CN115987675B - 违规外联检测方法、装置、移动终端及存储介质 - Google Patents
违规外联检测方法、装置、移动终端及存储介质 Download PDFInfo
- Publication number
- CN115987675B CN115987675B CN202211736287.5A CN202211736287A CN115987675B CN 115987675 B CN115987675 B CN 115987675B CN 202211736287 A CN202211736287 A CN 202211736287A CN 115987675 B CN115987675 B CN 115987675B
- Authority
- CN
- China
- Prior art keywords
- network
- external connection
- illegal external
- illegal
- detection result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 176
- 230000009471 action Effects 0.000 claims abstract description 52
- 238000000034 method Methods 0.000 claims abstract description 45
- 230000007246 mechanism Effects 0.000 claims description 19
- 238000012545 processing Methods 0.000 claims description 14
- 230000003287 optical effect Effects 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 5
- 238000011084 recovery Methods 0.000 claims description 5
- 230000006399 behavior Effects 0.000 description 26
- 238000010586 diagram Methods 0.000 description 20
- 230000000007 visual effect Effects 0.000 description 10
- 230000006870 function Effects 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了违规外联检测方法、装置、移动终端及存储介质。包括根据违规外联策略持续检测用户端是否存在违规外联动作,其中,违规外联策略预先存储在用户端中;当用户端存在违规外联动作时,生成违规外联检测结果;根据违规外联检测结果通过内网上报得到内网上报信息;根据违规外联检测结果通过外网上报得到外网上报信息;将内网上报信息和外网上报信息合并输出并显示。解决现有用户端需要同时连接内网和外网才能进行违规外联检测的限制,用户端单连内网或外网时可检测用户端是否违规外联,扩大了检测方法适用场合。通过内网和外网上传的违规外联检测结果进行用户端是否违规外联的双重校验,进一步确保了用户端违规外联行为判断的准确性。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种违规外联检测方法、装置、移动终端及存储介质。
背景技术
政府、军队和各企事业单位均已实现了办公系统的网络化,在信息系统中存储大量关于国家安全和企业商业秘密的机密信息。这些信息一旦泄露,不仅会损坏企事业单位的经济利益,还会对国家安全造成严重威胁。为了提高信息系统的安全性,这些企事业单位通常选择内网进行常规办公,而一些对信息安全要求较高的单位会采取禁止内网与互联网网络连接的保密措施,从物理上对内网与互联网进行隔绝。
针对用户的违规外联或非法外联行为,通常采用检测系统对用户的网络使用行为进行监控。通常有两种手段:第一种是不在用户使用的设备端安装相应的检测系统客户端,通过检测用户是否存在内网和互联网均在线的行为判断用户是否进行违规外联。第二种是在内网装有相应的检测系统客户端或违规外联检测服务器,在互联网上部署对应的取证平台,根据接受到违规外联检测服务器发送的外联数据包即可判断用户产生违规外联行为。具体的,违规外联检测服务器在内网的网络协议(IP,Internet Protocol)网段范围进行违规外联扫描,并在用户同时连接内网和互联网时将内嵌取证平台IP和探测数据包通过内网终端的路由转发服务进行数据转发,取证平台所在的外网服务器接受到探测数据包,记录IP信息并回应内网的违规外联服务器,从而实现违规外联的检测功能。
但是这种方法仍然存在弊端,即需要用户同时连接内网和外网才能实现对用户是否违规外联的监控,倘若用户断开内网后连接外部的互联网,检测系统不能进行相应行为的检测与记录,仍然存在信息安全隐患,也不能在用户发生违规外联时采取手段杜绝这一行为的继续进行。
发明内容
本申请实施例提供了违规外联检测方法、装置、移动终端及存储介质。违规外联检测方法通过违规外联策略持续检测用户端是否存在违规外联动作,并预先在用户端存储相应的违规外联策略;当检测发现用户端存在违规外联动作后生成违规外联检测结果,并将检测结果分别通过内网和外网上报,上报后得到的外网上报信息再与内网上报信息合并输出并显示供管理员查看。解决了现有技术中用户端需要同时连接内网和外网才能进行违规外联检测的限制,用户端单连内网或单连外网时也可以检测用户端是否存在违规外联行为,扩大了本申请违规外联检测方法的适用场合,而通过内网和外网分别上传的违规外联检测结果可以进行用户端是否违规外联的双重校验,进一步确保了用户端违规外联行为判断的准确性。
为了解决上述技术问题,本申请提供了一种违规外联检测方法,包括:
根据违规外联策略持续检测用户端是否存在违规外联动作,其中,违规外联策略预先存储在用户端中;
当用户端存在违规外联动作时,生成违规外联检测结果;
根据违规外联检测结果通过内网上报,得到内网上报信息;
根据违规外联检测结果通过外网上报,得到外网上报信息;
将内网上报信息和外网上报信息合并输出并显示。
在一种可能的实现方式中,当用户端存在违规外联动作时,生成违规外联检测结果包括:
当用户端存在违规外联动作时,获取违规外联的第三方互联网出口IP;
当成功获取第三方互联网出口IP后,根据违规外联的第三方互联网出口IP,生成违规外联检测结果。
在一种可能的实现方式中,根据所述违规外联检测结果通过内网上报,得到内网上报信息之后,还包括:
当所述违规外联检测结果通过内网上报失败时,暂时存储所述违规外联检测结果并再次通过内网上报得到所述内网上报信息。
在一种可能的实现方式中,根据所述违规外联检测结果通过外网上报,得到外网上报信息之前,还包括:
检测外网服务是否接通;
当外网服务接通时允许将违规外联检测结果通过外网上报;
根据违规外联检测结果通过外网上报,得到外网上报信息之后,还包括:
当违规外联检测结果通过外网上报失败时,暂时存储违规外联检测结果并再次通过外网上报得到外网上报信息。
在一种可能的实现方式中,将内网上报信息和外网上报信息合并输出并显示之前还包括:
根据内网上报信息获取用户端的原始IP;
根据用户端的原始IP依据算法判断用户端的归属机构;
将所述内网上报信息和外网上报信息合并输出并显示包括:
将内网上报信息和外网上报信息向用户端的归属机构合并输出并显示。
在一种可能的实现方式中,将内网上报信息和外网上报信息合并输出并显示包括:
将外网上报信息通过单向光闸回传与内网上报信息合并;
将合并后的内网上报信息与外网上报信息通过分布式流式处理平台中间件输出;
将通过分布式流式处理平台中间件输出的内网上报信息与外网上报信息合并显示。
在一种可能的实现方式中,当用户端存在违规外联动作时,生成违规外联检测结果之后,还包括:
根据违规外联检测结果和断网策略判断用户端是否满足断网条件,其中,断网策略预先存储在用户端中;
当判断用户端满足断网条件后,根据断网策略获取断网持续时间并执行断网动作;
持续判断断网持续时间是否结束,当断网持续时间结束后根据断网策略重新判断用户端是否满足所述断网条件;
当判断用户端不满足断网条件后,执行恢复网络动作。
本申请还提供一种违规外联检测装置,包括:
判断模块,用于根据违规外联策略持续检测用户端是否存在违规外联动作,其中,违规外联策略预先存储在用户端中;
结果生成模块,用于当判断模块判断用户端存在违规外联动作时,生成违规外联检测结果;
内网上报模块,用于根据违规外联检测结果通过内网上报,得到内网上报信息;
外网上报模块,用于根据违规外联检测结果通过外网上报,得到外网上报信息;
输出显示模块,用于将内网上报信息和外网上报信息合并输出并显示。
本申请还提供了一种移动终端,包括:
至少一个处理器;以及,
与至少一个处理器通信连接的存储器;其中,
存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够实现以上所述的违规外联检测方法。
本申请还提供了一种计算机可读存储介质,存储有计算机程序,计算机程序被处理器执行时能够实现以上所述的违规外联检测方法。
在本申请实施例中,通过违规外联策略持续检测用户端是否存在违规外联动作,并预先在用户端存储相应的违规外联策略;当检测发现用户端存在违规外联动作后生成违规外联检测结果,并将检测结果分别通过内网和外网上报,上报后得到的外网上报信息再与内网上报信息合并输出并显示供管理员查看。解决了现有技术中用户端需要同时连接内网和外网才能进行违规外联检测的限制,用户端单连内网或单连外网时也可以检测用户端是否存在违规外联行为,扩大了本申请违规外联检测方法的适用场合,而通过内网和外网分别上传的违规外联检测结果可以进行用户端是否违规外联的双重校验,进一步确保了用户端违规外联行为判断的准确性。
此外,本申请的违规外联检测方法违规外联策略预先存储在用户端上,不同级别、不同信息安全保密需求的用户端可以采用不同的违规外联策略,对信息安全保密需求较低的用户端可以采用更为宽泛的违规外联策略,减少违规外联检测结果所显示的数据量,满足不同用户端的实际需求。
上述说明仅是本申请提供的技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
一个或多个实施例通过与之对应的附图中的图片进行示例性说明,这些示例性说明并不构成对实施例的限定,附图中具有相同参考数字标号的元件表示为类似的元件,除非有特别申明,附图中的图不构成比例限制。
图1是本申请实施例提供的违规外联检测方法示意图一;
图2是本申请实施例提供的违规外联甬道示意图;
图3是本申请实施例提供的违规外联检测方法示意图二;
图4是本申请实施例提供的违规外联逻辑判断示意图;
图5是本申请实施例提供的违规外联检测方法示意图三;
图6是本申请实施例提供的违规外联检测方法示意图四;
图7是本申请实施例提供的违规外联检测方法示意图五;
图8是本申请实施例提供的违规外联检测方法示意图六;
图9是本申请实施例提供的违规外联检测方法示意图七;
图10是本申请实施例提供的断网逻辑判断示意图;
图11是本申请实施例提供的总行服务器和各省服务器连接关系示意图;
图12是本申请实施例提供的单域部署示意图;
图13是本申请实施例提供的跨域部署示意图;
图14是本申请实施例提供的违规外联检测装置示意图一;
图15是本申请实施例提供的违规外联检测装置示意图二;
图16是本申请实施例提供的违规外联检测装置示意图三;
图17是本申请实施例提供的违规外联检测装置示意图四;
图18是本申请实施例提供的违规外联检测装置示意图五;
图19是本申请实施例提供的违规外联检测装置示意图六;
图20是本申请实施例提供的违规外联检测装置示意图七;
图21是本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本申请的示例性实施例。虽然附图中显示了本申请的示例性实施例,然而应当理解,可以以各种形式实现本申请而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本申请,并且能够将本申请的范围完整的传达给本领域的技术人员。
数据泄露防护(DLP,Data leakage prevention),是指通过一定的技术手段防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种防护策略,一般采用对用户端是否发生违规外联行为进行检测从而完成DLP的初步工作。
本申请通过违规外联策略持续检测用户端是否存在违规外联动作,并预先在用户端存储相应的违规外联策略;当检测发现用户端存在违规外联动作后生成违规外联检测结果,并将检测结果分别通过内网和外网上报,上报后得到的外网上报信息再与内网上报信息合并输出并显示供管理员查看。解决了现有技术中用户端需要同时连接内网和外网才能进行违规外联检测的限制,用户端单连内网或单连外网时也可以检测用户端是否存在违规外联行为,扩大了本申请违规外联检测方法的适用场合,而通过内网和外网分别上传的违规外联检测结果可以进行用户端是否违规外联的双重校验,进一步确保了用户端违规外联行为判断的准确性。
本申请的第一实施方式提供一种违规外联检测方法,如图1所示,包括:
步骤101、根据违规外联策略持续检测用户端是否存在违规外联动作,其中,违规外联策略预先存储在用户端中;
步骤102、当用户端存在违规外联动作时,生成违规外联检测结果;
步骤103、根据违规外联检测结果通过内网上报,得到内网上报信息;
步骤104、根据违规外联检测结果通过外网上报,得到外网上报信息;
步骤105、将内网上报信息和外网上报信息合并输出并显示。
具体的,如图2所示,在一套应用本申请的违规外联检测方法的违规外联检测系统中,包括安装在内网中的终端管理系统和安装在外网的互联网检测服务端口,结合安装在用户端的客户端、可视化管理系统实现违规外联检测方法的运行。
安装在内网中的终端管理系统预先下发并在客户端存储违规外联策略。随后,安装在用户端的客户端持续对用户的网络访问行为进行检测,判断用户端是否存在违规外联或非法外联动作。当客户端检测到用户端存在违规外联动作后,生成违规外联检测结果并分别通过内网向位于内网中的终端管理系统和位于外网或互联网中的互联网检测服务端口上报,分别得到内网上报信息和外网上报信息。其中互联网检测服务端口在接受到外网上报信息后将其进行存储备份,并通过单向光闸回传到内网的终端管理系统,终端管理系统将外网上报信息和内网上报信息通过包括Kafka但不限于的分布式流式处理平台的中间件形式发送到可视化管理系统,可视化管理系统将外网上报信息和内网上报信息合并并输出供管理员查看。
在上述实施方式的基础上,如图3所示,步骤102、当用户端存在违规外联动作时,生成违规外联检测结果包括:
步骤121、当用户端存在违规外联动作时,获取违规外联的第三方互联网出口IP;
步骤122、当成功获取第三方互联网出口IP后,根据违规外联的第三方互联网出口IP,生成违规外联检测结果。
具体的,如图4所示,当客户端需要检测用户端是否存在违规外联行为前判断是否能利用“Ping”命令连通违规外联策略所存储的网址,从而判断能否调用违规外联策略进行违规外联检测结果的判断。当可以利用“Ping”命令连通违规外联策略所存储的网址后,获取用户端所违规外联的第三方互联网出口IP,如果成功获取第三方互联网出口IP后,生成违规外联检测结果并将违规外联检测结果通过内网上报内网中的终端管理系统,并通过日志处理的方式进行记录便于管理员调出查看。此外,不论能否成功获取第三方互联网出口IP,都需要通过外网将违规外联检验结果通过外网上报到外网的互联网检测服务端口,并通过日志处理的方式进行记录便于管理员调出查看。
本申请的违规外联检测方法,通过获取违规外联的第三方互联网出口IP,管理员可以明确得知用户端违规外联的具体行为并采取相应措施,加强了对用户端违规外联行为的管控力度,一定程度上保障了用户端的网络安全和信息安全。
在上述实施方式的基础上,如图5所示,步骤103、根据所述违规外联检测结果通过内网上报,得到内网上报信息之后,还包括:
步骤131、当违规外联检测结果通过内网上报失败时,暂时存储所述违规外联检测结果并再次通过内网上报得到所述内网上报信息。
具体的,如图4所示,将违规外联检测结果通过内网上报内网中的终端管理系统,并通过日志处理的方式进行记录便于管理员调出查看时,假若第一次上报失败,将对应的违规外联检测结果暂存并再次通过内网上报内网的终端管理系统。
本申请的违规外联检测方法,通过违规外联检测结果通过内网上报的动作失败后暂存后继续上报,确保了违规外联检测方法的原始数据不会丢失,保障了违规外联检测方法内网上报的成功率,进一步确保了违规外联检测方法的准确性。
在上述实施方式的基础上,如图6所示,步骤104、根据所述违规外联检测结果通过外网上报,得到外网上报信息之前,还包括:
步骤141、检测外网服务是否接通;
步骤142、当外网服务接通时允许将违规外联检测结果通过外网上报;
步骤104、根据违规外联检测结果通过外网上报,得到外网上报信息之后,还包括:
步骤143、当违规外联检测结果通过外网上报失败时,暂时存储违规外联检测结果并再次通过外网上报得到外网上报信息。
具体的,如图4所示,再进行外网上报的方法前,不论是否获取第三方互联网出口IP,均需检测互联网或外网的互联网服务是否接通,如果没有接通,不允许通过外网上报违规外联检测信息,直接结束通过外网上报的动作。只有当检测互联网服务已接通,才能通过外网将违规外联检验结果通过外网上报到外网的互联网检测服务端口,并通过日志处理的方式进行记录便于管理员调出查看。同内网上报的动作相似,假若第一次上报失败,将对应的违规外联检测结果暂存并再次通过外网上报外网的互联网检测服务端口。
本申请的违规外联检测方法,通过先判断外网是否连接在进行外网上报,避免了用户端没有连接外网时仍然进行外网上报动作。并且违规外联检测结果通过外网上报的动作失败后暂存后继续上报,确保了违规外联检测方法的原始数据不会丢失,保障了违规外联检测方法外网上报的成功率,进一步确保了违规外联检测方法的准确性。。
在上述实施方式的基础上,如图7所示,步骤105、将内网上报信息和外网上报信息合并输出并显示之前还包括:
步骤106、根据内网上报信息获取用户端的原始IP;
步骤107、根据用户端的原始IP依据算法判断用户端的归属机构;
步骤105、将所述内网上报信息和外网上报信息合并输出并显示包括:
步骤151、将内网上报信息和外网上报信息向用户端的归属机构合并输出并显示。
具体的,如图2所示,位于内网的终端管理系统还需要根据内网上报信息获取用户端的原始IP,并依据算法判断原始IP位于哪一个IP段范围,从而确定用户端对应的归属机构。当确认了用户端对应的归属机构后,发送给相应的用户端的归属机构的可视化管理系统,相应归属机构的可视化管理系统将内网上报信息和外网上报信息合并、输出并显示。
本申请的违规外联检测方法,通过获取用户端的原始IP,并依据算法判断用户端的归属机构,当获知用户端的归属机构后,将内网上报信息和外网上报信息发送给对应归属机构的可视化显示系统。管理员只需要管理自身归属的用户端,对于不属于自身的用户端的信息不会收到,降低了管理员需要处理的违规外联数据量,增强了对自身用户端违规外联行为检测的管理效率。
在上述实施方式的基础上,如图8所示,步骤105、将内网上报信息和外网上报信息合并输出并显示包括:
步骤152、将外网上报信息通过单向光闸回传与内网上报信息合并;
步骤153、将合并后的内网上报信息与外网上报信息通过分布式流式处理平台中间件输出;
步骤154、将通过分布式流式处理平台中间件输出的内网上报信息与外网上报信息显示。
具体的,位于外网的互联网检测服务端口将外网上报信息通过单向光闸回传的方式回传到内网的终端管理系统,内网的终端管理系统将内网上报信息和外网上报信息通过Kafka但不限于分布式流式处理平台的中间件形式发送到可视化管理系统,如果内网的终端管理系统已获取用户端的原始IP并判断出对应的归属机构后,向对应的归属机构的可视化管理系统发送对应的内网上报信息和外网上报信息。可视化管理系统将内网上报信息和外网上报信息合并并输出显示,供管理员审查。此外,可视化管理系统还向管理员提供处置权限,并根据管理员依据处置权限下达的处置结论向内网的终端管理系统发送处置指令,便于管理员处置违规外联事件避免其再次发生。
本申请的违规外联检测方法,通过将外网上报信息单向发送到内网的管理系统中与内网管理系统中的内网上报信息合并,确保了外网信息不受内网信息干扰,相互独立,便于管理员根据其中之一判断用户违规外联行为或同时根据内网上报信息和外网上报信息进行双重验证,提高对用户违规外联行为判断的准确性。
在上述实施方式的基础上,如图9所示,步骤102、当用户端存在违规外联动作时,生成违规外联检测结果之后,还包括:
步骤123、根据违规外联检测结果和断网策略判断用户端是否满足断网条件,其中,断网策略预先存储在用户端中;
步骤124、当判断用户端满足断网条件后,根据断网策略获取断网持续时间并执行断网动作;
步骤125、持续判断断网持续时间是否结束,当断网持续时间结束后根据断网策略重新判断用户端是否满足所述断网条件;
步骤126、当判断用户端不满足断网条件后,执行恢复网络动作。
具体的,如图10所示,断网策略同样预先由内网中的终端管理系统下发到客户端所在的用户端中并存储。当需要进行断网条件判断时,先判断是否存在断网策略,如果不存在结束断网动作,只有存在断网策略后才判断是否要断网,并获取对应的断网持续时间,获取后执行用户端的断网动作,在断网持续时间内用户端处于断网状态。并且,客户端持续判断断网持续时间是否结束,是否到达断网时间,如果为否继续判断,如果为是重新判断是否满足断网条件,不满足断网条件时结束断网状态,恢复用户端的网络。
本申请的违规外联检测方法,通过在上述违规外联检测方法的基础上增设断网方法,针对现有检测装置停留在监控层面,只能根据检测到用户的违规外联行为进行上报告警问题,提供了可以根据预设的断网策略和违规外联检测结果判断用户端是否满足断网条件,并在满足断网条件时切断用户端的网络连接,避免用户端违规外联行为的再次发生,增强了对违规外联行为的监控,避免用户端违规外联的再次发生。此外,增设监控断网时间并在断网时间结束后判断用户端是否不再满足断网条件,用户端不满足断网条件时恢复用户端的网络连接动作,实现违规外联检测方法的断网功能的灵活实施。
在上述实施方式的基础上,本申请还提供一种服务器的搭建示例,可以实现本申请所述的违规外联检测方法。该示例应用于违规外联监控子平台的建设项目中,从而解决位于全国各地的办公终端及服务器连通互联网时存在非授权设备私自连接内网、内网用户非授权外联到外部网络的行为进行检测与限制,对其中发现的违规行为进行告警上报,从而实现全国各地办公终端及服务器违规外联的监控与处置,一定程度上保障了内网体系的网络安全与信息安全。
服务器的整体部署如图11所示,分为总行服务器和省级分行服务器,总行服务器分别部署有核心服务器、总行接入服务器和日志服务器,而每一个省级分行服务器都部署省级核心服务器和省级接入服务器,总行接入服务器与多个省级核心服务器和个别没有省级核心服务器的接入服务器相连,日志服务器与核心服务器相连用于接受所有的违规外联或非法外联日志信息,核心服务器与总行接入服务器相连已获取接入服务器的非法外联日志信息。每一个省级核心服务器分别与各自对应的省级接入服务器相连,省级接入服务器和接入服务器均与各自的客户端,包括但不限于一级终端、二级终端、三级终端相连。运行时,每一个客户端向相连的省级接入服务器和接入服务器上报非法外联日志信息,省级接入服务器和接入服务器将非法外联日志信息上传到总行接入服务器,总行接入服务器将上述日志信息再发送到核心服务器,并有核心服务器发送到日志服务器存储备份。此外,诸如客户端的终端资产发现信息、终端信息也可以通过这一方式向总行服务器上传。
在安全方面,本示例的客户/服务器(C/S,Client/Server)两端的网络通信采用双向超文本传输协议(HTTPS,Hyper Text Transfer Protocol over Secure SocketLayer),基于公钥基础设施(PKI,Public Key Infrastructure)体系的证书颁发管理机制,每个终端都有一个独立公私钥对,确保终端跟服务端的所有通讯信息安全可靠。
在具体的系统部署中,本示例依据具体应用场景分为两组不同类型的服务器组:
总行核心服务组(CSG,Core Service Group),用于提供全局服务管理能力的服务群组,以及将数据汇总展示。各省CSG,用于提供各省的服务管理能力的服务群组,并将违规外联或非法外联信息实时上报总行CSG对应的接受服务组(ASG,Accept Service Group),此外诸如客户端信息和资产信息也可以上报总行CSG对应的接受服务组(ASG,AcceptService Group)。每一个节点都采用核心部署的模式,这种模式集群将数据同时发送到对应各省CSG的Kafka和总行CSG的消息队列的Kafka,从而满足消息上报的需要。
此外,本示例还提供两种不同的部署方式已满足用户的实际需求
如图12所示为单域部署示意,这种部署在服务端的CSG和ASG存在交集,概念性区分弱,单域部署较为常见,适合客户端分布分散的场景,如客户存在多个分支机构。
如图13所示为跨域部署,CSG与ASG不存在交集,概念区分性很强,部分服务器仅需要部署在某一类型的服务组即可,并不需要完全部署。
本申请通过违规外联策略持续检测用户端是否存在违规外联动作,并预先在用户端存储相应的违规外联策略;当检测发现用户端存在违规外联动作后生成违规外联检测结果,并将检测结果分别通过内网和外网上报,上报后得到的外网上报信息再与内网上报信息合并输出并显示供管理员查看。解决了现有技术中用户端需要同时连接内网和外网才能进行违规外联检测的限制,用户端单连内网或单连外网时也可以检测用户端是否存在违规外联行为,扩大了本申请违规外联检测方法的适用场合,而通过内网和外网分别上传的违规外联检测结果可以进行用户端是否违规外联的双重校验,进一步确保了用户端违规外联行为判断的准确性。
此外,本申请的违规外联检测方法违规外联策略预先存储在用户端上,不同级别、不同信息安全保密需求的用户端可以采用不同的违规外联策略,对信息安全保密需求较低的用户端可以采用更为宽泛的违规外联策略,减少违规外联检测结果所显示的数据量,满足不同用户端的实际需求。
本申请的第二实施方式还提供一种违规外联检测装置,如图14所示,包括:
判断模块111,用于根据违规外联策略持续检测用户端是否存在违规外联动作,其中,违规外联策略预先存储在用户端中;
结果生成模块112,用于当判断模块判断用户端存在违规外联动作时,生成违规外联检测结果;
内网上报模块113,用于根据违规外联检测结果通过内网上报,得到内网上报信息;
外网上报模块114,用于根据违规外联检测结果通过外网上报,得到外网上报信息;
输出显示模块115,用于将内网上报信息和外网上报信息合并输出并显示。
在上述实施方式的基础上,如图15所示,结果生成模块112包括:
IP获取单元116,用于当用户端存在违规外联动作时,获取违规外联的第三方互联网出口IP;
结果生成单元117,用于当成功获取第三方互联网出口IP后,根据违规外联的第三方互联网出口IP,生成违规外联检测结果。
在上述实施方式的基础上,如图16所示,违规外联检测装置还包括:
第一暂存上报模块118,用于当所述违规外联检测结果通过内网上报失败时,暂时存储所述违规外联检测结果并再次通过内网上报得到所述内网上报信息。
在上述实施方式的基础上,如图17所示,违规外联检测装置还包括:
外网服务检测模块119,用于检测外网服务是否接通;
允许外网上报模块120,用于当外网服务接通时允许将违规外联检测结果通过外网上报;
第二暂存上报模块127,用于当违规外联检测结果通过外网上报失败时,暂时存储违规外联检测结果并再次通过外网上报得到外网上报信息。
在上述实施方式的基础上,如图18所示,违规外联检测装置还包括:
用户端IP获取模块128,用于根据内网上报信息获取用户端的原始IP;
IP归属判断模块129,用于根据用户端的原始IP依据算法判断用户端的归属机构;
输出显示模块115,此时将内网上报信息和外网上报信息向用户端的归属机构合并输出并显示。
在上述实施方式的基础上,如图19所示,输出显示模块115包括:
回传合并单元155,用于将外网上报信息通过单向光闸回传与内网上报信息合并;
信息输出单元156,用于将合并后的内网上报信息与外网上报信息通过分布式流式处理平台中间件输出;
信息显示单元157,用于将通过分布式流式处理平台中间件输出的内网上报信息与外网上报信息显示。
在上述实施方式的基础上,如图20所示,违规外联检测装置还包括:
断网条件判断模块161,用于根据违规外联检测结果和断网策略判断用户端是否满足断网条件,其中,断网策略预先存储在用户端中;
断网动作执行模块162,用于当判断用户端满足断网条件后,根据断网策略获取断网持续时间并执行断网动作;
断网时间判断模块163,用于持续判断断网持续时间是否结束,当断网持续时间结束后根据断网策略重新判断用户端是否满足所述断网条件;
恢复网络动作模块164,用于当判断用户端不满足断网条件后,执行恢复网络动作。
本申请的第三实施方式涉及一种移动终端,如图21所示,包括:
至少一个处理器1001;以及,
与所述至少一个处理器1001通信连接的存储器1002;其中,
所述存储器1002存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器1001执行,以使所述至少一个处理器1001能够实现本申请第一实施方式所述的硬件状态显示方法。
其中,存储器和处理器采用总线方式连接,总线可以包括任意数量的互联的总线和桥,总线将一个或多个处理器和存储器的各种电路连接在一起。总线还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路连接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口在总线和收发机之间提供接口。收发机可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器处理的数据通过天线在无线介质上进行传输,进一步,天线还接收数据并将数据传送给处理器。
处理器负责管理总线和通常的处理,还可以提供各种功能,包括定时,外围接口,电压调节、电源管理以及其他控制功能。而存储器可以被用于存储处理器在执行操作时所使用的数据。
本申请第四实施方式涉及一种计算机可读存储介质,存储有计算机程序。计算机程序被处理器执行时实现本申请第以实施方式所述的硬件状态显示方法。
即,本领域技术人员可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域技术人员在考虑说明书及实践这里公开的申请后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
Claims (9)
1.违规外联检测方法,其特征在于,应用于安装在用户端的客户端,包括:
根据违规外联策略持续检测用户端是否存在违规外联动作,其中,所述违规外联策略预先存储在用户端中;
当所述用户端存在违规外联动作时,生成违规外联检测结果;
根据所述违规外联检测结果通过内网上报,得到内网上报信息;
根据所述违规外联检测结果通过外网上报,得到外网上报信息;
当所述违规外联检测结果通过外网上报成功时,将所述内网上报信息和所述外网上报信息合并输出并显示;
当所述违规外联检测结果通过外网上报失败且所述违规外联检测结果通过内网上报成功时,将所述内网上报信息输出并显示;
根据所述违规外联检测结果和断网策略判断所述用户端是否满足断网条件,其中,所述断网策略预先存储在用户端中;
当判断所述用户端满足所述断网条件后,根据所述断网策略获取断网持续时间并执行断网动作;
持续判断所述断网持续时间是否结束,当所述断网持续时间结束后根据所述断网策略重新判断所述用户端是否满足所述断网条件;
当判断所述用户端不满足所述断网条件后,执行恢复网络动作。
2.根据权利要求1所述的方法,其特征在于,所述当所述用户端存在违规外联动作时,生成违规外联检测结果包括:
当所述用户端存在违规外联动作时,获取违规外联的第三方互联网出口IP;
当成功获取所述第三方互联网出口IP后,根据所述违规外联的第三方互联网出口IP,生成所述违规外联检测结果。
3.根据权利要求1所述的方法,其特征在于,所述根据所述违规外联检测结果通过内网上报,得到内网上报信息之后,还包括:
当所述违规外联检测结果通过内网上报失败时,暂时存储所述违规外联检测结果并再次通过内网上报得到所述内网上报信息。
4.根据权利要求1所述的方法,其特征在于,所述根据所述违规外联检测结果通过外网上报,得到外网上报信息之前,还包括:
检测外网服务是否接通;
当所述外网服务接通时允许将所述违规外联检测结果通过外网上报;
所述根据所述违规外联检测结果通过外网上报,得到外网上报信息之后,还包括:
当所述违规外联检测结果通过外网上报失败时,暂时存储所述违规外联检测结果并再次通过外网上报得到所述外网上报信息。
5.根据权利要求1所述的方法,其特征在于,所述当所述违规外联检测结果通过外网上报成功时,将所述内网上报信息和所述外网上报信息合并输出并显示之前,还包括:
根据所述内网上报信息获取用户端的原始IP;
根据所述用户端的原始IP依据算法判断所述用户端的归属机构;
所述将所述内网上报信息和所述外网上报信息合并输出并显示包括:
将所述内网上报信息和所述外网上报信息向所述用户端的归属机构合并输出并显示。
6.根据权利要求1所述的方法,其特征在于,所述当所述违规外联检测结果通过外网上报成功时,将所述内网上报信息和所述外网上报信息合并输出并显示包括:
将所述外网上报信息通过单向光闸回传与所述内网上报信息合并;
将合并后的所述内网上报信息与所述外网上报信息通过分布式流式处理平台中间件输出;
将通过所述分布式流式处理平台中间件输出的所述内网上报信息与所述外网上报信息合并显示。
7.违规外联检测装置,其特征在于,应用于安装在用户端的客户端,包括:
判断模块,用于根据违规外联策略持续检测用户端是否存在违规外联动作,其中,所述违规外联策略预先存储在用户端中;
结果生成模块,用于当所述判断模块判断所述用户端存在违规外联动作时,生成违规外联检测结果;
内网上报模块,用于根据所述违规外联检测结果通过内网上报,得到内网上报信息;
外网上报模块,用于根据所述违规外联检测结果通过外网上报,得到外网上报信息;
第一输出显示模块,用于当所述违规外联检测结果通过外网上报成功时,将所述内网上报信息和所述外网上报信息合并输出并显示;
第二输出显示模块,用于当所述违规外联检测结果通过外网上报失败且所述违规外联检测结果通过内网上报成功时,将所述内网上报信息输出并显示;
断网条件判断模块,用于根据所述违规外联检测结果和断网策略判断所述用户端是否满足断网条件,其中,所述断网策略预先存储在用户端中;
断网动作执行模块,用于当判断所述用户端满足所述断网条件后,根据所述断网策略获取断网持续时间并执行断网动作;
断网恢复判断模块,用于持续判断所述断网持续时间是否结束,当所述断网持续时间结束后根据所述断网策略重新判断所述用户端是否满足所述断网条件;
断网恢复执行模块,用于当判断所述用户端不满足所述断网条件后,执行恢复网络动作。
8.一种移动终端,其特征在于,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够实现权利要求1-6中所述的违规外联检测方法。
9.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-6中所述的违规外联检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211736287.5A CN115987675B (zh) | 2022-12-30 | 2022-12-30 | 违规外联检测方法、装置、移动终端及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211736287.5A CN115987675B (zh) | 2022-12-30 | 2022-12-30 | 违规外联检测方法、装置、移动终端及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115987675A CN115987675A (zh) | 2023-04-18 |
| CN115987675B true CN115987675B (zh) | 2024-03-19 |
Family
ID=85973885
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211736287.5A Active CN115987675B (zh) | 2022-12-30 | 2022-12-30 | 违规外联检测方法、装置、移动终端及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115987675B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116915503B (zh) * | 2023-09-08 | 2023-11-14 | 成都卓拙科技有限公司 | 一种违规外联检测方法及装置、存储介质及电子设备 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101848117A (zh) * | 2010-04-30 | 2010-09-29 | 河南山谷创新网络科技有限公司 | 一种违规外联监控方法及其系统 |
| CN103391216A (zh) * | 2013-07-15 | 2013-11-13 | 中国科学院信息工程研究所 | 一种违规外联报警及阻断方法 |
| CN111917701A (zh) * | 2020-03-31 | 2020-11-10 | 北京融汇画方科技有限公司 | 基于非客户端模式被动检查在线违规外联技术 |
| CN112069489A (zh) * | 2020-08-13 | 2020-12-11 | 中国电子科技集团公司第三十研究所 | 一种移动存储介质内外网交叉使用的检测方法 |
| CN112069093A (zh) * | 2020-08-07 | 2020-12-11 | 北京北信源软件股份有限公司 | 针对ipkvm设备违规外联的检测方法和装置 |
| CN112738095A (zh) * | 2020-12-29 | 2021-04-30 | 杭州迪普科技股份有限公司 | 一种检测非法外联的方法、装置、系统、存储介质及设备 |
| CN112910735A (zh) * | 2021-01-30 | 2021-06-04 | 山东兆物网络技术股份有限公司 | 发现内网设备违规外联的综合检测方法及系统 |
| CN114244570A (zh) * | 2021-11-18 | 2022-03-25 | 广东电网有限责任公司 | 终端非法外联监测方法、装置、计算机设备和存储介质 |
| CN114268481A (zh) * | 2021-12-15 | 2022-04-01 | 南方电网数字电网研究院有限公司 | 内网终端违规外联信息处理方法、装置、设备和介质 |
| CN114598503A (zh) * | 2022-02-21 | 2022-06-07 | 北京北信源软件股份有限公司 | 违规外联检测方法、装置、系统及电子设备 |
| CN115189964A (zh) * | 2022-08-15 | 2022-10-14 | 杭州安恒信息技术股份有限公司 | 一种违规外联检测方法、装置、设备、存储介质 |
-
2022
- 2022-12-30 CN CN202211736287.5A patent/CN115987675B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101848117A (zh) * | 2010-04-30 | 2010-09-29 | 河南山谷创新网络科技有限公司 | 一种违规外联监控方法及其系统 |
| CN103391216A (zh) * | 2013-07-15 | 2013-11-13 | 中国科学院信息工程研究所 | 一种违规外联报警及阻断方法 |
| CN111917701A (zh) * | 2020-03-31 | 2020-11-10 | 北京融汇画方科技有限公司 | 基于非客户端模式被动检查在线违规外联技术 |
| CN112069093A (zh) * | 2020-08-07 | 2020-12-11 | 北京北信源软件股份有限公司 | 针对ipkvm设备违规外联的检测方法和装置 |
| CN112069489A (zh) * | 2020-08-13 | 2020-12-11 | 中国电子科技集团公司第三十研究所 | 一种移动存储介质内外网交叉使用的检测方法 |
| CN112738095A (zh) * | 2020-12-29 | 2021-04-30 | 杭州迪普科技股份有限公司 | 一种检测非法外联的方法、装置、系统、存储介质及设备 |
| CN112910735A (zh) * | 2021-01-30 | 2021-06-04 | 山东兆物网络技术股份有限公司 | 发现内网设备违规外联的综合检测方法及系统 |
| CN114244570A (zh) * | 2021-11-18 | 2022-03-25 | 广东电网有限责任公司 | 终端非法外联监测方法、装置、计算机设备和存储介质 |
| CN114268481A (zh) * | 2021-12-15 | 2022-04-01 | 南方电网数字电网研究院有限公司 | 内网终端违规外联信息处理方法、装置、设备和介质 |
| CN114598503A (zh) * | 2022-02-21 | 2022-06-07 | 北京北信源软件股份有限公司 | 违规外联检测方法、装置、系统及电子设备 |
| CN115189964A (zh) * | 2022-08-15 | 2022-10-14 | 杭州安恒信息技术股份有限公司 | 一种违规外联检测方法、装置、设备、存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| Security Attitude Prediction Model of Secret-Related Computer Information System Based on Distributed Parallel Computing Programming;Sun Ling;《Mathematical Problems in Engineering》;全文 * |
| 基于报文分析的非法外联信息自动检测方法;胡海生;《自动化与仪器仪表》;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115987675A (zh) | 2023-04-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103391216B (zh) | 一种违规外联报警及阻断方法 | |
| CN101951384B (zh) | 一种分布式安全域逻辑边界保护方法 | |
| CN103856345B (zh) | 服务器账号密码管理方法、系统及服务器 | |
| CN201479143U (zh) | 内网安全管理系统 | |
| CN115987675B (zh) | 违规外联检测方法、装置、移动终端及存储介质 | |
| CN107171834B (zh) | 基于网关预警池的短信网关服务平台监控预警系统及方法 | |
| CN113507691B (zh) | 一种基于配电网跨区服务的信息推送系统和方法 | |
| CN112653664A (zh) | 一种网络之间高安全可靠的数据交换系统及方法 | |
| CN108134713A (zh) | 一种通信方法及装置 | |
| CN113852506A (zh) | 一种故障处理方法、装置及电子设备和存储介质 | |
| CN114629677B (zh) | 一种用于火电机组电量计费系统的安全防护系统及方法 | |
| CN111950004A (zh) | 基于联盟链的设备数据获取方法、设备数据系统 | |
| CN201491036U (zh) | 主机监控与审计系统 | |
| CN110995840B (zh) | 一种适用于挖掘机的远程终端防拆控制方法 | |
| CN116436668B (zh) | 信息安全管控方法、装置,计算机设备,存储介质 | |
| CN112448960A (zh) | 一种利用人脸识别技术的内网计算机网络管控系统 | |
| CN115643030A (zh) | 配电网络安全多级阻断应急响应系统及方法 | |
| Kolosok et al. | Cyber resilience of SCADA at the level of energy facilities | |
| US20190098011A1 (en) | Network security management system | |
| KR102160537B1 (ko) | 스마트 게이트웨이를 구비한 디지털변전소 | |
| KR20190078451A (ko) | 블록 체인을 이용하여 서비스 서버의 재해 복구를 수행하는 서버 및 복구 서버와, 상기 서버의 제어 방법 | |
| CN110716769B (zh) | 业务风控网关及业务风控方法 | |
| CN209608668U (zh) | 一种网络隔离密码板卡 | |
| CN113923045A (zh) | 安全监控式内网准入控制方法及系统 | |
| KR102145421B1 (ko) | 스마트 게이트웨이를 구비한 디지털변전소 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |