CN115622809B - 一种面向密柜应用场景的内外网安全隔离系统 - Google Patents

Abstract

本发明提供一种面向密柜应用场景的内外网安全隔离系统。一种面向密柜应用场景的内外网安全隔离系统，包括：准入网关管理模块，所述准入网关管理模块用于根据访问协议对访问企业内网的申请入网终端进行审核，允许符合所述访问协议的申请入网终端连接企业内网，阻止不符合所述访问协议的申请入网终端连接企业内网；所述准入网关管理模块包括地址管理单元、网络准入管理单元和网络设备管理单元。本发明提出了一种面向密柜应用场景的内外网安全隔离系统，用于数据防泄漏的网络管控，利用了用户的IP地址、MAC地址以及网关定位信息，对连接设备的安全性进行全面的评估，提高了系统的安全性，解决企业数据从网络泄露的问题，为企业提供数据安全保障。

Description

一种面向密柜应用场景的内外网安全隔离系统

技术领域

本发明涉及数据通信技术领域，特别地涉及一种面向密柜应用场景的内外网安全隔离系统。

背景技术

随着计算机技术的快速发展和移动终端的普及，网络正在潜移默化地改变和影响着人们的社会活动和生活方式。在网络极大促进科技创新、经济繁荣、文化交融、社会发展的同时，网络安全问题也日益高涨。随着以大数据、人工智能以及物联网为代表的计算机信息技术的革新，数据的价值进一步被挖掘，数据已成为企业的重要资产和持续创新的重要一环，保障数据安全的重要性不言而喻。

网路和智能终端快速发展的过程中，网络通信中数据量以几何倍数增长，随之而来的是频发的数据泄露事件。一方面，核心数据和用户数据的泄露会给受害企业带来直接和间接的经济损失，另一方面，用户个人信息和隐私的泄露也给用户个人带来安全和财产上的潜在威胁。在这种背景下，数据泄露防护产品应运而生，从技术层面上防止敏感数据或者核心数据泄露的可能性。

发明内容

针对上述问题，本申请提供一种面向密柜应用场景的内外网安全隔离系统，以解决企业数据从网络泄露的问题，为企业提供数据安全保障。

本发明的技术方案为：一种面向密柜应用场景的内外网安全隔离系统，所述内外网安全隔离系统包括：

准入网关管理模块，所述准入网关管理模块用于根据访问协议对访问企业内网的申请入网终端进行审核，允许符合所述访问协议的申请入网终端连接企业内网，阻止不符合所述访问协议的申请入网终端连接企业内网；

所述准入网关管理模块包括：

地址管理单元，所述地址管理单元用于对用户的IP地址进行管理，利用地址数据库存储用户的IP地址，并根据新用户IP地址的下发与旧用户IP地址的回收同步地对所述地址数据库中存储的数据进行增删；

网络准入管理单元，所述网络准入管理单元用于管理申请入网终端的网络连接功能；

网络设备管理单元，所述网络设备管理单元用于管理申请入网终端的位置信息；

所述访问协议包括IP地址规则与位置规则；

所述准入网关管理模块用于根据所述访问协议，审核申请入网终端的IP地址是否遵从IP地址规则，以及审核申请入网终端所处位置是否遵从位置规则，允许IP地址遵从IP地址规则且所处位置遵从位置规则的申请入网终端访问企业内网。

进一步地，所述网络准入管理单元通过对申请入网终端的注册表进行扫描，检测申请入网终端安装的应用中是否包含密柜产品，如果安装有所述密柜产品，则打开密柜产品并将申请入网终端的网络管理权限移交给密柜内网络管理系统；

所述网络准入管理单元阻断未安装所述密柜产品的申请入网终端访问企业内网。

进一步地，所述网络设备管理单元利用位置数据库记录允许访问企业内网的终端设备的位置安全区域；

当目标申请入网终端申请访问企业内网时，所述网络设备管理单元通过网关的连接信息对所述目标申请入网终端进行定位，并根据所述位置数据库核对所述目标申请入网终端所处位置是否属于位置安全区域，如果所述目标申请入网终端所处位置不属于所述位置安全区域，则上报位置异常信息。

进一步地，所述密柜内网络管理系统用于对准入网关管理模块允许访问企业内网的申请入网终端进行管理；

所述密柜内网络管理系统在所述允许访问企业内网的申请入网终端上设置密柜系统，安装在所述密柜系统内的应用才能访问网络，所述网络为记录在安全名单上的网络，所述密柜内网络管理系统包括：

应用管理单元，所述应用管理单元用于对所述允许访问企业内网的申请入网终端的应用进行管理；

安全域网络管理单元，所述安全域网络管理单元用于建立安全区域数据库并对所述安全区域数据库进行管理；

外设管理单元，所述外设管理单元用于对所述允许访问企业内网的申请入网终端的外部设备进行管理。

进一步地，所述应用管理单元，设立有应用白名单；

当所述应用管理单元接收到所述允许访问企业内网的申请入网终端的目标应用安装请求时，所述应用管理单元查询所述目标应用是否存在于所述应用白名单中；

若存在，则直接从服务器下载所述密柜内网络管理系统提前准备好的安装包；若不存在，则需要向所述内外网安全隔离系统提交所述目标应用的安装申请，当所述内外网安全隔离系统对所述目标应用的安全审核通过之后，由所述内外网安全隔离系统下载所述目标应用的安装包，再下发至所述允许访问企业内网的申请入网终端的密柜系统，完成所述目标应用的安装。

进一步地，所述安全域网络管理单元根据实际业务需求划分安全域，所述安全域的数量至少为一个，并设立用于存储数据的安全域信息系统，所述安全域信息系统存储的数据包括安全域中用户的IP地址、MAC地址和所属单位；

在任一安全域关联的终端信息初始化或者更新时，所述终端信息会同步至该安全域内所有终端上的密柜系统，在属于同一安全域的密柜系统之间构建自由安全流转的数据传输网络。

进一步地，所述外设管理单元会对终端连接的外部设备进行扫描，若被扫描检测出所述外部设备为存储类外部设备，则在密柜系统内禁用所述存储类外部设备；若被扫描检查出所述外部设备为非存储类外部设备，则限制所述非存储类外部设备的读写权限。

进一步地，所述地址管理单元还用于存储MAC地址；

当所述IP地址遵从IP地址规则且所处位置遵从位置规则的申请入网终端连接企业内网后，所述地址管理单元收集所述申请入网终端的MAC地址，并将所述申请入网终端的IP地址与MAC地址相关联。

本发明具有以下优点：

1、本发明提出了一种面向密柜应用场景的内外网安全隔离系统，用于数据防泄漏的网络管控，利用了用户的IP地址、MAC地址以及网关定位信息，对连接设备的安全性进行全面的评估，提高了系统的安全性，解决企业数据从网络泄露的问题，为企业提供数据安全保障。

2、本发明设计了密柜内网络管理系统，对密柜内的应用进行了统一的管理，防止了应用暗藏后门导致数据泄露或者版权追责；构建了安全域信息系统，在同一安全域内的密柜之间搭建了自由安全流转的数据传输网络，在保证数据安全性的同时提高了数据安全传输的效率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。

图1为本发明实施例中提供的一种面向密柜应用场景的内外网安全隔离系统的结构示意图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请部分实施例进行进一步详细说明。

实施例1

参见图1，本发明实施例1提供一种面向密柜应用场景的内外网安全隔离系统，包括：

准入网关管理模块，用于根据访问协议对访问企业内网的申请入网终端进行审核，允许符合访问协议的申请入网终端连接企业内网，阻止不符合访问协议的申请入网终端连接企业内网；

其中，准入网关管理模块包括：

地址管理单元，用于对用户的IP地址进行管理，利用地址数据库存储用户的IP地址，具体地，使用Oracle和MySQL等数据库存储用户的IP地址，并且在新用户IP地址的下发与旧用户IP地址的回收时，同步地对地址数据库中存储的IP地址进行增加与删减。

网络准入管理单元，用于管理申请入网终端的网络连接功能；

具体地，网络准入管理单元通过对申请入网终端的注册表进行扫描，检测申请入网终端安装的应用中是否包含有密柜产品，如果安装的应用中包含密柜产品，则打开密柜产品并将申请入网终端的网络管理权限移交给密柜内网络管理系统，由密柜内网络管理系统对该申请入网终端的网络连接功能进行管理；如果安装的应用中不包含密柜产品，网络准入管理单元将阻断该申请入网终端访问企业内网。

网络设备管理单元，用于管理申请入网终端的位置信息；

具体地，网络设备管理单元利用位置数据库记录允许访问企业内网的终端设备的位置安全区域，在本实施例中使用Oracle和MySQL等数据库记录允许访问企业内网的终端设备所在的位置，允许访问企业内网的终端设备所在的位置即为位置安全区域。

当任一申请入网终端申请访问企业内网时，网络设备管理单元通过网关的连接信息对该申请入网终端进行定位，并根据位置数据库中存储的信息核对该申请入网终端所处位置是否属于位置安全区域，如果该申请入网终端所处位置不属于位置安全区域，则上报位置异常信息，内外网安全隔离系统将阻止该申请入网终端访问企业内网，并要求用户进行身份认证。同时运维人员也可以根据申请入网终端连接企业内网的定位变化对可能存在异常或者安全性低的终端进行标定，加强对用户的认证。

进一步地，访问协议包括IP地址规则与位置规则；具体为，IP地址规则记录了允许访问企业内网的IP地址，位置规则记录了允许访问企业内网的终端设备应该处于的位置。

准入网关管理模块将根据访问协议，审核申请入网终端的IP地址是否遵从IP地址规则，以及审核申请入网终端所处位置是否遵从位置规则，当任一申请入网终端的IP地址属于允许访问企业内网的IP地址，且该申请入网终端所处位置位于位置规则所记录的位置，则允许该申请入网终端访问企业内网。

进一步地，地址管理单元还用于存储MAC地址；

对于任一申请入网终端的IP地址遵从IP地址规则，且该申请入网终端所处位置遵从位置规则，当该申请入网终端连接企业内网后，地址管理单元将收集该申请入网终端的MAC地址，并将该申请入网终端的IP地址和对应的MAC地址相关联，同时保留连接记录。运维人员根据连接记录以及IP地址与MAC地址之间的关联信息评估允许访问企业内网的IP地址的安全性。

进一步地，密柜内网络管理系统用于对准入网关管理模块允许访问企业内网的申请入网终端进行管理；

密柜内网络管理系统在允许访问企业内网的申请入网终端上设置密柜系统，安装在密柜系统内的应用才能访问网络，允许访问企业内网的申请入网终端上安装在密柜系统外的应用将不能访问网络，且安装在密柜系统内的应用访问的网络记录在安全名单上的网络，可以想到的是，安全名单上的网络可以根据实际情况人为地设定。

上述内容中的密柜系统由人为构建，是一种拥有加密功能的安全的虚拟化计算环境，它在原生操作系统之上构建，但具有独立的存储空间、独立的计算环境和独立的网络以及外设等安全访问控制体系。相当于在企业员工的终端上创建一个保密空间，在这个空间中进行研发与设计，供应商委托、合作伙伴委托等业务均受到密柜的安全保护。同时，在密柜中产生的所有数据均只能在密柜中看到，并在密柜中加密存储，密柜空间对外是隐形的。密柜不依赖于物理空间的限制，企业可以将密柜系统安装到供应商和合作伙伴的电脑上，并且该密柜将永远受企业的管理。密柜虽然安装在其它公司，但其所属权一直属于企业，密柜中所有的数据交互和操作行为均受到企业的管控。

本发明提出的一种面向密柜应用场景的内外网安全隔离系统，基于密柜系统实现对内外网的安全隔离，用于数据防泄漏的网络管控，利用了用户的IP地址、MAC地址以及网关定位信息，对连接设备的安全性进行全面的评估，提高了系统的安全性，解决企业数据从网络泄露的问题，为企业提供数据安全保障。

本发明实施例中提供的密柜内网络管理系统包括：

应用管理单元，用于对允许访问企业内网的申请入网终端的应用进行管理；

具体地，应用管理单元上设立有应用白名单；

对于安装有密柜系统的申请入网终端，当用户想在该终端上安装应用时，将受到管控，当应用管理单元接收到该申请入网终端的目标应用安装请求时，应用管理单元查询目标应用是否存在于应用白名单中；

若存在，则直接从服务器中下载密柜内网络管理系统提前准备好的安装包；若不存在，则需要向内外网安全隔离系统提交目标应用的安装申请，应用管理单元将自动向内外网安全隔离系统提交目标应用的安装申请，内外网安全隔离系统接收到申请后，将对目标应用进行审核，当内外网安全隔离系统对目标应用的安全审核通过之后，由内外网安全隔离系统下载目标应用的安装包，再下发至允许访问企业内网的申请入网终端的密柜系统，该终端将以下发的安装包进行目标应用的安装。

并且，在密柜系统内的应用连接的网络以及数据传输的端口都会受到内外网安全隔离系统的管控，防止应用暗藏后门导致数据泄露或者版权追责。

安全域网络管理单元，用于建立安全区域数据库并对安全区域数据库进行管理；

具体地，安全域网络管理单元根据实际业务需求划分安全域，安全域的数量至少为一个，并设立用于存储数据的安全域信息系统，安全域信息系统存储的数据包括安全域中用户的IP地址、MAC地址和所属单位，以及划分的安全域的相关信息。在任一安全域关联的终端信息初始化或者更新时，安全域网络管理单元会将相关的终端信息同步至该安全域内所有终端上的密柜系统上，在属于同一安全域的密柜系统之间构建自由安全流转的数据传输网络。

外设管理单元，外设管理单元用于对允许访问企业内网的申请入网终端的外部设备进行管理；

具体地，外设管理单元会对申请入网终端上连接的外部设备进行扫描，若被扫描检测出外部设备为存储类外部设备，则在该终端上的密柜系统内禁用该存储类外部设备；若被扫描检查出外部设备为非存储类外部设备，则限制该非存储类外部设备在该终端上的读写权限，防止该终端上的数据通过外设接口被拷贝，导致数据泄露。

本发明设计的密柜内网络管理系统，对密柜内的应用进行了统一的管理，防止了应用暗藏后门导致数据泄露或者版权追责；构建了安全域信息系统，在同一安全域内的密柜之间搭建了自由安全流转的数据传输网络，在保证数据安全性的同时提高了数据安全传输的效率。

应当理解的是，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，而所有这些改进和变换都应属于本发明所附权利要求的保护范围。本说明书中未作详细描述的部分属于本领域专业技术人员公知的现有技术。

Claims (6)

1.一种面向密柜应用场景的内外网安全隔离系统，其特征在于，所述内外网安全隔离系统包括：

准入网关管理模块，所述准入网关管理模块用于根据访问协议对访问企业内网的申请入网终端进行审核，允许符合所述访问协议的申请入网终端连接企业内网，阻止不符合所述访问协议的申请入网终端连接企业内网；

所述准入网关管理模块包括：

地址管理单元，所述地址管理单元用于对用户的IP地址进行管理，利用地址数据库存储用户的IP地址，并根据新用户IP地址的下发与旧用户IP地址的回收同步地对所述地址数据库中存储的数据进行增删；

网络准入管理单元，所述网络准入管理单元用于管理申请入网终端的网络连接功能；

网络设备管理单元，所述网络设备管理单元用于管理申请入网终端的位置信息；

所述访问协议包括IP地址规则与位置规则；

所述准入网关管理模块用于根据所述访问协议，审核申请入网终端的IP地址是否遵从IP地址规则，以及审核申请入网终端所处位置是否遵从位置规则，允许IP地址遵从IP地址规则且所处位置遵从位置规则的申请入网终端访问企业内网；

所述网络准入管理单元通过对申请入网终端的注册表进行扫描，检测申请入网终端安装的应用中是否包含密柜产品，如果安装有所述密柜产品，则打开密柜产品并将申请入网终端的网络管理权限移交给密柜内网络管理系统；

所述网络准入管理单元阻断未安装所述密柜产品的申请入网终端访问企业内网；

所述密柜内网络管理系统用于对准入网关管理模块允许访问企业内网的申请入网终端进行管理；

所述密柜内网络管理系统在所述允许访问企业内网的申请入网终端上设置密柜系统，安装在所述密柜系统内的应用才能访问网络，所述网络为记录在安全名单上的网络，所述密柜内网络管理系统包括：

应用管理单元，所述应用管理单元用于对所述允许访问企业内网的申请入网终端的应用进行管理；

安全域网络管理单元，所述安全域网络管理单元用于建立安全区域数据库并对所述安全区域数据库进行管理；

外设管理单元，所述外设管理单元用于对所述允许访问企业内网的申请入网终端的外部设备进行管理。

2.如权利要求1所述的一种面向密柜应用场景的内外网安全隔离系统，其特征在于，所述网络设备管理单元利用位置数据库记录允许访问企业内网的终端设备的位置安全区域；

当目标申请入网终端申请访问企业内网时，所述网络设备管理单元通过网关的连接信息对所述目标申请入网终端进行定位，并根据所述位置数据库核对所述目标申请入网终端所处位置是否属于位置安全区域，如果所述目标申请入网终端所处位置不属于所述位置安全区域，则上报位置异常信息。

3.如权利要求1所述的一种面向密柜应用场景的内外网安全隔离系统，其特征在于，所述应用管理单元，设立有应用白名单；

当所述应用管理单元接收到所述允许访问企业内网的申请入网终端的目标应用安装请求时，所述应用管理单元查询所述目标应用是否存在于所述应用白名单中；

若存在，则直接从服务器下载所述密柜内网络管理系统提前准备好的安装包；若不存在，则需要向所述内外网安全隔离系统提交所述目标应用的安装申请，当所述内外网安全隔离系统对所述目标应用的安全审核通过之后，由所述内外网安全隔离系统下载所述目标应用的安装包，再下发至所述允许访问企业内网的申请入网终端的密柜系统，完成所述目标应用的安装。

4.如权利要求1所述的一种面向密柜应用场景的内外网安全隔离系统，其特征在于，所述安全域网络管理单元根据实际业务需求划分安全域，所述安全域的数量至少为一个，并设立用于存储数据的安全域信息系统，所述安全域信息系统存储的数据包括安全域中用户的IP地址、MAC地址和所属单位；

在任一安全域关联的终端信息初始化或者更新时，所述终端信息会同步至该安全域内所有终端上的密柜系统，在属于同一安全域的密柜系统之间构建自由安全流转的数据传输网络。

5.如权利要求1所述的一种面向密柜应用场景的内外网安全隔离系统，其特征在于，所述外设管理单元会对终端连接的外部设备进行扫描，若被扫描检测出所述外部设备为存储类外部设备，则在密柜系统内禁用所述存储类外部设备；若被扫描检查出所述外部设备为非存储类外部设备，则限制所述非存储类外部设备的读写权限。

6.如权利要求1所述的一种面向密柜应用场景的内外网安全隔离系统，其特征在于，所述地址管理单元还用于存储MAC地址；

当所述IP地址遵从IP地址规则且所处位置遵从位置规则的申请入网终端连接企业内网后，所述地址管理单元收集所述申请入网终端的MAC地址，并将所述申请入网终端的IP地址与MAC地址相关联。

Images