CN117014222A - 一种计算机网络信息安全事件处理方法 - Google Patents
一种计算机网络信息安全事件处理方法 Download PDFInfo
- Publication number
- CN117014222A CN117014222A CN202311120339.0A CN202311120339A CN117014222A CN 117014222 A CN117014222 A CN 117014222A CN 202311120339 A CN202311120339 A CN 202311120339A CN 117014222 A CN117014222 A CN 117014222A
- Authority
- CN
- China
- Prior art keywords
- identity
- information
- firewall
- access
- intranet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 9
- 238000013507 mapping Methods 0.000 claims abstract description 95
- 238000012795 verification Methods 0.000 claims abstract description 19
- 238000011835 investigation Methods 0.000 claims description 26
- 238000000034 method Methods 0.000 claims description 25
- 238000012545 processing Methods 0.000 claims description 16
- 230000003993 interaction Effects 0.000 claims description 11
- 230000015654 memory Effects 0.000 claims description 11
- 230000036039 immunity Effects 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000003053 immunization Effects 0.000 description 1
- 238000002649 immunization Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种计算机网络信息安全事件处理方法,在内网防火墙验证完毕本次的访问信息之时,保存信息发送方和信息接收方的身份映射关系,其中,所述身份映射关系中,包含所述信息发送方的父子身份关系;内网防火墙将所保存的所述身份映射关系共享至外网防火墙。将包含父子身份关系的身份映射关系,由内网防火墙共享至外网防火墙,只要新接入外网防火墙的信息发送方的身份信息匹配所述身份映射关系,则认为同时符合内网防火墙的验证,进入直发模式,不再通过内网防火墙验证,以此节省在内网防火墙处进行验证的时间,同时对于子级主体的访问,同时免疫验证,为具备父子关系的访问主体,带来访问便利,提高访问时效。
Description
技术领域
本公开涉及网络安全技术领域,尤其涉及一种计算机网络信息安全事件处理方法、系统及电子设备。
背景技术
网络安全,通常指计算机网络的安全,实际上也可以指计算机通信网络的安全。计算机网络是指以共享资源为目的,利用通信手段把地域上相对分散的若干独立的计算机系统、终端设备和数据设备连接起来,并在协议的控制下进行数据交换的系统。计算机网络的根本目的在于资源共享,通信网络是实现网络资源共享的途径,因此,计算机网络是安全的,相应的计算机通信网络也必须是安全的,应该能为网络用户实现信息交换与资源共享。
对于网络安全,现有技术中,防火墙是常见的一种网络安全应用软件。防火墙主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
如附图1所示的一种典型的企业用计算机网络,会在企业内网和外网之间设置一道内网防火墙(外网和子网之间可能也会设置一道防火墙,称之为“外网防火墙”),利用防火墙能够快速处理安全事件和非法攻击事件。在可以利用防火墙技术,实现信息的安全传输,进行信息交互传输时,由防火墙对信息接收方以及发送方进行身份验证,验证通过后建立信息安全传递的通道,保证计算机的网络信息在传递中具有良好的安全性。
而在后续的信息交互中,虽然防火墙已经对信息交互双方进行了验证,但是在下一次信息交互之时,防火墙依旧需要对信息交互双方进行验证,导致一定的信息时延;且对于具有父子关系的交互双方(比如母公司A的子公司B需要和企业C进行业务交互),防火墙不能够依靠父子关系而对关联主体进行同步验证,因此会导致关联主体的资质进行重复验证,降低了信息交互、访问的时效,信息延迟。
发明内容
为了解决上述问题,本申请提出一种计算机网络信息安全事件处理方法、装置和电子设备。
本申请一方面,提出一种计算机网络信息安全事件处理方法,包括如下步骤:
在内网防火墙验证完毕本次的访问信息之时,保存信息发送方和信息接收方的身份映射关系,其中,所述身份映射关系中,包含所述信息发送方的父子身份关系;
内网防火墙向外网防火墙发出共享请求,并将所保存的所述身份映射关系共享至外网防火墙;
外网防火墙接收并保存所述身份映射关系,并基于所述身份映射关系对经外网接入的访问主体身份进行验证:
若所接入的访问主体身份匹配所述身份映射关系,则将所述访问主体的访问请求数据通过交换机发送至内网防火墙,并由所述内网防火墙直接发送至内网。
作为本申请的一可选实施方案,可选地,在内网防火墙验证完毕本次的访问信息之时,保存信息发送方和信息接收方的身份映射关系,包括:
信息发送方和信息接收方通过内网防火墙的身份验证之时:
内网防火墙根据所述信息发送方发送的访问请求,从所述访问请求中获取所述信息发送方的第一身份信息并保存;
以及,
内网防火墙根据所述信息接收方对所述访问请求的反馈信息,从所述反馈信息中获取所述信息接收方的第二身份信息并保存;
建立所述第一身份信息与所述第二身份信息之间的身份映射关系,并将所述身份映射关系保存在所述内网防火墙上。
作为本申请的一可选实施方案,可选地,在内网防火墙验证完毕本次的访问信息之时,保存信息发送方和信息接收方的身份映射关系,还包括:
内网防火墙验证完毕所述信息发送方的身份之后,生成一个父子身份调查指令,并通过交换机发送至外网,由外网将所述父子身份调查指令反馈至所述信息发送方;
所述信息发送方接收并响应所述父子身份调查指令,将本身具备的父子身份关系通过外网原路上报至内网防火墙;
内网防火墙接收信息发送方反馈的所述父子身份关系,并将所述父子身份关系绑定在所保存的所述第一身份信息之下。
作为本申请的一可选实施方案,可选地,基于所述身份映射关系对经外网接入的访问主体身份进行验证,包括:
外网防火墙接收经外网接入的访问主体的访问请求;
从所接入的访问主体的所述访问请求之中,提取得到所接入的访问主体的身份信息;
将所接入的访问主体的身份信息,与外网防火墙上保存的所述身份映射关系进行映射匹配,判断所接入的访问主体的身份信息是否能够与所述身份映射关系中的第一身份信息:
若匹配,则表明当前经外网接入的访问主体的身份信息已被外网防火墙所识别,同时将识别信息反馈至内网防火墙;
将所接入的访问主体的所述访问请求,通过交换机发送至内网防火墙,进入直发模式。
作为本申请的一可选实施方案,可选地,在判断所接入的访问主体的身份信息是否能够与所述身份映射关系中的第一身份信息之时,还包括:
若不匹配,则将所接入的访问主体的身份信息与绑定在所述第一身份信息之下的所述父子身份关系进行匹配,判断所接入的访问主体的身份信息是否能够匹配所述父子身份关系中的子级身份信息:
若匹配,则表明当前经外网接入的访问主体,为信息发送方的子级主体,对其省略身份验证;
将所接入的访问主体的所述访问请求,通过交换机发送至内网防火墙,进入直发模式。
本申请另一方面,提出一种计算机网络信息安全事件处理系统,包括:
内网防火墙,用于在验证完毕本次的访问信息之时,保存信息发送方和信息接收方的身份映射关系,其中,所述身份映射关系中,包含所述信息发送方的父子身份关系;以及,向外网防火墙发出共享请求,并将所保存的所述身份映射关系共享至外网防火墙;
外网防火墙,用于接收并保存所述身份映射关系,并基于所述身份映射关系对经外网接入的访问主体身份进行验证:若所接入的访问主体身份匹配所述身份映射关系,则将所述访问主体的访问请求数据通过交换机发送至内网防火墙,并由所述内网防火墙直接发送至内网;
外网交换机,用于内网防火墙和外网防火墙之间的信息交互。
作为本申请的一可选实施方案,可选地,所述内网防火墙,还用于:
验证完毕所述信息发送方的身份之后,生成一个父子身份调查指令,并通过交换机发送至外网,由外网将所述父子身份调查指令反馈至所述信息发送方;
所述信息发送方接收并响应所述父子身份调查指令,将本身具备的父子身份关系通过外网原路上报至内网防火墙;
内网防火墙接收信息发送方反馈的所述父子身份关系,并将所述父子身份关系绑定在所保存的所述第一身份信息之下。
