[发明专利]一种跨域传输业务多级多维联动管控系统

说明书

本发明公开了一种跨域传输业务多级多维联动管控系统，属于业务实施管控技术领域。本发明通过采用分级分域的管控架构，实现了统一管理下的多点受控跨域交换。其中，跨域策略管理服务根据不同类型业务的跨域传输需求，动态编排业务跨域传输路径，实现跨域业务的多维协同管控。跨域策略管理服务还可根据跨域安全服务、跨域寻址服务、跨域隔离交换服务等分系统上报的信息生成跨域综合态势。当发现安全事件时，跨域策略管理服务生成相应的处理规则并下发给跨域安全服务、跨域寻址服务、跨域隔离交换服务等分系统，调整其功能服务路径，实现针对跨域安全风险的多维联动响应。

技术领域

本发明涉及多安全等级专网以及业务实施管控技术领域，特别是指一种跨域传输业务多级多维联动管控系统。

背景技术

面向多安全等级专网环境中信息跨域交换共享的需求，自“十五”以来，已研制了多款专用跨域设备，同时也有多种商用跨域设备提供跨域交换能力，在网络层面已基本形成了较为完备的单点跨域交换能力，具备跨网交换认证与权限控制、路由隔离、数据与媒体业务的受控交换等能力，双向/单向交换能力达到Gbps级别，并在一定程度上可以抵御常见网络攻击。

当前，在多安全等级专网环境网络跨域互联业务管控方面，仍然存在统一协同管控能力不足的问题，容易造成跨域策略的短板效应，引发跨域安全风险。

发明内容

有鉴于此，本发明提出了一种跨域传输业务多级多维联动管控系统，其从安全防护、业务管控、跨域寻址、隔离交换等多个维度实现跨域传输业务的管控，并实现不同维度之间管控策略的协同，解决了单一管控措施失效造成跨域安全风险问题。

为了实现上述目的，本发明所采用的技术方案为：

一种跨域传输业务多级多维联动管控系统，应用于多安全等级的专网环境，包括分级部署的多个跨域交换区，每一跨域交换区内均设有控制器；每个跨域交换区的跨域资源划分为安全资源、寻址资源、隔离交换资源和策略资源，所述跨域传输业务多级多维联动管控系统划分为跨域安全服务分系统、跨域寻址服务分系统、跨域隔离交换分系统和跨域策略管理分系统，每一分系统均包括运行于各跨域交换区相应控制器上的相应服务；

所述跨域策略管理分系统的服务包括运行于一级跨域交换区中的一级管理控制服务以及运行于其他跨域交换区中的相应层级的管理控制服务；其中，一级管理控制服务负责完成全网跨域交换管理控制的策略制定、服务审批、全网跨域服务态势呈现的功能；其他层级的管理控制服务负责完成其所在层级跨域交换区内的跨域传输控制策略制定、跨域交换资源分配、跨域交换服务审批、本地跨域服务态势呈现的功能；下级管理控制服务与上级管理控制服务通过控制器的管理控制协议互联，下级管理控制服务接受上级管理控制服务的管理，并向上级管理控制服务上报本跨域交换区的跨域服务态势；

业务跨域传输时，跨域策略管理分系统根据业务跨域传输需求，动态编排生成业务的跨域传输路径，将该传输路径所需的安全防护、跨域寻址、隔离交换资源需求下发给跨域安全服务分系统、跨域寻址服务分系统、跨域隔离交换分系统的控制器；跨域安全服务分系统、跨域寻址服务分系统、跨域隔离交换分系统的控制器根据跨域策略管理分系统下发的策略，动态编排生成相应的功能服务路径；跨域安全服务分系统、跨域寻址服务分系统、跨域隔离交换分系统的控制器下发流表给各自分系统的交换机，实现跨域业务的流量牵引，为跨域业务流量提供各类服务；

在提供跨域服务的过程中，跨域安全服务分系统、跨域寻址服务分系统、跨域隔离交换分系统将各自分系统的态势、事件信息上报给本跨域交换区的跨域策略管理分系统，跨域策略管理分系统综合各分系统上报的信息，实现本跨域交换区跨域态势的综合呈现；

当跨域安全服务分系统发现跨域流量中的安全风险时，将安全事件信息上报给跨域策略管理分系统，跨域策略管理分系统根据安全事件信息，生成相应的处理规则，并将生成的处理规则下发给跨域安全服务分系统、跨域寻址服务分系统、跨域隔离交换分系统，调整其功能服务路径，实现针对跨域安全风险的多维联动响应。