本發(fā)明公開了一種基于零信任驗證的積極防御系統(tǒng)。該系統(tǒng)包括：身份驗證處理模塊、內(nèi)網(wǎng)安全評估模塊和安全決策模塊；身份驗證處理模塊響應(yīng)于訪問客戶端的訪問請求，將訪問客戶端的身份信息與數(shù)據(jù)庫中的白名單進(jìn)行匹配，身份信息包括源IP地址、源端口、目的IP地址、協(xié)議號和目的端口；內(nèi)網(wǎng)安全評估模塊響應(yīng)于訪問客戶端的訪問請求，對訪問客戶端請求訪問的業(yè)務(wù)系統(tǒng)進(jìn)行安全評估；安全決策模塊在身份信息與白名單相匹配且評估結(jié)果為安全時，允許訪問客戶端訪問業(yè)務(wù)系統(tǒng)，否則，不允許訪問客戶端訪問業(yè)務(wù)系統(tǒng)。本發(fā)明在允許訪問客戶端訪問業(yè)務(wù)系統(tǒng)之前，對訪問客戶端及其請求訪問的業(yè)務(wù)系統(tǒng)內(nèi)網(wǎng)均進(jìn)行安全性評估，實現(xiàn)了云計算環(huán)境下的信息安全防御。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全防護(hù)領(lǐng)域，特別是涉及一種基于零信任驗證的積極防御系統(tǒng)。

背景技術(shù)

長期以來，信息網(wǎng)絡(luò)通過隔離確保被保護(hù)目標(biāo)的局部安全。現(xiàn)在隨著5G、物聯(lián)網(wǎng)、人工智能、云計算和移動互聯(lián)的普及，傳統(tǒng)的殺病毒、防火墻、入侵系統(tǒng)檢測難以應(yīng)對人為攻擊。

當(dāng)前網(wǎng)絡(luò)隔離無法適應(yīng)云計算環(huán)境特性，尤其是云計算應(yīng)用導(dǎo)致的邊界虛擬化、動態(tài)變化。而且，在當(dāng)前的云計算時代，用戶能夠與非授權(quán)的業(yè)務(wù)系統(tǒng)建立連接，同時攻擊可能來自業(yè)務(wù)系統(tǒng)的內(nèi)網(wǎng)，網(wǎng)絡(luò)防護(hù)形同虛設(shè)，攻擊者能夠輕松獲得訪問客戶端信息和業(yè)務(wù)系統(tǒng)訪問權(quán)限，在不合規(guī)情況下造成信息系統(tǒng)的數(shù)據(jù)泄露。

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種基于零信任驗證的積極防御系統(tǒng)，在允許訪問客戶端訪問業(yè)務(wù)系統(tǒng)之前，對訪問客戶端及其請求訪問的業(yè)務(wù)系統(tǒng)內(nèi)網(wǎng)均進(jìn)行安全性評估，以實現(xiàn)云計算環(huán)境下的信息安全防御。

為實現(xiàn)上述目的，本發(fā)明提供了如下方案：

一種基于零信任驗證的積極防御系統(tǒng)，包括：身份驗證處理模塊、內(nèi)網(wǎng)安全評估模塊以及安全決策模塊；所述身份驗證處理模塊響應(yīng)于訪問客戶端的訪問請求，將訪問客戶端的身份信息與數(shù)據(jù)庫中的白名單進(jìn)行匹配，所述身份信息包括源IP地址、源端口、目的IP地址、協(xié)議號和目的端口；所述內(nèi)網(wǎng)安全評估模塊響應(yīng)于訪問客戶端的訪問請求，對所述訪問客戶端請求訪問的業(yè)務(wù)系統(tǒng)進(jìn)行安全評估；所述安全決策模塊在所述身份信息與白名單相匹配且評估結(jié)果為安全時，允許所述訪問客戶端訪問所述業(yè)務(wù)系統(tǒng)，否則，不允許所述訪問客戶端訪問所述業(yè)務(wù)系統(tǒng)。

可選的，所述基于零信任驗證的積極防御系統(tǒng)還包括訪問控制模塊，所述訪問控制模塊響應(yīng)于訪問客戶端的訪問請求，提取所述訪問客戶端的身份信息并將所述身份信息發(fā)送至所述身份驗證處理模塊。

可選的，所述訪問控制模塊響應(yīng)于訪問客戶端的訪問請求，向所述內(nèi)網(wǎng)安全評估模塊發(fā)送對所述訪問客戶端請求訪問的業(yè)務(wù)系統(tǒng)進(jìn)行安全評估的通知。

可選的，所述內(nèi)網(wǎng)安全評估模塊在所述評估結(jié)果為不安全時，向所述業(yè)務(wù)系統(tǒng)發(fā)送內(nèi)網(wǎng)不安全警報。

可選的，所述業(yè)務(wù)系統(tǒng)在接收到所述內(nèi)網(wǎng)不安全警報后，暫時關(guān)閉所述業(yè)務(wù)系統(tǒng)的訪問端口。

可選的，所述身份驗證處理模塊在所述身份信息與白名單相匹配時，將所述身份信息寫入所述安全決策模塊中的客戶端白名單。

可選的，所述身份驗證處理模塊響應(yīng)于訪問客戶端的訪問請求，還將訪問客戶端的身份信息與數(shù)據(jù)庫中的黑名單進(jìn)行匹配，并在所述身份信息與所述黑名單相匹配時，將所述身份信息寫入所述安全決策模塊中的客戶端黑名單。

可選的，所述身份驗證處理模塊在所述身份信息與所述白名單和所述黑名單均不匹配時，將所述身份信息寫入所述安全決策模塊中的客戶端灰名單。

可選的，所述內(nèi)網(wǎng)安全評估模塊在業(yè)務(wù)系統(tǒng)的安全評估結(jié)果為安全時，將所述業(yè)務(wù)系統(tǒng)寫入所述安全決策模塊中的安全業(yè)務(wù)系統(tǒng)名單。