專利名稱:一種網(wǎng)絡(luò)的管理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域,尤其涉及一種網(wǎng)絡(luò)的管理方法。
背景技術(shù):
隨著信息化的發(fā)展,企業(yè)內(nèi)部的受控網(wǎng)絡(luò)系統(tǒng)也不斷發(fā)展,例如該網(wǎng)絡(luò)規(guī)模和設(shè)備數(shù)量迅速擴(kuò)大,企業(yè)人員對(duì)這些設(shè)備和資源的使用日趨復(fù)雜,受控網(wǎng)絡(luò)的工作重點(diǎn)和挑戰(zhàn)已經(jīng)不僅僅只是網(wǎng)絡(luò)平臺(tái)的前期建設(shè),其在運(yùn)維與安全管理階段的要求逐漸增高。企業(yè)內(nèi)部的受控網(wǎng)絡(luò)的安全運(yùn)行直接關(guān)系企業(yè)效益,構(gòu)建一個(gè)穩(wěn)定的受控網(wǎng)絡(luò)的運(yùn)維安全管理體系對(duì)企業(yè)信息化的發(fā)展至關(guān)重要。目前,面對(duì)日趨復(fù)雜的受控系統(tǒng),其中存在大量的各類賬戶,如果出現(xiàn)安全事故, 難以定位賬戶的實(shí)際使用者和責(zé)任人,不便找出事故原因;并且該各類賬戶的使用權(quán)限和范圍缺乏有效控制,存在較大安全風(fēng)險(xiǎn)和隱患。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種網(wǎng)絡(luò)的管理方法,在受控網(wǎng)絡(luò)中配置有效率的賬戶結(jié)構(gòu),以便有效地實(shí)現(xiàn)對(duì)受控網(wǎng)絡(luò)的管理。為達(dá)到上述目的,本發(fā)明提供了一種網(wǎng)絡(luò)的管理方法,包括在受控網(wǎng)絡(luò)中設(shè)置超級(jí)管理員,登錄該超級(jí)管理員以創(chuàng)建并配置所述受控網(wǎng)絡(luò)中的設(shè)備管理員和普通用戶;登錄所述設(shè)備管理員,以管理針對(duì)所述受控網(wǎng)絡(luò)中至少一個(gè)設(shè)備的訪問(wèn),并為該設(shè)備配置訪問(wèn)控制策略;登錄所述普通用戶,以根據(jù)所述訪問(wèn)控制策略訪問(wèn)所述設(shè)備。根據(jù)本發(fā)明提供的網(wǎng)絡(luò)的管理方法,通過(guò)在受控網(wǎng)絡(luò)中設(shè)置超級(jí)管理員來(lái)創(chuàng)建設(shè)備管理員和普通用戶,可實(shí)現(xiàn)對(duì)受控網(wǎng)絡(luò)中的賬戶進(jìn)行集中管理。所述設(shè)備管理員為受控網(wǎng)絡(luò)中的設(shè)備配置訪問(wèn)控制策略,普通用戶根據(jù)該訪問(wèn)控制策略訪問(wèn)所述設(shè)備,提升受控網(wǎng)絡(luò)的管理的安全性和便捷性,也便于對(duì)設(shè)備管理員或普通用戶的操作行為進(jìn)行安全審計(jì)。
通過(guò)閱讀參照以下附圖所作的對(duì)非限制性實(shí)施例所作的詳細(xì)描述,本發(fā)明的其它特征、目的和優(yōu)點(diǎn)將會(huì)變得更明顯圖1是根據(jù)本發(fā)明的網(wǎng)絡(luò)的管理方法的一種具體實(shí)施方式
的流程圖;圖2是圖1示出的方法應(yīng)用至受控網(wǎng)絡(luò)中的關(guān)系結(jié)構(gòu)示意圖;附圖中相同或相似的附圖標(biāo)記代表相同或相似的部件。
