专利名称:内部网络安全管理的相关设备及方法
技术领域:
本发明涉及计算机网络技术领域,尤其涉及内部网络安全管理相关设备及 方法。
背景技术:
随着信息产业的不断发展,计算机网络在办公、指挥控制等方面得到了广 泛的应用。但随之而来的计算机网络安全和管理问题也日益突出,特别是内部 网络的安全管理问题,如资源滥用、移动设备的管理、非授权访问、信息失泄 密等问题,已无法从单纯的行政角度来进行安全管理。
针对上述问题,不少行业专家、IT厂商或集成商提出了各自不同的解决方 案及其相关产品。这些方案或从安全的角度出发,或从管理的角度出发,或是 两者的结合,或多或少的解决了部分问题,如某些系统专注于内网计算机的安 全防护,有效地检测并清除病毒、木马,保证内网信息不被恶意窃取,同时定 位危害源来防止病毒扩散,但是,这往往忽略了合法操作人员通过个人计算机 人为引起的信息系统破坏等因素;某些系统强调边界网络的安全防护,使内部 敏感信息无法通过网络流出,却无法防止操作人员通过移动设备拷贝及打印文 件所造成的信息泄露;某些系统能对网络中的计算机进行全面防护,通过信息 保密技术防止信息失泄密事件,进行有效的内网安全管理体系,却在一定程度 上增加了管理员的负担,降低了计算机使用者的操作效率,同时增加了其操作 复杂度。
因此,寻找一种更安全、可靠的方案来解决现有技术中存在的网络安全和 管理的问题,迫在眉睫。
发明内容
鉴于现有技术的不足,本发明实施例提供了内部网络安全管理的相关设备 及方法,不但对内部网络计算机来自外部的隐患进行防护,而且还对内部网络 计算机进行主动防范,实现了内部网络的安全管理。为了达到上述发明目的,本发明实施例提供了 一种内部网络安全管理系统,
所述系统包括
所述安全管理中心,用于设置系统安全管理策略和审计策略,并通过所述 服务器向所述客户端代理下发所述安全管理策略和审计策略;
所述服务器,用于接收来自所述安全管理中心的安全管理策略和审计策略, 以及对终端设备进行监控管理和审计管理;
客户端代理,用于对用户进行身份认证;以及获取来自所述服务器的安全 管理策略和审计策略;根据所述安全管理策略,对内设有所述客户端代理的终 端设备进行安全4金测或/和修复,并控制所述终端设备执行与所述安全管理策略 相应等级的操作或访问;根据所述审计策略,对所述终端设备的操作及访问行 为进行审计;以及将通过安全检测获得的安全事件信息和通过审计获得的安全 状况信息通过所述服务器发送到所述安全管理中心。
进一步地,本发明实施例还提供了一种客户端代理,其用于对用户进行身 份认证;以及获取来自所述服务器的安全管理策略和审计策略;根据所述安全 管理策略,对内设有所述客户端代理的终端设备进行安全检测或/和修复,并控 制所述终端设备执行与所述安全管理策略相应等级的才喿作或访问;根据所述审 计策略,对所述终端设备的操作及访问行为进行审计;以及将通过安全检测获 得的安全事件信息和通过审计获得的安全状况信息通过所述服务器发送到所述 安全管理中心;通过服务器获取来自所述安全管理中心的加解密策略,对指定 的终端设备及外围存储设备的应用程序和指定后缀的文件进行自动加解密处 理。
相应地,本发明实施例还提供了一种内部网络安全管理方法,所述方法包
括
峑户端代理对请求入网的终端设备进行身份认证;
若身份认证合法,则客户端代理根据安全防护策略,对终端设备进行安全 检测和-修复;
若安全检测和1奮复的结果符合安全防护策略要求,则准予终端设备接入网
络;
在终端设备接入网络之后,客户端代理根据安全监控策略,控制所述终端 设备执行与所述安全监控策略相应等级的操作或访问。本发明实施例的有益效果如下
本发明的技术方案与传统的内网安全管理技术相比,该方案在保护网内计 算机不受攻击的同时对其进行安全控制,以内部网络计算机的防范和防护为出 发点,来管理和保护内部网络信息系统。 一方面,系统4吝建好以后,病毒、木 马或恶意程序失去了对系统的攻击能力,同时对终端设备的操作及访问进行监 控,严格控制了几乎所有的有害程序,并对终端设备及外围存储设备的应用程 序和指定后缀的文件进行加解密,使病毒无法发挥作用,实现了确保信息系统 完整性的主动防御机制。另一方面,通过安全管理中心制定的安全管理策略, 控制终端设备执行与所述安全管理策略相应等级的才乘作或访问,有效的防止了 合法用户的网络资源滥用、信息窃取、通过内部计算机发起主动攻击等恶意行 为。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施 例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述 中的附图仅仅是本发明的一些实施例,对于本领域普通"f支术人员来讲,在不付 出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图l是本发明提供的内部网络安全管理系统的第一实施例的组成示意图2是本发明才是供的内部网络安全管理系统的第二实施例的组成示意图3是本发明^是供的内部网络安全管理系统的总体结构图4是本发明提供的内部网络安全管理方法的实施例的流程示意图5是本发明提供的内部网络的终端设备的启动流程示意图6是本发明提供的内部网络的终端设备的访问控制流程示意图7是本发明提供的内部网络的终端设备的接入控制流程示意图。
具体实施例方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清 楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是 全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造 性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。本发明实施例提供了内部网络安全管理的相关设备及方法,是建立在假设 内网设备是不可信任,同时也是不安全的前提下的,不但对内部网络计算机来 自外部的隐患进行防护,而且还对内部网络计算机进行主动防范,突破了网络 安全模型建立在假定内网计算机都是可信的,其安全隐患来自外部的传统思路, 弥补了传统安全产品在防护上的不足,可以达到预先防护,主动防范的目的。 并且,在计算机的防护监控上又考虑到了计算^L系统和数据的安全性,实现了 内部网络的安全管理。
本发明的设计思想为内网计算机是管理的目标,是安全防护的对象,只 有保证所有内网计算机的安全和行为是可控制的和可管理的,才能保证整个网
络的安全性和可管理性。
基于上述思想实现的计算机内部网络安全管理系统,通过制定并维护统一 的安全策略和管理策略,保证接入内部网络的所有计算;fc/L都服从于上述策略。 对于不符合所迷策略的设备,系统通过网络隔离锁定设备,并发送警告消息确 保其不会对整个网络造成安全和管理上的不良影响。其中,系统是由策略驱动, 整个网络的安全性和可管理性通过策略来保证。
参见图1,是本发明提供的内部网络安全管理系统的第一实施例的组成示意 图,如图所示,所述系统包括安全管理中心11、服务器12以及客户端代理13, 所迷安全管理中心11通过服务器12与客户端代理13进行通信,其中
所迷安全管理中心11,用于设置系统安全管理策略和审计策略,并通过所 述服务器12向所述客户端代理13下发所述安全管理策略和审计策略;需要"i兌 明的是,安全管理中心11是系统的控制中枢,例如,可实施标记管理、授权管 理及策略管理等,安全管理中心11制定相应的系统策略,并且强制网络中的计 算机系统执行所述策略,从而实现了对整个内网信息系统的集中管理,为信息 系统的安全提供了有力保障。
所述服务器12,用于接收来自所述安全管理中心11的安全管理策略和审计 策略,以及对终端设备进行监控管理和审计管理;如,服务器12以旁路形式接 入网络。
客户端代理13,用于对用户进行身份认证;以及获取来自所述服务器12的 安全管理策略和审计策略;根据所述安全管理策略,对内设有所述客户端代理 13的终端设备进行安全检测或/和修复,并控制所述终端设备执行与所述安全管理策略相应等级的操作或访问;根据所述审计策略,对所述终端设备的操作及 访问行为进行审计;以及将通过安全检测获得的安全事件信息和通过审计获得 的安全状况信息通过所述服务器12发送到所述安全管理中心11。
其中,所述客户端代理13安装在终端设备如计算机中,可为一个或多个。 例如,在用户使用网络前,启动客户端代理13,然后输入身份信息进行登录, 在登录过程中,客户端代理13同时收集计算机系统的安全信息并进行病毒扫描, 将相关信息发送到安全管理中心ll进行检查。如果身份合法,同时安全策略符 合要求,则准许接入网络;如果身份不合法,则不能接入网络;如果身份合法, 但是安全策略不满足内网安全标准或发现病毒,则客户端代理13会向用户提示 警告,并协助用户进行安全修复。同时客户端代理13对系统进行监控,并将相 关的事件提供给服务器12。
需要说明的是,所迷客户端代理13,还用于通过服务器12获取来自所述安 全管理中心11的加解密策略,对指定的终端设备及外围存储设备的应用程序和 指定后缀的文件进行自动加解密处理。如,经封装的通信数据包含有通信双方 各自硬件信息的报文摘要,并通过MD5算法加密,可有效的防止伪造数据包、 信息篡改等攻击行为。为防止通信过程中的窃听行为,对于重要的通信数据, 如安全管理策略、审计信息、用户事件等,可采用密钥长度为128位的AES算 法进行加密传输。
实施本实施例,不仅能实现集中式的管理、分布式的防护,还使得控制台 和客户端代理之间无需再实时地直接建立连接,所有对终端设备的管理控制过 程通过服务器协调完成,从而节省网络带宽资源。另外,系统搭建好以后,一 方面,病毒、木马或恶意程序失去了对系统的攻击能力,同时对终端设备的操 作及访问进行监控,严格控制了几乎所有的有害程序,实现了确保信息系统完 整性的主动防御机制。另一方面,通过安全管理中心制定的安全管理策略,控 制终端设备执行与所述安全管理策略相应等级的操作或访问,有效的防止了合 法用户的网络资源滥用、信息窃取、通过内部计算机发起主动攻击等恶意行为。
参见图2,是本发明提供的内部网络安全管理系统的第二实施例的组成示意 图,如图所示,与内部网络安全管理系统的第一实施例中的描述相比,所述安 全管理中心11包^":
管理控制台111,用于设置系统安全管理策略,以及接收客户端代理13通过服务器12上报的安全事件信息,根据所述安全事件信息、从所述系统安全管
理策略中获取与所述安全事件信息相对应的安全管理策略,并通过所述服务器
12向所述客户端代理13下发所述相对应的安全管理策略;
审计控制台112,用于设置系统审计策略,通过所述il良务器12向所述客户 端代理13下发所述审计策略,以及获取客户端代理13通过服务器12上报的安 全状况信息,以便用户通过所述审计控制台112对所述安全状况信息进行查询。 其中,所述安全状况信息也即审计数据。
所述服务器12包括
管理模块121,用于接收所述管理控制台下发的安全管理策略,以及对终端 设备进行监控管理,以及收集终端设备经过安全检测获得的安全事件信息;如, 管理模块121可以以硬件服务器如管理服务器的形式独立运行,负责整个系统 的监控管理工作,由管理控制台lll对其进行操作。
接入控制模块122,用于对用户进行身份认证,以及根据安全管理策略,对 终端设备接入网络进行监控;如,此处的安全管理策略为安全监控策略,也可 称为访问控制策略。
审计模块123,用于接收所迷审计控制台下发的审计策略,以及收集终端设 备操作及访问行为通过审计获得的安全状况信息;如,可以以硬件服务器如审 计服务器的形式独立运行,负责用户审计、操作及访问等信息的收集,同时提 供审计控制台112的查询接口。
存储模块124,用于存储所述管理模块121收集的安全事件信息和所述审计 模块123收集的安全状况信息,需要说明的是,存储模块可以由数据產来实现, 除存储安全事件信息和安全状况信息之外,例如,还可以存储安全管理策略和 审计策略。
需要说明的是,所述服务器12还包括级联模块,该模块未在图中标识,级 联模块负责上下级服务器间的通信。
参见图3,是本发明提供的内部网络安全管理系统的总体结构图,所述系统 包括三大部分,分别为安全管理中心、服务器以及客户端代理。
如图所示,所述安全管理中心包括管理控制台l和审计控制台2,管理控制 台1和审计控制台2执行的功能请参见对内部网络安全管理系统的第二实施例 中相应的描述,此处不再赘述。服务器包括管理模块3、接入控制模块4、事件报警模块5,审计模块6、 数据库7以及通信才莫块8。对服务器中各模块功能的描述请参见对内部网络安全 管理系统的第二实施例中相应或相似的描述,此处不再赘述。
客户端代理包括文件监控模块9,用于对文件操作进行监控和审计;网络 监控模块IO,用于对网络访问进行监控和审计;系统检测模块ll,用于对软硬 件资产数据、系统信息进行监控,并生成检测报告,具体包括漏洞检测单元、 端口检测单元、共享检测单元、弱口令检测单元及启动检测单元;USB监控模 块12,用于对U盘操作进行监控和审计;打印监控模块13,用于对打印文件进 行监控并审计;进程监控14以及进程服务检测管理模块15,用于对软件运行、 进程服务进行监控和审计。上述检测信息和通过审计获得的审计数据可通过服 务器上报到安全管理中心。
1 、本系统的通信才;l制如下
为保证在尽量不占用链路带宽的前提下实现安全可靠的数据传输,安全管 理中心(管理控制台和审计控制台)不直接与客户端通信代理,所有的管理控 制过程均由服务器协调完成。控制台与服务器之间的通信以及服务器中各模块 之间的通信基于TCP协议实现,客户端代理与服务器之间的通信基于UDP协议 实现
2、本系统的管理机制如下
系统安全管理策略的下发由管理控制台实 现,审计策略的下发由审计控制 台实现。系统根据对各终端的全面检测结果,制定安全管理策略和审计策略, 并将所述安全管理策略和审计策略按指定对象发送到相应服务器中。
客户端代理根据一定的时间间隔从服务器获取对应策略,并检测安装有该 客户端代理的计算机是否符合策略要求,对于不符合或有违规操作行为的计算 机,将按策略规定的方法对其进行处理(如消息警告、断开网络、锁定计算机), 同时发送违规事件消息到服务器,并通过控制台报警通知管理员。
需要说明的是,在客户端代理接收到安全管理策略后,对计算机终端系统 的检测和管理是由客户端代理配合服务器中的各模块自动完成的,无需人工操 作。
以上实施例主要从物理实现上对内部网络安全管理系统进行描述,为了<更 于理解本发明的技术方案,下面从功能实现上对内部网络安全管理系统进行描述。整个内部网络安全管理系统由安全防护模块、控制管理模块、安全审计才莫 块、集中管理模块、身份认证模块、文件保护模块六大功能模块来确保整个系 统的安全性和可管理性。
1) 安全防护模块,主要突出主动防护的特点,强调系统自身的安全免疫力; 整体思路是通过三级防护来保障终端设备的安全,三级防护如下
一级防护,主要对发现的系统安全漏洞进行自动修复,增强系统自身安全 免疫能力;
二级防护,是在一级防护不到位的情况下,通过服务器对各计算机进行强 制安全检测,及时发现安全漏洞和隐患,对其进行加固处理,提高计算机的安 全防护能力;
三级防护,是针对突发的安全事件,如突发的蠕虫等病毒,采取隔离、屏 蔽端口等技术措施,防止安全事件的扩大。
2) 安全审计模块,是内网安全管理系统的监督中柩,安全审计员通过安全 管理中心制定审计策略,强制各内网计算机系统执行,从而实现对整个内网信 息系统的行为审计,确保各计算机用户无法抵赖违背系统安全策略的行为,同 时为应急处理提供依据。
3) 控制管理、身份认证模块,主要是通过身份认证和安全策略检查的方式、 对未通过身份认证或不符合安全管理策略(计算机防护策略、安全监控策略) 的用户计算机进行网络隔离,并帮助其进行安全修复,以达到防范不安全的计 算机给安全网络带来威胁的目的。具体处理过程将在以下内部网络安全管理方 法实施例中涉及,此处暂不详述。
4) 集中管理模块,为网管人员对内部网络的安全管理以及日常维护工作提 供高效的操作平台,并为内网计算机用户和网管人员提供方便的沟通渠道。
5) 文件保护模块,对内部网络的重要数据进行全面的安全管理,通过计算 机底层操作系统实现对计算机本身及外围存储设备的数据进行严格的加解密控 制。如采用透明加解密技术,在不改变用户原有工作习惯和工作流程的情况下, 对指定的应用程序和指定后缀的文件进行自动加解密处理,不需要人工输入加 解密密码。通过灵活的加密策略的配置,可达到对文件安全性和管理人性化的 双重要求。
以上各功能模块执行的功能,可通过内部网络安全管理系统物理实现中的安全管理中心、服务器以及客户端代理进行协作完成。
需要说明的是,本发明以上实施例所涉及到的内部网络安全管理的相关设 备,除包括实施例中所涉及的模块之外,还包括本领域技术人员所公知的其他 模块,为了突出本发明的发明思想,因此,在本发明的实施例中只对涉及本发 明的发明思想的模块进行描述,对相关设备中所公知的其他模块不加赘述。
参见图4,是本发明提供的内部网络安全管理方法的实施例的流程示意图; 如图所示,所述方法包括
S401 、客户端代理对请求入网的终端设备进行身份认证;
5402、 若身份认证合法,则客户端代理根据安全防护策略,对终端设备进 行安全检测和修复;此步骤具体为客户端代理检测终端设备是否符合所述安 全防护策略的要求;若检测结果为不符合安全防护策略的要求,根据安全防护 策略对所述终端设备进行安全修复。此处,当身份认证违法或安全检测和修复 的结果违背安全防护策略要求,客户端代理产生相应的安全事件信息并通过月良 务器向安全管理中心发送报警信息。
5403、 若安全检测和修复的结果符合安全防护策略要求时,则准予终端设 备接入网络;此步骤具体为若检测结果为符合安全管理策略的要求,或所述 终端设备经安全修复后符合安全防护策略的要求,则准予入网。
5404、 在终端设备接入网络之后,客户端代理#4居安全监控策略,控制所 述终端设备执行与所述安全监控策略相应等级的操作或访问。若对终端设备的 操作及访问行为进行监控的结果违背安全监控策略时,客户端代理产生相应的 安全事件信息并通过服务器向安全管理中心发送报警信息。此步骤中,如,客 户端代理对终端设备的操作及访问行为进行监控,包括USB监控、打印监控、 进程监控、文件监控以及网络监控中的一种或任意多种。
例如,在步骤S404执行的过程中,所述方法还包括所述客户端代理根据 审计策略,对所述终端设备的操作及访问行为进行审计,获得安全状况信息即 审计数据,并将安全状况信息通过服务器发送到安全管理中心。
在步骤S404中,终端设备接入网络之后的步骤还包括客户端代理可以定 期获取安全防护策略,对终端设备进行安全检测和修复,若发现安全漏洞或隐 患等不符合安全防护策略的问题时,则立即进行修复及加固处理,以提高计算 机的安全防护能力;若发现突发的安全事件,如突发的蠕虫等病毒,则进行隔离、屏蔽端口等技术措施,防止安全事件的扩大。
在步骤S404中,终端设备接入网络之后的步骤还包括客户端代理才艮据加 解密策略,对指定的终端设备及外围存储设备的应用程序和指定后缀的文件进 行自动加解密处理。如,所述加解密策略是由安全管理中心的管理控制台制定、 并通过服务器下发到客户端代理。
本发明的技术方案与传统的内网安全管理技术相比,该方案在保护网内计 算机不受攻击的同时对其进行安全控制,以内部网络计算机的防范和防护为出 发点,来管理和保护内部网络信息系统。 一方面,对终端设备的操作及访问进 行监控,严格控制了几乎所有的有害程序,并对终端设备及外围存储设备的应 用程序和指定后缀的文件进行加解密,使病毒无法发挥作用,实现了确保信息 系统完整性的主动防御机制。另一方面,通过安全管理策略,控制终端设备4丸 行与所述安全管理策略相应等级的搡作或访问,有效的防止了合法用户的网络 资源滥用、信息窃取、通过内部计算机发起主动攻击等恶意行为。
以下对网络设备如计算机的各管理流程进行简单阐述。
参见图5,是本发明提供的内部网络的终端设备的启动流程示意图;如图所 示,所述方法包括
5501、 计算机在启动时,对其所装载的可执行代码进行可信性的验证,确 保其在可执行代码预期值列表中;
5502、 根据用户输入的登录信息,验证登录用户是否是该计算机上的授权 用户;
S503a、若为授权用户,则登录计算机; S503b、若非授权用户,拒绝登录;
S504、下载与该计算机相关的系统安全管理策略,并对用户工作空间进行 初始化;
S505 、启动应用访问信息系统中的客体资源。
实施本实施例,对可执行代码进行可信性验证、以及对用户身份进行^i正, 确保计算机启动时的安全性。
参见图6,是本发明提供的内部网络的终端设备的访问控制流程示意5601、 计算机启动之后,发出访问本地网络资源的请求;
5602、 访问控制模块截获所述请求;S603、依据访问控制策略,检查该请求是否符合访问控制策略; S604a、若检测符合访问控制策略,则该请求允许执行; S604b、否则,依照级别调整检查策略,判断发出该请求的计算机是否有权 限访问所请求的资源;
S605a、若有权限访问该资源,则该请求允许执行。 S605b、否则,该"清求^皮拒绝执行。
实施本实施例,对访问请求进行策略符合性检查,通过安全检查后,再进 行访问权限的检验,有效的防止了合法用户的网络资源滥用、信息窃取、通过 内部计算机发起主动攻击等恶意行为。
参见图7,是本发明提供的内部网络的终端设备接入控制流程示意图。
S701 、计算4几发出访问外部网络资源的请求;
5702、 接入控制^t块截获所述请求;
5703、 接入控制模块获取存储有外部网络资源的计算机的身份信息,并检 验其身份是否合法;
S704a、若检验身份违法,则拒绝本计算机对外部资源的访问; S704b、若检验身份合法,则根据强制访问控制策略,判断本计算才几是否有 权限访问对方计算机的网络资源;
S705a、若判断结果为是,则访问请求允许执行; S705b、否则,访问请求拒绝执行。
实施本实施例,对外网计算机的身份进行认证,确保内网计算的安全,在 通过身份认证后,再进行访问权限的检验,有效的防止了合法用户的网络资源 滥用、信息窃取、通过内部计算机发起主动攻击等恶意行为。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之 权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
权利要求
1、一种内部网络安全管理系统,其特征在于,所述系统包括安全管理中心、服务器以及客户端代理,所述安全管理中心通过服务器与客户端代理进行通信,其中所述安全管理中心,用于设置系统安全管理策略和审计策略,并通过所述服务器向所述客户端代理下发所述安全管理策略和审计策略;所述服务器,用于接收来自所述安全管理中心的安全管理策略和审计策略,以及对终端设备进行监控管理和审计管理;客户端代理,用于对用户进行身份认证;以及获取来自所述服务器的安全管理策略和审计策略;根据所述安全管理策略,对内设有所述客户端代理的终端设备进行安全检测或/和修复,并控制所述终端设备执行与所述安全管理策略相应等级的操作或访问;根据所述审计策略,对所述终端设备的操作及访问行为进行审计;以及将通过安全检测获得的安全事件信息和通过审计获得的安全状况信息通过所述服务器发送到所述安全管理中心。
2、 根据权利要求1所迷的系统,其特征在于,所述安全管理中心包括 管理控制台,用于设置系统安全管理策略,以及接收客户端代理通过服务器上报的安全事件信息,根据所迷安全事件信息、从所述系统安全管理策略中 获取与所述安全事件信息相对应的安全管理策略,并通过所述服务器向所述客 户端代理下发所述相对应的安全管理策略;审计控制台,用于设置系统审计策略,通过所述服务器向所述客户端代理 下发所述审计策略,以及获取客户端代理通过服务器上报的安全状况信息,以 便用户通过所述审计控制台对所述安全状况信息进行查询。
3、 根据权利要求2所述的系统,其特征在于,所述服务器包括 管理模块,用于接收所述管理控制台下发的安全管理策略,以及对终端设备进行监控管理,以及收集终端设备经过安全检测获得的安全事件信息;接入控制模块,用于对用户进行身份认证,以及根据安全管理策略,对终 端设备接入网络进行监控;审计模块,用于接收所述审计控制台下发的审计策略,以及收集终端设备操作及访问行为经过审计获得的安全状况信息;存储模块,用于存储所述管理模块收集的安全事件信息和所述审计模块收 集的安全状况信息。
4、 根据权利要求l-3任意一项所述的系统,其特征在于,所述客户端代理, 还用于通过服务器获取来自所迷安全管理中心的加解密策略,对指定的终端设 备及外围存储设备的应用程序和指定后缀的文件进行自动加解密处理。
5、 一种客户端代理,其特征在于,所述客户端代理用于对用户进行身份认 证;以及获取来自所述服务器的安全管理策略和审计策略;根据所述安全管理 策略,对内设有所述客户端代理的终端设备进行安全检测或/和修复,并控制所 述终端设备执行与所述安全管理策略相应等级的才喿作或访问;根据所述审计策 略,对所述终端设备的操作及访问行为进行审计;以及将通过安全检测获得的 安全事件信息和通过审计获得的安全状况信息通过所述服务器发送到所述安全管理中心;通过服务器获取来自所述安全管理中心的加解密策略,对指定的终 端设备及外围存储设备的应用程序和指定后缀的文件进4亍自动加解密处理。
6、 一种内部网络安全管理的方法,其特征在于,所述方法包括 客户端代理对请求入网的终端设备进行身份认证;若身份认证合法,则客户端代理根据安全防护策略,对终端设备进行安全 检测和修复;若安全检测和修复的结果符合安全防护策略要求,则准予终端设备接入网络;在终端设备接入网络之后,客户端代理根据安全监控策略,控制所述终端 设备执行与所述安全监控策略相应等级的操作或访问。
7、 根据权利要求6所述的方法,其特征在于,在控制所述终端设备执行与 所述安全监控策略相应等级的操作或访问的过程中,所述方法还包括所述客户端代理根据审计策略,对所述终端设备的搡作及访问行为进行审计,获得安全状况信息,并将安全状况信息通过服务器发送到安全管理中心。
8、 根据权利要求6或7所述的方法,其特征在于,所述方法还包括 当身份认证违法、安全检测和修复的结果违背安全防护策略要求,或对终端设备的操作及访问行为进行监控的结果违背安全监控策略时,客户端代理产 生相应的安全事件信息并通过服务器向安全管理中心发送报警信息。
9、 根据权利要求6或7所述的方法,其特征在于,所述在终端设备接入网 络之后的步骤还包括客户端代理可以定期获取安全防护策略,对终端设备进行安全4企测和修复。
10、 根据权利要求6或7所述的方法,其特征在于,所述在终端设备接入 网络之后的步骤还包括客户端代理根据加解密策略,对指定的终端设备及外围存储设备的应用程 序和指定后缀的文件进行自动加解密处理。
全文摘要
本发明提供了内部网络安全管理相关设备及方法、通过制定并维护安全管理策略和审计策略,确保接入内部网络的所有终端设备都服从于上述策略,对于不符合策略的设备,系统对其进行相应的处理,如通过网络隔离锁定设备,并发送警告消息,确保其不会对整个网络造成安全和管理上的不良影响。实施本发明,一方面实现了系统的主动防御机制,另一方面,有效的防止了合法用户的网络资源滥用、信息窃取、通过内部计算机发起主动攻击等恶意行为。
文档编号H04L12/26GK101588360SQ20091004084
公开日2009年11月25日 申请日期2009年7月3日 优先权日2009年7月3日
发明者亮 徐 申请人:深圳市安络大成科技有限公司