[发明专利]一种基于零信任验证的积极防御系统

说明书

本发明公开了一种基于零信任验证的积极防御系统。该系统包括：身份验证处理模块、内网安全评估模块和安全决策模块；身份验证处理模块响应于访问客户端的访问请求，将访问客户端的身份信息与数据库中的白名单进行匹配，身份信息包括源IP地址、源端口、目的IP地址、协议号和目的端口；内网安全评估模块响应于访问客户端的访问请求，对访问客户端请求访问的业务系统进行安全评估；安全决策模块在身份信息与白名单相匹配且评估结果为安全时，允许访问客户端访问业务系统，否则，不允许访问客户端访问业务系统。本发明在允许访问客户端访问业务系统之前，对访问客户端及其请求访问的业务系统内网均进行安全性评估，实现了云计算环境下的信息安全防御。

技术领域

本发明涉及网络安全防护领域，特别是涉及一种基于零信任验证的积极防御系统。

背景技术

长期以来，信息网络通过隔离确保被保护目标的局部安全。现在随着5G、物联网、人工智能、云计算和移动互联的普及，传统的杀病毒、防火墙、入侵系统检测难以应对人为攻击。

当前网络隔离无法适应云计算环境特性，尤其是云计算应用导致的边界虚拟化、动态变化。而且，在当前的云计算时代，用户能够与非授权的业务系统建立连接，同时攻击可能来自业务系统的内网，网络防护形同虚设，攻击者能够轻松获得访问客户端信息和业务系统访问权限，在不合规情况下造成信息系统的数据泄露。

发明内容

本发明的目的是提供一种基于零信任验证的积极防御系统，在允许访问客户端访问业务系统之前，对访问客户端及其请求访问的业务系统内网均进行安全性评估，以实现云计算环境下的信息安全防御。

为实现上述目的，本发明提供了如下方案：

一种基于零信任验证的积极防御系统，包括：身份验证处理模块、内网安全评估模块以及安全决策模块；所述身份验证处理模块响应于访问客户端的访问请求，将访问客户端的身份信息与数据库中的白名单进行匹配，所述身份信息包括源IP地址、源端口、目的IP地址、协议号和目的端口；所述内网安全评估模块响应于访问客户端的访问请求，对所述访问客户端请求访问的业务系统进行安全评估；所述安全决策模块在所述身份信息与白名单相匹配且评估结果为安全时，允许所述访问客户端访问所述业务系统，否则，不允许所述访问客户端访问所述业务系统。

可选的，所述基于零信任验证的积极防御系统还包括访问控制模块，所述访问控制模块响应于访问客户端的访问请求，提取所述访问客户端的身份信息并将所述身份信息发送至所述身份验证处理模块。

可选的，所述访问控制模块响应于访问客户端的访问请求，向所述内网安全评估模块发送对所述访问客户端请求访问的业务系统进行安全评估的通知。

可选的，所述内网安全评估模块在所述评估结果为不安全时，向所述业务系统发送内网不安全警报。

可选的，所述业务系统在接收到所述内网不安全警报后，暂时关闭所述业务系统的访问端口。

可选的，所述身份验证处理模块在所述身份信息与白名单相匹配时，将所述身份信息写入所述安全决策模块中的客户端白名单。

可选的，所述身份验证处理模块响应于访问客户端的访问请求，还将访问客户端的身份信息与数据库中的黑名单进行匹配，并在所述身份信息与所述黑名单相匹配时，将所述身份信息写入所述安全决策模块中的客户端黑名单。

可选的，所述身份验证处理模块在所述身份信息与所述白名单和所述黑名单均不匹配时，将所述身份信息写入所述安全决策模块中的客户端灰名单。

可选的，所述内网安全评估模块在业务系统的安全评估结果为安全时，将所述业务系统写入所述安全决策模块中的安全业务系统名单。