CN114157462A - 一种计算机网络信息安全控制***及方法 - Google Patents
一种计算机网络信息安全控制***及方法 Download PDFInfo
- Publication number
- CN114157462A CN114157462A CN202111390215.5A CN202111390215A CN114157462A CN 114157462 A CN114157462 A CN 114157462A CN 202111390215 A CN202111390215 A CN 202111390215A CN 114157462 A CN114157462 A CN 114157462A
- Authority
- CN
- China
- Prior art keywords
- control system
- computer
- data
- central
- virus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 21
- 241000700605 Viruses Species 0.000 claims abstract description 53
- 230000007123 defense Effects 0.000 claims abstract description 31
- 238000001514 detection method Methods 0.000 claims abstract description 16
- 238000003860 storage Methods 0.000 claims abstract description 15
- 238000004891 communication Methods 0.000 claims abstract description 13
- 230000009545 invasion Effects 0.000 claims abstract description 13
- 230000007246 mechanism Effects 0.000 claims abstract description 8
- 238000012544 monitoring process Methods 0.000 claims description 44
- 230000002159 abnormal effect Effects 0.000 claims description 12
- 238000011084 recovery Methods 0.000 claims description 11
- 230000008260 defense mechanism Effects 0.000 claims description 7
- 238000013500 data storage Methods 0.000 claims description 5
- 230000008569 process Effects 0.000 claims description 5
- 238000005336 cracking Methods 0.000 claims description 4
- 230000005856 abnormality Effects 0.000 claims description 3
- 238000004458 analytical method Methods 0.000 claims description 3
- 230000006835 compression Effects 0.000 claims description 3
- 238000007906 compression Methods 0.000 claims description 3
- 230000004888 barrier function Effects 0.000 description 11
- 238000002955 isolation Methods 0.000 description 8
- 230000006399 behavior Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000009825 accumulation Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Virology (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种计算机网络信息安全控制***及方法,包括中央总控***、分控制***、中控防御***和加密通讯***,中央总控***包括紧急断网***、异常比对数据库、数据日志存储***、整机数据加密***、杀毒检测***。通过设置的后台人员介入***,后台人员介入***是在布防联防机制***的整体计算机连接布防失效后,由后台人员介入***的专业技术人员进行人工操作,增加了进一步的保护安全性,避免过于程式化的***操作应对入侵的失误,整体使用效果好,从多角度多层次的对网络信息安全进行控制,避免信息泄露,增加了信息战中的可靠性,避免被有心人利用信息,对安全信息保护提供了不可磨灭的贡献。
Description
技术领域
本发明属于计算机技术领域,具体涉及一种计算机网络信息安全控制***及方法。
背景技术
计算机俗称电脑,是现代一种用于高速计算的电子计算机器,可以进行数值计算,又可以进行逻辑计算,还具有存储记忆功能,是能够按照程序运行,自动、高速处理海量数据的现代化智能电子设备,由硬件***和软件***所组成,没有安装任何软件的计算机称为裸机。可分为超级计算机、工业控制计算机、网络计算机、个人计算机、嵌入式计算机五类,较先进的计算机有生物计算机、光子计算机、量子计算机等,它的应用领域从最初的军事科研应用扩展到社会的各个领域,已形成了规模巨大的计算机产业,带动了全球范围的技术进步,由此引发了深刻的社会变革,计算机已遍及一般学校、企事业单位,进入寻常百姓家,成为信息社会中必不可少的工具。
在计算机诞生之后,为人们的生产生活产生了极大的影响,而计算机应用技术的越发广泛,对于计算机的使用和信息安全也愈发的重视,传统的做法是对计算机添加杀毒和防火墙用以应对保护计算机的安全避免病毒进行窃取计算机内部信息,而此种办法不适用于大型的企事业单位和效果较为单一无法全面的保护计算机***和信息安全,基于此我们提出种计算机网络信息安全控制***及方法。
发明内容
针对上述问题,本发明提供了一种计算机网络信息安全控制***及方法,具有避免病毒进行窃取计算机内部信息的优点。
本发明的技术方案是:一种计算机网络信息安全控制***,包括中央总控***、分控制***、中控防御***和加密通讯***,所述中央总控***包括紧急断网***、异常比对数据库、数据日志存储***、整机数据加密***、杀毒检测***、数据恢复还原备份***、病毒实时更新数据库,所述分控制***包括键鼠异位操作监控***、管理员ID监控记录***、访问程序日志监控***、定点路径监测***、隐藏文件***、秘密文件***、防火墙***和数据盘监控***,所述加密通讯***包括密码本数据库、加密压缩***和解析破译***。
首先在整个控制***使用过程中,该信息安全控制方法是,分控制***及其附属被设置在所使用的计算机内,而中央控制***及其附属设置在局域网内服务器的内部,该设置是为了使得整体安全控制***有承载的内网载体,而各个计算机分别连接局域内网和外部互联网,便于中央总控***与外部互联网以单个计算机产生隔离带与安全屏障,此为整体信息安全的技术屏障,便于从根源保护计算机信息安全和隔离信息盗取与服务器之间的连接,增加了技术安全性,而后当互联网外部技术侵入计算时,首先有防火墙***建立一定的隔绝屏障,初步隔绝大多数技术骚扰和一般性的侵入行为,此时如果电脑黑客或者投入的病毒软件通过U盘等方式进入到计算机内部时,当该方式对计算机产生一定的侵入和操作时,对于计算机的保护此时分控制***通数据盘监控***,对计算机内部的数据存储进行数据监控,产生应急操作,避免计算机内部信息出现大规模拷贝的情况,该依据是拷贝操作未通过管理员ID信息认证的合法操作,通过管理员ID信息监测记录***进行收录电脑操作员的管理员身份登录计算机并所进行的操作,用以辅助对计算机内部的数据监控,从根本上建立底层逻辑防线,当判定出现病毒时,此时杀毒检测***进行对特定的分控***所在的计算机进行杀毒操作,并将该病毒计算程式源代码和特征码以及全码进行破译分拆后加密存储到病毒实时更新数据库,该数据库可定期访问互联网的病毒库,并且使得整体***增加了对病毒的识别能力,当病毒或者黑客操作过于猛烈时,可以通过紧急断网***切断对外部的互联网连接,以及可以选择对整体的格式化,并将数据报送至后台人员介入***,从根本保护信息的避免泄露,整体使用效果好,从多角度多层次的对网络信息安全进行控制,避免信息泄露,增加了信息战中的可靠性,避免被有心人利用信息,对安全信息保护提供了不可磨灭的贡献。
在进一步的技术方案中,所述加密通讯***分别与中央总控***和分控制***连接。
加密通讯***对中央总控***和分控制***进行连接,类似于加密连接方式,并且自备密码本和信息根目录,防止出现由单个计算机及分控制***逆流入侵中央总控***的情况出现。
在进一步的技术方案中,所述中央防御***包括布防联防机制***和后台人员介入***。
布防联防机制***则是可以越过中央总控***将分控制***调动起进行主动防御模式,并且使得多个分控制***进行多角度的切换配合连接上报,使得被入侵局限于小范围避免扩大。
在进一步的技术方案中,所述定点路径检测***分别与隐藏文件***和秘密文件***连接。
隐藏文件对于敏感文件建立多层干扰和隐藏在硬盘不对外显示的区块。
在进一步的技术方案中,所述杀毒检测***与病毒实时更新数据库连接。
病毒计算程式源代码和特征码以及全码进行破译分拆后加密存储到病毒实时更新数据库,该数据库可定期访问互联网的病毒库,并且使得整体***增加了对病毒的识别能力。
在进一步的技术方案中,所述中央防御***与中央总控***和分控制***连接,所述后台人员介入***与布防联防机制***连接。
后台人员介入***是在布防联防机制***的整体计算机连接布防失效后,由后台人员介入***的专业技术人员进行人工操作,增加了进一步的保护安全性。
在进一步的技术方案中,所述整机数据加密***与数据恢复还原备份***连接。
整机数据加密***将分控制***上传的数据进行加密备份,并收录在数据恢复还原备份***内。
在进一步的技术方案中,所述中央总控***连接有异常溯源***,所述异常溯源***与数据日志存储***连接。
便于确定敏感操作的切入点或者根目录,便于后续的记录和安全保护的经验积累。
在本发明中还公开了一种计算机网络信息安全控制***的控制方法,具体步骤如下:
S1:首先在整个控制***使用过程中,该信息安全控制方法是,分控制***及其附属被设置在所使用的计算机内,而中央控制***及其附属设置在局域网内服务器的内部,各个计算机分别连接局域内网和外部互联网。
S2:而后当互联网外部技术侵入计算时,首先有防火墙***建立一定的隔绝屏障,初步隔绝大多数技术骚扰和一般性的侵入行为,此时如果电脑黑客或者投入的病毒软件通过U盘等方式进入到计算机内部时,当该方式对计算机产生一定的侵入和操作时,对于计算机的保护此时分控制***通数据盘监控***,对计算机内部的数据存储进行数据监控,产生应急操作。
S3:进而当入侵的继续更加深入时,如采用传统的远程控制计算机的行为,此时键鼠异位操作监控***监测计算机内部键鼠的操作与硬件反馈是否一致以及针对使用人员正常操作键鼠的频率和次数进行预设操作值,当出现异常时则对中央总控***进行报告,而后访问程序日志监控***对计算机内部的程序被启动运行的计算机***日志进行读取进行异常监测。
S4:其次单个入侵计算机的最后防线,则是通过隐藏文件对于敏感文件建立多层干扰和隐藏在硬盘不对外显示的区块,而后根据秘密文件***建立秘密文件,如遇到暴力破解或者无中央总控***的内部许可,文件将会被损坏,最后定点路径监测***,监测特定的文件存储路径,如果出现不同路径改变则会上报中央总控***,并且对路径访问及操作的目标进行记录。
S5:接着中央总控***通过收到的分控制***的上报信息,并且整机数据加密***将分控制***上传的数据进行加密备份,并收录在数据恢复还原备份***内,而后中央总控***根据分控制***上报的敏感信息操作和记录通过异常信息比对数据库进行比对以往数据,或者由技术人员添加的程序特征进行比对。
S6:当判定出现病毒时,此时杀毒检测***进行对特定的分控***所在的计算机进行杀毒操作,并将该病毒计算程式源代码和特征码以及全码进行破译分拆后加密存储到病毒实时更新数据库。
S7:最后后台人员介入***是在布防联防机制***的整体计算机连接布防失效后,由后台人员介入***的专业技术人员进行人工操作。
在进一步的技术方案中,所述S3步骤中建立的算法为,定义两个固定且不同的字符串ipad,opad(‘i′,′o′标志内部与外部):
ipad=the byte 0x36 repeated B times
opad=the byte 0x5C repeated B times.
