CN115250191A - 网络安全应急响应方法及装置 - Google Patents

网络安全应急响应方法及装置 Download PDF

Info

Publication number
CN115250191A
CN115250191A CN202110468150.5A CN202110468150A CN115250191A CN 115250191 A CN115250191 A CN 115250191A CN 202110468150 A CN202110468150 A CN 202110468150A CN 115250191 A CN115250191 A CN 115250191A
Authority
CN
China
Prior art keywords
user
short message
address
plugging
message information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110468150.5A
Other languages
English (en)
Other versions
CN115250191B (zh
Inventor
刘懿
张锋
王子兵
石伟
李欣欣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Group Beijing Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Group Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Group Beijing Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202110468150.5A priority Critical patent/CN115250191B/zh
Publication of CN115250191A publication Critical patent/CN115250191A/zh
Application granted granted Critical
Publication of CN115250191B publication Critical patent/CN115250191B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种网络安全应急响应方法及装置,该方法包括:接收客户端发送的短信信息,在所述短信信息中存在封堵操作的标识的情况下,验证所述客户端上的用户是否有对所述短信信息中的待封堵IP地址进行封堵操作的权限;在所述用户对所述待封堵IP地址有封堵操作的权限的情况下,向所述待封堵IP地址所连接的网络设备下发封堵指令,以供所述网络设备根据所述封堵指令对所述待封堵IP地址进行封堵操作。本发明通过端到端短信封堵的方式提高了封堵效率,降低安全事件的影响,而且随时随地都能进行封堵操作,使用便利。