本申请另一方面,还提出一种电子设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述可执行指令时实现所述的一种计算机网络信息安全事件处理方法。
本发明的技术效果:
本申请通过在内网防火墙验证完毕本次的访问信息之时,保存信息发送方和信息接收方的身份映射关系,其中,所述身份映射关系中,包含所述信息发送方的父子身份关系;内网防火墙向外网防火墙发出共享请求,并将所保存的所述身份映射关系共享至外网防火墙;外网防火墙接收并保存所述身份映射关系,并基于所述身份映射关系对经外网接入的访问主体身份进行验证:若所接入的访问主体身份匹配所述身份映射关系,则将所述访问主体的访问请求数据通过交换机发送至内网防火墙,并由所述内网防火墙直接发送至内网。能够将包含父子身份关系的身份映射关系,由内网防火墙共享至外网防火墙,只要新接入外网防火墙的信息发送方的身份信息匹配所述身份映射关系,则认为同时符合内网防火墙的验证,进入直发模式,不再通过内网防火墙验证,以此节省在内网防火墙处进行验证的时间,同时对于子级主体的访问,同时免疫验证,为具备父子关系的访问主体,带来访问便利,提高访问时效。
根据下面参考附图对示例性实施例的详细说明,本公开的其它特征及方面将变得清楚。
附图说明
包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面,并且用于解释本公开的原理。
图1示出为现有典型的企业用计算机网络示意图;
图2示出为本发明计算机网络信息安全事件处理方法的实施流程示意图;
图3示出为本发明的应用系统示意图;
图4示出为本发明身份映射关系的示意图;
图5示出为本发明绑定父子身份关系的示意图;
图6示出为本发明电子设备的应用示意图。
具体实施方式
以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
另外,为了更好的说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
实施例1
本方案将包含父子身份关系的身份映射关系,由内网防火墙共享至外网防火墙,只要新接入外网防火墙的信息发送方的身份信息匹配所述身份映射关系,则认为同时符合内网防火墙的验证,进入直发模式,不再通过内网防火墙验证,以此节省在内网防火墙处进行验证的时间,同时对于子级主体的访问,同时免疫验证,为具备父子关系的访问主体,带来访问便利,提高访问时效。
如图2所示,本申请一方面,提出一种计算机网络信息安全事件处理方法,包括如下步骤:
S1、在内网防火墙验证完毕本次的访问信息之时,保存信息发送方和信息接收方的身份映射关系,其中,所述身份映射关系中,包含所述信息发送方的父子身份关系;
S2、内网防火墙向外网防火墙发出共享请求,并将所保存的所述身份映射关系共享至外网防火墙;
S3、外网防火墙接收并保存所述身份映射关系,并基于所述身份映射关系对经外网接入的访问主体身份进行验证:
若所接入的访问主体身份匹配所述身份映射关系,则将所述访问主体的访问请求数据通过交换机发送至内网防火墙,并由所述内网防火墙直接发送至内网。
如图3所示,本方案可以基于现有的内外网服务模式进行使用。在内网和外网之间可以通过子网来实现内外防火墙之间的信息传输以及访问信息的认证。
本方案主要是对访问主体的身份认证进行一系列处理。内网防火墙与外网防火墙之间,通过外网交换机进行信息的路由传输,访问主体发送的访问请求,首先通过外网防火墙进行识别,其后再通过外网交换机发送至内网防火墙,再次对访问主体的身份信息进行身份认证。
本方案默认同一访问主体在经过内网防火墙的身份认证之时,那么其必然会通过外网防火墙的身份认证。因此,只要在上一次通过内网防火墙的身份认证,其身份信息在下一次进入外网防火墙之时,由外网防火墙识别到其在上一次被内网防火墙进行身份认证,这时则可以直接由外网发送至内网防火墙,进入直发直发模式。比如企业a,在上一次经过内网防火墙的身份认证之后,在下一次进入外网防火墙之时,让外网防火墙识别到企业a上一次已经经过内网防火墙的身份认证,那么此时外网防火墙直接将企业a的访问请求通过外网交换机发送至内网防火墙,内网防火墙不需要再次进行身份验证,直接发送至内网,进入直发模式。
本方案还在内外网防火墙中存储有身份映射关系,其中包含父子身份关系。比如说企业的子公司在访问外网防火墙之时,若是外网防火墙发现该子公司为企业a下面的子公司,则认定该子公司与企业a具备父子身份关系,那么可以基于该信任,直接由外网防火墙将该子公司的访问请求进入直发模式。
