一种基于零信任架构的国产操作系统纳管平台
文献发布时间:2024-04-18 19:52:40
技术领域
本发明涉及零信国产自主控制系统管控技术领域,具体为一种基于零信任架构的国产操作系统纳管平台。
背景技术
自主可控终端操作系统域控、技术在国内还处于发展的前期,自主可控操作系统的普及以及新型电力系统新业务形态,大量出现了自主可控操作系统难以统一入域、难以深度统一管控等问题,有必须在基础域控基本功能基础上,进一步开展自主可控桌面终端深度协同管控技术研究与应用,针对域控架构的终端管控系统的顶层设计,通过融合信任评估方法、零信任访问授权控制技术、多元化域控综合管控技术协同应用,实现基于集团域林架构下新型电力系统终端域管深度融合与应用,提升公司在新型电力场景下关键技术的核心竞争力,保障自主可控操作系统推广应用。
核心技术受制于人,对外依存度较高,长期以来自主可控系统整体发展比较晚底子薄,从而导致缺乏调读计算与核心技术,市场自给率不足,从而导致深度融合后合域管控较为薄弱,并且系统开发设备与资源较为稀薄,从而导致互联网以及微软开发存在管控漏洞,这样容易导致联网容易被病毒等其他终端进行侵蚀,从而导致互联网防控系统下降,从而导致无法进行逐级管控,由于自主控制系统技术较为薄弱,从而导致计算不够精密,从而无法实现对数据之间的计算与分析,从而无法进行统一管控,这样容易导致管控出现漏洞。
发明内容
(一)技术方案
为实现上述基于零信任架构的国产操作系统纳管平台,本发明提供如下技术方案:一种基于零信任架构的国产操作系统纳管平台,包括以下步骤:
S1、“管理微软领域组织、终端信息”一个方法是在企业网络应用模式上采用与过去终端/服务器相似的Windows终端;另一个方法就是采用SMS这样的管理系统。
S2“查看子域组织、终端信息”提供ADSL;
登陆web设置界面;
设置计算机网卡IP地址;
S3、“请求接入上级域管平台”通过底层控制系统向上级发送请求进行连接,通过SOCKET方式,从而调用socket API来进行建立连接从而发生数据与接受数据;
S4、“准许下级域管接入”通过将数据上传到控制终端,通过人员控制终端是否允许,从而将所接受数据返回到子域;
S5、“子域组织、终端上送到父域”建立一个ASP Web服务项目;
S6、“发布信息到下级域管平台”通过子域与控制终端之间建立连接,通过父域将所需要下传数据发送到控制终端,再通过子域进行接受。
优选的,所述步骤S2中登录web界面输入网址或者ip地址,再通过输入省用户名与密码点击确认,通常普通ADSL普通用户速率一般在256K-4096K范围内,需要注意的是计算机网卡ip地址需要先确定是否装好,再设置为MODEM的IP地址相同网段。
优选的,所述步骤S3中;
S301、初始化WSAStartup(Ps:Winsock是由Unix下的BSD Socket发展而来,是一个与网络协议无关的编程接口);
S302、创建监听的套接字socket(int af,int type,int protocol),bind(双向,但需要数据源)绑定,listen()监听;
S303、accept(创建一个新的Socket)等待客户端连接;
S304、利用accept返回的SOCKET套接字与客户端进行IO通讯;
S305、closesocket(closesocket()/WSACleanup())关闭IO通讯的SOCKET;
S306、closesocket(closesocket()/WSACleanup())关闭监听的SOCKET;
S307、释放资源WSACleanup(调用WSACleanup函数来解除与Socket库的绑定并且释放Socket库所占用的系统资源)。
优选的,所述步骤S4通过子域将数据上传到数据终端,通过父域进行接受与回应,当父域同意后将接受数据反馈到子域,从而通过控制终端进行数据连接,这样能够通过建立连接进行数据与互通,接入控制主要由安全控制中心、交换传输设备、互连网资源以及主机组成,如图1所示,安全控制中心是可控网络的核心,主要由日志审计服务器、大数据分析服务器、边界控制服务器、身份认证服务器、访问控制管理模块以及相应功能的服务器组成,其主要功能是对接入控制中的异常认证行为和访问行为进行动态、实时管控,确保系统的安全性与稳定性,通过对网络异常行为进行分析将结构反馈给控制者与控制子网,控制者与控制子网针对异常行为通过控制单元实施网络主动防御控制,从而形成网络控制闭环,达到主动防御控制目的,当访问请求来自内网用户时,首先判断用户访问的资源是否为外网资源,若为外网资源,则边界控制报务器根据过滤规则库判断该请求能否通过,用户是否具有访问外网的权限,若为内网资源,身份认正服务器根据认证规则库进行用户身份认证,判断日户是否合法;用户通过身份认证后进入应用系究﹐访问控制器根据访问控制策略库进行访问权限空制,判断用户是否具有访问资源的权限。
优选的,所述步骤S5在Microsoft Visual Studio中创建MicrosoftASP.NET Web服务,生成并编辑静态发现文件和Web Services摧述语言(WSDL)文件,将Web服务文件部署到_vti_bin目录,通过在Spdisco.aspx中列出Web服务使其成为可检测到的创建客户端应用程序以使用Web服务,在定义Web服务的编程逻辑的Web服务中创建类库,在VisualStudio中创建ASP.NETWeb服务。
优选的,所述步骤S6通过子域通过控制终端与父域之间建立连接,能够通过父域将所需要下传文件通过数据终端进行传输到子域,再通过子域内部设置有拦截令牌,通过子域确认后进行数据接收。
有益效果
与现有技术相比,本发明提供了一种基于零信任架构的国产操作系统纳管平台,具备以下有益效果:
1、该基于零信任架构的国产操作系统纳管平台,通过设置有整套自主控系统,当用户将数据通过子域进行上传时,通过内外网络之间进行双向审核,再通过进行传输到终端,通过控制中心调控监管,对其信息进行确认与审查,当审查完成后,通过监管控制中心调控进行确认与通过再将用户信息上传到内部网络,还可以通过外网经过边界控制进行入到内部网络中,再通国控制中心调控对身份信息数据进行确认,再通国控制系统将用户信息通过访问进入到内部应用资源中,从而加强管控系统防护强度。
2、该基于零信任架构的国产操作系统纳管平台,通过设置有监控日志边界控制以及大数据分析,从而节省人工进行筛选,这样能够将数据进行通过管控与分类,用户能够通过双渠道对数据进行上传与连接,通过内部增加安全检测,能够增加管控力度。
附图说明
图1为本发明互联网设备资源构成图;
图2为本发明互联网数据流程图;
图3为本发明互联网用户访问流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1-3,本发明提供一种技术方案:一种基于零信任架构的国产操作系统纳管平台,包括以下步骤:
S1、“管理微软领域组织、终端信息”一个方法是在企业网络应用模式上采用与过去终端/服务器相似的Windows终端;另一个方法就是采用SMS这样的管理系统。
S2“查看子域组织、终端信息”提供ADSL;
登陆web设置界面;
设置计算机网卡IP地址;
S3、“请求接入上级域管平台”通过底层控制系统向上级发送请求进行连接,通过SOCKET方式,从而调用socket API来进行建立连接从而发生数据与接受数据;
S4、“准许下级域管接入”通过将数据上传到控制终端,通过人员控制终端是否允许,从而将所接受数据返回到子域;
S5、“子域组织、终端上送到父域”建立一个ASP Web服务项目;
S6、“发布信息到下级域管平台”通过子域与控制终端之间建立连接,通过父域将所需要下传数据发送到控制终端,再通过子域进行接受。
进一步的,所述步骤S2中登录web界面输入网址或者ip地址,再通过输入省用户名与密码点击确认,通常普通ADSL普通用户速率一般在256K-4096K范围内,需要注意的是计算机网卡ip地址需要先确定是否装好,再设置为MODEM的IP地址相同网段。
进一步的,所述步骤S3中;
S301、初始化WSAStartup(Ps:Winsock是由Unix下的BSD Socket发展而来,是一个与网络协议无关的编程接口);
S302、创建监听的套接字socket(int af,int type,int protocol),bind(双向,但需要数据源)绑定,listen()监听;
S303、accept(创建一个新的Socket)等待客户端连接;
S304、利用accept返回的SOCKET套接字与客户端进行IO通讯;
S305、closesocket(closesocket()/WSACleanup())关闭IO通讯的SOCKET;
S306、closesocket(closesocket()/WSACleanup())关闭监听的SOCKET;
S307、释放资源WSACleanup(调用WSACleanup函数来解除与Socket库的绑定并且释放Socket库所占用的系统资源)。
进一步的,所述步骤S4通过子域将数据上传到数据终端,通过父域进行接受与回应,当父域同意后将接受数据反馈到子域,从而通过控制终端进行数据连接,这样能够通过建立连接进行数据与互通,接入控制主要由安全控制中心、交换传输设备、互连网资源以及主机组成,如图1所示,安全控制中心是可控网络的核心,主要由日志审计服务器、大数据分析服务器、边界控制服务器、身份认证服务器、访问控制管理模块以及相应功能的服务器组成,其主要功能是对接入控制中的异常认证行为和访问行为进行动态、实时管控,确保系统的安全性与稳定性,通过对网络异常行为进行分析将结构反馈给控制者与控制子网,控制者与控制子网针对异常行为通过控制单元实施网络主动防御控制,从而形成网络控制闭环,达到主动防御控制目的,当访问请求来自内网用户时,首先判断用户访问的资源是否为外网资源,若为外网资源,则边界控制报务器根据过滤规则库判断该请求能否通过,用户是否具有访问外网的权限,若为内网资源,身份认正服务器根据认证规则库进行用户身份认证,判断日户是否合法;用户通过身份认证后进入应用系究﹐访问控制器根据访问控制策略库进行访问权限空制,判断用户是否具有访问资源的权限,
进一步的,所述步骤S5在Microsoft Visual Studio中创建MicrosoftASP.NETWeb服务,生成并编辑静态发现文件和Web Services摧述语言(WSDL)文件,将Web服务文件部署到_vti_bin目录,通过在Spdisco.aspx中列出Web服务使其成为可检测到的创建客户端应用程序以使用Web服务,在定义Web服务的编程逻辑的Web服务中创建类库,在VisualStudio中创建ASP.NETWeb服务,
进一步的,所述步骤S6通过子域通过控制终端与父域之间建立连接,能够通过父域将所需要下传文件通过数据终端进行传输到子域,再通过子域内部设置有拦截令牌,通过子域确认后进行数据接收,
该基于零信任架构的国产操作系统纳管平台,该基于零信任架构的国产操作系统纳管平台,通过设置有整套自主控系统,当用户将数据通过子域进行上传时,通过内外网络之间进行双向审核,再通过进行传输到终端,通过控制中心调控监管,对其信息进行确认与审查,当审查完成后,通过监管控制中心调控进行确认与通过再将用户信息上传到内部网络,还可以通过外网经过边界控制进行入到内部网络中,再通国控制中心调控对身份信息数据进行确认,再通国控制系统将用户信息通过访问进入到内部应用资源中,从而加强管控系统防护强度,通过设置有监控日志边界控制以及大数据分析,从而节省人工进行筛选,这样能够将数据进行通过管控与分类,用户能够通过双渠道对数据进行上传与连接,通过内部增加安全检测,能够增加管控力度。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。