一种信息安全系统平台的构建方法及信息安全管理平台与流程

本发明涉及计算机应用技术领域，特别涉及一种信息安全系统平台的构建方法及信息安全管理平台。

背景技术：

随着计算机技术的普及，很多IT公司都有面向不同的业务开发了很多系统，但这些系统包含很多类似的、重复的功能，如网络连接、网络通信、数据存储、系统配置等，每次开发，这些基础的公共模块都需要重新开发，造成了巨大的人力成本、时间成本、金钱成本的巨大浪费。而且随着公司规模的不断扩大、业务的不断增长，众多系统的维护工作量也随之增加，庞大的维护工作量和巨大的人员成本迫切的希望一个基于通用基础平台的诞生。

由于LINUX和Windows各自的优势，很多公司每推出一种系统，均需要推出LINUX和Windows两个版本。这样相同功能的基础功能模块均需要在LINUX和Windows系统间相互移植。这种移植工作量巨大，任务繁重，而且每次需要有很多相同冗余的工作。

技术实现要素：

根据本发明提供的方案解决的技术问题是相同功能的基础功能模块在系统间相互移植时存在很多相同的冗余工作。

根据本发明提供的一种信息安全系统平台的构建方法，包括：

利用C/S(Client/Server，客户机和服务器)服务器构建用于管理控制策略和受控主机的主控主机；

利用C/S客户机构建用于执行控制策略和上报日志信息的受控主机；

利用B/S(Browser/Server，浏览器/服务器)服务器构建用于转发控制策略和日志信息的管理主机；

利用B/S浏览器构建用于配置控制策略和展示日志信息的操作主机；

经由局域网将数据库服务器以及所述主控主机、受控主机、管理主机、操作主机连接成一个信息安全系统平台，以便所述操作主机通过该信息安全系统平台对所述受控主机进行安全控制。

优选地，所述的操作主机通过该信息安全系统平台对所述受控主机进行安全控制包括：

所述操作主机经由局域网和管理主机把指定的受控主机控制策略发送给所述数据库服务器；

所述主控主机将从所述数据库服务器读取的控制策略发送给相应的受控主机；

每个受控主机根据从所述主控主机接收到的控制策略，对各业务对象的操作进行安全控制。

优选地，所述的操作主机经由局域网和管理主机把指定的受控主机控制策略发送给所述数据库服务器包括：

所述操作主机通过监测用户对每个受控主机的操作配置，为每个受控主机生成包含受控主机ID的控制策略；

所述操作主机经由局域网和管理主机将指定的受控主机控制策略发送给所述数据库服务器。

优选地，所述的主控主机将从所述数据库服务器读取的控制策略发送给相应的受控主机包括：

所述主控主机周期性的从所述数据库服务器读取所有的控制策略；

所述主控主机按照控制策略中包含的受控主机ID，将所有的控制策略分别发送给相应的受控主机。

优选地，还包括：

所述操作主机通过该信息安全系统平台将每个受控主机的日志信息进行展示。

优选地，所述的操作主机通过该信息安全系统平台将每个受控主机的日志信息进行展示包括：

每个受控主机经由局域网和主控主机把日志信息发送给所述数据库服务器；

所述管理主机将从所述数据库服务器读取的日志信息发送给操作主机，以便操作主机展示所述日志信息。

优选地，所述的每个受控主机经由局域网和主控主机把日志信息发送给所述数据库服务器包括：

每个受控主机在执行所收到的控制策略期间，通过实时监测用户对各业务对象的操作，生成包含受控主机ID的日志信息；

每个受控主机经由局域网和主控主机将所生成的日志信息发送给所述数据库服务器。

优选地，所述的管理主机将从所述数据库服务器读取的日志信息发送给操作主机，以便操作主机展示所述日志信息包括：

所述管理主机接收操作主机发送的需要展示日志信息的受控主机ID；

所述管理主机根据所述受控主机ID从所述数据库服务器读取相应受控主机的日志信息；

所述管理主机将所读取的日志信息发送给所述操作主机，以便操作主机展示所述受控主机的日志信息。

根据本发明提供的一种信息安全系统平台，包括：

利用C/S服务器构建用于管理控制策略和受控主机的主控主机；

利用C/S客户机构建用于执行控制策略和上报日志信息的受控主机；

利用B/S服务器构建用于转发控制策略和日志信息的管理主机；

利用B/S浏览器构建用于配置控制策略和展示日志信息的操作主机；

其中，所述信息安全系统平台是经由局域网将数据库服务器以及所述主控主机、受控主机、管理主机、操作主机连接构成的，用于所述操作主机对所述受控主机进行安全控制。

优选地，还用于所述操作主机将每个受控主机的日志信息进行展示。

根据本发明实施例提供的方案，利用所构建的信息安全系统平台可以方便地管理和控制系统间的多个受控主机，提高了用户体验。

附图说明

图1是本发明实施例提供的一种信息安全系统平台的构建方法的流程图；

图2是本发明实施例提供的一种信息安全系统平台的部署示意图；

图3是本发明实施例提供的C/S客户机的架构示意图；

图4是本发明实施例提供的C/S服务器的架构示意图；

图5是本发明实施例提供的B/S服务器的架构示意图。

具体实施方式

以下结合附图对本发明的优选实施例进行详细说明，应当理解，以下所说明的优选实施例仅用于说明和解释本发明，并不用于限定本发明。

图1是本发明实施例提供的一种信息安全系统平台的构建方法的流程图，包括：

步骤S101：利用C/S服务器构建用于管理控制策略和受控主机的主控主机；

步骤S102：利用C/S客户机构建用于执行控制策略和上报日志信息的受控主机；

步骤S103：利用B/S服务器构建用于转发控制策略和日志信息的管理主机；

步骤S104：利用B/S浏览器构建用于配置控制策略和展示日志信息的操作主机；

步骤S105：经由局域网将数据库服务器以及所述主控主机、受控主机、管理主机、操作主机连接成一个信息安全系统平台，以便所述操作主机通过该信息安全系统平台对所述受控主机进行安全控制。

其中，所述的操作主机通过该信息安全系统平台对所述受控主机进行安全控制包括：所述操作主机经由局域网和管理主机把指定的受控主机控制策略发送给所述数据库服务器；所述主控主机将从所述数据库服务器读取的控制策略发送给相应的受控主机；每个受控主机根据从所述主控主机接收到的控制策略，对各业务对象的操作进行安全控制。

其中，所述的操作主机经由局域网和管理主机把指定的受控主机控制策略发送给所述数据库服务器包括：所述操作主机通过监测用户对每个受控主机的操作配置，为每个受控主机生成包含受控主机ID的控制策略；所述操作主机经由局域网和管理主机将指定的受控主机控制策略发送给所述数据库服务器。

其中，所述的主控主机将从所述数据库服务器读取的控制策略发送给相应的受控主机包括：所述主控主机周期性的从所述数据库服务器读取所有的控制策略；所述主控主机按照控制策略中包含的受控主机ID，将所有的控制策略分别发送给相应的受控主机。

本发明实施例还包括：所述操作主机通过该信息安全系统平台将每个受控主机的日志信息进行展示。

其中，所述的操作主机通过该信息安全系统平台将每个受控主机的日志信息进行展示包括：每个受控主机经由局域网和主控主机把日志信息发送给所述数据库服务器；所述管理主机将从所述数据库服务器读取的日志信息发送给操作主机，以便操作主机展示所述日志信息。

其中，所述的每个受控主机经由局域网和主控主机把日志信息发送给所述数据库服务器包括：每个受控主机在执行所收到的控制策略期间，通过实时监测用户对各业务对象的操作，生成包含受控主机ID的日志信息；每个受控主机经由局域网和主控主机将所生成的日志信息发送给所述数据库服务器。

其中，所述的管理主机将从所述数据库服务器读取的日志信息发送给操作主机，以便操作主机展示所述日志信息包括：所述管理主机接收操作主机发送的需要展示日志信息的受控主机ID；所述管理主机根据所述受控主机ID从所述数据库服务器读取相应受控主机的日志信息；所述管理主机将所读取的日志信息发送给所述操作主机，以便操作主机展示所述受控主机的日志信息。

本发明实施例还提供的一种信息安全系统平台，包括：利用C/S服务器构建用于管理控制策略和受控主机的主控主机；利用C/S客户机构建用于执行控制策略和上报日志信息的受控主机；利用B/S服务器构建用于转发控制策略和日志信息的管理主机；利用B/S浏览器构建用于配置控制策略和展示日志信息的操作主机；其中，所述信息安全系统平台是经由局域网将数据库服务器以及所述主控主机、受控主机、管理主机、操作主机连接构成的，用于所述操作主机对所述受控主机进行安全控制。

其中，所述信息安全系统平台还用于所述操作主机将每个受控主机的日志信息进行展示。

图2是本发明实施例提供的一种信息安全系统平台的部署示意图，如图2所示，所述信息安全系统平台由C/S、B/S以及数据库服务器组成。C/S由C/S服务器和C/S客户机组成，两者对应的程序分别安装在主控主机和受控主机上；B/S由B/S浏览器和B/S服务器端组成，前者部署在操作主机上，后者部署在管理主机上，并经由局域网将数据库服务器以及所述主控主机、受控主机、管理主机、操作主机连接起来。

其中，所述C/S客户机：主要指被监控主机，该主机接受管理服务器的管理策略，并对该主机内容、行为等进行监控并上报日志到管理服务器，并能按照策略要求对具体的业务告警信息进行弹框、声音提示、Email等操作。所述C/S服务器：用于管理用户、管理策略，集中处理所有业务主机信息。所述数据库服务器：用于数据存储，主要存储用户信息、日志信息、策略等。所述B/S服务器：用户接受WEB存储。所述B/S浏览器：即B/S的浏览器的计算机，只要该计算机上安装有浏览器，即可通过网址访问。使用WEB浏览器对管理服务器进行访问，实现人机交互界面，主要功能为策略配置、日志分析、管理员角色配置、系统设置、部门管理等。

具体地说，C/S客户机将相关的日志信息发送给C/S服务器，C/S服务器将日志信息写入数据库服务器，而B/S服务器从数据库服务器读写该日志信息，并推送到B/S浏览器进行展示。在B/S浏览器可以进行一些策略的配置，配置好的策略经由B/S服务器存储到数据库服务器中，C/S服务器从数据库服务器读取策略，下发到对应的C/S客户机，从而实现对客户机的控制功能。

例如利用信息安全系统平台在开发的主机监控与审计系统中，要完成对C/S客户机的文件操作行为的监控与审计：当C/S客户机上用户进行复制操作是禁止的，新建操作是记录的，删除操作是要有告警信息的。此时，管理员需要在B/S浏览器端配置策略(制定策略：复制动作为禁止、新建动作为日志、删除动作为告警，并指定该指令指向的C/S客户机)，在B/S浏览器端指定的策略提交到B/S服务器，B/S服务器将该策略写入到数据库服务器，再有C/S服务器从数据库服务器中读取策略，并将策略下发到对应C/S客户机上，以便对应的C/S客户机执行该策略。当C/S客户机上等使用者执行复制操作时，该动作执行失败；执行新建操作时可以正常进行，执行删除操作时，会弹出告警；所用复制、新建、删除动作的信息均会经C/S服务器、数据库服务器、B/S服务器，最后在B/S浏览器端展示。

图3是本发明实施例提供的C/S客户机的架构示意图，如图3所示，包括：网络层：主要负责网络连接，网络数据收发；协议层：主要负责网络协议组帧、解帧；通用业务逻辑层：主要负责策略的管理、更新、检查和和托盘程序之间的通信；业务模块管理层：主要负责管理各业务模块，并调用相关业务模块进行相关业务的处理；各业务模块：主要负责实现业务功能，监测业务对象，产生日志信息；消息调度层：主要负责整体调度，包括各模块的调度和数据流的调度。

所述C/S客户机的流程具体包括：

1)由消息调度层生成业务模块、策略管理模块、协议层和网络层的实例。

2)调用业务模块、策略管理模块、协议层和网络层的init。

3)调用业务模块、策略管理模块、协议层和网络层的Start，启动各模块。

4)业务模块被调用Start后，实例化各业务模块，调用各业务模块的Init。

5)业务模块把各业务模块都启动后，向服务端发送业务主机登录命令。

6)收到服务器端的登录命令后，向服务器请求下发策略。

7)收到服务器下发的策略后，将策略放入策略管理模块，循环获取各模块策略，把各模块策略分别下发给各业务模块。

8)各业务模块按照策略对各模块监控内容进行监控。

9)当产生日志和告警后，将日志信息和告警信息放入消息队列，由消息调度层提取消息队列中的消息并分发给相应模块进行处理。

10)当系统退出时，消息调度层调用各模块的Stop。

图4是本发明实施例提供的C/S服务器的架构示意图，如图4所示，包括：网络层：主要负责网络连接，网络数据收发；协议层：主要负责网络协议组帧、解帧；通用业务逻辑层：主要负责客户机管理与数据库服务器进行交互，将各种日志信息写入数据库服务器，或从数据库服务器读取各种日志信息；业务模块管理层：主要负责标准业务模块和第三方业务模块的承载；消息调度层：主要负责整体系统调度，包括各模块的调度和数据流的调度。

所述C/S服务器的流程具体包括：

1)由消息调度模块生成业务模块、客户机管理模块、数据存储模块、协议层和网络层的实例。

2)调用业务模块、客户机管理模块、数据存储模块、协议层和网络层的init。

3)调用数据存储模块的Start，启动数据存储模块，利用数据存储模块从数据库服务器读取日志信息、策略信息等。

4)消息调度层从数据存储模块获取日志信息和策略信息，并将该信息放入客户端管理模块，根据日志信息和策略信息建立虚拟主机。

5)接受C/S客户机网络连接，收到C/S客户机登录协议后，修改客户端管理模块中虚拟主机的状态。

6)收到C/S客户机请求策略协议后，由各虚拟主机提供策略，并将其发送给各C/S客户机。

7)当收到C/S客户机上报的日志协议后，将日志协议放入数据存储模块，由数据存储模块写入数据库服务器。

图5是本发明实施例提供的B/S服务器的架构示意图，如图5所示，采用主流的Spring MVC(Model View Controller，模型、视图展现、控制器)是一种业务逻辑、数据、界面显示分离的方法组织代码，将业务逻辑聚集到一个部件里面，在改进和个性化定制界面及用户交互的同时，不需要重新编写业务逻辑。其包括：视图展现层：视图是用户看到并与之交互的界面。对Web应用程序来说，视图就是由Adobe Flash和像XHTML(eXtensible Hyper Text Markup Language，可扩展超文本标识语言)，XML(eXtensible Markup Language，可扩展的标识语言)/XSL(eXtensible Stylesheet Language，可扩展样式表语言)，WML(Wireless Markup Language，无线标记语言)等一些标识语言和Web services组成的界面；控制层：控制器接受用户的输入并调用模型和视图去完成用户的需求，所以当单击Web页面中的超链接和发送HTML(HyperText Markup Language，超文本标记语言)表单时，控制器本身不输出任何东西和做任何处理。它只是接收请求并决定调用哪个模型构件去处理请求，然后再确定用哪个视图来显示返回的数据；业务模型层：模型表示企业数据和业务规则。在MVC的三个部件中，模型拥有最多的处理任务。例如它可能用像EJBs和ColdFusion Components这样的构件对象来处理数据库服务器，被模型返回的数据是中立的，就是说模型与数据格式无关，这样一个模型能为多个视图提供数据。数据持久层以及数据缓存层。

添加系统

Windows下以dll形式存在，LINUX下以so形式存在。

接口实现按照框架定义的接口进行实现。

XML文件决定模块是否加载，加载顺序，加载的实例个数。例如LINUX下的加载配置文件如下所示。

添加系统只需要三步1、实现接口；2、生成动态库；3、在配置文件中添加。

根据本发明实施例提供的方案，利用所构建的信息安全系统平台，实现了一次开发重复应用，从而能够减少工作量、提升产品质量。

尽管上文对本发明进行了详细说明，但是本发明不限于此，本技术领域技术人员可以根据本发明的原理进行各种修改。因此，凡按照本发明原理所作的修改，都应当理解为落入本发明的保护范围。