CN111131273A - 一种网络工程用互联网接入控制*** - Google Patents
一种网络工程用互联网接入控制*** Download PDFInfo
- Publication number
- CN111131273A CN111131273A CN201911377350.9A CN201911377350A CN111131273A CN 111131273 A CN111131273 A CN 111131273A CN 201911377350 A CN201911377350 A CN 201911377350A CN 111131273 A CN111131273 A CN 111131273A
- Authority
- CN
- China
- Prior art keywords
- network
- security
- access control
- access
- software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络工程用互联网接入控制***,包括:客户端、策略执行器、安全服务器、隔离网络和修复服务器;所述客户端,即安装在***终端设备上的客户端软件,所述策略执行器,即网络中的网络接入设备,所述安全服务器,即网络安全接入控制***的核心服务器,所述隔离网络,即一个相对独立的安全性强化的网络,所述修复服务器,即***的漏洞修复服务器。本发明中,通过对接入网络终端设备进行认证、检查、隔离、修复、管理以及监控,将整个网络从被动的单点防御变为主动的全面防御,可以在恶意行为发生之前发现和阻止,消除潜在风险隐患,有效地提高了网络的安全性。
Description
技术领域
本发明涉及网络接入控制技术领域,尤其涉及一种网络工程用互联网接入控制***。
背景技术
互联网接入控制***是对终端设备请求或访问网络资源的控制方式,能够接通终端设备与互联网之间的通信桥梁,在互联网时代发展的当下,互联网接入控制已经成为网络安全的重灾区,在面对新的安全形势变化时,其无法及时地调整安全策略以适应新的安全挑战,因此急需对网络接入控制***进行保护。
现有的互联网接入控制***虽然投入了大量的人力物力财力,建立了如身份认证、防火墙、入侵检测等安全***,但是由于这些***都是针对特定的安全领域,缺乏可灵活配置的整合性安全体系结构,使其只能够进行被动单点时的接入控制,无法对可能发生的安全隐患进行提前的发现并消除,降低了网络接入控制的安全。
发明内容
本发明的目的是为了解决现有技术中存在的缺点,而提出的一种网络工程用互联网接入控制***。
为了实现上述目的,本发明采用了如下技术方案:一种网络工程用互联网接入控制***,包括:客户端、策略执行器、安全服务器、隔离网络和修复服务器;
所述客户端,即安装在***终端设备上的客户端软件,用于采集用户终端的身份认证信息、终端安全状态信息等数据,并将其传送到***服务器端;
所述策略执行器,即网络中的网络接入设备,用于执行对终端设备的接入控制;
所述安全服务器,即网络安全接入控制***的核心服务器,用于定义、设定和管理受保护网络的网路安全策略;
所述隔离网络,即一个相对独立的安全性强化的网络,用于保持内部网络尽可能的受到保护,并隔离有安全性隐患的终端;
所述修复服务器,即***的漏洞修复服务器,用于帮助未通过安全性检测的终端设备排除安全隐患,并使其能够接入受保护的互联网网络资源。
作为上述技术方案的进一步描述:
所述安全服务器包括安全状态检查模块;
所述安全状态检查模块由用户身份认证单元、***状态检查单元和网络接入控制单元组成;
通过用户身份认证单元可以检查试图访问互联网资源用户的合法性,阻止未经授权的情况下非法接入互联网,确保了接入控制***的合法性;
通过***状态检查单元可以收集终端***多种类型的安全状态资料,与安全策略进行比较,保证设备符合规定的安全水平,降低设备的***漏洞可能给网络带来的风险;
通过网络接入控制单元可以对发出接入访问请求的终端设备进行计接入或拒绝的控制,确保接入互联网的终端设备达到符合安全策略的水平。
作为上述技术方案的进一步描述:
所述安全服务器还包括安全策略管理模块;
所述安全策略管理模块由***完整性管理单元、软件状态管理单元和其他软件管理单元组成;
通过***完整性管理单元可以对网络***内的安全补丁的完整性进行检查,将安全补丁检查合格的终端接入网络,不合格的终端拒绝接入网络;
通过软件状态管理单元可以终端设备的防病毒软件和防火墙软件进行安全状态的检查,确保终端设备的安全软件处于正常可用的状态;
通过其他软件管理单元可对终端设备内软件进行自定义增加、修改和删除操作,确保终端设备内的软件符合接入控制的实际需求。
作为上述技术方案的进一步描述:
所述修复服务器包括***漏洞自检模块和漏洞定位修复模块;
所述***漏洞自检模块用于对终端设备的硬件和软件上存在的短板和漏洞进行全面的自检,防止终端设备在接入网络后发生信息泄露的现象,确保了接入控制***的安全;
所述漏洞定位修复模块用于精确的定位到每一个漏洞和短板的具有位置,并利用符合安全管理策略的方式对漏洞和短板进行及时的修复,确保终端设备的自身软硬件的健康。
一种网络工程用互联网接入控制方法,包括以下步骤:
S01:用户端设备请求接入并访问受保护的网络;
S02:接入控制***对用户端的身份信息进行认证识别,判断接入访问用户的合法性;
S03:策略执行器检测接入用户端设备的软硬件安全状态;
S04:安全服务器接收用户端设备的安全状态信息,进行安全认证和检查,判断用户端***是否合规;
S05:获取用户端软硬件和***的检查结果,对其进行接入网络的实时监控。
作为上述技术方案的进一步描述:
所述步骤S02中,当用户端设备的认证信息不合法时,用户端设备的访问请求会被拒绝接入网络;
当用户端设备的认证信息合法时,用户端设备的访问请求会被允许接入网络。
作为上述技术方案的进一步描述:
所述步骤S04中,当用户端设备的安全状态不符合规定的安全策略时,用户端设备会被隔离并引导至网络的修复区域,将其修复达到安全水平,并继续进行安全状态的检查;
当用户端设备的安全状态符合规定的安全策略时,可以直接将用户端设备接入网络。
有益效果
本发明提供了一种网络工程用互联网接入控制***。具备以下有益效果:
(1):该互联网接入控制***通过对接入网络终端设备进行认证、检查、隔离、修复、管理以及监控,将整个网络从被动的单点防御变为主动的全面防御,可以在恶意行为发生之前发现和阻止,消除潜在风险隐患,有效地提高了网络的安全性。
(2):该互联网接入控制***将分散式管理转变为集中式管理的,可以将网络***内的接入的终端设备的软硬件安全状态进行全方位的决策管理,加快了网络数据的传递效率,进而有效的提高了网络健康状态。
附图说明
图1为本发明提出的一种网络工程用互联网接入控制***的整体结构示意图;
图2为本发明中安全服务器的示意图;
图3为本发明中安全状态检查模块的示意图;
图4为本发明中安全策略管理模块的示意图;
图5为本发明中修复服务器的示意图;
图6为本发明提出的一种网络工程用互联网接入控制方法的流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
如图1-图6所示,一种网络工程用互联网接入控制***,包括:客户端、策略执行器、安全服务器、隔离网络和修复服务器;
客户端,即安装在***终端设备上的客户端软件,用于采集用户终端的身份认证信息、终端安全状态信息等数据,并将其传送到***服务器端;
策略执行器,即网络中的网络接入设备,用于执行对终端设备的接入控制;
安全服务器,即网络安全接入控制***的核心服务器,用于定义、设定和管理受保护网络的网路安全策略;
隔离网络,即一个相对独立的安全性强化的网络,用于保持内部网络尽可能的受到保护,并隔离有安全性隐患的终端;
修复服务器,即***的漏洞修复服务器,用于帮助未通过安全性检测的终端设备排除安全隐患,并使其能够接入受保护的互联网网络资源。
安全服务器包括安全状态检查模块;
安全状态检查模块由用户身份认证单元、***状态检查单元和网络接入控制单元组成;
通过用户身份认证单元可以检查试图访问互联网资源用户的合法性,阻止未经授权的情况下非法接入互联网,确保了接入控制***的合法性;
通过***状态检查单元可以收集终端***多种类型的安全状态资料,与安全策略进行比较,保证设备符合规定的安全水平,降低设备的***漏洞可能给网络带来的风险;
通过网络接入控制单元可以对发出接入访问请求的终端设备进行计接入或拒绝的控制,确保接入互联网的终端设备达到符合安全策略的水平。
安全服务器还包括安全策略管理模块;
安全策略管理模块由***完整性管理单元、软件状态管理单元和其他软件管理单元组成;
通过***完整性管理单元可以对网络***内的安全补丁的完整性进行检查,将安全补丁检查合格的终端接入网络,不合格的终端拒绝接入网络;
通过软件状态管理单元可以终端设备的防病毒软件和防火墙软件进行安全状态的检查,确保终端设备的安全软件处于正常可用的状态;
通过其他软件管理单元可对终端设备内软件进行自定义增加、修改和删除操作,确保终端设备内的软件符合接入控制的实际需求。
修复服务器包括***漏洞自检模块和漏洞定位修复模块;
***漏洞自检模块用于对终端设备的硬件和软件上存在的短板和漏洞进行全面的自检,防止终端设备在接入网络后发生信息泄露的现象,确保了接入控制***的安全;
漏洞定位修复模块用于精确的定位到每一个漏洞和短板的具有位置,并利用符合安全管理策略的方式对漏洞和短板进行及时的修复,确保终端设备的自身软硬件的健康。
一种网络工程用互联网接入控制方法,包括以下步骤:
S01:用户端设备请求接入并访问受保护的网络;
S02:接入控制***对用户端的身份信息进行认证识别,判断接入访问用户的合法性;
S03:策略执行器检测接入用户端设备的软硬件安全状态;
S04:安全服务器接收用户端设备的安全状态信息,进行安全认证和检查,判断用户端***是否合规;
S05:获取用户端软硬件和***的检查结果,对其进行接入网络的实时监控。
步骤S02中,当用户端设备的认证信息不合法时,用户端设备的访问请求会被拒绝接入网络;
当用户端设备的认证信息合法时,用户端设备的访问请求会被允许接入网络。
步骤S04中,当用户端设备的安全状态不符合规定的安全策略时,用户端设备会被隔离并引导至网络的修复区域,将其修复达到安全水平,并继续进行安全状态的检查;
当用户端设备的安全状态符合规定的安全策略时,可以直接将用户端设备接入网络。
在本说明书的描述中,参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。
Claims (7)
1.一种网络工程用互联网接入控制***,其特征在于,包括:客户端、策略执行器、安全服务器、隔离网络和修复服务器;
所述客户端,即安装在***终端设备上的客户端软件,用于采集用户终端的身份认证信息、终端安全状态信息等数据;
所述策略执行器,即网络中的网络接入设备,用于执行对终端设备的接入控制;
所述安全服务器,即网络安全接入控制***的核心服务器,用于定义、设定和管理受保护网络的网路安全策略;
所述隔离网络,即一个相对独立的安全性强化的网络,用于保持内部网络尽可能的受到保护,并隔离有安全性隐患的终端;
所述修复服务器,即***的漏洞修复服务器,用于帮助未通过安全性检测的终端设备排除安全隐患。
2.根据权利要求1所述的一种网络工程用互联网接入控制***,其特征在于,所述安全服务器包括安全状态检查模块;
所述安全状态检查模块由用户身份认证单元、***状态检查单元和网络接入控制单元组成;
通过用户身份认证单元可以检查试图访问互联网资源用户的合法性;
通过***状态检查单元可以收集终端***多种类型的安全状态资料,与安全策略进行比较;
通过网络接入控制单元可以对发出接入访问请求的终端设备进行计接入或拒绝的控制。
3.根据权利要求1所述的一种网络工程用互联网接入控制***,其特征在于,所述安全服务器还包括安全策略管理模块;
所述安全策略管理模块由***完整性管理单元、软件状态管理单元和其他软件管理单元组成;
通过***完整性管理单元可以对网络***内的安全补丁的完整性进行检查;
通过软件状态管理单元可以终端设备的防病毒软件和防火墙软件进行安全状态的检查;
通过其他软件管理单元可对终端设备内软件进行自定义增加、修改和删除操作。
4.根据权利要求1所述的一种网络工程用互联网接入控制***,其特征在于,所述修复服务器包括***漏洞自检模块和漏洞定位修复模块;
所述***漏洞自检模块用于对终端设备的硬件和软件上存在的短板和漏洞进行全面的自检;
所述漏洞定位修复模块用于精确的定位到每一个漏洞和短板的具有位置,并利用符合安全管理策略的方式对漏洞和短板进行及时的修复。
5.一种网络工程用互联网接入控制方法,其特征在于,包括以下步骤:
S01:用户端设备请求接入并访问受保护的网络;
S02:接入控制***对用户端的身份信息进行认证识别,判断接入访问用户的合法性;
S03:策略执行器检测接入用户端设备的软硬件安全状态;
S04:安全服务器接收用户端设备的安全状态信息,进行安全认证和检查,判断用户端***是否合规;
S05:获取用户端软硬件和***的检查结果,对其进行接入网络的实时监控。
6.根据权利要求5所述的一种网络工程用互联网接入控制方法,其特征在于,所述步骤S02中,当用户端设备的认证信息不合法时,用户端设备的访问请求会被拒绝接入网络;
当用户端设备的认证信息合法时,用户端设备的访问请求会被允许接入网络。
7.根据权利要求5所述的一种网络工程用互联网接入控制方法,其特征在于,所述步骤S04中,当用户端设备的安全状态不符合规定的安全策略时,用户端设备会被隔离并引导至网络的修复区域,将其修复达到安全水平,并继续进行安全状态的检查;
当用户端设备的安全状态符合规定的安全策略时,可以直接将用户端设备接入网络。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911377350.9A CN111131273A (zh) | 2019-12-27 | 2019-12-27 | 一种网络工程用互联网接入控制*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911377350.9A CN111131273A (zh) | 2019-12-27 | 2019-12-27 | 一种网络工程用互联网接入控制*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111131273A true CN111131273A (zh) | 2020-05-08 |
Family
ID=70504019
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911377350.9A Withdrawn CN111131273A (zh) | 2019-12-27 | 2019-12-27 | 一种网络工程用互联网接入控制*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111131273A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112839031A (zh) * | 2020-12-24 | 2021-05-25 | 江苏天创科技有限公司 | 一种工业控制网络安全防护***及方法 |
CN115174379A (zh) * | 2022-07-27 | 2022-10-11 | 西安热工研究院有限公司 | 一种工控网络的漏洞修复方法、装置及存储介质 |
-
2019
- 2019-12-27 CN CN201911377350.9A patent/CN111131273A/zh not_active Withdrawn
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112839031A (zh) * | 2020-12-24 | 2021-05-25 | 江苏天创科技有限公司 | 一种工业控制网络安全防护***及方法 |
CN115174379A (zh) * | 2022-07-27 | 2022-10-11 | 西安热工研究院有限公司 | 一种工控网络的漏洞修复方法、装置及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107809433B (zh) | 资产管理方法及装置 | |
CN110213215B (zh) | 一种资源访问方法、装置、终端和存储介质 | |
US7693835B2 (en) | Client apparatus, device verification apparatus, and verification method | |
CN106295350B (zh) | 一种可信执行环境的身份验证方法、装置及终端 | |
CN114553540B (zh) | 基于零信任的物联网***、数据访问方法、装置及介质 | |
CN101515931A (zh) | 一种基于代理方式的数据库安全增强方法 | |
CN112653714A (zh) | 一种访问控制方法、装置、设备及可读存储介质 | |
CN113114647A (zh) | 网络安全风险的检测方法、装置、电子设备、及存储介质 | |
CN116708210A (zh) | 一种运维处理方法和终端设备 | |
CN112115484B (zh) | 应用程序的访问控制方法、装置、***及介质 | |
CN102740296A (zh) | 一种移动终端可信网络接入方法和*** | |
CN111131273A (zh) | 一种网络工程用互联网接入控制*** | |
CN110602054A (zh) | 基于代理的特权凭证认证保护方法及装置 | |
CN116319024A (zh) | 零信任***的访问控制方法、装置及零信任*** | |
US9432357B2 (en) | Computer network security management system and method | |
CN110881186B (zh) | 非法设备识别方法、装置、电子设备及可读存储介质 | |
KR101768942B1 (ko) | 사용자 접속에 대한 보안 인증 시스템 및 그 방법 | |
CN102045310B (zh) | 一种工业互联网入侵检测和防御方法及其装置 | |
CN114915477A (zh) | 一种计算机网络的信息安全防护*** | |
CN111131303A (zh) | 一种请求数据的校验***和方法 | |
CN117729057A (zh) | 一种基于身份安全的零信任接入***的方法 | |
CN110086812B (zh) | 一种安全可控的内网安全巡警***及方法 | |
CN111556024B (zh) | 一种反向接入控制***及方法 | |
CN116996238A (zh) | 一种网络异常访问的处理方法以及相关装置 | |
CN111064731B (zh) | 一种浏览器请求的访问权限的识别方法、识别装置及终端 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20200508 |
|
WW01 | Invention patent application withdrawn after publication |