访问主体(信息发送方)访问时,可以将自身身份信息保存在访问请求中,可以让防火墙从访问请求中获取访问方的身份信息;同时根据访问地址,在内网响应访问请求之后,可以根据响应内容查看内网响应主体(信息接收方)的身份信息。
身份信息不限于身份密码、口令、CA、端口地址等等。
作为本申请的一可选实施方案,可选地,S1、在内网防火墙验证完毕本次的访问信息之时,保存信息发送方和信息接收方的身份映射关系,包括:
信息发送方和信息接收方通过内网防火墙的身份验证之时:
内网防火墙根据所述信息发送方发送的访问请求,从所述访问请求中获取所述信息发送方的第一身份信息并保存;
以及,
内网防火墙根据所述信息接收方对所述访问请求的反馈信息,从所述反馈信息中获取所述信息接收方的第二身份信息并保存;
建立所述第一身份信息与所述第二身份信息之间的身份映射关系,并将所述身份映射关系保存在所述内网防火墙上。
如图4所示,在内网防火墙对信息发送方的访问请求进行验证之时,内网防火墙可以从信息发送方发送的访问请求中提取得到信息发送方的第一身份信息,在信息接收方对访问请求响应之后,可以从响应的反馈信息中获取到信息接收方的第二身份信息。可以将访问方与被访访问方的身份信息进行关联,建立信息发送方和信息接收方的身份映射关系。存在多个访问之时,可以有序建立各个访问方和被访问方之间的第一身份信息与第二身份信息之间的身份映射关系,并将该生的映射关系保存在内网防火墙上,同时由内网防火墙共享至外网防火墙。
在下一次某个访问方进行访问之时,可以从身份映射关系表中来判断该访问方的身份信息是否可以在身份映射表中得到对应的身份映射匹配。
如果外网防火墙发现新访问主体的身份信息可以与身份映射表中的第一身份信息进行匹配,这表明该访问主体在上一次已经过内网防火墙的身份认证,可以直接将该访问主体的访问请求,由外网交换机发送至内网防火墙(经过外网交换机),并由内网防火墙直接发送至内网交换机进入内网。
作为本申请的一可选实施方案,可选地,在内网防火墙验证完毕本次的访问信息之时,保存信息发送方和信息接收方的身份映射关系,还包括:
内网防火墙验证完毕所述信息发送方的身份之后,生成一个父子身份调查指令,并通过交换机发送至外网,由外网将所述父子身份调查指令反馈至所述信息发送方;
所述信息发送方接收并响应所述父子身份调查指令,将本身具备的父子身份关系通过外网原路上报至内网防火墙;
内网防火墙接收信息发送方反馈的所述父子身份关系,并将所述父子身份关系绑定在所保存的所述第一身份信息之下。
如图5所示,在内网防火墙验证完毕信息发送方的身份信息之后,为了查看信息发送方的身份等级或者是否存在父子关系身份,则生成一个父子身份调查指令,并返回至外网防火墙,再由外网防火墙根据访问主体的源地址(访问请求包含),通过外网反馈至信息发送方。信息发送方进行响应,可以将自己信任且与自己具备父子关系的子级主体的身份,处理形成一个父子身份关系的表格,并将该父子身份关系的表格原路反馈至内网防火墙(要经过外网防火墙和外网交换机),由内网防火墙将该信息发送方所具备的父子身份关系绑定在保存在内网防火墙的第一身份信息之下。这样,后续可以基于上述直发模式来判断新访问主体是否与绑定在第一身份信息的父子身份关系相匹配。比如说发现企业a的子公司与当前保存的第一身份信息不匹配之时,那么可以来将子公司与第一身份信息下所绑定的父子身份关系进行匹配,判断该子公司的身份是否为a之下的子级身份,若是匹配到该子公司的身份信息与绑定在第一身份信息下的父子身份关系相匹配,则基于信任可以直接将该子公司的访问请求送入直发模式。
S2、内网防火墙向外网防火墙发出共享请求,并将所保存的所述身份映射关系共享至外网防火墙;
内网建立映射并共享至外网防火墙,只要前期通过内网认证,后续再次进入外网时,直接进入内网(包含子级访问主体在上述信任下的父子身份认证)。
S3、外网防火墙接收并保存所述身份映射关系,并基于所述身份映射关系对经外网接入的访问主体身份进行验证:
若所接入的访问主体身份匹配所述身份映射关系,则将所述访问主体的访问请求数据通过交换机发送至内网防火墙,并由所述内网防火墙直接发送至内网。
作为本申请的一可选实施方案,可选地,基于所述身份映射关系对经外网接入的访问主体身份进行验证,包括:
外网防火墙接收经外网接入的访问主体的访问请求;
从所接入的访问主体的所述访问请求之中,提取得到所接入的访问主体的身份信息;
将所接入的访问主体的身份信息,与外网防火墙上保存的所述身份映射关系进行映射匹配,判断所接入的访问主体的身份信息是否能够与所述身份映射关系中的第一身份信息:
若匹配,则表明当前经外网接入的访问主体的身份信息已被外网防火墙所识别,同时将识别信息反馈至内网防火墙;
将所接入的访问主体的所述访问请求,通过交换机发送至内网防火墙,进入直发模式。