计算′text′的HMAC:
H(K XOR opad,H(K XOR ipad,text))。
即为以下步骤:1、在密钥K后面添加0来创建一个子长为B的字符串(例如,如果K的字长是20字节,B=60字节,则K后会加入44个零字节0x00);2、将上一步生成的B字长的字符串K与ipad做异或运算;3、将数据流text填充至第二步的结果字符串中;4、用H作用于第三步生成的数据流;5、将第一步生成的B字长字符串与opad做异或运算;6、再将第四步的结果填充进第五步的结果中;7、用H作用于第六步生成的数据流,输出最终结果;8、进行动态截位,生成otp。
与现有技术相比,本发明的有益效果是:
1、通过设置的分控制***,分控制***及其附属被设置在所使用的计算机内,而中央控制***及其附属设置在局域网内服务器的内部,该设置是为了使得整体安全控制***有承载的内网载体,而各个计算机分别连接局域内网和外部互联网,便于中央总控***与外部互联网以单个计算机产生隔离带与安全屏障,此为整体信息安全的技术屏障,便于从根源保护计算机信息安全和隔离信息盗取与服务器之间的连接,增加了技术安全性。
2、通过设置的隐藏文件,其次单个入侵计算机的最后防线,则是通过隐藏文件对于敏感文件建立多层干扰和隐藏在硬盘不对外显示的区块,类似于格式化覆盖时特定区域的数据仍在但显示为空白,后续读写则是覆盖数据,此时修改重复覆盖路径,而后根据秘密文件***建立秘密文件,该访问需持有磁层密码方可进入,如遇到暴力破解或者无中央总控***的内部许可,文件将会被损坏,最后定点路径监测***,监测特定的文件存储路径,该路径在根据***标注的敏感文件或者各个不同星级的进行标注该文件的所属路径,包含隐藏文件和秘密文件,如果出现不同路径改变则会上报中央总控***,并且对路径访问及操作的目标进行记录。
3、通过设置的后台人员介入***,后台人员介入***是在布防联防机制***的整体计算机连接布防失效后,由后台人员介入***的专业技术人员进行人工操作,增加了进一步的保护安全性,避免过于程式化的***操作应对入侵的失误,整体使用效果好,从多角度多层次的对网络信息安全进行控制,避免信息泄露,增加了信息战中的可靠性,避免被有心人利用信息,对安全信息保护提供了不可磨灭的贡献。
附图说明
图1为本发明的中央总控***框图示意图;
图2为本发明的分控制***框图示意图;
图3为本发明的加密通信***框图示意图;
图4为本发明的中控防御***示意图。
具体实施方式
下面结合附图对本发明的实施例作进一步说明。
实施例1:
如图1-图4所示,一种计算机网络信息安全控制***,包括中央总控***、分控制***、中控防御***和加密通讯***,中央总控***包括紧急断网***、异常比对数据库、数据日志存储***、整机数据加密***、杀毒检测***、数据恢复还原备份***、病毒实时更新数据库,分控制***包括键鼠异位操作监控***、管理员ID监控记录***、访问程序日志监控***、定点路径监测***、隐藏文件***、秘密文件***、防火墙***和数据盘监控***,加密通讯***包括密码本数据库、加密压缩***和解析破译***。
本实施方案中,首先在整个控制***使用过程中,该信息安全控制方法是,分控制***及其附属被设置在所使用的计算机内,而中央控制***及其附属设置在局域网内服务器的内部,该设置是为了使得整体安全控制***有承载的内网载体,而各个计算机分别连接局域内网和外部互联网,便于中央总控***与外部互联网以单个计算机产生隔离带与安全屏障,此为整体信息安全的技术屏障,便于从根源保护计算机信息安全和隔离信息盗取与服务器之间的连接,增加了技术安全性,而后当互联网外部技术侵入计算时,首先有防火墙***建立一定的隔绝屏障,初步隔绝大多数技术骚扰和一般性的侵入行为,此时如果电脑黑客或者投入的病毒软件通过U盘等方式进入到计算机内部时,当该方式对计算机产生一定的侵入和操作时,对于计算机的保护此时分控制***通数