一種內(nèi)網(wǎng)信息保護方法與系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及內(nèi)網(wǎng)信息保護控制系統(tǒng)，具體地說是一種防止內(nèi)網(wǎng)計算機網(wǎng)絡(luò)信息泄露的方法，尤其針對電力、國防、政府等高安全要求行業(yè)內(nèi)部網(wǎng)絡(luò)的一種信息保護防護方法。
【背景技術(shù)】
[0002]近年來ICT技術(shù)的高速發(fā)展給工作與生活憑借技術(shù)動力變得更加便利，包括電力、國防、政府在內(nèi)的安全敏感行業(yè)應(yīng)用越來越依賴于計算機網(wǎng)絡(luò)，網(wǎng)絡(luò)安全問題日益嚴(yán)峻。防火墻、安全隔離、入侵檢測、安全U盤等安全措施為保障系統(tǒng)安全提供了一定的技術(shù)手段。在自主知識產(chǎn)權(quán)的操作系統(tǒng)方面，我國也取得了一定的進展。
[0003]目前，安全敏感行業(yè)的計算機網(wǎng)絡(luò)系統(tǒng)，大多采取了雙網(wǎng)方案，即內(nèi)部網(wǎng)絡(luò)/外部網(wǎng)絡(luò)/物理隔離的模式，在一定意義上，阻斷了內(nèi)部信息網(wǎng)絡(luò)泄露的渠道。另一方面，Windows操作系統(tǒng)的技術(shù)地位及其易用性，在行業(yè)辦公的桌面操作系統(tǒng)具有絕對份額，目前主要包括Windows XP、Wind0ws7等版本。不可以忽視的現(xiàn)狀是由于智能手機等移動終端的便利性及Windows操作系統(tǒng)的自動連接機制，不經(jīng)意間的智能手機充電、Wifi功能，都會造成內(nèi)部網(wǎng)絡(luò)計算機與公網(wǎng)的連接。
[0004]因此，本發(fā)明提供了一種內(nèi)網(wǎng)信息保護方法與系統(tǒng)，可以通過技術(shù)手段降低信息泄露風(fēng)險，增強內(nèi)網(wǎng)桌面計算機的信息安全。

【發(fā)明內(nèi)容】

[0005]針對現(xiàn)有技術(shù)中存在的上述不足之處，本發(fā)明是一種內(nèi)網(wǎng)信息保護方法與系統(tǒng)，通過對桌面計算機進行安全加固，控制僅允許內(nèi)網(wǎng)特定網(wǎng)段的網(wǎng)絡(luò)通信，屏蔽該桌面計算機對公網(wǎng)的一切訪問，實現(xiàn)內(nèi)網(wǎng)信息保護。
[0006]本發(fā)明為實現(xiàn)上述目的所采用的技術(shù)方案是:一種內(nèi)網(wǎng)信息保護方法與系統(tǒng)，包括以下步驟:
[0007]規(guī)范內(nèi)網(wǎng)的網(wǎng)絡(luò)地址，形成一定規(guī)則，并在系統(tǒng)軟件編譯時固化到映像文件中；
[0008]在內(nèi)核引擎初始化時啟動防范組件，對內(nèi)核引擎的注冊表及映像文件進行保護；
[0009]通過內(nèi)核引擎對內(nèi)網(wǎng)的網(wǎng)絡(luò)流量進行認(rèn)證和過濾，對于符合規(guī)則的內(nèi)網(wǎng)流量直接放行，對于不符合規(guī)則的非內(nèi)網(wǎng)流量進行丟棄阻斷。
[0010]所述過濾采用操作系統(tǒng)內(nèi)核驅(qū)動的方式。
[0011]所述丟棄阻斷的信息記錄到管理日志中用于管理分析。
[0012]所述過濾由過濾規(guī)則判斷。
[0013]所述規(guī)則判斷不超過5條，在方案設(shè)計時確定，在軟件編譯階段固化到映像文件中，且無法直接修改。
[0014]所述防范組件啟動時，打開并鎖定內(nèi)核驅(qū)動服務(wù)的注冊表項，直到計算機關(guān)閉時，才釋放鎖定資源。
[0015]所述防范組件啟動時，將映像文件以獨占方式載入內(nèi)存，使得非防范組件的程序無法獲得映像文件句柄而無法獲得操作權(quán)限，實現(xiàn)映像文件的保護。
[0016]所述通過內(nèi)核引擎對內(nèi)網(wǎng)的網(wǎng)絡(luò)流量進行認(rèn)證，具體為:采用分布式架構(gòu)的接入認(rèn)證接口，通過服務(wù)協(xié)議與接入認(rèn)證服務(wù)器進行通信，與網(wǎng)絡(luò)交換機端口接入管理的互動。
[0017]一種內(nèi)網(wǎng)信息保護系統(tǒng)，包括:
[0018]內(nèi)核引擎模塊，用于對進出系統(tǒng)的所有網(wǎng)絡(luò)數(shù)據(jù)包進行監(jiān)控，根據(jù)固化規(guī)則模塊存儲的過濾規(guī)則進行過濾，并予以放行或丟棄阻斷；自動運行防范組件模塊，對內(nèi)核服務(wù)進行保護，防止非法修改或停止服務(wù)；
[0019]防范組件模塊，在系統(tǒng)啟動時首先起效；在內(nèi)核引擎模塊中運行，以組件形式，通過內(nèi)存映像鎖定；通過獨占鎖定注冊表項，實現(xiàn)對服務(wù)的保護，防止非授權(quán)的服務(wù)卸載或刪除；
[0020]固化規(guī)則模塊，存儲用于網(wǎng)絡(luò)過濾的過濾規(guī)則；
[0021]接入認(rèn)證模塊，用于分布式架構(gòu)的接入認(rèn)證接口，通過接入認(rèn)證服務(wù)器與網(wǎng)絡(luò)交換機端口管理互動；
[0022]管理日志模塊，用于對在保護期間發(fā)現(xiàn)的外網(wǎng)數(shù)據(jù)包進行記錄，直接以文件形式進行本地記錄，并可以根據(jù)部署環(huán)境，將各類記錄及引擎啟動情況進行日志上傳。
[0023]所述過濾規(guī)則包括:(1)允許內(nèi)網(wǎng)特定網(wǎng)段之間的網(wǎng)絡(luò)通信；(2)默認(rèn)禁止所有網(wǎng)絡(luò)通信。
[0024]本發(fā)明具有以下優(yōu)點及有益效果:
[0025]1.本發(fā)明采用分布式的系統(tǒng)加固方式，實現(xiàn)內(nèi)網(wǎng)信息保護，對內(nèi)網(wǎng)的網(wǎng)絡(luò)拓?fù)錄]有要求和直接影響，網(wǎng)絡(luò)適應(yīng)性強。
[0026]2.本發(fā)明采用固化規(guī)則，防止檢查規(guī)則的修改，由于檢查規(guī)則要求少于5條，系統(tǒng)資源占用少，檢查效率高。
[0027]3.本發(fā)明以內(nèi)核驅(qū)動形式，從系統(tǒng)底層對網(wǎng)絡(luò)流量進行檢查阻斷，與具體的網(wǎng)絡(luò)連接方式無關(guān)，可以同時防范以太網(wǎng)、無線Wif1、智能手機撥號、藍牙網(wǎng)絡(luò)等網(wǎng)絡(luò)連接，有效防止內(nèi)網(wǎng)計算機網(wǎng)絡(luò)信息泄露。
【附圖說明】
[0028]圖1為本發(fā)明內(nèi)網(wǎng)信息保護系統(tǒng)架構(gòu)圖；
[0029]圖2為本發(fā)明系統(tǒng)啟動流程圖。
[0030]其中，10——內(nèi)核引擎模塊，20——固化規(guī)則(直接存儲在映像文件)，30——接入認(rèn)證模塊，40-管理日志模塊,50-防范組件模塊，51-服務(wù)相關(guān)注冊表，52-映像文件。
【具體實施方式】
[0031]下面結(jié)合附圖及實施例對本發(fā)明做進一步的詳細(xì)說明。
[0032]內(nèi)核引擎模塊，系統(tǒng)通過內(nèi)核驅(qū)動的方式，實現(xiàn)對進出系統(tǒng)的所有網(wǎng)絡(luò)數(shù)據(jù)包進行監(jiān)控，根據(jù)固化規(guī)則進行過濾，并予以放行或丟棄阻斷。采用平臺過濾技術(shù)，通過基礎(chǔ)過濾引擎進行規(guī)則設(shè)定，并在引擎內(nèi)部實現(xiàn)規(guī)則固化。內(nèi)核自動運行防范組件模塊，對內(nèi)核服務(wù)進行保護，放置非法修改或停止。
[0033]防范組件模塊，在引擎容器中運行，以組件形式，通過內(nèi)存映像鎖定，提供防卸載、防刪除與自我保護能力，通過獨占鎖定注冊表項，實現(xiàn)對服務(wù)的保護，防止非授權(quán)的服務(wù)卸載或刪除。同時，由于處于內(nèi)核級別，在系統(tǒng)啟動時，能夠在其他網(wǎng)絡(luò)通信之前起效。
[0034]固化規(guī)則，網(wǎng)絡(luò)過濾基于固化規(guī)則的網(wǎng)絡(luò)地址進行，要求過濾規(guī)則不得超過5條。一般情況下，系統(tǒng)中僅需要兩條固化規(guī)則:(1)允許內(nèi)網(wǎng)特定網(wǎng)段之間的網(wǎng)絡(luò)通信；(2)默認(rèn)禁止所有網(wǎng)絡(luò)通信。系統(tǒng)規(guī)則采用固化在映像文件的方式進行設(shè)定，放置被非法修改，并且提高檢查效率，將對網(wǎng)絡(luò)通信速度的影響降到最低。
[0035]接入認(rèn)證模塊，負(fù)責(zé)實現(xiàn)