CN109005189B - 一种适用于双网隔离的接入访问传输平台 - Google Patents

一种适用于双网隔离的接入访问传输平台 Download PDF

Info

Publication number
CN109005189B
CN109005189B CN201810991508.0A CN201810991508A CN109005189B CN 109005189 B CN109005189 B CN 109005189B CN 201810991508 A CN201810991508 A CN 201810991508A CN 109005189 B CN109005189 B CN 109005189B
Authority
CN
China
Prior art keywords
access terminal
external network
module
data
network access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810991508.0A
Other languages
English (en)
Other versions
CN109005189A (zh
Inventor
梁运德
黄巨涛
陈守明
高尚
温柏坚
卢妍倩
刘冯政
曾初阳
麦晓辉
彦逸
李凯
陈英达
杨利辛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information Center of Guangdong Power Grid Co Ltd
Original Assignee
Information Center of Guangdong Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information Center of Guangdong Power Grid Co Ltd filed Critical Information Center of Guangdong Power Grid Co Ltd
Priority to CN201810991508.0A priority Critical patent/CN109005189B/zh
Publication of CN109005189A publication Critical patent/CN109005189A/zh
Application granted granted Critical
Publication of CN109005189B publication Critical patent/CN109005189B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明的目的在于提供一种适用于双网隔离的接入访问传输平台,该平台通过在内网设置监控模块、鉴权模块、防护模块、报警模块和管理模块能够实现安全地管理外网接入终端在接入工作过程中的异常事件,并对异常事件进行记录,防止内网数据的泄露以及内网服务器的安全,保证生产安全。

