系统200。在本实施例中,第一交换机160为二层交换机。
[0038]第一加密认证网关170,用于通过专用网络300与远程接入系统200连接,并与远程接入系统200的第二加密认证网关270配对使用,进行密钥协商,最终建立加密隧道。
[0039]第一加密认证网关170通过专用网络300与远程接入系统200连接,提升远程支持系统100的安全性。且第一加密认证网关170和第二加密认证网关270采用IPSEC协议进行密钥协商,最终建立加密隧道,如此,在网络层面上加强远程协助的安全防护。每次第一加密认证网关170或第二加密认证网关270有数据发送或接收时,需要采用协商好的密钥对发送的数据进行加密,或采用协商好的密钥对接收的数据进行解密。该加密及解密的密钥是通过密钥协商得到的,是唯一的,因此能通过密钥判断是哪一个用户发送的,从而可用于身份认证。从而,可以确保远程支持系统100与远程接入系统200之间通信数据的真实性、完整性和抗抵赖性。
[0040]具体地,第一加密认证网关170可配置为网关模式或透明模式。当第一加密认证网关170配制为透明模式时,将专线网络300出口路由器的IP地址作为网关地址。
[0041]操作主机110,用于对访问远程支持系统100的用户进行人员身份验证,确保通过人员身份验证的用户才能访问远程支持系统100,在主机层面上加强远程协助的安全防护。操作主机110内预存了允许访问的用户名,只有是允许访问的用户才可访问操作主机110。
[0042]在其中一个实施例中,操作主机110为堡皇机。
[0043]远程协助服务器130,用于通过建立的加密隧道对远程接入系统200进行远程操作;记录用户通过远程协助服务器130对远程接入系统200进行的所有操作,形成操作记录。
[0044]远程协助服务器130上配置有远程协助软件的主控端程序。用户能够在操作主机110上通过远程协助服务器130上运行的远程协助软件对现场被控主机进行操作,从而对与现场被控主机连接的企业系统提供远程协助,如此,在应用层面上加强远程协助的安全防护。远程协助服务器130还用于记录用户通过远程协助服务器130对远程接入系统200进行的所有操作,形成操作记录,并将其发送给存储服务器150。具体地,操作记录包括键盘和屏幕的变化过程。
[0045]存储服务器150,用于存储远程协助服务器130记录的操作记录。
[0046]存储服务器150接收并存储服务器150发送的操作记录,从而为系统安全审计提供数据基础,可以供用户通过操作主机110进行相应的安全审计时使用。可每隔一定时间或者当出现安全事故时对远程协助系统的使用进行审计,即从使用的用户、使用的操作等各过程审查是否有人违规操作,如果有,违规操作的用户是谁等。
[0047]在其中一个实施例中,存储器服务器150还用于存储远程接入系统200的现场环境采集设备250采集的现场环境数据。其中,现场环境数据包括:地理位置信息和现场录像信息。
[0048]在其中一个实施例中,存储服务器150配置多块磁盘,是采用RAID技术部署的高可用存储,提供比单个磁盘更高的存储性能和提供数据备份技术,从而使远程协助系统具有更好的稳定性和更快的响应速度。
[0049]在其中一个实施例中,操作主机110还用于对访问远程支持系统的用户进行访问权限控制,确保当前用户具有相应的操作权限。每一个用户都至少有一个角色,如系统管理员、远程协助人员、安全审计人员等。不是任何用户都可以做任何操作,不同的角色应该拥有不同的操作权限,以限定用户不能越权操作,进一步保证系统数据的安全性。
[0050]上述远程支持系统100的第一加密认证网关170通过专线网络300连接远程接入系统200,而不通过互联网,可以提升远程协助的安全性。且第一加密认证网关170通过专用网络300与远程接入系统200连接,并与远程接入系统200的第二加密认证网关270配对使用,进行密钥协商,最终建立加密隧道,确保远程支持系统100与远程接入系统200之间通信数据的真实性、完整性和抗抵赖性,在网络层面上加强远程协助的安全防护。操作主机110对访问远程支持系统100的用户进行人员身份验证,在主机层面上加强远程协助的安全防护。远程协助服务器130上的远程协助软件对远程接入系统200进行远程协助,在应用层面上加强远程协助的安全防护。通过存储服务器150存储远程协助服务器130记录的操作记录,从而可以提供对远程协助操作的审计工作。因此,上述远程支持系统100较为安全。
