(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111332303.X (22)申请日 2021.11.11 (71)申请人 华亭煤业 集团有限责任公司 地址 744100 甘肃省平凉 市华亭市西华 镇 上亭社区莲湖路109号 (72)发明人 滕敬云　郭旭东　朱奎铭　张艳　 马伟　尚敏　柳显峰　王建伟　 田苏斌　赵杏　兰峰涛　杜成林　 田雪莉　麻赟　 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种分层网络安全防护一体化联动防御方 法 (57)摘要 本发明公开了一种分层网络安全防护一体 化联动防御方法， 包括以下步骤： 通过分析煤矿 企业网络安全形势， 提出了以边界防护、 终端防 护、 一体化综合防御的技术原则， 将内外网物理 隔离和区域划分， 根据不通区域的重要性划分出 不同等级安全域， 并针对性进行安全防护。 本发 明将内外网物理隔离和区域划分， 根据不通区域 的重要性划分出不同等级安全域， 并针对性进行 安全防护。 简化了网络防护难度， 减轻了网络流 量负担。 权利要求书2页 说明书6页 附图1页 CN 114189355 A 2022.03.15 CN 114189355 A 1.一种分层网络安全防护一体化联动防御方法， 其特 征在于， 包括以下步骤： S1： 通过分析煤矿企业网络安全形势， 提出了以边界防护、 终端防护、 一体化综合防御 的技术原则， 将内外网物理隔离和区域划分， 根据不通区域的重要性划分出不同等级安全 域， 并针对性进行安全防护； S2： 将企业网络边界防护按照区域可分为互联网边界， 内外网边界、 工业网边界， 第三 方接入边界， 不同的边界所连接的区域的安全级别不同， 因此网络安全防护的方式和方法 也不相同； S3： 通过对不同安全域的行为管控、 流量管理、 准入控制、 策略细化、 以及终端设备的安 全管理措施， 从人 的行为、 设备管控、 网络安全态势感知等手段进行全方位管控， 实现一套 横向到面(网络层级)纵向到底(接入到核心)、 能够闭环管理(发现威胁 ‑报警‑处理)、 联动 处置(系统发现威胁后能自动阻断威胁源)的综合网络安全防御体系； S4： 针对人的问题， 采用终端安全防护手段。 依据大数据采用多种病毒库引擎分析， 通 过部署一套集防病毒、 终端安全管控、 终端准入、 终端审计、 外设管控、 EDR等功能于一体的 终端安全立体防护系统， 实现终端安全防护。 针对煤炭企业多存在办公地点多、 面广、 分散 等特殊因素， 系统的部署采用分级部署、 分级管控、 综合管理的模式， 即在总部部署总控制 中心， 在每个二级单位部署分控制中心。 总控中心可离线或在线更新病毒库、 漏洞补丁库， 各分控制中心从总控制中心下载升级的库文件， 各二级单位的终端从单位的控制中心进 行 升级和下载相关升级文件， 这样总控中心可以管 理全网资源， 也能分级 管理， 即减少总控中 心的管理压力， 节约网络带宽， 也能满足分级管理的策略下发， 实现不同区域的管理需求， 主要实现的功能： 1、 全网终端病毒查杀。 ， 2、 定期修补漏洞3、 总控中心可以对全网资产全面 管理4.分级运维管控。 5.移动介质管理。 6.终端入网管控； S5： 边界防护建设， 将网络边界防护按照区域可分为互联网边界， 内外网边界、 工业网 边界， 第三方接入边界， 不同边界不同 防护方法； S6： 一体化网络安全 防御体系分析及方法， 基于大数据进行自动化挖掘并云端关联分 析， 提前发现各种安全威胁， 并对威胁进行分析研判。 结合公司的态势感知设备， 通过流量 进行分析、 对比、 发现等路程及时发现威胁； ； S7： 数据摆渡功能， 即内外网边界、 工业网边界之间数据传输一直处于物理断开状态， 数据通过中间缓冲区存储转 发， 且设置未单向外传， 实现业务互通。 同时减少网络入侵的可 能性。 2.根据权利要求1所述的一种分层网络安全防护一体化联动防御方法， 其特征在于， 所 述S5中的互联网边界， 互联网具有数据透明、 流量不可控、 行为无法预知等不确定因素。 因 此， 在互联网边界部署防火墙、 上网行为管 理、 认证准入、 态势感知等设备， 加强互联网应用 和访问管理。 ①网络准入管理。 通过网络终端设备和人员的双重授权、 终端安全检查和修 复、 访问权限管理、 终端安全监控等手段， 构建可视化网络接入和网络控制手段， 在 网络接 入管理层实现 “看见、 掌控、 更安全的接入 ”。②通过防火墙对上网终端进行相应的控制。 开 启漏洞攻击防护、 WEB应用防护、 DOS/DDOS防护、 ARP欺骗、 僵尸网络防护 等策略保证互联网 不被外界入侵， 并通过实施漏洞分析内容病毒防御策略、 WAF防护、 ATP检测等功能实时检测 网络中的非法流量进 行报警阻断。 ③通过行为管 理设备， 设定相应的策略， 对公司互联网终 端的操作行为及对外的应用访问进行管理。 比如对一些敏感网站、 敏感字段、 敏感端口、 游权　利　要　求　书 1/2 页 2 CN 114189355 A 2戏、 P2P流量、 代理工具、 远程登陆工具等功能进行管控， 保障互联网终端运行在健康的环 境 中。④通过防火墙、 态势感知系统、 上网行为管理系统对网络进行实施监测。 对发现的异常 情况和存在风险IP地址第一时间进 行排查问题， 通过网络阻断、 物理隔离等方式及时处置， 及时进行断网、 查杀、 比对， 并做好信息收集工作。 3.根据权利要求1所述的一种分层网络安全防护一体化联动防御方法， 其特征在于， 所 述S5中的内外网边界、 工业网边界， 内外网边界和工业网边界是一个高危边界区域， 时刻都 有来自外部的威胁， 是内部网络受到互联网入侵的必然通道， 因此该处边界是我们防守的 重中之重。 正常边界之间数据流都是我们 熟知的业务和数据进行共享， 并且大部分数据 处 于单向外传。 因此， 该区域 边界部署一套网闸设备来实现数据传输 。 4.根据权利要求1所述的一种分层网络安全防护一体化联动防御方法， 其特征在于， 所 述S5中的第三方接入边界， 该 处边界一般都是与银行、 政府 管理机构等具有较高机密性， 并 且相对安全的区域进行业务互通， 且数据传输都是双向的。 而该处有明确的业务数据流和 明确的IP地址， 甚至可以精确到端口号。 该边界防护只需要固定的IP地址、 端口号、 协议数 据通过即可， 因此我们在第三方边界部署下一代智慧防火墙， 以精细化策略为首要防御手 段， 认真梳理互通IP、 端口号等， 以最小化策略为原则进行防火墙配置， 保证只有可信的流 量通过合法的IP和端口， 最后开启deny ‑deny的安全策略， 拒绝其它非法链接。 下一代防火 墙集成了IDS、 病毒识别、 IPS、 应用识别等功能， 因此， 在合法策略中开启相应的安全策略配 置实现病毒防护、 漏洞防护、 防间谍、 文件过滤、 行为管控的安全管控， 保障合法流量的同时 实现入侵防御功能。权　利　要　求　书 2/2 页 3 CN 114189355 A 3