CN116436698B - 一种智慧校园网络安全防护系统 - Google Patents

一种智慧校园网络安全防护系统 Download PDF

Info

Publication number
CN116436698B
CN116436698B CN202310672934.9A CN202310672934A CN116436698B CN 116436698 B CN116436698 B CN 116436698B CN 202310672934 A CN202310672934 A CN 202310672934A CN 116436698 B CN116436698 B CN 116436698B
Authority
CN
China
Prior art keywords
network
score
data
webpage
verification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310672934.9A
Other languages
English (en)
Other versions
CN116436698A (zh
Inventor
徐丹
刘俊涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Hongtu Education Network Technology Co ltd
Original Assignee
Shenzhen Hongtu Education Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Hongtu Education Network Technology Co ltd filed Critical Shenzhen Hongtu Education Network Technology Co ltd
Priority to CN202310672934.9A priority Critical patent/CN116436698B/zh
Publication of CN116436698A publication Critical patent/CN116436698A/zh
Application granted granted Critical
Publication of CN116436698B publication Critical patent/CN116436698B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及网络安全技术领域,尤其涉及一种智慧校园网络安全防护系统,包括:登入模块、网络识别模块、网络监管模块、外设识别模块、虚拟机,网络监管模块对访问的网页行为进行判定,对于任一网络行为设置有对应的准许评分,网络监管模块通过登入模块、网络监管模块、外设识别模块和虚拟机获取的数据内容,对待进行网络行为进行评分,并与准许评分进行对比,判定是否进行对应的网络行为。本发明通过在进行网络行为时设置准许评分,并通过准许评分判定是否允许网络行为,对于不符合准许评分的网络行为,直接禁止,在一定程度上对风险进行了预判,能够阻隔泄漏数据的风险在为发生攻击的时,有效的维护了校园网络数据,保障了数据的安全。

