專利名稱:網(wǎng)絡(luò)安全防護(hù)方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)安全防護(hù)方法及系統(tǒng)���,尤其涉及一種對(duì)網(wǎng)絡(luò)中的用戶終端安全狀態(tài)進(jìn)行防護(hù)的方法及系統(tǒng)�。
背景技術(shù):
經(jīng)過多年的應(yīng)用與發(fā)展�,伴隨著人們對(duì)網(wǎng)絡(luò)軟硬件技術(shù)認(rèn)識(shí)的深入,網(wǎng)絡(luò)安全已經(jīng)超過對(duì)網(wǎng)絡(luò)可靠性���、交換能力和服務(wù)質(zhì)量的需求�����,成為企業(yè)用戶最關(guān)心的問題��,網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施也日漸成為企業(yè)網(wǎng)建設(shè)的重中之重��。
在企業(yè)網(wǎng)中�,新的安全威脅不斷涌現(xiàn)��,如日益肆虐的網(wǎng)絡(luò)攻擊���、計(jì)算機(jī)網(wǎng)絡(luò)病毒等�。其中�����,某些網(wǎng)絡(luò)攻擊就是針對(duì)操作系統(tǒng)、應(yīng)用軟件的某些漏洞而發(fā)起的�����,危害性很大�,有可能導(dǎo)致系統(tǒng)以及網(wǎng)絡(luò)的崩潰、重要數(shù)據(jù)失竊或者被非法竄改等等���;而計(jì)算機(jī)病毒具有自我繁殖的本性�����,這種特性使其對(duì)網(wǎng)絡(luò)的破壞程度和范圍持續(xù)擴(kuò)大�,經(jīng)常引起系統(tǒng)崩潰�、網(wǎng)絡(luò)癱瘓,使企業(yè)蒙受嚴(yán)重?fù)p失����。
在企業(yè)網(wǎng)絡(luò)中���,任何一臺(tái)終端的安全狀態(tài)����,特別是諸如終端的防病毒能力、補(bǔ)丁級(jí)別和系統(tǒng)安全設(shè)置���,都將直接影響到整個(gè)網(wǎng)絡(luò)的安全�。不符合企業(yè)安全策略的終端��,比如防病毒庫(kù)版本低����,補(bǔ)丁未升級(jí)等,容易遭受攻擊��、感染病毒��,如果某臺(tái)終端感染了病毒����,它將不斷在網(wǎng)絡(luò)中試圖尋找下一個(gè)受害者,并使其感染�����;或者當(dāng)某些機(jī)器受到攻擊之后���,這些機(jī)器有可能成為攻擊發(fā)起者的幫兇��,轉(zhuǎn)而向企業(yè)網(wǎng)中的重要服務(wù)器發(fā)起分布式網(wǎng)絡(luò)攻擊�。因此,在一個(gè)沒有安全防護(hù)的網(wǎng)絡(luò)中��,最終的結(jié)果可能是全網(wǎng)癱瘓���,所有終端都無法正常工作����。
如何確保網(wǎng)絡(luò)中的終端安全狀態(tài)符合企業(yè)安全策略���,是每一個(gè)網(wǎng)絡(luò)管理員不得不面對(duì)的挑戰(zhàn)?�,F(xiàn)有技術(shù)中���,目前的狀況是新的補(bǔ)丁發(fā)布了,卻無人理會(huì)����,任由系統(tǒng)漏洞的存在;新的病毒出現(xiàn)了,卻不及時(shí)升級(jí)病毒庫(kù)���,為病毒入侵大開方便之門。這種情況在企業(yè)網(wǎng)中非常普遍����。然而,管理員查找�����、隔離�����、修復(fù)這些不符合安全策略的終端卻是一項(xiàng)費(fèi)時(shí)費(fèi)力的工作�,往往造成企業(yè)安全策略與終端安全實(shí)施之間存在巨大的差距。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種能夠較好的執(zhí)行統(tǒng)一的安全策略�����,解除繁瑣的手動(dòng)防范����、升級(jí)的網(wǎng)絡(luò)安全體系的方法和系統(tǒng),能將諸如用戶終端防病毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制����、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個(gè)聯(lián)動(dòng)的安全體系。
本發(fā)明中提供的方法通過包括至少一個(gè)用戶終端�����、一個(gè)網(wǎng)絡(luò)接入設(shè)備和一個(gè)安全策略服務(wù)器的網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)安全防護(hù)����,包括下列步驟(1)用戶終端請(qǐng)求接入網(wǎng)絡(luò)時(shí)首先被隔離到隔離網(wǎng)絡(luò)區(qū)域;(2)用戶終端收集用戶終端上的安全信息上報(bào)給所述安全策略服務(wù)器進(jìn)行安全認(rèn)證���;(3)安全認(rèn)證通過則所述安全策略服務(wù)器通知網(wǎng)絡(luò)接入設(shè)備將所述用戶終端接入到的所述隔離網(wǎng)絡(luò)區(qū)域以外的網(wǎng)絡(luò)區(qū)域�����;其中��,所述網(wǎng)絡(luò)中還提供具有第三方網(wǎng)絡(luò)服務(wù)的服務(wù)器�����,位于步驟(1)中所述的隔離網(wǎng)絡(luò)區(qū)域�,為接入所述隔離網(wǎng)絡(luò)區(qū)域的用戶終端提供服務(wù)。
其中��,所述第三方網(wǎng)絡(luò)服務(wù)為病毒庫(kù)升級(jí)或系統(tǒng)補(bǔ)丁升級(jí)服務(wù)�����,并且還進(jìn)一步包括如下步驟所述安全策略服務(wù)器通知用戶終端進(jìn)行升級(jí)和或下載最新的病毒庫(kù)���;所述用戶終端與所述第三方網(wǎng)絡(luò)服務(wù)器配合,完成最新病毒庫(kù)下載及本地病毒庫(kù)的更新和或補(bǔ)丁升級(jí)�����。
其中�,所述網(wǎng)絡(luò)接入設(shè)備可以是交換機(jī)、路由器或虛擬專用網(wǎng)網(wǎng)關(guān)���。
另外���,于該方法進(jìn)一步包括(4)所述用戶終端接入正常網(wǎng)絡(luò)區(qū)域后,按照安全策略服務(wù)器的安全策略配置定期查詢用戶終端上是否出現(xiàn)不符合網(wǎng)絡(luò)安全策略的事件�����;(5)若發(fā)現(xiàn)不符合網(wǎng)絡(luò)安全策略的事件但用戶終端可以修復(fù),則直接上報(bào)到安全策略服務(wù)器進(jìn)行事后審計(jì)���,并返回步驟(4)�;(6)若發(fā)現(xiàn)不符合網(wǎng)絡(luò)安全策略的事件且用戶終端無法修復(fù)�����,則用戶終端向安全策略服務(wù)器發(fā)送通知請(qǐng)求處理����;(7)所述安全策略服務(wù)器通過網(wǎng)絡(luò)接入設(shè)備將相應(yīng)用戶終端隔離,并通知所述用戶終端進(jìn)行升級(jí)或提示用戶終端進(jìn)行處理�����;(8)用戶終端升級(jí)完成或者用戶終端處理后���,返回步驟(2)����,重新進(jìn)行安全認(rèn)證��。
其中��,步驟(7)中所述網(wǎng)絡(luò)接入設(shè)備將用戶終端以訪問控制列表或者虛擬局域網(wǎng)的方式進(jìn)行隔離。
本發(fā)明的另一方面是提供一種網(wǎng)絡(luò)安全防護(hù)系統(tǒng)����,該系統(tǒng)包括至少一個(gè)網(wǎng)絡(luò)安全策略服務(wù)器和至少一個(gè)網(wǎng)絡(luò)接入設(shè)備,用戶終端可以通過網(wǎng)絡(luò)接入設(shè)備連接到具有網(wǎng)絡(luò)安全策略服務(wù)器的網(wǎng)絡(luò)�,其特征在于該系統(tǒng)還包括一個(gè)安全客戶端模塊,用來部署在請(qǐng)求接入到具有所述安全策略服務(wù)器的網(wǎng)絡(luò)中����;一個(gè)安全策略服務(wù)模塊��,位于在網(wǎng)絡(luò)安全策略服務(wù)器上�����,用來在被請(qǐng)求接入的網(wǎng)絡(luò)中部署和控制執(zhí)行安全策略���;一個(gè)網(wǎng)絡(luò)安全聯(lián)動(dòng)模塊����,位于網(wǎng)絡(luò)接入設(shè)備上����,用來根據(jù)所述安全策略服務(wù)模塊部署的安全策略隔離或接入具有安全客戶端模塊的用戶終端�����;所述具有所述安全客戶端模塊的用戶終端通過具有網(wǎng)絡(luò)安全聯(lián)動(dòng)模塊的網(wǎng)絡(luò)接入設(shè)備連接到具有安全策略服務(wù)模塊的安全策略服務(wù)器���。
另外,該系統(tǒng)中還包括一個(gè)第三方網(wǎng)絡(luò)服務(wù)模塊���,位于第三方網(wǎng)絡(luò)服務(wù)器上����,該第三方網(wǎng)絡(luò)服務(wù)器位于隔離網(wǎng)絡(luò)區(qū)域中���,用于為被隔離的用戶終端提供第三方網(wǎng)絡(luò)服務(wù)�����。
其中�����,所述第三方網(wǎng)絡(luò)服務(wù)為病毒庫(kù)升級(jí)或系統(tǒng)補(bǔ)丁升級(jí)服務(wù)����,當(dāng)用戶終端被隔離到隔離網(wǎng)絡(luò)區(qū)域中,所述安全策略服務(wù)模塊通知安全客戶端模塊進(jìn)行升級(jí)和或下載最新的病毒庫(kù)��;所述安全客戶端模塊與所述第三方網(wǎng)絡(luò)服務(wù)模塊配合���,完成最新病毒庫(kù)下載及本地病毒庫(kù)的更新和或補(bǔ)丁升級(jí)��。
本發(fā)明的又一方面是提供一種網(wǎng)絡(luò)安全防護(hù)系統(tǒng)�����,該系統(tǒng)包括安全策略服務(wù)器和網(wǎng)絡(luò)接入設(shè)備���,所述安全策略服務(wù)器具有預(yù)設(shè)的安全策略��,并用以驗(yàn)證接入用戶終端的安全信息是否符合其安全策略要求�,其特征在于,該安全策略服務(wù)器將驗(yàn)證結(jié)果通知所述網(wǎng)絡(luò)接入設(shè)備��,網(wǎng)絡(luò)接入設(shè)備根據(jù)驗(yàn)證結(jié)果下發(fā)相應(yīng)的接入規(guī)則���,以將不符合安全策略要求的接入用戶終端隔離出本網(wǎng)絡(luò)���。
其中�����,所述網(wǎng)絡(luò)接入設(shè)備將所述不符合安全策略的用戶終端隔離到一個(gè)具有第三方服務(wù)器的網(wǎng)絡(luò)中去�,該第三方服務(wù)器具有完善用戶終端安全信息的能力���。
其中�,所述第三方服務(wù)器提供最新病毒庫(kù)下載或本地病毒庫(kù)的更新或補(bǔ)丁升級(jí)����。
由于本發(fā)明中的方法將例如終端防病毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制�����、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個(gè)聯(lián)動(dòng)的安全體系����,通過對(duì)整個(gè)網(wǎng)絡(luò)的安全策略的集中統(tǒng)一設(shè)置,并對(duì)將要接入網(wǎng)絡(luò)的用戶終端首先隔離到特定網(wǎng)絡(luò)區(qū)域��,然后進(jìn)行安全認(rèn)證�����,只有安全認(rèn)證通過后才能真正接入到受保護(hù)的網(wǎng)絡(luò),以及對(duì)已經(jīng)接入網(wǎng)絡(luò)的用戶終端的實(shí)時(shí)檢查���、隔離�、修復(fù)��、管理和監(jiān)控����,使得不符合整體安全策略的用戶終端及時(shí)被隔離到某個(gè)區(qū)域并自動(dòng)進(jìn)行網(wǎng)絡(luò)安全的修正、升級(jí)等等��,利用這些有效的安全防護(hù)措施�,改變了現(xiàn)有技術(shù)中,網(wǎng)絡(luò)中的新的補(bǔ)丁發(fā)布�、新的病毒更新后必須進(jìn)行繁重的人工手動(dòng)升級(jí)、下載的情形��,使整個(gè)網(wǎng)絡(luò)的安全防御����、管理變被動(dòng)防御為主動(dòng)防御�、變單點(diǎn)防御為全面防御、變分散管理為集中策略管理,提升了網(wǎng)絡(luò)對(duì)病毒���、蠕蟲以及網(wǎng)絡(luò)攻擊等安全威脅的整體防御能力����。
另外�����,本發(fā)明中的系統(tǒng)由于具有安全策略服務(wù)模塊�����、安全接入控制模塊和安全客戶端模塊����,并進(jìn)一步提供了第三方服務(wù)模塊,并具有用于在網(wǎng)絡(luò)中部署和控制執(zhí)行安全策略����;隔離接入網(wǎng)絡(luò)的用戶終端;以及對(duì)用戶終端和服務(wù)器的安全認(rèn)證交互并控制客戶端執(zhí)行網(wǎng)絡(luò)中的安全策略等功能����,從而很好的具有了防御網(wǎng)絡(luò)攻擊的功能。
本發(fā)明的另一系統(tǒng)中將安全策略和接入控制相結(jié)合,能有效的控制網(wǎng)絡(luò)接入設(shè)備及時(shí)將不符合安全策略的接入用戶終端隔離到具有第三方網(wǎng)絡(luò)服務(wù)的特殊網(wǎng)絡(luò)隔離區(qū)域���,從而使得整個(gè)網(wǎng)絡(luò)始終運(yùn)行在預(yù)設(shè)的安全策略之中�,也就避免了諸如網(wǎng)絡(luò)病毒等網(wǎng)絡(luò)攻擊的干擾��。
圖1是本發(fā)明一個(gè)實(shí)施例應(yīng)用的網(wǎng)絡(luò)典型網(wǎng)絡(luò)環(huán)境圖�。
圖2是本發(fā)明一個(gè)實(shí)施例的網(wǎng)絡(luò)連接操作流程示意圖。
圖3是本發(fā)明一個(gè)實(shí)施例的網(wǎng)絡(luò)連接后的操作流程示意圖��。
具體實(shí)施例方式
本發(fā)明的本質(zhì)在于為接入網(wǎng)絡(luò)的用戶終端提供安全認(rèn)證����,若用戶終端的安全狀態(tài)不符合被接入網(wǎng)絡(luò)的安全策略要求,則暫時(shí)將該用戶終端隔離在具有第三方網(wǎng)絡(luò)服務(wù)的隔離網(wǎng)絡(luò)區(qū)域����,并利用所述第三方網(wǎng)絡(luò)服務(wù)為用戶終端進(jìn)行相應(yīng)的安全狀態(tài)修補(bǔ),使其符合被接入網(wǎng)絡(luò)的安全策略需求�,從而保證了整個(gè)網(wǎng)絡(luò)始終處于整體統(tǒng)一的安全防護(hù)策略狀態(tài)之中。另外�����,還可以控制用戶終端在上網(wǎng)過程中始終受到監(jiān)控��,一旦出現(xiàn)不符合安全策略的情況�����,將及時(shí)采取安全措施控制整個(gè)網(wǎng)絡(luò)不受損害�,例如對(duì)不符合安策略的用戶終端及時(shí)進(jìn)行上述的隔離、修復(fù)處理�����,然后重新進(jìn)行安全認(rèn)證�����;或者及時(shí)提醒用戶已經(jīng)發(fā)現(xiàn)病毒但是不隔離��,或者不隔離也不通知用戶而只是在安全策略服務(wù)器中記錄日志等等措施�����,并形成安全日志����,以便更好的進(jìn)行安全策略的審計(jì)和設(shè)置?�?傊瑧?yīng)用本發(fā)明提供的方法和系統(tǒng)�����,可以有效的為網(wǎng)絡(luò)布置��、實(shí)施�����、監(jiān)控整體安全策略�����,使得網(wǎng)絡(luò)的安全管理變得方便���、快捷�����、高效�����、靈活���。
下面結(jié)合附圖進(jìn)一步詳細(xì)闡述本發(fā)明的具體實(shí)施例�。
圖1以及下文所述將對(duì)適用于實(shí)現(xiàn)本發(fā)明的各種功能的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境進(jìn)行簡(jiǎn)單和概括地描述����,雖然本實(shí)施例講到網(wǎng)絡(luò)設(shè)備時(shí)所描述的網(wǎng)絡(luò)環(huán)境用在分布式計(jì)算環(huán)境中�,通過一個(gè)通信網(wǎng)絡(luò)和一些通信設(shè)備將遠(yuǎn)程網(wǎng)絡(luò)設(shè)備連接在一起,可以由這些遠(yuǎn)程網(wǎng)絡(luò)設(shè)備執(zhí)行一些附加的任務(wù)����,但本領(lǐng)域普通技術(shù)人員應(yīng)該認(rèn)識(shí)到本發(fā)明可以用許多其它計(jì)算機(jī)系統(tǒng)配置實(shí)現(xiàn),包括微處理器系統(tǒng)�����、微型計(jì)算機(jī)��、大型計(jì)算機(jī)以及路由器���、交換機(jī)等���。本發(fā)明可以應(yīng)用于廣域網(wǎng)以及局域網(wǎng),或者在使用邏輯而不是物理遠(yuǎn)程設(shè)備的單個(gè)或多個(gè)網(wǎng)絡(luò)設(shè)備特別是計(jì)算機(jī)中實(shí)現(xiàn)�����。
參考圖1,所示為本發(fā)明一個(gè)實(shí)施例應(yīng)用的典型網(wǎng)絡(luò)環(huán)境圖���。其中���,該網(wǎng)絡(luò)環(huán)境中會(huì)包含一個(gè)或多個(gè)用戶終端,該用戶終端可以是臺(tái)式機(jī)�、手持設(shè)備或者是筆記本等,當(dāng)然���,熟練的本領(lǐng)域技術(shù)人員會(huì)知道���,此處的用戶終端也可以是任何其它具備網(wǎng)絡(luò)接入功能的網(wǎng)絡(luò)設(shè)備,圖1的說明只是示意性的����,從而不構(gòu)成對(duì)發(fā)明保護(hù)范圍的限制。
另外�,該網(wǎng)絡(luò)環(huán)境中還需要網(wǎng)絡(luò)接入設(shè)備,一般來說���,是交換機(jī)或路由器��,參考圖1����,本實(shí)施例中的網(wǎng)絡(luò)接入設(shè)備使用了交換機(jī),即安全聯(lián)動(dòng)交換機(jī)����,這里使用交換機(jī)��,并為了突出安全認(rèn)證的概念���,命名為安全聯(lián)動(dòng)交換機(jī)����,只是為了說明的方便�,并不能構(gòu)成對(duì)本發(fā)明保護(hù)范圍的限制;另外�,該網(wǎng)絡(luò)環(huán)境中還包括安全策略服務(wù)器,一般是普通的一臺(tái)或多臺(tái)計(jì)算機(jī)設(shè)備���。
在該網(wǎng)絡(luò)環(huán)境中�,安全策略服務(wù)器位于本發(fā)明要努力保護(hù)的網(wǎng)絡(luò)中��,但用戶終端必須首先物理連接到網(wǎng)絡(luò)接入設(shè)備,比如�,交換機(jī),然后才能進(jìn)而可能訪問到網(wǎng)絡(luò)中共享的資源����。
此處,用戶終端的接入方式是多種多樣的��,這一般主要取決于網(wǎng)絡(luò)的安全控制����、用戶終端以及網(wǎng)絡(luò)接入設(shè)備的物理及邏輯屬性。例如����,現(xiàn)有一般網(wǎng)絡(luò)的接入的起點(diǎn)都是身份認(rèn)證,因?yàn)榫W(wǎng)絡(luò)的接入必須是可控的�����,這是網(wǎng)絡(luò)安全的起點(diǎn)�����,否則該網(wǎng)絡(luò)的基本安全要素是不具備的,除非該網(wǎng)絡(luò)不需要進(jìn)行任何安全控制��,當(dāng)然����,本領(lǐng)域的普通技術(shù)人員會(huì)知道,這樣網(wǎng)絡(luò)的存在是很少見的�����。
在本發(fā)明的一個(gè)具體實(shí)施例中����,用戶終端接入網(wǎng)絡(luò)時(shí)將首先需要進(jìn)行用戶認(rèn)證����,這將使得本發(fā)明網(wǎng)絡(luò)中的安全策略實(shí)施、控制變得更加有效和完善�����。但在本發(fā)明中��,必須說明的是�,該用戶認(rèn)證是可選而不是必需的。因此,不消說����,本領(lǐng)域的熟練技術(shù)人員應(yīng)當(dāng)知道,本實(shí)施例中的對(duì)用戶認(rèn)證步驟的闡述只是說明和示意性的�,并不能構(gòu)成對(duì)本發(fā)明保護(hù)范圍的限制。
下文將首先概括闡述用戶認(rèn)證的方式及實(shí)現(xiàn)����。一般的,用戶終端的接入方案可以是802.1x接入組網(wǎng)方案��,VPN接入組網(wǎng)方案或Portal接入組網(wǎng)方案等��。相應(yīng)的����,網(wǎng)絡(luò)接入設(shè)備可以是交換機(jī)、路由器或VPN網(wǎng)關(guān)���,分別實(shí)現(xiàn)如前面所述的802.1x����、Portal�、VPN(Virtual Private Network���,虛擬專用網(wǎng))等不同認(rèn)證方式的端點(diǎn)準(zhǔn)入控制。上述三種接入方式各有特點(diǎn)��,如802.1x認(rèn)證方式組網(wǎng)方案可以對(duì)不符合安全策略的用戶終端實(shí)行嚴(yán)格的隔離����,因而有效的防止了來自網(wǎng)絡(luò)內(nèi)部的安全威脅;而對(duì)于VPN認(rèn)證方式���,可以實(shí)現(xiàn)對(duì)遠(yuǎn)程接入用戶終端的端點(diǎn)控制�,進(jìn)而防止移動(dòng)辦公員工或外部合作人員訪問網(wǎng)絡(luò)特別是企業(yè)內(nèi)網(wǎng)時(shí)的帶來的安全隱患�����;使用路由器�、高端交換機(jī)等設(shè)備�����,結(jié)合Portal認(rèn)證方式則可以在匯聚層實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)用戶的端點(diǎn)準(zhǔn)入控制����,因而Portal的組網(wǎng)方案具有適應(yīng)性廣的特點(diǎn),可以應(yīng)用與企業(yè)網(wǎng)絡(luò)出口、分支機(jī)構(gòu)入口�、關(guān)鍵區(qū)域保護(hù)等多種應(yīng)用場(chǎng)景。因此�����,三種主要的接入方案各有優(yōu)點(diǎn)��,應(yīng)根據(jù)不同的實(shí)際情況分別部署和采用�,當(dāng)然,本領(lǐng)域的普通技術(shù)人員會(huì)知道�,在網(wǎng)絡(luò)中存在較多的網(wǎng)絡(luò)設(shè)備和接入情形時(shí),同時(shí)應(yīng)用三種接入方式將取得更好的效果��。
在本實(shí)施例的網(wǎng)絡(luò)環(huán)境中�,還包括第三方服務(wù)器,即提供第三方服務(wù)如終端進(jìn)行自我修復(fù)的防病毒服務(wù)或補(bǔ)丁服務(wù)的服務(wù)器�����。在本發(fā)明中�,該服務(wù)器被控制位于特殊的網(wǎng)絡(luò)區(qū)域中,比如�,以IP地址區(qū)分并被網(wǎng)絡(luò)接入設(shè)備與其他網(wǎng)段隔離的特殊網(wǎng)段,其目的在于為不符合被接入網(wǎng)絡(luò)安全策略的請(qǐng)求接入或已經(jīng)接入的用戶終端提供諸如第三方服務(wù)升級(jí)����、操作系統(tǒng)補(bǔ)丁等服務(wù)時(shí)不至于影響到網(wǎng)絡(luò)中的其他網(wǎng)絡(luò)設(shè)備��。該第三方服務(wù)器提供的服務(wù)根據(jù)不同的實(shí)際情況而有所不同�,比如網(wǎng)絡(luò)版的防病毒服務(wù)器能提供病毒庫(kù)升級(jí)服務(wù)����,允許防病毒客戶端進(jìn)行在線升級(jí);補(bǔ)丁服務(wù)器則提供系統(tǒng)補(bǔ)丁升級(jí)服務(wù)���,當(dāng)用戶終端的系統(tǒng)補(bǔ)丁不能滿足安全要求時(shí)�,可以通過補(bǔ)丁服務(wù)器進(jìn)行補(bǔ)丁下載和升級(jí)���。事實(shí)上��,本領(lǐng)域中的熟練技術(shù)人員會(huì)知道��,第三方網(wǎng)絡(luò)服務(wù)器上提供的網(wǎng)絡(luò)服務(wù)可以是根據(jù)網(wǎng)絡(luò)安全策略設(shè)置的任何必要服務(wù)�。
以上即為本發(fā)明一種實(shí)施例應(yīng)用的具體相關(guān)網(wǎng)絡(luò)環(huán)境���,但在該網(wǎng)絡(luò)環(huán)境中,還需要進(jìn)行相應(yīng)的功能設(shè)置和控制�����,這些功能設(shè)置和控制在本實(shí)施例中是通過軟件程序來說明的,一般而言�����,程序模塊包括執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類型的例程�����、程序�、組件和數(shù)據(jù)結(jié)構(gòu)等。事實(shí)上���,本發(fā)明的各個(gè)方面完全可以按照在網(wǎng)絡(luò)環(huán)境中運(yùn)行的應(yīng)用程序來說明����,本領(lǐng)域的普通技術(shù)人員將認(rèn)識(shí)到這些方面也可以結(jié)合其它程序模塊來實(shí)現(xiàn)�����。
下文將具體闡述本實(shí)施例所依賴的網(wǎng)絡(luò)環(huán)境中的具體功能模塊��,一般來說����,這些模塊的劃分只具有功能邏輯上的意義���,本領(lǐng)域中熟練的技術(shù)人員會(huì)知道,這些模塊的物理實(shí)現(xiàn)是具體的和多種多樣的�����,本實(shí)施例中的邏輯劃分及說明并不能構(gòu)成對(duì)本發(fā)明所闡述的保護(hù)范圍的限制�。
首先,在該網(wǎng)絡(luò)環(huán)境中的用戶終端上部署了安全客戶端模塊����,本實(shí)施例中,安全客戶端模塊是安裝在用戶終端系統(tǒng)上的軟件程序�,該模塊是對(duì)用戶終端進(jìn)行身份認(rèn)證、安全狀態(tài)評(píng)估必不可少的部件���,以及�,網(wǎng)絡(luò)中端點(diǎn)安全策略執(zhí)行的主體���,下面����,將概括闡述其主要模塊及功能��,具體包括1)用戶認(rèn)證模塊�,可以與交換機(jī)、路由器��、VPN網(wǎng)關(guān)配合協(xié)同工作����,為接入網(wǎng)絡(luò)用戶提供上述802.1x、Portal��、VPN等多種認(rèn)證方式�����,從而實(shí)現(xiàn)接入層�、匯聚層以及VPN的端點(diǎn)準(zhǔn)入控制;如前所述��,本模塊是可選的�����,本實(shí)施例中的闡述并不代表該模塊是必不可少的���。
2)用戶終端初始安全狀態(tài)檢查模塊��,能夠在用戶進(jìn)行安全認(rèn)證時(shí)檢查用戶終端上存在的包括但不限于操作系統(tǒng)版本�����、系統(tǒng)補(bǔ)丁等信息����;同時(shí)實(shí)現(xiàn)與用戶終端上具備的第三方服務(wù)客戶端特別是例如防病毒客戶端的聯(lián)動(dòng),從而檢查用戶終端的防病毒軟件版本���、病毒庫(kù)版本�、以及病毒查殺等安全信息�。
如果在安全策略服務(wù)器中做了認(rèn)證時(shí)客戶端需要做什么檢測(cè)的配置,那么用戶認(rèn)證通過后����,由安全策略服務(wù)器將客戶端需要做什么檢測(cè)(比如操作系統(tǒng)版本、病毒庫(kù)版本等等)通知客戶端����,然后客戶端進(jìn)行檢測(cè),然后進(jìn)行安全認(rèn)證。
這些信息在網(wǎng)絡(luò)接入過程的安全認(rèn)證過程中將首先被傳遞到安全策略服務(wù)器的相應(yīng)模塊�����,從而有效地執(zhí)行端點(diǎn)準(zhǔn)入的判斷與控制�。但是這種操作的內(nèi)容是可選的��,這種可選是通過在安全策略服務(wù)器上的相關(guān)配置實(shí)現(xiàn)的��,比如在安全策略服務(wù)器上��,可配置是否在安全認(rèn)證時(shí)檢查病毒庫(kù)版本�����,如果配置了才會(huì)在安全認(rèn)證時(shí)做這種檢測(cè)���。再比如可配置是否在安全認(rèn)證時(shí)進(jìn)行“病毒掃描”�����,如果配置了�����,那么在用戶終端在進(jìn)行安全認(rèn)證時(shí)�,檢查用戶是否有病毒,如果有病毒且沒殺掉��,則會(huì)把用戶終端放到隔離區(qū)并通知其升級(jí)�����。
3)安全策略實(shí)施模塊�,該模塊主要功能包括用于在安全認(rèn)證通過后接收安全策略服務(wù)器下發(fā)的安全策略并強(qiáng)制用戶終端執(zhí)行。安全認(rèn)證通過后����,安全策略服務(wù)器將用戶在通過了用戶認(rèn)證和安全認(rèn)證之后的上網(wǎng)過程中需要做的安全監(jiān)控的內(nèi)容比如監(jiān)控郵件、監(jiān)控內(nèi)存��、監(jiān)控引導(dǎo)區(qū)等等下發(fā)給客戶端�,安全策略實(shí)施模塊接收安全策略服務(wù)器的下發(fā)的監(jiān)控指示并在用戶終端上控制所述安全策略的執(zhí)行。
同時(shí)該模塊還用于監(jiān)測(cè)用戶終端上的各種安全事件���,包括但不限于檢測(cè)用戶終端上是否更改了安全設(shè)置���、是否發(fā)現(xiàn)新病毒等,并可以將安全事件定時(shí)上報(bào)到安全策略服務(wù)器��,用于事后進(jìn)行安全審計(jì)。該模塊中特別需要提及的一種工作方式是���,用戶終端正常通過安全認(rèn)證并接入網(wǎng)絡(luò)后�,在持續(xù)的上網(wǎng)過程中��,安全客戶端會(huì)定期向第三方服務(wù)的客戶端查詢����,例如�,向防病毒客戶端進(jìn)行查詢,看是否有病毒或者防病毒客戶端被關(guān)閉���。如果該模塊發(fā)現(xiàn)有病毒�,并且進(jìn)一步的�,病毒沒有被防病毒客戶端清除,則安全策略實(shí)施模塊將通知安全客戶端向安全策略服務(wù)器發(fā)送該安全事件的通知���,而安全策略服務(wù)器將會(huì)通知接入設(shè)備將用戶隔離����,并通知安全客戶端進(jìn)行升級(jí)�����;對(duì)于防病毒客戶端被關(guān)閉的情形,安全客戶端同樣會(huì)會(huì)向安全策略服務(wù)器發(fā)送該安全事件的通知����,而安全策略服務(wù)器將會(huì)通知設(shè)備將用戶隔離,并在用戶終端上顯示提示消息���,等待用戶處理��,用戶處理完畢后��,比如���,用戶重新打開第三方服務(wù)的客戶端,然后重新進(jìn)行安全認(rèn)證����。而如果發(fā)現(xiàn)有病毒但是已經(jīng)被自動(dòng)清除,那么安全策略實(shí)施模塊將通知安全客戶端將該情況報(bào)給安全策略服務(wù)器并由安全策略服務(wù)器記錄日志�����。
但是這種操作的內(nèi)容是可選的����,這種可選是通過在安全策略服務(wù)器上的相關(guān)配置實(shí)現(xiàn)的����,比如在安全策略服務(wù)器上����,可配置是否上網(wǎng)過程中,監(jiān)控有沒有病毒�����,如果有且沒殺掉���,則會(huì)把用戶終端放到隔離區(qū)并通知其升級(jí)?���?傊颂幩龅奶幚矸绞绞庆`活的���,一般來說���,如果發(fā)現(xiàn)病毒而且無法清除���,可以將其隔離處理,也可以提醒用戶已經(jīng)發(fā)現(xiàn)病毒但是不隔離�����,或者不隔離也不通知用戶而只是在安全策略服務(wù)器中記錄日志���,這些動(dòng)作都是可配置的�����。
本實(shí)施例網(wǎng)絡(luò)環(huán)境中的還在一個(gè)或多個(gè)在安全策略服務(wù)器上部署了安全策略模塊��,該模塊是網(wǎng)絡(luò)中安全策略管理與控制的中心��,兼具用戶管理�����、安全策略管理�、安全狀態(tài)評(píng)估��、安全聯(lián)動(dòng)控制以及安全事件審計(jì)等功能��。具體可以進(jìn)一步劃分為以下模塊1)安全策略管理模塊。用來對(duì)用戶終端進(jìn)行準(zhǔn)入控制的一系列策略進(jìn)行集中化設(shè)置����,此模塊是本發(fā)明提供方法的必不可缺的模塊。一般來說���,策略服務(wù)器上的安全策略的初始設(shè)置與修改最好由系統(tǒng)管理員通過本模塊提供的界面��,按照預(yù)先設(shè)計(jì)的安全策略進(jìn)行配置或修改�����。
2)用戶管理模塊��。企業(yè)網(wǎng)中����,不同的用戶��、不同類型的接入終端可能要求不同級(jí)別的安全檢查和控制���。安全策略服務(wù)器可以為不同用戶提供基于身份的個(gè)性化安全配置和網(wǎng)絡(luò)服務(wù)等級(jí),方便管理員對(duì)網(wǎng)絡(luò)用戶制定差異化的安全策略����。這里需要說明的是����,在本發(fā)明的一些實(shí)施例中����,也可以省略部署本模塊,也能實(shí)現(xiàn)本發(fā)明所述的基本功能�。因此,不消說��,這樣的變化也是包含在本發(fā)明所保護(hù)的范圍之內(nèi)的�。
3)安全聯(lián)動(dòng)控制模塊。安全策略服務(wù)器負(fù)責(zé)評(píng)估安全客戶端上報(bào)的安全狀態(tài)�,并利用本模塊控制網(wǎng)絡(luò)接入設(shè)備,使之將用戶放到隔離區(qū)中或者將用戶接入到隔離區(qū)以外的網(wǎng)絡(luò)中��,下發(fā)用戶終端的修復(fù)方式與安全策略�。
4)日志審計(jì)模塊。安全策略服務(wù)器利用本模塊收集由安全客戶端上報(bào)的安全事件�,并形成安全日志,可以為管理員追蹤和監(jiān)控網(wǎng)絡(luò)的整個(gè)網(wǎng)絡(luò)的安全狀態(tài)提供依據(jù)�����。
最后需要強(qiáng)調(diào)的是,本實(shí)施例中網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)接入設(shè)備是企業(yè)網(wǎng)絡(luò)中安全策略的實(shí)施點(diǎn)��,起到強(qiáng)制用戶準(zhǔn)入認(rèn)證�����、隔離不合格終端��、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用����。正如上文所述,根據(jù)應(yīng)用場(chǎng)合的不同����,網(wǎng)絡(luò)接入設(shè)備可以是交換機(jī)、路由器或VPN網(wǎng)關(guān)��,分別實(shí)現(xiàn)如前面所述的802.1x��、Portal���、VPN等不同認(rèn)證方式的端點(diǎn)準(zhǔn)入控制。但無論是何種形式�����,一般來說,本發(fā)明中的網(wǎng)絡(luò)接入設(shè)備均具有以下功能模塊1)用戶認(rèn)證控制模塊���,用于和安全客戶端模塊與安全策略模塊中的相對(duì)應(yīng)功能部件進(jìn)行配合實(shí)現(xiàn)網(wǎng)絡(luò)的身份認(rèn)證功能����。當(dāng)然�,由于在本發(fā)明中,用戶認(rèn)證步驟并不是必需的�����,因此在本發(fā)明的一些實(shí)施例中���,所述網(wǎng)絡(luò)接入設(shè)備可能省略本模塊��。
2)用戶終端隔離模塊����,用于根據(jù)安全策略模塊的通知隔離不符合安全策略的用戶終端�����。特別是在用戶終端處于和網(wǎng)絡(luò)的正常連接狀態(tài)過程中,如果用戶終端被發(fā)現(xiàn)出現(xiàn)了不符合網(wǎng)絡(luò)安全策略的情形����,并且不能修復(fù),則需要將該用戶終端強(qiáng)制隔離�����,這種隔離是主要是通過網(wǎng)絡(luò)接入設(shè)備中的本模塊的動(dòng)作來實(shí)現(xiàn)的��。當(dāng)然���,需要提及的是��,隔離的方式也是多種多樣的����。其中的一種實(shí)現(xiàn)方式就是當(dāng)網(wǎng)絡(luò)接入設(shè)備接收到安全策略服務(wù)器下發(fā)的隔離指令后�,將用戶終端以ACL(Access Control List,訪問控制列表)或者VLAN(Virtual Local AreaNetwork���,虛擬局域網(wǎng))方式進(jìn)行隔離��;如果以ACL的方式隔離�����,則網(wǎng)絡(luò)接入設(shè)備將為該用戶設(shè)置ACL策略���,使該用戶可以訪問某些地址以及不能訪問某些地址;如果以VLAN方式隔離�,則網(wǎng)絡(luò)接入設(shè)備將把該用戶放到隔離區(qū)對(duì)應(yīng)的VLAN中。同樣���,網(wǎng)絡(luò)接入設(shè)備的中的本模塊收到解除用戶隔離的指令后也可以在線解除對(duì)用戶終端的隔離�����。特別需要強(qiáng)調(diào)的是����,此處所述的隔離的方式包括但不限于ACL及VLAN方式�����。因此�����,不消說,本領(lǐng)域中的普通技術(shù)人員會(huì)知道����,本實(shí)施例中的ACL及VLAN的說明只是示范性的,并不能對(duì)本發(fā)明的保護(hù)范圍構(gòu)成限制���。
3)身份服務(wù)模塊��,主要用于提供基于身份的網(wǎng)絡(luò)服務(wù)��。網(wǎng)絡(luò)接入設(shè)備可以根據(jù)安全策略服務(wù)器下發(fā)的策略��,為用戶提供個(gè)性化的網(wǎng)絡(luò)服務(wù)����,如按用戶的不同提供不同的ACL��、VLAN等��,當(dāng)然�����,本模塊的實(shí)現(xiàn)也是可選的。
下面詳細(xì)介紹本發(fā)明一個(gè)實(shí)施例中�,所提供的方法在實(shí)際應(yīng)用中的具體操作流程,參考圖2���,該流程是1)在用戶終端試圖接入網(wǎng)絡(luò)時(shí),首先通過安全客戶端進(jìn)行用戶認(rèn)證���,非法用戶將被拒絕接入網(wǎng)絡(luò)����。當(dāng)然��,正如上文所述��,本實(shí)施例中的用戶認(rèn)證過程也可以沒有����,這取決于具體的網(wǎng)絡(luò)安全狀態(tài)設(shè)置。但一般來說����,加入用戶認(rèn)證的過程將會(huì)使安全策略實(shí)施更加嚴(yán)格、充分��,同時(shí),用戶認(rèn)證的加入�,可以區(qū)別不同的用戶身份,從而使得安全策略服務(wù)器可以為不同用戶提供基于身份的個(gè)性化安全配置和網(wǎng)絡(luò)服務(wù)等級(jí)�����,方便管理員對(duì)網(wǎng)絡(luò)用戶制定差異化的安全策略����,因此,本發(fā)明的最佳實(shí)施例中是按照包含用戶認(rèn)證模塊的系統(tǒng)為例進(jìn)行闡述的�����,但這并不表明對(duì)本發(fā)明保護(hù)范圍的限制��,在本發(fā)明的其他實(shí)施例中�,完全可以省略用戶認(rèn)證模塊,也能實(shí)現(xiàn)本發(fā)明所述的基本功能�,因此,不消說��,這樣的變化是包含在本發(fā)明所保護(hù)的范圍之內(nèi)的�����。并且,這里所說的用戶認(rèn)證��,一般指的是由AAA(Authentication��、Authorization��、Accounting����,認(rèn)證�、授權(quán)、計(jì)費(fèi))服務(wù)器對(duì)客戶進(jìn)行認(rèn)證���。此處���,AAA服務(wù)器與策略服務(wù)器的劃分只具有邏輯上的意義,在物理結(jié)構(gòu)上���,AAA服務(wù)器可以與策略服務(wù)器集成到一起��,也可以分拆成兩個(gè)�����。加入分拆�,那么用戶認(rèn)證是由AAA服務(wù)器來完成,而安全狀態(tài)認(rèn)證�,則由安全策略服務(wù)器與安全客戶端配合來完成。另外����,這里的提到的用戶認(rèn)證方法也可以有多種,并且是由用戶端�����、網(wǎng)絡(luò)接入設(shè)備���、安全策略服務(wù)器共同配合來完成的��。用戶認(rèn)證成功則認(rèn)為該用戶是合法用戶��。
2)用戶認(rèn)證通過后�,安全策略服務(wù)器將對(duì)用戶進(jìn)行安全狀態(tài)認(rèn)證�,由安全策略服務(wù)器驗(yàn)證用戶終端的安全狀態(tài)比如補(bǔ)丁版本、病毒庫(kù)版本等是否合格����。
當(dāng)然��,此處需要說明的是����,檢查用戶終端上的那些信息完全依賴于網(wǎng)絡(luò)中安全策略的設(shè)置�����。舉例來說���,如果要在安全認(rèn)證時(shí)進(jìn)行用戶終端上的防病毒檢查以及是否進(jìn)行了補(bǔ)丁升級(jí)的檢查�,就必須在安全策略服務(wù)器上配置例如“檢查殺毒引擎版本”�、“檢查病毒庫(kù)版本”�����、“進(jìn)行病毒掃描”��、“檢查軟件補(bǔ)丁”等選項(xiàng)��,如果其中某一項(xiàng)不配置�����,那么安全認(rèn)證時(shí)就不進(jìn)行該項(xiàng)檢查。而如果要在上網(wǎng)過程中進(jìn)行某些檢查�,同樣需要進(jìn)行相關(guān)設(shè)置。
安全認(rèn)證過程中�,安全客戶端將會(huì)把本地的安全信息如補(bǔ)丁版本、病毒庫(kù)版本等傳遞給安全策略服務(wù)器�����,安全策略服務(wù)器根據(jù)配置判斷這些安全信息如版本是否合格��。在進(jìn)行安全認(rèn)證的同時(shí)���,安全客戶端還與第三方服務(wù)客戶端如防病毒客戶端聯(lián)動(dòng)��,聯(lián)動(dòng)的具體實(shí)現(xiàn)方法可以是第三方服務(wù)客戶端提供接口供安全客戶端調(diào)用��,以驗(yàn)證第三方服務(wù)的相關(guān)信息���,以第三方服務(wù)為防病毒軟件為例,聯(lián)動(dòng)過程中將檢查防病毒軟件的版本�、病毒庫(kù)版本等信息,并將這些信息上報(bào)給安全策略服務(wù)器�。
這其中,需要確定用戶終端上的第三方服務(wù)客戶端軟件的某些信息,和用于進(jìn)行安全認(rèn)證的安全策略服務(wù)器上的第三方服務(wù)的某些信息進(jìn)行比較����,例如提供的二者相比較,哪個(gè)版本是最新的��。這種比較的方式及可能獲得的結(jié)果依賴于各種具體的設(shè)置方式�����。例如���,可以由系統(tǒng)管理員手工指定版本的信息�����,如用戶終端上的第三方服務(wù)客戶端的版本低于指定的版本信息�,則用戶終端的安全認(rèn)證不能通過��;另一種實(shí)現(xiàn)方式比如用自適應(yīng)的方式��,是指設(shè)置一個(gè)時(shí)間范圍���,比如,5天,那么如果客戶端傳上來的安全信息例如補(bǔ)丁或者病毒庫(kù)的版本信息與安全策略服務(wù)器上的版本信息(具體的�����,版本中的更新日期)相比落后的時(shí)間如果超過了5天�,就需要讓用戶連接到第三方服務(wù)器去升級(jí)或者下載最新的病毒庫(kù)。
需要提及的是����,第三方服務(wù)的信息例如版本是否是最新的,具體是由第三方服務(wù)提供方自己來保證始終保持最新的版本的�。比如,防病毒服務(wù)�,由防病毒軟件的廠家自己來保證網(wǎng)絡(luò)中的病毒服務(wù)器上的病毒庫(kù)版本是否始終是最新的,本領(lǐng)域中的普通技術(shù)人員應(yīng)當(dāng)知道�����,目前這些第三方服務(wù)的采用的通用辦法是每隔一段時(shí)間就連接互聯(lián)網(wǎng)���,從網(wǎng)絡(luò)(從該防病毒服務(wù)器廠家的網(wǎng)站)中讀獲取最新的版本并下載到本地�。
在實(shí)際情況中����,如果第三方服務(wù)器��,具體比如防病毒服務(wù)器和/或者補(bǔ)丁服務(wù)器上的補(bǔ)丁或者病毒庫(kù)版本沒有及時(shí)更新�����,也可能會(huì)出現(xiàn)服務(wù)器上的版本比用戶端的版本更低的情況���,此時(shí)系統(tǒng)會(huì)控制使得用戶安全認(rèn)證將不能通過。
3)安全認(rèn)證通過后�����,策略服務(wù)器將安全設(shè)置信息下發(fā)給客戶端�。此處的安全設(shè)置信息一般包括但不限于是否監(jiān)控網(wǎng)頁(yè)、內(nèi)存���、郵件����、惡意腳本����、注冊(cè)表等。
4)安全客戶端模塊對(duì)用戶終端進(jìn)行必要的安全設(shè)置���。
5)如果安全認(rèn)證不通過��,策略服務(wù)器通知聯(lián)動(dòng)設(shè)備將用戶放到隔離區(qū)���,這時(shí)聯(lián)動(dòng)設(shè)備將為該用戶設(shè)置ACL,或者將該用戶劃到一個(gè)特殊的VLAN中�����,實(shí)現(xiàn)隔離�����。隔離后�����,用戶將無法訪問隔離區(qū)之外的網(wǎng)絡(luò)��。同時(shí)�,策略服務(wù)器通知客戶端進(jìn)行升級(jí)或者(和)下載最新的病毒庫(kù)。
6)安全客戶端與第三方服務(wù)器配合����,完成第三方服務(wù)的升級(jí)如最新病毒庫(kù)下載(下載后安全客戶端與防病毒客戶端配合��,完成病毒庫(kù)的更新)��、補(bǔ)丁升級(jí)等����;此處的下載又分成主動(dòng)和被動(dòng)兩種方式����,是在安全策略服務(wù)器中設(shè)置的,并且采用哪種方式以及病毒或者補(bǔ)丁服務(wù)器的地址都由安全策略服務(wù)器下發(fā)給安全客戶端�。如果是手動(dòng),需要由用戶自己去處理����;如果自動(dòng),則由客戶端的第三方軟件如防病毒���、操作系統(tǒng)等自動(dòng)處理��。
7)第三方服務(wù)升級(jí)或修補(bǔ)完成后����,將重新啟動(dòng)安全認(rèn)證過程�,重復(fù)步驟2)~6)�。
上網(wǎng)的安全認(rèn)證通過后���,在此后的用戶終端處于網(wǎng)絡(luò)接入的過程之中,這時(shí)仍需要對(duì)用戶終端的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控�、調(diào)整。這種實(shí)時(shí)監(jiān)控�、調(diào)整的前提條件是在安全策略服務(wù)器上配置需要監(jiān)控的安全監(jiān)控信息。監(jiān)控的具體操作流程如圖3所示�����。
參考圖3�����,該圖概括的示出了當(dāng)用戶終端在網(wǎng)絡(luò)正常接入過程中發(fā)現(xiàn)安全狀態(tài)異常的時(shí)候的操作流程�,即先要判斷該異常的安全狀態(tài)是否是可修復(fù)的,如果是可修復(fù)的����,則直接報(bào)告給安全策略服務(wù)器,由安全策略服務(wù)器形成日志��,用于事后審計(jì)����。但另外一方面��,如果該異常安全狀態(tài)用戶終端無法自行處理�,則要首先把該用戶終端隔離到存在第三方服務(wù)的隔離網(wǎng)絡(luò)區(qū)域�����,并由第三方服務(wù)器配合進(jìn)行安全狀態(tài)的修補(bǔ)或者提示用戶進(jìn)行手動(dòng)修補(bǔ)處理�����,待修補(bǔ)完成后���,重新進(jìn)行系統(tǒng)的安全認(rèn)證���。
以病毒防護(hù)為例,其具體操作流程是�,用戶在接入網(wǎng)絡(luò)后的上網(wǎng)過程中,安全客戶端會(huì)向防病毒客戶端查詢用戶是否被感染了病毒或者防病毒客戶端被關(guān)閉�����,如果發(fā)現(xiàn)發(fā)現(xiàn)用戶終端上感染了病毒,并且用戶終端上的第三方服務(wù)的客戶端沒有自動(dòng)清除該病毒����,那么由則安全客戶端向安全策略服務(wù)器發(fā)送該安全事件的通知,而安全策略服務(wù)器收到這種通知后��,將會(huì)通知網(wǎng)絡(luò)接入設(shè)備將用戶隔離���,并通知安全客戶端進(jìn)行升級(jí);或者如果發(fā)現(xiàn)防病毒客戶端被關(guān)閉且無法重新正常啟動(dòng)���,則安全策略服務(wù)器收到安全客戶端的通知后�,同樣會(huì)通知用戶終端���,并將用戶終端放到隔離區(qū)����,同時(shí)在用戶終端上顯示提示消息�,要求用戶進(jìn)行處理,用戶正常啟動(dòng)防病毒客戶端后��,再重新進(jìn)行安全認(rèn)證����。但另外一種情況是��,如果發(fā)現(xiàn)有病毒但已經(jīng)被用戶終端自動(dòng)清除����,那么只是由安全客戶端將該情況報(bào)給安全策略服務(wù)器并由安全策略服務(wù)器記錄日志�;如果根本就沒有發(fā)現(xiàn)異常安全事件,比如�,未發(fā)現(xiàn)病毒,則將繼續(xù)進(jìn)行監(jiān)控��,重復(fù)上述過程����。
需要注意的是,上網(wǎng)過程中的上述操作過程是可選的��;可以在安全策略服務(wù)器上配置是否做這種操作���。
即如上文所述��,本領(lǐng)域內(nèi)的熟練技術(shù)人員會(huì)知道��,在上述方法所提供的本發(fā)明的統(tǒng)一構(gòu)思之下�����,還可設(shè)計(jì)一個(gè)具有能夠執(zhí)行統(tǒng)一的安全策略����,自動(dòng)對(duì)接入網(wǎng)絡(luò)客戶端進(jìn)行監(jiān)測(cè)、升級(jí)修補(bǔ)的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)�����。
據(jù)此��,本發(fā)明的另一目的是提供一種具有網(wǎng)絡(luò)安全整合聯(lián)動(dòng)防護(hù)功能的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)�,該系統(tǒng)包括至少一個(gè)網(wǎng)絡(luò)安全策略服務(wù)器和至少一個(gè)網(wǎng)絡(luò)接入設(shè)備��,用戶終端可以通過網(wǎng)絡(luò)接入設(shè)備連接到具有網(wǎng)絡(luò)安全策略服務(wù)器的網(wǎng)絡(luò)�����,該系統(tǒng)還包括一個(gè)安全客戶端模塊��,用來部署在請(qǐng)求接入到具有所述安全策略服務(wù)器的網(wǎng)絡(luò)中��;一個(gè)安全策略服務(wù)模塊�����,位于在網(wǎng)絡(luò)安全策略服務(wù)器上,用來在被請(qǐng)求接入的網(wǎng)絡(luò)中部署和控制執(zhí)行安全策略�����;一個(gè)網(wǎng)絡(luò)安全聯(lián)動(dòng)模塊����,位于網(wǎng)絡(luò)接入設(shè)備上,用來根據(jù)所述安全策略服務(wù)模塊部署的安全策略隔離或接入具有安全客戶端模塊的用戶終端��;所述具有所述安全客戶端模塊的用戶終端通過具有網(wǎng)絡(luò)安全聯(lián)動(dòng)模塊的網(wǎng)絡(luò)接入設(shè)備連接到具有安全策略服務(wù)模塊的安全策略服務(wù)器�����。
另外�,該系統(tǒng)還包括一個(gè)第三方網(wǎng)絡(luò)服務(wù)模塊,位于第三方網(wǎng)絡(luò)服務(wù)器上�,該第三方網(wǎng)絡(luò)服務(wù)器位于隔離網(wǎng)絡(luò)區(qū)域中,用于為被隔離的用戶終端提供第三方網(wǎng)絡(luò)服務(wù)��。
其中�����,第三方網(wǎng)絡(luò)服務(wù)為病毒庫(kù)升級(jí)或系統(tǒng)補(bǔ)丁升級(jí)服務(wù),當(dāng)用戶終端被隔離到隔離網(wǎng)絡(luò)區(qū)域中����,所述安全策略服務(wù)模塊通知安全客戶端模塊進(jìn)行升級(jí)和或下載最新的病毒庫(kù);所述安全客戶端模塊與所述第三方網(wǎng)絡(luò)服務(wù)模塊配合��,完成最新病毒庫(kù)下載及本地病毒庫(kù)的更新和或補(bǔ)丁升級(jí)�����。
更為一般的����,本發(fā)明還提供另外一種網(wǎng)絡(luò)安全防護(hù)系統(tǒng),該系統(tǒng)包括安全策略服務(wù)器和網(wǎng)絡(luò)接入設(shè)備���,所述安全策略服務(wù)器具有預(yù)設(shè)的安全策略,并用以驗(yàn)證接入用戶終端的安全信息是否符合其安全策略要求����,其特征在于,該安全策略服務(wù)器將驗(yàn)證結(jié)果通知所述網(wǎng)絡(luò)接入設(shè)備����,網(wǎng)絡(luò)接入設(shè)備根據(jù)驗(yàn)證結(jié)果下發(fā)相應(yīng)的接入規(guī)則����,以將不符合安全策略要求的接入用戶終端隔離出本網(wǎng)絡(luò)�。
其中,所述網(wǎng)絡(luò)接入設(shè)備將所述不符合安全策略的用戶終端隔離到一個(gè)具有第三方服務(wù)器的網(wǎng)絡(luò)中去�����,該第三方服務(wù)器具有完善用戶終端安全信息的能力�。
其中,所述第三方服務(wù)器提供最新病毒庫(kù)下載或本地病毒庫(kù)的更新或補(bǔ)丁升級(jí)����。
雖然圖示并描述了本發(fā)明的優(yōu)選實(shí)施例,應(yīng)該理解可以對(duì)本發(fā)明進(jìn)行各種改變而并不違背本發(fā)明的實(shí)質(zhì)和范圍��。
權(quán)利要求
1.一種網(wǎng)絡(luò)安全防護(hù)方法�����,該方法通過包括至少一個(gè)用戶終端����、至少一個(gè)網(wǎng)絡(luò)接入設(shè)備和至少一個(gè)安全策略服務(wù)器的網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)安全防護(hù),其特征在于包括下列步驟(1)用戶終端請(qǐng)求接入網(wǎng)絡(luò)時(shí)首先被隔離到隔離網(wǎng)絡(luò)區(qū)域���;(2)用戶終端收集用戶終端上的安全信息上報(bào)給所述安全策略服務(wù)器進(jìn)行安全認(rèn)證�����;(3)安全認(rèn)證通過則所述安全策略服務(wù)器通知網(wǎng)絡(luò)接入設(shè)備將所述用戶終端接入到的所述隔離網(wǎng)絡(luò)區(qū)域以外的網(wǎng)絡(luò)區(qū)域�����。
2.如權(quán)利要求1所述的方法��,其特征在于所述網(wǎng)絡(luò)中還提供具有第三方網(wǎng)絡(luò)服務(wù)的服務(wù)器����,位于步驟(1)中所述的隔離網(wǎng)絡(luò)區(qū)域,為接入所述隔離網(wǎng)絡(luò)區(qū)域的用戶終端提供服務(wù)�����。
3.如權(quán)利要求2所述的方法�����,其特征在于所述第三方網(wǎng)絡(luò)服務(wù)為病毒庫(kù)升級(jí)或系統(tǒng)補(bǔ)丁升級(jí)服務(wù)���,并且還進(jìn)一步包括如下步驟所述安全策略服務(wù)器通知用戶終端進(jìn)行升級(jí)和或下載最新的病毒庫(kù)�;所述用戶終端與所述第三方網(wǎng)絡(luò)服務(wù)器配合����,完成最新病毒庫(kù)下載及本地病毒庫(kù)的更新和或補(bǔ)丁升級(jí)。
4.如權(quán)利要求1所述的方法��,其特征在于步驟(1)中用戶終端在被隔離到隔離網(wǎng)絡(luò)區(qū)域之前先進(jìn)行用戶認(rèn)證�����,用戶認(rèn)證未通過將被拒絕接入隔離網(wǎng)絡(luò)區(qū)域���。
5.如權(quán)利要求4所述的方法��,其特征在于所述網(wǎng)絡(luò)接入設(shè)備可以是交換機(jī)�����、路由器或虛擬專用網(wǎng)網(wǎng)關(guān)���。
6.如權(quán)利要求1所述的方法,其特征在于該方法進(jìn)一步包括(4)所述用戶終端接入正常網(wǎng)絡(luò)區(qū)域后����,按照安全策略服務(wù)器的安全策略配置定期查詢用戶終端上是否出現(xiàn)不符合網(wǎng)絡(luò)安全策略的事件����;(5)若發(fā)現(xiàn)不符合網(wǎng)絡(luò)安全策略的事件但用戶終端可以修復(fù)��,則直接上報(bào)到安全策略服務(wù)器進(jìn)行事后審計(jì)����,并返回步驟(4);(6)若發(fā)現(xiàn)不符合網(wǎng)絡(luò)安全策略的事件且用戶終端無法修復(fù)���,則用戶終端向安全策略服務(wù)器發(fā)送通知請(qǐng)求處理����;(7)所述安全策略服務(wù)器通過網(wǎng)絡(luò)接入設(shè)備將相應(yīng)用戶終端隔離���,并通知所述用戶終端進(jìn)行升級(jí)或提示用戶終端進(jìn)行處理��;(8)用戶終端升級(jí)完成或者用戶終端處理后�����,返回步驟(2)��,重新進(jìn)行安全認(rèn)證�����。
7.如權(quán)利要求6所述的方法����,其特征在于所述網(wǎng)絡(luò)接入設(shè)備將用戶終端以訪問控制列表或者虛擬局域網(wǎng)的方式進(jìn)行隔離�����。
8.一種網(wǎng)絡(luò)安全防護(hù)系統(tǒng)���,該系統(tǒng)包括至少一個(gè)網(wǎng)絡(luò)安全策略服務(wù)器和至少一個(gè)網(wǎng)絡(luò)接入設(shè)備���,用戶終端可以通過網(wǎng)絡(luò)接入設(shè)備連接到具有網(wǎng)絡(luò)安全策略服務(wù)器的網(wǎng)絡(luò),其特征在于該系統(tǒng)還包括一個(gè)安全客戶端模塊�����,用來部署在請(qǐng)求接入到具有所述安全策略服務(wù)器的網(wǎng)絡(luò)中���;一個(gè)安全策略服務(wù)模塊����,位于在網(wǎng)絡(luò)安全策略服務(wù)器上,用來在被請(qǐng)求接入的網(wǎng)絡(luò)中部署和控制執(zhí)行安全策略���;一個(gè)網(wǎng)絡(luò)安全聯(lián)動(dòng)模塊�����,位于網(wǎng)絡(luò)接入設(shè)備上�,用來根據(jù)所述安全策略服務(wù)模塊部署的安全策略隔離或接入具有安全客戶端模塊的用戶終端���;所述具有所述安全客戶端模塊的用戶終端通過具有網(wǎng)絡(luò)安全聯(lián)動(dòng)模塊的網(wǎng)絡(luò)接入設(shè)備連接到具有安全策略服務(wù)模塊的安全策略服務(wù)器�。
9.如權(quán)利要求8所述的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)����,其特征在于還包括一個(gè)第三方網(wǎng)絡(luò)服務(wù)模塊,位于第三方網(wǎng)絡(luò)服務(wù)器上����,該第三方網(wǎng)絡(luò)服務(wù)器位于隔離網(wǎng)絡(luò)區(qū)域中,用于為被隔離的用戶終端提供第三方網(wǎng)絡(luò)服務(wù)�。
10.如權(quán)利要求9所述的網(wǎng)絡(luò)安全防護(hù)系統(tǒng),其特征在于所述第三方網(wǎng)絡(luò)服務(wù)為病毒庫(kù)升級(jí)或系統(tǒng)補(bǔ)丁升級(jí)服務(wù)�����,當(dāng)用戶終端被隔離到隔離網(wǎng)絡(luò)區(qū)域中,所述安全策略服務(wù)模塊通知安全客戶端模塊進(jìn)行升級(jí)和或下載最新的病毒庫(kù)�����;所述安全客戶端模塊與所述第三方網(wǎng)絡(luò)服務(wù)模塊配合����,完成最新病毒庫(kù)下載及本地病毒庫(kù)的更新和或補(bǔ)丁升級(jí)����。
11.一種網(wǎng)絡(luò)安全防護(hù)系統(tǒng),其包括安全策略服務(wù)器和網(wǎng)絡(luò)接入設(shè)備�����,所述安全策略服務(wù)器具有預(yù)設(shè)的安全策略��,并用以驗(yàn)證接入用戶終端的安全信息是否符合其安全策略要求��,其特征在于���,該安全策略服務(wù)器將驗(yàn)證結(jié)果通知所述網(wǎng)絡(luò)接入設(shè)備�����,網(wǎng)絡(luò)接入設(shè)備根據(jù)驗(yàn)證結(jié)果下發(fā)相應(yīng)的接入規(guī)則�����,以將不符合安全策略要求的接入用戶終端隔離出本網(wǎng)絡(luò)��。
12.如11所述網(wǎng)絡(luò)安全防護(hù)系統(tǒng)�,其特征在于,所述網(wǎng)絡(luò)接入設(shè)備將所述不符合安全策略的用戶終端隔離到一個(gè)具有第三方服務(wù)器的網(wǎng)絡(luò)中去�����,該第三方服務(wù)器具有完善用戶終端安全信息的能力�。
13.如12所述網(wǎng)絡(luò)安全防護(hù)系統(tǒng),其特征在于��,所述第三方服務(wù)器提供最新病毒庫(kù)下載或本地病毒庫(kù)的更新或補(bǔ)丁升級(jí)��。
全文摘要
本發(fā)明公開了一種網(wǎng)絡(luò)安全防護(hù)方法和系統(tǒng)�����,在網(wǎng)絡(luò)中提供安全策略服務(wù)器和網(wǎng)絡(luò)接入設(shè)備�,網(wǎng)絡(luò)外部用戶終端請(qǐng)求接入網(wǎng)絡(luò)時(shí)�,將被首先隔離到隔離網(wǎng)絡(luò)區(qū)域���,并進(jìn)行安全認(rèn)證��,若安全認(rèn)證不通過則將在該隔離網(wǎng)絡(luò)區(qū)域中通過提供的第三方網(wǎng)絡(luò)服務(wù)器進(jìn)行升級(jí)���、修補(bǔ)等,然后重新進(jìn)行安全認(rèn)證����。在用戶接入到網(wǎng)絡(luò)后����,還將始終處于網(wǎng)絡(luò)安全策略的監(jiān)控下,發(fā)現(xiàn)接入網(wǎng)絡(luò)的外部用戶終端上發(fā)生不符合網(wǎng)絡(luò)安全策略的事件時(shí)����,用戶終端將被隔離并作相應(yīng)的處理??傊_的發(fā)明提供了更加安全����、全面的網(wǎng)絡(luò)自我防護(hù)功能���。
文檔編號(hào)H04L12/28GK1885788SQ20051007734
公開日2006年12月27日 申請(qǐng)日期2005年6月22日 優(yōu)先權(quán)日2005年6月22日
發(fā)明者陳有琨 申請(qǐng)人:杭州華為三康技術(shù)有限公司