[发明专利]一种精细化安全防护系统和方法及其应用

权利要求书

1.一种精细化安全防护系统，其特征在于，该系统包括：

协议引擎与应用过滤模块，用于进行协议处理、应用过滤、安全策略管理、流量管控、实时统计相关数据并生成历史报表；

WEB认证和域控制认证模块，通过支持IKE、IPSec G-G、IPSec G-C、PSK，证书认证支持、IPSec NAT穿越、SSL VPN WEB代理、SSL VPN L3VPN隧道、L2TP协议，用于对协议引擎与应用过滤模块生成的历史报表进行认证与授权；

统计报表和策略管理模块，用于统计协议引擎与应用过滤模块生成的历史报表以及进行策略管理；

首先，所述协议引擎与应用过滤模块进行协议处理及应用过滤；其次，所述WEB认证和域控制认证模块从域控服务器实时获取身份账号与IP地址的对应关系，在未部署域控服务器的环境中，通过Web认证页面进行身份识别，并建立应用特征库；所述统计报表和策略管理模块采用内网应用资产风险识别方法，通过制定策略，进行内网易受攻击资产并进行风险提前评估和预警，并形成精细化的安全防护策略，依据应用、人、设备的关系，通过定制防护措施，实现基于Web应用识别的精细化安全防护。

2.如权利要求1所述的一种精细化安全防护系统，其特征在于，所述WEB认证和域控制认证模块通过证书，USB-key证书，RADIUS，本地认证，LDAP，SSL资源授权方式进行认证与授权。

3.如权利要求1所述的一种精细化安全防护系统，其特征在于，所述统计报表和策略管理模块包括统计报表模块和策略管理模块，其中，

统计报表模块，用于按照用户信息输出应用统计，按用户记录网络访问事件，根据用户名生成统计报表；

策略管理模块，用于管理Local，Radius，LDAP，AD相关认证策略，进行AD域自动同步，单点登录以及按用户信息做相应策略放行。

4.一种精细化安全防护方法，其特征在于，应用如权利要求1～3任意一项所述的精细化安全防护系统，该方法包括以下步骤：

步骤S101，协议引擎与应用过滤模块进行协议处理及应用过滤；

步骤S102，WEB认证和域控制认证模块从域控服务器实时获取身份账号与IP地址的对应关系，在未部署域控服务器的环境中，通过Web认证页面进行身份识别，并建立应用特征库；

步骤S103，统计报表和策略管理模块采用内网应用资产风险识别方法，通过制定策略，进行内网易受攻击资产并进行风险提前评估和预警；

步骤S104，形成精细化的安全防护策略，依据应用、人、设备的关系，通过定制防护措施，实现基于Web应用识别的精细化安全防护。

5.如权利要求4所述的一种精细化安全防护方法，其特征在于，在所述步骤S101中，通过智能应用识别技术，利用应用深度包检测、双向流检测、会话关联检测动态分析网络报文中包含的协议特征，确认所用协议；并将所用协议利用协议引擎进行分析处理，准确识别通过动态端口或者智能隧道中使用的真正应用，进行应用过滤。

6.如权利要求4所述的一种精细化安全防护方法，其特征在于，在所述步骤S102中，通过Web认证页面进行身份识别，具体包括以下步骤：管理员指定认证策略，并于策略中指定认证方式，进行身份识别与认证。