企業(yè)網絡安全管理方法����、裝置、系統(tǒng)和安全網關的制作方法
【技術領域】
[0001]本發(fā)明涉及信息安全領域��,具體涉及一種企業(yè)網絡安全管理方法���、裝置����、系統(tǒng)和安全網關���。
【背景技術】
[0002]隨著移動終端的成熟與普及�����,以手機���、平板電腦為代表的個人移動終端逐漸進入企業(yè)領域���,這種現(xiàn)象被稱為自帶設備辦公(Bring Your Own Device,BY0D)���。相比傳統(tǒng)信息化的模式����,BYOD環(huán)境主要存在三個方面的安全隱患:首先是通過移動網絡鏈路接入�����,天然處在一個開放的網絡��,而傳統(tǒng)重要的信息系統(tǒng)都是通過企業(yè)內網接入;其次����,使用的環(huán)境與傳統(tǒng)信息化模式不一樣,傳統(tǒng)的大部分時間都在固定的辦公場所���,設備丟失可能性很小��,BYOD通常使用移動終端�,更加容易丟失;第三�,BYOD使用的個人設備上往往同時安裝很多個人的APP,而個人APP市場上的惡意軟件多如牛毛����,這就將企業(yè)數(shù)據置于安全隱患之中。
[0003]因此需要一種處理BYOD環(huán)境下�,移動終端上的應用接入企業(yè)網絡時可能產生安全問題的策略或方法。
【發(fā)明內容】
[0004]鑒于上述問題���,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的企業(yè)網絡安全管理方法����、裝置����、系統(tǒng)和安全網關。
[0005]依據本發(fā)明的一個方面����,提供了一種企業(yè)網絡安全管理方法�,包括:
[0006]企業(yè)網絡的安全網關接收來自移動終端上的對應應用的網絡連接請求;其中����,所述企業(yè)網絡有一個或多個安全網關,每個安全網關對應一個或多個應用��;
[0007]安全網關根據預設規(guī)則對所接收的網絡連接請求進行判斷����;當判斷為通過時,放行該網絡連接請求;當判斷為不通過時��,阻斷該網絡連接請求���。
[0008]可選地��,所述預設規(guī)則包括:應用控制規(guī)則和設備違規(guī)控制規(guī)則����;
[0009]所述安全網關根據預設規(guī)則對所接收的網絡連接請求進行判斷包括:根據應用控制規(guī)則進行判斷�;當判斷為不通過時,阻斷該網絡連接請求����;當判斷為通過時進一步根據設備違規(guī)控制規(guī)則進行判斷�,當判斷該移動終端未違規(guī)時放行該網絡連接請求����,當判斷該移動終端違規(guī)時阻斷該網絡連接請求�����。
[0010]可選地���,所述應用控制規(guī)則包括如下中的一種或多種����;
[0011]判斷網絡連接請求對應的應用是否在應用白名單中�����,是則通過����,否則不通過;
[0012]判斷網絡連接請求對應的應用是否在應用黑名單中�,是則通過,否則不通過����。
[0013]可選地�,設備違規(guī)控制規(guī)則包括:
[0014]判斷發(fā)送網絡連接請求的移動終端是否離線時間超過預設值�,是則該移動終端違規(guī);
[0015]判斷發(fā)送網絡連接請求的移動終端的設備標識是否在設備黑名單中�����,是則該移動終端違規(guī)�。
[0016]可選地,所述安全網關接收到的是來自移動終端上的對應應用的加密后的網絡連接請求�;
[0017]該方法進一步包括:所述安全網關對所接收到的網絡連接請求進行解密處理;
[0018]所述放行該網絡連接請求包括:所述安全網關將解密處理后的網絡連接請求發(fā)送給所述企業(yè)網絡中的對應服務器����;
[0019]該方法進一步包括:所述安全網關將所述對應服務器反饋的網絡連接請求處理結果進行加密處理后返回給對應的移動終端。
[0020]可選地����,該方法進一步包括:
[0021 ]所述安全網關定期或不定期從企業(yè)網絡安全管理服務器獲取預設規(guī)則;
[0022]或者�����,
[0023]所述安全網關在收到企業(yè)網絡安全管理服務器的通知時,從企業(yè)網絡安全管理服務器獲取預設規(guī)則���。
[0024]依據本發(fā)明的另一方面���,提供了另一種企業(yè)網絡安全管理方法,包括:
[0025]將移動終端上的應用發(fā)起的網絡連接請求發(fā)送到企業(yè)網絡的與該應用對應安全網關;其中�����,所述企業(yè)網絡有一個或多個安全網關���,每個安全網關對應一個或多個應用;
[0026]接收對應安全網關返回的網絡連接請求處理結果���。
[0027]可選地����,該方法進一步包括:從企業(yè)網絡安全管理服務器獲取應用和安全網關的對應關系列表���;
[0028]所述將移動終端上的應用發(fā)起的網絡連接請求發(fā)送到企業(yè)網絡的對應安全網關包括:根據所述對應關系列表將網絡連接請求發(fā)送到對應的安全網關�。
[0029]可選地�,該方法進一步包括:
[0030]將移動終端上的應用發(fā)起的網絡連接請求發(fā)送到企業(yè)網絡的與該應用對應安全網關之前,對該網絡連接請求進行加密處理;
[0031]對安全網關返回的網絡連接請求處理結果進行解密處理�。
[0032]可選地,在將移動終端上的應用發(fā)起的網絡連接請求發(fā)送到企業(yè)網絡的與該應用對應安全網關之前����,該方法進一步包括:
[0033]從企業(yè)網絡安全管理服務器獲取應用配置表;
[0034]根據應用配置表判斷該應用的數(shù)據流量是否通過安全網關�,是則才將該應用發(fā)起的網絡連接請求發(fā)送到企業(yè)網絡的與該應用對應安全網關。
[0035]可選地�,該方法進一步包括:
[0036]當對應安全網關返回的網絡連接請求處理結果表示阻斷相應網絡連接請求時,在移動終端界面上彈窗顯示被阻斷的結果和原因����。
[0037]可選地,該方法進一步包括:
[0038]獲取所述移動能終端的操作系統(tǒng)的平臺簽名�����,基于該平臺簽名獲取操作系統(tǒng)的相應權限����;
[0039]基于獲取的所述相應權限將移動終端上的應用發(fā)起的網絡連接請求發(fā)送到企業(yè)網絡的與該應用對應安全網關。
[0040]依據本發(fā)明的又一方面��,提供了一種安全網關��,其中,該安全網關是企業(yè)網絡的一個或多個安全網關之一��,每個安全網關對應一個或多個應用��,該安全網關包括:[0041 ]接收單元����,適于接收來自移動終端上的對應應用的網絡連接請求;
[0042]處理單元�,適于根據預設規(guī)則對所接收的網絡連接請求進行判斷;當判斷為通過時�����,放行該網絡連接請求;當判斷為不通過時�����,阻斷該網絡連接請求�;
[0043]存儲單元�,適于保存所述預設規(guī)則。
[0044]可選地���,所述預設規(guī)則包括:應用控制規(guī)則和設備違規(guī)控制規(guī)則�;
[0045]所述處理單元,適于根據應用控制規(guī)則進行判斷����;當判斷為不通過時,阻斷該網絡連接請求��;當判斷為通過時進一步根據設備違規(guī)控制規(guī)則進行判斷�����,當判斷該移動終端未違規(guī)時放行該網絡連接請求�,當判斷該移動終端違規(guī)時阻斷該網絡連接請求。
[0046]可選地�����,所述應用控制規(guī)則包括如下中的一種或多種�;
[0047]判斷網絡連接請求對應的應用是否在應用白名單中,是則通過�,否則不通過;
[0048]判斷網絡連接請求對應的應用是否在應用黑名單中����,是則通過,否則不通過�����。
[0049]可選地,設備違規(guī)控制規(guī)則包括:
[0050]判斷發(fā)送網絡連接請求的移動終端是否離線時間超過預設值����,是則該移動終端違規(guī);
[0051 ]判斷發(fā)送網絡連接請求的移動終端的設備標識是否在設備黑名單中����,是則該移動終端違規(guī)。
[0052]可選地��,所述接收單元���,適于接收來自移動終端上的對應應用的加密后的網絡連接請求;進一步適于對所接收到的網絡連接請求進行解密處理���,將解密處理后的網絡連接請求發(fā)送給所述企業(yè)網絡中的對應服務器;以及進一步適于將所述對應服務器反饋的網絡連接請求處理結果進行加密處理后返回給對應的移動終端���。
[0053]可選地,該安全網關進一步包括:
[0054]獲取單元�,適于定期或不定期從企業(yè)網絡安全管理服務器獲取預設規(guī)則并更新存儲單元中的預設規(guī)則;或者,適于在收到企業(yè)網絡安全管理服務器的通知時�,從企業(yè)網絡安全管理服務器獲取預設規(guī)則并更新存儲單元中的預設規(guī)則�。
[0055]依據本發(fā)明的再一方面一種企業(yè)網絡安全管理裝置�����,其中�����,該裝置包括:
[0056]發(fā)送網關單元��,適于將移動終端上的應用發(fā)起的網絡連接請求發(fā)送到企業(yè)網絡的與該應用對應安全網關;其中��,所述企業(yè)網絡有一個或多個安全網關����,每個安全網關對應一個或多個應用;
[0057]接收網關單元���,適于接收對應安全網關返回的網絡連接請求處理結果����。
[0058]可選地����,該裝置進一步包括:關系列表獲取單元���,適于從企業(yè)網絡安全管理服務器獲取應用和安全網關的對應關系列表;
[0059]所述發(fā)送網關單元��,適于根據所述對應關系列表將網絡連接請求發(fā)送到對應的安全網關�。
[0060]可選地,所述發(fā)送網關單元����,進一步適于在將移動終端上的應用發(fā)起的網絡連接請求發(fā)送到企業(yè)網絡的與該應用對應安全網關之前,對該網絡連接請求進行加密處理���;
[0061]所述接收網關單元�����,進一步適于對安全網關返回的網絡連接請求處理結果進行解密處理�。
[0062]可選地���,該裝置進一步包括:配置表獲取單元�,適于從企業(yè)網絡安全管理服務器獲取應用配置表�;
[0063]發(fā)送網關單元���,適于根據應用配置表判斷該應用的數(shù)據流量是否通過安全網關����,是則才將該應用發(fā)起的網絡連接請求發(fā)送到企業(yè)網絡的與該應用對應安全網關。
[0064]可選地�,該裝置進一步包括:
[0065]提示單元,適于當對應安全網關返回的網絡連接請求處理結果表示阻斷相應網絡連接請求時�����,在移動終端界面上彈窗顯示被阻斷的結果和原因����。
[0066]可選地,該裝置進一步包括:權限獲取單元��,適于獲取所述移動能終端的操作系統(tǒng)的平臺簽名�����,基于該平臺簽名獲取操作系統(tǒng)的相應權限���;
[0067]所述發(fā)送網關單元����,適于基于獲取的所述相應權限將移動終端上的應用發(fā)起的網絡連接請求發(fā)送到企業(yè)網絡的與該應用對應安全網關。
[0068]依據本發(fā)明的再一方面���,提供了一種企業(yè)網絡安全管理系統(tǒng)����,包括:企業(yè)網絡安全管理服務器