CN117097546A - 一种终端安全微隔离方法、装置、设备及存储介质 - Google Patents

一种终端安全微隔离方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN117097546A
CN117097546A CN202311171365.6A CN202311171365A CN117097546A CN 117097546 A CN117097546 A CN 117097546A CN 202311171365 A CN202311171365 A CN 202311171365A CN 117097546 A CN117097546 A CN 117097546A
Authority
CN
China
Prior art keywords
terminal
security
internet
policy
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311171365.6A
Other languages
English (en)
Inventor
肖昌淦
王聪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Anheng Information Security Technology Co Ltd
Original Assignee
Hangzhou Anheng Information Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Anheng Information Security Technology Co Ltd filed Critical Hangzhou Anheng Information Security Technology Co Ltd
Priority to CN202311171365.6A priority Critical patent/CN117097546A/zh
Publication of CN117097546A publication Critical patent/CN117097546A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种终端安全微隔离方法、装置、设备及存储介质,应用于网络安全领域,该方法包括:获取已安装物联网安全心的终端;利用物联网安全心采集终端的属性信息,并利用条件概率分布算法对属性信息进行计算,生成终端的设备指纹,以使终端获得访问专用网络的合法身份;基于策略管理平台预先配置安全策略;根据用户基于策略管理平台选择的安全策略模式访问相应的网络。本方法利用物联网安全心构建终端身份认证,即为终端生成设备指纹,并基于策略管理平台预先配置安全策略,用户自定义选择网络访问安全策略模式,打造了终端一机两用的管控解决方案,并且保证了接入专用网络的安全性。

Description

一种终端安全微隔离方法、装置、设备及存储介质
技术领域
本申请涉及网络安全领域,特别涉及一种终端安全微隔离方法、装置、设备及存储介质。
背景技术
常见的终端安全隔离方法一般包括:(1)部署网络准入系统,这种方法无法管控用户私接路由场景和无法识别NAT(Network Address Translation,网络地址转换)场景下的终端,因为这两种场景均对IP进行切换,无法获取真实的IP,因此无法针对真实的IP进行策略配置;(2)部署违规外联检测设备,这种方法只能检测终端私接互联网行为,但无法进行网络阻断;(3)部署传统VPN(Virtual Private Network,虚拟专用网络),这种方法需要用户终端安装VPN,并且每次访问专用网络时需要用户登录,十分繁琐,所以用户使用体验感差;并且使用VPN访问专用网络的同时无法保证互联网未处于访问状态,因此该方法跨网访问隔离并不彻底。
因此,针对终端安全微隔离,需要解决用户体验感不佳、隔离不彻底性和应用场景受限的问题。确保终端可以访问专用网络,也可以访问互联网,并且在访问专用网络时无法访问互联网,在访问互联网时无法访问专用网络。
发明内容
有鉴于此,本申请的目的在于提供一种终端安全微隔离方法、装置、设备及存储介质,解决了现有技术中针对终端安全微隔离用户体验感不佳、隔离不彻底性和应用场景受限的问题。
为解决上述技术问题,本申请提供了一种终端安全微隔离方法,包括:
获取已安装物联网安全心的终端;
