本發明公開了一種基于零信任驗證的積極防御系統。該系統包括：身份驗證處理模塊、內網安全評估模塊和安全決策模塊；身份驗證處理模塊響應于訪問客戶端的訪問請求，將訪問客戶端的身份信息與數據庫中的白名單進行匹配，身份信息包括源IP地址、源端口、目的IP地址、協議號和目的端口；內網安全評估模塊響應于訪問客戶端的訪問請求，對訪問客戶端請求訪問的業務系統進行安全評估；安全決策模塊在身份信息與白名單相匹配且評估結果為安全時，允許訪問客戶端訪問業務系統，否則，不允許訪問客戶端訪問業務系統。本發明在允許訪問客戶端訪問業務系統之前，對訪問客戶端及其請求訪問的業務系統內網均進行安全性評估，實現了云計算環境下的信息安全防御。

技術領域

本發明涉及網絡安全防護領域，特別是涉及一種基于零信任驗證的積極防御系統。

背景技術

長期以來，信息網絡通過隔離確保被保護目標的局部安全。現在隨著5G、物聯網、人工智能、云計算和移動互聯的普及，傳統的殺病毒、防火墻、入侵系統檢測難以應對人為攻擊。

當前網絡隔離無法適應云計算環境特性，尤其是云計算應用導致的邊界虛擬化、動態變化。而且，在當前的云計算時代，用戶能夠與非授權的業務系統建立連接，同時攻擊可能來自業務系統的內網，網絡防護形同虛設，攻擊者能夠輕松獲得訪問客戶端信息和業務系統訪問權限，在不合規情況下造成信息系統的數據泄露。

發明內容

本發明的目的是提供一種基于零信任驗證的積極防御系統，在允許訪問客戶端訪問業務系統之前，對訪問客戶端及其請求訪問的業務系統內網均進行安全性評估，以實現云計算環境下的信息安全防御。

為實現上述目的，本發明提供了如下方案：

一種基于零信任驗證的積極防御系統，包括：身份驗證處理模塊、內網安全評估模塊以及安全決策模塊；所述身份驗證處理模塊響應于訪問客戶端的訪問請求，將訪問客戶端的身份信息與數據庫中的白名單進行匹配，所述身份信息包括源IP地址、源端口、目的IP地址、協議號和目的端口；所述內網安全評估模塊響應于訪問客戶端的訪問請求，對所述訪問客戶端請求訪問的業務系統進行安全評估；所述安全決策模塊在所述身份信息與白名單相匹配且評估結果為安全時，允許所述訪問客戶端訪問所述業務系統，否則，不允許所述訪問客戶端訪問所述業務系統。

可選的，所述基于零信任驗證的積極防御系統還包括訪問控制模塊，所述訪問控制模塊響應于訪問客戶端的訪問請求，提取所述訪問客戶端的身份信息并將所述身份信息發送至所述身份驗證處理模塊。

可選的，所述訪問控制模塊響應于訪問客戶端的訪問請求，向所述內網安全評估模塊發送對所述訪問客戶端請求訪問的業務系統進行安全評估的通知。

可選的，所述內網安全評估模塊在所述評估結果為不安全時，向所述業務系統發送內網不安全警報。

可選的，所述業務系統在接收到所述內網不安全警報后，暫時關閉所述業務系統的訪問端口。

可選的，所述身份驗證處理模塊在所述身份信息與白名單相匹配時，將所述身份信息寫入所述安全決策模塊中的客戶端白名單。

可選的，所述身份驗證處理模塊響應于訪問客戶端的訪問請求，還將訪問客戶端的身份信息與數據庫中的黑名單進行匹配，并在所述身份信息與所述黑名單相匹配時，將所述身份信息寫入所述安全決策模塊中的客戶端黑名單。

可選的，所述身份驗證處理模塊在所述身份信息與所述白名單和所述黑名單均不匹配時，將所述身份信息寫入所述安全決策模塊中的客戶端灰名單。

可選的，所述內網安全評估模塊在業務系統的安全評估結果為安全時，將所述業務系統寫入所述安全決策模塊中的安全業務系統名單。