本发明涉及企业专用网络监管技术领域,尤其涉及一种企业专用网络安全监管系统。
背景技术:
企业专用网络是两个企业间的专线连接,这种连接是两个企业的内部网之间的物理连接,和一般的拨号连接不同,专线是一直连通的,除了这两个合法连入专用网络的企业,其他任何人和企业都不能进入该网络,企业专用网络保证了信息流的安全性和完整性,因此需要对企业专用网络进行安全监管。
现有的企业专用网络安全监管系统通常多采用单项监管和局部监管的体系,使其只能够对企业专用网络内特性范围中的数据进行监管,无法将所有的监管体系汇总在一起形成统一的监管体系,导致对企业专用网络的监管效果不够全面安全,容易造成企业核心数据信息的丢失或泄露。
技术实现要素:
本发明的目的是为了解决现有技术中存在的缺点,而提出的一种企业专用网络安全监管系统。
为了实现上述目的,本发明采用了如下技术方案:一种企业专用网络安全监管系统,其特征在于,包括:安全运行中心、企业网络平台和应用控制终端;
所述安全运行中心可以为企业制定全面的安全配置与策略,合理规划及使用信息资源,并实时的对企业专用网络运行、网络设备、主机系统、数据库操作行为、应用系统、网络服务信息内容进行监控,对具有安全隐患的的信息进行及时的报警;
所述企业网络平台可以实时的监控企业专用网络中所有的运行数据信息,对监控到的数据信息进行汇总后,将企业专用网络中的中间层所监控到的信息传输到安全运行中心;
所述应用控制终端作为设备、信息或者系统的集合,用于将安全运行中心传输的数据指令准确对应的传导在企业专用网络的输出设备上,并精确完整的执行安全指令。
作为上述技术方案的进一步描述:
所述安全运行中心包括安全配置监管体系、信息服务监管体系和监控与报警体系;
所述安全配置监管体系用于管理企业专用网络中的相关配置情况,并对企业专用网络的配置拟定符合要求的安全配置和策略;
所述信息服务监管体系用于管理企业专用网络中的信息服务内容,并对企业专用网络的信息拟定合理的信息资源使用策略;
所述监控与报警体系用于通过具体的监控设备实时的监控气压专用网络中各个设备的运行状态,对具有安全隐患的的信息进行及时的报警。
作为上述技术方案的进一步描述:
所述企业网络平台包括网络安全平台;
所述网络安全平台由边界管理模块、实时监控模块和综合监控模块组成;
通过边界管理模块可以管理企业专用网络中的边界防护设备,并把边界防护设备的配置情况上传到安全运行中心的安全配置管理数据库内储存;
通过实时监控模块可以实时监控企业专用网络中的网络路由机交换设备,并把监控得到的信息上传到安全运行中心的监控与预警平台中储存;
通过综合监控模块可以综合监控机房内的各项安全指标,并把监控得到的信息进行汇总,之后统一上传到安全运行中心。
作为上述技术方案的进一步描述:
所述企业网络平台还包括主机与应用安全平台;
所述主机与应用安全平台由主机入网认证与控制模块、病毒监控与升级管理模块、ca认证模块、综合访问授权与控制模块和系统加固与监管模块组成;
通过主机入网认证与控制模块可以检测企业专用网络中的主机系统是否符合安全策略,并对检测的结果进行显示,从而控制主机系统接入企业专用网络;
通过病毒监控与升级管理模块可以管理企业专用网络中的主机安全状态,监控内网中的病毒情况,并对病毒库进行升级更新;
通过ca认证模块可以对企业专用网络中的各类应用程序系统进行身份的认证,并分类筛选出合格与不合格的身份信息;
通过综合访问授权与控制模块可以增强企业专用网路中应用系统的授权功能,确保应用系统的入网成功率;
通过系统加固与监管模块可以对监控主机的系统补丁状态进行监控,并对需要打补丁的主机系统进行提示更新。
作为上述技术方案的进一步描述:
所述企业网络平台还包括数据安全平台;
所述数据安全平台由数据库漏洞扫描与加固模块、数据分区与加密模块、核心数据传输控制模块和数据异地容灾备份模块组成;
通过数据库漏洞扫描与加固模块可以及时的发现应用系统中的漏洞,并及时的下载补丁来弥补漏洞所带来的威胁,消除应用系统的安全隐患;
