本发明专利技术公开了一种基于隔离装置的数据访问服务方法,包括:服务资源安全防护:后端应用程序部署在隔离区,数据存放在隔离区;设置服务路由表,控制服务调用权限;基于物理隔离装置的穿透协议实现服务代理;主动防御:实时分析服务调用请求的源端地址,建立可疑IP黑名单;实时分析用户请求有效性,建立可疑用户黑名单;对非法请求保持静默,避免资源信息泄露;数据加密:用户可根据自身数据防护要求,申请对数据访问服务的请求报文和响应报文进行加密;数据在信息外网和内网之间传递时进行对称加密,避免被木马等恶意程序监听造成数据泄露。本发明专利技术实现核心业务数据与应用和互联网的物理隔离,降低应用安全防护难度,提升网络安全水平。
【技术实现步骤摘要】
本专利技术属于电网在互联网环境安全防护领域,是一种面向互联网提供数据服务的电力信息安全防护方法,具体说是一种基于隔离装置的数据访问服务方法。
技术介绍
1、随着web2.0技术应用的普及,互联网成为电力企业为用户提供信息服务,开展业务互动的重要渠道,与之相应的网络安全防护要求也越来越高。目前电网公司通过防火墙、物理隔离装置等安全防护设施构建了信息内网和信息外网(分为dmz区和安全区),业务数据存放在信息内网与互联网物理隔离,业务应用部署在信息外网,其中dmz区配置前端服务器,安全区部署后端业务应用。现有网络结构能够满足基础安全防护要求,但是业务应用部署在信息外网,一旦被攻击者获取到部署程序包,很容易造成服务资源泄露、业务逻辑泄露、内网数据资源连接信息泄露等问题,为进一步攻击提供线索。因此现有常用的应用部署方式,存在应用安全防护难度高、信息泄露风险大的缺陷,容易产生信息安全事故。
技术实现思路
1、本专利技术的目的是提供一种基于隔离装置的数据访问服务方法,结合当前web应用开发前后端分离的特点,利用服务代理、身份认证、内容过滤、数据加密、异步通信等安全防护机制,实现核心业务数据与应用和互联网的物理隔离,降低应用安全防护难度,提升网络安全水平。
2、本专利技术的目的通过以下技术方案实现:
3、一种基于隔离装置的数据访问服务方法,其特征在于:从服务资源安全防护、主动防御、数据加密三个方面增强安全防护,具体方法如下。
4、1)服务资源安全防护:
<
p>5、(1-1)后端应用程序部署在隔离区,数据存放在隔离区6、所有包含核心业务逻辑的后端应用全部都部署在信息内网,通过与互联网的物理隔离,避免应用程序文件被窃取导致数据资源信息和业务逻辑泄露。
7、数据存放在位于信息内网的关系型数据库和分布式文件系统中。业务数据库与数据访问服务机制工作所依赖的资源数据库不存放在同一个数据库管理系统中。
8、(1-2)设置服务路由表,控制服务调用权限
9、在位于信息内网的资源数据库中设置服务路由表和服务权限控制表。只有加入服务路由表的应用服务才能够被互联网请求调用。服务调用基于可信请求,根据请求中携带的令牌信息获取调用者身份,只有服务权限控制表中存储了拟调用服务对当前调用者的授权信息,请求才会被执行。不在服务路由表中的http请求将被过滤。
10、(1-3)基于物理隔离装置的穿透协议实现服务代理
11、在信息内网和信息外网的安全区分别部署数据访问服务代理agent-a和agent-b。agent-a和agent-b之间基于物理隔离装置提供的jdbc通道,通过位于信息内网的资源数据库进行服务调用请求指令、服务响应数据、服务调用状态等信息的交换,以异步方式完成来自于互联网的客户端对信息内网业务应用服务的同步调用。
12、2)主动防御:
13、(2-1)实时分析服务调用请求的源端地址,建立可疑ip黑名单
14、对于来源于同一ip地址的非法请求(无令牌、无服务授权、错误的服务地址等),其单位时间内的请求次数达到预设阈值时,数据访问服务代理将视为一种攻击刺探,将该ip地址列入黑名单,对来自于该ip地址的访问不予响应。
15、(2-2)实时分析用户请求有效性,建立可疑用户黑名单
16、对于来自于同一用户的非法请求(无服务授权、错误的服务地址等),其单位时间内的请求次数达到预设阈值时,数据访问服务代理将视为一种攻击刺探,暂时锁定该用户,取消其系统访问权限。
17、(2-3)对非法请求保持静默,避免资源信息泄露
18、数据访问服务代理对于非法请求不予响应,不返回任何信息,最大限度降低资源信息泄露风险。
19、3)数据加密
20、(3-1)用户可根据自身数据防护要求,申请对数据访问服务的请求报文和响应报文进行加密。数据加密采用非对称加密算法,用户可采用私钥对上行请求报文进行加密,对下行响应报文进行解密,避免业务数据在网络传输过程中被泄露或篡改。
21、(3-2)数据在信息外网和内网之间传递时进行对称加密,避免被木马等恶意程序监听造成数据泄露。
22、本专利技术的有益效果是:
23、本专利技术通过服务代理、身份认证、内容过滤、数据加密、异步通信等安全防护机制,实现核心业务数据与应用和互联网的物理隔离,能够充分利用web应用开发前后端分离的特点,在物理隔离环境下提供一种安全、高效的数据服务访问机制,并基于服务访问行为实现主动防御,降低应用安全防护难度,加固业务系统安全防护,提升网络安全水平。
本文档来自技高网...
【技术保护点】
1.一种基于隔离装置的数据访问服务方法,其特征在于该方法包括以下步骤:
2.根据权利要求1所述的基于隔离装置的数据访问服务方法,其特征在于,步骤(1)中,后端应用程序部署在隔离区,数据存放在隔离区,具体包括:
3.根据权利要求1所述的基于隔离装置的数据访问服务方法,其特征在于,步骤(2)具体包括:
4.根据权利要求3所述的基于隔离装置的数据访问服务方法,其特征在于,非法请求包括无令牌、无服务授权、错误的服务地址的请求。
5.根据权利要求1所述的基于隔离装置的数据访问服务方法,其特征在于,步骤(3)具体包括:
【技术特征摘要】
1.一种基于隔离装置的数据访问服务方法,其特征在于该方法包括以下步骤:
2.根据权利要求1所述的基于隔离装置的数据访问服务方法,其特征在于,步骤(1)中,后端应用程序部署在隔离区,数据存放在隔离区,具体包括:
3.根据权利要求1所述的基于隔离装置的数据访问...
【专利技术属性】
技术研发人员:康章建,李夫宝,吴鹏,杜云澜,
申请(专利权)人:国网江苏省电力有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。