CN112039894B - 一种网络准入控制方法、装置、存储介质和电子设备 - Google Patents
一种网络准入控制方法、装置、存储介质和电子设备 Download PDFInfo
- Publication number
- CN112039894B CN112039894B CN202010900364.0A CN202010900364A CN112039894B CN 112039894 B CN112039894 B CN 112039894B CN 202010900364 A CN202010900364 A CN 202010900364A CN 112039894 B CN112039894 B CN 112039894B
- Authority
- CN
- China
- Prior art keywords
- client
- admission
- terminal equipment
- strategy
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例提供一种网络准入控制方法、装置、存储介质和电子设备,该网络准入控制方法包括:第一设备在监控到终端设备处于非安全状态的情况下,生成通知消息,其中,通知消息用于表明终端设备处于非安全状态;第一设备向准入服务器发送通知消息,以便于准入服务器根据通知消息,生成对应的处理策略,并向与终端设备连接的交换机或者终端设备发送处理策略。本申请实施例通过与第三方监控设备进行联动,及时发现内网中的异常终端设备的破坏行为,即便是在异常终端设备中的客户端遭到人为破坏或者卸载的情况下,仍然能够实现终端设备的安全监控,从而能够有效的阻断异常终端设备对内网的破坏,保障了网络准入控制***的安全。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种网络准入控制方法、装置、存储介质和电子设备。
背景技术
随着网络技术的发展,接入网络的终端设备可能会给网络带来各种安全威胁。因此有必要对想要接入网络的终端设备进行身份验证和安全合规检查,只有经过身份验证和安全合规检查的终端设备才可以接入网络。
目前,现有的网络准入控制方法是通过准入服务器接收终端设备发送的入网请求,以及准入服务器对终端设备进行身份认证,若确定终端设备的身份不合法,则拒绝终端设备接入网络,若确定终端设备的身份合法,则进行安全合规检查。以及,在通过安全合规检查的情况下,则对终端设备分配权限,在未通过安全合规检查的情况下,则将终端设备拉入到隔离区进行修复。
在实现本发明的过程中,发明人发现现有技术中存在如下问题:现有技术中存在着不易发现异常的终端设备对内网进行破坏的问题。例如,对于准入成功后的终端设备来说,终端设备上的客户端可能会遭到人为破坏或者卸载,从而不受现有的网络准入控制***的监控。以及,终端设备还可能携带病毒等,进行内网资源的访问或者破坏。
发明内容
本申请实施例的目的在于提供一种网络准入控制方法、装置、存储介质和电子设备,以解决现有技术中存在着的不易发现异常的终端设备对内网进行破坏的问题。
第一方面,本申请实施例提供了一种网络准入控制方法,该网络准入控制方法应用于网络准入控制***中的第一设备,网络准入控制***包括终端设备、准入服务器和至少一个第三方监控设备,第一设备为至少一个第三方监控设备中的任意一个第三方监控设备,且至少一个第三方监控设备中的每个第三方监控设备均用于监控终端设备的安全状态,该网络准入控制方法包括:第一设备在监控到终端设备处于非安全状态的情况下,生成通知消息,其中,通知消息用于表明终端设备处于非安全状态;第一设备向准入服务器发送通知消息,以便于准入服务器根据通知消息,生成对应的处理策略,并向与终端设备连接的交换机或者终端设备发送处理策略。
因此,本申请实施例通过与第三方监控设备进行联动,及时发现内网中的异常终端设备的破坏行为,即便是在异常终端设备中的客户端遭到人为破坏或者卸载的情况下,仍然能够实现终端设备的安全监控,从而能够有效的阻断异常终端设备对内网的破坏,保障了网络准入控制***的安全。
在一个可能的实施例中,第一设备为态势感知设备或者用户行为分析设备。
因此,本申请实施例可通过不同的监控方式来对终端设备进行监控。
第二方面,本申请实施例提供了一种网络准入控制方法,该网络准入控制方法应用于网络准入控制***中的准入服务器,网络准入控制***还包括终端设备和至少一个第三方监控设备,至少一个第三方监控设备中的每个第三方监控设备均用于监控终端设备的安全状态,该网络准入控制方法包括:准入服务器接收第一设备发送的通知消息,其中,第一设备为至少一个第三方监控设备中的任意一个第三方监控设备,通知消息用于表明终端设备处于非安全状态;准入服务器根据通知消息,生成对应的处理策略;准入服务器向终端设备或者与终端设备连接的交换机发送处理策略。
在一个可能的实施例中,处理策略包括警告策略和访问控制列表ACL策略,准入服务器向终端设备或者与终端设备连接的交换机发送处理策略,包括:准入服务器在确定终端设备上安装的客户端异常的情况下,向交换机发送ACL策略,以便于交换机根据ACL策略,阻断与终端设备连接的端口;或者,准入服务器在确定终端设备上安装的客户端正常的情况下,向终端设备发送警告策略。
在一个可能的实施例中,准入服务器在确定终端设备上安装的客户端异常的情况下,向交换机发送ACL策略,包括:准入服务器向客户端发送保活信息;准入服务器在预设时间内未收到客户端的反馈信息,确定客户端异常,并向交换机发送ACL策略。
