专利名称:网络安全系统以及用以管理网络安全弱点的方法
技术领域:
本发明是有关于网络安全,特别是有关于用以管理一网络系统中各装置的安全弱点的系统和方法。
背景技术:
随着网络的普及,网络安全已成为因特网上的焦点,在享受因特网带来的好处的同时,也面临着一定程序的风险,因为因特网上存在很多的危险。再者,随着可携式装置连接网络功能的普及,使得公司等装设的区域网络无法有效控制连接到该区域网络的装置是否隐含了计算机病毒等危险程序。
因此需要一种管理网络系统中各装置的安全弱点的系统和方法,来解决上述的问题。
发明内容
本发明是有关于网络安全,特别是有关于用以管理一网络系统中各装置的安全弱点的系统和方法。
本发明提供一种网络安全系统,其包括一监视装置及一认证服务器。该监视装置,其是用以侦测由一网络装置发出的要求连接一网络的一网络信息。该认证服务器,其是用以确认该网络装置的一安全装备(security feature),针对该网络信息施以一安全规则,以决定该安全装备是否已提供足够的安全防护,若已提供足够的安全防护则允许该网络装置连接该网络。
本发明所述的网络安全系统,其中该网络装置是为一网络计算机、一移动电话、一呼叫器或一个人数字助理(PDA)。
本发明所述的网络安全系统,其中该网络为一有线网络、一无线网络或为上述的集合。
本发明所述的网络安全系统,进一步包含一储存装置,其是用以储存该网络装置的识别信息记录和安全装备记录。
本发明所述的网络安全系统,其中该认证服务器向该网络装置要求该网络装置的识别信息和安全装备的相关信息。
本发明所述的网络安全系统,其中该认证服务器进一步要求该网络装置依据该安全规则升级其安全装备。
本发明并提供一种用以管理网络安全弱点的方法。上述方法首先侦测由一网络装置发出的要求接取一网络的一网络信息。确认该网络装置的一安全装备(security feature)。继之,针对该网络信息施以一安全规则,以决定该安全装备是否已提供足够的安全防护,若已提供足够的安全防护则允许该网络装置接取该网络。
本发明所述的用以管理网络安全弱点的方法,其中该网络装置是为一网络计算机、一移动电话、一呼叫器或一个人数字助理(PDA)。
本发明所述的用以管理网络安全弱点的方法,进一步向该网络装置要求该网络装置的识别信息和安全装备的相关信息。
本发明所述的用以管理网络安全弱点的方法,进一步要求该网络装置依据该安全规则升级其安全装备。
上述方法是可以通过将储存于计算机可读取储存介质的计算机程序载入计算机系统中而实现。
本发明通过分析网络信息以辨识内部网络中可能的安全弱点。
图1显示依据本发明实施例的具有网络安全弱点管理的网络系统的示意图。
图2显示依据本发明实施例之用以管理网络安全弱点的方法的流程图。
具体实施例方式
为了让本发明的目的、特征及优点能更明显易懂,下文特举较佳实施例,并配合图1及图2,做详细的说明。本发明说明书提供不同的实施例来说明本发明不同实施方式的技术特征。其中,实施例中的各元件的配置是为说明之用,并非用以限制本发明。且实施例中附图标记的部分重复,是为了简化说明,并非意指不同实施例之间的关联性。
图1显示依据本发明实施例的具有网络安全弱点管理的网络系统的示意图。如图所示,一网络环境包含多个装置,其形成一内部网络100、内部网络100的保护设备和一外部网络150。其中,内部网络100可以为一局部区域网络(LAN),其包含多台装置和网络骨干14相连接。网络骨干14可以包含以太网(Ethernet)、光纤分布式数据接口(Fiber Distributed Data Interface,FDDI)、令牌环(token ring)或其他网络传输介质。内部网络100的保护设备可以由防火墙16及一路由器18提供,其与网络骨干14连接。路由器18是作为该内部网络100和该外部网络150之间的一闸道。外部网络150可以为因特网或其他公共网络。防火墙16可以用以限制外部装置接取内部网络100的资源,并保护内部网络100中的资源使其免于被不法使用。
内部网络100进一步包含一安全系统13,其是与网络骨干14连接。虽然图1显示安全系统13是透过网络骨干14连接于内部网络100,实际上本领域技术人员可以使用其他方式来达成安全系统13和内部网络100的连接,例如通过另一计算机装置的连接。安全系统13包含一监视装置131、一认证服务器133及一储存装置135。监视装置131是用以侦测内部网络100中流通的信息,并侦测在内部网络100中由一装置发出的网络信息广播要求。认证服务器133是用以确认该网络装置的一安全装备(security feature),针对该网络信息施以一安全规则,以决定该安全装备是否已提供足够的安全防护,若是则允许该网络装置接取内部网络100。当该网络装置被允许接取内部网络100,则认证服务器133依据一已知的动态主机配置协议(dynamic host configuration protocol,DHCP)指定一网络协议(IP)地址给该网络装置。储存装置135则用以储存该网络装置的识别信息记录和安全装备记录。
依据图1所示,安全系统13是直接连接于内部网络100里面的网络骨干14。这种设计方式常见于一侵入侦测系统。然而,安全系统13也可以通过其他方式和网络连接。例如,安全系统13可以和内部网络100中的其他装置结合,例如,防火墙16或路由器18。或者,安全系统13可以设于内部网络100之外,例如介于防火墙16和路由器18之间,或者是在路由器18之外。安全系统13设置的方式不同将会使得安全系统13所处的网络环境不同,而对于其运作有所影响。
安全系统13可以包含软件程序码,其可以安装及运作于下列系统中,LDAP、Active Directory或RADIUS基础的工作站。
类似如工作站12的装置可以透过网络骨干14进行沟通。工作站12可以进一步通过网络骨干14和路由器18和外部网络150中的装置进行沟通。如前所述,防火墙16是用以防止外部网络150的装置在未经授权认证的情况下,对内部网络100中的装置进行接取。然而,防火墙16可能无法保护内部网络100,使其免于受到来自直接连接于内部网络100的装置的病毒侵害。在此,病毒一词是指有害的可执行程序码。
当一装置要求要接取内部网络100时,安全系统13必须决定该装置是否具有足够的安全防护装备。为完成上述程序,安全系统13必须监测在网络骨干14上流通的信息(例如数据包),并辨识由一要求接取内部网络100的装置所传送出的一网络信息广播,并确认发出该网络信息广播的该装置所具备的安全装备,同时依据一安全规则,决定该安全装备是否已提供足够的安全防护。当该安全装备已提供足够的安全防护时,安全系统13允许该装置接取内部网络100。同时,该网络装置的识别信息记录和安全装备记录被储存在储存装置135中。
上述装置(例如装置161和163)可以通过一有线连接或无线连接方式来接取内部网络100。例如装置163透过一无线接取点165建立一无线连接,以接取内部网络100中的资源。
安全系统13分析网络信息以辨识内部网络100中可能的安全弱点。例如,安全系统13可以针对由监视装置131侦测到的该网络信息,执行一规则驱动评估。
图2显示依据本发明实施例的用以管理网络安全弱点的方法的流程图,其可由上述安全系统13实现。在步骤S20中,监测内部网络100中数据的传输。例如,上述数据的传输包括和内部网络100连接的装置所发出的数据包。每一个数据包在步骤S20中都被拦截。
继之,在步骤S21中,决定是否侦测到该被拦截的数据包包含一IP地址要求,其中该IP地址可以被对应的一装置用来接取内部网络100。继之,分析侦测到的该数据包并借以得到该数据包的来源装置的识别信息(步骤S221)。该识别信息可以包含该来源装置的MAC地址。继之,传送一询问信息到侦测到的该数据包的该来源装置(步骤S231),以查询该来源装置所安装的安全装备(security feature)。例如,上述安全装备可以包含该装置所安装的安全补丁(security patch)及安全模式(security pattern)等。继之,该装置提供和其安全装备相关的信息,且由安全系统接收该安全装备的相关信息(步骤S233)。在步骤S235中,将该安全装备的相关信息和其对应的MAC地址一起记录在一数据库中。在步骤S241中,依据一安全规则,分析该装置的该安全装备。并在步骤S243中,决定该安全装备是否已提供足够的安全防护。当该安全装备已提供足够的安全防护,则允许该网络装置接取该网络(步骤S25),否则该方法执行步骤S271。在步骤S26中,建立该内部网络和该装置的一连线。在步骤S271中,若该安全装备并未提供该安全规则所界定的足够的安全防护,则要求该装置依据该安全规则升级其安全装备,使其符合该安全规则的设定。在步骤S273中,接收该装置所传送的一回复信息。在步骤S274中,依据该回复信息,判断该装置是否接受依据该安全规则升级其安全装备的要求。若该装置接受该升级要求,则该方法执行步骤S275,否则该方法结束。在步骤S275中,该装置的安全装备依据该安全规则加以升级。当该升级程序完成时,该方法执行步骤S26,建立该装置和该内部网络之间的连线。
上述用以管理网络安全弱点的方法是能通过计算机程序存于一储存介质中,且当计算机程序载入服务器执行时,可以实现本发明的用以管理网络安全弱点的方法。
以上所述仅为本发明较佳实施例,然其并非用以限定本发明的范围,任何熟悉本项技术的人员,在不脱离本发明的精神和范围内,可在此基础上做进一步的改进和变化,因此本发明的保护范围当以本申请的权利要求书所界定的范围为准。
附图中符号的简单说明如下内部网络100外部网络150网络骨干14
防火墙16路由器18安全系统13监视装置131认证服务器133储存装置135工作站12装置161装置163无线接取点16权利要求
1.一种网络安全系统,其特征在于,所述网络安全系统包括一监视装置,其是用以侦测由一网络装置发出的要求接取一网络的一网络信息;以及一认证服务器,其是用以确认该网络装置的一安全装备,针对该网络信息施以一安全规则,以决定该安全装备是否已提供足够的安全防护,若已提供足够的安全防护则允许该网络装置接取该网络。
2.根据权利要求1所述的网络安全系统,其特征在于,该网络装置是为一网络计算机、一移动电话、一呼叫器或一个人数字助理。
3.根据权利要求1所述的网络安全系统,其特征在于,该网络为一有线网络、一无线网络或为上述的集合。
4.根据权利要求1所述的网络安全系统,其特征在于,进一步包含一储存装置,其是用以储存该网络装置的识别信息记录和安全装备记录。
5.根据权利要求1所述的网络安全系统,其特征在于,该认证服务器向该网络装置要求该网络装置的识别信息和安全装备的相关信息。
6.根据权利要求1所述的网络安全系统,其特征在于,该认证服务器进一步要求该网络装置依据该安全规则升级其安全装备。
7.一种用以管理网络安全弱点的方法,其特征在于,所述用以管理网络安全弱点的方法包括侦测由一网络装置发出的用以要求接取一网络的一网络信息;确认该网络装置的一安全装备;以及针对该网络信息施以一安全规则,以决定该安全装备是否已提供足够的安全防护,若已提供足够的安全防护则允许该网络装置接取该网络。
8.根据权利要求7所述的用以管理网络安全弱点的方法,其特征在于,该网络装置是为一网络计算机、一移动电话、一呼叫器或一个人数字助理。
9.根据权利要求7所述的用以管理网络安全弱点的方法,其特征在于,进一步向该网络装置要求该网络装置的识别信息和安全装备的相关信息。
10.根据权利要求7所述的用以管理网络安全弱点的方法,其特征在于,进一步要求该网络装置依据该安全规则升级其安全装备。
全文摘要
一种网络安全系统以及用以管理网络安全弱点的方法。该网络安全系统包括一监视装置,其是用以侦测由一网络装置发出的要求连接一网络的一网络信息;一认证服务器,其是用以确认该网络装置的一安全装备,针对该网络信息施以一安全规则,以决定该安全装备是否已提供足够的安全防护,若已提供足够的安全防护,则允许该网络装置连接该网络。本发明通过分析网络信息以辨识内部网络中可能的安全弱点。
文档编号H04L29/06GK101090318SQ200610140649
公开日2007年12月19日 申请日期2006年9月29日 优先权日2006年6月14日
发明者郑东升 申请人:台湾积体电路制造股份有限公司