[发明专利]一种基于全要素网络标识的可信安全网关实现方法

说明书

本发明公开了一种基于全要素网络标识的可信安全网关实现方法，包括：对网络身份标识进行管控；建立矩阵式全流量检测引擎；对业务工作流进行可信管控；对微服务进行强隔离。

技术领域

本发明涉及网络安全技术领域，更具体地说，涉及一种基于全要素网络标识的可信安全网关实现方法。

背景技术

在当今信息社会的时代，保护信息的私密性、完整性、真实性和可靠性，提供一个可信赖的计算环境已经成为信息化的必然要求。

为此，必须做到终端接入可信，从源头解决人与程序、人与机器还有人与人之间的信息安全传递，进而形成一个可信的网络，解决当前以防火墙、入侵监测和病毒防范为主的传统网络安全系统存在的被动防御的不足。

当前，在交通、政务、能源、金融、通信等重要行业和领域，关键信息基础设施融入其中、控制其内，直接关系到国家命脉，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害公共利益。

针对关键信息基础设施中复杂网络拓扑、开放融合环境、多元接入终端、海量业务应用和未知漏洞后门等带来的严峻挑战，提出和构建扭转“封堵查杀”被动局面、坚持“可管可控”纵深防御的安全体系，建立风险可控“天网恢恢、疏而不漏”式主动安全体系，建立网络空间“风险可控、主动防御”的安全技术方法和系统，是提升网络、平台、运行环境、软件和数据防御能力的迫切要求。

在现代网络边界“逐步模糊与消失”安全体系结构下，需要解决安全问题是资源共享和业务协作理论为突破方向，并制定出符合要求的可信模型。

在互联网与物联网中，由于信息安全的隐患源于多个方面，在对陌生方建立信任所依赖的访问控制策略中，都可能泄露交互主体的敏感信息，在基于服务为中心的计算环境中，服务间的信任关系常常是动态地建立、调整，需要协商的方式达成协作或资源访问的目的，通过策略的一致性保证系统和网络的稳定性。

安全策略是对有关管理、保护和发布敏感信息的法律、规定和实施细则。安全模型则是对安全策略所表达的安全需求的简单、抽象和无歧义的描述，它为安全策略和安全策略实现机制的关联提供了一种框架。

访问控制模型是一种从访问控制的角度出发，描述安全系统，建立安全模型的方法，访问控制(Access Control) 是国际标准化组织ISO在网络安全标准(ISO7498-2)中定义的安全信息系统的基础架构中必须包含的五种安全服务之一，是指主体依据某些控制策略或权限对客体本身或资源进行不同授权访问。

著名的经典访问控制模型包括：自主访问控制DAC、强制访问控制MAC和基 于角色的访问控制RBAC。随着网络技术的迅速发展，可信网络作为下一代的移动网络，在为用户提供了更加广阔的资源空间和更加便利服务的同时，也产生了新的安全问题。

但传统访问控制模型主要关注在一个信息系统封闭环境中资源机密性和完整性的保护，不能很好地满足可信网络环境中动态、连续的访问控制需求。

近几年，可信计算研究不断从终端向网络扩展，而且研究的深度也进一步 增加，在理论发展的同时，可信计算的实现也逐步跟进。

防火墙是现代网络安全防护技术中的重要构成内容，通过内部与外部网络的中间过程，部署网络访问控制防御系统，可有效地防护外部的侵扰与影响。

同时，具有一定的抗攻击能力，对于外部攻击具有自我保护的作用。

目前，网络访问控制方法，包含MAC地址过滤、VLAN隔离、ACL自主访问控制方法，和防火墙控制法，在最大限度上限制了源IP地址、目的IP地址、源上联端口号、目的上联端口号的访问权限，从而限制了每一业务流的通断。

从防护功能上，包过滤型防火墙、状态检测型防火墙、应用级防火墙和混合型防火墙，针对一些底层(网络层、传输层)的信息进行阻断，提供IP、端口防护，以及对应用层实施协议过滤等功能，包含不限于如下的安全问题：