基于网络过滤驱动的业务系统传输安全加固方法
【技术领域】
[0001]本发明涉及网络安全通信领域,尤其涉及一种基于网络过滤驱动的业务系统传输安全加固方法。
【背景技术】
[0002]在日常的网络应用中,TCP/IP协议为主要的通信传输协议,办公系统,业务系统,ERP软件,数据库,网站服务等都基于TCP/IP协议。由于TCP/IP协议本身并不涉及安全保护功能,所以在现有的业务系统中,如果业务系统软件的实现对通信安全性考虑不足,将导致业务系统关键数据被监听、盗取、篡改,从而造成严重损失。
[0003]现有技术中,一般使用HTTPS 和 IPsec (Internet Protocol Security)两种技术方式实现对业务系统的网络传输进行安全保护,第一种技术方式HTTPS仅适用于基于HTTPS协议的网络通信,对于局域网中常用的C/S结构的业务系统、ERP软件无法使用HTTPS技术方式进行传输加密,第二种技术方式IPsec可适用于局域网环境,计算机被加密后,所有网络通信都将被加密传输,并且需要更改每个计算机的网络配置,使用IPsec技术的计算机无法与未使用IPsec技术的计算机通信,在日常局域网环境部署实施难度较大。另外,IPsec协议要求对数据进行加密和验证,其中涉及很大的运算量,占用大量CPU资源,这样势必会导致系统性能的下降,难以达到高速处理数据的目的。综上所述,业务系统传输的安全保护存在较大局限性,HTTPS技术方式仅适用于基于HTTPS协议的网络通信,对于C/S结构的业务系统无法进行传输加密,IPsec技术方式需要改变局域网中每个计算机的现有网络配置进行传输加密,因此,需要一种安全通用的,适用于任何网络环境,且不改变计算机现有网络配置的业务系统传输安全加固方法解决上述问题。
【发明内容】
[0004]本发明的主要目的在于提供一种基于网络过滤驱动的业务系统传输安全加固方法,该方法无需改变计算机现有网络配置,在任意软件、任意硬件环境下,能够对业务系统传输进行安全加固保护。
[0005]为了达到上述目的,本发明所采用的技术方案如下:
基于网络过滤驱动的业务系统传输安全加固方法,包括以下步骤:
a.配置保护策略:配置策略类型、授权IP地址列表、授权进程列表;
所述策略类型包括:安全性优先、兼容性优先,根据所述策略类型的不同将执行不同的保护策略;
所述授权IP地址列表包括:若干个被授权的终端计算机IP地址;
所述授权进程列表包括:若干个被保护的业务系统的进程名;
b.捕获网络数据报文:通过网络过滤驱动的方式捕获发送或接收的网络数据报文,并将所述网络数据报文存储在通信缓存列表中;
所述网络数据报文包括:报文内容、报文长度、进程名、报文传输方向; 所述通信缓存列表包括:若干个网络数据报文;
C.将通信缓存列表转换为数据信息列表:通过分析所述通信缓存列表中存储的网络数据报文的报文内容、报文长度、进程名、报文传输方向,将网络数据报文转换为报文数据信息,并将该报文数据信息存储到数据信息列表中;
通过分析报文内容的IP头信息以及IP头信息中的目的地址字段获取对端IP地址; 所述报文数据信息包括:报文内容、报文长度、进程名、报文传输方向、对端IP地址;
所述数据信息列表包括:若干个报文数据信息;
d.读取所述报文数据信息中的进程名,如果该进程名包含在所述授权进程列表中,则继续执行步骤e,如果该进程名不包含在授权进程列表中,执行步骤f ;
e.实施保护策略:将所述报文数据信息中的进程名作为保护进程的数据信息,实施保护策略;
f.如果所述报文数据信息的传输方向为发送,则传递报文内容、报文长度给操作系统的下层网络驱动;如果所述报文数据信息的传输方向为接收,则传递报文内容、报文长度给操作系统上层网络驱动,结束。
[0006]在所述步骤e中,将所述报文数据信息中的进程名作为保护进程的数据信息,实施保护策略,包括以下步骤:
el.如果所配置的策略类型为安全性优先,则继续执行步骤e2 ;如果所配置的策略类型为兼容性优先,则执行步骤e3 ;
e2.如果对端IP地址包含在所述授权IP地址列表中,且报文传输方向为发送,则加密报文内容,其中报文内容中的IP头信息不加密,执行步骤e4 ;如果对端IP地址包含在所述授权IP地址列表中,且报文传输方向为接收,则解密报文内容,其中报文内容中的IP头信息不解密,执行步骤e4 ;
如果对端IP地址不包含在所述授权IP地址列表中,且报文传输方向为发送,则加密报文内容,其中报文内容中的IP头信息不加密,执行步骤e4 ;如果对端IP地址不包含在所述授权IP地址列表中,且报文传输方向为接收,则解密报文内容,其中报文内容中的IP头信息不解密,执行步骤e4 ;
e3.如果对端IP地址包含在所述授权IP地址列表中,且报文传输方向为发送,则加密报文内容,其中报文内容中的IP头信息不加密,执行步骤e4 ;如果对端IP地址包含在所述授权IP地址列表中,且报文传输方向为接收,则解密报文内容,其中报文内容中的IP头信息不解密,执行步骤e4 ;
如果对端地址不包含在所述授权IP地址列表中,则不处理,即不加密不解密,执行步骤e4 ;
θ4.结束。
[0007]本发明的有益效果是:
本发明的基于网络过滤驱动的业务系统传输安全加固方法,该方法基于驱动层实现通信加密,适用于任何网络环境,在不改变终端计算机现有网络配置的情况下,实现了即兼容未加固的终端计算机、又可以严格匹配只能与已加固的终端计算机进行通信。有效地杜绝了网络监听、数据盗取、篡改等手段造成的安全损失,解决了业务系统实现安全加固时,在日常局域网环境部署实施难度较大、系统资源占用高、运营维护成本高,无法在不改变终端计算机现有网络配置实现业务系统传输透明加密的问题,极大地降低部署实施难度、减少了系统资源占用、降低了运营维护成本。
【附图说明】
[0008]图1是本发明的基于网络过滤驱动的业务系统传输安全加固方法的流程图;
图2是本发明的基于网络过滤驱动的业务系统传输安全加固方法步骤e的流程图;
图3是本发明的实施例的应用环境的结构示意图。
【具体实施方式】
[0009]下面结合附图和实施例,对本发明的基于网络过滤驱动的业务系统传输安全加固方法做进一步详细描述。
[0010]本发明的基于网络过滤驱动的业务系统传输安全加固方法,该方法基于驱动层实现通信加密,适用于任何网络环境,在不改变终端计算机现有网络配置的情况下,实现兼容未加固终端计算机、严格匹配只能与已加固终端计算机进行通信。
[0011]本实施例以财务管理系统(Finance)为例,如图3所示,该财务管理系统(Finance)包括60台终端计算机,终端计算机Al,A2,…,A60,以点对点方式星型连接。
[0012]财务管理系统中的60台终端计算机Al,A2,…,A60的IP地址全部存储在60台终端计算机的授权IP地址列表中。本实施例被授权的业务系统3个,包括安全管理系统、运维系统、财务管理系统,将所有被授权的3个业务系统进程名均存储在60台终端计算机的授权进程列表中,其中财务管理系统的进程名为Finance, exe。
[0013]以终端计算机Al和终端计算机A2进行财务管理系统文件传输为例进行说明。
[0014]终端计算机Al发送文件“财务明细.xlsx”,终端计算机A2接收终端计算机Al发送的文件“财务明细.xlsx”。
实施例
[0015]例如,终端计算机Al的账号为AlOdev.gsc.com、密码为123456,终端计算机Al发送文件名为“财务明细.xlsx”的文件到终端计算机A2的账号A2@dev.gsc.com中。
[0016]实施例1,策略类型为安全性优先:
如图1所示,本发明的基于网络过滤驱动的业务系统传输安全加固方法,具体工作步骤如下:
终端计算机Al工作步骤如下:
a.配置保护策略:配置终端计算机Al的策略类型,授权IP地址列表,授权进程列表; 配置终端计算机Al的策略类型为安全性优先;
配置终端计算机Al的IP地址为192.168.0.1,并存储到其授权IP地址列表;
配置终端计算机A2的IP地址为192.168.0.2,并存储到其授权IP地址列表;
配置终端计算机A3—A60的IP地址,并存储到其授权IP地址列表;
配置财务管理系统的进程名为Finance, exe,并存储到终端计算机Al和终端计算机A2的授权进程列表;
配置安全管理系统和运维系统的进程名,并存储到终端计算机Al和终端计算机A2的授权进程列表;
终端计算机Al的授权IP地址列表包括:被授权的终端计算机Al的IP地址192.168.0.1、被授权的终端计算机A2的IP地址192.168.0.2和被授权的终端计算机A3—A60的IP地址;
终端计算机Al的授权进程列表包括:被保护的业务系统:财务管理系统的进程名Finance, exe和安全管理系统、运维系统的进程名;
b.捕获网络数据报文:
终端计算机Al通过网络过滤驱动的方式捕获到发送的网络数据报文包括:报文内容:“账号:Alidev.gsc.com,密码:123456,文件:财务明细.xlsx, IP头信息-M IP地址:192.168.0.1、目的 IP 地址:192.168.0.2 等”、报文长度:1450 字节、进程名 -Finance, exe、报文传输方向:发送,终端计算机Al将捕获到