利用所述物联网安全心采集所述终端的属性信息,并利用条件概率分布算法对所述属性信息进行计算,生成所述终端的设备指纹,以使所述终端获得访问专用网络的合法身份;
基于策略管理平台预先配置安全策略;
根据用户基于所述策略管理平台选择的安全策略模式访问相应的网络。
可选的,所述基于策略管理平台预先配置安全策略,包括:
采集防护单位专用网络的IP地址范围、开放的源端口以及允许通过的应用协议;
基于所述策略管理平台根据所述专用网络的IP地址范围、开放的源端口以及允许通过的应用协议进行配置ACL网络访问安全策略的黑名单和白名单。
可选的,所述根据用户基于所述策略管理平台选择的安全策略模式访问相应的网络,包括:
当所述安全策略模式为访问所述专用网络时,则所述策略管理平台对所述终端启用所述白名单,所述终端只能访问所述白名单中设置的专用网络的IP地址段;
当所述安全策略模式为访问互联网时,则所述策略管理平台对所述终端启用所述黑名单,所述终端只能访问所述互联网。
可选的,所述获取已安装物联网安全心的终端,包括:
获取已安装物联网安全心的政务终端;
相应的,所述专用网络为政务外网。
可选的,所述获取已安装物联网安全心的终端,包括:
获取已安装物联网安全心的企业办公终端;
相应的,所述专用网络为企业办公网。
可选的,在生成所述终端的设备指纹之后,还包括:
将所述设备指纹上报给所述策略管理平台,存储于设备指纹库。
可选的,所述利用所述物联网安全心采集所述终端的属性信息,包括:
利用所述物联网安全心采集所述终端的IP地址、MAC地址、设备类型、设备品牌、设备型号。
本申请还提供了一种终端安全微隔离装置,包括:
获取模块,用于获取已安装物联网安全心的终端;
设备指纹生成模块,用于利用所述物联网安全心采集所述终端的属性信息,并利用条件概率分布算法对所述属性信息进行计算,生成所述终端的设备指纹,以使所述终端获得访问专用网络的合法身份;
安全策略配置模块,用于基于策略管理平台预先配置安全策略;
安全策略模式响应模块,用于根据用户基于所述策略管理平台选择的安全策略模式访问相应的网络。
本申请还提供了一种终端安全微隔离设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述的终端安全微隔离方法的步骤。
本申请还提供了一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述的终端安全微隔离方法的步骤。
可见,本申请通过获取已安装物联网安全心的终端;利用物联网安全心采集终端的属性信息,并利用条件概率分布算法对属性信息进行计算,生成终端的设备指纹,以使终端获得访问专用网络的合法身份;基于策略管理平台预先配置安全策略;根据用户基于策略管理平台选择的安全策略模式访问相应的网络。本方法利用物联网安全心构建终端身份认证,即为终端生成设备指纹,并基于策略管理平台预先配置安全策略,用户自定义选择网络访问安全策略模式,打造了终端一机两用的管控解决方案,并且保证了接入专用网络的安全性。
此外,本申请还提供了终端安全微隔离装置、设备及存储介质,同样具有上述有益效果。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种终端安全微隔离方法的流程图;
图2为本申请实施例提供的一种政务终端安全微隔离方法的流程示例图;
图3为本申请实施例提供的一种终端安全微隔离装置的结构示意图;
图4为本申请实施例提供的一种终端安全微隔离设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了更好的理解本申请,对部分术语进行解释说明:
一机两用(One machine and two purposes):各级部门使用的计算机及网络设备既可以连接专用网络,又可以连接国际互联网。
设备指纹(Device fingerprint):是指可以用于唯一标识出该设备的设备特征或者独特的设备标识。
身份认证(Identity authentication):通过复杂算法生成终端身份认证信息,终端在登录平台的消息中携带加密的身份认证信息,平台端采用相应的算法完成终端身份的安全认证,从而确保接入终端的合法身份。
请参考图1,图1为本申请实施例提供的一种终端安全微隔离方法的流程图。该方法可以包括:
S101:获取已安装物联网安全心的终端。
本实施例的执行主体为可以调用物联网安全心和策略管理平台的调用平台。物联网安全心是一款内嵌在物联网终端系统底层的轻量级软件产品。可针对物联网终端系统进行威胁感知、安全防护、数据加密,实现物联网终端的安全感知与可信管控。物联网安全心采用网络驱动隔离技术,不依赖终端自身的防火墙,能够精准识别不同网络的业务流量。本实施例并不对终端进行限定,只要是具有安全微隔离需求的终端即可。例如,可以获取已安装物联网安全心的政务终端;相应的,专用网络为政务外网;或者还可以获取已安装物联网安全心的企业办公终端;相应的,专用网络为企业办公网。
