |
| CN111262832A (zh) * | 2020-01-08 | 2020-06-09 | 北京工业大学 | 云环境下融合信任和学习的DDoS攻击发现方法 |
| CN113411302A (zh) * | 2021-05-11 | 2021-09-17 | 银雁科技服务集团股份有限公司 | 局域网设备网络安全预警方法及装置 |
| CN114157571A (zh) * | 2021-12-06 | 2022-03-08 | 上海中通吉网络技术有限公司 | 自动检测网络配置变化的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114785691B (zh) | 2024-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3552098B1 (en) | Operating system update management for enrolled devices | |
| US11509537B2 (en) | Internet of things device discovery and deployment | |
| CN111414407A (zh) | 数据库的数据查询方法、装置、计算机设备及存储介质 | |
| CN106060072B (zh) | 认证方法以及装置 | |
| CN102136049B (zh) | 一种终端应用的安全管理方法及系统 | |
| CN114070583B (zh) | 信息访问控制方法、装置、计算机设备及介质 | |
| CN113239397A (zh) | 信息访问方法、装置、计算机设备及介质 | |
| CN113242331B (zh) | 不同类型的地址转换方法、装置、计算机设备及存储介质 | |
| WO2022095518A1 (zh) | 接口自动化测试方法、装置、计算机设备及存储介质 | |
| CN113259342A (zh) | 登录验证方法、装置、计算机设备及介质 | |
| CN112468409A (zh) | 访问控制方法、装置、计算机设备及存储介质 | |
| CN112632605A (zh) | 一种防止越权访问的方法、装置、计算机设备及存储介质 | |
| CN115022047B (zh) | 基于多云网关的账户登录方法、装置、计算机设备及介质 | |
| CN110677506B (zh) | 网络访问方法、装置、计算机设备及存储介质 | |
| CN109818972B (zh) | 一种工业控制系统信息安全管理方法、装置及电子设备 | |
| CN114462096A (zh) | 基于区块链的物联网设备控制方法、装置、计算机设备及存储介质 | |
| CN113434254A (zh) | 客户端部署方法、装置、计算机设备及存储介质 | |
| CN113242301A (zh) | 真实服务器的选定方法、装置、计算机设备及存储介质 | |
| CN113259429A (zh) | 会话保持管控方法、装置、计算机设备及介质 | |
| CN114785691B (zh) | 网络安全管控方法、装置、计算机设备及存储介质 | |
| CN113360172B (zh) | 应用部署方法、装置、计算机设备及存储介质 | |
| CN115733685A (zh) | Web会话认证管理方法、装置、计算机设备及存储介质 | |
| CN115242608A (zh) | 告警信息的生成方法、装置、设备及存储介质 | |
| CN104021351A (zh) | 一种数据资源的访问方法及装置 | |
| CN111447080B (zh) | 私有网络去中心化控制方法、装置及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Country or region after: China Address after: 518000 north of the intersection of Zhenxing Avenue and Chuangye Avenue, EBU Town, Shenshan special cooperation zone, Shenzhen, Guangdong Applicant after: China Resources Intelligent Computing Technology (Guangdong) Co.,Ltd. Address before: 518000 north of the intersection of Zhenxing Avenue and Chuangye Avenue, EBU Town, Shenshan special cooperation zone, Shenzhen, Guangdong Applicant before: Guangdong Runlian Information Technology Co.,Ltd. Country or region before: China |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |