企业网络安全管理方法、装置、系统和安全网关的制作方法
【技术领域】
[0001]本发明涉及信息安全领域,具体涉及一种企业网络安全管理方法、装置、系统和安全网关。
【背景技术】
[0002]随着移动终端的成熟与普及,以手机、平板电脑为代表的个人移动终端逐渐进入企业领域,这种现象被称为自带设备办公(Bring Your Own Device,BY0D)。相比传统信息化的模式,BYOD环境主要存在三个方面的安全隐患:首先是通过移动网络链路接入,天然处在一个开放的网络,而传统重要的信息系统都是通过企业内网接入;其次,使用的环境与传统信息化模式不一样,传统的大部分时间都在固定的办公场所,设备丢失可能性很小,BYOD通常使用移动终端,更加容易丢失;第三,BYOD使用的个人设备上往往同时安装很多个人的APP,而个人APP市场上的恶意软件多如牛毛,这就将企业数据置于安全隐患之中。
[0003]因此需要一种处理BYOD环境下,移动终端上的应用接入企业网络时可能产生安全问题的策略或方法。
【发明内容】
[0004]鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的企业网络安全管理方法、装置、系统和安全网关。
[0005]依据本发明的一个方面,提供了一种企业网络安全管理方法,包括:
[0006]企业网络的安全网关接收来自移动终端上的对应应用的网络连接请求;其中,所述企业网络有一个或多个安全网关,每个安全网关对应一个或多个应用;
[0007]安全网关根据预设规则对所接收的网络连接请求进行判断;当判断为通过时,放行该网络连接请求;当判断为不通过时,阻断该网络连接请求。
[0008]可选地,所述预设规则包括:应用控制规则和设备违规控制规则;
[0009]所述安全网关根据预设规则对所接收的网络连接请求进行判断包括:根据应用控制规则进行判断;当判断为不通过时,阻断该网络连接请求;当判断为通过时进一步根据设备违规控制规则进行判断,当判断该移动终端未违规时放行该网络连接请求,当判断该移动终端违规时阻断该网络连接请求。
[0010]可选地,所述应用控制规则包括如下中的一种或多种;
[0011]判断网络连接请求对应的应用是否在应用白名单中,是则通过,否则不通过;
[0012]判断网络连接请求对应的应用是否在应用黑名单中,是则通过,否则不通过。
[0013]可选地,设备违规控制规则包括:
[0014]判断发送网络连接请求的移动终端是否离线时间超过预设值,是则该移动终端违规;
[0015]判断发送网络连接请求的移动终端的设备标识是否在设备黑名单中,是则该移动终端违规。
[0016]可选地,所述安全网关接收到的是来自移动终端上的对应应用的加密后的网络连接请求;
[0017]该方法进一步包括:所述安全网关对所接收到的网络连接请求进行解密处理;
[0018]所述放行该网络连接请求包括:所述安全网关将解密处理后的网络连接请求发送给所述企业网络中的对应服务器;
[0019]该方法进一步包括:所述安全网关将所述对应服务器反馈的网络连接请求处理结果进行加密处理后返回给对应的移动终端。
[0020]可选地,该方法进一步包括:
[0021 ]所述安全网关定期或不定期从企业网络安全管理服务器获取预设规则;
[0022]或者,
[0023]所述安全网关在收到企业网络安全管理服务器的通知时,从企业网络安全管理服务器获取预设规则。
[0024]依据本发明的另一方面,提供了另一种企业网络安全管理方法,包括:
[0025]将移动终端上的应用发起的网络连接请求发送到企业网络的与该应用对应安全网关;其中,所述企业网络有一个或多个安全网关,每个安全网关对应一个或多个应用;
[0026]接收对应安全网关返回的网络连接请求处理结果。
[0027]可选地,该方法进一步包括:从企业网络安全管理服务器获取应用和安全网关的对应关系列表;
[0028]所述将移动终端上的应用发起的网络连接请求发送到企业网络的对应安全网关包括:根据所述对应关系列表将网络连接请求发送到对应的安全网关。
[0029]可选地,该方法进一步包括:
[0030]将移动终端上的应用发起的网络连接请求发送到企业网络的与该应用对应安全网关之前,对该网络连接请求进行加密处理;
[0031]对安全网关返回的网络连接请求处理结果进行解密处理。
[0032]可选地,在将移动终端上的应用发起的网络连接请求发送到企业网络的与该应用对应安全网关之前,该方法进一步包括:
[0033]从企业网络安全管理服务器获取应用配置表;
