一种基于数字证书的网络安全控制系统及方法与流程

本发明涉及信息安全领域，尤其是涉及一种基于数字证书的网络安全控制系统及方法。

背景技术：

1、船舶企业已经完全实现了信息化办公，企业管理、员工工作离不开各种各样的信息系统支撑，随着船舶企业应用系统的数量增长以及员工分工的愈渐复杂，对信息系统的安全性要求越来越高。但现有技术中对应用系统访问权限制定不够完善，不能对企业不同的应用系统实施有效的访问与隔离措施，不能有效保证企业信息的安全。

技术实现思路

1、针对现有技术中存在的技术问题，本申请提供种一种基于数字证书的网络安全控制系统，从而提高应用系统用户身份验证的强度，以有效保证企业的信息安全。

2、为实现上述目的，本发明提供如下技术方案：

3、一种基于数字证书的网络安全控制系统，包括：

4、数字证书，用于通过加密的方式形成加密的人员电子身份信息，以保障电子身份唯一性，可接入计算机；

5、数字证书管理中心，用于存储受信任数字证书，及新增、变更和销毁数字证书，可以对用户数字证书进行多次验证，并引导未通过验证的数字证书的通信数据至数据采集模块；

6、安全设备一，用于在网络通信过程中能够控制网络层的设备；

7、安全设备二，用于在网络通信过程中能够控制表示层的设备，并可设置不同的数字证书访问相应的应用系统；

8、数据采集模块，与所述安全设备一和安全设备二连接，用于采集未通过验证的用户数字证书的通信数据，并记录、转发所述通信数据至威胁识别模块；

9、威胁识别模块，用于模拟真实应用系统环境，识别、记录所述通信数据中存在威胁和/或违规行为，确认威胁和/或违规后联动安全设备一和安全设备二对未通过验证的数字证书的网络访问进行永久封闭。

10、在一种实施方案中，所述人员电子身份信息包括姓名、部门、工号、电子邮箱。

11、在一种实施方案中，所述验证包括验证用户数字证书是否为受信任数字证书、用户数字证书是否在有效期内、用户数字证书是否被窜改。

12、在一种实施方案中，所述通信数据包括访问ip地址、通信协议、源ip地址、目的ip地址、数据包访问内容，源端口、目的端口。

13、在一种实施方案中，所述威胁识别模块可以对所述通信数据进行静态检测和动态监测，并根据监测识别结果出具深度监测报告。

14、在一种实施方案中，安全设备二根据所述部门信息设置不同的数字证书可以访问所述部门员工需使用的应用系统。

15、在一种实施方案中，所述数字证书符合itu x.509或itu x.500国际标准。

16、本发明还提供一种基于数字证书的网络安全控制方法，其包括以下步骤：

17、s1、在计算机上接入用户数字证书，计算机进入网络层，安全设备一对计算机进行默认安全控制；

18、s2、数字证书管理中心对用户数字证书进行第一次验证，若验证不通过，数字证书管理中心引导未通过验证的用户数字证书的通信数据至数据采集模块，进入s3；若验证通过，安全设备一控制计算机访问策略变更为正常访问，进入s4；

19、s3、数据采集模块采集未通过验证的数字证书的通信数据，并记录和转发所述通信数据至威胁识别模块，威胁识别模块识别、记录所述通信数据中存在威胁和/或违规行为，确认威胁后联动安全设备一对未通过验证的数字证书的访问进行永久封闭；

20、s4、计算机进入表示层，安全设备二默认通过第一次验证的用户数字证书禁止访问任何应用系统；

21、s5、数字证书管理中心对用户数字证书进行第二次验证，若验证不通过，数字证书管理中心引导未通过验证的用户数字证书的通信数据至数据采集模块，进入s6；若验证通过，安全设备二控制计算机访问策略变更为正常访问，允许用户数字证书进入相应的应用系统；

22、s6、数据采集模块采集未通过验证的数字证书的通信数据，并记录和转发所述通信数据至威胁识别模块，威胁识别模块识别、记录所述通信数据中存在威胁和/或违规行为，确认威胁后联动安全设备二对未通过验证的数字证书的访问进行永久封闭。

23、在一种实施方案中，s1中默认安全控制包含用户数字证书的网络访问权限。

24、与现有技术相比，本申请中的有益效果为：

25、本申请公开了一种基于数字证书的网络安全控制系统及方法，通过数字证书，对人员电子身份信息进行加密，通过数字证书管理中心存储受信任数字证书并对用户数字证书进行多次验证，通过安全设备一在网络通信过程中能够控制网络层的设备，通过安全设备二在网络通信过程中能够控制表示层的设备并设置不同的数字证书可以访问相应的应用系统，数据采集模块采集未通过验证的用户数字证书的通信数据，通过威胁识别模块分析通信数据、对有威胁行为的用户数据证书进行永久封闭，加强了对用户身份验证的强度，完善了对应用系统访问权限的制定，能够对企业数据实施有效地访问和隔离，保证了企业信息的安全。

技术特征：

1.一种基于数字证书的网络安全控制系统，其特征在于，包括：

2.根据权利要求1所述基于数字证书的网络安全控制系统，其特征在于，所述人员电子身份信息包括姓名、部门、工号、电子邮箱。

3.根据权利要求1所述基于数字证书的网络安全控制系统，其特征在于，所述验证包括验证用户数字证书是否为受信任数字证书、用户数字证书是否在有效期内、用户数字证书是否被窜改。

4.根据权利要求1所述基于数字证书的网络安全控制系统，其特征在于，所述通信数据包括访问ip地址、通信协议、源ip地址、目的ip地址、数据包访问内容，源端口、目的端口。

5.根据权利要求1所述基于数字证书的网络安全控制系统，其特征在于，所述威胁识别模块可以对所述通信数据进行静态检测和动态监测，并根据监测识别结果出具深度监测报告。

6.根据权利要求2所述基于数字证书的网络安全控制系统，其特征在于，安全设备二根据所述部门信息设置不同的数字证书可以访问所述部门员工需使用的应用系统。

7.根据权利要求1所述基于数字证书的网络安全控制系统，其特征在于，所述数字证书符合itu x.509或itu x.500国际标准。

8.一种基于数字证书的网络安全控制方法，其特征在于，其包括以下步骤：

9.根据权利要求8所述基于数字证书的网络安全控制方法，其特征在于，s1中默认安全控制包含用户数字证书的网络访问权限。

技术总结
本申请公开了一种基于数字证书的网络安全控制系统及方法，通过数字证书，对人员电子身份信息进行加密，通过数字证书管理中心存储受信任数字证书并对用户数字证书进行多次验证，通过安全设备一在网络通信过程中能够控制网络层的设备，通过安全设备二在网络通信过程中能够控制表示层的设备并设置不同的数字证书可以访问相应的应用系统，数据采集模块采集未通过验证的用户数字证书的通信数据，通过威胁识别模块分析通信数据、对有威胁行为的用户数据证书进行永久封闭，加强了对用户身份验证的强度，完善了对应用系统访问权限的制定，能够对企业数据实施有效地访问和隔离，保证了企业信息的安全。

技术研发人员：陈振兴,朱永娟,翁竟杰
受保护的技术使用者：江南造船（集团）有限责任公司
技术研发日：
技术公布日：2024/1/13