企業(yè)網(wǎng)絡(luò)安全管理方法、裝置、系統(tǒng)和安全網(wǎng)關(guān)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全領(lǐng)域,具體涉及一種企業(yè)網(wǎng)絡(luò)安全管理方法、裝置、系統(tǒng)和安全網(wǎng)關(guān)。
【背景技術(shù)】
[0002]隨著移動(dòng)終端的成熟與普及,以手機(jī)、平板電腦為代表的個(gè)人移動(dòng)終端逐漸進(jìn)入企業(yè)領(lǐng)域,這種現(xiàn)象被稱為自帶設(shè)備辦公(Bring Your Own Device,BY0D)。相比傳統(tǒng)信息化的模式,BYOD環(huán)境主要存在三個(gè)方面的安全隱患:首先是通過移動(dòng)網(wǎng)絡(luò)鏈路接入,天然處在一個(gè)開放的網(wǎng)絡(luò),而傳統(tǒng)重要的信息系統(tǒng)都是通過企業(yè)內(nèi)網(wǎng)接入;其次,使用的環(huán)境與傳統(tǒng)信息化模式不一樣,傳統(tǒng)的大部分時(shí)間都在固定的辦公場所,設(shè)備丟失可能性很小,BYOD通常使用移動(dòng)終端,更加容易丟失;第三,BYOD使用的個(gè)人設(shè)備上往往同時(shí)安裝很多個(gè)人的APP,而個(gè)人APP市場上的惡意軟件多如牛毛,這就將企業(yè)數(shù)據(jù)置于安全隱患之中。
[0003]因此需要一種處理BYOD環(huán)境下,移動(dòng)終端上的應(yīng)用接入企業(yè)網(wǎng)絡(luò)時(shí)可能產(chǎn)生安全問題的策略或方法。
【發(fā)明內(nèi)容】
[0004]鑒于上述問題,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的企業(yè)網(wǎng)絡(luò)安全管理方法、裝置、系統(tǒng)和安全網(wǎng)關(guān)。
[0005]依據(jù)本發(fā)明的一個(gè)方面,提供了一種企業(yè)網(wǎng)絡(luò)安全管理方法,包括:
[0006]企業(yè)網(wǎng)絡(luò)的安全網(wǎng)關(guān)接收來自移動(dòng)終端上的對應(yīng)應(yīng)用的網(wǎng)絡(luò)連接請求;其中,所述企業(yè)網(wǎng)絡(luò)有一個(gè)或多個(gè)安全網(wǎng)關(guān),每個(gè)安全網(wǎng)關(guān)對應(yīng)一個(gè)或多個(gè)應(yīng)用;
[0007]安全網(wǎng)關(guān)根據(jù)預(yù)設(shè)規(guī)則對所接收的網(wǎng)絡(luò)連接請求進(jìn)行判斷;當(dāng)判斷為通過時(shí),放行該網(wǎng)絡(luò)連接請求;當(dāng)判斷為不通過時(shí),阻斷該網(wǎng)絡(luò)連接請求。
[0008]可選地,所述預(yù)設(shè)規(guī)則包括:應(yīng)用控制規(guī)則和設(shè)備違規(guī)控制規(guī)則;
[0009]所述安全網(wǎng)關(guān)根據(jù)預(yù)設(shè)規(guī)則對所接收的網(wǎng)絡(luò)連接請求進(jìn)行判斷包括:根據(jù)應(yīng)用控制規(guī)則進(jìn)行判斷;當(dāng)判斷為不通過時(shí),阻斷該網(wǎng)絡(luò)連接請求;當(dāng)判斷為通過時(shí)進(jìn)一步根據(jù)設(shè)備違規(guī)控制規(guī)則進(jìn)行判斷,當(dāng)判斷該移動(dòng)終端未違規(guī)時(shí)放行該網(wǎng)絡(luò)連接請求,當(dāng)判斷該移動(dòng)終端違規(guī)時(shí)阻斷該網(wǎng)絡(luò)連接請求。
[0010]可選地,所述應(yīng)用控制規(guī)則包括如下中的一種或多種;
[0011]判斷網(wǎng)絡(luò)連接請求對應(yīng)的應(yīng)用是否在應(yīng)用白名單中,是則通過,否則不通過;
[0012]判斷網(wǎng)絡(luò)連接請求對應(yīng)的應(yīng)用是否在應(yīng)用黑名單中,是則通過,否則不通過。
[0013]可選地,設(shè)備違規(guī)控制規(guī)則包括:
[0014]判斷發(fā)送網(wǎng)絡(luò)連接請求的移動(dòng)終端是否離線時(shí)間超過預(yù)設(shè)值,是則該移動(dòng)終端違規(guī);
[0015]判斷發(fā)送網(wǎng)絡(luò)連接請求的移動(dòng)終端的設(shè)備標(biāo)識是否在設(shè)備黑名單中,是則該移動(dòng)終端違規(guī)。
[0016]可選地,所述安全網(wǎng)關(guān)接收到的是來自移動(dòng)終端上的對應(yīng)應(yīng)用的加密后的網(wǎng)絡(luò)連接請求;
[0017]該方法進(jìn)一步包括:所述安全網(wǎng)關(guān)對所接收到的網(wǎng)絡(luò)連接請求進(jìn)行解密處理;
[0018]所述放行該網(wǎng)絡(luò)連接請求包括:所述安全網(wǎng)關(guān)將解密處理后的網(wǎng)絡(luò)連接請求發(fā)送給所述企業(yè)網(wǎng)絡(luò)中的對應(yīng)服務(wù)器;
[0019]該方法進(jìn)一步包括:所述安全網(wǎng)關(guān)將所述對應(yīng)服務(wù)器反饋的網(wǎng)絡(luò)連接請求處理結(jié)果進(jìn)行加密處理后返回給對應(yīng)的移動(dòng)終端。
[0020]可選地,該方法進(jìn)一步包括:
[0021 ]所述安全網(wǎng)關(guān)定期或不定期從企業(yè)網(wǎng)絡(luò)安全管理服務(wù)器獲取預(yù)設(shè)規(guī)則;
[0022]或者,
[0023]所述安全網(wǎng)關(guān)在收到企業(yè)網(wǎng)絡(luò)安全管理服務(wù)器的通知時(shí),從企業(yè)網(wǎng)絡(luò)安全管理服務(wù)器獲取預(yù)設(shè)規(guī)則。
[0024]依據(jù)本發(fā)明的另一方面,提供了另一種企業(yè)網(wǎng)絡(luò)安全管理方法,包括:
[0025]將移動(dòng)終端上的應(yīng)用發(fā)起的網(wǎng)絡(luò)連接請求發(fā)送到企業(yè)網(wǎng)絡(luò)的與該應(yīng)用對應(yīng)安全網(wǎng)關(guān);其中,所述企業(yè)網(wǎng)絡(luò)有一個(gè)或多個(gè)安全網(wǎng)關(guān),每個(gè)安全網(wǎng)關(guān)對應(yīng)一個(gè)或多個(gè)應(yīng)用;
[0026]接收對應(yīng)安全網(wǎng)關(guān)返回的網(wǎng)絡(luò)連接請求處理結(jié)果。
[0027]可選地,該方法進(jìn)一步包括:從企業(yè)網(wǎng)絡(luò)安全管理服務(wù)器獲取應(yīng)用和安全網(wǎng)關(guān)的對應(yīng)關(guān)系列表;
[0028]所述將移動(dòng)終端上的應(yīng)用發(fā)起的網(wǎng)絡(luò)連接請求發(fā)送到企業(yè)網(wǎng)絡(luò)的對應(yīng)安全網(wǎng)關(guān)包括:根據(jù)所述對應(yīng)關(guān)系列表將網(wǎng)絡(luò)連接請求發(fā)送到對應(yīng)的安全網(wǎng)關(guān)。
[0029]可選地,該方法進(jìn)一步包括:
[0030]將移動(dòng)終端上的應(yīng)用發(fā)起的網(wǎng)絡(luò)連接請求發(fā)送到企業(yè)網(wǎng)絡(luò)的與該應(yīng)用對應(yīng)安全網(wǎng)關(guān)之前,對該網(wǎng)絡(luò)連接請求進(jìn)行加密處理;
[0031]對安全網(wǎng)關(guān)返回的網(wǎng)絡(luò)連接請求處理結(jié)果進(jìn)行解密處理。
[0032]可選地,在將移動(dòng)終端上的應(yīng)用發(fā)起的網(wǎng)絡(luò)連接請求發(fā)送到企業(yè)網(wǎng)絡(luò)的與該應(yīng)用對應(yīng)安全網(wǎng)關(guān)之前,該方法進(jìn)一步包括:
[0033]從企業(yè)網(wǎng)絡(luò)安全管理服務(wù)器獲取應(yīng)用配置表;
[0034]根據(jù)應(yīng)用配置表判斷該應(yīng)用的數(shù)據(jù)流量是否通過安全網(wǎng)關(guān),是則才將該應(yīng)用發(fā)起的網(wǎng)絡(luò)連接請求發(fā)送到企業(yè)網(wǎng)絡(luò)的與該應(yīng)用對應(yīng)安全網(wǎng)關(guān)。
[0035]可選地,該方法進(jìn)一步包括:
[0036]當(dāng)對應(yīng)安全網(wǎng)關(guān)返回的網(wǎng)絡(luò)連接請求處理結(jié)果表示阻斷相應(yīng)網(wǎng)絡(luò)連接請求時(shí),在移動(dòng)終端界面上彈窗顯示被阻斷的結(jié)果和原因。
[0037]可選地,該方法進(jìn)一步包括:
[0038]獲取所述移動(dòng)能終端的操作系統(tǒng)的平臺簽名,基于該平臺簽名獲取操作系統(tǒng)的相應(yīng)權(quán)限;
[0039]基于獲取的所述相應(yīng)權(quán)限將移動(dòng)終端上的應(yīng)用發(fā)起的網(wǎng)絡(luò)連接請求發(fā)送到企業(yè)網(wǎng)絡(luò)的與該應(yīng)用對應(yīng)安全網(wǎng)關(guān)。
[0040]依據(jù)本發(fā)明的又一方面,提供了一種安全網(wǎng)關(guān),其中,該安全網(wǎng)關(guān)是企業(yè)網(wǎng)絡(luò)的一個(gè)或多個(gè)安全網(wǎng)關(guān)之一,每個(gè)安全網(wǎng)關(guān)對應(yīng)一個(gè)或多個(gè)應(yīng)用,該安全網(wǎng)關(guān)包括:[0041 ]接收單元,適于接收來自移動(dòng)終端上的對應(yīng)應(yīng)用的網(wǎng)絡(luò)連接請求;
[0042]處理單元,適于根據(jù)預(yù)設(shè)規(guī)則對所接收的網(wǎng)絡(luò)連接請求進(jìn)行判斷;當(dāng)判斷為通過時(shí),放行該網(wǎng)絡(luò)連接請求;當(dāng)判斷為不通過時(shí),阻斷該網(wǎng)絡(luò)連接請求;
[0043]存儲(chǔ)單元,適于保存所述預(yù)設(shè)規(guī)則。
[0044]可選地,所述預(yù)設(shè)規(guī)則包括:應(yīng)用控制規(guī)則和設(shè)備違規(guī)控制規(guī)則;
[0045]所述處理單元,適于根據(jù)應(yīng)用控制規(guī)則進(jìn)行判斷;當(dāng)判斷為不通過時(shí),阻斷該網(wǎng)絡(luò)連接請求;當(dāng)判斷為通過時(shí)進(jìn)一步根據(jù)設(shè)備違規(guī)控制規(guī)則進(jìn)行判斷,當(dāng)判斷該移動(dòng)終端未違規(guī)時(shí)放行該網(wǎng)絡(luò)連接請求,當(dāng)判斷該移動(dòng)終端違規(guī)時(shí)阻斷該網(wǎng)絡(luò)連接請求。
[0046]可選地,所述應(yīng)用控制規(guī)則包括如下中的一種或多種;
[0047]判斷網(wǎng)絡(luò)連接請求對應(yīng)的應(yīng)用是否在應(yīng)用白名單中,是則通過,否則不通過;
[0048]判斷網(wǎng)絡(luò)連接請求對應(yīng)的應(yīng)用是否在應(yīng)用黑名單中,是則通過,否則不通過。
[0049]可選地,設(shè)備違規(guī)控制規(guī)則包括:
[0050]判斷發(fā)送網(wǎng)絡(luò)連接請求的移動(dòng)終端是否離線時(shí)間超過預(yù)設(shè)值,是則該移動(dòng)終端違規(guī);
[0051 ]判斷發(fā)送網(wǎng)絡(luò)連接請求的移動(dòng)終端的設(shè)備標(biāo)識是否在設(shè)備黑名單中,是則該移動(dòng)終端違規(guī)。
[0052]可選地,所述接收單元,適于接收來自移動(dòng)終端上的對應(yīng)應(yīng)用的加密后的網(wǎng)絡(luò)連接請求;進(jìn)一步適于對所接收到的網(wǎng)絡(luò)連接請求進(jìn)行解密處理,將解密處理后的網(wǎng)絡(luò)連接請求發(fā)送給所述企業(yè)網(wǎng)絡(luò)中的對應(yīng)服務(wù)器;以及進(jìn)一步適于將所述對應(yīng)服務(wù)器反饋的網(wǎng)絡(luò)連接請求處理結(jié)果進(jìn)行加密處理后返回給對應(yīng)的移動(dòng)終端。
[0053]可選地,該安全網(wǎng)關(guān)進(jìn)一步包括:
[0054]獲取單元,適于定期或不定期從企業(yè)網(wǎng)絡(luò)安全管理服務(wù)器獲取預(yù)設(shè)規(guī)則并更新存儲(chǔ)單元中的預(yù)設(shè)規(guī)則;或者,適于在收到企業(yè)網(wǎng)絡(luò)安全管理服務(wù)器的通知時(shí),從企業(yè)網(wǎng)絡(luò)安全管理服務(wù)器獲取預(yù)設(shè)規(guī)則并更新存儲(chǔ)單元中的預(yù)設(shè)規(guī)則。
[0055]依據(jù)本發(fā)明的再一方面一種企業(yè)網(wǎng)絡(luò)安全管理裝置,其中,該裝置包括:
[0056]發(fā)送網(wǎng)關(guān)單元,適于將移動(dòng)終端上的應(yīng)用發(fā)起的網(wǎng)絡(luò)連接請求發(fā)送到企業(yè)網(wǎng)絡(luò)的與該應(yīng)用對應(yīng)安全網(wǎng)關(guān);其中,所述企業(yè)網(wǎng)絡(luò)有一個(gè)或多個(gè)安全網(wǎng)關(guān),每個(gè)安全網(wǎng)關(guān)對應(yīng)一個(gè)或多個(gè)應(yīng)用;
[0057]接收網(wǎng)關(guān)單元,適于接收對應(yīng)安全網(wǎng)關(guān)返回的網(wǎng)絡(luò)連接請求處理結(jié)果。
[0058]可選地,該裝置進(jìn)一步包括:關(guān)系列表獲取單元,適于從企業(yè)網(wǎng)絡(luò)安全管理服務(wù)器獲取應(yīng)用和安全網(wǎng)關(guān)的對應(yīng)關(guān)系列表;
[0059]所述發(fā)送網(wǎng)關(guān)單元,適于根據(jù)所述對應(yīng)關(guān)系列表將網(wǎng)絡(luò)連接請求發(fā)送到對應(yīng)的安全網(wǎng)關(guān)。
[0060]可選地,所述發(fā)送網(wǎng)關(guān)單元,進(jìn)一步適于在將移動(dòng)終端上的應(yīng)用發(fā)起的網(wǎng)絡(luò)連接請求發(fā)送到企業(yè)網(wǎng)絡(luò)的與該應(yīng)用對應(yīng)安全網(wǎng)關(guān)之前,對該網(wǎng)絡(luò)連接請求進(jìn)行加密處理;
[0061]所述接收網(wǎng)關(guān)單元,進(jìn)一步適于對安全網(wǎng)關(guān)返回的網(wǎng)絡(luò)連接請求處理結(jié)果進(jìn)行解密處理。
[0062]可選地,該裝置進(jìn)一步包括:配置表獲取單元,適于從企業(yè)網(wǎng)絡(luò)安全管理服務(wù)器獲取應(yīng)用配置表;
[0063]發(fā)送網(wǎng)關(guān)單元,適于根據(jù)應(yīng)用配置表判斷該應(yīng)用的數(shù)據(jù)流量是否通過安全網(wǎng)關(guān),是則才將該應(yīng)用發(fā)起的網(wǎng)絡(luò)連接請求發(fā)送到企業(yè)網(wǎng)絡(luò)的與該應(yīng)用對應(yīng)安全網(wǎng)關(guān)。
[0064]可選地,該裝置進(jìn)一步包括:
[0065]提示單元,適于當(dāng)對應(yīng)安全網(wǎng)關(guān)返回的網(wǎng)絡(luò)連接請求處理結(jié)果表示阻斷相應(yīng)網(wǎng)絡(luò)連接請求時(shí),在移動(dòng)終端界面上彈窗顯示被阻斷的結(jié)果和原因。
[0066]可選地,該裝置進(jìn)一步包括:權(quán)限獲取單元,適于獲取所述移動(dòng)能終端的操作系統(tǒng)的平臺簽名,基于該平臺簽名獲取操作系統(tǒng)的相應(yīng)權(quán)限;
[0067]所述發(fā)送網(wǎng)關(guān)單元,適于基于獲取的所述相應(yīng)權(quán)限將移動(dòng)終端上的應(yīng)用發(fā)起的網(wǎng)絡(luò)連接請求發(fā)送到企業(yè)網(wǎng)絡(luò)的與該應(yīng)用對應(yīng)安全網(wǎng)關(guān)。
[0068]依據(jù)本發(fā)明的再一方面,提供了一種企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng),包括:企業(yè)網(wǎng)絡(luò)安全管理服務(wù)器