本发明专利技术提供了一种安全准入方法及系统,安全准入装置监控网络中设备的状态,当所述网络中有设备的状态发生变更时,获取发生变更的设备的设备信息;安全准入装置根据所述设备信息,对所述发生变更的设备进行安全核查,获取安全核查结果;安全准入装置根据所述安全核查结果及预设风险评估算法对所述发生变更的设备进行风险评估,获取风险评估结果;安全准入装置根据所述风险评估结果确定是否准许所述发生变更的设备接入所述网络。本发明专利技术提供的安全准入方法可以提高新设备接入或者设备状态变更时网络的安全性。
【技术实现步骤摘要】
本专利技术实施例涉及网络安全技木,尤其涉及ー种安全准入方法及系统。
技术介绍
随着网络技术的发展和全球信息化程度的不断加深,加强信息安全工作迫在眉睫。尤其在商业网络、军事保密网络和某些特定的网络环境中,对于是否允许某台设备接入整个网络环境的准入尤为重要。现有技术针对此问题,通常是直接将新设备接入网络或网络中的设备发生变更,在后续使用中通过打补丁等方式慢慢完善该设备的安全性。上述方案为当前大部分厂家采用的方案,但使用此方案,在新设备接入或者设备状态变更时可能为当前网络造成的巨大安全隐患,降低整个网络的安全性。
技术实现思路
本专利技术目的在于提供ー种安全准入方法及系统,用以提高新设备接入或者设备状态变更时网络的安全性。本专利技术提供了ー种安全准入方法,包括安全准入装置监控网络中设备的状态,当所述网络中有设备的状态发生变更吋,获取发生变更的设备的设备信息;所述安全准入装置根据所述设备信息,对所述发生变更的设备进行安全核查,获取安全核查结果;所述安全准入装置根据所述安全核查结果及预设风险评估算法对所述发生变更的设备进行风险评估,获取风险评估结果;所述安全准入装置根据所述风险评估结果确定是否准许所述发生变更的设备接入所述网络。本专利技术还提供了ー种安全准入系统,包括安全准入装置,所述安全准入装置包括设备状态监控模块,监控网络中设备的状态,当所述网络中有设备的状态发生变更时,获取发生变更的设备的设备信息;安全核查模块,用于根据所述设备信息,对所述发生变更的设备进行安全核查,获取安全核查結果;风险评估模块,用于根据所述安全核查结果及预设风险评估算法对所述发生变更的设备进行风险评估,获取风险评估结果;设备准入控制模块,用于根据所述风险评估结果确定是否准许所述发生变更的设备接入所述网络。本专利技术提供ー种安全准入方法及系统,通过安全准入装置对网络中设备的状态进行监控,当所述网络中有设备的状态发生变更吋,获取发生变更的设备的设备信息,并根据所述设备信息,对所述发生变更的设备进行安全核查,获取安全核查結果;然后再根据所述安全核查结果及预设风险评估算法对所述发生变更的设备进行风险评估,获取风险评估结果;最后根据所述风险评估结果确定是否准许所述发生变更的设备接入所述网络,本专利技术提供的安全准入方法可以提高新设备接入或者设备状态变更时网络的安全性。附图说明图I 为本专利技术一实施例提供的ー种安全准入方法的流程示意图;图2为本专利技术又一实施例提供的ー种安全准入系统中安全准入装置的结构示意图。具体实施例方式图I为本专利技术实施例一提供的安全准入方法的流程示意图,如图I所示,本专利技术实施例提供了ー种安全准入方法,包括步骤10 :安全准入装置监控网络中设备的状态,当网络中有设备的状态发生变更吋,获取发生变更的设备的设备信息。主要根据网络中设备的信息变动,例如新设备的接入,已有设备的卸载,已有设备状态更新,定期检查多种形式的变动。具体的设备信息为设备的ー些常规性信息,例如设备的CPU运行处理速度,设备的内存大小等。本实施例的监控对象是受控网络内部的设备,具体来说就是局域网内部的设备。步骤20 :安全准入装置根据设备信息,对发生变更的设备进行安全核查,获取安全核查結果。具体的安全核查结果包括受控网絡/終端中的服务、系统、应用、配置等可能不安全的漏洞或者弱点信息。对于设备的安全核查可以通过各种扫描器进行,例如RSAS(Remote Security Assessment System,远程安全评估系统),BVS(BenchmarkVerificationSystem,安全配置核查系统)等,上述安全核查用扫描器可以提供对单个设备的具体安全信息的核查。步骤30 :安全准入装置根据安全核查结果及预设风险评估算法对发生变更的设备进行风险评估,获取风险评估結果。具体的风险评估算法与预设的场景信息有夫,预设风险评估算法可以为安全准入装置将网络的整体风险系数和安全核查结果作为预设风险评估算法的输入參数,计算发生变更的设备在网络中的风险系数,确定发生变更的设备的安全等级。例如核算网络中某个设备的风险系数为P(ElUi) =f(XrXn;P(E))。其中,X1-Xn为BVS/RSAS针对发生变更的设备的各项指标所作出的评估结果;P(E)为整个网络在该设备加入之前的风险系数,在网络初始化时该系数设置为1,并且整个网络默认为安全网络,此系数随着网络中设备的添加/移除/变更不断发生变化;Ui为某台具体设备的具体标识,U为危险等级的集合U={A,B,C……}。而具体的f函数与预设的场景信息有关,主要由受控网络对数据安全和安全行为的具体要求不同来进行设定,例如同一个操作或者漏洞在银行网络是安全的、低危险的,可以暂缓处理或者不处理,但是在研究所或者军队网络中可能就是危险的,以此类推。所以f函数需要根据具体的预设场景信息,对具体的操作或者漏洞进行设定,例如SNMP (SimpleNetwork Management Protocol,简单网络管理协议)的traceback,—种路径回溯的漏洞,该种类型的漏洞在某些场景可忽略不计,认为其属于对网络无影响的漏洞,但是在有的场景下该漏洞也会引发安全问题。再例如WEB服务器响应访问者的请求并返回WEB服务器的一些系统信息,这在绝大多数情况下属于正常响应,但是这种响应也可能为攻击者的入侵提供ー些信息,从而造成安全隐患。所以本实施例主要针对不同的场景信息,具体的网络环境对于安全性的要求的不同,对f函数进行设计,使其满足当前网络对场景信息的要求。例如,ー种对f函数的可选设计方式为根据预设的场景信息,并结合当前网络的整体风险情况,如果在网络整体风险较高,则忽略某些危险系数极低的漏洞如traceback,场景信息预设时根据当前网络总体风险系数的高低对不同级别的漏洞分情况有侧重点进行处理,最后汇总统计信息,使用加权平均的方式算出设备的风险系数。对于算法的具体描述如下 首先根据当前最新的漏洞库信息及安全专家对特定网络的特定漏洞做出安全等级区分,安全等级使用单个漏洞的先验风险系数表征。对于特定的漏洞在当前网络环境中的具体安全等级区分举例为当前网络环境为某个単位的内部网络,内部网络资源受控,但是其中的某些终端有访问外网的需求,根据漏洞库信息及安全专家对安全等级分为如4个等级,分别为A级、B级、C级,D级,其中漏洞的危险系数随着级数的增加而増大,D级为当前网络环境无法接受的漏洞类型;例如当前网络环境中,漏洞traceback的危险系数为B级,而漏洞WEB服务器响应访问者的请求并返回WEB服务器的危险系数为D级。具体的,预设的至少ー个安全等级的准入规则包括A级允许设备接入,管理和/或访问内部网络及外部网络;B级允许设备接入,访问内部网络及外部网络;C级允许设备接入,访问外部网络;D级禁止设备接入任何网络。在上述漏洞类型分类的基础上,第一歩扫描本设备的安全核查结果,统计其中不被本网络环境所接受的漏洞信息,即单个漏洞的风险系数为D级的漏洞。如果此类漏洞数目>=1,则本设备的风险系数P(E|ひ,)=I,其中Xi为不被本网络所接受的某个漏洞,n为此种漏洞的总数。显然此种情况下此设备不被允许接入到本网络环境中,若无此漏洞,则转入下一歩。第二步将已有漏洞信息按照不同的危险类型分本文档来自技高网...
【技术保护点】
一种安全准入方法,其特征在于,包括:安全准入装置监控网络中设备的状态,当所述网络中有设备的状态发生变更时,获取发生变更的设备的设备信息;所述安全准入装置根据所述设备信息,对所述发生变更的设备进行安全核查,获取安全核查结果;所述安全准入装置根据所述安全核查结果及预设风险评估算法对所述发生变更的设备进行风险评估,获取风险评估结果;所述安全准入装置根据所述风险评估结果确定是否准许所述发生变更的设备接入所述网络。
【技术特征摘要】
1.ー种安全准入方法,其特征在于,包括 安全准入装置监控网络中设备的状态,当所述网络中有设备的状态发生变更时,获取发生变更的设备的设备信息; 所述安全准入装置根据所述设备信息,对所述发生变更的设备进行安全核查,获取安全核查结果; 所述安全准入装置根据所述安全核查结果及预设风险评估算法对所述发生变更的设备进行风险评估,获取风险评估结果; 所述安全准入装置根据所述风险评估结果确定是否准许所述发生变更的设备接入所述网络。2.根据权利要求I所述的安全准入方法,其特征在于,所述网络包括内部网络和外部 网络; 所述安全准入装置根据所述风险评估结果确定是否准许所述发生变更的设备接入所述网络包括 所述安全准入装置将所述风险评估结果和预设的至少ー个安全等级的准入规则进行比较,确定所述发生变更的设备可接入的网络类型,所述准入规则包括所述准入规则的安全等级和准许接入的网络类型; 所述安全准入装置控制所述发生变更的设备接入与所述确定出的可接入的网络类型对应的网络。3.根据权利要求2所述的安全准入方法,其特征在干,所述安全准入装置根据所述安全核查结果及预设风险评估算法对所述发生变更的设备进行风险评估,获取风险评估结果包括 所述安全准入装置将所述网络的整体风险系数和所述安全核查结果作为所述预设风险评估算法的输入參数,计算所述发生变更的设备在所述网络中的风险系数,确定所述发生变更的设备的安全等级。4.根据权利要求3所述的安全准入方法,其特征在干,所述预设的至少ー个安全等级的准入规则包括 A级允许设备接入,管理和/或访问所述内部网络及所述外部网络; B级允许设备接入,访问所述内部网络及所述外部网络; C级允许设备接入,访问所述外部网络; D级禁止设备接入任何网络。5.根据权利要求4所述的安全准入方法,其特征在于,在所述发生变更的设备接入所述网络之后包括 根据所述网络中各设备在所述网络中的风险系数,以及所述网络中各安全等级对应的比重,更新所述网络的整体风险系数; 将更新后的所述网络的整体风险系数及所述网络中各安全等级对应的比重发送给安全状态评估服务器,以评估当前网络的安全状态。6.ー种安全准入系统,其特征在于,包括安全准入装置,所述安全准入装置包括 设备状态监控模块,监控网络中设备的状态,当所述网络中有设...
【专利技术属性】
技术研发人员:吴昊,
申请(专利权)人:北京神州绿盟信息安全科技股份有限公司,北京神州绿盟科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。