應(yīng)用于網(wǎng)絡(luò)的信息檢測方法、裝置及系統(tǒng)的制作方法
【專利摘要】本發(fā)明實(shí)施例提供了一種應(yīng)用于網(wǎng)絡(luò)的信息檢測方法、裝置及系統(tǒng),該方法包括:接收第一消息;判斷所述設(shè)備屬性是否屬于預(yù)先存儲(chǔ)的屬性信息;控制所述安全管理中心獲得與所述設(shè)備屬性對應(yīng)的設(shè)備的運(yùn)行狀態(tài);判斷所述安全管理中心獲得的與所述設(shè)備屬性對應(yīng)的設(shè)備的運(yùn)行狀態(tài)是否處于正常狀態(tài),獲得第一判斷結(jié)果;當(dāng)所述設(shè)備屬性屬于預(yù)先存儲(chǔ)的屬性信息以及所述第一判斷結(jié)果表明所述設(shè)備的運(yùn)行狀態(tài)處于正常狀態(tài)時(shí),確定所述第一消息安全;當(dāng)所述設(shè)備屬性信息不屬于預(yù)先存儲(chǔ)的屬性信息,或者所述第一判斷結(jié)果表明所述設(shè)備的運(yùn)行狀態(tài)處于非正常狀態(tài)時(shí),發(fā)出報(bào)警信號。采用本發(fā)明實(shí)施例提供的方法、裝置及系統(tǒng)可以提高網(wǎng)絡(luò)通信的可靠性。
【專利說明】應(yīng)用于網(wǎng)絡(luò)的信息檢測方法、裝置及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全檢測領(lǐng)域,更具體的說,是涉及應(yīng)用于網(wǎng)絡(luò)的信息檢測方法、 裝置及系統(tǒng)。
【背景技術(shù)】
[0002] 隨著信息時(shí)代的到來,網(wǎng)絡(luò)通信發(fā)展越來越快,網(wǎng)絡(luò)通信的安全受到威脅。
[0003] 不論來自內(nèi)部還是來自外部的攻擊行為(包括病毒的攻擊)的最終目的就是為了 對網(wǎng)絡(luò)通信中的信息進(jìn)行竊取以及監(jiān)聽,現(xiàn)有技術(shù)中的檢測網(wǎng)絡(luò)通信安全的方法是自主訪 問控制機(jī)制,自主訪問控制機(jī)制是權(quán)限模式,權(quán)限模式包括根權(quán)限,操作系統(tǒng)里的一切資源 都受根權(quán)限支配,操作系統(tǒng)通過一套密碼機(jī)制來驗(yàn)證根權(quán)限的可靠性,病毒或蠕蟲可以通 過攻克該密碼機(jī)制,來掌握根權(quán)限,從而掌握操作系統(tǒng)里所有資源的支配權(quán),導(dǎo)致網(wǎng)絡(luò)通信 的安全降低。
【發(fā)明內(nèi)容】
[0004] 有鑒于此,本發(fā)明提供了一種應(yīng)用于網(wǎng)絡(luò)的信息檢測方法、裝置及系統(tǒng),以克服現(xiàn) 有技術(shù)中網(wǎng)絡(luò)通信的安全降低的問題。
[0005] 為實(shí)現(xiàn)上述目的,本發(fā)明提供如下技術(shù)方案:
[0006] -種應(yīng)用于網(wǎng)絡(luò)的信息檢測方法,所述網(wǎng)絡(luò)劃分為至少一個(gè)安全域,每一所述安 全域包括安全管理中心,所述安全管理中心用于獲得設(shè)備的運(yùn)行狀態(tài)信息,所述設(shè)備包括: 變電站服務(wù)器、終端、路由器和/或網(wǎng)絡(luò)交換機(jī),所述應(yīng)用于網(wǎng)絡(luò)的信息檢測方法包括:
[0007] 接收第一消息,所述第一消息攜帶有發(fā)送所述第一消息的設(shè)備的設(shè)備屬性;
[0008] 判斷所述設(shè)備屬性是否屬于預(yù)先存儲(chǔ)的屬性信息,所述設(shè)備的設(shè)備屬性包括數(shù)字 簽名信息、指紋信息或虹膜信息;
[0009] 控制所述安全管理中心獲得與所述設(shè)備屬性對應(yīng)的設(shè)備的運(yùn)行狀態(tài);
[0010] 判斷所述安全管理中心獲得的與所述設(shè)備屬性對應(yīng)的設(shè)備的運(yùn)行狀態(tài)是否處于 正常狀態(tài),獲得第一判斷結(jié)果;
[0011] 當(dāng)所述設(shè)備屬性屬于預(yù)先存儲(chǔ)的屬性信息以及所述第一判斷結(jié)果表明所述設(shè)備 的運(yùn)行狀態(tài)處于正常狀態(tài)時(shí),確定所述第一消息安全;
[0012] 當(dāng)所述設(shè)備屬性信息不屬于預(yù)先存儲(chǔ)的屬性信息,或者所述第一判斷結(jié)果表明所 述設(shè)備的運(yùn)行狀態(tài)處于非正常狀態(tài)時(shí),發(fā)出報(bào)警信號。
[0013] 其中,所述每一安全域包括安全管理網(wǎng)關(guān)以及代理功能模塊,所述控制所述安全 管理中心獲得與所述設(shè)備屬性對應(yīng)的設(shè)備的運(yùn)行狀態(tài)包括:
[0014] 控制所述代理功能模塊實(shí)時(shí)獲取所述設(shè)備的運(yùn)行狀態(tài)信息;
[0015] 控制所述安全管理中心從所述代理功能模塊中接收所述設(shè)備的運(yùn)行狀態(tài)信息。
