网络安全防护架构、方法及系统技术方案

本发明专利技术实施例中公开了一种网络安全防护架构、方法及系统，接收用户通过终端发送的资源访问请求；判断所述用户是否具有对所述资源的访问权限，得到第一判断结果；当所述第一判断结果表示所述用户具有对所述资源的访问权限时，确定所述资源所在的物理分区；将所述用户通过终端发送的资源访问请求转发至所述资源所在的物理分区。基于上述网络安全防护架构、方法及系统，能够基于分区控制与分类防护的统一以及静态防护与动态防御的统一对基于互联网的开放环境建设的重要信息系统的安全进行有效防护。

Network security protection framework, method and system

The embodiment of the invention discloses a system and a network security protection architecture and method, receiving user terminal transmits through resource access request; judging whether the user has access to the resource, the first judgment result; when the first judgment result shown by the user of the resource access permissions, physical partition determines that the resource is located; the user terminal sends the resource through the access request to the physical partition where the resources. And the system architecture, network security protection method based on unified zoning control and classification protection and unified static protection and dynamic defense of important information system construction of open environment of the Internet based security effective protection based on.

【技术实现步骤摘要】
网络安全防护架构、方法及系统
本专利技术涉及互联网重要信息系统
，具体涉及一种网络安全防护架构、方法及系统。
技术介绍
互联网作为全球性关键信息基础设施，依托互联网建设重要信息系统，已经成为各国推进信息化的首要选择。传统的基于互联网建设的重要信息系统是建设在隔离专网下的，对其安全的防护多采用纵深防御体系进行。目前，随着互联网环境的高度开放，基于互联网的重要信息系统建设，也将重要信息系统从隔离专网拉向互联网的开放环境。建设在互联网开放环境下的重要信息系统，一方面由于防护边界模糊，纵深消失，使得传统的纵深防御体系的实施点不明确，难以实施；另一方面，由于面向受众从政务人员延伸到普通大众，业务从内部政务拓展到对外服务，使得传统的纵深防御体系难以形成有效的安全屏障。因此，如何对基于互联网的开放环境建设的重要信息系统的安全进行有效防护，成为本领域技术人员亟待解决的技术问题。
技术实现思路
有鉴于此，本专利技术实施例提供一种网络安全防护架构、方法及系统，能够对基于互联网的开放环境建设的重要信息系统的安全进行有效防护。为实现上述目的，本专利技术实施例提供如下技术方案：一种网络安全防护架构，所述架构包括：物理分区模块、分区控制模块、分类防护模块以及终端多模式防护模块；所述物理分区模块包括多个物理分区；所述分区控制模块用于依据分区控制策略控制分区数据流的流向，以实现用户分区访问；所述分类防护模块用于基于属性聚合机制适配技术对基于互联网的开放环境建设的重要信息系统的安全进行有效防护；所述终端多模式防护模块用于对终端进行多种模式的安全防护。优选的，所述多个物理分区分别为安全管理区、内部数据处理区、公开数据处理区、安全服务区，其中，所述公开数据处理区、所述安全服务区为开放区，所述公开数据处理区与所述内部处理区隔离，所述安全服务区与所述安全管理区分离。优选的，所述分区控制模块包括接入控制部件和安全交换部件。优选的，所述多种模式包括基本安全模式、安全增强模式、可信增强模式和动态增强模式。一种网络安全防护方法，包括：接收用户通过终端发送的资源访问请求；判断所述用户是否具有对所述资源的访问权限，得到第一判断结果；当所述第一判断结果表示所述用户具有对所述资源的访问权限时，确定所述资源所在的物理分区；将所述用户通过终端发送的资源访问请求转发至所述资源所在的物理分区。优选的，在所述接收用户通过终端发送的资源访问请求之前，所述方法还包括：接收用户通过终端发送的连接请求；对所述用户的身份进行合法性检查，以判断所述用户是否为注册用户或者政务人员，得到第二判断结果；当所述第二判断结果表示所述用户为注册用户或者政务人员时，为所述用户分配安全标识，所述安全标识用于指示所述用户的资源访问权限。优选的，在所述接收用户通过终端发送的连接请求之后，所述方法还包括：对所述终端的安全状态进行评估。优选的，所述对所述终端的安全状态进行评估具体包括：判断所述终端的安全模式，其中，所述安全模式包括基本安全模式、安全增强模式、可信增强模式和动态增强模式。优选的，在所述将所述用户通过终端发送的资源访问请求转发至所述资源所在的物理分区之后，所述方法还包括：对所述终端进行内网地址映射，以对所述用户进行管理。一种网络安全防护系统，包括：接收单元，用于接收用户通过终端发送的资源访问请求；第一判断单元，用于判断所述用户是否具有对所述资源的访问权限，得到第一判断结果；确定单元，用于当所述第一判断结果表示所述用户具有对所述资源的访问权限时，确定所述资源所在的物理分区；发送单元，用于将所述用户通过终端发送的资源访问请求转发至所述资源所在的物理分区。优选的，所述接收单元还用于：在所述接收用户通过终端发送的资源访问请求之前，接收用户通过终端发送的连接请求；则所述系统还包括：第二判断单元，用于对所述用户的身份进行合法性检查，以判断所述用户是否为注册用户或者政务人员，得到第二判断结果；分配单元，用于当所述第二判断结果表示所述用户为注册用户或者政务人员时，为所述用户分配安全标识，所述安全标识用于指示所述用户的资源访问权限。优选的，所述系统还包括：评估单元，用于在所述接收用户通过终端发送的连接请求之后，对所述终端的安全状态进行评估。优选的，所述评估单元具体用于：判断所述终端的安全模式，其中，所述安全模式包括基本安全模式、安全增强模式、可信增强模式和动态增强模式。优选的，所述系统还包括：映射单元，用于在所述将所述用户通过终端发送的资源访问请求转发至所述资源所在的物理分区之后，对所述终端进行内网地址映射，以对所述用户进行管理。基于上述技术方案，本专利技术实施例中公开了一种网络安全防护架构、方法及系统，接收用户通过终端发送的资源访问请求；判断所述用户是否具有对所述资源的访问权限，得到第一判断结果；当所述第一判断结果表示所述用户具有对所述资源的访问权限时，确定所述资源所在的物理分区；将所述用户通过终端发送的资源访问请求转发至所述资源所在的物理分区。基于上述网络安全防护架构、方法及系统，能够基于分区控制与分类防护的统一以及静态防护与动态防御的统一对基于互联网的开放环境建设的重要信息系统的安全进行有效防护。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。图1为本专利技术实施例公开的一种网络安全防护架构示意图；图2为本专利技术实施例公开的一种分区控制模块示意图；图3为本专利技术实施例提供的一种分区控制实施示意图；图4为本专利技术实施例提供的一种分类防护技术示意图；图5为本专利技术实施例公开的一种网络安全防护方法的流程示意图；图6为本专利技术实施例公开的另一种网络安全防护方法的流程示意图；图7为本专利技术实施例公开的一种网络安全防护系统的结构框图；图8为本专利技术实施例公开的另一种网络安全防护系统的结构框图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。针对基于互联网的开放环境建设的重要信息系统的安全进行有效防护的需求，本专利技术公开了一种网络安全防护架构，具体请参阅附图1，图1为本专利技术实施例公开的一种网络安全防护架构的示意图，该网络安全防护架构包括物理分区模块、分区控制模块、分类防护模块以及终端多模式防护模块。上述各个模块相互协同，既可构建物理安全防线，又可构建逻辑的隔离的安全防护域，形成明确的逻辑责任边界。物理分区模块包括多个物理分区，多个物理分区分别为安全管理区、内部数据处理区、公开数据处理区、安全服务区，内部数据处理区包括内部敏感数据处理区和内部公开数据处理区，公开数据处理区、安全服务区为开放区。公开数据处理区与内部处理区隔离，安全服务区与安全管理区分离。需要说明的是，物理分区可扩展，以满足不同的重要信息系统的需要。下面对各个物理分区划分标准进行详细说明。安全管理区面向的是信息系统安全管理人员，为全网的信息系统提本文档来自技高网...

