CN114884692B

CN114884692B - 网络访问控制方法及装置

Info

Publication number: CN114884692B
Application number: CN202210332069.9A
Authority: CN
Inventors: 侯文龙; 刘孟昕; 林科锵; 陈溪
Original assignee: Industrial and Commercial Bank of China Ltd ICBC
Current assignee: Industrial and Commercial Bank of China Ltd ICBC
Priority date: 2022-03-31
Filing date: 2022-03-31
Publication date: 2024-01-30
Anticipated expiration: 2042-03-31
Also published as: CN114884692A

Abstract

本发明提供一种网络访问控制方法及装置，涉及信息安全技术领域，可应用于金融技术领域或其他技术领域。该网络访问控制方法包括：根据用户访问请求获取用户IP地址和被测应用；根据被测应用确定用户访问窗口区间和测试地址；根据用户IP地址和测试地址开通防火墙；根据用户访问窗口区间控制用户进行网络访问。本发明可以对测试环境访问控制进行精细化管理，规避信息安全风险。

Description

网络访问控制方法及装置

技术领域

本发明涉及信息安全技术领域，具体地，涉及一种网络访问控制方法及装置。

背景技术

目前各大金融企业都在推进金融科技领域工作，在应用系统研发过程中，为了对系统进行测试及功能验证，金融企业均会搭建测试环境部署研发中的版本进行版本功能的验证工作。为了保证业务创新信息的安全性，通常各个软件研发单位均会通过企业内部的局域网环境来部署测试环境，本企业内部的测试人员通过局域网访问的方式来进行功能的测试，测试所使用的测试终端需要部署符合企业内部安全管理的各类软件，达到内网准入标准后，可以访问局域网中的测试系统展开系统功能的测试验证工作。

集中组织业务人员进行现场测试的模式因为成本高等因素变得越来越难以实施，同时对于部分紧急功能的验证，由于可以用于测试验证的周期短，现场测试的组织模式已经无法满足对应工作时效的要求。在现有模式下，通常各类金融企业会通过搭建VPN访问控制系统，通过VPN软件或者硬件加密的方式来进行访问权限控制，但因为使用VPN访问管理的权限管理过程相对复杂且灵活性不足，测试终端需要部署符合金融企业内部管理的各类安控软件后，才能使用VPN方式访问并展开测试，通常在使用VPN远程访问进行测试的模式下，只能金融企业内部的正式员工使用企业的内部办公终端才能展开。

但金融企业在对客户使用的如电子银行等系统进行测试的过程中，为了扩大测试人员的范围通常会采用众测的模式，邀请部分特征用户代表、或者第三方、合作方测试人员配合扩大测试范围。但因为该部分测试人员所使用的测试终端非企业内部的办公终端，无法通过安装VPN软件的方式来访问测试，在这种模式下，金融企业只能通过在互联网上开通指定IP网段防火墙策略的方式来让用户代表或者第三方合作方来访问被测应用，配合进行测试。

因为用户代表的具体展开测试的时间点及访问的物理位置无法硬性确定，针对单个用户进行一对一沟通并且保证24小时能够有人进行响应，开通对应防火墙策略的模式又存在投入成本高，无法实际落地执行的问题。所以只能通过扩大防火墙访问策略开通范围，拉长防火墙开通时长来确保用户代表或者第三方测试人员来能够顺利访问到测试环境，并展开对应的测试验证工作。

