[发明专利]一种终端安全准入控制方法

摘要

一种终端安全准入控制方法，先建立系统：数据库模块、ARP表扫描模块、终端隔离模块、VRV系统通信模块和危险设备识别模块；步骤一、手动建立已知设备表、交换机表，存入所述数据库模块；步骤二、获取ARP状态表；所述ARP状态表是由MAC地址‐IP地址对组成的ARP信息组成；步骤三、VRV通信模块从外部VRV系统中获得所述问题设备表，存入所述数据库模块中；步骤四、获得所述危险设备表；步骤五、所述终端隔离模块读取所述隔离设备表，并隔离所述危险设备表中的危险设备。本发明可通过部署在终端上的客户端程序限制终端的网络应用功能，或通过部署防火墙实现对终端网络访问行为的控制，能自动将终端设备从网络中及时隔离。

主权项

一种终端安全准入控制方法，其特征在于：(1)先建立控制系统，控制系统包括：数据库模块、ARP表扫描模块、终端隔离模块、终端状态系统通信模块和危险设备识别模块；所述数据库模块包含数据库软件和数据库，所述数据库包含已知设备表、问题设备表、危险设备表、隔离设备表、交换机表、终端状态系统配置表和ARP状态表；所述ARP表扫描模块根据所述交换机表所记录的交换机信息，获得所述交换机对应的ARP状态表；所述终端状态系统通信模块与外部终端状态系统进行通信，获得问题设备表；所述危险设备识别模块根据所述已知设备表、问题设备表和ARP状态表，生成隔离设备表；所述终端隔离模块根据所述隔离设备表所记录的设备信息，隔离相对应的设备；(2)控制方法按如下步骤进行：步骤一、手动建立已知设备表、交换机表，存入所述数据库模块；所述已知设备表是由设备MAC地址、设备名称和设备类型组成的设备信息；所述交换机表是由交换机MAC地址、交换机SNMP读串和交换机SNMP写串组成的交换机信息；步骤二、所述ARP扫描模块扫描所述交换机表所记录的交换机信息，获取所述交换机应对的ARP状态表；所述ARP状态表是由MAC地址‑IP地址对组成的ARP信息组成；具体步骤如下：1)所述ARP表扫描模块将所述数据库模块中的ARP状态表清空；2)所述ARP表扫描模块读取所述数据库模块的交换机表，获得所述交换机表中记录的交换机信息；3)所述ARP表扫描模块根据所述交换机信息，通过SNMP协议，逐个访问所述交换机，获取所述交换机对应的ARP列表字符串；4)所述ARP表扫描模块解析所述ARP列表字符串，形成MAC地址‑IP地址对，并存入所述数据库模块的ARP状态表；步骤三、所述终端状态系统通信模块与外部终端状态系统进行通信，获得问题设备表的MAC地址‑IP地址对，并存入所述问题设备表；所述问题设备表是由MAC地址‑IP地址对信息组成；具体步骤如下：1)所述终端状态系统通信模块读取所述终端状态系统配置表和ARP状态表，获得所述终端状态系统配置表所记录的终端状态系统信息；2)所述终端状态系统通途模块与所述终端状态系统进行通信，获取所述终端状态系统中记录的违反安全规则的问题终端设备的MAC地址；3)根据所述问题终端设备的MAC地址，查找ARP状态表，获得所述问题终端设备的MAC地址‑IP地址对；4)将所述问题终端设备的MAC地址‑IP地址对存入所述数据库模块的问题设备表；步骤四、所述危险设备识别模块生成所述危险设备表，与所述问题设备表合成，生成隔离设备表；1)所述危险设备识别模块读取所述已知设备表、ARP状态表和问题设备表；清空所述数据库模块的隔离设备表；2)根据所述ARP状态表所记录的MAC地址，逐个查找所述MAC地址在所述已知设备表中是否有记录，如果没有，则将所述MAC地址和对应的IP地址组成的MAC地址‑IP地址对存入所述隔离设备表中；3)读取所述问题设备表，存入所述数据库模块中的隔离设备表中；步骤五、所述终端隔离模块读取所述隔离设备表，并隔离所述危险设备表中的危险设备；具体步骤如下：1)所述终端隔离模块读取所述隔离设备表，获得所述隔离设备表所记录的隔离设备信息；2)所述终端隔离模块根据基于命令模板的交换机操作方法，将隔离设备的IP地址与假MAC地址进行绑定，从而实现对隔离终端正在使用的IP地址的网络隔离；具体步骤如下：2.1)、分别建立不同厂家和不同型号的交换机自动化操作的配置文件；所述交换机自动化操作的配置文件，组成包括：交换机类型信息、基本命令信息和操作命令序列信息；所述交换机类型信息包括交换机类型名称和交换机厂家；所述基本命令信息包括命令名、命令格式和命令参数信息；所述命令参数信息包括用户名、密码、超级密码、管理地址、MAC地址和IP地址；所述操作命令序列信息包括序列名和命令序列；所述命令序列是由命令编号和命令名组成的命令信息。2.2)、设置交换机配置信息、操作对象信息和操作名；所述交换机配置信息包括交换机类型名称、交换机厂家、用户名、密码、超级密码和管理地址；所述操作对象信息包括MAC地址和IP地址；所述操作名为序列名；2.3)、根据所述交换机配置信息中的交换类型名称和交换机厂家，查找所述交换机类型信息中的交换机类型名称和交换机厂家，获得与所述交换机配置信息相对应的配置文件；2.4)、根据所述操作名，查找所述操作命令序列信息中的序列名，获得与所述操作名相对应的命令序列；2.5)、根据所述命令序列中的命令编号，依次获得与所述命令编号相对应的命令名，并根据所述命令名，查找所述基本命令信息中的命令名，获得与所述命令序列中命令名相对应的命令格式和命令参数信息；2.6)、将交换机配置信息中的用户名、密码、超级密码和管理地址以及所述操作对象信息中的MAC地址和IP地址分别传递给所述命令参数信息，从而生成操作命令；2.7)、执行所述操作命令，完成所述操作名对应的操作。