Description

一种适用于双网隔离的接入访问传输平台
技术领域
本发明涉及网络安全领域,具体来说涉及一种适用于双网隔离的的接入访问传输平台。
背景技术
随着移动互联网的不断发展,利用无处不在的移动网络和广泛使用的无线客户端对业务内部网络的连接来实现外派工作的便利进行是现在各个涉及网络企业的优势解决方案。利用灵活的外派工作,可以将业务铺展地更广,外派工作人员的工作也更加灵活,不仅能够在现场随时查看现场设备和业务的进行,也能够随时将工作进展上传到业务内部网络,方便内部人员实时监控和调配,可以为企业管理者和工程技术人员随时掌握和设计工作带来极大便利。
只要将业务过程的实时信息通过移动网接入互联网,通过一定条件通过移动4G网络监视管理工作现场的运行状态和各种参数,内网工作人员可以通过远程监控业务开展情况、根据经营需要及时发出调度指令或者提供解决方案。技术人员还可以根据上传来的实时信息来判断工作状态,对业务进行调整和优化、及时检测、诊断业务问题。还可以设置远程监控***,通过外派人员接入外网移动网络上传数据可实现对现场业务的远程实时监控。
而外派人员上传来的大量数据文件,很多都涉及到个人与企业的机密或隐私,因此数据安全问题,也就是防止泄露,是内外网接入时的关键。目前,虽然现有技术提供了一些安全解决方案,但仍然存在漏洞。同时,由于外派移动业务的需求需要随时接入不同的移动网络,一套解决方案往往难以应对不同的网络环境。因此,如何实现内外网的安全接入和访问是摆在我们的一个重要课题。
发明内容
本发明的目的在于提供一种内外网安全接入方法***,能够外派业务人员通过移动终端安全地接入内部管理网络,实现数据上传下载的安全以及内网业务的保密。
本发明的目的可通过以下的技术措施来实现:
一种适用于双网隔离的接入访问传输平台,包括外网接入终端和内网服务器;
所述外网接入终端具有若干台,其中的每一台外网接入终端都配置有唯一的设备ID,该设备ID采用二维码编码并存储在内网服务器的内网数据库中,并定期由专门人员核查该外网接入终端的日常运作情况和数据上传情况是否存在异常,对于存在异常的外网接入终端及时召回进行维护;所述的每一台外网接入终端上均设有摄像头、键盘、触摸屏和网络通信模块、存储模块;
所述内网服务器包括监控模块、鉴权模块、防护模块、报警模块、管理模块、网络通信模块和内网数据库;
所述监控模块通过网络通信模块与在线的各台外网接入终端保持通信,并通过显示模块实时显示各台外网接入终端的工作状态,管理并记录各台外网接入终端的实时状态信息、上传和下载的数据内容,生成图文报表供内部管理人员随时查看;
所述鉴权模块通过网络通信模块与外网接入终端连接,其中每次连接过程中对访问数据进行验证,验证过程包括如下步骤:
A.外网接入终端通过其上层应用界面发送接入请求,该外网接入终端中的下层应用将接入请求进行封装加密后发送给内网服务器;其中接入请求包括业务的权限内容、工作人员信息以及该外网接入终端的设备ID;
B.内网服务器的网络通信模块通过其底层应用模块接收到加密后的接入请求后进行解密并对所接入的外网接入终端的身份进行验证,验证通过后发送允许接入信号返回给外网接入终端;其中,内网服务器通过查询其内网数据库判断接入请求信息的所有内容的合法性;
所述防护模块建立和维护一个专门的数据表,限定外网接入终端所发送的各类命令的数据格式和数据内容,并对数据交换过程中的每组数据进行合法性校验;该防护模块还设有安全网关,用于实现各个外部接入请求通过合法的路由访问控制,采用VPN构建的加密专用通道,从而保证数据的保密和完整;设置防火墙进行外部网络的访问控制,防止非法设备接入;配置安全监测模块,对接入的外网接入终端的安全隐患进行监测、防护和管理;对外网接入终端所连接的外部网络与内网服务器的内部专网进行协议匹配,保证数据传输内容的正确性;
所述报警模块对外网接入终端上传和下载的数据的来源、流量以及外网接入终端的工作权限进行监控,检测是否有异常数据出现,对非法访问、越权访问进行报警,并对非法攻击和入侵服务器的事件形成报警报表,供技术人员查询和后期维护,当检测到异常情况达到预设报警等级时关闭内网数据库的数据输入和输出;所述外网接入终端的工作权限设置有多个层级,并按照层级不同设定数据访问的权限;
