CN115001870B - 信息安全防护系统、方法及存储介质 - Google Patents
信息安全防护系统、方法及存储介质 Download PDFInfo
- Publication number
- CN115001870B CN115001870B CN202210918801.0A CN202210918801A CN115001870B CN 115001870 B CN115001870 B CN 115001870B CN 202210918801 A CN202210918801 A CN 202210918801A CN 115001870 B CN115001870 B CN 115001870B
- Authority
- CN
- China
- Prior art keywords
- security
- zero
- trust
- zero trust
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种信息安全防护系统、方法及存储介质,涉及车联网安全技术领域。该系统包括:部署于云端资源侧的零信任安全控制中心和零信任安全代理;零信任安全控制中心,用于采用深度学习技术管理安全访问控制策略,并通过零信任安全代理授权的接口将安全访问控制策略下发至零信任安全代理;零信任安全代理与客户端通信连接,用于接收客户端的访问请求,并按照安全访问控制策略对客户端的访问请求执行授权操作或拒绝操作。上述方式提高了数据安全性,能够保障云端资源的安全运行。
Description
技术领域
本申请涉及车联网安全技术领域,尤其涉及一种信息安全防护系统、方法及存储介质。
背景技术
随着车辆开放连接的逐渐增多,相关设备系统间数据交互更为紧密,网络攻击、木马病毒、数据窃取等互联网安全威胁也逐渐延伸至汽车领域。一旦车载系统和关键零部件、车联网平台等遭受网络攻击,可导致车辆被非法控制,进而造成隐私泄露、财产损失甚至人员伤亡,因此,网络安全已经成为车联网产业健康发展的基础和前提。
为了防范安全风险,传统的安全防护措施采用以分区分域、边界防护为原则的护城河式安全建设框架,在一定程度上满足了安全防护的要求。传统的边界防护思路,对于不同安全等级资源的保护,基本是采用分区分域,在不同域之间形成网络边界(NetworkBorder),在网络边界部署防火墙、入侵防御系统(Intrusion Prevention System,IPS)、防毒墙、网站应用级入侵防御系统(Web Application Firewall,WAF)等,对来自边界外部的各种攻击进行防范,以此构建企业网络安全防护体系,这种传统方式可称为边界安全理念。
然而传统的边界安全理念存在以下弊端:由于其默认边界内的业务是安全的,因此存在过度信任的问题;另外,传统的边界安全理念所采用的访问控制策略大多采用静态设置的方式,不具备自适应动态调整的能力。因此现有技术存在因过度信任、静态访问控制导致的数据安全性差的技术问题。
发明内容
本申请提供了一种信息安全防护系统、方法及存储介质,用以解决现有技术中存在的因过度信任、静态访问控制导致的数据安全性差问题。
根据本申请的第一方面,提供了一种信息安全防护系统,包括:部署于资源侧的零信任安全控制中心和零信任安全代理;
所述零信任安全控制中心,用于采用深度学习技术管理安全访问控制策略,并通过所述零信任安全代理授权的接口将所述安全访问控制策略下发至所述零信任安全代理;
所述零信任安全代理与客户端通信连接,用于接收所述客户端的访问请求,并按照所述安全访问控制策略对所述客户端的访问请求执行授权操作或拒绝操作。
根据本申请的第二方面,提供了一种信息安全防护方法,应用于第一方面所述的信息安全防护系统,包括:
零信任安全控制中心采用深度学习技术管理安全访问控制策略,并通过零信任安全代理授权的接口将所述安全访问控制策略下发至所述零信任安全代理;
所述零信任安全代理接收客户端的访问请求,并按照所述安全访问控制策略对所述客户端的访问请求执行授权操作或拒绝操作。
根据本申请的第三方面,提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如上第二方面所述的信息安全防护方法。
本申请提供的一种信息安全防护系统、方法及存储介质,将零信任技术与安全访问控制策略动态管理技术进行了有效结合,构建了客户端与资源侧的安全访问新模式,能够从多方面提高资源的安全性,具体的,通过零信任安全控制中心和零信任安全代理均部署于资源侧的方式可以对所有客户端的访问请求进行全面处理,防止出现过度信任的现象,通过零信任安全控制中心采用深度学习技术管理安全访问控制策略的方式可以识别出新型攻击,自动构建安全访问控制策略,缩小攻击处理的时间,能够最大限度的保障资源的安全运行。
应当理解,本部分所描述的内容并非旨在标识本申请的实施例的关键或重要特征,也不用于限制本申请的范围。本申请的其它特征将通过以下的说明书而变得容易理解。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请实施例涉及的应用场景的示意图;
图2为本申请实施例提供的一种信息安全防护系统的结构示意图;
图3为本申请实施例提供的零信任安全代理执行该安全访问控制策略的流程示意图;
图4为本申请实施例提供的又一种信息安全防护系统的结构示意图;
图5为本申请实施例提供的另一种信息安全防护系统的结构示意图;
图6为本申请实施例提供的一种信息安全防护方法的流程示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。
为了便于理解,首先对本申请实施例的应用场景进行介绍。
图1为本申请实施例涉及的应用场景的示意图。如图1所示,本实施例的应用场景涉及客户端对资源的访问。为了实现网络安全,现有技术采用边界安全理念在不同域之间形成网络边界,网络边界是指内部安全网络和外部非安全网络的分界线。一般来说网络边界上的安全问题主要有下面几个方面:信息泄密、入侵者的攻击、网络病毒、木马入侵、黑客入侵、病毒入侵、网络攻击等。在网络边界保护网络安全所采用的传统的设备主要有如下几种:防火墙、VPN(Virtual Private Network,虚拟专用网络)网关、防DoS(DistributedDenial of Service,分布式拒绝服务)攻击网关、入侵防御网关、反垃圾邮件网关、网闸等。
在传统的边界安全理念中,网络位置决定了信任程度,即边界内部为安全区域、外部为非安全区域。在安全区域边界外的用户默认是不可信的、不安全的,没有较多访问权限,边界外用户想要接入边界内的网络需要通过防火墙、VPN等设备提供的安全机制。安全区域内的用户(例如:系统管理员、系统开发人员等)默认都是安全可信的,在进行业务操作时不再做过多的行为监测与操作审计,因此存在过度信任的问题。
同时,由于传统的设备部署在网络边界上,终端侧和资源测都没有部署安全设备或者软件,因此缺少来自终端侧、资源侧的安全数据,且相互之间缺乏联动,对威胁的安全分析是不够全面的。因此,内部威胁检测和防护能力不足、安全分析覆盖度不全面成为了边界安全理念固有的软肋。甚至很多企业只是非常粗粒度的划分了企业内网和外网,这种风险就更为明显。
随着云计算、5G、边缘计算、车联网等新技术的普及,业务多样化、应用对外开放及商业生态协作等趋势的发展,远程/移动办公成为常态,网络“边界”逐步模糊化带来的新风险,更高级的内外部威胁的出现,也都进一步暴露了传统边界安全理念、静态访问控制的短板。
为了解决上述技术问题中的至少一种,本申请实施例提供了一种信息安全防护系统、方法及存储介质,应用于车联网安全领域,用以解决上述传统边界安全理念、静态访问控制导致的数据安全性低的技术问题。
从整体上来说,为了实现数据的安全访问,本申请实施例在资源侧部署包含零信任安全控制中心和零信任安全代理的信息安全防护系统,由于客户端的每一个访问请求都被零信任安全代理按照安全访问控制策略进行处理,因此本申请可以避免因过度信任导致的数据安全性差的技术问题。在此基础上,由于安全访问控制策略是由零信任安全控制中心基于深度学习技术确定的,因此可以避免因静态访问控制导致的数据安全性差的技术问题。
下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
图2为本申请实施例提供的一种信息安全防护系统的结构示意图。如图2所示,该信息安全防护系统包括:部署于资源侧的零信任安全控制中心和零信任安全代理;
零信任安全控制中心,用于采用深度学习技术管理安全访问控制策略,并通过零信任安全代理授权的接口将安全访问控制策略下发至零信任安全代理;
零信任安全代理与客户端通信连接,用于接收客户端的访问请求,并按照安全访问控制策略对客户端的访问请求执行授权操作或拒绝操作。
在本申请实施例中,上述信息安全防护系统可以称为零信任系统、零信任架构或零信任安全架构。零信任安全控制中心可以简称为控制器,零信任安全代理可以简称为安全网关。安全网关具备可信API代理能力,目的是实现可信安全的访问请求接入,提供身份认证与业务授权的能力,支持单点登录、多因素认证(Multi-Factor Authentication,MFA)能力,能够实现基于客户端的访问请求的动态安全访问控制。客户端可以指具备SPA(Single Packet Authorization,单包授权)能力的企业级的统一客户端,为用户提供统一的办公入口,可以基于隧道和代理两种方式实现。进一步的,零信任安全控制中心与零信任安全代理之间建立控制信道,零信任安全代理与客户端之间建立数据通道。上述资源侧可以指一个,也可以指多个,因此本申请实施例对资源侧的数量不做具体限定。在资源侧为多个时,本申请可以按照存储位置、存储方式对不同的资源侧进行区分,并且每个资源侧均部署有一个对应的信息安全防护系统。
上述深度学习技术用于提供深度信念网络、卷积神经网络、循环神经网络等网络模型,并且本申请对深度学习技术所采用的具体网络模型不做任何限定。安全访问控制策略可以根据网络模型进行更新。该深度学习技术可以动态发现新型的攻击方式,例如:分布式拒绝服务攻击DDOS、中间人攻击、重放攻击等。
