一种跨网隔离安全系统的智能评估系统技术方案

本发明专利技术公开了一种跨网隔离安全系统的智能评估系统，属于安全技术领域。本发明专利技术的智能评估系统包括用户交互装置、智能评估处理模块和系统数据库；用户交互装置用于用户输入待评估的跨网隔离安全系统的评估参数、维护和更新系统数据库和选择评估模式，以及评估结果的输出显示；评估参数包括三个阶段的参数，分别是待评估的跨网隔离安全系统在发送阶段、数据传输阶段以及接收阶段的参数；智能评估处理模块，基于用户输入的评估参数，以及基于预置的评估规则，结合从系统数据库的相关查询参数运算处理得到当前待评估的跨网隔离安全系统的评估结果，包括如安全性评估结果和性能评估结果。本发明专利技术用于用户基于得到的评估结果部署具体的跨网隔离安全系统。

An intelligent evaluation system of cross network isolation security system

The invention discloses an intelligent evaluation system of a cross network isolation security system, which belongs to the field of security technology. The intelligent evaluation system of the invention includes a user interaction device, an intelligent evaluation processing module and a system database; the user interaction device is used for the user to input the evaluation parameters of the cross network isolation security system to be evaluated, to maintain and update the system database, to select the evaluation mode, and to output and display the evaluation results; the evaluation parameters include the parameters of three stages, which are the cross network isolation security system to be evaluated Parameters of the network isolation security system in the sending stage, data transmission stage and receiving stage; intelligent evaluation processing module, based on the evaluation parameters input by the user, and based on the preset evaluation rules, combined with the relevant query parameter processing from the system database, obtains the evaluation results of the current cross network isolation security system to be evaluated, including the security evaluation results and performance Evaluation results. The invention is used for a user to deploy a specific cross network isolation security system based on the obtained evaluation result.

