CN109165508A - 一种外部设备访问安全控制***及其控制方法 - Google Patents
一种外部设备访问安全控制***及其控制方法 Download PDFInfo
- Publication number
- CN109165508A CN109165508A CN201810823058.4A CN201810823058A CN109165508A CN 109165508 A CN109165508 A CN 109165508A CN 201810823058 A CN201810823058 A CN 201810823058A CN 109165508 A CN109165508 A CN 109165508A
- Authority
- CN
- China
- Prior art keywords
- module
- detection module
- intranet
- message processing
- external device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明属信息安全领域并公开了一种外部设备访问安全控制***及其控制方法;所述的安全控制***包括防火墙、信号分发模块、恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块、身份验证模块以及信息处理模块;所述的外网服务器与防火墙连接,所述的防火墙与信号分发模块连接,所述的信号分发模块与恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块、身份验证模块连接,所述的恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块、身份验证模块与信息处理模块连接,所述的信息处理模块与内网服务器连接;本发明在现有防火墙的基础上进一步提高了外部设备访问的安全性,具有广泛的应用前景。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种外部设备访问安全控制***及其控制方法。
背景技术
在互联网时代,有效的公司信息安全管理对企业的良好运作至关重要,企业内部重要信息的泄露和病毒对企业内部***的攻击已是当前信息安全管理中最重要的两个因素。但是,当安全产品试图组合在一起时,由于缺乏综合的安全管理,很难形成多维的网络安全整体防护体系。因此,企业需要建构一个类似HP Open-View、Sun Net-Manager、Cabletron Spectrum式的大型网络信息安全管理综合平台来保证网络***正常运行。在这个管理平台下,实现设备协同工作,优化网络和***资源的有效利用,保障网络和应用***正常地运行。
为了实现网络信息安全技术的综合管理,特别是安全设备之间的协同工作,国内外进行了许多的研究。例如由以色列Check Point公司倡议成立的OPSEC联盟,以及国内天融信公司倡议成立的TOPSEC联盟。然而,在具体实践中用户发现,根据自身的需要所选择的各类安全设备之间相互配合还是相当困难的。
对于外部设备访问内网目前常用的是组建防火墙来隔离由外部设备带来的潜在风险,但是事实证明简单的防火墙不能有效隔离外部设备带来的风险。因此,急需开发研究一种可有效提高外部设备访问内网时的安全管理***,以降低外部设备带来的风险。鉴于此,如何提供一种外部设备访问安全控制***及其控制方法是本领域技术人员需要解决的技术难题。
发明内容
针对现有技术中的上述不足之处,本发明提供了一种外部设备访问安全控制***及其控制方法。
本发明为解决上述技术问题,采用以下技术方案来实现:
设计一种外部设备访问安全控制***,包括外部设备、与所述外部设备相连的外网服务器、内网服务器、与所述内网服务器连接的终端计算机,所述的安全控制***包括防火墙、信号分发模块、恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块、身份验证模块以及信息处理模块;所述的外网服务器与防火墙连接,所述的防火墙与信号分发模块连接,所述的信号分发模块与恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块、身份验证模块连接,所述的恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块、身份验证模块与信息处理模块连接,所述的信息处理模块与内网服务器连接;
所述的防火墙在所述外网服务器与信号分发模块之间建立一个安全网关,用于所述外部设备访问内网时检查进入内网的所有数据包;
所述的信号分发模块用于将所述外部设备访问内网时的数据包进行分发复制,分别分发至恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块以及身份验证模块中;
所述的恶意入侵检测模块用于检测所述外部设备是否处于恶意入侵状态,并肩检测结果传递至所述信息处理模块中;
所述的病毒查杀模块用于查杀所述外部设备访问内网时数据包中是否携带有病毒以及木马程序,并将查杀的结果传递至信息处理模块中;
所述的漏洞检测模块用于检测所述外部设备访问内网时数据包中存在危险漏洞,并将检测的结果传递至信息处理模块中;
所述的协议安全检测模块用于检测所述外部设备访问内网时的协议是否处于安全状态,并将检测的结果传递至信息处理模块中;
所述的身份验证模块用于验证所述外部设备的身份状态,确定外部设备是否有权限进入内网,并将验证的结果传递至信息处理模块中;
所述的信息处理模块用于接收所述恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块、身份验证模块处理的结果,并根据结果决定是否传递信息至内网服务器中。
优选的,所述外部设备包括计算机、智能手机、PAD。
