专利名称:一种网络信息安全保障系统的制作方法
技术领域:
本实用新型涉及信息安全保障领域,特别涉及一种面向企业信息安全保护的安全保障系统。
背景技术:
目前,随着计算机网络技术的不断发展,Internet和Intranet技术的不断趋于完善化,企业也在逐步地将大量的秘密信息和敏感信息存储到计算机和网络中。这些新技术的应用虽然给企业带来了方便、快捷和高效,但同时也带来了不可忽视的安全隐患。企业长期以来为应对各类风险,部署了很多的安全系统,例如防火墙、入侵检测、漏洞扫描、防病毒、身份认证等技术措施,但正如前所述,企业网络在不断扩展,新的应用系统不断上线,新的威胁也随之不断在出现,使得原来很多的安全系统随着外界因素的变化而不再能够发挥其应有的作用,使用效果并不理想。根据国际安全界的统计,每年全球计算机网络遭受的攻击和破坏,80%是内部人员所为。来自内部的数据失窃和破坏所造成的危害远远高于外部黑客的攻击,传统的基于外部网络安全理论的产品,例如防火墙、IDS和漏洞扫描等,仅仅只解决了信息安全的一个方面,对于内部用户攻击和威胁事件则无能为力,因此如何在解决外部网络安全的基础上, 去减少或杜绝内部用户攻击和威胁时间的发生,已经成为目前信息安全领域亟待解决的问题。
实用新型内容本实用新型的主要目的在于提供一种专门用于企业网络信息安全保障,可降低企业运营风险,在保证外部网络安全的同时亦可保证企业内部信息安全的网络信息安全保障系统。为了达到上述目的,本实用新型采用了下述技术方案所述网络信息安全保障系统包括提供交换机、用户数据服务器、单点登录服务器、 日志分析服务器以及数据库操作服务器,其中,所述交换机分别连接于用户数据服务器、单点登录服务器、日志分析服务器和数据库操作服务器,且通过IP通信网与用户端设备相连。进一步地,本实用新型还包括分别与交换机相连的监控工作站以及存储设备。进一步地,本实用新型还包括堡垒主机,该堡垒主机通过交换机与用户端设备连接。进一步地,本实用新型还设置有设备安全管理服务器,该设备安全管理服务器分别与监控工作站和交换机相连,且透过IP通信网与用户端设备连接。本实用新型所述网络信息安全保障系统的优点在于,通过采用用户单点登录认证的模式,既极大地方便了网络用户的操作,又确保了用户口令的安全性,且通过对网络中所用设备日志以及用户数据库操作的监控分析,进一步保证了企业网络的安全性,并且通过监控工作站的设置以及存储设备的运用,再进一步改善了现有企业的网络安全工作流程, 既实现了前期风险的预防和监测,又可实现事后对数据的分析,大大降低了企业运营的风险性,极具实用价值。
图1为本实用新型所述网络信息安全保障系统的结构框图。本实用新型目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本实用新型,并不用于限定本实用新型。参照图1所示,所述网络信息安全保障系统包括提供交换机1、用户数据服务器2、 单点登录服务器3、日志分析服务器4以及数据库操作服务器5,其中,所述交换机1分别连接于用户数据服务器2、单点登录服务器3、日志分析服务器4和数据库操作服务器5。此外,所述交换机1通过IP通信网6与用户端设备7相连。其中,所述用户数据服务器2中存储有用户数据,具体应用时,其可作为统一的用户认证、口令集中管理和认证授权的信息中心。进一步地,为了网络安全管理人员更为方便的实时地监控到用户操作、设备运行状态以及网络信息安全等信息,本实用新型还设置有分别与交换机1相连的监控工作站8 以及存储设备9,所述监控工作站8用以提供网络安全管理人员直观且实时观察到上述用户操作、设备运行状态以及网络信息安全等信息,而所述存储设备9则用以存储用户操作、 设备运行状态以及网络信息安全等信息,以便于日后人工方式调取资料进行分析。具体实施时,所述监控工作站8可由电脑主机和显示器构成。所述单点登录服务器3用以在用户通过用户端设备7访问企业网络时提供统的一身份认证、口令管理和认证授权,即,在访问时为用户自动分配一统一的口令,避免了用户在登录几个应用时需要分别使用不同的口令进行认证、授权和登录,其极具方便性,且由于是提供统一口令,则亦方便了对用户口令的管理。