[发明专利]一种网络安全监控方法和系统

说明书

技术领域

本发明涉及通信领域，尤其涉及网络安全领域中的访问控制、身份认证、数据监控方法和系统。

背景技术

互联网的发展初期以自由开放为特点，在促进社会进步、民主发展、经济繁荣的同时，也带来一些公共安全、网络安全方面的隐患。和真实社会中的种种约束相比，任何网络行为仅能追踪到某个IP(Internet Protocol互联网协议)地址，因此人们倾向于对自己的行为缺乏自律，有的甚至利用互联网实施犯罪行为。

随着互联网的发展，尤其是互联网用户数量、互联网应用的爆发式增长，和移动互联网的高速发展，对互联网的安全监管也提出了比较高的要求，既要保障互联网的公共安全和网络安全，又要保护用户的隐私安全。在互联网安全和个人隐私间如何权衡，各国都有所考量，比如中国提出了“前台匿名、后台实名”的策略。

为保障互联网的安全，基于安全策略实施网络安全监控和管理是一种常用的方法和技术，其中一种基于用户身份的技术需要按用户身份设置安全策略，但是网络用户在登入网络后经常被分配动态的网络地址，这给按用户设置安全策略带来了一定障碍。

发明内容

本发明所要解决的技术问题是，提供一种网络安全监控方法和系统，将终端用户的动态地址、用户的注册身份信息、用户的安全策略关联起来。

为了解决上述技术问题，本发明公开了一种网络安全监控系统，包括接入安全执行单元和安全策略引擎单元，其中：

所述接入安全执行单元，获取接入网络的用户的网络地址或用户标识，并发送携带有用户标识和/或网络地址的用户安全策略查询请求给所述安全策略引擎单元，以及从所述安全策略引擎单元返回的用户安全策略查询响应中获取对应的用户安全策略，并为该用户执行该安全策略；

所述安全策略引擎单元，接收所述接入安全执行单元发送的用户安全策略查询请求，从中提取用户标识和/或网络地址，确定所提取的用户标识和/或网络地址对应的用户身份信息，根据所述用户身份信息查询对应的用户安全策略，通过用户安全策略查询响应向所述接入安全执行单元反馈所查询到的用户安全策略。

较佳地，上述系统中，所述安全策略引擎单元，从本地的缓存数据中查询所提取的用户标识和/或网络地址对应的用户身份信息，或者向用户管理系统或其他的安全策略引擎单元发送携带有所述用户标识和/或网络地址的安全策略检索信息查询请求，并从所述用户管理系统或其他的安全策略引擎单元反馈的响应中获取所述用户标识和/或网络地址对应的用户身份信息。

较佳地，上述系统还包括：

安全策略存储和管理单元，存储和管理用户身份信息与用户安全策略的对应关系；

所述安全策略引擎单元，通过所述安全策略存储和管理单元查询所述用户身份信息对应的用户安全策略。

较佳地，上述系统中，所述接入安全执行单元，还将用户网络数据的原始报文或相关信息，发送给数据分析中心，以进行后续的分析、审计。

本发明还公开了一种网络安全监控方法，包括：

当用户从终端接入网络时，网络安全监控系统获取该用户的网络地址或用户标识；

所述网络安全监控系统确定所述用户的网络地址或用户标识对应的用户身份信息，根据所述用户身份信息查询接入网络的用户的用户安全策略并为该用户执行该安全策略。

较佳地，上述方法中，所述网络安全监控系统包括接入安全执行单元和安全策略引擎单元，其中：

所述接入安全执行单元，获取接入网络的用户的网络地址或用户标识，并发送携带有用户标识和/或网络地址的用户安全策略查询请求给所述安全策略引擎单元；

所述安全策略引擎单元，接收所述接入安全执行单元发送的用户安全策略查询请求，从中提取用户标识和/或网络地址，确定所提取的用户标识和/或网络地址对应的用户身份信息，根据所述用户身份信息查询对应的用户安全策略，通过用户安全策略查询响应向所述接入安全执行单元反馈所查询到的用户安全策略；

所述接入安全执行单元，从所述安全策略引擎单元返回的用户安全策略查询响应中获取对应的用户安全策略，并为该用户执行该安全策略。

较佳地，上述方法中，所述安全策略引擎单元确定所述用户的网络地址或用户标识对应的用户身份信息指：

所述安全策略引擎单元从本地的缓存数据中查询所述用户标识和/或网络地址对应的用户身份信息；或者