一种安全隔离管控系统的制作方法

一种安全隔离管控系统的制作方法
【专利摘要】本发明公开了一种安全隔离管控系统，具有：对网络数据层、高层协议层的数据防护，对用户业务和行为管控的识别子系统和管控操作子系统，以及对前端设备筛选出的数据包进行进一步的综合处理并完成策略的配置和管理的综合处理子系统，由于采用了上述技术方案，本发明提供的一种安全隔离管控系统，可全方位的对应急通信系统设备和用户进行安全防护，在保证整个应急通信系统电信级稳定性的基础上，满足用户无感、设备无感，通过网络层数据防护、SIP协议防护、业务数据协议防护、用户业务管控等技术手段实现对专网的立体性防护。
【专利说明】一种安全隔离管控系统
【技术领域】
[0001]本发明涉及一种安全隔离管控系统，尤其涉及一种部署于应急通信网与公网的网关之间、实现基于IP的信令和数据的综合安全防护的系统。
[0002]涉及专利分类号H04电通信技术H04L数字信息的传输，例如电报通信H04L29/00H04L1/00至H04L27/00单个组中不包含的装置、设备、电路和系统H04L29/02通信控制；通信处理H04L29/06以协议为特征的。
【背景技术】
[0003]应急通信网和公网以IP方式连接，必然为原封闭运行的专网系统带来安全威胁，同时系统的会话控制协议本身也存在被攻击的安全漏洞。目前的应急通信网在与公网进行数据交互时存在以下安全隐患:
[0004]传统IP网络的安全漏洞带来的非法扫描、DD0S、木马及病毒等安全威胁；
[0005]SIP协议本身的安全漏洞，如会导致对业务控制节点洪泛攻击、对正常通话非法中止的阻断攻击等；
[0006]合法用户的非法行为异常，如用户超权资源占用、用户合法信令的异常组合等。
[0007]而目前已有的安全隔离系统,存在以下应用缺欠:
[0008]1.现有系统主要是针对内外网之间的数据进行物理通路的隔绝，是基于通用的硬件设备实体，虽能达到隔绝的效果，但对于应急通信网应用场景和业务需求不能满足要求；
[0009]2.现有系统只针对单一的网络拓扑层进行防护，如:应用层的呼叫流程防护；数据链路层DD0S、病毒、木马等，起不到一个综合全面的防护效果；
[0010]3.接入设备需改变网络拓扑、增加网络时延，对现网造成较大影响；同时自身设备的故障也是一个很大的安全隐患。
[0011]因此具备全方位、高可靠、无感知等特点的安全隔离平台是根本解决上述安全问题的必要途径。

【发明内容】

[0012]本发明针对以上问题的提出，而研制的一种安全隔离管控系统，具有:对网络数据层、高层协议层的数据防护，对用户业务和行为管控的识别子系统和管控操作子系统，以及对前端设备筛选出的数据包进行进一步的综合处理并完成策略的配置和管理的综合处理子系统，
[0013]所述的识别子系统和管控操作子系统驻留在前端设备；所述的综合处理子系统驻留在后段设备；
[0014]所述的识别子系统具有:
[0015]网络层数据防护模块:采用深度包检测DPI和深度流DFI技术对数据包进行线速分析；对协议数据的各字段进行检测；检测过滤碎片、异常分段的畸形报文；对至少包括ICMP和SNMP的网络典型检测报文进行过滤；系统对系统指定IP地址和端口的UDP数据进行检测与管控；
[0016]SIP协议防护模块:对SIP数据解封装，分析SIP控制信令消息和SIP数据消息；设置SIP协议允许业务过滤规则，保证已注册有效业务类型的通信；动态记录专网内用户IP地址与SIP URI对应关系，过滤针对非专网内注册用户的SIP报文；监控并管理用户通信CALLID活动状态；具备SIP异常控制信令消息检测过滤规则，支持根据用户会话状态的异常SIP协议流程检测策略，防止非法用户以假冒身份干涉用户通信；通过对用户访问网络行为规律的记录，检测异常接入行为；
[0017]数据转发模块:对管理数据包、会话控制数据包、话音和数据报数据包和注册认证数据包进行透明转发；
[0018]所述的管控操作子系统包括:
[0019]用户业务管控模块:通过数据流分析，实现用户身份信息、用户IP地址及用户访问权限的对应；通过动态地设置业务管控策略，对应用层业务数据进行选通过滤；根据用户权限对用户业务进行监控过滤，实时阻断用户越权访问行为；
[0020]防护策略管控模块:根据防护策略对指定IP地址、UDP端口、报文类型、协议类型进行配置；对SIP异常控制信令配置过滤规则，对非法用户部署过滤规则，保证合法信令透明转发；使用数据形式一次性配置完成，也可以在使用过程中通过命令/报告的形式动态更新、查看；
[0021]综合处理子系统包括:
[0022]操作维护管理模块:采用SNMP协议和综合设备管理系统查询软件综合安全隔离管控平台进行上报；采用查询和上报正在实施的安全管控和过滤规则，动态增加安全管控和过滤规则后，能够实时上报到综合设备管理系统；支持查询和上报正在运行的木马特征库版本，动态增加木马特征后，能够实时上报到综合设备管理系统；
[0023]非法数据流上报模块:将检测得到的非法数据流信息上报；
[0024]告警上报模块:对于至少包含木马和恶意协议的行为、非法探测行为、非法业务行为、超限业务行为和非法用户进行实时动态拦截；同时向综合设备管理系统实时告警，告警内容包括:安全威胁类型、目标地址、端口号、源地址、端口号以及协议类型；上报板卡和端口运行故障；
[0025]运行统计和上报模块:实时统计各个端口的合法流量和非法流量，并周期性地将统计数据上报到综合设备管理系统；
[0026]操作维护管理模块:基于SNMP的管理模型，SNMP作为数据传输方法，与数据的组织形式-管理信息库(MIB)结合；
[0027]通过SNMP操作直接与网络数据处理组件通信，获得即时的设备信息，对其进行配置管理和操作；也可以通过对数据库的访问获得网络设备的历史信息，以决定网络配置变化等操作；配置和信息提取使用基于UDP的SNMP协议；
[0028]所述的管理信息库MIB记录了网络的状态、通信量统计数据、发生差错的次数以及内部数据结构的当前内容；系统通过对MIB库的存取访问，来实现配置管理、性能管理、安全和故障管理；
[0029]所述的操作维护管理模块还具有嵌入设备中的SNMP agent,该嵌入式的agent在设备端提供SNMP接口，Agent将底层接口函数对管理端进行了一次封装，底层函数包括函数调用、消息、共享内存或其它获取数据的方式；
[0030]所述的MIB库中由多个MIB模块组成，每个MIB模块都是利用标准的SNMP MIB模块语言撰写的。
[0031]由于采用了上述技术方案，本发明提供的一种安全隔离管控系统，可全方位的对应急通信系统设备和用户进行安全防护，在保证整个应急通信系统电信级稳定性的基础上，满足用户无感、设备无感，通过网络层数据防护、SIP协议防护、业务数据协议防护、用户业务管控等技术手段实现对专网的立体性防护。
【专利附图】

【附图说明】
[0032]为了更清楚的说明本发明的实施例或现有技术的技术方案，下面将对实施例或现有技术描述中所需要使用的附图做一简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0033]图1本发明所述综合安全隔离管控平台部署位置；
[0034]图2本发明所述综合安全隔离管控平台组成与配置；
[0035]图3本发明所述综合安全隔离管控平台中智能识别子系统硬件组成示意图；
[0036]图4本发明所述综合安全隔离管控平台中管控操作子系统示意图；
[0037]图5本发明所述综合安全隔离管控平台中综合处理子系统示意图；
[0038]图6本发明所述综合安全隔离管控平台软件架构；
[0039]图7本发明所述综合安全隔离管控平台各子系统间的接口关系图；
[0040]图8本发明所述综合安全隔离管控平台中网络层业务数据处理流程；
[0041]图9本发明所述综合安全隔离管控平台中SIP协议信令数据处理流程；
[0042]图10本发明所述综合安全隔离管控平台面板示意图；
[0043]图11本发明所述综合安全隔离管控平台机箱侧面剖视示意图；
[0044]图12本发明所述综合安全隔离管控平台后板示意图。
【具体实施方式】
[0045]为使本发明的实施例的目的、技术方案和优点更加清楚，下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚完整的描述:
[0046]如图1-图12所示:下面结合附图对本发明进行详细说明:本发明所述综合安全隔离管控平台按物理实体划分为前端设备和后端设备，其系统组成与配置如图2。
[0047]前端设备为独立的硬件设备，包括管控操作子系统和智能识别子系统。前端设备在专网链路上进行串接部署，进行网络流量的线速识别、初步筛选(依据管控策略)和流量控制，并对输出流量进行负载均衡处理。
[0048]后端设备由服务器构成，内置网络管理功能。后端设备由综合处理子系统构成，对前端设备筛选出的数据包进行操作维护、数据分析、业务管控等处理，并接受来自综合设备
管理系统的管理。
[0049]根据综合安全隔离管控平台网络层数据防护、SIP协议层数据防护的功能要求，及检测时间、处理转发能力等技术指标，硬件设计方案主要采用并行FPGA搭载高性能网络层交换芯片的处理平台，该平台是目前网络层数据协议处理的主流方案，可提高系统处理能力，降低处理时延，也可以大大的缩短开发周期。
[0050]智能识别子系统
[0051]智能识别子系统综合运用各种深度识别技术对报文进行分组级或流级的业务识另O，由高速协议处理板、高速线路接口板组成。智能识别子系统架构如图3所示。
[0052]高速协议处理板:为智能识别子系统的核心，单板布局多块FPGA实现高速协议的处理，包括网络层协议和高层协议；
[0053]高速线路接口板:实现高速线路的汇聚；
[0054]外部接口:连接管控操作子系统，完成业务和信令流的交互。
[0055]高速协议处理板实现在线特征匹配，并将匹配结果封装到消息中传到管控操作子系统，实现网络层数据防护功能、SIP协议防护功能。单板采用FPGA平台完成基于网络协议的解析和识别。
[0056]高速线路接口板实现高速数据线路的光电转换、二层解封装及数据的输入输出，这些信号在高速线路汇聚组件中根据用户需要进行初步筛选后，送到高速协议处理板进行解析和识别。
[0057]高速线路接口板负责将所串接的以太网口接入到平台中来，对外相当于交换机/路由器的IP端口，高速协议处理数据接入硬件设计如图7。正常状态下将EIO交换到ΙΡ0，EIl交换到IPl (如图中蓝线所示)，当设备出现异常或通过管理命令触发将EIl和EIO进行物理连接(如图中红线所示)，实现EII和EIO的物理直通功能，响应时间10毫秒以内，做到对用户和设备的无感。
[0058]管控操作子系统
[0059]管控操作子系统根据智能识别子系统送入的匹配结果进行在线多维信息联合判决，以决定数据的处理方式，完成数据和协议的深入分析和防护；依据业务流识别结果对分组实施管控策略所指定的操作和统计，由主控制板、高速网络交换板、前面板、背板、电源板组成。如图4所示。
[0060]主控制板:是管控操作子系统的核心，完成与其它各单元板间的通信，执行对智能识别子系统的控制，实现主控制单元的各种功能；
[0061]前面板:完成信息指示、设备工作状态显示；
[0062]高速网络交换板:实现综合安全隔离管控平台内各单板之间的数据和信令的交互；
[0063]背板:完成全隔离系统内各单板和单元信号的汇接和交换；
[0064]电源板:实现DC/DC变换，为全隔离系统提供稳定的工作电压；
[0065]外部接口:连接智能识别子系统和综合处理子系统，完成业务和信令流的交互。
[0066]主控制板根据智能识别子系统输送的结果，以决定数据的处理方式，将筛选出的数据流量发送给综合处理子系统进行处理和统计；同时接受来自综合处理子系统的请求，完成策略配置的下达、业务的管控，可以对多个高速协议处理单元进行统一管理和状态监控，完成数据和程序的下载、更新。
[0067]主控制板完成与其它各单板间的通信，执行对其它单元的控制，使各单元板组成有机整体，同时实现对系统外接设备的监视、控制、管理等功能，充分发挥各单元板的通信功能。主控板还能通过接口电路接入前面板，从而驱动前面板显示部分，实现设备人机界面的显示操作。
[0068]高速网络交换板基于大容量不定长包交换技术进行设计，实现智能识别子系统和管控操作子系统内各实体单板的数据传输和转发功能，可以支持不同单元的混合工作模式，保证数据处理的深度和广度；单板主要基于千兆以太网芯片进行设计，可显示连接到以太网交换板的各个单元网络接口的工作状态。
[0069]综合处理子系统
[0070]综合处理子系统将集成各种防护所需要的审计细证、策略管理、信息展示和通信阻断等功能，综合处理服务器使用两台标准19英寸机架式服务器组成，如图5所示。
[0071]综合处理子系统分别连接前端设备和综合设备管理系统，外部接口 O连接前端设备，实现网络管理和综合信息处理；外部接口 I连接综合设备管理系统将统计数据上报到综合设备管理系统并接受综合设备管理系统的管理。外部接口 O和外部接口 I都是IP接□。
[0072]系统软件包括操作系统软件vxworks和linux、智能识别子系统、管控操作子系统、综合处理子系统。其中智能识别子系统、管控操作子系统软件驻留在前端设备上，综合处理子系统软件驻留在后端设备上。综合安全隔离管控平台软件架构如图6所示。
[0073]智能识别子系统软件和管控操作子系统软件主要实现对网络数据层、高层协议层的数据防护，用户业务和行为的管控功能；综合处理子系统软件主要实现对前端设备筛选出的数据包进行进一步的综合处理并完成策略的配置和管理，同时接受综合设备管理系统的配置与管理。
[0074]智能识别子系统软件
[0075]智能识别子系统软件由网络层数据防护模块、SIP协议防护模块、数据转发模块组成。在管控操作子系统的管控下，实现网络层和协议层的防护功能，同时完成数据的透明转发，接口为内部自定义接口。
[0076]网络层数据防护模块
[0077]网络层数据防护实现
[0078]米用DPI(Deep Packet Inspection,深度包检测)及 DFI(Deep Flow Inspection,深度流检测)技术，对数据包进行线速分析，对协议数据各字段进行分析检测；同时检查过滤碎片、异常分段等各种畸形IP报文，防止对专网边界设备的服务攻击，保证专网接入服务的健壮性与安全性；对网络典型探测报文如ICMP、SNMP进行过滤，防范非法用户对专网边界区域代理控制器的信息探测；
[0079]系统扩展流行木马的恶意行为特征数据库，对流行木马的在线监控和恶意协议行为(网络漏洞攻击)的分析检测，系统性能不随木马特征库数量增加而降低；
[0080]系统对系统指定IP地址和端口的UDP数据进行检测与管控，保证允许的数据流与控制流访问专网，防范异常数据流对专网内设备的异常访问。
[0081]管控实现策略
[0082]基于IP地址
[0083]在网络层接收到数据包后，查询管控数据中的地址表，根据已设置的管控数据来进行对应的操作。如果该地址的数据可以通过，则不需要检测，直接进行转发；如该地址不允许通过，则直接丢弃该数据；如需要进一步检测和分析，则直接提交给应用层。
[0084]基于UDP 端 口
[0085]与基于IP地址的管控方式类似，可以分析UDP报文中的UDP首部信息，得到报文中的端口号，再根据管控数据的设置允许或者禁止该报文通过，或者提交给应用层进行进
一步处理。
[0086]基于包类型
[0087]该方式在网络层进行检测。收到数据包之后，根据管控数据的配置，对IP头中携带的信息进行检测和处理，可以实现对分片的检测，允许或者禁止分片报文的通过，可以避免某些利用分片报文进行的攻击手段。
[0088]基于协议
[0089]在网络层收到数据包后，可以直接分析某些协议的报文，如ICMP等。可以在管控数据中设置禁止或者允许指定协议通过，但是更高一级的协议检测就需要在应用层中实现，比如基于UDP的一些通信软件使用的通信协议等。如果对数据包进行线速分析检测，则要在应用层中使用DPI或者DFI技术来实现。
[0090]协议防护模块
[0091]SIP协议解析功能。
[0092]具备对SIP数据包的解封装功能，分析SIP控制信令消息和SIP数据消息；
[0093]SIP协议控制信令防护功能。
[0094]设置SIP协议允许业务过滤规则，保证已注册有效业务类型的通信；
[0095]SIP协议异常报文过滤功能。
[0096]动态记录专网内用户IP地址与SIP URI对应关系，过滤针对非专网内注册用户的SIP报文；
[0097]用户信息监控功能。
[0098]对在专网注册的用户信息可查询；
[0099]用户会话监控功能。
[0100]具备对用户通信CALLID活动状态的监控管理功能；
[0101]用户会话防护功能。
[0102]具备SIP异常控制信令消息检测过滤规则，支持根据用户会话状态的异常SIP协议流程检测策略，防止非法用户以假冒身份干涉用户通信；
[0103]用户异常行为统计分析功能。
[0104]支持对用户访问网络的行为规律，检测异常接入行为的分析统计功能。
[0105]数据转发模块
[0106]在进行在线检测数据的基础上，将正确的数据流透明地转发到区域代理控制器或者节点业务控制器，要求时延小、透明无感，且不影响网络设备的正常运行功能。转发的数据主要包括:
[0107]管理数据包的透明转发；
[0108]会话控制数据包的透明转发；
[0109]话音、数据报数据包的透明转发；[0110]注册认证数据包的透明转发。
[0111]管控操作子系统软件
[0112]管控操作子系统软件由用户业务管控模块和防护策略管控模块组成。对智能识别子系统进行防护策略的配置、用户权限的控制和修改，接口为内部自定义接口。
[0113]用户业务管控模块
[0114]用户识别功能。功能通过数据流分析，实现用户身份信息、用户IP地址及用户访问权限的对应；
[0115]用户业务管控功能。支持动态设置业务管控策略，对应用层业务数据进行选通过滤；
[0116]用户权限控制功能。根据用户权限对用户业务行为进行监控过滤，支持对用户越权访问行为的实时阻断。
[0117]防护策略管控模块
[0118]网络层数据防护管控功能。根据防护策略对指定IP地址、UDP端口、报文类型、协议类型的等进行配置，达到实时的动态防护；
[0119]SIP协议防护管控功能。对SIP异常控制信令配置过滤规则，对非法用户部署过滤规则，保证合法信令透明转发；
[0120]动态配置功能。管控数据可以使用数据形式一次性配置完成，也可以在使用过程中通过命令/报告的形式动态更新、查看。
[0121]综合处理子系统软件
[0122]综合处理子系统软件内置操作维护管理模块，实现了综合安全隔离管控平台的网管功能，支持配置和管控命令的下发、统计和告警结果的上报，受控于综合设备管理系统，与之完成信息和命令的交互。该模块包括非法数据流上报模块、告警上报模块、运行统计和上报模块。
[0123]操作维护管理模块功能主要包括:
[0124]采用SNMP协议；
[0125]采用综合设备管理系统查询软件和硬件版本，综合安全隔离管控平台进行上报；
[0126]采用查询和上报正在实施的安全管控和过滤规则，动态增加安全管控和过滤规则后，能够实时上报到综合设备管理系统；
[0127]支持查询和上报正在运行的木马特征库版本，动态增加木马特征后，能够实时上报到综合设备管理系统；
[0128]具备告警、统计分析功能。
[0129]非法数据流上报模块
[0130]检测到非法数据流后，能够实时把非法数据流的信息上报给区域综合管理平台。
[0131]告警上报模块
[0132]告警上报功能主要包括:
[0133]对于外部的安全威胁，包括木马和恶意协议行为、非法探测行为、非法业务行为、超限业务行为、非法用户等，在进行实施动态拦截的基础上，向综合设备管理系统进行实时告警，告警内容包括安全威胁类型、目标地址、端口号、源地址、端口号以及协议类型等；
[0134]对于本身的板卡、端口等运行故障，能够实时向综合设备管理系统上报告警，供综合设备管理系统更新网络运行态势。
[0135]运行统计和上报模块
[0136]实时统计各个端口的合法流量和非法流量，并周期性地将统计数据上报到综合设备管理系统，主要支持以下分类统计方法:
[0137]区分合法和非法统计；
[0138]区分端口统计；
[0139]区分协议类型统计；
[0140]区分规则统计；
[0141]各种组合等。
[0142]操作维护管理模块
[0143]操作维护管理模块基于SNMP的管理模型，SNMP作为数据传输方法，与数据的组织形式-管理信息库(MIB)结合，为系统的网络管理提供保障。
[0144]通过SNMP操作直接与网络数据处理组件通信，获得即时的设备信息，对其进行配置管理和操作；也可以通过对数据库的访问获得网络设备的历史信息，以决定网络配置变化等操作。配置和信息提取使用基于UDP的SNMP协议；
[0145]MIB变量记录了网络的状态、通信量统计数据、发生差错的次数以及内部数据结构的当前内容等。系统可以通过对MIB库的存取访问，来实现配置管理、性能管理、安全和故
障管理；
[0146]系统设计了 SNMP Agent，直接嵌入到设备中，使设备直接支持SNMP，嵌入式Agent在设备端直接提供SNMP接口。Agent将底层接口函数对管理端进行了一次封装，底层函数包括函数调用、消息、共享内存或其它获取数据的方式；
[0147]系统的MIB库中由多个MIB模块组成，每个MIB模块都是利用标准的SNMP MIB模块语言撰写的。
[0148]软件内部接口
[0149]综合安全隔离管控平台的软件内部接口如图7所示，下面针对各接口进行说明。
[0150]M3 接口
[0151]M3为综合安全隔离管控平台与区域综合管理平台的接口。处理参数配置、状态监视、故障告警、性能数据采集等管理操作。
[0152]CIF 接口
[0153]CIF为综合处理子系统中操作维护管理模块与管控操作子系统间的接口。支持查询和上报正在实施的安全管控和过滤规则，动态增加安全管控和过滤规则，支持配置和管控命令的下发。
[0154]BIFl 接口
[0155]BIFl为管控操作子系统与智能识别子系统中网络层数据防护模块的接口。管控操作子系统通过BIFl接口发送网络层的数据防护策略，对网络层的防护参数、使用的技术手段等可动态的配置，同时可监控各功能实体的运行状态。
[0156]BIF2 接口
[0157]BIF2为管控操作子系统与智能识别子系统中SIP协议防护模块的接口。管控操作子系统通过BIF2接口发送针对SIP协议层的防护策略，依照SIP协议的参数动态指定防护规则和过滤条件，并监控各功能实体的运行状态。
[0158]BIF3 接口
[0159]BIF3为管控操作子系统与智能识别子系统中数据转发模块的接口。管控操作子系统通过BIF3接口完成合法信令、数据的条件设定，使系统能将合法信令流和数据流透明转发。
[0160]RIFl 接口
[0161]RIFl为智能识别子系统与综合处理子系统中告警上报模块的接口。智能识别子系统通过RIFl接口上报在防护过程中产生各类告警信息，包括异常业务的检测和设备状态的检测等。
[0162]RIF2 接口
[0163]RIF2为智能识别子系统与综合处理子系统中运行统计和上报模块的接口。智能识别子系统通过RIF2接口上报实时统计各个端口的合法流量和非法流量等。
[0164]RIF3 接口
[0165]RIF3为智能识别子系统与综合处理子系统中非法数据流上报模块的接口。智能识别子系统通过RIF3接口上报包括威胁种类、协议类型、源IP地址、目的IP地址、源端口、目的端口等。
[0166]DC 接口
[0167]DC为综合安全隔离管控平台与外部设备的接口，是系统的对外接口。主要完成信令和数据包的发送和接收。
[0168]系统业务流程
[0169]综合安全隔离管控平台通过串接方式接入专网IP承载网和公网IP承载网之间的专用线路中，对信令、数据进行过滤、筛选、检测，如无异常信令、数据则透明转发否则拦截并存入日志记录。图8和图9分别列出网络层业务包和SIP协议信令包的数据处理流程。
[0170]结构方案
[0171]综合安全隔离管控平台的结构采用19英寸、2U设计，由面板、机箱、后板三部分构成。各部分在设计时选用高性能的电磁屏蔽、散热等装置和材料，使设备本身具有较轻的重量和较小的体积。设备在其维修时，直接打开上盖板便可对其中的单元板进行检测，从而提高了设备的可维修性。
[0172]面板
[0173]面板上安装系统指示电路和复位按键。显示采用发光二极管，指示系统的运行状态和告警信息。如图10所示。
[0174]机箱
[0175]综合安全隔离管控平台机箱内部的印制板在机箱内部采用水平方式安装。如图11所示。
[0176]后板
[0177]综合安全隔离管控平台采用后出线方式，所有的接口插座均安装在后板上，如图12所示。
[0178]本发明所述综合安全隔离管控平台可全方位的对应急通信系统设备和用户进行安全防护，在保证整个应急通信系统电信级稳定性的基础上，满足用户无感、设备无感，通过网络层数据防护、SIP协议防护、业务数据协议防护、用户业务管控等技术手段实现对移动通信网的立体性防护。
[0179]以上所述，仅为本发明较佳的【具体实施方式】，但本发明的保护范围并不局限于此，任何熟悉本【技术领域】的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。
【权利要求】
1.一种安全隔离管控系统，具有:对网络数据层、高层协议层的数据防护，对用户业务和行为管控的识别子系统和管控操作子系统，以及对前端设备筛选出的数据包进行进一步的综合处理并完成策略的配置和管理的综合处理子系统， 所述的识别子系统和管控操作子系统驻留在前端设备；所述的综合处理子系统驻留在后段设备； 所述的识别子系统具有: 网络层数据防护模块:采用深度包检测DPI和深度流DFI技术对数据包进行线速分析；对协议数据的各字段进行检测；检测过滤碎片、异常分段的畸形报文；对至少包括ICMP和SNMP的网络典型检测报文进行过滤；系统对系统指定IP地址和端口的UDP数据进行检测与管控； SIP协议防护模块:对SIP数据解封装，分析SIP控制信令消息和SIP数据消息；设置SIP协议允许业务过滤规则，保证已注册有效业务类型的通信；动态记录专网内用户IP地址与SIP URI对应关系，过滤针对非专网内注册用户的SIP报文；监控并管理用户通信CALLID活动状态；具备SIP异常控制信令消息检测过滤规则，支持根据用户会话状态的异常SIP协议流程检测策略，防止非法用户以假冒身份干涉用户通信；通过对用户访问网络行为规律的记录，检测异常接入行为； 数据转发模块:对管理数据包、会话控制数据包、话音和数据报数据包和注册认证数据包进行透明转发； 所述的管控操作子系统包括: 用户业务管控模块:通过数据流分析，实现用户身份信息、用户IP地址及用户访问权限的对应；通过动态地设置业务管控策略，对应用层业务数据进行选通过滤；根据用户权限对用户业务进行监控过滤，实时阻断用户越权访问行为； 防护策略管控模块:根据防护策略对指定IP地址、UDP端口、报文类型、协议类型进行配置；对SIP异常控制信令配置过滤规则，对非法用户部署过滤规则，保证合法信令透明转发；使用数据形式一次性配置完成，也可以在使用过程中通过命令/报告的形式动态更新、查看； 综合处理子系统包括: 操作维护管理模块:采用SNMP协议；综合安全隔离管控平台通过综合设备管理系统查询软件和硬件版本并进行上报；采用查询和上报正在实施的安全管控和过滤规则，动态增加安全管控和过滤规则后，能够实时上报到综合设备管理系统；支持查询和上报正在运行的木马特征库版本，动态增加木马特征后，能够实时上报到综合设备管理系统； 非法数据流上报模块:将检测得到的非法数据流信息上报； 告警上报模块:对于至少包含木马和恶意协议的行为、非法探测行为、非法业务行为、超限业务行为和非法用户进行实时动态拦截；同时向综合设备管理系统实时告警，告警内容包括:安全威胁类型、目标地址、端口号、源地址、端口号以及协议类型；上报板卡和端口运行故障； 运行统计和上报模块:实时统计各个端口的合法流量和非法流量，并周期性地将统计数据上报到综合设备管理系统； 操作维护管理模块:基于SNMP的管理模型，SNMP作为数据传输方法，与数据的组织形式-管理信息库(MIB)结合； 通过SNMP操作直接与网络数据处理组件通信，获得即时的设备信息，对其进行配置管理和操作；也可以通过对数据库的访问获得网络设备的历史信息，以决定网络配置变化等操作；配置和信息提取使用基于Μ)Ρ的SNMP协议； 所述的管理信息库MIB记录了网络的状态、通信量统计数据、发生差错的次数以及内部数据结构的当前内容；系统通过对MIB库的存取访问，来实现配置管理、性能管理、安全和故障管理。
2.根据权利要求1所述的一种安全隔离管控系统，其特征还在于:所述的操作维护管理模块还具有嵌入设备中的SNMP agent,该嵌入式的agent在设备端提供SNMP接口，Agent将底层接口函数对管理端进行了一次封装，底层函数包括函数调用、消息、共享内存或其它获取数据的方式。
3.根据权利要求2所述的一种安全隔离管控系统，其特征还在于:所述的MIB库中由多个MIB模块组成，每个MIB模块都是利用标准的SNMP MIB模块语言撰写的。
【文档编号】H04L29/06GK103701824SQ201310752543
【公开日】2014年4月2日 申请日期:2013年12月31日 优先权日:2013年12月31日
【发明者】袁林, 马洪彬, 邸学锋, 王健, 窦静, 张醒, 范学云, 范博, 奚东志, 刘军政, 何磊, 贾立军, 宋继武, 许波 申请人:大连环宇移动科技有限公司