本发明专利技术提供一种内网资产系统的访问保护系统及其运行方法,系统包括云平台服务器和若干访问保护装置,云平台服务器作为管理云平台软件的运行的载体,访问保护装置均与云平台服务器电性连接;访问保护装置设于区域系统的顶点位置,对应区域内所有的联网设备均与访问保护装置电性连接。实现对多个网络硬件设备进行集中配置保护策略并分发的装置,以及对内网各类资产系统的监测、授权访问、预警和响应处理。预警和响应处理。预警和响应处理。
【技术实现步骤摘要】
一种内网资产系统的访问保护系统及其运行方法
[0001]本专利技术属于网络安全保护装置
,具体涉及一种内网资产系统的访问保护系统及其运行方法。
技术介绍
[0002]目前,单位内网运行了各类资产系统,保护这些系统主要需要防止一些未授权的恶意访问,这些防范动作一般由各系统自主实现,通过对信息数据包进行分析和判断实现的内网资产系统的访问保护。
[0003]在实际使用中,现有的内网资产系统的访问保护系统由于功能应用不同,开发层次不同,以及对安全防护的处理也不尽相同,导致以下技术问题:(1)同一部门的资产系统内布置有多个硬件保护装置,不能统一配置,保护系统这些资产系统的相关的配置动作麻烦,一旦有新的防护要求,就需要为每台设备装置进行配置,工作量很大,随时间推移受规则叠加、操作人员变动的影响也越来越大,出现某些设备忘记更新,产生防护规则不清晰的问题;(2)运行方法固定,只能被动防御,不能做到主动对这些资产系统的运行状态进行监测,也不能根据异常访问的情况进行不同等级的定义和不同规模的预警提醒,使得部门信通安全管理的工作非常被动。
[0004]因此亟需设计一种可以统一集中管理策略配置和实现对核心管理系统监测预警的内网资产系统的访问保护系统。
技术实现思路
[0005]针对以上技术问题,本专利技术提供一种内网资产系统的访问保护系统及其运行方法,该装置不仅可以对多个网络硬件设备进行集中配置保护策略并分发,而且提供了对内网各类资产系统的监测、授权访问、预警和响应处理。
[0006]本专利技术的技术方案是:一种内网资产系统的访问保护系统,包括云平台服务器和若干访问保护装置,所述云平台服务器作为管理云平台软件的运行的载体,所述访问保护装置均与云平台服务器电性连接;所述访问保护装置设于区域系统的顶点位置,对应区域内所有的联网设备均与访问保护装置电性连接。
[0007]优选的,所述访问保护装置采用X86硬件架构,固件采用OpenWrt。
[0008]优选的,所述访问保护装置通过socket通信和管理云平台进行连接。
[0009]优选的,还设有大屏幕,所述大屏幕与云平台服务器电性连接,用于显示系统信息。
[0010]该内网资产系统的访问保护系统的运行方法,包括访问规则、数据访问保护方法和管理云平台主动探测资产系统运行情况方法;其中访问规则为:访问规则的技术配置是自定义建立访问组,不同访问组可以自定义绑定配置资产
系统,还可自定义绑定用户终端,以及配置这些终端对资产系统的访问禁止或允许情况;其中数据访问保护方法为:1)访问终端对内网中某个区域的资产系统服务器发起请求,访问保护装置检查所有经过的网络数据包的包头信息;2)当访问的设备符合访问规则时则通过访问,不符合规则时则进入步骤3);3)进行拦截,同时访问保护装置调用管理云平台的预警接口把异常情况反馈给平台,平台根据这些异常访问的不同程度进行不同等级的预警提醒;其中管理云平台主动探测资产系统运行情况方法为:在保护装置的固件OpenWrt下使用curl相关库去定期请求管理云平台的资产系统清单接口,设备对该接口解析获取到资产系统的清单列表,通过curl库编写的http client请求去访问这些清单对应的地址,最终会根据http的响应头中的状态码去判断系统的运行状态,当状态码出现500或404时候会及时curl调用云平台提供的预警信息接口,将异常信息传递给云平台,此后云平台启动预警动作。
[0011]优选的,所述包头信息包括访问设备信息和目标地址信息,按照访问规则判断,执行系统访问保护功能。
[0012]优选的,所述预警动作包括云平台数据大屏幕的弹窗警报、结合短信接口的短信提醒。
[0013]优选的,清单接口采用json数据格式传递。
[0014]优选的,还包括信息追溯方法,对系统内敏感数据进行打标,当访问设备从资产系统中复制获取含有敏感数据的数据包后,该数据包定期向原先所属的资产系统汇报所在设备的安全情况,当访问设备安全情况被判断为不可信任,该数据包自动销毁,当数据包被再次复制,需要原始资产系统的授权。
[0015]进一步优选的,数据包采用内置自动销毁脚本实现自动销毁。
