专利名称:一种违规外联监控方法及其系统的制作方法
技术领域:
本发明涉及一种监控方法,尤其是涉及一种违规外联监控方法及其系统。
背景技术:
网络世界中,泄密无处不在。在对网络安全性要求极高的企事业单位,比如保密机 关、军队、银行、公安机关等,通常都采取对内外网进行物理隔离。即使能够上外网,也有防 火墙等层层的安全防范措施。但对于完全物理隔离的内网,如果其中一台设备私自连接互 联网,则内网的信息完全可能因此而泄密;另外互联网上的病毒、恶意代码则会绕过防火墙 乘虚而入,不但会造成内部信息的严重泄密,更可能因此而导致网络瘫痪,数据被毁。因此, 防范和阻止内部人员的违规外联行为,就成为许多机关、企事业单位的当务之急。
发明内容
有鉴于此,本发明的目的是提供一种违规外联监控方法及其系统,专门针对禁止 个人私自上网、对内外网隔离有严格要求的网络而设计,可以全面、实时地监控整个涉密网 中违规连接互联网的计算机,并能够实时报警,实现集中管理、分散监控的功能。为了实现上述目的,本发明采用以下技术方案一种违规外联监控方法,其中,包括如下步骤步骤一,设置报警监控中心,在管理员主机上安装管理端,所述管理端包括局域网 监控管理端、保密监控管理端、报警装置和显示装置,其它主机上安装客户端,其它主机为 涉密单机或局域网内主机;步骤二,客户端首先判断主机是否连接互联网,如果是,则通过防火墙阻断除报警 中心IP外的所有连接,同时向报警监控中心、局域网监控管理端和保密监控管理端发送报 警信息并由记录装置记录日志,同时报警监控中心、局域网监控管理端和保密监控管理端 报警装置显示报警,报警完成后,禁用所有物理连接;步骤三,局域网监控管理端首先监控局域网内主机是否在线,如果是,则判断是否 安装客户端,如果没有安装客户端,由记录装置记录相关日志;若已安装客户端,收到客户 端报警信息后由记录装置记录;步骤四,保密监控管理端进行实时监控,当监听到客户端报警信息后,报警装置显 示报警并由记录装置记录报警信息内容;步骤五,设置短信发送装置,报警监控中心收到报警信息后,通过短信发送装置发 送到管理员手机上,同时将报警信息发送到保密监控管理端和局域网监控管理端,报警装 置显示报警。进一步,还包括步骤六,管理端和报警监控中心收到报警信息后,显示装置在GIS 地图上显示违规外联主机所在的单位和位置。进一步,所述客户端安装后,根据主机硬盘的硬件信息,自动生成唯一主机ID号。一种违规外联监控系统,包括报警监控中心,其中,还包括有管理端和客户端,所述管理端包括局域网监控管理端、保密监控管理端以及报警装置和显示装置,客户端安装 在涉密单机或局域网内主机上,管理端安装在局域网管理员主机或与局域网相连的主机 上,报警监控中心分别与管理端及局域网或涉密单机相连。本发明的有益效果为本发明打破了传统的阻断、发现技术,改变了传统阻断模式阻断但报 警不及时,并 且只能依托网络报警的局限性,本发明采用在互联网上建设报警监控中心的方法,报警监 控中心24小时不间断的接警,只要计算机连接了互联网,不论是单机还是网络,不论计算 机在哪个位置,都能够实时的发现。对计算机没有单机、网络、地域的限制,只要连接了互联 网都能够实时报警。本发明公开了双重阻断的技术,由于设置了报警监控中心、管理端和客户端,在计 算机连接互联网的瞬间,本系统将切断计算机的网络连接,只保留与报警监控中心的网络 连接,等报警完成后进行全部的硬件禁用。这样即可以保证系统的报警,又能够保证系统的 立即阻断,改善了以前因报警延时阻断和阻断过快报警信息丢失的现象,使系统既能实时 阻断、又无漏报。本发明采用的第一重技术是采用系统自带的防火墙完成,通过对防火墙进 行技术参数的配置和改进来完成实时阻断,保证数据的安全;第二重技术采用禁用物理设 备的方法完成,使网络彻底的阻断。本发明的系统成功与地理信息对接,首次在计算机外联 监控领域实现了地图监控报警的功能,一目了然的在地图上显示外联计算机的地理位置。本发明的报警监控中心具有很强的逻辑分析能力、抗攻击能力和甄别因特网杂散 包能力,不会发生虚假报警的情况,反映灵敏、报警迅速,对客户端违规外联的行为能做到 及时发现、迅速报警,只要客户端主机接入互联网,报警监控中心就会立即报警;客户端采 用多种防停止、防卸载技术,保证了客户端的安全正常运行,防止用户擅自停止或删除客户 端;本发明所有模块间通讯全部采用了一定程度的加密处理,保证所有报警信息不涉密、不 带密;系统资源占用非常小,系统对主机的CPU和内存资源占用非常小,不会影响主机的工 作,系统的网络流量也非常小,对网络资源的占用很少,对网络的影响非常小。本发明的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述,并 且在某种程度上,基于对下文的考察研究对本领域技术人员而言将是显而易见的,或者可 以从本发明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书或者附图 中所特别指出的结构来实现和获得。
图1为本发明系统的整体结构示意图;图2为本发明客户端的流程图;图3为本发明局域网监控管理端的流程图;图4为本发明保密监控管理端的流程图。在图2、图3及图4中,
□ O CZT “^图a图b图c图d
长方形表示数据的处理过程。(如图a)
菱形表示事务的判断。(如图b)两条平行线表示数据存储。(如图C)箭头表示数据流,即特定数据的流动方向。(如图d)
具体实施例方式如图1所示,本发明的系统包括报警监控中心,管理端和客户端,管理端包括局域 网监控管理端和保密监控管理端以及报警装置、显示装置;客户端主机为涉密单机或局域 网内主机,管理端主机为局域网管理员主机或与局域网相连的主机;报警监控中心分别与 管理端及局域网或涉密单机相连。服务端包括报警监控中心和管理端,由服务端对客户端主机的违观外联行为进行 报警监控、处理,并提供管理查询报警信息和管理涉密主机信息。当涉密计算机通过拨号、 无线、双网卡等任何一种方式连接到互联网上,客户端就会立即向报警监控中心发送一个 特定的数据信号,报警监控中心只要收到指定的数据信号,则肯定存在违规上网,系统即会 报警。采用这种原理进行监控的特点是不论是用哪一种方式上网,都能被立即监控,同时 不论在什么地方(如笔记本等)上网也能立即被监控到,没有上网方式和地域的限制。本 系统即可实时监控并阻断局域网中的主机外联行为,也能实时监控并阻断单独一台主机的 外联行为。如图2、图3和图4所示,本发明的方法包括如下步骤步骤一,设置报警监控中心,在管理员主机上安装管理端,所述管理端包括局域网 监控管理端、保密监控管理端、报警装置和显示装置,其它主机上安装客户端,其它主机为 涉密单机或局域网内主机;安装客户端后,根据主机硬盘的硬件信息,利用哈希算法,自动 生成唯一主机ID号。步骤二,客户端首先判断主机是否连接互联网,如果是,则通过防火墙阻断除报警 中心IP外的所有连接,同时向报警监控中心、局域网监控管理端和保密监控管理端发送报 警信息并由记录装置记录日志,同时报警监控中心、局域网监控管理端和保密监控管理端 报警装置显示报警,报警完成后,禁用所有物理连接;步骤三,局域网监控管理端首先监控局域网内主机是否在线,如果是,则判断是否 安装客户端,如果没有安装客户端,由记录装置记录相关日志;若已安装客户端,收到客户 端报警信息后由记录装置记录;步骤四,保密监控管理端进行实时监控,当监听到客户端报警信息后,报警装置显 示报警并由记录装置记录报警信息内容;步骤五,设置短信发送装置,报警监控中心收到报警信息后,通过短信发送装置发 送到管理员手机上,同时将报警信息发送到保密监控管理端和局域网监控管理端,报警装 置显示报警。步骤六,管理端和报警监控中心收到报警信息后,显示装置在GIS地图上显示违 规外联主机所在的单位和位置。安装完客户端后,收集主机的硬件信息,主要包括硬盘ID、CPU信息、主板信息、 内存、显卡等信息。建立计算机台账信息数据库,对所辖范围内涉密信息系统计算机终端实现户籍式生命周期管理;并且可根据主机硬盘物理序列号、主板序列号等硬件信息,利用哈 希算法,自动生成类似身份证号的唯一主机ID号,便于审计取证及跟踪管理。当客户端自 动违规外联互联网时,客户端向报警中心发送的报警信息只有主机ID。报警监控中心及管理端的系统的运行环境要求操作系统WindowsNT/2000/XP/2003;CPU 最低 PIII500/ 赛扬 800,建议 PIII800 以上; 内存最低256M ;硬盘最低20G。客户端的运行环境要求操作系统WindowsNT/2000/XP/2003;CPU 最低 PII1500/ 赛扬 800 ;内存最低128M ;硬盘最低10G。本发明的方法可设置多级报警监控中心,一旦有违违外联行为时,系统可以向报 警监控中心及管理端报警,报警监控中心及管理端在收到报警信息后,可以在GIS地图上 显示出违规外联主机所在的单位和位置。本方法支持多种报警方式,可同时报警,系统支持 声音、邮件、短信等多种报警方式同时报警,无需专人值守。在客户端采用多种防停止、防卸 载技术,保证了客户端的安全正常运行,防止用户擅自停止或删除客户端。
权利要求
一种违规外联监控方法,其特征在于包括如下步骤步骤一,设置报警监控中心,在管理员主机上安装管理端,所述管理端包括局域网监控管理端、保密监控管理端、报警装置和显示装置,其它主机上安装客户端,其它主机为涉密单机或局域网内主机;步骤二,客户端首先判断主机是否连接互联网,如果是,则通过防火墙阻断除报警中心IP外的所有连接,同时向报警监控中心、局域网监控管理端和保密监控管理端发送报警信息并由记录装置记录日志,同时报警监控中心、局域网监控管理端和保密监控管理端报警装置显示报警,报警完成后,禁用所有物理连接;步骤三,局域网监控管理端首先监控局域网内主机是否在线,如果是,则判断是否安装客户端,如果没有安装客户端,由记录装置记录相关日志;若已安装客户端,收到客户端报警信息后由记录装置记录;步骤四,保密监控管理端进行实时监控,当监听到客户端报警信息后,报警装置显示报警并由记录装置记录报警信息内容;步骤五,设置短信发送装置,报警监控中心收到报警信息后,通过短信发送装置发送到管理员手机上,同时将报警信息发送到保密监控管理端和局域网监控管理端,报警装置显示报警。
2.根据权利要求1所述的违规外联监控方法,其特征在于还包括步骤六,管理端和 报警监控中心收到报警信息后,显示装置在GIS地图上显示违规外联主机所在的单位和位置。
3.根据权利要求1或2所述的违规外联监控方法,其特征在于所述客户端安装后,根 据主机硬盘的硬件信息,自动生成唯一主机ID号。
4.一种违规外联监控系统,包括报警监控中心,其特征在于还包括有管理端和客户 端,所述管理端包括局域网监控管理端、保密监控管理端以及报警装置和显示装置,客户端 安装在涉密单机或局域网内主机上,管理端安装在局域网管理员主机或与局域网相连的主 机上,报警监控中心分别与管理端及局域网或涉密单机相连。
全文摘要
本发明公开了一种违规外联监控方法及其系统,系统包括报警监控中心,还包括有管理端和客户端,所述管理端包括局域网监控管理端、保密监控管理端以及报警装置和显示装置,客户端安装在涉密单机或局域网内主机上,管理端安装在局域网管理员主机或与局域网相连的主机上,报警监控中心分别与管理端及局域网或涉密单机相连。本发明可以全面、实时地监控整个涉密网中违规连接互联网的计算机,并能够实时报警,实现集中管理、分散监控的功能。
文档编号H04B17/00GK101848117SQ20101016022
公开日2010年9月29日 申请日期2010年4月30日 优先权日2010年4月30日
发明者谷晶中 申请人:河南山谷创新网络科技有限公司