企业网络安全管理方法、装置、系统和安全网关

摘要

本发明公开了一种企业网络安全管理方法、装置、系统和安全网关。其中所述方法包括：企业网络的安全网关接收来自移动终端上的对应应用的网络连接请求；其中，所述企业网络有一个或多个安全网关，每个安全网关对应一个或多个应用；安全网关根据预设规则对所接收的网络连接请求进行判断；当判断为通过时，放行该网络连接请求；当判断为不通过时，阻断该网络连接请求。该技术方案可以有效地控制移动终端上的应用接入企业网络，具体地是对应用发送的网络连接请求进行判断，从而提高了准确性；并且在每个应用对应不同网关的情况下还可以监控每个应用产生的流量，非常方便。

说明书

技术领域

本发明涉及信息安全领域，具体涉及一种企业网络安全管理方法、装置、 系统和安全网关。

背景技术

随着移动终端的成熟与普及，以手机、平板电脑为代表的个人移动终端 逐渐进入企业领域，这种现象被称为自带设备办公(BringYourOwnDevice， BYOD)。相比传统信息化的模式，BYOD环境主要存在三个方面的安全隐患： 首先是通过移动网络链路接入，天然处在一个开放的网络，而传统重要的信 息系统都是通过企业内网接入；其次，使用的环境与传统信息化模式不一样， 传统的大部分时间都在固定的办公场所，设备丢失可能性很小，BYOD通常 使用移动终端，更加容易丢失；第三，BYOD使用的个人设备上往往同时安 装很多个人的APP，而个人APP市场上的恶意软件多如牛毛，这就将企业数 据置于安全隐患之中。

因此需要一种处理BYOD环境下，移动终端上的应用接入企业网络时可 能产生安全问题的策略或方法。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分 地解决上述问题的企业网络安全管理方法、装置、系统和安全网关。

依据本发明的一个方面，提供了一种企业网络安全管理方法，包括：

企业网络的安全网关接收来自移动终端上的对应应用的网络连接请求； 其中，所述企业网络有一个或多个安全网关，每个安全网关对应一个或多个 应用；

安全网关根据预设规则对所接收的网络连接请求进行判断；当判断为通 过时，放行该网络连接请求；当判断为不通过时，阻断该网络连接请求。

可选地，所述预设规则包括：应用控制规则和设备违规控制规则；

所述安全网关根据预设规则对所接收的网络连接请求进行判断包括：根 据应用控制规则进行判断；当判断为不通过时，阻断该网络连接请求；当判 断为通过时进一步根据设备违规控制规则进行判断，当判断该移动终端未违 规时放行该网络连接请求，当判断该移动终端违规时阻断该网络连接请求。