当终端访问专用网络时,利用策略管理平台对该终端进行身份认证,检验终端是否安装了物联网安全心,将已安装物联网安全心的终端进行后续处理,未安装物联网安全心的终端,不具有合法访问身份,无法访问专用网络。
S102:利用物联网安全心采集终端的属性信息,并利用条件概率分布算法对属性信息进行计算,生成终端的设备指纹,以使终端获得访问专用网络的合法身份。
安装了物联网安全心的终端,则利用该物联网安全心采用主动采集模式生成设备指纹。具体步骤为:利用物联网安全心采集终端的属性信息,利用条件概率分布算法对属性信息进行计算,生成该终端的设备指纹,则该终端获得访问专用网络的合法身份。其中,利用条件概率分布算法对属性信息进行计算的具体过程可以为:
假设有M个随机变量,每个变量的取值有N个,设备字段的集合为{IP、MAC、设备类型、厂商、系统版本、CPU、内存、磁盘、网络使用量、…},则单个字段条件概率:P(IP)=N(IP)/M;多个字段组合的条件概率:P(AB)=P(A)×P(B|A)、P(ABC)=P(A)P(B|A)P(C|AB)、…依次类推。当P(IP,MAC,设备类型,厂商,系统版本,CPU,内存,磁盘,网络使用量,…)<1/M时,这些字段生成的设备指纹是唯一性,根据算法生成唯一的设备id(身份标识号)。其中,IP(Internet Protocol)为互联网之间互联的协议;MAC(Media Access Control)为物理地址;CPU(Central Processing Unit)为中央处理器。
基于物联网安全心的终端准入认证技术,对要访问专用网络的终端实现接入认证,确保接入终端的身份安全合法。若未经安全防护的终端进入专用网络,容易导致被攻击的风险,本发明采用先身份认证后接入的方式对需要访问专用网络的终端进行准入认证,仅安全合法授权的终端才允许访问专用网络,有效防范仿冒私接、病毒传播等攻击风险。
需要进一步说明的是,上述利用物联网安全心采集终端的属性信息,包括:
利用物联网安全心采集终端的IP地址、MAC地址、设备类型、设备品牌、设备型号。
通过SDK(Software Development Kit,软件开发工具包)事先在终端埋点采集终端设备信息,如IP地址、MAC地址、设备类型、设备品牌、设备型号等信息。需要进行说明的是,物联网安全心采集终端的属性信息包括但不限于IP地址、MAC地址、设备类型、设备品牌、设备型号。
需要进一步的说明的是,在上述生成终端的设备指纹之后,还可以包括以下步骤:
将设备指纹上报给策略管理平台,存储于设备指纹库。
本实施例将为各个具有物联网安全心的终端生成各自的设备指纹,将该指纹上报给策略管理平台存储在设备指纹库,便于策略管理平台基于设备指纹库对访问专用网络的终端进行身份核验。
S103:基于策略管理平台预先配置安全策略。
本实施例预先在策略管理平台上配置安全策略。需要进一步说明的是,上述基于策略管理平台预先配置安全策略,可以包括以下步骤:
步骤21:采集防护单位专用网络的IP地址范围、开放的源端口以及允许通过的应用协议;
步骤22:基于策略管理平台根据专用网络的IP地址范围、开放的源端口以及允许通过的应用协议进行配置ACL网络访问安全策略的黑名单和白名单。
预先收集防护单位专用网络的IP地址范围、开放的源端口以及允许通过的应用协议;然后,在策略管理平台上根据上一步收集的专用网络的IP地址范围、源端口、协议进行配置ACL(Access Control Lis,访问控制列表)网络访问安全策略黑名单和白名单,若终端未开始访问网络时,黑白名单处于禁用状态。
S104:根据用户基于策略管理平台选择的安全策略模式访问相应的网络。
根据用户在策略管理平台选择的安全策略模式,接入对应的网络。基于物联网安全心安全策略自适应技术,对需要接入专用网络的终端实现网络微隔离,确保同一台政务终端无法同时访问政务外网和互联网,轻松解决政务外网“一机两用”的终端安全问题。需要进一步说明的是,上述根据用户基于策略管理平台选择的安全策略模式访问相应的网络,可以包括以下步骤:
步骤31:当安全策略模式为访问专用网络时,则策略管理平台对终端启用白名单,终端只能访问白名单中设置的专用网络的IP地址段;
步骤32:当安全策略模式为访问互联网时,则策略管理平台对终端启用黑名单,终端只能访问互联网。
物联网安全心通过严格执行安全访问策略,限定同一台授权终端无法同时访问专用网络和互联网。例如:如果终端选择“访问政务外网”安全策略模式时,则无法访问互联网;当此终端选择“访问互联网”安全策略模式时,则无法访问政务外网。另外策略管理平台可以支持批量配置策略以及支持不同终端的安全策略定制,实现终端安全微隔离颗粒度进一步细化。
应用本申请实施例提供的终端安全微隔离方法,通过获取已安装物联网安全心的终端;利用物联网安全心采集终端的属性信息,并利用条件概率分布算法对属性信息进行计算,生成终端的设备指纹,以使终端获得访问专用网络的合法身份;基于策略管理平台预先配置安全策略;根据用户基于策略管理平台选择的安全策略模式访问相应的网络。本方法利用物联网安全心构建终端身份认证,即为终端生成设备指纹,并基于策略管理平台预先配置安全策略,用户自定义选择网络访问安全策略模式,打造了终端一机两用的管控解决方案,并且保证了接入专用网络的安全性。并且,基于物联网安全心安全策略自适应技术,对需要接入专用网络的终端实现网络微隔离,确保同一台政务终端无法同时访问政务外网和互联网,轻松解决政务外网“一机两用”的终端安全问题;并且,基于物联网安全心的终端准入认证技术,对要访问专用网络的终端实现接入认证,确保接入终端的身份安全合法。若未经安全防护的终端进入专用网络,容易导致被攻击的风险,本发明采用先身份认证后接入的方式对需要访问专用网络的终端进行准入认证,仅安全合法授权的终端才允许访问专用网络,有效防范仿冒私接、病毒传播等攻击风险。
为了使本申请更便于理解,以政务终端为例,具体请参考图2,图2为本申请实施例提供的一种政务终端安全微隔离方法的流程示例图,具体可以包括:
终端接入认证:当政务终端访问政务外网时,策略管理平台对其进行接入身份认证,检验政务终端是否安装物联网安全心。对于已安装物联网安全心的终端,获得准许访问政务外网的合法授权身份,则校验设备指纹token(令牌),按照用户在策略管理平台提前配置的安全策略以及选择的网络访问安全策略模式进行放行。对于未安装物联网安全心的终端,则用户无法访问政务外网。
生成设备指纹:物联网安全心主动采集政务终端多个属性信息,包括IP地址、MAC地址、设备类型、设备品牌、设备型号等字段,利用多个字段组合的条件概率分布算法,计算得到具有唯一性的设备指纹,将设备指纹上报给策略管理平台,存储于设备指纹库。
配置安全策略(策略管理平台端):提前收集防护单位政务外网的IP地址范围、开放的源端口以及允许通过的应用协议;然后,在策略管理平台上根据上一步收集的政务外网IP地址范围、源端口、协议进行配置ACL网络访问安全策略黑名单和白名单,默认黑/白名单均处于禁用状态。
选择安全策略(用户端):根据用户使用场景需求,在物联网安全心上选择网络访问安全策略模式:访问政务外网或访问互联网。当用户选择“访问政务外网”模式时,策略管理平台对政务终端启用白名单安全策略,此时政务终端只能访问白名单中设置的政务外网IP地址段,不能访问互联网。当用户选择“访问互联网”模式时,策略管理平台对政务终端启用黑名单安全策略,此时政务终端只能访问互联网,不能访问黑名单中设置的政务外网IP地址段。在此对黑名单和白名单进行说明,黑名单与白名单内容一样,执行动作不一样,黑名单为不执行名单,白名单为执行名单。
下面对本申请实施例提供的终端安全微隔离方法装置进行介绍,下文描述的终端安全微隔离方法装置与上文描述的终端安全微隔离方法可相互对应参照。
具体请参考图3,图3为本申请实施例提供的终端安全微隔离方法装置的结构示意图,可以包括:
获取模块100,用于获取已安装物联网安全心的终端;
设备指纹生成模块200,用于利用所述物联网安全心采集所述终端的属性信息,并利用条件概率分布算法对所述属性信息进行计算,生成所述终端的设备指纹,以使所述终端获得访问专用网络的合法身份;
安全策略配置模块300,用于基于策略管理平台预先配置安全策略;
安全策略模式响应模块400,用于根据用户基于所述策略管理平台选择的安全策略模式访问相应的网络。
基于上述实施例,上述安全策略配置模块300,可以包括:
采集单元,用于采集防护单位专用网络的IP地址范围、开放的源端口以及允许通过的应用协议;
配置单元,用于基于所述策略管理平台根据所述专用网络的IP地址范围、开放的源端口以及允许通过的应用协议进行配置ACL网络访问安全策略的黑名单和白名单。
基于上述实施例,上述安全策略模式响应模块400,可以包括:
专用网络访问单元,用于当所述安全策略模式为访问所述专用网络时,则所述策略管理平台对所述终端启用所述白名单,所述终端只能访问所述白名单中设置的专用网络的IP地址段;
