應(yīng)用于網(wǎng)絡(luò)的信息檢測方法��、裝置及系統(tǒng)的制作方法
【專利摘要】本發(fā)明實(shí)施例提供了一種應(yīng)用于網(wǎng)絡(luò)的信息檢測方法�����、裝置及系統(tǒng),該方法包括:接收第一消息�����;判斷所述設(shè)備屬性是否屬于預(yù)先存儲(chǔ)的屬性信息��;控制所述安全管理中心獲得與所述設(shè)備屬性對應(yīng)的設(shè)備的運(yùn)行狀態(tài)���;判斷所述安全管理中心獲得的與所述設(shè)備屬性對應(yīng)的設(shè)備的運(yùn)行狀態(tài)是否處于正常狀態(tài),獲得第一判斷結(jié)果����;當(dāng)所述設(shè)備屬性屬于預(yù)先存儲(chǔ)的屬性信息以及所述第一判斷結(jié)果表明所述設(shè)備的運(yùn)行狀態(tài)處于正常狀態(tài)時(shí),確定所述第一消息安全�;當(dāng)所述設(shè)備屬性信息不屬于預(yù)先存儲(chǔ)的屬性信息,或者所述第一判斷結(jié)果表明所述設(shè)備的運(yùn)行狀態(tài)處于非正常狀態(tài)時(shí)�,發(fā)出報(bào)警信號。采用本發(fā)明實(shí)施例提供的方法�����、裝置及系統(tǒng)可以提高網(wǎng)絡(luò)通信的可靠性�。
【專利說明】應(yīng)用于網(wǎng)絡(luò)的信息檢測方法、裝置及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全檢測領(lǐng)域����,更具體的說����,是涉及應(yīng)用于網(wǎng)絡(luò)的信息檢測方法�����、 裝置及系統(tǒng)���。
【背景技術(shù)】
[0002] 隨著信息時(shí)代的到來���,網(wǎng)絡(luò)通信發(fā)展越來越快,網(wǎng)絡(luò)通信的安全受到威脅�。
[0003] 不論來自內(nèi)部還是來自外部的攻擊行為(包括病毒的攻擊)的最終目的就是為了 對網(wǎng)絡(luò)通信中的信息進(jìn)行竊取以及監(jiān)聽,現(xiàn)有技術(shù)中的檢測網(wǎng)絡(luò)通信安全的方法是自主訪 問控制機(jī)制���,自主訪問控制機(jī)制是權(quán)限模式���,權(quán)限模式包括根權(quán)限,操作系統(tǒng)里的一切資源 都受根權(quán)限支配��,操作系統(tǒng)通過一套密碼機(jī)制來驗(yàn)證根權(quán)限的可靠性,病毒或蠕蟲可以通 過攻克該密碼機(jī)制����,來掌握根權(quán)限,從而掌握操作系統(tǒng)里所有資源的支配權(quán)�,導(dǎo)致網(wǎng)絡(luò)通信 的安全降低。
【發(fā)明內(nèi)容】
[0004] 有鑒于此���,本發(fā)明提供了一種應(yīng)用于網(wǎng)絡(luò)的信息檢測方法����、裝置及系統(tǒng)�,以克服現(xiàn) 有技術(shù)中網(wǎng)絡(luò)通信的安全降低的問題�。
[0005] 為實(shí)現(xiàn)上述目的,本發(fā)明提供如下技術(shù)方案:
[0006] -種應(yīng)用于網(wǎng)絡(luò)的信息檢測方法�����,所述網(wǎng)絡(luò)劃分為至少一個(gè)安全域�����,每一所述安 全域包括安全管理中心�����,所述安全管理中心用于獲得設(shè)備的運(yùn)行狀態(tài)信息,所述設(shè)備包括: 變電站服務(wù)器�、終端、路由器和/或網(wǎng)絡(luò)交換機(jī)��,所述應(yīng)用于網(wǎng)絡(luò)的信息檢測方法包括:
[0007] 接收第一消息���,所述第一消息攜帶有發(fā)送所述第一消息的設(shè)備的設(shè)備屬性��;
[0008] 判斷所述設(shè)備屬性是否屬于預(yù)先存儲(chǔ)的屬性信息����,所述設(shè)備的設(shè)備屬性包括數(shù)字 簽名信息����、指紋信息或虹膜信息;
[0009] 控制所述安全管理中心獲得與所述設(shè)備屬性對應(yīng)的設(shè)備的運(yùn)行狀態(tài)����;
[0010] 判斷所述安全管理中心獲得的與所述設(shè)備屬性對應(yīng)的設(shè)備的運(yùn)行狀態(tài)是否處于 正常狀態(tài),獲得第一判斷結(jié)果���;
[0011] 當(dāng)所述設(shè)備屬性屬于預(yù)先存儲(chǔ)的屬性信息以及所述第一判斷結(jié)果表明所述設(shè)備 的運(yùn)行狀態(tài)處于正常狀態(tài)時(shí)��,確定所述第一消息安全��;
[0012] 當(dāng)所述設(shè)備屬性信息不屬于預(yù)先存儲(chǔ)的屬性信息��,或者所述第一判斷結(jié)果表明所 述設(shè)備的運(yùn)行狀態(tài)處于非正常狀態(tài)時(shí)�,發(fā)出報(bào)警信號。
[0013] 其中��,所述每一安全域包括安全管理網(wǎng)關(guān)以及代理功能模塊�����,所述控制所述安全 管理中心獲得與所述設(shè)備屬性對應(yīng)的設(shè)備的運(yùn)行狀態(tài)包括:
[0014] 控制所述代理功能模塊實(shí)時(shí)獲取所述設(shè)備的運(yùn)行狀態(tài)信息�;
[0015] 控制所述安全管理中心從所述代理功能模塊中接收所述設(shè)備的運(yùn)行狀態(tài)信息。