通过数据分区与加密模块可以对数据库中关键数据进行加密存储,保障关键数据在数据库内的绝对安全;
通过核心数据传输控制模块可以对数据库内的核心数据的传输过程起到安全防护,确保核心数据传输的安全;
通过数据异地容灾备份模块可以建立容灾备份中心,并备份数据库内的相关数据,确保能够在灾难发生后及时的恢复数据。
作为上述技术方案的进一步描述:
所述企业网络平台还包括网络信息服务平台;
所述网络信息服务平台包括信息发布与管理模块、外网访问与控制模块和电子邮件监管模块;
通过信息发布与管理模块可以全面的审批企业专用网络中发布的信息内容,保证内容的合法性和合理性,并同时监控管理公共信息被访问时的相对安全;
通过外网访问与控制模块可以对企业中的员工在访问外网时进行实时的监控,检测并删除可能泄露企业数据信息的部分内容,并阻挡外网数据的侵入;
通过电子邮件监管模块可以对网络中发出和接收的电子邮件内容进行过滤,保证企业机密数据信息不会通过电子邮件传播出去造成信息的泄漏。
作为上述技术方案的进一步描述:
所述应用控制终端包括安全防护设备单元、网络路由与交换设备单元、主机系统及机房防护设备单元、应用程序单元和公共信息单元;
所述安全防护设备单元用于确保边界访问设备始终处于企业专用网络的安全系统内,并将监控信息汇总传输到安全运行中心;
所述网络路由与交换设备单元用于确保网络路由与交换设备始终处于企业专用网络的安全系统内,并将监控信息汇总传输到安全运行中心;
所述主机系统及机房防护设备单元用于监视主机系统及机房防护设备的全部方面,并将监控信息汇总传输到安全运行中心;
所述应用程序单元用于服务于企业专用网络中的各类应用系统,保证应用系统的身份认证准确性、数据传输的安全性和存储加密的独一性;
所述公共信息单元用于监视网络安全系统内的公共信息,确保公共信息发布、访问和传播过程的安全性,确保不会将企业专用网络中安全数据库内的数据泄露出去。
有益效果
本发明提供了一种企业专用网络安全监管系统。具备以下有益效果:
(1):该企业专用网络安全监管系统采用一个中心、四个平台和五个控制端的结构体系,实现了对企业专用网络分层逐级渗透的监管效果,确保了企业专用网络中各项数据的传输稳定性,也实现了企业专用网络相对统一的网络监管体系,最大化的确保了企业专用网络的安全性。
(2):该企业专用网络安全监管系统通过对企业专用网络中各项入网设备和控制端的全面实时监控,能够防止网内和网内的数据发生异常的传输交换,及时的发现安全隐患信息并报警消除,防止企业专用网络出现漏洞而导致数据的丢失或泄漏。
附图说明
图1为本发明提出的一种企业专用网络安全监管系统的示意图;
图2为本发明中安全运行中心的示意图;
图3为本发明中企业网络平台的示意图;
图4为本发明中网络安全平台的示意图;
图5为本发明中主机与应用安全平台的示意图;
图6为本发明中数据安全平台的示意图;
图7为本发明中网络信息服务平台的示意图;
图8为本发明中应用控制终端的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
如图1-图8所示,一种企业专用网络安全监管系统,包括:安全运行中心、企业网络平台和应用控制终端;
安全运行中心可以为企业制定全面的安全配置与策略,合理规划及使用信息资源,并实时的对企业专用网络运行、网络设备、主机系统、数据库操作行为、应用系统、网络服务信息内容进行监控,对具有安全隐患的的信息进行及时的报警;
企业网络平台可以实时的监控企业专用网络中所有的运行数据信息,对监控到的数据信息进行汇总后,将企业专用网络中的中间层所监控到的信息传输到安全运行中心;
应用控制终端作为设备、信息或者系统的集合,用于将安全运行中心传输的数据指令准确对应的传导在企业专用网络的输出设备上,并精确完整的执行安全指令。
安全运行中心包括安全配置监管体系、信息服务监管体系和监控与报警体系;
安全配置监管体系用于管理企业专用网络中的相关配置情况,并对企业专用网络的配置拟定符合要求的安全配置和策略;
信息服务监管体系用于管理企业专用网络中的信息服务内容,并对企业专用网络的信息拟定合理的信息资源使用策略;
监控与报警体系用于通过具体的监控设备实时的监控气压专用网络中各个设备的运行状态,对具有安全隐患的的信息进行及时的报警。
企业网络平台包括网络安全平台;
网络安全平台由边界管理模块、实时监控模块和综合监控模块组成;
通过边界管理模块可以管理企业专用网络中的边界防护设备,并把边界防护设备的配置情况上传到安全运行中心的安全配置管理数据库内储存;
通过实时监控模块可以实时监控企业专用网络中的网络路由机交换设备,并把监控得到的信息上传到安全运行中心的监控与预警平台中储存;
通过综合监控模块可以综合监控机房内的各项安全指标,并把监控得到的信息进行汇总,之后统一上传到安全运行中心。
企业网络平台还包括主机与应用安全平台;
主机与应用安全平台由主机入网认证与控制模块、病毒监控与升级管理模块、ca认证模块、综合访问授权与控制模块和系统加固与监管模块组成;
通过主机入网认证与控制模块可以检测企业专用网络中的主机系统是否符合安全策略,并对检测的结果进行显示,从而控制主机系统接入企业专用网络;
通过病毒监控与升级管理模块可以管理企业专用网络中的主机安全状态,监控内网中的病毒情况,并对病毒库进行升级更新;
通过ca认证模块可以对企业专用网络中的各类应用程序系统进行身份的认证,并分类筛选出合格与不合格的身份信息;
通过综合访问授权与控制模块可以增强企业专用网路中应用系统的授权功能,确保应用系统的入网成功率;
通过系统加固与监管模块可以对监控主机的系统补丁状态进行监控,并对需要打补丁的主机系统进行提示更新。
企业网络平台还包括数据安全平台;
数据安全平台由数据库漏洞扫描与加固模块、数据分区与加密模块、核心数据传输控制模块和数据异地容灾备份模块组成;
通过数据库漏洞扫描与加固模块可以及时的发现应用系统中的漏洞,并及时的下载补丁来弥补漏洞所带来的威胁,消除应用系统的安全隐患;
通过数据分区与加密模块可以对数据库中关键数据进行加密存储,保障关键数据在数据库内的绝对安全;
通过核心数据传输控制模块可以对数据库内的核心数据的传输过程起到安全防护,确保核心数据传输的安全;
通过数据异地容灾备份模块可以建立容灾备份中心,并备份数据库内的相关数据,确保能够在灾难发生后及时的恢复数据。
企业网络平台还包括网络信息服务平台;
网络信息服务平台包括信息发布与管理模块、外网访问与控制模块和电子邮件监管模块;
通过信息发布与管理模块可以全面的审批企业专用网络中发布的信息内容,保证内容的合法性和合理性,并同时监控管理公共信息被访问时的相对安全;
通过外网访问与控制模块可以对企业中的员工在访问外网时进行实时的监控,检测并删除可能泄露企业数据信息的部分内容,并阻挡外网数据的侵入;
通过电子邮件监管模块可以对网络中发出和接收的电子邮件内容进行过滤,保证企业机密数据信息不会通过电子邮件传播出去造成信息的泄漏。
应用控制终端包括安全防护设备单元、网络路由与交换设备单元、主机系统及机房防护设备单元、应用程序单元和公共信息单元;
安全防护设备单元用于确保边界访问设备始终处于企业专用网络的安全系统内,并将监控信息汇总传输到安全运行中心;
网络路由与交换设备单元用于确保网络路由与交换设备始终处于企业专用网络的安全系统内,并将监控信息汇总传输到安全运行中心;
主机系统及机房防护设备单元用于监视主机系统及机房防护设备的全部方面,并将监控信息汇总传输到安全运行中心;
应用程序单元用于服务于企业专用网络中的各类应用系统,保证应用系统的身份认证准确性、数据传输的安全性和存储加密的独一性;
公共信息单元用于监视网络安全系统内的公共信息,确保公共信息发布、访问和传播过程的安全性,确保不会将企业专用网络中安全数据库内的数据泄露出去。
在本说明书的描述中,参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。