据盘监控***,对计算机内部的数据存储进行数据监控,产生应急操作,避免计算机内部信息出现大规模拷贝的情况,该依据是拷贝操作未通过管理员ID信息认证的合法操作,通过管理员ID信息监测记录***进行收录电脑操作员的管理员身份登录计算机并所进行的操作,用以辅助对计算机内部的数据监控,从根本上建立底层逻辑防线,当判定出现病毒时,此时杀毒检测***进行对特定的分控***所在的计算机进行杀毒操作,并将该病毒计算程式源代码和特征码以及全码进行破译分拆后加密存储到病毒实时更新数据库,该数据库可定期访问互联网的病毒库,并且使得整体***增加了对病毒的识别能力,当病毒或者黑客操作过于猛烈时,可以通过紧急断网***切断对外部的互联网连接,以及可以选择对整体的格式化,并将数据报送至后台人员介入***,从根本保护信息的避免泄露,整体使用效果好,从多角度多层次的对网络信息安全进行控制,避免信息泄露,增加了信息战中的可靠性,避免被有心人利用信息,对安全信息保护提供了不可磨灭的贡献。
在另外一个实施方案中,如图3所示,加密通讯***分别与中央总控***和分控制***连接。
加密通讯***对中央总控***和分控制***进行连接,类似于加密连接方式,并且自备密码本和信息根目录,防止出现由单个计算机及分控制***逆流入侵中央总控***的情况出现,首先通过密码本数据库将中央总控***和分控制***发送的信息,经由加密压缩***进行打包处理,而后达到对方后由解析破译***进行翻译,将中央总控***和分控制***进行技术通信隔阂壁垒,进一步增加了内网信息的安全性,避免攻破中央总控***从而使得全部信息损失。
在另外一个实施方案中,如图4所示,中央防御***包括布防联防机制***和后台人员介入***。
布防联防机制***则是可以越过中央总控***将分控制***调动起进行主动防御模式,并且使得多个分控制***进行多角度的切换配合连接上报,使得被入侵局限于小范围避免扩大,后台人员介入***由人工进行操作。
在另外一个实施方案中,如图2所示,定点路径检测***分别与隐藏文件***和秘密文件***连接。
隐藏文件对于敏感文件建立多层干扰和隐藏在硬盘不对外显示的区块,类似于格式化覆盖时特定区域的数据仍在但显示为空白,后续读写则是覆盖数据,此时修改重复覆盖路径,而后根据秘密文件***建立秘密文件,该访问需持有磁层密码方可进入,如遇到暴力破解或者无中央总控***的内部许可,文件将会被损坏,最后定点路径监测***,监测特定的文件存储路径,该路径在根据***标注的敏感文件或者各个不同星级的进行标注该文件的所属路径,包含隐藏文件和秘密文件,如果出现不同路径改变则会上报中央总控***,并且对路径访问及操作的目标进行记录。
在另外一个实施方案中,如图1所示,杀毒检测***与病毒实时更新数据库连接。
判定出现病毒时,此时杀毒检测***进行对特定的分控***所在的计算机进行杀毒操作,并将该病毒计算程式源代码和特征码以及全码进行破译分拆后加密存储到病毒实时更新数据库,该数据库可定期访问互联网的病毒库,并且使得整体***增加了对病毒的识别能力。
在另外一个实施方案中,如图1和图4所示,中央防御***与中央总控***和分控制***连接,后台人员介入***与布防联防机制***连接。
后台人员介入***是在布防联防机制***的整体计算机连接布防失效后,由后台人员介入***的专业技术人员进行人工操作,增加了进一步的保护安全性,避免过于程式化的***操作应对入侵的失误,整体使用效果好,从多角度多层次的对网络信息安全进行控制。
在另外一个实施方案中,如图1所示,整机数据加密***与数据恢复还原备份***连接。
整机数据加密***将分控制***上传的数据进行加密备份,并收录在数据恢复还原备份***内,便于后续病毒操作过于猛烈时可无顾虑的选择进行整机格式化操作。
在另外一个实施方案中,如图1所示,中央总控***连接有异常溯源***,异常溯源***与数据日志存储***连接。