所述日志分析服务器4用以对企业网络中的设备日志进行接收和分析以及将接收的设备日志以及分析结果存储至存储设备9中。所述数据库操作服务器5用以对用户的数据库操作进行并发跟踪和分析以及将分析结果和跟踪获取的数据库操作信息存储至存储设备9中,以便于网络安全管理人员分析网络的安全漏洞,进一步根据安全策略去授权、控制或阻断用户通信。此外,为了进一步保证网络的安全性,防止用户的非安全性操作,在本实用新型网络信息安全保障系统中还设置有堡垒主机10,该堡垒主机10通过交换机1与用户端设备7 连接,具体应用时,其用以对网络内所有用户权限、用户操作进行集中管理、授权和控制。 另外,具体应用时,所述堡垒主机10还提供实时操作监控和过程回放功能,即,实际操作时,网络安全管理人员通过该堡垒主机10可以实时地选取一个或多个在线的会话过程,监控其操作命令及操作结果,在监控工作站8的显示控制界面中出现与实际操作完全相同的显示界面,当发现非法的操作时,网络安全管理人员可以发出控制命令来阻断当前的会话;而过程回放则是指系统可以通过该堡垒主机10调用一个或多个通信的原始数据,在监控工作站8显示控制界面中重新显示当时的操作过程和服务器响应情况。该项功能尤为适用于对安全问题出现的原因进行事后分析和定位。再进一步地,为了更好地解决大批量的设备安全管理问题,本实用新型还设置有设备安全管理服务器11,该设备安全管理服务器11分别与监控工作站8和交换机1相连, 且透过IP通信网6与用户端设备7连接,具体应用时,其主要用以对网络内部所有计用户端设备7接入网络进行准入控制,对网络内所有设备实现资产管理、防病毒管理、补丁管理等措施,而实现终端的安全接入,进而保证系统的安全性,当然,网络安全管理人员亦可通过监控工作站8的显示控制界面中查看到设备的安全管理 状态。以上所述仅为本实用新型的优选实施例,并非因此限制本实用新型的专利范围, 凡是利用本实用新型说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本实用新型的专利保护范围内。
权利要求1.一种网络信息安全保障系统,其特征在于,包括提供交换机、用户数据服务器、单点登录服务器、日志分析服务器以及数据库操作服务器,其中,所述交换机分别连接于用户数据服务器、单点登录服务器、日志分析服务器和数据库操作服务器,且通过IP通信网与用户端设备相连。
2.根据权利要求1所述一种网络信息安全保障系统,其特征在于,还包括分别与交换机相连的监控工作站以及存储设备。
3.根据权利要求1所述一种网络信息安全保障系统,其特征在于,还包括堡垒主机,该堡垒主机通过交换机与用户端设备连接。
4.根据权利要求1或2所述一种网络信息安全保障系统,其特征在于,还设置有设备安全管理服务器,该设备安全管理服务器分别与监控工作站和交换机相连,且透过IP通信网与用户端设备连接。
专利摘要本实用新型公开了一种网络信息安全保障系统,包括交换机、用户数据服务器、单点登录服务器、日志分析服务器、数据库操作服务器、监控工作站、存储设备、堡垒主机及设备安全管理服务器。其中,交换机分别连接用户数据服务器、单点登录服务器、日志分析服务器、数据库操作服务器、监控工作站、存储设备、堡垒主机和设备安全管理服务器,且通过IP通信网与用户端设备相连;堡垒主机亦与用户端设备连接;设备安全管理服务器亦与监控工作站相连,且透过IP通信网与用户端设备连接。本实用新型优点在于在保证企业网络安全的同时,改善了现有企业网络安全工作流程,既实现了前期风险的预防和监测,又实现了事后的数据分析,大大降低了企业运营风险性。
文档编号H04L12/24GK202111721SQ201120245280
公开日2012年1月11日 申请日期2011年7月12日 优先权日2011年7月12日
发明者王晓明 申请人:四川创意信息技术股份有限公司