互联网访问单元,用于当所述安全策略模式为访问互联网时,则所述策略管理平台对所述终端启用所述黑名单,所述终端只能访问所述互联网。
基于上述实施例,上述获取模块100,可以包括:
政务终端获取单元,用于获取已安装物联网安全心的政务终端;相应的,所述专用网络为政务外网。
基于上述实施例,上述获取模块100,可以包括:
企业办公终端获取单元,获取已安装物联网安全心的企业办公终端;相应的,所述专用网络为企业办公网。
基于上述实施例,终端安全微隔离装置,还可以包括:
上报和存储单元,用于在生成所述终端的设备指纹之后,将所述设备指纹上报给所述策略管理平台,存储于设备指纹库。
基于上述实施例,上述设备指纹生成模块200中的利用所述物联网安全心采集所述终端的属性信息,可以包括:
采集单元,用于利用所述物联网安全心采集所述终端的IP地址、MAC地址、设备类型、设备品牌、设备型号。
需要说明的是,上述终端安全微隔离装置中的模块以及单元在不影响逻辑的情况下,其顺序可以前后进行更改。
应用本申请实施例提供的终端安全微隔离装置,通过获取模块100,用于获取已安装物联网安全心的终端;设备指纹生成模块200,用于利用物联网安全心采集终端的属性信息,并利用条件概率分布算法对属性信息进行计算,生成终端的设备指纹,以使终端获得访问专用网络的合法身份;安全策略配置模块300,用于基于策略管理平台预先配置安全策略;安全策略模式响应模块400,用于根据用户基于策略管理平台选择的安全策略模式访问相应的网络。本装置利用物联网安全心构建终端身份认证,即为终端生成设备指纹,并基于策略管理平台预先配置安全策略,用户自定义选择网络访问安全策略模式,打造了终端一机两用的管控解决方案,并且保证了接入专用网络的安全性。并且,基于物联网安全心安全策略自适应技术,对需要接入专用网络的终端实现网络微隔离,确保同一台政务终端无法同时访问政务外网和互联网,轻松解决政务外网“一机两用”的终端安全问题;并且,基于物联网安全心的终端准入认证技术,对要访问专用网络的终端实现接入认证,确保接入终端的身份安全合法。若未经安全防护的终端进入专用网络,容易导致被攻击的风险,本发明采用先身份认证后接入的方式对需要访问专用网络的终端进行准入认证,仅安全合法授权的终端才允许访问专用网络,有效防范仿冒私接、病毒传播等攻击风险。
下面对本申请实施例提供的终端安全微隔离设备进行介绍,下文描述的终端安全微隔离设备与上文描述的终端安全微隔离方法可相互对应参照。
请参考图4,图4为本申请实施例提供的一种终端安全微隔离设备的结构示意图,可以包括:
存储器10,用于存储计算机程序;
处理器20,用于执行计算机程序,以实现上述的终端安全微隔离方法。
存储器10、处理器20、通信接口31均通过通信总线32完成相互间的通信。
在本申请实施例中,存储器10中用于存放一个或者一个以上程序,程序可以包括程序代码,程序代码包括计算机操作指令,在本申请实施例中,存储器10中可以存储有用于实现以下功能的程序:
获取已安装物联网安全心的终端;
利用物联网安全心采集终端的属性信息,并利用条件概率分布算法对属性信息进行计算,生成终端的设备指纹,以使终端获得访问专用网络的合法身份;
基于策略管理平台预先配置安全策略;
根据用户基于策略管理平台选择的安全策略模式访问相应的网络。
在一种可能的实现方式中,存储器10可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统,以及至少一个功能所需的应用程序等;存储数据区可存储使用过程中所创建的数据。
此外,存储器10可以包括只读存储器和随机存取存储器,并向处理器提供指令和数据。存储器的一部分还可以包括NVRAM。存储器存储有操作系统和操作指令、可执行模块或者数据结构,或者它们的子集,或者它们的扩展集,其中,操作指令可包括各种操作指令,用于实现各种操作。操作系统可以包括各种系统程序,用于实现各种基础任务以及处理基于硬件的任务。
处理器20可以为中央处理器(Central Processing Unit,CPU)、特定应用集成电路、数字信号处理器、现场可编程门阵列或者其他可编程逻辑器件,处理器20可以是微处理器或者也可以是任何常规的处理器等。处理器20可以调用存储器10中存储的程序。
通信接口31可以为通信模块的接口,用于与其他设备或者系统连接。
当然,需要说明的是,图4所示的结构并不构成对本申请实施例中终端安全微隔离设备的限定,在实际应用中终端安全微隔离设备可以包括比图4所示的更多或更少的部件,或者组合某些部件。
下面对本申请实施例提供的可读存储介质进行介绍,下文描述的存储介质与上文描述的终端安全微隔离方法可相互对应参照。
本申请还提供一种存储介质,该存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述的终端安全微隔离方法的步骤。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应该认为超出本申请的范围。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系属于仅仅用来将一个实体或者操作与另一个实体或者操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其他任何变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
以上对本申请所提供的一种终端安全微隔离方法、装置、设备及存储介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (10)

1.一种终端安全微隔离方法,其特征在于,包括:
获取已安装物联网安全心的终端;
利用所述物联网安全心采集所述终端的属性信息,并利用条件概率分布算法对所述属性信息进行计算,生成所述终端的设备指纹,以使所述终端获得访问专用网络的合法身份;
基于策略管理平台预先配置安全策略;
根据用户基于所述策略管理平台选择的安全策略模式访问相应的网络。
2.根据权利要求1所述的终端安全微隔离方法,其特征在于,所述基于策略管理平台预先配置安全策略,包括:
采集防护单位专用网络的IP地址范围、开放的源端口以及允许通过的应用协议;
基于所述策略管理平台根据所述专用网络的IP地址范围、开放的源端口以及允许通过的应用协议进行配置ACL网络访问安全策略的黑名单和白名单。
3.根据权利要求2所述的终端安全微隔离方法,其特征在于,所述根据用户基于所述策略管理平台选择的安全策略模式访问相应的网络,包括:
当所述安全策略模式为访问所述专用网络时,则所述策略管理平台对所述终端启用所述白名单,所述终端只能访问所述白名单中设置的专用网络的IP地址段;
当所述安全策略模式为访问互联网时,则所述策略管理平台对所述终端启用所述黑名单,所述终端只能访问所述互联网。
4.根据权利要求1所述的终端安全微隔离方法,其特征在于,所述获取已安装物联网安全心的终端,包括:
获取已安装物联网安全心的政务终端;
相应的,所述专用网络为政务外网。
5.根据权利要求1所述的终端安全微隔离方法,其特征在于,所述获取已安装物联网安全心的终端,包括:
获取已安装物联网安全心的企业办公终端;
相应的,所述专用网络为企业办公网。
6.根据权利要求1所述的终端安全微隔离方法,其特征在于,在所述生成所述终端的设备指纹之后,还包括:
将所述设备指纹上报给所述策略管理平台,存储于设备指纹库。
7.根据权利要求1所述的终端安全微隔离方法,其特征在于,所述利用所述物联网安全心采集所述终端的属性信息,包括:
利用所述物联网安全心采集所述终端的IP地址、MAC地址、设备类型、设备品牌、设备型号。
8.一种终端安全微隔离装置,其特征在于,包括:
获取模块,用于获取已安装物联网安全心的终端;
设备指纹生成模块,用于利用所述物联网安全心采集所述终端的属性信息,并利用条件概率分布算法对所述属性信息进行计算,生成所述终端的设备指纹,以使所述终端获得访问专用网络的合法身份;
安全策略配置模块,用于基于策略管理平台预先配置安全策略;
安全策略模式响应模块,用于根据用户基于所述策略管理平台选择的安全策略模式访问相应的网络。
9.一种终端安全微隔离设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的终端安全微隔离方法的步骤。
10.一种存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的终端安全微隔离方法的步骤。
CN202311171365.6A 2023-09-11 2023-09-11 一种终端安全微隔离方法、装置、设备及存储介质 Pending CN117097546A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311171365.6A CN117097546A (zh) 2023-09-11 2023-09-11 一种终端安全微隔离方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311171365.6A CN117097546A (zh) 2023-09-11 2023-09-11 一种终端安全微隔离方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN117097546A true CN117097546A (zh) 2023-11-21

Family

ID=88781919

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311171365.6A Pending CN117097546A (zh) 2023-09-11 2023-09-11 一种终端安全微隔离方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN117097546A (zh)

Similar Documents

Publication Publication Date Title
US10757094B2 (en) Trusted container
US10083290B2 (en) Hardware-based device authentication
US8209394B2 (en) Device-specific identity
US7886335B1 (en) Reconciliation of multiple sets of network access control policies
US7979899B2 (en) Trusted device-specific authentication
US9781096B2 (en) System and method for out-of-band application authentication
CN112424775A (zh) 用于网络实体的基于区块链的网络保护的方法和系统
WO2014099688A1 (en) Hardware-based device authentication
EP1956463A2 (en) Method and apparatus for providing network security based on device security status
CN110971569A (zh) 网络访问权限管理方法、装置及计算设备
CN110968848B (zh) 基于用户的权限管理方法、装置及计算设备
CN113839945A (zh) 一种基于身份的可信接入控制系统和方法
Batista et al. Using externals IdPs on OpenStack: A security analysis of OpenID connect, Facebook connect, and OpenStack authentication
CN117097546A (zh) 一种终端安全微隔离方法、装置、设备及存储介质
KR101160903B1 (ko) 네트워크 식별자 분류 시스템 및 그 방법
CN115665744B (zh) 车联网交互方法、装置、设备及介质
Culp Infrastructure-Based Access Policy Enforcement Using Software-Defined Networks
Okafor et al. DiVerify: Diversifying Identity Verification in Next-Generation Software Signing
Urama et al. SDN-Based Cryptographic Client Authentication: A New Approach to DHCP Starvation Mitigation
US20180331919A1 (en) Obtain network address of one or more network device for use in authentication
CN118056380A (zh) 在计算机网络之内限制横向遍历
CN117061140A (zh) 一种渗透防御方法和相关装置
CN116471049A (zh) 数据的认证方法和系统
CN117857185A (zh) 一种基于虚拟身份的认证鉴权方法、装置以及处理系统
Loving Enabling malware remediation in expanding home networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination