资安护照产生及发行系统及方法

专利名称：：资安护照产生及发行系统及方法
技术领域：
：本发明涉及一种信息安全管控的技术，尤指一种网络客户端计算机运行软件的信息安全管控的技术。
背景技术：
：随着互联网的发展，人们与外界联系变得越来越容易与方便。同时，网络信息安全问题日益凸显出来。现今已出现针对网络信息安全提出很多解决方案。如台湾智慧财产局于2002年8月11日公告的公告编号为498220，名称为“信息安全分析系统”的专利，是一种数据通信网络的动态监视方法。该专利通过互联网，收集在通信网络的实体及虚拟特征上的信息，产生被收集的信息知识库，剖析该知识库中的信息生成可读格式的资料，分析该资料用以产生关连性，用以将数据通信特征化，最后将经过分析的资料可视化以提供给测定该数据通信网络的参与者使用。其中该专利所产生的知识库，包括节点网络图的建构、测定内部及外部入侵的尝试等。上述专利，能够监视网络上传输的信息，经过分析后形成可视化的资料供参考。再如台湾智慧财产局于2002年12月21日公告的公告编号为515182，名称为“使用网际网络协议安全策略以建立网络安全”的专利，其包括通过网络相连接的皆包括有一种互联网金钥交换成份及一种互联网协议安全成份的两个装置，其中一个装置包括一策略规则数据库及一策略代理人，策略代理人获得来自另一装置的信息，基于此获得信息评估一种储存于数据库的策略规则及提出一种互联网协议安全配置。上述专利，提出一种建立信息安全的装置及方法，其适用于网络上传输的信息，但并未解决连接于网络的客户端计算机运行的各种软件的信息安全。针对先前技术的不足，本发明提出一种资安护照的概念，解决网络上客户端计算机运行软件的信息安全问题。
发明内容首先对本发明涉及的相关术语说明如下策略主要指安全策略，一条策略包括策略名称、功能描述、实施该策略的软件及该策略所定义的动作。资安护照信息安全护照，是客户端计算机运行的安全凭证，安全护照有两个决定因素，即安全策略与策略的执行者(计算机)。发布安全护照指将已产生的资安护照发布到站点管理器，再由站点管理器将资安护照部署到客户端计算机，客户端计算机套用资安护照，执行制定的安全策略。本发明主要目的在于提供一种资安护照的产生及发行系统及方法，其可以制定安全策略，并产生及发行资安护照。本发明揭露一种资安护照的产生及发行系统。该系统包括一中央服务器，一数据库，一策略库，一软件库，多个客户端计算机及多个站点管理器。其中，中央服务器用于定义各种策略、产生及发行资安护照，其通过数据库连接与一数据库、一策略库及一软件库相连。其中数据库用于存储各站点所属的客户端计算机资料，包括客户端计算机名称、IP地址等；策略库用于存储各种策略，如安全策略，包括策略名称、版本号及功能描述；软件库用于存储各种软件资料，包括软件名称、版本号及软件可执行程序；每个站点管理器通过网络管理所属的多个客户端计算机，其可将资安护照部署到各客户端计算机；该客户端计算机可以运行各类软件及浏览各网站，套用资安护照，执行制定的策略等。所述中央服务器包括有一策略定义模块，一资安护照产生模块及一资安护照发布模块。其中策略定义模块用于定义各种策略，并将所定义的策略存储于策略库中，该策略定义模块包括一策略信息接收子模块，用于接收用户所创建的策略名称及功能描述；一软件接收子模块，用于接收要实施该策略的软件；一动作定义子模块，用于接收该策略要执行的动作，如禁止使用USB接口等。资安护照产生模块用于获取一条策略及选定执行该策略的客户端计算机，生成资安护照，其包括一策略查找子模块，用于从策略库中查找需要的一策略；判断子模块，判断是否找到所需的策略；计算机查找子模块，用于显示数据库中各站点所有的客户端计算机资料，接收用户选择的要执行该策略的计算机，生成资安护照。资安护照发布模块用于将生成的资安护照发布到站点管理器。所述站点管理器，其包括一资安护照接收模块，用于接收中央伺器发过来的资安护照；一资安护照部署模块，用于将接收到的资安护照部署到所选择的要套用该资安护照的客户端计算机。本发明还提供一种资安护照产生及发行方法。该方法包括如下步骤(a)在策略库中查找所需策略；(b)判断是否找到该策略，若没有找到，则定义该策略；(c)在数据库中查找实施该策略的计算机信息，生成资安护照；(d)发送资安护照到站点管理器；(e)该站点管理器发送资安护照到执行该策略的客户端计算机。图1为本发明资安护照产生及发行系统的计算机网络架构图。图2为本发明数据库的存储位置示意图。图3为本发明策略库的存储位置示意图。图4为本发明中央服务器的功能模块图。图5为本发明站点管理器的功能模块图。图6为本发明资安护照产生及发行的作业流程图。图7为本发明策略定义作业流程图。具体实施方式参阅图1所示，是本发明资安护照产生及发行系统的计算机网络架构图。