The embodiment of the invention discloses a system and a network security protection architecture and method, receiving user terminal transmits through resource access request; judging whether the user has access to the resource, the first judgment result; when the first judgment result shown by the user of the resource access permissions, physical partition determines that the resource is located; the user terminal sends the resource through the access request to the physical partition where the resources. And the system architecture, network security protection method based on unified zoning control and classification protection and unified static protection and dynamic defense of important information system construction of open environment of the Internet based security effective protection based on.
【技术实现步骤摘要】
网络安全防护架构、方法及系统
本专利技术涉及互联网重要信息系统
,具体涉及一种网络安全防护架构、方法及系统。
技术介绍
互联网作为全球性关键信息基础设施,依托互联网建设重要信息系统,已经成为各国推进信息化的首要选择。传统的基于互联网建设的重要信息系统是建设在隔离专网下的,对其安全的防护多采用纵深防御体系进行。目前,随着互联网环境的高度开放,基于互联网的重要信息系统建设,也将重要信息系统从隔离专网拉向互联网的开放环境。建设在互联网开放环境下的重要信息系统,一方面由于防护边界模糊,纵深消失,使得传统的纵深防御体系的实施点不明确,难以实施;另一方面,由于面向受众从政务人员延伸到普通大众,业务从内部政务拓展到对外服务,使得传统的纵深防御体系难以形成有效的安全屏障。因此,如何对基于互联网的开放环境建设的重要信息系统的安全进行有效防护,成为本领域技术人员亟待解决的技术问题。
技术实现思路
有鉴于此,本专利技术实施例提供一种网络安全防护架构、方法及系统,能够对基于互联网的开放环境建设的重要信息系统的安全进行有效防护。为实现上述目的,本专利技术实施例提供如下技术方案:一种网络安全防护架构,所述架构包括:物理分区模块、分区控制模块、分类防护模块以及终端多模式防护模块;所述物理分区模块包括多个物理分区;所述分区控制模块用于依据分区控制策略控制分区数据流的流向,以实现用户分区访问;所述分类防护模块用于基于属性聚合机制适配技术对基于互联网的开放环境建设的重要信息系统的安全进行有效防护;所述终端多模式防护模块用于对终端进行多种模式的安全防护。优选的,所述多个物理分区分别为安全管理 ...
【技术保护点】
一种网络安全防护架构,其特征在于,所述架构包括:物理分区模块、分区控制模块、分类防护模块以及终端多模式防护模块;所述物理分区模块包括多个物理分区;所述分区控制模块用于依据分区控制策略控制分区数据流的流向,以实现用户分区访问;所述分类防护模块用于基于属性聚合机制适配技术对基于互联网的开放环境建设的重要信息系统的安全进行有效防护;所述终端多模式防护模块用于对终端进行多种模式的安全防护。
【技术特征摘要】
1.一种网络安全防护架构,其特征在于,所述架构包括:物理分区模块、分区控制模块、分类防护模块以及终端多模式防护模块;所述物理分区模块包括多个物理分区;所述分区控制模块用于依据分区控制策略控制分区数据流的流向,以实现用户分区访问;所述分类防护模块用于基于属性聚合机制适配技术对基于互联网的开放环境建设的重要信息系统的安全进行有效防护;所述终端多模式防护模块用于对终端进行多种模式的安全防护。2.根据权利要求1所述的网络安全防护架构,其特征在于,所述多个物理分区分别为安全管理区、内部数据处理区、公开数据处理区、安全服务区,其中,所述公开数据处理区、所述安全服务区为开放区,所述公开数据处理区与所述内部处理区隔离,所述安全服务区与所述安全管理区分离。3.根据权利要求1所述的网络安全防护架构,其特征在于,所述分区控制模块包括接入控制部件和安全交换部件。4.根据权利要求1所述的网络安全防护架构,其特征在于,所述多种模式包括基本安全模式、安全增强模式、可信增强模式和动态增强模式。5.一种网络安全防护方法,其特征在于,包括:接收用户通过终端发送的资源访问请求;判断所述用户是否具有对所述资源的访问权限,得到第一判断结果;当所述第一判断结果表示所述用户具有对所述资源的访问权限时,确定所述资源所在的物理分区;将所述用户通过终端发送的资源访问请求转发至所述资源所在的物理分区。6.根据权利要求5所述的方法,其特征在于,在所述接收用户通过终端发送的资源访问请求之前,所述方法还包括:接收用户通过终端发送的连接请求;对所述用户的身份进行合法性检查,以判断所述用户是否为注册用户或者政务人员,得到第二判断结果;当所述第二判断结果表示所述用户为注册用户或者政务人员时,为所述用户分配安全标识,所述安全标识用于指示所述用户的资源访问权限。7.根据权利要求6所述的方法,其特征在于,在所述接收用户通过终端发送的连接请求之后,所述方法还包括:对所述终端的安全状态进行评估。8.根据权利要求7...
【专利技术属性】
技术研发人员:杜学绘,陈性元,曹利峰,任志宇,杨智,孙奕,胡志言,林杨东,秦若熙,任奕霖,
申请(专利权)人:中国人民解放军信息工程大学,
类型:发明
国别省市:河南,41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。