Description

一种智慧校园网络安全防护系统
技术领域
本发明涉及网络安全技术领域,尤其涉及一种智慧校园网络安全防护系统。
背景技术
目前,许多高校都在建设智慧校园,就是利用信息技术、网络技术、云计算技术等将学校科研、教学、生活和管理有关的信息进行信息化管理。智慧校园建设首先应确定信息化建设体系架构、信息标准和各系统之间的接口标准,实现数据中心、统一身份验证、统一信息门户三大平台,然后再建设各种信息系统。
中国专利公开号:CN112351011A,公开了一种智慧校园网络安全防护系统,包括,包括:部署在智慧校园网络应用层进出端口处的Web应用防火墙、APT攻击预警防护设备、Web业务安全审计系统和运维审计系统;Web应用防火墙针对安全事件发生时序进行安全建模,分别针对安全漏洞、攻击手段及最终攻击结果进行扫描、防护及诊断;APT攻击预警防护设备通过全方位及多角度的异常网络行为的检测,对攻击事件进行完整的分析;Web业务安全审计系统为Web应用提供实时监控、自动告警和事后追溯的全面防护方案;运维审计系统支持多种字符终端协议、文件传输协议、图形终端协议和远程应用协议的安全监控与历史查询。
由此可见,当前的校园网络安全防护系统,大多是在出现攻击手段后进行反击,隔断的,对于在问题发生前进行阻断的防护系统较少,导致部分数据会发生泄漏。
发明内容
为此,本发明提供一种智慧校园网络安全防护系统,用以克服现有技术中当前的校园网络安全防护系统,大多是在出现攻击手段后进行反击,隔断的,对于在问题发生前进行阻断的防护系统较少,导致部分数据会发生泄漏的问题。
为实现上述目的,本发明提供一种智慧校园网络安全防护系统,包括,
登入模块,用于登录网络安全防护系统;
网络识别模块,用于检测待访问网页的网页类型;
网络监管模块,用于对当前访问的网页的行为进行监管;
外设识别模块,其能够识别数据交互时本地数据存储位置,对于采用外接储存设备进行数据交互的,能够对外接储存设备进行识别;
虚拟机,用于访问外网时进行数据阻隔;
所述网络监管模块对访问的网页行为进行判定,对于任一网络行为设置有对应的准许评分,网络监管模块通过所述登入模块、所述网络识别模块、所述外设识别模块和所述虚拟机分别获取的数据内容,对待进行网络行为进行评分,并与准许评分进行对比,判定是否进行对应的网络行为,所述准许评分的数值根据登入模块、网络识别模块、外设识别模块分别获取的数据内容进行调节矫正。
进一步地,所述登入模块设置有一级验证单元,二级验证单元,三级验证单元,其中,
所述一级验证单元用于验证当前使用设备是常用设备或是临时设备;
所述二级验证单元用于对一般操作用户进行登录验证;
所述三级验证单元用于对管理员进行登录验证。
进一步地,所述网络识别模块对访问网页的网页类型进行分析,网页类型分为校园内网、备案外网、非备案外网和禁止外网,
若判定的访问网页为非备案外网,所述网络识别模块对非备案外网的域名、敏感信息、网页存在时长、网页活跃度进行分析,确定是否允许进行网页访问。
进一步地,所述网络监管模块对网页访问行为进行监管,其内设置有行为评价单元,用于对待发生的网络行为进行评价,确定是否允许行为发生;
所述行为评价单元内设置有不同网络行为的准许评分,包括,网络访问准许评分,下载准许评分,获取设备信息准许评分,信息上传准许评分和跳转网页准许评分;
对于任一待发生的网络行为,所述行为评价单元计算其实际评分,并将实际评分与其对应的准许评分进行对比,判定是否能够进行,
若待发生的网络行为的实际评分大于等于其对应的准许评分则允许进行该网络行为,反之则禁止。
进一步地,对于不同的网络行为其对应的实际评分计算方式不同,其中,
网络访问实际评分,由所述登入模块内各验证单元的验证结果,所述网络识别模块对当前网页的识别结果确定;
下载实际评分,由所述登入模块内各验证单元的验证结果,所述网络识别模块对当前网页的识别结果,外设识别模块对下载位置与外接储存设备识别结果,所述虚拟机中转解析结果确定;
获取设备信息实际评分,由所述登入模块内各验证单元的验证结果,所述网络识别模块对当前网页的识别结果确定;
信息上传实际评分,由所述登入模块内各验证单元的验证结果,所述网络识别模块对当前网页的识别结果,外设识别模块对下载位置与外接储存设备识别结果,所述虚拟机中转解析结果确定;
跳转网页实际评分,由所述登入模块内各验证单元的验证结果,所述网络识别模块对当前网页的识别结果,网络识别模块对跳转网页的识别结果确定。