作为本申请的一可选实施方案,可选地,在判断所接入的访问主体的身份信息是否能够与所述身份映射关系中的第一身份信息之时,还包括:
若不匹配,则将所接入的访问主体的身份信息与绑定在所述第一身份信息之下的所述父子身份关系进行匹配,判断所接入的访问主体的身份信息是否能够匹配所述父子身份关系中的子级身份信息:
若匹配,则表明当前经外网接入的访问主体,为信息发送方的子级主体,对其省略身份验证;
将所接入的访问主体的所述访问请求,通过交换机发送至内网防火墙,进入直发模式。
总的来说,只要上一次经过内网防火墙的身份认证的访问主体,那么在下一次进入外网防火墙之时,外网防火墙对其身份信息进行识别,若是具备第一身份信息,且该第一身份信息与所保存的身份映射关系相匹配,那么直接将该访问主体的访问请求发送至内网防火墙,并由内网防火墙进入直发模式送入内网,不需要经过内网防火墙的再次身份验证。
若是访问主体为新的主身份信息,那么要判断其是否与绑定在第一身份信息之下的父子身份关系相匹配,判断是否具备对应的子公司身份。若是所接入的访问主体的身份信息与其中某一个第一身份信息下所绑定的父子身份关系相匹配,那么则认定该所接入的访问主体为信息发送方的子级访问主体,比如为前一个企业a的子公司,那么可以基于前期所建立的信任,直接将该子公司的访问请求送入内网防火墙,并入内网防火墙送入内网,进入直发模式。
新接入的访问主体,具备所保存的第一身份信息或者其下的子公司身份,可以直接进入直发模式,省略内外网的验证。
显然,本领域的技术人员应该明白,实现上述实施例中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成的,程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各控制的实施例的流程。本领域技术人员可以理解,实现上述实施例中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成的,程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各控制的实施例的流程。其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)、随机存储记忆体(RandomAccessMemory,RAM)、快闪存储器(FlashMemory)、硬盘(HardDiskDrive,缩写:HDD)或固态硬盘(Solid-StateDrive,SSD)等;存储介质还可以包括上述种类的存储器的组合。
实施例2
基于实施例1的实施原理,本申请另一方面,提出一种计算机网络信息安全事件处理系统,包括:
内网防火墙,用于在验证完毕本次的访问信息之时,保存信息发送方和信息接收方的身份映射关系,其中,所述身份映射关系中,包含所述信息发送方的父子身份关系;以及,向外网防火墙发出共享请求,并将所保存的所述身份映射关系共享至外网防火墙;
外网防火墙,用于接收并保存所述身份映射关系,并基于所述身份映射关系对经外网接入的访问主体身份进行验证:若所接入的访问主体身份匹配所述身份映射关系,则将所述访问主体的访问请求数据通过交换机发送至内网防火墙,并由所述内网防火墙直接发送至内网;
外网交换机,用于内网防火墙和外网防火墙之间的信息交互。
作为本申请的一可选实施方案,可选地,所述内网防火墙,还用于:
验证完毕所述信息发送方的身份之后,生成一个父子身份调查指令,并通过交换机发送至外网,由外网将所述父子身份调查指令反馈至所述信息发送方;
所述信息发送方接收并响应所述父子身份调查指令,将本身具备的父子身份关系通过外网原路上报至内网防火墙;
内网防火墙接收信息发送方反馈的所述父子身份关系,并将所述父子身份关系绑定在所保存的所述第一身份信息之下。
上述系统,内网防火墙和外网防火墙之间,通过外网交换机进行信息交互的步骤,具体请参见实施例1的描述。
上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
实施例3
更进一步地,本申请另一方面,还提出一种电子设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述可执行指令时实现所述的一种计算机网络信息安全事件处理方法。
本公开实施例来电子设备包括处理器以及用于存储处理器可执行指令的存储器。其中,处理器被配置为执行可执行指令时实现前面任一所述的一种计算机网络信息安全事件处理方法。
此处,应当指出的是,处理器的个数可以为一个或多个。同时,在本公开实施例的电子设备中,还可以包括输入装置和输出装置。其中,处理器、存储器、输入装置和输出装置之间可以通过总线连接,也可以通过其他方式连接,此处不进行具体限定。
