本发明属于计算机安全技术领域,是一种终端安全模块集中管理系统。
背景技术:
当前时代的安全防护产品大多是独立运行、独自管理,但是随着终端安全产品种类繁多,运行方式多样化,对普通终端上的多种安全模块进行管理和监控成了严重的负担,所以需要有一个能够对它们统一管理和监控的运行环境,并完成相同的安全防护功能,
技术实现要素:
本发明的目的在于提供一种终端安全模块集中管理系统,用于解决当前时代的安全防护产品大多是独立运行、独自管理的问题。
本发明一种终端安全集中管理系统,其中,包括:消息总线、数据库、底层接口模块、安全模块以及界面模块;该消息总线用于与管理终端的通信交互,将数据路由到管理终端,同时接收管理终端的数据反馈,将返回的数据交给底层接口模块;该底层接口模块是介于消息总线和安全模块之间的过渡模块,将收到管理终端的数据反馈给安全模块中的各子模块,接收该安全模块的指令,并传递数据给该消息总线;该安全模块集成有多种安全验证功能,用于对所在终端进行安全防护;该界面模块,用于提供人机交互界面。
根据本发明的终端安全集中管理系统的一实施例,其中,该消息总线还能够与外部管理终端进行双向认证。
根据本发明的终端安全集中管理系统的一实施例,其中,该底层接口模块包括策略接口、控制接口、日志接口以及状态接口;该控制接口用于接收管理终端的控制命令,将命令传递给安全模块;该日志接口用于接收管理终端的调用指令,并将安全模块的日志发送给管理终端;该状态接口用于接收管理终端的指令,向管理终端反馈当前安全模块的实时状态。
根据本发明的终端安全集中管理系统的一实施例,其中,该安全模块包括:违规外联控制模块、外设端口控制模块、网络控制模块、杀毒模块、安全登录模块;该违规外联控制模块用于判断终端是否违规连接在网络上;外设端口控制模块用于判断终端是否违规接入外部设备;该网络控制模块,用于将终端发送和接收的数据包进行流向控制;该杀毒模块用于清除终端病毒;该安全登录模块用于对终端登陆信息进行验证。
根据本发明的终端安全集中管理系统的一实施例,其中,该网络控制模块,以五元组形式将终端发送和接收的数据包进行流向控制。
根据本发明的终端安全集中管理系统的一实施例,其中,该消息总线还能够与外部管理终端进行双向认证包括:该消息总线将身份信息发送给管理终端,管理终端依据获取的身份信息,判断信息的合法性,如果合法,管理终端会向该消息总线发送一个含有身份确认标识、用户加密的密钥以及下一次需要返回的随机序列号;该消息总线收到数据后,将要发送的数据、本次是否结束标识以及随机序列号用服务器发送的密钥进行加密后,发送给管理终端,管理终端收到后返回收到结果标识以及下一次发送的随机序列号;该消息总线收到后继续发送数据,依次循环,直至数据发送完毕。
根据本发明的终端安全集中管理系统的一实施例,其中,管理终端维护一个超时机制,超时时间内未收到该消息总线的数据,该消息总线需要重新开始认证流程。
根据本发明的终端安全集中管理系统的一实施例,其中,该界面模块包括:子模块运行状模块、子模块资源占用模块、安全功能扫描模块、子模块维护模块、日志审计模块、策略控制模块以及安全打分模块;该子模块运行状模块用于显示安全模块状态;该子模块资源占用模块用于获取安全模块的动态占用信息;该安全功能扫描模块用于查询安全模块中子模块的数量;该子模块维护模块用于进行安全模块的控制操作;该日志审计模块用于显示终端上的操作日志;该策略控制模块用于显示当前正在运行中的安全模块使用的策略内容;该安全打分模块用于基于该安全模块情况,进行综合评级。
本发明终端安全模块集中管理系统将各类安全模块统一运行在安全系统之中,集成各类安全模块,实现模块统一管理,统一上报日志、统一策略下发;打破信息孤岛,融合多种安全模块的数据,提供基于各类数据进行综合关联分析;提高模块使用效率,对于终端安全模块集中管理系统终端,便于用户操作。
附图说明
图1所示为本发明终端安全集中管理系统模块图;
图2所示为握手过程的流程图;
图3所示为终端安全模块集中管理系统处理管理端发送数据的流程图;
图4所示为安全模块的升级流程图。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
图1所示为本发明终端安全集中管理系统模块图,如图1所示,本发明针对当前内部网络多种安全防护类模块独立运行、独自管理的现状,设计一种集中管理安全模块的新理念的系统。可以分终端安全模块集中管理系统和管理端两部分。
如图1所示,终端安全模块集中管理系统包括:消息总线1,数据库2,底层接口模块3,安全模块4以及界面模块5。
如图1所示,消息总线1用于与管理端的通信交互,将数据路由到管理端,同时接收管理端的数据反馈,将返回的数据交给底层接口模块3,确保数据可靠保密传输。消息总线1在发送数据前需要进行握手,整个握手过程由消息总线1完成,不需要底层接口模块3进行任何处理。
图2所示为握手过程的流程图,如图2所示,握手过程包括:终端安全模块集中管理系统在发送数据之前,将身份信息发送给管理端,管理端依据获取的身份信息,判断信息的合法性,如果合法,管理端会向终端安全模块集中管理系统发送一个含有身份确认标识、用户加密的密钥以及下一次需要返回的随机序列号;
终端安全模块集中管理系统收到数据后,将要发送的数据、本次是否结束标识以及随机序列号用服务器发送的密钥进行加密后,发送给管理端,管理端收到后返回收到结果标识以及下一次发送的随机序列号;
终端安全模块集中管理系统收到后继续发送数据,依次循环,直至数据发送完毕;
需要说明一点的是,管理端可以维护一个超时机制,默认30秒,如果30秒内未收到终端安全模块集中管理系统的数据,终端安全模块集中管理系统需要重新走认证流程。
如图1所示,底层接口模块3包括:策略接口31、控制接口32、日志接口33以及状态接口34。
底层接口模块3是介于消息总线1和安全模块4之间的过渡,将收到管理端的数据反馈给安全模块4中的各子模块,同时接收安全模块4的指令,经底层接口模块3传递给消息总线1,由消息总线1发送数据到管理端。
图3所示为终端安全模块集中管理系统处理管理端发送数据的流程图,如图3所示,底层接口模块3包括策略接口31、控制接口32、日志接口33以及状态接口34。策略接口31用于将管理端制定的策略进行初步解析,交给安全模块4。
如图3所示,控制接口32用于接收管理端的控制命令,将命令传递给安全模块4,实现远程安全模块4的子模块的启用和停用等操作。日志接口33用于接收管理端的调用指令,将安全模块4的日志发送给管理端。状态接口34用于接收管理端的指令,向管理端反馈当前安全模块4的实时状态。需要说明的是,底层接口模块3一般只进行初步解析,具体数据仍由安全模块4等处理逻辑解析。
表1为终端安全模块集中管理系统发送数据包的结构,终端安全模块集中管理系统返回数据给管理端的封包,包括包头和数据两部分。
表1
数据主类型:当前数据的大类型划分,整数表示,策略是1、控制为2、日志为3、状态为4,可以根据实际需要再次扩展;
数据子类型:在某一大类下的具体划分,整数表示,分配思路参照主类型;
系统id:标识终端安全模块集中管理系统id值,由系统注册到管理端时,由管理端生成的唯一id;
发送时间:数据发送的时间;
发送ip:安全系统所在主机端的ip地址;
发送mac地址:安全系统所在主机端的ip地址;
当前用户:系统所在主机当前用户信息。
需要说明的是,底层接口模块3不进行解析,解析工作由安全模块4完成。
如图1所示,安全模块4包括:违规外联控制模块41、外设端口控制模块42、网络控制模块43、杀毒模块44、安全登录模块45。违规外联控制模块41用于判断系统所在主机是否违规连接在网络上。外设端口控制模块42用于判断系统所在主机是否违规接入外部设备。网络控制模块43,用于五元组(源ip、目的ip、源端口、目的端口、协议)形式,将系统所在主机发送和接收的数据包进行流向控制。杀毒模块44用于清除主机病毒。安全登录模块45用于对所在主机登陆信息进行验证。
如图1所示,安全模块4负责实现各类子模块的安装、启动、停止、重新启动、升级、卸载等控制功能以及提供根据子模块运行情况向管理端报送数据等数据交互功能。
图4所示为安全模块的升级流程图,如图4所示,在升级之前,需要与管理端确认是否有升级包,根据管理端返回的结果进行升级包的下载和安装。
除了上述控制功能,安全模块4运行时系统提供子模块运行时交互功能,这些功能包括:报送子模块状态:实时报告各子模块运行状态,包括向管理端和本地图形界面;接收并执行控制策略:接收管理端远程发送策略,并执行相应策略;接收子模块运行控制命令:接收控制命令,执行控制操作;控制命令可能来自于管理端,也可能来自于本地图形界面;接收日志查询条件并返回日志记录:接收查询命令,返回查询结果;查询命令可能来自于管理端,也可能来自于本地图形界面。
如图1所示,界面模块5,用于提供人机交互界面,具体功能是发送调用指令到运行时系统,然后将数据展示在图形界面上。界面模块5包括子模块运行状模块51用于显示安全子模块状态,启用、停用等。子模块资源占用模块52用于获取安全子模块的cpu、内存等动态占用信息。安全功能扫描模块53用于查询当前系统中安装了多少安全子模块。子模块维护模块54用于实现安全子模块的启动、停用、升级、重启等控制操作。日志审计模块55用于显示本机上的操作日志。策略控制模块56用于显示当前正在运行中的安全子模块使用的策略内容。安全打分模块用于基于当前安全子模块情况,进行综合评分。
本发明终端安全模块集中管理系统将各类安全模块统一运行在安全系统之中,由管理端统一提供对各子模块策略控制、日志审计对外运维与展示。终端安全模块集中管理系统支持所有安全防护产品以系统子模块和驱动的形式存在,并有安全系统来对它们进行运行时控制、审计日志收集以及关联分析等功能,并且安全系统也提供终端主机运行状态,是一个对终端集安全、审计和监控的解决方案。集成各类安全模块,实现模块统一管理,统一上报日志、统一策略下发;打破信息孤岛,融合多种安全模块的数据,提供基于各类数据进行综合关联分析;提高模块使用效率,对于终端安全模块集中管理系统主机,便于用户操作。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。