[0016] 一種應(yīng)用于網(wǎng)絡(luò)的信息檢測裝置,所述網(wǎng)絡(luò)劃分為至少一個(gè)安全域,每一所述安 全域包括安全管理中心,所述安全管理中心用于獲得設(shè)備的運(yùn)行狀態(tài)信息,所述設(shè)備包括: 變電站服務(wù)器、終端、路由器和或網(wǎng)絡(luò)交換機(jī),所述應(yīng)用于網(wǎng)絡(luò)的信息檢測裝置包括:
[0017] 接收模塊,用于接收第一消息,所述第一消息攜帶有發(fā)送所述第一消息的設(shè)備的 設(shè)備屬性;
[0018] 第一判斷模塊,用于判斷所述設(shè)備屬性是否屬于預(yù)先存儲(chǔ)的屬性信息,所述設(shè)備 的設(shè)備屬性包括數(shù)字簽名信息、指紋信息或虹膜信息;
[0019] 控制模塊,用于控制所述安全管理中心獲得與所述設(shè)備屬性對應(yīng)的設(shè)備的運(yùn)行狀 態(tài);
[0020] 第二判斷模塊,用于判斷所述安全管理中心獲得的與所述設(shè)備屬性對應(yīng)的設(shè)備的 運(yùn)行狀態(tài)是否處于正常狀態(tài),獲得第一判斷結(jié)果,所述設(shè)備的設(shè)備屬性包括數(shù)字簽名信息、 指紋信息或虹膜信息;
[0021] 確定模塊,用于當(dāng)所述設(shè)備屬性屬于預(yù)先存儲(chǔ)的屬性信息以及所述第一判斷結(jié)果 表明所述設(shè)備的運(yùn)行狀態(tài)處于正常狀態(tài)時(shí),確定所述第一消息安全;
[0022] 報(bào)警模塊,用于當(dāng)所述設(shè)備屬性信息不屬于預(yù)先存儲(chǔ)的屬性信息,或者所述第一 判斷結(jié)果表明所述設(shè)備的運(yùn)行狀態(tài)處于非正常狀態(tài)時(shí),發(fā)出報(bào)警信號。
[0023] 其中,所述每一安全域包括安全管理網(wǎng)關(guān)以及代理功能模塊,所述控制模塊包 括:
[0024] 第一控制單元,用于控制所述代理功能模塊實(shí)時(shí)獲取所述設(shè)備的運(yùn)行狀態(tài)信息;
[0025] 第二控制單元,用于控制所述安全管理中心從所述代理功能模塊中接收所述設(shè)備 的運(yùn)行狀態(tài)信息。
[0026] 一種應(yīng)用于網(wǎng)絡(luò)的信息檢測系統(tǒng),包括上述所述應(yīng)用于網(wǎng)絡(luò)的信息檢測裝置。
[0027] 經(jīng)由上述的技術(shù)方案可知,與現(xiàn)有技術(shù)相比,本發(fā)明實(shí)施例提供了一種應(yīng)用于網(wǎng) 絡(luò)的信息檢測方法,該方法中當(dāng)接收到第一消息后,會(huì)獲得發(fā)送該第一消息的設(shè)備的設(shè)備 屬性,如果該設(shè)備屬性屬于預(yù)先存儲(chǔ)的屬性信息,且具有該設(shè)備屬性的設(shè)備的運(yùn)行狀態(tài)處 于正常狀態(tài)時(shí),說明第一消息確實(shí)是該設(shè)備發(fā)出的,不論病毒或蠕蟲攻克什么樣的權(quán)限,都 受制于設(shè)備屬性以及運(yùn)行狀態(tài),從而提高了網(wǎng)絡(luò)通信的可靠性。
【專利附圖】
【附圖說明】
[0028] 為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實(shí)施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本 發(fā)明的實(shí)施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù) 提供的附圖獲得其他的附圖。
[0029] 圖1為本發(fā)明實(shí)施例提供了一種應(yīng)用于網(wǎng)絡(luò)的信息檢測方法的流程示意圖;
[0030] 圖2為本發(fā)明實(shí)施例提供的一種應(yīng)用于網(wǎng)絡(luò)的信息檢測方法中的一種控制所述 安全管理中心獲得與所述設(shè)備屬性對應(yīng)的設(shè)備的運(yùn)行狀態(tài)的一種實(shí)現(xiàn)方式的方法流程示 意圖;
[0031] 圖3為本發(fā)明實(shí)施例提供的一種應(yīng)用于網(wǎng)絡(luò)的信息檢測裝置的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0032] 為了引用和清楚起見,下文中使用的技術(shù)名詞的說明、簡寫或縮寫總結(jié)如下:
[0033] TCSEC :Trusted Computer System Evaluation Criteria,美國可信計(jì)算機(jī)系統(tǒng)評 價(jià)標(biāo)準(zhǔn);
[0034] HTTP :HTTP_Hypertext transfer protocol,超文本傳輸協(xié)議;
[0035] FTP :File Transfer Protocol,文件傳輸協(xié)議;
[0036] SMTP :Simple Mail Transfer Protocol,簡單郵件傳輸協(xié)議;
[0037] POP3 :Post Office Protocol3,郵局協(xié)議的第 3 個(gè)版本;