第三方面,本申请实施例提供了一种网络准入控制装置,该网络准入控制装置应用于网络准入控制***中的第一设备,网络准入控制***包括终端设备、准入服务器和至少一个第三方监控设备,第一设备为至少一个第三方监控设备中的任意一个第三方监控设备,且至少一个第三方监控设备中的每个第三方监控设备均用于监控终端设备的安全状态,网络准入控制装置包括:第一生成模块,用于在监控到终端设备处于非安全状态的情况下,生成通知消息,其中,通知消息用于表明终端设备处于非安全状态;第一发送模块,用于向准入服务器发送通知消息,以便于准入服务器根据通知消息,生成对应的处理策略,并向与终端设备连接的交换机或者终端设备发送处理策略。
在一个可能的实施例中,第一设备为态势感知设备或者用户行为分析设备。
第四方面,本申请实施例提供了一种网络准入控制装置,该网络准入控制装置应用于网络准入控制***中的准入服务器,网络准入控制***还包括终端设备和至少一个第三方监控设备,至少一个第三方监控设备中的每个第三方监控设备均用于监控终端设备的安全状态,该网络准入控制装置包括:接收模块,用于接收第一设备发送的通知消息,其中,第一设备为至少一个第三方监控设备中的任意一个第三方监控设备,通知消息用于表明终端设备处于非安全状态;第二生成模块,用于根据通知消息,生成对应的处理策略;第二发送模块,用于向终端设备或者与终端设备连接的交换机发送处理策略。
在一个可能的实施例中,处理策略包括警告策略和访问控制列表ACL策略,第二发送模块,用于:在确定终端设备上安装的客户端异常的情况下,向交换机发送ACL策略,以便于交换机根据ACL策略,阻断与终端设备连接的端口;或者,在确定终端设备上安装的客户端正常的情况下,向终端设备发送警告策略。
在一个可能的实施例中,第二发送模块,还用于:向客户端发送保活信息;在预设时间内未收到客户端的反馈信息,确定客户端异常,并向交换机发送ACL策略。
第五方面,本申请实施例提供了一种存储介质,该存储介质上存储有计算机程序,该计算机程序被处理器运行时执行第一方面或第一方面的任一可选的实现方式所述的方法。
第六方面,本申请实施例提供了一种存储介质,该存储介质上存储有计算机程序,该计算机程序被处理器运行时执行第二方面或第二方面的任一可选的实现方式所述的方法。
第七方面,本申请实施例提供了一种电子设备,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当所述电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行第一方面或第一方面的任一可选的实现方式所述的方法。
第八方面,本申请实施例提供了一种电子设备,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当所述电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行第二方面或第二方面的任一可选的实现方式所述的方法。
第九方面,本申请提供一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行第一方面或第一方面的任意可能的实现方式中的方法。
第十方面,本申请提供一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行第二方面或第二方面的任意可能的实现方式中的方法。
为使本申请实施例所要实现的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本申请实施例提供的一种网络准入控制***的示意图;
图2示出了本申请实施例提供的一种网络准入控制方法的流程图;
图3示出了本申请实施例提供的一种网络准入控制装置的结构框图;
图4示出了本申请实施例提供的一种网络准入控制装置的结构框图;
图5示出了本申请实施例提供的一种电子设备的结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
目前,在公司、医院和信息中心等内网中,通过准入服务器的身份认证和安全合规检查后,已经成功进入内网的终端设备可能会存在木马病毒、未知恶意代码、异常账号、数据库篡改和网络攻击等违规行为。以及,在终端设备准入成功后,终端设备可以访问内部资源等,从而绕过了准入服务器的监控,其可随意接入内网,从而可能会带来敏感信息泄漏、非法人员恶意破坏和携带木马病毒入网传播等安全问题。
此外,为了解决上述问题,现有的网络准入控制方法是通过在终端设备中部署客户端来实时监控终端设备的安全状态。以及,在客户端发现终端设备的违规行为或者具有安全问题的情况下,客户端向准入服务器发送通知消息。随后,准入服务器向终端设备发送警告信息或者阻断终端设备访问网络。
然而,现有的网络准入控制方法至少存在如下问题:
对于准入成功后的终端设备来说,客户端可能会遭到人为破坏或者卸载,从而不受现有的网络准入控制***的监控。以及,终端设备还可能携带木马病毒等,从而进行内网资源的访问或者破坏;
准入服务器或者管理员不易发现安全隐患,不能进行有效的控制。
基于此,本申请实施例巧妙地提出了一种网络准入控制方法,该网络准入控制方法应用于网络准入控制***,通过网络准入控制***中的至少一个第三方监控设备中的每个第三方监控设备来监控终端设备的安全状态,以及在任意一个第三方监控设备(即第一设备)监控到终端设备处于非安全状态的情况下,生成通知消息。其中,通知消息用于表明终端设备处于非安全状态。以及,第一设备向准入服务器发送通知消息,以便于准入服务器根据通知消息,生成对应的处理策略,并向与终端设备连接的交换机或者终端设备发送该处理策略。
因此,本申请实施例通过与第三方监控设备进行联动,及时发现内网中的异常终端设备的破坏行为,即便是在异常终端设备中的客户端遭到人为破坏或者卸载的情况下,仍然能够实现终端设备的安全监控,从而能够有效的阻断异常终端设备对内网的破坏,保障了网络准入控制***的安全。
