专利名称:多地区信息安全管理系统及方法
技术领域:
本发明涉及一种信息安全管理系统及方法,特别涉及一种多地区信息安全管理系统及方法。
背景技术:
随着网络技术的发展,通过互联网管理信息的技术不断出现,然而互联网安全问题一直是阻挠信息安全传输的原因。
针对网络信息的传输,当前有一种数据通信网络的动态监视方法。该方法通过互联网收集在通信网路的实体及虚拟特征上的信息,产生被收集的信息知识库,剖析该知识库中的信息生成可读格式的资料,分析该资料用以产生关联性,用以将数据通信特征化,最后将经过分析的资料可视化以提供给测定该数据通信网络的参与者使用。其中该方法所产生的知识库,包括节点网络图的建构、测定内部及外部入侵的尝试等。该方法能够监视网络上传输的信息,经过分析后形成可视化的资料供参考。
针对网络信息的传输,当前还有一使用互联网协议安全策略以建立网络安全的技术。该技术包括通过网络相连接的皆包括有一种互联网金钥交换成份及一种互联网协议安全成份的两个装置,其中一个装置包括一策略规则数据库及一策略代理人,策略代理人获得来自另一装置的信息,基于此获得信息评估一种储存于数据库的策略规则及提出一种互联网协议安全配置。上述技术,提出一种建立信息安全的装置及方法,它适用于网络上传输的信息,但并未解决运行的各种软件的信息安全。
鉴于以上内容,有必要提供一种信息安全管理的方法,该方法不但可以通过网络安全传输一般信息,也可以对通过网络连接的多地区信息安全进行管控。
发明内容本发明的较佳实施例提供一种多地区信息安全管理系统,该系统包括一信息安全控制台、多个信息安全执行中心、多个信息安全防护单元。信息安全控制台通过一通讯模块与该多个信息安全执行中心相互连接,并管理该多个信息安全执行中心;每一信息安全执行中心通过该通讯模块与多个信息安全防护单元相互连接,并管理该多个信息安全防护单元。
其中,信息安全控制台包括一信息安全策略定义模块,用于定义各种信息安全策略;一信息安全护照产生模块,用于将上述信息安全策略集合成一信息安全策略包,从而生成信息安全护照;及一信息安全护照发布模块,用于将上述信息安全护照通过通讯模块发布至所管理的多个信息安全执行中心。
每一信息安全执行中心包括一信息安全护照接收模块,通过通讯模块接收上述信息安全护照发布模块所发送的信息安全护照;及一信息安全护照部署模块,用于将上述接收的信息安全护照通过通讯模块部署到被管理的多个信息安全防护单元。
每一信息安全防护单元包括一信息安全策略执行模块,它通过通讯模块接收上述信息安全护照部署模块所部署的信息安全护照,然后该信息安全策略执行模块执行信息安全护照所包含的信息安全策略。
信息安全控制台还可包括一信息安全报表及预警信息产生模块,它通过通讯模块接收被管理的信息安全执行中心回传的信息安全信息,并出具相应的信息安全报表和产生即时信息安全预警信息发送给相应的信息管理人员。
每一信息安全执行中心还可包括一信息安全信息处理模块,它通过通讯模块接收被管理的信息安全防护单元回传的信息安全信息,并进行汇总,再通过通讯模块传送至信息安全控制台。
每一信息安全防护单元还可包括一信息安全信息收集模块,用于在信息安全策略执行模块执行信息安全策略时收集信息安全信息,并通过通讯模块传送至信息安全执行中心。
本发明的另一较佳实施例提供一种多地区信息安全管理方法,该方法包括以下步骤a.于一信息安全控制台中定义各种信息安全策略;b.将该信息安全策略集合生成信息安全护照;c.将该信息安全护照发布至该信息安全控制台所管理的多个信息安全执行中心;d.信息安全执行中心接收信息安全护照;e.信息安全执行中心将接收的信息安全护照部署到它所管理的多个信息安全防护单元;f.信息安全防护单元接收信息安全护照,并执行信息安全护照所包含的信息安全策略。
上述多地区信息安全管理方法,还可包括步骤g.信息安全防护单元于执行信息安全策略时收集信息安全信息,并传送至信息安全执行中心;h.信息安全执行中心将信息安全信息进行汇总,并传送至信息安全控制台;i.信息安全控制台出具相应的信息安全报表和产生即时信息安全预警信息发送给相应的信息管理人员。
利用本发明所提供之多地区信息安全管理系统及方法,可制定相应的信息安全策略,实现对多地区的信息安全进行管控。
图1是本发明较佳实施例的多地区信息安全管理系统架构图。
图2是本发明较佳实施例的多地区信息安全管理方法流程图。
具体实施方式针对本发明较佳实施例的专业词汇注释如下信息安全策略它包含管理信息安全防护单元如何监控的具体讯息,比如,信息安全防护单元可根据此讯息记录用户行为、过滤网络访问、停止/启用某些计算器或者设备等。
信息安全护照是信息安全策略集合成的信息安全策略包,它通过信息安全控制台发送至信息安全执行中心,再经由信息安全执行中心发往指定的信息安全防护单元。
信息安全信息是信息安全防护单元收集、截取的信息,比如用户登陆名、用户密码、用户安装/运行的软件;该信息安全信息通过信息安全防护单元发送至信息安全执行中心,再通过信息安全执行中心汇总传送至信息安全控制台。
如图1所示,是本发明较佳实施例的多地区信息安全管理系统架构图。该系统包括一信息安全控制台10、多个信息安全执行中心20、多个信息安全防护单元30;其中信息安全控制台10通过一通讯模块40与多个信息安全执行中心20相互连接,并管理该多个信息安全执行中心20;每一信息安全执行中心20通过该通讯模块40与多个信息安全防护单元30相互连接,并管理该多个信息安全防护单元30。
其中,通讯模块40用于传递该多地区安全管理系统中的信息及数据,它可以由简单的可连接网络数据线构成,也可以由可连接网络的数据线及交换机、路由器等网络设备组合构成,它取决于上述多地区信息安全管理系统应用的实际情况。距离较近可以简单透过数据线连接上述信息安全控制台10、信息安全执行中心20、信息安全防护单元30;距离较远可使用数据交换机及光纤等网络设备组合来连接上述信息安全控制台10、信息安全执行中心20、信息安全防护单元30。
信息安全控制台10,可以是大型的服务器、普通服务器、小型的桌上型或笔记型计算机。上述信息安全控制台10包括一信息安全策略定义模块101,用于在上述信息安全控制台10中定义各种信息安全策略;一信息安全护照产生模块102,用于将上述信息安全策略集合成一信息安全策略包,从而生成信息安全护照;一信息安全护照发布模块103,用于将上述信息安全护照通过通讯模块40发布至所管理的多个信息安全执行中心20;一信息安全报表及预警信息产生模块104,通过通讯模块40接收被管理的信息安全执行中心20回传的信息安全信息,并出具相应的信息安全报表和产生即时信息安全预警信息发送给相应的信息管理人员。
信息安全执行中心20是安装在各站点的讯息平台,上述站点同样可以是大型的服务器、普通服务器、小型的桌上型或笔记型计算机,并且每一个信息安全执行中心对应安装在一个站点。上述信息安全执行中心包括20一信息安全护照接收模块201,通过通讯模块40接收上述信息安全护照发布模块103所发送到信息安全执行中心20的信息安全护照;一信息安全护照部署模块202,用于将上述接收的信息安全护照通过通讯模块40部署到被管理的信息安全防护单元30;一信息安全信息处理模块203,通过通讯模块40接收被管理的信息安全防护单元30回传的信息安全信息,并进行汇总,再通过通讯模块40传送至信息安全控制台10;信息安全防护单元30,是接受信息安全执行中心20管理的最下层,它一般是小型的桌上型或笔记型计算机。上述信息安全防护单元30包括一信息安全策略执行模块301,通过通讯模块40接收上述信息安全护照部署模块202所部署的信息安全护照,然后该信息安全策略执行模块301执行信息安全护照所包含的信息安全策略;一信息安全信息收集模块302,用于在信息安全策略执行模块301执行信息安全策略时收集信息安全信息,并通过通讯模块40传送至信息安全执行中心20。
例如,根据上述多地区信息安全管理系统构建一通过总公司管理分公司信息的网络系统。于总公司设置一个或者多个服务器,于分公司的一个或者多个服务器安装上述信息安全执行中心讯息平台,各分公司的服务器连接上述总公司的服务器,分公司的员工个人计算机连结上述讯息平台,那么上述总公司的服务器就相当于本发明较佳实施例的信息安全控制台10,而上述分公司的员工个人计算机就相当于本发明较佳实施例的信息安全防护单元30,连接总公司的服务器和分公司的服务器的设备,及连接分公司服务器和员工各人计算机的设备就相当于本发明较佳实施例的通讯模块40。于总公司的一个或者多个服务器中,定义分公司的员工个人计算机不能打开邮件类型的网页,及不能使用非办公应用类软件,那么上述定义的限制员工使用个人计算机的权限就相当于本发明较佳实施例的信息安全策略,上述定义的限制员工使用个人计算机的权限集合就相当于本发明较佳实施例的信息安全护照。总公司将上述信息安全护照发布到分公司服务器的讯息平台,分公司服务器的讯息平台再将上述信息安全护照部署到员工个人计算机执行,那么,员工使用个人计算机时,用户名、用户密码、用户上网纪录、用户使用/安装软件的讯息就相当于本发明较佳实施例的信息安全信息。
如图2所示,是本发明较佳实施例的多地区信息安全管理方法流程图。该方法包括信息管理人员于信息安全控制台10中定义各种信息安全策略,如定义用户访问国际互联网络的权限、使用安装软件的权限、文件存储路径的权限等(步骤S21);信息安全产生模块102集合上述信息安全策略,生成信息安全护照(步骤S22);通过通讯模块40将信息安全护照发布至所管理的多个信息安全执行中心(步骤S23);信息安全执行中心20接收信息安全护照(步骤S24);信息安全执行中心20将接收的信息安全护照部署到它所管理的多个信息安全防护单元30(步骤S25);信息安全防护单元30接收信息安全护照,并执行信息安全护照所包含的信息安全策略(步骤S26);信息安全防护单元30于执行信息安全策略时收集信息安全信息,并传送至信息安全执行中心(步骤S27);信息安全执行中心20将信息安全信息进行汇总,并传送至信息安全控制台10(步骤S28);信息安全控制台10出具相应的信息安全报表和产生即时信息安全预警信息发送给相应的信息管理人员(步骤S29)。
权利要求
1.一种多地区信息安全管理系统,包括一信息安全控制台、多个信息安全执行中心、多个信息安全防护单元;其中信息安全控制台通过一通讯模块与该多个信息安全执行中心相互连接,并管理所述的信息安全执行中心;每一信息安全执行中心通过该通讯模块与多个信息安全防护单元相互连接,并管理所述的信息安全防护单元,其特征在于所述的信息安全控制台包括一信息安全策略定义模块,用于定义各种信息安全策略;一信息安全护照产生模块,用于将上述信息安全策略集合成一信息安全策略包,从而生成信息安全护照;及一信息安全护照发布模块,用于将上述信息安全护照通过通讯模块发布至所管理的多个信息安全执行中心;每一信息安全执行中心包括一信息安全护照接收模块,通过通讯模块接收上述信息安全护照发布模块所发送的信息安全护照;及一信息安全护照部署模块,用于将上述接收的信息安全护照通过通讯模块部署到被管理的多个信息安全防护单元;每一信息安全防护单元包括一信息安全策略执行模块,它通过通讯模块接收上述信息安全护照部署模块所部署的信息安全护照,然后该信息安全策略执行模块执行信息安全护照所包含的信息安全策略。
2.如权利要求1所述的多地区信息安全管理系统,其特征在于,所述的信息安全控制台还包括一信息安全报表及预警信息产生模块,它通过通讯模块接收被管理的信息安全执行中心回传的信息安全信息,并出具相应的信息安全报表和产生即时信息安全预警信息发送给相应的信息管理人员。
3.如权利要求1所述的多地区信息安全管理系统,其特征在于,所述的每一信息安全执行中心还包括一信息安全信息处理模块,它通过通讯模块接收被管理的信息安全防护单元回传的信息安全信息,并进行汇总,再通过通讯模块传送至信息安全控制台。
4.如权利要求1所述的多地区信息安全管理系统,其特征在于,所述的每一信息安全防护单元还包括一信息安全信息收集模块,用于在信息安全策略执行模块执行信息安全策略时收集信息安全信息,并通过通讯模块传送至信息安全执行中心。
5.一种多地区信息安全管理方法,其特征在于,该方法包括以下步骤于一信息安全控制台中定义各种信息安全策略;将该信息安全策略集合生成信息安全护照;将该信息安全护照发布至该信息安全控制台所管理的多个信息安全执行中心;信息安全执行中心接收信息安全护照;信息安全执行中心将接收的信息安全护照部署到它所管理的多个信息安全防护单元;及信息安全防护单元接收信息安全护照,并执行信息安全护照所包含的信息安全策略。
6.如权利要求5所述的多地区信息安全管理方法,其特征在于,该方法还包括步骤信息安全防护单元于执行信息安全策略时收集信息安全信息,并传送至信息安全执行中心;信息安全执行中心将信息安全信息进行汇总,并传送至信息安全控制台;及信息安全控制台出具相应的信息安全报表和产生即时信息安全预警信息发送给相应的信息管理人员。
全文摘要
本发明提供一种多地区信息安全管理系统,该系统包括一信息安全控制台、多个信息安全执行中心、多个信息安全防护单元。其中信息安全控制台通过一通讯模块与该多个信息安全执行中心相互连接,并管理信息安全执行中心;每一信息安全执行中心通过该通讯模块与多个信息安全防护单元相互连接,并管理该多个信息安全防护单元。本发明还提供一种多地区信息安全管理方法。
文档编号H04L12/24GK1845503SQ20051003411
公开日2006年10月11日 申请日期2005年4月9日 优先权日2005年4月9日
发明者罗才洋, 胡高鹏, 李忠一, 申岸锋 申请人:鸿富锦精密工业(深圳)有限公司, 鸿海精密工业股份有限公司