所述报警模块对外网接入终端的工作权限进行监控具体包括:赋予每个外网接入终端不同层级的工作权限,按照外网接入终端所上传和下载的数据的重要性和敏感性进行排序,当检测到某个外网接入终端的操作为越权操作时,暂停对其操作的响应,一段时间后若还存在越权操作则对该外网接入终端进行锁定,并对此次操作事件进行记录形成报警报表;
所述管理模块对所有外网接入终端进行管理,记录所有的工作报表形成内网数据并存储到内网数据库中。
本发明对比现有技术,有如下优点:本发明通过在内网中设置监控模块、鉴权模块、防护模块、报警模块和管理模块能够实现安全地管理外网接入终端在接入工作过程中的异常事件,并对异常事件进行记录,防止内网数据的泄露以及内网服务器的安全,保证生产安全。
具体实施方式
本发明的***可以应用于各类需要通过外派人员现场操作并使用与内网***连接的外网接入终端进行数据传输、现场布置、软硬件配置等工作领域,具体来说本发明的一种适用于双网隔离的接入访问传输平台,包括外网接入终端和内网服务器;其中,所述外网接入终端具有若干台,其中的每一台外网接入终端都配置有唯一的设备ID,该设备ID采用二维码编码并存储在内网服务器的内网数据库中,并定期由专门人员核查该外网接入终端的日常运作情况和数据上传情况是否存在异常,对于存在异常的外网接入终端及时召回进行维护;所述的每一台外网接入终端上均设有摄像头、键盘、触摸屏和网络通信模块、存储模块;
所述内网服务器包括监控模块、鉴权模块、防护模块、报警模块、管理模块、网络通信模块和内网数据库;
所述监控模块通过网络通信模块与在线的各台外网接入终端保持通信,并通过显示模块实时显示各台外网接入终端的工作状态,管理并记录各台外网接入终端的实时状态信息、上传和下载的数据内容,生成图文报表供内部管理人员随时查看;
所述鉴权模块通过网络通信模块与外网接入终端连接,其中每次连接过程中对访问数据进行验证,验证过程包括如下步骤:
A.外网接入终端通过其上层应用界面发送接入请求,该外网接入终端中的下层应用将接入请求进行封装加密后发送给内网服务器;其中接入请求包括业务的权限内容、工作人员信息以及该外网接入终端的设备ID;
B.内网服务器的网络通信模块通过其底层应用模块接收到加密后的接入请求后进行解密并对所接入的外网接入终端的身份进行验证,验证通过后发送允许接入信号返回给外网接入终端;其中,内网服务器通过查询其内网数据库判断接入请求信息的所有内容的合法性;
所述防护模块建立和维护一个专门的数据表,限定外网接入终端所发送的各类命令的数据格式和数据内容,并对数据交换过程中的每组数据进行合法性校验;该防护模块还设有安全网关,用于实现各个外部接入请求通过合法的路由访问控制,采用VPN构建的加密专用通道,从而保证数据的保密和完整;设置防火墙进行外部网络的访问控制,防止非法设备接入;配置安全监测模块,对接入的外网接入终端的安全隐患进行监测、防护和管理;对外网接入终端所连接的外部网络与内网服务器的内部专网进行协议匹配,保证数据传输内容的正确性;
所述报警模块对外网接入终端上传和下载的数据的来源、流量以及外网接入终端的工作权限进行监控,检测是否有异常数据出现,对非法访问、越权访问进行报警,并对非法攻击和入侵服务器的事件形成报警报表,供技术人员查询和后期维护,当检测到异常情况达到预设报警等级时关闭内网数据库的数据输入和输出;所述外网接入终端的工作权限设置有多个层级,并按照层级不同设定数据访问的权限;
所述报警模块对外网接入终端的工作权限进行监控具体包括:赋予每个外网接入终端不同层级的工作权限,按照外网接入终端所上传和下载的数据的重要性和敏感性进行排序,当检测到某个外网接入终端的操作为越权操作时,暂停对其操作的响应,一段时间后若还存在越权操作则对该外网接入终端进行锁定,并对此次操作事件进行记录形成报警报表;
所述管理模块对所有外网接入终端进行管理,记录所有的工作报表形成内网数据并存储到内网数据库中。
本发明的实施方式不限于此,在本发明上述基本技术思想前提下,按照本领域的普通技术知识和惯用手段对本发明内容所做出其它多种形式的修改、替换或变更,均落在本发明权利保护范围之内。