Description

网络安全应急响应方法及装置
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络安全应急响应方法及装置。
背景技术
目前在网络安全应急响应工作中,针对大型DDOS(Distributed Denial ofService,分布式拒绝服务)攻击、网页篡改和黑客入侵等三类常见网络安全事件,按照《网络安全法》相关要求,网络运营者,包括电信运营商,以及各类网络的所有者、管理者和网络服务提供者多采用黑洞路由或防火墙ACL(Access Control List,访问控制列表)策略限制等方法,首先采取断网进行快速处置,后续再辅以人工核查等方法确认具体安全风险。
以网页篡改攻击事件为例,现有的事件应急处置方案如图1所示。应急处置方案的步骤包括:1、黑客发起攻击,篡改企业内部网站;2、安全专家核实确认攻击事件后确认封堵操作;3、业务侧人员进行篡改网站地址封堵。其中,封堵处置方式有两种。第一种为在出口路由器或核心路由器上下发黑洞路由策略,确保外部所有上网用户无法访问被篡改网站;第二种为在业务防火墙上下发ACL策略,封堵篡改网站内网地址,禁止外部所有用户访问被篡改网站。黑洞路由指在路由器设备上配置一条特殊的静态路由,下一跳指向不存在的null0接口,当匹配到这条路由,数据包则被丢弃,外部流量将无法访问到目标主机。
现网网络环境复杂,登录防火墙、路由器等网络设备存在一定前提条件,不能随时随地登录操作。而且人工封堵操作耗时较长,易扩大事件影响范围。从登录到封堵到验证完成一系列操作,步骤繁琐,耗时较长。若选择业务防火墙封堵,被篡改网站与防火墙的对应关系需要提前梳理,封堵时临时查找对应防火墙,增加大量封堵时长。
发明内容
本发明提供一种网络安全应急响应方法及装置,用以解决现有技术中网络安全应急响应方法的使用具有局限性,而且人工封堵耗时长的缺陷,实现随地自动进行网络安全应急响应,降低封堵时间。
本发明提供一种网络安全应急响应方法,包括:
接收客户端发送的短信信息,在所述短信信息中存在封堵操作的标识的情况下,验证所述客户端上的用户是否有对所述短信信息中的待封堵IP地址进行封堵操作的权限;
在所述用户对所述待封堵IP地址有封堵操作的权限的情况下,向所述待封堵IP地址所连接的网络设备下发封堵指令,以供所述网络设备根据所述封堵指令对所述待封堵IP地址进行封堵操作。
根据本发明提供的一种网络安全应急响应方法,所述接收客户端发送的短信信息,包括:
接收客户端通过DIY09的API接口与短信网关互联后,经过短信网关下发的短信信息。
根据本发明提供的一种网络安全应急响应方法,所述验证所述客户端上的用户是否有对所述短信信息中的待封堵IP地址进行封堵操作的权限,包括:
在所述用户已开户的情况下,判断当前时间是否在所述用户预先申请的封堵权限的有效期内;
在所述当前时间位于所述有效期内的情况下,判断所述用户的剩余封堵次数是否为0;
在所述剩余封堵次数不为0的情况下,判断所述用户是否属于所有业务组;
在所述用户属于所有业务组的情况下,获知所述用户对所述待封堵IP地址有封堵操作的权限;
在所述用户不属于所有业务组的情况下,判断所述待封堵IP地址所属的业务组在所述用户负责的业务组中是否存在;
在所述待封堵IP地址所属的业务组在所述用户负责的业务组中存在的情况下,获知所述用户对所述待封堵IP地址有封堵操作的权限。
根据本发明提供的一种网络安全应急响应方法,所述在所述用户已开户的情况下,判断当前时间是否在所述用户预先申请的封堵权限的有效期内,之前还包括:
根据用户填写的所述用户的基本信息、所述网络设备的类型、封堵权限的有效期和封堵次数,以及所述用户负责的业务组和所述业务组部署的IP地址,对所述用户进行开户审批;
若审批通过,则所述用户开户成功。
根据本发明提供的一种网络安全应急响应方法,在所述向所述待封堵IP地址所连接的网络设备下发封堵指令之后,所述方法还包括:
接收所述客户端发送的短信信息,若所述短信信息中存在解除封堵操作的标识,则验证所述客户端上的用户是否有对所述短信信息中的待解除封堵IP地址进行解除封堵操作的权限;
在所述用户对所述待解除封堵IP地址有解除封堵操作的权限的情况下,向所述待解除封堵IP地址所连接的网络设备下发解除封堵指令,以供所述网络设备根据所述解除封堵指令对所述待解除封堵IP地址进行解除封堵操作。
根据本发明提供的一种网络安全应急响应方法,在所述向所述待封堵IP地址所连接的网络设备下发封堵指令之后,所述方法还包括:
接收并解析所述网络设备返回的封堵操作的结果,根据解析的所述封堵操作的结果生成短信信息;
将生成的短信信息通过所述API接口发送给所述短信网关,以供所述短信网关将生成的短信信息发送给所述客户端。
根据本发明提供的一种网络安全应急响应方法,在所述向所述待封堵IP地址所连接的网络设备下发封堵指令之前,所述方法还包括:
基于4A指令通道方式代填登录所述网络设备。
本发明还提供一种网络安全应急响应装置,包括:
验证模块,用于接收客户端发送的短信信息,若所述短信信息中存在封堵操作的标识,则验证所述客户端上的用户是否有对所述短信信息中的待封堵IP地址进行封堵操作的权限;
下发模块,用于在所述用户对所述待封堵IP地址有封堵操作的权限的情况下,向所述待封堵IP地址所连接的网络设备下发封堵指令,以供所述网络设备根据所述封堵指令对所述待封堵IP地址进行封堵操作。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述网络安全应急响应方法的步骤。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述网络安全应急响应方法的步骤。
本发明提供的网络安全应急响应方法及装置,通过在发生安全事件之后,用户通过发送短信快速触发封堵指令,对被攻击IP进行快速封堵下线,通过端到端短信封堵的方式提高了封堵效率,降低安全事件的影响,而且随时随地都能进行封堵操作,使用便利。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是现有技术中网页篡改事件处置的流程示意图;
图2是本发明提供的网络安全应急响应方法的流程示意图;
图3是本发明提供的网络安全应急响应方法中短信封堵业务流程示意图;
图4是本发明提供的网络安全应急响应方法中短信封堵业务逻辑的流程示意图;
图5是本发明提供的网络安全应急响应方法中短信封堵权限校验流程示意图;
图6是本发明提供的网络安全应急响应方法中开户流程示意图;
图7是本发明提供的网络安全应急响应装置的结构示意图;
图8是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合图2描述本发明的网络安全应急响应方法,该方法包括:步骤201,接收客户端发送的短信信息,在所述短信信息中存在封堵操作的标识的情况下,验证所述客户端上的用户是否有对所述短信信息中的待封堵IP地址进行封堵操作的权限;
本实施例的执行主体为网络安全应急响应平台,简称为应急平台。
首先黑客发起攻击,篡改企业内部网站。用户在客户端上针对归属自己的业务组,编辑短信信息,并将短信信息发送给应急平台。
当用户需要进行封堵操作时,短信信息包括封堵操作的标识和待封堵IP地址。例如,短信信息为“FD-X.X.X.X”,其中FD表示封堵操作的标识,X.X.X.X表示待封堵IP地址。
应急平台接收客户端发送的短信信息,判断短信信息中是否包含封堵操作的标识,如果包含,则获知此条短信信息用于封堵操作,对用户权限进行校验。
步骤202,在所述用户对所述待封堵IP地址有封堵操作的权限的情况下,向所述待封堵IP地址所连接的网络设备下发封堵指令,以供所述网络设备根据所述封堵指令对所述待封堵IP地址进行封堵操作。
在用户权限校验通过的情况下,将封堵指令下发至待封堵IP地址对应的网络设备,如路由器、交换机等。
其中,应急平台集成有众多网络设备,在应急平台的后台上提前预制有各类网络设备的封堵指令。根据待封堵IP地址对应的网络设备的类型,调用相应的封堵指令,如黑洞路由指令发送给网络设备,以对待封堵IP地址进行封堵操作。不存在人为错误导致的次生故障风险,更安全更可靠。本实施例中短信封堵业务流程如图3所示。
当用户网站遭到黑客篡改、用户服务器遭受超大攻击DDOS流量以及用户业务遭受其它类型黑客攻击时,可采用本实施例提出的基于端到端短信封堵的主动应急响应的方法,通过快速实现服务器屏蔽进行应急处置。针对超大流量DDOS攻击,禁止外部攻击流量进入网络内部,避免出现链路带宽拥塞;针对网页篡改或其它黑客入侵事件,通过切断访问路径,避免外部用户访问被篡改站点。待完成快速应急处置之后,再通过人工研判等方法针对安全事件进行具体分析,制定安全处置方案并进行安全闭环处置。
本实施例通过在发生安全事件之后,用户通过发送短信快速触发封堵指令,对被攻击IP进行快速封堵下线,通过端到端短信封堵的方式提高了封堵效率,降低安全事件的影响,而且随时随地都能进行封堵操作,使用便利。
在上述实施例的基础上,本实施例中所述接收客户端发送的短信信息,包括:接收客户端通过DIY09的API(Application Programming Interface,应用程序接口)与短信网关互联后,经过短信网关下发的短信信息。
其中,DIY09是企业应用移动信息化接入的平台,DIY09主要包括移动侧的企信通DIY09统一运营服务平台和DIY09客户端两大部分。
本实施例主要应用DIY09客户端,包括API开发包集、客户侧配置Portal和客户侧通讯管理模块。
API开发包集:包括短信API、彩信API、WappushAPI和白名单API;配置Portal包括对短信网关参数、彩信网关参数、DIY09平台参数和上行路由配置信息进行配置;通讯管理模块作为API与短彩信网关之间的通讯管理模块存在,对上行信息进行路由、下行流量控制以及与短信网关、彩信网关进行通讯。
短信封堵业务逻辑如图4所示,其中上行短信流程包括如下步骤:
1、用户在客户端上编辑短信“FD-X.X.X.X”;
2、上行短信经由DIY09的API接口到达短信网关;
3、短信网关统一调度将短信信息下发至应急平台;
4、应急平台对用户权限校验通过后将封堵指令下发至对应网络设备。
在上述实施例的基础上,本实施例中所述验证所述客户端上的用户是否有对所述短信信息中的待封堵IP地址进行封堵操作的权限,包括:在所述用户已开户的情况下,判断当前时间是否在所述用户预先申请的封堵权限的有效期内;
具体地,应急平台在接收到客户端发送的短信信息后,自动进入用户权限校核流程。
如图5所示,首先判断用户是否开户,如将当前用户的信息与已开户的用户信息进行匹配,根据匹配结果判断当前用户是否开户。如果用户未开户,则下发短信“您无权使用该功能”。
如果用户已开户,则继续判断当前时间是否在用户的封堵权限的有效期内。若不在,则下发短信“您的账号不在有效期内”。
在所述当前时间位于所述有效期内的情况下,判断所述用户的剩余封堵次数是否为0;
如果当前时间在有效期内,则继续判断用户的封堵次数是否达到上限。若是,则下发短信“您的封堵次数已达到上线”。
在所述剩余封堵次数不为0的情况下,判断所述用户是否属于所有业务组;在所述用户属于所有业务组的情况下,获知所述用户对所述待封堵IP地址有封堵操作的权限;
如果用户的封堵次数未达到上限,则继续判断用户负责的业务组是否为ALL,即所有业务组。若是,则下发短信“封堵命令执行中,请稍后”。
在所述用户不属于所有业务组的情况下,判断所述待封堵IP地址所属的业务组在所述用户负责的业务组中是否存在;
如果用户负责的业务组不为ALL,则判断IP地址所属的业务组在用户负责的业务组中是否存在。IP地址所属的业务组是指IP地址上部署的业务组。
在所述待封堵IP地址所属的业务组在所述用户负责的业务组中存在的情况下,获知所述用户对所述待封堵IP地址有封堵操作的权限。
如果待封堵IP地址所属的业务组在用户负责的业务组中存在的情况下,下发短信“封堵命令执行中,请稍后”,应急平台开始封装封堵指令,并将封堵指令下发至相应的网络设备,否则下发短信“您无权操作X.X.X.X地址”。
由于黑洞路由、ACL、Policy等封堵策略多样,根据不同的网络设备,网络环境策略不一样,且现网策略对业务影响较大,人工下发处置策略无二次验证存在风险,容易造成次生故障。
封堵操作均属于高风险操作,故用户权限审核的业务流程尤为重要。通过对权限审核流程层层把关,将封堵权限进行细粒度控制,避免人为操作,无二次审批的操作风险。
在上述实施例的基础上,本实施例中所述在所述用户已开户的情况下,判断当前时间是否在所述用户预先申请的封堵权限的有效期内,之前还包括:根据用户填写的所述用户的基本信息、所述网络设备的类型、封堵权限的有效期和封堵次数,以及所述用户负责的业务组和所述业务组部署的IP地址,对所述用户进行开户审批;若审批通过,则所述用户开户成功。
具体地,如图6所示,在对用户权限进行校验之前,需要用户先进行开户,通过开户流程对发送封堵短信的用户进行权限控制。开户步骤如下:
1、用户通过客户端向应急平台提出开户申请;
2、用户填写基本信息,如姓名、手机号和公司名称等;
3、用户选择需要封堵的设备组,即用户负责的业务组所在网络环境中的网络设备,包括省网路由器、IDC核心路由器和DNS,支持多选;在封堵时,从用户负责的业务组所在的网络设备中选择待封堵IP地址连接的网络设备对待封堵IP地址进行封堵操作;
4、填写生效时间和封堵次数,生效时间代表用户开户成功后封堵权限的有效期,封堵次数代表该用户开户成功后能有效封堵的次数,这两个字段便于计费;
5、选择用户负责的业务组,业务组关联了业务下所有IP资产,即该用户可以封堵的对象清单;
6、根据实际情况进行开户审批;
7、审批通过则开户成功,该用户拥有开户时选择信息对应的封堵权限;
8、审批不通过则开户失败,该用户不具备短信封堵权限。
在上述各实施例的基础上,本实施例中在所述向所述待封堵IP地址所连接的网络设备下发封堵指令之后,所述方法还包括:接收所述客户端发送的短信信息,若所述短信信息中存在解除封堵操作的标识,则验证所述客户端上的用户是否有对所述短信信息中的待解除封堵IP地址进行解除封堵操作的权限;
当用户需要进行解除封堵操作时,短信信息包括解除封堵操作的标识和待解除封堵IP地址。例如,短信信息为“JFD-X.X.X.X”,其中JFD表示解除封堵操作的标识,X.X.X.X表示待解除封堵IP地址。
应急平台接收客户端发送的短信信息,判断短信信息中是否包含解除封堵操作的标识,如果包含,则获知此条短信信息用于解除封堵操作,对用户权限进行校验。
在所述用户对所述待解除封堵IP地址有解除封堵操作的权限的情况下,向所述待解除封堵IP地址所连接的网络设备下发解除封堵指令,以供所述网络设备根据所述解除封堵指令对所述待解除封堵IP地址进行解除封堵操作。
在用户权限校验通过的情况下,将解除封堵指令下发至待解除封堵IP地址对应的网络设备,如路由器、交换机等。
其中,在应急平台上提前预制有各类网络设备的解除封堵指令。根据待解除封堵IP地址对应的网络设备的类型,调用相应的解除封堵指令发送给网络设备,以对待解除封堵IP地址进行解除封堵操作。
在上述实施例的基础上,本实施例中在所述向所述待封堵IP地址所连接的网络设备下发封堵指令之后,所述方法还包括:接收并解析所述网络设备返回的封堵操作的结果,根据解析的所述封堵操作的结果生成短信信息;将生成的短信信息通过所述API接口发送给所述短信网关,以供所述短信网关将生成的短信信息发送给所述客户端。
具体地,封堵和解封堵的下行短信流程包括如下步骤:
1、应急平台采集并解析网络设备执行封堵操作的回显信息,获取封堵结果;
2、应急平台将封堵结果拼接成短信,发送下行短信;
3、下行短信经由API接口到达短信网关;
4、短信网关统一调度发送封堵结果的短信给用户的客户端。
此外,应急平台还将封堵的中间状态,如“任务执行中”拼接成短信发送给API接口。下行短信经由API接口到达短信网关,短信网关统一调度发送封堵结果的短信给用户的客户端。
由于应急响应处理流程中涉及用户众多,封堵完成后需挨个通知,耗费人力及时间。本实施例在封堵完成后通过下行短信的方式将封堵结果自动发送给客户端,处理效率高。
在上述各实施例的基础上,本实施例中在所述向所述待封堵IP地址所连接的网络设备下发封堵指令之前,所述方法还包括:基于4A指令通道方式代填登录所述网络设备。
具体地,为避免直连网络设备带来的安全隐患,对接4A指令通道,登录4A堡垒机,通过4A对所有授权设备的统一管控,安全地代填登录网络设备,所有操作均由4A进行严格管控,且无需管理网络设备账号密码,符合SOX(Sarbanes Oxley,萨班斯)安全审计要求,满足统一用户账号管理、统一认证管理、统一授权管理和统一安全审计。
现有技术直接登录网络设备,安全性无法保障。而本实施例通过4A指令通道代填的方式登录网络设备,未将账号口令存于本地,无需脱敏加密存储处理,更符合安全规范,减少安全隐患。
下面对本发明提供的网络安全应急响应装置进行描述,下文描述的网络安全应急响应装置与上文描述的网络安全应急响应方法可相互对应参照。
如图7所示,该装置包括验证模块701和下发模块702,其中:
验证模块701用于接收客户端发送的短信信息,若所述短信信息中存在封堵操作的标识,则验证所述客户端上的用户是否有对所述短信信息中的待封堵IP地址进行封堵操作的权限;
首先黑客发起攻击,篡改企业内部网站。用户在客户端上针对归属自己的业务组,编辑短信信息,并将短信信息发送给应急平台。
当用户需要进行封堵操作时,短信信息包括封堵操作的标识和待封堵IP地址。
应急平台接收客户端发送的短信信息,判断短信信息中是否包含封堵操作的标识,如果包含,则获知此条短信信息用于封堵操作,对用户权限进行校验。
下发模块702用于在所述用户对所述待封堵IP地址有封堵操作的权限的情况下,向所述待封堵IP地址所连接的网络设备下发封堵指令,以供所述网络设备根据所述封堵指令对所述待封堵IP地址进行封堵操作。