优选的,所述外部设备与外网服务器通过互联网连接。
优选的,所述内网服务器与终端计算机通过局域网进行连接。
优选的,所述的外部设备短时间内大量访问内网服务器便被恶意入侵检测模块判断为恶意入侵。
设计一种外部设备访问安全控制方法,包括如下步骤:
首先,外部设备通过互联网与外网服务器连接;然后,所述的外部设备发出访问内网服务器的申请,所述外部设备的数据包经防火墙传递至信号分发模块中,所述信号分发模块将所述外部设备传递的数据包进行复制并分别分发至恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块和身份验证模块中进行安全检测;最后,检测以后的结果传递至信息处理模块中,由所述信息处理模块判断是否由影响访问安全的因素;若存在影响访问安全的因素,所述的信息处理模块阻止数据包传递至内网服务器中;若不存在影响访问安全的因素,所述的信息处理模块则将数据包直接传递至内网服务器中。
本发明提出的一种外部设备访问安全控制***及其控制方法,有益效果在于:
(1)本发明提出的安全控制***设置在内网服务器与外网服务器之间,在外部设备访问内网服务器时,首先通过防火墙来隔离、滤除外部访问可能带来的风险;然后通过恶意入侵检测、病毒查杀、漏洞检测、协议安全检测和身份验证等环节来验证外部设备的安全性,进而杜绝了外部设备访问带来的风险,提高了访问的安全性;
(2)本发明提出的安全控制***中设置有信号分发模块,通过信号分发模块将信号复制成需要的份数,并将信号同时传递至恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块和身份验证模块等模块进行安全处理,此种并行处理方式大大缩短了信息处理的时间,有效提高了信息处理的效率;
(3)本发明提出的安全控制***及安全控制方法在现有防火墙的基础上进一步提高了外部设备访问的安全性,具有广泛的应用前景。
附图说明
下面结合附图中的实施例对本发明作进一步的详细说明,但并不构成对本发明的任何限制。
图1为本发明安全控制***的结构示意图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
参阅附图1所示,本发明的一种外部设备访问安全控制***,包括外部设备、与所述外部设备相连的外网服务器、内网服务器、与所述内网服务器连接的终端计算机,所述的安全控制***包括防火墙、信号分发模块、恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块、身份验证模块以及信息处理模块;所述的外网服务器与防火墙连接,所述的防火墙与信号分发模块连接,所述的信号分发模块与恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块、身份验证模块连接,所述的恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块、身份验证模块与信息处理模块连接,所述的信息处理模块与内网服务器连接;
所述的防火墙在所述外网服务器与信号分发模块之间建立一个安全网关,用于所述外部设备访问内网时检查进入内网的所有数据包;
所述的信号分发模块用于将所述外部设备访问内网时的数据包进行分发复制,分别分发至恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块以及身份验证模块中;
所述的恶意入侵检测模块用于检测所述外部设备是否处于恶意入侵状态,并肩检测结果传递至所述信息处理模块中;
所述的病毒查杀模块用于查杀所述外部设备访问内网时数据包中是否携带有病毒以及木马程序,并将查杀的结果传递至信息处理模块中;
所述的漏洞检测模块用于检测所述外部设备访问内网时数据包中存在危险漏洞,并将检测的结果传递至信息处理模块中;
所述的协议安全检测模块用于检测所述外部设备访问内网时的协议是否处于安全状态,并将检测的结果传递至信息处理模块中;
所述的身份验证模块用于验证所述外部设备的身份状态,确定外部设备是否有权限进入内网,并将验证的结果传递至信息处理模块中;
所述的信息处理模块用于接收所述恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块、身份验证模块处理的结果,并根据结果决定是否传递信息至内网服务器中。
所述外部设备包括计算机、智能手机、PAD,所述外部设备与外网服务器通过互联网连接,所述内网服务器与终端计算机通过局域网进行连接,所述的外部设备短时间内大量访问内网服务器便被恶意入侵检测模块判断为恶意入侵。
本发明的一种外部设备访问安全控制方法,包括如下步骤:
首先,外部设备通过互联网与外网服务器连接;然后,所述的外部设备发出访问内网服务器的申请,所述外部设备的数据包经防火墙传递至信号分发模块中,所述信号分发模块将所述外部设备传递的数据包进行复制并分别分发至恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块和身份验证模块中进行安全检测;最后,检测以后的结果传递至信息处理模块中,由所述信息处理模块判断是否由影响访问安全的因素;若存在影响访问安全的因素,所述的信息处理模块阻止数据包传递至内网服务器中;若不存在影响访问安全的因素,所述的信息处理模块则将数据包直接传递至内网服务器中。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明披露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
Claims (6)
