專利名稱:工作網(wǎng)絡(luò)行為防火墻的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于信息網(wǎng)絡(luò)安全領(lǐng)域防火墻(Fire Wall)技術(shù)�����,特別涉及一種工作網(wǎng)絡(luò) 行為防火墻���。
背景技術(shù):
網(wǎng)絡(luò)已經(jīng)成為機(jī)關(guān)及企事業(yè)單位運(yùn)行和工作的基礎(chǔ)設(shè)施����,基于網(wǎng)絡(luò)的工作正在成 為常態(tài)���,對(duì)應(yīng)具備一級(jí)安全保護(hù)能力(國(guó)標(biāo)GB17859-1999)的機(jī)關(guān)單位的網(wǎng)絡(luò)只允許與工 作相關(guān)的上網(wǎng)行為�����,我們稱之為工作網(wǎng)絡(luò)��。工作網(wǎng)絡(luò)特點(diǎn)是以文件為載體的數(shù)據(jù)流動(dòng)管理 為中心�,圍繞文件處理和管理建立相應(yīng)的工作流程,以規(guī)范用戶上網(wǎng)工作行為��,杜絕非法網(wǎng) 絡(luò)工作行為��,保障工作網(wǎng)絡(luò)的網(wǎng)絡(luò)安全和信息安全�。防火墻通常被作為網(wǎng)絡(luò)安全的第一道防護(hù)系統(tǒng)。現(xiàn)有的防火墻主要有包過濾防火 墻和代理防火墻����,其中包過濾防火墻采用被動(dòng)隔離控制技術(shù),在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行檢查����,優(yōu)點(diǎn)是簡(jiǎn)單 實(shí)用,速度快���,缺點(diǎn)是不能滿足工作網(wǎng)絡(luò)高安全性要求�。代理防火墻采用主動(dòng)偵測(cè)和掃描技 術(shù)�,在應(yīng)用層對(duì)數(shù)據(jù)包進(jìn)行監(jiān)測(cè)���,優(yōu)點(diǎn)是對(duì)于已知病毒和攻擊入侵的防范比較有效,安全性 較高����,缺點(diǎn)是管理復(fù)雜���、速度慢��,不能防御未知特征的病毒和入侵攻擊����。因此���,如何提供一種 能滿足工作網(wǎng)絡(luò)高安全性����、高可靠性要求的防火墻���,是現(xiàn)有技術(shù)中亟需解決的問題��。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種工作網(wǎng)絡(luò)行為防火墻���,以滿足工作網(wǎng)絡(luò)的高安全性����、 高可靠性要求�����。為達(dá)到上述目的���,本發(fā)明提供了一種工作網(wǎng)絡(luò)行為防火墻���,包括行為規(guī)則庫(kù)、行為 管理器和行為過濾器���,其中所述行為規(guī)則庫(kù)���,用于對(duì)文件處理的工作任務(wù)進(jìn)行分類定義和對(duì)相應(yīng)文件處理的 工作流程進(jìn)行定義;所述行為過濾器��,用于對(duì)登錄用戶的網(wǎng)絡(luò)工作行為進(jìn)行實(shí)時(shí)監(jiān)測(cè)過濾�,依據(jù)所述 行為規(guī)則庫(kù)判別所述網(wǎng)絡(luò)工作行為是否為合法行為,并將判斷結(jié)果提交至所述行為管理 器���,由所述行為管理器根據(jù)所述判斷結(jié)果對(duì)所述網(wǎng)絡(luò)工作進(jìn)行動(dòng)態(tài)管理����。本發(fā)明的工作網(wǎng)絡(luò)行為防火墻,所述行為規(guī)則庫(kù)包括任務(wù)過濾白名單和流程過濾 白名單�,其中所述任務(wù)過濾白名單,用于對(duì)文件處理的工作任務(wù)進(jìn)行分類定義�,所述工作任務(wù) 的屬性包括工作人員、工作目標(biāo)和工作權(quán)限���;所述流程過濾白名單,用于定義相應(yīng)文件處理的工作流程�����,所述工作流程的屬性 包括通信端口����、傳輸協(xié)議、存儲(chǔ)數(shù)據(jù)和文件格式��。本發(fā)明的工作網(wǎng)絡(luò)行為防火墻��,所述行為管理器包括行為審計(jì)模塊��、行為報(bào)告模 塊、應(yīng)急處理模塊和規(guī)則設(shè)置模塊�,其中
所述行為審計(jì)模塊,用于對(duì)所述登錄用戶的網(wǎng)絡(luò)工作行為進(jìn)行工作行為審計(jì)��;所述行為報(bào)告模塊�,用于生成所述登錄用戶的網(wǎng)絡(luò)工作行為報(bào)告;所述應(yīng)急處理模塊���,用于對(duì)所述登錄用戶的非規(guī)范網(wǎng)絡(luò)工作行為采取應(yīng)急處理措 施����;所述規(guī)則設(shè)置模塊��,用于提供所述行為規(guī)則庫(kù)的修改�����、更新及設(shè)置功能���。本發(fā)明的工作網(wǎng)絡(luò)行為防火墻首先通過任務(wù)過濾白名單對(duì)工作任務(wù)進(jìn)行任務(wù)過 濾�,其次判斷通過任務(wù)過濾的工作任務(wù)是否為合法的工作任務(wù)��,然后依據(jù)流程過濾白名單 對(duì)合法的工作任務(wù)進(jìn)行流程過濾,然后判斷通過流程過濾的合法的工作任務(wù)是否為合法流 程��,如果為合法流程��,再向流程合法的工作任務(wù)提供網(wǎng)絡(luò)服務(wù)�,從而杜絕了一切不規(guī)范的網(wǎng) 絡(luò)工作及文件處理行為,滿足了工作網(wǎng)絡(luò)的高安全性��、高可靠性要求��。
圖1為本發(fā)明的工作網(wǎng)絡(luò)行為防火墻的結(jié)構(gòu)示意圖���;圖2為本發(fā)明的工作網(wǎng)絡(luò)行為防火墻的行為過濾方法流程圖��。
具體實(shí)施例方式下面結(jié)合附圖對(duì)本發(fā)明的具體實(shí)施方式
進(jìn)行詳細(xì)描述如圖1所示,本發(fā)明的工作網(wǎng)絡(luò)行為防火墻由行為規(guī)則庫(kù)10���、行為管理器20和行 為過濾器00組成���。其中行為規(guī)則庫(kù)10由任務(wù)過濾白名單11及其相對(duì)應(yīng)的流程過濾白名單12組成。任 務(wù)過濾白名單11用于對(duì)文件處理的工作任務(wù)進(jìn)行分類定義����,工作任務(wù)的屬性由三元組(工 作人員13、工作目標(biāo)14和工作權(quán)限15組成����。流程過濾白名單12用于定義相應(yīng)文件處理的 工作流程���,工作流程的屬性由四元組(通信端口 16、傳輸協(xié)議17����、存儲(chǔ)數(shù)據(jù)18和文件格式 19)組成。行為管理器20由行為審計(jì)模塊21���、行為報(bào)告模塊22����、應(yīng)急處理模塊23和規(guī)則設(shè) 置模塊24組成�����。行為審計(jì)模塊21用于對(duì)用戶網(wǎng)絡(luò)工作行為進(jìn)行工作行為審計(jì)���,行為報(bào)告 模塊22用于生成用戶網(wǎng)絡(luò)工作行為報(bào)告���,應(yīng)急處理模塊23用于對(duì)用戶的非規(guī)范網(wǎng)絡(luò)工作 行為采取應(yīng)急處理措施,而規(guī)則設(shè)置模塊24則用于提供行為規(guī)則庫(kù)10的修改、更新及設(shè)置 功能�。行為過濾器00用于對(duì)登錄用戶的網(wǎng)絡(luò)工作行為進(jìn)行實(shí)時(shí)監(jiān)測(cè)過濾,依據(jù)行為規(guī) 則庫(kù)10及其流程過濾白名單12判別網(wǎng)絡(luò)工作行為是否合法行為�,并將判斷結(jié)果提交至行 為管理器20,由行為管理器20根據(jù)判斷結(jié)果對(duì)網(wǎng)絡(luò)工作進(jìn)行動(dòng)態(tài)管理��。下面以電視臺(tái)網(wǎng)絡(luò)為例說明本發(fā)明的工作網(wǎng)絡(luò)行為防火墻的行為過濾過程���。作 為一個(gè)典型的工作網(wǎng)絡(luò)�����,電視臺(tái)網(wǎng)絡(luò)的安全性和可靠性要求非常高��,其工作任務(wù)是圍繞電 視節(jié)目及素材等音視頻文件進(jìn)行上載��、存儲(chǔ)����、編輯和播出等業(yè)務(wù)工作�����,假設(shè)其工作內(nèi)容為 記者A用移動(dòng)硬盤通過網(wǎng)絡(luò)工作站的USB端口上載采訪的音頻�����、視頻文件��,其工作任務(wù)為 音視頻文件上載��,其工作流程為開放通信端口����,檢查文件格式,啟動(dòng)傳輸協(xié)議����,存儲(chǔ)數(shù)據(jù)文 件,則應(yīng)用于電視臺(tái)工作網(wǎng)絡(luò)的行為防火墻只允許進(jìn)行與上述工作任務(wù)相關(guān)的網(wǎng)絡(luò)工作行 為�����,對(duì)其他網(wǎng)絡(luò)工作行為則一律禁止����,則本發(fā)明的工作網(wǎng)絡(luò)行為防火墻對(duì)該電視臺(tái)網(wǎng)絡(luò)的音視頻文件上載工作的行為過濾過程如下步驟Sl 行為過濾器00接收登錄請(qǐng)求。記者A通過工作站登錄電視臺(tái)網(wǎng)絡(luò)�,申請(qǐng) 進(jìn)行音視頻文件上載工作,行為管理器20接收記者A通過工作站發(fā)送的登錄請(qǐng)求���。步驟S2 行為過濾器00進(jìn)行任務(wù)過濾�����。行為過濾器00依據(jù)行為規(guī)則庫(kù)10中的任 務(wù)過濾白名單11對(duì)記者A申請(qǐng)進(jìn)行音視頻文件上載工作的網(wǎng)絡(luò)工作行為進(jìn)行工作人員甄 別過濾�、工作目標(biāo)的核對(duì)過濾和工作權(quán)限的核實(shí)過濾,將任務(wù)過濾結(jié)果提交行為管理器20 的行為審計(jì)模塊21進(jìn)行行為審計(jì)�,然后根據(jù)行為管理器20返回的任務(wù)過濾審計(jì)結(jié)果確定 記者A是否具有音視頻文件上載和編輯工作權(quán)限,如果有�,則通過對(duì)記者A申請(qǐng)進(jìn)行音視頻 文件上載工作的網(wǎng)絡(luò)工作行為的過濾,然后執(zhí)行步驟S3�����,否則不予通過����,從而對(duì)記者A進(jìn)行 身份識(shí)別和訪問控制。步驟S3 行為過濾器00進(jìn)行合法的工作任務(wù)判別���。行為過濾器00對(duì)記者A申請(qǐng) 進(jìn)行音視頻文件上載工作的網(wǎng)絡(luò)工作行為是否為合法的工作任務(wù)進(jìn)行判別�����,如發(fā)現(xiàn)記者A 申請(qǐng)進(jìn)行音視頻文件上載工作的網(wǎng)絡(luò)工作行為屬非法網(wǎng)絡(luò)工作行為��,則由應(yīng)急處理模塊23 終止記者A申請(qǐng)進(jìn)行音視頻文件上載工作的網(wǎng)絡(luò)工作行為�,并且如果記者A再進(jìn)行其它網(wǎng) 絡(luò)工作請(qǐng)求���,也被視為非法網(wǎng)絡(luò)工作行為�。如發(fā)現(xiàn)記者A申請(qǐng)進(jìn)行音視頻文件上載工作的 網(wǎng)絡(luò)工作行為屬合法網(wǎng)絡(luò)工作行為����,則執(zhí)行步驟4。步驟S4 行為過濾器00進(jìn)行流程過濾�。行為過濾器00依據(jù)行為規(guī)則庫(kù)20中的 流程過濾白名單12對(duì)記者A申請(qǐng)進(jìn)行音視頻文件上載工作的網(wǎng)絡(luò)工作行為中的文件操作 進(jìn)行通信端口過濾、傳輸協(xié)議過濾�����、存儲(chǔ)數(shù)據(jù)過濾和文件格式過濾��,將流程過濾結(jié)果提交行 為管理器20的行為審計(jì)模塊21進(jìn)行行為審計(jì)����,然后根據(jù)行為管理器20返回的流程過濾審 計(jì)結(jié)果確定是否向向記者A開放USB通信端口,如果允許開放����,則向記者A開放USB通信端 口�����,檢查文件格式���,啟動(dòng)傳輸協(xié)議,存儲(chǔ)數(shù)據(jù)文件���,然后執(zhí)行步驟S5����,否則�����,對(duì)記者A禁用該 USB通信端口�。步驟S5 行為過濾器00進(jìn)行合法流程判別。行為過濾器00對(duì)記者A進(jìn)行的音視 頻文件上載工作的網(wǎng)絡(luò)工作行為是否為合法流程進(jìn)行判別�����,如發(fā)現(xiàn)記者A的該網(wǎng)絡(luò)工作行 為屬非法網(wǎng)絡(luò)工作行為則由應(yīng)急處理模塊23終止記者A的網(wǎng)絡(luò)工作行為����,如發(fā)現(xiàn)記者A的 網(wǎng)絡(luò)工作行為屬合法網(wǎng)絡(luò)工作行為����,則執(zhí)行步驟S6�。步驟S6 行為過濾器00提供網(wǎng)絡(luò)工作���。當(dāng)行為過濾器00進(jìn)行合法流程判別后發(fā) 現(xiàn)記者A進(jìn)行的音視頻文件上載工作的網(wǎng)絡(luò)工作行為屬合法網(wǎng)絡(luò)工作行為時(shí)����,則提供網(wǎng)絡(luò) 服務(wù)����,保障記者A正常進(jìn)行音視頻文件上載工作,但如果記者A使用其它網(wǎng)絡(luò)端口上載該音 視頻文件����,或傳輸并存取其他格式文件等,即被視為非法網(wǎng)絡(luò)工作行為��。步驟7 接收退出請(qǐng)求�,退出管理。記者A在音視頻文件上載工作完成后向行為過 濾器00提交退出請(qǐng)求�,該退出請(qǐng)求經(jīng)過行為管理器20的行為報(bào)告模塊22生成行為報(bào)告 后,行為過濾器00終止記者A的網(wǎng)絡(luò)工作���。以上的實(shí)施例僅僅是對(duì)本發(fā)明的優(yōu)選實(shí)施方式進(jìn)行描述�,并非對(duì)本發(fā)明的范圍進(jìn) 行限定,在不脫離本發(fā)明設(shè)計(jì)精神的前提下��,本領(lǐng)域普通工程技術(shù)人員對(duì)本發(fā)明的技術(shù)方 案作出的各種變形和改進(jìn)���,均應(yīng)落入本發(fā)明的權(quán)利要求書確定的保護(hù)范圍內(nèi)��。
權(quán)利要求
一種工作網(wǎng)絡(luò)行為防火墻����,其特征在于�,包括行為規(guī)則庫(kù)、行為管理器和行為過濾器����,其中所述行為規(guī)則庫(kù),用于對(duì)文件處理的工作任務(wù)進(jìn)行分類定義和對(duì)相應(yīng)文件處理的工作流程進(jìn)行定義����;所述行為過濾器,用于對(duì)登錄用戶的網(wǎng)絡(luò)工作行為進(jìn)行實(shí)時(shí)監(jiān)測(cè)過濾����,依據(jù)所述行為規(guī)則庫(kù)判別所述網(wǎng)絡(luò)工作行為是否為合法行為�,并將判斷結(jié)果提交至所述行為管理器���,由所述行為管理器根據(jù)所述判斷結(jié)果對(duì)所述網(wǎng)絡(luò)工作進(jìn)行動(dòng)態(tài)管理���。
2.根據(jù)權(quán)利要求1所述的工作網(wǎng)絡(luò)行為防火墻���,其特征在于�����,所述行為規(guī)則庫(kù)包括任 務(wù)過濾白名單和流程過濾白名單����,其中所述任務(wù)過濾白名單�,用于對(duì)文件處理的工作任務(wù)進(jìn)行分類定義,所述工作任務(wù)的屬 性包括工作人員����、工作目標(biāo)和工作權(quán)限;所述流程過濾白名單�����,用于定義相應(yīng)文件處理的工作流程,所述工作流程的屬性包括 通信端口�、傳輸協(xié)議、存儲(chǔ)數(shù)據(jù)和文件格式�。
3.根據(jù)權(quán)利要求2所述的工作網(wǎng)絡(luò)行為防火墻,其特征在于����,所述行為管理器包括行 為審計(jì)模塊、行為報(bào)告模塊����、應(yīng)急處理模塊和規(guī)則設(shè)置模塊,其中所述行為審計(jì)模塊���,用于對(duì)所述登錄用戶的網(wǎng)絡(luò)工作行為進(jìn)行工作行為審計(jì)����;所述行為報(bào)告模塊����,用于生成所述登錄用戶的網(wǎng)絡(luò)工作行為報(bào)告;所述應(yīng)急處理模塊�����,用于對(duì)所述登錄用戶的非規(guī)范網(wǎng)絡(luò)工作行為采取應(yīng)急處理措施;所述規(guī)則設(shè)置模塊�,用于提供所述行為規(guī)則庫(kù)的修改、更新及設(shè)置功能�����。
全文摘要
本發(fā)明公開了一種工作網(wǎng)絡(luò)行為防火墻�,包括行為規(guī)則庫(kù)、行為管理器和行為過濾器��,其中所述行為規(guī)則庫(kù)�,用于對(duì)文件處理的工作任務(wù)進(jìn)行分類定義和對(duì)相應(yīng)文件處理的工作流程進(jìn)行定義���;所述行為過濾器����,用于對(duì)登錄用戶的網(wǎng)絡(luò)工作行為進(jìn)行實(shí)時(shí)監(jiān)測(cè)過濾����,依據(jù)所述行為規(guī)則庫(kù)判別所述網(wǎng)絡(luò)工作行為是否為合法行為,并將判斷結(jié)果提交至所述行為管理器��,由所述行為管理器根據(jù)所述判斷結(jié)果對(duì)所述網(wǎng)絡(luò)工作進(jìn)行動(dòng)態(tài)管理。本發(fā)明的工作網(wǎng)絡(luò)行為防火墻杜絕了一切不規(guī)范的網(wǎng)絡(luò)工作及文件處理行為��,滿足了工作網(wǎng)絡(luò)的高安全性�����、高可靠性要求���。
文檔編號(hào)H04L29/06GK101917419SQ20101024483
公開日2010年12月15日 申請(qǐng)日期2010年8月4日 優(yōu)先權(quán)日2010年8月4日
發(fā)明者康南生, 張進(jìn), 王滿海, 章哲 申請(qǐng)人:安徽天虹數(shù)碼技術(shù)有限公司