專(zhuān)利名稱(chēng):一種分域溯源式全局網(wǎng)絡(luò)安全體系的構(gòu)建方法
技術(shù)領(lǐng)域:
本發(fā)明涉及到一種基于TCP/IP協(xié)議的計(jì)算機(jī)互聯(lián)網(wǎng)全局網(wǎng)絡(luò)安全架構(gòu),特別涉及一種基于分域溯源式全局網(wǎng)絡(luò)安全架構(gòu)。
背景技術(shù):
因特網(wǎng)的出現(xiàn)和廣泛應(yīng)用改變了傳統(tǒng)意義上的工作、通信、商務(wù)和安全理念。而同時(shí),也因?yàn)槠滟Y源的開(kāi)放性,因特網(wǎng)的安全性成為了一個(gè)極具挑戰(zhàn)性的問(wèn)題。
傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)主要是通過(guò)在網(wǎng)絡(luò)邊界點(diǎn)設(shè)置防火墻(FW)等安全工具,將需要防御的內(nèi)網(wǎng)與外網(wǎng)隔離開(kāi)來(lái)。如圖1所示,這種封閉、孤立的防御架構(gòu)存在很多缺陷和不足,它不僅無(wú)法防止來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊,對(duì)來(lái)自外網(wǎng)的應(yīng)用層攻擊也無(wú)法進(jìn)行有效防御,從這個(gè)意義上而言,傳統(tǒng)的安全防護(hù)架構(gòu)存在內(nèi)、外兩個(gè)安全黑洞。為了解決內(nèi)網(wǎng)的安全問(wèn)題,Cisco等設(shè)備廠商聯(lián)合提出了一系列準(zhǔn)入、控制標(biāo)準(zhǔn),它通過(guò)在內(nèi)網(wǎng)引入安全矯正服務(wù)、安全策略控制等方式確保在授予終端訪問(wèn)權(quán)利前,每個(gè)終端都符合網(wǎng)絡(luò)安全策略。
這些廠商提出的解決方案在一定程度上解決了部分來(lái)自內(nèi)網(wǎng)的安全威脅問(wèn)題,但對(duì)于來(lái)自業(yè)務(wù)層的新型攻擊仍然難以防御,互聯(lián)網(wǎng)的外部安全黑洞仍然存在,同時(shí)過(guò)于嚴(yán)格的安全準(zhǔn)入限制有可能妨礙互聯(lián)網(wǎng)新業(yè)務(wù)的部署,其頻繁的認(rèn)證維護(hù)導(dǎo)致安全開(kāi)銷(xiāo)大大增加,用戶的權(quán)限、隱私、自由也遭到嚴(yán)重的破壞。
特別是對(duì)于跨越了不同管轄邊界的因特網(wǎng)而言,不同網(wǎng)絡(luò)區(qū)域之間的監(jiān)管控制由于技術(shù)、利益、地域等多方面的原因制約,難以形成統(tǒng)一的標(biāo)準(zhǔn),這些解決方案在實(shí)現(xiàn)網(wǎng)絡(luò)安全架構(gòu)的平滑過(guò)渡和域間的安全控制監(jiān)管時(shí)存在較大的難點(diǎn)和缺陷。
發(fā)明內(nèi)容
本發(fā)明的目的是為了克服現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)體系難以防御業(yè)務(wù)層的攻擊,在實(shí)現(xiàn)網(wǎng)絡(luò)安全架構(gòu)的平滑過(guò)渡和域間的安全控制監(jiān)管時(shí)存在較大的難點(diǎn)和缺陷,提供一種安全、高效的網(wǎng)絡(luò)安全體系。
