本申请公开了一种基于数字证书的网络安全控制系统及方法,通过数字证书,对人员电子身份信息进行加密,通过数字证书管理中心存储受信任数字证书并对用户数字证书进行多次验证,通过安全设备一在网络通信过程中能够控制网络层的设备,通过安全设备二在网络通信过程中能够控制表示层的设备并设置不同的数字证书可以访问相应的应用系统,数据采集模块采集未通过验证的用户数字证书的通信数据,通过威胁识别模块分析通信数据、对有威胁行为的用户数据证书进行永久封闭,加强了对用户身份验证的强度,完善了对应用系统访问权限的制定,能够对企业数据实施有效地访问和隔离,保证了企业信息的安全。业信息的安全。业信息的安全。
【技术实现步骤摘要】
一种基于数字证书的网络安全控制系统及方法
[0001]本专利技术涉及信息安全领域,尤其是涉及一种基于数字证书的网络安全控制系统及方法。
技术介绍
[0002]船舶企业已经完全实现了信息化办公,企业管理、员工工作离不开各种各样的信息系统支撑,随着船舶企业应用系统的数量增长以及员工分工的愈渐复杂,对信息系统的安全性要求越来越高。但现有技术中对应用系统访问权限制定不够完善,不能对企业不同的应用系统实施有效的访问与隔离措施,不能有效保证企业信息的安全。
技术实现思路
[0003]针对现有技术中存在的技术问题,本申请提供种一种基于数字证书的网络安全控制系统,从而提高应用系统用户身份验证的强度,以有效保证企业的信息安全。
[0004]为实现上述目的,本专利技术提供如下技术方案:
[0005]一种基于数字证书的网络安全控制系统,包括:
[0006]数字证书,用于通过加密的方式形成加密的人员电子身份信息,以保障电子身份唯一性,可接入计算机;
[0007]数字证书管理中心,用于存储受信任数字证书,及新增、变更和销毁数字证书,可以对用户数字证书进行多次验证,并引导未通过验证的数字证书的通信数据至数据采集模块;
[0008]安全设备一,用于在网络通信过程中能够控制网络层的设备;
[0009]安全设备二,用于在网络通信过程中能够控制表示层的设备,并可设置不同的数字证书访问相应的应用系统;
[0010]数据采集模块,与所述安全设备一和安全设备二连接,用于采集未通过验证的用户数字证书的通信数据,并记录、转发所述通信数据至威胁识别模块;
[0011]威胁识别模块,用于模拟真实应用系统环境,识别、记录所述通信数据中存在威胁和/或违规行为,确认威胁和/或违规后联动安全设备一和安全设备二对未通过验证的数字证书的网络访问进行永久封闭。
[0012]在一种实施方案中,所述人员电子身份信息包括姓名、部门、工号、电子邮箱。
[0013]在一种实施方案中,所述验证包括验证用户数字证书是否为受信任数字证书、用户数字证书是否在有效期内、用户数字证书是否被窜改。
[0014]在一种实施方案中,所述通信数据包括访问IP地址、通信协议、源IP地址、目的IP地址、数据包访问内容,源端口、目的端口。
[0015]在一种实施方案中,所述威胁识别模块可以对所述通信数据进行静态检测和动态监测,并根据监测识别结果出具深度监测报告。
[0016]在一种实施方案中,安全设备二根据所述部门信息设置不同的数字证书可以访问
所述部门员工需使用的应用系统。
[0017]在一种实施方案中,所述数字证书符合ITU X.509或ITU X.500国际标准。
[0018]本专利技术还提供一种基于数字证书的网络安全控制方法,其包括以下步骤:
[0019]S1、在计算机上接入用户数字证书,计算机进入网络层,安全设备一对计算机进行默认安全控制;
[0020]S2、数字证书管理中心对用户数字证书进行第一次验证,若验证不通过,数字证书管理中心引导未通过验证的用户数字证书的通信数据至数据采集模块,进入S3;若验证通过,安全设备一控制计算机访问策略变更为正常访问,进入S4;
[0021]S3、数据采集模块采集未通过验证的数字证书的通信数据,并记录和转发所述通信数据至威胁识别模块,威胁识别模块识别、记录所述通信数据中存在威胁和/或违规行为,确认威胁后联动安全设备一对未通过验证的数字证书的访问进行永久封闭;
[0022]S4、计算机进入表示层,安全设备二默认通过第一次验证的用户数字证书禁止访问任何应用系统;
[0023]S5、数字证书管理中心对用户数字证书进行第二次验证,若验证不通过,数字证书管理中心引导未通过验证的用户数字证书的通信数据至数据采集模块,进入S6;若验证通过,安全设备二控制计算机访问策略变更为正常访问,允许用户数字证书进入相应的应用系统;
[0024]S6、数据采集模块采集未通过验证的数字证书的通信数据,并记录和转发所述通信数据至威胁识别模块,威胁识别模块识别、记录所述通信数据中存在威胁和/或违规行为,确认威胁后联动安全设备二对未通过验证的数字证书的访问进行永久封闭。
[0025]在一种实施方案中,S1中默认安全控制包含用户数字证书的网络访问权限。
[0026]与现有技术相比,本申请中的有益效果为:
[0027]本申请公开了一种基于数字证书的网络安全控制系统及方法,通过数字证书,对人员电子身份信息进行加密,通过数字证书管理中心存储受信任数字证书并对用户数字证书进行多次验证,通过安全设备一在网络通信过程中能够控制网络层的设备,通过安全设备二在网络通信过程中能够控制表示层的设备并设置不同的数字证书可以访问相应的应用系统,数据采集模块采集未通过验证的用户数字证书的通信数据,通过威胁识别模块分析通信数据、对有威胁行为的用户数据证书进行永久封闭,加强了对用户身份验证的强度,完善了对应用系统访问权限的制定,能够对企业数据实施有效地访问和隔离,保证了企业信息的安全。
附图说明
[0028]为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0029]图1为本专利技术实施例基于数字证书的网络安全控制系统组成示意图;
[0030]图2为本专利技术实施例基于数字证书的网络安全控制系统方法流程图
[0031]附图标记:1、数字证书;2、数字证书管理中心;3、安全设备一;4、安全设备二;5、数
据采集模块;6、威胁识别模块。
具体实施方式
[0032]以下由特定的具体实施例说明本专利技术的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本专利技术的其他优点及功效。本专利技术还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本专利技术的精神下进行各种修饰或改变。
[0033]请参阅图1至图2。须知,说明书附图所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本专利技术可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本专利技术所能产生的功效及所能达成的目的下,均应仍落在本专利技术所揭示的
技术实现思路
所能涵盖的范围内。同时,本说明书中所引用的如“上”、“下”、“前”、“后”、“中间”等用语,亦仅为便于叙述的明了,而非用以限定本专利技术可实施的范围,其相对关系的改变或调整,在无实质变更
技术实现思路
下,当亦视为本专利技术可实施的范畴。
[0034]针对目前对不同的应用系统不能实施有效的访问与隔离措施,本专利技术实施例提供一种基于数字证书的网络安全控制系统,包括数字证书1、数字证书本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于数字证书的网络安全控制系统,其特征在于,包括:数字证书,用于通过加密的方式形成加密的人员电子身份信息,以保障电子身份唯一性,可接入计算机;数字证书管理中心,用于存储受信任数字证书,及新增、变更和销毁数字证书,可以对用户数字证书进行多次验证,并引导未通过验证的数字证书的通信数据至数据采集模块;安全设备一,用于在网络通信过程中能够控制网络层的设备;安全设备二,用于在网络通信过程中能够控制表示层的设备,并可设置不同的数字证书访问相应的应用系统;数据采集模块,与所述安全设备一和安全设备二连接,用于采集未通过验证的用户数字证书的通信数据,并记录、转发所述通信数据至威胁识别模块;威胁识别模块,用于模拟真实应用系统环境,识别、记录所述通信数据中存在威胁和/或违规行为,确认威胁和/或违规后联动安全设备一和安全设备二对未通过验证的数字证书的网络访问进行永久封闭。2.根据权利要求1所述基于数字证书的网络安全控制系统,其特征在于,所述人员电子身份信息包括姓名、部门、工号、电子邮箱。3.根据权利要求1所述基于数字证书的网络安全控制系统,其特征在于,所述验证包括验证用户数字证书是否为受信任数字证书、用户数字证书是否在有效期内、用户数字证书是否被窜改。4.根据权利要求1所述基于数字证书的网络安全控制系统,其特征在于,所述通信数据包括访问IP地址、通信协议、源IP地址、目的IP地址、数据包访问内容,源端口、目的端口。5.根据权利要求1所述基于数字证书的网络安全控制系统,其特征在于,所述威胁识别模块可以对所述通信数据进行静态检测和动态监测,并根据监测识别结果出具深度监测报告。6.根据权利要求2所述基于数字证书的网络安全控制系统,其特征在于,安全设备二根据所述部门...
【专利技术属性】
技术研发人员:陈振兴,朱永娟,翁竟杰,
申请(专利权)人:江南造船集团有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。