进一步地,对于各验证结果与识别结果,所述行为评价单元内设置有基础评分与评分调节参数,不同验证结果与识别结果对应的基础评分与评分调节参数不同。
进一步地,各所述准许评分数值能够根据操作人员等级,交互数据附件信息进行调节。
进一步地,在计算各所述实际评分时,设有禁止触发条件,当计算任一实际评分时,若满足禁止触发条件则对计算的实际评分赋值为零。
进一步地,所述交互数据附件信息包括,交互数据密级,访问网页类型。
进一步地,在访问外网时,通过所述虚拟机进行数据阻隔,包括,
通过虚拟机对外网交互的数据进行模拟呈现,若在呈现的过程中出现未识别数据或敏感数据则终止访问,并将出现未识别数据或敏感数据的外网标注为禁止外网。
进一步地,所述网络识别模块内设有内网评价单元,备案外网存储单元,域名识别单元,敏感信息存储单元,网页基础数据抓取单元,禁止外网存储单元,其中,
所述内网评价单元用于判定访问的网页是否为校园内网;
所述备案外网存储单元用于判定访问的网页是否为备案外网;
所述禁止外网存储单元用于存储禁止访问的网页信息;
所述域名识别单元用于判定访问的非备案外网的域名;
所述敏感信息存储单元内存有若干敏感信息标识,用于识别非备案外网网页内是否存有敏感信息与存有的敏感信息数量;
网页基础数据抓取单元用于对非备案外网进行基础数据抓取,确定网页存在时长,网页活跃度。
进一步地,各所述准许评分数值能够根据操作人员等级,交互数据附件信息进行调节,所述交互数据附件信息包括,交互数据密级,访问网页类型。
所述操作人员等级包括,一般操作用户和管理员;
所述交互数据密级包括,非密级,一般密级,特别密级。
访问网页类型包括,校园内网,备案外网,非备案外网。
与现有技术相比,本发明的有益效果在于,本发明通过在进行网络行为时设置准许评分,并通过准许评分判定是否允许网络行为,对于不符合准许评分的网络行为,直接禁止,在一定程度上对风险进行了预判,能够阻隔泄漏数据的风险在为发生攻击的时,有效的维护了校园网络数据,保障了数据的安全。
进一步地,在进行网络行为时,对常用设备与临时设备进行识别,防止发生盗号,异地登录盗取校园网络信息,同时,对于常用设备,其上存储有一定校园网络数据,对于不同的网络行为,设置的限制不同,使得校园网络安全更具有针对性,对于登录的用户,根据权限分为一般操作用户和管理员,对于管理员设置单独的登录验证,进一步的保障了校园网络的安全。
进一步地,对于访问的网页,设置有一定的类型,对于校园内网,着重限制下载与上传,防止设计校园信息数据外流,也防止木马,钓鱼病毒的上传,影响网络安全,对于备案外网,着重限制数据上传,防止设计校园信息数据外流,对于非备案外网,通过对非备案外网的域名、敏感信息、网页存在时长、网页活跃度进行分析,判定相关网站是否存有风险,并限制下载与上传,防止设计校园信息数据外流,也防止木马,钓鱼病毒流入,对于禁止外网禁止其一切网络行为,通过对访问网页的网页类型进行分析,对于不同的网页类型限制不同的重点,使得校园网络安全更具有针对性,进一步的保障了校园网络的安全。
进一步地,通过在进行网络行为时设置准许评分,并通过准许评分判定是否允许网络行为,对于不符合准许评分的网络行为,直接禁止,使得网络行为操作具有更强的监管制度,从而将危险的网络行为切断,使得校园网络安全更具有针对性,进一步的保障了校园网络的安全。
进一步地,对于不同的网络行为,设置不同的实际评分计算方式,使得校园网络安全更具有针对性,进一步的保障了校园网络的安全。
进一步地,在进行未备案外网访问时,通过对网页进行数据抓取,获取网页的敏感信息,一方面防止具有钓鱼,木马,影响网络数据安全的相关信息流入校园内网,另一方面防止违反法律,社会公德妨碍公共利益的相关信息荼毒学生的内心,同时,在计算当前网页基础评分时,对于非备案外网的网页存在时长,网页活跃度进行分析,网页存在时长越长,可追溯访问量越高,说明网页应用人员越多,为此增 加网页的可信度,使得校园网络安全更具有针对性,进一步的保障了校园网络的安全。
进一步地,通过设置禁止触发条件,采取“一票否决制”,对于任一评分为“-∞”则判定满足禁止触发条件,严格网络行为监管,进一步的保障了校园网络的安全。
进一步地,通过设置虚拟机,在进行数据交换时,通过虚拟机对数据进行识别,一方面防止带有病毒的数据下载至本地,从而影响校园网络安全,另一方面对可能泄密的数据进行一定阻挡,进一步的保障了校园网络的安全。