Claims (1)

1.一种适用于双网隔离的接入访问传输平台,包括外网接入终端和内网服务器,其特征在于:
所述外网接入终端具有若干台,其中的每一台外网接入终端都配置有唯一的设备ID,该设备ID采用二维码编码并存储在内网服务器的内网数据库中,并定期由专门人员核查该外网接入终端的日常运作情况和数据上传情况是否存在异常,对于存在异常的外网接入终端及时召回进行维护;所述的每一台外网接入终端上均设有摄像头、键盘、触摸屏和网络通信模块、存储模块;
所述内网服务器包括监控模块、鉴权模块、防护模块、报警模块、管理模块、网络通信模块和内网数据库;
所述监控模块通过网络通信模块与在线的各台外网接入终端保持通信,并通过显示模块实时显示各台外网接入终端的工作状态,管理并记录各台外网接入终端的实时状态信息、上传和下载的数据内容,生成图文报表供内部管理人员随时查看;
所述鉴权模块通过网络通信模块与外网接入终端连接,其中每次连接过程中对访问数据进行验证,验证过程包括如下步骤:
A.外网接入终端通过其上层应用界面发送接入请求,该外网接入终端中的下层应用将接入请求进行封装加密后发送给内网服务器;其中接入请求包括业务的权限内容、工作人员信息以及该外网接入终端的设备ID;
B.内网服务器的网络通信模块通过其底层应用模块接收到加密后的接入请求后进行解密并对所接入的外网接入终端的身份进行验证,验证通过后发送允许接入信号返回给外网接入终端;其中,内网服务器通过查询其内网数据库判断接入请求信息的所有内容的合法性;
所述防护模块建立和维护一个专门的数据表,限定外网接入终端所发送的各类命令的数据格式和数据内容,并对数据交换过程中的每组数据进行合法性校验;该防护模块还设有安全网关,用于实现各个外部接入请求通过合法的路由访问控制,采用VPN构建的加密专用通道,从而保证数据的保密和完整;设置防火墙进行外部网络的访问控制,防止非法设备接入;配置安全监测模块,对接入的外 网接入终端的安全隐患进行监测、防护和管理;对外网接入终端所连接的外部网络与内网服务器的内部专网进行协议匹配,保证数据传输内容的正确性;
所述报警模块对外网接入终端上传和下载的数据的来源、流量以及外网接入终端的工作权限进行监控,检测是否有异常数据出现,对非法访问、越权访问进行报警,并对非法攻击和入侵服务器的事件形成报警报表,供技术人员查询和后期维护,当检测到异常情况达到预设报警等级时关闭内网数据库的数据输入和输出;所述外网接入终端的工作权限设置有多个层级,并按照层级不同设定数据访问的权限;
所述报警模块对外网接入终端的工作权限进行监控具体包括:赋予每个外网接入终端不同层级的工作权限,按照外网接入终端所上传或下载的数据的重要性和敏感性进行排序,当检测到某个外网接入终端的操作为越权操作时,暂停对其操作的响应,一段时间后若还存在越权操作则对该外网接入终端进行锁定,并对此次操作事件进行记录形成报警报表;
所述管理模块对所有外网接入终端进行管理,记录所有的工作报表形成内网数据并存储到内网数据库中。
CN201810991508.0A 2018-08-27 2018-08-27 一种适用于双网隔离的接入访问传输平台 Active CN109005189B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810991508.0A CN109005189B (zh) 2018-08-27 2018-08-27 一种适用于双网隔离的接入访问传输平台

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810991508.0A CN109005189B (zh) 2018-08-27 2018-08-27 一种适用于双网隔离的接入访问传输平台

Publications (2)

Publication Number Publication Date
CN109005189A CN109005189A (zh) 2018-12-14
CN109005189B true CN109005189B (zh) 2021-07-20

Family

ID=64593945

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810991508.0A Active CN109005189B (zh) 2018-08-27 2018-08-27 一种适用于双网隔离的接入访问传输平台

Country Status (1)

Country Link
CN (1) CN109005189B (zh)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109995777B (zh) * 2019-03-26 2022-06-07 广东汇泰龙科技股份有限公司 一种基于内外网隔离的智能云锁控制方法和***
CN110099060A (zh) * 2019-05-07 2019-08-06 瑞森网安(福建)信息科技有限公司 一种网络信息安全保护方法及***
CN110247951B (zh) * 2019-05-08 2022-04-01 建信融通有限责任公司 一种文件传输控制方法、装置、设备及存储介质
CN111132136B (zh) * 2019-11-11 2023-04-14 广东电网有限责任公司广州供电局 一种移动应用信息安全体系应用***
CN112822146A (zh) * 2019-11-18 2021-05-18 中国电信股份有限公司 网络连接的监控方法、装置、***和计算机可读存储介质
CN111224979B (zh) * 2019-12-31 2022-02-18 厦门美域中央信息科技有限公司 一种基于ip数据流分析的链路通信监控视图构建方法
CN113498149A (zh) * 2020-04-03 2021-10-12 中移(成都)信息通信科技有限公司 基于网络切片的双连接方法、装置、设备及介质
CN111913448A (zh) * 2020-07-22 2020-11-10 南京东南博康环境科技有限公司 一种信息化智能控制***
CN112073375B (zh) * 2020-08-07 2023-09-26 中国电力科学研究院有限公司 一种适用于电力物联网客户侧的隔离装置及隔离方法
CN114285586A (zh) * 2020-09-17 2022-04-05 英业达科技有限公司 兼具安全与维护便利的数据传输与维护***及其方法
CN112702320A (zh) * 2020-12-10 2021-04-23 成都新赢科技有限公司 一种监控数据传输筛分***及其使用方法
CN112714297A (zh) * 2021-01-16 2021-04-27 鸣飞伟业技术有限公司 一种基于开箱自锁定技术的数据单向传输共享切换***
CN114629803A (zh) * 2022-02-21 2022-06-14 厦门网为股份有限公司 一种基于安全密钥的零信任数据监控架构及方法
CN114944940B (zh) * 2022-04-26 2023-10-03 国网山东省电力公司滨州供电公司 一种用于电气试验数据的电子档案处理***及方法
CN115277256B (zh) * 2022-09-27 2022-12-16 中国民用航空局空中交通管理局航空气象中心 一种用于数据内外网过网闸传输的预警方法及***

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN203233445U (zh) * 2013-05-16 2013-10-09 杭州中房信息科技有限公司 一种高安全性内部网络信息安全***
CN107018155A (zh) * 2017-05-31 2017-08-04 南京燚麒智能科技有限公司 一种外网终端安全访问内网特定数据的方法和***
CN108243413A (zh) * 2016-12-23 2018-07-03 中国铁路总公司 一种无线接入铁路信息网络的方法及***

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006338587A (ja) * 2005-06-06 2006-12-14 Hitachi Ltd アクセス制御サーバ、利用者端末及び情報アクセス制御方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN203233445U (zh) * 2013-05-16 2013-10-09 杭州中房信息科技有限公司 一种高安全性内部网络信息安全***
CN108243413A (zh) * 2016-12-23 2018-07-03 中国铁路总公司 一种无线接入铁路信息网络的方法及***
CN107018155A (zh) * 2017-05-31 2017-08-04 南京燚麒智能科技有限公司 一种外网终端安全访问内网特定数据的方法和***

Also Published As

Publication number Publication date
CN109005189A (zh) 2018-12-14

Similar Documents

Publication Publication Date Title
CN109005189B (zh) 一种适用于双网隔离的接入访问传输平台
CN106657011A (zh) 一种业务服务器授权安全访问方法
CN100576256C (zh) 门禁远程管理方法
CN109995796A (zh) 工控***终端安全防护方法
CN109976239A (zh) 工控***终端安全防护***
CN112711509A (zh) 一种提高数据中心机房运维安全的方法及***
CN108966216B (zh) 一种应用于配电网的移动通信方法及***
JP6640802B2 (ja) エッジサーバ及びアプリケーションセキュリティ管理システム
CN110225038B (zh) 用于工业信息安全的方法、装置及***
CN110768963B (zh) 一种分布式架构的可信安全管理平台
CN110708340A (zh) 一种企业专用网络******
EP2656322B1 (en) Intrusion detection
CN105356596A (zh) 无人值班变电站的集约化远程管控***
CN115361273B (zh) 基于区块链的电力运维***与应急管控***及方法
CN111652454A (zh) 一种监理质量、安全生产管理评测管理***
CN113688187B (zh) 危化安全生产数字化区块链监管平台
US9940116B2 (en) System for performing remote services for a technical installation
KR102110383B1 (ko) 블록체인 기반의 모바일 보안 시스템
CN111883277A (zh) 一种基于物理断开的核电站安全可信状态监测***
CN112328605B (zh) 一种基于区块链的电力现场安全数据管理方法与***
Ma et al. Research on Safety Monitoring Technology of Intelligent Substation Intranet
CN117336703A (zh) 基于北斗的自组网应急通信***及方法
CN106210661A (zh) 一种监控管理***
Seeba Eesti Infoturbestandardi (E-ITS) põhine turbe hindamise instrument/Estonian Information security Standard (E-ITS) based security level evaluation instrument
KR101569838B1 (ko) 보안기능이 구비된 모바일 양방향 문자송수신시스템을 이용한 문자송수신방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant