技術領域

本發明屬于信息安全技術領域，尤其涉及一種無線終端安全接入信息內網的系統及方法。

背景技術

隨著智能電網和SG-ERP(國家電網資源計劃)的建設，對國家電網公司信息安全的機密性、完整性和可用性提出了更高的要求。目前，各類應用系統已逐步采用移動作業終端接入方式通過GPRS/CDMA/3G等無線接入技術和信息內網進行數據交換。在這種形勢下，如何保證各類分散的接入對象安全、可信地連入電力信息網絡，同時保證機密數據不會遭到泄露，并且實現對接入對象和操作的監控與審計，已成為支撐當前公司SG-ERP發展的基礎動力。同時，未來智能電網更加復雜的接入環境、多樣靈活的接入方式、數量龐大的接入終端對信息的安全、可信、可控的接入都提出了新的要求。

目前，傳統的接入信息內網的系統及方法存在智能化和安全性低、容易泄露機密數據、接入效果差的問題。

發明內容

本發明實施例的目的在于提供一種無線終端安全接入信息內網的系統及方法，旨在解決目前，傳統的接入信息內網的系統及方法存在智能化和安全性低、容易泄露機密數據、接入效果差的問題。

本發明實施例是這樣實現的，一種無線終端安全接入信息內網的系統，包括安全終端層、安全通道層、和業務訪問層，安全接入層設置在業務訪問層之間，安全接入層包括：集中監控系統、第一交換機、身份認證系統、安全數據過濾系統、第二交換機、移動接入網關、安全接入網關、防火墻、接入交換機；

第一交換機設置在應用實現對安全接入平臺有效的管控流程和機制集中監管系統和身份認證系統之間，用于對接入終端進行身份認證和識別的身份認證系統設置在第一交換機的右側，用于實現對終端訪問信息內網業務系統的行為的安全審查，對交換數據的內容檢查過濾，提供對整個數據交換行為的完整審計安全的數據過濾系統設置在第一交換機的下端，第二交換機設置在安全數據過濾系統的下端，用于各類無線終端的安全接入，并在終端與網關之間建立加密隧道，對傳輸數據進行加密通訊的移動接入網關設置在第二交換機的左側，用于各類無線終端的安全接入，并在終端與網關之間建立加密隧道，對傳輸數據進行加密通訊的安全接入網關設置在第二交換機的右側，防火墻設置在第二交換機的下端，接入交換機設置在防火墻的下端。

進一步，移動接入網關、安全接入網關部署在無線公網的網絡邊界上。

進一步，數據過濾系統提供對整個數據交換行為的完整審計，包括數據來源、交換發生時間、數據交換的目標、數據交換，確保終端對信息內網的業務的安全訪問。

進一步，接入終端采用數字證書、用戶名/口令、設備特征等進行身份認證，在接入網關側對接入終端的數字證書做安全檢查，實現對各種接入對象如人員、主機、移動終端的高強度身份認證。

進一步，集中監管系統實現對安全接入平臺中的各類接入終端、網絡通道、應用系統的全面的監測、分析、評估，監管管理模塊采用圖形化的展現形式，直觀的反應當前平臺的運行情況。

進一步，安全終端層設置在無線終端安全接入信息內網的系統的最底端，安全通道層設置在安全終端層和安全接入層之間，業務訪問層設置在安全接入層的上端。

進一步，安全終端層包括：數據采集終端、移動辦公終端、PDA智能手機；

數據采集終端設置在安全終端層的最左側，移動辦公終端設置在數據采集終端和PDA智能手機之間，PDA智能手機設置在移動辦公終端的右側；

安全通道層包括：APN通道和運營商內部網絡；

APN通道設置在接入交換機和運營商內部網絡之間，運營商內部網絡設置在APN通道的下端，集中監控系統設置在安全接入層的左上側；

安全接入層包括：集中監控系統、第一交換機、身份認證系統、安全數據過濾系統、第二交換機、移動接入網關、安全接入網關、防火墻、接入交換機；

第一交換機設置在集中監管系統和身份認證系統之間，身份認證系統設置在第一交換機的右側，安全數據過濾系統設置在第一交換機的下端，第二交換機設置在安全數據過濾系統的下端，移動接入網關設置在第二交換機的左側，安全接入網關設置在第二交換機的右側，防火墻設置在第二交換機的下端，接入交換機設置在防火墻的下端。

本發明實施例的另一目的在于提供一種無線終端安全接入信息內網的方法，該無線終端安全接入信息內網的方法包括以下步驟：

步驟一，進行身份認證；

步驟二，進行集中監管；

步驟三，將數據過濾系統部署在移動接入網關和安全接入網關上；

步驟四，在終端與網關之間建立加密隧道；