技術(shù)領(lǐng)域

本發(fā)明涉及一種橫向聯(lián)網(wǎng)的安全訪問(wèn)控制方法。

背景技術(shù)

現(xiàn)有的橫向聯(lián)網(wǎng)系統(tǒng)，例如財(cái)稅庫(kù)橫向聯(lián)網(wǎng)系統(tǒng)，其特點(diǎn)是多模塊、多角色、多業(yè)務(wù)，而且稅款入庫(kù)環(huán)節(jié)眾多，速度緩慢。因此，財(cái)稅部門(mén)對(duì)經(jīng)收稅款的專業(yè)銀行缺乏有效的監(jiān)督管理手段，而且業(yè)務(wù)員在業(yè)務(wù)量較大時(shí)也容易出現(xiàn)差錯(cuò)。目前，財(cái)稅橫向聯(lián)網(wǎng)面臨著內(nèi)部和外部的安全威脅，從內(nèi)部來(lái)說(shuō)，由于工作人員Internet網(wǎng)絡(luò)，外接有毒U盤(pán)等行為，存在將病毒傳染至業(yè)務(wù)網(wǎng)絡(luò)的威脅；從外部來(lái)說(shuō)，存在非授權(quán)人員私自介入財(cái)稅業(yè)務(wù)網(wǎng)絡(luò)，傳播病毒、竊取或篡改數(shù)據(jù)等安全威脅。另外，在多個(gè)終端計(jì)算機(jī)在進(jìn)行業(yè)務(wù)數(shù)據(jù)傳輸與交換時(shí)，容易出現(xiàn)流程不規(guī)范，從而引發(fā)數(shù)據(jù)外泄，由此也會(huì)為財(cái)稅橫向聯(lián)網(wǎng)的安全造成威脅。

現(xiàn)有財(cái)稅部門(mén)信息系統(tǒng)一般采用“B/S”架構(gòu)和基于“用戶名+口令”的身份認(rèn)證方式來(lái)解決上述安全威脅。但是，隨著財(cái)稅部門(mén)業(yè)務(wù)工作站數(shù)量增加，以及移動(dòng)手提電腦等移動(dòng)介質(zhì)的普及，用戶可以在業(yè)務(wù)相關(guān)范圍外的設(shè)備上登陸信息系統(tǒng)，信息泄露和口令被破解的可能隨之增加。因此，用戶這種單一的身份認(rèn)證方式已經(jīng)不能滿足財(cái)稅部門(mén)信息系統(tǒng)的擴(kuò)展、保障安全性需求。

為了保證橫向網(wǎng)網(wǎng)絡(luò)安全，大部分財(cái)稅部門(mén)為業(yè)務(wù)主機(jī)安裝了殺毒軟件，但由于工作站主機(jī)數(shù)較多，維護(hù)量大，工作人員無(wú)法同時(shí)更新病毒數(shù)據(jù)庫(kù)，操作系統(tǒng)補(bǔ)丁更新也存在相關(guān)問(wèn)題，無(wú)法從根本解決財(cái)稅部門(mén)信息安全的威脅。

部分財(cái)稅部門(mén)為了防止外來(lái)人員隨意接入財(cái)稅部門(mén)內(nèi)部網(wǎng)絡(luò)，在接入層交換機(jī)設(shè)置IP、MAC地址與端口的綁定操作還有一些部門(mén)安裝了DS入侵檢測(cè)系統(tǒng)。但是，綁定IP和MAC地址的安全防御行為工作量較大，IP和MAC地址的更改較為輕松，導(dǎo)致地址綁定無(wú)效，IDS入侵檢測(cè)系統(tǒng)在威脅出現(xiàn)時(shí)僅僅能夠給出警報(bào)信息，無(wú)法進(jìn)行自動(dòng)的防御和糾正。

