数据安全管控系统、方法、数据传输系统及介质与流程

本技术涉及通信，尤其涉及一种数据安全管控系统、方法、数据传输系统及介质。

背景技术：

1、随着通信技术的不断发展，信息系统在各行各业中被广泛应用，包括金融、能源、交通、运输等行业。由于行业具有保密性等特性，因此对应用在该行业中的信息系统在信息数据安全性、保密性等方面提有更高的要求。为了确保信息数据的安全性，现在各行业使用各自的行业系统(即数据传输系统)，并且单个行业系统提供的应用根据自身行业的业务特点提供相应的安全防护措施，例如数据加密、数据隔离等。

2、由于行业的业务需求繁多，因此行业系统存在各种各样的应用系统，每个应用系统都进行相应的安全防护措施。但是随着行业系统对安全要求的不断提升，且各应用厂商的安全能力参差不齐，因此各应用系统不一定都能及时全面地满足最新的安全规范。同时缺少统一的安全设备管控系统，无法确保各个设备之间信息数据传递安全，给行业系统正常运行带来巨大的安全隐患。

3、因此，行业系统在各应用系统无法及时全面地满足最近的安全规范，且缺少统一的安全设备管控系统的情况下，存在信息数据安全隐患。

技术实现思路

1、本技术提供了一种数据安全管控系统、方法、数据传输系统及介质，用以解决现有技术存在的信息数据安全性低的问题。

2、根据本技术的第一方面，提供了一种数据安全管控系统，包括：部署于管理平台上的第一通信管控模块和部署于终端设备上的安全通信模块；

3、其中，所述第一通信管控模块，用于生成安全访问控制策略，并将所述安全访问控制策略下发至部署于终端设备上的安全通信模块；

4、部署于发送方上的所述安全通信模块，用于在所述发送方连接到目标网络时，向所述第一通信管控模块发送认证请求；其中，所述发送方是任一所述终端设备；

5、所述第一通信管控模块，用于响应于所述认证请求，基于预设的设备注册表生成认证结果，并将所述认证结果反馈至部署于发送方上的所述安全通信模块；

6、部署于发送方上的所述安全通信模块，还用于在所述认证结果为所述发送方在所述数据安全管控系统中是可信设备的情况下，响应于所述发送方上的目标应用的数据通信请求，判断所述发送方与接收方之间的通信是否符合所述安全访问控制策略；其中，所述数据通信请求中携带所述接收方的标识信息，所述接收方是区别于所述发送方的另一所述终端设备，所述认证请求、所述认证结果、所述数据通信请求均是按照预设安全传输协议生成的数据帧；

7、部署于发送方上的所述安全通信模块，还用于在所述发送方与所述接收方之间的通信符合所述安全访问控制策略的情况下，允许所述发送方将所述数据通信请求对应的信息数据发送至所述接收方。

8、可选地，所述第一通信管控模块，还用于存储安全访问控制策略；

9、部署于发送方上的所述安全通信模块，还用于在所述认证结果为所述发送方在所述数据安全管控系统中是可信设备的情况下，响应于所述发送方上的目标应用的数据通信请求，向所述第一通信管控模块发送查询请求；

10、所述第一通信管控模块，还用于响应于所述查询请求，基于安全访问控制策略，确定所述发送方与接收方之间的通信是否符合所述安全访问控制策略的查询结果，并将所述查询结果反馈至部署于发送方上的所述安全通信模块。

11、可选地，部署于终端设备上的安全通信模块，还用于向所述第一通信管控模块发送设备注册请求；

12、所述第一通信管控模块，还用于响应于所述设备注册请求，解析得到所述终端设备的注册信息，并在符合预设注册条件的情况下注册所述终端设备；

13、所述第一通信管控模块，还用于在注册完成后，将所述注册信息添加到预设的设备注册表中，并向部署于终端设备上的安全通信模块发送设备注册结果。

14、可选地，部署于终端设备上的安全通信模块，还用于向所述第一通信管控模块发送设备注销请求；

15、所述第一通信管控模块，还用于响应于所述设备注销请求，解析得到所述终端设备的注销信息，并在符合预设注销条件的情况下注销所述终端设备；

16、所述第一通信管控模块，还用于在注销完成后，将所述注册信息从预设的设备注册表中删除，并向部署于终端设备上的安全通信模块发送设备注销结果。

17、可选地，所述数据安全管控系统还包括：部署于网关上的第二通信管控模块，其中，所述网关位于所述管理平台和所述终端设备之间；

18、则所述第一通信管控模块，用于生成安全访问控制策略，并将所述安全访问控制策略下发至部署于终端设备上的安全通信模块，包括：

19、所述第一通信管控模块，还用于在生成安全访问控制策略之后，向所述第二通信管控模块发送所述安全访问控制策略；

20、所述第二通信管控模块，用于将所述安全访问控制策略下发至部署于终端设备上的安全通信模块。

21、可选地，所述认证请求、所述认证结果、查询请求、查询结果、所述设备注册请求、所述设备注册结果、所述设备注销请求、所述设备注销结果均为管控消息，所述管控消息采用数字签名和数字加密方式在所述数据安全管控系统中进行传输。

22、可选地，所述预设安全传输协议用于提供预设标准化结构；

23、其中，所述预设标准化结构包括以下至少一种信息：数据帧类别标识、数据帧总长度、数据帧标识、指令帧和校验码；

24、所述指令帧包括以下至少一种信息：指令帧标识、指令帧总长度、指令帧授权码、指令内容；

25、所述指令内容包括至少一种属性标识、属性长度和属性值。

26、根据本技术的第二方面，提供了一种数据安全管控方法，应用于如第一方面任一项所述的数据安全管控系统，所述系统包括部署于管理平台上的第一通信管控模块和部署于终端设备上的安全通信模块；所述方法包括：

27、所述第一通信管控模块，用于生成安全访问控制策略，并将所述安全访问控制策略下发至部署于终端设备上的安全通信模块；

28、部署于发送方上的所述安全通信模块，用于在所述发送方连接到目标网络时，向所述第一通信管控模块发送认证请求；其中，所述发送方是任一所述终端设备；

29、所述第一通信管控模块，用于响应于所述认证请求，基于预设的设备注册表生成认证结果，并将所述认证结果反馈至部署于发送方上的所述安全通信模块；

30、部署于发送方上的所述安全通信模块，还用于在所述认证结果为所述发送方在所述数据安全管控系统中是可信设备的情况下，响应于所述发送方上的目标应用的数据通信请求，判断所述发送方与接收方之间的通信是否符合所述安全访问控制策略；其中，所述数据通信请求中携带所述接收方的标识信息，所述接收方是区别于所述发送方的另一所述终端设备，所述认证请求、所述认证结果、所述数据通信请求均是按照预设安全传输协议生成的数据帧；

31、部署于发送方上的所述安全通信模块，还用于在所述发送方与所述接收方之间的通信符合所述安全访问控制策略的情况下，允许所述发送方将所述数据通信请求对应的信息数据发送至所述接收方。

32、根据本技术的第三方面，提供了一种数据传输系统，包括：包括：部署有第一通信管控模块的管理平台和部署有安全通信模块的终端设备，其中，所述第一通信管控模块和所述安全通信模块构成如第一方面任一项所述的数据安全管控系统。

33、根据本技术的第四方面，提供了一种电子设备，包括：至少一个处理器和存储器；

34、所述存储器存储计算机执行指令；

35、所述至少一个处理器执行所述存储器存储的计算机执行指令，使得所述至少一个处理器执行如上第二方面所述的数据安全管控方法。

36、根据本技术的第五方面，提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，所述计算机执行指令被处理器执行时用于实现如上第二方面所述的数据安全管控方法。

37、根据本技术的第六方面，提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现第二方面所述的数据安全管控方法。

38、本技术提供的一种数据安全管控系统，包括：部署于管理平台上的第一通信管控模块和部署于终端设备上的安全通信模块；其中，第一通信管控模块，用于生成安全访问控制策略，并将安全访问控制策略下发至部署于终端设备上的安全通信模块；部署于发送方上的安全通信模块，用于在发送方连接到目标网络时，向第一通信管控模块发送认证请求；其中，发送方是任一终端设备；第一通信管控模块，用于响应于认证请求，基于预设的设备注册表生成认证结果，并将认证结果反馈至部署于发送方上的安全通信模块；部署于发送方上的安全通信模块，还用于在认证结果为发送方在数据安全管控系统中是可信设备的情况下，响应于发送方上的目标应用的数据通信请求，判断发送方与接收方之间的通信是否符合安全访问控制策略；其中，数据通信请求中携带接收方的标识信息，接收方是区别于发送方的另一终端设备，认证请求、认证结果、数据通信请求均是按照预设安全传输协议生成的数据帧；部署于发送方上的安全通信模块，还用于在发送方与接收方之间的通信符合安全访问控制策略的情况下，允许发送方将数据通信请求对应的信息数据发送至接收方。

39、本技术通过数据安全管控系统中第一通信管控模块与安全通信模块的通信，能够认证发送方是否为可信设备，进而在发送方为可信设备的前提下，基于安全访问控制策略实现设备间能否通信的判断，在能够通信的情况下，允许发送方将数据通信请求对应的信息数据发送至接收方。在整个数据安全管控流程中，所有的管控消息均是按照预设安全传输协议生成的数据帧，因此本技术能够保证数据安全管控的有效性，进而提高信息数据的安全性。

40、应当理解，本部分所描述的内容并非旨在标识本技术的实施例的关键或重要特征，也不用于限制本技术的范围。本技术的其它特征将通过以下的说明书而变得容易理解。