CN116248352A - 一种网络安全系统及防护方法 - Google Patents

Abstract

本发明提供了一种网络安全系统及方法，系统包括物理防护子系统、网络防护子系统、服务器防护子系统、终端防护子系统、数据防护子系统、安全访问防护子系统，网络防护子系统包括网络入侵保护系统，网络入侵保护系统内部署有第一防火墙。安全访问防护子系统包括第二防火墙，且第二防火墙内安装有设备数字证书。本发明的系统及方法在防火墙后增加设置检测、监控系统，使网络防护结构更加完整，增强了防护效果，能够对入侵的病毒进行收集并对漏洞进行升级，设置有警报系统能够及时发出警报信息发现安全隐患，便于管理人员及时处理，升级漏洞，增强安全性，本发明提供了一整套防护方案，防护更加全面，使整体运行更稳定。

Description

一种网络安全系统及防护方法

技术领域

本发明涉及网络安全技术领域，具体为一种网络安全系统及防护方法。

背景技术

随着网络技术的发展，传统的网络结构存在网络安全性非常脆弱，网络功能不全等缺点，企业网络的安全性、稳定性、多功能性与快速性已成企业管理者最关注的问题。通常在谈到网络安全时，首先会想到防火墙，一般采纳防火墙作为安全保障体系的第一道防线，防备黑客攻击。但是随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙已经无法满足安全需要，部署了防火墙的安全保障体系仍需要进一步完善。

发明内容

为了解决现有网络结构提供的安全防护无法满足安全需要的问题，本发明提供了一种强化了网络安全结构、能够保证网络安全的网络安全系统及防护方法。

实现发明目的的技术方案如下：

第一方面，本发明提供了一种网络安全系统，包括物理防护子系统、网络防护子系统、服务器防护子系统、终端防护子系统、数据防护子系统、安全访问防护子系统。

所述物理防护子系统包括门禁、监控、基础防护设施。

所述网络防护子系统包括网络入侵保护系统，所述网络入侵保护系统内部署有第一防火墙，且所述第一防火墙串联有抗DDOS设备、IPS设备。

所述服务器防护子系统包括IDP入侵检测防护系统、防病毒软件、漏洞扫描系统。

所述终端防护子系统包括终端行为管理系统、终端准入系统、防病毒系统、域控系统、存储模块。

所述数据防护子系统用于对数据进行加密及备份。

所述安全访问防护子系统包括第二防火墙，且所述第二防火墙内安装有设备数字证书。

进一步地，所述网络入侵保护系统包括设置在外网出口位置的第一网络入侵保护子系统、设置在广域网出口位置的第二网络入侵保护子系统。

进一步地，所述物理防护子系统用于划分服务器物理区域放置服务器，所述服务器包括AAA服务器、证书服务器、病毒服务器、防火墙服务器。

进一步地，所述终端防护子系统还包括网络行为管理设备，所述网络行为管理设备用于监测网络中数据传送行为并存储至所述存储模块中。

更进一步地，所述终端防护子系统还包括异常行为警报系统，所述异常行为警报系统用于对用户的异常操作进行警报。

进一步地，所述安全访问防护子系统还包括远程安全访问、内网安全访问。所述远程安全访问通过用户端输入数字证书经防火墙验证后登录服务器。所述内网安全访问包括访客端PC、无线终端PC、桌面终端PC中任意一种，所述访客端PC或所述无线终端PC或所述桌面终端PC均通过交换机后经所述第二防火墙验证数字证书后登录服务器。

更进一步地，所述安全访问防护子系统还包括管理员权限设置模块，所述管理员权限设置模块用于设置用户或访客的权限。

第二方面，本发明提供了一种网络安全防护方法，包括以下步骤：

步骤1、用户使用授权的数字证书登录服务器，并与服务器进行数据传输；

步骤2、终端行为管理系统记录并存储用户的操作行为，终端准入系统对用户接入服务器的设备审核查验；

步骤3、设备审核查验通过时，网络入侵保护系统对用户输入的数据首次检测，形成第一道防御；

步骤4、IDP入侵检测防护系统对用户输入的数据第二次检测，并与防病毒软件形成第二道防御；

步骤5、若检测到病毒，则将该数据存入病毒服务器中进行分析，再采用漏洞扫描系统扫描漏洞并升级，并冻结该用户账户及数字证书。

与现有技术相比，本发明的有益效果是：本发明设计的网络安全系统及方法，通过在第一防火墙和第二防火墙后增加设置检测、监控系统，使网络防护结构更加完整，增强了防护效果，能够对入侵的病毒进行收集并对漏洞进行升级，可进行主动的网络安全防护且设置有警报系统，能够及时发出警报信息发现安全隐患，便于管理人员及时处理，升级漏洞，增强安全性，使得网络防护更加全面，使整体运行更稳定。

附图说明

为了更清楚地说明本发明实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是本发明为了更清楚地说明本发明实施例或现有技术中的技术方案，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为具体实施方式中网络安全防护方法的流程图。

具体实施方式

下面结合具体实施例来进一步描述本发明，本发明的优点和特点将会随着描述而更为清楚。但这些实施例仅是范例性的，并不对本发明的范围构成任何限制。本领域技术人员应该理解的是，在不偏离本发明的精神和范围下可以对本发明技术方案的细节和形式进行修改或替换，但这些修改和替换均落入本发明的保护范围内。

在本实施例的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明创造和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明创造的限制。

此外，术语“第一”、“第二”、“第三”等仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”等的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明创造的描述中，除非另有说明，“多个”的含义是两个或两个以上。

本具体实施方式提供了一种网络安全系统，包括物理防护子系统、网络防护子系统、服务器防护子系统、终端防护子系统、数据防护子系统、安全访问防护子系统。

其中，所述物理防护子系统包括门禁、监控、基础防护设施，在本具体实施方式中，基础防护设施包括防风、防火、防雷、防电、防水等基础防护设施。

可选的，物理防护子系统在特殊情况下还包括电磁屏蔽机柜。

进一步地，所述物理防护子系统用于划分服务器物理区域放置服务器，所述服务器包括AAA服务器、证书服务器、病毒服务器、防火墙服务器。

其中，所述网络防护子系统包括网络入侵保护系统，所述网络入侵保护系统内部署有第一防火墙，第一防火墙能够控制端口访问，减少暴露面，增加攻击服务器的难度。所述第一防火墙串联有抗DDOS设备、IPS设备。在此需要说明书的是，当第一防火墙内具有IPS模块时，则不需要对第一防火墙串联IPS设备。可选的，抗DDOS设备设置在第一防火墙的外层，且采用透明模式与第一防火墙串联。

可选的，所述网络入侵保护系统包括设置在外网出口位置的第一网络入侵保护子系统、设置在广域网出口位置的第二网络入侵保护子系统。

可选的，网络入侵保护系统设有若干100/1000M自适应以太网口用于IPS保护和IDS监听。

其中，所述服务器防护子系统包括IDP入侵检测防护系统、防病毒软件、漏洞扫描系统，本具体实施方式中，IDP入侵检测防护系统的部署方式为桥接或路由模式，具备发现威胁、处理威胁的能力。

可选的，当IDP入侵检测防护系统检测到病毒后，先将其收入病毒服务器中并对其进行分析，然后通过漏洞扫描系统扫描漏洞并升级。

其中，所述终端防护子系统包括终端行为管理系统、终端准入系统、防病毒系统、域控系统、存储模块。

可选的，所述终端防护子系统还包括网络行为管理设备，所述网络行为管理设备用于监测网络中数据传送行为并存储至所述存储模块中。

可选的，所述终端防护子系统还包括异常行为警报系统，所述异常行为警报系统用于对用户的异常操作进行警报。

其中，所述数据防护子系统用于对数据进行加密及备份。

其中，所述安全访问防护子系统包括第二防火墙，且所述第二防火墙内安装有设备数字证书。

可选的，所述安全访问防护子系统还包括远程安全访问、内网安全访问。所述远程安全访问通过用户端输入数字证书经防火墙验证后登录服务器。所述内网安全访问包括访客端PC、无线终端PC、桌面终端PC中任意一种，所述访客端PC或所述无线终端PC或所述桌面终端PC均通过交换机后经所述第二防火墙验证数字证书后登录服务器。

可选的，第二防火墙向服务器中传输的数据需先经IDP入侵检测防护系统检测后再进行输送。

可选的，所述安全访问防护子系统还包括管理员权限设置模块，所述管理员权限设置模块用于设置用户或访客的权限

本具体实施方式还提供了一种网络安全防护方法，参见图1所示，包括以下步骤：

步骤1、用户使用授权的数字证书登录服务器，并与服务器进行数据传输。

步骤2、终端行为管理系统记录并存储用户的操作行为，终端准入系统对用户接入服务器的设备审核查验。

当设备审核查验未通过时，则禁止该设备接入。

本步骤中，设备包括用户使用的USB设备。

步骤3、设备审核查验通过时，网络入侵保护系统对用户输入的数据首次检测，形成第一道防御；

步骤4、IDP入侵检测防护系统对用户输入的数据第二次检测，并与防病毒软件形成第二道防御；

步骤5、若检测到病毒，则将该数据存入病毒服务器中进行分析，再采用漏洞扫描系统扫描漏洞并升级，并冻结该用户账户及数字证书

上述网络安全防护方法的原理是：一方面，在物理防护子系统方面，监控人员通过门禁及监控对设置有服务器的场所进行监控，并进行相应的基础施工，使服务器处于安全、稳定的环境中；另一方面，在网络防护子系统、服务器防护子系统、终端防护子系统、数据防护子系统、安全访问防护子系统等方面，系统管理人员可通过管理员权限设置模块分别对不同用户下放功能权限，并利用数字证书服务器为用户发放授权数字证书，用户通过用户端和访客端PC、无线终端PC、桌面终端PC中的任意一个登录端口登录，利用预先授权发放的数字证书通过防火墙验证后登录服务器，网络行为管理设备对人员的操作行为进行监控，并将其操作行为存储至存储模块中，若人员接入USB设备，则终端行为管理系统对其行为进行监控，并通过终端准入系统授权后可正常使用该USB设备，否则禁用，若向服务器传输数据，则需经过IDP入侵检测防护系统检测通过后可正常传输，否则拒绝传输并触发警报系统，由警报系统发出警报，防病毒系统对其进行清除并锁定入侵账户及数字证书，若系统受到攻击，则抗DDOS设备及IPS模块或IPS设备组成第一层防御，IDP入侵检测防护系统及防病毒软件组成第二层防御。

本发明设计的网络安全系统及方法，通过在第一防火墙和第二防火墙后增加设置检测、监控系统，使网络防护结构更加完整，增强了防护效果，能够对入侵的病毒进行收集并对漏洞进行升级，可进行主动的网络安全防护且设置有警报系统，能够及时发出警报信息发现安全隐患，便于管理人员及时处理，升级漏洞，增强安全性，使得网络防护更加全面，使整体运行更稳定。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。

Claims (8)

1.一种网络安全系统，其特征在于：包括物理防护子系统、网络防护子系统、服务器防护子系统、终端防护子系统、数据防护子系统、安全访问防护子系统；

所述物理防护子系统包括门禁、监控、基础防护设施；

所述网络防护子系统包括网络入侵保护系统，所述网络入侵保护系统内部署有第一防火墙，且所述第一防火墙串联有抗DDOS设备、IPS设备；

所述服务器防护子系统包括IDP入侵检测防护系统、防病毒软件、漏洞扫描系统；

所述终端防护子系统包括终端行为管理系统、终端准入系统、防病毒系统、域控系统、存储模块；

所述数据防护子系统用于对数据进行加密及备份；

所述安全访问防护子系统包括第二防火墙，且所述第二防火墙内安装有设备数字证书。

2.根据权利要求1所述的网络安全系统，其特征在于：所述网络入侵保护系统包括设置在外网出口位置的第一网络入侵保护子系统、设置在广域网出口位置的第二网络入侵保护子系统。

3.根据权利要求1所述的网络安全系统，其特征在于：所述物理防护子系统用于划分服务器物理区域放置服务器，所述服务器包括AAA服务器、证书服务器、病毒服务器、防火墙服务器。

4.根据权利要求1所述的网络安全系统，其特征在于：所述终端防护子系统还包括网络行为管理设备，所述网络行为管理设备用于监测网络中数据传送行为并存储至所述存储模块中。

5.根据权利要求1或4所述的网络安全系统，其特征在于：所述终端防护子系统还包括异常行为警报系统，所述异常行为警报系统用于对用户的异常操作进行警报。

6.根据权利要求1所述的网络安全系统，其特征在于：所述安全访问防护子系统还包括远程安全访问、内网安全访问；

所述远程安全访问通过用户端输入数字证书经防火墙验证后登录服务器；

所述内网安全访问包括访客端PC、无线终端PC、桌面终端PC中任意一种，所述访客端PC或所述无线终端PC或所述桌面终端PC均通过交换机后经所述第二防火墙验证数字证书后登录服务器。

7.根据权利要求1或6所述的网络安全系统，其特征在于：所述安全访问防护子系统还包括管理员权限设置模块，所述管理员权限设置模块用于设置用户或访客的权限。

8.一种网络安全防护方法，其特征在于，包括以下步骤：

步骤1、用户使用授权的数字证书登录服务器，并与服务器进行数据传输；

步骤2、终端行为管理系统记录并存储用户的操作行为，终端准入系统对用户接入服务器的设备审核查验；

步骤3、设备审核查验通过时，网络入侵保护系统对用户输入的数据首次检测，形成第一道防御；

步骤4、IDP入侵检测防护系统对用户输入的数据第二次检测，并与防病毒软件形成第二道防御；

步骤5、若检测到病毒，则将该数据存入病毒服务器中进行分析，再采用漏洞扫描系统扫描漏洞并升级，并冻结该用户账户及数字证书。

Images