一种安全隔离管控系统

摘要

本发明公开了一种安全隔离管控系统，具有：对网络数据层、高层协议层的数据防护，对用户业务和行为管控的识别子系统和管控操作子系统，以及对前端设备筛选出的数据包进行进一步的综合处理并完成策略的配置和管理的综合处理子系统，由于采用了上述技术方案，本发明提供的一种安全隔离管控系统，可全方位的对应急通信系统设备和用户进行安全防护，在保证整个应急通信系统电信级稳定性的基础上，满足用户无感、设备无感，通过网络层数据防护、SIP协议防护、业务数据协议防护、用户业务管控等技术手段实现对专网的立体性防护。

主权项

一种安全隔离管控系统，具有：对网络数据层、高层协议层的数据防护，对用户业务和行为管控的识别子系统和管控操作子系统，以及对前端设备筛选出的数据包进行进一步的综合处理并完成策略的配置和管理的综合处理子系统，所述的识别子系统和管控操作子系统驻留在前端设备；所述的综合处理子系统驻留在后段设备；所述的识别子系统具有：网络层数据防护模块：采用深度包检测DPI和深度流DFI技术对数据包进行线速分析；对协议数据的各字段进行检测；检测过滤碎片、异常分段的畸形报文；对至少包括ICMP和SNMP的网络典型检测报文进行过滤；系统对系统指定IP地址和端口的UDP数据进行检测与管控；SIP协议防护模块：对SIP数据解封装，分析SIP控制信令消息和SIP数据消息；设置SIP协议允许业务过滤规则，保证已注册有效业务类型的通信；动态记录专网内用户IP地址与SIP URI对应关系，过滤针对非专网内注册用户的SIP报文；监控并管理用户通信CALLID活动状态；具备SIP异常控制信令消息检测过滤规则，支持根据用户会话状态的异常SIP协议流程检测策略，防止非法用户以假冒身份干涉用户通信；通过对用户访问网络行为规律的记录，检测异常接入行为；数据转发模块：对管理数据包、会话控制数据包、话音和数据报数据包和注册认证数据包进行透明转发；所述的管控操作子系统包括：用户业务管控模块：通过数据流分析，实现用户身份信息、用户IP地址及用户访问权限的对应；通过动态地设置业务管控策略，对应用层业务数据进行选通过滤；根据用户权限对用户业务进行监控过滤，实时阻断用户越权访问行为；防护策略管控模块：根据防护策略对指定IP地址、UDP端口、报文类型、协议类型进行配置；对SIP异常控制信令配置过滤规则，对非法用户部署过滤规则，保证合法信令透明转发；使用数据形式一次性配置完成，也可以在使用过程中通过命令/报告的形式动态更新、查看；综合处理子系统包括：操作维护管理模块：采用SNMP协议；综合安全隔离管控平台通过综合设备管理系统查询软件和硬件版本并进行上报；采用查询和上报正在实施的安全管控和过滤规则，动态增加安全管控和过滤规则后，能够实时上报到综合设备管理系统；支持查询和上报正在运行的木马特征库版本，动态增加木马特征后，能够实时上报到综合设备管理系统；非法数据流上报模块：将检测得到的非法数据流信息上报；告警上报模块：对于至少包含木马和恶意协议的行为、非法探测行为、非法业务行为、超限业务行为和非法用户进行实时动态拦截；同时向综合设备管理系统实时告警，告警内容包括：安全威胁类型、目标地址、端口号、源地址、端口号以及协议类型；上报板卡和端口运行故障；运行统计和上报模块：实时统计各个端口的合法流量和非法流量，并周期性地将统计数据上报到综合设备管理系统；操作维护管理模块：基于SNMP的管理模型，SNMP作为数据传输方法，与数据的组织形式‑管理信息库（MIB）结合；通过SNMP操作直接与网络数据处理组件通信，获得即时的设备信息，对其进行配置管理和操作；也可以通过对数据库的访问获得网络设备的历史信息，以决定网络配置变化等操作；配置和信息提取使用基于UDP的SNMP协议；所述的管理信息库MIB记录了网络的状态、通信量统计数据、发生差错的次数以及内部数据结构的当前内容；系统通过对MIB库的存取访问，来实现配置管理、性能管理、安全和故障管理。