【技术实现步骤摘要】
一种精细化安全防护系统和方法及其应用
本专利技术涉及网络安全
,更具体地说,涉及一种基于Web应用识别的精细化安全防护系统和方法及其应用。
技术介绍
目前,业内常用的现有技术是这样的:现有电网防火墙只能对网络流量进行静态的、基于端口或协议的过滤,而对目前大量应用端口复用的情况(比如80端口已不再专属HTTP,而是可被P2P使用)束手无策,更无法实现精确管控,比如,允许访问80端口的策略很可能会让P2P通过,甚至让黑客程序借此漏洞发动网络攻击,如果直接禁止80端口则会殃及Web应用,导致正常的网页访问无法进行。同样,流量控制和管理也到了对应用种类进行细分的管理粒度,传统的基于端口的粗放型流量管理不仅会“误伤”应该保证的良性应用,更可能会“助长”不良应用的入侵。现有防火墙通过IP地址对各安全区域进行访问控制,对威胁和应用来源进行跟踪审计的做法也存在隐患,除了固定的IP接入方案,随着无线设备的飞速发展,电网内部移动设备快速增多。在多网多终端接入环境下,IP地址分配具有极强的随机性和不唯一性,IP地址本身对用户身份信息...
【技术保护点】
1.一种精细化安全防护系统,其特征在于,该系统包括:/n协议引擎与应用过滤模块,用于进行协议处理、应用过滤、安全策略管理、流量管控、实时统计相关数据并生成历史报表;/nWEB认证和域控制认证模块,通过支持IKE、IPSec G-G、IPSec G-C、PSK,证书认证支持、IPSec NAT穿越、SSL VPN WEB代理、SSL VPN L3VPN隧道、L2TP协议,用于对协议引擎与应用过滤模块生成的历史报表进行认证与授权;/n统计报表和策略管理模块,用于统计协议引擎与应用过滤模块生成的历史报表以及进行策略管理。/n
【技术特征摘要】
1.一种精细化安全防护系统,其特征在于,该系统包括:
协议引擎与应用过滤模块,用于进行协议处理、应用过滤、安全策略管理、流量管控、实时统计相关数据并生成历史报表;
WEB认证和域控制认证模块,通过支持IKE、IPSecG-G、IPSecG-C、PSK,证书认证支持、IPSecNAT穿越、SSLVPNWEB代理、SSLVPNL3VPN隧道、L2TP协议,用于对协议引擎与应用过滤模块生成的历史报表进行认证与授权;
统计报表和策略管理模块,用于统计协议引擎与应用过滤模块生成的历史报表以及进行策略管理。
2.如权利要求1所述的一种精细化安全防护系统,其特征在于,所述WEB认证和域控制认证模块通过证书,USB-key证书,RADIUS,本地认证,LDAP,SSL资源授权方式进行认证与授权。
3.如权利要求1所述的一种精细化安全防护系统,其特征在于,所述统计报表和策略管理模块包括统计报表模块和策略管理模块,其中,
统计报表模块,用于按照用户信息输出应用统计,按用户记录网络访问事件,根据用户名生成统计报表;
策略管理模块,用于管理Local,Radius,LDAP,AD相关认证策略,进行AD域自动同步,单点登录以及按用户信息做相应策略放行。
4.一种精细化安全防护方法,其特征在于,应用如权利要求1~3任意一项所述的精细化安全防护系统,该方法包括以下步骤:
步骤S101,进行协议处理及应用过滤;
步骤S102,从域控服务器实时获取身份账号与IP地址的对应关系,在未部署域控服务器的环境中,通过Web认证页面进行身份识别,并建立应用特征库;
步骤S103,采用内网应用资产风险识别方法,通过制定策略,进行内网易受攻击资产并进行风险提前评估和预警;
步骤S104,形成精细化的安全防护策略,依据应用、人、设备的关系,通过定制防护措施,实现基于Web应用识别的精细化安全防护。
5.如权利要求4所述的一种精细化安全防护方法,其特征在于,在所述步骤S101中,通过智能应用识别技术,利用应用深度包检测、双向流检测、会话关联检测动态分析网络报文中包含的协议特征,确认所用协议;并将所用协议利用协议引擎进行分析处理,准确识别通过动态端口或者智能隧道...
【专利技术属性】
技术研发人员:孟浩华,金波,贺欣,肖冬玲,袁慧,董亮,邓国如,马俊平,何涛,丁剑锋,曾晓洪,
申请(专利权)人:国家电网有限公司,国网湖北省电力有限公司信息通信公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。