请参见图1,图1示出了本申请实施例提供的一种网络准入控制***的示意图。如图1所示的网络准入控制***包括:终端设备110、准入服务器120、第三方监控设备131和第三方监控设备132。其中,安装有客户端111的终端设备110可与准入服务器120连接,准入服务器120可分别与第三方监控设备131和第三方监控设备132连接。
应理解,终端设备110的具体数量和具体类型等可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,终端设备110可以是手机,也可以是平板电脑,也可以是笔记本等。
再例如,网络准入控制***可包括1个终端设备,也可包括5个终端设备,也可包括10个终端设备等。
还应理解,客户端111的具体类型也可根据实际需求来进行设置,只要保证每个终端设备均可安装有客户端111即可,本申请实施例并不局限于此。
例如,本申请实施例中的客户端111可以是终端防护响应(Endpoint Detectionand Response,EDR)设备等。
还应理解,准入服务器120的具体类型可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,准入服务器120可以为单个服务器,也可以为服务器组。其中,服务器组可以是集中式的,也可以是分布式的。
还应理解,虽然图1中示出了2个第三方监控设备,但本领域的技术人员应当理解,第三方监控设备的具体数量和具体类型均可根据实际需求来进行设置,只要保证网络准入控制***包括至少一个第三方监控设备即可,本申请实施例并不局限于此。
例如,第三方监控设备131和/或第三方监控设备132可以为态势感知设备,也可以为用户行为分析(User Behavior Analytics,UBEA)设备等。
再例如,网络准入控制***可包括1个第三方监控设备,也可包括3个第三方监控设备,也可包括5个第三方监控设备等。
还应理解,第三方监控设备131也可以称为第三方监控***,也可以称为第三方监控服务器等。
对应地,其他第三方监控设备也可称为第三方监控***,也可以称为第三方监控服务器等。
此外,这里需要说明的是,本领域的技术人员可根据实际需求来进行第三监控设备的添加或者删除,从而能够达到易扩展的效果。
另外,这里还需要说明的是,虽然上面以终端设备可以为多个来进行描述的,但为了便于理解方案,后续以一个终端设备110来进行描述,其他终端设备的方案是类似的,后续不再赘述。
为了便于本申请实施例,下面通过具体的实施例来进行描述。
具体地,第三方监控设备131和第三方监控设备132均可监控内网中的终端设备110的安全状态。在第一设备(其可为第三方监控设备131或者第三方监控设备132)监控到终端设备110有违规行为或者具有安全问题的情况下,第一设备确认终端设备110处于非安全状态。随后,第一设备生成通知消息,并向准入服务器120发送通知消息。其中,通知消息用于表明终端设备110处于非安全状态。
随后,准入服务器120在接收到通知消息后,生成对应的处理策略,并向与终端设备110连接的交换机(或者终端设备110)发送处理策略。
这里需要说明是,客户端111和准入服务器120之间的交互过程与现有的网络准入控制方法中的交互过程是类似的。
例如,在完成身份认证和安全合规检查后,终端设备110可接入内网。以及,可通过终端设备110上安装的客户端111可以实现本地的软件监控、文件操作审计、文件内容审计(敏感信息检查)、流量管理、软硬件监视以及病毒、恶意代码等的检测和防护。以及,在确定终端设备110出现违规行为或者具有安全问题的情况下,通过客户端111上报告警信息到准入服务器120,随后准入服务器120可向终端设备110下发相应的处理策略(例如,警告、拉黑和隔离等),从而可有效地阻止异常用户或者异常终端设备对内网的破坏。
这里还需要说明是,除了上述客户端和准入服务器之间的交互之外,本申请实施例的侧重点在于与第三方监控设备进行联动的过程,以解决客户端被人为卸载或者人为破坏后不能收集终端设备的信息的问题。
请参见图2,图2示出了本申请实施例提供的一种网络准入控制方法的流程图,该网络准入控制方法应用于网络准入控制***,该网络准入控制***可包括终端设备、准入服务器和至少一个第三方监控设备,至少一个第三方监控设备中的每个第三方监控设备均用于监控终端设备的安全状态。如图2所示的网络准入控制方法包括:
步骤S210,第一设备在监控到终端设备处于非安全状态的情况下,生成通知消息。其中,第一设备为至少一个第三方监控设备中的任意一个第三方监控设备,通知消息用于表明终端设备处于非安全状态。
应理解,第一设备的具体类型可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,第一设备可以为态势感知设备,该态势感知设备可全面实时掌握网络安全态势,及时掌握网络安全威胁、风险和隐患,及时监控漏洞、木马病毒和网络攻击情况等。
再例如,第一设备还可以为用户行为分析设备,该用户行为分析设备可以发现异常账号、数据库篡改和网络攻击等违规行为。
还应理解,非安全状态的具体判断过程可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,第一设备在监控到终端设备存在违规行为时,则确定终端设备处于非安全状态。其中,违规行为是指存在木马病毒、未知恶意代码、异常账号、数据库篡改和网络攻击等。
再例如,第一设备在监控到终端设备具有安全问题时,则确认终端设备处于非安全状态。其中,具有安全问题是指敏感信息泄漏、非法人员恶意破坏和携带木马病毒入网传播等情况。
