(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111515305.2 (22)申请日 2021.12.13 (71)申请人 航天信息股份有限公司 地址 100195 北京市海淀区杏石口路甲18 号 (72)发明人 李华健　苏建辉　徐乐　 (74)专利代理 机构 北京工信联合知识产权代理 有限公司 1 1266 专利代理师 刘海蓉 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种混合云环境下的网络安全处理方法及 系统 (57)摘要 本发明公开了一种混合云环境下的网络安 全处理方法及系统， 包括： 对系统进行安全区域 的划分， 确定运维安管区， 并在核心交换机上配 置访问控制列表， 以实现不同安全区域之间的隔 离； 在核心交换机上配置路由， 将来自互联网的 流量路由至所述运维安管区的下一代防火墙， 以 通过所述下一代防火墙的入侵检测和WAF模块进 行攻击检测和拦截； 通过 终端采集的方式将所有 数据库服务器的流量采集至所述运维安管区的 数据库审计系统， 以基于预设规则进行安全审 计， 确定非法访问和危险操作， 并进行告警和阻 断； 通过探针将核心交换机的流量全量镜像至态 势感知平台， 通过全流量分析， 检测来自外部的 安全威胁和来自内部的横向攻击和非法外联威 胁。 权利要求书2页 说明书6页 附图2页 CN 114499927 A 2022.05.13 CN 114499927 A 1.一种混合云环境下的网络安全处 理方法， 其特 征在于， 所述方法包括： 对系统进行安全区域的划分， 确定运维安管区， 并在核心交换机上配置访问控制列表， 以实现不同安全区域之间的隔离； 在核心交换机上配置路由， 将来自互联网的流量路由至所述运维安管区的下一代防火 墙， 以通过 所述下一代防火墙的入侵检测 和WAF模块进行攻击检测 和拦截； 通过终端采集的方式将所有数据库服务器的流量采集至所述运维安管区的数据库审 计系统， 以基于预设规则进行安全审计， 确定非法访问和危险操作， 并进行告警和阻断； 通过探针将核心交换机的流量全量镜像至态势感知平台， 通过全流量分析， 检测来自 外部的安全威胁和来自内部的横向攻击和非法外联威胁。 2.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 在所述运维安全区的所有云主机和物 理机上部署端点检测与响应EDR， 以通过所述EDR 按照预设时间进行漏洞扫描和基线核查， 发现 并修复安全漏洞； 其中， 通过运 维安管区的管 理平台对所述EDR进行集中管控。 3.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 通过所述运维安全区的VPN和堡垒机进行运维操作； 其中， 运维人员登录VPN， 通过VPN 网络登录堡垒机或管理后台， 运维权限精确到每一名运维人员、 每一个IP+端口、 每一个主 机/数据库账户， 且所有运维操作全程录像。 4.根据权利要求1所述的方法， 其特征在于， 所述安全区域还包括： 互联网出口区、 公有 云区、 专属云区和物理机区。 5.根据权利要求4所述的方法， 其特征在于， 所述互联网出口区通过边界 防火墙实现互 联网访问控制， 仅对外开放关键业务端口和VPN入口； 所有业务通过负载均衡设备对外提供 服务， 不允许任何主机映射 公网IP； 需要外联的主机通过代理服务器访问互联网， 代理服务 器访问互联网的策略配置为单向可 出不可进。 6.一种混合云环境下的网络安全处 理系统， 其特 征在于， 所述系统包括： 安全区域划分单元， 用于对系统进行安全区域的划分， 确定运维安管区， 并在核心交换 机上配置访问控制列表， 以实现不同安全区域之间的隔离； 应用安全分析单元， 用于在核心交换机上配置路由， 将来自互联网的流量路由至所述 运维安管区的下一代防火墙， 以通过所述下一代防火墙的入侵检测和WAF模块进行攻击检 测和拦截； 数据安全分析单元， 用于通过终端采集的方式将所有数据库服务器的流量采集至所述 运维安管区的数据库审 计系统， 以基于预设规则进 行安全审 计， 确定非法访问和危险操作， 并进行告警和阻断； 全流量分析单元， 用于通过探针将核心交换机的流量全量镜像至态势感知平台， 通过 全流量分析， 检测来自外 部的安全威胁和来自内部的横向攻击和非法外联威胁。 7.根据权利要求6所述的系统， 其特 征在于， 所述系统还 包括： 主机安全分析单元， 用于在所述运维安全区的所有云主机和物 理机上部署端点检测与 响应EDR， 以通过所述EDR按照预设时间进 行漏洞扫描和基线核查， 发现并修复安全漏洞； 其 中， 通过运维安管区的管理平台对所述EDR进行集中管控。 8.根据权利要求6所述的系统， 其特 征在于， 所述系统还 包括：权　利　要　求　书 1/2 页 2 CN 114499927 A 2运维安全分析单元， 用于通过所述运维安全区的VPN和堡垒机进行运维操作； 其中， 运 维人员登录VPN， 通过VPN网络登录堡垒机或管 理后台， 运 维权限精确到每一名运 维人员、 每 一个IP+端口、 每一个主机 /数据库账户， 且所有运维操作全程录像。 9.根据权利要求6所述的系统， 其特征在于， 所述安全区域还包括： 互联网出口区、 公有 云区、 专属云区和物理机区。 10.根据权利要求9所述的系统， 其特征在于， 所述互联网出口区通过边界防火墙实现 互联网访问控制， 仅对外开放关键业务端口和VPN入口； 所有业务通过负载均衡设备对外提 供服务， 不 允许任何主机映射 公网IP； 需要外联的主机通过代理服务器访问互联网， 代理服 务器访问互联网的策略配置为单向可 出不可进。权　利　要　求　书 2/2 页 3 CN 114499927 A 3