网络安全防护架构、方法及系统与流程

本发明涉及互联网重要信息系统技术领域，具体涉及一种网络安全防护架构、方法及系统。

背景技术：

互联网作为全球性关键信息基础设施，依托互联网建设重要信息系统，已经成为各国推进信息化的首要选择。传统的基于互联网建设的重要信息系统是建设在隔离专网下的，对其安全的防护多采用纵深防御体系进行。

目前，随着互联网环境的高度开放，基于互联网的重要信息系统建设，也将重要信息系统从隔离专网拉向互联网的开放环境。建设在互联网开放环境下的重要信息系统，一方面由于防护边界模糊，纵深消失，使得传统的纵深防御体系的实施点不明确，难以实施；另一方面，由于面向受众从政务人员延伸到普通大众，业务从内部政务拓展到对外服务，使得传统的纵深防御体系难以形成有效的安全屏障。

因此，如何对基于互联网的开放环境建设的重要信息系统的安全进行有效防护，成为本领域技术人员亟待解决的技术问题。

技术实现要素：

有鉴于此，本发明实施例提供一种网络安全防护架构、方法及系统，能够对基于互联网的开放环境建设的重要信息系统的安全进行有效防护。

为实现上述目的，本发明实施例提供如下技术方案：

一种网络安全防护架构，所述架构包括：

物理分区模块、分区控制模块、分类防护模块以及终端多模式防护模块；

所述物理分区模块包括多个物理分区；

所述分区控制模块用于依据分区控制策略控制分区数据流的流向，以实现用户分区访问；

所述分类防护模块用于基于属性聚合机制适配技术对基于互联网的开放环境建设的重要信息系统的安全进行有效防护；

所述终端多模式防护模块用于对终端进行多种模式的安全防护。

优选的，所述多个物理分区分别为安全管理区、内部数据处理区、公开数据处理区、安全服务区，其中，所述公开数据处理区、所述安全服务区为开放区，所述公开数据处理区与所述内部处理区隔离，所述安全服务区与所述安全管理区分离。