再例如,第三方监控设备可通过现有的终端监控方法来实现对终端设备的监控,以监控到终端设备处于非安全状态。
还应理解,通知消息所携带的具体信息可根据实际需求来进行设置,只要保证通知消息能够表明终端设备处于非安全状态即可,本申请实施例并不局限于此。
例如,在第一设备为态势感知设备的情况下,该态势感知设备可生成携带有终端设备的异常态势数据的通知消息,并将该通知消息发送给准入服务器,从而后续准入服务器接收到该通知消息后,可确定终端设备处于非安全状态。
再例如,在第一设备为用户行为分析设备的情况下,该用户行为分析设备可自身确定终端设备是否存在违规行为。以及,在确定终端设备存在违规行为的情况下,可生成携带有表明终端设备处于非安全状态的标识信息的通知消息,并将该通知消息发送给准入服务器,从而后续准入服务器接收到该通知消息后,可直接确定终端设备处于非安全状态。
步骤S220,第一设备向准入服务器发送通知消息。对应地,准入服务器接收第一设备发送的通知消息。
步骤S230,准入服务器根据通知消息,生成对应的处理策略。
应理解,处理策略的具体策略可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,处理策略可以为警告策略(或者称为告警通知策略),从而可通过该警告策略向终端设备发送警告消息,以起到警告用户停止当前违规行为的效果。
再例如,处理策略可以为访问控制列表(Access Control Lists,ACL)策略,从而后续接收到ACL策略的交换机来阻断与终端设备连接的端口。其中,ACL策略可携带有交换机中与终端设备连接的端口的地址信息。
为了便于理解本申请实施例,下面通过具体的实施例来进行描述。
具体地,准入服务器可定期地向终端设备中的客户端发送保活信息,即客户端可与准入服务器进行心跳保活。
在预设时间内收到客户端的反馈消息的情况下,则确认客户端是正常的(例如,未被破坏或者未被卸载),此时准入服务器可生成警告策略;在预设时间内未收到客户端的反馈消息的情况下,则确认客户端异常(例如,被人为破坏或者被卸载),此时准入服务器可生成ACL策略。
应理解,预设时间的具体时间可根据实际需求来进行设置,本申请实施例并不局限于此。
步骤S240,准入服务器向终端设备或者与终端设备连接的交换机发送处理策略。
为了便于理解本申请实施例,下面通过具体的实施例来进行描述。
可选地,在确定客户端异常的情况下,准入服务器向交换机发送ACL策略,以便于交换机根据ACL策略,阻断与终端设备连接的端口,即终端设备无法连接到内网,从而对终端设备进行安全阻断。
可选地,在确定客户端正常的情况下,准入服务器向终端设备发送警告策略,以达到警告用户停止当前违规行为的效果。
因此,本申请实施例可实时监控终端设备的安全状态,以及还能够及时处理网络安全威胁、风险和隐患。此外,还通过与第三方监控设备的联动解决了现有的网络准入控制***中的客户端被人为卸载或者破坏后带来的安全隐患问题。
另外,由于其可通过联合客户端和至少一个第三方监控设备来进行监控终端设备,本申请实施例能够达到多维度衡量终端设备的安全状况的效果。
应理解,上述网络准入控制方法仅是示例性的,本领域技术人员根据上述的方法可以进行各种变形,修改或变形之后的内容也在本申请保护范围内。
请参见图3,图3示出了本申请实施例提供的一种网络准入控制装置300的结构框图,应理解,该网络准入控制装置300与上述图2方法实施例中的第一设备侧对应,能够执行上述方法实施例涉及第一设备侧的各个步骤,该网络准入控制装置300具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。该网络准入控制装置300包括至少一个能以软件或固件(firmware)的形式存储于存储器中或固化在网络准入控制装置300的操作***(operating system,OS)中的软件功能模块。具体地,该网络准入控制装置300应用于网络准入控制***中的第一设备,网络准入控制***包括终端设备、准入服务器和至少一个第三方监控设备,第一设备为至少一个第三方监控设备中的任意一个第三方监控设备,且至少一个第三方监控设备中的每个第三方监控设备均用于监控终端设备的安全状态,该网络准入控制装置300包括:
第一生成模块310,用于在监控到终端设备处于非安全状态的情况下,生成通知消息,其中,通知消息用于表明终端设备处于非安全状态;
第一发送模块320,用于向准入服务器发送通知消息,以便于准入服务器根据通知消息,生成对应的处理策略,并向与终端设备连接的交换机或者终端设备发送处理策略。
在一个可能的实施例中,第一设备为态势感知设备或者用户行为分析设备。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置的具体工作过程,可以参考前述方法中的对应过程,在此不再过多赘述。
请参见图4,图4示出了本申请实施例提供的一种网络准入控制装置400的结构框图,应理解,该网络准入控制装置400与上述图2方法实施例中的准入服务器侧对应,能够执行上述方法实施例涉及准入服务器侧的各个步骤,该网络准入控制装置400具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。该网络准入控制装置400包括至少一个能以软件或固件(firmware)的形式存储于存储器中或固化在网络准入控制装置400的操作***(operating system,OS)中的软件功能模块。具体地,该网络准入控制装置400应用于网络准入控制***中的准入服务器,网络准入控制***还包括终端设备和至少一个第三方监控设备,至少一个第三方监控设备中的每个第三方监控设备均用于监控终端设备的安全状态,该网络准入控制装置400包括:
