[发明专利]VPN网络安全漏洞检测全局准入控制系统

权利要求书

1.一种VPN网络安全漏洞检测全局准入控制系统，其特征在于：采用C/S架构，分为客户端、安全域服务器两部分，其中安全域服务器包括：

VPN拨号认证管理模块，该模块负责对客户端即VPN拨入用户进行身份认证并与安全准入控制模块进行联动；

安全准入控制模块，该模块负责对客户端的接入进行控制，通过漏洞检测与修复服务模块，检测客户端的漏洞，根据检测结果和安全准入控制数据库中准入规则判断是否允许客户端接入，如果系统准入级别低于准入规则规定的准入安全级别，提示客户端进行系统安全修复，待修复完毕后，方可进行VPN拨号；

漏洞检测与修复服务模块，该模块为客户端的漏洞检测与修复客户模块提供漏洞扫描策略和补丁修复策略，从而使漏洞检测与修复客户模块按照指定策略扫描漏洞，提供补丁修复策略，并根据漏洞检测结果生成系统安全评估报告；

预警服务模块，该模块根据生成的系统安全评估报告给出预警提示信息；

日志服务模块，该模块负责收集、汇总日志信息，以便集中审计和事件追查；

其中安全准入控制模块还包括漏洞状况分析模块、安全准入控制功能实现模块以及联动模块，其中：

漏洞状况分析模块，通过生成的系统安全评估报告，对漏洞检测结果进行分析评测，与安全准入控制功能实现模块进行信息交互；

安全准入控制功能实现模块，根据漏洞状况分析模块的分析评测结果，采用准入控制策略数据库中的控制策略，与联动模块进行信息交互，进行准入控制；

联动模块，根据安全准入控制功能实现模块的准入决策，与VPN拨号认证管理模块进行信息交互；

其中客户端包括：

VPN客户端拨号模块，该模块负责对VPN拨入用户进行身份认证；

漏洞检测与修复客户模块，该模块利用OVAL漏洞检测工具，对客户端进行符合人机交互的基于浏览器页面的安全漏洞检测，对生成的XML文件进行分析，依据CVE评分标准，程序实现人机交互页面中的漏洞检测结果即系统安全评估报告；并提供与安全域服务器相同的补丁修复策略。

2.根据权利要求1所述的VPN网络安全漏洞检测全局准入控制系统，其特征在于漏洞检测与修复服务模块还包括如下功能模块：

       漏洞管理模块，负责漏洞定义文件的管理，及时更新安全域服务器漏洞定义库，并在每次客户端上线时，及时更新客户端漏洞定义库，并在人机交互页面中给出更新信息；

        补丁修复策略模块，根据漏洞扫描的结果，即每个检测出的漏洞，更改在人机交互页面中显示的提供OVAL官方的解决该漏洞的方案的链接地址，即提供补丁修复服务解决方案。

3.权利要求1所述的VPN网络安全漏洞检测全局准入控制系统对网络安全状况的部署方法包括如下步骤：

①部署VPN网络环境，包括建立Radius认证服务器，VPN环境搭建，建立VPN拨号用户账号及密码；

②根据需求划分不同安全域级别，即部署多级网络安全体系，建立各级安全域服务器管辖关系及各客户端连接的相应级别的安全域服务器；

③在各级安全域内安装安全域服务器，即服务器端程序，并配置相应配置文件及数据库信息，满足步骤②中安全域级别要求；同时根据步骤②中部署要求，安装客户端程序，并配置客户端配置文件即保证客户端在安全域部署范围内连接上相应安全域服务器。