[发明专利]一种基于业务安全标记的网络隔离与交换控制方法及装置有效
| 申请号: | 201910536196.9 | 申请日: | 2019-06-20 |
| 公开(公告)号: | CN110290128B | 公开(公告)日: | 2021-02-19 |
| 发明(设计)人: | 于海波;李志谦;刘坤颖;祁峰;孙永 | 申请(专利权)人: | 中国科学院信息工程研究所 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京君尚知识产权代理有限公司 11200 | 代理人: | 余长江 |
| 地址: | 100093 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 业务 安全 标记 网络 隔离 交换 控制 方法 装置 | ||
1.一种基于业务安全标记的网络隔离与交换控制方法,针对数据资源在跨网、跨域环境下的细粒度隔离交换与安全管控需求,通过识别数据带有的业务安全标记,根据标记中安全级别、业务类别在内的业务安全属性信息,在发送端、接收端分别对数据进行控制,该方法包括以下步骤:
为发送端和接收端分别配置标记控制策略,标记控制策略为基于数据具有的业务安全标记定义相关匹配规则,对具有特定业务安全标记的数据采取对应的控制行为;业务安全标记为包含多种业务安全属性的多元组M=C,G,F,其中C为安全级别,G为业务安全属性集合,F为操作控制属性集合,该业务安全属性集合G包括业务类别、工作组、角色、环境要求,该操作控制属性集合F包括读写控制、打印控制、刻录控制、拷贝控制;业务安全标记包括信息对象的业务安全标记M(r)=Cr,Gr,Fr和系统对象的业务安全标记M(o)=Co,Go,其中信息对象包括数据,系统对象包括应用、服务、进程;发送端收到待导入数据后,检查数据是否带有业务安全标记并根据发送端配置的标记控制策略进行相应处理,包括:如果数据不带有业务安全标记并且发送端配置的标记控制策略禁止无标记数据导入,则记录日志并做相应处理;如果数据不带有业务安全标记并且发送端配置的标记控制策略允许无标记数据导入,则为待单向传输的格式化数据块自动添加指定的业务安全标记后执行单向传输;如果数据带有业务安全标记,则对数据的业务安全标记进行匹配检查,若检查通过,则将数据的业务安全标记添加到待单向传输的格式化数据块后执行单向传输,否则记录日志并做相应处理;
接收端收到单向传输的格式化数据块后,检查该数据块是否带有业务安全标记并根据接收端配置的标记控制策略进行相应处理,包括:如果数据块不带有业务安全标记,则记录日志并做相应处理;如果数据块带有安全标记,则对数据块的业务安全标记进行匹配检查,若检查通过,则基于数据块恢复导入的数据,否则记录日志并做相应处理。
2.如权利要求1所述的方法,其特征在于,M(o)与M(r)之间的关系有两种:支配与不可比;当Co≥Cr且记为M(o)≥M(r),则M(o)与M(r)之间具有支配关系,表示系统对象可支配信息对象;如果M(o)与M(r)之间不存在支配关系,则二者之间为不可比关系,表示系统对象无权支配信息对象。
3.如权利要求1所述的方法,其特征在于,如果则主体应根据Fr包含的操作控制属性限制对资源进行相应操作。
4.如权利要求1所述的方法,其特征在于,标记控制策略可表示为R=C,G,其中,R为标记控制策略,该式子表示满足指定属性的信息对象的集合。
5.如权利要求4所述的方法,其特征在于,为一发送端s配置标记控制策略Rs=Cs,Gs,Rs指定的信息对象的业务安全标记为M(s)=Cs,Gs,若M(s)≥M(r),表示发送端匹配检查通过;为一接收端g配置相应的标记控制策略Rg=Cg,Gg,Rg指定的信息对象的业务安全标记为M(g)=Cg,Gg,接收端识别的数据块的业务安全标记M(r’),若M(g)≥M(r’),表示接收端匹配检查通过。
6.如权利要求1所述的方法,其特征在于,所述相应处理包括告警、丢弃、转发或审计。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国科学院信息工程研究所,未经中国科学院信息工程研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910536196.9/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种报文转换方法以及报文转换系统
- 下一篇:一种Web漏洞检测的方法及装置