接收模块410,用于接收第一设备发送的通知消息,其中,第一设备为至少一个第三方监控设备中的任意一个第三方监控设备,通知消息用于表明终端设备处于非安全状态;
第二生成模块420,用于根据通知消息,生成对应的处理策略;
第二发送模块430,用于向终端设备或者与终端设备连接的交换机发送处理策略。
在一个可能的实施例中,处理策略包括警告策略和访问控制列表ACL策略,第二发送模块430,用于:在确定终端设备上安装的客户端异常的情况下,向交换机发送ACL策略,以便于交换机根据ACL策略,阻断与终端设备连接的端口;或者,在确定终端设备上安装的客户端正常的情况下,向终端设备发送警告策略。
在一个可能的实施例中,第二发送模块430,还用于:向客户端发送保活信息;在预设时间内未收到客户端的反馈信息,确定客户端异常,并向交换机发送ACL策略。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置的具体工作过程,可以参考前述方法中的对应过程,在此不再过多赘述。
本申请实施例还提供一种电子设备,该电子设备可设置在第一设备内或者准入服务器内。
图5示出了本申请实施例提供的一种电子设备500的结构框图,如图5所示。电子设备500可以包括处理器510、通信接口520、存储器530和至少一个通信总线540。其中,通信总线540用于实现这些组件直接的连接通信。其中,本申请实施例中设备的通信接口520用于与其他节点设备进行信令或数据的通信。处理器510可以是一种集成电路芯片,具有信号的处理能力。上述的处理器510可以是通用处理器,包括中央处理器(Central ProcessingUnit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器510也可以是任何常规的处理器等。
存储器530可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。存储器530中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器510执行时,电子设备500可以执行上述图2方法实施例中对应装置侧的各个步骤。例如,在电子设备500设置在准入服务器中的情况下,存储器530中存储有计算机可读取指令,当计算机可读取指令由处理器510执行时,电子设备500可以执行上述图2方法实施例中准入服务器的各个步骤。
电子设备500还可以包括存储控制器、输入输出单元、音频单元和显示单元。
存储器530、存储控制器、处理器510、外设接口、输入输出单元、音频单元、显示单元各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通信总线540实现电性连接。处理器510用于执行存储器530中存储的可执行模块,例如电子设备500包括的软件功能模块或计算机程序。
输入输出单元用于提供给用户输入数据实现用户与服务器(或本地终端)的交互。输入输出单元可以是,但不限于,鼠标和键盘等。
音频单元向用户提供音频接口,其可包括一个或多个麦克风、一个或者多个扬声器以及音频电路。
显示单元在电子设备与用户之间提供一个交互界面(例如用户操作界面)或用于显示图像数据给用户参考。在本实施例中,显示单元可以是液晶显示器或触控显示器。若为触控显示器,其可为支持单点和多点触控操作的电容式触控屏或电阻式触控屏等。支持单点和多点触控操作是指触控显示器能感应到来自该触控显示器上一个或多个位置处同时产生的触控操作,并将该感应到的触控操作交由处理器进行计算和处理。
输入输出单元用于提供给用户输入数据实现用户与处理终端的交互。输入输出单元可以是,但不限于,鼠标和键盘等。
可以理解,图5所示的结构仅为示意,电子设备500还可包括比图5中所示更多或者更少的组件,或者具有与图5所示不同的配置。图5中所示的各组件可以采用硬件、软件或其组合实现。
本申请提供一种存储介质,该存储介质上存储有计算机程序,该计算机程序被处理器运行时执行图2中的第一设备侧的任一可选的实现方式所述的方法。
本申请提供一种存储介质,该存储介质上存储有计算机程序,该计算机程序被处理器运行时执行图2中的准入服务器侧的任一可选的实现方式所述的方法。
本申请还提供一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行图2中的第一设备侧的任一可选的实现方式所述的方法。
本申请还提供一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行图2中的准入服务器侧的任一可选的实现方式所述的方法。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***的具体工作过程,可以参考前述方法中的对应过程,在此不再过多赘述。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (12)
1.一种网络准入控制方法,其特征在于,所述网络准入控制方法应用于网络准入控制***中的第一设备,所述网络准入控制***包括终端设备、准入服务器和至少一个第三方监控设备,所述第一设备为所述至少一个第三方监控设备中的任意一个第三方监控设备,且所述至少一个第三方监控设备中的每个第三方监控设备均用于监控所述终端设备的安全状态,所述终端设备上安装有客户端,所述网络准入控制方法包括:
所述第一设备在监控到所述终端设备处于非安全状态的情况下,生成通知消息,其中,所述通知消息用于表明所述终端设备处于非安全状态;
