[发明专利]一种基于可信接入的一体化边界安全防护系统及方法

说明书

本发明提供了一种基于可信接入的一体化边界安全防护系统及方法，属于通信技术领域，该系统包括部署于业务承载网的网络边缘上的一体化边界安全防护设备，以及安装于业务终端或服务器上的可信接入认证模块。本发明从网络边界接入安全、数据安全、传输协议安全、攻击防护等角度设计出有效的安全联动机制，形成接入可信、数据可查、协议可见、策略可控、攻击可防的安全联动手段，并对数据和业务两个层面上提供异构的安全访问服务，保障网络内对外进行业务联动时，不会引入外部的安全风险。提供有效的边界安全防护服务。

技术领域

本发明属于通信技术领域，尤其涉及一种基于可信接入的一体化边界安全防护系统及方法。

背景技术

网络安全作为信息安全整体防护中的一部分，其承担了信息传输网络环境的整体防护，其中包括网络渗透、木马攻击、DDOS攻击、异常访问、数据中间攻击、数据窃取等多种安全风险，边界安全防护又作为网络安全最末端的接入防护，其安全性直接关系到一个业务网内受外部攻击的可能性，以及业务网如何与外部业务互通的安全性，如何保证不同网络之间业务互通的安全可靠，是需要边界安全防护装备提供可靠、安全、可审计的服务。目前商用的边界防护装备主要有防火墙、IPS、IDS、网闸等设备，此类设备均具有其使用的局限性以及多设备组合使用的情况。如何将边缘安全接入、强访控制、主动防御、安全行为监测、内容审计等功能联动起来，形成边缘防护体系，因此需要提出一种基于可信接入的一体化边界安全防护系统及方法。

发明内容

针对现有技术中的上述不足，本发明提供的一种基于可信接入的一体化边界安全防护系统及方法，解决了网络边界防护设备的被动式防护的问题。

为了达到以上目的，本发明采用的技术方案为：

本方案提供一种基于可信接入的一体化边界安全防护系统，包括部署于业务承载网的网络边缘上的一体化边界安全防护设备，以及安装于承载网内业务终端或服务器上的可信接入认证模块；

所述一体化边界安全防护设备，用于对网络层边界安全进行防护、对业务访问安全进行防护、对数据内容安全进行检查以及提供全协议监控；

所述可信接入认证模块，用于向一体化边界安全防护设备提供可信认证服务、提供数据内容和协议层标记服务、提供业务访问功能以及提供主机安全基线检查服务。

本发明的有益效果是：本发明通过融合了数据类以及业务类不同访问时，对网络边界安全设备的异构处理，有效保障了跨越网络边界的主体可信，以及业务合规，解决了网络边界防护设备的被动式防护；本发明可以适用在不同的业务网边界，提供一体化的安全防护手段。

进一步地，所述一体化边界安全防护设备包括：

网络层边界安全防护模块，用于分别对网络传输层、渗透及病毒攻击、协议策略以及可信接入进行防护；

业务模型模块，用于提供业务访问的安全防护功能，以及提供协议隔离、协议剥离和强制访问控制服务，其包括强访控制、传输代理以及透明服务功能；

数据类边界防护模块，用于提供数据内容安全检查服务，其包括数据类标记、数据标记检查、数据内容核查以及数据内容审计功能；

业务类边界防护模块，用于提供业务访问过程的全协议监控，其包括业务类协议检查、协议标记检查、协议行为核查以及协议行为审计功能；

安全审计模块，用于提供网络层安全审计、数据类安全审计、业务类安全审计以及管理行为审计服务，其包括边界安全审计功能。

上述进一步方案的有益效果是：一体化边界安全防护设备综合考虑了网络边界接入安全、数据安全、传输协议安全和攻击防护，将边界安全接入、强访控制、主动防御、安全行为检测和内容审计联动起来，解决现有边界防护装备的局限性。

再进一步地，所述可信接入认证模块包括：