本申请公开了一种终端安全微隔离方法
【技术实现步骤摘要】
一种终端安全微隔离方法、装置、设备及存储介质
[0001]本申请涉及网络安全领域,特别涉及一种终端安全微隔离方法
、
装置
、
设备及存储介质
。
技术介绍
[0002]常见的终端安全隔离方法一般包括:
(1)
部署网络准入系统,这种方法无法管控用户私接路由场景和无法识别
NAT(Network Address Translation
,网络地址转换
)
场景下的终端,因为这两种场景均对
IP
进行切换,无法获取真实的
IP
,因此无法针对真实的
IP
进行策略配置;
(2)
部署违规外联检测设备,这种方法只能检测终端私接互联网行为,但无法进行网络阻断;
(3)
部署传统
VPN(Virtual Private Network
,虚拟专用网络
)
,这种方法需要用户终端安装
VPN
,并且每次访问专用网络时需要用户登录,十分繁琐,所以用户使用体验感差;并且使用
VPN
访问专用网络的同时无法保证互联网未处于访问状态,因此该方法跨网访问隔离并不彻底
。
[0003]因此,针对终端安全微隔离,需要解决用户体验感不佳
、
隔离不彻底性和应用场景受限的问题
。
确保终端可以访问专用网络,也可以访问互联网,并且在访问专用网络时无法访问互联网,在访问互联网时无法访问专用网络
。
技术实现思路
[0004]有鉴于此,本申请的目的在于提供一种终端安全微隔离方法
、
装置
、
设备及存储介质,解决了现有技术中针对终端安全微隔离用户体验感不佳
、
隔离不彻底性和应用场景受限的问题
。
[0005]为解决上述技术问题,本申请提供了一种终端安全微隔离方法,包括:
[0006]获取已安装物联网安全心的终端;
[0007]利用所述物联网安全心采集所述终端的属性信息,并利用条件概率分布算法对所述属性信息进行计算,生成所述终端的设备指纹,以使所述终端获得访问专用网络的合法身份;
[0008]基于策略管理平台预先配置安全策略;
[0009]根据用户基于所述策略管理平台选择的安全策略模式访问相应的网络
。
[0010]可选的,所述基于策略管理平台预先配置安全策略,包括:
[0011]采集防护单位专用网络的
IP
地址范围
、
开放的源端口以及允许通过的应用协议;
[0012]基于所述策略管理平台根据所述专用网络的
IP
地址范围
、
开放的源端口以及允许通过的应用协议进行配置
ACL
网络访问安全策略的黑名单和白名单
。
[0013]可选的,所述根据用户基于所述策略管理平台选择的安全策略模式访问相应的网络,包括:
[0014]当所述安全策略模式为访问所述专用网络时,则所述策略管理平台对所述终端启用所述白名单,所述终端只能访问所述白名单中设置的专用网络的
IP
地址段;
[0015]当所述安全策略模式为访问互联网时,则所述策略管理平台对所述终端启用所述黑名单,所述终端只能访问所述互联网
。
[0016]可选的,所述获取已安装物联网安全心的终端,包括:
[0017]获取已安装物联网安全心的政务终端;
[0018]相应的,所述专用网络为政务外网
。
[0019]可选的,所述获取已安装物联网安全心的终端,包括:
[0020]获取已安装物联网安全心的企业办公终端;
[0021]相应的,所述专用网络为企业办公网
。
[0022]可选的,在生成所述终端的设备指纹之后,还包括:
[0023]将所述设备指纹上报给所述策略管理平台,存储于设备指纹库
。
[0024]可选的,所述利用所述物联网安全心采集所述终端的属性信息,包括:
[0025]利用所述物联网安全心采集所述终端的
IP
地址
、MAC
地址
、
设备类型
、
设备品牌
、
设备型号
。
[0026]本申请还提供了一种终端安全微隔离装置,包括:
[0027]获取模块,用于获取已安装物联网安全心的终端;
[0028]设备指纹生成模块,用于利用所述物联网安全心采集所述终端的属性信息,并利用条件概率分布算法对所述属性信息进行计算,生成所述终端的设备指纹,以使所述终端获得访问专用网络的合法身份;
[0029]安全策略配置模块,用于基于策略管理平台预先配置安全策略;
[0030]安全策略模式响应模块,用于根据用户基于所述策略管理平台选择的安全策略模式访问相应的网络
。
[0031]本申请还提供了一种终端安全微隔离设备,包括:
[0032]存储器,用于存储计算机程序;
[0033]处理器,用于执行所述计算机程序时实现上述的终端安全微隔离方法的步骤
。
[0034]本申请还提供了一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述的终端安全微隔离方法的步骤
。
[0035]可见,本申请通过获取已安装物联网安全心的终端;利用物联网安全心采集终端的属性信息,并利用条件概率分布算法对属性信息进行计算,生成终端的设备指纹,以使终端获得访问专用网络的合法身份;基于策略管理平台预先配置安全策略;根据用户基于策略管理平台选择的安全策略模式访问相应的网络
。
本方法利用物联网安全心构建终端身份认证,即为终端生成设备指纹,并基于策略管理平台预先配置安全策略,用户自定义选择网络访问安全策略模式,打造了终端一机两用的管控解决方案,并且保证了接入专用网络的安全性
。
[0036]此外,本申请还提供了终端安全微隔离装置
、
设备及存储介质,同样具有上述有益效果
。
附图说明
[0037]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本
申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图
。
[0038]图1为本申请实施例提供的一种终端安全微隔离方法的流程图;
[0039]图2为本申请实施例提供的一种政务终端安全微隔离方法的流程示例图;
[0040]图3为本申请实施例提供的一种终端安全微隔离装置的结构示意图;
[0041]图4为本申请实施例本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种终端安全微隔离方法,其特征在于,包括:获取已安装物联网安全心的终端;利用所述物联网安全心采集所述终端的属性信息,并利用条件概率分布算法对所述属性信息进行计算,生成所述终端的设备指纹,以使所述终端获得访问专用网络的合法身份;基于策略管理平台预先配置安全策略;根据用户基于所述策略管理平台选择的安全策略模式访问相应的网络
。2.
根据权利要求1所述的终端安全微隔离方法,其特征在于,所述基于策略管理平台预先配置安全策略,包括:采集防护单位专用网络的
IP
地址范围
、
开放的源端口以及允许通过的应用协议;基于所述策略管理平台根据所述专用网络的
IP
地址范围
、
开放的源端口以及允许通过的应用协议进行配置
ACL
网络访问安全策略的黑名单和白名单
。3.
根据权利要求2所述的终端安全微隔离方法,其特征在于,所述根据用户基于所述策略管理平台选择的安全策略模式访问相应的网络,包括:当所述安全策略模式为访问所述专用网络时,则所述策略管理平台对所述终端启用所述白名单,所述终端只能访问所述白名单中设置的专用网络的
IP
地址段;当所述安全策略模式为访问互联网时,则所述策略管理平台对所述终端启用所述黑名单,所述终端只能访问所述互联网
。4.
根据权利要求1所述的终端安全微隔离方法,其特征在于,所述获取已安装物联网安全心的终端,包括:获取已安装物联网安全心的政务终端;相应的,所述专用网络为政务外网
。5.
根据权利要求1所述的终端安全微隔离方法,其特征...
【专利技术属性】
技术研发人员:肖昌淦,王聪,
申请(专利权)人:杭州安恒信息安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。