一种基于零信任的业务隐藏的安全行为监控系统的制作方法

1.本发明属于安全行为监控技术领域，具体涉及一种基于零信任的业务隐藏的安全行为监控系统。


背景技术：

2.电网公司的各项业务是关系国计民生的国家重要基础设施，一直都是安全保障的核心，业务的安全稳定也需要各种安全防护技术的手段的支撑。然而由于对外业务诸如网站系统都是直接暴露在互联网上，既便于普通业务用户的使用，也带来了非常多的安全风险,安全行为监控是公司业务的安全稳定也需要各种安全防护技术的手段的支撑，然而由于对外业务诸如网站系统都是直接暴露在互联网上，虽便于普通业务用户的使用，但也带来了非常多的安全风险,为了解决最基础的业务隐藏、最小化权限管理以及实时持续的安全行为监控，从而以零信任的技术框架为基础，研究国网的各种对外业务的安全防护问题。
3.目前，安全行为监控系统大多以接入安全为起点开展零信任的安全防护方案，然而其对业务隐藏、实时安全监控等目前都较少涉足，从而导致安全行为监控系统在使用的过程中易暴露业务数据，同时无法对安全行为进行实时监控，进而导致了安全行为监控系统的监控存在安全监控数据缺乏实时性的漏洞。


技术实现要素：

4.本发明的目的在于提供一种基于零信任的业务隐藏的安全行为监控系统，以解决上述背景技术中提出的问题。
5.为实现上述目的，本发明提供如下技术方案：一种基于零信任的业务隐藏的安全行为监控系统，包括访问主体、应用信任中心和防护对象，其特征在于：所述访问主体与应用信任中心之间设置有加密通道，加密通道用于开发业务隐藏及全生命周期安全行为监控系统,加密通道对访问主体的业务和访问信息进行加密和隐藏，所述应用信任中心与防护对象之间设置有多协议支撑，多协议支撑将防护和处理信息传输至防护对象，且应用信任中心包括spa单包敲门、安全行为监控和访问行为防护，研究基于spa单包敲门技术，收缩业务暴露面，有效防御ddos及web攻击，安全行为监控模块对访问主体的信息进行实时监控，访问行为防护模块对监控的数据进行分析和实时传输，访问环境发生安全风险的事前预防措施技术。
6.进一步的，所述访问主体包括企业访问、出差员工和合作伙伴，通过对访问主体的分类和标记，使应用信任中心的安全行为监控系统对标记的访问主体进行分类处理，使访问主体的加密和隐藏进行区别防护，并对重要的数据进行重点防护。
7.进一步的，所述加密通道包括数据加密、数据加签、时间戳机制和数据合法性校验，数据加签使用https通道，在超文本传输协议和传输控制协议之间添加一层加密层，数据加签负责数据的加密和解密，数据进行加密后传输至应用信任中心。
8.进一步的，所述数据加签是由发送者产生一段无法伪造的数字串，从而保证数据
在传输过程中不被篡改。
9.进一步的，所述时间戳机制在每次请求中加入当前的时间，服务器端会拿到当前时间和消息中的时间相减，使恶意请求的数据包无法更改时间戳机制中的时间。
10.进一步的，所述合法性校验对每个系统的处理机制进行校验，在数据是合法的情况下进行数据处理，根据不同访问主体的信息，进行不同身份的合法性校验。
11.进一步的，所述安全行为监控包括abac授权、设备凭证、设备健康度、访问主体、访问时间、访问地点、多因素凭证、主体身份以及角色群组，安全行为监控对访问主体的信息进行实时监控。
12.进一步的，所述访问行为防护包括安全风险预防、持续监控、深度分析、实时响应和策略评估，访问行为防护很久安全行为监控的数据进行处理和分析，并对监测和隐藏的安全隐患进行分析和响应。
13.进一步的，所述防护对象包括app、api、vm、主机和数据，app是移动端信息和数据的防护，api是应用程序编程接口信息和数据的防护，vm是具有完整硬件系统功能、运行在一个完全隔离环境中的完整计算机系统信息和数据的防护。
14.本发明的技术效果和优点：该基于零信任的业务隐藏的安全行为监控系统，通过在访问主体和应用信任中心之间设置有加密通道，并通过加密通道中的数据加密、标签加密、时间戳机制和数据合法性校验的多重加密处理，便于对业务进行隐藏和加密，提升了安全行为监控系统的业务隐藏性；通过应用信任中心中设置有安全行为监控和访问行为防护，对访问主体的行为进行全方位监控，并通过访问行为防护对监控的行为进行监控、分析、评估和实时响应，提升了安全行为监控系统的监控的实时性和全面性。
附图说明
15.图1为本发明的模块图；
16.图2为本发明的安全行为监控模块图；
17.图3为本发明的访问行为防护模块图；
18.图4为本发明的加密通道模块图。
具体实施方式
19.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。
20.请参阅如图1-图4所示的一种基于零信任的业务隐藏的安全行为监控系统，包括访问主体、应用信任中心和防护对象，访问主体与应用信任中心之间设置有加密通道，加密通道对访问主体的业务和访问信息进行加密和隐藏，所述应用信任中心与防护对象之间设置有多协议支撑，多协议支撑将防护和处理信息传输至防护对象，且应用信任中心包括spa单包敲门、安全行为监控和访问行为防护，基于spa单包敲门技术，收缩业务暴露面，有效防御ddos及web攻击，安全行为监控模块对访问主体的信息进行实时监控，访问行为防护模块对监控的数据进行分析和实时传输，多协议标签交换是一种在开放的通信网上利用标签引导数据高速、高效传输的新技术，多协议的含义是指mpls不但可以支持多种网络层层面上的协议，还可以兼容第二层的多种数据链路层技术，通过研制、开发具有自主知识产权的电
力行业的业务接入代理系统，将业务完全隐藏，而业务用户通过专门的访问包正常访问，同时业务的访问行为将受到持续监控，从而实现基于用户的行为的全生命周期业务安全监控管理。
21.参照图1和图2，通过在访问主体和应用信任中心之间设置有加密通道，并通过加密通道中的数据加密、标签加密、时间戳机制和数据合法性校验的多重加密处理，便于对业务进行隐藏和加密，提升了安全行为监控系统的业务隐藏性，访问主体包括企业访问、出差员工和合作伙伴，通过对访问主体的分类和标记，使应用信任中心的安全行为监控系统对标记的访问主体进行分类处理，使访问主体的加密和隐藏进行区别防护，并对重要的数据进行重点防护，根据企业访问、出差员工和合作伙伴的标记，设置安全行为监控系统进行重点和非重点监测和防护，通常出差员工的个人访问账户的分限度较高，需要进行重点防护，安全行为监控包括设备凭证、设备健康度、访问主体、访问时间、访问地点、多因素凭证、主体身份以及角色群组，安全行为监控对访问主体的信息进行实时监控，防护对象包括app、api、vm、主机和数据，app是移动端信息和数据的防护，api是应用程序编程接口信息和数据的防护，vm是具有完整硬件系统功能、运行在一个完全隔离环境中的完整计算机系统信息和数据的防护，研制业务隐藏及全生命周期安全监控系统，选取一个业务系统进行研究功能验证，红队队员可以针对系统进行安全性测试，保证业务隐藏效果，同时通过采集的数据针对业务进行分析，红队队员获取用户权限后进一步进行安全性测试，验证测试过程中的危险行为能进行有效告警。
22.参照图3和图4，通过应用信任中心中设置有安全行为监控和访问行为防护，对访问主体的行为进行全方位监控，并通过访问行为防护对监控的行为进行监控、分析、评估和实时响应，提升了安全行为监控系统的监控的实时性和全面性，加密通道包括数据加密、数据加签、时间戳机制和数据合法性校验，数据加签使用https通道(https是以安全为目标的http通道，在http的基础上通过传输加密和身份认证保证了传输过程的安全性)，在超文本传输协议(超文本传输协议指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应)和传输控制协议(传输控制协议是一种面向连接的、可靠的、基于字节流的传输层通信协议)之间添加一层加密层，数据加签负责数据的加密和解密，数据进行加密后传输至应用信任中心，数据加签是由发送者产生一段无法伪造的数字串，从而保证数据在传输过程中不被篡改，时间戳机制在每次请求中加入当前的时间，服务器端会拿到当前时间和消息中的时间相减，使恶意请求的数据包无法更改时间戳机制中的时间，合法性校验对每个系统的处理机制进行校验，在数据是合法的情况下进行数据处理，根据不同访问主体的信息，进行不同身份的合法性校验，访问行为防护包括持续监控、深度分析、实时响应和策略评估，访问行为防护很久安全行为监控的数据进行处理和分析，并对监测和隐藏的安全隐患进行分析和响应，基于属性的abac授权，横向安全风险防御技术，根据访问环境发生安全风险的事前预防措施技术,abac授权的步骤:用户访问资源，发送原始请求；请求发送到策略实施点(pep)，pep构建xacml格式请求；pep将xacml请求发送到策略决策点(pdp)；pdp根据xacml请求，查找策略管理点(pap)中的策略文件；pdp从策略信息点(pip)查找策略文件中需要的属性值(主体、资源、环境属性)；pdp将决策结果(permit、deny、不确定、不适用)返回给pep；pep发送请求到资源，并把资源返回给用户，提出从业务安全接入的业务隐藏及安全监控，通过系统实现全生命周期的安全行为监控，研制业务隐藏及全生命周期安全监控
系统，选取一个业务系统进行研究功能验证，红队队员可以针对系统进行安全性测试，保证业务隐藏效果。同时通过采集的数据针对业务进行分析，红队队员获取用户权限后进一步进行安全性测试，验证测试过程中的危险行为能进行有效告警。
23.工作原理：该基于零信任的业务隐藏的安全行为监控系统，在使用时，访问主体的信息经过加密通道中的数据加密、数据加签、时间戳机制和数据合法性校验进行加密处理后，对业务进行隐藏访问，应用信任中心内的安全行为监控模块和访问行为防护模块，对访问的行为进行监测、分析和实时响应，从而保证访问行为的安全性。
24.以上所述，仅为发明较佳的具体实施方式，但发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在发明揭露的技术范围内，根据发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在发明的保护范围之内。