在用户权限校验通过的情况下,将封堵指令下发至待封堵IP地址对应的网络设备。
本实施例通过在发生安全事件之后,用户通过发送短信快速触发封堵指令,对被攻击IP进行快速封堵下线,通过端到端短信封堵的方式提高了封堵效率,降低安全事件的影响,而且随时随地都能进行封堵操作,使用便利。
在上述实施例的基础上,本实施例中验证模块包括接收子模块,用于接收客户端通过DIY09的API接口与短信网关互联后,经过短信网关下发的短信信息。
在上述实施例的基础上,本实施例中验证模块包括验证子模块,用于:在所述用户已开户的情况下,判断当前时间是否在所述用户预先申请的封堵权限的有效期内;在所述当前时间位于所述有效期内的情况下,判断所述用户的剩余封堵次数是否为0;在所述剩余封堵次数不为0的情况下,判断所述用户是否属于所有业务组;在所述用户属于所有业务组的情况下,获知所述用户对所述待封堵IP地址有封堵操作的权限;在所述用户不属于所有业务组的情况下,判断所述待封堵IP地址所属的业务组在所述用户负责的业务组中是否存在;在所述待封堵IP地址所属的业务组在所述用户负责的业务组中存在的情况下,获知所述用户对所述待封堵IP地址有封堵操作的权限。
在上述实施例的基础上,本实施例中还包括开户模块,用于根据用户填写的所述用户的基本信息、所述网络设备的类型、封堵权限的有效期和封堵次数,以及所述用户负责的业务组和所述业务组部署的IP地址,对所述用户进行开户审批;若审批通过,则所述用户开户成功。
在上述各实施例的基础上,本实施例中还包括解除模块,用于接收所述客户端发送的短信信息,若所述短信信息中存在解除封堵操作的标识,则验证所述客户端上的用户是否有对所述短信信息中的待解除封堵IP地址进行解除封堵操作的权限;在所述用户对所述待解除封堵IP地址有解除封堵操作的权限的情况下,向所述待解除封堵IP地址所连接的网络设备下发解除封堵指令,以供所述网络设备根据所述解除封堵指令对所述待解除封堵IP地址进行解除封堵操作。
在上述实施例的基础上,本实施例中还包括发送模块,用于接收并解析所述网络设备返回的封堵操作的结果,根据解析的所述封堵操作的结果生成短信信息;将生成的短信信息通过所述API接口发送给所述短信网关,以供所述短信网关将生成的短信信息发送给所述客户端。
在上述各实施例的基础上,本实施例中还包括登录模块,用于基于4A指令通道方式代填登录所述网络设备。
图8示例了一种电子设备的实体结构示意图,如图8所示,该电子设备可以包括:处理器(processor)810、通信接口(Communications Interface)820、存储器(memory)830和通信总线840,其中,处理器810,通信接口820,存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令,以执行网络安全应急响应方法,该方法包括:接收客户端发送的短信信息,在所述短信信息中存在封堵操作的标识的情况下,验证所述客户端上的用户是否有对所述短信信息中的待封堵IP地址进行封堵操作的权限;在所述用户对所述待封堵IP地址有封堵操作的权限的情况下,向所述待封堵IP地址所连接的网络设备下发封堵指令,以供所述网络设备根据所述封堵指令对所述待封堵IP地址进行封堵操作。
此外,上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的网络安全应急响应方法,该方法包括:接收客户端发送的短信信息,在所述短信信息中存在封堵操作的标识的情况下,验证所述客户端上的用户是否有对所述短信信息中的待封堵IP地址进行封堵操作的权限;在所述用户对所述待封堵IP地址有封堵操作的权限的情况下,向所述待封堵IP地址所连接的网络设备下发封堵指令,以供所述网络设备根据所述封堵指令对所述待封堵IP地址进行封堵操作。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的网络安全应急响应方法,该方法包括:接收客户端发送的短信信息,在所述短信信息中存在封堵操作的标识的情况下,验证所述客户端上的用户是否有对所述短信信息中的待封堵IP地址进行封堵操作的权限;在所述用户对所述待封堵IP地址有封堵操作的权限的情况下,向所述待封堵IP地址所连接的网络设备下发封堵指令,以供所述网络设备根据所述封堵指令对所述待封堵IP地址进行封堵操作。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种网络安全应急响应方法,其特征在于,包括:
接收客户端发送的短信信息,在所述短信信息中存在封堵操作的标识的情况下,验证所述客户端上的用户是否有对所述短信信息中的待封堵IP地址进行封堵操作的权限;
在所述用户对所述待封堵IP地址有封堵操作的权限的情况下,向所述待封堵IP地址所连接的网络设备下发封堵指令,以供所述网络设备根据所述封堵指令对所述待封堵IP地址进行封堵操作。
2.根据权利要求1所述的网络安全应急响应方法,其特征在于,所述接收客户端发送的短信信息,包括:
接收客户端通过DIY09的API接口与短信网关互联后,经过短信网关下发的短信信息。
3.根据权利要求1所述的网络安全应急响应方法,其特征在于,所述验证所述客户端上的用户是否有对所述短信信息中的待封堵IP地址进行封堵操作的权限,包括:
在所述用户已开户的情况下,判断当前时间是否在所述用户预先申请的封堵权限的有效期内;
在所述当前时间位于所述有效期内的情况下,判断所述用户的剩余封堵次数是否为0;
在所述剩余封堵次数不为0的情况下,判断所述用户是否属于所有业务组;
在所述用户属于所有业务组的情况下,获知所述用户对所述待封堵IP地址有封堵操作的权限;
在所述用户不属于所有业务组的情况下,判断所述待封堵IP地址所属的业务组在所述用户负责的业务组中是否存在;
在所述待封堵IP地址所属的业务组在所述用户负责的业务组中存在的情况下,获知所述用户对所述待封堵IP地址有封堵操作的权限。
4.根据权利要求3所述的网络安全应急响应方法,其特征在于,所述在所述用户已开户的情况下,判断当前时间是否在所述用户预先申请的封堵权限的有效期内,之前还包括:
根据用户填写的所述用户的基本信息、所述网络设备的类型、封堵权限的有效期和封堵次数,以及所述用户负责的业务组和所述业务组部署的IP地址,对所述用户进行开户审批;
若审批通过,则所述用户开户成功。
5.根据权利要求1-4任一所述的网络安全应急响应方法,其特征在于,在所述向所述待封堵IP地址所连接的网络设备下发封堵指令之后,所述方法还包括:
接收所述客户端发送的短信信息,若所述短信信息中存在解除封堵操作的标识,则验证所述客户端上的用户是否有对所述短信信息中的待解除封堵IP地址进行解除封堵操作的权限;
在所述用户对所述待解除封堵IP地址有解除封堵操作的权限的情况下,向所述待解除封堵IP地址所连接的网络设备下发解除封堵指令,以供所述网络设备根据所述解除封堵指令对所述待解除封堵IP地址进行解除封堵操作。
6.根据权利要求2所述的网络安全应急响应方法,其特征在于,在所述向所述待封堵IP地址所连接的网络设备下发封堵指令之后,所述方法还包括:
接收并解析所述网络设备返回的封堵操作的结果,根据解析的所述封堵操作的结果生成短信信息;
将生成的短信信息通过所述API接口发送给所述短信网关,以供所述短信网关将生成的短信信息发送给所述客户端。
7.根据权利要求1-4任一所述的网络安全应急响应方法,其特征在于,在所述向所述待封堵IP地址所连接的网络设备下发封堵指令之前,所述方法还包括:
基于4A指令通道方式代填登录所述网络设备。
8.一种网络安全应急响应装置,其特征在于,包括:
验证模块,用于接收客户端发送的短信信息,若所述短信信息中存在封堵操作的标识,则验证所述客户端上的用户是否有对所述短信信息中的待封堵IP地址进行封堵操作的权限;
下发模块,用于在所述用户对所述待封堵IP地址有封堵操作的权限的情况下,向所述待封堵IP地址所连接的网络设备下发封堵指令,以供所述网络设备根据所述封堵指令对所述待封堵IP地址进行封堵操作。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述网络安全应急响应方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述网络安全应急响应方法的步骤。
CN202110468150.5A 2021-04-28 2021-04-28 网络安全应急响应方法及装置 Active CN115250191B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110468150.5A CN115250191B (zh) 2021-04-28 2021-04-28 网络安全应急响应方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110468150.5A CN115250191B (zh) 2021-04-28 2021-04-28 网络安全应急响应方法及装置

Publications (2)

Publication Number Publication Date
CN115250191A true CN115250191A (zh) 2022-10-28
CN115250191B CN115250191B (zh) 2024-08-27

Family

ID=83696096

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110468150.5A Active CN115250191B (zh) 2021-04-28 2021-04-28 网络安全应急响应方法及装置

Country Status (1)

Country Link
CN (1) CN115250191B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130283050A1 (en) * 2012-04-23 2013-10-24 Anil Gupta Wireless client authentication and assignment
CN104348809A (zh) * 2013-08-02 2015-02-11 深圳市腾讯计算机系统有限公司 网络安全监控方法及系统
CN111431885A (zh) * 2020-03-19 2020-07-17 黄建东 一种通过短消息开关网络服务通道的方法及系统
CN111600895A (zh) * 2020-05-20 2020-08-28 北京北斗弘鹏科技有限公司 一种网络安全防护方法、装置、储存介质及电子设备
CN112003853A (zh) * 2020-08-19 2020-11-27 内蒙古工业大学 一种支持ipv6的网络安全应急响应系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130283050A1 (en) * 2012-04-23 2013-10-24 Anil Gupta Wireless client authentication and assignment
CN104348809A (zh) * 2013-08-02 2015-02-11 深圳市腾讯计算机系统有限公司 网络安全监控方法及系统
CN111431885A (zh) * 2020-03-19 2020-07-17 黄建东 一种通过短消息开关网络服务通道的方法及系统
CN111600895A (zh) * 2020-05-20 2020-08-28 北京北斗弘鹏科技有限公司 一种网络安全防护方法、装置、储存介质及电子设备
CN112003853A (zh) * 2020-08-19 2020-11-27 内蒙古工业大学 一种支持ipv6的网络安全应急响应系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
中国移动通信集团重庆有限公司: "IP自动封堵系统", 《豆丁文档》, 11 September 2011 (2011-09-11) *
邓熙;王瑶;: "基于一键封堵的高效应急处置系统研究", 科技创新导报, no. 06, 27 March 2019 (2019-03-27) *

Also Published As

Publication number Publication date
CN115250191B (zh) 2024-08-27

Similar Documents

Publication Publication Date Title
US7680925B2 (en) Method and system for testing provisioned services in a network
CN114978584A (zh) 基于单位单元的网络安全防护安全方法及系统
CN104202338B (zh) 一种适用于企业级移动应用的安全接入方法
CN110213215A (zh) 一种资源访问方法、装置、终端和存储介质
CN107438074A (zh) 一种DDoS攻击的防护方法及装置
CN114826754B (zh) 一种不同网络间的通信方法及系统、存储介质、电子装置
CN108833363A (zh) 一种区块链权限管理方法及系统
CN101599977B (zh) 网络业务的管理方法和系统
CN116192497B (zh) 一种基于零信任体系的网络准入和用户认证的安全交互方法
CN111092910A (zh) 数据库安全访问方法、装置、设备、系统及可读存储介质
CN111277607A (zh) 通信隧道模块、应用监控模块及移动终端安全接入系统
Seeber et al. Improving network security through SDN in cloud scenarios
CN109428893A (zh) 一种身份认证方法、装置及系统
CN102045310B (zh) 一种工业互联网入侵检测和防御方法及其装置
CN103957194B (zh) 一种网络协议ip接入方法及接入设备
CN109639658B (zh) 用于电力二次系统运维的防火墙的数据传输方法及装置
CN109600395A (zh) 一种终端网络接入控制系统的装置及实现方法
CN111131273A (zh) 一种网络工程用互联网接入控制系统
CN115250191B (zh) 网络安全应急响应方法及装置
KR101592323B1 (ko) 서버 장애 시 원격 서버 복구 시스템 및 방법
CN110808848A (zh) 一种电力数据网络安全测试方法
CN116962149A (zh) 网络故障的检测方法和装置、存储介质及电子设备
CN116488844A (zh) 一种远程运维方法、装置、设备及存储介质
CN102316119A (zh) 一种安全控制方法和设备
CN115567310A (zh) 零信任模式下基于网络隐身的客户端安全分发方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant