CN115065548B - 一种增强型网络安全接入区数据管控系统及方法 - Google Patents
一种增强型网络安全接入区数据管控系统及方法 Download PDFInfo
- Publication number
- CN115065548B CN115065548B CN202210849007.5A CN202210849007A CN115065548B CN 115065548 B CN115065548 B CN 115065548B CN 202210849007 A CN202210849007 A CN 202210849007A CN 115065548 B CN115065548 B CN 115065548B
- Authority
- CN
- China
- Prior art keywords
- access area
- firewall
- service
- server
- intranet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 20
- 238000013523 data management Methods 0.000 title claims abstract description 17
- 230000002155 anti-virotic effect Effects 0.000 claims abstract description 31
- 238000002955 isolation Methods 0.000 claims abstract description 29
- 230000000903 blocking effect Effects 0.000 claims abstract description 10
- 241000700605 Viruses Species 0.000 claims description 9
- 230000002708 enhancing effect Effects 0.000 claims description 4
- 230000002085 persistent effect Effects 0.000 claims description 3
- 238000012795 verification Methods 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 abstract description 9
- 238000012550 audit Methods 0.000 abstract description 5
- 238000013507 mapping Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种增强型网络安全接入区数据管控系统及方法,接入区系统包括:入口防火墙、出口防火墙、统一安全认证系统、防病毒服务器、补丁服务器及业务前置系统;通过入口防火墙阻断接入区内发起的所有外联请求;通过出口防火墙实现内部业务系统之间的隔离;通过统一安全认证系统,实现对外部访问的管控;通过防病毒服务器、补丁服务器实现接入区主机安全;通过业务前置系统实现了访问者Ci与内网业务系统的隔离。本发明解决了跨安全区普遍存在的安全防护与传输性能难以兼顾、数据管控措施不足和流量混杂难以监测审计的问题。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种增强型网络安全接入区数据管控系统及方法。
背景技术
为了确保不同安全等级区域之间的数据通信安全,需要部署专用的网络区域边界防护设备。根据接入网络的不同,目前普遍采用以下方案:
1.基于专用通信网络的系统,在高安全等级区域外设定专网前置机。
2.基于公用通信网络的系统,在高安全等级区域前增设安全接入区。在安全接入区中部署公网前置机,公网前置机与高安全等级业务系统之间部署正、反向安全隔离装置进行隔离。
实现方式1基于专用网络,遭受攻击的可能性较低,所以需要重点解决方式2中存在的安全隐患。
针对方式2中的安全接入区,业界的主流解决方案是基于物理隔离装置进行隔离。物理隔离装置是基于“双机+隔离岛”原理的网络安全专业设备,能够实现TCP连接的阻断、协议隔离、信息流访问控制和内容过滤,隔离强度接近物理隔离。隔离装置由于实现机理所限,数据传输性能较低,无法满足大量数据传输的现实需要;其中反向隔离装置仅能支持指定格式的文件传输,直接影响业务系统之间的正常数据传输。特别是随着工业互联网、5G等新技术的普及应用,IT与OT网络进一步融合,越来越多的业务数据需要在不同安全等级区域间进行跨区传输,物理隔离装置变成了安全接入区的性能瓶颈。同时,所有的内、外部业务系统流量均依赖隔离装置,开展流量监测、审计难度大。
发明内容
针对现有安全接入区依赖物理隔离装置导致的性能瓶颈、传输数据类型受限、流量审计困难等问题,本发明提出了一种增强型网络安全接入区系统及其数据管控方法。解决了跨安全区数据传输效率和安全不能兼顾、数据管控措施不足、流量混杂难以监测、审计等突出问题。
本发明目的是通过下述技术方案来实现的。
本发明一方面,提供了一种增强网络安全接入区的数据管控系统,包括:
位于外网和内网之间的网络安全接入区,网络安全接入区与外网之间部署有入口防火墙Fin,与内网之间部署有出口防火墙Fout;
安全接入区内部署有业务前端系统{Sg1’,...Sgi’...,Sgn’}、统一安全认证系统SA、补丁服务器Sp和防病毒服务器Sv;
入口防火墙Fin、出口防火墙Fout与统一安全认证系统SA组合,实现对访问者Ci的增强访问控制;
外网部署有外网补丁服务器Sp1和外网防病毒服务器Sv1;
内网部署有内网补丁服务器Sp2和内网防病毒服务器Sv2,以及与安全接入区内部署的业务前端系统{Sg1’,...Sgi’...,Sgn’}一一对应的内网业务系统{Sg1,...Sgi...,Sgn};用于访问者Ci与内网业务系统Sgi的有效隔离;
外网与内网之间同时部署反向隔离装置。
作为优选,入口防火墙Fin和出口防火墙Fout附带病毒防护、IPS和URL过滤功能,分别实现对安全接入区接入访问控制和对内网的访问控制。
作为优选,按照业务功能关联性对内网设备进行分组,将属于内网业务系统Sgi的设备归入对应的设备组Vgi;每个设备组Vgi接入出口防火墙Fout指定的端口Pi;在出口防火墙Fout的端口Pi配置安全策略Ai,实现对Sgi的精细访问控制。
作为优选,入口防火墙Fin和出口防火墙Fout要求异构,入口防火墙Fin和出口防火墙Fout必须选择不同厂家的产品。
作为优选,内网业务系统与业务前端系统的{Sgi、Sgi’}为唯一业务匹配元组,访问者Ci访问业务前端系统Sgi’,Sgi’向内网业务系统Sgi转发访问者Ci的相关业务请求,Sgi根据Sgi’的请求回送相关业务数据,再由Sgi’将结果数据返回给访问者Ci。
作为优选,业务前端系统Sgi’系统本地不保存敏感数据文件,无持久化数据缓存,不部署数据库。
作为优选,在安全接入区内部署的统一安全认证系统SA与业务前端系统Sgi’统一进行集成,只有通过统一安全认证系统SA认证的访问者Ci才被允许后续的访问操作,否则被禁止;SA详细记录访问者Ci相关权限验证记录。
本发明另一方面,提供了一种所述系统的增强网络安全接入区的数据管控方法,包括:
步骤一,通过入口防火墙Fin对内网、安全接入区内的所有主动外联进行阻断;
步骤二,对访问者Ci增强访问控制;
步骤三,补丁服务器Sp和防病毒服务器Sv升级。
作为优选,对访问者Ci增强访问控制,包括如下步骤:
S21,入口防火墙Fin判定访问者Ci是否满足访问控制策略要求,如果满足,继续下一步;否则访问被拒绝,流程结束;
S22,统一安全认证系统SA判定访问者Ci是否满足相应的权限要求,如果满足,继续下一步;否则访问被拒绝,流程结束;统一安全认证系统SA记录访问者Ci的访问请求;
S23,业务前端系统Sgi’判定访问者Ci是否满足Sgi’中的用户权限要求,如果满足,继续下一步;否则访问被拒绝,流程结束;
S24,业务前端系统Sgi’向内网业务系统Sgi发送业务请求,Sgi根据业务需求返回相关数据给Sgi’;
S25,业务前端系统Sgi’返回业务数据给访问者Ci,访问流程结束。
作为优选,补丁服务器Sp和防病毒服务器Sv升级,包括以下步骤:
S31,外网补丁服务器Sp1和外网防病毒服务器Sv1获取升级文件包,将相关文件通过反向隔离装置传至内网;
S32,内网补丁服务器Sp2和内网防病毒服务器Sv2接收升级文件包,完成升级;
S33,安全接入区的补丁服务器Sp和防病毒服务器Sv从内网服务器获取升级文件包,完成升级。
本发明由于采取以上技术方案,其具有以下有益效果:
1.本发明基于安全接入区出入口部署的防火墙Fin、Fout实现了通过安全接入区内数据流向的精准管控。Fin禁止了内部发起的主动外联,Fout基于多个物理端口实现了内网业务系统间的流量隔离。易于事前实时监测、事中调查取证及事后恢复处置。
2.本发明基于安全接入区的Fin、Fout与SA的组合,实现了对访问者Ci的增强访问控制。围绕统一安全认证系统SA,便于实现集中的访问控制、审计,便于开展用户行为分析、访问行为画像等。
3.本发明基于在安全接入区内部署内网业务系统Sgi的业务前端系统Sgi’,实现了外网访问者Ci与内网业务系统Sgi的有效隔离,确保攻击者即使进入安全接入区获得Sgi’系统的权限,也无法直接获取敏感数据,提升了核心数据的安全性。
4.使用异构防火墙、认证系统及安全设备的组合代替物理隔离装置,在保证安全性的前提下,提升了系统的吞吐量,更好得满足了业务系统的带宽要求;与反向隔离装置配合使用,解决了安全接入区内补丁服务器、病毒服务器的升级问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的不当限定,在附图中:
图1为安全接入区系统结构图;
图2为基于安全接入区的数据访问流程;
图3为基于安全接入区的数据访问流向图;
图4为安全接入区内功能服务器升级流程;
图5为接入区内功能服务器升级流向图。
具体实施方式
下面将结合附图以及具体实施例来详细说明本发明,在此本发明的示意性实施例以及说明用来解释本发明,但并不作为对本发明的限定。
如图1所示,本发明实施例提供一种增强型网络安全接入区系统的框架图,本发明系统的结构包括:
部署于外网和内网之间的网络安全接入区,网络安全接入区与外网之间部署有入口防火墙Fin,与内网之间部署有出口防火墙Fout。
其中,安全接入区与外网之间入口部署入口防火墙Fin,Fin附带病毒防护、IPS和URL过滤功能,实现对内网、安全接入区的接入访问控制。
安全接入区与内网之间出口部署出口防火墙Fout附带病毒防护、IPS和URL过滤功能,实现对内网的访问控制。
入口防火墙Fin和出口防火墙Fout要求异构,即Fin和Fout必须选择不同厂家的产品,以降低针对某一类安全产品0Day漏洞攻击的风险。
外网部署有外网补丁服务器Sp1和外网防病毒服务器Sv1。
内网部署有内网补丁服务器Sp2和内网防病毒服务器Sv2,以及内网业务系统{Sg1,...Sgi...,Sgn}。
在安全接入区内部署的业务前端系统{Sg1’,...Sgi’...,Sgn’}、统一安全认证系统SA、补丁服务器Sp和防病毒服务器Sv。
在安全接入区内部署的业务前端系统{Sg1’,...Sgi’...,Sgn’}(i从1~n,代表n个业务系统)与内网业务系统{Sg1,...Sgi...,Sgn}(i从1~n,代表n个业务系统)一一对应。即{Sgi、Sgi’}为唯一业务匹配元组,Sgi’为Sgi业务系统的前端系统。访问者Ci访问的是安全接入区的业务前端系统Sgi’,Sgi’接收Ci的请求后,向内网业务系统Sgi转发Ci的相关业务请求,Sgi根据Sgi’的请求回送相关业务数据,再由Sgi’将结果数据返回给Ci。基于Sgi’实现了内网业务系统Sgi对Ci透明。同时为了保证数据安全,Sgi’系统本地不保存敏感数据文件、无持久化数据缓存、不部署数据库。
在安全接入区内部署的统一安全认证系统SA,实现对访问用户Ci的集中权限管理。业务前端系统Sgi’均与统一安全认证系统SA进行集成,即外部客户端Ci的请求先需要通过SA的安全认证,只有通过SA认证的Ci才被允许后续的访问操作,否则被禁止。同时SA详细记录访问用户Ci相关权限验证记录。
在安全接入区内部署的补丁服务器Sp,承担安全接入区内主机的操作系统、中间件、基础软件等补丁管理、升级职能。
在安全接入区内部署的防病毒服务器Sv,承担安全接入区内主机病毒库升级职能。确保安全接入区内的相关主机及时完成系统及软件补丁升级、病毒特征库升级。
按照业务功能关联性对内网设备进行分组,将属于内网业务系统Sgi的设备归入对应的设备组Vgi。每个设备组Vgi接入Fout指定的端口Pi。根据业务系统Sgi的特性,在Fout的Pi端口配置相应的安全策略Ai,实现对Sgi的精细访问控制。将不同业务系统接入不同的防火墙物理端口,实现了内网业务系统{Sg1,...Sgi...,Sgn}间的流量隔离。
如图2所示,示出了本发明实施例提供的一种增强型安全接入区数据管控方法的流程图。图2的方法可以通过图1的网络安全系统执行。
步骤一,通过入口防火墙Fin对内网、安全接入区内的所有主动外联进行阻断。
勒索病毒、木马等大多基于反弹Shell机制,被感染或被控制的主机需要主动发起对外连接请求,连接外部的C&C服务器完成包括收集系统信息、上传敏感文件、窃取帐号信息等恶意行为,最终实现C&C服务器对内部网络的控制。在入口防火墙Fin设置策略实现对所有外联行为的封禁,阻断由内部发起的主动外联行为。
步骤二,实现对访问者Ci的增强访问控制,包括如下步骤:
S21,Fin判定访问者Ci是否满足相应的访问控制策略要求。如果满足,继续下一步;否则访问被拒绝,流程结束。
S22,SA判定访问者Ci是否满足相应的权限要求。如果满足,继续下一步;否则访问被拒绝,流程结束。不论是否成功,SA记录Ci的访问请求。
S23,业务前端系统Sgi’判定访问者Ci是否满足Sgi’中的用户权限要求。如果满足,继续下一步;否则访问被拒绝,流程结束。
S24,业务前端系统Sgi’向内网业务系统Sgi发送业务请求,Sgi根据业务需求返回相关数据给Sgi’。
S25,业务前端系统Sgi’返回业务数据给访问者Ci,本次访问结束。
如图3所示,是基于一种增强型安全接入区的数据访问流向图。
数据依次从入口防火墙到统一认证系统,到统一认证系统,再到业务系统前端,在通过出口防火墙,再到内网业务系统。
参见图4,是安全接入区内功能服务器升级流程图。
在接入区入口防火墙Fin封禁了所有的内部设备、系统发起外联访问后,接入区内补丁服务器和防病毒服务器无法直接连接外网升级,对于接入区内此类少量、较低频次的数据传输,基于单向隔离装置完成。
具体包括如下步骤:
S31,外网的补丁服务器Sp1、防病毒服务器Sv1获取升级文件包,将相关文件通过反向隔离装置传至内网。
S32,内网的补丁服务器Sp2、防病毒服务器Sv2接收升级文件包,完成升级。
S33,安全接入区的补丁服务器Sp、防病毒服务器Sv从内网服务器获取升级文件包,完成升级。
如图5所示,是基于安全接入区内功能服务器升级数据流向图。
从外网通过反向隔离装置到内网功能服务器,再从内网服务器到安全接入区的功能服务器。
下面通过一个仿真实验来进一步说明本发明。
本仿真实验包括以下步骤:
步骤一,通过入口防火墙Fin对内网、安全接入区内的所有主动外联进行阻断。
对入口防火墙Fin(202.168.10.10)进行配置:
(1)禁止ping:service icmp action deny;
(2)阻断安全接入区内外联:deny all;
(3)配置NAT规则:nat server global 202.168.10.20inside 192.168.10.20
对出口防火墙Fout(192.168.10.10)进行配置:
(1)禁止ping:service icmp action deny;
(2)阻断内网外联:deny all;
(3)在指定的Pi端口上配置业务系统的NAT规则:nat server global192.168.10.20inside 168.168.10.20。
步骤二,对访问者Ci增强访问控制。
Ci(202.168.10.15)访问Sgi ’(192.168.10.20)业务系统的过程可以细分为如下步骤:
(1)入口防火墙Fin(202.168.10.10)判定Ci(202.168.10.15)符合ACL要求,允许继续访问;
(2)统一认证系统SA(192.168.10.15)判定Ci(user)符合身份认证要求,记录访问日志(202.168.10.10,user),允许继续访问;
(3)业务前端系统Sgi’(192.168.10.20)判定访问者Ci(user/password)具备访问权限要求,允许继续访问;
(4)业务前端系统Sgi’(192.168.10.20)接收Ci的数据请求后,通过出口防火墙Fout的Pi端口向内网业务系统Sgi(168.168.10.20)发送业务数据请求;
(5)出口防火墙Fout(192.168.10.10)判定Sgi’(192.168.10.20)符合ACL要求,允许继续访问;
(6)Sgi(168.168.10.20)根据业务需求返回相关数据给Sgi’,业务前端系统Sgi’(192.168.10.20)返回业务数据给访问者Ci,本次访问结束。
在整个访问过程中,任一环节不满足访问控制或权限要求,均被阻断。
步骤三,补丁服务器Sp和防病毒服务器Sv升级。
安全接入区的补丁服务器Sp(192.168.10.50)和防病毒服务器Sv(192.168.10.60)升级步骤如下:
(1)反向隔离装置设置映射策略:
外网补丁服务器Sp1(202.168.10.50)映射地址为168.168.10.51;外网防病毒服务器Sv1(202.168.10.60)映射地址为168.168.10.61;
(2)Sp1(202.168.10.50)反向传输补丁数据包到内网映射文件夹Dp1;Sv1(202.168.10.60)反向传输病毒升级文件到映射文件夹Dv1;
(3)内网补丁服务器Sp2(168.168.10.50)解析Dp1中升级补丁并推送给安全接入区的补丁服务器Sp(192.168.10.50);防病毒服务器Sv2(168.168.10.50)解析Dv1中病毒升级文件并推送给安全接入区的防病毒服务器Sv(192.168.10.50)。本次升级完成。
本发明通过安全接入区出入口部署的防火墙Fin、Fout实现了通过安全接入区内数据流向的精准管控。安全接入区的Fin、Fout与SA的组合,实现了对访问者Ci的增强访问控制。在安全接入区内部署内网业务系统Sgi的业务前端系统Sgi’,实现了外网访问者Ci与内网业务系统Sgi的有效隔离。使用异构防火墙、认证系统及安全设备的组合代替物理隔离装置,在确保防护强度的前提下,提升了系统的吞吐量。本发明解决了跨安全区普遍存在的安全防护与传输性能难以兼顾、数据管控措施不足、流量混杂难以监测审计的问题。
本发明并不局限于上述实施例,在本发明公开的技术方案的基础上,本领域的技术人员根据所公开的技术内容,不需要创造性的劳动就可以对其中的一些技术特征作出一些替换和变形,这些替换和变形均在本发明的保护范围内。
Claims (9)
1.一种增强型网络安全接入区数据管控系统,其特征在于,包括:
位于外网和内网之间的网络安全接入区,网络安全接入区与外网之间部署有入口防火墙Fin,与内网之间部署有出口防火墙Fout;
安全接入区内部署有业务前端系统{Sg1 ’,... Sgi ’... ,Sgn ’}、统一安全认证系统SA、补丁服务器Sp和防病毒服务器Sv;
入口防火墙Fin、出口防火墙Fout与统一安全认证系统SA组合,实现对访问者Ci的增强访问控制;
入口防火墙Fin和出口防火墙Fout要求异构,入口防火墙Fin和出口防火墙Fout必须选择不同厂家的产品;
通过入口防火墙Fin对内网、安全接入区内的所有主动外联进行阻断;
外网部署有外网补丁服务器Sp1和外网防病毒服务器Sv1;
内网部署有内网补丁服务器Sp2和内网防病毒服务器Sv2,以及与安全接入区内部署的业务前端系统{Sg1 ’,... Sgi ’... ,Sgn ’} 一一对应的内网业务系统{Sg1,... Sgi... ,Sgn};用于访问者Ci与内网业务系统Sgi的有效隔离;
外网与内网之间同时部署反向隔离装置。
2.根据权利要求1所述的一种增强型网络安全接入区数据管控系统,其特征在于,入口防火墙Fin和出口防火墙Fout附带病毒防护、IPS和URL过滤功能,分别实现对安全接入区接入访问控制和对内网的访问控制。
3.根据权利要求2述的一种增强型网络安全接入区数据管控系统,其特征在于,按照业务功能关联性对内网设备进行分组,将属于内网业务系统Sgi的设备归入对应的设备组Vgi;每个设备组Vgi接入出口防火墙Fout指定的端口Pi;在出口防火墙Fout的端口Pi配置安全策略Ai,实现对Sgi的精细访问控制。
4.根据权利要求1所述的一种增强型网络安全接入区数据管控系统,其特征在于,内网业务系统与业务前端系统的{Sgi 、Sgi ’}为唯一业务匹配元组,访问者Ci访问业务前端系统Sgi ’,Sgi ’向内网业务系统Sgi转发访问者Ci的相关业务请求,Sgi根据Sgi ’的请求回送相关业务数据,再由Sgi ’将结果数据返回给访问者Ci。
5.根据权利要求1所述的一种增强型网络安全接入区数据管控系统,其特征在于,业务前端系统Sgi ’系统本地不保存敏感数据文件,无持久化数据缓存,不部署数据库。
6.根据权利要求1所述的一种增强型网络安全接入区数据管控系统,其特征在于,在安全接入区内部署的统一安全认证系统SA与业务前端系统Sgi ’统一进行集成,只有通过统一安全认证系统SA认证的访问者Ci才被允许后续的访问操作,否则被禁止;SA详细记录访问者Ci相关权限验证记录。
7.一种权利要求1-6任一项所述系统的增强型网络安全接入区数据管控方法,其特征在于,包括:
步骤一,通过入口防火墙Fin对内网、安全接入区内的所有主动外联进行阻断;
步骤二,对访问者Ci增强访问控制;
步骤三,补丁服务器Sp和防病毒服务器Sv升级。
8.根据权利要求7所述的增强型网络安全接入区数据管控方法,其特征在于,对访问者Ci增强访问控制,包括如下步骤:
S21,入口防火墙Fin判定访问者Ci是否满足访问控制策略要求,如果满足,继续下一步;否则访问被拒绝,流程结束;
S22,统一安全认证系统SA判定访问者Ci是否满足相应的权限要求,如果满足,继续下一步;否则访问被拒绝,流程结束;统一安全认证系统SA记录访问者Ci的访问请求;
S23,业务前端系统Sgi ’判定访问者Ci是否满足Sgi ’中的用户权限要求,如果满足,继续下一步;否则访问被拒绝,流程结束;
S24,业务前端系统Sgi ’向内网业务系统Sgi发送业务请求,Sgi根据业务需求返回相关数据给Sgi ’;
S25,业务前端系统Sgi ’返回业务数据给访问者Ci,访问流程结束。
9.根据权利要求7所述的增强型网络安全接入区数据管控方法,其特征在于,补丁服务器Sp和防病毒服务器Sv升级,包括以下步骤:
S31,外网补丁服务器Sp1和外网防病毒服务器Sv1获取升级文件包,将相关文件通过反向隔离装置传至内网;
S32,内网补丁服务器Sp2和内网防病毒服务器Sv2接收升级文件包,完成升级;
S33,安全接入区的补丁服务器Sp和防病毒服务器Sv从内网服务器获取升级文件包,完成升级。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210849007.5A CN115065548B (zh) | 2022-07-19 | 2022-07-19 | 一种增强型网络安全接入区数据管控系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210849007.5A CN115065548B (zh) | 2022-07-19 | 2022-07-19 | 一种增强型网络安全接入区数据管控系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115065548A CN115065548A (zh) | 2022-09-16 |
CN115065548B true CN115065548B (zh) | 2024-04-26 |
Family
ID=83206064
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210849007.5A Active CN115065548B (zh) | 2022-07-19 | 2022-07-19 | 一种增强型网络安全接入区数据管控系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115065548B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116566747B (zh) * | 2023-07-11 | 2023-10-31 | 华能信息技术有限公司 | 基于工业互联网的安全防护方法及装置 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101795261A (zh) * | 2009-12-31 | 2010-08-04 | 暨南大学 | 基于移动数据安全的信息保护系统及方法 |