[0038] DNS :Domain Name System,域名系統(tǒng);
[0039] TCP 〖Transmission Control Protocol,傳輸控制協(xié)議。
[0040] 下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完 整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;?本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他 實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
[0041] 請參閱附圖1,為本發(fā)明實(shí)施例提供了一種應(yīng)用于網(wǎng)絡(luò)的信息檢測方法的流程示 意圖,其中網(wǎng)絡(luò)劃分為至少一個(gè)安全域,每一所述安全域包括安全管理中心,所述安全管理 中心用于獲得設(shè)備的運(yùn)行狀態(tài)信息,所述設(shè)備包括:變電站服務(wù)器、終端、路由器和/或網(wǎng) 絡(luò)交換機(jī),該方法包括:
[0042] 步驟S101 :接收第一消息。
[0043] 所述第一消息攜帶有發(fā)送所述第一消息的設(shè)備的設(shè)備屬性。
[0044] 上述應(yīng)用于網(wǎng)絡(luò)的信息檢測方法可以應(yīng)用于應(yīng)用于網(wǎng)絡(luò)的信息檢測裝置,該裝置 在與發(fā)送第一消息的設(shè)備屬性的設(shè)備進(jìn)行通信時(shí),為了到達(dá)消息在安全隔離前提下有限連 通,可以通過安全隔離與信息交換系統(tǒng)對其用層數(shù)據(jù)提供透明協(xié)議轉(zhuǎn)換,以提高消息交換 的安全性。轉(zhuǎn)換過程對用戶透明,不需要用戶管理,穩(wěn)定可靠。該應(yīng)用層數(shù)據(jù)過濾及傳輸功 能,支持主流應(yīng)用層協(xié)議,包括:HTTP協(xié)議、FTP協(xié)議、SMTP協(xié)議、POP3協(xié)議、DNS協(xié)議、數(shù)據(jù) 映射協(xié)議、文件搬運(yùn)協(xié)議、不斷擴(kuò)展的各種應(yīng)用層協(xié)議、密級標(biāo)識(shí)(選配)及內(nèi)容審查。
[0045] 在安全隔離與信息交換系統(tǒng)內(nèi)有兩套處理系統(tǒng),稱之為內(nèi)端系統(tǒng)和外端系統(tǒng)。內(nèi) 端系統(tǒng)和外端系統(tǒng)是兩套獨(dú)立的系統(tǒng)板,各自都擁有自己的CPU、存儲(chǔ)體和總線,并且在兩 套系統(tǒng)間除通過基于HRI?技術(shù)的隔離交換卡外并不存在任何直接或間接的聯(lián)系。內(nèi)端系 統(tǒng)用來處理內(nèi)部網(wǎng)絡(luò)的信息,包括用戶請求、認(rèn)證、權(quán)限控制等;外端系統(tǒng)用來處理外部網(wǎng) 絡(luò)的信息,如獲取Internet資源等。
[0046] 由于安全隔離與信息交換系統(tǒng)擁有處理內(nèi)外網(wǎng)信息的兩套獨(dú)立系統(tǒng),并且在兩套 系統(tǒng)間并不存在任何網(wǎng)絡(luò)連接,因此可以保障內(nèi)網(wǎng)不會(huì)直接受到外部網(wǎng)絡(luò)干擾,即來自外 網(wǎng)的所有網(wǎng)絡(luò)攻擊信息都只對外端機(jī)起作用而無法穿透安全隔離與信息交換系統(tǒng)到達(dá)內(nèi) 網(wǎng)。在極限情況下,外網(wǎng)系統(tǒng)可能癱瘓或被黑客控制,但影響不會(huì)擴(kuò)散到內(nèi)網(wǎng),保障了內(nèi)網(wǎng) 的安全。
[0047] 該裝置在與發(fā)送第一消息的設(shè)備屬性的設(shè)備進(jìn)行通信時(shí),可以使用基于HRI?技 術(shù)的隔離交換卡,并且此卡是連接內(nèi)端系統(tǒng)和外端系統(tǒng)的唯一數(shù)據(jù)通道,即通過芯片檢測 及芯片互鎖機(jī)制在內(nèi)端系統(tǒng)和外端系統(tǒng)之間建立起完全隔離的兩條數(shù)據(jù)通道,一條數(shù)據(jù)通 道僅傳輸內(nèi)網(wǎng)到外網(wǎng)的數(shù)據(jù),另一條數(shù)據(jù)通道僅傳輸外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù),通過對數(shù)據(jù)流向 的控制達(dá)到了對信道的完全控制。信道控制與信道隔離的好處在于:通過對信道的隔離,保 證了每條信道上的數(shù)據(jù)流向可控,防止黑客構(gòu)造非法數(shù)據(jù)截取正常網(wǎng)絡(luò)通信信息;通過對 數(shù)據(jù)流向的控制,從硬件上保證了數(shù)據(jù)源位置和目的位置明確,保證了對數(shù)據(jù)安全檢查的 有效性;可以在必要的時(shí)候關(guān)閉一條數(shù)據(jù)通道,在特定情況下做到數(shù)據(jù)只能進(jìn)或只能出,進(jìn) 一步提1?系統(tǒng)安全性。
[0048] 在安全隔離與信息交換系統(tǒng)內(nèi)連接內(nèi)外端系統(tǒng)的是兩條單向可控?cái)?shù)據(jù)傳輸通道, 并且在通道上由專用安全隔離交換協(xié)議保證了內(nèi)外網(wǎng)間只交換純數(shù)據(jù),純數(shù)據(jù)對應(yīng)網(wǎng)絡(luò)七 層協(xié)議中的應(yīng)用層,因此在內(nèi)外網(wǎng)之間僅通過協(xié)議轉(zhuǎn)換的方式允許做七層通信,而第七層 以下的數(shù)據(jù)無法穿透安全隔離與信息交換系統(tǒng)安全隔離與信息交換系統(tǒng),也就是說所有網(wǎng) 絡(luò)之間互連的協(xié)議IP協(xié)議、TCP協(xié)議、UDP(User Data Protocol,用戶數(shù)據(jù)報(bào)協(xié)議)協(xié)議、 ICMP (InternetControlMessageProtocol,Internet 控制消息協(xié)議)協(xié)議均無法穿透,做到 了通過網(wǎng)絡(luò)分層屏蔽危險(xiǎn)層的方式防護(hù)內(nèi)網(wǎng)。
[0049] 在網(wǎng)絡(luò)安全中狹義范圍的攻擊即指網(wǎng)絡(luò)攻擊。隨著互聯(lián)網(wǎng)應(yīng)用的不斷拓展,新的 黑客攻擊技術(shù)和攻擊軟件層出不窮。但總結(jié)起來,黑客攻擊大致分為以下幾類:端口掃描、 利用系統(tǒng)漏洞進(jìn)行網(wǎng)絡(luò)攻擊、通過安裝木馬進(jìn)行網(wǎng)絡(luò)攻擊、D0S/DD0S攻擊、越權(quán)訪問。由于 在安全隔離與信息交換系統(tǒng)內(nèi)部并不存在任何網(wǎng)絡(luò)協(xié)議,因此在外網(wǎng)系統(tǒng)中無法通過網(wǎng)絡(luò) 對內(nèi)網(wǎng)進(jìn)行攻擊,因此上述諸如端口掃描、系統(tǒng)漏洞、木馬、D0S/DD0S等均對經(jīng)過安全隔離 與信息交換系統(tǒng)保護(hù)的政務(wù)內(nèi)網(wǎng)無效。極限情況是外端系統(tǒng)可能被攻破,但其特殊的安全 機(jī)制保障了攻擊信息不會(huì)進(jìn)入內(nèi)網(wǎng),從最大程度上保證了內(nèi)網(wǎng)的安全,稱之為"對網(wǎng)絡(luò)攻擊 免疫"。
[0050] 步驟S102 :判斷所述設(shè)備屬性是否屬于預(yù)先存儲(chǔ)的屬性信息。
[0051] 所述設(shè)備的設(shè)備屬性包括數(shù)字簽名信息、指紋信息或虹膜信息。
[0052] 本發(fā)明實(shí)施例中的網(wǎng)絡(luò)中各個(gè)消息的權(quán)限可以用設(shè)備屬性信息來作為認(rèn)證標(biāo)識(shí), 本發(fā)明實(shí)施例中所提及的設(shè)備的系統(tǒng)環(huán)境可以為B級別操作系統(tǒng),B級別操作系統(tǒng)是TCSEC 標(biāo)準(zhǔn)里規(guī)定的可信操作系統(tǒng)的一個(gè)等級,B級別的可信系統(tǒng)環(huán)境對蠕蟲病毒是起到根本的 免疫作用的,和普通的殺毒軟件,防火墻有著本質(zhì)的區(qū)別。可以通過插入內(nèi)核驅(qū)動(dòng)來重構(gòu)整 個(gè)權(quán)限機(jī)制實(shí)現(xiàn)B級別可信系統(tǒng)的重要機(jī)制。如下步驟S103至步驟S105構(gòu)成了 B級別可 信系統(tǒng)的重要機(jī)制。
[0053] 步驟S103 :控制所述安全管理中心獲得與所述設(shè)備屬性對應(yīng)的設(shè)備的運(yùn)行狀態(tài)。
[0054] 安全管理中心可以獲取各個(gè)設(shè)備的運(yùn)行狀態(tài)信息,也可以對運(yùn)行狀態(tài)信息進(jìn)行存 儲(chǔ)或圖形化展示,此為現(xiàn)有技術(shù)在此不再對此進(jìn)行一一贅述。
[0055] 安全管理中心可以定期獲取各個(gè)設(shè)備的運(yùn)行狀態(tài),獲取過程需要通過管理網(wǎng)關(guān)的 轉(zhuǎn)發(fā)設(shè)備屬性也需要通過管理網(wǎng)關(guān)發(fā)送到管理中心。管理網(wǎng)關(guān)存在于雙網(wǎng)卡設(shè)備,主要用 于轉(zhuǎn)發(fā)變電站、服務(wù)器、終端、路由器、網(wǎng)絡(luò)交換機(jī)的設(shè)備屬性信息。
[0056] 步驟S104 :判斷所述安全管理中心獲得的與所述設(shè)備屬性對應(yīng)的設(shè)備的運(yùn)行狀 態(tài)是否處于正常狀態(tài),獲得第一判斷結(jié)果。
[0057] 步驟S105 :當(dāng)所述設(shè)備屬性屬于預(yù)先存儲(chǔ)的屬性信息以及所述第一判斷結(jié)果表 明所述設(shè)備的運(yùn)行狀態(tài)處于正常狀態(tài)時(shí),確定所述第一消息安全。