具體實(shí)施方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖對(duì)本發(fā)明的實(shí)施例作詳細(xì)描述。首先請(qǐng)參考圖1,圖1是根據(jù)本發(fā)明的網(wǎng)絡(luò)的管理方法的一種具體實(shí)施方式
的流程圖,該方法包括步驟S101,在受控網(wǎng)絡(luò)中設(shè)置超級(jí)管理員,登錄該超級(jí)管理員以創(chuàng)建并配置所述受控網(wǎng)絡(luò)中的設(shè)備管理員和普通用戶;步驟S102,登錄所述設(shè)備管理員,以管理針對(duì)所述受控網(wǎng)絡(luò)中至少一個(gè)設(shè)備的訪問(wèn),并為該設(shè)備配置訪問(wèn)控制策略;步驟S103,登錄所述普通用戶,以根據(jù)所述訪問(wèn)控制策略訪問(wèn)所述設(shè)備。具體地,所述受控網(wǎng)絡(luò)指的是由多個(gè)設(shè)備組成計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu),所述設(shè)備包括網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備、計(jì)算機(jī)終端、服務(wù)器、存儲(chǔ)設(shè)備或其組合,例如網(wǎng)絡(luò)防火墻裝置、路由器、交換機(jī)、windows/UNIX/Linux平臺(tái)的服務(wù)器和獨(dú)立的數(shù)據(jù)庫(kù)服務(wù)器等物理設(shè)備。所述受控網(wǎng)絡(luò)包括網(wǎng)絡(luò)設(shè)備構(gòu)成的物理系統(tǒng)、計(jì)算機(jī)軟件構(gòu)成的邏輯系統(tǒng)或其組合,其中網(wǎng)絡(luò)設(shè)備構(gòu)成的物理系統(tǒng)例如是多臺(tái)終端加上路由器配置形成小型局域網(wǎng)系統(tǒng),或多臺(tái)服務(wù)器組成的服務(wù)器集群系統(tǒng);計(jì)算機(jī)軟件構(gòu)成的邏輯系統(tǒng)例如是分布式數(shù)據(jù)庫(kù)系統(tǒng)。對(duì)所述受控網(wǎng)絡(luò)中的設(shè)備進(jìn)行管理工作由設(shè)備管理員完成;該受控網(wǎng)絡(luò)中的普通用戶只具有根據(jù)規(guī)則訪問(wèn)受控網(wǎng)絡(luò)中各類設(shè)備的權(quán)限,并不具有管理受控網(wǎng)絡(luò)中設(shè)備的權(quán)限。在所述受控網(wǎng)絡(luò)中可以有多個(gè)設(shè)備管理員,例如某一類型的設(shè)備分配給一個(gè)設(shè)備管理員進(jìn)行管理;在該受控網(wǎng)絡(luò)中可以有多個(gè)普通用戶,該普通用戶的具體數(shù)量可以根據(jù)實(shí)際應(yīng)用需求進(jìn)行設(shè)置。為了對(duì)設(shè)備管理員和普通用戶進(jìn)行集中管理,該受控網(wǎng)絡(luò)中通常設(shè)置至少一個(gè)超級(jí)管理員,登錄該超級(jí)管理員的用戶在所述受控網(wǎng)絡(luò)中具有特殊權(quán)限,可以在所述受控網(wǎng)絡(luò)中創(chuàng)建并配置所述設(shè)備管理員和普通用戶。所述設(shè)備管理員的主要任務(wù)是管理針對(duì)所述受控網(wǎng)絡(luò)中的設(shè)備的訪問(wèn)行為,并為該設(shè)備配置訪問(wèn)控制策略,容易理解的是, 一個(gè)設(shè)備管理員可以管理針對(duì)多個(gè)所述受控網(wǎng)絡(luò)中的設(shè)備的訪問(wèn)行為,并為該多個(gè)設(shè)備均配置訪問(wèn)控制策略。