CN102843352A (zh) * | 2012-05-15 | 2012-12-26 | 广东电网公司茂名供电局 | 在内网和外网之间跨物理隔离透明传输数据的系统和方法 |
CN103152369A (zh) * | 2011-12-07 | 2013-06-12 | 中国移动通信集团浙江有限公司 | 一种互联网访问方法、系统、移动台、ggsn及wap网关 |
CN104363221A (zh) * | 2014-11-10 | 2015-02-18 | 青岛微智慧信息有限公司 | 一种网络安全隔离文件传输控制方法 |
CN105915561A (zh) * | 2016-07-04 | 2016-08-31 | 安徽天达网络科技有限公司 | 一种双认证网络安全系统 |
CN106506491A (zh) * | 2016-11-04 | 2017-03-15 | 江苏科技大学 | 网络安全系统 |
CN107508833A (zh) * | 2017-09-22 | 2017-12-22 | 江苏海事职业技术学院 | 一种校园网络安全防护体系部署方法 |
CN109698837A (zh) * | 2019-02-01 | 2019-04-30 | 重庆邮电大学 | 一种基于单向传输物理介质的内外网隔离与数据交换装置及方法 |
CN110324319A (zh) * | 2019-06-11 | 2019-10-11 | 福建亿安智能技术有限公司 | 一种基于单向传输的网络数据安全管控方法 |
CN114598749A (zh) * | 2020-12-17 | 2022-06-07 | 国网信息通信产业集团有限公司 | 一种服务访问方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11374844B2 (en) * | 2020-08-11 | 2022-06-28 | Pensando Systems, Inc. | Methods and systems for smart sensor implementation within a network appliance data plane |
-
2022
- 2022-07-19 CN CN202210849007.5A patent/CN115065548B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101795261A (zh) * | 2009-12-31 | 2010-08-04 | 暨南大学 | 基于移动数据安全的信息保护系统及方法 |
CN103152369A (zh) * | 2011-12-07 | 2013-06-12 | 中国移动通信集团浙江有限公司 | 一种互联网访问方法、系统、移动台、ggsn及wap网关 |
CN102843352A (zh) * | 2012-05-15 | 2012-12-26 | 广东电网公司茂名供电局 | 在内网和外网之间跨物理隔离透明传输数据的系统和方法 |
CN104363221A (zh) * | 2014-11-10 | 2015-02-18 | 青岛微智慧信息有限公司 | 一种网络安全隔离文件传输控制方法 |
CN105915561A (zh) * | 2016-07-04 | 2016-08-31 | 安徽天达网络科技有限公司 | 一种双认证网络安全系统 |
CN106506491A (zh) * | 2016-11-04 | 2017-03-15 | 江苏科技大学 | 网络安全系统 |
CN107508833A (zh) * | 2017-09-22 | 2017-12-22 | 江苏海事职业技术学院 | 一种校园网络安全防护体系部署方法 |
CN109698837A (zh) * | 2019-02-01 | 2019-04-30 | 重庆邮电大学 | 一种基于单向传输物理介质的内外网隔离与数据交换装置及方法 |
CN110324319A (zh) * | 2019-06-11 | 2019-10-11 | 福建亿安智能技术有限公司 | 一种基于单向传输的网络数据安全管控方法 |
CN114598749A (zh) * | 2020-12-17 | 2022-06-07 | 国网信息通信产业集团有限公司 | 一种服务访问方法及装置 |
Non-Patent Citations (1)
Title |
---|
