[发明专利]安全准入方法及系统

说明书

技术领域

本发明实施例涉及网络安全技术，尤其涉及一种安全准入方法及系统。

背景技术

随着网络技术的发展和全球信息化程度的不断加深，加强信息安全工作迫在眉睫。尤其在商业网络、军事保密网络和某些特定的网络环境中，对于是否允许某台设备接入整个网络环境的准入尤为重要。现有技术针对此问题，通常是直接将新设备接入网络或网络中的设备发生变更，在后续使用中通过打补丁等方式慢慢完善该设备的安全性。

上述方案为当前大部分厂家采用的方案，但使用此方案，在新设备接入或者设备状态变更时可能为当前网络造成的巨大安全隐患，降低整个网络的安全性。

发明内容

本发明目的在于提供一种安全准入方法及系统，用以提高新设备接入或者设备状态变更时网络的安全性。

本发明提供了一种安全准入方法，包括：

安全准入装置监控网络中设备的状态，当所述网络中有设备的状态发生变更时，获取发生变更的设备的设备信息；

所述安全准入装置根据所述设备信息，对所述发生变更的设备进行安全核查，获取安全核查结果；

所述安全准入装置根据所述安全核查结果及预设风险评估算法对所述发生变更的设备进行风险评估，获取风险评估结果；

所述安全准入装置根据所述风险评估结果确定是否准许所述发生变更的设备接入所述网络。

本发明还提供了一种安全准入系统，包括安全准入装置，所述安全准入装置包括：

设备状态监控模块，监控网络中设备的状态，当所述网络中有设备的状态发生变更时，获取发生变更的设备的设备信息；

安全核查模块，用于根据所述设备信息，对所述发生变更的设备进行安全核查，获取安全核查结果；风险评估模块，用于根据所述安全核查结果及预设风险评估算法对所述发生变更的设备进行风险评估，获取风险评估结果；

设备准入控制模块，用于根据所述风险评估结果确定是否准许所述发生变更的设备接入所述网络。

本发明提供一种安全准入方法及系统，通过安全准入装置对网络中设备的状态进行监控，当所述网络中有设备的状态发生变更时，获取发生变更的设备的设备信息，并根据所述设备信息，对所述发生变更的设备进行安全核查，获取安全核查结果；然后再根据所述安全核查结果及预设风险评估算法对所述发生变更的设备进行风险评估，获取风险评估结果；最后根据所述风险评估结果确定是否准许所述发生变更的设备接入所述网络，本发明提供的安全准入方法可以提高新设备接入或者设备状态变更时网络的安全性。

附图说明

图1为本发明一实施例提供的一种安全准入方法的流程示意图；

图2为本发明又一实施例提供的一种安全准入系统中安全准入装置的结构示意图。

具体实施方式

图1为本发明实施例一提供的安全准入方法的流程示意图，如图1所示，本发明实施例提供了一种安全准入方法，包括：

步骤10：安全准入装置监控网络中设备的状态，当网络中有设备的状态发生变更时，获取发生变更的设备的设备信息。主要根据网络中设备的信息变动，例如新设备的接入，已有设备的卸载，已有设备状态更新，定期检查多种形式的变动。具体的设备信息为设备的一些常规性信息，例如设备的CPU运行处理速度，设备的内存大小等。本实施例的监控对象是受控网络内部的设备，具体来说就是局域网内部的设备。

步骤20：安全准入装置根据设备信息，对发生变更的设备进行安全核查，获取安全核查结果。具体的安全核查结果包括受控网络/终端中的服务、系统、应用、配置等可能不安全的漏洞或者弱点信息。对于设备的安全核查可以通过各种扫描器进行，例如RSAS（Remote Security Assessment System，远程安全评估系统），BVS（BenchmarkVerification System，安全配置核查系统）等，上述安全核查用扫描器可以提供对单个设备的具体安全信息的核查。

步骤30：安全准入装置根据安全核查结果及预设风险评估算法对发生变更的设备进行风险评估，获取风险评估结果。具体的风险评估算法与预设的场景信息有关，预设风险评估算法可以为安全准入装置将网络的整体风险系数和安全核查结果作为预设风险评估算法的输入参数，计算发生变更的设备在网络中的风险系数，确定发生变更的设备的安全等级。