出现敏感操作异常溯源***,根据各个数据库和服务器的数据进行对比敏感操作的产生路径,和对不同的编号的计算机等分控制***进行查询,当便于确定敏感操作的切入点或者根目录,便于后续的记录和安全保护的经验积累。
实施例2:
在实施例1的基础上,如图1-图4所示,一种计算机网络信息安全控制***的控制方法,具体步骤如下:
S1:首先在整个控制***使用过程中,该信息安全控制方法是,分控制***及其附属被设置在所使用的计算机内,而中央控制***及其附属设置在局域网内服务器的内部,各个计算机分别连接局域内网和外部互联网。
S2:而后当互联网外部技术侵入计算时,首先有防火墙***建立一定的隔绝屏障,初步隔绝大多数技术骚扰和一般性的侵入行为,此时如果电脑黑客或者投入的病毒软件通过U盘等方式进入到计算机内部时,当该方式对计算机产生一定的侵入和操作时,对于计算机的保护此时分控制***通数据盘监控***,对计算机内部的数据存储进行数据监控,产生应急操作。
S3:进而当入侵的继续更加深入时,如采用传统的远程控制计算机的行为,此时键鼠异位操作监控***监测计算机内部键鼠的操作与硬件反馈是否一致以及针对使用人员正常操作键鼠的频率和次数进行预设操作值,当出现异常时则对中央总控***进行报告,而后访问程序日志监控***对计算机内部的程序被启动运行的计算机***日志进行读取进行异常监测。
S4:其次单个入侵计算机的最后防线,则是通过隐藏文件对于敏感文件建立多层干扰和隐藏在硬盘不对外显示的区块,而后根据秘密文件***建立秘密文件,如遇到暴力破解或者无中央总控***的内部许可,文件将会被损坏,最后定点路径监测***,监测特定的文件存储路径,如果出现不同路径改变则会上报中央总控***,并且对路径访问及操作的目标进行记录。
S5:接着中央总控***通过收到的分控制***的上报信息,并且整机数据加密***将分控制***上传的数据进行加密备份,并收录在数据恢复还原备份***内,而后中央总控***根据分控制***上报的敏感信息操作和记录通过异常信息比对数据库进行比对以往数据,或者由技术人员添加的程序特征进行比对。
S6:当判定出现病毒时,此时杀毒检测***进行对特定的分控***所在的计算机进行杀毒操作,并将该病毒计算程式源代码和特征码以及全码进行破译分拆后加密存储到病毒实时更新数据库。
S7:最后后台人员介入***是在布防联防机制***的整体计算机连接布防失效后,由后台人员介入***的专业技术人员进行人工操作。
在另外一个实施方案中,所述S3步骤中建立的算法为,定义两个固定且不同的字符串ipad,opad(‘i′,′o′标志内部与外部):
ipad=the byte 0x36 repeated B times
opad=the byte 0x5C repeated B times.
计算′text′的HMAC:
H(K XOR opad,H(K XOR ipad,text))。
即为以下步骤:1、在密钥K后面添加0来创建一个子长为B的字符串(例如,如果K的字长是20字节,B=60字节,则K后会加入44个零字节0x00);2、将上一步生成的B字长的字符串K与ipad做异或运算;3、将数据流text填充至第二步的结果字符串中;4、用H作用于第三步生成的数据流;5、将第一步生成的B字长字符串与opad做异或运算;6、再将第四步的结果填充进第五步的结果中;7、用H作用于第六步生成的数据流,输出最终结果;8、进行动态截位,生成otp。
以上实施例仅表达了本发明的具体实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。
Claims (10)
1.一种计算机网络信息安全控制***,包括中央总控***、分控制***、中控防御***和加密通讯***,其特征在于:所述中央总控***包括紧急断网***、异常比对数据库、数据日志存储***、整机数据加密***、杀毒检测***、数据恢复还原备份***、病毒实时更新数据库,所述分控制***包括键鼠异位操作监控***、管理员ID监控记录***、访问程序日志监控***、定点路径监测***、隐藏文件***、秘密文件***、防火墙***和数据盘监控***,所述加密通讯***包括密码本数据库、加密压缩***和解析破译***。
2.根据权利要求1所述的一种计算机网络信息安全控制***,其特征在于:所述加密通讯***分别与中央总控***和分控制***连接。
3.根据权利要求1所述的一种计算机网络信息安全控制***,其特征在于:所述中央防御***包括布防联防机制***和后台人员介入***。
4.根据权利要求1所述的一种计算机网络信息安全控制***,其特征在于:所述定点路径检测***分别与隐藏文件***和秘密文件***连接。
5.根据权利要求1所述的一种计算机网络信息安全控制***,其特征在于:所述杀毒检测***与病毒实时更新数据库连接。
6.根据权利要求3所述的一种计算机网络信息安全控制***,其特征在于:所述中央防御***与中央总控***和分控制***连接,所述后台人员介入***与布防联防机制***连接。
7.根据权利要求1所述的一种计算机网络信息安全控制***,其特征在于:所述整机数据加密***与数据恢复还原备份***连接。
8.根据权利要求1所述的一种计算机网络信息安全控制***,其特征在于:所述中央总控***连接有异常溯源***,所述异常溯源***与数据日志存储***连接。
9.一种计算机网络信息安全控制***的控制方法,其特征在于:具体步骤如下:
S1:首先在整个控制***使用过程中,该信息安全控制方法是,分控制***及其附属被设置在所使用的计算机内,而中央控制***及其附属设置在局域网内服务器的内部,各个计算机分别连接局域内网和外部互联网;
S2:而后当互联网外部技术侵入计算时,首先有防火墙***建立一定的隔绝屏障,初步隔绝大多数技术骚扰和一般性的侵入行为,此时如果电脑黑客或者投入的病毒软件通过U盘等方式进入到计算机内部时,当该方式对计算机产生一定的侵入和操作时,对于计算机的保护此时分控制***通数据盘监控***,对计算机内部的数据存储进行数据监控,产生应急操作;
S3:进而当入侵的继续更加深入时,如采用传统的远程控制计算机的行为,此时键鼠异位操作监控***监测计算机内部键鼠的操作与硬件反馈是否一致以及针对使用人员正常操作键鼠的频率和次数进行预设操作值,当出现异常时则对中央总控***进行报告,而后访问程序日志监控***对计算机内部的程序被启动运行的计算机***日志进行读取进行异常监测;
S4:其次单个入侵计算机的最后防线,则是通过隐藏文件对于敏感文件建立多层干扰和隐藏在硬盘不对外显示的区块,而后根据秘密文件***建立秘密文件,如遇到暴力破解或者无中央总控***的内部许可,文件将会被损坏,最后定点路径监测***,监测特定的文件存储路径,如果出现不同路径改变则会上报中央总控***,并且对路径访问及操作的目标进行记录;
S5:接着中央总控***通过收到的分控制***的上报信息,并且整机数据加密***将分控制***上传的数据进行加密备份,并收录在数据恢复还原备份***内,而后中央总控***根据分控制***上报的敏感信息操作和记录通过异常信息比对数据库进行比对以往数据,或者由技术人员添加的程序特征进行比对;
S6:当判定出现病毒时,此时杀毒检测***进行对特定的分控***所在的计算机进行杀毒操作,并将该病毒计算程式源代码和特征码以及全码进行破译分拆后加密存储到病毒实时更新数据库;
S7:最后后台人员介入***是在布防联防机制***的整体计算机连接布防失效后,由后台人员介入***的专业技术人员进行人工操作。
10.根据权利要求9所述的一种计算机网络信息安全控制方法,其特征在于:所述S3步骤中建立的算法为,定义两个固定且不同的字符串ipad,opad(‘i′,′o′标志内部与外部):
ipad=the byte 0x36 repeated B times
opad=the byte 0x5C repeated B times.