登錄所述普通用戶的用戶在訪問(wèn)所述受控網(wǎng)絡(luò)中的各類設(shè)備時(shí),需要根據(jù)每一設(shè)備對(duì)應(yīng)的訪問(wèn)控制策略進(jìn)行訪問(wèn)。在一些實(shí)施例中,所述超級(jí)管理員可以向所述設(shè)備管理員授權(quán),然后設(shè)備管理員具有創(chuàng)建并配置普通用戶的權(quán)限,但是其配置的普通用戶在所述受控網(wǎng)絡(luò)中的訪問(wèn)范圍不能超出該設(shè)備管理員管理的設(shè)備的范圍?;谒鍪芸鼐W(wǎng)絡(luò)的維護(hù)考慮,登錄所述超級(jí)管理員的用戶還具有以下權(quán)限可以修改所述受控網(wǎng)絡(luò)中的設(shè)備的信息和/或刪除所述受控網(wǎng)絡(luò)中的設(shè)備,因此當(dāng)受控網(wǎng)絡(luò)中的物理設(shè)備升級(jí)或移除時(shí)可以及時(shí)其配套的邏輯信息?;谒鍪芸鼐W(wǎng)絡(luò)的擴(kuò)容考慮, 登錄所述超級(jí)管理員的用戶還具有以下權(quán)限可以將新設(shè)備添加至所述受控網(wǎng)絡(luò)中,因此可以在所述受控網(wǎng)絡(luò)增加規(guī)模時(shí)及時(shí)更新其配套的邏輯信息。進(jìn)一步對(duì)上述內(nèi)容中的一些步驟進(jìn)行說(shuō)明。步驟S102 中登錄所述設(shè)備管理員,以管理針對(duì)所述受控網(wǎng)絡(luò)中至少一個(gè)設(shè)備的訪問(wèn)包括查看所有設(shè)備管理員、查看所有普通用戶、創(chuàng)建并配置普通用戶、配置由系統(tǒng)設(shè)備管理員或普通用戶組成的用戶組、查看和編輯分配給當(dāng)前設(shè)備管理員的設(shè)備對(duì)象并配置設(shè)備賬號(hào)。
登錄所述設(shè)備管理員,并為該設(shè)備配置訪問(wèn)控制策略包括基于下述一項(xiàng)或者多項(xiàng)或其任意組合來(lái)配置所述訪問(wèn)控制策略訪問(wèn)時(shí)間、IP地址訪問(wèn)、用戶/用戶組、設(shè)備/ 設(shè)備組、訪問(wèn)賬號(hào)、操作命令、危險(xiǎn)級(jí)別、記錄日志和/或發(fā)送告警。以上各項(xiàng)是所述普通用戶對(duì)所述受控網(wǎng)絡(luò)中的設(shè)備產(chǎn)生訪問(wèn)行為時(shí)需要監(jiān)控和控制的因素。此外,登錄所述設(shè)備管理員,并為該設(shè)備配置訪問(wèn)控制策略還包括登錄所述設(shè)備管理員,查看與其創(chuàng)建的訪問(wèn)策略相關(guān)的審計(jì)日志以及審計(jì)報(bào)表。所述審計(jì)日志或?qū)徲?jì)報(bào)表是普通用戶根據(jù)所述訪問(wèn)控制策略對(duì)設(shè)備產(chǎn)生訪問(wèn)行為中的字符通信、圖形通信或文件傳輸通信后生成的。優(yōu)選地,當(dāng)?shù)卿浰銎胀ㄓ脩舻挠脩粼綑?quán)對(duì)所述受控網(wǎng)絡(luò)中的設(shè)備進(jìn)行操作時(shí), 所述設(shè)備管理員有權(quán)對(duì)當(dāng)前越權(quán)操作的普通用戶的命令進(jìn)行阻斷。步驟S103 中登錄所述普通用戶賬戶并根據(jù)所述訪問(wèn)控制策略訪問(wèn)所述設(shè)備包括登錄所述普通用戶的主賬號(hào),該主賬號(hào)映射至少一組用于訪問(wèn)設(shè)備的從賬號(hào),所述普通用戶在所述從賬號(hào)對(duì)應(yīng)的設(shè)備訪問(wèn)權(quán)限內(nèi)、根據(jù)所述訪問(wèn)控制策略訪問(wèn)所述設(shè)備。