在这种模式下，金融企业的测试环境在互联网上大范围暴露，存在非常大的业务流程泄漏及信息安全的风险，但为了保证功能测试的全面性，金融企业又不得不接受该类风险的存在。

发明内容

本发明实施例的主要目的在于提供一种网络访问控制方法及装置，可以对测试环境访问控制进行精细化管理，规避信息安全风险。

为了实现上述目的，本发明实施例提供一种网络访问控制方法，包括：

根据用户访问请求获取用户IP地址和被测应用；

根据被测应用确定用户访问窗口区间和测试地址；

根据用户IP地址和测试地址开通防火墙；

根据用户访问窗口区间控制用户进行网络访问。

在其中一种实施例中，根据被测应用确定用户访问窗口区间包括：

根据被测应用确定防火墙开通时间、测试时间和维护时间；

根据防火墙开通时间、测试时间和维护时间确定用户访问窗口区间。

在其中一种实施例中，根据被测应用确定防火墙开通时间包括：

根据被测应用确定防火墙开通初始时间；

获取用户访问请求中的用户对应的测试次数数据；

根据测试次数数据与测试次数阈值确定用户类型；

根据用户类型和防火墙开通初始时间确定防火墙开通时间。

在其中一种实施例中，测试次数阈值包括测试次数活跃阈值和测试次数静默阈值；

网络访问控制方法还包括：

根据历史测试次数数据的最大值和平均值确定测试次数活跃阈值；

根据历史测试次数数据的最小值和平均值确定测试次数静默阈值。

在其中一种实施例中，根据被测应用确定测试时间包括：

根据被测应用确定初始测试时间；

获取测试地址对应的服务器资源占用数据；

根据服务器资源占用数据和初始测试时间确定测试时间。

在其中一种实施例中，还包括：

根据用户IP地址和所述用户类型对应的访问异常阈值确定异常访问数据；

根据异常访问数据发送异常访问通知。

本发明实施例还提供一种网络访问控制装置，包括：

获取模块，用于根据用户访问请求获取用户IP地址和被测应用；

区间地址确定模块，用于根据被测应用确定用户访问窗口区间和测试地址；

防火墙开通模块，用于根据用户IP地址和测试地址开通防火墙；

网络访问控制模块，用于根据用户访问窗口区间控制用户进行网络访问。

在其中一种实施例中，区间地址确定模块包括：

时间确定单元，用于根据被测应用确定防火墙开通时间、测试时间和维护时间；

用户访问窗口区间单元，用于根据防火墙开通时间、测试时间和维护时间确定用户访问窗口区间。

在其中一种实施例中，时间确定单元包括：

防火墙初始时间子单元，用于根据被测应用确定防火墙开通初始时间；

测试次数数据子单元，用于获取用户访问请求中的用户对应的测试次数数据；

用户类型子单元，用于根据测试次数数据与测试次数阈值确定用户类型；

防火墙开通时间子单元，用于根据用户类型和防火墙开通初始时间确定防火墙开通时间。

网络访问控制装置还包括：

测试次数活跃阈值模块，用于根据历史测试次数数据的最大值和平均值确定所述测试次数活跃阈值；

测试次数静默阈值模块，用于根据历史测试次数数据的最小值和平均值确定所述测试次数静默阈值。

在其中一种实施例中，时间确定单元包括：

初始测试时间子单元，用于根据被测应用确定初始测试时间；

资源占用数据子单元，用于获取测试地址对应的服务器资源占用数据；

测试时间子单元，用于根据服务器资源占用数据和初始测试时间确定测试时间。

在其中一种实施例中，还包括：

异常访问数据模块，用于根据用户IP地址和用户类型对应的访问异常阈值确定异常访问数据；

异常访问通知模块，用于根据异常访问数据发送异常访问通知。

本发明实施例还提供一种计算机设备，包括存储器、处理器及存储在存储器上并在处理器上运行的计算机程序，处理器执行计算机程序时实现所述的网络访问控制方法的步骤。

本发明实施例还提供一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现所述的网络访问控制方法的步骤。

本发明实施例还提供一种计算机程序产品，包括计算机程序/指令，计算机程序/指令被处理器执行时实现所述的网络访问控制方法的步骤。

本发明实施例的网络访问控制方法及装置先根据用户访问请求获取用户IP地址和被测应用，再根据被测应用确定用户访问窗口区间和测试地址，根据用户IP地址和测试地址开通防火墙，最后根据用户访问窗口区间控制用户进行网络访问，可以对测试环境访问控制进行精细化管理，规避信息安全风险。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例中网络访问控制方法的流程图；

图2是本发明另一实施例中网络访问控制方法的流程图；

图3是本发明实施例中确定用户访问窗口区间的流程图；

图4是本发明实施例中确定防火墙开通时间的流程图；

图5是本发明实施例中获取用户IP地址的流程图；

图6是本发明实施例中防火墙开通策略对比的示意图；

图7是本发明实施例中网络访问控制装置的结构框图；

图8是本发明另一实施例中网络访问控制装置的结构框图；

图9是本发明实施例中计算机设备的结构框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本领域技术人员知道，本发明的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此，本公开可以具体实现为以下形式，即：完全的硬件、完全的软件(包括固件、驻留软件、微代码等)，或者硬件和软件结合的形式。

本申请技术方案中对数据的获取、存储、使用、处理等均符合国家法律法规的相关规定。

鉴于现有技术存在信息安全的风险，本发明实施例提供一种网络访问控制方法，解决了现有企业邀请外部用户代表进行众测的过程中对测试环境访问控制的精细化管理难题，实现了7×24小时对受邀测试人员测试系统访问需求的动态响应跟踪，通过自动识别用户访问源IP地址的方式自动判断用户手机号是否在受邀测试人员范围中，对受邀范围中的测试人员的注册手机号发送短信验证码，用户填写验证码识别通过后，动态实时开通当前用户IP地址到目标测试环境的防火墙策略，受邀测试人员不再受网络环境或者地理环境的限制，同时对金融企业来说，防火墙策略也不用提前大范围开通，规避了信息安全风险。

同时，通过预制好的防护规则在给受邀用户开通新的访问防火墙策略时，自动实时关闭该用户旧IP地址的访问策略，避免了旧有模式下由于防火墙策略滞后关闭导致的信息泄漏安全隐患，收敛了无用的防火墙策略。

另外，本发明依据用户受信任等级开通不同时长的防火墙策略时间，进一步精细化了防火墙策略的开通管理，缩减测试系统在互联网的暴露时间，系统也自带了用户访问异常行为智能判定模块，对用户出现的异常访问等行为进行及时处理，拉黑对应用户及时关闭对应的访问策略，避免网络被黑客攻破时导致的信息泄漏风险。以下结合附图对本发明进行详细说明。

图1是本发明实施例中网络访问控制方法的流程图。图2是本发明另一实施例中网络访问控制方法的流程图。如图1-图2所示，网络访问控制方法包括：

S101：根据用户访问请求获取用户IP地址和被测应用。

在执行S101之前，还包括：用户对被测应用有测试访问需求时，通过访问权限验证模块提交测试申请，需填写手机号接收短信验证码来进行权限验证。

表1

表1是用户信息列表示意图。如表1所示，权限验证模块调用用户信息管理模块中的用户信息列表校验该用户是否在管理范围内。如果在当前正常的受邀范围内，则调用短信验证码发送模块向目标手机号发送验证码信息，用户填入接收到的验证码信息并提交申请后，权限验证模块对验证码是否正确进行校验，校验通过后将调用测试终端IP地址抓取模块。如果此时不在手机号对应用户的授权开始时间至结束时间范围内，或者对应用户的状态为拉黑时，则不能通过验证。

图5是本发明实施例中获取用户IP地址的流程图。如图5所示，可以通过测试终端IP地址抓取模块来实现对访问权限验证通过后的用户的终端源IP地址的抓取，包括IPV4和IPV6双栈地址，并且调用防火墙测试开通模块。

当用户通过测试终端(移动端或电脑端)访问权限验证模块并通过权限验证和短信验证后，测试终端IP地址抓取模块自动进行两次跨域请求的调用来获取终端的IP地址。请求通过负载均衡设备后，需在设备中开启对应的X-Forwarded-For(XFF)功能，然后解析HTTP的request请求中X-Forwarded-For字段以拿到终端真实的客户端IP地址。

目前测试终端的IP地址根据终端支持的网络协议差异，可能只有IPV4，或者包含IPV4和IPV6两种情况。测试终端IP地址抓取模块通过IPV4域名和IPV6域名两次请求来获取，IPV4域名只支持IPV4协议，IPV6域名只支持IPV6协议。如果IPV6域名请求无返回，则认为终端不支持IPV6，开通访问权限时源地址只开通IPV4地址；如果IPV6和IPV4的两次请求都可以获取到IP地址，则开通访问防火墙时开放IPV6地址和IPV4地址。

S102：根据被测应用确定用户访问窗口区间和测试地址。

图3是本发明实施例中确定用户访问窗口区间的流程图。如图3所示，被测应用确定用户访问窗口区间包括：

S201：根据被测应用确定防火墙开通时间、测试时间和维护时间。

图4是本发明实施例中确定防火墙开通时间的流程图。如图4所示，根据被测应用确定防火墙开通时间包括：

S301：根据被测应用确定防火墙开通初始时间。

表2

表2是防火墙规则预置列表。如表2所示，将被测应用的防火墙信息通过防火墙规则维护模块记录下来，需要访问某应用时，根据被测应用来找到对应的防火墙信息，由防火墙策略开通模块进行网络访问控制防火墙开通。其中，测试地址和测试端口为对应应用网络环境信息，单次开通火墙时间是申请一次的开通时效，根据应用安全等级制定。

但是使用固定预置规则的方式开通防火墙不够精细，还是会出现风险放大的问题，所以可通过下述方法增加智能化的配置方式：自动依据版本功能测试计划(功能测试和压力测试)、测试环境维护计划(启停机，安装版本和环境修复)、实际系统访问负载情况、被测服务器资源占用情况及参测用户的历史参测活跃情况等动态对参测用户可访问系统的防火墙策略开通可访问有效期及有效期内可访问窗口区间进行智能设置。

S302：获取用户访问请求中的用户对应的测试次数数据。

具体实施时，可以针对用户对被测系统的历史参测情况进行用户画像以对用户进行分类管理。统计在一段时间内所有用户对某应用的参与测试任务次数、防火墙开通申请次数和提交测试问题次数，计算上述三个次数的活跃阈值和静默阈值。

S303：根据测试次数数据与测试次数阈值确定用户类型。

其中，测试次数阈值包括测试次数活跃阈值和测试次数静默阈值。

具体实施时，可以根据测试次数阈值将用户分成三类：当参与测试任务次数、防火墙开通申请次数和提交测试问题次数中两个以上的次数指标均高于测试次数活跃阈值时，该用户为活跃用户；当参与测试任务次数、防火墙开通申请次数和提交测试问题次数中两个以上的次数指标均低于测试次数静默阈值时，该用户为静默用户，其他用户为一般用户。

在执行S303之前，还包括：

根据历史测试次数数据的最大值和平均值确定测试次数活跃阈值；根据历史测试次数数据的最小值和平均值确定测试次数静默阈值。

其中，测试次数活跃阈值为历史测试次数数据的最大值与历史测试次数数据的平均值的平均值；测试次数静默阈值为历史测试次数数据的最小值与历史测试次数数据的平均值的平均值。

S304：根据用户类型和防火墙开通初始时间确定防火墙开通时间。

具体实施时，如果测试用户属于某被测应用的活跃用户，则在防火墙开通初始时间的基础上进行延长，并将对应被测应用的防火墙一并开启，通知并引导用户发挥主动性进行测试操作，省却不断开通防火墙的重复操作。如用户属于某被测应用的静默用户，则在防火墙开通初始时间的基础上进行缩小，严格控制可访问窗口区间，以此督促测试用户尽快进行测试操作，减少防火墙时间范围引起的风险。

一实施例中，根据被测应用确定测试时间包括：

根据被测应用确定初始测试时间；获取测试地址对应的服务器资源占用数据；根据服务器资源占用数据和初始测试时间确定测试时间。

表3

被测应用	开始时间	结束时间	工作内容
				网银系统	2022-2-20 12:20	2022-2-28 9:30	功能测试
网银系统	2022-2-28 9:30	2022-2-28 14:00	性能测试
				网银系统	2022-2-28 14:00	2022-3-10 22:00	功能测试
……	……	……	……
				网银系统	2022-4-19 16:00	2022-4-30 18:00	功能测试
信贷系统	2022-4-30 10:00	2022-5-16 8:00	功能测试

表3是版本功能测试计划表。如表3所示，版本功能测试计划指的是功能测试或压力测试，在功能测试期间可以查看开通时被测应用的访问情况，获取被测应用已开通防火墙的可访问时间窗口，将本次可访问窗口区间分配在占用较少的可访问时间窗口内，以此来分散用户可能的访问请求。获取测试地址对应的服务器的当前资源占用情况，如服务器内存和CPU等。当服务器资源占用数据超过目标值时，则可将表3中的初始测试时间往后延1小时开始。在压力测试期间，可访问窗口区间均设置在某个集中的时间段内。

S202：根据防火墙开通时间、测试时间和维护时间确定用户访问窗口区间。

具体实施时，可以从测试时间段中删除维护时间，之后根据防火墙开通时间和经过处理的测试时间段确定用户访问窗口区间。

表4

被测应用	开始时间	结束时间	工作内容
				网银系统	2022-2-25 06:00	2022-2-25 08:20	版本更新
网银系统	2022-2-25 08:20	2022-2-28 12:00	正常测试
				网银系统	2022-2-28 9:00	2022-2-28 10:00	补丁安装
网银系统	2022-2-28 10:00	2022-3-4 22:00	正常测试
				……	……	……	……
网银系统	2022-4-21 17:00	2022-4-21 20:00	版本更新
				……	……	……	……
信贷系统	2022-5-1 8:00	2022-5-5 14:00	正常测试
				信贷系统	2022-5-5 13:00	2022-5-5 15:00	日终批量
信贷系统	2022-5-5 15:00	2022-5-16 8:00	正常测试
				……	……	……	……

表4是测试环境维护计划表。如表4所示，测试环境的维护计划包含系统的启停机计划、版本更新计划，补丁安装计划和环境修复计划等。在设置可访问有效期内的窗口区间时查看对应系统的环境维护计划，将可访问窗口区间与环境维护计划中的时间窗口错开来保证用户在计划内的环境正常时间参与测试，避免用户进行实际测试操作与计划中的系统维护发生冲突，产生无意义的测试操作，给参测人员和环境维护人员双方节省沟通成本。

例如，用户A在2月28日9点申请开通访问网银应用的防火墙，预设的开通访问有效期是1天。网银应用的版本功能测试计划中28日9:30到12点进行性能测试，测试环境维护计划中9点到10点进行安装补丁的维护操作，则将用户的可访问窗口区间定为10点到14点。通过这种策略将所有27日，28日申请开通的用户的可访问窗口区间均设置在28日10点到14点之间，可以为网银应用该窗口间的性能测试提供集中的用户访问量。

用户A在4月20日8点又申请开通访问网银应用的防火墙，查询用户A的历史参测项目情况，发现用户A在4月份期间参与网银应用测试10次，多次连续提交防火墙申请，且提交多次测试问题，则认为用户A是对网银应用贡献度较高的活跃测试用户。防火墙开通初始时间是1天，在此基础上将访问有效期延长至3天，让活跃用户不必每天进行申请。再根据网银应用的版本功能测试计划(20日到23日均为功能测试时间窗口)、测试环境维护计划(21日17点至20点进行版本更新，更新期间无法进行测试)和当前网银应用服务器负载(负载略高)将用户当天的可测区间分散到稍后的时间段进行测试。综上，可访问窗口区间设置为20日10点到24点，21日0点到17点、20点到24点和22日0点到24点。

用户A在参与网银应用的多次众测后，在5月5日10点申请开通访问信贷应用的防火墙，查询用户A的历史参测项目情况，没有发现信贷应用的参测情况，按照信贷应用预设的1天确定防火墙开通有效期。再根据信贷应用的版本功能测试计划和测试环境维护计划(5日为功能测试时间窗口，测试环境维护计划中5日13点至15点进行日终批量，该测试周期内的业务操作都需在日终批量前完成，否则会影响数据计算)将可访问窗口截止到13点。同时当前信贷应用的服务器性能和访问负载均正常，可以立即开始进行访问测试，则可将访问窗口设置为5日10点到13点。由于通过历史参测项目情况发现用户A是网银应用的活跃用户，因此可以将其到网银应用的防火墙一并开启，引导用户A进行网银应用的众测工作。

S103：根据用户IP地址和测试地址开通防火墙。

具体实施时，可以通过防火墙策略开通模块开通用户IP地址到对应防火墙规则的测试地址的防火墙策略。同时，判断该用户是否还有已开通的其他用户IP地址访问策略信息，及时关闭旧用户IP地址的防火墙访问策略，对防火墙策略的开通及关闭信息进行集中管理。

S104：根据用户访问窗口区间控制用户进行网络访问。

例如，用户张某在2022年2月3日9点通过访问权限验证模块的身份验证后，测试终端IP地址抓取模块获取到用户所用终端的IP地址是1.2.3.4；再通过用户信息管理模块查到需要访问的是网银系统，则所需开通火墙的信息是源地址1.2.3.4到目的地址XX.XX.126.*，端口号是80和443，防火墙生效截止时间为2022年2月4日9点(当前时间24小时后)。这样通过防火墙策略开通模块开通成功之后，用户就可以在24小时内通过该终端访问网银系统了。由于开通防火墙时还有可访问时段控制，用户在2月3日23点到4日2点期间也无法访问网银系统，24小时之后用户授权时间未到期(当前时间2月4日小于授权结束时间2月9日)则还可以继续申请。

假如张某在2022年2月9日16点申请，由于24小时后为2022年2月10日16点，超过用户张某的授权结束时间2022年2月9日23:59:59，此时防火墙生效截止时间调整为2022年2月9日23点59分。

一实施例中，还包括：根据用户IP地址和用户类型对应的访问异常阈值确定异常访问数据；根据异常访问数据发送异常访问通知。

具体实施时，可通过异常访问监测模块对用户的异常访问判定规则进行定义并对用户访问行为进行跟踪，实时监测是否存在异常访问行为。如存在异常访问行为，则自动将对应用户拉入黑名单，并将已开通的策略进行关闭，邮件通知企业内部安全监控部门。对活跃用户、一般用户和静默用户的每个类别访问行为做埋点采集，拿到用户的参测系统范围和指定时间内测试数据以智能分析生成每类用户的访问分布图。通过分类用户的访问情况计算得到该类用户的访问异常阈值。如果用户行为超过访问异常阈值，则认为有异常风险。例如，同类用户一天内IP切换次数的平均值为X次，最大值为Y次，那么访问异常阈值Z＝(X+Y)/2。监测同一用户的IP地址，当某用户一天内有Z次以上的IP切换访问时，则定义为异常访问，需通知安控部门进行确认。一天内多个手机号的申请请求来自同一终端IP上也定义为异常访问。

图6是本发明实施例中防火墙开通策略对比的示意图。如图6所示，本发明还可以通过策略开通情况比对模块定期抓取防火墙网络设备中已经实际开通的防火墙策略清单，并且与防火墙策略开通模块中登记的已开通防火墙策略信息进行比对，将比对结果标记到防火墙策略清单中，将发现的差异信息通过邮件及短信的模式通知到企业内部网络安全管理人员进行及时的处理，及时发现已登记实际未开通或者是未登记实际已开通的防火墙策略。

图1所示的网络访问控制方法的执行主体可以为计算机。由图1所示的流程可知，本发明实施例的网络访问控制方法先根据用户访问请求获取用户IP地址和被测应用，再根据被测应用确定用户访问窗口区间和测试地址，根据用户IP地址和测试地址开通防火墙，最后根据用户访问窗口区间控制用户进行网络访问，可以对测试环境访问控制进行精细化管理，规避信息安全风险。

本发明实施例的具体流程如下：

1、根据历史测试次数数据的最大值和平均值确定测试次数活跃阈值，根据历史测试次数数据的最小值和平均值确定测试次数静默阈值。

2、根据用户访问请求获取用户IP地址和被测应用。

3、根据所述被测应用确定防火墙开通初始时间、初始测试时间和维护时间。

4、获取用户访问请求中的用户对应的测试次数数据，根据测试次数数据与测试次数阈值确定用户类型。

5、根据用户类型和防火墙开通初始时间确定防火墙开通时间。

6、获取测试地址对应的服务器资源占用数据，根据服务器资源占用数据和初始测试时间确定测试时间。

7、根据防火墙开通时间、测试时间和维护时间确定用户访问窗口区间。

8、根据用户IP地址和测试地址开通防火墙，根据用户访问窗口区间控制用户进行网络访问。

9、根据用户IP地址和用户类型对应的访问异常阈值确定异常访问数据，根据异常访问数据发送异常访问通知。

综上所述，本发明实施例提供的网络访问控制方法具有以下有益效果：

(1)7×24小时对受邀测试人员的测试系统访问需求进行动态响应跟踪，实现了对金融企业外受邀用户测试访问需求的按需开通，最大化地缩小了测试系统在互联网的暴露时间和范围；

(2)在给受邀用户开通新的访问防火墙策略时自动实时关闭该用户旧IP地址的访问策略，避免了旧模式下由于防火墙策略滞后关闭导致的信息泄漏安全隐患，收敛无用的防火墙策略；

(3)解决了大范围在互联网中暴露测试环境所产生的信息安全风险，极大保障了金融企业的业务系统；

(4)能够及时发现未经合法授权范围内的异常访问需求，提高对测试系统的安全防护。

基于同一发明构思，本发明实施例还提供了一种网络访问控制装置，由于该装置解决问题的原理与网络访问控制方法相似，因此该装置的实施可以参见方法的实施，重复之处不再赘述。

图7是本发明实施例中网络访问控制装置的结构框图。图8是本发明另一实施例中网络访问控制装置的结构框图。如图7-图8所示，网络访问控制装置包括：

在其中一种实施例中，区间地址确定模块包括：

在其中一种实施例中，时间确定单元包括：

网络访问控制装置还包括：

在其中一种实施例中，时间确定单元包括：

在其中一种实施例中，还包括：

如图8所示，在实际应用中，网络访问控制装置包括用户信息管理模块、访问权限验证模块、短信验证码发送模块、测试终端IP地址抓取模块、防火墙规则维护模块、防火墙策略开通模块、异常访问监测模块和策略开通情况比对模块。

用户信息管理模块用于对受邀参加众测的测试用户信息进行维护，可以维护申请人、使用人、手机号、授权开始时间、授权结束时间、被测应用、测试内容、标签和状态等信息，便于企业内部员工对参加众测的用户和权限进行集中统一管理查看和维护。只有在该模块中维护的用户，才能使用该装置申请网络访问权限。

访问权限验证模块用于调用用户信息管理模块中的用户信息列表校验该用户是否在管理范围内。如果在当前正常的受邀范围内，则调用短信验证码发送模块向目标手机号发送验证码信息，用户填入接收到的验证码信息并提交申请后，权限验证模块对验证码是否正确进行校验，校验通过后将调用测试终端IP地址抓取模块。如果此时不在手机号对应用户的授权开始时间至结束时间范围内，或者对应用户的状态为拉黑时，则不能通过验证。

短信验证码发送模块用于依据用户相关信息生成随机的短信验证码并发送到用户的目标手机中。

测试终端IP地址抓取模块包括获取模块和区间地址确定模块，用于实现对访问权限验证通过后的用户的终端源IP地址的抓取，包括IPV4和IPV6双栈地址，并且调用防火墙测试开通模块。

防火墙规则维护模块包括测试次数活跃阈值模块和测试次数静默阈值模块，用于维护不同被测应用所对应的互联网IP地址和端口，以及防火墙策略可以开通的时间范围，由此确定网络访问需要开通的防火墙信息。

防火墙策略开通模块包括防火墙开通模块和网络访问控制模块，用于开通用户IP地址到对应防火墙规则的测试地址的防火墙策略。同时，判断该用户是否还有已开通的其他用户IP地址访问策略信息，及时关闭旧用户IP地址的防火墙访问策略，对防火墙策略的开通及关闭信息进行集中管理。

异常访问监测模块包括异常访问数据模块和异常访问通知模块，用于对用户的异常访问判定规则进行定义，并对用户访问行为进行跟踪，实时监测是否存在异常访问行为。如存在异常访问行为，则自动将对应用户拉入黑名单，并将已开通的策略进行关闭，邮件通知企业内部安全监控部门。

策略开通情况比对模块用于定期抓取防火墙网络设备中已经实际开通的防火墙策略清单，并且与防火墙策略开通模块中登记的已开通防火墙策略信息进行比对，将比对结果标记到防火墙策略清单中，将发现的差异信息通过邮件及短信的模式通知到企业内部网络安全管理人员进行及时的处理，及时发现已登记实际未开通或者是未登记实际已开通的防火墙策略。

综上，本发明实施例的网络访问控制装置先根据用户访问请求获取用户IP地址和被测应用，再根据被测应用确定用户访问窗口区间和测试地址，根据用户IP地址和测试地址开通防火墙，最后根据用户访问窗口区间控制用户进行网络访问，可以对测试环境访问控制进行精细化管理，规避信息安全风险。

本发明实施例还提供能够实现上述实施例中的网络访问控制方法中全部步骤的一种计算机设备的具体实施方式。图9是本发明实施例中计算机设备的结构框图，参见图9，所述计算机设备具体包括如下内容：

处理器(processor)901和存储器(memory)902。

所述处理器901用于调用所述存储器902中的计算机程序，所述处理器执行所述计算机程序时实现上述实施例中的网络访问控制方法中的全部步骤，例如，所述处理器执行所述计算机程序时实现下述步骤：

根据用户访问请求获取用户IP地址和被测应用；

根据被测应用确定用户访问窗口区间和测试地址；

根据用户IP地址和测试地址开通防火墙；

根据用户访问窗口区间控制用户进行网络访问。

综上，本发明实施例的计算机设备先根据用户访问请求获取用户IP地址和被测应用，再根据被测应用确定用户访问窗口区间和测试地址，根据用户IP地址和测试地址开通防火墙，最后根据用户访问窗口区间控制用户进行网络访问，可以对测试环境访问控制进行精细化管理，规避信息安全风险。

本发明实施例还提供能够实现上述实施例中的网络访问控制方法中全部步骤的一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现上述实施例中的网络访问控制方法的全部步骤，例如，所述处理器执行所述计算机程序时实现下述步骤：

根据用户访问请求获取用户IP地址和被测应用；

根据被测应用确定用户访问窗口区间和测试地址；

根据用户IP地址和测试地址开通防火墙；

根据用户访问窗口区间控制用户进行网络访问。

综上，本发明实施例的计算机可读存储介质先根据用户访问请求获取用户IP地址和被测应用，再根据被测应用确定用户访问窗口区间和测试地址，根据用户IP地址和测试地址开通防火墙，最后根据用户访问窗口区间控制用户进行网络访问，可以对测试环境访问控制进行精细化管理，规避信息安全风险。

本发明实施例还提供能够实现上述实施例中的网络访问控制方法中全部步骤的一种计算机程序产品，所述计算机程序产品包括计算机程序/指令，该计算机程序/指令被处理器执行时实现上述实施例中的网络访问控制方法的全部步骤，例如，所述处理器执行所述计算机程序时实现下述步骤：