[0058] 步驟S106 :當(dāng)所述設(shè)備屬性信息不屬于預(yù)先存儲(chǔ)的屬性信息,或者所述第一判斷 結(jié)果表明所述設(shè)備的運(yùn)行狀態(tài)處于非正常狀態(tài)時(shí),發(fā)出報(bào)警信號。
[0059] 本發(fā)明實(shí)施例提供了一種應(yīng)用于網(wǎng)絡(luò)的信息檢測方法,該方法中當(dāng)接收到第一消 息后,會(huì)獲得發(fā)送該第一消息的設(shè)備的設(shè)備屬性,如果該設(shè)備屬性屬于預(yù)先存儲(chǔ)的屬性信 息,且具有該設(shè)備屬性的設(shè)備的運(yùn)行狀態(tài)處于正常狀態(tài)時(shí),說明第一消息確實(shí)是該設(shè)備發(fā) 出的,不論病毒或蠕蟲攻克什么樣的權(quán)限,都受制于設(shè)備屬性以及運(yùn)行狀態(tài),從而提高了網(wǎng) 絡(luò)通信的可靠性。
[0060] 請參閱圖2,為本發(fā)明實(shí)施例提供的一種應(yīng)用于網(wǎng)絡(luò)的信息檢測方法中的一種控 制所述安全管理中心獲得與所述設(shè)備屬性對應(yīng)的設(shè)備的運(yùn)行狀態(tài)的一種實(shí)現(xiàn)方式的方法 流程示意圖,該方法包括:
[0061] 步驟S201 :控制所述代理功能模塊實(shí)時(shí)獲取所述設(shè)備的運(yùn)行狀態(tài)信息。
[0062] 每一安全域包括安全管理網(wǎng)關(guān)以及代理功能模塊。
[0063] 步驟S202 :控制所述安全管理中心從所述代理功能模塊中接收所述設(shè)備的運(yùn)行 狀態(tài)信息。
[0064] 上述本發(fā)明公開的實(shí)施例中詳細(xì)描述了方法,對于本發(fā)明的方法可采用多種形式 的裝置實(shí)現(xiàn),因此本發(fā)明還公開了一種裝置,下面給出具體的實(shí)施例進(jìn)行詳細(xì)說明。
[0065] 請參閱圖3,為本發(fā)明實(shí)施例提供的一種應(yīng)用于網(wǎng)絡(luò)的信息檢測裝置的結(jié)構(gòu)示意 圖,該網(wǎng)絡(luò)劃分為至少一個(gè)安全域,每一所述安全域包括安全管理中心,所述安全管理中心 用于獲得設(shè)備的運(yùn)行狀態(tài)信息,所述設(shè)備包括:變電站服務(wù)器、終端、路由器和或網(wǎng)絡(luò)交換 機(jī),該裝置包括:接收模塊301、第一判斷模塊302、控制模塊303、第二判斷模塊304、確定模 塊305以及報(bào)警模塊306,其中:
[0066] 接收模塊301,用于接收第一消息。
[0067] 所述第一消息攜帶有發(fā)送所述第一消息的設(shè)備的設(shè)備屬性。
[0068] 上述應(yīng)用于網(wǎng)絡(luò)的信息檢測方法可以應(yīng)用于應(yīng)用于網(wǎng)絡(luò)的信息檢測裝置,該裝置 在與發(fā)送第一消息的設(shè)備屬性的設(shè)備進(jìn)行通信時(shí),為了到達(dá)消息在安全隔離前提下有限連 通,可以通過安全隔離與信息交換系統(tǒng)對其用層數(shù)據(jù)提供透明協(xié)議轉(zhuǎn)換,以提高消息交換 的安全性。轉(zhuǎn)換過程對用戶透明,不需要用戶管理,穩(wěn)定可靠。該應(yīng)用層數(shù)據(jù)過濾及傳輸功 能,支持主流應(yīng)用層協(xié)議,包括:HTTP協(xié)議、FTP協(xié)議、SMTP協(xié)議、POP3協(xié)議、DNS協(xié)議、數(shù)據(jù) 映射協(xié)議、文件搬運(yùn)協(xié)議、不斷擴(kuò)展的各種應(yīng)用層協(xié)議、密級標(biāo)識(shí)(選配)及內(nèi)容審查。 [0069] 在安全隔離與信息交換系統(tǒng)內(nèi)有兩套處理系統(tǒng),稱之為內(nèi)端系統(tǒng)和外端系統(tǒng)。內(nèi) 端系統(tǒng)和外端系統(tǒng)是兩套獨(dú)立的系統(tǒng)板,各自都擁有自己的CPU、存儲(chǔ)體和總線,并且在兩 套系統(tǒng)間除通過基于HRI?技術(shù)的隔離交換卡外并不存在任何直接或間接的聯(lián)系。內(nèi)端系 統(tǒng)用來處理內(nèi)部網(wǎng)絡(luò)的信息,包括用戶請求、認(rèn)證、權(quán)限控制等;外端系統(tǒng)用來處理外部網(wǎng) 絡(luò)的信息,如獲取Internet資源等。
[0070] 由于安全隔離與信息交換系統(tǒng)擁有處理內(nèi)外網(wǎng)信息的兩套獨(dú)立系統(tǒng),并且在兩套 系統(tǒng)間并不存在任何網(wǎng)絡(luò)連接,因此可以保障內(nèi)網(wǎng)不會(huì)直接受到外部網(wǎng)絡(luò)干擾,即來自外 網(wǎng)的所有網(wǎng)絡(luò)攻擊信息都只對外端機(jī)起作用而無法穿透安全隔離與信息交換系統(tǒng)到達(dá)內(nèi) 網(wǎng)。在極限情況下,外網(wǎng)系統(tǒng)可能癱瘓或被黑客控制,但影響不會(huì)擴(kuò)散到內(nèi)網(wǎng),保障了內(nèi)網(wǎng) 的安全。
[0071] 該裝置在與發(fā)送第一消息的設(shè)備屬性的設(shè)備進(jìn)行通信時(shí),可以使用基于HRI?技 術(shù)的隔離交換卡,并且此卡是連接內(nèi)端系統(tǒng)和外端系統(tǒng)的唯一數(shù)據(jù)通道,即通過芯片檢測 及芯片互鎖機(jī)制在內(nèi)端系統(tǒng)和外端系統(tǒng)之間建立起完全隔離的兩條數(shù)據(jù)通道,一條數(shù)據(jù)通 道僅傳輸內(nèi)網(wǎng)到外網(wǎng)的數(shù)據(jù),另一條數(shù)據(jù)通道僅傳輸外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù),通過對數(shù)據(jù)流向 的控制達(dá)到了對信道的完全控制。信道控制與信道隔離的好處在于:通過對信道的隔離,保 證了每條信道上的數(shù)據(jù)流向可控,防止黑客構(gòu)造非法數(shù)據(jù)截取正常網(wǎng)絡(luò)通信信息;通過對 數(shù)據(jù)流向的控制,從硬件上保證了數(shù)據(jù)源位置和目的位置明確,保證了對數(shù)據(jù)安全檢查的 有效性;可以在必要的時(shí)候關(guān)閉一條數(shù)據(jù)通道,在特定情況下做到數(shù)據(jù)只能進(jìn)或只能出,進(jìn) 一步提1?系統(tǒng)安全性。
[0072] 在安全隔離與信息交換系統(tǒng)內(nèi)連接內(nèi)外端系統(tǒng)的是兩條單向可控?cái)?shù)據(jù)傳輸通道, 并且在通道上由專用安全隔離交換協(xié)議保證了內(nèi)外網(wǎng)間只交換純數(shù)據(jù),純數(shù)據(jù)對應(yīng)網(wǎng)絡(luò)七 層協(xié)議中的應(yīng)用層,因此在內(nèi)外網(wǎng)之間僅通過協(xié)議轉(zhuǎn)換的方式允許做七層通信,而第七層 以下的數(shù)據(jù)無法穿透安全隔離與信息交換系統(tǒng)安全隔離與信息交換系統(tǒng),也就是說所有網(wǎng) 絡(luò)之間互連的協(xié)議IP協(xié)議、TCP協(xié)議、UDP(User Data Protocol,用戶數(shù)據(jù)報(bào)協(xié)議)協(xié)議、 ICMP (InternetControlMessageProtocol,Internet 控制消息協(xié)議)協(xié)議均無法穿透,做到 了通過網(wǎng)絡(luò)分層屏蔽危險(xiǎn)層的方式防護(hù)內(nèi)網(wǎng)。
[0073] 在網(wǎng)絡(luò)安全中狹義范圍的攻擊即指網(wǎng)絡(luò)攻擊。隨著互聯(lián)網(wǎng)應(yīng)用的不斷拓展,新的 黑客攻擊技術(shù)和攻擊軟件層出不窮。但總結(jié)起來,黑客攻擊大致分為以下幾類:端口掃描、 利用系統(tǒng)漏洞進(jìn)行網(wǎng)絡(luò)攻擊、通過安裝木馬進(jìn)行網(wǎng)絡(luò)攻擊、D0S/DD0S攻擊、越權(quán)訪問。由于 在安全隔離與信息交換系統(tǒng)內(nèi)部并不存在任何網(wǎng)絡(luò)協(xié)議,因此在外網(wǎng)系統(tǒng)中無法通過網(wǎng)絡(luò) 對內(nèi)網(wǎng)進(jìn)行攻擊,因此上述諸如端口掃描、系統(tǒng)漏洞、木馬、D0S/DD0S等均對經(jīng)過安全隔離 與信息交換系統(tǒng)保護(hù)的政務(wù)內(nèi)網(wǎng)無效。極限情況是外端系統(tǒng)可能被攻破,但其特殊的安全 機(jī)制保障了攻擊信息不會(huì)進(jìn)入內(nèi)網(wǎng),從最大程度上保證了內(nèi)網(wǎng)的安全,稱之為"對網(wǎng)絡(luò)攻擊 免疫"。
[0074] 第一判斷模塊302,用于判斷所述設(shè)備屬性是否屬于預(yù)先存儲(chǔ)的屬性信息,所述設(shè) 備的設(shè)備屬性包括數(shù)字簽名信息、指紋信息或虹膜信息。
[0075] 控制模塊303,用于控制所述安全管理中心獲得與所述設(shè)備屬性對應(yīng)的設(shè)備的運(yùn) 行狀態(tài)。
[0076] 所述設(shè)備的設(shè)備屬性包括數(shù)字簽名信息、指紋信息或虹膜信息。
[0077] 本發(fā)明實(shí)施例中的網(wǎng)絡(luò)中各個(gè)消息的權(quán)限可以用設(shè)備屬性信息來作為認(rèn)證標(biāo)識(shí), 本發(fā)明實(shí)施例中所提及的設(shè)備的系統(tǒng)環(huán)境可以為B級別操作系統(tǒng),B級別操作系統(tǒng)是TCSEC 標(biāo)準(zhǔn)里規(guī)定的可信操作系統(tǒng)的一個(gè)等級,B級別的可信系統(tǒng)環(huán)境對蠕蟲病毒是起到根本的 免疫作用的,和普通的殺毒軟件,防火墻有著本質(zhì)的區(qū)別??梢酝ㄟ^插入內(nèi)核驅(qū)動(dòng)來重構(gòu)整 個(gè)權(quán)限機(jī)制實(shí)現(xiàn)B級別可信系統(tǒng)的重要機(jī)制。如下步驟S103至步驟S105構(gòu)成了 B級別可 信系統(tǒng)的重要機(jī)制。
