2. 技术
  3. 一种一体化平台的零信任安全防护系统的制作方法

一种一体化平台的零信任安全防护系统的制作方法

xiaoxiao12天前  12

本发明属于网络安全,尤其涉及一种一体化平台的零信任安全防护系统。


背景技术:

1、随着工业互联网技术的快速发展,传统分散、独立的设计、制造、运维业务模式开始向集中、协同的设计制造运维一体化业务模式转型,设计制造运维一体化平台应运而生。设计制造运维一体化平台基于工业互联网、大数据、人工智能等技术构建统一的网络、算力、数据资源基础平台,通过建立模型、数据的协作传递机制打破不同业务的模型、数据壁垒,以微服务技术建构灵活、多样、易扩展的设计制造运维服务应用,最终实现设计制造运维业务的高效协作和一体化。虽然设计制造运维一体化平台可极大提高企业设计制造运维业务运行效率,降低成本,但是伴随设计制造运维一体化平台将不同企业、不同安全域、不同保密要求的网络、算力、数据资源打通,数据跨网络跨安全域泄露,病毒、木马等内部传播扩散,内部恶意用户攻击等风险也急剧增大,如何有效提升设计制造运维一体化平台的安全防护能力,保障业务安全,变得越来越紧迫。

2、一体化平台传统的安全防护手段主要基于认证授权、防火墙、入侵检测、防病毒等建立边界防护。这种防护手段难以应对内部恶意用户,以及一体化平台内业务、应用、用户、数据协作交流导致传统安全边界被打破的场景。近年来,学者们提出了零信任防护技术,零信任技术快速发展。零信任技术也可应用于一体化平台安全防护,为一体化平台提供细粒度权限管控、持续安全监测等能力。但是现有的零信任安全防护架构没有考虑一体化平台场景下数据安全治理的需求,缺少与数据安全治理的联动手段,与外部安全防护设备的联动监测与处置方法也不明确,这导致现有架构应对一体化平台数据产生、处理、传输、共享、存储、销毁全生命周期安全风险的能力不足。

3、现有技术存在的技术问题在于:

4、1、现有零信任安全防护架构缺少数据安全治理部分,导致其不能适应一体化平台数据规模大、安全保密要求差异大、网络跨网跨域、数据使用主体多、数据权限动态管控的场景。

5、2、现有零信任架构缺少与数据安全治理的联动手段,导致其做动态访问控制、安全监测与风险处置时不能与数据的安全保密要求联动,缺乏基于数据资产的细粒度动态管控能力。

6、3、现有零信任架构缺少外部安全防护设备数据与处置决策联动的明确方法,虽然现有零信任架构包含安全状态持续监测的手段,但是持续监测的主要是平台内的用户或应用,缺少对平台运行环境相关的主机、安防设备以及网络流量的持续监测,且不能与防火墙、入侵检测系统以及身份认证系统进行处置联动,这导致其缺少动态适应平台运行环境的能力。


技术实现思路

1、本发明的目的在于:为了克服现有技术问题,公开了一种一体化平台的零信任安全防护系统,通过本发明系统的结构设置,解决了背景技术中涉及的现有技术问题。

2、本发明目的通过下述技术方案来实现:

3、一种一体化平台的零信任安全防护系统,所述零信任安全防护系统包括:

4、插装执行点,所述插装执行点嵌入一体化平台中访问主体向数据资产库请求数据资产的api中,被配置为实现请求的上下文信息收集,请求响应的数据资产信息收集,并向动态访问控制模块发起验证请求,并根据返回的验证响应,执行放行、阻断访问请求或请求响应操作;

5、动态访问控制模块,所述动态访问控制模块被配置为对访问主体的访问请求进行动态访问控制;

6、数据安全治理模块,所述数据安全治理模块被配置为对数据资产库中的数据资产进行治理,形成数据资产分级分类标识及资产态势信息;

7、安全监测与处置决策模块,所述安全监测与处置决策模块被配置为完成一体化平台运行环境的监测、动态访问控制模块的异常分析,并根据监测告警和异常信息生成相应的处置决策。

8、根据一个优选的实施方式,所述api被配置为完成对一体化平台中数据访问场景的全覆盖;

9、所述验证请求为包含访问主体id、目标数据资产名称及地址、时间信息的json/yaml文件;

10、所述验证响应为包含访问请求操作信息的json/yaml文件,访问请求的操作包括:放行、阻断、数据脱敏。

11、根据一个优选的实施方式,所述插装执行点根据需要向数据安全治理模块的数据脱敏引擎发送脱敏请求,并接收数据脱敏引擎返回的脱敏响应,并将脱敏响应中已脱敏的数据插入请求响应中返回给访问主体;

12、脱敏请求为包含访问主体id、时间、待脱敏数据等信息的json/yaml文件;脱敏响应为包含脱敏后数据的json/yaml文件。

13、根据一个优选的实施方式,所述动态访问控制模块包括:信任评估引擎、角色权限库和数据标识库;

14、所述信任评估引擎被配置为接收来自插装执行点的验证请求,并基于接收的安全监测与处置决策模块中事件处置引擎的处置决策信息、角色权限库的角色权限信息、数据标识库的数据资产标识信息对请求进行信任评估,并向插装执行点返回包含访问请求操作的验证响应;

15、所述角色权限库被配置为接收来自管理配置引擎的角色权限信息,进行存储,并根据信任评估引擎的请求返回所需的角色权限信息;

16、所述数据标识库被配置为接收来自数据分级分类引擎输出的数据资产标识,进行存储,并根据信息评估引擎的请求返回所需的数据资产标识。

17、根据一个优选的实施方式,所述处置决策信息为包含平台当前风险值、高风险设备、高风险业务、高风险用户等信息的json/yaml文件;

18、角色权限信息为包含角色id、角色名称、角色所属的组织、角色权限、角色权限范围等信息的json/yaml文件;

19、数据资产标识信息为包含数据id、数据名称、数据地址、数据分级分类标识等信息的json/yaml文件。

20、根据一个优选的实施方式,所述数据安全治理模块包括数据分级分类引擎、数据脱敏引擎、数据资产态势引擎;

21、所述数据分级分类引擎被配置为对数据资产库中的数据资产进行扫描,生成数据资产对应的数据标识,并将数据资产标识存入数据标识库,同时将数据资产、数据资产标识传输给数据资产态势引擎;

22、所述数据资产态势引擎被配置为接收来自数据分级分类引擎的数据资产、数据资产标识,生成数据资产态势,并向安全信息与事件管理中心传输数据资产态势信息;

23、所述数据脱敏引擎被配置为接收来自插装执行点的数据脱敏请求,执行数据脱敏,并将数据脱敏的结果返回给插装执行点。

24、根据一个优选的实施方式,所述数据资产态势包括数据资产条目总数、数据资产总量、数据资产每日新增量、每类数据资产条目总数、每类数据资产条目总量、每级数据资产条目总数、每级数据资产条目总量。

25、根据一个优选的实施方式,所述数据脱敏引擎采用的数据脱敏的方法包括:替换脱敏、加密脱敏、删除脱敏。

26、根据一个优选的实施方式,所述安全监测与处置决策模块包括异常分析引擎、监测预警引擎、安全信息与事件管理引擎、管理配置引擎及事件处置引擎;

27、所述异常分析引擎被配置为接收来自插装执行点的日志,进行异常分析,并向安全信息与事件管理中心传输分析获得的异常信息;

28、所述监测预警引擎被配置为接收来自外部设备传入的网络流量、主机日志、安防设备日志、威胁情报信息,通过融合分析,实现平台运行情况的监测,并根据监测获得的威胁信息生成威胁告警;

29、所述安全信息与事件管理中心被配置为接收来自监测预警引擎的监测告警、异常分析引擎的异常信息以及数据资产态势引擎的资产态势,对平台运行安全相关的用户、数据资产、设备、应用、监测告警、异常信息进行统计、分类、管理及态势分析,生成管理决策和处置决策;

30、所述管理配置引擎被配置为接收来自安全信息与事件管理中心的管理决策,生成系统的管理配置调整策略,并向角色权限库传输角色权限信息,向数据脱敏引擎传输脱敏规则、敏感词;

31、所述事件处置引擎被配置为接收来自安全信息与事件管理中心的处置决策,生成处置策略,并向信任评估引擎、防火墙、入侵检测设备、访问控制模块传输处置策略。

32、根据一个优选的实施方式,所述异常分析引擎输出的异常信息,包括:异常id、异常时间、发生异常的验证请求、异常置信度;

33、所述威胁告警包括:威胁类型、威胁等级、威胁时间、威胁来源、威胁影响范围信息;

34、管理决策为动态调整用户角色权限,包括:权限调整信息、有效时间信息;

35、处置决策为与防火墙、入侵检测设备、身份认证系统联动的策略,包括:联动的设备类型、联动策略信息。

36、前述本发明主方案及其各进一步选择方案可以自由组合以形成多个方案,均为本发明可采用并要求保护的方案。本领域技术人员在了解本发明方案后根据现有技术和公知常识可明了有多种组合,均为本发明所要保护的技术方案,在此不做穷举。

37、本发明的有益效果:

38、1、本发明是零信任架构在一体化平台安全防护中的创新实践,弥补了零信任架构缺少数据安全治理的缺陷,提升了监测预警与联动处置能力。

39、2、本发明为零信任架构提出了数据安全治理系统,包括数据分级分类与数据脱敏,提高了设计制造运维一体化平台数据安全治理能力。

40、3、本发明提出了动态访问控制、安全监测与处置决策与数据分级分类、数据脱敏等技术融合联动的方法,实现了零信任架构与数据治理技术的融合,为设计制造运维一体化平台建立了以数据为中心的安全防护体系,提升了一体化平台数据细粒度动态安全管控能力。

41、4、本发明为零信任架构建立了系统运行环境安全监测的方法,及与零信任架构联动的方法,实现了设计制造运维一体化平台对运行环境安全的感知与联动处置,提升了一体化平台的安全感知与自动处置能力。


技术特征:

1.一种一体化平台的零信任安全防护系统,其特征在于,所述零信任安全防护系统包括:

2.如权利要求1所述的零信任安全防护系统,其特征在于,所述api被配置为完成对一体化平台中数据访问场景的全覆盖;

3.如权利要求2所述的零信任安全防护系统,其特征在于,所述插装执行点根据需要向数据安全治理模块的数据脱敏引擎发送脱敏请求,并接收数据脱敏引擎返回的脱敏响应,并将脱敏响应中已脱敏的数据插入请求响应中返回给访问主体;

4.如权利要求1所述的零信任安全防护系统,其特征在于,所述动态访问控制模块包括:信任评估引擎、角色权限库和数据标识库;

5.如权利要求4所述的零信任安全防护系统,其特征在于,所述处置决策信息为包含平台当前风险值、高风险设备、高风险业务、高风险用户等信息的json/yaml文件;

6.如权利要求1所述的零信任安全防护系统,其特征在于,所述数据安全治理模块包括数据分级分类引擎、数据脱敏引擎、数据资产态势引擎;

7.如权利要求6所述的零信任安全防护系统,其特征在于,所述数据资产态势包括数据资产条目总数、数据资产总量、数据资产每日新增量、每类数据资产条目总数、每类数据资产条目总量、每级数据资产条目总数、每级数据资产条目总量。

8.如权利要求6所述的零信任安全防护系统,其特征在于,所述数据脱敏引擎采用的数据脱敏的方法包括:替换脱敏、加密脱敏、删除脱敏。

9.如权利要求1所述的零信任安全防护系统,其特征在于,所述安全监测与处置决策模块包括异常分析引擎、监测预警引擎、安全信息与事件管理引擎、管理配置引擎及事件处置引擎;

10.如权利要求9所述的零信任安全防护系统,其特征在于,所述异常分析引擎输出的异常信息,包括:异常id、异常时间、发生异常的验证请求、异常置信度;


技术总结
本发明公开了一种一体化平台的零信任安全防护系统,所述零信任安全防护系统包括:插装执行点,被配置为实现向动态访问控制模块发起验证请求,并根据返回的验证响应,执行放行、阻断访问请求或请求响应操作;动态访问控制模块,所述动态访问控制模块被配置为对访问主体的访问请求进行动态访问控制;数据安全治理模块,所述数据安全治理模块被配置为对数据资产库中的数据资产进行治理,形成数据资产分级分类标识及资产态势信息;安全监测与处置决策模块,所述安全监测与处置决策模块被配置为完成一体化平台运行环境的监测、动态访问控制模块的异常分析,并根据监测告警和异常信息生成相应的处置决策。

技术研发人员:张位,王瑶,周阳,冯毓,刘赟,毛得明,张淑文
受保护的技术使用者:中国电子科技集团公司第三十研究所
技术研发日:
技术公布日:2024/9/23

专利

最新回复(0)