1.一种外部设备访问安全控制***,包括外部设备、与所述外部设备相连的外网服务器、内网服务器、与所述内网服务器连接的终端计算机,其特征在于,所述的安全控制***包括防火墙、信号分发模块、恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块、身份验证模块以及信息处理模块;所述的外网服务器与防火墙连接,所述的防火墙与信号分发模块连接,所述的信号分发模块与恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块、身份验证模块连接,所述的恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块、身份验证模块与信息处理模块连接,所述的信息处理模块与内网服务器连接;
所述的防火墙在所述外网服务器与信号分发模块之间建立一个安全网关,用于所述外部设备访问内网时检查进入内网的所有数据包;
所述的信号分发模块用于将所述外部设备访问内网时的数据包进行分发复制,分别分发至恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块以及身份验证模块中;
所述的恶意入侵检测模块用于检测所述外部设备是否处于恶意入侵状态,并肩检测结果传递至所述信息处理模块中;
所述的病毒查杀模块用于查杀所述外部设备访问内网时数据包中是否携带有病毒以及木马程序,并将查杀的结果传递至信息处理模块中;
所述的漏洞检测模块用于检测所述外部设备访问内网时数据包中存在危险漏洞,并将检测的结果传递至信息处理模块中;
所述的协议安全检测模块用于检测所述外部设备访问内网时的协议是否处于安全状态,并将检测的结果传递至信息处理模块中;
所述的身份验证模块用于验证所述外部设备的身份状态,确定外部设备是否有权限进入内网,并将验证的结果传递至信息处理模块中;
所述的信息处理模块用于接收所述恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块、身份验证模块处理的结果,并根据结果决定是否传递信息至内网服务器中。
2.根据权利要求1所述的一种外部设备访问安全控制***,其特征在于,所述外部设备包括计算机、智能手机、PAD。
3.根据权利要求1所述的一种外部设备访问安全控制***,其特征在于,所述外部设备与外网服务器通过互联网连接。
4.根据权利要求1所述的一种外部设备访问安全控制***,其特征在于,所述内网服务器与终端计算机通过局域网进行连接。
5.根据权利要求1所述的一种外部设备访问安全控制***,其特征在于,所述的外部设备短时间内大量访问内网服务器便被恶意入侵检测模块判断为恶意入侵。
6.一种外部设备访问安全控制方法,其特征在于,包括如下步骤:首先,外部设备通过互联网与外网服务器连接;然后,所述的外部设备发出访问内网服务器的申请,所述外部设备的数据包经防火墙传递至信号分发模块中,所述信号分发模块将所述外部设备传递的数据包进行复制并分别分发至恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块和身份验证模块中进行安全检测;最后,检测以后的结果传递至信息处理模块中,由所述信息处理模块判断是否由影响访问安全的因素;若存在影响访问安全的因素,所述的信息处理模块阻止数据包传递至内网服务器中;若不存在影响访问安全的因素,所述的信息处理模块则将数据包直接传递至内网服务器中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810823058.4A CN109165508A (zh) | 2018-07-25 | 2018-07-25 | 一种外部设备访问安全控制***及其控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810823058.4A CN109165508A (zh) | 2018-07-25 | 2018-07-25 | 一种外部设备访问安全控制***及其控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109165508A true CN109165508A (zh) | 2019-01-08 |
Family
ID=64898337
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810823058.4A Withdrawn CN109165508A (zh) | 2018-07-25 | 2018-07-25 | 一种外部设备访问安全控制***及其控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109165508A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110837645A (zh) * | 2019-10-30 | 2020-02-25 | 中国人民解放军战略支援部队信息工程大学 | 异构冗余内网漏洞库更新方法及*** |
| CN111859404A (zh) * | 2020-07-30 | 2020-10-30 | 中国工商银行股份有限公司 | 计算机的***漏洞探测的方法、装置、电子设备及介质 |
| CN112269993A (zh) * | 2020-11-02 | 2021-01-26 | 商丘经济贸易学校 | 一种保护计算机***安全的方法 |
| CN113301052A (zh) * | 2021-05-27 | 2021-08-24 | 南京恒先伟网络工程有限公司 | 一种安全隔离与信息交换***及方法 |
| CN116627358A (zh) * | 2023-07-24 | 2023-08-22 | 南充职业技术学院 | 一种基于大数据的计算机外接设备检测***及方法 |
-
2018
- 2018-07-25 CN CN201810823058.4A patent/CN109165508A/zh not_active Withdrawn
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110837645A (zh) * | 2019-10-30 | 2020-02-25 | 中国人民解放军战略支援部队信息工程大学 | 异构冗余内网漏洞库更新方法及*** |
| CN110837645B (zh) * | 2019-10-30 | 2022-04-08 | 中国人民解放军战略支援部队信息工程大学 | 异构冗余内网漏洞库更新方法及*** |
| CN111859404A (zh) * | 2020-07-30 | 2020-10-30 | 中国工商银行股份有限公司 | 计算机的***漏洞探测的方法、装置、电子设备及介质 |
| CN111859404B (zh) * | 2020-07-30 | 2023-09-05 | 中国工商银行股份有限公司 | 计算机的***漏洞探测的方法、装置、电子设备及介质 |
| CN112269993A (zh) * | 2020-11-02 | 2021-01-26 | 商丘经济贸易学校 | 一种保护计算机***安全的方法 |
| CN113301052A (zh) * | 2021-05-27 | 2021-08-24 | 南京恒先伟网络工程有限公司 | 一种安全隔离与信息交换***及方法 |
| CN113301052B (zh) * | 2021-05-27 | 2022-07-05 | 南京恒先伟网络工程有限公司 | 一种安全隔离与信息交换***及方法 |
| CN116627358A (zh) * | 2023-07-24 | 2023-08-22 | 南充职业技术学院 | 一种基于大数据的计算机外接设备检测***及方法 |
| CN116627358B (zh) * | 2023-07-24 | 2023-09-22 | 南充职业技术学院 | 一种基于大数据的计算机外接设备检测***及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109165508A (zh) | 一种外部设备访问安全控制***及其控制方法 | |
| KR101689299B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| CN111193719A (zh) | 一种网络入侵防护*** | |
| CN101802837B (zh) | 通过对设备的动态地址隔离来提供网络和计算机防火墙保护的***和方法 | |
| CN106850690B (zh) | 一种蜜罐构造方法及*** | |
| US20060037077A1 (en) | Network intrusion detection system having application inspection and anomaly detection characteristics | |
| CN101496025A (zh) | 用于向移动设备提供网络安全的***和方法 | |
| CN104796261A (zh) | 一种网络终端节点的安全接入管控***及方法 | |
| CN103391216A (zh) | 一种违规外联报警及阻断方法 | |
| US9124617B2 (en) | Social network protection system | |
| CN102123396A (zh) | 基于通信网的手机病毒和恶意软件的云检测方法 | |
| CN104219218A (zh) | 一种主动安全防御的方法及装置 | |
| US20110258208A1 (en) | Methods and systems for securing and protecting repositories and directories | |
| CN107276983A (zh) | 一种基于dpi和云同步的流量安全控制方法及*** | |
| CN115150208B (zh) | 一种基于零信任的物联网终端安全接入方法及*** | |
| CN107770125A (zh) | 一种网络安全应急响应方法及应急响应平台 | |
| CN112839031A (zh) | 一种工业控制网络安全防护***及方法 | |
| CN113382076A (zh) | 物联网终端安全威胁分析方法及防护方法 | |
| CN102752289A (zh) | 一种用于用电信息采集***的主站 | |
| CN103618613A (zh) | 网络接入控制*** | |
| Kang et al. | Whitelists based multiple filtering techniques in SCADA sensor networks | |
| CN109600395A (zh) | 一种终端网络接入控制***的装置及实现方法 | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及*** | |
| CN108900328A (zh) | 一种电网网络数据安全测试***及方法 | |
| RU2703329C1 (ru) | Способ обнаружения несанкционированного использования сетевых устройств ограниченной функциональности из локальной сети и предотвращения исходящих от них распределенных сетевых атак |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20190108 |
|
| WW01 | Invention patent application withdrawn after publication |