一种基于互联网的公司安全网络的实现系统
阅读说明:本技术 一种基于互联网的公司安全网络的实现系统 (Internet-based company security network implementation system ) 是由 李王斌 于 2020-11-23 设计创作,主要内容包括:本发明公开了一种基于互联网的公司安全网络的实现系统,包括应用客户端1、应用客户端2、应用客户端N、虚拟专网模块和统一应用系统,统一应用系统包括系统安全模块、网络安全模块、防火墙调整模块、入侵检测模块、漏洞扫描模块、数据库安全模块和电子邮件安全模块,应用客户端1、应用客户端2、应用客户端N通过网络连接在MPLS/VPN模块、虚拟专网模块上并串联在统一应用系统内的系统安全模块、网络安全模块、防火墙调整模块、入侵检测模块、漏洞扫描模块、数据库安全模块和电子邮件安全模块上;本发明具有系统信息加密传送高,系统内的信息安全性性高、方便跨地域进行加密传送和查看、及时发现系统漏洞和危险因素,从而进行有效的防护的优点。(The invention discloses an internet-based company security network implementation system, which comprises an application client 1, an application client 2, an application client N, a virtual private network module and a unified application system, wherein the unified application system comprises a system security module, a network security module, a firewall adjusting module, an intrusion detection module, a vulnerability scanning module, a database security module and an e-mail security module, the application client 1, the application client 2 and the application client N are connected to an MPLS/VPN module and the virtual private network module through a network and are connected to the system security module, the network security module, the firewall adjusting module, the intrusion detection module, the vulnerability scanning module, the database security module and the e-mail security module in the unified application system in series; the invention has the advantages of high system information encryption transmission, high information security in the system, convenient cross-region encryption transmission and check, and timely discovery of system bugs and dangerous factors, thereby carrying out effective protection.)
技术领域
本发明涉及安全网络实现技术领域,具体为一种基于互联网的公司安全网络的实现系统。
背景技术
对于公司安全网络实现,事关公司的生存之道,现公司系统信息加密传送差,系统内的信息安全性得不到保证、不能跨地域进行加密传送和查看、不能及时发现系统漏洞和不安全因素,从而不能进行有效的防护。
发明内容
本发明的目的在于提供一种基于互联网的公司安全网络的实现系统,具有系统信息加密传送高,系统内的信息安全性性高、方便跨地域进行加密传送和查看、及时发现系统漏洞和危险因素,从而进行有效的防护的优点,解决了现有技术中的问题。
为实现上述目的,本发明提供如下技术方案:一种基于互联网的公司安全网络的实现系统,包括应用客户端1、应用客户端2、应用客户端N、MPLS/VPN 模块、虚拟专网模块和统一应用系统,所述统一应用系统包括系统安全模块、网络安全模块、防火墙调整模块、入侵检测模块、漏洞扫描模块、数据库安全模块和电子邮件安全模块,所述应用客户端1、应用客户端2、应用客户端 N通过网络连接在MPLS/VPN模块、虚拟专网模块上并串联在统一应用系统内的系统安全模块、网络安全模块、防火墙调整模块、入侵检测模块、漏洞扫描模块、数据库安全模块和电子邮件安全模块上;
所述MPLS/VPN模块采用实现多业务系统的安全互联,公司统一规划的 MPLS/VPN网络改造实施,采用MPLS技术对原有的广域网接入方式进行了改造,采用基于MPLS的VPN技术对覆盖不同地域的业务系统划分VPN,进行安全隔离,并提供安全有效的信息交互;
所述虚拟专网模块采用虚拟专用网络,虚拟专用网络(VPN)的功能是:在公用网络上建立专用网络,进行加密通讯;
所述系统安全模块根据对市公司局域网和各县公司局域网均根据部门职能和业务的不同划分了VLAN,以实现网络资源逻辑隔离,防止广播风暴,并进行网络级访问控制和应用级访问控制;
所述网络安全模块采用安全的操作系统平台对系统内部进行安全检测;
所述防火墙调整模块是网络的一种安全保护措施,分析和监控流量,调整防火墙部署同来阻断非法数据传输,同时可以将对外提供服务、比较容易攻击的服务器独立放在一个特定的保护区;
所述入侵检测模块是为了保证计算机系统的安全而设计与配置的一种能及时发现并报告系统中未授权或异常现象,并检测网络中违反安全策略行为的技术;
所述漏洞扫描模块可以提前警告网络系统中的弱点,防止黑客入侵和内部人员的错误操作;
所述数据库安全模块保障业务数据库系统的保密性、用户身份识别、访问控制、对推理攻击的防范、可审计性、防止对数据库中隐蔽信道的攻击和保障业务数据库的完整性;
所述电子邮件安全模块自身存在安全隐患,在安全配置邮件服务器中,邮件服务器中也同时进行安全防护处理。
优选的,所述电子邮件安全模块一邮件系统自身安全:根据操作系统和邮件系统版本和配置的不同,检查邮件系统是否会发生,远程缓冲区溢出。若存在,通过安全服务,提供对系统进行版本升级或调整配置的方法给予杜绝;二邮件加密与签名:配置并建立安全电子邮件系统,实现邮件的自动压缩、数据加密与签名;三邮件系统配置安全:根据全网安全策略,针对可能造成安全隐患的系统配置调整系统配置,杜绝由此带来的安全隐患,诸如未授权地址转发邮件的问题;四远程命令执行配置:针对黑客利用邮件系统的特性,从远程执行本地命令的攻击行为,改变邮件系统配置,禁止远程命令执行,或配置高版本邮件系统来杜绝此安全隐患,保障内部信息安全;五POP3 及IMAP服务安全配置:针对POP和IMAP中出现的远程非法获得Shell或IMAP 远程溢出问题,升级系统版本或修改系统配置来解决其中的安全问题。
优选的,所述系统安全模块包括操作系统安全模块、用户识别和认证模块与自主型访问控制模块,操作系统安全模块通过专用网络搭建一个安全的操作平台;用户识别和认证模块通过用户名识别用户,至少提供基本的用户名口令认证机制;自主型访问控制模块可以根据用户的注册名决定用户的访问控制权限,用户可以自己决定所拥有的资源的授权。
优选的,所述网络安全模块包括网络访问控制模块和应用级访问控制模块,网络级访问控制通过在路由器上配置访问控制列表ACL;其规划是仅允许某些子网或主机(IP地址段或IP地址)访问,拒绝其他子网的访问,达到保护关键网络的目的;应用级访问控制通过扩展访问控制列表(extended ACL)可以在规则中允许某些子网或主机(IP地址段或IP地址)访问某台机器的某个应用(对应于某个端口)。
优选的,所述防火墙调整模块采用一在核心交换机Catalyst6500_上配置防火墙模块,可以以VLAN为基础划分安全区域,利用硬件防火墙的高性能为 VLAN间提供防火墙的保护;二利用CISCOI0S内置的防火墙特性;Catalyst6500 交换机的NATIVE IOS版本均提供内置的防火墙特性CBAC,可以以VLAN为基础划分安全区域,为VLAN间提供防火墙的保护。
与现有技术相比,本发明的有益效果如下:
1.本一种基于互联网的公司安全网络的实现系统通过MPLS/VPN模块和虚拟专网模块连接在公司系统上,应用客户端1、应用客户端2和应用客户端N 通过MPLS/VPN模块和虚拟专网模块,并通过网络传送在同一应用系统内,方便公司内部员工对系统内的信息进行加密传送,并方便跨地域进行加密传送和查看。
2.本一种基于互联网的公司安全网络的实现系统通过系统安全模块内的操作系统安全模块、用户识别和认证模块与自主型访问控制模块,操作系统安全模块通过专用网络搭建一个安全的操作平台;用户识别和认证模块通过用户名识别用户,至少提供基本的用户名口令认证机制;自主型访问控制模块可以根据用户的注册名决定用户的访问控制权限,用户可以自己决定所拥有的资源的授权;网络安全模块包括网络访问控制模块和应用级访问控制模块,网络级访问控制通过在路由器上配置访问控制列表ACL;其规划是仅允许某些子网或主机(IP地址段或IP地址)访问,拒绝其他子网的访问,达到保护关键网络的目的;应用级访问控制通过扩展访问控制列表(extended ACL)可以在规则中允许某些子网或主机(IP地址段或IP地址)访问某台机器的某个应用(对应于某个端口),有效的保护了公司内部网络系统的安全性。
3.本一种基于互联网的公司安全网络的实现系统通过防火墙调整模块采用一在核心交换机Catalyst6500_上配置防火墙模块,可以以VLAN为基础划分安全区域,利用硬件防火墙的高性能为VLAN间提供防火墙的保护;二利用 CISCOI0S内置的防火墙特性;Catalyst6500交换机的NATIVE IOS版本均提供内置的防火墙特性CBAC,可以以VLAN为基础划分安全区域,为VLAN间提供防火墙的保护,从而对信息进行调整防护,侵检测模块是为了保证计算机系统的安全而设计与配置的一种能及时发现并报告系统中未授权或异常现象,并检测网络中违反安全策略行为的技术,漏洞扫描模块可以提前警告网络系统中的弱点,防止黑客入侵和公司内部人员的错误操作,数据库安全模块保障业务数据库系统的保密性、用户身份识别、访问控制、对推理攻击的防范、可审计性、防止对数据库中隐蔽信道的攻击和保障业务数据库的完整性,保证了公司系统内部信息的安全性。
4.本一种基于互联网的公司安全网络的实现系统通过电子邮件安全模块一邮件系统自身安全:根据操作系统和邮件系统版本和配置的不同,检查邮件系统是否会发生,远程缓冲区溢出;若存在,通过安全服务,提供对系统进行版本升级或调整配置的方法给予杜绝;二邮件加密与签名:配置并建立安全电子邮件系统,实现邮件的自动压缩、数据加密与签名;三邮件系统配置安全:根据全网安全策略,针对可能造成安全隐患的系统配置调整系统配置,杜绝由此带来的安全隐患,诸如未授权地址转发邮件的问题;四远程命令执行配置:针对黑客利用邮件系统的特性,从远程执行本地命令的攻击行为,改变邮件系统配置,禁止远程命令执行,或配置高版本邮件系统来杜绝此安全隐患,保障内部信息安全;五POP3及IMAP服务安全配置:针对POP 和IMAP中出现的远程非法获得Shell或IMAP远程溢出问题,升级系统版本或修改系统配置来解决其中的安全问题,对公司内部的邮件信息进行有效的防护。
附图说明
图1为本发明一种基于互联网的公司安全网络的实现系统的整体结构示意图;
图2为本发明一种基于互联网的公司安全网络的实现系统的传送和查看流程示意图;
图3为本发明一种基于互联网的公司安全网络的实现网络安全模块示意结构图;
图4为本发明一种基于互联网的公司安全网络的实现系统安全模块结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
请参阅图1、2、3、4,一种基于互联网的公司安全网络的实现系统,包括应用客户端1、应用客户端2、应用客户端N、MPLS/VPN模块、虚拟专网模块和统一应用系统,统一应用系统包括系统安全模块、网络安全模块,应用客户端1、应用客户端2、应用客户端N通过网络连接在MPLS/VPN模块、虚拟专网模块上并串联在统一应用系统内的系统安全模块、网络安全模块上;
MPLS/VPN模块采用实现多业务系统的安全互联,公司统一规划的 MPLS/VPN网络改造实施,采用MPLS技术对原有的广域网接入方式进行了改造,采用基于MPLS的VPN技术对覆盖不同地域的业务系统划分VPN,进行安全隔离,并提供安全有效的信息交互;
虚拟专网模块采用虚拟专用网络,虚拟专用网络(VPN)的功能是:在公用网络上建立专用网络,进行加密通讯;
系统安全模块根据对市公司局域网和各县公司局域网均根据部门职能和业务的不同划分了VLAN,以实现网络资源逻辑隔离,防止广播风暴,并进行网络级访问控制和应用级访问控制;
网络安全模块采用安全的操作系统平台对系统内部进行安全检测;
具体的,通过系统安全模块包括操作系统安全模块、用户识别和认证模块与自主型访问控制模块,操作系统安全模块通过专用网络搭建一个安全的操作平台;用户识别和认证模块通过用户名识别用户,至少提供基本的用户名口令认证机制;自主型访问控制模块可以根据用户的注册名决定用户的访问控制权限,用户可以自己决定所拥有的资源的授权;网络安全模块包括网络访问控制模块和应用级访问控制模块,网络级访问控制通过在路由器上配置访问控制列表ACL;其规划是仅允许某些子网或主机(IP地址段或IP地址) 访问,拒绝其他子网的访问,达到保护关键网络的目的;应用级访问控制通过扩展访问控制列表(extended ACL)可以在规则中允许某些子网或主机(IP地址段或IP地址)访问某台机器的某个应用(对应于某个端口),应用客户端1、应用客户端2和应用客户端N通过MPLS/VPN模块和虚拟专网模块,并通过网络上对数据进行加密传输和查看。
实施例2
请参阅图1,一种基于互联网的公司安全网络的实现系统,包括统一应用系统,统一应用系统包括防火墙调整模块、入侵检测模块、漏洞扫描模块、数据库安全模块和电子邮件安全模块,统一应用系统通过网络连接在系统安全模块、网络安全模块、防火墙调整模块、入侵检测模块、漏洞扫描模块、数据库安全模块和电子邮件安全模块上;
防火墙调整模块是网络的一种安全保护措施,分析和监控流量,调整防火墙部署同来阻断非法数据传输,同时可以将对外提供服务、比较容易攻击的服务器独立放在一个特定的保护区;
入侵检测模块是为了保证计算机系统的安全而设计与配置的一种能及时发现并报告系统中未授权或异常现象,并检测网络中违反安全策略行为的技术;
漏洞扫描模块可以提前警告网络系统中的弱点,防止黑客入侵和内部人员的错误操作;
数据库安全模块保障业务数据库系统的保密性、用户身份识别、访问控制、对推理攻击的防范、可审计性、防止对数据库中隐蔽信道的攻击和保障业务数据库的完整性;
电子邮件安全模块自身存在安全隐患,在安全配置邮件服务器中,邮件服务器中也同时进行安全防护处理。
具体的,通过电子邮件安全模块一邮件系统自身安全:根据操作系统和邮件系统版本和配置的不同,检查邮件系统是否会发生,远程缓冲区溢出;若存在,通过安全服务,提供对系统进行版本升级或调整配置的方法给予杜绝;二邮件加密与签名:配置并建立安全电子邮件系统,实现邮件的自动压缩、数据加密与签名;三邮件系统配置安全:根据全网安全策略,针对可能造成安全隐患的系统配置调整系统配置,杜绝由此带来的安全隐患,诸如未授权地址转发邮件的问题;四远程命令执行配置:针对黑客利用邮件系统的特性,从远程执行本地命令的攻击行为,改变邮件系统配置,禁止远程命令执行,或配置高版本邮件系统来杜绝此安全隐患,保障内部信息安全;五POP3 及IMAP服务安全配置:针对POP和IMAP中出现的远程非法获得Shell或IMAP 远程溢出问题,升级系统版本或修改系统配置来解决其中的安全问题;防火墙调整模块采用一在核心交换机Catalyst6500_上配置防火墙模块,可以以 VLAN为基础划分安全区域,利用硬件防火墙的高性能为VLAN间提供防火墙的保护;二利用CISCOI0S内置的防火墙特性;Catalyst6500交换机的NATIVE IOS 版本均提供内置的防火墙特性CBAC,可以以VLAN为基础划分安全区域,为 VLAN间提供防火墙的保护。
综上所述:本发明一种基于互联网的公司安全网络的实现系统,通过 MPLS/VPN模块和虚拟专网模块连接在公司系统上,应用客户端1、应用客户端2和应用客户端N通过MPLS/VPN模块和虚拟专网模块,并通过网络传送在同一应用系统内,通过系统安全模块包括操作系统安全模块、用户识别和认证模块与自主型访问控制模块,操作系统安全模块通过专用网络搭建一个安全的操作平台;用户识别和认证模块通过用户名识别用户,至少提供基本的用户名口令认证机制;自主型访问控制模块可以根据用户的注册名决定用户的访问控制权限,用户可以自己决定所拥有的资源的授权;网络安全模块包括网络访问控制模块和应用级访问控制模块,网络级访问控制通过在路由器上配置访问控制列表ACL;其规划是仅允许某些子网或主机(IP地址段或IP 地址)访问,拒绝其他子网的访问,达到保护关键网络的目的;应用级访问控制通过扩展访问控制列表(extended ACL)可以在规则中允许某些子网或主机 (IP地址段或IP地址)访问某台机器的某个应用(对应于某个端口),应用客户端1、应用客户端2和应用客户端N通过MPLS/VPN模块和虚拟专网模块,并通过网络上对数据进行加密传输和查看,防火墙调整模块采用一在核心交换机Catalyst6500_上配置防火墙模块,可以以VLAN为基础划分安全区域,利用硬件防火墙的高性能为VLAN间提供防火墙的保护;二利用CISCOI0S内置的防火墙特性;Catalyst6500交换机的NATIVE IOS版本均提供内置的防火墙特性CBAC,可以以VLAN为基础划分安全区域,为VLAN间提供防火墙的保护,从而对信息进行调整防护,侵检测模块是为了保证计算机系统的安全而设计与配置的一种能及时发现并报告系统中未授权或异常现象,并检测网络中违反安全策略行为的技术,漏洞扫描模块可以提前警告网络系统中的弱点,防止黑客入侵和公司内部人员的错误操作,数据库安全模块保障业务数据库系统的保密性、用户身份识别、访问控制、对推理攻击的防范、可审计性、防止对数据库中隐蔽信道的攻击和保障业务数据库的完整性,通过电子邮件安全模块一邮件系统自身安全:根据操作系统和邮件系统版本和配置的不同,检查邮件系统是否会发生,远程缓冲区溢出;若存在,通过安全服务,提供对系统进行版本升级或调整配置的方法给予杜绝;二邮件加密与签名:配置并建立安全电子邮件系统,实现邮件的自动压缩、数据加密与签名;三邮件系统配置安全:根据全网安全策略,针对可能造成安全隐患的系统配置调整系统配置,杜绝由此带来的安全隐患,诸如未授权地址转发邮件的问题;四远程命令执行配置:针对黑客利用邮件系统的特性,从远程执行本地命令的攻击行为,改变邮件系统配置,禁止远程命令执行,或配置高版本邮件系统来杜绝此安全隐患,保障内部信息安全;五POP3及IMAP服务安全配置:针对 POP和IMAP中出现的远程非法获得Shell或IMAP远程溢出问题,升级系统版本或修改系统配置来解决其中的安全问题,具有系统信息加密传送高,系统内的信息安全性性高、方便跨地域进行加密传送和查看、及时发现系统漏洞和危险因素,从而进行有效的防护的优点。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点,对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明;因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内,不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。