分布式分布的多个客户端计算机3通过网络4与多个站点管理器2相连，其中客户端计算机3可为Windows95、Windows98或WindowsNT的使用者环境，其上设有浏览器，该客户端计算机3可以运行各类软件、执行各种动作及浏览各网站内容，所述各类软件包括Printkey.exe、QQ2000.exe、Snagit32.exe、Winamp.exe等，所述各种动作包括USB接口可用(EnablePortableStorageDevice(USBInterface))、PrintScreen键可用(Enable[PrintScreen]Keyboard)等；每个站点管理器包含有一系列功能模块(如图5所示)，管理所属的多个客户端计算机3。多个站点管理器2通过网络4与一中央服务器1相连，该中央服务器1包含有一系列功能模块图(如图4所示)用于定义各种策略、生成及发行资安护照，其通过一连接5与一数据库8(如图2所示)、一策略库6(如图3所示)及一软件库7相连。其中数据库8用于存储各站点所属的客户端计算机资料，该客户端计算机资料包括客户端计算机名称、IP地址等；策略库6用于存储各种策略，如安全策略，包括策略名称、版本号及功能描述；软件库7用于存储各种软件资料，包括软件名称、版本号及软件可执行程序。网络4是一种电子网络，其可以为企业内部网(Intranet)、互联网(Internet)或其它类型网络。连接5是一种数据库连接，如开放式数据库连接(OpenDatabaseConnectivity，ODBC)，或者Java数据库连接(JavaDatabaseConnectivity，JDBC)。参阅图2所示，是本发明所述数据库的存储示意图。数据库8中存储的是各站点管理器2管理的客户端计算机3的资料。例如，站点管理器A，其管理PC1、PC2、PC3……等多个客户端计算机3，其中一台客户端计算机PC1资料如下，名称(Name)LH-IT-WYIGU，IP地址(IPAdress)10.153.26.88，状态(Status)在线(Online)等。参阅3图所示，是本发明所述策略库的存储示意图。策略库6中存储多条策略，每条策略格式举例简单描述如下，策略名称(PolicyName)ForManager，版本(Version)10.18.24.2036，策略描述(Description)Thispolicyisformanager，创建时间(CreateTime)2003/11/8下午02:47:28，运行软件(RunSoftwareList)Printkey.exe、QQ2000.exe、Snagit32.exe、Winamp.exe等，动作(Action)USB接口禁用(DisablePortableStorageDevice(USBInterface))、PrintScreen键禁用(Disable[PrintScreen]Keyboard)。参阅图4所示，是本发明中央服务器的功能模块图。该中央服务器1包括一策略定义模块11，一资安护照产生模块12及一资安护照发布模块13。其中策略定义模块11用于定义各种策略，并将所述策略存储于策略库6中。该策略定义模块11包括一策略信息接收子模块111，用于接收用户所创建的策略名称及功能描述，例如接收的策略信息如下，策略名称ForManager，版本10.18.24.2036，描述Thispolicyisformanager，创建时间2003/11/8下午02:47:28；一软件接收子模块112，用于显示软件库7中所有软件资料，接收用户选择的要执行该策略的软件，Printkey.exe、QQ2000.exe、Snagit32.exe、Winamp.exe等；动作定义子模块113，用于定义该策略要执行的动作，例如USB接口禁用(DisablePortableStorageDevice(USBInterface))、PrintScreen键禁用(Disable[PrintScreen]Keyboard)等。资安护照产生模块12用于获取一条策略并依据所选定执行该策略的客户端计算机，生成资安护照。该资安护照产生模块12包括一策略查找子模块121，用于从策略库6中查找所需的策略；一判断子模块122，用于判断在策略库6中是否找到所需的策略，若没有找到，则需重新定义一新策略；一计算机查找子模块123，用于显示数据库8中各站点所有的客户端计算机资料，接收用户选择的要执行该策略的计算机，生成资安护照。资安护照发布模块13，用于将资安护照发布到站点管理器2。参阅图5所示，是本发明站点管理器的功能模块图。每个站点管理器2包括一资安护照接收模块21及一资安护照部署模块22。其中资安护照接收模块21用于接收中央服务器1发来的资安护照；资安护照部署模块22用于将资安护照部署到该站点管理器2所管控的需执行该资安护照的客户端计算机3。参阅图6所示，是本发明资安护照产生及发行的作业流程图。首先，由策略查找子模块121在策略库6中查找所需策略(步骤S601)，再由判断子模块122判断是否找到上述策略(步骤S602)，若没有找到，则需重新创建一符合需要的策略(步骤S603)(如图7所示)。若在策略库6中找到该策略，则由计算机查找子模块123显示数据库8中各站点所管控的客户端计算机资料，接收用户选择的要执行该策略的计算机(步骤S604)，产生资安护照(步骤S605)，然后，由资安护照发布模块13将上述资安护照发布到站点管理器2(步骤S606)，最后由该站点管理器2将资安护照部署到其所管控的需执行该资安护照的客户端计算机3(步骤S607)，由客户端计算机3套用该资安护照，执行制定的策略(步骤S608)。参阅7图所示，是本发明资安护照产生及发行的策略定义作业流程图。首先策略信息接收子模块11l接收用户所输入的策略信息，如策略名称ForManager，版本10.18.24.2036，描述Thispolicyisformanager，创建时间2003/11/8下午02:47:28(步骤S701)；再由软件接收子模块112显示软件库7中所有软件资料，接收用户选择的要执行该策略的软件，如Printkey.exe、QQ2000.exe、Snagit32.exe、Winamp.exe等(步骤S702)，最后由动作定义子模块113定义该策略要执行的动作，如USB接口禁用(DisablePortableStorageDevice(USBInterface))、PrintScreen键禁用(Disable[PrintScreen]Keyboard)等(步骤S703)。权利要求1.一种资安护照产生及发行系统，其可以产生资安护照，并将其部署到各客户端计算机，其包括有一中央服务器及透过网络相连接的多个站点管理器及多个客户端计算机，其特征在于，其中中央服务器，其连结有一策略库，所述策略库存储其定义的各种策略；所述中央服务器，进一步包括一策略定义模块，用于定义各种策略，并将该策略存储于策略库中；一资安护照产生模块，用于获取一条策略及选择需执行该策略的客户端计算机，生成资安护照；一资安护照发布模块，用于将上述产生的资安护照发布到站点管理器；所述站点管理器，进一步包括一资安护照接收模块，用于接收中央服务器发过来的资安护照；一资安护照部署模块，用于将资安护照部署到该站点管理器所管控的需执行该资安护照的客户端计算机。2.如权利要求1所述的资安护照产生及发行系统，其特征在于，其中中央服务器还与一数据库相连，该数据库存储各站点管理器所属的计算机资料。3.如权利要求2所述的资安护照产生及发行系统，其特征在于，其中计算机资料指客户端计算机名称、IP地址及状态。4.如权利要求1所述的资安护照产生及发行系统，其特征在于，其中中央服务器还与一软件库相连，该软件库用于存储所有软件资料。5.如权利要求4所述的资安护照产生及发行系统，其特征在于，其中软件资料指软件名称、版本号及可执行程序。6.如权利要求1所述的资安护照产生及发行系统，其特征在于，其中策略定义模块尚包括一策略信息接收子模块，用于接收用户输入的策略信息；一软件接收子模块，用于显示所有软件资料，接收用户选择的要执行该策略的软件；一动作定义子模块，用于定义该策略要执行的动作。7.如权利要求1所述的资安护照产生及发行系统，其特征在于，其中资安护照产生模块尚包括一策略查找子模块，用于从策略库中查找所需的策略；一计算机查找子模块，用于显示各站点所有的客户端计算机资料，接收用户选择的要执行该策略之计算机。8.一种资安护照产生及发行方法，其可以产生资安护照，并将其部署到各客户端计算机，其特征在于，该方法包括如下步骤提供一中央服务器及透过网络相连接的多个站点管理器及多个客户端计算机；中央服务器获取所需策略；该中央服务器获取执行该策略的客户端计算机信息；生成资安护照；该中央服务器将该资安护照发布到站点管理器；该站点管理器部署该资安护照到上述客户端计算机；所述客户端计算机执行上述策略。9.如权利要求8所述的资安护照产生及发行方法，其特征在于，其中中央服务器获取所需策略进一步包括步骤中央服务器查找所需策略；该中央服务器判断是否找到上述策略；若没有找到，则需定义该策略。10.如权利要求9所述的资安护照产生及发行方法，其特征在于，其中定义策略之步骤尚包括中央服务器接收用户输入的策略信息该中央服务器接收要执行该策略的软件；该中央服务器定义该策略要执行的动作。全文摘要本发明揭露一种资安护照产生及发行系统及方法。该系统包括一中央服务器，多个站点管理器，多个客户端计算机，一软件库，一策略库及一数据库。所述中央服务器包括一策略定义模块，一资安护照产生模块及一资安护照发布模块。本系统能够定义各种策略，为策略定义动作及选择需要执行策略的客户端计算机，产生资安护照，将资安护照部署在客户端计算机。本发明能够对网络的信息安全进行管控。文档编号H04L29/00GK1630285SQ20031011756公开日2005年6月22日申请日期2003年12月16日优先权日2003年12月16日发明者李忠一,林海洪,罗宝胜,樊晓迪,王宜国申请人:鸿富锦精密工业(深圳)有限公司,鸿海精密工业股份有限公司