一种外部设备访问安全控制系统及其控制方法与流程

本发明涉及信息安全技术领域，尤其涉及一种外部设备访问安全控制系统及其控制方法。

背景技术：

在互联网时代，有效的公司信息安全管理对企业的良好运作至关重要，企业内部重要信息的泄露和病毒对企业内部系统的攻击已是当前信息安全管理中最重要的两个因素。但是，当安全产品试图组合在一起时，由于缺乏综合的安全管理，很难形成多维的网络安全整体防护体系。因此，企业需要建构一个类似hpopen-view、sunnet-manager、cabletronspectrum式的大型网络信息安全管理综合平台来保证网络系统正常运行。在这个管理平台下，实现设备协同工作，优化网络和系统资源的有效利用，保障网络和应用系统正常地运行。

为了实现网络信息安全技术的综合管理，特别是安全设备之间的协同工作，国内外进行了许多的研究。例如由以色列checkpoint公司倡议成立的opsec联盟，以及国内天融信公司倡议成立的topsec联盟。然而，在具体实践中用户发现，根据自身的需要所选择的各类安全设备之间相互配合还是相当困难的。

对于外部设备访问内网目前常用的是组建防火墙来隔离由外部设备带来的潜在风险，但是事实证明简单的防火墙不能有效隔离外部设备带来的风险。因此，急需开发研究一种可有效提高外部设备访问内网时的安全管理系统，以降低外部设备带来的风险。鉴于此，如何提供一种外部设备访问安全控制系统及其控制方法是本领域技术人员需要解决的技术难题。

技术实现要素：

针对现有技术中的上述不足之处，本发明提供了一种外部设备访问安全控制系统及其控制方法。

本发明为解决上述技术问题，采用以下技术方案来实现：

设计一种外部设备访问安全控制系统，包括外部设备、与所述外部设备相连的外网服务器、内网服务器、与所述内网服务器连接的终端计算机，所述的安全控制系统包括防火墙、信号分发模块、恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块、身份验证模块以及信息处理模块；所述的外网服务器与防火墙连接，所述的防火墙与信号分发模块连接，所述的信号分发模块与恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块、身份验证模块连接，所述的恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块、身份验证模块与信息处理模块连接，所述的信息处理模块与内网服务器连接；

所述的防火墙在所述外网服务器与信号分发模块之间建立一个安全网关，用于所述外部设备访问内网时检查进入内网的所有数据包；

所述的信号分发模块用于将所述外部设备访问内网时的数据包进行分发复制，分别分发至恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块以及身份验证模块中；

所述的恶意入侵检测模块用于检测所述外部设备是否处于恶意入侵状态，并肩检测结果传递至所述信息处理模块中；

所述的病毒查杀模块用于查杀所述外部设备访问内网时数据包中是否携带有病毒以及木马程序，并将查杀的结果传递至信息处理模块中；

所述的漏洞检测模块用于检测所述外部设备访问内网时数据包中存在危险漏洞，并将检测的结果传递至信息处理模块中；

所述的协议安全检测模块用于检测所述外部设备访问内网时的协议是否处于安全状态，并将检测的结果传递至信息处理模块中；

所述的身份验证模块用于验证所述外部设备的身份状态，确定外部设备是否有权限进入内网，并将验证的结果传递至信息处理模块中；

所述的信息处理模块用于接收所述恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块、身份验证模块处理的结果，并根据结果决定是否传递信息至内网服务器中。

优选的，所述外部设备包括计算机、智能手机、pad。

优选的，所述外部设备与外网服务器通过互联网连接。

优选的，所述内网服务器与终端计算机通过局域网进行连接。

优选的，所述的外部设备短时间内大量访问内网服务器便被恶意入侵检测模块判断为恶意入侵。

设计一种外部设备访问安全控制方法，包括如下步骤：

首先，外部设备通过互联网与外网服务器连接；然后，所述的外部设备发出访问内网服务器的申请，所述外部设备的数据包经防火墙传递至信号分发模块中，所述信号分发模块将所述外部设备传递的数据包进行复制并分别分发至恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块和身份验证模块中进行安全检测；最后，检测以后的结果传递至信息处理模块中，由所述信息处理模块判断是否由影响访问安全的因素；若存在影响访问安全的因素，所述的信息处理模块阻止数据包传递至内网服务器中；若不存在影响访问安全的因素，所述的信息处理模块则将数据包直接传递至内网服务器中。

本发明提出的一种外部设备访问安全控制系统及其控制方法，有益效果在于：

(1)本发明提出的安全控制系统设置在内网服务器与外网服务器之间，在外部设备访问内网服务器时，首先通过防火墙来隔离、滤除外部访问可能带来的风险；然后通过恶意入侵检测、病毒查杀、漏洞检测、协议安全检测和身份验证等环节来验证外部设备的安全性，进而杜绝了外部设备访问带来的风险，提高了访问的安全性；

(2)本发明提出的安全控制系统中设置有信号分发模块，通过信号分发模块将信号复制成需要的份数，并将信号同时传递至恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块和身份验证模块等模块进行安全处理，此种并行处理方式大大缩短了信息处理的时间，有效提高了信息处理的效率；

(3)本发明提出的安全控制系统及安全控制方法在现有防火墙的基础上进一步提高了外部设备访问的安全性，具有广泛的应用前景。

附图说明

下面结合附图中的实施例对本发明作进一步的详细说明，但并不构成对本发明的任何限制。

图1为本发明安全控制系统的结构示意图。

具体实施方式

下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明的保护范围。

参阅附图1所示，本发明的一种外部设备访问安全控制系统，包括外部设备、与所述外部设备相连的外网服务器、内网服务器、与所述内网服务器连接的终端计算机，所述的安全控制系统包括防火墙、信号分发模块、恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块、身份验证模块以及信息处理模块；所述的外网服务器与防火墙连接，所述的防火墙与信号分发模块连接，所述的信号分发模块与恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块、身份验证模块连接，所述的恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块、身份验证模块与信息处理模块连接，所述的信息处理模块与内网服务器连接；

所述的防火墙在所述外网服务器与信号分发模块之间建立一个安全网关，用于所述外部设备访问内网时检查进入内网的所有数据包；

所述的信号分发模块用于将所述外部设备访问内网时的数据包进行分发复制，分别分发至恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块以及身份验证模块中；

所述的恶意入侵检测模块用于检测所述外部设备是否处于恶意入侵状态，并肩检测结果传递至所述信息处理模块中；

所述的病毒查杀模块用于查杀所述外部设备访问内网时数据包中是否携带有病毒以及木马程序，并将查杀的结果传递至信息处理模块中；

所述的漏洞检测模块用于检测所述外部设备访问内网时数据包中存在危险漏洞，并将检测的结果传递至信息处理模块中；

所述的协议安全检测模块用于检测所述外部设备访问内网时的协议是否处于安全状态，并将检测的结果传递至信息处理模块中；

所述的身份验证模块用于验证所述外部设备的身份状态，确定外部设备是否有权限进入内网，并将验证的结果传递至信息处理模块中；

所述的信息处理模块用于接收所述恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块、身份验证模块处理的结果，并根据结果决定是否传递信息至内网服务器中。

所述外部设备包括计算机、智能手机、pad，所述外部设备与外网服务器通过互联网连接，所述内网服务器与终端计算机通过局域网进行连接，所述的外部设备短时间内大量访问内网服务器便被恶意入侵检测模块判断为恶意入侵。

本发明的一种外部设备访问安全控制方法，包括如下步骤：

首先，外部设备通过互联网与外网服务器连接；然后，所述的外部设备发出访问内网服务器的申请，所述外部设备的数据包经防火墙传递至信号分发模块中，所述信号分发模块将所述外部设备传递的数据包进行复制并分别分发至恶意入侵检测模块、病毒查杀模块、漏洞检测模块、协议安全检测模块和身份验证模块中进行安全检测；最后，检测以后的结果传递至信息处理模块中，由所述信息处理模块判断是否由影响访问安全的因素；若存在影响访问安全的因素，所述的信息处理模块阻止数据包传递至内网服务器中；若不存在影响访问安全的因素，所述的信息处理模块则将数据包直接传递至内网服务器中。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明披露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。