另外財(cái)政橫向聯(lián)網(wǎng)系統(tǒng)中安全訪問(wèn)入侵檢測(cè)過(guò)濾系統(tǒng)是系統(tǒng)中比較重要與核心的部分，而傳統(tǒng)的入侵檢測(cè)過(guò)濾過(guò)程采用順序匹配方法，直到第一條匹配的規(guī)則，一個(gè)過(guò)濾規(guī)則可能是幾百條或更多。由于過(guò)濾規(guī)則的順序匹配算法效率太低從而使系統(tǒng)防火墻吞吐量急劇下降，嚴(yán)重影響了網(wǎng)絡(luò)的性能，傳統(tǒng)防火墻之所以采用順序匹配是因?yàn)橐?guī)則之間存在某種關(guān)系，它們的順序決定了所使用的安全策略，如果順序改變則相應(yīng)的安全策略也會(huì)發(fā)生變化，所以首先來(lái)分析規(guī)則之間的關(guān)系。

發(fā)明內(nèi)容

為了克服已有橫向聯(lián)網(wǎng)的安全訪問(wèn)控制方法的安全性較低、安全控制工作效率較低的不足，本發(fā)明提供一種提高安全控制工作效率、提升安全性能的面向橫向聯(lián)網(wǎng)的安全訪問(wèn)控制方法。

本發(fā)明解決其技術(shù)問(wèn)題所采用的技術(shù)方案是：

一種面向橫向聯(lián)網(wǎng)的安全訪問(wèn)控制方法，所述控制方法包括以下步驟：

步驟1、首先根據(jù)源、目的地址，源、目的端口號(hào)，協(xié)議來(lái)設(shè)定的過(guò)濾規(guī)則，基于過(guò)濾規(guī)則這些域的比較來(lái)分析它們之間的聯(lián)系，其規(guī)則判斷如下：

如果規(guī)則Rx的任何域都不是規(guī)則Ry的子集超集，或者相等，那么Rx與Ry是完全無(wú)關(guān)的；

如果規(guī)則Rx的任何域和規(guī)則Ry的相應(yīng)域相等，那么那么Rx與Ry是相等的；

如果規(guī)則Rx的任何域都是規(guī)則Ry的相應(yīng)域的子集超集或者相等，那么Rx與Ry是包換關(guān)系；

步驟2、根據(jù)設(shè)定過(guò)濾規(guī)則對(duì)數(shù)據(jù)包進(jìn)行分類，哈希函數(shù)Hkey設(shè)計(jì)為：取IP地址、端口號(hào)各部分折疊、異或運(yùn)算后、以哈希表長(zhǎng)度取模；

首先將規(guī)則按照哈希函數(shù)進(jìn)行排列，通過(guò)哈希函數(shù)運(yùn)算，如果兩條規(guī)則經(jīng)過(guò)哈希函數(shù)運(yùn)算后落到同一位置，則把這兩條規(guī)則按照插入順序組成一個(gè)鏈表結(jié)構(gòu)；

基于索引結(jié)構(gòu)的算法主要將有關(guān)的規(guī)則組成一個(gè)鏈表，并按照規(guī)則的設(shè)置順序排列，為它們建立快速索引；

步驟3、通過(guò)對(duì)Rx，Ry相應(yīng)的域進(jìn)行比較判斷兩條規(guī)則是否存在屏蔽異常、相關(guān)性異常、包含異常、冗余異常，如果Ry的任何域都是Rx的相應(yīng)域子集或者相等，并且有相同的動(dòng)作，則Ry是Rx的冗余，如果動(dòng)作不同，則Ry被Rx屏蔽；如果Ry的任何域都是Rx的相應(yīng)域的超集，并且動(dòng)作相同，則Rx是Ry的潛在冗余，動(dòng)作不同則Ry是Rx的泛化；如果Rx的一些域是Ry的相應(yīng)域的子集或者相等，并且Rx的一些域是Ry相應(yīng)域的超集，并且動(dòng)作不同，則Rx與Ry相關(guān)異常；

步驟4、訪問(wèn)請(qǐng)求者向橫向聯(lián)網(wǎng)系統(tǒng)提出訪問(wèn)請(qǐng)求；

步驟5、系統(tǒng)驗(yàn)證登陸計(jì)算機(jī)IP和MAC地址，如果IP地址或者M(jìn)AC不在授權(quán)范圍內(nèi)，將進(jìn)行請(qǐng)求駁回，在授權(quán)范圍內(nèi)，轉(zhuǎn)入步驟6；