為了實(shí)現(xiàn)上述目的,本發(fā)明提供了一種分域溯源式全局網(wǎng)絡(luò)安全體系的構(gòu)建方法,包括1)、將互聯(lián)網(wǎng)劃分出網(wǎng)絡(luò)安全域,在每個(gè)網(wǎng)絡(luò)安全域中設(shè)有安全控制點(diǎn);2)、互聯(lián)網(wǎng)中的所述的網(wǎng)絡(luò)安全域組成虛擬安全網(wǎng)區(qū)域,互聯(lián)網(wǎng)中的其余部分為非虛擬安全網(wǎng)區(qū)域,在虛擬安全網(wǎng)區(qū)域內(nèi),按安全控制點(diǎn)的處理能力和部署功能,將安全控制點(diǎn)分為核心安全控制點(diǎn)與邊緣安全控制點(diǎn);3)、每一個(gè)所述的網(wǎng)絡(luò)安全域內(nèi)的安全控制點(diǎn)對(duì)進(jìn)入本網(wǎng)絡(luò)安全域的流量進(jìn)行檢測(cè),如果該流量來(lái)自虛擬安全網(wǎng)區(qū)域,則采用處理開(kāi)銷(xiāo)較小的安全訪問(wèn)準(zhǔn)入策略,而對(duì)來(lái)自非虛擬安全網(wǎng)區(qū)域的流量,則使用多重安全機(jī)制的安全訪問(wèn)準(zhǔn)入策略;4)、每一個(gè)所述的網(wǎng)絡(luò)安全域內(nèi)的安全控制點(diǎn)通過(guò)客戶端反饋、端口監(jiān)測(cè)等多種不同方式對(duì)域內(nèi)各節(jié)點(diǎn)的安全狀態(tài)進(jìn)行監(jiān)控,當(dāng)檢測(cè)到外來(lái)攻擊流或疑似攻擊流,對(duì)流的來(lái)源進(jìn)行判斷,如果該流來(lái)自虛擬安全網(wǎng)內(nèi),則安全控制點(diǎn)生成溯源通告信息,并經(jīng)過(guò)核心安全控制點(diǎn)轉(zhuǎn)發(fā)至流源頭所屬的安全控制點(diǎn),如果流來(lái)自非虛擬安全網(wǎng),則屏蔽該攻擊流;5)、當(dāng)流源頭所屬的安全控制點(diǎn)收到來(lái)自其他安全控制點(diǎn)的溯源通告信息時(shí),對(duì)溯源通告信息所指向的節(jié)點(diǎn)執(zhí)行嚴(yán)格的安全策略檢查,如果該節(jié)點(diǎn)可確定或疑似為攻擊源,則對(duì)該節(jié)點(diǎn)采取相應(yīng)的安全措施,同時(shí),向發(fā)出溯源通告信息的安全控制點(diǎn)發(fā)送溯源成功的響應(yīng)信息,如果該節(jié)點(diǎn)被其所在安全控制點(diǎn)判定為正常網(wǎng)絡(luò)行為,則向發(fā)出溯源通告信息的安全控制點(diǎn)發(fā)送溯源失敗信息;6)、當(dāng)發(fā)出溯源通告信息的安全控制點(diǎn)收到溯源失敗信息后,根據(jù)自身制定的安全策略,決定是否將本地檢測(cè)為攻擊流或疑似攻擊流進(jìn)行屏蔽隔離。
上述技術(shù)方案中,在所述的步驟1)中,所述的安全控制點(diǎn)可對(duì)網(wǎng)絡(luò)安全域內(nèi)的任一節(jié)點(diǎn)進(jìn)行訪問(wèn)控制;可對(duì)任一節(jié)點(diǎn)的安全狀態(tài)進(jìn)行檢測(cè)分析;可對(duì)接入安全域的節(jié)點(diǎn)進(jìn)行基本的準(zhǔn)入和控制策略;可對(duì)所有節(jié)點(diǎn)同時(shí)進(jìn)行并行的控制與管理;其中,所述的基本的準(zhǔn)入和控制策略包括加載防病毒軟件、消除系統(tǒng)安全漏洞。
上述技術(shù)方案中,在所述的步驟1)中,所述的網(wǎng)絡(luò)安全域在劃分時(shí),遵循以下原則存在一個(gè)統(tǒng)一的安全策略控制中心,用P表示,具有相同的安全訪問(wèn)控制策略,用C表示,域內(nèi)節(jié)點(diǎn)具有相同或相近的安全需求,用R表示,域內(nèi)節(jié)點(diǎn)具有較緊密的相互信任關(guān)系,用T表示,在滿足適中的管理復(fù)雜性M的條件下所選取的最大網(wǎng)絡(luò)區(qū)域,構(gòu)建為一個(gè)最小網(wǎng)絡(luò)安全域,其形式化描述為Domain=Max{P∩C∩R∩T∩M}。