所述第一设备向所述准入服务器发送所述通知消息,以便于所述准入服务器根据所述通知消息,生成对应的处理策略,并向与所述终端设备连接的交换机或者所述终端设备发送所述处理策略;
所述处理策略包括警告策略和访问控制列表ACL策略;
其中,所述警告策略是所述准入服务器基于接收的所述客户端发送的反馈消息时生成的,所述警告策略用于警告所述终端设备的用户停止当前违规行为,所述反馈消息是所述客户端基于接收的所述准入服务器发送的保活信息发送的,所述保活信息用于确保所述客户端与所述准入服务器进行心跳保活,所述心跳保活用于确认在预设时间内所述客户端未被破坏或未被卸载,所述客户端未被破坏或未被卸载表征所述客户端正常,所述客户端被破坏或被卸载表征所述客户端异常;
所述访问控制列表ACL策略是在所述客户端异常时生成的,所述客户端异常表征所述准入服务器未接收到所述客户端发送的反馈消息,所述访问控制列表ACL策略用于所述交换机根据所述ACL策略阻断与所述终端设备连接的端口。
2.根据权利要求1所述的网络准入控制方法,其特征在于,所述第一设备为态势感知设备或者用户行为分析设备。
3.一种网络准入控制方法,其特征在于,所述网络准入控制方法应用于网络准入控制***中的准入服务器,所述网络准入控制***还包括终端设备和至少一个第三方监控设备,所述至少一个第三方监控设备中的每个第三方监控设备均用于监控所述终端设备的安全状态,所述终端设备上安装有客户端,所述网络准入控制方法包括:
所述准入服务器接收第一设备发送的通知消息,其中,所述第一设备为所述至少一个第三方监控设备中的任意一个第三方监控设备,所述通知消息用于表明所述终端设备处于非安全状态;
所述准入服务器根据所述通知消息,生成对应的处理策略;
其中,所述方法还包括:
向所述客户端发送保活信息,确保所述客户端与所述准入服务器进行心跳保活;
在预设时间内,若所述准入服务器接收到所述客户端发送的反馈消息,则表征所述客户端正常,所述准入服务器生成警告策略;若所述准入服务器未接收到所述客户端发送的反馈消息,则表征所述客户端异常,所述准入服务器生成访问控制列表ACL策略;
所述准入服务器向所述终端设备或者与所述终端设备连接的交换机发送所述处理策略;
其中,若所述客户端正常,则向所述终端设备发送所述警告策略,以警告用户停止当前违规行为;
若所述客户端异常,则向所述交换机发送所述ACL策略,所述交换机根据所述ACL策略阻断与所述终端设备连接的端口。
4.根据权利要求3所述的网络准入控制方法,其特征在于,所述处理策略包括警告策略和所述ACL策略,所述准入服务器向所述终端设备或者与所述终端设备连接的交换机发送所述处理策略,包括:
所述准入服务器在确定所述终端设备上安装的客户端异常的情况下,向所述交换机发送所述ACL策略,以便于所述交换机根据所述ACL策略,阻断与所述终端设备连接的端口;或者,
所述准入服务器在确定所述终端设备上安装的客户端正常的情况下,向所述终端设备发送所述警告策略。
5.根据权利要求4所述的网络准入控制方法,其特征在于,所述准入服务器在确定所述终端设备上安装的客户端异常的情况下,向所述交换机发送所述ACL策略,包括:
所述准入服务器向所述客户端发送保活信息;
所述准入服务器在预设时间内未收到所述客户端的反馈信息,确定所述客户端异常,并向所述交换机发送所述ACL策略。
6.一种网络准入控制装置,其特征在于,所述网络准入控制装置应用于网络准入控制***中的第一设备,所述网络准入控制***包括终端设备、准入服务器和至少一个第三方监控设备,所述第一设备为所述至少一个第三方监控设备中的任意一个第三方监控设备,且所述至少一个第三方监控设备中的每个第三方监控设备均用于监控所述终端设备的安全状态,所述终端设备上安装有客户端,所述网络准入控制装置包括:
第一生成模块,用于在监控到所述终端设备处于非安全状态的情况下,生成通知消息,其中,所述通知消息用于表明所述终端设备处于非安全状态;
第一发送模块,用于向所述准入服务器发送所述通知消息,以便于所述准入服务器根据所述通知消息,生成对应的处理策略,并向与所述终端设备连接的交换机或者所述终端设备发送所述处理策略,其中,所述处理策略包括警告策略和访问控制列表ACL策略;所述警告策略是所述准入服务器基于接收的所述客户端发送的反馈消息时生成的,所述警告策略用于警告所述终端设备的用户停止当前违规行为,所述反馈消息是所述客户端基于接收的所述准入服务器发送的保活信息发送的,所述保活信息用于确保所述客户端与所述准入服务器进行心跳保活,所述心跳保活用于确认在预设时间内所述客户端未被破坏或未被卸载;所述访问控制列表ACL策略是在所述客户端异常时生成的,所述客户端异常表征所述准入服务器未接收到所述客户端发送的反馈消息,所述访问控制列表ACL策略用于所述交换机根据所述ACL策略阻断与所述终端设备连接的端口。
7.根据权利要求6所述的网络准入控制装置,其特征在于,所述第一设备为态势感知设备或者用户行为分析设备。
8.一种网络准入控制装置,其特征在于,所述网络准入控制装置应用于网络准入控制***中的准入服务器,所述网络准入控制***还包括终端设备和至少一个第三方监控设备,所述至少一个第三方监控设备中的每个第三方监控设备均用于监控所述终端设备的安全状态,所述终端设备上安装有客户端,所述网络准入控制装置包括:
接收模块,用于接收第一设备发送的通知消息,其中,所述第一设备为所述至少一个第三方监控设备中的任意一个第三方监控设备,所述通知消息用于表明所述终端设备处于非安全状态;
第二生成模块,用于根据所述通知消息,生成对应的处理策略,其中,向所述客户端发送保活信息,确保所述客户端与所述准入服务器进行心跳保活;在预设时间内,若所述准入服务器接收到所述客户端发送的反馈消息,则表征所述客户端正常,所述准入服务器生成警告策略;若所述准入服务器未接收到所述客户端发送的反馈消息,则表征所述客户端异常,所述准入服务器生成访问控制列表ACL策略;
第二发送模块,用于向所述终端设备或者与所述终端设备连接的交换机发送所述处理策略,其中,若所述客户端正常,则向所述终端设备发送所述警告策略,以警告用户停止当前违规行为;若所述客户端异常,则向所述交换机发送所述ACL策略,所述交换机根据所述ACL策略阻断与所述终端设备连接的端口。
9.根据权利要求8所述的网络准入控制装置,其特征在于,所述处理策略包括警告策略和访问控制列表ACL策略,所述第二发送模块,用于:在确定所述终端设备上安装的客户端异常的情况下,向所述交换机发送所述ACL策略,以便于所述交换机根据所述ACL策略,阻断与所述终端设备连接的端口;或者,在确定所述终端设备上安装的客户端正常的情况下,向所述终端设备发送所述警告策略。
10.根据权利要求9所述的网络准入控制装置,其特征在于,所述第二发送模块,还用于:向所述客户端发送保活信息;在预设时间内未收到所述客户端的反馈信息,确定所述客户端异常,并向所述交换机发送所述ACL策略。
11.一种存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如权利要求1-5任一所述的网络准入控制方法。
12.一种电子设备,其特征在于,所述电子设备包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当所述电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行如权利要求1-5任一所述的网络准入控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010900364.0A CN112039894B (zh) | 2020-08-31 | 2020-08-31 | 一种网络准入控制方法、装置、存储介质和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010900364.0A CN112039894B (zh) | 2020-08-31 | 2020-08-31 | 一种网络准入控制方法、装置、存储介质和电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112039894A CN112039894A (zh) | 2020-12-04 |
| CN112039894B true CN112039894B (zh) | 2023-01-10 |
Family
ID=73587082
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010900364.0A Active CN112039894B (zh) | 2020-08-31 | 2020-08-31 | 一种网络准入控制方法、装置、存储介质和电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112039894B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113364800A (zh) * | 2021-06-23 | 2021-09-07 | 北京天融信网络安全技术有限公司 | 资源访问控制方法、装置、电子设备和介质 |
| CN113630415A (zh) * | 2021-08-10 | 2021-11-09 | 工银科技有限公司 | 网络准入控制方法、装置、***、设备、介质和产品 |
| CN113691521A (zh) * | 2021-08-19 | 2021-11-23 | 北京鼎普科技股份有限公司 | 一种基于终端网络准入的方法 |
| CN113923045A (zh) * | 2021-10-29 | 2022-01-11 | 北京天融信网络安全技术有限公司 | 安全监控式内网准入控制方法及*** |
| CN114039779A (zh) * | 2021-11-09 | 2022-02-11 | 安天科技集团股份有限公司 | 一种安全接入网络的方法、装置、电子设备及存储介质 |
| CN114124575B (zh) * | 2022-01-24 | 2022-05-10 | 深圳市永达电子信息股份有限公司 | 基于态势感知的防火墙acl自动生成方法和存储介质 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1885788B (zh) * | 2005-06-22 | 2010-05-05 | 杭州华三通信技术有限公司 | 网络安全防护方法及*** |
| US20070112954A1 (en) * | 2005-11-15 | 2007-05-17 | Yahoo! Inc. | Efficiently detecting abnormal client termination |
| CN103200172B (zh) * | 2013-02-19 | 2018-06-26 | 中兴通讯股份有限公司 | 一种802.1x接入会话保活的方法及*** |
| CN103179130B (zh) * | 2013-04-06 | 2016-06-29 | 杭州盈高科技有限公司 | 一种信息***内网安全统一管理平台及管理方法 |
| CN105516074A (zh) * | 2014-10-20 | 2016-04-20 | 中兴通讯股份有限公司 | 检测无线网络接入安全的方法及终端 |
| CN106330828B (zh) * | 2015-06-25 | 2020-02-18 | 联芯科技有限公司 | 网络安全接入的方法、终端设备 |
| CN106899561B (zh) * | 2015-12-24 | 2020-04-07 | 北京奇虎科技有限公司 | 一种基于acl的tnc权限控制方法和*** |
| CN107517136B (zh) * | 2016-06-16 | 2022-08-16 | 中兴通讯股份有限公司 | 心跳保活的实现方法、装置及*** |
| CN110912938B (zh) * | 2019-12-24 | 2022-09-27 | 医渡云(北京)技术有限公司 | 入网终端接入验证方法、装置、存储介质及电子设备 |
-
2020
- 2020-08-31 CN CN202010900364.0A patent/CN112039894B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN112039894A (zh) | 2020-12-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112039894B (zh) | 一种网络准入控制方法、装置、存储介质和电子设备 | |
| CN110476167B (zh) | 基于上下文的计算机安全风险缓解的***和方法 | |
| US11295021B2 (en) | Using a threat model to monitor host execution in a virtualized environment | |
| JP6334069B2 (ja) | 悪意のあるコードの検出の精度保証のためのシステムおよび方法 | |
| US11797684B2 (en) | Methods and systems for hardware and firmware security monitoring | |
| CN102132287B (zh) | 保护虚拟客机免于受感染主机的攻击 | |
| US8869272B2 (en) | System, method, and computer program product for preventing a modification to a domain name system setting | |
| US11750623B2 (en) | System and method for conducting a detailed computerized surveillance in a computerized environment | |
| EP2835948B1 (en) | Method for processing a signature rule, server and intrusion prevention system | |
| US20160246962A1 (en) | System, Method, and Computer Program Product for Isolating a Device Associated with At Least Potential Data Leakage Activity, Based on User Input | |
| US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
| US20140359768A1 (en) | System and method for detecting, alerting and blocking data leakage, eavesdropping and spyware | |
| JP2014509421A (ja) | Usbホストシステムの拡張usbプロトコルスタックのためのセキュリティ手段 | |
| CN104662517A (zh) | 安全漏洞检测技术 | |
| CN109922062B (zh) | 源代码泄露监控方法及相关设备 | |
| CN102301373A (zh) | 对网络资源的基于健康状况的访问 | |
| CN113660224A (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及*** | |
| TW201901514A (zh) | 程式異動監控與應變系統及方法 | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及*** | |
| CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及*** | |
| JP2002189643A (ja) | 通信トラヒックを走査するための方法および装置 | |
| CN112650180A (zh) | 安全告警方法、装置、终端设备及存储介质 | |
| US11991204B2 (en) | Automatic vulnerability mitigation in cloud environments | |
| US9552491B1 (en) | Systems and methods for securing data | |
| US11895155B2 (en) | Resilient self-detection of malicious exfiltration of sensitive data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |