網絡安全防護方法及系統的製作方法

2023-07-25 19:35:06 2

專利名稱：網絡安全防護方法及系統的製作方法
技術領域：
本發明涉及一種網絡安全防護方法及系統，尤其涉及一種對網絡中的用戶終端安全狀態進行防護的方法及系統。
背景技術：
經過多年的應用與發展，伴隨著人們對網絡軟硬體技術認識的深入，網絡安全已經超過對網絡可靠性、交換能力和服務質量的需求，成為企業用戶最關心的問題，網絡安全基礎設施也日漸成為企業網建設的重中之重。
在企業網中，新的安全威脅不斷湧現，如日益肆虐的網絡攻擊、計算機網絡病毒等。其中，某些網絡攻擊就是針對作業系統、應用軟體的某些漏洞而發起的，危害性很大，有可能導致系統以及網絡的崩潰、重要數據失竊或者被非法竄改等等；而計算機病毒具有自我繁殖的本性，這種特性使其對網絡的破壞程度和範圍持續擴大，經常引起系統崩潰、網絡癱瘓，使企業蒙受嚴重損失。
在企業網絡中，任何一臺終端的安全狀態，特別是諸如終端的防病毒能力、補丁級別和系統安全設置，都將直接影響到整個網絡的安全。不符合企業安全策略的終端，比如防病毒庫版本低，補丁未升級等，容易遭受攻擊、感染病毒，如果某臺終端感染了病毒，它將不斷在網絡中試圖尋找下一個受害者，並使其感染；或者當某些機器受到攻擊之後，這些機器有可能成為攻擊發起者的幫兇，轉而向企業網中的重要伺服器發起分布式網絡攻擊。因此，在一個沒有安全防護的網絡中，最終的結果可能是全網癱瘓，所有終端都無法正常工作。
如何確保網絡中的終端安全狀態符合企業安全策略，是每一個網絡管理員不得不面對的挑戰。現有技術中，目前的狀況是新的補丁發布了，卻無人理會，任由系統漏洞的存在；新的病毒出現了，卻不及時升級病毒庫，為病毒入侵大開方便之門。這種情況在企業網中非常普遍。然而，管理員查找、隔離、修復這些不符合安全策略的終端卻是一項費時費力的工作，往往造成企業安全策略與終端安全實施之間存在巨大的差距。

發明內容
本發明所要解決的技術問題是提供一種能夠較好的執行統一的安全策略，解除繁瑣的手動防範、升級的網絡安全體系的方法和系統，能將諸如用戶終端防病毒、補丁修復等終端安全措施與網絡接入控制、訪問權限控制等網絡安全措施整合為一個聯動的安全體系。
本發明中提供的方法通過包括至少一個用戶終端、一個網絡接入設備和一個安全策略伺服器的網絡進行網絡安全防護，包括下列步驟(1)用戶終端請求接入網絡時首先被隔離到隔離網絡區域；(2)用戶終端收集用戶終端上的安全信息上報給所述安全策略伺服器進行安全認證；(3)安全認證通過則所述安全策略伺服器通知網絡接入設備將所述用戶終端接入到的所述隔離網絡區域以外的網絡區域；其中，所述網絡中還提供具有第三方網絡服務的伺服器，位於步驟(1)中所述的隔離網絡區域，為接入所述隔離網絡區域的用戶終端提供服務。
其中，所述第三方網絡服務為病毒庫升級或系統補丁升級服務，並且還進一步包括如下步驟所述安全策略伺服器通知用戶終端進行升級和或下載最新的病毒庫；所述用戶終端與所述第三方網絡伺服器配合，完成最新病毒庫下載及本地病毒庫的更新和或補丁升級。
其中，所述網絡接入設備可以是交換機、路由器或虛擬專用網網關。
另外，於該方法進一步包括(4)所述用戶終端接入正常網絡區域後，按照安全策略伺服器的安全策略配置定期查詢用戶終端上是否出現不符合網絡安全策略的事件；(5)若發現不符合網絡安全策略的事件但用戶終端可以修復，則直接上報到安全策略伺服器進行事後審計，並返回步驟(4)；(6)若發現不符合網絡安全策略的事件且用戶終端無法修復，則用戶終端向安全策略伺服器發送通知請求處理；(7)所述安全策略伺服器通過網絡接入設備將相應用戶終端隔離，並通知所述用戶終端進行升級或提示用戶終端進行處理；(8)用戶終端升級完成或者用戶終端處理後，返回步驟(2)，重新進行安全認證。
其中，步驟(7)中所述網絡接入設備將用戶終端以訪問控制列表或者虛擬區域網的方式進行隔離。
本發明的另一方面是提供一種網絡安全防護系統，該系統包括至少一個網絡安全策略伺服器和至少一個網絡接入設備，用戶終端可以通過網絡接入設備連接到具有網絡安全策略伺服器的網絡，其特徵在於該系統還包括一個安全客戶端模塊，用來部署在請求接入到具有所述安全策略伺服器的網絡中；一個安全策略服務模塊，位於在網絡安全策略伺服器上，用來在被請求接入的網絡中部署和控制執行安全策略；一個網絡安全聯動模塊，位於網絡接入設備上，用來根據所述安全策略服務模塊部署的安全策略隔離或接入具有安全客戶端模塊的用戶終端；所述具有所述安全客戶端模塊的用戶終端通過具有網絡安全聯動模塊的網絡接入設備連接到具有安全策略服務模塊的安全策略伺服器。
另外，該系統中還包括一個第三方網絡服務模塊，位於第三方網絡伺服器上，該第三方網絡伺服器位於隔離網絡區域中，用於為被隔離的用戶終端提供第三方網絡服務。
其中，所述第三方網絡服務為病毒庫升級或系統補丁升級服務，當用戶終端被隔離到隔離網絡區域中，所述安全策略服務模塊通知安全客戶端模塊進行升級和或下載最新的病毒庫；所述安全客戶端模塊與所述第三方網絡服務模塊配合，完成最新病毒庫下載及本地病毒庫的更新和或補丁升級。
本發明的又一方面是提供一種網絡安全防護系統，該系統包括安全策略伺服器和網絡接入設備，所述安全策略伺服器具有預設的安全策略，並用以驗證接入用戶終端的安全信息是否符合其安全策略要求，其特徵在於，該安全策略伺服器將驗證結果通知所述網絡接入設備，網絡接入設備根據驗證結果下發相應的接入規則，以將不符合安全策略要求的接入用戶終端隔離出本網絡。
其中，所述網絡接入設備將所述不符合安全策略的用戶終端隔離到一個具有第三方伺服器的網絡中去，該第三方伺服器具有完善用戶終端安全信息的能力。
其中，所述第三方伺服器提供最新病毒庫下載或本地病毒庫的更新或補丁升級。
由於本發明中的方法將例如終端防病毒、補丁修復等終端安全措施與網絡接入控制、訪問權限控制等網絡安全措施整合為一個聯動的安全體系，通過對整個網絡的安全策略的集中統一設置，並對將要接入網絡的用戶終端首先隔離到特定網絡區域，然後進行安全認證，只有安全認證通過後才能真正接入到受保護的網絡，以及對已經接入網絡的用戶終端的實時檢查、隔離、修復、管理和監控，使得不符合整體安全策略的用戶終端及時被隔離到某個區域並自動進行網絡安全的修正、升級等等，利用這些有效的安全防護措施，改變了現有技術中，網絡中的新的補丁發布、新的病毒更新後必須進行繁重的人工手動升級、下載的情形，使整個網絡的安全防禦、管理變被動防禦為主動防禦、變單點防禦為全面防禦、變分散管理為集中策略管理，提升了網絡對病毒、蠕蟲以及網絡攻擊等安全威脅的整體防禦能力。
另外，本發明中的系統由於具有安全策略服務模塊、安全接入控制模塊和安全客戶端模塊，並進一步提供了第三方服務模塊，並具有用於在網絡中部署和控制執行安全策略；隔離接入網絡的用戶終端；以及對用戶終端和伺服器的安全認證交互並控制客戶端執行網絡中的安全策略等功能，從而很好的具有了防禦網絡攻擊的功能。
本發明的另一系統中將安全策略和接入控制相結合，能有效的控制網絡接入設備及時將不符合安全策略的接入用戶終端隔離到具有第三方網絡服務的特殊網絡隔離區域，從而使得整個網絡始終運行在預設的安全策略之中，也就避免了諸如網絡病毒等網絡攻擊的幹擾。


圖1是本發明一個實施例應用的網絡典型網絡環境圖。
圖2是本發明一個實施例的網絡連接操作流程示意圖。
圖3是本發明一個實施例的網絡連接後的操作流程示意圖。
具體實施例方式
本發明的本質在於為接入網絡的用戶終端提供安全認證，若用戶終端的安全狀態不符合被接入網絡的安全策略要求，則暫時將該用戶終端隔離在具有第三方網絡服務的隔離網絡區域，並利用所述第三方網絡服務為用戶終端進行相應的安全狀態修補，使其符合被接入網絡的安全策略需求，從而保證了整個網絡始終處於整體統一的安全防護策略狀態之中。另外，還可以控制用戶終端在上網過程中始終受到監控，一旦出現不符合安全策略的情況，將及時採取安全措施控制整個網絡不受損害，例如對不符合安策略的用戶終端及時進行上述的隔離、修復處理，然後重新進行安全認證；或者及時提醒用戶已經發現病毒但是不隔離，或者不隔離也不通知用戶而只是在安全策略伺服器中記錄日誌等等措施，並形成安全日誌，以便更好的進行安全策略的審計和設置。總之，應用本發明提供的方法和系統，可以有效的為網絡布置、實施、監控整體安全策略，使得網絡的安全管理變得方便、快捷、高效、靈活。
下面結合附圖進一步詳細闡述本發明的具體實施例。
圖1以及下文所述將對適用於實現本發明的各種功能的計算機網絡環境進行簡單和概括地描述，雖然本實施例講到網絡設備時所描述的網絡環境用在分布式計算環境中，通過一個通信網絡和一些通信設備將遠程網絡設備連接在一起，可以由這些遠程網絡設備執行一些附加的任務，但本領域普通技術人員應該認識到本發明可以用許多其它計算機系統配置實現，包括微處理器系統、微型計算機、大型計算機以及路由器、交換機等。本發明可以應用於廣域網以及區域網，或者在使用邏輯而不是物理遠程設備的單個或多個網絡設備特別是計算機中實現。
參考圖1，所示為本發明一個實施例應用的典型網絡環境圖。其中，該網絡環境中會包含一個或多個用戶終端，該用戶終端可以是臺式機、手持設備或者是筆記本等，當然，熟練的本領域技術人員會知道，此處的用戶終端也可以是任何其它具備網絡接入功能的網絡設備，圖1的說明只是示意性的，從而不構成對發明保護範圍的限制。
另外，該網絡環境中還需要網絡接入設備，一般來說，是交換機或路由器，參考圖1，本實施例中的網絡接入設備使用了交換機，即安全聯動交換機，這裡使用交換機，並為了突出安全認證的概念，命名為安全聯動交換機，只是為了說明的方便，並不能構成對本發明保護範圍的限制；另外，該網絡環境中還包括安全策略伺服器，一般是普通的一臺或多臺計算機設備。
在該網絡環境中，安全策略伺服器位於本發明要努力保護的網絡中，但用戶終端必須首先物理連接到網絡接入設備，比如，交換機，然後才能進而可能訪問到網絡中共享的資源。
此處，用戶終端的接入方式是多種多樣的，這一般主要取決於網絡的安全控制、用戶終端以及網絡接入設備的物理及邏輯屬性。例如，現有一般網絡的接入的起點都是身份認證，因為網絡的接入必須是可控的，這是網絡安全的起點，否則該網絡的基本安全要素是不具備的，除非該網絡不需要進行任何安全控制，當然，本領域的普通技術人員會知道，這樣網絡的存在是很少見的。
在本發明的一個具體實施例中，用戶終端接入網絡時將首先需要進行用戶認證，這將使得本發明網絡中的安全策略實施、控制變得更加有效和完善。但在本發明中，必須說明的是，該用戶認證是可選而不是必需的。因此，不消說，本領域的熟練技術人員應當知道，本實施例中的對用戶認證步驟的闡述只是說明和示意性的，並不能構成對本發明保護範圍的限制。
下文將首先概括闡述用戶認證的方式及實現。一般的，用戶終端的接入方案可以是802.1x接入組網方案，VPN接入組網方案或Portal接入組網方案等。相應的，網絡接入設備可以是交換機、路由器或VPN網關，分別實現如前面所述的802.1x、Portal、VPN(Virtual Private Network，虛擬專用網)等不同認證方式的端點準入控制。上述三種接入方式各有特點，如802.1x認證方式組網方案可以對不符合安全策略的用戶終端實行嚴格的隔離，因而有效的防止了來自網絡內部的安全威脅；而對於VPN認證方式，可以實現對遠程接入用戶終端的端點控制，進而防止移動辦公員工或外部合作人員訪問網絡特別是企業內網時的帶來的安全隱患；使用路由器、高端交換機等設備，結合Portal認證方式則可以在匯聚層實現對網絡用戶的端點準入控制，因而Portal的組網方案具有適應性廣的特點，可以應用與企業網絡出口、分支機構入口、關鍵區域保護等多種應用場景。因此，三種主要的接入方案各有優點，應根據不同的實際情況分別部署和採用，當然，本領域的普通技術人員會知道，在網絡中存在較多的網絡設備和接入情形時，同時應用三種接入方式將取得更好的效果。
在本實施例的網絡環境中，還包括第三方伺服器，即提供第三方服務如終端進行自我修復的防病毒服務或補丁服務的伺服器。在本發明中，該伺服器被控制位於特殊的網絡區域中，比如，以IP位址區分並被網絡接入設備與其他網段隔離的特殊網段，其目的在於為不符合被接入網絡安全策略的請求接入或已經接入的用戶終端提供諸如第三方服務升級、作業系統補丁等服務時不至於影響到網絡中的其他網絡設備。該第三方伺服器提供的服務根據不同的實際情況而有所不同，比如網絡版的防病毒伺服器能提供病毒庫升級服務，允許防病毒客戶端進行在線升級；補丁伺服器則提供系統補丁升級服務，當用戶終端的系統補丁不能滿足安全要求時，可以通過補丁伺服器進行補丁下載和升級。事實上，本領域中的熟練技術人員會知道，第三方網絡伺服器上提供的網絡服務可以是根據網絡安全策略設置的任何必要服務。
以上即為本發明一種實施例應用的具體相關網絡環境，但在該網絡環境中，還需要進行相應的功能設置和控制，這些功能設置和控制在本實施例中是通過軟體程序來說明的，一般而言，程序模塊包括執行特定任務或實現特定抽象數據類型的例程、程序、組件和數據結構等。事實上，本發明的各個方面完全可以按照在網絡環境中運行的應用程式來說明，本領域的普通技術人員將認識到這些方面也可以結合其它程序模塊來實現。
