技術領域

本發明涉及網絡信息安全領域，特別是指一種云安全網關及云安全系統。

背景技術

隨著信息化進程的深入和互聯網的迅速發展，人們的工作、學習和生活方式正在發生巨大變化，效率大為提高，信息資源得到最大程度的共享。但緊隨信息化發展而來的網絡安全問題日漸凸出，如果不很好的解決這個問題，必將阻礙信息化發展的進程。

互聯網與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網絡環境為信息共享、信息交流、信息服務創造了理想空間，網絡技術的迅速發展和廣泛應用，為人類社會的進步提供了巨大推動力。然而，正是由于互聯網的上述特性，產生了許多安全問題：

a)信息泄漏、信息污染、信息不易受控。例如，資源未授權侵用、未授權信息流出現、系統拒絕信息流和系統否認等，這些都是信息安全的技術難點。

b)在網絡環境中，一些組織或個人出于某種特殊目的，進行信息泄密、信息破壞、信息侵權和意識形態的信息滲透，甚至通過網絡進行政治顛覆等活動，使國家利益、社會公共利益和各類主體的合法權益受到威脅。

c)網絡運用的趨勢是全社會廣泛參與，隨之而來的是控制權分散的管理問題。由于人們利益、目標、價值的分歧，使信息資源的保護和管理出現脫節和真空，從而使信息安全問題變得廣泛而復雜。

d)隨著社會重要基礎設施的高度信息化，社會的“命脈”和核心控制系統有可能面臨惡意攻擊而導致損壞和癱瘓，包括國防通信設施、動力控制網、金融系統和政府網站等。

當前，制約我國提高網絡安全防御能力的主要因素有以下幾方面。

a)缺乏自主的計算機網絡和軟件核心技術；

b)安全意識淡薄是網絡安全的瓶頸；

c)運行管理機制的缺陷和不足制約了安全防范的力度；

d)缺乏行之有效的安全檢查和制度化的防范機制。

現有技術中采用的安全方案一般包括：防火墻技術，安全路由器等。但是防火墻技術雖然可以阻斷攻擊，但是不能消滅攻擊源，不能抵抗最新的未設置策略的攻擊漏洞，且并發連接數限制容易導致擁塞或者溢出；安全路由器對用戶訪問的認證存在問題，遠程攻擊者可以利用此漏洞非授權訪問設備，存在極大的安全隱患。

發明內容

本發明的目的在于提供一種云安全網關及云安全系統，解決了現有技術中的由于防火墻技術和/或安全路由器存在漏洞而導致的網絡安全的問題。

為了達到上述目的，本發明實施例提供一種云安全網關，包括：內網口，信息處理單元，會話管理單元以及外網口；其中，

內網口接收用戶設備通過有線網絡發送的明文業務數據，然后將接收到的明文業務數據傳輸給所述信息處理單元，經過所述信息處理單元的加密處理，并由會話管理單元核驗用戶設備的身份后，得到加密的業務數據，最后將所述加密的業務數據利用有線網絡并通過外網口傳輸至云服務器進行保存。

其中，所述信息處理單元包括：

與所述內網口連接的網絡數據接口；

與所述網絡數據接口連接的格式轉換模塊；

與所述格式轉換模塊連接的信息加密單元；其中，

網絡數據接口接收從所述內網口傳輸過來的明文業務數據，并將明文業務數據傳輸給所述格式轉換模塊，經過所述格式轉換模塊的格式轉換處理得到預設格式的數據，再由所述信息加密單元對所述預設格式的數據進行加密處理得到加密的業務數據。

其中，所述會話管理單元還用于管理所述信息處理單元對明文業務數據進行加密處理過程中的加密密鑰。

其中，所述會話管理單元還用于管理與所述云安全網關建立通信的用戶設 備的通信數據；所述通信數據包括帶寬和數據權限。

其中，所述云安全網關還包括：

與所述用戶設備通過總線連接的總線數據接收單元；

與所述總線數據接收單元連接的總線協議轉換單元；其中，

總線數據接收單元接收用戶設備通過總線發送的業務數據，并將業務數據傳輸給所述總線協議轉換單元，經過所述總線協議轉換單元的轉換處理，得到格式與所述網絡數據接口輸出的數據相同的明文業務數據，并將明文業務數據傳輸給所述格式轉換模塊。

其中，所述云安全網關還包括：

與所述內網口連接的內網感知單元；

以及審計單元和日志單元；

其中，

所述審計單元用于用戶設備和云安全網關之間的通信過程的審計；

所述日志單元用于用戶設備和云安全網關之間的通信過程的日志記錄。