[发明专利]网络安全管理方法及其系统

说明书

技术领域

本发明涉及一种网络安全管理方法及其系统，尤其涉及一种基于本地数据加密与传输加密实现安全网络的管理系统及其方法。

背景技术

随着科学技术的发展，网络科技日新月异，办公自动化及互联网络的应用越来越普及，企业或单位之间通过互联网络相互传递信息，企业或单位内部通过局域网相互传递信息，因此，网络信息安全问题至关重要。

目前，广泛应用的防火墙、IDS、内外网隔离以及其它针对外部网络的访问控制系统，可有效防范来自网络外部的攻击，但对于网络内部的信息保密问题，却一直没有好的防范方法。

中国第200510040385.5号专利申请揭示了一种网络行为管理方法与系统，其基于网络内部信息资源的保密安全，采用客户端/服务端c/s管理结构对网络内部进行全面监控，c/s管理结构包括客户端、服务端和数据库；通过密码设定使授权访问限于服务端程序，并将重要信息存入数据库；服务端程序包括全方位监控技术与集中管理方式，来控制和管理网络内部计算机的各种事件，通过客户端程序来记录计算机各种操作，并反馈给服务端程序。这种方式对网络传输和本地数据均未加密，系统仍然可以与外部网络通信，且对在硬盘上的数据的保护仍然不够安全，如果硬盘独立出主机，可以很轻易获取硬盘上数据，并未采用硬件对软件的看护，软件的安装有效性和执行有效性未得到保护。

发明内容

为了克服现有网络信息安全管理系统安全功能不完善、安全程度低的不足，本发明提供一种网络安全管理方法，具有防泄密、安全程度高的特点。

本发明进一步所要解决的技术问题是：提供一种网络安全管理系统，以克服现有网络信息安全管理系统安全功能不完善、安全程度低的不足，具有防泄密、安全程度高的特点。

为解决上述技术问题，本发明采用如下技术方案：一种网络安全管理方法，包括以下步骤：

步骤一：安全网卡与安全交换机使用证书创建加密隧道；

步骤二：安全网卡向安全交换机请求身份验证；

步骤三：若身份验证通过，安全交换机生成安全网卡的通信密钥，并把认证通过信息、安全网卡本地数据加解密密钥、安全网卡通信密钥通知给安全网卡，否则发回认证失败信息；

步骤四：安全网卡获取上述密钥后，本地数据加解密开始工作，当本地数据加解密开始工作，受控主机进行操作系统引导，并启动受控主机防护模块并受安全网卡看护，开始进行主机保护；

步骤五：IP协议通信发生，安全网卡从缓存直接获得未过期的目标地址的通信密钥，或从安全交换机获取目标地址的新的通信密钥，以该密钥对发出的IP包内容进行加密，若目标地址的通信密钥获取失败，将产生此次IP协议通信的失败，对于收到的IP包则用安全网卡自身的通信密钥解密。

所述步骤二中，安全网卡向安全交换机进行请求身份认证，安全交换机将对安全网卡进行身份ID识别和权限授予。

为了解决上述进一步的技术问题，本发明提出一种网络安全管理系统，包括受控主机、安全交换机和安全网卡，所述受控主机连接用于完成身份认证、密钥管理、通信加密和本地数据加密功能的安全网卡，所述安全网卡连接用于策略管理和配置管理、安全网卡用户身份认证以及通信密钥和本地数据加解密密钥分发功能的所述安全交换机，

所述安全网卡包括主控制器，分别与主控制器连接并受其集成控制的硬盘加密模块、USB口、以太网口；所述主控制器与所述受控主机通过计算机总线接口连接通信；硬盘加密模块与受控主机的硬盘接口连接通信，硬盘加密模块通过硬盘接口对硬盘进行数据拦截，实现对硬盘的读写加解密；以太网口传输安全网卡与安全交换机的认证信息，并传输受控主机防护模块与安全交换机的管理信息和加密受控主机正常的业务信息流，设置安全网卡总线接口工作在从模式与受控主机通信。

所述系统还包括用于管理安全网卡和安全交换机的管理模块，并通过浏览器/服务器模式(B/S)或客户机/服务器模式(C/S)来访问安全网卡和安全交换机，完成策略和配置管理变更操作。

所述安全网卡与受控主机的通信接口为计算机总线接口。常见的计算机总线接口如PCI、PCIE和ISA总线接口，优选为PCI接口。除此以外安全网卡与受控主机的通信接口还可以为USB接口、IEEE1394接口等。

所述受控主机还包括接收安全交换机发送的策略，并按照既定策略对主机进行防护、日志上传的受控主机防护模块，其通过计算机总线接口与安全网卡连接通信。