附图说明
图1为实施例中智慧校园网络安全防护系统的结构示意图;
图2为实施例中登入模块的结构示意图;
图3为实施例中网络监管模块的结构示意图。
具体实施方式
为了使本发明的目的和优点更加清楚明白,下面结合实施例对本发明作进一步描述;应当理解,此处所描述的具体实施例仅仅用于解释本发明,并不用于限定本发明。
下面参照附图来描述本发明的优选实施方式。本领域技术人员应当理解的是,这些实施方式仅仅用于解释本发明的技术原理,并非在限制本发明的保护范围。
需要说明的是,在本发明的描述中,术语“上”、“下”、“左”、“右”、“内”、“外”等指示的方向或位置关系的术语是基于附图所示的方向或位置关系,这仅仅是为了便于描述,而不是指示或暗示所述装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,还需要说明的是,在本发明的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域技术人员而言,可根据具体情况理解上述术语在本发明中的具体含义。
请参阅图1-图3所示,图1为实施例中智慧校园网络安全防护系统的结构示意图;图2为实施例中登入模块的结构示意图;图3为实施例中网络监管模块的结构示意图。
本发明公布一种智慧校园网络安全防护系统,包括,
登入模块,用于登录网络安全防护系统;
网络识别模块,用于检测待访问网页的网页类型;
网络监管模块,用于对当前访问的网页的行为进行监管;
外设识别模块,其能够识别数据交互时本地数据存储位置,对于采用外接储存设备进行数据交互的,能够对外接储存设备进行识别;
虚拟机,用于访问外网时进行数据阻隔;
所述网络监管模块对访问的网页行为进行判定,对于任一网络行为设置有对应的准许评分,网络监管模块通过所述登入模块、所述网络识别模块、所述外设识别模块和所述虚拟机分别获取的数据内容,对待进行网络行为进行评分,并与准许评分进行对比,判定是否进行对应的网络行为,所述准许评分的数值根据登入模块、网络识别模块、外设识别模块分别获取的数据内容进行调节矫正。
本发明通过在进行网络行为时设置准许评分,并通过准许评分判定是否允许网络行为,对于不符合准许评分的网络行为,直接禁止,在一定程度上对风险进行了预判,能够阻隔泄漏数据的风险在为发生攻击的时,有效的维护了校园网络数据,保障了数据的安全。
具体而言,所述登入模块设置有一级验证单元,二级验证单元,三级验证单元,其中,
所述一级验证单元用于验证当前使用设备是常用设备或是临时设备;
所述二级验证单元用于对一般操作用户进行登录验证;
所述三级验证单元用于对管理员进行登录验证。
在进行网络行为时,对常用设备与临时设备进行识别,防止发生盗号,异地登录盗取校园网络信息,同时,对于常用设备,其上存储有一定校园网络数据,对于不同的网络行为,设置的限制不同,使得校园网络安全更具有针对性,对于登录的用户,根据权限分为一般操作用户和管理员,对于管理员设置单独的登录验证,进一步的保障了校园网络的安全。
具体而言,所述网络识别模块对访问网页的网页类型进行分析,网页类型分为校园内网、备案外网、非备案外网和禁止外网,
若判定的访问网页为非备案外网,所述网络识别模块对非备案外网的域名、敏感信息、网页存在时长、网页活跃度进行分析,确定是否允许进行网页访问。
对于访问的网页,设置有一定的类型,对于校园内网,着重限制下载与上传,防止设计校园信息数据外流,也防止木马,钓鱼病毒的上传,影响网络安全,对于备案外网,着重限制数据上传,防止设计校园信息数据外流,对于非备案外网,通过对非备案外网的域名、敏感信息、网页存在时长、网页活跃度进行分析,判定相关网站是否存有风险,并限制下载与上传,防止设计校园信息数据外流,也防止木马,钓鱼病毒流入,对于禁止外网禁止其一切网络行为,通过对访问网页的网页类型进行分析,对于不同的网页类型限制不同的重点,使得校园网络安全更具有针对性,进一步的保障了校园网络的安全。
具体而言,所述网络监管模块对网页访问行为进行监管,其内设置有行为评价单元,用于对待发生的网络行为进行评价,确定是否允许行为发生;
所述行为评价单元内设置有不同网络行为的准许评分,包括,网络访问准许评分,下载准许评分,获取设备信息准许评分,信息上传准许评分和跳转网页准许评分;
对于任一待发生的网络行为,所述行为评价单元计算其实际评分,并将实际评分与其对应的准许评分进行对比,判定是否能够进行,
