[发明专利]一种网络边界违规内联的检测与阻断系统

说明书

本发明公开了一种网络边界违规内联的检测与阻断系统，包括：后台扫描服务系统、数据库系统和前台用户管理系统，数据库系统在后台扫描服务系统和前台用户管理系统之间进行数据传递和存储，后台扫描服务系统包括网络资源管理子系统、网络边界扫描子系统、资产识别与管理子系统、设备监控子系统和应急响应管理子系统，数据库系统包括数据通讯子系统、系统授权管理子系统和数据库子系统，前台用户管理系统包括前台用户界面子系统，系统总体采用B/S架构，系统通过对网络中流量的分析，规避了由于人为因素可能导致的结果不完整、不客观问题，通过无线探针对无线信号进行扫描完成违规接入的检测和定位，解决了违规接入具有隐蔽性和欺骗性逃避监管的问题。

技术领域

本发明涉及一种网络边界违规内联的检测与阻断系统，属于网络安全领域。

背景技术

随着网络规模的扩大，网络边界在不断发生变化和调整，边界的完整防护也变得越发困难，堡垒最易从内部突破，网络内部的任何一点都有可能把边界撕开一个口子，偷偷的与外部进行数据交互，不受任何监管。目前主要的网络BYOD（Bring Your Own Device）指自己携带的设备，这些设备包括个人电脑、智能手机、平板等设备私接问题、随身WIFI设备私接问题和无线/有线路由设备私接问题等，导致的危害主要有：1、原有网络边界遭到成倍放大和破坏；2、易遭受容易带入病毒或木马等入侵，轻易对内部网络实施其破坏行为，安全风险极高；对于网络内部还存在HUB或者类似HUB接入的网络，接入的隐蔽性和欺骗性，使得管理者难以发现私接设备的行为，网络管理者如果无法对私自突破网络边界的行为进行有效监管，必然会导致核心数据外泄、病毒木马泛滥，甚至业务系统以及整个网络的崩溃。

现有技术的网络维护存在以下弊端：1、现阶段的终端管控部署工作还有赖于人工安装，一是无法保证获取的资产清单完整性；二是无法保证人工在实施过程中的严谨性；三是无法确保使用者的自我约束性，部署率达到100%是很难完成的任务，总有终端通过各种方式能够逃避监管，这也是终端桌面管理类系统绕不开的技术难题；2、无线AP等路由设备可以通过MAC克隆+NAT轻易突破交换机端口绑定的限制；无线AP通过NAT结合DMZ设置，可以轻松突破802.1X的准入控制，使接入具有隐蔽性和欺骗性，而提高基于802.1X的接入控制严格程度，会使得部署和维护都是一个难题，因802.1X导致网络瘫痪的案例不少，甚至倒逼用户放松甚至放弃基于802.1X对接入的控制，无线AP通过上述两种方式后，现有的终端管理、准入控制系统的判断机制会认为只是一台合理的内部终端，无法对上述两种情况进行判断，导致无线AP出现定位难、监管难的情况。

发明内容

本发明要解决的技术问题是：研究一种网络边界违规内联的检测与阻断系统，解决现有网络边界违规控制系统终端逃避监管、通过MAC克隆+NAT轻易突破交换机端口绑定的限制、违规接入具有隐蔽性和欺骗性导致控制系统控制严格会使得自身部署和维护都是一个难题的问题。

本发明的技术方案是：一种网络边界违规内联的检测与阻断系统，包括：后台扫描服务系统、数据库系统和前台用户管理系统，数据库系统在后台扫描服务系统和前台用户管理系统之间进行数据传递和存储，后台扫描服务系统包括网络资源管理子系统、网络边界扫描子系统、资产识别与管理子系统、设备监控子系统和应急响应管理子系统，数据库系统包括数据通讯子系统、系统授权管理子系统和数据库子系统，前台用户管理系统包括前台用户界面子系统，系统总体采用B/S架构。

进一步的，所述网络资源管理子系统包括IP地址的资源基准管理模块、违规行为检测模块和审计管理模块，IP地址和MAC地址探测模块及绑定管理模块，对非法IP接入、非法MAC接入、IP地址冒用、IP地址变更行为进行检测、记录和绑定管理。