[0016]本专利技术的有益效果:(1)访问保护装置设置于区域系统的顶端,不需要深入每个系统内部进行改造调整,保护装置均与云平台电性连接,可以在云平台统一配置安全管理策略,集中管理多个保护装置,方便对内网的各类资产系统的权限访问控制和限流量的攻击访问,采用的是对网络传输层进行控制,使用比应用层更底层的技术实现对这些系统的访问保护;(2)在运行方法上,在访问规则上自定义建立访问组,设定不同访问组的访问权限,提升识别效率;在数据访问保护方法上实现不不同等级的预警提醒;管理云平台可主动探测资产系统运行情况方法,实现了数据动态监测、主动防御、和及时预警提醒的功能;同时信息可追溯,可以防止数据的非授权传播,保证了信息的安全。
附图说明
[0017]图1是本专利技术的总体架构示意图,图2是本专利技术的访问流程示意图。
具体实施方式
[0018]下面将结合附图对本专利技术的技术方案进行清楚、完整地描述,显然,所描述的实施
例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0019]图1中是一种内网资产系统的访问保护系统,包括云平台服务器和若干访问保护装置,云平台服务器作为管理云平台软件的运行的载体,访问保护装置均与云平台服务器采用网线连接;访问保护装置设于区域系统的顶点位置,对应区域内所有的联网设备均与访问保护装置采用网线连接。
[0020]本实施例中,云平台服务器采用华为s6.large.4服务器,访问保护装置采用X86硬件架构,本实施例中访问保护装置固件采OpenWrt。采用Intel凌动D525处理器,工控主板CTN
‑
BA0135G,DDR3 1600型内存,SSD固态硬盘,6口82583V千兆网卡、AC220V电源。
[0021]访问保护装置通过socket通信和管理云平台通过数据传输完成信息交换。包括传递心跳时间、下载访问规则策略、上传对资产系统的检测情况等。实现管理云平台对各类保护设备的集中管理、访问规则统一配置集中分发的功能。
[0022]还设有大屏幕,大屏幕与云平台服务器电性连接,用于显示系统信息。此为常规技术,具体不再赘述。
[0023]本实施例中,将硬件访问保护装置设置于区域系统的顶端,不需要深入每个系统的内部进行改造调整,可以通过云平台服务器,在云平台统一配置安全管理策略,集中管理多个保护装置,方便对内网的各类资产系统的权限访问控制和限流量的攻击访问,采用的是对网络传输层进行控制,使用比应用层更底层的技术实现对这些系统的访问保护。
[0024]参见图2,本实施例还提供内网资产系统的访问保护系统的运行方法,包括访问规则、数据访问保护方法、管本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种内网资产系统的访问保护系统,其特征是,包括云平台服务器和若干访问保护装置,所述云平台服务器作为管理云平台软件的运行的载体,所述访问保护装置均与云平台服务器电性连接;所述访问保护装置设于区域系统的顶点位置,对应区域内所有的联网设备均与访问保护装置电性连接。2.根据权利要求1所述的一种内网资产系统的访问保护系统,其特征是,所述访问保护装置采用X86硬件架构,固件采用OpenWrt。3.根据权利要求1所述的一种内网资产系统的访问保护系统,其特征是,所述访问保护装置通过socket通信和管理云平台进行连接。4.根据权利要求1所述的一种内网资产系统的访问保护系统,其特征是,还设有大屏幕,所述大屏幕与云平台服务器电性连接,用于显示系统信息。5.权利要求1所述的一种内网资产系统的访问保护系统的运行方法,其特征是,包括访问规则、数据访问保护方法和管理云平台主动探测资产系统运行情况方法;其中访问规则为:访问规则的技术配置是自定义建立访问组,不同访问组可以自定义绑定配置资产系统,还可自定义绑定用户终端,以及配置这些终端对资产系统的访问禁止或允许情况;其中数据访问保护方法为:访问终端对内网中某个区域的资产系统服务器发起请求,访问保护装置检查所有经过的网络数据包的包头信息;当访问的设备符合访问规则时则通过访问,不符合规则时则进入步骤3);进行拦截,同时访问保护装置调用管理云平台的预警接口把异常情况反馈给平台,平台根据这些异常访问的不同程度进行不同等级的预警提醒;其中管理云平台主...
【专利技术属性】
技术研发人员:眭波,刘钰,张宸,杨丹,杨城,徐源笛,周慧,
申请(专利权)人:国网江苏省电力有限公司扬州供电分公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。