【技术实现步骤摘要】
一种跨网隔离安全系统的智能评估系统
本专利技术属于安全
，具体涉及一种用于跨网隔离安全系统的自动评估系统。
技术介绍
由于一些涉及秘密数据的公司或者企业内部网络中拥有一些机密敏感的数据，为了保护这些数据的安全，因此对于内部网络的安全要求相当严格，网络隔离技术也应运而生，其应用也越发广泛。即隔离安全系统是用于实现两个涉密网之间的数据交换，即网络中的一个用户通过网络间的数据交换系统向另一个网络中的一个用户传输数据，接收端网络的用户对接收到的数据进行存储以及其他操作。现有的网络隔离的技术体系包括：(1)虛拟局域网。虚拟局域网是局域网中最常见的一种隔离技术。它在交换局域网的基础上，将局域网从逻辑上而非物理上进行划分，打破了地理的限制，允许工作站在不同子网或工作组之间移动，提高对信息资源与硬件资源与利用率，同理也极大地减轻了网络管理人员的负担。(2)访问控制列表。访问控制列表是一种常见的隔离技术，一般适用一些规模不大的组网。它由位于在路由接口的规则列表组成，网络控制设备根据这些规则决定接收到的数据包是被接收还是被丢弃。规则中包含了源地址、目的地址、源端口、目的端口等特征信息用于区分数据包。访问控制列表的概念并不复杂，对访问控制规则的配置与管理是其中最核心的工作。传统防火墙大多采用这种方式实现。(3)多协议标签交换。多协议标签交换，是一种被广泛使用在广域网、企业内网、校园网的网络隔离技术。它的接入方式灵活，支持园区内或广域网内用户群组的互访。它为用户提供了安全的端到端的业务隔离，可移动性强，可扩展性好，适合应用于大规模网络。但它要求设备支持，路由转发在实际应用中，需要依赖于骨干网路由器和核心交换机实现。(4)安全网闸。安全网闸，是一种利用专用硬件切断网络之间的链路层连接，同时为断开的网络提供适当的数据交换能力的安全隔离技术。它采用硬件的方式断开两个网络在链路层上的连接，在这两个独立网络之间，通过对硬件存储芯片的读写操作，实现数据的无协议“摆渡”，代替了基于具体协议的数据转发。可以说安全网闸从物理上实现了网络隔离，确保连接的安全性。(5)入侵防御系统。入侵防御系统对网络传输进行实时监控，能够检测出多种攻击行为，并能根据检测出的攻击类型，釆取针对性的防护策略，对攻击进行有效的阻断。入侵防御系统吸取并融合了防火墙和入侵检测技术，能够为网络提供有效的、深层次的安全防护。目前，国内外使用较为广泛的网络安全隔离技术可以分为三种：实时开关(Real-TimeSwiteh)、单向连接(One-WayLink)和网络开关(NetworkSwitch)。其中，实时开关式架构(Real-timeSwitch)：该项技术主要的操作为：配置GAP(GenericAccessProfile)在不同的网络中，并且进行信息的双向传送，GAP一次只能和单个网络进行连接，它是一个特殊的硬件开关。单向链路式架构(One-wayLink)：建立的基本单向链路可以称为“只读”类型的网络连接，相应的数据传输是单向的。单向的链路基于硬件的解决方案，为了防止不同方向的信息传送，就必须对网络系统最底层进行分离。两个直接相连的网络，一个是源网络，一个目标网络，数据的传送总是从源网络流向目标网络。网络开关式架构(NetworkSwitcher)：它的独特之处在于有两个端口，两个端口分别连接到所对应的内外网上，同一个时间内，只能使用其中一个端口。一般情况下，系统存在很多数据和信息，往往把这些数据和信息都配置在各个端口上。当一个端口被激活的时候，只能使用该端口所对应的网络，网络之间的数据交互不能传送到另一个端口上去。但是，当用户需要选择或部署某个具体的隔离系统时，往往考量的是该隔离系统的安全性的预测评估结果，而由于目前市面上并没有关于隔离系统的健全的安全评估标准，则需要用户对所有备选的隔离系统进行实际的运行测量来获取对应的安全性程度，因此，有必要设置一种能够智能的对用户输入的隔离系统进行安全评估的智能评估系统，进而简化用户在设置隔离系统时的工作复杂度，实现对隔离系统的安全评估的智能化，便于用户使用。
技术实现思路
本专利技术的专利技术目的在于：针对上述存在的问题，提供一种跨网隔离安全系统的智能评估系统。本专利技术的跨网隔离安全系统的智能评估系统，包括用户交互装置、智能评估处理模块和系统数据库；其中，用户交互装置用于用户输入待评估的跨网隔离安全系统的评估参数，维护和更新系统数据库，以及评估结果的输出显示；系统数据库包括评估度量单元信息表，所述评估度量单元信息表包括每个评估度量单元的评估参数和评估度量单元的预置权重；其中评估参数包括多个特征指标，和每个特征指标的预置权重；且特征指标包括两类，一类为用户输入的特征指标，一类为预置取值的特征指标，即一类特征指标的参数为默认值；一类由用户输入的参数确定；其中默认值可以由只能评估系统的系统管理员进行调整；每个特征指标的预置权重；其中，评估度量单元的设置方式为：将待评估的跨网隔离安全系统分为三个阶段：发送阶段、数据传输阶段以及接收阶段；将数据传输阶段作为一个评估度量单元，并预置对应的特征指标；对于发送阶段和接收阶段，分各每个阶段涉及的安全措施作为一个评估度量单元，并预置每个评估度量单元的特征指标；本专利技术中，评估度量单元可以是一个安全组件，例如密钥分发、身份认证、权限及数据认证、安全检查和安全审计等；也可以是一个安全模块，即并行处理的一组安全组件。智能评估处理模块，基于系统数据库中预置的评估度量单元信息表，在用户交互装置中提示用户输入对应的评估参数，并对用户输入的评估参数进行量化处理，基于预置的评估度量规则，计算当前待评估的跨网隔离安全系统的评估结果：对于每个评估度量单元，对包括的特征指标基于预设的量化规则进行量化后，基于每个特征指标的权重进行加权融合，得到每个评估度量单元的评估度量结果；再基于每个评估度量单元的权重，对各评估度量单元的评估度量结果进行加权融合，得到跨网隔离安全系统的评估结果，并通过用户交互装置进行输出显示。优选的，在设预置同一评估度量单元的多个特征指标的权重，以及评估度量单元的权重时，采用层次分析法AHP进行设置：基于待设置权重包括的对象数n，构造维度为n×n的判断矩阵V；即对象数为同一评估度量单元包括的特征指标数或者跨网隔离安全系统包括的评估度量单元的单元数；判断矩阵V中的每个元素vij表示第i个对象相对于第j个对象的重要性，其初始值为预设值；定义判断矩阵V的一致性指标其中，RIn为CI的平均值，且e＝(1,1,…,1)T，w＝(w1,w2,…,wn)T，i＝1,…,n；上标T表示转置；判断CR是否小于或等于预设阈值，若是，则基于wi得到n个对象的权重；否则调整vij的取值，直到一致性指标CR小于或等于预设阈值。其中，预设阈值的优选取值为0.1。进一步的，本专利技术中，将发送阶段包括的评估度量单元设置为：身本文档来自技高网...

【技术保护点】
1.一种跨网隔离安全系统的智能评估系统，其特征在于，包括用户交互装置、智能评估处理模块和系统数据库；/n其中，用户交互装置用于用户输入待评估的跨网隔离安全系统的评估参数，维护和更新系统数据库，以及评估结果的输出显示；/n系统数据库包括评估度量单元信息表，所述评估度量单元信息表包括每个评估度量单元的评估参数和评估度量单元的预置权重；其中评估参数包括多个特征指标，和每个特征指标的预置权重；且特征指标包括两类，一类为用户输入的特征指标，一类为预置取值的特征指标，即一类特征指标的参数为默认值；一类由用户输入的参数确定；其中默认值可以由只能评估系统的系统管理员进行调整；每个特征指标的预置权重；/n其中，评估度量单元的设置方式为：/n将待评估的跨网隔离安全系统分为三个阶段：发送阶段、数据传输阶段以及接收阶段；/n将数据传输阶段作为一个评估度量单元，并预置对应的特征指标；/n对于发送阶段和接收阶段，分各每个阶段涉及的安全措施作为一个评估度量单元，并预置每个评估度量单元的特征指标；/n智能评估处理模块，基于系统数据库中预置的评估度量单元信息表，在用户交互装置中提示用户输入对应的评估参数，并对用户输入的评估参数进行量化处理，基于预置的评估度量规则，计算当前待评估的跨网隔离安全系统的评估结果：/n对于每个评估度量单元，对包括的特征指标基于预设的量化规则进行量化后，基于每个特征指标的权重进行加权融合，得到每个评估度量单元的单元评估度量值；/n再基于每个评估度量单元的权重，对各评估度量单元的单元评估度量值进行加权融合，得到跨网隔离安全系统的评估结果，并通过用户交互装置进行输出显示。/n...

【技术特征摘要】
1.一种跨网隔离安全系统的智能评估系统，其特征在于，包括用户交互装置、智能评估处理模块和系统数据库；
其中，用户交互装置用于用户输入待评估的跨网隔离安全系统的评估参数，维护和更新系统数据库，以及评估结果的输出显示；
系统数据库包括评估度量单元信息表，所述评估度量单元信息表包括每个评估度量单元的评估参数和评估度量单元的预置权重；其中评估参数包括多个特征指标，和每个特征指标的预置权重；且特征指标包括两类，一类为用户输入的特征指标，一类为预置取值的特征指标，即一类特征指标的参数为默认值；一类由用户输入的参数确定；其中默认值可以由只能评估系统的系统管理员进行调整；每个特征指标的预置权重；
其中，评估度量单元的设置方式为：
将待评估的跨网隔离安全系统分为三个阶段：发送阶段、数据传输阶段以及接收阶段；
将数据传输阶段作为一个评估度量单元，并预置对应的特征指标；
对于发送阶段和接收阶段，分各每个阶段涉及的安全措施作为一个评估度量单元，并预置每个评估度量单元的特征指标；
智能评估处理模块，基于系统数据库中预置的评估度量单元信息表，在用户交互装置中提示用户输入对应的评估参数，并对用户输入的评估参数进行量化处理，基于预置的评估度量规则，计算当前待评估的跨网隔离安全系统的评估结果：
对于每个评估度量单元，对包括的特征指标基于预设的量化规则进行量化后，基于每个特征指标的权重进行加权融合，得到每个评估度量单元的单元评估度量值；
再基于每个评估度量单元的权重，对各评估度量单元的单元评估度量值进行加权融合，得到跨网隔离安全系统的评估结果，并通过用户交互装置进行输出显示。


2.如权利要求1所述的系统，其特征在于，在设预置同一评估度量单元的多个特征指标的权重，以及评估度量单元的权重时，采用层次分析法AHP进行设置：
基于待设置权重包括的对象数n，构造维度为n×n的判断矩阵V；
判断矩阵V中的每个元素vij表示第i个对象相对于第j个对象的重要性，其初始值为预设值；
定义判断矩阵V的一致性指标其中，RIn为CI的平均值，且e＝(1,1,...,1)T，w＝(w1,w2,...,wn)T，i＝1,…,n；
判断CR是否小于或等于预设阈值，若是，则基于wi得到n个对象的权重；否则调整vij的取值，直到一致性指标CR小于或等于预设阈值。


3.如权利要求2所述的系统，其特征在于，预设阈值的优选取值为0.1。


4.如权利要求1、2或3所述的系统，其特征在于，发送阶段、数据传输阶段以及接收阶段包括的特征指标具体为：
将发送阶段包括的评估度量单元设置为：身份认证、权限及数据认证、安全检查和安全审计；
其中，身份认证的特征指标包括：身份认证方式、认证体系是否统一、是否连接外网、认证速度、密钥更新周期、密钥空间大小、密钥长度以及认证平台；
权限及数据认证的特征指标包括：是否审批、是否连接外网、审批指标数、认证速度和认证平台；
安全检查的特征指标包括：恶意代码检测方式、检错率、误检率、病毒库更新周期、是否有数据防泄漏；
安全审计的特征指标包括：日志保留天数、自动保存时间、日志内存大小、应急体系、是否全过程监控、检查审计日志周期；
数据传输阶段涉及的特征指标包括：传输途径、传输方式、传输速度、是否物理隔离、传输过程是否独立；
将数据接收阶段包括的评估度量单元设置为：安全审计、安全检查、身份认证和权限及数据认证；
其中，数据接收阶段的安全审计、安全检查和身份认证包括的特征指标与发送阶段相同；
数据接收阶段的权限及数据认证的特征指标包括：认证速度、认证平台。


5.如权利要求1所述的系统，其特征在于，每个评估度量单元的特征指标包括两类，用户输入的特征指标和智能评估系统预置的特征指标，即默认特征指标参数；
且默认特征指标参数基于预置的...

【专利技术属性】
技术研发人员：张杰，程永新，唐晋，刘丹，万思思，
申请(专利权)人：中国电子科技集团公司第三十研究所，电子科技大学，
类型：发明
国别省市：四川;51