技術領域

本發明涉及網絡安全領域，特別涉及局域網系統和維護局域網信息安全的方法。

背景技術

網絡環境下的信息安全問題，比單機環境下要復雜得多。目前存在的多數網絡安全問題 并非來自網絡外部，而是由局域網內部的惡意者或非法操作者造成的。局域網的安全與可信 已成為廣域網安全的前提和必要條件，只有先解決好局域網的安全問題，才能解決好更大規 模網絡的安全問題。

在諸多的局域網安全問題中，機密信息泄露造成的危害極大。據資料記載，大部分的機 密、敏感數據，70％以上都是被內部員工從內部網絡系統的桌面終端計算機上，通過各種傳 輸、復制等途徑泄露出去的。由此可見，如何防范局域網內的安全隱患，尤其是如何防止局 域網內部信息的非法訪問及泄露已成為當前網絡安全領域的重要方面。

在對現有技術進行分析后，發明人發現，現有各類解決方案的特點，一是通常采用自主 訪問控制策略，這樣雖能防止非法用戶的數據訪問行為，卻往往無法防范合法用戶有意或無 意的數據泄密；二是大都依賴于密碼學技術，對數據信息的加密防護在一定程度上防止了信 息泄露，但合法用戶持有的明文則難以得到安全保護；三是采用的技術較為單一，比如僅針 對局域網內部信息交換進行防控，或防范由移動存儲設備造成的信息泄露，鮮有針對局域網 的體系結構進行考慮的。

此外，業界現有的綜合性解決方案，雖在實踐上獲得了一定應用，但并沒能形成一套完 整的理論體系和完善的解決方案，以指導局域網安全系統的構建。不同的內網安全系統往往 采用不同的體系結構，一方面適應了某些特定需求，另一方面也使得對于這些系統安全性的 評定顯得較為復雜，難以從理論上驗證其安全可信。

發明內容

為了提高資源訪問的安全性與便捷性，本發明實施例提供了一種局域網系統和維護局域 網信息安全的方法。所述技術方案如下：

一種局域網系統，包括：網絡監控設備以及與所述網絡監控設備分別相連的安全終端、 主控制服務器、公共涉密資源服務器、私有涉密資源服務器和防護服務器，

所述網絡監控設備，用于根據網絡安全策略，監控所述安全終端之間以及所述安全終端 與外網之間數據的交換和轉發；

所述安全終端具有身份標識，包括：

劃分模塊，用于劃分所述安全終端的邏輯存儲區域；

認證模塊，用于獲取用戶的身份認證信息和所述用戶的登錄模式；將所述身份認證信息 和所述登錄模式通過所述網絡監控設備發送給所述主控制服務器；

本地監控模塊，用于根據本地安全策略、所述用戶的在線信息和所述登錄模式監控所述 用戶對所述系統的訪問；

所述主控制服務器，用于驗證所述安全終端發來的所述身份認證信息，初始化所述用戶 的密級為最低密級并發送給所述安全終端；維護所述網絡安全策略、所述本地安全策略和所 述用戶的當前密級、最高密級、在線信息；將驗證結果通過所述網絡監控設備發送給所述安 全終端；將所述用戶的在線信息與當前密級信息發送給網絡監控設備、公共涉密資源服務器、 私有涉密資源服務器、防護服務器；

所述公共涉密資源服務器，用于提供所述系統內公共涉密資源的集中式存儲，并根據所 述當前密級信息對所述用戶進行訪問控制，管理所述公共涉密資源的密級，并維護公共涉密 資源的更新信息；

所述私有涉密資源服務器，用于提供所述系統內私有涉密資源的網絡分布式存儲，并根 據所述在線信息與當前密級信息對所述用戶進行訪問控制；

所述防護服務器，用于提供對所述安全終端的邏輯存儲區域的數據還原保護。

一種維護局域網信息安全的方法，包括以下步驟：

安全終端將用戶輸入的認證信息和登錄模式轉發給主控制服務器；

所述主控制服務器根據所述認證信息驗證所述用戶的身份，所述用戶如果驗證通過：

所述主控制服務器更新所述用戶的在線信息；所述主控制服務器根據所述登錄模式、所 述認證信息以及所述安全終端的身份標識確定對所述用戶執行的本地安全策略和網絡安全策 略，將所述本地安全策略發送給所述安全終端，并將所述網絡安全策略發送給所述網絡監控 設備；初始化所述用戶的密級為最低密級并發送給所述安全終端；維護所述本地安全策略、 網絡安全策略和所述用戶的當前密級、最高密級、在線信息；將所述用戶的在線信息與當前 密級信息發送給網絡監控設備、公共涉密資源服務器、私有涉密資源服務器、防護服務器；