[发明专利]局域网系统和维护局域网信息安全的方法

说明书

技术领域

本发明涉及网络安全领域，特别涉及局域网系统和维护局域网信息安全的方法。

背景技术

网络环境下的信息安全问题，比单机环境下要复杂得多。目前存在的多数网络安全问题 并非来自网络外部，而是由局域网内部的恶意者或非法操作者造成的。局域网的安全与可信 已成为广域网安全的前提和必要条件，只有先解决好局域网的安全问题，才能解决好更大规 模网络的安全问题。

在诸多的局域网安全问题中，机密信息泄露造成的危害极大。据资料记载，大部分的机 密、敏感数据，70％以上都是被内部员工从内部网络系统的桌面终端计算机上，通过各种传 输、复制等途径泄露出去的。由此可见，如何防范局域网内的安全隐患，尤其是如何防止局 域网内部信息的非法访问及泄露已成为当前网络安全领域的重要方面。

在对现有技术进行分析后，发明人发现，现有各类解决方案的特点，一是通常采用自主 访问控制策略，这样虽能防止非法用户的数据访问行为，却往往无法防范合法用户有意或无 意的数据泄密；二是大都依赖于密码学技术，对数据信息的加密防护在一定程度上防止了信 息泄露，但合法用户持有的明文则难以得到安全保护；三是采用的技术较为单一，比如仅针 对局域网内部信息交换进行防控，或防范由移动存储设备造成的信息泄露，鲜有针对局域网 的体系结构进行考虑的。

此外，业界现有的综合性解决方案，虽在实践上获得了一定应用，但并没能形成一套完 整的理论体系和完善的解决方案，以指导局域网安全系统的构建。不同的内网安全系统往往 采用不同的体系结构，一方面适应了某些特定需求，另一方面也使得对于这些系统安全性的 评定显得较为复杂，难以从理论上验证其安全可信。

发明内容

为了提高资源访问的安全性与便捷性，本发明实施例提供了一种局域网系统和维护局域 网信息安全的方法。所述技术方案如下：

一种局域网系统，包括：网络监控设备以及与所述网络监控设备分别相连的安全终端、 主控制服务器、公共涉密资源服务器、私有涉密资源服务器和防护服务器，

所述网络监控设备，用于根据网络安全策略，监控所述安全终端之间以及所述安全终端 与外网之间数据的交换和转发；

所述安全终端具有身份标识，包括：

划分模块，用于划分所述安全终端的逻辑存储区域；

认证模块，用于获取用户的身份认证信息和所述用户的登录模式；将所述身份认证信息 和所述登录模式通过所述网络监控设备发送给所述主控制服务器；

本地监控模块，用于根据本地安全策略、所述用户的在线信息和所述登录模式监控所述 用户对所述系统的访问；

所述主控制服务器，用于验证所述安全终端发来的所述身份认证信息，初始化所述用户 的密级为最低密级并发送给所述安全终端；维护所述网络安全策略、所述本地安全策略和所 述用户的当前密级、最高密级、在线信息；将验证结果通过所述网络监控设备发送给所述安 全终端；将所述用户的在线信息与当前密级信息发送给网络监控设备、公共涉密资源服务器、 私有涉密资源服务器、防护服务器；

所述公共涉密资源服务器，用于提供所述系统内公共涉密资源的集中式存储，并根据所 述当前密级信息对所述用户进行访问控制，管理所述公共涉密资源的密级，并维护公共涉密 资源的更新信息；

所述私有涉密资源服务器，用于提供所述系统内私有涉密资源的网络分布式存储，并根 据所述在线信息与当前密级信息对所述用户进行访问控制；

所述防护服务器，用于提供对所述安全终端的逻辑存储区域的数据还原保护。

一种维护局域网信息安全的方法，包括以下步骤：

安全终端将用户输入的认证信息和登录模式转发给主控制服务器；

所述主控制服务器根据所述认证信息验证所述用户的身份，所述用户如果验证通过：

所述主控制服务器更新所述用户的在线信息；所述主控制服务器根据所述登录模式、所 述认证信息以及所述安全终端的身份标识确定对所述用户执行的本地安全策略和网络安全策 略，将所述本地安全策略发送给所述安全终端，并将所述网络安全策略发送给所述网络监控 设备；初始化所述用户的密级为最低密级并发送给所述安全终端；维护所述本地安全策略、 网络安全策略和所述用户的当前密级、最高密级、在线信息；将所述用户的在线信息与当前 密级信息发送给网络监控设备、公共涉密资源服务器、私有涉密资源服务器、防护服务器；