[0016] 一種應(yīng)用于網(wǎng)絡(luò)的信息檢測裝置�,所述網(wǎng)絡(luò)劃分為至少一個(gè)安全域��,每一所述安 全域包括安全管理中心����,所述安全管理中心用于獲得設(shè)備的運(yùn)行狀態(tài)信息,所述設(shè)備包括: 變電站服務(wù)器��、終端�、路由器和或網(wǎng)絡(luò)交換機(jī),所述應(yīng)用于網(wǎng)絡(luò)的信息檢測裝置包括:
[0017] 接收模塊,用于接收第一消息��,所述第一消息攜帶有發(fā)送所述第一消息的設(shè)備的 設(shè)備屬性�;
[0018] 第一判斷模塊,用于判斷所述設(shè)備屬性是否屬于預(yù)先存儲(chǔ)的屬性信息�����,所述設(shè)備 的設(shè)備屬性包括數(shù)字簽名信息���、指紋信息或虹膜信息����;
[0019] 控制模塊����,用于控制所述安全管理中心獲得與所述設(shè)備屬性對應(yīng)的設(shè)備的運(yùn)行狀 態(tài);
[0020] 第二判斷模塊��,用于判斷所述安全管理中心獲得的與所述設(shè)備屬性對應(yīng)的設(shè)備的 運(yùn)行狀態(tài)是否處于正常狀態(tài)���,獲得第一判斷結(jié)果�,所述設(shè)備的設(shè)備屬性包括數(shù)字簽名信息��、 指紋信息或虹膜信息;
[0021] 確定模塊�����,用于當(dāng)所述設(shè)備屬性屬于預(yù)先存儲(chǔ)的屬性信息以及所述第一判斷結(jié)果 表明所述設(shè)備的運(yùn)行狀態(tài)處于正常狀態(tài)時(shí)�,確定所述第一消息安全;
[0022] 報(bào)警模塊��,用于當(dāng)所述設(shè)備屬性信息不屬于預(yù)先存儲(chǔ)的屬性信息����,或者所述第一 判斷結(jié)果表明所述設(shè)備的運(yùn)行狀態(tài)處于非正常狀態(tài)時(shí),發(fā)出報(bào)警信號�。
[0023] 其中,所述每一安全域包括安全管理網(wǎng)關(guān)以及代理功能模塊�����,所述控制模塊包 括:
[0024] 第一控制單元�����,用于控制所述代理功能模塊實(shí)時(shí)獲取所述設(shè)備的運(yùn)行狀態(tài)信息�����;
[0025] 第二控制單元�����,用于控制所述安全管理中心從所述代理功能模塊中接收所述設(shè)備 的運(yùn)行狀態(tài)信息�����。
[0026] 一種應(yīng)用于網(wǎng)絡(luò)的信息檢測系統(tǒng)��,包括上述所述應(yīng)用于網(wǎng)絡(luò)的信息檢測裝置�����。
[0027] 經(jīng)由上述的技術(shù)方案可知����,與現(xiàn)有技術(shù)相比,本發(fā)明實(shí)施例提供了一種應(yīng)用于網(wǎng) 絡(luò)的信息檢測方法�,該方法中當(dāng)接收到第一消息后,會(huì)獲得發(fā)送該第一消息的設(shè)備的設(shè)備 屬性����,如果該設(shè)備屬性屬于預(yù)先存儲(chǔ)的屬性信息,且具有該設(shè)備屬性的設(shè)備的運(yùn)行狀態(tài)處 于正常狀態(tài)時(shí)��,說明第一消息確實(shí)是該設(shè)備發(fā)出的,不論病毒或蠕蟲攻克什么樣的權(quán)限���,都 受制于設(shè)備屬性以及運(yùn)行狀態(tài)�,從而提高了網(wǎng)絡(luò)通信的可靠性�。
【專利附圖】
【附圖說明】
[0028] 為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實(shí)施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡單地介紹���,顯而易見地�����,下面描述中的附圖僅僅是本 發(fā)明的實(shí)施例���,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下���,還可以根據(jù) 提供的附圖獲得其他的附圖�����。
[0029] 圖1為本發(fā)明實(shí)施例提供了一種應(yīng)用于網(wǎng)絡(luò)的信息檢測方法的流程示意圖;
[0030] 圖2為本發(fā)明實(shí)施例提供的一種應(yīng)用于網(wǎng)絡(luò)的信息檢測方法中的一種控制所述 安全管理中心獲得與所述設(shè)備屬性對應(yīng)的設(shè)備的運(yùn)行狀態(tài)的一種實(shí)現(xiàn)方式的方法流程示 意圖����;
[0031] 圖3為本發(fā)明實(shí)施例提供的一種應(yīng)用于網(wǎng)絡(luò)的信息檢測裝置的結(jié)構(gòu)示意圖�。
【具體實(shí)施方式】
[0032] 為了引用和清楚起見���,下文中使用的技術(shù)名詞的說明�����、簡寫或縮寫總結(jié)如下:
[0033] TCSEC :Trusted Computer System Evaluation Criteria����,美國可信計(jì)算機(jī)系統(tǒng)評 價(jià)標(biāo)準(zhǔn)��;
[0034] HTTP :HTTP_Hypertext transfer protocol�����,超文本傳輸協(xié)議���;
[0035] FTP :File Transfer Protocol����,文件傳輸協(xié)議�����;
[0036] SMTP :Simple Mail Transfer Protocol,簡單郵件傳輸協(xié)議��;
[0037] POP3 :Post Office Protocol3,郵局協(xié)議的第 3 個(gè)版本���;