存储器作为一计算机可读存储介质,可用于存储软件程序、计算机可执行程序和各种模块,如:本公开实施例的一种计算机网络信息安全事件处理方法所对应的程序或模块。处理器通过运行存储在存储器中的软件程序或模块,从而执行电子设备的各种功能应用及数据处理。
输入装置可用于接收输入的数字或信号。其中,信号可以为产生与设备/终端/服务器的用户设置以及功能控制有关的键信号。输出装置可以包括显示屏等显示设备。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (8)
1.一种计算机网络信息安全事件处理方法,其特征在于,包括如下步骤:
在内网防火墙验证完毕本次的访问信息之时,保存信息发送方和信息接收方的身份映射关系,其中,所述身份映射关系中,包含所述信息发送方的父子身份关系;
内网防火墙向外网防火墙发出共享请求,并将所保存的所述身份映射关系共享至外网防火墙;
外网防火墙接收并保存所述身份映射关系,并基于所述身份映射关系对经外网接入的访问主体身份进行验证:
若所接入的访问主体身份匹配所述身份映射关系,则将所述访问主体的访问请求数据通过交换机发送至内网防火墙,并由所述内网防火墙直接发送至内网。
2.根据权利要求1所述的一种计算机网络信息安全事件处理方法,其特征在于,在内网防火墙验证完毕本次的访问信息之时,保存信息发送方和信息接收方的身份映射关系,包括:
信息发送方和信息接收方通过内网防火墙的身份验证之时:
内网防火墙根据所述信息发送方发送的访问请求,从所述访问请求中获取所述信息发送方的第一身份信息并保存;
以及,
内网防火墙根据所述信息接收方对所述访问请求的反馈信息,从所述反馈信息中获取所述信息接收方的第二身份信息并保存;
建立所述第一身份信息与所述第二身份信息之间的身份映射关系,并将所述身份映射关系保存在所述内网防火墙上。
3.根据权利要求2所述的一种计算机网络信息安全事件处理方法,其特征在于,在内网防火墙验证完毕本次的访问信息之时,保存信息发送方和信息接收方的身份映射关系,还包括:
内网防火墙验证完毕所述信息发送方的身份之后,生成一个父子身份调查指令,并通过交换机发送至外网,由外网将所述父子身份调查指令反馈至所述信息发送方;
所述信息发送方接收并响应所述父子身份调查指令,将本身具备的父子身份关系通过外网原路上报至内网防火墙;
内网防火墙接收信息发送方反馈的所述父子身份关系,并将所述父子身份关系绑定在所保存的所述第一身份信息之下。
4.根据权利要求3所述的一种计算机网络信息安全事件处理方法,其特征在于,基于所述身份映射关系对经外网接入的访问主体身份进行验证,包括:
外网防火墙接收经外网接入的访问主体的访问请求;
从所接入的访问主体的所述访问请求之中,提取得到所接入的访问主体的身份信息;
将所接入的访问主体的身份信息,与外网防火墙上保存的所述身份映射关系进行映射匹配,判断所接入的访问主体的身份信息是否能够与所述身份映射关系中的第一身份信息:
若匹配,则表明当前经外网接入的访问主体的身份信息已被外网防火墙所识别,同时将识别信息反馈至内网防火墙;
将所接入的访问主体的所述访问请求,通过交换机发送至内网防火墙,进入直发模式。
5.根据权利要求4所述的一种计算机网络信息安全事件处理方法,其特征在于,在判断所接入的访问主体的身份信息是否能够与所述身份映射关系中的第一身份信息之时,还包括:
若不匹配,则将所接入的访问主体的身份信息与绑定在所述第一身份信息之下的所述父子身份关系进行匹配,判断所接入的访问主体的身份信息是否能够匹配所述父子身份关系中的子级身份信息:
若匹配,则表明当前经外网接入的访问主体,为信息发送方的子级主体,对其省略身份验证;
将所接入的访问主体的所述访问请求,通过交换机发送至内网防火墙,进入直发模式。
6.一种计算机网络信息安全事件处理系统,其特征在于,包括:
内网防火墙,用于在验证完毕本次的访问信息之时,保存信息发送方和信息接收方的身份映射关系,其中,所述身份映射关系中,包含所述信息发送方的父子身份关系;以及,向外网防火墙发出共享请求,并将所保存的所述身份映射关系共享至外网防火墙;
外网防火墙,用于接收并保存所述身份映射关系,并基于所述身份映射关系对经外网接入的访问主体身份进行验证:若所接入的访问主体身份匹配所述身份映射关系,则将所述访问主体的访问请求数据通过交换机发送至内网防火墙,并由所述内网防火墙直接发送至内网;
外网交换机,用于内网防火墙和外网防火墙之间的信息交互。
7.根据权利要求6所述的一种计算机网络信息安全事件处理系统,其特征在于,所述内网防火墙,还用于:
