[发明专利]网络安全防护架构、方法及系统

说明书

本发明实施例中公开了一种网络安全防护架构、方法及系统，接收用户通过终端发送的资源访问请求；判断所述用户是否具有对所述资源的访问权限，得到第一判断结果；当所述第一判断结果表示所述用户具有对所述资源的访问权限时，确定所述资源所在的物理分区；将所述用户通过终端发送的资源访问请求转发至所述资源所在的物理分区。基于上述网络安全防护架构、方法及系统，能够基于分区控制与分类防护的统一以及静态防护与动态防御的统一对基于互联网的开放环境建设的重要信息系统的安全进行有效防护。

技术领域

本发明涉及互联网重要信息系统技术领域，具体涉及一种网络安全防护架构、方法及系统。

背景技术

互联网作为全球性关键信息基础设施，依托互联网建设重要信息系统，已经成为各国推进信息化的首要选择。传统的基于互联网建设的重要信息系统是建设在隔离专网下的，对其安全的防护多采用纵深防御体系进行。

目前，随着互联网环境的高度开放，基于互联网的重要信息系统建设，也将重要信息系统从隔离专网拉向互联网的开放环境。建设在互联网开放环境下的重要信息系统，一方面由于防护边界模糊，纵深消失，使得传统的纵深防御体系的实施点不明确，难以实施；另一方面，由于面向受众从政务人员延伸到普通大众，业务从内部政务拓展到对外服务，使得传统的纵深防御体系难以形成有效的安全屏障。

因此，如何对基于互联网的开放环境建设的重要信息系统的安全进行有效防护，成为本领域技术人员亟待解决的技术问题。

发明内容

有鉴于此，本发明实施例提供一种网络安全防护架构、方法及系统，能够对基于互联网的开放环境建设的重要信息系统的安全进行有效防护。

为实现上述目的，本发明实施例提供如下技术方案：

一种网络安全防护架构，所述架构包括：

物理分区模块、分区控制模块、分类防护模块以及终端多模式防护模块；

所述物理分区模块包括多个物理分区；

所述分区控制模块用于依据分区控制策略控制分区数据流的流向，以实现用户分区访问；

所述分类防护模块用于基于属性聚合机制适配技术对基于互联网的开放环境建设的重要信息系统的安全进行有效防护；

所述终端多模式防护模块用于对终端进行多种模式的安全防护。

优选的，所述多个物理分区分别为安全管理区、内部数据处理区、公开数据处理区、安全服务区，其中，所述公开数据处理区、所述安全服务区为开放区，所述公开数据处理区与所述内部处理区隔离，所述安全服务区与所述安全管理区分离。

优选的，所述分区控制模块包括接入控制部件和安全交换部件。

优选的，所述多种模式包括基本安全模式、安全增强模式、可信增强模式和动态增强模式。

一种网络安全防护方法，包括：

接收用户通过终端发送的资源访问请求；

判断所述用户是否具有对所述资源的访问权限，得到第一判断结果；

当所述第一判断结果表示所述用户具有对所述资源的访问权限时，确定所述资源所在的物理分区；

将所述用户通过终端发送的资源访问请求转发至所述资源所在的物理分区。

优选的，在所述接收用户通过终端发送的资源访问请求之前，所述方法还包括：

接收用户通过终端发送的连接请求；

对所述用户的身份进行合法性检查，以判断所述用户是否为注册用户或者政务人员，得到第二判断结果；