[0051]请继续参阅图1,一种实施方式的远程接入系统200,包括:
[0052]现场被控主机230、现场环境采集设备250、第二加密认证网关270、第二交换机260及无线网关290。现场被控主机230和现场环境采集设备250与第二交换机260连接,并通过第二交换机260连接至第二加密认证网关270。现场被控主机230通过第二加密认证网关270和无线网关290连接专线网络300,进而与远程协助系统100连接。在本实施例中,第二交换机260为二层交换机。
[0053]第二加密认证网关270,用于通过专用网络300连接远程支持系统100,并与远程支持系统100的第一加密认证网关170配合使用,进行密钥协商,最终建立加密隧道。
[0054]第二加密认证网关270通过专用网络300与远程接入系统200连接,如此,在网络层面上加强远程协助的安全防护。第二加密认证网关270和第一加密认证网关170采用IPSEC协议进行密钥协商,最终建立加密隧道。每次第二加密认证网关270或第一加密认证网关170有数据发送或接收时,需要采用协商好的密钥对发送的数据进行加密,或采用协商好的密钥对接收的数据进行解密。该加密及解密的密钥是通过密钥协商得到的,是唯一的,可用于身份认证。从而,可以确保远程接入系统200与远程支持系统100之间通信数据的真实性、完整性和抗抵赖性。
[0055]第二加密认证网关270可配置为网关模式或透明模式。当第二加密认证网关270配制为透明模式时,将专线网络300出口路由器的IP地址或无线网关290的IP地址作为网关地址。
[0056]现场被控主机230,用于与远程支持系统100和需要被远程协助的企业系统连接,从而由远程支持系统100的远程协助服务器130远程操作,以对需要被远程协助的企业进行远程协助。现场被控主机230上配置了与远程支持系统100的远程协助服务器130相对应的远程协助程序的受控端。因此,现场被控主机230能使用户在操作主机110上通过远程协助服务器130上运行的远程协助软件的控制下,对与现场被控主机230连接的企业系统提供远程协助功能。如此,在应用层面上解决远程协助的安全防护问题。
[0057]具体地,现场被控主机230包括两个以太网口,分别为第一网口和第二网口。第一网口用于现场被控主机230与远程支持系统100的远程协助服务器130进行通信;第二网口用于现场被控主机230与需要远程协助的企业系统进行通信。远程支持系统100的远程协助服务器130通过第一网口控制现场被控主机230 ;然后再通过被控制的现场被控主机230的第二网口对需要被远程协助的企业系统进行操作。
[0058]在其中一个实施例中,现场被控主机230还用于抓取第二网口的所有通信数据,并发送至存储服务器150进行存储。具体的,现场被控主机230可以通过运行抓包程序以抓取第二网口的所有通信数据。远程支持系统100的存储服务器150接收并存储该通信数据;该通信数据可用于安全审计。
[0059]现场环境采集设备250,用于采集现场环境数据。现场环境采集设备250还用于将采集到的现场环境数据发送至远程支持系统100的存储服务器150进行存储。具体地,现场环境采集设备250包括地理位置信息采集设备251或/和现场录像机设备253。现场环境数据包括地理位置信息或/和现场操作录像信息。其中,地理位置信息采集设备251连接现场被控主机230,用于采集现场被控主机230的地理位置信息,并发送至存储服务器150进行存储。现场录像机设备253设置于现场被控主机230旁,用于对现场被控主机230采集现场操作录像信息,并发送至存储服务器15