【技术保护点】
一种网络安全防护架构，其特征在于，所述架构包括：物理分区模块、分区控制模块、分类防护模块以及终端多模式防护模块；所述物理分区模块包括多个物理分区；所述分区控制模块用于依据分区控制策略控制分区数据流的流向，以实现用户分区访问；所述分类防护模块用于基于属性聚合机制适配技术对基于互联网的开放环境建设的重要信息系统的安全进行有效防护；所述终端多模式防护模块用于对终端进行多种模式的安全防护。

【技术特征摘要】
1.一种网络安全防护架构，其特征在于，所述架构包括：物理分区模块、分区控制模块、分类防护模块以及终端多模式防护模块；所述物理分区模块包括多个物理分区；所述分区控制模块用于依据分区控制策略控制分区数据流的流向，以实现用户分区访问；所述分类防护模块用于基于属性聚合机制适配技术对基于互联网的开放环境建设的重要信息系统的安全进行有效防护；所述终端多模式防护模块用于对终端进行多种模式的安全防护。2.根据权利要求1所述的网络安全防护架构，其特征在于，所述多个物理分区分别为安全管理区、内部数据处理区、公开数据处理区、安全服务区，其中，所述公开数据处理区、所述安全服务区为开放区，所述公开数据处理区与所述内部处理区隔离，所述安全服务区与所述安全管理区分离。3.根据权利要求1所述的网络安全防护架构，其特征在于，所述分区控制模块包括接入控制部件和安全交换部件。4.根据权利要求1所述的网络安全防护架构，其特征在于，所述多种模式包括基本安全模式、安全增强模式、可信增强模式和动态增强模式。5.一种网络安全防护方法，其特征在于，包括：接收用户通过终端发送的资源访问请求；判断所述用户是否具有对所述资源的访问权限，得到第一判断结果；当所述第一判断结果表示所述用户具有对所述资源的访问权限时，确定所述资源所在的物理分区；将所述用户通过终端发送的资源访问请求转发至所述资源所在的物理分区。6.根据权利要求5所述的方法，其特征在于，在所述接收用户通过终端发送的资源访问请求之前，所述方法还包括：接收用户通过终端发送的连接请求；对所述用户的身份进行合法性检查，以判断所述用户是否为注册用户或者政务人员，得到第二判断结果；当所述第二判断结果表示所述用户为注册用户或者政务人员时，为所述用户分配安全标识，所述安全标识用于指示所述用户的资源访问权限。7.根据权利要求6所述的方法，其特征在于，在所述接收用户通过终端发送的连接请求之后，所述方法还包括：对所述终端的安全状态进行评估。8.根据权利要求7...

【专利技术属性】
技术研发人员：杜学绘，陈性元，曹利峰，任志宇，杨智，孙奕，胡志言，林杨东，秦若熙，任奕霖，
申请(专利权)人：中国人民解放军信息工程大学，
类型：发明
国别省市：河南,41