[发明专利]VPN网络安全漏洞检测全局准入控制系统

说明书

技术领域

本发明属于网络安全控制技术领域，特别涉及一种VPN环境下的基于 漏洞检测技术的网络安全准入控制系统。

背景技术

随着网络技术的不断发展，不同网络环境下的网络可控性、可管理性、 网络运行状况的可视化、网络运行中数据的安全性、网络的健壮性以及各 网络元素即网络中各节点设备的安全性等各方面的要求日益增加，而现有 网络管理技术多采用的是对网络设备本身运行状况的关注和管理，即更关 注于运行中的网络安全状况的分析管理，缺少了对进入网络的各种元素的 控制和管理，以及对网络传输本身的安全性的考量。

从现有的网络安全评估工具来看，多数针对网络漏洞的评估的工具在原 理上并没有本质的区别，均是针对网络进行渗透测试来进行评估的，即评 估并不是显示的，很多是以后台服务的形式运行于网络元素上的，一方面 增加了网络的流量，降低了网络反应速度，一方面也占用了主机的开销， 而且对网络系统安全评估设计到的软硬件平台、产品的规范命名，系统配 置的规范表示，漏洞的标准命名，漏洞评估过程的数据标准化等问题在系 统安全评估的表示中存在不一致的问题等等，需要一个统一的支持多平台 的安全服务系统来解决上述问题。

此外，当下很多漏洞评估工具，大多是针对网络上的主机的安全状况的 检测评估，缺少针对整个网络，或者是安全级别不同的网络环境的安全状 况的控制和评估，缺少针对不同安全域的安全状况进行分析评测，以及按 照某种安全策略进行网络准入的相关操作，也需要一个多级安全域的全局 准入的控制系统来解决上述问题。

发明内容

本发明的目的是应用VPN来解决当前网络漏洞检测技术中忽略的网络 传输中信息流的安全问题，解决当前网络漏洞检测技术中缺少的对网络环 境的准入控制问题，通过支持多平台的集成OVAL检测技术的漏洞扫描检 测技术解决针对各个域的安全情况(服务器、客户端主机的安全情况)的 扫描、根据CVE国际评分标准，生成图文并茂的主机安全状况评测报告， 以友好的人机交互页面客观反映给客户的完整的VPN环境下的漏洞检测、 多级安全域控制、准入控制的系统。

本发明目的是这样实现的：

一种VPN网络安全漏洞检测全局准入控制系统，采用C/S架构，分为 客户端、服务器端两部分，其中服务器端包括：

-VPN拨号认证管理模块，该模块作为系统的VPN拨号认证服务逻辑， 负责对客户端节点即VPN拨入用户进行身份认证并与准入控制模块进行联 动；

-安全准入控制模块，该模块作为系统的准入控制服务逻辑，负责对 业务终端的接入进行控制，通过漏洞检测及修复服务逻辑，检测系统的漏 洞，根据检测结果和安全准入控制数据库中准入规则判断是否允许业务终 端接入，如果系统准入级别低于准入规则规定的准入安全级别，提示业务 终端进行系统安全修复，待修复完毕后，方可进行VPN拨号；

-漏洞检测与修复服务模块，该模块的主要功能是为客户机的漏洞检 测与修复客户逻辑提供漏洞扫描策略和补丁修复策略，从而使漏洞检测与 修复客户逻辑按照指定策略扫描漏洞，提供补丁修复策略，并根据漏洞检 测结果生成系统安全状况评估报告；

-预警服务模块，该模块的主要功能是根据漏洞检测的结果即生成的 系统完全评估报告给出预警提示信息；

-日志服务模块，该模块负责收集、汇总日志信息，以便集中审计和 事件追查；

其中客户端包括：

-VPN客户端拨号模块，该模块作为系统的VPN拨号认证服务逻辑， 负责对客户端节点即VPN拨入用户进行身份认证并与安全准入控制模块进 行联动；

-客户端本地安全漏洞检测模块，该模块利用OVAL漏洞检测工具， 对客户端主机本身进行基于浏览器的人机交互页面进行本地主机的安全漏 洞检测，对生成的XML文件进行分析，依据CVE评分标准，程序实现人 机交互页面中的漏洞检测结果即主机安全状况评估报告；并提供与服务器 端相同的补丁修复策略。

本发明VPN网络安全漏洞检测全局准入控制系统支持多级分布式部 署，在大规模网络部署时，可以将系统支持平台根据所属的网络大小和管 理级别划分为N级，N≥1，各级平台之间存在管辖关系，其中一级管理二 级及以下级，二级管理三级，依次类推，逐级管理，各级安全域服务器相 互独立工作，也可以与其他安全域服务器协同工作或互为备份。

上述安全准入控制模块包括如下功能模块：