【技术实现步骤摘要】
一种网络信息系统内生安全防御方法、装置、设备及介质
[0001]本专利技术涉及网络安全
,特别涉及一种网络信息系统内生安全防御方法、装置、设备及介质。
技术介绍
[0002]目前,面对不断变化的网络威胁,网络安全进化到了“内生安全”时代,需要依靠聚合,从信息化系统内不断生长出自适应、自主和自成长的安全能力。在我国,学术界和产业界也掀起了内生安全技术的研究热潮,并涌现出可信计算3.0、拟态安全、动态主动防御、零信任等新型安全技术。
[0003]当前,许多行业领域如民用航空、铁路客运、酒店等的网络信息系统呈现出业务灵活性和开放性的趋势,这势必导致系统安全边界模糊化,以及传统安全防护能力分散的问题。综上,如何建立网络信息系统内生安全体系以实现有限资源下的网络信息系统内生安全防御的问题有待进一步解决。
技术实现思路
[0004]有鉴于此,本专利技术的目的在于提供一种网络信息系统内生安全防御方法、装置、设备及介质,能够建立网络信息系统内生安全体系以实现有限资源下的网络信息系统内生安全防御。其具体方案如下:...
【技术保护点】
【技术特征摘要】
1.一种网络信息系统内生安全防御方法,其特征在于,包括:获取针对网络信息系统的目标业务请求;确定出所述目标业务请求对应的目标业务类型,并从预先在可信虚拟环境中创建的可信虚拟机中确定出与所述目标业务类型对应的目标可信虚拟机;所述可信虚拟环境为通过在可信宿主机系统上部署可信基础软件和宿主机安全机制后得到的虚拟化的环境;并且,不同的所述可信虚拟机中携带不同的安全防御服务;利用所述目标可信虚拟机中的安全防御服务处理所述目标业务请求对应的业务,以实现所述网络信息系统的内生安全防御。2.根据权利要求1所述的网络信息系统内生安全防御方法,其特征在于,所述确定出所述目标业务请求对应的目标业务类型,并从预先在可信虚拟环境中创建的可信虚拟机中确定出与所述目标业务类型对应的目标可信虚拟机,包括:如果所述目标业务类型为面向身份主体的动态认证,则从预先在可信虚拟环境中创建的可信虚拟机中确定出与所述动态认证对应的目标可信虚拟机。3.根据权利要求2所述的网络信息系统内生安全防御方法,其特征在于,所述如果所述目标业务类型为面向身份主体的动态认证,则从预先在可信虚拟环境中创建的可信虚拟机中确定出与动态认证对应的目标可信虚拟机,包括:如果所述动态认证业务请求对应的用户为非受控终端用户,则从预先在可信虚拟环境中创建的可信虚拟机中确定出预先部署融合物理信息的非受控终端接入认证服务的可信虚拟机作为目标可信虚拟机,并为所述非受控终端用户单独分配对应的可信虚拟机;相应的,所述利用所述目标可信虚拟机中的安全防御服务处理所述目标业务请求对应的业务,以实现所述网络信息系统的内生安全防御,包括:利用所述目标可信虚拟机中的非受控终端接入认证服务处理所述动态认证业务请求对应的业务,并利用所述非受控终端用户对应的可信虚拟机进行所述非受控终端用户数据和访问操作的驻留,如果发现所述非受控终端用户存在异常或非法行为,则通过挂起或关闭所述非受控终端用户对应的可信虚拟机以中断所述非受控终端用户的访问,以实现所述非受控终端用户与所述网络信息系统的安全接入认证。4.根据权利要求2所述的网络信息系统内生安全防御方法,其特征在于,所述当所述目标业务类型为面向身份主体的动态认证时,则从预先在可信虚拟环境中创建的可信虚拟机中确定出与动态认证对应的目标可信虚拟机,包括:如果所述动态认证业务请求对应的用户为受控终端用户,则从预先在可信虚拟环境中创建的可信虚拟机中确定出预先部署安全时间取证机制的可信虚拟机作为目标可信虚拟机;相应的,所述利用所述目标可信虚拟机中的安全防御服务处理所述目标业务请求对应的业务,以实现所述网络信息系统的内生安全防御,包括:基于预先插入至所述受控终端的可信模块中的唯一标识符生成对应的公私钥对,并基于所述公私钥对进行所述受控终端的安全状态验证;利用所述目标可信虚拟机中的安全时间取证机制对所述受控终端的安全事件进行监控和取证,以实现所述受控终端用户与所述网络信息系统的安全接入认证。5.根据权利要求1所述的网络信息系统内生安全防御方法,其特征在于,所述确定出所
述目标业务请求对应的目标业务类型,并从预先在可信虚拟环境中创建的可信虚拟机中确定出与所述目标业务类型对应的目标可信虚拟机,包括:如果所述目标业务类型为软件定义的安全资源管理,则从预先在可信虚拟环境中创建的可信虚拟机中确定出预先部署安全资源管理服务的可信虚拟...
【专利技术属性】
技术研发人员:刘杰,饶志宏,毛得明,陈剑锋,韩烨,
申请(专利权)人:中电科网络空间安全研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。