一种大规模网络逻辑安全域访问控制方法
【专利摘要】本发明提供了一种实现不同安全域的独立化、差异化防护的大规模网络逻辑安全域访问控制方法,包括如下步骤:(1)根据信息系统不同类型、不同级别的应用系统之间的连接和信息关系,将安全域之间的边界划分为外网边界、内网边界、应用边界、纵向边界及横向边界五类;(2)所述外网边界采用移动存储介质实施单向数据导入实现物理隔离;采用单向安全隔离方法和双向安全隔离方法实现逻辑隔离。本发明的大规模网络逻辑安全域访问控制方法,实现不同安全域的独立化、差异化防护,以便于理顺网络和系统的架构,使信息系统的逻辑结构更加清晰,从而简化系统设计的复杂度。
【专利说明】一种大规模网络逻辑安全域访问控制方法
【技术领域】
[0001]本发明涉及一种安全域访问控制方法,尤其是一种大规模网络逻辑安全域访问控制方法。
【背景技术】
[0002]很多大型分布式信息系统中涉及了多类应用分系统,不同的分系统中又包含了多个子系统,不同的分系统和子系统又接入了很多支撑保障系统,使得信息系统的网络结构愈加复杂
【发明内容】
[0003]本发明提供了一种实现不同安全域的独立化、差异化防护的大规模网络逻辑安全域访问控制方法。
[0004]实现本发明目的的大规模网络逻辑安全域访问控制方法,包括如下步骤:
[0005](I)根据信息系统不同类型、不同级别的应用系统之间的连接和信息关系,将安全域之间的边界划分为外网边界、内网边界、应用边界、纵向边界及横向边界五类;
[0006](2)所述外网边界采用移动存储介质实施单向数据导入实现物理隔离;采用单向安全隔离方法和双向安全隔离方法实现逻辑隔离;
[0007]所述内网边界采用网络访问控制方法、病毒及恶意代码过滤方法、身份认证与授权方法和入侵检测及审计方法实施策略隔离;
[0008]所述应用边界采用网络访问控制方法、接入认证和授权与控制方法施应用隔离;
[0009]所述纵向边界采用网络访问控制方法、病毒及恶意代码过滤方法、鉴别/授权/认证方法和入侵检测及审计方法实施应用隔离;
[0010]所述横向边界采用网络访问控制方法、虚拟子网方法和访问控制列表方法确保数据交换安全。
[0011]所述外网边界为应用系统或其所依托的网络与互联网等外部网络的边界;
[0012]所述内网边界为应用系统及其所依托的网络之间的边界;
[0013]所述应用边界为不同应用系统之间的边界;
[0014]所述纵向边界为与上下级或平级同类应用系统之间的边界;
[0015]所述横向边界为应用系统内部不同工作域之间的互访边界。
[0016]本发明的大规模网络逻辑安全域访问控制方法的有益效果如下:
[0017]本发明的大规模网络逻辑安全域访问控制方法,为满足信息系统复杂的业务系统和网络系统的各种安全需求,采取分域保护的原则,根据业务的类型、重要性、管理等级和安全等级的不同,进行逻辑安全域划分,按照“分类、分级、分区”的模式,在整体防御体系框架下,按照系统的功能和用途进行分类,同类系统按照部署的位置和重要性进行分级,同类同级系统内部按照系统组成分区,将安全需求逐级分解,形成一个个独立的防御模块,即逻辑安全域,通过对不同逻辑安全域之间的访问机制进行统筹规划,对不同安全域内部进行独立的安全防护设计,实现不同安全域的独立化、差异化防护,以便于理顺网络和系统的架构,使信息系统的逻辑结构更加清晰,从而简化系统设计的复杂度。
【专利附图】
【附图说明】
[0018]图1为本发明的大规模网络信息系统逻辑安全域边界划分的示意图。
【具体实施方式】
[0019]如图1所示,本发明的大规模网络逻辑安全域访问控制方法,包括如下步骤:
[0020](I)根据信息系统不同类型、不同级别的应用系统之间的连接和信息关系,将安全域之间的边界划分为外网边界、内网边界、应用边界、纵向边界及横向边界五类;
[0021]所述外网边界为应用系统或其所依托的网络与互联网等外部网络的边界;
[0022]所述内网边界为应用系统及其所依托的网络之间的边界;
[0023]所述应用边界为不同应用系统之间的边界;
[0024]所述纵向边界为与上下级或平级同类应用系统之间的边界;
[0025]所述横向边界为应用系统内部不同工作域之间的互访边界;
[0026](2)所述外网边界采用移动存储介质实施单向数据导入实现物理隔离;采用单向安全隔离方法和双向安全隔离方法实现逻辑隔离;
[0027]所述内网边界采用网络访问控制方法、病毒及恶意代码过滤方法、身份认证与授权方法和入侵检测及审计方法实施策略隔离;
[0028]所述应用边界采用网络访问控制方法、接入认证和授权与控制方法施应用隔离;
[0029]所述纵向边界采用网络访问控制方法、病毒及恶意代码过滤方法、鉴别/授权/认证方法和入侵检测及审计方法实施应用隔离;
[0030]所述横向边界采用网络访问控制方法、虚拟子网方法和访问控制列表方法确保数据交换安全。
[0031]物理安全技术手段用于确保信息系统的环境安全、设施安全和媒体安全,环境安全包括信息系统所在的环境的安全,设施安全包括信息系统相关设备的安全,媒体安全包括媒体数据的安全和媒体本身的安全。
[0032]网络安全技术手段主要是针对基础网络的安全性和可用性,实现网络接入安全、网络交换安全以及病毒过滤等功能,重点解决边界接入安全问题,确保信息传输和交换的安全,并对信息系统进行实时监测,主动搜索网络中的薄弱环节,并在攻击发生时,能够及时发现其内在规律,实时、准确地判断出攻击的来源、手段、攻击点和危害情况。
[0033]主机安全技术手段主要解决服务器和终端的安全问题,实现对服务器和终端的安全防护:提供主机系统安全防护和监控审计能力,能够对主机违规接入、非法外联、外设拷贝和网络访问等行为进行安全监控和审计,防范失泄密事件发生;提供安全风险评估和隐患发现能力,及时发现并修补漏洞;提供主机病毒实时查杀能力,实现对服务器和终端的病毒防护。
[0034]应用安全技术手段以证书管理系统为基础,针对应用业务提供身份认证和权限管理等功能,通过安全应用编程接口或应用代理方式,为应用系统提供保密性、完整性、不可否认性、访问控制等服务,并具备对应用系统的安全审计能力,能够对用户注册、系统使用等行为进行审计追踪。
[0035]数据安全技术手段用于确保系统重要数据信息在传输过程与存储过程中的完整性与保密性,并确保存储过程中检测到完整性错误时,具有相应的措施对信息进行恢复。
[0036]上面所述的实施例仅仅是对本发明的优选实施方式进行描述,并非对本发明的范围进行限定,在不脱离本发明设计精神前提下,本领域普通工程技术人员对本发明技术方案做出的各种变形和改进,均应落入本发明的权利要求书确定的保护范围内。
【权利要求】
1.一种大规模网络逻辑安全域访问控制方法,包括如下步骤: (1)根据信息系统不同类型、不同级别的应用系统之间的连接和信息关系,将安全域之间的边界划分为外网边界、内网边界、应用边界、纵向边界及横向边界五类; (2)所述外网边界采用移动存储介质实施单向数据导入实现物理隔离;采用单向安全隔离方法和双向安全隔离方法实现逻辑隔离; 所述内网边界采用网络访问控制方法、病毒及恶意代码过滤方法、身份认证与授权方法和入侵检测及审计方法实施策略隔离; 所述应用边界采用网络访问控制方法、接入认证和授权与控制方法施应用隔离; 所述纵向边界采用网络访问控制方法、病毒及恶意代码过滤方法、鉴别/授权/认证方法和入侵检测及审计方法实施应用隔离; 所述横向边界采用网络访问控制方法、虚拟子网方法和访问控制列表方法确保数据交换安全。
2.根据权利要求1所述的大规模网络逻辑安全域访问控制方法,其特征在于:所述外网边界为应用系统或其所依托的网络与互联网等外部网络的边界; 所述内网边界为应用系统及其所依托的网络之间的边界; 所述应用边界为不同应用系统之间的边界; 所述纵向边界为与上下级或平级同类应用系统之间的边界; 所述横向边界为应用系统内部不同工作域之间的互访边界。
【文档编号】H04L29/06GK103856486SQ201410070159
【公开日】2014年6月11日 申请日期:2014年2月28日 优先权日:2014年2月28日
【发明者】马琳, 刘嵩, 刘福强, 房潇 申请人:中国人民解放军91655部队