優(yōu)選地,登錄所述設(shè)備管理員,將從賬號(hào)對(duì)應(yīng)的設(shè)備訪問(wèn)權(quán)限授權(quán)給所述普通用戶,即所述普通用戶的主賬號(hào)與所述從賬號(hào)的對(duì)應(yīng)關(guān)系由所述設(shè)備管理員配置。除此之外,基于網(wǎng)絡(luò)的安全審計(jì)考慮,可以在所述受控網(wǎng)絡(luò)中設(shè)置審計(jì)員,登錄該審計(jì)員對(duì)所述普通用戶和/或所述設(shè)備管理員的網(wǎng)絡(luò)操作行為進(jìn)行審計(jì),例如查看所有正在進(jìn)行設(shè)備訪問(wèn)的會(huì)話并監(jiān)控用戶的實(shí)時(shí)操作。所述會(huì)話主要包括以下幾類字符會(huì)話 (例如基于SSH協(xié)議或Telnet協(xié)議的字符會(huì)話)、圖形會(huì)話(例如基于RDP協(xié)議或VNC協(xié)議的圖形會(huì)話)、文件傳輸會(huì)話(例如基于FTP協(xié)議或SFTP協(xié)議的文件傳輸會(huì)話)。進(jìn)一步地,登錄審計(jì)員對(duì)所述普通用戶和/或所述設(shè)備管理員的網(wǎng)絡(luò)操作行為進(jìn)行審計(jì)還包括 基于下述一項(xiàng)或者多項(xiàng)或其任意組合來(lái)配置審計(jì)策略訪問(wèn)時(shí)間、IP地址訪問(wèn)、用戶/用戶組、設(shè)備/設(shè)備組、訪問(wèn)賬號(hào)、操作命令、危險(xiǎn)級(jí)別、記錄日志和/或發(fā)送告警。為了更好地說(shuō)明本發(fā)明提供的網(wǎng)絡(luò)的管理方法,請(qǐng)參考圖2,圖2是圖1示出的方法應(yīng)用至受控網(wǎng)絡(luò)中的關(guān)系結(jié)構(gòu)示意圖,該受控網(wǎng)絡(luò)中包括賬戶邏輯系統(tǒng)100,該賬戶邏輯系統(tǒng)100中包括初始的超級(jí)管理員101,以及該超級(jí)管理員101創(chuàng)建和配置的設(shè)備管理員 102和普通用戶103。用戶接入所述受控網(wǎng)絡(luò)時(shí),使用用戶終端200—側(cè)內(nèi)的終端(例如PC 終端201、筆記本終端202和服務(wù)器終端203等)登錄激活超級(jí)管理員101、設(shè)備管理員102 和普通用戶103即可。當(dāng)超級(jí)管理員101配置設(shè)備管理員102時(shí),即指定設(shè)備管理員102管理的設(shè)備范圍,在本實(shí)施例中設(shè)備管理員102可以管理設(shè)備和系統(tǒng)300 —側(cè)內(nèi)的所有設(shè)備或系統(tǒng),例如數(shù)據(jù)庫(kù)301、路由器302和服務(wù)器303,設(shè)備管理員102可以查看并訪問(wèn)設(shè)備和系統(tǒng)300 — 側(cè)內(nèi)的所有設(shè)備和系統(tǒng)、可以為該設(shè)備或系統(tǒng)配置訪問(wèn)控制策略、可以監(jiān)控上述設(shè)備或系統(tǒng)正在進(jìn)行在線回話。當(dāng)超級(jí)管理員100配置普通用戶103時(shí),即指定其可以訪問(wèn)的設(shè)備范圍。普通用戶103可以查看并訪問(wèn)超級(jí)管理員101分配的設(shè)備,但是其訪問(wèn)權(quán)限由設(shè)備管理員102配置的訪問(wèn)控制策略控制。登錄超級(jí)管理員101后,可以對(duì)設(shè)備和系統(tǒng)300 —側(cè)(即所述受控網(wǎng)絡(luò)的部分物理實(shí)體)的設(shè)備進(jìn)行維護(hù),例如將新設(shè)備添加至所述受控網(wǎng)絡(luò)中、修改所述受控網(wǎng)絡(luò)中的設(shè)備的信息和/或刪除所述受控網(wǎng)絡(luò)中的設(shè)備。圖2中用戶登錄普通用戶103時(shí)首先登錄普通用戶103的主賬號(hào),該主賬號(hào)映射三組從賬號(hào),分別是數(shù)據(jù)庫(kù)從賬號(hào)、路由器從賬號(hào)和服務(wù)器從賬號(hào),分別用于訪問(wèn)數(shù)據(jù)庫(kù) 301、路由器302和服務(wù)器303。該主賬號(hào)映射上述從賬號(hào)的過(guò)程由賬號(hào)映射邏輯體110完成。以數(shù)據(jù)庫(kù)從賬號(hào)為例,該數(shù)據(jù)庫(kù)從賬號(hào)是由數(shù)據(jù)庫(kù)301預(yù)先分配的,同時(shí)數(shù)據(jù)庫(kù)301也指定了使用所述數(shù)據(jù)庫(kù)從賬號(hào)的用戶所具有的維護(hù)權(quán)限,例如針對(duì)所述該數(shù)據(jù)庫(kù)從賬號(hào), 數(shù)據(jù)庫(kù)系統(tǒng)301已經(jīng)為其分配了修改、查詢、恢復(fù)日志等維護(hù)權(quán)限。在本實(shí)施例中,設(shè)備和系統(tǒng)300 —側(cè)只具有一個(gè)數(shù)據(jù)庫(kù)301,相應(yīng)地,普通用戶103的主賬號(hào)只對(duì)應(yīng)一租數(shù)據(jù)庫(kù)從賬號(hào)。隨著整個(gè)網(wǎng)絡(luò)的擴(kuò)容,設(shè)備和系統(tǒng)300 —側(cè)可以添加多個(gè)的數(shù)據(jù)庫(kù)系統(tǒng)(圖中未示出),如果需要使普通用戶103具有訪問(wèn)上述多個(gè)數(shù)據(jù)庫(kù)系統(tǒng)的權(quán)限,則該普通用戶103的主賬號(hào)還應(yīng)映射多組用于登錄所述多個(gè)數(shù)據(jù)庫(kù)系統(tǒng)的數(shù)據(jù)庫(kù)從賬號(hào)。此外,類似普通用戶啊103的主賬號(hào)映射所述數(shù)據(jù)庫(kù)從賬號(hào)的安排,在本實(shí)施例中普通用戶103還具有訪問(wèn)路由器302和服務(wù)器303的權(quán)限,其具體訪問(wèn)流程可以參考前述內(nèi)容中關(guān)于訪問(wèn)數(shù)據(jù)庫(kù)301 的流程。具體而言,所述數(shù)據(jù)庫(kù)301、路由器302和服務(wù)器303代表一個(gè)單獨(dú)的設(shè)備,例如數(shù)據(jù)庫(kù)301包括信用卡數(shù)據(jù)庫(kù)系統(tǒng)或人事管理數(shù)據(jù)庫(kù),路由器302包括局域網(wǎng)路由器貨骨干網(wǎng)路由器,服務(wù)器303包括工作組服務(wù)器、部門級(jí)服務(wù)器或企業(yè)級(jí)服務(wù)器等。用戶登錄普通用戶103的主賬號(hào)的方法可以是采用傳統(tǒng)的口令機(jī)制,例如直接輸入主賬號(hào)的ID和密碼, 也可以是采用MAC地址綁定、IP地址綁定、電子密鑰、便攜設(shè)備密鑰、LDAP認(rèn)證或RADIUS認(rèn)證的方法登錄該主賬號(hào),即用戶使用所述受控網(wǎng)絡(luò)中任一臺(tái)終端并發(fā)起登錄請(qǐng)求時(shí),驗(yàn)證該終端攜帶的身份認(rèn)證信息,若與普通用戶103的主賬號(hào)匹配則提供訪問(wèn)授權(quán)。