可选地，所述应用控制规则包括如下中的一种或多种；

判断网络连接请求对应的应用是否在应用白名单中，是则通过，否则不 通过；

判断网络连接请求对应的应用是否在应用黑名单中，是则通过，否则不 通过。

可选地，设备违规控制规则包括：

判断发送网络连接请求的移动终端是否离线时间超过预设值，是则该移 动终端违规；

判断发送网络连接请求的移动终端的设备标识是否在设备黑名单中，是 则该移动终端违规。

可选地，所述安全网关接收到的是来自移动终端上的对应应用的加密后 的网络连接请求；

该方法进一步包括：所述安全网关对所接收到的网络连接请求进行解密 处理；

所述放行该网络连接请求包括：所述安全网关将解密处理后的网络连接 请求发送给所述企业网络中的对应服务器；

该方法进一步包括：所述安全网关将所述对应服务器反馈的网络连接请 求处理结果进行加密处理后返回给对应的移动终端。

可选地，该方法进一步包括：

所述安全网关定期或不定期从企业网络安全管理服务器获取预设规则；

或者，

所述安全网关在收到企业网络安全管理服务器的通知时，从企业网络安 全管理服务器获取预设规则。

依据本发明的另一方面，提供了另一种企业网络安全管理方法，包括：

将移动终端上的应用发起的网络连接请求发送到企业网络的与该应用对 应安全网关；其中，所述企业网络有一个或多个安全网关，每个安全网关对 应一个或多个应用；

接收对应安全网关返回的网络连接请求处理结果。

可选地，该方法进一步包括：从企业网络安全管理服务器获取应用和安 全网关的对应关系列表；

所述将移动终端上的应用发起的网络连接请求发送到企业网络的对应安 全网关包括：根据所述对应关系列表将网络连接请求发送到对应的安全网关。

可选地，该方法进一步包括：

将移动终端上的应用发起的网络连接请求发送到企业网络的与该应用对 应安全网关之前，对该网络连接请求进行加密处理；

对安全网关返回的网络连接请求处理结果进行解密处理。

可选地，在将移动终端上的应用发起的网络连接请求发送到企业网络的 与该应用对应安全网关之前，该方法进一步包括：

从企业网络安全管理服务器获取应用配置表；

根据应用配置表判断该应用的数据流量是否通过安全网关，是则才将该 应用发起的网络连接请求发送到企业网络的与该应用对应安全网关。

可选地，该方法进一步包括：

当对应安全网关返回的网络连接请求处理结果表示阻断相应网络连接请 求时，在移动终端界面上弹窗显示被阻断的结果和原因。

可选地，该方法进一步包括：

获取所述移动能终端的操作系统的平台签名，基于该平台签名获取操作 系统的相应权限；

基于获取的所述相应权限将移动终端上的应用发起的网络连接请求发送 到企业网络的与该应用对应安全网关。

依据本发明的又一方面，提供了一种安全网关，其中，该安全网关是企 业网络的一个或多个安全网关之一，每个安全网关对应一个或多个应用，该 安全网关包括：

接收单元，适于接收来自移动终端上的对应应用的网络连接请求；

处理单元，适于根据预设规则对所接收的网络连接请求进行判断；当判 断为通过时，放行该网络连接请求；当判断为不通过时，阻断该网络连接请 求；

存储单元，适于保存所述预设规则。

可选地，所述预设规则包括：应用控制规则和设备违规控制规则；

所述处理单元，适于根据应用控制规则进行判断；当判断为不通过时， 阻断该网络连接请求；当判断为通过时进一步根据设备违规控制规则进行判 断，当判断该移动终端未违规时放行该网络连接请求，当判断该移动终端违 规时阻断该网络连接请求。

可选地，所述应用控制规则包括如下中的一种或多种；

判断网络连接请求对应的应用是否在应用白名单中，是则通过，否则不 通过；

判断网络连接请求对应的应用是否在应用黑名单中，是则通过，否则不 通过。

可选地，设备违规控制规则包括：

判断发送网络连接请求的移动终端是否离线时间超过预设值，是则该移 动终端违规；

判断发送网络连接请求的移动终端的设备标识是否在设备黑名单中，是 则该移动终端违规。

可选地，所述接收单元，适于接收来自移动终端上的对应应用的加密后 的网络连接请求；进一步适于对所接收到的网络连接请求进行解密处理，将 解密处理后的网络连接请求发送给所述企业网络中的对应服务器；以及进一 步适于将所述对应服务器反馈的网络连接请求处理结果进行加密处理后返回 给对应的移动终端。

可选地，该安全网关进一步包括：

获取单元，适于定期或不定期从企业网络安全管理服务器获取预设规则 并更新存储单元中的预设规则；或者，适于在收到企业网络安全管理服务器 的通知时，从企业网络安全管理服务器获取预设规则并更新存储单元中的预 设规则。

依据本发明的再一方面一种企业网络安全管理装置，其中，该装置包括：

发送网关单元，适于将移动终端上的应用发起的网络连接请求发送到企 业网络的与该应用对应安全网关；其中，所述企业网络有一个或多个安全网 关，每个安全网关对应一个或多个应用；

接收网关单元，适于接收对应安全网关返回的网络连接请求处理结果。

可选地，该装置进一步包括：关系列表获取单元，适于从企业网络安全 管理服务器获取应用和安全网关的对应关系列表；

所述发送网关单元，适于根据所述对应关系列表将网络连接请求发送到 对应的安全网关。

可选地，所述发送网关单元，进一步适于在将移动终端上的应用发起的 网络连接请求发送到企业网络的与该应用对应安全网关之前，对该网络连接 请求进行加密处理；

所述接收网关单元，进一步适于对安全网关返回的网络连接请求处理结 果进行解密处理。

可选地，该装置进一步包括：配置表获取单元，适于从企业网络安全管 理服务器获取应用配置表；

发送网关单元，适于根据应用配置表判断该应用的数据流量是否通过安 全网关，是则才将该应用发起的网络连接请求发送到企业网络的与该应用对 应安全网关。

可选地，该装置进一步包括：

提示单元，适于当对应安全网关返回的网络连接请求处理结果表示阻断 相应网络连接请求时，在移动终端界面上弹窗显示被阻断的结果和原因。

可选地，该装置进一步包括：权限获取单元，适于获取所述移动能终端 的操作系统的平台签名，基于该平台签名获取操作系统的相应权限；

所述发送网关单元，适于基于获取的所述相应权限将移动终端上的应用 发起的网络连接请求发送到企业网络的与该应用对应安全网关。

依据本发明的再一方面，提供了一种企业网络安全管理系统，包括：企 业网络安全管理服务器、一个或多个如上述任一项所述安全网关以及如上述 任一项所述的安装在移动终端上的企业网络安全管理装置；

企业网络安全管理服务器适于根据管理员的配置指令生成安全网关的相 关配置信息以及企业网络安全管理装置的相关配置信息，并对安全网关和企 业网络安全管理装置进行管理控制。

