买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：广州大学

摘要：本发明涉及计算机安全领域，具体涉及了一种安全可控的内网安全巡警系统及方法，所述方法对内网中的网络设备安装内网资产标志；判断所述内网资产标志是否包括登录凭证信息；若是，则对所述网络设备执行有登录凭证的漏洞扫描；否则，对所述网络设备执行无登录凭证的漏洞扫描。本发明仅在其符合特定条件下，才对内网中的网络设备进行漏洞扫描，所述特征条件为，所述网络设备发送的内网资产标志信息中包含登录凭证信息，能够有效地避免了漏洞扫描过程误伤主机系统。

主权项：1.一种安全可控的内网安全巡警系统，其特征在于，包括：资产管理模块、漏洞扫描模块、安全审计模块和网络管理模块；所述资产管理模块，用于接收内网中的网络设备发送的内网资产标志信息；所述内网资产标志信息，用于资产认证标识及资产管理；所述漏洞扫描模块，用于判断内网中的网络设备是否具有内网资产标志中的登录凭证信息，若是，则对所述网络设备进行漏洞扫描；若否，则不对所述网络设备进行漏洞扫描；所述资产管理模块使用登录凭证信息，远程管理所述网络设备和安全设备；所述安全审计模块，用于审计所述网络设备及所述安全设备，发现存在安全问题的问题设备；所述网络管理模块，用于对所述问题设备进行安全修复。

全文数据：一种安全可控的内网安全巡警系统及方法技术领域本发明涉及计算机安全领域，特别是涉及一种安全可控的内网安全巡警系统及方法。背景技术随着网络应用的日益广泛，网络安全特别是“内网安全”已成为IT应用面临的关键问题之一，以内网巡警为代表的各种针对内网安全的产品日益受到用户重视。内网安全巡警系统作为一个针对内部网络、专用网络的主动管理、控制和监视的网络安全产品，以解决企业和政府内部专用网络的安全管理、安全控制、行为监视为目标，以主动的安全管理和安全控制的方式，将内部网络的安全隐患以技术的手段进行有效地控制，通过对每一个网络行为的监视和记录，将网络的安全隐患可视化，从而大大提高内部专用网络地安全性，真正保障每一个网络用户都在授权的范围合法地使用数据和信息。目前主流的内网安全巡警系统缺乏有效的安全边界检测机制，使得再给定一个目的IP地址，或者给定一个IP地址范围时，容易产生对该IP地址或地址段以外的其它非目标主机系统的渗透测试和安全审计，有时不但起不到安全加固的作用，甚至对核心生成网中的主机造成破坏，影响正常系统业务的运行。目前主流的内网安全产品缺乏边界审核机制，缺少有效的目标主机安全检测认证标识，当对内网主机进行渗透测试和安全评估时，可能由于内部局域网的互联，导致扩散或错误攻击的情况，使一些正常运行的非目标主机系统受到内网安全巡警系统的威胁。一些不希望被扫描探测的系统由于漏洞验证脚本的运行，误伤主机系统，导致信息泄露，越权访问，甚至自动化攻击的POC使得系统瘫痪，如：永恒之蓝漏洞编号ms17-010漏洞验证脚本可使Windows系统的主机蓝屏，导致拒绝服务。发明内容为了解决上述问题，本发明的目的是提供一种内网安全巡警系统及方法，仅在其符合特定条件下，才对内网中的网络设备进行漏洞扫描，所述特征条件为，所述网络设备发送的内网资产标志信息中包含登录凭证信息。基于此，本发明提供了一种安全可控的内网安全巡警系统，其特征在于，包括：资产管理模块、漏洞扫描模块、安全审计模块和网络管理模块；所述资产管理模块，用于接收所述内网中的网络设备发送的内网资产标志信息；所述内网资产标志信息，用于资产认证标识及资产管理；所述漏洞扫描模块，用于判断内网中的网络设备是否具有内网资产标志中的登录凭证信息，若是，则对所述网络设备进行漏洞扫描；若否，则不对所述网络设备进行漏洞扫描；所述资产管理模块使用登录凭证信息，远程管理所述网络设备和安全设备；所述安全审计模块，用于审计所述网络设备及所述安全设备，发现存在安全问题的问题设备；所述网络管理模块，用于对所述问题设备进行安全修复。作为优选的技术方案，所述资产管理模块还用于配置具有不同属性的网络资产库单元；所述网络资产库单元用于配置所述网络资产库中的网络设备的入侵检测任务和安全审计任务。作为优选的技术方案，所述内网资产标志信息还包括运行标志信息；所述运行标志信息，用于发现所述内网中的网络设备和安全设备；作为优选的技术方案，所述安全问题包括：发现错误配置、异常登录、违反安全策略的行为；所述违反安全策略的行为包括：所述网络设备的系统级的安全策略和所述安全设备的系统级的安全策略。作为优选的技术方案，所述网络管理模块，还用于判断安全问题是否能够被自动化安全修复，若是，则进行自动化安全修复；若否，向内网安全员发出协作通知或安全警告。基于此，本发明还提出了一种安全可控的内网安全巡警方法，其特征在于，包括：安装标志，即对内网中的网络设备安装内网资产标志；漏洞扫描，即判断所述内网资产标志是否包括登录凭证信息；若是，则对所述网络设备执行漏洞扫描；如否，则不对所述网络设备执行漏洞扫描。作为优选的技术方案，在安装标志之后及漏洞扫描之前，所述内网安全巡警方法还包括；登记资产，即判断所述内网资产标志是否包括运行标志信息，若是，则将所述网络设备登记为可漏洞扫描设备；若否，结束所述内网安全巡警方法。作为优选的技术方案，在漏洞扫描之后，所述内网安全巡警方法还包括：安全审计，对所述可漏洞扫描设备进行安全审计。作为优选的技术方案，在漏洞扫描之后，所述内网安全巡警方法还包括：安全修复，对所述可漏洞扫描设备进行安全修复操作，所述安全修复包括：策略加强、版本更新、漏洞修复及补丁更新。因此，本发明提出的安全可控的内网安全巡警系统及方法，仅在所述网络设备包含登录凭证信息时，才认为所述网络设备希望被扫描探测。而不希望被扫描探测的系统，则因其不包含登录凭证信息，不对其进行漏洞扫描，避免了漏洞验证脚本的运行。避免了漏洞扫描过程误伤主机系统，导致信息泄露，越权访问，甚至自动化攻击的POC使得系统瘫痪，如：永恒之蓝漏洞编号ms17-010漏洞验证脚本可使Windows系统的主机蓝屏，导致拒绝服务等现象的发生。附图说明图1是本发明实施例的内网安全巡警系统的网络拓扑图；图2是本发明实施例的内网安全巡警系统的框架图；图3是本发明实施例的内网安全巡警方法的流程图；图4是本发明实施例的引入资产登记步骤的内网安全巡警方法的流程图。具体实施方式下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。实施例1参见附图1，本发明提出的内网安全巡警服务器可以安装在内网的核心交换机上，这样方便内网安全巡警服务器对内网中的网络设备进行管理。参见附图2，本发明提出的安全可控的内网安全巡警系统包括：资产管理模块、漏洞扫描模块、安全审计模块和网络管理模块；资产管理模块，用于接收所述内网中的网络设备发送的内网资产标志信息。所述漏洞扫描模块，用于判断内网中的网络设备是否具有内网资产标志中的登录凭证信息，若是，则对所述网络设备进行漏洞扫描；否则，不对所述网络设备进行漏洞扫描；所述安全审计模块，用于对内网中的网络设备及安全设备进行安全审计，即发现内网中的存在安全问题的问题设备；所述网络管理模块，用于对所述问题设备进行安全修复。在内网中运行的网络设备中，均安装并运行了内网资产标志，在本发明的实施例中，该标志可以为网络设备的Mutex信号量，可以用来进行资产认证及资产管理。所述内网中的网络设备在安装了内网资产标志之后，自动向内网巡警服务器发送经加密之后的内网资产标志信息。所述加密过程，可以使用HTTPS协议、RSA加密算法、MD5加密算法等，但不限于上述加密手段。漏洞扫描模块支持插件验证式检测机制来检测验证内网中网络设备的漏洞，主要是对互联网新爆发的安全漏洞进行快速响应及风险排查，对已发现的漏洞进行评估，该模块和资产管理模块联动工作。为了避免扩散或错误攻击，漏洞扫描模块检测收集到的网络设备的内网资产标志信息中是否保存有的登录凭证信息，若有所述登录凭证信息，则该网络设备的漏洞扫描活动在所述内网安全巡警系统中是在授权范围内的；若果没有，则所述内网安全巡警系统没有授权所述漏洞扫描模块对所述网络设备进行漏洞扫描。安全审计模块主要对各类服务器如：Web服务器、数据库服务器、FTP服务器、邮件服务器等、PC主机、路由器、交换机等网络设备，和防火墙等安全设备进行安全审计。所述安全审计模块，通过解析所述网络设备发送的内含登录凭据的内网资产表示信息，进行主机系统级和网络安全系统级的安全策略审计。所述安全审计模块能够读取审计日志信息，从审计日志中，识别出安全问题，如：错误配置、异常登录、违反安全策略的行为等。网络管理模块根据安全审计模块发现的安全问题，，对检测的目标系统进行自动化的安全修复，安全修复的内容包括：策略加强、版本更新、漏洞修复、补丁更新，对于所述网络管理模块无法自动处理，即需要安全管理人员配合操作的安全修复，向内网安全员发出协作通知或安全警告。实施例2在实施例1的基础上，所述内网资产标志信息还包括运行标志信息。内网巡警服务器收到所述运行标志后，登记该资产信息，作为后续阶段的入侵检测、安全审计及资产管理的凭据。内网安全员可以根据网络设备的属性，使用所述资产管理模块中的网络资产库单元，对其进行IT资产划分，创建不同的资产库。通过网络资产库单元，内网安全员可以灵活的创建入侵检测任务和安全审计任务。网络资产库单元，支持添加、删除资产等资产管理功能，启动或自定义已发现网络设备的入侵检测，内网安全员可以通过关键字搜索功能筛选出符合条件的网络设备添加到漏洞扫描任务中。实施例3参见附图3，为本发明提出的安全可控的内网巡警方法的流程图。所述内网安全巡警方法，包括：安装标志，即对内网中的网络设备安装内网资产标志；漏洞扫描，即判断所述内网资产标志是否包括登录凭证信息；若是，则对所述网络设备执行漏洞扫描；否则，不对所述网络设备执行漏洞扫描。安全审计，对所述可漏洞扫描设备进行安全审计；安全修复，对所述可漏洞扫描设备进行安全修复操作，所述安全修复包括：策略加强、版本更新、漏洞修复及补丁更新。本实施例中的术语的含义与本发明实施1与实施2中的含义相同。此处，不在赘述。实施例4参见附图4，本实施例在实施例3的基础上，所述内网资产标志信息还包括运行标志信息。内网巡警服务器收到所述运行标志后，登记该资产信息，作为后续阶段的入侵检测、安全审计及资产管理的凭据。本申请提出的内网巡警方法在实施例3的基础上，在安装标志之后及漏洞扫描之前，增加以下步骤：登记资产，即判断所述内网资产标志是否包括运行标志信息，若是，则将所述网络设备登记为可漏洞扫描设备；若否，则结束所述内网安全巡警方法。内网安全员可以根据网络设备的属性，使用所述资产管理模块中的网络资产库单元，对其进行IT资产划分，创建不同的资产库。通过网络资产库单元，内网安全员可以灵活的创建入侵检测任务和安全审计任务。网络资产库单元，支持添加、删除资产等资产管理功能，启动或自定义已发现网络设备的入侵检测，内网安全员可以通过关键字搜索功能筛选出符合条件的网络设备添加到漏洞扫描任务中。因此，本发明提出的安全可控的内网安全巡警系统及方法，仅在所述网络设备包含登录凭证信息时，才认为所述网络设备希望被扫描探测。而不希望被扫描探测的系统，则因其不包含登录凭证信息，不对其进行漏洞扫描，避免了漏洞验证脚本的运行。避免了漏洞扫描过程误伤主机系统，导致信息泄露，越权访问，甚至自动化攻击的POC使得系统瘫痪，如：永恒之蓝漏洞编号ms17-010漏洞验证脚本可使Windows系统的主机蓝屏，导致拒绝服务等现象的发生。以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和替换，这些改进和替换也应视为本发明的保护范围。

权利要求：1.一种安全可控的内网安全巡警系统，其特征在于，包括：资产管理模块、漏洞扫描模块、安全审计模块和网络管理模块；所述资产管理模块，用于接收所述内网中的网络设备发送的内网资产标志信息；所述内网资产标志信息，用于资产认证标识及资产管理；所述漏洞扫描模块，用于判断内网中的网络设备是否具有内网资产标志中的登录凭证信息，若是，则对所述网络设备进行漏洞扫描；若否，则不对所述网络设备进行漏洞扫描；所述资产管理模块使用登录凭证信息，远程管理所述网络设备和安全设备；所述安全审计模块，用于审计所述网络设备及所述安全设备，发现存在安全问题的问题设备；所述网络管理模块，用于对所述问题设备进行安全修复。2.如权利要求1所述的内网安全巡警系统，其特征在于：所述资产管理模块还用于配置具有不同属性的网络资产库单元；所述网络资产库单元用于配置所述网络资产库中的网络设备的入侵检测任务和安全审计任务。3.如权利要求2所述的内网安全巡警系统，其特征在于：所述内网资产标志信息还包括运行标志信息；所述运行标志信息，用于发现所述内网中的网络设备和安全设备。4.如权利要求1所述的内网安全巡警系统，其特征在于：所述安全问题包括：发现错误配置、异常登录、违反安全策略的行为；所述违反安全策略的行为包括：所述网络设备的系统级的安全策略和所述安全设备的系统级的安全策略。5.如权利要求1或4所述的内网安全巡警系统，其特征在于：所述网络管理模块对所述问题设备进行安全修复的内容包括：策略加强、版本更新、漏洞修复及补丁更新。6.如权利要求1或4所述的内网安全巡警系统，其特征在于：所述网络管理模块，还用于判断安全问题是否能够被自动化安全修复，若是，则进行自动化安全修复；若否，向内网安全员发出协作通知或安全警告。7.一种安全可控的内网安全巡警方法，其特征在于，包括：安装标志，即对内网中的网络设备安装内网资产标志；漏洞扫描，即判断所述内网资产标志是否包括登录凭证信息；若是，则对所述网络设备执行漏洞扫描；若否，不对所述网络设备执行漏洞扫描。8.如权利要求7所述的内网安全巡警方法，其特征在于，在安装标志之后及漏洞扫描之前，所述内网安全巡警方法还包括；登记资产，即判断所述内网资产标志是否包括运行标志信息，若是，则将所述网络设备登记为可漏洞扫描设备；若否，则结束所述内网安全巡警方法。9.如权利要求7或8所述的内网安全巡警方法，其特征在于，在漏洞扫描之后，所述内网安全巡警方法还包括：安全审计，对所述可漏洞扫描设备进行安全审计。10.如权利要求9所述的内网安全巡警方法，其特征在于，在漏洞扫描之后，所述内网安全巡警方法还包括：安全修复，对所述可漏洞扫描设备进行安全修复操作，所述安全修复包括：策略加强、版本更新、漏洞修复及补丁更新。

百度查询： 广州大学 一种安全可控的内网安全巡警系统及方法