[0038] DNS :Domain Name System����,域名系統(tǒng)����;
[0039] TCP 〖Transmission Control Protocol,傳輸控制協(xié)議�。
[0040] 下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚�����、完 整地描述����,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例��?����;?本發(fā)明中的實(shí)施例�����,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他 實(shí)施例����,都屬于本發(fā)明保護(hù)的范圍����。
[0041] 請參閱附圖1,為本發(fā)明實(shí)施例提供了一種應(yīng)用于網(wǎng)絡(luò)的信息檢測方法的流程示 意圖����,其中網(wǎng)絡(luò)劃分為至少一個(gè)安全域,每一所述安全域包括安全管理中心���,所述安全管理 中心用于獲得設(shè)備的運(yùn)行狀態(tài)信息����,所述設(shè)備包括:變電站服務(wù)器、終端���、路由器和/或網(wǎng) 絡(luò)交換機(jī)��,該方法包括:
[0042] 步驟S101 :接收第一消息��。
[0043] 所述第一消息攜帶有發(fā)送所述第一消息的設(shè)備的設(shè)備屬性�����。
[0044] 上述應(yīng)用于網(wǎng)絡(luò)的信息檢測方法可以應(yīng)用于應(yīng)用于網(wǎng)絡(luò)的信息檢測裝置��,該裝置 在與發(fā)送第一消息的設(shè)備屬性的設(shè)備進(jìn)行通信時(shí)�,為了到達(dá)消息在安全隔離前提下有限連 通����,可以通過安全隔離與信息交換系統(tǒng)對其用層數(shù)據(jù)提供透明協(xié)議轉(zhuǎn)換,以提高消息交換 的安全性�。轉(zhuǎn)換過程對用戶透明,不需要用戶管理�����,穩(wěn)定可靠。該應(yīng)用層數(shù)據(jù)過濾及傳輸功 能�,支持主流應(yīng)用層協(xié)議,包括:HTTP協(xié)議�、FTP協(xié)議、SMTP協(xié)議��、POP3協(xié)議��、DNS協(xié)議�����、數(shù)據(jù) 映射協(xié)議���、文件搬運(yùn)協(xié)議、不斷擴(kuò)展的各種應(yīng)用層協(xié)議��、密級標(biāo)識(shí)(選配)及內(nèi)容審查����。
[0045] 在安全隔離與信息交換系統(tǒng)內(nèi)有兩套處理系統(tǒng),稱之為內(nèi)端系統(tǒng)和外端系統(tǒng)����。內(nèi) 端系統(tǒng)和外端系統(tǒng)是兩套獨(dú)立的系統(tǒng)板,各自都擁有自己的CPU、存儲(chǔ)體和總線���,并且在兩 套系統(tǒng)間除通過基于HRI?技術(shù)的隔離交換卡外并不存在任何直接或間接的聯(lián)系����。內(nèi)端系 統(tǒng)用來處理內(nèi)部網(wǎng)絡(luò)的信息��,包括用戶請求��、認(rèn)證��、權(quán)限控制等��;外端系統(tǒng)用來處理外部網(wǎng) 絡(luò)的信息��,如獲取Internet資源等�。
[0046] 由于安全隔離與信息交換系統(tǒng)擁有處理內(nèi)外網(wǎng)信息的兩套獨(dú)立系統(tǒng),并且在兩套 系統(tǒng)間并不存在任何網(wǎng)絡(luò)連接��,因此可以保障內(nèi)網(wǎng)不會(huì)直接受到外部網(wǎng)絡(luò)干擾�����,即來自外 網(wǎng)的所有網(wǎng)絡(luò)攻擊信息都只對外端機(jī)起作用而無法穿透安全隔離與信息交換系統(tǒng)到達(dá)內(nèi) 網(wǎng)����。在極限情況下��,外網(wǎng)系統(tǒng)可能癱瘓或被黑客控制�����,但影響不會(huì)擴(kuò)散到內(nèi)網(wǎng)��,保障了內(nèi)網(wǎng) 的安全����。
[0047] 該裝置在與發(fā)送第一消息的設(shè)備屬性的設(shè)備進(jìn)行通信時(shí)�,可以使用基于HRI?技 術(shù)的隔離交換卡�����,并且此卡是連接內(nèi)端系統(tǒng)和外端系統(tǒng)的唯一數(shù)據(jù)通道�����,即通過芯片檢測 及芯片互鎖機(jī)制在內(nèi)端系統(tǒng)和外端系統(tǒng)之間建立起完全隔離的兩條數(shù)據(jù)通道��,一條數(shù)據(jù)通 道僅傳輸內(nèi)網(wǎng)到外網(wǎng)的數(shù)據(jù)��,另一條數(shù)據(jù)通道僅傳輸外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù),通過對數(shù)據(jù)流向 的控制達(dá)到了對信道的完全控制����。信道控制與信道隔離的好處在于:通過對信道的隔離,保 證了每條信道上的數(shù)據(jù)流向可控���,防止黑客構(gòu)造非法數(shù)據(jù)截取正常網(wǎng)絡(luò)通信信息�����;通過對 數(shù)據(jù)流向的控制�,從硬件上保證了數(shù)據(jù)源位置和目的位置明確�����,保證了對數(shù)據(jù)安全檢查的 有效性����;可以在必要的時(shí)候關(guān)閉一條數(shù)據(jù)通道,在特定情況下做到數(shù)據(jù)只能進(jìn)或只能出��,進(jìn) 一步提1?系統(tǒng)安全性����。
