[发明专利]网络安全防护架构、方法及系统

权利要求书

1.一种网络安全防护装置，其特征在于，所述网络安全防护装置包括：

物理分区模块、分区控制模块、分类防护模块、动态防御模块以及终端多模式防护模块；

所述物理分区模块是对互联网开放环境重要信息系统进行物理分区，包括多个物理分区，所述多个物理分区分别为安全管理区、内部数据处理区、公开数据处理区、安全服务区，其中，所述公开数据处理区和所述安全服务区为开放区，所述公开数据处理区与所述内部处理区隔离，所述安全服务区与所述安全管理区分离；

其中，所述安全管理区面向信息系统安全管理人员，为全网的信息系统提供统一的身份管理、资源管理、权限管理、策略管理、审计管理和安全可视化管理；

所述内部数据处理区用来承载处理内部信息的应用系统及其数据库，所述内部数据处理区存储有仅允许系统内部人员访问的内部数据，主要包括两类数据，一类为内部公开数据，面向所有内部人员公开的信息；一类为内部敏感信息，具有权限的内部人员才具有访问权；

所述公开数据处理区用来承载处理公开信息的应用系统及其数据库，处理对公众和企业完全开放的服务，所述公开数据处理区存储有在互联网上访问不受限的政务信息，提供给公众访问的公开数据；

所述安全服务区用来为所有用户，提供共性安全支撑服务；

所述分区控制模块用于依据分区控制策略控制分区数据流的流向，所述分区控制模块包括接入控制部件和安全交换部件，通过终端用户的接入认证，为用户分配安全标识，并将安全标识与用户数据流绑定，并依据分区控制策略，控制物理分区之间数据的安全交换；

所述分类防护模块用于在分区控制下，对用户、终端、信息、信息系统及应用进行分类，按照终端类型与用户分类，实施终端分类防护；按照用户类别、信息/系统/应用分类，基于其属性值动态适配出分类防护安全部件，对互联网开放环境重要信息系统进行恰当防护；所述分类防护模块主要包括属性聚合驱动、安全机制重组；所述的属性聚合驱动用于提取主客体属性、安全机制属性，对主体、客体和安全机制进行一体化分类管理，通过对数据流蕴含的主客体属性聚合分析，动态适配安全机制，重组出用户终端到信息系统不同程度的网络安全保障方法与部件；

所述终端多模式防护模块用于对终端进行多种模式的安全防护，所述多种模式包括基本安全模式、安全增强模式、可信增强模式和动态增强模式，依据接入终端的分类进行不同模式的安全防护；

所述的安全增强模式，通过对终端环境进行检测评估，选择增强型的安全防护模块，对终端进行安全防护；所述增强型的安全防护模块包括安全接入模块、传输安全模块、终端内容深度检测模块；

所述的动态增强模式，通过在主机系统中部署动态安全组件，通过污点检测、监视与控制，防止敏感信息的非法流动、非法组件的安装与执行；

所述的动态防御模块，是通过在信息流上打上污点标记，完成影子式信息流标记跟踪、监控与控制，实现程序级的动态防御，在网络开放安全服务区与主机系统中部署；

所述的动态增强模式是将动态防御的思想引入到终端安全防护中，通过污点检测、监视与控制，实现了基本可信环境基础上的动态增强。

2.一种网络安全防护方法，其特征在于，基于权利要求1所述的网络安全防护装置，该方法包括：

接收用户通过终端发送的连接请求；

对所述终端的安全状态进行评估；

对所述用户的身份进行合法性检查，以判断所述用户类别，提取用户属性，得到第二判断结果；

当所述第二判断结果表示所述用户为注册用户或者政务人员时，依据用户属性、接入访问资源属性，适配安全防护机制，并为所述用户分配安全标识，所述安全标识用于指示所述用户的资源访问权限；

接收用户通过终端发送的资源访问请求，用户数据流与安全标识绑定，并进行相应安全处理；

判断所述用户是否具有对所述资源的访问权限，得到第一判断结果；

当所述第一判断结果表示所述用户具有对所述资源的访问权限时，确定所述资源所在的物理分区；

将所述用户通过终端发送的资源访问请求进行安全机制处理，并依据安全标识定向转发至所述资源所在的物理分区。