[0034]根据应用配置表判断该应用的数据流量是否通过安全网关,是则才将该应用发起的网络连接请求发送到企业网络的与该应用对应安全网关。
[0035]可选地,该方法进一步包括:
[0036]当对应安全网关返回的网络连接请求处理结果表示阻断相应网络连接请求时,在移动终端界面上弹窗显示被阻断的结果和原因。
[0037]可选地,该方法进一步包括:
[0038]获取所述移动能终端的操作系统的平台签名,基于该平台签名获取操作系统的相应权限;
[0039]基于获取的所述相应权限将移动终端上的应用发起的网络连接请求发送到企业网络的与该应用对应安全网关。
[0040]依据本发明的又一方面,提供了一种安全网关,其中,该安全网关是企业网络的一个或多个安全网关之一,每个安全网关对应一个或多个应用,该安全网关包括:[0041 ]接收单元,适于接收来自移动终端上的对应应用的网络连接请求;
[0042]处理单元,适于根据预设规则对所接收的网络连接请求进行判断;当判断为通过时,放行该网络连接请求;当判断为不通过时,阻断该网络连接请求;
[0043]存储单元,适于保存所述预设规则。
[0044]可选地,所述预设规则包括:应用控制规则和设备违规控制规则;
[0045]所述处理单元,适于根据应用控制规则进行判断;当判断为不通过时,阻断该网络连接请求;当判断为通过时进一步根据设备违规控制规则进行判断,当判断该移动终端未违规时放行该网络连接请求,当判断该移动终端违规时阻断该网络连接请求。
[0046]可选地,所述应用控制规则包括如下中的一种或多种;
[0047]判断网络连接请求对应的应用是否在应用白名单中,是则通过,否则不通过;
[0048]判断网络连接请求对应的应用是否在应用黑名单中,是则通过,否则不通过。
[0049]可选地,设备违规控制规则包括:
[0050]判断发送网络连接请求的移动终端是否离线时间超过预设值,是则该移动终端违规;
[0051 ]判断发送网络连接请求的移动终端的设备标识是否在设备黑名单中,是则该移动终端违规。
[0052]可选地,所述接收单元,适于接收来自移动终端上的对应应用的加密后的网络连接请求;进一步适于对所接收到的网络连接请求进行解密处理,将解密处理后的网络连接请求发送给所述企业网络中的对应服务器;以及进一步适于将所述对应服务器反馈的网络连接请求处理结果进行加密处理后返回给对应的移动终端。
[0053]可选地,该安全网关进一步包括:
[0054]获取单元,适于定期或不定期从企业网络安全管理服务器获取预设规则并更新存储单元中的预设规则;或者,适于在收到企业网络安全管理服务器的通知时,从企业网络安全管理服务器获取预设规则并更新存储单元中的预设规则。
[0055]依据本发明的再一方面一种企业网络安全管理装置,其中,该装置包括:
[0056]发送网关单元,适于将移动终端上的应用发起的网络连接请求发送到企业网络的与该应用对应安全网关;其中,所述企业网络有一个或多个安全网关,每个安全网关对应一个或多个应用;
[0057]接收网关单元,适于接收对应安全网关返回的网络连接请求处理结果。
[0058]可选地,该装置进一步包括:关系列表获取单元,适于从企业网络安全管理服务器获取应用和安全网关的对应关系列表;
[0059]所述发送网关单元,适于根据所述对应关系列表将网络连接请求发送到对应的安全网关。
[0060]可选地,所述发送网关单元,进一步适于在将移动终端上的应用发起的网络连接请求发送到企业网络的与该应用对应安全网关之前,对该网络连接请求进行加密处理;
[0061]所述接收网关单元,进一步适于对安全网关返回的网络连接请求处理结果进行解密处理。
[0062]可选地,该装置进一步包括:配置表获取单元,适于从企业网络安全管理服务器获取应用配置表;
[0063]发送网关单元,适于根据应用配置表判断该应用的数据流量是否通过安全网关,是则才将该应用发起的网络连接请求发送到企业网络的与该应用对应安全网关。
[0064]可选地,该装置进一步包括:
[0065]提示单元,适于当对应安全网关返回的网络连接请求处理结果表示阻断相应网络连接请求时,在移动终端界面上弹窗显示被阻断的结果和原因。
[0066]可选地,该装置进一步包括:权限获取单元,适于获取所述移动能终端的操作系统的平台签名,基于该平台签名获取操作系统的相应权限;
[0067]所述发送网关单元,适于基于获取的所述相应权限将移动终端上的应用发起的网络连接请求发送到企业网络的与该应用对应安全网关。
[0068]依据本发明的再一方面,提供了一种企业网络安全管理系统,包括:企业网络安全管理服务器