[发明专利]网络区域边界安全防护系统、方法和设备

说明书

本发明涉及一种网络区域边界安全防护系统、方法和设备，其中，服务器管理模块监控系统的运行情况、制定安全管理策略，对关联数据进行采集、存储和计算；交换机智能识别模块识别交换机的设备信息；交换机监控管理模块获取相应的信息，并在交换机协议状态信息异常时生成告警信息；端口指纹分析模块对全部交换机的物理端口进行唯一指纹身份识别和标定；设备指纹分析模块采集在网接入设备的相关信后标定；数据指纹分析模块对网内所有数据流进行指纹标定，分析数据的来源、去向、类型、内容来对数据放行和阻断；端口访问控制模块实现对区域边界内接入端口的运行状态和数据吞吐情况进行监控以关闭或开启端口。为网络区域边界防护提供基础的保障和防护。

技术领域

本发明涉及网络安全技术领域，具体涉及一种网络区域边界安全防护系统、方法和设备。

背景技术

随着信息数字化时代的不断发展，网络规模逐步扩大，入网资产数量和入网设备类型不断增加，网络内设备种类多样化，接入方式多元化，数据通讯接口方式丰富，通信协议繁杂，而传统区域边界安全防护手段基于被动防御的局限性，仅能在网络重要出口进行安全防护，不能涉及网络区域的所有边界范围，导致网络安全事件时有发生，且难以定位和处置，给网络信息化安全管理带来难度，数据信息安全潜在风险逐步增多。

相关技术中，网内设备种类多样化，设备数量众多，在网设备资产梳理缺乏必要的技术手段，设备安全性难以保障，网内设备安全违规事件常有发生，信息化安全管理制度难以落实。网络管理软件监控对象仅局限在核心和汇聚层面，对于接入层缺乏监控和管理，导致网内存在大量未管理交换机，陌生设备可随意进入内网，缺乏对设备入网行为的实时发现、定位手段。传统网络区域边界防护产品如防火墙、IPS(Intrusion Prevention System，入侵防御系统)、IDS(intrusion detection system，入侵检测系统)、WAF(WebApplication Firewall，网站应用级入侵防御系统)类设备大多集中在网关出口位置，对经过核心的应用数据进行分析和过滤，在内网接入层面缺乏必要的监控手段，对于数据不经过核心层面的应用访问行为缺乏监控和防护能力，对内部接入、内部渗透攻击缺乏必要的监控和管理。

发明内容

有鉴于此，提供一种网络区域边界安全防护系统、方法和设备，以解决相关技术中网络区域边界安全防护中存在的防护能力差的问题。

本发明采用如下技术方案：

第一方面，本申请实施例提供了一种网络区域边界安全防护系统，该系统包括服务器管理模块、交换机智能识别模块、交换机监控管理模块、端口指纹分析模块、设备指纹分析模块、数据指纹分析模块和端口访问控制模块，其中：

所述服务器管理模块用于监控所述系统的运行情况、制定安全管理策略，对关联数据进行自动采集、分类存储和智能计算；

所述交换机智能识别模块用于通过网络协议识别当前网络范围内的全部交换机的设备信息；

所述交换机监控管理模块用于获取交换机的接入设备信息、交换机数据转发信息和交换机协议状态信息，并在所述交换机协议状态信息异常时生成告警信息；

所述端口指纹分析模块用于对当前网络范围内的全部交换机的物理端口进行唯一指纹身份识别和标定，并生成交换机物理端口和交换机设备的身份逻辑对应关系；

所述设备指纹分析模块用于采集在网接入设备的相关信息，通过设定指纹识别算法对所述接入设备进行标定；

所述数据指纹分析模块用于应用会话对网内所有数据流进行指纹标定，以分析各个数据的来源、去向、类型、内容，并应用流量管理策略对所述数据进行放行和阻断；

所述端口访问控制模块用于通过二层网络协议对区域边界内所有接入端口的运行状态和数据吞吐情况进行监控，并应用端口管理策略对各个所述端口进行关闭或开启。