验证完毕所述信息发送方的身份之后,生成一个父子身份调查指令,并通过交换机发送至外网,由外网将所述父子身份调查指令反馈至所述信息发送方;
所述信息发送方接收并响应所述父子身份调查指令,将本身具备的父子身份关系通过外网原路上报至内网防火墙;
内网防火墙接收信息发送方反馈的所述父子身份关系,并将所述父子身份关系绑定在所保存的所述第一身份信息之下。
8.一种电子设备,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述可执行指令时实现权利要求1-5中任一项所述的一种计算机网络信息安全事件处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311120339.0A CN117014222A (zh) | 2023-09-01 | 2023-09-01 | 一种计算机网络信息安全事件处理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311120339.0A CN117014222A (zh) | 2023-09-01 | 2023-09-01 | 一种计算机网络信息安全事件处理方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117014222A true CN117014222A (zh) | 2023-11-07 |
Family
ID=88561875
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311120339.0A Pending CN117014222A (zh) | 2023-09-01 | 2023-09-01 | 一种计算机网络信息安全事件处理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117014222A (zh) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104079675A (zh) * | 2013-03-25 | 2014-10-01 | 联想(北京)有限公司 | 信息处理的方法、电子设备及服务器 |
CN104507077A (zh) * | 2014-12-30 | 2015-04-08 | 京信通信系统(中国)有限公司 | 一种设备间映射关系建立方法、传输方法及装置 |
CN107018155A (zh) * | 2017-05-31 | 2017-08-04 | 南京燚麒智能科技有限公司 | 一种外网终端安全访问内网特定数据的方法和系统 |
CN108632276A (zh) * | 2018-05-07 | 2018-10-09 | 襄阳市尚贤信息科技有限公司 | 一种计算机网络信息安全系统 |
CN108924165A (zh) * | 2018-08-24 | 2018-11-30 | 北京和利时工业软件有限公司 | 一种内网远程访问方法及其装置及内网网关 |
CN109040334A (zh) * | 2018-07-12 | 2018-12-18 | 山东师范大学 | 静态的内网映射方法、外网服务器、内网通信设备及系统 |
CN111107106A (zh) * | 2019-12-31 | 2020-05-05 | 奇安信科技集团股份有限公司 | 认证方法、认证系统、防火墙设备和存储介质 |
CN111510436A (zh) * | 2020-03-27 | 2020-08-07 | 黑龙江省网络空间研究中心 | 网络安全系统 |
CN115102731A (zh) * | 2022-06-12 | 2022-09-23 | 上海慧程工程技术服务有限公司 | 一种基于工业物联网设备身份认证的安全交互方法 |
CN116032879A (zh) * | 2022-12-30 | 2023-04-28 | 中国联合网络通信集团有限公司 | 内网设备与外网设备的互访方法、路由设备及服务器 |
-
2023
- 2023-09-01 CN CN202311120339.0A patent/CN117014222A/zh active Pending
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104079675A (zh) * | 2013-03-25 | 2014-10-01 | 联想(北京)有限公司 | 信息处理的方法、电子设备及服务器 |