上述零信任安全代理具有私有DNS(Domain Name System,域名系统)解析功能。上述客户端包括访问主体和管理终端,无论是访问主体,还是管理终端,均可以指电脑、手机、平板等电子设备。客户端的访问请求包括但不限于:用户身份信息、客户端的网络环境信息、资源的地址信息等。其中,用户身份信息包括但不限于:账号、密码等,上述密码可以在后续中用于实现客户端与资源侧的资源服务器之间的双向认证。本申请实施例对用户身份信息中携带的信息类型、信息内容均不做具体限定。在本申请实施例中,一个访问请求对应一个访问业务,由于每个访问业务具体到系统中对应一个或多个进程,因此本实施例的目的是对此进程及资源进行授权管理。
上述信息安全防护系统在访问请求对应的访问行为是攻击行为时,能够对该攻击行为进行有效防护,还能够通过客户端与资源服务器之间进行双向认证的方式实现对访问请求的细粒度权限访问控制,例如,默认客户端发起的访问请求对应的进程用于访问资源侧的某个文件,进程和文件之间进行双向认证,只有双方均认证通过,客户端才能对该文件进行访问。
一个可能的实现方式中,零信任安全控制中心、零信任安全代理、资源侧的资源服务器和客户端用于构成软件定义边界架构,软件定义边界架构内的数据安全传输协议均采用国密算法。
在本实施例中,软件定义边界架构或称为车云协同计算平台,并且该车云协同计算平台还可以与安全态势感知平台进行通信,以通过安全数据联动的方式全方位监测与访问请求对应业务的安全状态,有效提升车云协同计算平台的网络安全风险评估能力。软件定义边界架构的设计思路是基于SDP(Software Defined Perimeter,软件定义边界)技术为框架,以身份为中心,以业务、数据防护为目标,通过安全访问控制策略实现持续验证、动态授权和业务访问,进而实现资源的安全访问。上述身份用于实现身份识别与访问管理(Identity and Access Management,IAM)。再者,信息安全防护系统基于零信任的设计理念以及安全访问控制策略的动态调整方式,为识别攻击行为培育免疫能力,使车云协同计算平台具有“主动免疫”的能力。
针对零信任安全控制中心、零信任安全代理、访问主体和资源服务器之间的交互,本申请实施例采用基于国密算法的数据安全传输协议,由于国密算法与现有的国际通用算法相比,具有安全可控的优势,因此本实施例中基于国密算法的数据安全传输协议能够保证数据传输过程更加安全可靠。也就是说,为了实现最小化网络攻击面,本申请实施例提供国密方式,该国密方式采用国密算法,可以实现传输加密和身份认证保护,使用户享受安全、极致的访问体验,同时也提供API方式供第三方集成,灵活部署。
一个可能的实现方式中,客户端的访问请求包括以下至少之一:用户身份信息和客户端的网络环境信息;安全访问控制策略包括以下至少之一:客户端与资源侧的资源服务器之间的双向认证策略、零信任动态授权策略和业务访问策略;
其中,零信任安全代理,还用于将用户身份信息和客户端的网络环境信息转发至零信任安全控制中心;
零信任安全控制中心,还用于验证用户身份信息,以及基于客户端的网络环境信息的信任评估结果对双向认证策略、零信任动态授权策略和业务访问策略中的至少一种进行调整。
在对安全访问控制策略进行调整之前,零信任安全控制中心用于实现信任评估的功能,信任评估是指:对与访问请求对应的访问行为进行信任度的综合评分,其目的是得到信任评估结果,进而将信任评估结果作为动态调整安全访问控制策略的一个重要依据。也就是说,本申请实施例中的安全访问控制策略可以基于信任评估进行动态调整,用于实现访问权限的动态控制,是一种应对新型IT环境下已知和未知威胁的“内生安全”机制,具有更好的弹性和自适应性。
上述双向认证策略可以实现资源对客户端的身份鉴别,以及客户端对资源服务器的身份鉴别,零信任动态授权策略简称为授权策略或授权决策,可以对合法客户端的权限进行授权,业务访问策略可以实现对合法客户端的访问请求进行授权。进一步的,上述合法客户端是根据安全访问控制策略对客户端的访问请求进行判断得到的结果。需要注意的是,安全访问控制策略还可以包括除双向认证策略、零信任动态授权策略和业务访问策略以外的其他策略,因此本申请实施例对安全访问控制策略的具体内容不做具体限定。
一个可能的实现方式中,零信任安全控制中心还用于对零信任安全代理的执行过程进行监测,生成审计日志。进一步的,本申请实施例可以通过对审计日志进行数据挖掘的方式实现历史事件关联分析。此外,零信任安全控制中心还用于向客户端提供设备安全管理、该客户端已有认证信息的功能。
一个可能的实现方式中,零信任安全控制中心提供可视化服务,包括但不限于:账号可视化、用户行为可视化、用户行为全流程可视审计、安全访问控制策略可视化等。
一个可能的实现方式中,客户端上设有安全模块,该安全模块用于提供统一身份认证、授权管理基础设施PKI、证书授权中心CA等服务,并将服务过程中产生的安全数据发送至零信任安全代理。
结合上述软件定义边界架构的设计思路以及安全访问控制策略的具体内容,可以设计零信任安全代理执行该安全访问控制策略的流程,如图3所示:
(1)接收客户端发送的访问请求,该访问请求中携带账号、密码等信息,该账号、密码等信息用于实现身份实体的确定。身份实体为身份管理提供数据支撑,身份管理可以分为:账号管理、人员管理和终端管理。该身份管理的目的是为客户端与资源侧的资源服务器之间的双向认证提供数据支撑。
(2)持续验证过程可以采用SPA机制,包括身份鉴别、终端环境感知、网络准入等功能流程,其中,上述终端环境感知可以理解为客户端所处网络环境的感知。由于客户端和资源服务器之间都需要验证对方的身份,因此身份鉴别可以采用双向认证策略。为了实现对身份的持续鉴别,以及对终端环境的持续感知,本申请实施例可以根据实际需要增加对应的感知设备,例如摄像头、雷达等。
(3)动态授权过程包括用户行为分析、信任度的综合评分、历史事件关联分析等功能流程,其中,用户行为分析用于在访问请求为异常访问请求的情况下,识别与异常访问请求对应的异常访问行为。
(4)业务访问过程包括业务安全防护、细粒度管控、操作审计等功能流程。业务安全防护是对访问请求对应的访问业务进行安全防护,细粒度管控或称为细粒度权限访问控制,双向认证用于实现细粒度管控,操作审计是指在对软件定义边界内的所有动作都做审计,包括具体执行的动作、执行该动作后产生的数据等。
(5)实现客户端对资源的访问,并在成功访问后进行业务管理、数据管理和主机管理。
综上,本实施例中的零信任系统设计以“先认证后授权访问”、“以身份为中心”的基本原则,利用历史事件关联分析、访问权限的动态控制等手段,并结合基于零信任安全代理的私有DNS解析、单包授权机制、双向认证等核心技术,实现细粒度权限访问控制、单次访问动态评级授权、业务安全发布、用户行为全流程可视审计,从而构建端到端的安全访问新模式。应理解,上述业务安全发布是指在零信任系统下的业务可以正常运转,其实现的方式包括:客户端与资源服务器之间的双向认证,基于国密算法进行的数据安全传输等方式。上述端到端可以理解为:客户端到资源服务器,客户端到零信任安全控制中心,或资源服务器到零信任安全控制中心。
一个可能的实现方式中,客户端,用于在零信任安全控制中心验证用户身份信息之后,为零信任安全代理建立加密的通道。应理解,加密的通道可以进一步提高本申请实施例的安全性。
一个可能的实现方式中,零信任安全控制中心,还用于对异常的访问请求进行告警,或控制零信任安全代理关闭接口,接口包括但不限于应用程序编程API接口。本申请实施例在发生攻击行为之后,通过上述告警、关闭接口的方式均可以有效防止该攻击行为的入侵。
通过上述描述可知,本申请实施例具有以下优势:(1)本实施例使用深度学习技术可以动态发现新型的攻击方式,自动构建安全访问控制策略,缩小攻击处理的时间,最大限度的保障系统资源的安全运行;(2)现有技术大多采用国际通用算法,无法做到安全可控,且安全访问控制策略大都采用静态设置的方式,不具备自适应动态调整的能力,而本实施例的优势是在数据安全存储、身份认证、安全传输的过程中均增加了国密算法的应用,不仅扩展了算法支持的能力,同时也提高了算法的安全自主可控能力。
如图4所示,图4为本申请实施例提供的又一种信息安全防护系统的结构示意图。在图4中,当资源侧的数量为N(N≥2)个时,在管理终端侧部署一级零信任系统,在每个资源侧均对应部署二级零信任系统;其中,一级零信任系统的级别高于二级零信任系统,每个一级零信任系统均包含一级零信任安全控制中心和一级零信任安全代理,且每个二级零信任系统均包含二级零信任安全控制中心和二级零信任安全代理;
一级零信任安全控制中心,用于管理安全访问控制策略,并将安全访问控制策略下发至一级零信任安全代理;
一级零信任安全代理与管理终端通信连接,用于接收管理终端的访问请求,并按照安全访问控制策略对管理终端的访问请求执行授权操作或拒绝操作。
在本申请实施例中,在一级零信任系统的级别高于二级零信任系统的基础上,一级零信任安全控制中心的级别可以高于二级零信任安全控制中心,不同级别的零信任安全控制中心可以设有不同的操作权限。进一步的,一级零信任安全代理针对管理终端的访问请求执行安全访问控制策略,而二级零信任安全代理针对访问主体的访问请求执行安全访问控制策略,因此不同级别的零信任安全代理的处理对象不同。本申请在多资源的情况下对信息安全防护系统进行了详细的部署,多级安全管理的方式可以利用不同级别的零信任安全代理实现对不同访问主体的访问请求的有效、快速地处理。
一个可能的实现方式中,二级零信任安全控制中心,还用于对二级零信任安全代理的执行过程进行监测,生成审计日志,并将审计日志上传至一级零信任安全控制中心;
一级零信任安全控制中心,还用于基于审计日志,采用深度学习技术对安全访问控制策略进行调整。
本申请实施例中的审计日志是对安全访问控制策略进行调整时需要考虑的一个重要因素,并且本申请通过动态调整的安全访问控制策略对访问请求进行安全访问控制,可以动态发现新型攻击方式,缩小攻击处理的时间。
一个可能的实现方式中,一级零信任安全控制中心,还用于采用微隔离技术对管理终端的访问请求进行业务分析。
应理解,上述微隔离技术是随着资源侧的扩大和升级,网络安全的关注重心逐渐发生迁移,导致对其核心的能力要求聚焦在东西向流量的隔离上而形成的概念。微隔离的主要作用就是在云环境、虚拟技术的广泛应用之下,能有效的解决传统资源侧不能解决的东西向流量隔离的问题,使网络安全更具粒度化。
通过上述描述可知,多级安全管理的方式可以提高信息安全防护系统部署的合理性和全面性。
图5提供了一个具体的实施例,其为访问云资源的典型应用场景。如图5所示,N=3,3个资源侧分别为公有云、私有云和数据中心,本申请实施例为了实现多云管控,在每个资源侧分别搭建了二级的零信任系统,每个二级的零信任系统中的二级零信任安全控制中心、二级零信任安全代理可以分别简称为控制中心、应用网关。当同一资源侧的控制中心的数量为多个时,多个控制中心能够构成控制中心集群;同理,当同一资源侧的应用网关的数量为多个时,多个应用网关能够构成应用网关集群。而与管理终端通信连接的是一级的零信任系统,一级零信任系统中的控制中心用于分配安全访问控制策略。另外,与公有云对应的二级零信任系统可以设置有控制中心集群和应用网关集群。与私有云对应的二级零信任系统设置有控制中心和应用网关,与数据中心对应的二级零信任系统也设置有控制中心和应用网关。一级零信任系统与二级零信任系统中每一级的应用网关均用于配置服务端API调用接口,之后一级零信任系统中的控制中心将安全访问控制策略下发到二级零信任系统中的应用网关,在每个资源侧,二级零信任系统中的控制中心与应用网关之间的通信通过应用网关授权的API接口进行调用,客户端发送的访问请求根据安全访问控制策略进行动态检测,当发现异常时,立即触发一级零信任系统中的控制中心或二级零信任系统中的控制中心进行告警,或超出告警阀值时触发二级零信任系统中的应用网关直接关停服务端API调用接口,能够对客户端的恶意攻击进行有效防范。
通过上述描述可知,本申请实施例具有以下优势:当进行多云管控时,可以设置一级零信任安全控制中心与二级零信任安全控制中心,一级零信任控制中心便于管理员对安全访问控制策略统一配置与下发管控。多云管控依托安全态势感知平台,还可以全方位监测东西向与访问请求对应业务的安全状态。进一步的,本实施例可以采用微隔离技术实现云上东西向的安全防护,以解决云环境下服务端与服务端之间的安全访问。由于本实施例在管理终端和资源侧均部署有零信任系统,因此可以实现管理终端、第一零信任安全控制中心、第一零信任安全代理、第二零信任安全代理、资源侧的资源服务器与客户端之间的联动,做到全流程加密,防止数据被窃取篡改。
图6为本申请实施例提供的一种信息安全防护方法的流程示意图。如图6所示,该信息安全防护方法,应用于上述信息安全防护系统,包括S601~S602:
S601:零信任安全控制中心采用深度学习技术管理安全访问控制策略,并通过零信任安全代理授权的接口将安全访问控制策略下发至零信任安全代理;
S602:零信任安全代理接收客户端的访问请求,并按照安全访问控制策略对客户端的访问请求执行授权操作或拒绝操作。
基于上述两个步骤,可以使客户端的每一个访问请求都被零信任安全代理按照安全访问控制策略进行处理,因此本申请可以避免因过度信任导致的数据安全性差的技术问题。在此基础上,由于安全访问控制策略是由零信任安全控制中心基于深度学习技术确定的,因此可以避免因静态访问控制导致的数据安全性差的技术问题。
本实施例提供的信息安全防护方法,其实现原理和技术效果与上述信息安全防护系统类似,此处不做赘述。
本申请的技术方案中,所涉及的用户个人信息的收集、存储、使用、加工、传输、提供和公开等处理,均符合相关法律法规的规定,且不违背公序良俗。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机指令,当处理器执行计算机指令时,实现上述实施例中方法中的各个步骤。
本申请以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本申请的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或电子设备上执行。
在本申请的上下文中,计算机可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。计算机可读介质可以是机器可读信号介质或机器可读储存介质。计算机可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据电子设备)、或者包括中间件部件的计算系统(例如,应用电子设备)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和电子设备。客户端和电子设备一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-电子设备关系的计算机程序来产生客户端和电子设备的关系。电子设备可以是云电子设备,又称为云计算电子设备或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务("Virtual Private Server",或简称"VPS")中,存在的管理难度大,业务扩展性弱的缺陷。电子设备也可以为分布式系统的电子设备,或者是结合了区块链的电子设备。应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本申请中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本申请公开的技术方案所期望的结果,本文在此不进行限制。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本申请公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本申请公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本申请保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本申请的精神和原则之内所作的修改、等同替换和改进等,均应包含在本申请保护范围之内。
Claims (8)
1.一种信息安全防护系统,其特征在于,包括:部署于资源侧的零信任安全控制中心和零信任安全代理;
所述零信任安全控制中心,用于采用深度学习技术管理安全访问控制策略,并通过所述零信任安全代理授权的接口将所述安全访问控制策略下发至所述零信任安全代理;
所述零信任安全代理与客户端通信连接,用于接收所述客户端的访问请求,并按照所述安全访问控制策略对所述客户端的访问请求执行授权操作或拒绝操作;
当所述资源侧为多个时,在管理终端侧部署一级零信任系统,在每个资源侧均对应部署二级零信任系统;其中,所述一级零信任系统的级别高于所述二级零信任系统,每个所述一级零信任系统均包含一级零信任安全控制中心和一级零信任安全代理,且每个所述二级零信任系统均包含二级零信任安全控制中心和二级零信任安全代理;
所述一级零信任安全控制中心,用于管理所述安全访问控制策略,并将所述安全访问控制策略下发至所述一级零信任安全代理;
所述一级零信任安全代理与所述管理终端通信连接,用于接收所述管理终端的访问请求,并按照所述安全访问控制策略对所述管理终端的访问请求执行授权操作或拒绝操作;
所述二级零信任安全控制中心,还用于对所述二级零信任安全代理的执行过程进行监测,生成审计日志,并将所述审计日志上传至所述一级零信任安全控制中心;
所述一级零信任安全控制中心,还用于基于所述审计日志,采用深度学习技术对所述安全访问控制策略进行调整。
2.根据权利要求1所述的信息安全防护系统,其特征在于,
所述一级零信任安全控制中心,还用于采用微隔离技术对所述管理终端的访问请求进行业务分析。
3.根据权利要求1所述的信息安全防护系统,其特征在于,所述零信任安全控制中心、所述零信任安全代理、所述资源侧的资源服务器和客户端用于构成软件定义边界架构,所述软件定义边界架构内的数据安全传输协议均采用国密算法。
4.根据权利要求1所述的信息安全防护系统,其特征在于,所述客户端的访问请求包括以下至少之一:用户身份信息和客户端的网络环境信息;所述安全访问控制策略包括以下至少之一:所述客户端与所述资源侧的资源服务器之间的双向认证策略、零信任动态授权策略和业务访问策略;
其中,所述零信任安全代理,还用于将所述用户身份信息和所述客户端的网络环境信息转发至所述零信任安全控制中心;
所述零信任安全控制中心,还用于验证所述用户身份信息,以及基于所述客户端的网络环境信息的信任评估结果对所述双向认证策略、所述零信任动态授权策略和所述业务访问策略中的至少一种进行调整。
5.根据权利要求4所述的信息安全防护系统,其特征在于,
所述客户端,用于在所述零信任安全控制中心验证所述用户身份信息之后,为所述零信任安全代理建立加密的通道。
6.根据权利要求1所述的信息安全防护系统,其特征在于,
所述零信任安全控制中心,还用于对异常的访问请求进行告警,或控制所述零信任安全代理关闭所述接口,所述接口包括应用程序编程API接口。
7.一种信息安全防护方法,其特征在于,应用于如权利要求1~6任一项所述的信息安全防护系统,包括:
零信任安全控制中心采用深度学习技术管理安全访问控制策略,并通过零信任安全代理授权的接口将所述安全访问控制策略下发至所述零信任安全代理;
所述零信任安全代理接收客户端的访问请求,并按照所述安全访问控制策略对所述客户端的访问请求执行授权操作或拒绝操作。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求7所述的信息安全防护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210918801.0A CN115001870B (zh) | 2022-08-02 | 2022-08-02 | 信息安全防护系统、方法及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210918801.0A CN115001870B (zh) | 2022-08-02 | 2022-08-02 | 信息安全防护系统、方法及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115001870A CN115001870A (zh) | 2022-09-02 |
| CN115001870B true CN115001870B (zh) | 2022-11-01 |
Family
ID=83022483
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210918801.0A Active CN115001870B (zh) | 2022-08-02 | 2022-08-02 | 信息安全防护系统、方法及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115001870B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116015804B (zh) * | 2022-12-15 | 2024-05-28 | 四川启睿克科技有限公司 | 一种可信连接器、基于零信任的工业流量管控系统及方法 |
| CN116192497B (zh) * | 2023-02-20 | 2023-08-04 | 大连理工大学 | 一种基于零信任体系的网络准入和用户认证的安全交互方法 |
| CN115996381B (zh) * | 2023-03-22 | 2023-06-23 | 广州赛讯信息技术有限公司 | 一种无线专网的网络安全管控方法、系统、装置及介质 |
| CN116319024A (zh) * | 2023-03-23 | 2023-06-23 | 北京神州泰岳软件股份有限公司 | 零信任系统的访问控制方法、装置及零信任系统 |
| CN116582374B (zh) * | 2023-07-14 | 2023-09-26 | 湖北省楚天云有限公司 | 一种基于流量识别的零信任动态访问控制方法 |
| CN117201092A (zh) * | 2023-08-29 | 2023-12-08 | 江南信安(北京)科技有限公司 | 一种内网dns安全防护方法、装置、存储介质及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112765639A (zh) * | 2021-01-27 | 2021-05-07 | 武汉大学 | 基于零信任访问策略的安全微服务架构及实现方法 |
| CN113472820A (zh) * | 2021-09-06 | 2021-10-01 | 中铁信弘远(北京)软件科技有限责任公司 | 一种基于零信任模型的云资源安全隔离控制方法及系统 |
| US11240242B1 (en) * | 2021-07-06 | 2022-02-01 | Revbits, LLC | System and method for providing a zero trust network |
| CN114465807A (zh) * | 2022-02-24 | 2022-05-10 | 重庆邮电大学 | 一种基于机器学习的零信任api网关动态信任评估与访问控制方法及系统 |
| CN114598540A (zh) * | 2022-03-18 | 2022-06-07 | 北京启明星辰信息安全技术有限公司 | 访问控制系统、方法、装置及存储介质 |
-
2022
- 2022-08-02 CN CN202210918801.0A patent/CN115001870B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112765639A (zh) * | 2021-01-27 | 2021-05-07 | 武汉大学 | 基于零信任访问策略的安全微服务架构及实现方法 |
| US11240242B1 (en) * | 2021-07-06 | 2022-02-01 | Revbits, LLC | System and method for providing a zero trust network |
| CN113472820A (zh) * | 2021-09-06 | 2021-10-01 | 中铁信弘远(北京)软件科技有限责任公司 | 一种基于零信任模型的云资源安全隔离控制方法及系统 |
| CN114465807A (zh) * | 2022-02-24 | 2022-05-10 | 重庆邮电大学 | 一种基于机器学习的零信任api网关动态信任评估与访问控制方法及系统 |
| CN114598540A (zh) * | 2022-03-18 | 2022-06-07 | 北京启明星辰信息安全技术有限公司 | 访问控制系统、方法、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115001870A (zh) | 2022-09-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN115001870B (zh) | 信息安全防护系统、方法及存储介质 | |
| CN113507462B (zh) | 零信任的数据监测预警方法、装置、系统和存储介质 | |
| JP2020508519A (ja) | コンピュータセキュリティリスクのコンテキストベースの軽減のためのシステム及び方法 | |
| US11197160B2 (en) | System and method for rogue access point detection | |
| US11924643B2 (en) | Point-controlled rogue AP avoidance + rogue AP detection using synchronized security | |
| US11210387B2 (en) | Detecting and preventing unauthorized credential change | |
| CN114553540B (zh) | 基于零信任的物联网系统、数据访问方法、装置及介质 | |
| WO2023159994A1 (zh) | 一种运维处理方法和终端设备 | |
| EP3687139B1 (en) | Secure provisioning and validation of access tokens in network environments | |
| US20210160217A1 (en) | Secure Controlled Access To Protected Resources | |
| Rani et al. | Cyber security techniques, architectures, and design | |
| US11805418B2 (en) | System and method for location-based endpoint security | |
| Kim et al. | OTP-Based Software-Defined Cloud Architecture for Secure Dynamic Routing. | |
| Koilpillai | Software defined perimeter (SDP) a primer for cios | |
| Khandelwal et al. | Frontline techniques to prevent web application vulnerability | |
| KR20150114921A (ko) | 기업내 보안망 제공시스템 및 그 방법 | |
| Choi | IoT (Internet of Things) based Solution Trend Identification and Analysis Research | |
| KR20150041613A (ko) | 기업내 보안망 제공시스템 및 그 방법 | |
| CN114866306B (zh) | 一种安全防护方法、装置和存储介质 | |
| Karamagi | Comptia Security+ Practice Exams | |
| US20210218747A1 (en) | System and method for computer network communication | |
| Damodharan et al. | The Performance Analysis of Network Security Management Model in High Speed Computer Networks | |
| Mohseni | Network Security for Small Businesses | |
| Kiran et al. | Security Threats and Measures to Overcome in Superior Cloud | |
| Gupta et al. | TO IMPROVE THE CYBER SECURITY BY USING SOFTWARE AND HARDWARE DEVICES |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |