【技术实现步骤摘要】
一种基于可信接入的一体化边界安全防护系统及方法
[0001]本专利技术属于通信
,尤其涉及一种基于可信接入的一体化边界安全防护系统及方法。
技术介绍
[0002]网络安全作为信息安全整体防护中的一部分,其承担了信息传输网络环境的整体防护,其中包括网络渗透、木马攻击、DDOS攻击、异常访问、数据中间攻击、数据窃取等多种安全风险,边界安全防护又作为网络安全最末端的接入防护,其安全性直接关系到一个业务网内受外部攻击的可能性,以及业务网如何与外部业务互通的安全性,如何保证不同网络之间业务互通的安全可靠,是需要边界安全防护装备提供可靠、安全、可审计的服务。目前商用的边界防护装备主要有防火墙、IPS、IDS、网闸等设备,此类设备均具有其使用的局限性以及多设备组合使用的情况。如何将边缘安全接入、强访控制、主动防御、安全行为监测、内容审计等功能联动起来,形成边缘防护体系,因此需要提出一种基于可信接入的一体化边界安全防护系统及方法。
技术实现思路
[0003]针对现有技术中的上述不足,本专利技术提供的一种基于可信接入的一体化边界安全防护系统及方法,解决了网络边界防护设备的被动式防护的问题。
[0004]为了达到以上目的,本专利技术采用的技术方案为:
[0005]本方案提供一种基于可信接入的一体化边界安全防护系统,包括部署于业务承载网的网络边缘上的一体化边界安全防护设备,以及安装于承载网内业务终端或服务器上的可信接入认证模块;
[0006]所述一体化边界安全防护设备,用于对网络层边界安全进行 ...
【技术保护点】
【技术特征摘要】
1.一种基于可信接入的一体化边界安全防护系统,其特征在于,包括部署于业务承载网的网络边缘上的一体化边界安全防护设备,以及安装于承载网内业务终端或服务器上的可信接入认证模块;所述一体化边界安全防护设备,用于对网络层边界安全进行防护、对业务访问安全进行防护、对数据内容安全进行检查以及提供全协议监控;所述可信接入认证模块,用于向一体化边界安全防护设备提供可信认证服务、提供数据内容和协议层标记服务、提供业务访问功能以及提供主机安全基线检查服务。2.根据权利要求1所述的基于可信接入的一体化边界安全防护系统,其特征在于,所述一体化边界安全防护设备包括:网络层边界安全防护模块,用于分别对网络传输层、渗透及病毒攻击、协议策略以及可信接入进行防护;业务模型模块,用于提供业务访问的安全防护功能,以及提供协议隔离、协议剥离和强制访问控制服务,其包括强访控制、传输代理以及透明服务功能;数据类边界防护模块,用于提供数据内容安全检查服务,其包括数据类标记、数据标记检查、数据内容核查以及数据内容审计功能;业务类边界防护模块,用于提供业务访问过程的全协议监控,其包括业务类协议检查、协议标记检查、协议行为核查以及协议行为审计功能;安全审计模块,用于提供网络层安全审计、数据类安全审计、业务类安全审计以及管理行为审计服务,其包括边界安全审计功能。3.根据权利要求2所述的基于可信接入的一体化边界安全防护系统,其特征在于,所述可信接入认证模块包括:可信认证子模块,用于向一体化边界安全防护设备提供可信认证服务;数据标记子模块,用于提供数据内容标记服务,支撑一体化边界安全防护设备的安全措施;访问控制绑定子模块,用于提供协议层标记服务,支撑一体化边界安全防护设备的安全措施;数据传输代理子模块,用于提供安全穿越网络边界的业务访问功能;主体安全核查子模块,用于提供主机安全基线检查服务,对终端的主体安全提供安全手段。4.如权利要求1到3中任一所述的基于可信接入的一体化边界安全防护系统的一体化边界安全防护方法,其特征在于,包括以下步骤:S1、在承载网内的终端或服务器上安装可信接入认证模块,并利用可信接入认证模块对终端的主体安全核查进行扫描,对安全基线进行检查;S2、基于检查结果,向一体化边界安全防护设备进行可信认证,生成终端的身份唯一标识,并将该标识作为穿透一体化边界安全防护设备的可信认证码;S3、由一体化边界安全防护设备在终端或服务器完成可信接入认证后,在一体化边界安全防护设备内部生成终端或服务器的可信信息;S4、基于可信信息,针对承载网内的终端或服务器在进行穿透网络边界进行访问时,由可信接入认证模块获取该访问的类型;
S5、针对进行数据类访问时,获取数据文件的文件标记,并通过数据传输代理子模块进行截获,并采用代理的方式向一体化边界安全防护设备进行数据传输,并在传输过程中逐报文添加终端认证时生成的可信认证码以及文件标记,由一体化边界安全防护设备在收到终端或服务器的数据类访问时,进行安全...
【专利技术属性】
技术研发人员:赵杰,芦伟,张晋,张帆,陈世伟,
申请(专利权)人:深圳市风云实业有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。