[0078] 所述每一安全域包括安全管理網(wǎng)關(guān)以及代理功能模塊,所述控制模塊包括:第一 控制單元,用于控制所述代理功能模塊實(shí)時(shí)獲取所述設(shè)備的運(yùn)行狀態(tài)信息;第二控制單元, 用于控制所述安全管理中心從所述代理功能模塊中接收所述設(shè)備的運(yùn)行狀態(tài)信息。
[0079] 第二判斷模塊304,用于判斷所述安全管理中心獲得的與所述設(shè)備屬性對應(yīng)的設(shè) 備的運(yùn)行狀態(tài)是否處于正常狀態(tài),獲得第一判斷結(jié)果。
[0080] 安全管理中心可以獲取各個(gè)設(shè)備的運(yùn)行狀態(tài)信息,也可以對運(yùn)行狀態(tài)信息進(jìn)行存 儲(chǔ)或圖形化展示,此為現(xiàn)有技術(shù)在此不再對此進(jìn)行一一贅述。
[0081] 安全管理中心可以定期獲取各個(gè)設(shè)備的運(yùn)行狀態(tài),獲取過程需要通過管理網(wǎng)關(guān)的 轉(zhuǎn)發(fā)設(shè)備屬性也需要通過管理網(wǎng)關(guān)發(fā)送到管理中心。管理網(wǎng)關(guān)存在于雙網(wǎng)卡設(shè)備,主要用 于轉(zhuǎn)發(fā)變電站、服務(wù)器、終端、路由器、網(wǎng)絡(luò)交換機(jī)的設(shè)備屬性信息。
[0082] 確定模塊305,用于當(dāng)所述設(shè)備屬性屬于預(yù)先存儲(chǔ)的屬性信息以及所述第一判斷 結(jié)果表明所述設(shè)備的運(yùn)行狀態(tài)處于正常狀態(tài)時(shí),確定所述第一消息安全。
[0083] 報(bào)警模塊306,用于當(dāng)所述設(shè)備屬性信息不屬于預(yù)先存儲(chǔ)的屬性信息,或者所述第 一判斷結(jié)果表明所述設(shè)備的運(yùn)行狀態(tài)處于非正常狀態(tài)時(shí),發(fā)出報(bào)警信號。
[0084] 本發(fā)明實(shí)施例提供了一種應(yīng)用于網(wǎng)絡(luò)的信息檢測裝置,該裝置中當(dāng)接收到第一消 息后,會(huì)獲得發(fā)送該第一消息的設(shè)備的設(shè)備屬性,如果該設(shè)備屬性屬于預(yù)先存儲(chǔ)的屬性信 息,且具有該設(shè)備屬性的設(shè)備的運(yùn)行狀態(tài)處于正常狀態(tài)時(shí),說明第一消息確實(shí)是該設(shè)備發(fā) 出的,不論病毒或蠕蟲攻克什么樣的權(quán)限,都受制于設(shè)備屬性以及運(yùn)行狀態(tài),從而提高了網(wǎng) 絡(luò)通信的可靠性。
[0085] 本發(fā)明實(shí)施例還提供了一種應(yīng)用于網(wǎng)絡(luò)的信息檢測系統(tǒng),該系統(tǒng)包括上述任一應(yīng) 用于網(wǎng)絡(luò)的信息檢測裝置。
[0086] 需要說明的是,本說明書中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述,每個(gè)實(shí)施例重 點(diǎn)說明的都是與其他實(shí)施例的不同之處,各個(gè)實(shí)施例之間相同相似的部分互相參見即可。 對于裝置或系統(tǒng)類實(shí)施例而言,由于其與方法實(shí)施例基本相似,所以描述的比較簡單,相關(guān) 之處參見方法實(shí)施例的部分說明即可。
[0087] 還需要說明的是,在本文中,諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將一個(gè) 實(shí)體或者操作與另一個(gè)實(shí)體或操作區(qū)分開來,而不一定要求或者暗示這些實(shí)體或操作之間 存在任何這種實(shí)際的關(guān)系或者順序。而且,術(shù)語"包括"、"包含"或者其任何其他變體意在 涵蓋非排他性的包含,從而使得包括一系列要素的過程、方法、物品或者設(shè)備不僅包括那些 要素,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程、方法、物品或者設(shè) 備所固有的要素。在沒有更多限制的情況下,由語句"包括一個(gè)……"限定的要素,并不排 除在包括所述要素的過程、方法、物品或者設(shè)備中還存在另外的相同要素。
[0088] 結(jié)合本文中所公開的實(shí)施例描述的方法或算法的步驟可以直接用硬件、處理器執(zhí) 行的軟件模塊,或者二者的結(jié)合來實(shí)施。軟件模塊可以置于隨機(jī)存儲(chǔ)器(RAM)、內(nèi)存、只讀存 儲(chǔ)器(ROM)、電可編程ROM、電可擦除可編程ROM、寄存器、硬盤、可移動(dòng)磁盤、CD-ROM、或技術(shù) 領(lǐng)域內(nèi)所公知的任意其它形式的存儲(chǔ)介質(zhì)中。
[〇〇89] 對所公開的實(shí)施例的上述說明,使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明。 對這些實(shí)施例的多種修改對本領(lǐng)域的專業(yè)技術(shù)人員來說將是顯而易見的,本文中所定義的 一般原理可以在不脫離本發(fā)明的精神或范圍的情況下,在其它實(shí)施例中實(shí)現(xiàn)。因此,本發(fā)明 將不會(huì)被限制于本文所示的這些實(shí)施例,而是要符合與本文所公開的原理和新穎特點(diǎn)相一 致的最寬的范圍。