若待发生的网络行为的实际评分大于等于其对应的准许评分则允许进行该网络行为,反之则禁止。
通过在进行网络行为时设置准许评分,并通过准许评分判定是否允许网络行为,对于不符合准许评分的网络行为,直接禁止,使得网络行为操作具有更强的监管制度,从而将危险的网络行为切断,使得校园网络安全更具有针对性,进一步的保障了校园网络的安全。
具体而言,对于不同的网络行为其对应的实际评分计算方式不同,其中,
网络访问实际评分,由所述登入模块内各验证单元的验证结果,所述网络识别模块对当前网页的识别结果确定;
下载实际评分,由所述登入模块内各验证单元的验证结果,所述网络识别模块对当前网页的识别结果,外设识别模块对下载位置与外接储存设备识别结果,所述虚拟机中转解析结果确定;
获取设备信息实际评分,由所述登入模块内各验证单元的验证结果,所述网络识别模块对当前网页的识别结果确定;
信息上传实际评分,由所述登入模块内各验证单元的验证结果,所述网络识别模块对当前网页的识别结果,外设识别模块对下载位置与外接储存设备识别结果,所述虚拟机中转解析结果确定;
跳转网页实际评分,由所述登入模块内各验证单元的验证结果,所述网络识别模块对当前网页的识别结果,网络识别模块对跳转网页的识别结果确定;
对于各验证结果与识别结果,所述行为评价单元内设置有基础评分与评分调节参数,不同验证结果与识别结果对应的基础评分与评分调节参数不同。
对于不同的网络行为,设置不同的实际评分计算方式,使得校园网络安全更具有针对性,进一步的保障了校园网络的安全。
在本实施例中,
行为评价单元内设置有网络访问准许评分FZ1,下载准许评分FZ2,获取设备信息准许评分FZ3,信息上传准许评分FZ4和跳转网页准许评分FZ5。
所述行为评价单元计算各网络行为的实际评分,包括,网络访问实际评分F1,下载实际评分F2,获取设备信息实际评分F3,信息上传实际评分F4,跳转网页实际评分F5,其中,
F1=A×a1+B×b1;
F2=A×a2+B×b2+C×c2+D×d2;
F3=A×a3+B×b3;
F4=A×a3+B×b3+C×c3+D×d4;
F5=A×a5+B×b5+E;
其中,A为根据登入模块内各验证单元的验证结果确定的基础验证评分,B为根据网络识别模块对当前网页的识别结果确定的当前网页基础评分,C为根据外设识别模块对数据交换位置与外接储存设备识别结果确定的外设识别基础评分,D为根据虚拟机中转解析结果确定的交互解析基础评分,E为根据网络识别模块对跳转网页的识别结果确定的跳转网页基础评分,a1为计算网络访问实际评分时基础验证评分的调节参数,b1为计算网络访问实际评分时当前网页基础评分的调节参数,a2为计算下载实际评分时基础验证评分的调节参数,b2为计算下载实际评分时当前网页基础评分的调节参数,c2为计算下载实际评分时外设识别基础评分的调节参数,d2为计算下载实际评分时交互解析基础评分的调节参数,a3为计算获取设备信息实际评分时基础验证评分的调节参数,b3为计算获取设备信息实际评分时当前网页基础评分的调节参数,a4为计算信息上传实际评分时基础验证评分的调节参数,b4为计算信息上传实际评分当前网页基础评分的调节参数,c4为计算信息上传实际评分时外设识别基础评分的调节参数,d4为计算信息上传实际评分时交互解析基础评分的调节参数,a5为计算跳转网页实际评分时基础验证评分的调节参数,b5为计算跳转网页实际评分时当前网页基础评分的调节参数。
若Fi≥FZi,则允许进行对应的网络行为;
若Fi<FZi,则不允许进行对应的网络行为,其中,i=1,2,3,4,5。
对于基础验证评分A,设定A=A1+A2,其中,A1为根据一级验证单元确定的设备评分,若当前使用设备是常用设备则,A1=A11,反之A1=A12,A11>A12,A2为根据二级验证单元和三级验证单元确定的权限等级评分,若通过了三级验证单元与二级验证单元的验证则A2=A21,若仅通过二级验证单元验证则A2=A22,若未通过二级验证单元验证则A2=A23,其中,A21>A22,A23=-∞,对于未通过二级验证单元验证的情况,则禁止登录本发明的安全防护系统。
对于当前网页基础评分B,若网页类型为校园内网,则B=B1,若网页类型为备案外网,则B=B2,若网页类型为非备案外网,则B=B3,其中,B1>B2,B3根据非备案外网的网页风险指数,网页存在时长,网页活跃度确定,其中,网页风险指数通过网页的域名,敏感信息数量确定,
具体而言,所述网络识别模块内设有内网评价单元,备案外网存储单元,域名识别单元,敏感信息存储单元,网页基础数据抓取单元,禁止外网存储单元,其中,
所述内网评价单元用于判定访问的网页是否为校园内网;
所述备案外网存储单元用于判定访问的网页是否为备案外网;
所述禁止外网存储单元用于存储禁止访问的网页信息;
所述域名识别单元用于判定访问的非备案外网的域名;
所述敏感信息存储单元内存有若干敏感信息标识,用于识别非备案外网网页内是否存有敏感信息与存有的敏感信息数量;
网页基础数据抓取单元用于对非备案外网进行基础数据抓取,确定网页存在时长,网页活跃度。
在进行未备案外网访问时,通过对网页进行数据抓取,获取网页的敏感信息,一方面防止具有钓鱼,木马,影响网络数据安全的相关信息流入校园内网,另一方面防止违反法律,社会公德妨碍公共利益的相关信息荼毒学生的内心,同时,在计算当前网页基础评分时,对于非备案外网的网页存在时长,网页活跃度进行分析,网页存在时长越长,可追溯访问量越高,说明网页应用人员越多,为此增 加网页的可信度,使得校园网络安全更具有针对性,进一步的保障了校园网络的安全。
若域名识别单元识别非备案外网为域外域名,则B3=-∞,禁止进行访问;
若非备案外网内存有敏感信息,则B3=-∞,禁止进行访问。
本实施例中敏感信息包括违反法律,社会公德妨碍公共利益的相关信息,还包括,钓鱼,木马,影响网络数据安全的相关信息。
对于既非域外域名又不存在敏感信息的非备案外网,获取网页存在时长T,网页活跃度P,
设定,B3=T×t+P×p,其中,t为网页存在时长对B3的计算补偿参数,p为网页活跃度对B3的计算补偿参数。
对于外设识别基础评分C,若数据交换位置为登入设备,C=C1,若数据交换位置为外接储存设备识,C=C2,若数据交换位置为外接储存设备,外设识别模块对外接储存设备内存有的数据进行分析,判定其内是否存有敏感信息,若存有,C2=-∞,若不存在,C2=C1。
对于交互解析基础评分D,当需要数据交互时,将交互的数据先暂存至虚拟机,并通过虚拟机进行风险分析,若存有风险则D=-∞。
对于跳转网页基础评分E,其考核方式与基础验证评分相同。
具体而言,在计算各所述实际评分时,设有禁止触发条件,当计算任一实际评分时,若满足禁止触发条件则对计算的实际评分赋值为零。
通过设置禁止触发条件,采取“一票否决制”,对于任一评分为“-∞”则判定满足禁止触发条件,严格网络行为监管,进一步的保障了校园网络的安全。
对于上述评分,当任一一项评分赋值为“-∞”时,则判定满足禁止触发条件。
具体而言,各所述准许评分数值能够根据操作人员等级,交互数据附件信息进行调节,所述交互数据附件信息包括,交互数据密级,访问网页类型。
所述操作人员等级包括,一般操作用户和管理员;
所述交互数据密级包括,非密级,一般密级,特别密级。
访问网页类型包括,校园内网,备案外网,非备案外网。
对于任一准许评分FZi,其设置有准许评分基础值fz,
FZi=fz×H×K×M,
其中,H为操作人员等级对准许评分计算补偿参数,K为交互数据密级对准许评分计算补偿参数,M为访问网页类型对准许评分计算补偿参数;
若操作人员等级为一般操作用户,H=h1,若操作人员等级为管理员,H=h2,其中,h1>h2;
若交互数据密级为非密级,K=k1,若交互数据密级为一般密级,K=k2,若交互数据密级为特别密级,K=k3,其中,k1<k2<k3;
若访问网页类型为校园内网,M=m1,若访问网页类型为备案外网,M=m2,若访问网页类型为非备案外网,M=m3,其中,m1<m2<m3;
对于准许评分FZi,当i的赋值不同时,h1,h2,k1,k2,k3,m1,m2,m3的赋值也不同。
具体而言,在访问外网时,通过所述虚拟机进行数据阻隔,包括,
通过虚拟机对外网交互的数据进行模拟呈现,若在呈现的过程中出现未识别数据或敏感数据则终止访问,并将出现未识别数据或敏感数据的外网标注为禁止外网。
通过设置虚拟机,在进行数据交换时,通过虚拟机对数据进行识别,一方面防止带有病毒的数据下载至本地,从而影响校园网络安全,另一方面对可能泄密的数据进行一定阻挡,进一步的保障了校园网络的安全。
至此,已经结合附图所示的优选实施方式描述了本发明的技术方案,但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术特征做出等同的更改或替换,这些更改或替换之后的技术方案都将落入本发明的保护范围之内。

