Sam準入系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種能檢測和限制外來設備并對變電站網(wǎng)絡進行實時安全保護的SAM準入系統(tǒng)。本發(fā)明包括用于接入外來設備并與SAM認證管理裝置進行數(shù)據(jù)交互的匯聚層交換機;用于獲取外來設備的安全信息并與SAM認證管理裝置進行通信的SAM終端安全代理;用于控制數(shù)據(jù)流進入內(nèi)部網(wǎng)絡的SAM訪問控制網(wǎng)關;用于收集匯聚層交換機發(fā)送來的數(shù)據(jù),對外來設備進行認證或進行自動授權,同時與SAM終端安全代理進行通信,控制外來設備訪問內(nèi)部網(wǎng)絡的SAM認證管理裝置;用于用戶管理,外來設備接入計時、記錄,進行安全訪問策略制定及安全管理的SAM管理中心裝置。本發(fā)明應用于變電站網(wǎng)絡安全防護領域。
【專利說明】SAM準入系統(tǒng)
【技術領域】
[0001]本發(fā)明涉及ー種SAM準入系統(tǒng)。
【背景技術】
[0002]在電カ系統(tǒng)網(wǎng)絡信息化建設快速發(fā)展的形勢下,我們經(jīng)常會遇到廠家工作人員攜帶移動辦公設備來電力系統(tǒng)部門出差。偶爾會有廠家工作人員因為現(xiàn)場工作需要,把自身攜帯的筆記本、平板電腦或PDA等外來設備接入現(xiàn)場網(wǎng)絡進行測試。由于電カ系統(tǒng)對臨時接入網(wǎng)絡的筆記本等設備無法進行安全性評估和網(wǎng)絡訪問控制,這對網(wǎng)絡安全穩(wěn)定運行帶來了很大的安全隱患。因此我們需要ー套可以對外來設備進行安全性評估,同時控制外來設備訪問內(nèi)部網(wǎng)絡,可以事后進行安全審計的網(wǎng)絡準入系統(tǒng)。
【發(fā)明內(nèi)容】
[0003]本發(fā)明所要解決的技術問題是克服現(xiàn)有技術的不足,提供一種能檢測和限制外來設備并對變電站網(wǎng)絡進行實時安全保護的SAM準入系統(tǒng)。
[0004]本發(fā)明所采用的技術方案是:本發(fā)明包括匯聚層交換機、SAM終端安全代理、SAM訪問控制網(wǎng)關、SAM認證管理裝置和SAM管理中心裝置,其中,
所述匯聚層交換機用于接入外來設備并與所述SAM認證管理裝置進行數(shù)據(jù)交互;
所述SAM終端安全代理用于獲取外來設備的安全信息并與所述SAM認證管理裝置進行通信,將獲取到的外來設備的安全信息上送給所述SAM認證管理裝置;
所述SAM訪問控制網(wǎng)關用于控制數(shù)據(jù)流進入內(nèi)部網(wǎng)絡,只有符合要求的數(shù)據(jù)流才被允許通過;
所述SAM認證管理裝置用于收集所述匯聚層交換機發(fā)送來的數(shù)據(jù),根據(jù)預定安全策略對外來設備進行認證或對外來設備進行自動授權,同時與所述SAM終端安全代理進行通信,控制外來設備訪問內(nèi)部網(wǎng)絡;
所述SAM管理中心裝置用于用戶管理,外來設備接入計時、記錄,進行安全訪問策略制
定及安全管理。
[0005]所述SAM終端安全代理包括:
用于外來設備進行登錄信息錄入并發(fā)送給所述SAM認證管理裝置進行認證的信息錄入模塊;用于對外來設備進行安全性檢測的安全檢測模塊;用于對外來設備的各種操作進行監(jiān)控的監(jiān)控模塊。
[0006]所述SAM認證管理裝置包括CPU、數(shù)據(jù)采集模塊、安全認證模塊、通信模塊、設備隔離模塊和信息執(zhí)行模塊。所述SAM管理中心裝置包括用戶管理模塊、安全補丁分發(fā)模塊、防病毒模塊、安全策略制定模塊和日志與審計模塊。所述外來設備包括外來筆記本、平板電腦、PDA或手機。所述SAM認證管理裝置對外來設備的認證方式包括賬號認證、MAC地址認證、USB-Key證書認證及短信認證。
[0007]本發(fā)明的有益效果是:由于本發(fā)明在變電站網(wǎng)絡內(nèi)部署終端準入系統(tǒng),該準入系統(tǒng)包括用于接入外來設備并與所述SAM認證管理裝置進行數(shù)據(jù)交互的匯聚層交換機,用于獲取外來設備的安全信息并與SAM認證管理裝置進行通信,將獲取到的外來設備的安全信息上送給SAM認證管理裝置的SAM終端安全代理,用于控制數(shù)據(jù)流進入內(nèi)部網(wǎng)絡,只有符合要求的數(shù)據(jù)流才被允許通過的SAM訪問控制網(wǎng)關,用于收集所述匯聚層交換機發(fā)送來的數(shù)據(jù),根據(jù)預定安全策略對外來設備進行認證或對外來設備進行自動授權,同時與所述SAM終端安全代理進行通信,控制外來設備訪問內(nèi)部網(wǎng)絡的SAM認證管理裝置,用于用戶管理,外來設備接入計時、記錄,進行安全訪問策略制定及安全管理的SAM管理中心裝置,所以,本發(fā)明通過所述SAM認證管理裝置實現(xiàn)對外來設備的檢測、認證、授權等動作,加強了變電站網(wǎng)絡接入控制管理,防止非授權、不安全的外來設備接入變電站內(nèi)的業(yè)務網(wǎng)絡;當有外來設備接入變電站內(nèi)業(yè)務網(wǎng)絡時,本發(fā)明會強制外來設備遵從本發(fā)明的信息安全策略,確保接入站內(nèi)網(wǎng)絡設備是安全的;根據(jù)信息安全策略,建立變電站網(wǎng)絡接入管理機制,根據(jù)終端用戶的工作需要授予不同的訪問權限,保護變電站核心網(wǎng)絡資源;通過加強外來設備的網(wǎng)絡行為管理力度,保障終端用戶合理使用網(wǎng)絡資源;通過所述日志和審計模塊,可以實現(xiàn)對發(fā)生的網(wǎng)絡安全違規(guī)事件做到有據(jù)可查,便于事后審計。
【專利附圖】
【附圖說明】
[0008]圖1是本發(fā)明的系統(tǒng)結構圖;
圖2是本發(fā)明的整體流程示意圖;
圖3是本發(fā)明的認證流程示意圖。
【具體實施方式】
[0009]如圖1、圖2、圖3所示,本發(fā)明是ー種部署在變電站內(nèi)網(wǎng)絡的SAM準入系統(tǒng),通過該系統(tǒng)的設置,本發(fā)明可發(fā)現(xiàn)和限制外來設備接入變電站內(nèi)網(wǎng)絡,強制檢測和評估外來設備的安全性,以及重要防護軟件安裝情況,包括殺毒軟件是否更新,是否安裝了主機防火墻,最近是否進行過安全掃描,限制外來設備隨意接入,防止病毒擴大和傳染到內(nèi)部網(wǎng)絡,對接入變電站網(wǎng)絡的外來設備及工作人員進行身份認證,達到人、設備、接入點的統(tǒng)ー認證,并實時記錄、審計接入設備的工作情況。
[0010]本發(fā)明包括匯聚層交換機、SAM終端安全代理、SAM訪問控制網(wǎng)關、SAM認證管理裝置和SAM管理中心裝置,其中,所述匯聚層交換機用于接入外來設備并與所述SAM認證管理裝置進行數(shù)據(jù)交互;所述SAM終端安全代理用于獲取外來設備的安全信息并與所述SAM認證管理裝置進行通信,將獲取到的外來設備的安全信息上送給所述SAM認證管理裝置;所述SAM訪問控制網(wǎng)關用于控制數(shù)據(jù)流進入內(nèi)部網(wǎng)絡,只有符合要求的數(shù)據(jù)流才被允許通過;所述SAM認證管理裝置用于收集所述匯聚層交換機發(fā)送來的數(shù)據(jù),根據(jù)預定安全策略對外來設備進行認證或對外來設備進行自動授權,同時與所述SAM終端安全代理進行通信,控制外來設備訪問內(nèi)部網(wǎng)絡;所述SAM管理中心裝置用于用戶管理,外來設備接入計時、記錄,進行安全訪問策略制定及安全管理。
[0011]在本發(fā)明中,所述SAM終端安全代理裝置在外來設備上,作為外來人員與內(nèi)部網(wǎng)絡進行通信的終端界面。所述SAM訪問控制網(wǎng)關裝置在所述匯聚層交換機上,對外來設備及人員的信息進行審定及控制信息進入變電站的內(nèi)部網(wǎng)絡。[0012]所述SAM終端安全代理包括用于外來設備進行登錄信息錄入并發(fā)送給所述SAM認證管理裝置進行認證的信息錄入模塊;用于對外來設備進行安全性檢測的安全檢測模塊;用于對外來設備的各種操作進行監(jiān)控的監(jiān)控模塊。所述SAM認證管理裝置包括CPU、數(shù)據(jù)采集模塊、安全認證模塊、通信模塊、設備隔離模塊和信息執(zhí)行模塊。所述數(shù)據(jù)采集模塊用于收集所述SAM終端安全代理信息并上傳至所述SAM認證管理裝置;所述安全認證模塊用于對所述SAM終端安全代理上傳的信息對外來設備進行身份和安全認證;所述通信模塊用于在所述SAM終端安全代理與所述SAM認證管理裝置之間進行通信;所述設備隔離模塊用于將所述SAM終端安全代理上傳的認證信息不符合既定安全策略要求的外來設備隔離在內(nèi)部網(wǎng)絡之外的“賓客網(wǎng)絡區(qū)”;所述信息執(zhí)行模塊用于所述SAM認證管理裝置與所述匯聚層交換機進行聯(lián)動,自動執(zhí)行相關安全策略方案。
[0013]所述SAM管理中心裝置包括用戶管理模塊、安全補丁分發(fā)模塊、防病毒模塊、安全策略制定模塊和日志與審計模塊。所述用戶管理模塊用于對外來設備和外來用戶進行管理,包括用戶角色制定,組織人員管理;所述安全補丁分發(fā)模塊用于把安全補丁分發(fā)到外來設備上,對外來設備強制進行安全升級;所述安全策略制定模塊用于對外來人員及設備進行安全策略制定,包括訪問策略及訪問時間制定;所述日志與審計模塊用于對網(wǎng)絡事件的記錄與審計,還包括IP資源管理,通過所述日志與審計模塊可以實現(xiàn)對發(fā)生的網(wǎng)絡安全違規(guī)事件做到有據(jù)可查,便于事后審計,總結經(jīng)驗教訓。
[0014]所述外來設備包括外來筆記本、平板電腦、PDA或手機。所述SAM認證管理裝置對外來設備的認證方式包括賬號認證、MAC地址認證、USB-Key證書認證及短信認證。亦可以實現(xiàn)多種方式同時進行認證,以進一步確保外來設備及外來操作人員的安全及限定操作權限。
[0015]本發(fā)明通過所述SAM終端安全代理評估外來設備的安全狀態(tài),對于不符合安全設備要求的外來設備終端,提供可行性對話的修復建議,并協(xié)助外來設備終端安裝各類補丁和必備的軟件,以確保外來設備終端達到信息安全防護的要求,同時,對存在重大安全隱患的外來設備終端、以及沒有授權的外部終端,系統(tǒng)可以強制隔離。
[0016]本發(fā)明支持按角色的管理功能,可實現(xiàn)不同管理員對系統(tǒng)不同的管理權限,管理員按照自身具有的權限對系統(tǒng)進行操作、管理。
[0017]為了能夠對外來設備和人員工作進行精細管理,本發(fā)明提供了多種安全策略方案,根據(jù)內(nèi)部業(yè)務網(wǎng)絡情況劃分多個訪問控制區(qū)域,設定外來設備和人員訪問時間段,可以根據(jù)外來人員身份和在此出差時間長短,分配合適的權限和工作時間。將外來人員攜帶設備定位到匯聚層交換機端ロ,支持終端與主機名綁定。
[0018]本發(fā)明首先獲取外來人員接入的外來設備的用戶名和密碼等相關信息,發(fā)送到SAM認證管理裝置上進行身份認證;如果身份認證通過后,對外來人員工作接入站內(nèi)設備進行安全性檢查,包括:殺毒軟件安裝情況、病毒庫是否更新、最近是否殺毒、接入設備是否存在系統(tǒng)漏洞、是否同時連接外網(wǎng)等信息;如果安全認證通過后,獲取訪問站內(nèi)網(wǎng)絡IP地址信息,時刻監(jiān)控外來人員的操作信息,并與所述SAM認證管理裝置進行通信。
[0019]根據(jù)電カ系統(tǒng)二次安全防護的規(guī)定,在部署本發(fā)明時,必須堅持以下原則:第一不改變原有網(wǎng)絡環(huán)境,第二不影響原有變電站業(yè)務網(wǎng)絡系統(tǒng)的正常運行。將變電站原有業(yè)務網(wǎng)絡整體劃為圖1所示的“變電站業(yè)務網(wǎng)絡”中。將變電站外來設備劃為圖1所示的“賓客網(wǎng)絡區(qū)”中。在默認情況下,如果外來設備及人員之前沒有經(jīng)過認證,那么此時外來設備及人員只可以在“賓客網(wǎng)絡區(qū)”內(nèi)活動。本發(fā)明的工作流程如下:
1、當有外來設備接入到匯聚層交換機后,所述匯聚層交換機會將探測到的外來設備終端的信息鏡像到所述SAM訪問控制網(wǎng)關的“EthO” ロ,所述SAM訪問控制網(wǎng)關會控制轉發(fā)這些信息通過所述SAM訪問控制網(wǎng)關上的“ Ethl” ロ,傳送到SAM認證管理裝置,如圖3所示。
[0020]2、所述SAM認證管理裝置獲取所述匯聚層交換機探測到的外來設備及人員信息后,如果是外來人員退出賬戶后再登錄,那么可以有三種操作:
I)、如果這些信息在認證列表中存在,并且接入時間沒有超時,那么直接與所述匯聚層交換機聯(lián)動,將接入的外來設備接入到“變電站業(yè)務網(wǎng)絡”中,訪問內(nèi)部業(yè)務網(wǎng)絡。
[0021]2)、如果這些信息在認證列表中存在,但接入時間超時,那么把該外來設備和賬戶重新分配到“賓客網(wǎng)絡區(qū)”中,輸入認證信息進行認證。
[0022]3)、如果這些信息不在認證列表中存在,所述SAM認證管理裝置會將此設備加入到發(fā)現(xiàn)列表中,并與所述匯聚層交換機聯(lián)動,將外來設備接入的端ロ劃入到“賓客網(wǎng)絡區(qū)”中。
[0023]3、當外來設備被劃入到所述“賓客網(wǎng)絡區(qū)”中,此外來設備中的所有數(shù)據(jù)都鏡像到所述SAM訪問控制網(wǎng)關接ロ “EthO”,所述SAM終端安全代理向所述SAM認證管理裝置通信并獲取IP地址,執(zhí)行用戶名和密碼進行認證。
[0024]4、用戶名和密碼認證通過后,所述SAM認證管理裝置會向所述SAM終端安全代理發(fā)送安全策略,所述SAM終端安全代理會執(zhí)行本地檢查,通過后向所述SAM認證管理裝置發(fā)送檢查結果。
[0025]5、本地安全檢查通過后,所述SAM認證管理裝置會與所述匯聚層交換機聯(lián)動將外來設備劃入到“變電站業(yè)務網(wǎng)絡”中,與變電站內(nèi)部業(yè)務網(wǎng)絡設備通信。
[0026]根據(jù)信息安全策略,建立變電站網(wǎng)絡接入管理機制,根據(jù)終端用戶的工作需要授予不同的訪問權限,保護變電站核心網(wǎng)絡資源。
[0027]本發(fā)明應用于變電站網(wǎng)絡安全防護領域。
【權利要求】
1.ー種SAM準入系統(tǒng),其特征在于:所述SAM準入系統(tǒng)包括匯聚層交換機、SAM終端安全代理、SAM訪問控制網(wǎng)關、SAM認證管理裝置和SAM管理中心裝置,其中, 所述匯聚層交換機用于接入外來設備并與所述SAM認證管理裝置進行數(shù)據(jù)交互; 所述SAM終端安全代理用于獲取外來設備的安全信息并與所述SAM認證管理裝置進行通信,將獲取到的外來設備的安全信息上送給所述SAM認證管理裝置; 所述SAM訪問控制網(wǎng)關用于控制數(shù)據(jù)流進入內(nèi)部網(wǎng)絡,只有符合要求的數(shù)據(jù)流才被允許通過; 所述SAM認證管理裝置用于收集所述匯聚層交換機發(fā)送來的數(shù)據(jù),根據(jù)預定安全策略對外來設備進行認證或對外來設備進行自動授權,同時與所述SAM終端安全代理進行通信,控制外來設備訪問內(nèi)部網(wǎng)絡; 所述SAM管理中心裝置用于用戶管理,外來設備接入計時、記錄,進行安全訪問策略制定及安全管理。
2.根據(jù)權利要求1所述的SAM準入系統(tǒng),其特征在于,所述SAM終端安全代理包括: 用于外來設備進行登錄信息錄入并發(fā)送給所述SAM認證管理裝置進行認證的信息錄入模塊; 用于對外來設備進行安全性檢測的安全檢測模塊; 用于對外來設備的各種操作進行監(jiān)控的監(jiān)控模塊。
3.根據(jù)權利要求1所述的SAM準入系統(tǒng),其特征在于:所述SAM認證管理裝置包括CPU、數(shù)據(jù)采集模塊、安全認證模塊、通信模塊、設備隔離模塊和信息執(zhí)行模塊。
4.根據(jù)權利要求1所述的SAM準入系統(tǒng),其特征在于:所述SAM管理中心裝置包括用戶管理模塊、安全補丁分發(fā)模塊、防病毒模塊、安全策略制定模塊和日志與審計模塊。
5.根據(jù)權利要求1所述的SAM準入系統(tǒng),其特征在于:所述外來設備包括外來筆記本、平板電腦、PDA或手機。
6.根據(jù)權利要求1至6任一項所述的SAM準入系統(tǒng),其特征在于:所述SAM認證管理裝置對外來設備的認證方式包括賬號認證、MAC地址認證、USB-Key證書認證及短信認證。
【文檔編號】H04L12/24GK103491054SQ201210190495
【公開日】2014年1月1日 申請日期:2012年6月12日 優(yōu)先權日:2012年6月12日
【發(fā)明者】劉智勇 申請人:珠海市鴻瑞信息技術有限公司