下文將具體闡述本實施例所依賴的網絡環境中的具體功能模塊，一般來說，這些模塊的劃分只具有功能邏輯上的意義，本領域中熟練的技術人員會知道，這些模塊的物理實現是具體的和多種多樣的，本實施例中的邏輯劃分及說明並不能構成對本發明所闡述的保護範圍的限制。
首先，在該網絡環境中的用戶終端上部署了安全客戶端模塊，本實施例中，安全客戶端模塊是安裝在用戶終端系統上的軟體程序，該模塊是對用戶終端進行身份認證、安全狀態評估必不可少的部件，以及，網絡中端點安全策略執行的主體，下面，將概括闡述其主要模塊及功能，具體包括1)用戶認證模塊，可以與交換機、路由器、VPN網關配合協同工作，為接入網絡用戶提供上述802.1x、Portal、VPN等多種認證方式，從而實現接入層、匯聚層以及VPN的端點準入控制；如前所述，本模塊是可選的，本實施例中的闡述並不代表該模塊是必不可少的。
2)用戶終端初始安全狀態檢查模塊，能夠在用戶進行安全認證時檢查用戶終端上存在的包括但不限於作業系統版本、系統補丁等信息；同時實現與用戶終端上具備的第三方服務客戶端特別是例如防病毒客戶端的聯動，從而檢查用戶終端的防病毒軟體版本、病毒庫版本、以及病毒查殺等安全信息。
如果在安全策略伺服器中做了認證時客戶端需要做什麼檢測的配置，那麼用戶認證通過後，由安全策略伺服器將客戶端需要做什麼檢測(比如作業系統版本、病毒庫版本等等)通知客戶端，然後客戶端進行檢測，然後進行安全認證。
這些信息在網絡接入過程的安全認證過程中將首先被傳遞到安全策略伺服器的相應模塊，從而有效地執行端點準入的判斷與控制。但是這種操作的內容是可選的，這種可選是通過在安全策略伺服器上的相關配置實現的，比如在安全策略伺服器上，可配置是否在安全認證時檢查病毒庫版本，如果配置了才會在安全認證時做這種檢測。再比如可配置是否在安全認證時進行「病毒掃描」，如果配置了，那麼在用戶終端在進行安全認證時，檢查用戶是否有病毒，如果有病毒且沒殺掉，則會把用戶終端放到隔離區並通知其升級。
3)安全策略實施模塊，該模塊主要功能包括用於在安全認證通過後接收安全策略伺服器下發的安全策略並強制用戶終端執行。安全認證通過後，安全策略伺服器將用戶在通過了用戶認證和安全認證之後的上網過程中需要做的安全監控的內容比如監控郵件、監控內存、監控引導區等等下發給客戶端，安全策略實施模塊接收安全策略伺服器的下發的監控指示並在用戶終端上控制所述安全策略的執行。
同時該模塊還用於監測用戶終端上的各種安全事件，包括但不限於檢測用戶終端上是否更改了安全設置、是否發現新病毒等，並可以將安全事件定時上報到安全策略伺服器，用於事後進行安全審計。該模塊中特別需要提及的一種工作方式是，用戶終端正常通過安全認證並接入網絡後，在持續的上網過程中，安全客戶端會定期向第三方服務的客戶端查詢，例如，向防病毒客戶端進行查詢，看是否有病毒或者防病毒客戶端被關閉。如果該模塊發現有病毒，並且進一步的，病毒沒有被防病毒客戶端清除，則安全策略實施模塊將通知安全客戶端向安全策略伺服器發送該安全事件的通知，而安全策略伺服器將會通知接入設備將用戶隔離，並通知安全客戶端進行升級；對於防病毒客戶端被關閉的情形，安全客戶端同樣會會向安全策略伺服器發送該安全事件的通知，而安全策略伺服器將會通知設備將用戶隔離，並在用戶終端上顯示提示消息，等待用戶處理，用戶處理完畢後，比如，用戶重新打開第三方服務的客戶端，然後重新進行安全認證。而如果發現有病毒但是已經被自動清除，那麼安全策略實施模塊將通知安全客戶端將該情況報給安全策略伺服器並由安全策略伺服器記錄日誌。
但是這種操作的內容是可選的，這種可選是通過在安全策略伺服器上的相關配置實現的，比如在安全策略伺服器上，可配置是否上網過程中，監控有沒有病毒，如果有且沒殺掉，則會把用戶終端放到隔離區並通知其升級。總之，此處所述的處理方式是靈活的，一般來說，如果發現病毒而且無法清除，可以將其隔離處理，也可以提醒用戶已經發現病毒但是不隔離，或者不隔離也不通知用戶而只是在安全策略伺服器中記錄日誌，這些動作都是可配置的。
本實施例網絡環境中的還在一個或多個在安全策略伺服器上部署了安全策略模塊，該模塊是網絡中安全策略管理與控制的中心，兼具用戶管理、安全策略管理、安全狀態評估、安全聯動控制以及安全事件審計等功能。具體可以進一步劃分為以下模塊1)安全策略管理模塊。用來對用戶終端進行準入控制的一系列策略進行集中化設置，此模塊是本發明提供方法的必不可缺的模塊。一般來說，策略伺服器上的安全策略的初始設置與修改最好由系統管理員通過本模塊提供的界面，按照預先設計的安全策略進行配置或修改。
2)用戶管理模塊。企業網中，不同的用戶、不同類型的接入終端可能要求不同級別的安全檢查和控制。安全策略伺服器可以為不同用戶提供基於身份的個性化安全配置和網絡服務等級，方便管理員對網絡用戶制定差異化的安全策略。這裡需要說明的是，在本發明的一些實施例中，也可以省略部署本模塊，也能實現本發明所述的基本功能。因此，不消說，這樣的變化也是包含在本發明所保護的範圍之內的。
3)安全聯動控制模塊。安全策略伺服器負責評估安全客戶端上報的安全狀態，並利用本模塊控制網絡接入設備，使之將用戶放到隔離區中或者將用戶接入到隔離區以外的網絡中，下發用戶終端的修複方式與安全策略。
4)日誌審計模塊。安全策略伺服器利用本模塊收集由安全客戶端上報的安全事件，並形成安全日誌，可以為管理員追蹤和監控網絡的整個網絡的安全狀態提供依據。
最後需要強調的是，本實施例中網絡環境中的網絡接入設備是企業網絡中安全策略的實施點，起到強制用戶準入認證、隔離不合格終端、為合法用戶提供網絡服務的作用。正如上文所述，根據應用場合的不同，網絡接入設備可以是交換機、路由器或VPN網關，分別實現如前面所述的802.1x、Portal、VPN等不同認證方式的端點準入控制。但無論是何種形式，一般來說，本發明中的網絡接入設備均具有以下功能模塊1)用戶認證控制模塊，用於和安全客戶端模塊與安全策略模塊中的相對應功能部件進行配合實現網絡的身份認證功能。當然，由於在本發明中，用戶認證步驟並不是必需的，因此在本發明的一些實施例中，所述網絡接入設備可能省略本模塊。
2)用戶終端隔離模塊，用於根據安全策略模塊的通知隔離不符合安全策略的用戶終端。特別是在用戶終端處於和網絡的正常連接狀態過程中，如果用戶終端被發現出現了不符合網絡安全策略的情形，並且不能修復，則需要將該用戶終端強制隔離，這種隔離是主要是通過網絡接入設備中的本模塊的動作來實現的。當然，需要提及的是，隔離的方式也是多種多樣的。其中的一種實現方式就是當網絡接入設備接收到安全策略伺服器下發的隔離指令後，將用戶終端以ACL(Access Control List，訪問控制列表)或者VLAN(Virtual Local AreaNetwork，虛擬區域網)方式進行隔離；如果以ACL的方式隔離，則網絡接入設備將為該用戶設置ACL策略，使該用戶可以訪問某些地址以及不能訪問某些地址；如果以VLAN方式隔離，則網絡接入設備將把該用戶放到隔離區對應的VLAN中。同樣，網絡接入設備的中的本模塊收到解除用戶隔離的指令後也可以在線解除對用戶終端的隔離。特別需要強調的是，此處所述的隔離的方式包括但不限於ACL及VLAN方式。因此，不消說，本領域中的普通技術人員會知道，本實施例中的ACL及VLAN的說明只是示範性的，並不能對本發明的保護範圍構成限制。
3)身份服務模塊，主要用於提供基於身份的網絡服務。網絡接入設備可以根據安全策略伺服器下發的策略，為用戶提供個性化的網絡服務，如按用戶的不同提供不同的ACL、VLAN等，當然，本模塊的實現也是可選的。
下面詳細介紹本發明一個實施例中，所提供的方法在實際應用中的具體操作流程，參考圖2，該流程是1)在用戶終端試圖接入網絡時，首先通過安全客戶端進行用戶認證，非法用戶將被拒絕接入網絡。當然，正如上文所述，本實施例中的用戶認證過程也可以沒有，這取決於具體的網絡安全狀態設置。但一般來說，加入用戶認證的過程將會使安全策略實施更加嚴格、充分，同時，用戶認證的加入，可以區別不同的用戶身份，從而使得安全策略伺服器可以為不同用戶提供基於身份的個性化安全配置和網絡服務等級，方便管理員對網絡用戶制定差異化的安全策略，因此，本發明的最佳實施例中是按照包含用戶認證模塊的系統為例進行闡述的，但這並不表明對本發明保護範圍的限制，在本發明的其他實施例中，完全可以省略用戶認證模塊，也能實現本發明所述的基本功能，因此，不消說，這樣的變化是包含在本發明所保護的範圍之內的。並且，這裡所說的用戶認證，一般指的是由AAA(Authentication、Authorization、Accounting，認證、授權、計費)伺服器對客戶進行認證。此處，AAA伺服器與策略伺服器的劃分只具有邏輯上的意義，在物理結構上，AAA伺服器可以與策略伺服器集成到一起，也可以分拆成兩個。加入分拆，那麼用戶認證是由AAA伺服器來完成，而安全狀態認證，則由安全策略伺服器與安全客戶端配合來完成。另外，這裡的提到的用戶認證方法也可以有多種，並且是由用戶端、網絡接入設備、安全策略伺服器共同配合來完成的。用戶認證成功則認為該用戶是合法用戶。
2)用戶認證通過後，安全策略伺服器將對用戶進行安全狀態認證，由安全策略伺服器驗證用戶終端的安全狀態比如補丁版本、病毒庫版本等是否合格。
當然，此處需要說明的是，檢查用戶終端上的那些信息完全依賴於網絡中安全策略的設置。舉例來說，如果要在安全認證時進行用戶終端上的防病毒檢查以及是否進行了補丁升級的檢查，就必須在安全策略伺服器上配置例如「檢查殺毒引擎版本」、「檢查病毒庫版本」、「進行病毒掃描」、「檢查軟體補丁」等選項，如果其中某一項不配置，那麼安全認證時就不進行該項檢查。而如果要在上網過程中進行某些檢查，同樣需要進行相關設置。
安全認證過程中，安全客戶端將會把本地的安全信息如補丁版本、病毒庫版本等傳遞給安全策略伺服器，安全策略伺服器根據配置判斷這些安全信息如版本是否合格。在進行安全認證的同時，安全客戶端還與第三方服務客戶端如防病毒客戶端聯動，聯動的具體實現方法可以是第三方服務客戶端提供接口供安全客戶端調用，以驗證第三方服務的相關信息，以第三方服務為防病毒軟體為例，聯動過程中將檢查防病毒軟體的版本、病毒庫版本等信息，並將這些信息上報給安全策略伺服器。
這其中，需要確定用戶終端上的第三方服務客戶端軟體的某些信息，和用於進行安全認證的安全策略伺服器上的第三方服務的某些信息進行比較，例如提供的二者相比較，哪個版本是最新的。這種比較的方式及可能獲得的結果依賴於各種具體的設置方式。例如，可以由系統管理員手工指定版本的信息，如用戶終端上的第三方服務客戶端的版本低於指定的版本信息，則用戶終端的安全認證不能通過；另一種實現方式比如用自適應的方式，是指設置一個時間範圍，比如，5天，那麼如果客戶端傳上來的安全信息例如補丁或者病毒庫的版本信息與安全策略伺服器上的版本信息(具體的，版本中的更新日期)相比落後的時間如果超過了5天，就需要讓用戶連接到第三方伺服器去升級或者下載最新的病毒庫。
需要提及的是，第三方服務的信息例如版本是否是最新的，具體是由第三方服務提供方自己來保證始終保持最新的版本的。比如，防病毒服務，由防病毒軟體的廠家自己來保證網絡中的病毒伺服器上的病毒庫版本是否始終是最新的，本領域中的普通技術人員應當知道，目前這些第三方服務的採用的通用辦法是每隔一段時間就連接網際網路，從網絡(從該防病毒伺服器廠家的網站)中讀獲取最新的版本並下載到本地。
在實際情況中，如果第三方伺服器，具體比如防病毒伺服器和/或者補丁伺服器上的補丁或者病毒庫版本沒有及時更新，也可能會出現伺服器上的版本比用戶端的版本更低的情況，此時系統會控制使得用戶安全認證將不能通過。
3)安全認證通過後，策略伺服器將安全設置信息下發給客戶端。此處的安全設置信息一般包括但不限於是否監控網頁、內存、郵件、惡意腳本、註冊表等。
4)安全客戶端模塊對用戶終端進行必要的安全設置。
5)如果安全認證不通過，策略伺服器通知聯動設備將用戶放到隔離區，這時聯動設備將為該用戶設置ACL，或者將該用戶劃到一個特殊的VLAN中，實現隔離。隔離後，用戶將無法訪問隔離區之外的網絡。同時，策略伺服器通知客戶端進行升級或者(和)下載最新的病毒庫。
6)安全客戶端與第三方伺服器配合，完成第三方服務的升級如最新病毒庫下載(下載後安全客戶端與防病毒客戶端配合，完成病毒庫的更新)、補丁升級等；此處的下載又分成主動和被動兩種方式，是在安全策略伺服器中設置的，並且採用哪種方式以及病毒或者補丁伺服器的地址都由安全策略伺服器下發給安全客戶端。如果是手動，需要由用戶自己去處理；如果自動，則由客戶端的第三方軟體如防病毒、作業系統等自動處理。
7)第三方服務升級或修補完成後，將重新啟動安全認證過程，重複步驟2)～6)。
上網的安全認證通過後，在此後的用戶終端處於網絡接入的過程之中，這時仍需要對用戶終端的安全狀態進行實時監控、調整。這種實時監控、調整的前提條件是在安全策略伺服器上配置需要監控的安全監控信息。監控的具體操作流程如圖3所示。
參考圖3，該圖概括的示出了當用戶終端在網絡正常接入過程中發現安全狀態異常的時候的操作流程，即先要判斷該異常的安全狀態是否是可修復的，如果是可修復的，則直接報告給安全策略伺服器，由安全策略伺服器形成日誌，用於事後審計。但另外一方面，如果該異常安全狀態用戶終端無法自行處理，則要首先把該用戶終端隔離到存在第三方服務的隔離網絡區域，並由第三方伺服器配合進行安全狀態的修補或者提示用戶進行手動修補處理，待修補完成後，重新進行系統的安全認證。
以病毒防護為例，其具體操作流程是，用戶在接入網絡後的上網過程中，安全客戶端會向防病毒客戶端查詢用戶是否被感染了病毒或者防病毒客戶端被關閉，如果發現發現用戶終端上感染了病毒，並且用戶終端上的第三方服務的客戶端沒有自動清除該病毒，那麼由則安全客戶端向安全策略伺服器發送該安全事件的通知，而安全策略伺服器收到這種通知後，將會通知網絡接入設備將用戶隔離，並通知安全客戶端進行升級；或者如果發現防病毒客戶端被關閉且無法重新正常啟動，則安全策略伺服器收到安全客戶端的通知後，同樣會通知用戶終端，並將用戶終端放到隔離區，同時在用戶終端上顯示提示消息，要求用戶進行處理，用戶正常啟動防病毒客戶端後，再重新進行安全認證。但另外一種情況是，如果發現有病毒但已經被用戶終端自動清除，那麼只是由安全客戶端將該情況報給安全策略伺服器並由安全策略伺服器記錄日誌；如果根本就沒有發現異常安全事件，比如，未發現病毒，則將繼續進行監控，重複上述過程。
需要注意的是，上網過程中的上述操作過程是可選的；可以在安全策略伺服器上配置是否做這種操作。
即如上文所述，本領域內的熟練技術人員會知道，在上述方法所提供的本發明的統一構思之下，還可設計一個具有能夠執行統一的安全策略，自動對接入網絡客戶端進行監測、升級修補的網絡安全防護系統。
據此，本發明的另一目的是提供一種具有網絡安全整合聯動防護功能的網絡安全防護系統，該系統包括至少一個網絡安全策略伺服器和至少一個網絡接入設備，用戶終端可以通過網絡接入設備連接到具有網絡安全策略伺服器的網絡，該系統還包括一個安全客戶端模塊，用來部署在請求接入到具有所述安全策略伺服器的網絡中；一個安全策略服務模塊，位於在網絡安全策略伺服器上，用來在被請求接入的網絡中部署和控制執行安全策略；一個網絡安全聯動模塊，位於網絡接入設備上，用來根據所述安全策略服務模塊部署的安全策略隔離或接入具有安全客戶端模塊的用戶終端；所述具有所述安全客戶端模塊的用戶終端通過具有網絡安全聯動模塊的網絡接入設備連接到具有安全策略服務模塊的安全策略伺服器。
另外，該系統還包括一個第三方網絡服務模塊，位於第三方網絡伺服器上，該第三方網絡伺服器位於隔離網絡區域中，用於為被隔離的用戶終端提供第三方網絡服務。
其中，第三方網絡服務為病毒庫升級或系統補丁升級服務，當用戶終端被隔離到隔離網絡區域中，所述安全策略服務模塊通知安全客戶端模塊進行升級和或下載最新的病毒庫；所述安全客戶端模塊與所述第三方網絡服務模塊配合，完成最新病毒庫下載及本地病毒庫的更新和或補丁升級。
更為一般的，本發明還提供另外一種網絡安全防護系統，該系統包括安全策略伺服器和網絡接入設備，所述安全策略伺服器具有預設的安全策略，並用以驗證接入用戶終端的安全信息是否符合其安全策略要求，其特徵在於，該安全策略伺服器將驗證結果通知所述網絡接入設備，網絡接入設備根據驗證結果下發相應的接入規則，以將不符合安全策略要求的接入用戶終端隔離出本網絡。
其中，所述網絡接入設備將所述不符合安全策略的用戶終端隔離到一個具有第三方伺服器的網絡中去，該第三方伺服器具有完善用戶終端安全信息的能力。
其中，所述第三方伺服器提供最新病毒庫下載或本地病毒庫的更新或補丁升級。
雖然圖示並描述了本發明的優選實施例，應該理解可以對本發明進行各種改變而並不違背本發明的實質和範圍。
權利要求
1.一種網絡安全防護方法，該方法通過包括至少一個用戶終端、至少一個網絡接入設備和至少一個安全策略伺服器的網絡進行網絡安全防護，其特徵在於包括下列步驟(1)用戶終端請求接入網絡時首先被隔離到隔離網絡區域；(2)用戶終端收集用戶終端上的安全信息上報給所述安全策略伺服器進行安全認證；(3)安全認證通過則所述安全策略伺服器通知網絡接入設備將所述用戶終端接入到的所述隔離網絡區域以外的網絡區域。
2.如權利要求1所述的方法，其特徵在於所述網絡中還提供具有第三方網絡服務的伺服器，位於步驟(1)中所述的隔離網絡區域，為接入所述隔離網絡區域的用戶終端提供服務。
3.如權利要求2所述的方法，其特徵在於所述第三方網絡服務為病毒庫升級或系統補丁升級服務，並且還進一步包括如下步驟所述安全策略伺服器通知用戶終端進行升級和或下載最新的病毒庫；所述用戶終端與所述第三方網絡伺服器配合，完成最新病毒庫下載及本地病毒庫的更新和或補丁升級。
4.如權利要求1所述的方法，其特徵在於步驟(1)中用戶終端在被隔離到隔離網絡區域之前先進行用戶認證，用戶認證未通過將被拒絕接入隔離網絡區域。
5.如權利要求4所述的方法，其特徵在於所述網絡接入設備可以是交換機、路由器或虛擬專用網網關。
6.如權利要求1所述的方法，其特徵在於該方法進一步包括(4)所述用戶終端接入正常網絡區域後，按照安全策略伺服器的安全策略配置定期查詢用戶終端上是否出現不符合網絡安全策略的事件；(5)若發現不符合網絡安全策略的事件但用戶終端可以修復，則直接上報到安全策略伺服器進行事後審計，並返回步驟(4)；(6)若發現不符合網絡安全策略的事件且用戶終端無法修復，則用戶終端向安全策略伺服器發送通知請求處理；(7)所述安全策略伺服器通過網絡接入設備將相應用戶終端隔離，並通知所述用戶終端進行升級或提示用戶終端進行處理；(8)用戶終端升級完成或者用戶終端處理後，返回步驟(2)，重新進行安全認證。
7.如權利要求6所述的方法，其特徵在於所述網絡接入設備將用戶終端以訪問控制列表或者虛擬區域網的方式進行隔離。
8.一種網絡安全防護系統，該系統包括至少一個網絡安全策略伺服器和至少一個網絡接入設備，用戶終端可以通過網絡接入設備連接到具有網絡安全策略伺服器的網絡，其特徵在於該系統還包括一個安全客戶端模塊，用來部署在請求接入到具有所述安全策略伺服器的網絡中；一個安全策略服務模塊，位於在網絡安全策略伺服器上，用來在被請求接入的網絡中部署和控制執行安全策略；一個網絡安全聯動模塊，位於網絡接入設備上，用來根據所述安全策略服務模塊部署的安全策略隔離或接入具有安全客戶端模塊的用戶終端；所述具有所述安全客戶端模塊的用戶終端通過具有網絡安全聯動模塊的網絡接入設備連接到具有安全策略服務模塊的安全策略伺服器。
9.如權利要求8所述的網絡安全防護系統，其特徵在於還包括一個第三方網絡服務模塊，位於第三方網絡伺服器上，該第三方網絡伺服器位於隔離網絡區域中，用於為被隔離的用戶終端提供第三方網絡服務。
10.如權利要求9所述的網絡安全防護系統，其特徵在於所述第三方網絡服務為病毒庫升級或系統補丁升級服務，當用戶終端被隔離到隔離網絡區域中，所述安全策略服務模塊通知安全客戶端模塊進行升級和或下載最新的病毒庫；所述安全客戶端模塊與所述第三方網絡服務模塊配合，完成最新病毒庫下載及本地病毒庫的更新和或補丁升級。
11.一種網絡安全防護系統，其包括安全策略伺服器和網絡接入設備，所述安全策略伺服器具有預設的安全策略，並用以驗證接入用戶終端的安全信息是否符合其安全策略要求，其特徵在於，該安全策略伺服器將驗證結果通知所述網絡接入設備，網絡接入設備根據驗證結果下發相應的接入規則，以將不符合安全策略要求的接入用戶終端隔離出本網絡。
12.如11所述網絡安全防護系統，其特徵在於，所述網絡接入設備將所述不符合安全策略的用戶終端隔離到一個具有第三方伺服器的網絡中去，該第三方伺服器具有完善用戶終端安全信息的能力。
13.如12所述網絡安全防護系統，其特徵在於，所述第三方伺服器提供最新病毒庫下載或本地病毒庫的更新或補丁升級。
全文摘要
本發明公開了一種網絡安全防護方法和系統，在網絡中提供安全策略伺服器和網絡接入設備，網絡外部用戶終端請求接入網絡時，將被首先隔離到隔離網絡區域，並進行安全認證，若安全認證不通過則將在該隔離網絡區域中通過提供的第三方網絡伺服器進行升級、修補等，然後重新進行安全認證。在用戶接入到網絡後，還將始終處於網絡安全策略的監控下，發現接入網絡的外部用戶終端上發生不符合網絡安全策略的事件時，用戶終端將被隔離並作相應的處理。總之，公開的發明提供了更加安全、全面的網絡自我防護功能。
文檔編號H04L12/28GK1885788SQ20051007734
公開日2006年12月27日 申請日期2005年6月22日 優先權日2005年6月22日
發明者陳有琨 申請人:杭州華為三康技術有限公司