Claims (5)

1.一种智慧校园网络安全防护系统,其特征在于,包括,
登入模块,用于登录网络安全防护系统;
网络识别模块,用于检测待访问网页的网页类型;
网络监管模块,用于对当前访问的网页的行为进行监管;
外设识别模块,其能够识别数据交互时本地数据存储位置,对于采用外接储存设备进行数据交互的,能够对外接储存设备进行识别;
虚拟机,用于访问外网时进行数据阻隔;
所述网络监管模块对访问的网页行为进行判定,对于任一网络行为设置有对应的准许评分,网络监管模块通过所述登入模块、所述网络识别模块、所述外设识别模块和所述虚拟机分别获取的数据内容,对待进行网络行为进行评分,并与准许评分进行对比,判定是否进行对应的网络行为,所述准许评分的数值根据登入模块、网络识别模块、外设识别模块分别获取的数据内容进行调节矫正;
所述登入模块设置有一级验证单元,二级验证单元,三级验证单元,其中,
所述一级验证单元用于验证当前使用设备是常用设备或是临时设备;
所述二级验证单元用于对一般操作用户进行登录验证;
所述三级验证单元用于对管理员进行登录验证;
所述网络识别模块对访问网页的网页类型进行分析,网页类型分为校园内网、备案外网、非备案外网和禁止外网,
若判定的访问网页为非备案外网,所述网络识别模块对非备案外网的域名、敏感信息、网页存在时长、网页活跃度进行分析,确定是否允许进行网页访问;
所述网络监管模块对网页访问行为进行监管,其内设置有行为评价单元,用于对待发生的网络行为进行评价,确定是否允许行为发生;
所述行为评价单元内设置有不同网络行为的准许评分,包括,网络访问准许评分,下载准许评分,获取设备信息准许评分,信息上传准许评分和跳转网页准许评分;
对于任一待发生的网络行为,所述行为评价单元计算其实际评分,并将实际评分与其对应的准许评分进行对比,判定是否能够进行,
若待发生的网络行为的实际评分大于等于其对应的准许评分则允许进行该网络行为,反之则禁止;
对于不同的网络行为其对应的实际评分计算方式不同,其中,
网络访问实际评分,由所述登入模块内各验证单元的验证结果,所述网络识别模块对当前网页的识别结果确定;
下载实际评分,由所述登入模块内各验证单元的验证结果,所述网络识别模块对当前网页的识别结果,外设识别模块对下载位置与外接储存设备识别结果,所述虚拟机中转解析结果确定;
获取设备信息实际评分,由所述登入模块内各验证单元的验证结果,所述网络识别模块对当前网页的识别结果确定;
信息上传实际评分,由所述登入模块内各验证单元的验证结果,所述网络识别模块对当前网页的识别结果,外设识别模块对下载位置与外接储存设备识别结果,所述虚拟机中转解析结果确定;
跳转网页实际评分,由所述登入模块内各验证单元的验证结果,所述网络识别模块对当前网页的识别结果,网络识别模块对跳转网页的识别结果确定;
在访问外网时,通过所述虚拟机进行数据阻隔,包括,
通过虚拟机对外网交互的数据进行模拟呈现,若在呈现的过程中出现未识别数据或敏感数据则终止访问,并将出现未识别数据或敏感数据的外网标注为禁止外网。
2.根据权利要求1所述的智慧校园网络安全防护系统,其特征在于,对于各验证结果与识别结果,所述行为评价单元内设置有基础评分与评分调节参数,不同验证结果与识别结果对应的基础评分与评分调节参数不同。
3.根据权利要求2所述的智慧校园网络安全防护系统,其特征在于,各所述准许评分数值能够根据操作人员等级,交互数据附件信息进行调节。
4.根据权利要求3所述的智慧校园网络安全防护系统,其特征在于,在计算各所述实际评分时,设有禁止触发条件,当计算任一实际评分时,若满足禁止触发条件则对计算的实际评分赋值为零。
5.根据权利要求4所述的智慧校园网络安全防护系统,其特征在于,所述交互数据附件信息包括,交互数据密级,访问网页类型。
CN202310672934.9A 2023-06-08 2023-06-08 一种智慧校园网络安全防护系统 Active CN116436698B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310672934.9A CN116436698B (zh) 2023-06-08 2023-06-08 一种智慧校园网络安全防护系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310672934.9A CN116436698B (zh) 2023-06-08 2023-06-08 一种智慧校园网络安全防护系统

Publications (2)

Publication Number Publication Date
CN116436698A CN116436698A (zh) 2023-07-14
CN116436698B true CN116436698B (zh) 2023-09-05

Family

ID=87083569

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310672934.9A Active CN116436698B (zh) 2023-06-08 2023-06-08 一种智慧校园网络安全防护系统

Country Status (1)

Country Link
CN (1) CN116436698B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104993952A (zh) * 2015-06-19 2015-10-21 成都艾尔普科技有限责任公司 网络用户行为审计与责任管理系统
CN108322473A (zh) * 2018-02-12 2018-07-24 北京京东金融科技控股有限公司 用户行为分析方法与装置
US10116679B1 (en) * 2018-05-18 2018-10-30 Extrahop Networks, Inc. Privilege inference and monitoring based on network behavior
EP3557838A1 (en) * 2018-04-19 2019-10-23 Gemalto Sa Monitoring the behaviour of at least one communication device
CN112702349A (zh) * 2020-12-25 2021-04-23 中国神华国际工程有限公司 一种网络攻击防御方法、装置及电子招标投标交易平台

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10834084B2 (en) * 2018-07-20 2020-11-10 International Business Machines Corporation Privileged identity authentication based on user behaviors
US11233770B2 (en) * 2019-07-02 2022-01-25 Vmware Inc. User behavior based security in a software defined data center
TWI785374B (zh) * 2020-09-01 2022-12-01 威聯通科技股份有限公司 網路惡意行為偵測方法與利用其之交換系統
US11870812B2 (en) * 2021-03-31 2024-01-09 Stanley Yuen Li Cyberrisk governance system and method to automate cybersecurity detection and resolution in a network

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104993952A (zh) * 2015-06-19 2015-10-21 成都艾尔普科技有限责任公司 网络用户行为审计与责任管理系统
CN108322473A (zh) * 2018-02-12 2018-07-24 北京京东金融科技控股有限公司 用户行为分析方法与装置
EP3557838A1 (en) * 2018-04-19 2019-10-23 Gemalto Sa Monitoring the behaviour of at least one communication device
US10116679B1 (en) * 2018-05-18 2018-10-30 Extrahop Networks, Inc. Privilege inference and monitoring based on network behavior
CN112702349A (zh) * 2020-12-25 2021-04-23 中国神华国际工程有限公司 一种网络攻击防御方法、装置及电子招标投标交易平台

Also Published As

Publication number Publication date
CN116436698A (zh) 2023-07-14

Similar Documents

Publication Publication Date Title
US20210288995A1 (en) Operational Network Risk Mitigation System And Method
CN109446817A (zh) 一种大数据检测与审计系统
US20090106843A1 (en) Security risk evaluation method for effective threat management
US20090070880A1 (en) Methods and apparatus for validating network alarms
US20210234877A1 (en) Proactively protecting service endpoints based on deep learning of user location and access patterns
CN117081868B (zh) 一种基于安全策略的网络安全运营方法
CN107798752A (zh) 一种管制区出入口车辆安检方法及系统
KR102433928B1 (ko) 자율 운항 선박의 사이버 보안 관리 시스템
CN110061987A (zh) 一种基于角色和终端可信性的接入访问控制方法及装置
CN116915515B (zh) 用于工控网络的访问安全控制方法及系统
CN106951779A (zh) 一种基于用户选择与设备行为分析的usb安全防护系统
CN116436698B (zh) 一种智慧校园网络安全防护系统
CN117768236A (zh) 一种基于api网关的安全管控和数据脱敏平台及方法
Bodeau et al. Cyber resiliency and nist special publication 800-53 rev. 4 controls
JP4843546B2 (ja) 情報漏洩監視システムおよび情報漏洩監視方法
CN112688971A (zh) 功能损害型网络安全威胁识别装置及信息系统
US10701088B2 (en) Method for transmitting data
CN110958236A (zh) 基于风险因子洞察的运维审计系统动态授权方法
Okereafor et al. New approaches to the application of digital forensics in cybersecurity: a proposal
CN113079182B (zh) 一种网络安全控制系统
CN115174144A (zh) 零信任网关自安全检测方法及装置
CN107241357A (zh) 云计算系统中用户访问控制方法和装置
CN114037286A (zh) 一种基于大数据电力调度自动化敏感数据检测方法及系统
CN117763570B (zh) 一种基于云计算的安全资源池管理方法及系统
Yuan et al. Evaluating Network Equipment Information Security Based on DS Evidence Theory and Principal Components Analysis

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant