专利名称:分层式移动互联网安全监控与防护系统的制作方法
技术领域:
本发明涉及一种移动互联网安全领域,具体地说是采用多维立体防护策略和智能
化安全监控技术,创新设计了一种分层式移动互联网安全监控与防护体系。
背景技术:
移动通信正大规模进入移动互联网时代,手机等智能终端日益成为最重要的通信
和信息承载平台,成为信息交流、电子商务、移动办公、消费支付、娱乐的主要接入主体。然
而,由于移动互联网与普通互联网的直接互联互通,原先肆虐于互联网上的病毒、木马、黑
客、非法入侵等恶意攻击也随之涌入,目前针对移动互联网、智能手机的病毒、木马、恶意攻
击软件等已经发现有几千种,并且以每月上百种的速度递增,给终端客户和移动网络运营
造成极为严重的危害。特别是对于那些直接访问互联网的移动终端(智能手机、PDA等),
会把所有互联网上的病毒、黑客、非法攻击引入移动数据网内部。这些有害软件或者驻留在
手机上,或者驻留在服务器上,或者隐藏在网页或文件中,实施通信干扰、业务拒绝、业务欺
诈、信息窃取、账号盗用、资金偷移、设备资源占用等种种非法活动,如果没有强有力的防护
措施,必然网络业务混乱,给运营商和广大客户带来难以估量的损失和灾难。 同时应注意到,移动通信网络的数据业务绝不同于一般互联网业务,前者要求提
供业务可控、安全可控、满足SLA的有保障业务,后者目前还无任何可控的保障;前者提供
业务时用户要定量付费,后者原则上免费。由此导致前者的服务提供者、服务使用者对网络
和业务质量水平的要求都必须是电信级的——这也是移动网数据业务的价值实现基础,所
以移动互联网的安全保障是必须解决的重大的核心运营支撑问题。 然而,即便是普通互联网,绝大多数网络安全和信息安全问题也远没有得到满意 的解决——没有一套完整的安全监控防护体系/也没有实时的行之有效的端到端的安全应 对措施,那么对于移动互联网来说安全问题更是严峻的挑战,不仅缺乏完整的高效的整体 解决方案,甚至没有针对移动互联网安全的专门支持技术。目前,所有的国际通信联盟、标 准化组织、移动通信运营商、网络与IT服务商都将移动数据网络业务安全纳入了核心研究 课题,试图有效解决移动互联网的业务与信息安全问题。
发明内容
本发明的目的是提供一种分层式移动互联网安全监控与防护体系。
本发明的目的是按以下方式实现的,在深入研究移动互联网可运行可维护的特 点和最新网络安全技术的基础上,采用主动监控防护技术、智能化技术和面向客户服务的 质量保障策略,提出了一套完整的移动互联网安全监控与防护体系。该体系分为三层安 全运行中心S0C (Security Operation Center)、安全代理SA (Security Agent)禾口网关 SGW (Security Gateway)、安全接入实体SAE (SecurityAccess Entity) 。 SOC负责总体安全 运营监控管理,SGW负责普通互联网到移动互联网的流量安全检测,SA负责网络主要节点 (或网域)进出流量的安全检测与管理、SAE负责终端的安全接入和安全运行。
3
具体内容包括
(1)安全中心SOC 负责总体安全监控与防护,由安全监控管理系统(SOM)、运行防护服务器(OPS)、 安全策略服务器(SPS)等功能实体组成。SOM负责监控全网的重要安全事件,分析各种异常 和危险趋向,并根据事件的特性实施控制处理。SPS根据网络安全状况和重大安全事件的动 态制定安全监控和防护策略,将相关策略发给SOM执行。OPS根据SOM的要求对某网元、终 端、流量、内容等对象实施安全防护措施,如深度识别控制、扫描、杀毒、联结控制等,也提供 给终端用户相应的安全工具下载运行和在线运行等功能。
(2)安全网关SGW 安全网关SGW设置在移动互联网和普通互联网的连接处,主要负责从普通互联网
到移动互联网的流量安全,包括流量检测、网络攻击识别、病毒挂马识别、不良内容鉴别、异
常操作和恶意软件预警等。对于检测到有害流量或操作,可根据防控策略采取禁制、丢弃、
告警等措施,并及时将相关告警信息发送给S0C作进一步的控制处理。 SGW还可设置在大型的安全代理节点中,对于进出所辖区域网络的网流进行安全监控。 (3)安全代理SA 安全代理设置在移动互联网中的主要节点处,如移动交换中心、基站控制器、重要 的边缘路由器或交换机、主要业务节点(如移动商务平台)等。负责进出某一组群或区域 网络的流量安全。主要有三种功能,一是负责侦测收集网络终端的运行异常、操作异常和告 警信息,上报给安全中心S0C ;二是根据安全中心的指令,对网络终端(或子网)进行特定 的安全检测、控制;三是提供安全网关的功能(一般只有大型的安全代理节点才配置),对 进出所辖区域网络的流量和异常操作进行安全监控。
(4)安全接入实体SAE 安全接入实体一般配置在网络终端上,如手机、上网本、增值业务服务器等。SAE是
一个紧凑的安全监控插件或代码包,监视终端的运行操作状况,发现异常则实时发出告警,
上报给终端主界面、SA和S0C。 SAE根据SA/S0C发来的指令或警示信号实施相应的控制操
作,如发出安全警示、阻断某些异常操作、下载运行S0C的专项安全检测代码等。 本发明的有益效果是本发明适应于构建成完整的移动互联网安全监控与防护系
统。通过分层式模块化体系结构,涵盖了移动互联网从终端、接入网、核心网到业务网的所
有层面,可保证监控防护系统的部署灵活性、覆盖完整性、功能扩展性、升级方便性和深度
防护能力。主动式一体化智能运行机制,可保证各功能组群在S0C的统一调控下,快速协同
地完成端到端的安全监控与防护功能。因此本发明作为一种创新的安全监控与防护体系架
构,适合于电信运营商和网络运营商构建统一完整的智能化安全监控防护系统,有效提高
移动互联网的安全运经营能力,保证广大客户的业务安全和信息安全。
图1是各安全功能实体在网络中的位置与关系;
图2是安全监控防护体系的架构示意图。
具体实施例方式
参照说明书附图对本发明的分层式移动互联网安全监控与防护体系作以下详细地说明。 本发明的分层式移动互联网安全监控与防护体系,包括三个层面四个基本功能群的模块化体系结构,使得整个监控防护体系具有部署灵活、扩展性强、升级方便、完整的端到端深层防护等特点。可适应于移动互联网从终端、接入网、核心网到业务网的所有层面,能够借此构建成完整的安全监控与防护系统; 各模块的智能性能保证其具有很强的安全监控自治功能,能够根据自身的配置,监控防护好所辖范围的运行过程和资源对象。当其他安全系统出现故障时保证本地安全监护保留基本功能,当其他系统正常时能够实现协同工作,实现更高级更强大的安全监护保障; 安全中心SOC的功能结构,包括安全监控管理系统SOM、运行防护服务器OPS、安全策略服务器SPS功能实体,各功能实体的智能性及其协同工作机制,保证系统的安全监控自治功能,功能包括 a)根据自身的配置,监控防护好所辖范围的运行过程和资源对象; b)当其他安全系统出现故障时保证本地安全监护保留基本功能,当其他系统正常
时协同工作,实现安全监护保障。 各功能组群的属性规定及其配合关系规定如下 a) SOC作为总体监控管理者,监视SGW、 SA、 SAE发出的异常告警信息,根据分析结
果决定相应的处理策略,及时控制SGW、 SA、 SAE做出具体的应对操作; b) SGW、 SA、 SAE在各司其职的基础上,根据SOC的统一调控,完成协同工作; c)SA、 SAE协同工作机理SA在监控出入所管节点或区域网络流量安全的同时,代
理SOC并管理许多SAE,SAE则在具备自身安全监控功能的同时,从控于SA。主要技术创新
点 本发明的主要创新点在于分层模块化体系结构、各模块的智能特性、主动式的一体化运行机制。 主动式一体化运行机制,主要基于各功能组群的属性规定及其配合关系。SOC作为总体监控管理者,监视SGW、 SA、 SAE发出的异常告警信息,根据分析结果决定相应的处理策略,及时控制SGW、 SA、 SAE做出具体的应对操作。SGW、 SA、 SAE在各司其职的基础上,根据SOC的统一调控,完成协同工作。比如,当SGW检测到有一个带有挂马的web网页传入时,则根据预定的策略或者自行截住或者立即报告SOC, SOC则立即通知相应的SA和SAE做出防控操作,从而实现有效的端到端的安全监控防护。
权利要求
分层式移动互联网安全监控与防护系统,其特征在于,包括安全运行中心SOC、安全代理和网关SGW、安全接入实体SAE三个层面的功能群组,其中(1)安全中心SOC负责总体安全监控与防护,由安全监控管理系统SOM、运行防护服务器OPS、安全策略服务器SPS等功能实体组成,SOM负责监控全网的重要安全事件,分析各种异常和危险趋向,并根据事件的特性实施控制处理,SPS根据网络安全状况和重大安全事件的动态制定安全监控和防护策略,将相关策略发给SOM执行,OPS根据SOM的要求对某网元、终端、流量、内容的对象实施安全防护措施,包括深度识别控制、扫描、杀毒、联结控制,也提供给终端用户相应的安全工具下载运行和在线运行功能;(2)安全网关SGW安全网关SGW设置在移动互联网和普通互联网的连接处,主要负责从普通互联网到移动互联网的流量安全,包括流量检测、网络攻击识别、病毒挂马识别、不良内容鉴别、异常操作和恶意软件预警,对于检测到有害流量或操作,根据防控策略采取禁制、丢弃、告警措施,并及时将相关告警信息发送给SOC作进一步的控制处理;SGW还设置在大型的安全代理节点中,对于进出所辖区域网络的网流进行安全监控;(3)安全代理SA安全代理设置在移动互联网中的主要节点处,包括移动交换中心、基站控制器、重要的边缘路由器或交换机、主要业务节点、移动商务平台,负责进出某一组群或区域网络的流量安全,主要有三种功能,一是负责侦测收集网络终端的运行异常、操作异常和告警信息,上报给安全中心SOC;二是根据安全中心的指令,对网络终端或子网进行特定的安全检测、控制;三是提供安全网关的功能,对进出所辖区域网络的流量和异常操作进行安全监控;(4)安全接入实体SAE安全接入实体一般配置在网络终端上,包括手机、上网本、增值业务服务器,SAE是一个紧凑的安全监控插件或代码包,监视终端的运行操作状况,发现异常则实时发出告警,上报给终端主界面、SA和SOC,SAE根据SA/SOC发来的指令或警示信号实施相应的控制操作,包括发出安全警示、阻断某些异常操作、下载运行SOC的专项安全检测代码。
2. 根据权利要求1所述的系统,其特征在于,安全中心S0C的功能结构,包括安全监控 管理系统S0M、运行防护服务器0PS、安全策略服务器SPS功能实体,各功能实体的智能性及 其协同工作机制,保证系统的安全监控自治功能,功能包括a) 根据自身的配置,监控防护好所辖范围的运行过程和资源对象;b) 当其他安全系统出现故障时保证本地安全监护保留基本功能,当其他系统正常时协 同工作,实现安全监护保障。
3. 根据权利要求2所述的系统,其特征在于,各功能组群的属性规定及其配合关系规 定如下a) S0C作为总体监控管理者,监视SGW、 SA、 SAE发出的异常告警信息,根据分析结果决 定相应的处理策略,及时控制SGW、 SA、 SAE做出具体的应对操作;b) SGW、 SA、 SAE在各司其职的基础上,根据S0C的统一调控,完成协同工作;c) SA、 SAE协同工作机理SA在监控出入所管节点或区域网络流量安全的同时,代理 S0C并管理许多SAE, SAE则在具备自身安全监控功能的同时,从控于SA。
全文摘要
本发明提供一种分层式移动互联网安全监控与防护系统,该系统在深入研究移动互联网可运行可维护的特点的基础上,采用主动安全监控防护技术、智能化检测分析技术和面向客户服务的质量保障策略,提出了一套完整的移动互联网安全监控与防护体系。该体系包括安全运行中心SOC、安全代理和网关SGW、安全接入实体SAE等三个层面的功能群组,定义了各功能实体的基本属性和功能实体间的互操作关系。SOC负责总体安全运营监控管理,SGW负责普通互联网到移动互联网的流量安全检测,SA负责网络节点或区域网进出流量的安全监控、SAE负责监控各类终端的安全接入和安全运行。
文档编号H04L12/24GK101789948SQ20101011107
公开日2010年7月28日 申请日期2010年2月21日 优先权日2010年2月21日
发明者苗再良 申请人:浪潮通信信息系统有限公司