【權(quán)利要求】
1. 一種應(yīng)用于網(wǎng)絡(luò)的信息檢測方法,其特征在于,所述網(wǎng)絡(luò)劃分為至少一個(gè)安全域,每 一所述安全域包括安全管理中心,所述安全管理中心用于獲得設(shè)備的運(yùn)行狀態(tài)信息,所述 設(shè)備包括:變電站服務(wù)器、終端、路由器和/或網(wǎng)絡(luò)交換機(jī),所述應(yīng)用于網(wǎng)絡(luò)的信息檢測方 法包括: 接收第一消息,所述第一消息攜帶有發(fā)送所述第一消息的設(shè)備的設(shè)備屬性; 判斷所述設(shè)備屬性是否屬于預(yù)先存儲(chǔ)的屬性信息,所述設(shè)備的設(shè)備屬性包括數(shù)字簽名 信息、指紋信息或虹膜信息; 控制所述安全管理中心獲得與所述設(shè)備屬性對應(yīng)的設(shè)備的運(yùn)行狀態(tài); 判斷所述安全管理中心獲得的與所述設(shè)備屬性對應(yīng)的設(shè)備的運(yùn)行狀態(tài)是否處于正常 狀態(tài),獲得第一判斷結(jié)果; 當(dāng)所述設(shè)備屬性屬于預(yù)先存儲(chǔ)的屬性信息以及所述第一判斷結(jié)果表明所述設(shè)備的運(yùn) 行狀態(tài)處于正常狀態(tài)時(shí),確定所述第一消息安全; 當(dāng)所述設(shè)備屬性信息不屬于預(yù)先存儲(chǔ)的屬性信息,或者所述第一判斷結(jié)果表明所述設(shè) 備的運(yùn)行狀態(tài)處于非正常狀態(tài)時(shí),發(fā)出報(bào)警信號。
2. 根據(jù)權(quán)利要求1所述應(yīng)用于網(wǎng)絡(luò)的信息檢測方法,其特征在于,所述每一安全域包 括安全管理網(wǎng)關(guān)以及代理功能模塊,所述控制所述安全管理中心獲得與所述設(shè)備屬性對應(yīng) 的設(shè)備的運(yùn)行狀態(tài)包括: 控制所述代理功能模塊實(shí)時(shí)獲取所述設(shè)備的運(yùn)行狀態(tài)信息; 控制所述安全管理中心從所述代理功能模塊中接收所述設(shè)備的運(yùn)行狀態(tài)信息。
3. -種應(yīng)用于網(wǎng)絡(luò)的信息檢測裝置,其特征在于,所述網(wǎng)絡(luò)劃分為至少一個(gè)安全域,每 一所述安全域包括安全管理中心,所述安全管理中心用于獲得設(shè)備的運(yùn)行狀態(tài)信息,所述 設(shè)備包括:變電站服務(wù)器、終端、路由器和或網(wǎng)絡(luò)交換機(jī),所述應(yīng)用于網(wǎng)絡(luò)的信息檢測裝置 包括: 接收模塊,用于接收第一消息,所述第一消息攜帶有發(fā)送所述第一消息的設(shè)備的設(shè)備 屬性; 第一判斷模塊,用于判斷所述設(shè)備屬性是否屬于預(yù)先存儲(chǔ)的屬性信息,所述設(shè)備的設(shè) 備屬性包括數(shù)字簽名信息、指紋信息或虹膜信息; 控制模塊,用于控制所述安全管理中心獲得與所述設(shè)備屬性對應(yīng)的設(shè)備的運(yùn)行狀態(tài); 第二判斷模塊,用于判斷所述安全管理中心獲得的與所述設(shè)備屬性對應(yīng)的設(shè)備的運(yùn)行 狀態(tài)是否處于正常狀態(tài),獲得第一判斷結(jié)果; 確定模塊,用于當(dāng)所述設(shè)備屬性屬于預(yù)先存儲(chǔ)的屬性信息以及所述第一判斷結(jié)果表明 所述設(shè)備的運(yùn)行狀態(tài)處于正常狀態(tài)時(shí),確定所述第一消息安全; 報(bào)警模塊,用于當(dāng)所述設(shè)備屬性信息不屬于預(yù)先存儲(chǔ)的屬性信息,或者所述第一判斷 結(jié)果表明所述設(shè)備的運(yùn)行狀態(tài)處于非正常狀態(tài)時(shí),發(fā)出報(bào)警信號。
4. 根據(jù)權(quán)利要求3所述應(yīng)用于網(wǎng)絡(luò)的信息檢測裝置,其特征在于,所述每一安全域包 括安全管理網(wǎng)關(guān)以及代理功能模塊,所述控制模塊包括: 第一控制單元,用于控制所述代理功能模塊實(shí)時(shí)獲取所述設(shè)備的運(yùn)行狀態(tài)信息; 第二控制單元,用于控制所述安全管理中心從所述代理功能模塊中接收所述設(shè)備的運(yùn) 行狀態(tài)信息。
5. -種應(yīng)用于網(wǎng)絡(luò)的信息檢測系統(tǒng),其特征在于,包括權(quán)利要求3或4所述應(yīng)用于網(wǎng)絡(luò) 的信息檢測裝置。
【文檔編號】H04L12/26GK104113451SQ201410355758
【公開日】2014年10月22日 申請日期:2014年7月24日 優(yōu)先權(quán)日:2014年7月24日
【發(fā)明者】張明達(dá), 王彬潔, 劉文俊, 張瑩 申請人:國網(wǎng)浙江奉化市供電公司, 國家電網(wǎng)公司, 國網(wǎng)浙江省電力公司寧波供電公司