专利名称:一种网络综合防护系统的制作方法
技术领域:
本实用新型涉及一种网络防护系统。
背景技术:
随着信息技术在军队、军工企业、政府、企业等领域越来越广泛、深 入的应用,飞跃发展的电子信息技术在给各行业带来高效率的业务管理革 命和高额经营业绩回报的同时,借助于计算机信息系统的各种违规犯罪也 逐年上升,防范科技风险和计算机犯罪面临着严峻挑战。内部威胁是指系 统的合法用户或系统的管理人员,由于误操作或故意违规、利用系统缺陷、 非法攻击等行为,致使系统故障、业务差错、数据篡改和泄露、资产受损。 传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要, 但不可能完全解决网络间信息的安全交换问题,因为各种安全技术都有其
局限性。为保护重要内部系统的安全,2000年1月,国家保密局发布实
施《计算机信息系统国际互联网保密管理规定》,明确要求"涉及国家秘 密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网
络相连,必须实行物理隔离。"中共中央办公厅2002年第17号文件《国 家信息化领导小组关于我国电子政务建设指导意见》也明确强调"政务内
网和政务外网之间物理隔离,政务外网与互联网之间逻辑隔离。"
就国内的情况来说,近年来,我国的信息安全发展的大环境已日臻完善, 并取得了巨大的成绩,但是,当前我国的信息安全形势依然面临严峻的挑战。我国电子政务、电子商务和各行业的计算机网络应用尚处于发展阶段, 但内部人员犯罪(或于内部人员有关的犯罪)也占到了计算机犯罪总量的 相当部分。
我国信息安全问题中突出领域包括金融、政府机要、军工企业、部队、 研发企业等,涉密信息系统的安全隐患巨大,特别是我国军工涉密企业和 部队安全项目,每年因安全问题包括外部攻击、内外勾结、内部人员违法 犯罪和技术缺陷引起的经济损失数以亿计。
针对一系列计算机犯罪统计数字分析的结果,促使了更多的人去关注 内部人员威胁。安全专家们认为"我们从这些事件中得到的最重要的教训 就是,大多数安全缺口是来自于内部,而非外部。"
传统的涉密管理体系中,基于纸质文档的涉密管理采用的手段是控制纸 质文档本身的流转,采用物理保护法来控制涉密载体的流转、阅读,内容 的保密依赖于人员的政治素质。
由于计算机和通信技术的大量应用,涉密领域的内部计算机处理内容已 经超出了传统密级定义范畴。
大量的核心技术、重要信息都以电子文档存储介质形式保存,尽管从保 密管理的角度看这些电子文档没有以确定具体的文件密级,但实质上这些 重要信息及其文档已经变成了涉密项目中需要保护的信息内容,这是由于 计算机系统对内授权的开放性导致的结果,这种隐患,我们称之为"开域 授权"。围绕这些信息的内部计算机操作行为属于涉密计算机信息保护范
畴o
4涉密领域的内部计算机操作行为"开域授权"的威胁存在以下表现形式
1、 内部人员随意使用各种存储介质(软盘、U盘或移动硬盘等)将资料从
电脑中拷出带走;
2、 内部人员随意拨号上网,通过互联网将资料通过电子邮件发送出去;
3、 将涉密文件打印后带出;
4 、 将办公用笔记本电脑直接带回家中;
5、 电脑易手后,硬盘上的资料没有处理,导致泄密;
6、 随意将文件设成共享,导致非相关人员获取资料;
7、 内部人员对关键性的文件的读写缺乏有效控制;
8、 移动存储设备共用,导致非相关人员获取资料;
9、 外部计算机连上内网,窃取资料;
10、 趁同事不在,开启同事电脑,浏览、复制同事电脑里的资料;
11、 内部人员随意安装软硬件或拆除硬件设备,更改系统参数;
12、 涉密数据被内部人员外泄,无法找到确凿的证据;
实用新型内容
针对现有技术中存在的缺陷,本实用新型提供一种网络综合防护系统, 其可跟踪计算机操作行为,控制操作过程,保护重要信息目标及建立内部 可信赖环境。
为实现上述目的,本实用新型技术方案为
一种网络综合防护系统,包括一 NDS主机、 一外部数据交换管理器、 一内部数据交换管理器,外部数据交换管理器连接NDS主机与外部互联网,该外部数据交换管理器由外网数据交换器与外网同步服务器连接而成;内 部数据交换管理器连接NDS主机与内网的终端用户,内部数据交换管理器 由内网数据交换器与内网同步服务器连接而成;所述的NDS主机包括一实 时分析器,该实时分析器连接有数据处理器、规则处理器、行为特征处理 器及一报表处理器,所述的报表处理器与实时分析器之间连接有一实时报 警器,所述的数据处理器连接外部数据交换管理器与内部数据交换管理器。 上述技术方案的有益之处在于
本实用新型网络综合防护系统针对目前网络环境从根本上解决数据 的安全问题,即由内、外部数据交换管理器分别负责接收来自所连接网络 的访问请求,两数据交换管理器之间没有直接的物理连接,形成一个物理 隔断,从而保证可信网和非可信网之间没有数据包的交换,没有网络连接 的建立。在此前提下,通过实时分析器连接的数据处理器、规则处理器、 行为特征处理器、报表处理器及实时报警器来实现网络间信息的实时交换。 因此可信网的用户可以通过安全隔离与信息交换系统放心的访问非可信网 的资源,而不必担心可信网的安全受到影响。
图1为本实用新型网络综合防护系统网络示意图; 图2为本实用新型NDS主机工作原理图。
具体实施方式
现结合附图和实施例说明本实用新型。
如图l所示的一种网络综合防护系统,包括一NDS主机1、 一由外网数据交换器2与外网同步服务器3连接而成的外部数据交换管理器、 一由 内网数据交换器4与内网同步服务器5连接而成的内部数据交换管理器, 外部数据交换管理器连接NDS主机1与外部互联网6,内部数据交换管理 器连接NDS主机1与内网的终端用户7。
如图2所示的NDS主机1包括一实时分析器,该实时分析器连接有数 据处理器、规则处理器、行为特征处理器及一报表处理器,所述的报表处 理器与实时分析处理器之间连接有一实时报警器,所述的数据处理器连接
外部数据交换管理器与内部数据交换管理器。
本实用新型网络综合防护系统针对目前网络环境从根本上解决数据的 安全问题,即由内、外部数据交换管理器分别负责接收来自所连接互联网 6及终端用户7的访问请求,两数据交换管理器之间没有直接的物理连接, 形成一个物理隔断,从而保证可信网和非可信网之间没有数据包的交换, 没有网络连接的建立。在此前提下,通过实时分析器连接的数据处理器、 规则处理器、行为特征处理器、报表处理器及实时报警器来实现网络间信
息的实时交换。因此可信网的用户可以通过安全隔离与信息交换系统放心 的访问非可信网的资源,而不必担心可信网的安全受到影响。
内、外部数据交换管理器采用双通道通信机制,从可信网到非可信网 的数据流与从非可信网到可信网的数据流采用不同的数据通道,对通道的 分离控制保证各通道的传输方向可控。在特殊应用环境中可实现数据的单 向传送,以避免信息的泄漏。
权利要求1、一种网络综合防护系统,其特征在于包括一NDS主机、一外部数据交换管理器、一内部数据交换管理器,外部数据交换管理器连接NDS主机与外部互联网,该外部数据交换管理器由外网数据交换器与外网同步服务器连接而成;内部数据交换管理器连接NDS主机与内网的终端用户,内部数据交换管理器由内网数据交换器与内网同步服务器连接而成;所述的NDS主机包括一实时分析器,该实时分析器连接有数据处理器、规则处理器、行为特征处理器及一报表处理器,所述的报表处理器与实时分析器之间连接有一实时报警器,所述的数据处理器连接外部数据交换管理器与内部数据交换管理器。
专利摘要本实用新型公开了一种网络综合防护系统,包括一NDS主机、一由外网数据交换器与外网同步服务器连接而成的外部数据交换管理器、一由内网数据交换器与内网同步服务器连接而成的内部数据交换管理器,NDS主机连接外部数据交换管理器与内部数据交换管理器,所述的NDS主机包括的实时分析器连接有数据处理器、规则处理器、行为特征处理器、实时报警器及一报表处理器,由数据处理器连接外部数据交换管理器与内部数据交换管理器。与现有技术相比,内、外部数据交换管理器采用双通道通信机制,从可信网到非可信网的数据流与从非可信网到可信网的数据流采用不同的数据通道,对通道的分离控制保证各通道的传输方向可控。在特殊应用环境中可实现数据的单向传送,以避免信息的泄漏。
文档编号H04L9/00GK201282469SQ200820101628
公开日2009年7月29日 申请日期2008年3月14日 优先权日2008年3月14日
发明者陈京鹭 申请人:厦门柏事特信息科技有限公司