(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210918801.0 (22)申请日 2022.08.02 (65)同一申请的已公布的文献号 申请公布号 CN 115001870 A (43)申请公布日 2022.09.02 (73)专利权人 国汽智控 （北京） 科技有限公司 地址 100176 北京市大兴区北京经济技 术 开发区荣 华南路13号院7号楼4层409 (72)发明人 李国强　 (74)专利代理 机构 北京同立钧成知识产权代理 有限公司 1 1205 专利代理师 刘慧　刘芳 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/12(2022.01)(56)对比文件 CN 114598540 A,202 2.06.07 CN 113472820 A,2021.10.01 CN 112765639 A,2021.0 5.07 CN 114465807 A,202 2.05.10 US 11240242 B1,202 2.02.01 审查员 杨柳 (54)发明名称 信息安全防护系统、 方法及存 储介质 (57)摘要 本申请提供一种信息安全防护系统、 方法及 存储介质， 涉及车联网安全技术领域。 该系统包 括： 部署于云端资源侧的零信任安全控制中心和 零信任安全代理； 零信任安全控制中心， 用于采 用深度学习技术管理安全访问控制策略， 并通过 零信任安全代理授权的接口将安全访问控制策 略下发至零信任安全代理； 零信任安全代理与客 户端通信连接， 用于接收客户端的访问请求， 并 按照安全访问控制策略对客户端的访问请求执 行授权操作或拒绝操作。 上述方式提高了数据安 全性， 能够保障云端资源的安全运行。 权利要求书2页 说明书9页 附图3页 CN 115001870 B 2022.11.01 CN 115001870 B 1.一种信 息安全防护系统， 其特征在于， 包括： 部署于资源侧的零信任安全控制中心和 零信任安全代理； 所述零信任安全控制中心， 用于采用深度学习技术管理安全访 问控制策略， 并通过所 述零信任安全代理授权的接口将所述 安全访问控制策略下发至所述 零信任安全代理； 所述零信任安全代理与客户端通信连接， 用于接收所述客户端的访 问请求， 并按照所 述安全访问控制策略对所述 客户端的访问请求执 行授权操作或拒绝操作； 当所述资源侧为多个时， 在管理终端侧部署一级零信任系统， 在每个资源侧均对应部 署二级零信任系统； 其中， 所述一级零信任系统的级别高于所述二级零信任系统， 每个所述 一级零信任系统均包含一级零信任安全控制中心和一级零信任安全代理， 且每个所述二级 零信任系统均包 含二级零信任安全 控制中心和二级零信任安全代理； 所述一级零信任安全控制中心， 用于管理所述安全访 问控制策略， 并将所述安全访 问 控制策略下发至所述 一级零信任安全代理； 所述一级零信任安全代理与 所述管理终端通信连接， 用于接收所述管理终端的访问请 求， 并按照所述 安全访问控制策略对所述管理终端的访问请求执 行授权操作或拒绝操作； 所述二级零信任安全控制中心， 还用于对所述二级零信任安全代理的执行过程进行监 测， 生成审计日志， 并将所述审计日志上传至所述 一级零信任安全 控制中心； 所述一级零信任安全控制中心， 还用于基于所述审计日志， 采用深度学习技术对所述 安全访问控制策略进行调整。 2.根据权利要求1所述的信息安全防护系统， 其特 征在于， 所述一级零信任安全控制中心， 还用于采用微隔离技术对所述管理终端的访问请求进 行业务分析。 3.根据权利要求1所述的信息安全 防护系统， 其特征在于， 所述零信任安全控制中心、 所述零信任安全代理、 所述资源侧的资源服务器和客户端用于构成软件定义边界架构， 所 述软件定义 边界架构内的数据安全传输协议均采用国密算法。 4.根据权利要求1所述的信 息安全防护系统， 其特征在于， 所述客户端的访问请求包括 以下至少之一： 用户身份信息和客户端的网络环境信息； 所述安全访问控制策略包括以下 至少之一： 所述客户端与所述资源侧的资源服务器之间的双向认证策略、 零信任动态授权 策略和业 务访问策略； 其中， 所述零信任安全代理， 还用于将所述用户身份信息和所述客户端的网络环境信 息转发至所述 零信任安全 控制中心； 所述零信任安全控制中心， 还用于验证所述用户身份信息， 以及基于所述客户端的网 络环境信息的信任评估结果对所述双向认证策略、 所述零信任动态授权策略和所述业务访 问策略中的至少一种进行调整。 5.根据权利要求 4所述的信息安全防护系统， 其特 征在于， 所述客户端， 用于在所述零信任安全控制中心验证所述用户身份信息之后， 为所述零 信任安全代理建立加密的通道。 6.根据权利要求1所述的信息安全防护系统， 其特 征在于， 所述零信任安全控制中心， 还用于对异常的访 问请求进行告警， 或控制所述零信任安 全代理关闭所述接口， 所述接口包括应用程序编程API接口。权　利　要　求　书 1/2 页 2 CN 115001870 B 27.一种信息安全防护方法， 其特征在于， 应用于如权利要求1~6任一项所述的信 息安全 防护系统， 包括： 零信任安全控制中心采用深度 学习技术管理安全访问控制策略， 并通过零信任安全代 理授权的接口将所述 安全访问控制策略下发至所述 零信任安全代理； 所述零信任安全代理接收客户端的访问请求， 并按照所述安全访问控制策略对所述客 户端的访问请求执 行授权操作或拒绝操作。 8.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质中存储有计算机 执行指令， 所述计算机执行指令被处理器执行时用于实现如权利要求7所述的信息安全防 护方法。权　利　要　求　书 2/2 页 3 CN 115001870 B 3