[发明专利]一种网络安全防护方法

说明书

技术领域

本发明涉及网络安全，特别涉及一种网络安全防护方法。

背景技术

在当今网络信息系统高度发达的时代，网络系统中的访问单元多种多样，对网络服务系统的管理提出了更高的要求，使访问控制变得更加复杂。当前系统一般都是基于服务器是可信情况下，仅解决客户端的认证访问问题，它不会对服务器进行验证，也缺乏对客户端的完整性进行检验。在网络连接建立以前，服务器端对客户端进行完整性检查，以确保其可信度。服务器同样有可能在不知情的情况下遭受木马攻击，该木马可能冒充企业受理业务，给用户造成严重损失，因此，也应该考虑服务器端的不可信问题。

发明内容

为解决上述现有技术所存在的问题，本发明提出了一种网络安全防护方法，包括：

客户端在访问网络时，服务端和客户端进行双方完整性检验，将整个网络划分为多个逻辑局域网，实现对不同可信级别的用户设备进行分类管理和分类控制。

优选地，所述服务端包括安全监测单元、安全防护单元、数据服务器、用户管理单元、规则执行单元、网络访问单元；网络访问单元访问网络，需要获得用户管理单元授权，合法用户进入后安全监测单元用于对用户进行系统扫描，扫描成功的用户才能注册成功，安全防护单元通过规则执行单元授权使用网络访问；网络访问单元用于建立网络连接，进行网络访问申请，网络访问单元包括：网络访问申请者、网络连接客户端和完整性规则收集器三个功能组件，访问申请者与要访问的网络进行对话，有多个网络访问申请者与不同网络连接；网络连接客户端整合来自多个规则收集器的完整性度量信息，将本机平台的状况报告和来自规则收集器的规则进行协调；完整性规则收集器主要是度量网络访问单元的完整性安全问题，所述问题包括网络访问单元上的病毒库、个人防火墙状态、软件版本信息，用户根据提供的产品配置完整性规则；规则执行单元根据规则制定单元的决定来确定是否授权访问网络，执行规则制定单元的规则，控制访问网络，实现设备访问或防护操作；规则制定单元实现网络访问认证、授权、网络连接服务器和完整性规则审核，包括网络访问授权单元和完整性规则审核单元；网络访问授权单元是决定是否允许网络访问单元访问的部件，根据网络连接服务器建议来确定网络访问单元的完整性度量是否符合规则制定单元的安全规则；网络连接服务器用于管理完整性规则审核单元和完整性规则收集器之间的信息流，并聚合来自多个规则审核单元的行为建议，把这些行为建议整合起来成为网络连接服务器行为建议，传给网络访问授权单元；完整性规则审核单元根据接收到的规则收集器的度量信息或其它数据，来验证网络访问单元某一特定方面的完整性。

优选地，所述将整个网络划分为多个逻辑局域网，进一步包括：

将局域网划分为MAC监测局域网、注册局域网、防护局域网、一般局域网和可信局域网；其中MAC监测局域网没有任何服务资源，用于设备的初始监测，所有的设备初始状态都在该局域网中；注册局域网用于放入未注册的设备，该局域网中设备未访问资源系统，不能访问系统资源，设备只能访问注册服务器；防护局域网用于存放违例的终端，服务器可以对其采取补救措施，包括打系统补丁，病毒库升级；一般局域网通过认证注册和系统服务器主动安全监测的设备，该局域网中的设备获得一部分访问系统服务资源的授权；可信局域网主要针对安装有可信终端模块的设备，与服务器进行单向或双向安全性和完整性认证；局域网控制程序启动后读取路由器配置参数，并进行相应设置，通过接收各功能服务器的指令，对路由器进行控制来完成局域网的防护。

优选地，所述对路由器进行控制来完成局域网的防护，进一步包括：

(1)当一个主机连接到路由器端口，路由器发送一个“建立”信息给系统主机，系统主机立即把这个端口放入MAC监测局域网，当路由器获得该MAC地址，局域网控制检查该主机在数据库中的状态，并把这个端口放到相应的局域网中，当某个设备掉电或断开时，路由器向系统主机发送一个“断开”信息，系统主机就把这个端口放到MAC监测局域网；

(2)处于注册局域网中的主机，访问认证服务器进行认证注册。

(3)一般主机认证通过后，系统安全服务器根据预先设置的规则对其进行扫描，监测其主机安全性和完整性并进行评估；评估未通过的设备转入防护局域网，已通过的设备转入一般局域网，获得相应的授权；

(4)安装有可信终端模块的主机认证请求送往认证服务器进行认证，认证服务器对其进行用户认证、终端完整性验证，根据相应的规则进行授权，对符合访问规则的终端，将其访问可信局域网；对通过用户认证而有完整性缺陷的终端，根据访问规则拒绝其访问网络或进行隔离。