本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,特別涉及一種移動交互平臺網(wǎng)絡(luò)加固裝置及其加固方法。
背景技術(shù):
當(dāng)前電力系統(tǒng)的管理信息應(yīng)用系統(tǒng)包括調(diào)度技術(shù)支持系統(tǒng)、電力交易系統(tǒng)、電能量采集系統(tǒng)、營銷管理系統(tǒng)等系統(tǒng),這些系統(tǒng)不能進(jìn)行很好的擴(kuò)展和任意的數(shù)據(jù)交互。為了滿足電力系統(tǒng)信息安全防護(hù)要求,目前移動交互平臺網(wǎng)絡(luò)常常采用內(nèi)外網(wǎng)隔離技術(shù),設(shè)立防火墻等安全設(shè)施來對移動交互平臺網(wǎng)絡(luò)進(jìn)行加固,預(yù)防電力系統(tǒng)威脅,雖然能夠避免基本的安全威脅,但是,內(nèi)網(wǎng)中仍然存在著一定的安全風(fēng)險(xiǎn),也不能探測到入侵攻擊。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明為了克服上述現(xiàn)有技術(shù)的不足,提供了一種移動交互平臺網(wǎng)絡(luò)加固裝置及其加固方法,解決了內(nèi)網(wǎng)中存在的安全風(fēng)險(xiǎn),而且能夠快速探測入侵攻擊。
為實(shí)現(xiàn)上述目的,本發(fā)明采用了以下技術(shù)措施:
一種移動交互平臺網(wǎng)絡(luò)加固裝置包括設(shè)置于信息外網(wǎng)的進(jìn)口和出口的威脅管理系統(tǒng),設(shè)置于信息外網(wǎng)的支撐服務(wù)器處的入侵檢測系統(tǒng),以及設(shè)置在信息內(nèi)網(wǎng)的數(shù)據(jù)庫服務(wù)器處的數(shù)據(jù)庫防火墻。
優(yōu)選的,所述威脅管理系統(tǒng)包括協(xié)議分析單元、協(xié)議分流單元、過濾單元、數(shù)據(jù)發(fā)送單元,其中,
協(xié)議分析單元,用于對輸入的數(shù)據(jù)包或文件包進(jìn)行協(xié)議匹配識別,確定所述數(shù)據(jù)包或文件包的實(shí)際協(xié)議類型;
協(xié)議分流單元,根據(jù)所述數(shù)據(jù)包或文件包的實(shí)際協(xié)議類型將各數(shù)據(jù)包或文件包分流;
過濾單元,用于對分流后的數(shù)據(jù)包或文件包進(jìn)行過濾;
數(shù)據(jù)發(fā)送單元,用于對過濾后的數(shù)據(jù)包或文件包進(jìn)行轉(zhuǎn)發(fā),發(fā)送至安全交互平臺。
優(yōu)選的,所述入侵檢測系統(tǒng)分別設(shè)置于內(nèi)部支撐服務(wù)器與外網(wǎng)防火墻之間、外部支撐服務(wù)器與外網(wǎng)防火墻之間。
進(jìn)一步的,所述入侵檢測系統(tǒng)包括節(jié)點(diǎn)單元、命令解析單元以及存儲單元,其中,
節(jié)點(diǎn)單元,用于接收來自所述安全交互平臺的數(shù)據(jù)包或文件包,對所述數(shù)據(jù)包或文件包進(jìn)行解析,并將數(shù)據(jù)包或文件包的解析結(jié)果發(fā)送至命令解析單元;
命令解析單元,用于將接收到的數(shù)據(jù)包或文件包的解析結(jié)果與預(yù)先設(shè)置的具有攻擊特征的數(shù)據(jù)包或文件包進(jìn)行匹配,如果匹配成功,則所述命令解析單元進(jìn)行報(bào)警;
存儲單元,用于存儲具有攻擊特征的數(shù)據(jù)包或文件包。
本發(fā)明還提供了一種移動交互平臺網(wǎng)絡(luò)加固裝置的加固方法,本加固方法易于維護(hù),具體包括以下步驟:
s1、在信息外網(wǎng)的進(jìn)口和出口設(shè)置威脅管理系統(tǒng);在信息外網(wǎng)的支撐服務(wù)器處設(shè)置入侵檢測系統(tǒng);在所述信息內(nèi)網(wǎng)的數(shù)據(jù)庫服務(wù)器處增加數(shù)據(jù)庫防火墻;
s2、所述協(xié)議分析單元對輸入的數(shù)據(jù)包或文件包進(jìn)行協(xié)議匹配識別,確定所述數(shù)據(jù)包或文件包的實(shí)際協(xié)議類型;
s3、所述協(xié)議分流單元根據(jù)所述數(shù)據(jù)包或文件包的實(shí)際協(xié)議類型將各數(shù)據(jù)包或文件包分流;
s4、所述過濾單元對分流后的數(shù)據(jù)包或文件包進(jìn)行過濾;
s5、所述數(shù)據(jù)發(fā)送單元對過濾后的數(shù)據(jù)包或文件包進(jìn)行轉(zhuǎn)發(fā),發(fā)送至安全交互平臺;
s6、所述節(jié)點(diǎn)單元獲取來自所述安全交互平臺的數(shù)據(jù)包或文件包,對所述數(shù)據(jù)包或文件包進(jìn)行解析,并將數(shù)據(jù)包或文件包的解析結(jié)果發(fā)送至命令解析單元;
s7、所述命令解析單元將接收到的數(shù)據(jù)包或文件包的解析結(jié)果與預(yù)先設(shè)置在存儲單元中的具有攻擊特征的數(shù)據(jù)包或文件包進(jìn)行匹配,如果匹配成功,則所述命令解析單元進(jìn)行報(bào)警。
本發(fā)明的有益效果在于:本發(fā)明包括威脅管理系統(tǒng)、入侵檢測系統(tǒng)、數(shù)據(jù)庫防火墻,所述威脅管理系統(tǒng)包括協(xié)議分析單元、協(xié)議分流單元、過濾單元、數(shù)據(jù)發(fā)送單元,實(shí)現(xiàn)了對數(shù)據(jù)包或文件包的分析、分流、過濾、協(xié)議轉(zhuǎn)換;所述入侵檢測系統(tǒng)包括節(jié)點(diǎn)單元、命令解析單元以及存儲單元,本發(fā)明通過對數(shù)據(jù)包或文件包進(jìn)行協(xié)議解碼,利用命令解析單元快速探測攻擊的存在,因此本發(fā)明解決了內(nèi)網(wǎng)中存在的安全風(fēng)險(xiǎn),而且能夠快速探測入侵攻擊。
附圖說明
圖1為本發(fā)明的威脅管理系統(tǒng)安裝位置圖;
圖2為本發(fā)明的入侵檢測系統(tǒng)安裝位置圖;
圖3為本發(fā)明的數(shù)據(jù)庫防火墻安裝位置圖;
圖4為本發(fā)明的威脅管理系統(tǒng)的結(jié)構(gòu)框圖;
圖5為本發(fā)明的入侵檢測系統(tǒng)的結(jié)構(gòu)框圖;
圖6為本發(fā)明的移動交互平臺網(wǎng)絡(luò)加固裝置的加固方法的流程圖。
圖中的附圖標(biāo)記含義如下:
10—威脅管理系統(tǒng)11—協(xié)議分析單元12—協(xié)議分流單元
13—過濾單元14—數(shù)據(jù)發(fā)送單元20—入侵檢測系統(tǒng)
21—節(jié)點(diǎn)單元22—命令解析單元23—存儲單元
30—數(shù)據(jù)庫防火墻
具體實(shí)施方式
下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
如圖1~3所示,一種移動交互平臺網(wǎng)絡(luò)加固裝置包括設(shè)置于信息外網(wǎng)的進(jìn)口和出口的威脅管理系統(tǒng)10,設(shè)置于信息外網(wǎng)的支撐服務(wù)器處的入侵檢測系統(tǒng)20,以及設(shè)置在信息內(nèi)網(wǎng)的數(shù)據(jù)庫服務(wù)器處的數(shù)據(jù)庫防火墻30。
數(shù)據(jù)庫防火墻30采用主動防御技術(shù)能夠主動實(shí)時(shí)監(jiān)控、識別、告警、阻擋外部數(shù)據(jù)攻擊。
如圖4所示,所述威脅管理系統(tǒng)10包括協(xié)議分析單元11、協(xié)議分流單元12、過濾單元13、數(shù)據(jù)發(fā)送單元14,所述協(xié)議分析單元11用于對輸入的數(shù)據(jù)包或文件包進(jìn)行協(xié)議匹配識別,確定所述數(shù)據(jù)包或文件包的實(shí)際協(xié)議類型;協(xié)議分流單元12用于根據(jù)所述數(shù)據(jù)包或文件包的實(shí)際協(xié)議類型將各數(shù)據(jù)包或文件包分流;過濾單元13用于對分流后的數(shù)據(jù)包或文件包進(jìn)行過濾;數(shù)據(jù)發(fā)送單元14用于對過濾后的數(shù)據(jù)包或文件包進(jìn)行轉(zhuǎn)發(fā),發(fā)送至安全交互平臺,實(shí)現(xiàn)了對數(shù)據(jù)包或文件包的分析、分流、過濾、協(xié)議轉(zhuǎn)換,在增加安全性的同時(shí),很好的控制了資費(fèi)成本與管理成本。
所述入侵檢測系統(tǒng)20分別設(shè)置于內(nèi)部支撐服務(wù)器與外網(wǎng)防火墻之間、外部支撐服務(wù)器與外網(wǎng)防火墻之間。
如圖5所示,所述入侵檢測系統(tǒng)20包括節(jié)點(diǎn)單元21、命令解析單元22以及存儲單元23,所述節(jié)點(diǎn)單元21用于接收來自所述安全交互平臺的數(shù)據(jù)包或文件包,對所述數(shù)據(jù)包或文件包進(jìn)行解析,并將數(shù)據(jù)包或文件包的解析結(jié)果發(fā)送至命令解析單元22;命令解析單元22用于將接收到的數(shù)據(jù)包或文件包的解析結(jié)果與預(yù)先設(shè)置的具有攻擊特征的數(shù)據(jù)包或文件包進(jìn)行匹配,如果匹配成功,則所述命令解析單元22進(jìn)行報(bào)警;存儲單元23用于存儲具有攻擊特征的數(shù)據(jù)包或文件包。
具體地,節(jié)點(diǎn)單元21對數(shù)據(jù)包進(jìn)行解析,包括根據(jù)協(xié)議對數(shù)據(jù)包規(guī)定,獲取數(shù)據(jù)包的第三層協(xié)議標(biāo)識符;根據(jù)數(shù)據(jù)包的第三層協(xié)議標(biāo)識符,獲取數(shù)據(jù)包的第四層協(xié)議標(biāo)識符;根據(jù)數(shù)據(jù)包的第四層協(xié)議標(biāo)識符,獲取數(shù)據(jù)包的端口號;根據(jù)數(shù)據(jù)包的端口號,獲取數(shù)據(jù)包的url地址,節(jié)點(diǎn)單元21將數(shù)據(jù)包的url地址發(fā)送至命令解析單元22。
具體地,命令解析單元22將接收到的數(shù)據(jù)包或文件包的解析結(jié)果與預(yù)先設(shè)置的具有攻擊特征的數(shù)據(jù)包或文件包進(jìn)行匹配,如果匹配成功,則所述命令解析單元22進(jìn)行報(bào)警,如果沒有匹配成功,判斷所有對應(yīng)的規(guī)則是否都匹配完成,如果所有對應(yīng)的規(guī)則都匹配完成,進(jìn)行下一個(gè)數(shù)據(jù)包的入侵檢測判斷。
如圖6所示,本發(fā)明還提供了一種移動交互平臺網(wǎng)絡(luò)加固裝置的加固方法,本加固方法易于維護(hù),具體包括以下步驟:
s1、在信息外網(wǎng)的進(jìn)口和出口設(shè)置威脅管理系統(tǒng)10;在信息外網(wǎng)的支撐服務(wù)器處設(shè)置入侵檢測系統(tǒng)20;在所述信息內(nèi)網(wǎng)的數(shù)據(jù)庫服務(wù)器處增加數(shù)據(jù)庫防火墻30;
s2、所述協(xié)議分析單元11對輸入的數(shù)據(jù)包或文件包進(jìn)行協(xié)議匹配識別,確定所述數(shù)據(jù)包或文件包的實(shí)際協(xié)議類型;
s3、所述協(xié)議分流單元12根據(jù)所述數(shù)據(jù)包或文件包的實(shí)際協(xié)議類型將各數(shù)據(jù)包或文件包分流;
s4、所述過濾單元13對分流后的數(shù)據(jù)包或文件包進(jìn)行過濾;
s5、所述數(shù)據(jù)發(fā)送單元14對過濾后的數(shù)據(jù)包或文件包進(jìn)行轉(zhuǎn)發(fā),發(fā)送至安全交互平臺;
s6、所述節(jié)點(diǎn)單元21獲取來自所述安全交互平臺的數(shù)據(jù)包或文件包,對所述數(shù)據(jù)包或文件包進(jìn)行解析,并將數(shù)據(jù)包或文件包的解析結(jié)果發(fā)送至命令解析單元22;
s7、所述命令解析單元22將接收到的數(shù)據(jù)包或文件包的解析結(jié)果與預(yù)先設(shè)置在存儲單元23中的具有攻擊特征的數(shù)據(jù)包或文件包進(jìn)行匹配,如果匹配成功,則所述命令解析單元22進(jìn)行報(bào)警。