優(yōu)選地,本發(fā)明提供的網(wǎng)絡(luò)的管理方法中還可以在賬戶邏輯系統(tǒng)100內(nèi)配置審計(jì)員(圖中未示出),登錄該審計(jì)員配置審計(jì)策略,并根據(jù)該審記策略可以對(duì)普通用戶103和 /或設(shè)備管理員102的網(wǎng)絡(luò)操作行為進(jìn)行審計(jì)。舉例說(shuō)明一方面,登錄該審計(jì)員后,可以對(duì)設(shè)備管理員102對(duì)賬號(hào)映射邏輯體110操作進(jìn)行審計(jì),例如查看設(shè)備管理員102對(duì)其管理的設(shè)備賬號(hào)分配的情況,以及上述設(shè)備賬號(hào)的使用情況;另一方面,登錄該審計(jì)員后,可以對(duì)普通用戶103訪問(wèn)設(shè)備和系統(tǒng)300 —側(cè)設(shè)備或系統(tǒng)的明細(xì)情況進(jìn)行審計(jì),例如查看依照審記策略所需記錄的內(nèi)容產(chǎn)生的審計(jì)日志或?qū)徲?jì)報(bào)表,具體而言,上述審計(jì)日志或?qū)徲?jì)報(bào)表包括的內(nèi)容包括普通用戶103發(fā)起訪問(wèn)的起始和終止時(shí)間、訪問(wèn)IP地址、目標(biāo)設(shè)備 IP地址、設(shè)備名稱、協(xié)議類型、事件等級(jí)和操作內(nèi)容中的一項(xiàng)或多項(xiàng),其中操作內(nèi)容包括基于SSH協(xié)議或Telnet協(xié)議的字符會(huì)話操作、基于RDP協(xié)議或VNC協(xié)議的圖形會(huì)話操作、基于FTP協(xié)議或SFTP協(xié)議的文件傳輸會(huì)話操作,可用視頻記錄的方式記錄上述會(huì)話操作的具體過(guò)程,展示從登錄到退出整個(gè)操作會(huì)話過(guò)程中的輸入命令以及每步操作返回的執(zhí)行結(jié)果。還可以實(shí)時(shí)監(jiān)控普通用戶103基于上述幾種協(xié)議進(jìn)行的操作行為。圖2示出的實(shí)施例中只示出了存在一個(gè)設(shè)備管理員102和一個(gè)普通用戶103的情況,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解,隨著所述受控網(wǎng)絡(luò)的擴(kuò)容和精細(xì)分化,可以在賬戶邏輯系統(tǒng)中設(shè)置多個(gè)設(shè)備管理員102和普通用戶103。在實(shí)施過(guò)程中,賬戶邏輯系統(tǒng)100和賬戶映射邏輯體可以實(shí)施在一個(gè)單獨(dú)的設(shè)備中,將該單獨(dú)的設(shè)備接入用戶終端200 —側(cè)和設(shè)備和系統(tǒng)300 —側(cè)的通信鏈路之間,即可實(shí)現(xiàn)上述網(wǎng)絡(luò)的管理方法。根據(jù)本發(fā)明提供的網(wǎng)絡(luò)的管理方法,通過(guò)在受控網(wǎng)絡(luò)中設(shè)置超級(jí)管理員來(lái)創(chuàng)建設(shè)備管理員和普通用戶,可實(shí)現(xiàn)對(duì)受控網(wǎng)絡(luò)中的賬戶進(jìn)行集中管理。所述設(shè)備管理員為受控網(wǎng)絡(luò)中的設(shè)備配置訪問(wèn)控制策略,普通用戶根據(jù)該訪問(wèn)控制策略訪問(wèn)所述設(shè)備,提升受控網(wǎng)絡(luò)的管理的安全性和便捷性,也便于對(duì)設(shè)備管理員或普通用戶的操作行為進(jìn)行安全審計(jì)。本發(fā)明提供的實(shí)現(xiàn)網(wǎng)絡(luò)的管理方法可以使用可編程邏輯器件結(jié)合來(lái)實(shí)現(xiàn),也可以實(shí)施為計(jì)算機(jī)程序軟件,例如根據(jù)本發(fā)明的實(shí)施例可以是一種計(jì)算機(jī)程序產(chǎn)品,運(yùn)行該程序產(chǎn)品使計(jì)算機(jī)執(zhí)行用于所示范的方法。所述計(jì)算機(jī)程序產(chǎn)品包括計(jì)算機(jī)可讀存儲(chǔ)介質(zhì), 該介質(zhì)上包含計(jì)算機(jī)程序邏輯或代碼部分,用于實(shí)現(xiàn)上述網(wǎng)絡(luò)的管理方法。所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)可以是被安裝在計(jì)算機(jī)中的內(nèi)置介質(zhì)或者可從計(jì)算機(jī)主體拆卸的可移動(dòng)介質(zhì) (例如熱拔插技術(shù)存儲(chǔ)設(shè)備)。所述內(nèi)置介質(zhì)包括但不限于可重寫的非易失性存儲(chǔ)器,例如 RAM、ROM、快閃存儲(chǔ)器和硬盤。所述可移動(dòng)介質(zhì)包括但不限于光存儲(chǔ)媒體(例如CD-ROM和 DVD)、磁光存儲(chǔ)媒體(例如M0)、磁存儲(chǔ)媒體(例如盒帶或移動(dòng)硬盤)、具有內(nèi)置的可重寫的非易失性存儲(chǔ)器的媒體(例如存儲(chǔ)卡)和具有內(nèi)置ROM的媒體(例如ROM盒)。以上所揭露的僅為本發(fā)明的一些較佳實(shí)施例而已,當(dāng)然不能以此來(lái)限定本發(fā)明之權(quán)利范圍,因此依本發(fā)明權(quán)利要求所作的等同變化,仍屬本發(fā)明所涵蓋的范圍。
權(quán)利要求
1.一種網(wǎng)絡(luò)的管理方法,包括在受控網(wǎng)絡(luò)中設(shè)置超級(jí)管理員,登錄該超級(jí)管理員以創(chuàng)建并配置所述受控網(wǎng)絡(luò)中的設(shè)備管理員和普通用戶;登錄所述設(shè)備管理員,以管理針對(duì)所述受控網(wǎng)絡(luò)中至少一個(gè)設(shè)備的訪問(wèn),并為該設(shè)備配置訪問(wèn)控制策略;登錄所述普通用戶,以根據(jù)所述訪問(wèn)控制策略訪問(wèn)所述設(shè)備。
2.根據(jù)權(quán)利要求1所述的方法,還包括 登錄所述超級(jí)管理員,將新設(shè)備添加至所述受控網(wǎng)絡(luò)中、修改所述受控網(wǎng)絡(luò)中的設(shè)備的信息和/或刪除所述受控網(wǎng)絡(luò)中的設(shè)備。
3.根據(jù)權(quán)利要求1所述的方法,其中,登錄所述設(shè)備管理員,以管理針對(duì)所述受控網(wǎng)絡(luò)中至少一個(gè)設(shè)備的訪問(wèn)包括查看所有設(shè)備管理員、查看所有普通用戶、創(chuàng)建并配置普通用戶、配置由系統(tǒng)設(shè)備管理員或普通用戶組成的用戶組、查看和編輯分配給當(dāng)前設(shè)備管理員的設(shè)備對(duì)象并配置設(shè)備賬號(hào)。
4.根據(jù)權(quán)利要求1所述的方法,其中,登錄所述設(shè)備管理員,并為該設(shè)備配置訪問(wèn)控制策略包括基于下述一項(xiàng)或者多項(xiàng)或其任意組合來(lái)配置所述訪問(wèn)控制策略訪問(wèn)時(shí)間、IP地址訪問(wèn)、用戶/用戶組、設(shè)備/設(shè)備組、訪問(wèn)賬號(hào)、操作命令、危險(xiǎn)級(jí)別、記錄日志和/或發(fā)送告Sfc目。
5.根據(jù)權(quán)利要求1所述的方法,其中,登錄所述設(shè)備管理員,并為該設(shè)備配置訪問(wèn)控制策略還包括登錄所述設(shè)備管理員,查看與其創(chuàng)建的訪問(wèn)策略相關(guān)的審計(jì)日志以及審計(jì)報(bào)表。
6.根據(jù)權(quán)利要求1所述的方法,其中,登錄所述普通用戶賬戶并根據(jù)所述訪問(wèn)控制策略訪問(wèn)所述設(shè)備包括登錄所述普通用戶的主賬號(hào),該主賬號(hào)映射至少一組用于訪問(wèn)設(shè)備的從賬號(hào),所述普通用戶在所述從賬號(hào)對(duì)應(yīng)的設(shè)備訪問(wèn)權(quán)限內(nèi)、根據(jù)所述訪問(wèn)控制策略訪問(wèn)所述設(shè)備。
7.根據(jù)權(quán)利要求6所述的方法,還包括登錄所述設(shè)備管理員,將從賬號(hào)對(duì)應(yīng)的設(shè)備訪問(wèn)權(quán)限授權(quán)給所述普通用戶。
8.根據(jù)權(quán)利要求1所述的方法,還包括在所述受控網(wǎng)絡(luò)中設(shè)置審計(jì)員,登錄該審計(jì)員對(duì)所述普通用戶和/或所述設(shè)備管理員的網(wǎng)絡(luò)操作行為進(jìn)行審計(jì)。
9.根據(jù)權(quán)利要求8所述的方法,其中,登錄審計(jì)員對(duì)所述普通用戶和/或所述設(shè)備管理員的網(wǎng)絡(luò)操作行為進(jìn)行審計(jì)包括查看所有正在進(jìn)行設(shè)備訪問(wèn)的會(huì)話并監(jiān)控用戶的實(shí)時(shí)操作。
10.根據(jù)權(quán)利要求9所述的方法,其中,登錄審計(jì)員對(duì)所述普通用戶和/或所述設(shè)備管理員的網(wǎng)絡(luò)操作行為進(jìn)行審計(jì)還包括基于下述一項(xiàng)或者多項(xiàng)或其任意組合來(lái)配置審計(jì)策略訪問(wèn)時(shí)間、IP地址訪問(wèn)、用戶/ 用戶組、設(shè)備/設(shè)備組、訪問(wèn)賬號(hào)、操作命令、危險(xiǎn)級(jí)別、記錄日志和/或發(fā)送告警。
全文摘要
本發(fā)明提供了一種網(wǎng)絡(luò)的管理方法,包括在受控網(wǎng)絡(luò)中設(shè)置超級(jí)管理員,登錄該超級(jí)管理員以創(chuàng)建并配置所述受控網(wǎng)絡(luò)中的設(shè)備管理員和普通用戶;登錄所述設(shè)備管理員,以管理針對(duì)所述受控網(wǎng)絡(luò)中至少一個(gè)設(shè)備的訪問(wèn),并為該設(shè)備配置訪問(wèn)控制策略;登錄所述普通用戶,以根據(jù)所述訪問(wèn)控制策略訪問(wèn)所述設(shè)備。實(shí)施本發(fā)明提供的方法可實(shí)現(xiàn)對(duì)受控網(wǎng)絡(luò)中的賬戶進(jìn)行集中管理和提升受控網(wǎng)絡(luò)的管理的安全性和便捷性,也便于對(duì)設(shè)備管理員或普通用戶的操作行為進(jìn)行安全審計(jì)。
文檔編號(hào)H04L12/24GK102307114SQ20111028112
公開(kāi)日2012年1月4日 申請(qǐng)日期2011年9月21日 優(yōu)先權(quán)日2011年9月21日
發(fā)明者熊華根, 王豪 申請(qǐng)人:北京神州綠盟信息安全科技股份有限公司