计算′text′的HMAC:
H(K XOR opad,H(K XOR ipad,text))。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111390215.5A CN114157462B (zh) | 2021-11-23 | 2021-11-23 | 一种计算机网络信息安全控制***及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111390215.5A CN114157462B (zh) | 2021-11-23 | 2021-11-23 | 一种计算机网络信息安全控制***及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114157462A true CN114157462A (zh) | 2022-03-08 |
| CN114157462B CN114157462B (zh) | 2024-07-02 |
Family
ID=80457295
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111390215.5A Active CN114157462B (zh) | 2021-11-23 | 2021-11-23 | 一种计算机网络信息安全控制***及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114157462B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107347079A (zh) * | 2017-09-05 | 2017-11-14 | 合肥丹朋科技有限公司 | 计算机网络防护方法 |
| CN108881260A (zh) * | 2018-07-01 | 2018-11-23 | 安徽合软信息技术有限公司 | 一种新型计算机网络防护方法 |
| CN109934010A (zh) * | 2019-03-15 | 2019-06-25 | 温州职业技术学院 | 一种计算机信息安全储存*** |
| CN112487383A (zh) * | 2020-11-17 | 2021-03-12 | 重庆第二师范学院 | 一种保证信息安全的计算机***及其控制方法 |
| CN112651021A (zh) * | 2020-12-23 | 2021-04-13 | 湖南工学院 | 一种基于大数据的信息安全防御*** |
| CN113395694A (zh) * | 2021-06-23 | 2021-09-14 | 深圳市凯莱特科技股份有限公司 | 基于5g及局域基站的智慧安全防御***及防御方法 |
-
2021
- 2021-11-23 CN CN202111390215.5A patent/CN114157462B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107347079A (zh) * | 2017-09-05 | 2017-11-14 | 合肥丹朋科技有限公司 | 计算机网络防护方法 |
| CN108881260A (zh) * | 2018-07-01 | 2018-11-23 | 安徽合软信息技术有限公司 | 一种新型计算机网络防护方法 |
| CN109934010A (zh) * | 2019-03-15 | 2019-06-25 | 温州职业技术学院 | 一种计算机信息安全储存*** |
| CN112487383A (zh) * | 2020-11-17 | 2021-03-12 | 重庆第二师范学院 | 一种保证信息安全的计算机***及其控制方法 |
| CN112651021A (zh) * | 2020-12-23 | 2021-04-13 | 湖南工学院 | 一种基于大数据的信息安全防御*** |
| CN113395694A (zh) * | 2021-06-23 | 2021-09-14 | 深圳市凯莱特科技股份有限公司 | 基于5g及局域基站的智慧安全防御***及防御方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114157462B (zh) | 2024-07-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10657283B2 (en) | Secure high speed data storage, access, recovery, transmission, and retrieval from one or more of a plurality of physical storage locations | |
| US8135135B2 (en) | Secure data protection during disasters | |
| JP3807747B2 (ja) | コンピュータ・システムの暗号化データファイルへのアクセスを制御するための方法並びに装置 | |
| US8135948B2 (en) | Method and system for transparently encrypting sensitive information | |
| CN108268354A (zh) | 数据安全监控方法、后台服务器、终端及*** | |
| EP3766228A1 (en) | Industrial data verification using secure, distributed ledger | |
| WO2009023422A1 (en) | System and method for generating and displaying a keyboard comprising a random layout of keys | |
| JP2004534333A (ja) | コンピュータネットワークにおける分散データ処理に関する統合された保護方法及びシステム | |
| US11082205B2 (en) | Methods for securing data | |
| Pattewar et al. | Detection of SQL injection using machine learning: a survey | |
| US20170046530A1 (en) | Distributed Cloud Storage System (DCSS) for secure, reliable storage and retrieval of data and computing objects | |
| CN110071917A (zh) | 用户口令检测方法、设备、装置及存储介质 | |
| Agbakwuru et al. | SQL Injection Attack on Web Base Application: Vulnerability Assessments and Detection Technique | |
| US11256824B2 (en) | Securing database backups with unique global identifier | |
| US11741248B2 (en) | Data access control using data block level encryption | |
| US20090044284A1 (en) | System and Method of Generating and Providing a Set of Randomly Selected Substitute Characters in Place of a User Entered Key Phrase | |
| CN114157462B (zh) | 一种计算机网络信息安全控制***及方法 | |
| CA3234530A1 (en) | Methods for securing data | |
| US20210056218A1 (en) | Data access control using data block level decryption | |
| KR102667827B1 (ko) | 데이터 파일들을 보안화하는 시스템 및 방법 | |
| CN117725630B (zh) | 安全防护方法、设备、存储介质和计算机程序产品 | |
| CN116305071B (zh) | 一种基于人工智能的账号密码安全*** | |
| TW202424798A (zh) | 用於保護資料檔案之系統及方法 | |
| CN114969837A (zh) | 基于SM3 Hash链的重要文件防篡改方法和*** | |
| CN118378279A (zh) | 一种防止数据误删除的方法、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |