专利名称:一种多重监管的网络应用平台监管装置的制作方法
技术领域:
本实用新型涉及一种平台监管装置,特别涉及一种适用于计算机信息安 全领域的多重监管的网络应用平台监管装置。
背景技术:
目前,随着全国各个系统、产业信息化工作的开展,各个网络应用系统 之间逐渐需要通过互联互通来发挥信息化的更大效能,然而,与之相对应地, 网络信息孤岛的问题,已出现在某些电子政务和电子商务领域;而要将不同 网络连接起来,这些网络边界的安全就成为新的需要解决的问题,对网络边 界进行监控是保证网络边界安全的一种有效方法。
在现有的网络系统中,网络边界上的设备、应用、服务、用户、终端和 网络数据流量通常都是通过单独监控的方式进行监管,无法将网络边界上的 设备、应用、服务、用户、终端和网络数据流量联系在一起,比较单一,安 全性也不高。
因此,特别需要一种多重监管的网络应用平台监管装置,针对网络边界 交互的特点,对网络边界进行多重监控,从网络系统硬件环境层面、网络运 行数据层面、接入用户与终端层面和应用系统层面上来进行监管。
实用新型内容
本实用新型所要解决的技术问题在于提供一种多重监管的网络应用平台 监管装置,对网络边界进行多重监控,并且拥有多重监管手段,可以分别从 网络系统硬件环境层面、网络运行数据层面、接入用户与终端层面和应用系 统层面上来进行监管。
本实用新型所要解决的技术问题可以通过以下技术方案来实现 一种多重监管的网络应用平台监管装置,其特征在于,它包括用于提供用户交互接口的显示层、具有实现所述显示层的各种功能的功能模块的逻辑 处理层及用于收集网络边界上的设备、网络、应用、用户和终端的原始信息 的存储收集层,所述存储收集层与所述逻辑处理层的信息互相关联处理,由 所述显示层提供交互使用。
所述逻辑处理层包含有设备日志监视模块、流量监视模块、业务管理模 块、安全事件警告模块、安全事件处理模块、数据集中存储模块、探测点管 理模块及数据库,所述设备日志监视模块、流量监视模块、业务管理模块、 安全事件警告模块、安全事件处理模块、数据集中存储模块、探测点管理模 块与所述数据库互相关联信息,所述数据集中存储模块和探测点管理模块与 所述存储收集层互相信息关联。
所述存储收集层包含有数据上传模块、探测点属性配置模块及数据采集 模块,所述数据上传模块与所述数据集中存储模块互相信息关联,所述探测 点属性配置模块与所述探测点管理模块互相信息关联。
所述存储收集层在所述网络边界的关键节点和中心交换机或路由设备后 设置有一用于收集各类底层信息并快速分类存储到所述逻辑处理层的数据库 的探针。
在本实用新型的一个实施例中,所述存储收集层的数据采集模块通过
SNMP协议v3实现对网络设备和计算机节点的硬件和服务运行信息进行控 制。
在本实用新型的一个实施例中,所述存储收集层的数据采集模块通过 NMAP对网络设备和计算机节点服务端口进行探测。
在本实用新型的一个实施例中,所述存储收集层的数据采集模块通过编 制基于jdbc数据库连接探测程序,来检测网络数据库的运行状态。
在本实用新型的一个实施例中,所述存储收集层的数据采集模块通过接 受统计各个业务的工作日志,监管各个应用的状态。
在本实用新型的一个实施例中,所述存储收集层的数据采集模块基于 PKI/PMI,通过和授权访问设备联动,提取用户身份信息和终端认证信息来 监管用户和终端行为。
在本实用新型的一个实施例中,所述存储收集层的数据采集模块通过监 视网络监听口所有流量,并将应用系统信息扩展到netflow协议,将流量和业务相结合起来。
本实用新型的多重监管的网络应用平台监管装置,采用分层架构,从网 络系统硬件环境层面上,能够监管网络边界上所有设备节点的运行情况和主 要硬件信息,从网络运行数据层面上,能够监管整个网络边界的网络流量信 息,从接入用户与终端层面上,能够监管边界网络接入的用户和终端信息, 能检测用户和终端自身基本信息和行为审计,实现了和业务结合,并针对网 络边界交互的特点,对网络边界实现多重监管,实现本实用新型的目的。
图1为本实用新型的多重监管的网络应用平台监管装置的系统架构图; 图2为本实用新型的多重监管的网络应用平台监管装置的应用总体图。
具体实施方法
为了使本实用新型实现的技术手段、创作特征、达成目的与功效易于明 白了解,下面结合具体图示,进一步阐述本实用新型。
如图1所示, 一种多重监管的网络应用平台监管装置,它包括显示层l、 逻辑处理层2及存储收集层3;存储收集层3与逻辑处理层2的信息互相关 联处理,由显示层l提供交互使用。整个系统采用多层架构来实现,由展示 层、逻辑处理层、存储收集层组成,通过显示层1、逻辑处理层2和存储收 集层3实现对网络边界的多重监控。
显示层l用于提供用户交互接口,在本实施例中,显示层l主要由网页 界面开发来实现。
逻辑处理层2具有实现显示层1的各种功能的功能模块,分别实现资源 注册、整体监控、数据存储、审计分析、报警、报表图表、综合査询、自身 系统管理和安全管理等功能;逻辑处理层2包含有设备日志监视模块、流量 监视模块、业务管理模块、安全事件警告模块、安全事件处理模块、数据集 中存储模块、探测点管理模块及数据库,所述设备日志监视模块、流量监视 模块、业务管理模块、安全事件警告模块、安全事件处理模块、数据集中存 储模块、探测点管理模块与所述数据库互相关联信息,所述数据集中存储模 块和探测点管理模块与所述存储收集层互相信息关联,在本实施例中,逻辑处理层以java为开发语言来实现。
存储收集层3用于收集网络边界上的设备、网络、应用、用户和终端的 原始信息,在本实施例中,存储收集层3以C, 0++为开发语言来实现。
存储收集层3包含有数据上传模块、探测点属性配置模块及数据采集模 块,所述数据上传模块与所述数据集中存储模块互相信息关联,所述探测点 属性配置模块与所述探测点管理模块互相信息关联。
存储收集层3在所述网络边界的关键节点和中心交换机或路由设备后设 置有一用于收集各类底层信息并快速分类存储到所述逻辑处理层的数据库的 探针。
在本实用新型的一个实施例中,所述存储收集层的数据采集模块使用探 针通过SNMP协议v3实现对网络设备和计算机节点的硬件和服务运行信息 进行控制。
在本实用新型的一个实施例中,所述存储收集层的数据采集模块使用探 针通过NMAP对网络设备和计算机节点服务端口进行探测。
在本实用新型的一个实施例中,所述存储收集层的数据采集模块使用探 针通过编制基于jdbc数据库连接探测程序,来检测网络数据库的运行状态。
在本实用新型的一个实施例中,所述存储收集层的数据采集模块通过接 受统计各个业务的工作日志,监管各个应用的状态。
在本实用新型的一个实施例中,所述存储收集层的数据采集模块基于 PKI/PMI,通过和授权访问设备联动,提取用户身份信息和终端认证信息来 监管用户和终端行为。
在本实用新型的一个实施例中,所述存储收集层的数据采集模块通过监 视网络监听口所有流量,并将应用系统信息扩展到netflow协议,将流量和 业务相结合起来。
从网络系统硬件环境层面上,能够监管网络边界上所有设备节点的运行 情况和主要硬件信息,包括CPU使用率、内存使用率、网络接口信息等以及 这些设备上的服务进程运行信息。
从网络运行数据层面上,能够监管整个边界的网络流量信息,主要监控 源地址、目的地址、源端口、自的端口、协议、字节数据、包数。
从接入用户与终端层面上,能够监管边界网络接入的用户和终端信息,能检测用户和终端自身基本信息和行为审计。
从应用系统层面,能够结合以上几个层面的信息,监管各个应用系统运 行状况,包括用户和终端应用访问量、工作量、造成的网络流量信息。
综上所述,通过存储收集层3上述信息的收集,再经过逻辑处理层2的 信息处理和关联,再通过显示层1提供用户交互处理,本实用新型的多重监 管的网络应用平台监管装置就能够实现与业务结合的多重监管,来更好的为 信息化服务。
以上显示和描述了本实用新型的基本原理和主要特征及其优点。本行业 的技术人员应该了解,本实用新型不受上述实施例的限制,上述实施例和说 明书中描述的只是说明本实用新型的原理,在不脱离本实用新型精神和范围 的前提下,本实用新型还会有各种变化和改进,这些变化和改进都落入要求 保护的本实用新型范围内。本实用新型要求保护范围由所附的权利要求书及 其等效物界定。
权利要求1、一种多重监管的网络应用平台监管装置,其特征在于,它包括用于提供用户交互接口的显示层、具有实现所述显示层的各种功能的功能模块的逻辑处理层及用于收集网络边界上的设备、网络、应用、用户和终端的原始信息的存储收集层,所述存储收集层与所述逻辑处理层的信息互相关联处理,由所述显示层提供交互使用。
2、 如权利要求1所述的多重监管的网络应用平台监管装置,其特征在于, 所述逻辑处理层包含有设备日志监视模块、流量监视模块、业务管理模块、 安全事件警告模块、安全事件处理模块、数据集中存储模块、探测点管理模 块及数据库,所述设备日志监视模块、流量监视模块、业务管理模块、安全 事件警告模块、安全事件处理模块、数据集中存储模块、探测点管理模块与 所述数据库互相关联信息,所述数据集中存储模块和探测点管理模块与所述 存储收集层互相信息关联。
3、 如权利要求1所述的多重监管的网络应用平台监管装置,其特征在于, 所述存储收集层包含有数据上传模块、探测点属性配置模块及数据采集模块, 所述数据上传模块与所述数据集中存储模块互相信息关联,所述探测点属性 配置模块与所述探测点管理模块互相信息关联。
4、 如权利要求1所述的多重监管的网络应用平台监管装置,其特征在于, 所述存储收集层在所述网络边界的关键节点和中心交换机或路由设备后设置 有一用于收集各类底层信息并快速分类存储到所述逻辑处理层的数据库的探 针。
专利摘要本实用新型公开一种多重监管的网络应用平台监管装置,它包括显示层、逻辑处理层及存储收集层,所述存储收集层与所述逻辑处理层的信息互相关联处理,由所述显示层提供交互使用;采用分层架构,从网络系统硬件环境层面上,能够监管网络边界上所有设备节点的运行情况和主要硬件信息,从网络运行数据层面上,能够监管整个网络边界的网络流量信息,从接入用户与终端层面上,能够监管边界网络接入的用户和终端信息,能检测用户和终端自身基本信息和行为审计,实现了和业务结合,并针对网络边界交互的特点,对网络边界实现多重监管,实现本实用新型的目的。
文档编号H04L12/24GK201252562SQ200820152488
公开日2009年6月3日 申请日期2008年8月29日 优先权日2008年8月29日
发明者倪力舜, 周国勇, 尹晚成, 欣 李, 欧阳满, 潘志毅, 佳 王, 福 王, 袁艺芳, 翔 邹 申请人:公安部第三研究所