控端口 21与每台被监控计算机I 一一对应连接。第一端口 22与认证服务器3相连,以将认证服务器3的认证结果转发至认证信息传送单元272,第二端口 23与网络监控服务器4相连以将网络监控服务器4的监控数据发送至认证信息传送单元272,第三端口 24与漏洞扫描服务器5相连以将漏洞扫描服务器的漏洞扫描数据发送至认证信息传送单元272,第四端口 25与管理中心控制平台61相连,第五端口 26与监控与审计服务器62相连。
[0031]以三台被监控计算机为例,参考图2,被监控计算机A、B和C分别连接交换机2的一个相应的受控端口 21,认证服务器3、网络监控服务器4、漏洞扫描服务器5、管理中心控制台61和监控与审计服务器62分别连接所述交换机2的第一至第五端口。
[0032]端口控制模块28与交换芯片27相连,用于接收由认证信息传送单元272传送的认证结果,对连接计算的端口进行控制。
[0033]下面对交换机2的工作原理进行说明。
[0034]交换芯片27可以在来自被监控计算机A?C的数据包中添加受控端口号,以便端口控制模块28根据认证服务器2的认证结果的数据包对交换芯片27的受控端口 21进行控制。认证服务器3通常用数据包中的标志位表示认证结果,这样端口控制模块28就可以根据该标志位对交换芯片27的受控端口 27进行控制,即当标志位为认证成功符号时,打开连接相应被监控计算机的受控端口,允许计算机的数据流传送;而当关于某个被监控计算机认证请求的标志位为认证失败符号时,使相关的受控端口处于断开状态,从而拒绝该被监控计算机入网。
[0035]认证服务器3与交换机2相连,对被监控计算机I通过交换机2发送来的认证请求进行认证或识别,并将认证或识别后得到的认证结果返回给交换机2。
[0036]由于在被监控计算机I内可以设置一个启动计算机工作的USB密钥认证装置13。下面对本实用新型的被监控计算机I向认证服务器3请求认证的情形进行详细说明。
[0037](I)对于不带USB密钥认证装置13的能够通过认证的被监控计算机A和B,被监控计算机A和B通过802.1x协议经由认证信息传送单元主动向交换机2发送认证信息.交换机2通过Radius协议将认证信息转发到认证服务器3,认证服务器3收到认证信息后,查询数据库以对认证信息进行识别。识别成功后通过Radius协议将回应信息送往交换机2,交换机2通过802.1x协议将信息收到的回应信息传给可信终端,认证成功。端口控制模块28根据认证成功的标志位,打开被监控计算机A和B对应的受控端口,即使图2中的受控端口 21的开关闭合,使其可以通过数据交流单元271进行数据交换。然而,对于非法接入的被监控计算机C请求认证的应答结果,端口控制模块28则根据认证失败的标志位维持受控端口的断开状态,拒绝该被监控计算机C连入网络。
[0038](2)对于带有USB密钥认证装置13的能够通过认证的被监控计算机A和B,首先插入USB密钥认证装置13,启动时,能够通过认证的被监控计算机自动读取USB密钥认证装置13的信息,并主动将信息通过802.1x协议送往交换机2。交换机2收到信息后通过Radius协议将认证信息转发到认证服务器3,认证服务器3收到认证信息后,查询数据库以对认证信息进行识别。识别成功后通过Radius协议将回应信息送往交换机2,交换机2通过802.1x协议将收到的回应信息传给可信终端,认证成功,即可开始通信。而对于非法接入的被监控计算机C,则拒绝其连入网络。
[0039]图7为根据本实用新型实施例的主机监控客户端的原理图。
[0040]如前所述,对于安装在被监控计算机I中主机监控客户端12包括:指令管理模块121、外联检查模块122、网卡禁用模块123、日志生成模块124和警报发送模块125。上述模块均与CPUll相连,CPUll进一步与USB密钥认证装置13、存储设备14、网卡15和外围设备16进行通?目。
[0041]对于已通过认证请求的被监控计算机A和B,管理中心控制台61负责其安全策略的规划和权限的分配,通过监控与审计服务器62与被监控计算机A和B通信下发关于计算机权限的指令。主机监控客户端12对所监控的资源,在指令管理模块121接收并执行指令情况下,由日志生成模块124产生与执行情况相应的审计日志、由警报发送模块125产生关于非法外联的警报,并按照日志审计策略将日志传回管理中心6,监控与审计服务器62接收审计日志和警报。如有违反安全策略的可疑行为,由监控与审计服务器62根据报警策略向管理中心控制台61报警,对于外联检查模块122发现计算机非法外联的情形,除了发送警报外,还启用网卡禁用模块123向网卡设备发送控制命令,当网卡设备接收到禁用功能的控制命令后会在系统中将网卡禁用,从而使网卡15被禁止工作。通过这样的方式来对接口、设备的准确有效监控,并在此基础上实现设备监控、文件监控、打印监控等。
[0042]网络监控服务器4与交换机2相连,用于对被监控计算机I进行实时网络监控,并将监控数据和警报数据发送至交换机2,由交换机2进一步发送给管理中心6。
[0043]具体地,如图3所示,网络监控服务器4包括:分组捕捉器41、网络协议解码器42、信息处理分中心43、入侵检测模块44、敏感内容监控模块45和预警模块46。其中,网络协议解码器42的输入端连接至分组捕捉器41的输出端。信息处理中心43的输入端连接至网络协议解码器42的输出端,入侵检测模块44的输入的连接至网络协议解码器42的输出端,并且入侵检测模块44与入侵模式库48双向通信。敏感内容监控模块45的输入端连接至网络协议解码器42的输出端,且敏感内容监控模块45与敏感信息库49双向通信。预警模块46的输入端连接至入侵检测模块44的输出端和敏感内容监控模块45的输出端。
[0044]具体地,分组捕捉器41用于收集数据链路层网络原始信息,并传送到网络协议解码器42。网络协议解码器42用于根据不同的网络协议解码相应的分组数据结构,将已解码的协议分组信息提交入侵检测模块44、敏感内容监控模块45和信息处理分中心43。入侵检测模块44用于根据入侵模式库48中描述的攻击事件特征和相应的响应规则,对已解码的网络协议数据进行分析,从这些网络活动中寻找预先定义的攻击模式,一旦发现其中含有攻击事件的特征标志,向预警模块46响应分析结果。敏感内容监控模块45用于根据敏感信息库49中记录的敏感信息内容和相应的响应规则,对关键字、文件名进行匹配,以及向预警模块46响应匹配结果。预警模块46用于根据入侵检测模块44和敏感内容监控模块45提交的结果信息,例如事件种类,根据预先指定的响应行为来执行相应的操作。信息处理分中心43与管理中心6进行信息交互。
[0045]漏洞扫描服务器5与交换机2相连,用于对被监控计算机I进行定时漏洞扫描检测,并将漏洞扫描数据发送至交换机2。
[0046]具体地,如图4所示,漏洞扫描服务器5包括扫描器51、扫描策略模块52和系统漏洞库53。其中,扫描器51的输入端与扫描策略模块52的输出端相连,扫描器51的输出端与系统漏洞库53的输入端相连。扫描器51用于根据扫描策略模块52中存储的策略定时检测各个被监控计算机I和网络设备存在的漏洞,并将漏洞信息存入系统漏洞库53。
[0047]管理中心6与交换机2相连,用于对被监控计算机I进行监控和管理。其中,管理中心6包括:管理中心控制台61和监控与审计服务器62。具体地,管理中心控制台61用于对通过认证的被监控计算机21进行安全策略规划和权限分配,包括分配已通过认证的被监控计算机21的权限、分析接收到的数据采取相应措施。
[0048]具体地,如图5所示,管理中心控制台61包括:主机防护模块611、策略模式库612、告警模块613和应急响应模块614。其中,主机防护模块611分别与策略模式库612、告警模块613和应急响应模块614相连。
[0049]主机防护模块611用于根据策略模式库612中存储的策略对数据进行过滤,保护主机的安全。策略模式库612用于记录监控策略,还可记录上述入侵模式库48和系统漏洞库53。应急响应模块614用于在系统受到侵害时,执行封堵、隔离或者强制关机等应急措施。告警模块613用于对异常行为进行报警。
[0050]监控与审计服务器62