优选的，所述分区控制模块包括接入控制部件和安全交换部件。

优选的，所述多种模式包括基本安全模式、安全增强模式、可信增强模式和动态增强模式。

一种网络安全防护方法，包括：

接收用户通过终端发送的资源访问请求；

判断所述用户是否具有对所述资源的访问权限，得到第一判断结果；

当所述第一判断结果表示所述用户具有对所述资源的访问权限时，确定所述资源所在的物理分区；

将所述用户通过终端发送的资源访问请求转发至所述资源所在的物理分区。

优选的，在所述接收用户通过终端发送的资源访问请求之前，所述方法还包括：

接收用户通过终端发送的连接请求；

对所述用户的身份进行合法性检查，以判断所述用户是否为注册用户或者政务人员，得到第二判断结果；

当所述第二判断结果表示所述用户为注册用户或者政务人员时，为所述用户分配安全标识，所述安全标识用于指示所述用户的资源访问权限。

优选的，在所述接收用户通过终端发送的连接请求之后，所述方法还包括：

对所述终端的安全状态进行评估。

优选的，所述对所述终端的安全状态进行评估具体包括：

判断所述终端的安全模式，其中，所述安全模式包括基本安全模式、安全增强模式、可信增强模式和动态增强模式。

优选的，在所述将所述用户通过终端发送的资源访问请求转发至所述资源所在的物理分区之后，所述方法还包括：

对所述终端进行内网地址映射，以对所述用户进行管理。

一种网络安全防护系统，包括：

接收单元，用于接收用户通过终端发送的资源访问请求；

第一判断单元，用于判断所述用户是否具有对所述资源的访问权限，得到第一判断结果；

确定单元，用于当所述第一判断结果表示所述用户具有对所述资源的访问权限时，确定所述资源所在的物理分区；

发送单元，用于将所述用户通过终端发送的资源访问请求转发至所述资源所在的物理分区。

优选的，所述接收单元还用于：

在所述接收用户通过终端发送的资源访问请求之前，接收用户通过终端发送的连接请求；

则所述系统还包括：

第二判断单元，用于对所述用户的身份进行合法性检查，以判断所述用户是否为注册用户或者政务人员，得到第二判断结果；

分配单元，用于当所述第二判断结果表示所述用户为注册用户或者政务人员时，为所述用户分配安全标识，所述安全标识用于指示所述用户的资源访问权限。

优选的，所述系统还包括：

评估单元，用于在所述接收用户通过终端发送的连接请求之后，对所述终端的安全状态进行评估。

优选的，所述评估单元具体用于：

判断所述终端的安全模式，其中，所述安全模式包括基本安全模式、安全增强模式、可信增强模式和动态增强模式。

优选的，所述系统还包括：

映射单元，用于在所述将所述用户通过终端发送的资源访问请求转发至所述资源所在的物理分区之后，对所述终端进行内网地址映射，以对所述用户进行管理。

基于上述技术方案，本发明实施例中公开了一种网络安全防护架构、方法及系统，接收用户通过终端发送的资源访问请求；判断所述用户是否具有对所述资源的访问权限，得到第一判断结果；当所述第一判断结果表示所述用户具有对所述资源的访问权限时，确定所述资源所在的物理分区；将所述用户通过终端发送的资源访问请求转发至所述资源所在的物理分区。基于上述网络安全防护架构、方法及系统，能够基于分区控制与分类防护的统一以及静态防护与动态防御的统一对基于互联网的开放环境建设的重要信息系统的安全进行有效防护。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例公开的一种网络安全防护架构示意图；

图2为本发明实施例公开的一种分区控制模块示意图；

图3为本发明实施例提供的一种分区控制实施示意图；

图4为本发明实施例提供的一种分类防护技术示意图；

图5为本发明实施例公开的一种网络安全防护方法的流程示意图；

图6为本发明实施例公开的另一种网络安全防护方法的流程示意图；

图7为本发明实施例公开的一种网络安全防护系统的结构框图；

图8为本发明实施例公开的另一种网络安全防护系统的结构框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

针对基于互联网的开放环境建设的重要信息系统的安全进行有效防护的需求，本发明公开了一种网络安全防护架构，具体请参阅附图1，图1为本发明实施例公开的一种网络安全防护架构的示意图，该网络安全防护架构包括物理分区模块、分区控制模块、分类防护模块以及终端多模式防护模块。上述各个模块相互协同，既可构建物理安全防线，又可构建逻辑的隔离的安全防护域，形成明确的逻辑责任边界。

物理分区模块包括多个物理分区，多个物理分区分别为安全管理区、内部数据处理区、公开数据处理区、安全服务区，内部数据处理区包括内部敏感数据处理区和内部公开数据处理区，公开数据处理区、安全服务区为开放区。公开数据处理区与内部处理区隔离，安全服务区与安全管理区分离。需要说明的是，物理分区可扩展，以满足不同的重要信息系统的需要。

下面对各个物理分区划分标准进行详细说明。

安全管理区面向的是信息系统安全管理人员，为全网的信息系统提供统一的身份管理、资源管理、权限管理、策略管理、审计管理和安全可视化管理等。

内部数据是仅允许系统内部人员访问的数据，主要包括两类数据，一类为内部公开数据，面向所有内部人员、不适宜向公众公开的信息；一类为内部敏感信息，具有权限的内部人员才具有访问权。内部数据处理区用来承载处理内部信息的应用系统及其数据库。

公开数据是指在互联网上适宜向公众公开、访问不受限的政务信息，提供给公众访问的数据。公开数据处理区用来承载处理公开信息的应用系统及其数据库，处理对公众和企业完全开放的服务，如政策发布、政府网站或便民服务等。

安全服务区为所有用户，提供共性安全支撑服务，如统一身份认证服务、病毒库在线升级、恶意代码特征库升级、系统、终端安全配置分发、终端补救服务等。

请参阅附图2，图2为本发明实施例公开的一种分区控制模块示意图，分区控制模块包括接入控制部件和安全交换部件。

分区控制模块依据分区控制策略能够控制分区数据流的流向，从而有效实现用户分区访问。

下面对分区控制策略进行详细说明。

分区控制策略的具体要求有如下几点：

第一点，公开数据处理区允许公众直接访问；内部数据处理区允许内部人员和授权用户访问；安全管理区仅允许安全管理人员访问；安全服务区提供与安全相关的服务，允许开放区用户访问。

第二点，公开数据处理区的数据流可流入内部数据处理区，但内部数据处理区的数据流未经允许禁止流向公开数据处理区。

第三点，在在特定情况下，若内部数据处理区数据流需流入公开数据处理区，应符合数据安全交换策略，进行数据敏感度检查、过滤，防止内部敏感信息的泄露。

第四点，公开数据处理区提供的公开数据，应避免数据聚合引起敏感信息的泄漏。

请参阅附图3，图3为本发明实施例提供的一种分区控制实施示意图。具体的，在物理分区的基础上，通过终端用户的接入认证，为用户分配安全标识，并将安全标识与用户数据流绑定，实现了数据流的定向转发，并依据分区控制策略，完成了基于标识的分区控制。其主要包括：

①接入对象状态评估。终端通过多样化的接入链路，接入到内网时，由分区控制设备接管其连接请求，对终端平台的安全状态进行评估，强制接入到终端隔离与补救区域进行安全检查以及进行有效的补救措施。否则，拒绝终端接入到政务内网中。

②接入认证。终端用户在接入访问政务内网资源时，应进行身份的合法性检查，只有注册或政务人员才被允许接入到政务内网。并依据用户身份为终端用户分配资源权限，防止资源的非法访问及越权访问。

③多级安全通道建立。在接入认证的基础上，政务终端与分区控制设备之间协商建立多级安全通道，依据信息的重要程度，提供相应的安全保障。

④基于标识的访问控制。终端用户接入访问政务内网资源时，判断用户是否具有该资源的访问权限，并依据用户标识将用户数据流分流到资源所在的分区。

⑤内网地址映射。依据安全标识判断终端用户接入的安全区域后，分区控制通过内网地址映射，来解决终端用户接入政务内网时的网络适应性以及便于对终端用户进行管理的问题。

⑥安全策略。在分区控制中，依据重要信息系统安全防护需求，可将电子政务网络中的用户、子网、保护域、地址、地址组、子网组、用户组等定义为对象，通过指定对象层的安全策略，实现不同安全区域之间的数据流的单向控制。

重要信息系统涉及的主客体类别多样，其重要程度各有不同。具体的，可通过分类防护模块对主客体按其敏感和重要程度进行分类，从而实现针对不同类别的用户信息的适度安全防护，尤其对重要信息需要进行重点防护。针对传统的网络安全防护架构难以对基于互联网的开放环境建设的重要信息系统的安全进行有效防护的现状，在本实施例中，分类防护模块可以基于属性聚合机制适配技术对基于互联网的开放环境建设的重要信息系统的安全进行有效防护。

请参阅附图4，图4为本发明实施例提供的一种分类防护技术示意图。

首先，对用户、终端、信息与系统等主客体属性，以及终端接入、网络传输加密、用户身份认证、动态安全防护、数据安全交换等安全机制属性，采用决策树进行属性挖掘，并进行归一化描述，实现主体、客体和安全机制“三元关系”的一体化分类管理。

其次，通过数据流蕴含的主客体属性、上下文环境属性和“三元关系”进行聚合分析，选择相应安全机制，并依据建立的安全机制索引，对安全机制的配置和组装进行建模，确保安全机制重组在功能上正确可靠、逻辑上完整一致，从而实现安全机制的重组与动态适配。

最后，将适配后的安全机制进行自适应部署，从而完成从用户终端到信息系统的不同程度的网络安全保障，以构建逻辑隔离的安全防护域，形成明确的逻辑责任边界，更容易做到适度安全。

终端存在安全风险，将会被传递到重要信息系统，因此，为确保对基于互联网的开放环境建设的重要信息系统的安全进行有效防护，必须要对终端进行安全防护。在本发明中，终端多模式防护模块负责对终端进行安全防护。

终端多模式防护模块能够对终端进行多种模式的安全防护，多种模式包括基本安全模式、安全增强模式、可信增强模式和动态增强模式。

下面对各种安全模式的要求进行说明。

基本安全模式，要求终端具有基本的安全防护措施，主要包括系统服务配置、账户策略配置、日志与审核策略配置、浏览器安全配置、恶意代码防范、个人防火墙、系统漏洞补丁升级等。

安全增强模式，要求终端除了基本安全外，还应具备终端可信性评估、程序运行授权、安全公文包、安全电子邮件以及安全审计等。

可信增强模式，要求嵌入式系统安装在终端上，实现终端与宿主机的隔离，确保终端与宿主机系统、存储的隔离，并能进行加密存储与安全审计。通过将嵌入式系统定制在移动存储介质上，采用移动可信引导机制、系统隔离、软件定制等方法，构建独立于宿主机的寄生式可信终端，从而构建了移动可信的办公环境，实现了可信增强。

动态增强模式，即将动态防御的思想引入到终端安全防护中，通过污点检测、监视与控制，实现了基本可信环境基础上的动态增强。具体的，通过污点跟踪技术，将开放终端、开放分区信息系统内数据和外来风险定义为污点，对信息流打上污点标记，实现对程序级信息隐式泄露和外部攻击的检测，从而提升在基本可信环境下的终端动态安全增强能力。

其中，动态增强模式中涉及的动态防御的思想具体如下：首先，采用密码防护、可信计算相结合，构建以可信计算为基础的系统级防护机制。其次，从用户终端到分区控制设备，构建以接入安全、传输安全、访问控制等为基础的网络级安全防护机制，依据接入用户身份，有效控制其接入访问的区域，建立多级安全通道，实现传输数据的相互隔离与安全。最后，在网络开放区与主机系统中部署动态安全组件，对信息流打上污点标记，实现对信息流携带威胁程度的标识，依赖基于无干扰的信息流传播逻辑，完成影子式信息流标记跟踪，从而实现信息流敏感信息传播监督与隐通道防范，并依据上下文相关的信息流控制规则，实现面向交互数据的上下文威胁感知和细粒度风险控制。

上述的网络安全防护架构，做到了两个统一，一个为分区控制与分类防护的统一，一个为静态防护与动态防御的统一。在分区控制分类防护层次化安全防护架构中，采用物理分区与逻辑分域相结合的方式，在系统分类分区部署的基础上，通过主客体属性标识管理技术、安全机制动态选择技术和数据流向控制技术，实现了分区控制与分类防护的相统一，确保了信息系统安全防护的高适度性。分区控制分类防护安全防护体系，采用动态增强、安全机制动态适配、安全策略动态调整等技术，实现了静态防护与动态防御的统一，形成了从边界安全、分区安全、终端安全、应用(分类)安全到安全管理、安全服务的一体化动态安全防护体系，有效应对了互联网开放环境下重要信息系统的安全风险。

基于以上所述的网络安全防护架构，本发明公开了一种网络安全防护方法，下面将通过实施例详细说明。

请参阅附图5，图5为本发明公开的一种网络安全防护方法的流程示意图，该网络安全防护方法具体包括如下步骤：

步骤S100、接收用户通过终端发送的资源访问请求。

步骤S110、判断所述用户是否具有对所述资源的访问权限，得到第一判断结果；

步骤S120、当所述第一判断结果表示所述用户具有对所述资源的访问权限时，确定所述资源所在的物理分区；

步骤S130、将所述用户通过终端发送的资源访问请求转发至所述资源所在的物理分区。

本实施例中公开了一种网络安全防护方法，接收用户通过终端发送的资源访问请求；判断所述用户是否具有对所述资源的访问权限，得到第一判断结果；当所述第一判断结果表示所述用户具有对所述资源的访问权限时，确定所述资源所在的物理分区；将所述用户通过终端发送的资源访问请求转发至所述资源所在的物理分区。基于上述网络安全防护方法，从终端到分区控制设备，构建以接入安全、传输安全、访问控制等为基础的网络级安全防护机制，依据接入用户身份，有效控制其接入访问的区域，建立多级安全通道，实现传输数据的相互隔离与安全，进而能够对基于互联网的开放环境建设的重要信息系统的安全进行有效防护。

请参阅附图6，图6为本发明实施例公开的另一种网络安全防护方法的流程示意图，该方法包括如下步骤：

步骤S200、接收用户通过终端发送的连接请求。

终端可通过多样化的接入链路接入到重要信息系统的内网，在用户通过终端发送连接请求之后，由分区控制设备接收所述连接请求。

需要说明的是，在接收用户通过终端发送的连接请求之后，即可部署与所述用户属性类别匹配的安全机制组。

步骤S210、对所述终端的安全状态进行评估。

终端存在安全风险，将会被传递到重要信息系统，因此，为确保重要信息系统的安全防护，必须要对终端进行安全防护。在本实施例中，在分区控制设备接收用户通过终端发送的连接请求之后，在终端接入重要信息系统之前，首先要隔离所述连接请求，然后将所述连接请求连接到安全服务区，对所述终端的安全性进行评估，若所述终端存在安全风险，则强制所述终端进行安全风险消除，最后才允许其接入重要信息系统。具体的，可通过强制接入到所述终端的隔离区域进行安全检查，以及，强制接入到所述终端的补救区域进行有效的补救措施，对所述终端的安全性进行评估。