上述技術(shù)方案中,在所述的步驟2)中,所述的核心安全控制點(diǎn)負(fù)責(zé)為所述的邊緣安全控制點(diǎn)之間建立可信的第三方認(rèn)證連接,并提供溯源信息解析、轉(zhuǎn)發(fā)等功能。
上述技術(shù)方案中,在所述的步驟3)中,所述的處理開(kāi)銷(xiāo)較小的安全訪問(wèn)準(zhǔn)入策略包括簡(jiǎn)單的防火墻過(guò)濾機(jī)制或直接放行,所述的多重安全機(jī)制的安全訪問(wèn)準(zhǔn)入策略包括防火墻過(guò)濾、流量模式檢測(cè)、應(yīng)用層分析。
上述技術(shù)方案中,在所述的步驟5)中,所述的安全策略包括補(bǔ)丁加載、端口隔離、檢疫分析。
采用本發(fā)明提出的分域溯源式全局網(wǎng)絡(luò)安全系統(tǒng),可以為互聯(lián)網(wǎng)的安全防御提供明晰的安全邊界和合理的安全域劃分手段。它兼顧了安全與效率,主動(dòng)的溯源方式可以提供傳統(tǒng)架構(gòu)無(wú)法做到的應(yīng)用層攻擊防護(hù),是一種徹底解決DDoS類(lèi)攻擊的有效防御架構(gòu)。本發(fā)明使用虛擬網(wǎng)技術(shù)進(jìn)行虛擬安全網(wǎng)的構(gòu)建,可以為方案的過(guò)渡到全面部署提供良好的可擴(kuò)展性支持,是倡導(dǎo)協(xié)同控制、全局安全的未來(lái)網(wǎng)絡(luò)架構(gòu)的一個(gè)很有前景的安全解決方案。
圖1為現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)體系的架構(gòu)示意圖;圖2為本發(fā)明的分域溯源式全局網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建方法的流程圖;圖3為網(wǎng)絡(luò)安全域建立的流程圖;圖4為本發(fā)明的分域溯源式全局網(wǎng)絡(luò)安全系統(tǒng)在一個(gè)實(shí)施例中的架構(gòu)圖。
具體實(shí)施例方式
下面結(jié)合附圖和具體實(shí)施方式
,對(duì)本發(fā)明作進(jìn)一步的說(shuō)明。
如圖2所示,本發(fā)明的分域溯源式全局網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建方法具體包括以下步驟步驟10、將整個(gè)互聯(lián)網(wǎng)分為多個(gè)網(wǎng)絡(luò)安全域,在每個(gè)網(wǎng)絡(luò)安全域中都有安全控制點(diǎn)。
所述的安全控制點(diǎn)至少具有以下功能可對(duì)網(wǎng)絡(luò)安全域內(nèi)的任一節(jié)點(diǎn)進(jìn)行訪問(wèn)控制;可對(duì)任一節(jié)點(diǎn)的安全狀態(tài)進(jìn)行檢測(cè)分析;可對(duì)接入安全域的節(jié)點(diǎn)進(jìn)行基本的準(zhǔn)入和控制策略,如要求加載防病毒軟件、消除系統(tǒng)安全漏洞等;可對(duì)所有節(jié)點(diǎn)同時(shí)進(jìn)行并行的控制與管理。
所述的網(wǎng)絡(luò)安全域在劃分時(shí),遵循以下原則存在一個(gè)統(tǒng)一的安全策略控制中心,用P表示,具有相同的安全訪問(wèn)控制策略,用C表示,域內(nèi)節(jié)點(diǎn)具有相同或相近的安全需求,用R表示,域內(nèi)節(jié)點(diǎn)具有較緊密的相互信任關(guān)系,用T表示,在滿足適中的管理復(fù)雜性M的條件下所選取的最大網(wǎng)絡(luò)區(qū)域,構(gòu)建為一個(gè)最小網(wǎng)絡(luò)安全域,其形式化描述為Domain=Max{P∩C∩R∩T∩M}。
步驟20、互聯(lián)網(wǎng)中的所有網(wǎng)絡(luò)安全域組成虛擬安全網(wǎng)區(qū)域,互聯(lián)網(wǎng)中除了網(wǎng)絡(luò)安全域的其他部分組成非虛擬安全網(wǎng)區(qū)域。虛擬安全網(wǎng)內(nèi)的安全控制點(diǎn)采取樹(shù)形+網(wǎng)狀結(jié)構(gòu)層次式混合的邏輯連接方式。在虛擬安全網(wǎng)區(qū)域內(nèi),按安全控制點(diǎn)的處理能力和部署功能,將安全控制點(diǎn)分為核心安全控制點(diǎn)與邊緣安全控制點(diǎn)。核心安全控制點(diǎn)可負(fù)責(zé)為邊緣安全控制點(diǎn)之間建立可信的第三方認(rèn)證連接,同時(shí)提供溯源信息解析、轉(zhuǎn)發(fā)等功能。
步驟30、各個(gè)網(wǎng)絡(luò)安全域內(nèi)的安全控制點(diǎn)對(duì)進(jìn)入安全域的流量進(jìn)行檢測(cè),如果該流量來(lái)自虛擬安全域,則采用處理開(kāi)銷(xiāo)較小的安全訪問(wèn)準(zhǔn)入策略,如簡(jiǎn)單的防火墻過(guò)濾機(jī)制或直接放行,而對(duì)來(lái)自非虛擬安全域的流量,則使用多重安全機(jī)制來(lái)保證安全域的安全性,所述的多重安全機(jī)制包括防火墻過(guò)濾、流量模式檢測(cè)、應(yīng)用層分析等。
步驟40、各個(gè)網(wǎng)絡(luò)安全域內(nèi)的安全控制點(diǎn)通過(guò)客戶端反饋、端口監(jiān)測(cè)等多種不同方式對(duì)域內(nèi)各節(jié)點(diǎn)的安全狀態(tài)進(jìn)行監(jiān)控,一旦檢測(cè)到外來(lái)攻擊流或疑似攻擊流,對(duì)流的來(lái)源進(jìn)行判斷,如果該流來(lái)自虛擬安全網(wǎng),控制點(diǎn)即時(shí)生成溯源通告信息,并經(jīng)過(guò)核心安全控制點(diǎn)轉(zhuǎn)發(fā)至該流源頭所屬的安全控制點(diǎn),如果其來(lái)自非虛擬安全網(wǎng),則屏蔽該攻擊流。
步驟50、當(dāng)流源頭所屬的安全控制點(diǎn)收到來(lái)自其他安全控制點(diǎn)的溯源通告信息時(shí),按約定對(duì)溯源通告信息所指向的節(jié)點(diǎn)執(zhí)行嚴(yán)格的安全策略檢查,如果該節(jié)點(diǎn)可確定或疑似為攻擊源,則對(duì)該節(jié)點(diǎn)采取相應(yīng)的安全措施,如補(bǔ)丁加載、端口隔離、檢疫分析等。同時(shí),向發(fā)出溯源通告信息的安全控制點(diǎn)發(fā)送溯源成功的響應(yīng)信息。如果該節(jié)點(diǎn)被其所在安全控制點(diǎn)判定為正常網(wǎng)絡(luò)行為,則向發(fā)出溯源通告信息的安全控制點(diǎn)發(fā)送溯源失敗信息。
步驟60、當(dāng)發(fā)出溯源通告信息的安全控制點(diǎn)收到溯源失敗信息后,根據(jù)自身制定的安全策略,決定是否將本地檢測(cè)為攻擊流或疑似攻擊流進(jìn)行屏蔽隔離。
本發(fā)明提供的方法要求各個(gè)從屬不同組織、機(jī)構(gòu)的網(wǎng)絡(luò)域遵循一些基本的安全協(xié)同防御約定,并依照是否遵從這些約定將網(wǎng)絡(luò)節(jié)點(diǎn)屬性進(jìn)行分類(lèi)。對(duì)于遵從基本安全協(xié)同防御約定的網(wǎng)絡(luò)節(jié)點(diǎn),由于相互之間具有可溯源和間接控制能力,因而在安全域的入口可給予較寬松的安全策略,而對(duì)不遵從該約定的網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)出的流量,入口可設(shè)置多重檢測(cè)、分析與過(guò)濾,確保網(wǎng)絡(luò)域內(nèi)的安全性。
下面結(jié)合附圖和一個(gè)具體實(shí)施例對(duì)本發(fā)明的分域溯源式全局網(wǎng)絡(luò)安全系統(tǒng)進(jìn)行說(shuō)明。
圖4示出了兩個(gè)網(wǎng)絡(luò)安全域A、B,以及分屬A、B的終端主機(jī)/服務(wù)器A1、B1,A1、B1通過(guò)支持802.1x端口認(rèn)證協(xié)議的交換機(jī)A2、B2分別接入網(wǎng)絡(luò)。其安全域的構(gòu)建通過(guò)圖3所示的流程完成,A0、B0為安全域A、B的安全控制點(diǎn),它們是一些包括AAA服務(wù)器、AV防護(hù)服務(wù)器、DNS服務(wù)器、故障修復(fù)服務(wù)器、訪問(wèn)策略服務(wù)器、訪問(wèn)控制中心等功能的抽象點(diǎn)。
安全控制點(diǎn)對(duì)請(qǐng)求接入的終端通過(guò)802.1x的擴(kuò)展認(rèn)證(EAP)協(xié)議檢查其接入權(quán)限,同時(shí)通過(guò)遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)(Radius)協(xié)議,透過(guò)接入點(diǎn),檢測(cè)接入終端是否符合基本的安全接入要求,如是否加載了病毒軟件、是否打好了漏洞補(bǔ)丁等。對(duì)不符合安檢的系統(tǒng),直接將其轉(zhuǎn)接至安全控制點(diǎn)的安全服務(wù)器群,自動(dòng)補(bǔ)上這些安全漏洞,整個(gè)流程如圖7所示。
安全控制點(diǎn)A0、B0通過(guò)身份標(biāo)識(shí)協(xié)議(Host Identity Protocol以下簡(jiǎn)稱(chēng)HIP)、IPSec等認(rèn)證協(xié)議相互之間或通過(guò)第三方來(lái)建立可信關(guān)系,每個(gè)網(wǎng)絡(luò)安全域分配一個(gè)唯一的安全域號(hào)來(lái)進(jìn)行標(biāo)識(shí)。
從網(wǎng)絡(luò)安全域發(fā)出的每個(gè)IP包,通過(guò)HIP協(xié)議,在介于IP層與應(yīng)用層的HIP層打上安全域標(biāo)識(shí)。各個(gè)安全域的入口根據(jù)安全域標(biāo)識(shí)來(lái)決定相應(yīng)的準(zhǔn)入措施。
在本例中,假定A0、B0都屬于虛擬安全網(wǎng)節(jié)點(diǎn),相互之間存在信任關(guān)系,則A0對(duì)B1的流量采取較低的安全準(zhǔn)入措施。
如果當(dāng)B1對(duì)A1試圖進(jìn)行攻擊,只要被A1自身的安全系統(tǒng)或是接入點(diǎn)A2的端口監(jiān)測(cè)系統(tǒng)或是安全域內(nèi)的其他監(jiān)測(cè)設(shè)備所檢測(cè)到,它們都將通過(guò)相應(yīng)的協(xié)議(如EAP、Radius)等向安全控制點(diǎn)A0發(fā)送攻擊源信息。A0將根據(jù)HIP層提供的B1的身份和所在安全域,發(fā)送包含B1身份、攻擊信息等內(nèi)容的溯源通告幀至B0。
B0接收到A0發(fā)出的溯源通告后,對(duì)B1發(fā)送警告信息,同時(shí)透過(guò)接入點(diǎn)B2對(duì)B1進(jìn)行有針對(duì)性的嚴(yán)格的安全狀態(tài)檢查和深入業(yè)務(wù)層的攻擊類(lèi)型分析。如果B1確實(shí)具有攻擊行為,B0將對(duì)其執(zhí)行安全隔離措施,并通過(guò)自動(dòng)或人工的方式糾正其行為后再重新入網(wǎng),同時(shí)發(fā)送溯源成功信息給A0。如果經(jīng)過(guò)以上步驟,B0仍不能判定B1為攻擊源或疑似攻擊源,則返回溯源失敗信息給A0。
接收到溯源失敗信息的A0可根據(jù)自身策略對(duì)B1重新制定屏蔽或忽略的安全措施。
權(quán)利要求
1.一種分域溯源式全局網(wǎng)絡(luò)安全體系的構(gòu)建方法,包括1)、將互聯(lián)網(wǎng)劃分出網(wǎng)絡(luò)安全域,在每個(gè)網(wǎng)絡(luò)安全域中設(shè)有安全控制點(diǎn);2)、互聯(lián)網(wǎng)中的所述的網(wǎng)絡(luò)安全域組成虛擬安全網(wǎng)區(qū)域,互聯(lián)網(wǎng)中的其余部分為非虛擬安全網(wǎng)區(qū)域,在虛擬安全網(wǎng)區(qū)域內(nèi),按安全控制點(diǎn)的處理能力和部署功能,將安全控制點(diǎn)分為核心安全控制點(diǎn)與邊緣安全控制點(diǎn);3)、每一個(gè)所述的網(wǎng)絡(luò)安全域內(nèi)的安全控制點(diǎn)對(duì)進(jìn)入本網(wǎng)絡(luò)安全域的流量進(jìn)行檢測(cè),如果該流量來(lái)自虛擬安全網(wǎng)區(qū)域,則采用處理開(kāi)銷(xiāo)較小的安全訪問(wèn)準(zhǔn)入策略,而對(duì)來(lái)自非虛擬安全網(wǎng)區(qū)域的流量,則使用多重安全機(jī)制的安全訪問(wèn)準(zhǔn)入策略;4)、每一個(gè)所述的網(wǎng)絡(luò)安全域內(nèi)的安全控制點(diǎn)通過(guò)客戶端反饋、端口監(jiān)測(cè)等多種不同方式對(duì)域內(nèi)各節(jié)點(diǎn)的安全狀態(tài)進(jìn)行監(jiān)控,當(dāng)檢測(cè)到外來(lái)攻擊流或疑似攻擊流,對(duì)流的來(lái)源進(jìn)行判斷,如果該流來(lái)自虛擬安全網(wǎng)內(nèi),則安全控制點(diǎn)生成溯源通告信息,并經(jīng)過(guò)核心安全控制點(diǎn)轉(zhuǎn)發(fā)至流源頭所屬的安全控制點(diǎn),如果流來(lái)自非虛擬安全網(wǎng),則屏蔽該攻擊流;5)、當(dāng)流源頭所屬的安全控制點(diǎn)收到來(lái)自其他安全控制點(diǎn)的溯源通告信息時(shí),對(duì)溯源通告信息所指向的節(jié)點(diǎn)執(zhí)行嚴(yán)格的安全策略檢查,如果該節(jié)點(diǎn)可確定或疑似為攻擊源,則對(duì)該節(jié)點(diǎn)采取相應(yīng)的安全措施,同時(shí),向發(fā)出溯源通告信息的安全控制點(diǎn)發(fā)送溯源成功的響應(yīng)信息,如果該節(jié)點(diǎn)被其所在安全控制點(diǎn)判定為正常網(wǎng)絡(luò)行為,則向發(fā)出溯源通告信息的安全控制點(diǎn)發(fā)送溯源失敗信息;6)、當(dāng)發(fā)出溯源通告信息的安全控制點(diǎn)收到溯源失敗信息后,根據(jù)自身制定的安全策略,決定是否將本地檢測(cè)為攻擊流或疑似攻擊流進(jìn)行屏蔽隔離。
2.根據(jù)權(quán)利要求1所述的分域溯源式全局網(wǎng)絡(luò)安全體系的構(gòu)建方法,其特征在于,在所述的步驟1)中,所述的安全控制點(diǎn)可對(duì)網(wǎng)絡(luò)安全域內(nèi)的任一節(jié)點(diǎn)進(jìn)行訪問(wèn)控制;可對(duì)任一節(jié)點(diǎn)的安全狀態(tài)進(jìn)行檢測(cè)分析;可對(duì)接入安全域的節(jié)點(diǎn)進(jìn)行基本的準(zhǔn)入和控制策略;可對(duì)所有節(jié)點(diǎn)同時(shí)進(jìn)行并行的控制與管理;其中,所述的基本的準(zhǔn)入和控制策略包括加載防病毒軟件、消除系統(tǒng)安全漏洞。
3.根據(jù)權(quán)利要求1所述的分域溯源式全局網(wǎng)絡(luò)安全體系的構(gòu)建方法,其特征在于,在所述的步驟1)中,所述的網(wǎng)絡(luò)安全域在劃分時(shí),遵循以下原則存在一個(gè)統(tǒng)一的安全策略控制中心,用P表示,具有相同的安全訪問(wèn)控制策略,用C表示,域內(nèi)節(jié)點(diǎn)具有相同或相近的安全需求,用R表示,域內(nèi)節(jié)點(diǎn)具有較緊密的相互信任關(guān)系,用T表示,在滿足適中的管理復(fù)雜性M的條件下所選取的最大網(wǎng)絡(luò)區(qū)域,構(gòu)建為一個(gè)最小網(wǎng)絡(luò)安全域,其形式化描述為Domain=Max{P∩C∩R∩T∩M}。
4.根據(jù)權(quán)利要求1所述的分域溯源式全局網(wǎng)絡(luò)安全體系的構(gòu)建方法,其特征在于,在所述的步驟2)中,所述的核心安全控制點(diǎn)負(fù)責(zé)為所述的邊緣安全控制點(diǎn)之間建立可信的第三方認(rèn)證連接,并提供溯源信息解析、轉(zhuǎn)發(fā)等功能。
5.根據(jù)權(quán)利要求1所述的分域溯源式全局網(wǎng)絡(luò)安全體系的構(gòu)建方法,其特征在于,在所述的步驟3)中,所述的處理開(kāi)銷(xiāo)較小的安全訪問(wèn)準(zhǔn)入策略包括簡(jiǎn)單的防火墻過(guò)濾機(jī)制或直接放行,所述的多重安全機(jī)制的安全訪問(wèn)準(zhǔn)入策略包括防火墻過(guò)濾、流量模式檢測(cè)、應(yīng)用層分析。
6.根據(jù)權(quán)利要求1所述的分域溯源式全局網(wǎng)絡(luò)安全體系的構(gòu)建方法,其特征在于,在所述的步驟5)中,所述的安全策略包括補(bǔ)丁加載、端口隔離、檢疫分析。
全文摘要
本發(fā)明公開(kāi)了一種分域溯源式全局網(wǎng)絡(luò)安全體系的構(gòu)建方法,包括將互聯(lián)網(wǎng)劃分出網(wǎng)絡(luò)安全域;將網(wǎng)絡(luò)安全域組成虛擬安全網(wǎng)區(qū)域,互聯(lián)網(wǎng)中除了網(wǎng)絡(luò)安全域的其他部分組成非虛擬安全網(wǎng)區(qū)域;根據(jù)進(jìn)入安全域的流的源頭對(duì)流采用不同的安全訪問(wèn)準(zhǔn)入策略;監(jiān)控節(jié)點(diǎn)的安全狀態(tài),對(duì)攻擊流發(fā)出溯源通告;安全控制點(diǎn)根據(jù)溯源通告對(duì)節(jié)點(diǎn)作安全檢查,根據(jù)檢查結(jié)果,判斷溯源是否成功,若成功,發(fā)送溯源成功的響應(yīng)信息,若不成功,發(fā)出溯源通告的安全控制點(diǎn)采取相應(yīng)的安全措施。本發(fā)明可以為互聯(lián)網(wǎng)的安全防御提供明晰的安全邊界和合理的安全域劃分手段,兼顧安全與效率,溯源方式可以提供傳統(tǒng)架構(gòu)無(wú)法做到的應(yīng)用層攻擊防護(hù),是一種解決DDoS類(lèi)攻擊的防御架構(gòu)。
文檔編號(hào)H04L29/06GK1917514SQ200610011219
公開(kāi)日2007年2月21日 申請(qǐng)日期2006年1月18日 優(yōu)先權(quán)日2006年1月18日
發(fā)明者李彥君, 張國(guó)清, 沈蘇彬 申請(qǐng)人:中國(guó)科學(xué)院計(jì)算技術(shù)研究所