CN104507077A (zh) * | 2014-12-30 | 2015-04-08 | 京信通信系统(中国)有限公司 | 一种设备间映射关系建立方法、传输方法及装置 |
CN107018155A (zh) * | 2017-05-31 | 2017-08-04 | 南京燚麒智能科技有限公司 | 一种外网终端安全访问内网特定数据的方法和系统 |
CN108632276A (zh) * | 2018-05-07 | 2018-10-09 | 襄阳市尚贤信息科技有限公司 | 一种计算机网络信息安全系统 |
CN109040334A (zh) * | 2018-07-12 | 2018-12-18 | 山东师范大学 | 静态的内网映射方法、外网服务器、内网通信设备及系统 |
CN108924165A (zh) * | 2018-08-24 | 2018-11-30 | 北京和利时工业软件有限公司 | 一种内网远程访问方法及其装置及内网网关 |
CN111107106A (zh) * | 2019-12-31 | 2020-05-05 | 奇安信科技集团股份有限公司 | 认证方法、认证系统、防火墙设备和存储介质 |
CN111510436A (zh) * | 2020-03-27 | 2020-08-07 | 黑龙江省网络空间研究中心 | 网络安全系统 |
CN115102731A (zh) * | 2022-06-12 | 2022-09-23 | 上海慧程工程技术服务有限公司 | 一种基于工业物联网设备身份认证的安全交互方法 |
CN116032879A (zh) * | 2022-12-30 | 2023-04-28 | 中国联合网络通信集团有限公司 | 内网设备与外网设备的互访方法、路由设备及服务器 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11843589B2 (en) | Network connection automation | |
CN110365684B (zh) | 应用集群的访问控制方法、装置和电子设备 | |
CN109688186B (zh) | 数据交互方法、装置、设备及可读存储介质 | |
CN110266642A (zh) | 身份认证方法及服务器、电子设备 | |
CN114553540B (zh) | 基于零信任的物联网系统、数据访问方法、装置及介质 | |
CN113341798A (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
WO2022143174A1 (zh) | 一种数据传输方法、装置、设备、存储介质及计算机程序产品 | |
CN112491776B (zh) | 安全认证方法及相关设备 | |
CN104243419A (zh) | 基于安全外壳协议的数据处理方法、装置及系统 | |
CN110958119A (zh) | 身份验证方法和装置 | |
CN113225351B (zh) | 一种请求处理方法、装置、存储介质及电子设备 | |
CN112448956B (zh) | 一种短信验证码的权限处理方法、装置和计算机设备 | |
CN107645474B (zh) | 登录开放平台的方法及登录开放平台的装置 | |
CN114938288A (zh) | 一种数据访问方法、装置、设备以及存储介质 | |
CN114448734A (zh) | 一种网络访问方法、装置、设备以及存储介质 | |
CN114844644A (zh) | 资源请求方法、装置、电子设备及存储介质 | |
CN114125027A (zh) | 一种通信建立方法、装置、电子设备及存储介质 | |
CN110166471A (zh) | 一种Portal认证方法及装置 | |
CN116996305A (zh) | 一种多层次安全认证方法、系统、设备、存储介质及入口网关 | |
CN110933018B (zh) | 网络认证方法、装置以及计算机存储介质 | |
CN114389890B (zh) | 一种用户请求的代理方法、服务器及存储介质 | |
CN114866247B (zh) | 一种通信方法、装置、系统、终端及服务器 | |
CN117014222A (zh) | 一种计算机网络信息安全事件处理方法 | |
CN107172082B (zh) | 一种文件共享方法及系统 | |
CN114499855A (zh) | 一种基于云计算的安全验证方法、装置及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |