專利名稱：一種信息網(wǎng)絡安全運行的控制裝置及方法
技術領域：
本發(fā)明涉及信息網(wǎng)絡安全技術，特別是一種信息網(wǎng)絡安全運行的控制裝置，還有使用該裝置的方法。
背景技術：
信息網(wǎng)絡安全運行需要建立信息安全控制體系，而目前關于信息安全控制體系的實踐多采用操作規(guī)范等文檔形式進行控制，文檔繁多、執(zhí)行復雜、控制不精確、無法自我改進。

發(fā)明內(nèi)容
為克服現(xiàn)有技術的缺陷，本發(fā)明要解決的技術問題是提供了一種簡化信息安全控制體系的建立、自動執(zhí)行信息安全措施、保證對執(zhí)行結(jié)果實施檢查、不斷改進自身的信息網(wǎng)絡安全運行的控制裝置。本發(fā)明的技術方案是這種信息網(wǎng)絡安全運行的控制裝置，包括底層單元、中間層單元和基于互聯(lián)網(wǎng)WEB的用戶界面；底層單元具有網(wǎng)絡套接口、操作系統(tǒng)、數(shù)據(jù)庫及文件系統(tǒng)；中間層單元具有系統(tǒng)輪廓控制模塊，用于配置、存儲和控制目標網(wǎng)絡的基本信息、目標網(wǎng)絡的控制組織結(jié)構(gòu)以及安全方案的設定；系統(tǒng)和用戶控制模塊，用于系統(tǒng)設置及用戶設置，包括用戶權(quán)限控制、用戶信息控制、用戶與系統(tǒng)功能矩陣映射；安控系統(tǒng)計劃模塊，用于配置安全控制目標，控制安全控制目標與安全控制措施的連接，生成安全運行計劃供其他模塊執(zhí)行，生成適用性聲明文件；安控系統(tǒng)檢測模塊，用于讀取安全運行計劃，根據(jù)計劃生成系統(tǒng)監(jiān)測安排，根據(jù)系統(tǒng)監(jiān)測安排在線或定時進行監(jiān)測，并報告異常數(shù)據(jù)；系統(tǒng)運行報告模塊，用于生成系統(tǒng)運行結(jié)果報告，提供查詢、過濾功能；安控組件運行控制器，用于讀取安全運行計劃，與安控組件控制模塊配合按照計劃執(zhí)行相關安控組件；日志服務模塊，用于統(tǒng)一生成所有安控組件的日志信息；安控組件運行環(huán)境模塊，用于提供安控組件運行的必要應用編程接口 API和運行周期的控制；安控組件控制模塊，用于負責安控組件的添加、刪除、注冊，解析安控組件的描述文件，并提供安控組件的調(diào)用接口，并且安控組件控制模塊與外部的多個安控組件連接。還提供了使用該裝置的方法，包括以下步驟(1)注冊安控組件；(2)執(zhí)行該安控組件。通過采用本發(fā)明的裝置及方法建立了一個開放的安控體系框架，可以幫助相關組織簡化信息安全控制體系的建立、自動執(zhí)行信息安全措施、保證對執(zhí)行結(jié)果實施檢查、不斷改進自身。


圖1所示為根據(jù)本發(fā)明的裝置的結(jié)構(gòu)圖2所示為根據(jù)本發(fā)明的方法的步驟(1)的流程圖；圖3所示為根據(jù)本發(fā)明的方法的步驟O)的流程圖。
具體實施例方式下面通過附圖和實施例，對本發(fā)明的技術方案做進一步的詳細描述。如圖1所示，這種信息網(wǎng)絡安全運行的控制裝置，包括底層單元、中間層單元和基于TOB (基于HTTP技術的互聯(lián)網(wǎng))的用戶界面；底層單元具有網(wǎng)絡套接口、操作系統(tǒng)、數(shù)據(jù)庫及文件系統(tǒng)；中間層單元具有系統(tǒng)輪廓控制模塊，用于配置、存儲和控制目標網(wǎng)絡的基本信息、目標網(wǎng)絡的控制組織結(jié)構(gòu)以及安全方案的設定；系統(tǒng)和用戶控制模塊，用于系統(tǒng)設置及用戶設置，包括用戶權(quán)限控制、用戶信息控制、用戶與系統(tǒng)功能矩陣映射；安控系統(tǒng)計劃模塊，用于配置安全控制目標，控制安全控制目標與安全控制措施的連接，生成安全運行計劃供其他模塊執(zhí)行，生成適用性聲明文件；安控系統(tǒng)檢測模塊，用于讀取安全運行計劃， 根據(jù)計劃生成系統(tǒng)監(jiān)測安排，根據(jù)系統(tǒng)監(jiān)測安排在線或定時進行監(jiān)測，并報告異常數(shù)據(jù)；系統(tǒng)運行報告模塊，用于生成系統(tǒng)運行結(jié)果報告，提供查詢、過濾功能；安控組件運行控制器， 用于讀取安全運行計劃，與安控組件控制模塊配合按照計劃執(zhí)行相關安控組件；日志服務模塊，用于統(tǒng)一生成所有安控組件的日志信息；安控組件運行環(huán)境模塊，用于提供安控組件運行的必要API(Application Programming hterface，應用編程接口)和運行周期的控制；安控組件控制模塊，用于負責安控組件的添加、刪除、注冊，解析安控組件的描述文件， 并提供安控組件的調(diào)用接口，并且安控組件控制模塊與外部的多個安控組件連接。優(yōu)選地，所述安控組件包括組件描述部分、組件可執(zhí)行部分、組件配置部分。本裝置的核心功能是通過開放的組件結(jié)構(gòu)實現(xiàn)的。安控組件可由第三方(外部) 提供，但所有的安控組件都應該遵循以下協(xié)議進行設計。每個安控組件由三個文件組成組件描述文件、組件可執(zhí)行文件、組件配置文件。 其中組件描述文件和組件配置文件都是XML (extensible Markup Language，可擴展標記語言)格式的文件，而組件可執(zhí)行文件需編譯為操作系統(tǒng)命令行下可執(zhí)行文件，組件的相關功能都封裝在這個文件中。在系統(tǒng)中添加安控組件時，安控組件控制模塊執(zhí)行如下操作-要求用戶提供這三個文件，并將這三個文件拷貝到組件管理目錄中；-修改組件配置文件，在其中添加系統(tǒng)日志文件路徑；-在用戶界面上顯示組件的配置信息方便用戶調(diào)整；-在數(shù)據(jù)庫中添加相應組件記錄。當對應的安控組件被選入安全運行計劃中時，安控組件運行管理器根據(jù)運行計劃的順序依次執(zhí)行相應的安控組件。安控組件的運行方式是通過系統(tǒng)命令行直接執(zhí)行2進制可執(zhí)行文件。在組件執(zhí)行的過程中，相應的結(jié)果輸出到系統(tǒng)日志文件中。因此系統(tǒng)日志文件包含了所有組件運行的輸出。組件的運行方式有三種異步運行，同步運行和形式運行。異步運行的組件一旦開始運行，便會在后臺持續(xù)執(zhí)行，直到安全控制組件運行管理器發(fā)出終止命令；同步運行的組件相應的命令行程序退出時運行結(jié)束，將控制權(quán)交還組件運行管理器按照計劃運行下一個組件；形式運行的組件一般是管理控制項，運行管理器僅僅根據(jù)組件描述文件生成頁面在瀏覽器顯示即可，這種組件的日志文件由運行管理器負責記錄。其中組件描述文件采用XML格式定義，應包含組件名稱、組件開發(fā)組織、組件版本、組件描述文件版本、組件運行方式、組件運行命令。還提供了信息網(wǎng)絡安全運行的控制方法，包括以下步驟(1)注冊安控組件；(2)執(zhí)行該安控組件。優(yōu)選地，所述步驟(1)包括以下分步驟(1)開始；(2)提示用戶提交安控組件；(3)檢查安控組件是否完整，如是則執(zhí)行步驟，否則返回步驟(2)；(4)向組件配置部分中添加系統(tǒng)日志路徑；(5)在用戶界面上顯示組件描述部分和組件配置部分；(6)判斷用戶是否修改組件配置部分，如果是則執(zhí)行步驟(7)，否則執(zhí)行步驟(8)；(7)修改并保存組件配置部分；(8)在數(shù)據(jù)庫中添加安控組件記錄；(9)結(jié)束。優(yōu)選地，所述步驟( 包括以下分步驟(1)開始；(2)讀取安全運行計劃；(3)從安全運行計劃中獲取下一個需要執(zhí)行的安控組件的ID ；(4)得到安控組件的組件可執(zhí)行部分；(5)查詢并判斷安控組件的運行方式，如果是同步運行則執(zhí)行步驟(6)，如果是異步運行則執(zhí)行步驟(8)，如果是形式運行則執(zhí)行步驟(10)；(6)執(zhí)行安控組件并等待結(jié)束；(7)執(zhí)行安控組件結(jié)束后，跳轉(zhuǎn)到步驟(13)；(8)在系統(tǒng)中記錄異步運行的組件；(9)啟動該異步運行組件的執(zhí)行，跳轉(zhuǎn)到步驟(13)；(10)顯示需要檢查的執(zhí)行結(jié)果；(11)由用戶對執(zhí)行結(jié)果通過用戶界面確認；(12)記錄系統(tǒng)日志；(13)判斷安全運行計劃是否已經(jīng)執(zhí)行完畢，是則執(zhí)行步驟(14)，否則執(zhí)行步驟 ⑶；(14)結(jié)束。以上所述，僅是本發(fā)明的較佳實施例，并非對本發(fā)明作任何形式上的限制，凡是依據(jù)本發(fā)明的技術實質(zhì)對以上實施例所作的任何簡單修改、等同變化與修飾，均仍屬本發(fā)明技術方案的保護范圍。
權(quán)利要求
1.一種信息網(wǎng)絡安全運行的控制裝置，其特征在于，包括底層單元、中間層單元和基于互聯(lián)網(wǎng)TOB的用戶界面；底層單元具有網(wǎng)絡套接口、操作系統(tǒng)、數(shù)據(jù)庫及文件系統(tǒng)；中間層單元具有系統(tǒng)輪廓控制模塊，用于配置、存儲和控制目標網(wǎng)絡的基本信息、目標網(wǎng)絡的控制組織結(jié)構(gòu)以及安全方案的設定；系統(tǒng)和用戶控制模塊，用于系統(tǒng)設置及用戶設置，包括用戶權(quán)限控制、用戶信息控制、用戶與系統(tǒng)功能矩陣映射；安控系統(tǒng)計劃模塊，用于配置安全控制目標，控制安全控制目標與安全控制措施的連接，生成安全運行計劃供其他模塊執(zhí)行，生成適用性聲明文件；安控系統(tǒng)檢測模塊，用于讀取安全運行計劃，根據(jù)計劃生成系統(tǒng)監(jiān)測安排，根據(jù)系統(tǒng)監(jiān)測安排在線或定時進行監(jiān)測，并報告異常數(shù)據(jù)；系統(tǒng)運行報告模塊，用于生成系統(tǒng)運行結(jié)果報告，提供查詢、過濾功能；安控組件運行控制器，用于讀取安全運行計劃，與安控組件控制模塊配合按照計劃執(zhí)行相關安控組件；日志服務模塊，用于統(tǒng)一生成所有安控組件的日志信息；安控組件運行環(huán)境模塊，用于提供安控組件運行的必要應用編程接口 API和運行周期的控制；安控組件控制模塊，用于負責安控組件的添加、刪除、注冊，解析安控組件的描述文件，并提供安控組件的調(diào)用接口，并且安控組件控制模塊與外部的多個安控組件連接。
2.根據(jù)權(quán)利要求1所述的信息網(wǎng)絡安全運行的控制裝置，其特征在于，所述安控組件包括組件描述部分、組件可執(zhí)行部分、組件配置部分。
3.根據(jù)權(quán)利要求2所述的信息網(wǎng)絡安全運行的控制方法，其特征在于，包括以下步驟(1)注冊安控組件；(2)執(zhí)行該安控組件。
4.根據(jù)權(quán)利要求3所述的信息網(wǎng)絡安全運行的控制方法，其特征在于，所述步驟(1)包括以下分步驟(1)開始；(2)提示用戶提交安控組件；(3)檢查安控組件是否完整，如是則執(zhí)行步驟G)，否則返回步驟O)；(4)向組件配置部分中添加系統(tǒng)日志路徑；(5)在用戶界面上顯示組件描述部分和組件配置部分；(6)判斷用戶是否修改組件配置部分，如果是則執(zhí)行步驟(7)，否則執(zhí)行步驟(8)；(7)修改并保存組件配置部分；(8)在數(shù)據(jù)庫中添加安控組件記錄；(9)結(jié)束。
5.根據(jù)權(quán)利要求4所述的信息網(wǎng)絡安全運行的控制方法，其特征在于，所述步驟(2)包括以下分步驟(1)開始；(2)讀取安全運行計劃；(3)從安全運行計劃中獲取下一個需要執(zhí)行的安控組件的ID；(4)得到安控組件的組件可執(zhí)行部分；(5)查詢并判斷安控組件的運行方式，如果是同步運行則執(zhí)行步驟(6)，如果是異步運行則執(zhí)行步驟(8)，如果是形式運行則執(zhí)行步驟(10)；(6)執(zhí)行安控組件并等待結(jié)束；(7)執(zhí)行安控組件結(jié)束后，跳轉(zhuǎn)到步驟(13)；(8)在系統(tǒng)中記錄異步運行的組件；(9)啟動該異步運行組件的執(zhí)行，跳轉(zhuǎn)到步驟(13)；(10)顯示需要檢查的執(zhí)行結(jié)果；(11)由用戶對執(zhí)行結(jié)果通過用戶界面確認；(12)記錄系統(tǒng)日志；(13)判斷安全運行計劃是否已經(jīng)執(zhí)行完畢，是則執(zhí)行步驟(14)，否則執(zhí)行步驟(3)；(14)結(jié)束。
全文摘要
公開了一種簡化信息安全控制體系的建立、自動執(zhí)行信息安全措施、保證對執(zhí)行結(jié)果實施檢查、不斷改進自身的信息網(wǎng)絡安全運行的控制裝置，包括底層單元、中間層單元和基于WEB的用戶界面；底層單元具有網(wǎng)絡套接口、操作系統(tǒng)、數(shù)據(jù)庫及文件系統(tǒng)；中間層單元具有系統(tǒng)輪廓控制模塊、系統(tǒng)和用戶控制模塊、安控系統(tǒng)計劃模塊、安控系統(tǒng)檢測模塊、系統(tǒng)運行報告模塊、安控組件運行控制器、日志服務模塊、安控組件運行環(huán)境模塊、與外部的多個安控組件連接的安控組件控制模塊。還提供了使用該裝置的方法。
文檔編號H04L29/06GK102394882SQ201110342700
公開日2012年3月28日 申請日期2011年11月3日 優(yōu)先權(quán)日2011年11月3日
發(fā)明者任遠, 楊北革, 段曉峰, 王曉強, 趙銳, 高明 申請人:山西省電力公司大同供電分公司