[发明专利]一种网络安全防护集成系统及其控制方法

权利要求书

1.一种网络安全防护集成系统，所述网络安全防护集成系统用 于对受保护信息网络进行安全防护，其特征在于，所述系统包括：

若干网络信息安全设备，所述网络信息安全设备用于对受保护信 息网络的各种不同类别的网络信息安全威胁进行安全防护，每一网络 信息安全设备都设置有一功能控制接口，所述功能控制接口可供外部 控制器连接并调用该接口所属网络信息安全设备的各项安全防护功 能；和

中心控制器，所述中心控制器与所述各网络信息安全设备通过所 述功能控制接口进行连接，与各网络信息安全设备进行交互通信并对 各网络信息安全设备的工作状态进行控制，所述中心控制器上设置有 使各网络信息安全设备进行协作互动的联动策略信息表，当受保护信 息网络与外界进行数据通信时，各网络信息安全设备通过所述中心控 制器来执行上述联动策略信息表中的联动策略；

各网络信息安全设备的功能应用在中心控制器上发布为基于 Web services的web或CLI界面，中心控制器及各网络信息安全设备 之间采取基于XML和CISL的公共入侵和检测描述语言进行通信； 由中心控制器配置各网络信息安全设备通过基于web service的接口 ws-if及心跳协议和事件汇报协议，实现对不同网络信息安全设备的 控制和管理；各网络信息安全设备通过各自的基于web service的接 口ws-if及事件汇报协议实现相互之间的联动和互操作。

2.一种权利要求1所述的网络安全防护集成系统的控制方法， 其特征在于，所述方法包括如下步骤：

将各网络信息安全设备的功能应用在中心控制器上发布为基于 Web services的web或CLI界面，且中心控制器及各网络信息安全设 备之间采取基于XML和CISL的公共入侵和检测描述语言进行通 信，并采用XML数字签名和证书系统确保网络信息安全设备之间通 信的安全性。

3.如权利要求2所述的控制方法，其特征在于，所述方法通过 如下方式监控系统的工作状态：

使中心控制器定时向各网络信息安全设备发送心跳请求数据包， 然后等待各网络信息安全设备返回的心跳应答数据包，如果中心控制 器在规定的时间内收到了来自各网络信息安全设备的心跳应答数据 包，则可视为各网络信息安全设备是正常的，否则视为有网络信息安 全设备的工作状态不正常，中心控制器记录下日志后，向用户界面发 出警告信息。

4.如权利要求2所述的控制方法，其特征在于，所述方法通过 如下方式进行系统配置更新：

用户在通过WEB界面或者CLI界面更改各网络信息安全设备上 的配置的时候，中心控制器向各网络信息安全设备发出系统配置更新 请求消息，各网络信息安全设备收到中心控制器发来的系统配置更新 请求消息后，若确认命令正确，则按照系统配置更新请求消息的要求 更新自身配置，并向中心控制器返回配置更新的应答消息。

5.如权利要求2所述的控制方法，其特征在于，所述方法通过 如下方式进行系统的联动控制：

在所述联动策略信息表中设置各网络信息安全设备的工作模式 信息，所述工作模式信息对各网络信息安全设备之间，以及中心控制 器与各网络信息安全设备之间的信息传递、逻辑判断和动作执行方式 进行了规定，当系统处于工作状态时，则以所述工作模式信息规定的 方式进行运转。