一種等級保護安全邊界的檢查方法，首先要為域內所有連入網絡的機器安裝探頭軟件，不同域的各個探頭之間每隔24小時進行一次通訊，且返回源IP地址、目的IP地址及通訊是否成功的反饋結果等數據，接著將返回數據統一上傳至數據庫服務器，并根據源IP地址和目的IP地址所屬域，按照每兩個域之間有兩種指向來標志，根據域的數量M，建立M*(M?1)張表來分別存儲返還數據，然后采對同一個域中的探頭反饋的重復數據進行歸并，得到各個域之間的邊界訪問策略，最后將每次返回數據的處理結果和前一次進行比對，由此得知安全邊界的調整變化情況。本發明能夠提高識別效率和準確度，且在安全防護邊界經常性變動的情況下，確保安全防護邊界有效性并能及時地發現安全隱患。

技術領域：

本發明涉及信息安全等級保護技術領域，具體講是一種等級保護安全邊界的檢查方法。

背景技術：

根據國家電網公司信息化SG186工程安全總體防護方案，對管理信息大區系統的安全防護體系建設采用了“分區、分級、分域”的安全防護方針，將各系統劃分至相應安全域進行防護，具體是指在國家電網公司信息系統劃分為管理信息大區與生產控制大區的基礎上，將管理信息大區的系統依據定級情況及業務系統類型，進行安全域的劃分，以實現不同安全域的獨立化、差異化的防護，在分域防護的基礎上，將各安全域的信息系統劃分為邊界、網絡、主機、應用四個層次進行安全防護設計。

國家電網公司對不同的安全域之間所交換的數據流采取訪問控制措施，部署在等級保護安全邊界上，具體措施包括硬件或軟件防火墻、虛擬防火墻技術以及VLAN間訪問控制技術，具體實現方式各可根據具體情況進行選擇。

在實際生產運營中，由于業務需求，各安全域之間的安全防護邊界會經常進行更改變動，為了確保安全防護邊界的有效性，需要對其進行定期檢查。目前的信息安全等級保護的邊界通常采用手工檢查的方式，因此存在效率低下，識別困難，效果較差等問題。

發明內容：

本發明要解決的技術問題是，提供一種不但能夠提高識別的效率和準確度，而且可以在安全防護邊界經常性變動的情況下，確保安全防護邊界的有效性并能及時地發現安全隱患的等級保護安全邊界的檢查方法。

本發明的技術解決方案是，提供一種等級保護安全邊界的檢查方法，包括該檢查方法包括以下步驟：

①為域內所有連入網絡的機器安裝探頭軟件；

②不同域的各個探頭之間每隔24小時進行一次通訊，通訊采用全端口掃描的方式，且返回以下數據：源IP地址、目的IP地址、協議、端口號及通訊是否成功的反饋結果；

③將步驟②中所述的返回數據統一上傳至數據庫服務器，并根據源IP地址和目的IP地址所屬域，按照每兩個域之間有兩種指向來標志，根據域的數量M，建立M*(M-1)張表，來分別存儲以上返回數據；

④對同一個域中的探頭反饋的重復數據進行歸并，最終得到各個域之間的邊界訪問策略；

⑤將每次返回數據的處理結果和前一次進行比對，由此得知安全邊界的調整變化情況。

本發明一種等級保護安全邊界的檢查方法具有的有益效果是：

1、本發明能夠提高識別的效率和準確度。

2、在安全防護邊界經常性變動的情況下，本發明可以確保安全防護邊界的有效性并能及時地發現安全隱患。

附圖說明：

圖1是信息安全防護體系分域后的結構示意圖。

具體實施方式：

下面結合附圖和具體實施方式對本發明一種等級保護安全邊界的檢查方法作進一步說明：