技術領域

本發明涉及一種安全隔離管控系統，尤其涉及一種部署于應急通信網與公網的網關之間、實現基于IP的信令和數據的綜合安全防護的系統。

涉及專利分類號H04電通信技術H04L數字信息的傳輸，例如電報通信H04L29/00H04L1/00至H04L27/00單個組中不包含的裝置、設備、電路和系統H04L29/02通信控制；通信處理H04L29/06以協議為特征的。

背景技術

應急通信網和公網以IP方式連接，必然為原封閉運行的專網系統帶來安全威脅，同時系統的會話控制協議本身也存在被攻擊的安全漏洞。目前的應急通信網在與公網進行數據交互時存在以下安全隱患：

傳統IP網絡的安全漏洞帶來的非法掃描、DDOS、木馬及病毒等安全威脅；

SIP協議本身的安全漏洞，如會導致對業務控制節點洪泛攻擊、對正常通話非法中止的阻斷攻擊等；

合法用戶的非法行為異常，如用戶超權資源占用、用戶合法信令的異常組合等。

而目前已有的安全隔離系統，存在以下應用缺欠：

1.現有系統主要是針對內外網之間的數據進行物理通路的隔絕，是基于通用的硬件設備實體，雖能達到隔絕的效果，但對于應急通信網應用場景和業務需求不能滿足要求；

2.現有系統只針對單一的網絡拓撲層進行防護，如：應用層的呼叫流程防護；數據鏈路層DDOS、病毒、木馬等，起不到一個綜合全面的防護效果；

3.接入設備需改變網絡拓撲、增加網絡時延，對現網造成較大影響；同時自身設備的故障也是一個很大的安全隱患。

因此具備全方位、高可靠、無感知等特點的安全隔離平臺是根本解決上述安全問題的必要途徑。

發明內容

本發明針對以上問題的提出，而研制的一種安全隔離管控系統，具有：對網絡數據層、高層協議層的數據防護，對用戶業務和行為管控的識別子系統和管控操作子系統，以及對前端設備篩選出的數據包進行進一步的綜合處理并完成策略的配置和管理的綜合處理子系統，

所述的識別子系統和管控操作子系統駐留在前端設備；所述的綜合處理子系統駐留在后段設備；

所述的識別子系統具有：

網絡層數據防護模塊：采用深度包檢測DPI和深度流DFI技術對數據包進行線速分析；對協議數據的各字段進行檢測；檢測過濾碎片、異常分段的畸形報文；對至少包括ICMP和SNMP的網絡典型檢測報文進行過濾；系統對系統指定IP地址和端口的UDP數據進行檢測與管控；

SIP協議防護模塊：對SIP數據解封裝，分析SIP控制信令消息和SIP數據消息；設置SIP協議允許業務過濾規則，保證已注冊有效業務類型的通信；動態記錄專網內用戶IP地址與SIP URI對應關系，過濾針對非專網內注冊用戶的SIP報文；監控并管理用戶通信CALLID活動狀態；具備SIP異常控制信令消息檢測過濾規則，支持根據用戶會話狀態的異常SIP協議流程檢測策略，防止非法用戶以假冒身份干涉用戶通信；通過對用戶訪問網絡行為規律的記錄，檢測異常接入行為；

數據轉發模塊：對管理數據包、會話控制數據包、話音和數據報數據包和注冊認證數據包進行透明轉發；

所述的管控操作子系統包括：

用戶業務管控模塊：通過數據流分析，實現用戶身份信息、用戶IP地址及用戶訪問權限的對應；通過動態地設置業務管控策略，對應用層業務數據進行選通過濾；根據用戶權限對用戶業務進行監控過濾，實時阻斷用戶越權訪問行為；

防護策略管控模塊：根據防護策略對指定IP地址、UDP端口、報文類型、協議類型進行配置；對SIP異常控制信令配置過濾規則，對非法用戶部署過濾規則，保證合法信令透明轉發；使用數據形式一次性配置完成，也可以在使用過程中通過命令/報告的形式動態更新、查看；

綜合處理子系統包括：

操作維護管理模塊：采用SNMP協議和綜合設備管理系統查詢軟件綜合安全隔離管控平臺進行上報；采用查詢和上報正在實施的安全管控和過濾規則，動態增加安全管控和過濾規則后，能夠實時上報到綜合設備管理系統；支持查詢和上報正在運行的木馬特征庫版本，動態增加木馬特征后，能夠實時上報到綜合設備管理系統；

非法數據流上報模塊：將檢測得到的非法數據流信息上報；

告警上報模塊：對于至少包含木馬和惡意協議的行為、非法探測行為、非法業務行為、超限業務行為和非法用戶進行實時動態攔截；同時向綜合設備管理系統實時告警，告警內容包括：安全威脅類型、目標地址、端口號、源地址、端口號以及協議類型；上報板卡和端口運行故障；