根据用户访问请求获取用户IP地址和被测应用；

根据被测应用确定用户访问窗口区间和测试地址；

根据用户IP地址和测试地址开通防火墙；

根据用户访问窗口区间控制用户进行网络访问。

综上，本发明实施例的计算机程序产品先根据用户访问请求获取用户IP地址和被测应用，再根据被测应用确定用户访问窗口区间和测试地址，根据用户IP地址和测试地址开通防火墙，最后根据用户访问窗口区间控制用户进行网络访问，可以对测试环境访问控制进行精细化管理，规避信息安全风险。

以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施例而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrative logical block)，单元，和步骤可以通过电子硬件、电脑软件，或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability)，上述的各种说明性部件(illustrative components)，单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用，可以使用各种方法实现所述的功能，但这种实现不应被理解为超出本发明实施例保护的范围。

本发明实施例中所描述的各种说明性的逻辑块，或单元，或装置都可以通过通用处理器，数字信号处理器，专用集成电路(ASIC)，现场可编程门阵列或其它可编程逻辑装置，离散门或晶体管逻辑，离散硬件部件，或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器，可选地，该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现，例如数字信号处理器和微处理器，多个微处理器，一个或多个微处理器联合一个数字信号处理器核，或任何其它类似的配置来实现。

本发明实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件模块、或者这两者的结合。软件模块可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地，存储媒介可以与处理器连接，以使得处理器可以从存储媒介中读取信息，并可以向存储媒介存写信息。可选地，存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中，ASIC可以设置于用户终端中。可选地，处理器和存储媒介也可以设置于用户终端中的不同的部件中。

在一个或多个示例性的设计中，本发明实施例所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现，这些功能可以存储与电脑可读的媒介上，或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如，这样的电脑可读媒体可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁性存储装置，或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外，任何连接都可以被适当地定义为电脑可读媒介，例如，如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、DVD、软盘和蓝光光盘，磁盘通常以磁性复制数据，而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。

Claims

1.一种网络访问控制方法，其特征在于，包括：

根据用户访问请求获取用户IP地址和被测应用；

根据所述被测应用确定用户访问窗口区间和测试地址；

根据所述用户IP地址和所述测试地址开通防火墙；

根据所述用户访问窗口区间控制用户进行网络访问；

根据所述被测应用确定用户访问窗口区间包括：

根据所述被测应用确定防火墙开通时间、测试时间和维护时间；

根据所述防火墙开通时间、所述测试时间和所述维护时间确定用户访问窗口区间；

根据所述被测应用确定防火墙开通时间包括：

根据所述被测应用确定防火墙开通初始时间；

获取用户访问请求中的用户对应的测试次数数据；

根据所述测试次数数据与测试次数阈值确定用户类型；

根据所述用户类型和所述防火墙开通初始时间确定所述防火墙开通时间。

2.根据权利要求1所述的网络访问控制方法，其特征在于，所述测试次数阈值包括测试次数活跃阈值和测试次数静默阈值；

所述网络访问控制方法还包括：

根据历史测试次数数据的最大值和平均值确定所述测试次数活跃阈值；

根据历史测试次数数据的最小值和平均值确定所述测试次数静默阈值。

3.根据权利要求1所述的网络访问控制方法，其特征在于，根据所述被测应用确定测试时间包括：

根据所述被测应用确定初始测试时间；

获取所述测试地址对应的服务器资源占用数据；

根据所述服务器资源占用数据和所述初始测试时间确定所述测试时间。

4.根据权利要求1所述的网络访问控制方法，其特征在于，还包括：

根据所述用户IP地址和所述用户类型对应的访问异常阈值确定异常访问数据；

根据所述异常访问数据发送异常访问通知。

5.一种网络访问控制装置，其特征在于，包括：

区间地址确定模块，用于根据所述被测应用确定用户访问窗口区间和测试地址；

防火墙开通模块，用于根据所述用户IP地址和所述测试地址开通防火墙；

网络访问控制模块，用于根据所述用户访问窗口区间控制用户进行网络访问；

区间地址确定模块包括：

用户访问窗口区间单元，用于根据防火墙开通时间、测试时间和维护时间确定用户访问窗口区间；

时间确定单元包括：

6.一种计算机设备，包括存储器、处理器及存储在存储器上并在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至4任一项所述的网络访问控制方法的步骤。

7.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至4任一项所述的网络访问控制方法的步骤。