專利名稱:基于協(xié)同方式的內(nèi)網(wǎng)安全管理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種基于協(xié)同方式的內(nèi)網(wǎng)安全管理方法。
背景技術(shù):
隨著計算機技術(shù)的發(fā)展,無紙辦公時代的到來,人們在感受著信息化所帶來的便利的同時,也面臨著越來越嚴重的威脅和挑戰(zhàn)。根據(jù)國際安全界的統(tǒng)計,每年全球計算機網(wǎng)絡(luò)遭受的攻擊和破壞70%以上是內(nèi)部人員所為。來自內(nèi)部的數(shù)據(jù)失竊和破壞所造成的危害遠遠高于外部黑客的攻擊。從近年的網(wǎng)絡(luò)安全情況來看,傳統(tǒng)的邊界網(wǎng)絡(luò)安全產(chǎn)品(例如防火墻等)對于源自內(nèi)部的攻擊顯得無能為力,無法解決內(nèi)部人員的主動信息泄漏、涉密信息的被動泄漏、非法主機接入內(nèi)部網(wǎng)絡(luò)、移動存儲設(shè)備的安全管理、終端主機的安全維護、移動辦公的安全訪問等問題。為了確保終端主機的安全,抵御內(nèi)部的網(wǎng)絡(luò)攻擊,防止內(nèi)部的信息泄露,維護良好的信息環(huán)境,解決內(nèi)網(wǎng)安全管理問題迫在眉睫。因此,近年來市場上出現(xiàn)了各類內(nèi)網(wǎng)安全管理的解決方案,但是普遍存在如下的問題1)補丁和軟件的下發(fā)都從一個或少數(shù)幾個服務(wù)器下載,服務(wù)器負載大,重復(fù)下載現(xiàn)象嚴重,占用網(wǎng)絡(luò)流量大,對正常業(yè)務(wù)系統(tǒng)造成嚴重影響;2)服務(wù)器的性能是瓶頸,限制了安全管理的效率;3)系統(tǒng)伸縮性差;4)服務(wù)器存在單點失效問題。
發(fā)明內(nèi)容
鑒于上述技術(shù)問題,本發(fā)明提供一種對內(nèi)網(wǎng)終端設(shè)備進行安全管理的基于協(xié)同方式的內(nèi)網(wǎng)安全管理方法,其能夠?qū)崿F(xiàn)資產(chǎn)管理、終端安全管理、移動存儲介質(zhì)管理、文檔安全管理和準入控制管理等功能的同時,采用協(xié)同方式的安全管理方式,解決了內(nèi)網(wǎng)安全管理中性能問題,提升了安全管理的效率和效能。本發(fā)明所涉及的基于協(xié)同方式的內(nèi)網(wǎng)安全管理方法,包括以下步驟檢查步驟,終端設(shè)備定期與管理服務(wù)器進行安全策略的一致性檢查;請求步驟,當所述終端設(shè)備的安全策略與所述管理服務(wù)器不一致時,向所述管理服務(wù)器請求指定的安全策略;查詢步驟,所述管理服務(wù)器接到來自于所述終端設(shè)備的指定的安全策略的請求時,查詢已經(jīng)擁有該指定的安全策略的終端設(shè)備的配置信息,并根據(jù)擁有該指定的安全策略的終端設(shè)備的負載狀態(tài)信息,返回一個當前可用的、最小負載的安全策略引用;訪問步驟,所述終端設(shè)備根據(jù)所述安全策略引用,訪問擁有該指定的安全策略的終端設(shè)備,請求并獲取指定的安全策略;以及更新步驟,所述終端設(shè)備獲取所述指定的安全策略后,將安全策略信息、當前負載狀態(tài)信息、 配置信息更新到所述管理服務(wù)器。在上述的內(nèi)網(wǎng)安全管理方法中,還包括保存步驟,在每個終端設(shè)備啟動時,將所述終端設(shè)備的安全策略信息、負載狀態(tài)信息、配置信息、可用的資源信息更新并保存到所述管理服務(wù)器中。 在上述的內(nèi)網(wǎng)安全管理方法中,還包括定義步驟,在所述管理服務(wù)器中預(yù)先定義安全策略,并設(shè)置需要應(yīng)用安全策略的所述終端設(shè)備。在上述的內(nèi)網(wǎng)安全管理方法中,在所述檢查步驟中,當所述終端設(shè)備的安全策略與所述管理服務(wù)器不一致時,所述終端設(shè)備先在自身的終端資源庫中進行查找,當查找不到時,向所述管理服務(wù)器發(fā)出請求,進入所述請求步驟。在上述的內(nèi)網(wǎng)安全管理方法中,所述終端設(shè)備之間、所述終端設(shè)備和所述管理服務(wù)器之間的數(shù)據(jù)通信采用加密和壓縮的通信方式。在上述的內(nèi)網(wǎng)安全管理方法中,所述管理服務(wù)器和控制臺之間采用https的加密通信方式。在上述的內(nèi)網(wǎng)安全管理方法中,所述終端設(shè)備為多臺。在上述的內(nèi)網(wǎng)安全管理方法中,所述管理服務(wù)器為多臺。在上述的內(nèi)網(wǎng)安全管理方法中,所述終端設(shè)備、所述管理服務(wù)器和所述控制臺構(gòu)成的內(nèi)網(wǎng)安全管理系統(tǒng)支持多級部署方式,根據(jù)網(wǎng)絡(luò)的規(guī)模和管理級別而劃分為N級,其中,N為大于1的整數(shù)。在上述的內(nèi)網(wǎng)安全管理方法中,所述安全策略包括補丁管理策略、主機防火墻策略、HTTP監(jiān)控策略、端口監(jiān)控策略、進程監(jiān)控策略、準入控制策略、文檔安全監(jiān)控策略、移動存儲介質(zhì)監(jiān)控策略。根據(jù)本發(fā)明的基于協(xié)同方式的內(nèi)網(wǎng)安全管理方法,其主要通過包括安全策略在內(nèi)的資源統(tǒng)一制定和管理,對終端主機的安全狀態(tài)進行監(jiān)控,對機密信息進行加密存儲,對可能導(dǎo)致機密信息泄露的各類途徑進行監(jiān)管,從而防止信息泄漏;而且,采用協(xié)同方式對資源統(tǒng)一調(diào)度,避免服務(wù)器單點失效,提升在大型網(wǎng)絡(luò)環(huán)境下的性能和效率。在本發(fā)明中,采用協(xié)同方式實現(xiàn)對安全策略的定義、分發(fā)和應(yīng)用;安全策略是通過終端設(shè)備之間互相傳播和共享的,不是集中從管理服務(wù)器下載,大大降低了管理服務(wù)器的負載,減少了網(wǎng)絡(luò)流量,同時提高了安全管理的效率。
當結(jié)合附圖考慮時,通過參照下面的詳細描述,能夠更完整更好地理解本發(fā)明以及容易得知其中許多伴隨的優(yōu)點,但此處所說明的附圖用來提供對本發(fā)明的進一步理解, 構(gòu)成本申請的一部分,本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明,并不構(gòu)成對本發(fā)明的不當限定,其中圖1是內(nèi)網(wǎng)安全管理系統(tǒng)的部署示意圖。圖2是內(nèi)網(wǎng)安全管理系統(tǒng)的框圖。圖3是內(nèi)網(wǎng)安全管理系統(tǒng)的協(xié)同工作的流程圖。圖4是本發(fā)明的基于協(xié)同方式的內(nèi)網(wǎng)安全管理方法的流程圖。圖5是本發(fā)明的基于協(xié)同方式的內(nèi)網(wǎng)安全管理方法的另一實施例的流程圖。
具體實施例方式圖1是內(nèi)網(wǎng)安全管理系統(tǒng)的部署示意圖,如圖1所示,本發(fā)明所涉及的基于協(xié)同方式的內(nèi)網(wǎng)安全管理系統(tǒng)包括多臺終端設(shè)備100、管理服務(wù)器200和控制臺300。多臺終端設(shè)備的各臺終端設(shè)備100上安裝有代理程序,可以接受來自管理服務(wù)器 200的安全策略,根據(jù)安全策略實現(xiàn)文檔安全管理、移動介質(zhì)管理、用戶行為監(jiān)管和數(shù)據(jù)加解密等功能,同時將安全信息上報給管理服務(wù)器200。具體地,終端設(shè)備100通過執(zhí)行代理程序具有信息采集、安全策略執(zhí)行、數(shù)據(jù)加解密、文檔安全管理、移動介質(zhì)監(jiān)管、以及用戶行為監(jiān)管等功能。管理服務(wù)器200是系統(tǒng)的控制中心,其接受并處理下級終端設(shè)備的安全信息,制定并下發(fā)安全策略給終端設(shè)備,同時接受和響應(yīng)來自控制臺300的管理指令。控制臺300是用戶交互的界面,接收并響應(yīng)用戶的指令??刂婆_300是具有瀏覽器、例如IE瀏覽器功能的計算機設(shè)備,控制臺300可以單獨設(shè)置,也可以設(shè)置在終端設(shè)備 100或管理服務(wù)器200上。圖2是內(nèi)網(wǎng)安全管理系統(tǒng)的框圖,如圖2所示,每臺終端設(shè)備100包括終端通信模塊110、終端控制模塊120、終端安全引擎130、移動介質(zhì)引擎140、文檔安全引擎150、準入控制引擎160、終端資源庫170。終端通信模塊110負責(zé)終端設(shè)備100和管理服務(wù)器200、各終端設(shè)備100之間的通信處理,實現(xiàn)通信連接的建立、數(shù)據(jù)的收發(fā)、通信加解密和斷點續(xù)傳等功能。終端控制模塊120是終端設(shè)備100的核心部件,負責(zé)對終端設(shè)備100內(nèi)部各模塊進行統(tǒng)一管理,其通過終端通信模塊110從管理服務(wù)器200接受安全策略,并將安全策略應(yīng)用到終端安全引擎130、移動介質(zhì)引擎140、文檔安全引擎150、準入控制引擎160。而且, 其接受上述各引擎的告警和狀態(tài)信息,然后通過終端通信模塊110轉(zhuǎn)發(fā)給上級管理服務(wù)器 200 ;而且,其還對終端設(shè)備中的終端資源庫170進行統(tǒng)一監(jiān)控和管理。終端安全引擎130根據(jù)安全策略實現(xiàn)對終端設(shè)備的主機等執(zhí)行安全防護和監(jiān)控, 主要功能包括進程監(jiān)控、端口監(jiān)視、性能監(jiān)視、流量監(jiān)視、打印監(jiān)視、外設(shè)監(jiān)控、軟件硬件監(jiān)控、非法外聯(lián)監(jiān)控、補丁和漏洞的管理、主機防火墻、HTTP訪問監(jiān)控、軟件分發(fā)、非法內(nèi)聯(lián)監(jiān)控等功能。移動介質(zhì)引擎140根據(jù)安全策略實現(xiàn)對移動存儲介質(zhì)執(zhí)行安全監(jiān)控,防止信息泄漏,主要包括接入認證、分等級權(quán)限控制、移動存儲的強審計、移動存儲的掛失和解掛、以及移動存儲防泄密等功能。文檔安全引擎150根據(jù)安全策略實現(xiàn)對重要文檔進行安全管理,防止文檔泄密, 主要包括文檔透明加解密、文檔權(quán)限控制等功能。準入控制引擎160根據(jù)安全策略實現(xiàn)對終端設(shè)備接入網(wǎng)絡(luò)的行為進行監(jiān)控,主要包括安全狀態(tài)檢查、802. Ix準入控制等功能。終端資源庫170保存終端設(shè)備工作時需要的一些資源信息,主要包括補丁文件、 軟件文件和安全策略等。此外,管理服務(wù)器200具有安全策略集中管理、機密文件存儲和備份、資產(chǎn)管理、 認證和授權(quán)、分析和報表、以及雙機熱備和負載均衡等功能。具體地,如圖2所示,管理服務(wù)器200包括管理服務(wù)器通信模塊210、管理服務(wù)器控制模塊220、終端安全管理模塊230、移動介質(zhì)管理模塊M0、文檔安全管理模塊250、準入控制管理模塊260、資產(chǎn)管理模塊270、策略管理模塊觀0、認證授權(quán)模塊四0、注冊服務(wù)模塊四4、資源信息庫四8。管理服務(wù)器通信模塊210責(zé)終端設(shè)備100和管理服務(wù)器200、管理服務(wù)器200和控制臺300之間的通信處理,實現(xiàn)通信連接的建立、數(shù)據(jù)的收發(fā)、通信加解密等功能。管理服務(wù)器控制模塊220是管理服務(wù)器200的核心部件,負責(zé)對管理服務(wù)器內(nèi)部各模塊進行統(tǒng)一管理,通過管理服務(wù)器通信模塊210將安全策略和控制命令下發(fā)給下級的終端設(shè)備100。另外,其接受來自控制臺300的用戶指令,并根據(jù)用戶指令對其他模塊進行管理和控制。而且,還對管理服務(wù)器200中的任務(wù)實現(xiàn)進行統(tǒng)一調(diào)度和管理。終端安全管理模塊230負責(zé)對終端設(shè)備的主機執(zhí)行集中的安全防護和監(jiān)控,主要功能包括進程監(jiān)控、端口監(jiān)視、性能監(jiān)視、流量監(jiān)視、打印監(jiān)視、外設(shè)監(jiān)控、軟件硬件監(jiān)控、 非法外聯(lián)監(jiān)控、補丁和漏洞的管理、主機防火墻、HTTP訪問監(jiān)控、軟件分發(fā)、非法內(nèi)聯(lián)監(jiān)控等功能。移動介質(zhì)管理模塊240負責(zé)對移動存儲介質(zhì)執(zhí)行集中統(tǒng)一的安全監(jiān)控,防止信息泄漏,主要包括接入認證、分等級權(quán)限控制、移動存儲的強審計、移動存儲的掛失和解掛和移動存儲防泄密等功能。文檔安全管理模塊250負責(zé)對機密文檔執(zhí)行集中統(tǒng)一的安全管理,防止文檔泄密,主要包括文檔透明加解密、文檔權(quán)限控制等功能。準入控制管理模塊沈0負責(zé)對終端接入網(wǎng)絡(luò)的行為執(zhí)行集中統(tǒng)一的監(jiān)控和管理, 主要包括安全狀態(tài)檢查、802. Ix準入控制等功能。資產(chǎn)管理模塊270實現(xiàn)對網(wǎng)絡(luò)內(nèi)的資產(chǎn)執(zhí)行集中統(tǒng)一管理,主要包括資產(chǎn)的分組管理、資產(chǎn)導(dǎo)入導(dǎo)出等功能。策略管理模塊觀0實現(xiàn)對系統(tǒng)內(nèi)安全策略執(zhí)行集中統(tǒng)一的管理,主要包括策略的制定、策略分發(fā)、策略監(jiān)控等功能。認證授權(quán)模塊四0實現(xiàn)統(tǒng)一的用戶認證和基于角色的權(quán)限管理功能。注冊服務(wù)模塊四4負責(zé)對內(nèi)網(wǎng)安全管理系統(tǒng)中所有資源信息進行統(tǒng)一管理,維護資源信息庫四8中的內(nèi)容。資源信息庫298用于存儲每個終端的地址信息、配置信息、負載狀態(tài)和可用的資源信息等。如圖2所示,控制臺300包括控制臺通信模塊310、控制臺控制模塊320、人機交互模塊330、展現(xiàn)模塊340。控制臺通信模塊310負責(zé)管理服務(wù)器200和控制臺300之間的通信處理,實現(xiàn)通信連接的建立、數(shù)據(jù)的收發(fā)、通信加解密等功能??刂婆_控制模塊320負責(zé)對其他模塊執(zhí)行集中統(tǒng)一的管理,實現(xiàn)任務(wù)的統(tǒng)一調(diào)度、數(shù)據(jù)集中分派等功能。人機交互模塊330負責(zé)和管理者交互,實現(xiàn)人機交互,提供圖形化的管理界面。展現(xiàn)模塊340實現(xiàn)報表等多種方式的數(shù)據(jù)表現(xiàn)。每個終端設(shè)備100在啟動時,通過終端控制模塊120,借助終端通信模塊110將自己的地址信息、配置信息、負載狀態(tài)和可用的資源信息(例如補丁文件,軟件包)更新到管理服務(wù)器200的信息資源庫四8中;管理服務(wù)器200的信息資源庫298就保存有當前網(wǎng)絡(luò)中所有終端設(shè)備100的負載狀態(tài)信息、配置信息和資源信息,可實現(xiàn)統(tǒng)一的分配和管理;當某個終端設(shè)備需要獲取制定的資源時(例如安全策略或補丁文件)。執(zhí)行圖3所示的各步驟。圖3是內(nèi)網(wǎng)安全管理系統(tǒng)的協(xié)同工作的流程圖。如圖3所示,包括以下步驟S310 終端設(shè)備100請求特定的資源(例如安全策略、補丁文件等)。S320 終端設(shè)備100的終端控制模塊120在終端資源庫170中查找是否存在該資源。S330 判斷是否查找到?如果有,則退出;否則進入S340。S340 終端設(shè)備100的終端控制模塊120通過終端通信模塊110,將資源查找的請求轉(zhuǎn)發(fā)給遠程管理服務(wù)器200的注冊服務(wù)模塊四5。S350 管理服務(wù)器200的注冊服務(wù)模塊294查詢資源信息庫四8,將當前可用的、 負載最小的資源定位信息返回。S360 終端設(shè)備100根據(jù)返回的資源定位信息,通過終端通信模塊110遠程請求并
獲得該資源。S370 終端設(shè)備100獲得該資源后,終端設(shè)備100的終端控制模塊120通過終端通信模塊110,將本地的負載狀態(tài)和資源的定位信息等通知給管理服務(wù)器200的注冊服務(wù)模塊 294。注冊服務(wù)模塊294更新其資源信息庫298后,該終端設(shè)備上的資源就也能被其他終端設(shè)備訪問了。圖4是本發(fā)明的基于協(xié)同方式的內(nèi)網(wǎng)安全管理方法的流程圖。如圖4所示,包括以下步驟S410檢查步驟終端設(shè)備定期和管理服務(wù)器進行策略一致性檢查;如果管理服務(wù)器和終端設(shè)備之間的安全策略一致,則退出;否則執(zhí)行S420。S420請求步驟終端設(shè)備查詢管理服務(wù)器,請求最新的安全策略;S430查詢步驟管理服務(wù)器查詢系統(tǒng)中已經(jīng)擁有該安全策略的代理配置信息,并根據(jù)這些代理的負載狀態(tài)信息,返回一個當前可用的、最小負載的安全策略引用。S440訪問步驟代理根據(jù)管理服務(wù)器返回的安全策略引用,遠程訪問擁有該安全策略的其他終端設(shè)備,請求并獲取指定的安全策略。S450更新步驟代理成功獲得需要的安全策略后,將安全策略信息、當前負載狀態(tài)信息、配置信息更新到管理服務(wù)器,更新成功后,這個代理也能接受并響應(yīng)其他代理的安全策略請求指令了,實現(xiàn)了安全策略的分布式共享。圖5是本發(fā)明的基于協(xié)同方式的內(nèi)網(wǎng)安全管理方法的另一實施例的流程圖。如圖 5所示,包括以下步驟S510定義步驟在管理服務(wù)器定義安全策略,并設(shè)置需要應(yīng)用該策略的終端設(shè)備對象。S520檢查步驟終端設(shè)備定期和管理服務(wù)器進行策略一致性檢查;如果管理服務(wù)器和終端設(shè)備之間的安全策略一致,則退出;否則執(zhí)行S530。S530請求步驟終端設(shè)備查詢管理服務(wù)器,請求指定的安全策略。指定的安全策略可以是最新的安全策略。S540查詢步驟管理服務(wù)器查詢系統(tǒng)中已經(jīng)擁有該安全策略的代理配置信息,并根據(jù)這些代理的負載狀態(tài)信息,返回一個當前可用的、最小負載的安全策略引用。S550訪問步驟代理根據(jù)管理服務(wù)器返回的安全策略引用,遠程訪問擁有該安全策略的其他終端設(shè)備,請求并獲取指定的安全策略。S560更新步驟代理成功獲得需要的安全策略后,將安全策略信息、當前負載狀態(tài)信息、配置信息更新到管理服務(wù)器,更新成功后,這個代理也能接受并響應(yīng)其他代理的安全策略請求指令了,實現(xiàn)了安全策略的分布式共享。S570保存步驟在每個終端設(shè)備啟動時,將終端設(shè)備的安全策略信息、負載狀態(tài)信息、配置信息、可用的資源信息更新并保存到所述管理服務(wù)器中。此外,在檢查步驟S520中,當所述終端設(shè)備的安全策略與所述管理服務(wù)器不一致時,所述終端設(shè)備先在自身的終端資源庫中進行查找,當查找不到時,向所述管理服務(wù)器發(fā)出請求。上述的安全策略包括補丁管理策略、主機防火墻策略、HTTP監(jiān)控策略、端口監(jiān)控策略、進程監(jiān)控策略、準入控制策略、文檔安全監(jiān)控策略、移動存儲介質(zhì)監(jiān)控策略等。在基于協(xié)同的內(nèi)網(wǎng)安全管理方法中,安全策略是通過終端設(shè)備之間互相傳播和共享的,不是集中從管理服務(wù)器下載,大大降低了管理服務(wù)器的負載,減少了網(wǎng)絡(luò)流量,同時提高了安全管理的效率。當然,除了安全策略之外,其他的資源也可以通過終端設(shè)備之間互相傳播和共享。采用協(xié)同方式的內(nèi)網(wǎng)安全管理降低了管理服務(wù)器的壓力,大大減少了網(wǎng)絡(luò)的流量,同時提高了管理效能,避免了服務(wù)器的單點失效問題,能有效提升內(nèi)網(wǎng)管理的性能和效率。針對大型網(wǎng)絡(luò)環(huán)境的特點,本發(fā)明將終端設(shè)備和管理服務(wù)器都實現(xiàn)為獨立結(jié)點, 這些結(jié)點可獨立工作,也可以互相協(xié)同工作,根據(jù)安全管理任務(wù)的不同組成不同的集群,系統(tǒng)根據(jù)集群內(nèi)結(jié)點的負載狀態(tài),對安全管理任務(wù)進行動態(tài)分配和資源調(diào)整,所有結(jié)點在統(tǒng)一安全策略的指導(dǎo)下協(xié)同工作。本發(fā)明的內(nèi)網(wǎng)安全管理系統(tǒng)支持多級部署的方式,在大規(guī)模網(wǎng)絡(luò)部署時,可以根據(jù)網(wǎng)絡(luò)的規(guī)模和管理級別而劃分為N(N> 1)級,其中在中心節(jié)點設(shè)立全網(wǎng)范圍的管理中心,制定并下發(fā)統(tǒng)一的全網(wǎng)安全管理策略。這些策略通過同步與復(fù)制的機制,在同級或下級管理中心間保持一致。下級管理中心上策略的變更也都會上傳給上級管理中心,在上級管理中心可以瀏覽任何一個下級管理中心的策略應(yīng)用情況,適用于大規(guī)模網(wǎng)絡(luò)環(huán)境的部署應(yīng)用。由于采用分散控制,可靠性高,降低了各節(jié)點服務(wù)器的負荷。在上述協(xié)同工作模式中,由于每個終端設(shè)備在訪問其他終端設(shè)備的資源后,也將自己擁有的資源更新到管理服務(wù)器的信息資源庫中,因此,通過管理服務(wù)器能對分布在網(wǎng)絡(luò)中的所有資源進行統(tǒng)一調(diào)度,每個終端設(shè)備既是資源的消費者又是資源的提供者,避免了在常規(guī)內(nèi)網(wǎng)安全管理中,由于所有資源都從服務(wù)器集中訪問,導(dǎo)致服務(wù)器負載重,重復(fù)下載現(xiàn)象嚴重,占用網(wǎng)絡(luò)流量大現(xiàn)象;同時,由于資源訪問是基于負載狀態(tài),選擇負載最小的訪問點,因此大大提高了安管效率,有效解決了性能問題。此外,為了解決管理服務(wù)器單點失效的問題,系統(tǒng)的管理服務(wù)器也是協(xié)同的,管理服務(wù)器構(gòu)建為可協(xié)同的獨立節(jié)點,每個管理服務(wù)器可單獨工作也可組成集群,支持雙機熱備和集群,實現(xiàn)管理服務(wù)器的負載均衡,統(tǒng)一調(diào)度和分配資源。基于此,提高了管理服務(wù)器的健壯性,主管理服務(wù)器停止工作,備份管理服務(wù)器還能平滑地替換,用戶完全感覺不到。 大大降低了管理的風(fēng)險,同時提高了管理效能,避免了服務(wù)器的單點失效問題,能有效提升內(nèi)網(wǎng)管理的性能和效率。終端設(shè)備和終端設(shè)備之間,終端設(shè)備和管理服務(wù)器之間的數(shù)據(jù)通信支持加密和壓縮;控制臺和管理服務(wù)器之間則采用https的加密通信方式,保證系統(tǒng)的通信安全。如上所述,對本發(fā)明的實施例進行了詳細地說明,但是只要實質(zhì)上沒有脫離本發(fā)明的發(fā)明點及效果可以有很多的變形,這對本領(lǐng)域的技術(shù)人員來說是顯而易見的。因此,這樣的變形例也全部包含在本發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
1.一種基于協(xié)同方式的內(nèi)網(wǎng)安全管理方法,包括以下步驟檢查步驟,終端設(shè)備定期與管理服務(wù)器進行安全策略的一致性檢查; 請求步驟,當所述終端設(shè)備的安全策略與所述管理服務(wù)器不一致時,向所述管理服務(wù)器請求指定的安全策略;查詢步驟,所述管理服務(wù)器接到來自于所述終端設(shè)備的指定的安全策略的請求時,查詢已經(jīng)擁有該指定的安全策略的終端設(shè)備的配置信息,并根據(jù)擁有該指定的安全策略的終端設(shè)備的負載狀態(tài)信息,返回一個當前可用的、最小負載的安全策略引用;訪問步驟,所述終端設(shè)備根據(jù)所述安全策略引用,訪問擁有該指定的安全策略的終端設(shè)備,請求并獲取指定的安全策略;以及更新步驟,所述終端設(shè)備獲取所述指定的安全策略后,將安全策略信息、當前負載狀態(tài)信息、配置信息更新到所述管理服務(wù)器。
2.根據(jù)權(quán)利要求1所述的內(nèi)網(wǎng)安全管理方法,還包括保存步驟,在每個終端設(shè)備啟動時,將所述終端設(shè)備的安全策略信息、負載狀態(tài)信息、 配置信息、可用的資源信息更新并保存到所述管理服務(wù)器中。
3.根據(jù)權(quán)利要求2所述的內(nèi)網(wǎng)安全管理方法,還包括定義步驟,在所述管理服務(wù)器中預(yù)先定義安全策略,并設(shè)置需要應(yīng)用安全策略的所述終端設(shè)備。
4.根據(jù)權(quán)利要求3所述的內(nèi)網(wǎng)安全管理方法,其中,在所述檢查步驟中,當所述終端設(shè)備的安全策略與所述管理服務(wù)器不一致時,所述終端設(shè)備先在自身的終端資源庫中進行查找,當查找不到時,向所述管理服務(wù)器發(fā)出請求,進入所述請求步驟。
5.根據(jù)權(quán)利要求3所述的內(nèi)網(wǎng)安全管理方法,其中,所述終端設(shè)備之間、所述終端設(shè)備和所述管理服務(wù)器之間的數(shù)據(jù)通信采用加密和壓縮的通信方式。
6.根據(jù)權(quán)利要求5所述的內(nèi)網(wǎng)安全管理方法,其中, 所述管理服務(wù)器和控制臺之間采用https的加密通信方式。
7.根據(jù)權(quán)利要求6所述的內(nèi)網(wǎng)安全管理方法,其中, 所述終端設(shè)備為多臺。
8.根據(jù)權(quán)利要求5所述的內(nèi)網(wǎng)安全管理方法,其中, 所述管理服務(wù)器為多臺。
9.根據(jù)權(quán)利要求8所述的內(nèi)網(wǎng)安全管理方法,包括所述終端設(shè)備、所述管理服務(wù)器和所述控制臺構(gòu)成的內(nèi)網(wǎng)安全管理系統(tǒng)支持多級部署方式,根據(jù)網(wǎng)絡(luò)的規(guī)模和管理級別而劃分為N級,其中,N為大于1的整數(shù)。
10.根據(jù)權(quán)利要求9所述的內(nèi)網(wǎng)安全管理方法,包括所述安全策略包括補丁管理策略、主機防火墻策略、HTTP監(jiān)控策略、端口監(jiān)控策略、 進程監(jiān)控策略、準入控制策略、文檔安全監(jiān)控策略、移動存儲介質(zhì)監(jiān)控策略。
全文摘要
一種基于協(xié)同方式的內(nèi)網(wǎng)安全管理方法,包括檢查步驟,終端設(shè)備定期與管理服務(wù)器進行安全策略的一致性檢查;請求步驟,當終端設(shè)備的安全策略與管理服務(wù)器不一致時,向管理服務(wù)器請求指定的安全策略;查詢步驟,管理服務(wù)器接到來自于終端設(shè)備的指定的安全策略的請求時,查詢已經(jīng)擁有該指定的安全策略的終端設(shè)備的配置信息,并根據(jù)擁有該指定的安全策略的終端設(shè)備的負載狀態(tài)信息,返回一個當前可用的、最小負載的安全策略引用;訪問步驟,終端設(shè)備根據(jù)安全策略引用,訪問擁有該指定的安全策略的終端設(shè)備,請求并獲取指定的安全策略;以及更新步驟,終端設(shè)備獲取指定的安全策略后,將安全策略信息、當前負載狀態(tài)信息、配置信息更新到管理服務(wù)器。
文檔編號H04L12/24GK102316122SQ201110323798
公開日2012年1月11日 申請日期2011年10月21日 優(yōu)先權(quán)日2011年10月21日
發(fā)明者曾勇, 許元進 申請人:北京海西賽虎信息安全技術(shù)有限公司