(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111662698.X (22)申请日 2021.12.31 (71)申请人 华能信息技 术有限公司 地址 266510 山东省青岛市黄岛区黄河西 路706号303室 (72)发明人 李栋梁　孙崇武　刘晓雨　杨亚泽　 景文博　张伟　秦萌　祝家鑫　 郑明辉　范致远　 (74)专利代理 机构 北京睿博行远知识产权代理 有限公司 1 1297 专利代理师 李晓波 (51)Int.Cl. H04L 9/40(2022.01) H04L 12/46(2006.01) H04L 43/10(2022.01) (54)发明名称 一种基于双向传输的网络数据安全管控方 法及系统 (57)摘要 本发明适用于数据管控技术领域， 提供了一 种基于双向传输的网络数据安全管控方法及系 统， 所述方法包括以下步骤： 对连接测试通过的 设备添加安全标识， 所述安全标识一旦添加， 将 作为所述 设备在整个网络中的唯一合法ID； 基于 所述安全 标识为设备绑定安全策略； 当设备生成 数据时， 为每个数据颁发唯一的数据标识， 将数 据标识和安全 标识进行绑定， 数据标识中包括安 全标识信息， 针对不同安全 标识的设备对不同数 据标识的操作权限进行设定， 以控制设备对数据 资源的访问。 本发明通过对设备进行安全标识和 对数据进行数据标识， 为设备绑定安全策略， 保 证了接入设备的安全性， 同时便于对 数据进行操 控和追溯， 保证 了数据的安全性。 权利要求书2页 说明书8页 附图5页 CN 114520734 A 2022.05.20 CN 114520734 A 1.一种基于双向传输的网络数据安全管控方法， 其特 征在于， 所述方法包括以下步骤： 对连接测试通过的设备添加安全标识， 所述安全标识一旦添加， 将作为所述设备在整 个网络中的唯一 合法ID； 基于所述 安全标识为设备绑定安全策略； 当设备生成数据时， 为每个数据颁发唯一的数据标识， 将数据标识和安全标识进行绑 定， 数据标识中包括安全标识信息， 针对不同安全标识的设备对不同数据标识的操作权限 进行设定， 以控制设备对数据资源的访问。 2.根据权利要求1所述一种基于双向传输的网络数据安全管控方法， 其特征在于， 所述 对连接验证通过的设备 添加安全标识的步骤， 具体包括： 对接入设备进行 连接测试； 根据测试结果自动为所述设备添加安全标识， 所述安全标识包括一级安全标识、 二级 安全标识以及三级安全标识。 3.根据权利要求2所述一种基于双向传输的网络数据安全管控方法， 其特征在于， 所述 基于所述 安全标识为设备绑定安全策略的步骤， 具体包括： 建立安全策略库， 所述 安全策略库中包括 一级安全策略、 二级安全策略和安全策略； 根据安全标识的级别自动 为设备绑定对应级别的安全策略， 所述一级安全标识与一级 安全策略相对应， 二级安全标识与二级安全策略相对应， 三级安全标识与三级安全策略相 对应。 4.根据权利要求1所述一种基于双向传输的网络数据安全管控方法， 其特征在于， 所述 针对不同安全标识的设备对不同数据标识的操作权限进行设定的步骤， 还 包括： 对数据的流转范围进行限定， 当数据标识中包含一级安全标识， 所述数据仅 能够在一 级安全标识的设备间流转； 当数据标识中包含二级安全标识， 所述数据能够在一级安全标 识和二级安全标识的设备间流转； 当数据标识中包含三级安全标识， 所述数据能够在所有 连接测试通过的设备件流 转； 当数据标识中包含低级别安全标识， 而数据需要流转至高级别安全标识 的设备时， 建 立专用安全协议隧道， 数据必须通过专用安全协议隧道方可流转至高级别安全标识的设 备。 5.根据权利要求1所述一种基于双向传输的网络数据安全管控方法， 其特征在于， 所述 方法还包括对设备运行进行 管理， 所述对设备运行进行 管理的步骤具体为： 检测到设备登录成功， 将设备的连接信息、 设备身份属性信息、 登录用户名、 登录口令 和登录用户角色记录 到设备在线信息中； 定期向安全中台发送心跳信号， 安全中台根据接收的心跳信号通过统一界面向安全管 理员显示设备的登录状态信息， 如安全中台接收不到心跳信号且未接收到 设备的退出状态 信息， 则将该设备显示 为问题状态； 检测到设备退出登录， 向安全中台发送退出信息， 安全中台接收后通过统一界面向安 全管理员显示设备的退 出信息。 6.一种基于双向传输的网络数据安全管控系统， 其特 征在于， 所述系统包括： 安全标识添加模块， 用于对连接测试通过的设备添加安全标识， 所述安全标识一旦添 加， 将作为所述设备在整个网络中的唯一 合法ID；权　利　要　求　书 1/2 页 2 CN 114520734 A 2安全策略绑定模块， 基于所述 安全标识为设备绑定安全策略； 数据标识模块， 当设备生成数据时， 为每个数据颁发唯一的数据标识， 将数据 标识和安 全标识进行绑定， 数据标识中包括安全标识信息， 针对不同安全标识的设备对不同数据标 识的操作权限进行设定， 以控制设备对数据资源的访问。 7.根据权利要求6所述一种基于双向传输的网络数据安全管控系统， 其特征在于， 所述 安全标识添加模块包括： 连接测试 单元， 用于对接入设备进行 连接测试； 安全标识添加单元， 用于根据测试结果自动为所述设备添加安全标识， 所述安全标识 包括一级安全标识、 二级安全标识以及三级安全标识。 8.根据权利要求7所述一种基于双向传输的网络数据安全管控系统， 其特征在于， 所述 安全策略绑定模块包括： 安全策略库， 所述 安全策略库中包括 一级安全策略、 二级安全策略和安全策略； 安全策略绑定单元， 用于根据安全标识 的级别自动为设备绑定对应级别的安全策略， 所述一级安全标识与一级安全策略相对应， 二级安全标识与二级安全策略相对应， 三级安 全标识与三级安全策略相对应。 9.根据权利要求6所述一种基于双向传输的网络数据安全管控系统， 其特征在于， 所述 数据标识模块包括： 流转范围限定单元， 用于对数据的流转范围进行限定， 当数据标识中包含一级安全标 识， 所述数据仅能够在一级安全标识的设备间流转； 当数据标识中包含二级安全标识， 所述 数据能够在一级安全标识和二级安全标识的设备间流转； 当数据标识中包含三级安全标 识， 所述数据能够 在所有连接测试通过的设备件流 转； 安全协议隧道单元， 当数据标识中包含低级别安全标识， 而数据需要流转至高级别安 全标识的设备时， 建立专用安全协议隧道， 数据必须通过专用安全协议隧道方可流转至高 级别安全标识的设备。 10.根据权利要求6所述一种基于双向传输的网络数据安全管控系统， 其特征在于， 所 述系统还 包括设备运行 管理模块， 设备运行 管理模块包括： 设备登录单元， 检测到设备登录成功， 将设备的连接信息、 设备身份属性信息、 登录用 户名、 登录口令和登录用户角色记录 到设备在线信息中； 心跳信号发送单元， 用于定期向安全中台发送心跳信号， 安全中台根据接收的心跳信 号通过统一界面向安全管理员显示设备的登录状态信息， 如安全中台接收不到心跳信号且 未接收到设备的退 出状态信息， 则将该设备显示 为问题状态； 以及 设备退出单元， 检测到设备退出登录， 向安全中台发送退出信 息， 安全中台接收后通过 统一界面向安全管理员显示设备的退 出信息。权　利　要　求　书 2/2 页 3 CN 114520734 A 3