由上述可知，本发明的技术方案，在企业网络中配置一个或多个安全网 关，通过安全网关接收来自移动终端上的对应应用的网络连接请求；具体地， 每个安全网关对应一个或多个应用，并根据预设规则对所接收的网络连接请 求进行判断，如果判断为通过则放行该网络连接请求，如果判断为不通过则 阻断该网络连接请求。该技术方案可以有效地控制移动终端上的应用接入企 业网络，具体地是对应用发送的网络连接请求进行判断，从而提高了准确性； 并且在每个应用对应不同网关的情况下还可以监控每个应用产生的流量，非 常方便。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技 术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它 目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本 领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的， 而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示 相同的部件。在附图中：

图1示出了根据本发明一个实施例的一种企业网络安全管理方法的流程 图；

图2示出了根据本发明一个实施例的又一种企业网络安全管理方法的流 程图；

图3示出了根据本发明一个实施例的一种安全网关的结构示意图；

图4示出了根据本发明一个实施例的一种企业网络安全管理装置的结构 图；以及

图5示出了根据本发明一个实施例的一种企业网络安全管理系统的结构 示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示 了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不 应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地 理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

图1示出了根据本发明一个实施例的一种企业网络安全管理方法的流程 图，如图1所示，该方法包括：

步骤S110，企业网络的安全网关接收来自移动终端上的对应应用的网络 连接请求；其中，企业网络有一个或多个安全网关，每个安全网关对应一个 或多个应用。

安全网关(UnifiedSecurityGateway，USG)通常安装在企业的网络边界 (corporateDMZ，corporatedemilitarizedzone)位置。在本实施例中，由安 全网关对移动终端上的应用与企业网络中业务服务器之间网路层进行安全控 制。也即是说，与互联网(Internet)连接的移动终端上的应用如果希望与企 业网络(Intranet)进行数据通信，需要经与该应用对应的安全网关进行安装 控制。具体地，一个安全网关可以对应一个或多个应用。在BYOD环境中， 同一移动终端上既有个人应用和数据，也有企业应用和数据，个人应用和数 据所在的区域被称为个人区，企业应用和数据所在的区域被称为工作区。因 此可以一个安全网关对应一类应用，如安全网关A对应邮件类的应用A、应 用B，安全网关B对应浏览器类的应用C、应用D等，也可以一个安全网关 对应工作区中的企业应用，一个安全网关对应个人区中的个人应用等。在安 全网关和应用的对应分配上还可以考虑安全网关的负载均衡。

步骤S120，安全网关根据预设规则对所接收的网络连接请求进行判断； 当判断为通过时，放行该网络连接请求；当判断为不通过时，阻断该网络连 接请求。

例如，某邮件应用A对应的安全网关为A，该邮件应用A向企业网络的 邮件服务器发送了邮件，需要连接企业网络，则安全网关A根据预设规则对 该网络进行判断，判断为通过则放行，即可以发送该邮件；如果判断为不通 过则不放行，即不可以发送该邮件。

可见，图1所示的方法，在企业网络中配置一个或多个安全网关，通过 安全网关接收来自移动终端上的对应应用的网络连接请求；具体地，每个安 全网关对应一个或多个应用，并根据预设规则对所接收的网络连接请求进行 判断，如果判断为通过则放行该网络连接请求，如果判断为不通过则阻断该 网络连接请求。该技术方案可以有效地控制移动终端上的应用接入企业网络， 具体地是对应用发送的网络连接请求进行判断，从而提高了准确性；并且在 每个应用对应不同网关的情况下还可以监控每个应用产生的流量，非常方便。

在本发明的一个实施例中，图1所示的方法中，预设规则包括：应用控 制规则和设备违规控制规则；安全网关根据预设规则对所接收的网络连接请 求进行判断包括：根据应用控制规则进行判断；当判断为不通过时，阻断该 网络连接请求；当判断为通过时进一步根据设备违规控制规则进行判断，当 判断该移动终端未违规时放行该网络连接请求，当判断该移动终端违规时阻 断该网络连接请求。

在本实施例中预设规则包括两个层级，对一个接收到的网络连接请求， 首先应用第一层级的应用控制规则，如果根据应用控制规则判断为不通过， 则直接阻断该网络连接请求，如果判断为通过，进一步应用第二层级的设备 违规控制规则进行判断。即是说，一个网络连接请求只有两次判断均为通过 才能被放行。在实际应用中，也可以根据需求调换两种控制规则的层级。

具体地，在本发明的一个实施例中，上述方法中，应用控制规则包括如 下中的一种或多种；判断网络连接请求对应的应用是否在应用白名单中，是 则通过，否则不通过；判断网络连接请求对应的应用是否在应用黑名单中， 是则通过，否则不通过。

例如，当允许连接企业网络的应用较少时，可以采取白名单的方式列举 一个或多个应用，只有当接收到白名单中的应用发送的网络连接请求时才放 行；当禁止连接企业网络的应用较少时，可以采取黑名单的方式列举一个或 多个应用，只有当接收到黑名单中的应用发送的网络连接请求时才阻断。当 然，应用控制规则不限于本实施例中提供的方式。