需要说明的是，对所述终端的安全状态进行评估具体包括：判断所述终端的安全模式，其中，所述安全模式包括基本安全模式、安全增强模式、可信增强模式和动态增强模式。

本实施例中，终端的安全模式可能为基本安全模式、安全增强模式、可信增强模式和动态增强模式中的任意一种。

步骤S220、对所述用户的身份进行合法性检查，以判断所述用户是否为注册用户或者政务人员，得到第二判断结果。

步骤S230、当所述第二判断结果表示所述用户为注册用户或者政务人员时，为所述用户分配安全标识，所述安全标识用于指示所述用户的资源访问权限。

步骤S240、接收用户通过终端发送的资源访问请求。

步骤S250、判断所述用户是否具有对所述资源的访问权限，得到第一判断结果。

步骤S260、当所述第一判断结果表示所述用户具有对所述资源的访问权限时，确定所述资源所在的物理分区。

步骤S270、将所述用户通过终端发送的资源访问请求转发至所述资源所在的物理分区。

在本实施例中，在接收用户通过终端发送的资源访问请求之前，首先对用户终端的安全状态进行评估，以及对所述用户的身份进行合法性检查，当用户终端安全状态达到要求，且用户的身份合法时，才允许用户进行资源访问。从而进一步保障了对基于互联网的开放环境建设的重要信息系统的安全的有效防护。

需要说明的是，在所述将所述用户通过终端发送的资源访问请求转发至所述资源所在的物理分区之后，所述方法还包括：对所述终端进行内网地址映射，以对所述用户进行管理。

下面对本发明实施例公开的网络安全防护系统进行介绍，下文描述的网络安全防护系统可与上文网络安全防护方法相互对应参照。

请参阅附图7，图7为本发明实施例公开的一种网络安全防护系统的结构框图，该网络安全防护系统可以包括：

接收单元100，用于接收用户通过终端发送的资源访问请求。

第一判断单元110，用于判断所述用户是否具有对所述资源的访问权限，得到第一判断结果。

确定单元120，用于当所述第一判断结果表示所述用户具有对所述资源的访问权限时，确定所述资源所在的物理分区。

发送单元130，用于将所述用户通过终端发送的资源访问请求转发至所述资源所在的物理分区。

优选的，所述接收单元还用于：

在所述接收用户通过终端发送的资源访问请求之前，接收用户通过终端发送的连接请求。

则请参阅附图8，图8为本发明实施例公开的另一种网络安全防护系统的结构框图，该网络安全防护系统还包括：

评估单元140，用于在所述接收用户通过终端发送的连接请求之后，对所述终端的安全状态进行评估。

所述评估单元具体用于：判断所述终端的安全模式，其中，所述安全模式包括基本安全模式、安全增强模式、可信增强模式和动态增强模式。

第二判断单元150，用于对所述用户的身份进行合法性检查，以判断所述用户是否为注册用户或者政务人员，得到第二判断结果；

分配单元160，用于当所述第二判断结果表示所述用户为注册用户或者政务人员时，为所述用户分配安全标识，所述安全标识用于指示所述用户的资源访问权限。

进一步需要说明的是，所述系统还包括：

映射单元，用于在所述将所述用户通过终端发送的资源访问请求转发至所述资源所在的物理分区之后，对所述终端进行内网地址映射，以对所述用户进行管理。

综上所述：

本发明实施例中公开了一种网络安全防护架构、方法及系统，接收用户通过终端发送的资源访问请求；判断所述用户是否具有对所述资源的访问权限，得到第一判断结果；当所述第一判断结果表示所述用户具有对所述资源的访问权限时，确定所述资源所在的物理分区；将所述用户通过终端发送的资源访问请求转发至所述资源所在的物理分区。基于上述网络安全防护架构、方法及系统，能够基于分区控制与分类防护的统一以及静态防护与动态防御的统一对基于互联网的开放环境建设的重要信息系统的安全进行有效防护。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。