Sam准入系统的制作方法
【专利摘要】本发明公开了一种能检测和限制外来设备并对变电站网络进行实时安全保护的SAM准入系统。本发明包括用于接入外来设备并与SAM认证管理装置进行数据交互的汇聚层交换机;用于获取外来设备的安全信息并与SAM认证管理装置进行通信的SAM终端安全代理;用于控制数据流进入内部网络的SAM访问控制网关;用于收集汇聚层交换机发送来的数据,对外来设备进行认证或进行自动授权,同时与SAM终端安全代理进行通信,控制外来设备访问内部网络的SAM认证管理装置;用于用户管理,外来设备接入计时、记录,进行安全访问策略制定及安全管理的SAM管理中心装置。本发明应用于变电站网络安全防护领域。
【专利说明】SAM准入系统
【技术领域】
[0001]本发明涉及ー种SAM准入系统。
【背景技术】
[0002]在电カ系统网络信息化建设快速发展的形势下,我们经常会遇到厂家工作人员携带移动办公设备来电力系统部门出差。偶尔会有厂家工作人员因为现场工作需要,把自身携帯的笔记本、平板电脑或PDA等外来设备接入现场网络进行测试。由于电カ系统对临时接入网络的笔记本等设备无法进行安全性评估和网络访问控制,这对网络安全稳定运行带来了很大的安全隐患。因此我们需要ー套可以对外来设备进行安全性评估,同时控制外来设备访问内部网络,可以事后进行安全审计的网络准入系统。
【发明内容】
[0003]本发明所要解决的技术问题是克服现有技术的不足,提供一种能检测和限制外来设备并对变电站网络进行实时安全保护的SAM准入系统。
[0004]本发明所采用的技术方案是:本发明包括汇聚层交換机、SAM終端安全代理、SAM访问控制网关、SAM认证管理装置和SAM管理中心装置,其中,
所述汇聚层交换机用于接入外来设备并与所述SAM认证管理装置进行数据交互;
所述SAM終端安全代理用于获取外来设备的安全信息并与所述SAM认证管理装置进行通信,将获取到的外来设备的安全信息上送给所述SAM认证管理装置;
所述SAM访问控制网关用于控制数据流进入内部网络,只有符合要求的数据流才被允许通过;
所述SAM认证管理装置用于收集所述汇聚层交换机发送来的数据,根据预定安全策略对外来设备进行认证或对外来设备进行自动授权,同时与所述SAM終端安全代理进行通信,控制外来设备访问内部网络;
所述SAM管理中心装置用于用户管理,外来设备接入计时、记录,进行安全访问策略制
定及安全管理。
[0005]所述SAM终端安全代理包括:
用于外来设备进行登录信息录入并发送给所述SAM认证管理装置进行认证的信息录入模块;用于对外来设备进行安全性检测的安全检测模块;用于对外来设备的各种操作进行监控的监控模块。
[0006]所述SAM认证管理装置包括CPU、数据采集模块、安全认证模块、通信模块、设备隔离模块和信息执行模块。所述SAM管理中心装置包括用户管理模块、安全补丁分发模块、防病毒模块、安全策略制定模块和日志与审计模块。所述外来设备包括外来笔记本、平板电脑、PDA或手机。所述SAM认证管理装置对外来设备的认证方式包括账号认证、MAC地址认证、USB-Key证书认证及短信认证。
[0007]本发明的有益效果是:由于本发明在变电站网络内部署終端准入系统,该准入系统包括用于接入外来设备并与所述SAM认证管理装置进行数据交互的汇聚层交換机,用于获取外来设备的安全信息并与SAM认证管理装置进行通信,将获取到的外来设备的安全信息上送给SAM认证管理装置的SAM終端安全代理,用于控制数据流进入内部网络,只有符合要求的数据流才被允许通过的SAM访问控制网关,用于收集所述汇聚层交换机发送来的数据,根据预定安全策略对外来设备进行认证或对外来设备进行自动授权,同时与所述SAM終端安全代理进行通信,控制外来设备访问内部网络的SAM认证管理装置,用于用户管理,外来设备接入计时、记录,进行安全访问策略制定及安全管理的SAM管理中心装置,所以,本发明通过所述SAM认证管理装置实现对外来设备的检测、认证、授权等动作,加强了变电站网络接入控制管理,防止非授权、不安全的外来设备接入变电站内的业务网络;当有外来设备接入变电站内业务网络时,本发明会強制外来设备遵从本发明的信息安全策略,确保接入站内网络设备是安全的;根据信息安全策略,建立变电站网络接入管理机制,根据终端用户的工作需要授予不同的访问权限,保护变电站核心网络资源;通过加强外来设备的网络行为管理力度,保障終端用户合理使用网络资源;通过所述日志和审计模块,可以实现对发生的网络安全违规事件做到有据可查,便于事后审计。
【专利附图】
【附图说明】
[0008]图1是本发明的系统结构图;
图2是本发明的整体流程示意图;
图3是本发明的认证流程示意图。
【具体实施方式】
[0009]如图1、图2、图3所示,本发明是ー种部署在变电站内网络的SAM准入系统,通过该系统的设置,本发明可发现和限制外来设备接入变电站内网络,強制检测和评估外来设备的安全性,以及重要防护软件安装情况,包括杀毒软件是否更新,是否安装了主机防火墙,最近是否进行过安全扫描,限制外来设备随意接入,防止病毒扩大和传染到内部网络,对接入变电站网络的外来设备及工作人员进行身份认证,达到人、设备、接入点的统ー认证,并实时记录、审计接入设备的工作情况。
[0010]本发明包括汇聚层交換机、SAM終端安全代理、SAM访问控制网关、SAM认证管理装置和SAM管理中心装置,其中,所述汇聚层交换机用于接入外来设备并与所述SAM认证管理装置进行数据交互;所述SAM終端安全代理用于获取外来设备的安全信息并与所述SAM认证管理装置进行通信,将获取到的外来设备的安全信息上送给所述SAM认证管理装置;所述SAM访问控制网关用于控制数据流进入内部网络,只有符合要求的数据流才被允许通过;所述SAM认证管理装置用于收集所述汇聚层交换机发送来的数据,根据预定安全策略对外来设备进行认证或对外来设备进行自动授权,同时与所述SAM終端安全代理进行通信,控制外来设备访问内部网络;所述SAM管理中心装置用于用户管理,外来设备接入计时、记录,进行安全访问策略制定及安全管理。
[0011]在本发明中,所述SAM終端安全代理装置在外来设备上,作为外来人员与内部网络进行通信的終端界面。所述SAM访问控制网关装置在所述汇聚层交换机上,对外来设备及人员的信息进行审定及控制信息进入变电站的内部网络。[0012]所述SAM終端安全代理包括用于外来设备进行登录信息录入并发送给所述SAM认证管理装置进行认证的信息录入模块;用于对外来设备进行安全性检测的安全检测模块;用于对外来设备的各种操作进行监控的监控模块。所述SAM认证管理装置包括CPU、数据采集模块、安全认证模块、通信模块、设备隔离模块和信息执行模块。所述数据采集模块用于收集所述SAM終端安全代理信息并上传至所述SAM认证管理装置;所述安全认证模块用于对所述SAM終端安全代理上传的信息对外来设备进行身份和安全认证;所述通信模块用于在所述SAM終端安全代理与所述SAM认证管理装置之间进行通信;所述设备隔离模块用于将所述SAM終端安全代理上传的认证信息不符合既定安全策略要求的外来设备隔离在内部网络之外的“宾客网络区”;所述信息执行模块用于所述SAM认证管理装置与所述汇聚层交换机进行联动,自动执行相关安全策略方案。
[0013]所述SAM管理中心装置包括用户管理模块、安全补丁分发模块、防病毒模块、安全策略制定模块和日志与审计模块。所述用户管理模块用于对外来设备和外来用户进行管理,包括用户角色制定,组织人员管理;所述安全补丁分发模块用于把安全补丁分发到外来设备上,对外来设备强制进行安全升级;所述安全策略制定模块用于对外来人员及设备进行安全策略制定,包括访问策略及访问时间制定;所述日志与审计模块用于对网络事件的记录与审计,还包括IP资源管理,通过所述日志与审计模块可以实现对发生的网络安全违规事件做到有据可查,便于事后审计,总结经验教训。
[0014]所述外来设备包括外来笔记本、平板电脑、PDA或手机。所述SAM认证管理装置对外来设备的认证方式包括账号认证、MAC地址认证、USB-Key证书认证及短信认证。亦可以实现多种方式同时进行认证,以进一步确保外来设备及外来操作人员的安全及限定操作权限。
[0015]本发明通过所述SAM終端安全代理评估外来设备的安全状态,对于不符合安全设备要求的外来设备终端,提供可行性对话的修复建议,并协助外来设备终端安装各类补丁和必备的软件,以确保外来设备终端达到信息安全防护的要求,同时,对存在重大安全隐患的外来设备终端、以及没有授权的外部終端,系统可以強制隔离。
[0016]本发明支持按角色的管理功能,可实现不同管理员对系统不同的管理权限,管理员按照自身具有的权限对系统进行操作、管理。
[0017]为了能够对外来设备和人员工作进行精细管理,本发明提供了多种安全策略方案,根据内部业务网络情况划分多个访问控制区域,设定外来设备和人员访问时间段,可以根据外来人员身份和在此出差时间长短,分配合适的权限和工作时间。将外来人员携带设备定位到汇聚层交换机端ロ,支持终端与主机名绑定。
[0018]本发明首先获取外来人员接入的外来设备的用户名和密码等相关信息,发送到SAM认证管理装置上进行身份认证;如果身份认证通过后,对外来人员工作接入站内设备进行安全性检查,包括:杀毒软件安装情况、病毒库是否更新、最近是否杀毒、接入设备是否存在系统漏洞、是否同时连接外网等信息;如果安全认证通过后,获取访问站内网络IP地址信息,时刻监控外来人员的操作信息,并与所述SAM认证管理装置进行通信。
[0019]根据电カ系统二次安全防护的规定,在部署本发明时,必须坚持以下原则:第一不改变原有网络环境,第二不影响原有变电站业务网络系统的正常运行。将变电站原有业务网络整体划为图1所示的“变电站业务网络”中。将变电站外来设备划为图1所示的“宾客网络区”中。在默认情况下,如果外来设备及人员之前没有经过认证,那么此时外来设备及人员只可以在“宾客网络区”内活动。本发明的工作流程如下:
1、当有外来设备接入到汇聚层交換机后,所述汇聚层交换机会将探测到的外来设备终端的信息镜像到所述SAM访问控制网关的“EthO” ロ,所述SAM访问控制网关会控制转发这些信息通过所述SAM访问控制网关上的“ Ethl” ロ,传送到SAM认证管理装置,如图3所示。
[0020]2、所述SAM认证管理装置获取所述汇聚层交换机探測到的外来设备及人员信息后,如果是外来人员退出账户后再登录,那么可以有三种操作:
I)、如果这些信息在认证列表中存在,并且接入时间没有超时,那么直接与所述汇聚层交換机联动,将接入的外来设备接入到“变电站业务网络”中,访问内部业务网络。
[0021]2)、如果这些信息在认证列表中存在,但接入时间超时,那么把该外来设备和账户重新分配到“宾客网络区”中,输入认证信息进行认证。
[0022]3)、如果这些信息不在认证列表中存在,所述SAM认证管理装置会将此设备加入到发现列表中,并与所述汇聚层交换机联动,将外来设备接入的端ロ划入到“宾客网络区”中。
[0023]3、当外来设备被划入到所述“宾客网络区”中,此外来设备中的所有数据都镜像到所述SAM访问控制网关接ロ “EthO”,所述SAM終端安全代理向所述SAM认证管理装置通信并获取IP地址,执行用户名和密码进行认证。
[0024]4、用户名和密码认证通过后,所述SAM认证管理装置会向所述SAM終端安全代理发送安全策略,所述SAM終端安全代理会执行本地检查,通过后向所述SAM认证管理装置发送检查結果。
[0025]5、本地安全检查通过后,所述SAM认证管理装置会与所述汇聚层交换机联动将外来设备划入到“变电站业务网络”中,与变电站内部业务网络设备通信。
[0026]根据信息安全策略,建立变电站网络接入管理机制,根据终端用户的工作需要授予不同的访问权限,保护变电站核心网络资源。
[0027]本发明应用于变电站网络安全防护领域。
【权利要求】
1.ー种SAM准入系统,其特征在于:所述SAM准入系统包括汇聚层交换机、SAM终端安全代理、SAM访问控制网关、SAM认证管理装置和SAM管理中心装置,其中, 所述汇聚层交换机用于接入外来设备并与所述SAM认证管理装置进行数据交互; 所述SAM終端安全代理用于获取外来设备的安全信息并与所述SAM认证管理装置进行通信,将获取到的外来设备的安全信息上送给所述SAM认证管理装置; 所述SAM访问控制网关用于控制数据流进入内部网络,只有符合要求的数据流才被允许通过; 所述SAM认证管理装置用于收集所述汇聚层交换机发送来的数据,根据预定安全策略对外来设备进行认证或对外来设备进行自动授权,同时与所述SAM終端安全代理进行通信,控制外来设备访问内部网络; 所述SAM管理中心装置用于用户管理,外来设备接入计时、记录,进行安全访问策略制定及安全管理。
2.根据权利要求1所述的SAM准入系统,其特征在于,所述SAM終端安全代理包括: 用于外来设备进行登录信息录入并发送给所述SAM认证管理装置进行认证的信息录入模块; 用于对外来设备进行安全性检测的安全检测模块; 用于对外来设备的各种操作进行监控的监控模块。
3.根据权利要求1所述的SAM准入系统,其特征在于:所述SAM认证管理装置包括CPU、数据采集模块、安全认证模块、通信模块、设备隔离模块和信息执行模块。
4.根据权利要求1所述的SAM准入系统,其特征在于:所述SAM管理中心装置包括用户管理模块、安全补丁分发模块、防病毒模块、安全策略制定模块和日志与审计模块。
5.根据权利要求1所述的SAM准入系统,其特征在于:所述外来设备包括外来笔记本、平板电脑、PDA或手机。
6.根据权利要求1至6任一项所述的SAM准入系统,其特征在于:所述SAM认证管理装置对外来设备的认证方式包括账号认证、MAC地址认证、USB-Key证书认证及短信认证。
【文档编号】H04L12/24GK103491054SQ201210190495
【公开日】2014年1月1日 申请日期:2012年6月12日 优先权日:2012年6月12日
【发明者】刘智勇 申请人:珠海市鸿瑞信息技术有限公司