,共包括如下步骤:
[0039]步骤1:启动透明计算服务器,开启接收存储用户数据服务、存储客户端管理模块支持服务和权限授予模块支持服务;
[0040]步骤2:启动客户端管理模块,开启接收客户端反馈服务;
[0041]步骤3:启动权限授予模块,开启权限授予服务;
[0042]步骤4:开启信息安全设备接口,准备接收用户的操作以及信息安全设备的反馈结果,透明计算一体化管理平台初始化阶段结束,转入用户操作阶段;
[0043]步骤5:新用户初次打开透明计算客户端时,需通过身份验证模块进行登陆,经许可登陆成功后,向透明计算一体化管理平台发送权限请求,经透明计算一体化管理平台权限授予模块许可后,通过权限接收模块接收从透明计算一体化管理平台中反馈的信息安全设备权限,然后根据相应权限,通过设备调用模块进行设备操作;
[0044]步骤6:透明计算一体化管理平台中的透明计算服务器中创建该新用户的透明计算四元体TC[i]〈用户编号,用户权限,调用设备编号,操作序列〉,其中i为当前总用户数量,用户编号字段值为i,用户权限字段为用户通过权限授予模块授予的权限,调用设备编号字段为当前操作的信息安全设备的编号,而操作序列字段则是对用户的新操作进行实时记录字段,当用户暂时停止工作时,透明计算客户端被关闭,用户操作阶段结束,转入透明计算迀移阶段;
[0045]步骤7:当某用户再次打开透明计算客户端,透明计算服务器读取该用户的四元体数据TC[k],其中k为该用户的编号,透明计算服务器通过读取TC[i]的用户权限字段,确定该用户所拥有的权限,并且输出调用设备编号字段以及操作序列字段,经过客户端管理模块,向透明计算客户端发送之前的所有数据,透明计算客户端得到数据后,拆分为调用设备以及操作序列,然后根据信息重新加载,恢复之前操作。
[0046]步骤8:当用户完成操作,向透明计算一体化管理平台发送结束命令,透明计算服务器中该用户TC[k]中的调用设备编号和操作序列字段被清空,等待用户的下一次操作。
[0047]综上步骤,最终实现基于透明计算的信息安全设备一体化管理。
[0048]本发明所提出的基于透明计算的信息安全设备一体化管理架构中,能否根据需求,在办公室、机房或施工现场任意一台经授权的机器上,实现全方位透明化操作,是本发明的一个重要指标。只有突破操作系统、设备多样性、安全策略不统一的瓶颈,才能实现真正意义上的透明计算。
[0049]而衡量本方法是否高效的重要指标,则是信息安全设备透明化操作响应时间(Response-time of Transparent-operat1n on Informat1n-security Device, RTID),当安全员从一个机器转移至另一个机器进行操作时,信息安全设备一体化平台同样需要进行切换,从安全员发起请求到进入操作页面的过程耗用时间越短,说明信息安全设备一体化平台的工作效率越高,基于透明计算的信息安全设备一体化管理方法越合理。
[0050]为了验证基于透明计算的信息安全设备一体化管理方法的有效性,在公司信息系统管理部门搭建完成基于透明计算的信息安全设备一体化管理架构后,进行实际测试,信息安全设备选取公司在使用的厂商A的防火墙设备和厂商B的入侵防御系统设备。
[0051]公司安全员在信息机房计算机上,使用透明计算客户端进行登陆,并完成防火墙的地址资源操作后,选择退出。然后,回到办公室,用另一台计算机再次登陆本人账号,发现刚才执行到一半的操作依然存在,并且能够顺利的与防火墙进行通信,并最终完成访问控制策略的配置。上述过程说明本平台能够根据需求,在办公室、机房或施工现场任意一台经授权的机器上,实现透明化操作。
[0052]为衡量本方法是否高效,对信息安全设备透明化操作响应时间进行测试,重复20次上述操作,并记录从登陆本人账号到反馈执行到一半的操作整个过程时间。如图5所示,可以发现,响应时间基本在Is至2s以内,基本能够满足工作需要,对于安全员来说,这段等待的时间几乎可以忽略不计。
[0053]综上所述,基于透明计算的信息安全设备一体化管理方法能够根据需求,在办公室、机房或施工现场任意一台经授权的机器上,实现全方位透明化操作,达到了预期目的,此外,在信息安全设备透明化操作响应时间上表现出了良好的性能,并且随着信息安全的逐步重视,信息安全设备的种类、性能、策略也日益繁多复杂,本方法通过在透明计算一体化管理平台上增加相应的设备接口,与传统的方法相比具备更强的适应性和可扩展性。
[0054]以上所述仅是本发明的优选实施方式,应当指出:对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
【主权项】
1.一种基于透明计算的信息安全设备一体化管理方法,其特征在于,包括如下步骤: (1)透明计算一体化管理平台初始化阶段; (2)用户操作阶段; (3)透明计算迀移阶段。
2.根据权利要求1所述的基于透明计算的信息安全设备一体化管理方法,其特征在于,所述步骤(I)包括如下步骤: (1.D启动透明计算服务器,开启接收存储用户数据服务、存储客户端管理模块支持服务和权限授予模块支持服务; (1.2)启动客户端管理模块,开启接收客户端反馈服务; (1.3)启动权限授予模块,开启权限授予服务; (1.4)开启信息安全设备接口,准备接收用户的操作以及信息安全设备的反馈结果,透明计算一体化管理平台初始化阶段结束,转入用户操作阶段。
3.根据权利要求1所述的基于透明计算的信息安全设备一体化管理方法,其特征在于,所述步骤(2)包括如下步骤: (2.1)新用户初次打开透明计算客户端时,需通过身份验证模块进行登陆,经许可登陆成功后,向透明计算一体化管理平台发送权限请求,经透明计算一体化管理平台权限授予模块许可后,通过权限接收模块接收从透明计算一体化管理平台中反馈的信息安全设备权限,然后根据相应权限,通过设备调用模块进行设备操作; (2.2)透明计算一体化管理平台中的透明计算服务器中创建该新用户的透明计算四元体TC[i]〈用户编号,用户权限,调用设备编号,操作序列 >,其中i为当前总用户数量,用户编号字段值为i,用户权限字段为用户通过权限授予模块授予的权限,调用设备编号字段为当前操作的信息安全设备的编号,而操作序列字段则是对用户的新操作进行实时记录字段,当用户暂时停止工作时,透明计算客户端被关闭,用户操作阶段结束,转入透明计算迀移阶段。
4.根据权利要求1所述的基于透明计算的信息安全设备一体化管理方法,其特征在于,所述步骤(3)包括如下步骤: (3.1)当某用户再次打开透明计算客户端,透明计算服务器读取该用户的四元体数据TC[k],其中k为该用户的编号,透明计算服务器通过读取TC[i]的用户权限字段,确定该用户所拥有的权限,并且输出调用设备编号字段以及操作序列字段,经过客户端管理模块,向透明计算客户端发送之前的所有数据,透明计算客户端得到数据后,拆分为调用设备以及操作序列,然后根据信息重新加载,恢复之前操作; (3.2)当用户完成操作,向透明计算一体化管理平台发送结束命令,透明计算服务器中该用户TC[k],中的调用设备编号和操作序列字段被清空,等待用户的下一次操作,通过上述步骤,实现基于透明计算的信息安全设备一体化管理方法。
5.—种基于透明计算的信息安全设备一体化管理系统,其特征在于,包括透明计算客户端子系统、透明计算一体化管理平台子系统和信息安全子系统; 所述透明计算客户端子系统包括身份验证模块、权限接收模块和设备调用模块; 所述透明计算一体化管理平台子系统包括透明计算服务模块、客户端管理模块、权限授予模块以及多个信息安全设备接口模块。 所述信息安全子系统包括防火墙和入侵防御系统等在信息系统中使用到的信息安全设备。
6.根据权利要求5所述的基于透明计算的信息安全设备一体化管理系统,其特征在于,所述身份验证模块用于对当前用户的验证,确保当前用户的合法性;所述权限接收模块用于接收从透明计算一体化管理平台子系统中反馈的信息安全设备权限,只有信息安全设备将权限经一体化管理平台子系统授予给该用户,该用户才能进行某安全设备的操作;所述设备调用模块用于当用户进行操作设备时,获取从透明计算一体化管理平台子系统的信息安全设备接口的信息,同时,可以将用户的操作反馈给透明计算一体化管理平台子系统。
7.根据权利要求5所述的基于透明计算的信息安全设备一体化管理平台系统,其特征在于,所述透明计算服务模块用于存储透明计算过程中形成的数据,确保用户使用不同的透明计算客户端登陆时,能够不中断操作,同时,透明计算服务器上存储客户端管理模块和权限授予模块的相关数据,对两个模块提供数据支持,所述客户端管理模块用于管理多个透明计算客户端,接收客户端反馈的用户操作,同时提供客户端的升级工作;所述权限授予模块用于根据请求和工作需要,向用户开放信息安全设备相应的权限;所述信息安全设备接口模块用于连接透明计算一体化管理平台子系统与信息安全设备,通过信息安全设备接口,用户的操作可以有效的转化成信息安全设备的命令,信息安全设备的反馈结果也可以有效的传至透明计算一体化管理平台子系统,继而反馈给用户。
8.根据权利要求5所述的基于透明计算的信息安全设备一体化管理系统,其特征在于,所述信息安全子系统包括防火墙和入侵防御系统。
【专利摘要】本发明公开一种基于透明计算的信息安全设备一体化管理方法及系统,适用于信息系统安全员对信息安全设备的管理过程。信息安全设备一体化管理方法包括透明计算一体化管理平台初始化阶段、用户操作阶段、透明计算迁移阶段等三个步骤,信息安全设备一体化管理系统包括透明计算客户端子系统、透明计算一体化管理子系统和信息安全子系统。本方法突破操作系统、设备多样性、安全策略不统一的瓶颈,实现从端到端的透明式管理,减少因安全策略、安全技术等多方面任务带给信息安全设备管理的复杂程度。
【IPC分类】G06F21-60, G06F21-62
【公开号】CN104866771
【申请号】CN201510162254
【发明人】李晓光, 张义, 丁玉坤, 赵玉敬, 马莉, 杜宁宁, 韩雅菲, 周伟, 李晓亮
【申请人】国家电网公司, 国网山东省电力公司滨州供电公司
【公开日】2015年8月26日
【申请日】2015年4月7日