一种基于防火墙的文件级访问准入安全控制系统的制作方法
【技术领域】
[0001]本发明涉及一种基于防火墙的文件级访问准入安全控制系统。
【背景技术】
[0002]网络准入控制已经日益得到企业用户的重视,因为只有确保网内接入的设备可信并受控,才能有效的保障网络安全。但市面上的准入产品都是针对到设备级的,也就是说,只可以控制用户访问到指定设备,而无法精确定位到磁盘甚至是文件。对于现有市面上的产品,无论是终端准入设备还是应用准入设备,细粒度都比较宽泛。
[0003]因此,现有技术有待于改进。
【发明内容】
[0004]本发明为了解决现有技术的不足,提供一种基于防火墙的文件级访问准入安全控制系统,解决日益增强的安全意识以及灵活性不够导致应用起来形同虚设等多方面的问题。
[0005]为解决上述技术问题,本发明实施例提供的一种基于防火墙的文件级访问准入安全控制系统,采用如下技术方案:
一种基于防火墙的文件级访问准入安全控制系统,其特征在于,带有准入功能的防火墙、BS架构管理员界面、插件级客户端以及加密狗。
[0006]具体地,防火墙中必须开启IP-MAC绑定功能,并将本系统软件客户端以安全插件形式推送到各个设备终端。
[0007]具体地,软件客户端认证包含三种模式,一种为IP-MAC认证,其次为用户名认证,最后为混合认证模式。
[0008]具体地,系统默认为IP-MAC认证模式;用户名认证是根据加密狗而定的,若没有插入加密狗,即使是该模式也会切换到IP-MAC认证;混合认证是安全级别最高的认证方式,可以确保设备和使用人员一致。
[0009]具体地,用户名认证模式下的加密狗是通过出场序列号进行识别认证的,管理员可以将对应的用户名以备注的方式写入,在该模式下,系统支持单用户和多用户登录(即可插一个或多个加密狗)。
[0010]具体地,客户端会侦测本机硬件信息、文件资源库、添加属性标签。
[0011]具体地,硬件信息包括IP、MAC、加密狗序列号(用户名认证模式和混合模式下)等,文件资源库不仅仅包括文件目录级关系,还可以记录文件操作信息(新增,修改,删除等)以及控制从设备,磁盘,文件夹到文件级的只读和修改操作(根据管理员设定好的策略);添加的属性标签是为了增加文件操作的灵活性,此功能需要经过审批流,经过管理员批准才能生效。比如,可以增添属性为“公开”的文件,设置其可以被所有内网用户访问,若该属性通过,那即使没有通过IP-MAC认证的用户也可以看到此文件。
[0012]本发明提供的一种基于防火墙的文件级访问准入安全控制系统,解决日益增强的安全意识以及灵活性不够导致应用起来形同虚设等多方面的问题。
【附图说明】
[0013]图1为本发明实施例所述的一种基于防火墙的文件级访问准入安全控制系统的部署效果示意图。
[0014]图2为本发明实施例所述的文件属性审批流程示意图。
[0015]图3为本发明实施例所述的设备接入访问示意图。
【具体实施方式】
[0016]下面结合附图对本发明实施例提供给的基于防火墙的文件级访问准入安全控制系统进行详细描述。
[0017]如图1、2、3所示,本发明实施例提供的一种基于防火墙的文件级访问准入安全控制系统,其特征在于,带有准入功能的防火墙、BS架构管理员界面、插件级客户端以及加密狗。
[0018]具体地,防火墙中必须开启IP-MAC绑定功能,并将本系统软件客户端以安全插件形式推送到各个设备终端。
[0019]具体地,软件客户端认证包含三种模式,一种为IP-MAC认证,其次为用户名认证,最后为混合认证模式。
[0020]具体地,系统默认为IP-MAC认证模式;用户名认证是根据加密狗而定的,若没有插入加密狗,即使是该模式也会切换到IP-MAC认证;混合认证是安全级别最高的认证方式,可以确保设备和使用人员一致。
[0021]具体地,用户名认证模式下的加密狗是通过出场序列号进行识别认证的,管理员可以将对应的用户名以备注的方式写入,在该模式下,系统支持单用户和多用户登录(即可插一个或多个加密狗)。
[0022]具体地,客户端会侦测本机硬件信息、文件资源库、添加属性标签。
[0023]具体地,硬件信息包括IP、MAC、加密狗序列号(用户名认证模式和混合模式下)等,文件资源库不仅仅包括文件目录级关系,还可以记录文件操作信息(新增,修改,删除等)以及控制从设备,磁盘,文件夹到文件级的只读和修改操作(根据管理员设定好的策略);添加的属性标签是为了增加文件操作的灵活性,此功能需要经过审批流,经过管理员批准才能生效。比如,可以增添属性为“公开”的文件,设置其可以被所有内网用户访问,若该属性通过,那即使没有通过IP-MAC认证的用户也可以看到此文件。
[0024]主要包括以下功能的实现:
1.限制对外网的访问;
2.限制对内网的访问:包括指定机器、磁盘、文件夹、文件级别;
3.访问控制:包括增、删、改、查(装有客户端的用户可以查看可以访问的文件目录树);
4.支持多用户同设备同时登陆(在用户名认证模式下),可以解决单一用户权限不足的问题,使得系统更加灵活;
5.设置外来用户访问区(精确到文件级别)等; 6.日志记录。
[0025]本发明提供的一种基于防火墙的文件级访问准入安全控制系统,解决日益增强的安全意识以及灵活性不够导致应用起来形同虚设等多方面的问题。
[0026]以上所述,仅为本发明的【具体实施方式】,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
【主权项】
1.一种基于防火墙的文件级访问准入安全控制系统,其特征在于,带有准入功能的防火墙、BS架构管理员界面、插件级客户端以及加密狗。2.根据权利要求1所述的基于防火墙的文件级访问准入安全控制系统,其特征在于,防火墙中必须开启IP-MAC绑定功能,并将本系统软件客户端以安全插件形式推送到各个设备终端。3.根据权利要求1所述的基于防火墙的文件级访问准入安全控制系统,其特征在于,软件客户端认证包含三种模式,一种为IP-MAC认证,其次为用户名认证,最后为混合认证模式。4.根据权利要求3所述的基于防火墙的文件级访问准入安全控制系统,其特征在于,系统默认为IP-MAC认证模式;用户名认证是根据加密狗而定的,若没有插入加密狗,即使是该模式也会切换到IP-MAC认证;混合认证是安全级别最高的认证方式,可以确保设备和使用人员一致。5.根据权利要求3或4所述的基于防火墙的文件级访问准入安全控制系统,其特征在于,用户名认证模式下的加密狗是通过出场序列号进行识别认证的,管理员可以将对应的用户名以备注的方式写入,在该模式下,系统支持单用户和多用户登录(即可插一个或多个加密狗)。6.根据权利要求1所述的基于防火墙的文件级访问准入安全控制系统,其特征在于,客户端会侦测本机硬件信息、文件资源库、添加属性标签。7.根据权利要求1所述的基于防火墙的文件级访问准入安全控制系统,其特征在于,硬件信息包括IP、MAC、加密狗序列号(用户名认证模式和混合模式下)等,文件资源库不仅仅包括文件目录级关系,还可以记录文件操作信息(新增,修改,删除等)以及控制从设备,磁盘,文件夹到文件级的只读和修改操作(根据管理员设定好的策略);添加的属性标签是为了增加文件操作的灵活性,此功能需要经过审批流,经过管理员批准才能生效,比如,可以增添属性为“公开”的文件,设置其可以被所有内网用户访问,若该属性通过,那即使没有通过IP-MAC认证的用户也可以看到文件。
【专利摘要】本发明公开了一种基于防火墙的文件级访问准入安全控制系统,其特征在于,带有准入功能的防火墙、BS架构管理员界面、插件级客户端以及加密狗。本发明提供的一种基于防火墙的文件级访问准入安全控制系统,解决日益增强的安全意识以及灵活性不够导致应用起来形同虚设等多方面的问题。
【IPC分类】H04L29/06
【公开号】CN105635047
【申请号】CN201410589967
【发明人】蒋斐
【申请人】江苏威盾网络科技有限公司
【公开日】2016年6月1日
【申请日】2014年10月29日