[发明专利]一种无线终端安全接入信息内网的系统及方法

说明书

技术领域

本发明属于信息安全技术领域，尤其涉及一种无线终端安全接入信息内网的系统及方法。

背景技术

随着智能电网和SG-ERP(国家电网资源计划)的建设，对国家电网公司信息安全的机密性、完整性和可用性提出了更高的要求。目前，各类应用系统已逐步采用移动作业终端接入方式通过GPRS/CDMA/3G等无线接入技术和信息内网进行数据交换。在这种形势下，如何保证各类分散的接入对象安全、可信地连入电力信息网络，同时保证机密数据不会遭到泄露，并且实现对接入对象和操作的监控与审计，已成为支撑当前公司SG-ERP发展的基础动力。同时，未来智能电网更加复杂的接入环境、多样灵活的接入方式、数量庞大的接入终端对信息的安全、可信、可控的接入都提出了新的要求。

目前，传统的接入信息内网的系统及方法存在智能化和安全性低、容易泄露机密数据、接入效果差的问题。

发明内容

本发明实施例的目的在于提供一种无线终端安全接入信息内网的系统及方法，旨在解决目前，传统的接入信息内网的系统及方法存在智能化和安全性低、容易泄露机密数据、接入效果差的问题。

本发明实施例是这样实现的，一种无线终端安全接入信息内网的系统，包括安全终端层、安全通道层、和业务访问层，安全接入层设置在业务访问层之间，安全接入层包括：集中监控系统、第一交换机、身份认证系统、安全数据过滤系统、第二交换机、移动接入网关、安全接入网关、防火墙、接入交换机；

第一交换机设置在应用实现对安全接入平台有效的管控流程和机制集中监管系统和身份认证系统之间，用于对接入终端进行身份认证和识别的身份认证系统设置在第一交换机的右侧，用于实现对终端访问信息内网业务系统的行为的安全审查，对交换数据的内容检查过滤，提供对整个数据交换行为的完整审计安全的数据过滤系统设置在第一交换机的下端，第二交换机设置在安全数据过滤系统的下端，用于各类无线终端的安全接入，并在终端与网关之间建立加密隧道，对传输数据进行加密通讯的移动接入网关设置在第二交换机的左侧，用于各类无线终端的安全接入，并在终端与网关之间建立加密隧道，对传输数据进行加密通讯的安全接入网关设置在第二交换机的右侧，防火墙设置在第二交换机的下端，接入交换机设置在防火墙的下端。

进一步，移动接入网关、安全接入网关部署在无线公网的网络边界上。

进一步，数据过滤系统提供对整个数据交换行为的完整审计，包括数据来源、交换发生时间、数据交换的目标、数据交换，确保终端对信息内网的业务的安全访问。

进一步，接入终端采用数字证书、用户名/口令、设备特征等进行身份认证，在接入网关侧对接入终端的数字证书做安全检查，实现对各种接入对象如人员、主机、移动终端的高强度身份认证。

进一步，集中监管系统实现对安全接入平台中的各类接入终端、网络通道、应用系统的全面的监测、分析、评估，监管管理模块采用图形化的展现形式，直观的反应当前平台的运行情况。

进一步，安全终端层设置在无线终端安全接入信息内网的系统的最底端，安全通道层设置在安全终端层和安全接入层之间，业务访问层设置在安全接入层的上端。

进一步，安全终端层包括：数据采集终端、移动办公终端、PDA智能手机；

数据采集终端设置在安全终端层的最左侧，移动办公终端设置在数据采集终端和PDA智能手机之间，PDA智能手机设置在移动办公终端的右侧；

安全通道层包括：APN通道和运营商内部网络；

APN通道设置在接入交换机和运营商内部网络之间，运营商内部网络设置在APN通道的下端，集中监控系统设置在安全接入层的左上侧；

安全接入层包括：集中监控系统、第一交换机、身份认证系统、安全数据过滤系统、第二交换机、移动接入网关、安全接入网关、防火墙、接入交换机；

第一交换机设置在集中监管系统和身份认证系统之间，身份认证系统设置在第一交换机的右侧，安全数据过滤系统设置在第一交换机的下端，第二交换机设置在安全数据过滤系统的下端，移动接入网关设置在第二交换机的左侧，安全接入网关设置在第二交换机的右侧，防火墙设置在第二交换机的下端，接入交换机设置在防火墙的下端。

本发明实施例的另一目的在于提供一种无线终端安全接入信息内网的方法，该无线终端安全接入信息内网的方法包括以下步骤：

步骤一，进行身份认证；

步骤二，进行集中监管；

步骤三，将数据过滤系统部署在移动接入网关和安全接入网关上；

步骤四，在终端与网关之间建立加密隧道；