[0048] 在安全隔離與信息交換系統(tǒng)內(nèi)連接內(nèi)外端系統(tǒng)的是兩條單向可控?cái)?shù)據(jù)傳輸通道��, 并且在通道上由專用安全隔離交換協(xié)議保證了內(nèi)外網(wǎng)間只交換純數(shù)據(jù)�����,純數(shù)據(jù)對應(yīng)網(wǎng)絡(luò)七 層協(xié)議中的應(yīng)用層�,因此在內(nèi)外網(wǎng)之間僅通過協(xié)議轉(zhuǎn)換的方式允許做七層通信��,而第七層 以下的數(shù)據(jù)無法穿透安全隔離與信息交換系統(tǒng)安全隔離與信息交換系統(tǒng)�,也就是說所有網(wǎng) 絡(luò)之間互連的協(xié)議IP協(xié)議、TCP協(xié)議����、UDP(User Data Protocol,用戶數(shù)據(jù)報(bào)協(xié)議)協(xié)議���、 ICMP (InternetControlMessageProtocol,Internet 控制消息協(xié)議)協(xié)議均無法穿透����,做到 了通過網(wǎng)絡(luò)分層屏蔽危險(xiǎn)層的方式防護(hù)內(nèi)網(wǎng)。
[0049] 在網(wǎng)絡(luò)安全中狹義范圍的攻擊即指網(wǎng)絡(luò)攻擊�����。隨著互聯(lián)網(wǎng)應(yīng)用的不斷拓展,新的 黑客攻擊技術(shù)和攻擊軟件層出不窮����。但總結(jié)起來,黑客攻擊大致分為以下幾類:端口掃描���、 利用系統(tǒng)漏洞進(jìn)行網(wǎng)絡(luò)攻擊��、通過安裝木馬進(jìn)行網(wǎng)絡(luò)攻擊�����、D0S/DD0S攻擊�����、越權(quán)訪問�。由于 在安全隔離與信息交換系統(tǒng)內(nèi)部并不存在任何網(wǎng)絡(luò)協(xié)議�,因此在外網(wǎng)系統(tǒng)中無法通過網(wǎng)絡(luò) 對內(nèi)網(wǎng)進(jìn)行攻擊,因此上述諸如端口掃描�����、系統(tǒng)漏洞�����、木馬、D0S/DD0S等均對經(jīng)過安全隔離 與信息交換系統(tǒng)保護(hù)的政務(wù)內(nèi)網(wǎng)無效�。極限情況是外端系統(tǒng)可能被攻破,但其特殊的安全 機(jī)制保障了攻擊信息不會(huì)進(jìn)入內(nèi)網(wǎng)�,從最大程度上保證了內(nèi)網(wǎng)的安全,稱之為"對網(wǎng)絡(luò)攻擊 免疫"����。
[0050] 步驟S102 :判斷所述設(shè)備屬性是否屬于預(yù)先存儲(chǔ)的屬性信息。
[0051] 所述設(shè)備的設(shè)備屬性包括數(shù)字簽名信息����、指紋信息或虹膜信息。
[0052] 本發(fā)明實(shí)施例中的網(wǎng)絡(luò)中各個(gè)消息的權(quán)限可以用設(shè)備屬性信息來作為認(rèn)證標(biāo)識(shí)��, 本發(fā)明實(shí)施例中所提及的設(shè)備的系統(tǒng)環(huán)境可以為B級別操作系統(tǒng)���,B級別操作系統(tǒng)是TCSEC 標(biāo)準(zhǔn)里規(guī)定的可信操作系統(tǒng)的一個(gè)等級,B級別的可信系統(tǒng)環(huán)境對蠕蟲病毒是起到根本的 免疫作用的���,和普通的殺毒軟件��,防火墻有著本質(zhì)的區(qū)別����。可以通過插入內(nèi)核驅(qū)動(dòng)來重構(gòu)整 個(gè)權(quán)限機(jī)制實(shí)現(xiàn)B級別可信系統(tǒng)的重要機(jī)制��。如下步驟S103至步驟S105構(gòu)成了 B級別可 信系統(tǒng)的重要機(jī)制�����。
[0053] 步驟S103 :控制所述安全管理中心獲得與所述設(shè)備屬性對應(yīng)的設(shè)備的運(yùn)行狀態(tài)����。
[0054] 安全管理中心可以獲取各個(gè)設(shè)備的運(yùn)行狀態(tài)信息,也可以對運(yùn)行狀態(tài)信息進(jìn)行存 儲(chǔ)或圖形化展示�����,此為現(xiàn)有技術(shù)在此不再對此進(jìn)行一一贅述�����。
[0055] 安全管理中心可以定期獲取各個(gè)設(shè)備的運(yùn)行狀態(tài)����,獲取過程需要通過管理網(wǎng)關(guān)的 轉(zhuǎn)發(fā)設(shè)備屬性也需要通過管理網(wǎng)關(guān)發(fā)送到管理中心。管理網(wǎng)關(guān)存在于雙網(wǎng)卡設(shè)備,主要用 于轉(zhuǎn)發(fā)變電站����、服務(wù)器、終端��、路由器�、網(wǎng)絡(luò)交換機(jī)的設(shè)備屬性信息。
[0056] 步驟S104 :判斷所述安全管理中心獲得的與所述設(shè)備屬性對應(yīng)的設(shè)備的運(yùn)行狀 態(tài)是否處于正常狀態(tài)�,獲得第一判斷結(jié)果。
[0057] 步驟S105 :當(dāng)所述設(shè)備屬性屬于預(yù)先存儲(chǔ)的屬性信息以及所述第一判斷結(jié)果表 明所述設(shè)備的運(yùn)行狀態(tài)處于正常狀態(tài)時(shí)�,確定所述第一消息安全。
[0058] 步驟S106 :當(dāng)所述設(shè)備屬性信息不屬于預(yù)先存儲(chǔ)的屬性信息����,或者所述第一判斷 結(jié)果表明所述設(shè)備的運(yùn)行狀態(tài)處于非正常狀態(tài)時(shí),發(fā)出報(bào)警信號����。
[0059] 本發(fā)明實(shí)施例提供了一種應(yīng)用于網(wǎng)絡(luò)的信息檢測方法,該方法中當(dāng)接收到第一消 息后���,會(huì)獲得發(fā)送該第一消息的設(shè)備的設(shè)備屬性��,如果該設(shè)備屬性屬于預(yù)先存儲(chǔ)的屬性信 息,且具有該設(shè)備屬性的設(shè)備的運(yùn)行狀態(tài)處于正常狀態(tài)時(shí),說明第一消息確實(shí)是該設(shè)備發(fā) 出的����,不論病毒或蠕蟲攻克什么樣的權(quán)限,都受制于設(shè)備屬性以及運(yùn)行狀態(tài)��,從而提高了網(wǎng) 絡(luò)通信的可靠性����。
[0060] 請參閱圖2,為本發(fā)明實(shí)施例提供的一種應(yīng)用于網(wǎng)絡(luò)的信息檢測方法中的一種控 制所述安全管理中心獲得與所述設(shè)備屬性對應(yīng)的設(shè)備的運(yùn)行狀態(tài)的一種實(shí)現(xiàn)方式的方法 流程示意圖,該方法包括:
[0061] 步驟S201 :控制所述代理功能模塊實(shí)時(shí)獲取所述設(shè)備的運(yùn)行狀態(tài)信息����。
[0062] 每一安全域包括安全管理網(wǎng)關(guān)以及代理功能模塊。
[0063] 步驟S202 :控制所述安全管理中心從所述代理功能模塊中接收所述設(shè)備的運(yùn)行 狀態(tài)信息���。
[0064] 上述本發(fā)明公開的實(shí)施例中詳細(xì)描述了方法���,對于本發(fā)明的方法可采用多種形式 的裝置實(shí)現(xiàn),因此本發(fā)明還公開了一種裝置���,下面給出具體的實(shí)施例進(jìn)行詳細(xì)說明�����。
[0065] 請參閱圖3,為本發(fā)明實(shí)施例提供的一種應(yīng)用于網(wǎng)絡(luò)的信息檢測裝置的結(jié)構(gòu)示意 圖��,該網(wǎng)絡(luò)劃分為至少一個(gè)安全域�����,每一所述安全域包括安全管理中心���,所述安全管理中心 用于獲得設(shè)備的運(yùn)行狀態(tài)信息����,所述設(shè)備包括:變電站服務(wù)器�����、終端�、路由器和或網(wǎng)絡(luò)交換 機(jī),該裝置包括:接收模塊301����、第一判斷模塊302、控制模塊303��、第二判斷模塊304�、確定模 塊305以及報(bào)警模塊306,其中:
[0066] 接收模塊301����,用于接收第一消息���。
[0067] 所述第一消息攜帶有發(fā)送所述第一消息的設(shè)備的設(shè)備屬性。
[0068] 上述應(yīng)用于網(wǎng)絡(luò)的信息檢測方法可以應(yīng)用于應(yīng)用于網(wǎng)絡(luò)的信息檢測裝置���,該裝置 在與發(fā)送第一消息的設(shè)備屬性的設(shè)備進(jìn)行通信時(shí)��,為了到達(dá)消息在安全隔離前提下有限連 通���,可以通過安全隔離與信息交換系統(tǒng)對其用層數(shù)據(jù)提供透明協(xié)議轉(zhuǎn)換,以提高消息交換 的安全性�。轉(zhuǎn)換過程對用戶透明,不需要用戶管理�,穩(wěn)定可靠。該應(yīng)用層數(shù)據(jù)過濾及傳輸功 能����,支持主流應(yīng)用層協(xié)議,包括:HTTP協(xié)議���、FTP協(xié)議��、SMTP協(xié)議���、POP3協(xié)議���、DNS協(xié)議、數(shù)據(jù) 映射協(xié)議�����、文件搬運(yùn)協(xié)議�、不斷擴(kuò)展的各種應(yīng)用層協(xié)議、密級標(biāo)識(shí)(選配)及內(nèi)容審查��。 [0069] 在安全隔離與信息交換系統(tǒng)內(nèi)有兩套處理系統(tǒng)����,稱之為內(nèi)端系統(tǒng)和外端系統(tǒng)。內(nèi) 端系統(tǒng)和外端系統(tǒng)是兩套獨(dú)立的系統(tǒng)板����,各自都擁有自己的CPU、存儲(chǔ)體和總線����,并且在兩 套系統(tǒng)間除通過基于HRI?技術(shù)的隔離交換卡外并不存在任何直接或間接的聯(lián)系�。內(nèi)端系 統(tǒng)用來處理內(nèi)部網(wǎng)絡(luò)的信息��,包括用戶請求��、認(rèn)證�����、權(quán)限控制等��;外端系統(tǒng)用來處理外部網(wǎng) 絡(luò)的信息�����,如獲取Internet資源等��。
[0070] 由于安全隔離與信息交換系統(tǒng)擁有處理內(nèi)外網(wǎng)信息的兩套獨(dú)立系統(tǒng)���,并且在兩套 系統(tǒng)間并不存在任何網(wǎng)絡(luò)連接,因此可以保障內(nèi)網(wǎng)不會(huì)直接受到外部網(wǎng)絡(luò)干擾��,即來自外 網(wǎng)的所有網(wǎng)絡(luò)攻擊信息都只對外端機(jī)起作用而無法穿透安全隔離與信息交換系統(tǒng)到達(dá)內(nèi) 網(wǎng)�����。在極限情況下,外網(wǎng)系統(tǒng)可能癱瘓或被黑客控制�����,但影響不會(huì)擴(kuò)散到內(nèi)網(wǎng)�����,保障了內(nèi)網(wǎng) 的安全�。
[0071] 該裝置在與發(fā)送第一消息的設(shè)備屬性的設(shè)備進(jìn)行通信時(shí),可以使用基于HRI?技 術(shù)的隔離交換卡���,并且此卡是連接內(nèi)端系統(tǒng)和外端系統(tǒng)的唯一數(shù)據(jù)通道�����,即通過芯片檢測 及芯片互鎖機(jī)制在內(nèi)端系統(tǒng)和外端系統(tǒng)之間建立起完全隔離的兩條數(shù)據(jù)通道����,一條數(shù)據(jù)通 道僅傳輸內(nèi)網(wǎng)到外網(wǎng)的數(shù)據(jù)�,另一條數(shù)據(jù)通道僅傳輸外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù),通過對數(shù)據(jù)流向 的控制達(dá)到了對信道的完全控制��。信道控制與信道隔離的好處在于:通過對信道的隔離�,保 證了每條信道上的數(shù)據(jù)流向可控����,防止黑客構(gòu)造非法數(shù)據(jù)截取正常網(wǎng)絡(luò)通信信息����;通過對 數(shù)據(jù)流向的控制,從硬件上保證了數(shù)據(jù)源位置和目的位置明確�����,保證了對數(shù)據(jù)安全檢查的 有效性�;可以在必要的時(shí)候關(guān)閉一條數(shù)據(jù)通道����,在特定情況下做到數(shù)據(jù)只能進(jìn)或只能出,進(jìn) 一步提1?系統(tǒng)安全性��。
[0072] 在安全隔離與信息交換系統(tǒng)內(nèi)連接內(nèi)外端系統(tǒng)的是兩條單向可控?cái)?shù)據(jù)傳輸通道����, 并且在通道上由專用安全隔離交換協(xié)議保證了內(nèi)外網(wǎng)間只交換純數(shù)據(jù),純數(shù)據(jù)對應(yīng)網(wǎng)絡(luò)七 層協(xié)議中的應(yīng)用層��,因此在內(nèi)外網(wǎng)之間僅通過協(xié)議轉(zhuǎn)換的方式允許做七層通信��,而第七層 以下的數(shù)據(jù)無法穿透安全隔離與信息交換系統(tǒng)安全隔離與信息交換系統(tǒng),也就是說所有網(wǎng) 絡(luò)之間互連的協(xié)議IP協(xié)議��、TCP協(xié)議�����、UDP(User Data Protocol���,用戶數(shù)據(jù)報(bào)協(xié)議)協(xié)議����、 ICMP (InternetControlMessageProtocol���,Internet 控制消息協(xié)議)協(xié)議均無法穿透�����,做到 了通過網(wǎng)絡(luò)分層屏蔽危險(xiǎn)層的方式防護(hù)內(nèi)網(wǎng)���。
[0073] 在網(wǎng)絡(luò)安全中狹義范圍的攻擊即指網(wǎng)絡(luò)攻擊����。隨著互聯(lián)網(wǎng)應(yīng)用的不斷拓展����,新的 黑客攻擊技術(shù)和攻擊軟件層出不窮�。但總結(jié)起來,黑客攻擊大致分為以下幾類:端口掃描��、 利用系統(tǒng)漏洞進(jìn)行網(wǎng)絡(luò)攻擊、通過安裝木馬進(jìn)行網(wǎng)絡(luò)攻擊���、D0S/DD0S攻擊、越權(quán)訪問��。由于 在安全隔離與信息交換系統(tǒng)內(nèi)部并不存在任何網(wǎng)絡(luò)協(xié)議����,因此在外網(wǎng)系統(tǒng)中無法通過網(wǎng)絡(luò) 對內(nèi)網(wǎng)進(jìn)行攻擊,因此上述諸如端口掃描、系統(tǒng)漏洞��、木馬�����、D0S/DD0S等均對經(jīng)過安全隔離 與信息交換系統(tǒng)保護(hù)的政務(wù)內(nèi)網(wǎng)無效�。極限情況是外端系統(tǒng)可能被攻破��,但其特殊的安全 機(jī)制保障了攻擊信息不會(huì)進(jìn)入內(nèi)網(wǎng),從最大程度上保證了內(nèi)網(wǎng)的安全,稱之為"對網(wǎng)絡(luò)攻擊 免疫"�。
[0074] 第一判斷模塊302,用于判斷所述設(shè)備屬性是否屬于預(yù)先存儲(chǔ)的屬性信息,所述設(shè) 備的設(shè)備屬性包括數(shù)字簽名信息���、指紋信息或虹膜信息����。
[0075] 控制模塊303,用于控制所述安全管理中心獲得與所述設(shè)備屬性對應(yīng)的設(shè)備的運(yùn) 行狀態(tài)����。
[0076] 所述設(shè)備的設(shè)備屬性包括數(shù)字簽名信息、指紋信息或虹膜信息。
[0077] 本發(fā)明實(shí)施例中的網(wǎng)絡(luò)中各個(gè)消息的權(quán)限可以用設(shè)備屬性信息來作為認(rèn)證標(biāo)識(shí)��, 本發(fā)明實(shí)施例中所提及的設(shè)備的系統(tǒng)環(huán)境可以為B級別操作系統(tǒng),B級別操作系統(tǒng)是TCSEC 標(biāo)準(zhǔn)里規(guī)定的可信操作系統(tǒng)的一個(gè)等級,B級別的可信系統(tǒng)環(huán)境對蠕蟲病毒是起到根本的 免疫作用的,和普通的殺毒軟件,防火墻有著本質(zhì)的區(qū)別���?�?梢酝ㄟ^插入內(nèi)核驅(qū)動(dòng)來重構(gòu)整 個(gè)權(quán)限機(jī)制實(shí)現(xiàn)B級別可信系統(tǒng)的重要機(jī)制�����。如下步驟S103至步驟S105構(gòu)成了 B級別可 信系統(tǒng)的重要機(jī)制�。
[0078] 所述每一安全域包括安全管理網(wǎng)關(guān)以及代理功能模塊���,所述控制模塊包括:第一 控制單元,用于控制所述代理功能模塊實(shí)時(shí)獲取所述設(shè)備的運(yùn)行狀態(tài)信息��;第二控制單元����, 用于控制所述安全管理中心從所述代理功能模塊中接收所述設(shè)備的運(yùn)行狀態(tài)信息。
[0079] 第二判斷模塊304,用于判斷所述安全管理中心獲得的與所述設(shè)備屬性對應(yīng)的設(shè) 備的運(yùn)行狀態(tài)是否處于正常狀態(tài)���,獲得第一判斷結(jié)果�。
[0080] 安全管理中心可以獲取各個(gè)設(shè)備的運(yùn)行狀態(tài)信息�,也可以對運(yùn)行狀態(tài)信息進(jìn)行存 儲(chǔ)或圖形化展示,此為現(xiàn)有技術(shù)在此不再對此進(jìn)行一一贅述��。
[0081] 安全管理中心可以定期獲取各個(gè)設(shè)備的運(yùn)行狀態(tài)��,獲取過程需要通過管理網(wǎng)關(guān)的 轉(zhuǎn)發(fā)設(shè)備屬性也需要通過管理網(wǎng)關(guān)發(fā)送到管理中心����。管理網(wǎng)關(guān)存在于雙網(wǎng)卡設(shè)備,主要用 于轉(zhuǎn)發(fā)變電站���、服務(wù)器�、終端、路由器����、網(wǎng)絡(luò)交換機(jī)的設(shè)備屬性信息�。
[0082] 確定模塊305,用于當(dāng)所述設(shè)備屬性屬于預(yù)先存儲(chǔ)的屬性信息以及所述第一判斷 結(jié)果表明所述設(shè)備的運(yùn)行狀態(tài)處于正常狀態(tài)時(shí),確定所述第一消息安全����。
[0083] 報(bào)警模塊306,用于當(dāng)所述設(shè)備屬性信息不屬于預(yù)先存儲(chǔ)的屬性信息,或者所述第 一判斷結(jié)果表明所述設(shè)備的運(yùn)行狀態(tài)處于非正常狀態(tài)時(shí)�����,發(fā)出報(bào)警信號�。
[0084] 本發(fā)明實(shí)施例提供了一種應(yīng)用于網(wǎng)絡(luò)的信息檢測裝置,該裝置中當(dāng)接收到第一消 息后�����,會(huì)獲得發(fā)送該第一消息的設(shè)備的設(shè)備屬性���,如果該設(shè)備屬性屬于預(yù)先存儲(chǔ)的屬性信 息��,且具有該設(shè)備屬性的設(shè)備的運(yùn)行狀態(tài)處于正常狀態(tài)時(shí)�����,說明第一消息確實(shí)是該設(shè)備發(fā) 出的�,不論病毒或蠕蟲攻克什么樣的權(quán)限,都受制于設(shè)備屬性以及運(yùn)行狀態(tài)���,從而提高了網(wǎng) 絡(luò)通信的可靠性���。
[0085] 本發(fā)明實(shí)施例還提供了一種應(yīng)用于網(wǎng)絡(luò)的信息檢測系統(tǒng),該系統(tǒng)包括上述任一應(yīng) 用于網(wǎng)絡(luò)的信息檢測裝置�。
[0086] 需要說明的是,本說明書中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述�,每個(gè)實(shí)施例重 點(diǎn)說明的都是與其他實(shí)施例的不同之處,各個(gè)實(shí)施例之間相同相似的部分互相參見即可���。 對于裝置或系統(tǒng)類實(shí)施例而言�����,由于其與方法實(shí)施例基本相似,所以描述的比較簡單�����,相關(guān) 之處參見方法實(shí)施例的部分說明即可。
[0087] 還需要說明的是���,在本文中��,諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將一個(gè) 實(shí)體或者操作與另一個(gè)實(shí)體或操作區(qū)分開來����,而不一定要求或者暗示這些實(shí)體或操作之間 存在任何這種實(shí)際的關(guān)系或者順序。而且��,術(shù)語"包括"、"包含"或者其任何其他變體意在 涵蓋非排他性的包含��,從而使得包括一系列要素的過程�、方法、物品或者設(shè)備不僅包括那些 要素��,而且還包括沒有明確列出的其他要素���,或者是還包括為這種過程����、方法���、物品或者設(shè) 備所固有的要素�。在沒有更多限制的情況下�,由語句"包括一個(gè)……"限定的要素�����,并不排 除在包括所述要素的過程���、方法���、物品或者設(shè)備中還存在另外的相同要素。
[0088] 結(jié)合本文中所公開的實(shí)施例描述的方法或算法的步驟可以直接用硬件�����、處理器執(zhí) 行的軟件模塊����,或者二者的結(jié)合來實(shí)施。軟件模塊可以置于隨機(jī)存儲(chǔ)器(RAM)�、內(nèi)存、只讀存 儲(chǔ)器(ROM)��、電可編程ROM�����、電可擦除可編程ROM�����、寄存器���、硬盤���、可移動(dòng)磁盤、CD-ROM���、或技術(shù) 領(lǐng)域內(nèi)所公知的任意其它形式的存儲(chǔ)介質(zhì)中��。
[〇〇89] 對所公開的實(shí)施例的上述說明�,使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明����。 對這些實(shí)施例的多種修改對本領(lǐng)域的專業(yè)技術(shù)人員來說將是顯而易見的,本文中所定義的 一般原理可以在不脫離本發(fā)明的精神或范圍的情況下�����,在其它實(shí)施例中實(shí)現(xiàn)�����。因此�,本發(fā)明 將不會(huì)被限制于本文所示的這些實(shí)施例,而是要符合與本文所公開的原理和新穎特點(diǎn)相一 致的最寬的范圍����。
【權(quán)利要求】
1. 一種應(yīng)用于網(wǎng)絡(luò)的信息檢測方法���,其特征在于,所述網(wǎng)絡(luò)劃分為至少一個(gè)安全域�,每 一所述安全域包括安全管理中心,所述安全管理中心用于獲得設(shè)備的運(yùn)行狀態(tài)信息����,所述 設(shè)備包括:變電站服務(wù)器、終端�����、路由器和/或網(wǎng)絡(luò)交換機(jī)����,所述應(yīng)用于網(wǎng)絡(luò)的信息檢測方 法包括: 接收第一消息,所述第一消息攜帶有發(fā)送所述第一消息的設(shè)備的設(shè)備屬性���; 判斷所述設(shè)備屬性是否屬于預(yù)先存儲(chǔ)的屬性信息����,所述設(shè)備的設(shè)備屬性包括數(shù)字簽名 信息����、指紋信息或虹膜信息; 控制所述安全管理中心獲得與所述設(shè)備屬性對應(yīng)的設(shè)備的運(yùn)行狀態(tài)���; 判斷所述安全管理中心獲得的與所述設(shè)備屬性對應(yīng)的設(shè)備的運(yùn)行狀態(tài)是否處于正常 狀態(tài)��,獲得第一判斷結(jié)果�����; 當(dāng)所述設(shè)備屬性屬于預(yù)先存儲(chǔ)的屬性信息以及所述第一判斷結(jié)果表明所述設(shè)備的運(yùn) 行狀態(tài)處于正常狀態(tài)時(shí)�����,確定所述第一消息安全�; 當(dāng)所述設(shè)備屬性信息不屬于預(yù)先存儲(chǔ)的屬性信息�,或者所述第一判斷結(jié)果表明所述設(shè) 備的運(yùn)行狀態(tài)處于非正常狀態(tài)時(shí),發(fā)出報(bào)警信號����。
2. 根據(jù)權(quán)利要求1所述應(yīng)用于網(wǎng)絡(luò)的信息檢測方法,其特征在于��,所述每一安全域包 括安全管理網(wǎng)關(guān)以及代理功能模塊��,所述控制所述安全管理中心獲得與所述設(shè)備屬性對應(yīng) 的設(shè)備的運(yùn)行狀態(tài)包括: 控制所述代理功能模塊實(shí)時(shí)獲取所述設(shè)備的運(yùn)行狀態(tài)信息; 控制所述安全管理中心從所述代理功能模塊中接收所述設(shè)備的運(yùn)行狀態(tài)信息��。
3. -種應(yīng)用于網(wǎng)絡(luò)的信息檢測裝置�����,其特征在于����,所述網(wǎng)絡(luò)劃分為至少一個(gè)安全域,每 一所述安全域包括安全管理中心�,所述安全管理中心用于獲得設(shè)備的運(yùn)行狀態(tài)信息,所述 設(shè)備包括:變電站服務(wù)器�����、終端���、路由器和或網(wǎng)絡(luò)交換機(jī)�����,所述應(yīng)用于網(wǎng)絡(luò)的信息檢測裝置 包括: 接收模塊���,用于接收第一消息,所述第一消息攜帶有發(fā)送所述第一消息的設(shè)備的設(shè)備 屬性; 第一判斷模塊�,用于判斷所述設(shè)備屬性是否屬于預(yù)先存儲(chǔ)的屬性信息��,所述設(shè)備的設(shè) 備屬性包括數(shù)字簽名信息����、指紋信息或虹膜信息; 控制模塊�����,用于控制所述安全管理中心獲得與所述設(shè)備屬性對應(yīng)的設(shè)備的運(yùn)行狀態(tài)��; 第二判斷模塊��,用于判斷所述安全管理中心獲得的與所述設(shè)備屬性對應(yīng)的設(shè)備的運(yùn)行 狀態(tài)是否處于正常狀態(tài)�,獲得第一判斷結(jié)果; 確定模塊���,用于當(dāng)所述設(shè)備屬性屬于預(yù)先存儲(chǔ)的屬性信息以及所述第一判斷結(jié)果表明 所述設(shè)備的運(yùn)行狀態(tài)處于正常狀態(tài)時(shí)�,確定所述第一消息安全�; 報(bào)警模塊,用于當(dāng)所述設(shè)備屬性信息不屬于預(yù)先存儲(chǔ)的屬性信息����,或者所述第一判斷 結(jié)果表明所述設(shè)備的運(yùn)行狀態(tài)處于非正常狀態(tài)時(shí)�,發(fā)出報(bào)警信號����。
4. 根據(jù)權(quán)利要求3所述應(yīng)用于網(wǎng)絡(luò)的信息檢測裝置,其特征在于���,所述每一安全域包 括安全管理網(wǎng)關(guān)以及代理功能模塊�����,所述控制模塊包括: 第一控制單元����,用于控制所述代理功能模塊實(shí)時(shí)獲取所述設(shè)備的運(yùn)行狀態(tài)信息���; 第二控制單元�,用于控制所述安全管理中心從所述代理功能模塊中接收所述設(shè)備的運(yùn) 行狀態(tài)信息�����。
5. -種應(yīng)用于網(wǎng)絡(luò)的信息檢測系統(tǒng)���,其特征在于��,包括權(quán)利要求3或4所述應(yīng)用于網(wǎng)絡(luò) 的信息檢測裝置�����。
【文檔編號】H04L12/26GK104113451SQ201410355758
【公開日】2014年10月22日 申請日期:2014年7月24日 優(yōu)先權(quán)日:2014年7月24日
【發(fā)明者】張明達(dá), 王彬潔, 劉文俊, 張瑩 申請人:國網(wǎng)浙江奉化市供電公司, 國家電網(wǎng)公司, 國網(wǎng)浙江省電力公司寧波供電公司