本发明专利技术提供了一种企业网络访问控制方法及装置。该方法包括:在企业网络外部监测所述企业网络的网络边界设备的访问端口是否发生变化;若监测到所述企业网络的网络边界设备的访问端口发生变化,则获取监测结果,所述监测结果包括网络边界设备的访问端口变化情况;基于预设网络安全策略对所述监测结果进行分析,确定所述网络边界设备的访问端口变化是否异常;根据分析结果对所述企业网络进行网络访问控制。本发明专利技术实施例实现了实时掌控企业网络边界防护状况以及对企业网络进行安全防护的目的。
【技术实现步骤摘要】
本专利技术涉及网络应用
,特别是一种企业网络访问控制方法及装置。
技术介绍
信息点间通信和内外网络的通信是企业网络中必不可少的业务需求,为了保障业务数据在网络传输交换过程中不被非法获取与篡改,相应的网络信息安全防护措施已在不同层面进行了部署。相关技术中,大多数的业务专网对于网络的访问控制几乎都集中在网络的出入关口,而对网络内部结构和接入边界却没有施行必要的监测与管理。因此,亟待解决这一技术问题。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的企业网络访问控制方法及相应的装置。依据本专利技术的一方面,提供了一种企业网络访问控制方法,包括:在企业网络外部监测所述企业网络的网络边界设备的访问端口是否发生变化;若监测到所述企业网络的网络边界设备的访问端口发生变化,则获取监测结果,所述监测结果包括网络边界设备的访问端口变化情况;基于预设网络安全策略对所述监测结果进行分析,确定所述网络边界设备的访问端口变化是否异常;根据分析结果对所述企业网络进行网络访问控制。可选地,所述获取监测结果,包括:所述企业网络外部将监测结果发送至所述企业网络内部,在所述企业网络内部获取所述监测结果;所述基于预设网络安全策略对所述监测结果进行分析,包括:在所述企业网络内部基于预设网络安全策略对所述监测结果进行分析。可选地,所述企业网络内部包括具备根据网络安全策略进行网络安全评估能力的网络安全管理平台。可选地,所述在企业网络外部监测所述企业网络的网络边界设备的访问端口是否发生变化,包括:在企业网络外部对所述企业网络的网络边界设备上报的访问端口的信息进行监测,以确定所述企业网络的网络边界设备的访问端口是否发生变化;或者,在企业网络外部主动获取所述企业网络的网络边界设备的访问端口的信息,以确定所述企业网络的网络边界设备的访问端口是否发生变化。可选地,所述访问端口的信息包括下列至少之一:访问端口对应的域名信息、访问端口对应的IP列表、访问端口对应的服务信息、访问端口对应的漏洞。可选地,所述在企业网络外部监测所述企业网络的网络边界设备的访问端口是否发生变化,包括:在企业网络外部实时或定期获取所述企业网络的网络边界设备中记载的路由信息;根据所述路由信息确定所述企业网络的网络边界设备的访问端口;扫描确定的所述企业网络的网络边界设备的访问端口,判断所述企业网络的网络边界设备的访问端口是否发生变化。可选地,所述扫描确定的所述企业网络的网络边界设备的访问端口,包括:根据安全需要设置的扫描频率对确定的所述企业网络的网络边界设备的访问端口进行扫描。可选地,所述扫描确定的所述企业网络的网络边界设备的访问端口,包括:确定所述企业网络的网络边界设备所在子网的数量;根据所述企业网络的网络边界设备所在子网的数量启用对应的预设数量的扫描线程;利用所述预设数量的扫描线程对所述企业网络的网络边界设备的访问端口进行扫描。可选地,所述预设网络安全策略具有不同层级的权限;所述基于预设网络安全策略对所述监测结果进行分析,确定所述网络边界设备的访问端口变化是否异常,包括:在预设网络安全策略中查找到访问端口发生变化的网络边界设备对应的网络安全策略,确定所述网络边界设备发生变化的访问端口对应的第一权限;根据所述监测结果确定所述网络边界设备发生变化的访问端口对应的第二权限;比对所述第一权限和所述第二权限,确定所述网络边界设备的访问端口变化是否异常。可选地,所述比对所述第一权限和所述第二权限,确定所述网络边界设备的访问端口变化是否异常,包括:若比对一致,则确定所述网络边界设备的访问端口变化未出现异常;若比对不一致,则确定所述网络边界设备的访问端口变化出现异常。可选地,所述根据分析结果对所述企业网络进行网络访问控制,包括:若确定所述网络边界设备的访问端口变化未出现异常,则生成所述网络边界设备的访问端口变化未出现异常的提示信息。可选地,所述根据分析结果对所述企业网络进行网络访问控制,包括:若确定所述网络边界设备的访问端口变化出现异常,则判断是否更改访问端口发生变化的网络边界设备对应的网络安全策略;若否,则关闭所述网络边界设备发生变化的访问端口。可选地,所述企业网络的网络边界设备包括直接面向所述企业网络的各个终端,提供网络接入服务的设备。可选地,所述企业网络的网络边界设备包括下列至少之一:路由器、交换机、防火墙。依据本专利技术的另一方面,还提供了一种企业网络访问控制装置,包括:监测模块,适于在企业网络外部监测所述企业网络的网络边界设备的访问端口是否发生变化;获取模块,适于若所述监测模块监测到所述企业网络的网络边界设备的访问端口发生变化,则获取监测结果,所述监测结果包括网络边界设备的访问端口变化情况;分析模块,适于基于预设网络安全策略对所述监测结果进行分析,确定所述网络边界设备的访问端口变化是否异常;访问控制模块,适于根据分析结果对所述企业网络进行网络访问控制。可选地,所述获取模块,还适于所述企业网络外部将监测结果发送至所述企业网络内部,在所述企业网络内部获取所述监测结果;所述分析模块,还适于在所述企业网络内部基于预设网络安全策略对所述监测结果进行分析。可选地,所述企业网络内部包括具备根据网络安全策略进行网络安全评估能力的网络安全管理平台。可选地,所述监测模块还适于:在企业网络外部对所述企业网络的网络边界设备上报的访问端口的信息进行监测,以确定所述企业网络的网络边界设备的访问端口是否发生变化;或者,在企业网络外部主动获取所述企业网络的网络边界设备的访问端口的信息,以确定所述企业网络的网络边界设备的访问端口是否发生变化。可选地,所述访问端口的信息包括下列至少之一:访问端口对应的域名信息、访问端口对应的IP列表、访问端口对应的服务信息、访问端口对应的漏洞。可选地,所述监测模块还适于:在企业网络外部实时或定期获取所述企业网络的网络边界设备中记载的路由信息;根据所述路由信息确定所述企业网络的网络边界设备的访问端口;扫描确定的所述企业网络的网络边界设备的访问端口,判断所述企业网络的网络边界设备的访问端口是否发生变化。可选地,所述监测模块还适于:根据安全需要设置的扫描频率对确定的所述企业网络的网络边界设备的访问端口进行扫描。可选地,所述监测模块还适于:确定所述企业网络的网络边界设备所在子网的数量;根据所述企业网络的网络边界设备所在子网的数量启用对应的预设数量的扫描线程;利用所述预设数量的扫描线程对所述企业网络的网络边界设备的访问端口进行扫描。可选地,所述预设网络安全策略具有不同层级的权限,所述分析模块还适于:在预设网络安全策略中查找到访问端口发生变化的网络边界设备对应的网络安全策略,确定所述网络边界设备发生变化的访问端口对应的第一权限;根据所述监测结果确定所述网络边界设备发生变化的访问端口对应的第二权限;比对所述第一权限和所述第二权限,确定所述网络边界设备的访问端口变化是否异常。可选地,所述分析模块还适于:若比对一致,则确定所述网络边界设备的访问端口变化未出现异常;若比对不一致,则确定所述网络边界设备的访问端口变化出现异常。可选地,所述访问控制模块还适于:若确定所述网络边界设备的访问端口变化未出现异常,则生成所述网络边界设备的访问端口变化未出现异常的提示信息。可选本文档来自技高网...
【技术保护点】
一种企业网络访问控制方法,包括:在企业网络外部监测所述企业网络的网络边界设备的访问端口是否发生变化;若监测到所述企业网络的网络边界设备的访问端口发生变化,则获取监测结果,所述监测结果包括网络边界设备的访问端口变化情况;基于预设网络安全策略对所述监测结果进行分析,确定所述网络边界设备的访问端口变化是否异常;根据分析结果对所述企业网络进行网络访问控制。
【技术特征摘要】
1.一种企业网络访问控制方法,包括:在企业网络外部监测所述企业网络的网络边界设备的访问端口是否发生变化;若监测到所述企业网络的网络边界设备的访问端口发生变化,则获取监测结果,所述监测结果包括网络边界设备的访问端口变化情况;基于预设网络安全策略对所述监测结果进行分析,确定所述网络边界设备的访问端口变化是否异常;根据分析结果对所述企业网络进行网络访问控制。2.根据权利要求1所述的方法,其中,所述获取监测结果,包括:所述企业网络外部将监测结果发送至所述企业网络内部,在所述企业网络内部获取所述监测结果;所述基于预设网络安全策略对所述监测结果进行分析,包括:在所述企业网络内部基于预设网络安全策略对所述监测结果进行分析。3.根据权利要求2所述的方法,其中,所述企业网络内部包括具备根据网络安全策略进行网络安全评估能力的网络安全管理平台。4.根据权利要求1-3任一项所述的方法,其中,所述在企业网络外部监测所述企业网络的网络边界设备的访问端口是否发生变化,包括:在企业网络外部对所述企业网络的网络边界设备上报的访问端口的信息进行监测,以确定所述企业网络的网络边界设备的访问端口是否发生变化;或者,在企业网络外部主动获取所述企业网络的网络边界设备的访问端口的信息,以确定所述企业网络的网络边界设备的访问端口是否发生变化。5.根据权利要求4所述的方法,其中,所述访问端口的信息包括下列至少之一:访问端口对应的域名信息、访问端口对应的IP列表、访问端口对应的服务信息、访问端口对应的漏洞。6.根据权利要求1-5任一项所述的方法,其中,所述在企业网络外部监测所述企业网络的网络边界设备的访问端口是否发生变化,包括:在企业网络外部实时或定期获取所述企业网络的网络边界设备中记载的路由信息;根据所述路由信息确定...
【专利技术属性】
技术研发人员:张睿,童文,裴越峰,江亚辉,金迪颖,刘小雄,
申请(专利权)人:北京琵琶行科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。