在本发明的一个实施例中，上述方法中，设备违规控制规则包括：判断 发送网络连接请求的移动终端是否离线时间超过预设值，是则该移动终端违 规；判断发送网络连接请求的移动终端的设备标识是否在设备黑名单中，是 则该移动终端违规。

例如，某移动终端已经一个月未连接企业网络，则很可能存在已丢失、 员工离职等情况，因此可以判定该移动终端是不安全的。当接收到该移动终 端上的一个应用发送的网络连接请求时，由于判断该移动终端离线时间已超 过预设值，则该移动终端违规，阻断该网络连接请求。又例如，某公司为员 工统一发放了办公用的手机，规定只能使用该发放的手机与公司局域网进行 连接。某员工在丢失了发放给自己的手机后进行了报备，于是安全部门的员 工将该丢失的手机的设备标识放在了设备黑名单中。此时其他人捡到手机后 如果试图利用该手机连接到公司局域网，就会被判断为违规。同样，设备违 规控制规则不限于本实施例中提供的方式。

在本发明的一个实施例中，图1所示的方法中，安全网关接收到的是来 自移动终端上的对应应用的加密后的网络连接请求；该方法进一步包括：安 全网关对所接收到的网络连接请求进行解密处理；放行该网络连接请求包括： 安全网关将解密处理后的网络连接请求发送给企业网络中的对应服务器；该 方法进一步包括：安全网关将对应服务器反馈的网络连接请求处理结果进行 加密处理后返回给对应的移动终端。

在本实施例中进一步地对网络连接请求进行了加密处理，这是考虑到移 动终端通过无线等方式接入企业网络的过程，网络连接请求在发送到安全网 关之前并不处于企业网络中，因此如果发生网络连接请求的应用是工作区中 的应用时，就可能存在泄露公司数据的风险。因此在本实施例中，由于在移 动终端上对网络连接请求进行了加密，那么安全网关就需要对该网络连接请 求进行解密处理。而解密处理后的网络连接请求发送给企业网络中的对应服 务器的过程中使用的就是企业网络，因此一般不需要考虑数据泄露的问题， 因此网络连接请求中的数据可以不是加密数据。对应地，对应服务器反馈的 网络连接请求处理结果在到达安全网关后，也要进行加密处理，此时移动终 端接收到的依然是加密数据，需要进行解密。

在本发明的一个实施例中，上述方法进一步包括：安全网关定期或不定 期从企业网络安全管理服务器获取预设规则；或者，安全网关在收到企业网 络安全管理服务器的通知时，从企业网络安全管理服务器获取预设规则。

企业安全部门的员工可以通过企业网络安全管理服务器来设置预设规 则。现有技术中企业网络安全管理服务器的建设以比较成熟，如360天机系 统等多种企业网络安全管理系统产品均以投入使用。在本发明的优选实施例 中，可以在企业已投入使用的企业网络安全管理系统的基础上，采用本发明 提供的方法加以改造，如对安全网关加以配置进行实现。具体地，企业网络 安全管理服务器侧更新了预设规则时，可以向安全网关发送更新通知，此时 安全网关可以从企业网络管理服务器获取预设规则。又例如，安全网关每天 在2:00从企业网络安全管理服务器获取预设规则。获取到的预设规则可以缓 存在安全网关，并可以根据需求设置一个缓存的有效期，当缓存的预设规则 过期时从企业网络安全管理服务器获取预设规则。如果与企业网络安全管理 服务器暂时无法连接，则使用安全网关缓存的预设规则。

图2示出了根据本发明一个实施例的又一种企业网络安全管理方法的流 程图，如图2所示，该方法包括：

步骤S210，将移动终端上的应用发起的网络连接请求发送到企业网络的 与该应用对应安全网关；其中，企业网络有一个或多个安全网关，每个安全 网关对应一个或多个应用。

步骤S220，接收对应安全网关返回的网络连接请求处理结果。

本实施例中的方法可以应用于移动终端，即在移动终端上安装企业网络 安全管理系统的客户端应用APP，该应用可以随移动终端的启动而自启动， 如果用户关闭了该应用，则在接入企业网络前必须重新启动该应用。具体地， 可以通过在移动终端中设置多个虚拟VPN，每个VPN对应一个或多个应用， 每个VPN对应一个或多个安全网关。

在本发明的一个实施例中，图2所示的方法进一步包括：从企业网络安 全管理服务器获取应用和安全网关的对应关系列表；将移动终端上的应用发 起的网络连接请求发送到企业网络的对应安全网关包括：根据对应关系列表 将网络连接请求发送到对应的安全网关。

可以看出，每个可连接到企业网络的应用都应是存在于上述对应关系列 表中的，如果应用A不存在于该对应关系列表，则无法确定其对应的网关， 因此也就不能与企业网络中的服务器进行通信。这也同样说明了上一实施例 中，在接入企业网络前必须重新启动企业网络安全管理系统的客户端应用， 否则该移动终端上的应用无法根据对应关系列表，将网络连接请求发送到该 应用对应的安全网关。

在本发明的一个实施例中，图2所示的方法进一步包括：将移动终端上 的应用发起的网络连接请求发送到企业网络的与该应用对应安全网关之前， 对该网络连接请求进行加密处理；对安全网关返回的网络连接请求处理结果 进行解密处理。

与前述实施例类似地，在接入企业网络之前，数据存在泄露风险，因此 要对网络连接请求进行加密处理，并对安全网关返回的网络连接请求处理结 果进行解密处理。该加解密算法应当是预先在企业网络安全管理系统中统一 配置的，即安全网关中的加解密算法应当与客户端应用中的加解密算法相同。

在本发明的一个实施例中，图2所示的方法中，在将移动终端上的应用 发起的网络连接请求发送到企业网络的与该应用对应安全网关之前，该方法 进一步包括：从企业网络安全管理服务器获取应用配置表；根据应用配置表 判断该应用的数据流量是否通过安全网关，是则才将该应用发起的网络连接 请求发送到企业网络的与该应用对应安全网关。

例如，企业允许用户在移动终端上使用即时通讯类应用，并不对该类应 用进行监管，则该类应用的网络访问请求就不会发送到安全网关而是通过其 他网关进行转发。而为了确保企业网络的安全，数据流量不通过安全网关的 应用通常为不与企业网络内的服务器，例如邮件服务器发生通信的应用，并 且这些应用应当是在从企业网络安全管理服务器获取的应用配置表中进行配 置的，不能允许用户进行配置。

在本发明的一个实施例中，图2所示的方法进一步包括：当对应安全网 关返回的网络连接请求处理结果表示阻断相应网络连接请求时，在移动终端 界面上弹窗显示被阻断的结果和原因。

例如，移动终端的离线时间已经超过30天的预设值，则当对应安全网关 返回的网络连接请求处理结果表示阻断相应网络连接请求时，在移动终端界 面上弹窗显示“因离线时间超过30天，禁止了您的网络连接请求。”

在本发明的一个实施例中，上述方法进一步包括：获取移动能终端的操 作系统的平台签名，基于该平台签名获取操作系统的相应权限；基于获取的 相应权限将移动终端上的应用发起的网络连接请求发送到企业网络的与该应 用对应安全网关。

如果用户的移动终端并非在出厂时就进行了可以实现上述方法的模块的 封装设计，那么对于普通的移动终端，往往需要对该移动终端获取其操作系 统的较高权限才能实现上述实施例中的某些步骤，例如，在安卓系统中使用 iptables进行虚拟VPN的设置，这就需要获取安卓系统的ROOT权限。具体 地，可以获取移动能终端的操作系统的平台签名，基于该平台签名获取操作 系统的相应权限。平台签名是使用安卓系统的移动终端的生产厂商在提供系 统时以最高权限的签名，一般为系统内部使用，消费者无法查看。在本实施 例个，可以通过刷入recovery分区，通过分区的一些程序获取高权限，具体 可以为在ramdisk中设置一个模块，用于扫描系统分区，扫描后查看其签名， 再对其他程序重新签名。获取到相应权限后即可基于获取的相应权限将移动 终端上的应用发起的网络连接请求发送到企业网络的与该应用对应安全网 关。例如，在移动终端上安装企业网络安全管理系统的客户端应用APP的情 况下，可以使该APP获得使用iptables的权限。

图3示出了根据本发明一个实施例的一种安全网关的结构示意图，其中， 该安全网关300是企业网络的一个或多个安全网关之一，每个安全网关对应 一个或多个应用，如图3所示，安全网关300包括：

接收单元310，适于接收来自移动终端上的对应应用的网络连接请求。

处理单元320，适于根据预设规则对所接收的网络连接请求进行判断。 当判断为通过时，放行该网络连接请求；当判断为不通过时，阻断该网络连 接请求；

存储单元330，适于保存预设规则。

可见，在企业网络中配置一个或多个如图3所示的安全网关，通过安全 网关接收来自移动终端上的对应应用的网络连接请求；具体地，每个安全网 关对应一个或多个应用，并根据预设规则对所接收的网络连接请求进行判断， 如果判断为通过则放行该网络连接请求，如果判断为不通过则阻断该网络连 接请求。该技术方案可以有效地控制移动终端上的应用接入企业网络，具体 地是对应用发送的网络连接请求进行判断，从而提高了准确性；并且在每个 应用对应不同网关的情况下还可以监控每个应用产生的流量，非常方便。

在本发明的一个实施例中，图3所示的安全网关中，预设规则包括：应 用控制规则和设备违规控制规则；处理单元320，适于根据应用控制规则进 行判断；当判断为不通过时，阻断该网络连接请求；当判断为通过时进一步 根据设备违规控制规则进行判断，当判断该移动终端未违规时放行该网络连 接请求，当判断该移动终端违规时阻断该网络连接请求。

在本发明的一个实施例中，上述安全网关中，应用控制规则包括如下中 的一种或多种；判断网络连接请求对应的应用是否在应用白名单中，是则通 过，否则不通过；判断网络连接请求对应的应用是否在应用黑名单中，是则 通过，否则不通过。

在本发明的一个实施例中，上述安全网关中，设备违规控制规则包括： 判断发送网络连接请求的移动终端是否离线时间超过预设值，是则该移动终 端违规；判断发送网络连接请求的移动终端的设备标识是否在设备黑名单中， 是则该移动终端违规。

在本发明的一个实施例中，图3所示的安全网关中，接收单元310，适 于接收来自移动终端上的对应应用的加密后的网络连接请求；进一步适于对 所接收到的网络连接请求进行解密处理，将解密处理后的网络连接请求发送 给企业网络中的对应服务器；以及进一步适于将对应服务器反馈的网络连接 请求处理结果进行加密处理后返回给对应的移动终端。

在本发明的一个实施例中，上述安全网关进一步包括：获取单元，适于 定期或不定期从企业网络安全管理服务器获取预设规则并更新存储单元中的 预设规则；或者，适于在收到企业网络安全管理服务器的通知时，从企业网 络安全管理服务器获取预设规则并更新存储单元中的预设规则。

图4示出了根据本发明一个实施例的一种企业网络安全管理装置的结构 图，如图4所示，企业网络安全管理装置400包括：

发送网关单元410，适于将移动终端上的应用发起的网络连接请求发送 到企业网络的与该应用对应安全网关；其中，企业网络有一个或多个安全网 关，每个安全网关对应一个或多个应用。

接收网关单元420，适于接收对应安全网关返回的网络连接请求处理结 果。

本实施例中的可以企业网络安全管理装置400应用于移动终端，例如， 在移动终端上安装企业网络安全管理系统的客户端应用APP，该应用可以随 移动终端的启动而自启动，如果用户关闭了该应用，则在接入企业网络前必 须重新启动该应用。具体地，可以通过在移动终端中设置多个虚拟VPN，每 个VPN对应一个或多个应用，每个VPN对应一个或多个安全网关。

在本发明的一个实施例中，图4所示的装置进一步包括：关系列表获取 单元440，适于从企业网络安全管理服务器获取应用和安全网关的对应关系 列表；发送网关单元410，适于根据对应关系列表将网络连接请求发送到对 应的安全网关。

在本发明的一个实施例中，图4所示的装置中，发送网关单元420，进 一步适于在将移动终端上的应用发起的网络连接请求发送到企业网络的与该 应用对应安全网关之前，对该网络连接请求进行加密处理；接收网关单元 410，进一步适于对安全网关返回的网络连接请求处理结果进行解密处理。

在本发明的一个实施例中，图4所示的装置进一步包括：配置表获取单 元450，适于从企业网络安全管理服务器获取应用配置表；发送网关单元420， 适于根据应用配置表判断该应用的数据流量是否通过安全网关，是则才将该 应用发起的网络连接请求发送到企业网络的与该应用对应安全网关。

在本发明的一个实施例中，图4所示的装置进一步包括：提示单元460， 适于当对应安全网关返回的网络连接请求处理结果表示阻断相应网络连接请 求时，在移动终端界面上弹窗显示被阻断的结果和原因。

在本发明的一个实施例中，上述装置进一步包括：权限获取单元470， 适于获取移动能终端的操作系统的平台签名，基于该平台签名获取操作系统 的相应权限；发送网关单元420，适于基于获取的相应权限将移动终端上的 应用发起的网络连接请求发送到企业网络的与该应用对应安全网关。

需要说明的是，上述各安全网关和企业网络安全管理装置实施例的具体 实施方式与前述对应方法实施例的具体实施方式相同，在此不再赘述。

图5示出了根据本发明一个实施例的一种企业网络安全管理系统的结构 示意图，如图5所示，企业网络安全管理系统500包括：企业网络安全管理 服务器510、一个或多个如上述任一实施例中的安全网关300以及如上述任 一实施例中的安装在移动终端上的企业网络安全管理装置400；企业网络安 全管理服务器510适于根据管理员的配置指令生成安全网关300的相关配置 信息以及企业网络安全管理装置400的相关配置信息，并对安全网关300和 企业网络安全管理装置400进行管理控制。(图中仅画出了一个企业网络安 全管理装置400与多个安全网关300进行网络连接的示意图，本领域技术人 员应当理解其他企业网络安全管理装置400也是可以与多个安全网关300进 行网络连接的。)

综上所述，本发明的技术方案，在企业网络中配置一个或多个安全网关， 通过安全网关接收来自移动终端上的对应应用的网络连接请求；具体地，每 个安全网关对应一个或多个应用，并根据预设规则对所接收的网络连接请求 进行判断，如果判断为通过则放行该网络连接请求，如果判断为不通过则阻 断该网络连接请求。该技术方案可以有效地控制移动终端上的应用接入企业 网络，具体地是对应用发送的网络连接请求进行判断，从而提高了准确性； 并且在每个应用对应不同网关的情况下还可以监控每个应用产生的流量，非 常方便。

需要说明的是：

在此提供的算法和显示不与任何特定计算机、虚拟装置或者其它设备固 有相关。各种通用装置也可以与基于在此的示教一起使用。根据上面的描述， 构造这类装置所要求的结构是显而易见的。此外，本发明也不针对任何特定 编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容， 并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本 发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未 详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个 或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时 被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开 的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求 中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映 的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循 具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利 要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自 适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以 把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可 以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者 单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴 随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或 者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴 随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相 似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其 它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组 合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权 利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使 用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理 器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当 理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据 本发明实施例的企业网络安全管理装置、系统和安全网关中的一些或者全部 部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法 的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产 品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具 有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或 者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制， 并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实 施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要 求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于 元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以 借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在 列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个 硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。 可将这些单词解释为名称。

本发明公开了A1、一种企业网络安全管理方法，其中，该方法包括：

企业网络的安全网关接收来自移动终端上的对应应用的网络连接请求； 其中，所述企业网络有一个或多个安全网关，每个安全网关对应一个或多个 应用；

安全网关根据预设规则对所接收的网络连接请求进行判断；当判断为通 过时，放行该网络连接请求；当判断为不通过时，阻断该网络连接请求。

A2、如A1所述的方法，其中，

所述预设规则包括：应用控制规则和设备违规控制规则；

所述安全网关根据预设规则对所接收的网络连接请求进行判断包括：根 据应用控制规则进行判断；当判断为不通过时，阻断该网络连接请求；当判 断为通过时进一步根据设备违规控制规则进行判断，当判断该移动终端未违 规时放行该网络连接请求，当判断该移动终端违规时阻断该网络连接请求。

A3、如A2所述的方法，其中，所述应用控制规则包括如下中的一种或 多种；

判断网络连接请求对应的应用是否在应用白名单中，是则通过，否则不 通过；

判断网络连接请求对应的应用是否在应用黑名单中，是则通过，否则不 通过。

A4、如A2所述的方法，其中，设备违规控制规则包括：

判断发送网络连接请求的移动终端是否离线时间超过预设值，是则该移 动终端违规；

判断发送网络连接请求的移动终端的设备标识是否在设备黑名单中，是 则该移动终端违规。

A5、如A1所述的方法，其中，

所述安全网关接收到的是来自移动终端上的对应应用的加密后的网络连 接请求；

该方法进一步包括：所述安全网关对所接收到的网络连接请求进行解密 处理；

所述放行该网络连接请求包括：所述安全网关将解密处理后的网络连接 请求发送给所述企业网络中的对应服务器；

该方法进一步包括：所述安全网关将所述对应服务器反馈的网络连接请 求处理结果进行加密处理后返回给对应的移动终端。

A6、如A1-A5中任一项所述的方法，其中，该方法进一步包括：

所述安全网关定期或不定期从企业网络安全管理服务器获取预设规则；

或者，

所述安全网关在收到企业网络安全管理服务器的通知时，从企业网络安 全管理服务器获取预设规则。

本发明还公开了B7、一种企业网络安全管理方法，其中，该方法包括：

将移动终端上的应用发起的网络连接请求发送到企业网络的与该应用对 应安全网关；其中，所述企业网络有一个或多个安全网关，每个安全网关对 应一个或多个应用；

接收对应安全网关返回的网络连接请求处理结果。

B8、如B7所述的方法，其中，

该方法进一步包括：从企业网络安全管理服务器获取应用和安全网关的 对应关系列表；

所述将移动终端上的应用发起的网络连接请求发送到企业网络的对应安 全网关包括：根据所述对应关系列表将网络连接请求发送到对应的安全网关。

B9、如B7所述的方法，其中，该方法进一步包括：

将移动终端上的应用发起的网络连接请求发送到企业网络的与该应用对 应安全网关之前，对该网络连接请求进行加密处理；

对安全网关返回的网络连接请求处理结果进行解密处理。

B10、如B7所述的方法，其中，在将移动终端上的应用发起的网络连接 请求发送到企业网络的与该应用对应安全网关之前，该方法进一步包括：

从企业网络安全管理服务器获取应用配置表；

根据应用配置表判断该应用的数据流量是否通过安全网关，是则才将该 应用发起的网络连接请求发送到企业网络的与该应用对应安全网关。

B11、如B7所述的方法，其中，该方法进一步包括：

当对应安全网关返回的网络连接请求处理结果表示阻断相应网络连接请 求时，在移动终端界面上弹窗显示被阻断的结果和原因。

B12、如B7-B11中任一项所述的方法，其中，该方法进一步包括：

获取所述移动能终端的操作系统的平台签名，基于该平台签名获取操作 系统的相应权限；

基于获取的所述相应权限将移动终端上的应用发起的网络连接请求发送 到企业网络的与该应用对应安全网关。

本发明还公开了C13、一种安全网关，其中，该安全网关是企业网络的 一个或多个安全网关之一，每个安全网关对应一个或多个应用，该安全网关 包括：

接收单元，适于接收来自移动终端上的对应应用的网络连接请求；

处理单元，适于根据预设规则对所接收的网络连接请求进行判断；当判 断为通过时，放行该网络连接请求；当判断为不通过时，阻断该网络连接请 求；

存储单元，适于保存所述预设规则。

C14、如C13所述的安全网关，其中，

所述预设规则包括：应用控制规则和设备违规控制规则；

所述处理单元，适于根据应用控制规则进行判断；当判断为不通过时， 阻断该网络连接请求；当判断为通过时进一步根据设备违规控制规则进行判 断，当判断该移动终端未违规时放行该网络连接请求，当判断该移动终端违 规时阻断该网络连接请求。

C15、如C14所述的安全网关，其中，所述应用控制规则包括如下中的 一种或多种；

判断网络连接请求对应的应用是否在应用白名单中，是则通过，否则不 通过；

判断网络连接请求对应的应用是否在应用黑名单中，是则通过，否则不 通过。

C16、如C14所述的安全网关，其中，设备违规控制规则包括：

判断发送网络连接请求的移动终端是否离线时间超过预设值，是则该移 动终端违规；

判断发送网络连接请求的移动终端的设备标识是否在设备黑名单中，是 则该移动终端违规。

C17、如C13所述的安全网关，其中，

所述接收单元，适于接收来自移动终端上的对应应用的加密后的网络连 接请求；进一步适于对所接收到的网络连接请求进行解密处理，将解密处理 后的网络连接请求发送给所述企业网络中的对应服务器；以及进一步适于将 所述对应服务器反馈的网络连接请求处理结果进行加密处理后返回给对应的 移动终端。

C18、如C13-C17中任一项所述的安全网关，其中，该安全网关进一步 包括：

获取单元，适于定期或不定期从企业网络安全管理服务器获取预设规则 并更新存储单元中的预设规则；或者，适于在收到企业网络安全管理服务器 的通知时，从企业网络安全管理服务器获取预设规则并更新存储单元中的预 设规则。

本发明还公开了D19、一种企业网络安全管理装置，其中，该装置包括：

发送网关单元，适于将移动终端上的应用发起的网络连接请求发送到企 业网络的与该应用对应安全网关；其中，所述企业网络有一个或多个安全网 关，每个安全网关对应一个或多个应用；

接收网关单元，适于接收对应安全网关返回的网络连接请求处理结果。

D20、如D19所述的装置，其中，该装置进一步包括：关系列表获取单 元，适于从企业网络安全管理服务器获取应用和安全网关的对应关系列表；

所述发送网关单元，适于根据所述对应关系列表将网络连接请求发送到 对应的安全网关。

D21、如D19所述的装置，其中，

所述发送网关单元，进一步适于在将移动终端上的应用发起的网络连接 请求发送到企业网络的与该应用对应安全网关之前，对该网络连接请求进行 加密处理；

所述接收网关单元，进一步适于对安全网关返回的网络连接请求处理结 果进行解密处理。

D22、如D19所述的装置，其中，

该装置进一步包括：配置表获取单元，适于从企业网络安全管理服务器 获取应用配置表；

发送网关单元，适于根据应用配置表判断该应用的数据流量是否通过安 全网关，是则才将该应用发起的网络连接请求发送到企业网络的与该应用对 应安全网关。

D23、如D19所述的装置，其中，该装置进一步包括：

提示单元，适于当对应安全网关返回的网络连接请求处理结果表示阻断 相应网络连接请求时，在移动终端界面上弹窗显示被阻断的结果和原因。

D24、如D19-D23中任一项所述的装置，其中，

该装置进一步包括：权限获取单元，适于获取所述移动能终端的操作系 统的平台签名，基于该平台签名获取操作系统的相应权限；

所述发送网关单元，适于基于获取的所述相应权限将移动终端上的应用 发起的网络连接请求发送到企业网络的与该应用对应安全网关。

本发明还公开了E25、一种企业网络安全管理系统，其中，该系统包括： 企业网络安全管理服务器、一个或多个如C13-C18中任一项所述安全网关以 及如D19-D24中任一项所述的安装在移动终端上的企业网络安全管理装置；

企业网络安全管理服务器适于根据管理员的配置指令生成安全网关的相 关配置信息以及企业网络安全管理装置的相关配置信息，并对安全网关和企 业网络安全管理装置进行管理控制。