智慧水务网络安全性设计探析;李钰婷;;陕西水利;20180520(第03期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN115065548A (zh) | 2022-09-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8938799B2 (en) | Security protection apparatus and method for endpoint computing systems | |
EP1634175B1 (en) | Multilayer access control security system | |
EP1591868B1 (en) | Method and apparatus for providing network security based on device security status | |
US7756981B2 (en) | Systems and methods for remote rogue protocol enforcement | |
US8683059B2 (en) | Method, apparatus, and computer program product for enhancing computer network security | |
US9380023B2 (en) | Enterprise cross-domain solution having configurable data filters | |
US20080005359A1 (en) | Method and apparatus for OS independent platform based network access control | |
JP2008541558A (ja) | ネットワークアクセスプロテクション | |
WO2013009846A1 (en) | System and method for supporting at least one of subnet management packet (smp) firewall restrictions and traffic protection in a middleware machine environment | |
KR101631345B1 (ko) | 장치 보조 서비스를 위한 보안 기술 | |
CN115065548B (zh) | 一种增强型网络安全接入区数据管控系统及方法 | |
Almaini et al. | Lightweight edge authentication for software defined networks | |
JP2005151437A (ja) | 記憶装置、記憶装置システム、および、通信制御方法 | |
Griffioen et al. | VIP Lanes: High-speed custom communication paths for authorized flows | |
KR101775517B1 (ko) | 빅데이터 보안 점검 클라이언트, 빅데이터 보안 점검 장치 및 방법 | |
JP4160004B2 (ja) | アクセス制御システム | |
KR101910496B1 (ko) | 광역망 인터넷 프로토콜(wan ip) 검증을 통한 네트워크 기반 프록시 설정 탐지 시스템 및 그를 이용한 유해 사이트 접속 차단 방법 | |
KR20100067383A (ko) | 서버 보안 시스템 및 서버 보안 방법 | |
Deng et al. | TNC-UTM: A holistic solution to secure enterprise networks | |
Helmer | Intelligent multi-agent system for intrusion detection and countermeasures | |
Park | A study about dynamic intelligent network security systems to decrease by malicious traffic | |
Frank | Securing Smart Homes with OpenFlow: Feasibility, Implementation, and Performance | |
CN118056380A (zh) | 在计算机网络之内限制横向遍历 | |
CN117955675A (zh) | 一种网络攻击的防御方法、装置、电子设备及存储介质 | |
CN116961967A (zh) | 数据处理方法、装置、计算机可读介质及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |