專(zhuān)利名稱(chēng):一種信息系統(tǒng)內(nèi)網(wǎng)安全統(tǒng)一管理平臺(tái)及管理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)��,特別涉及一種信息系統(tǒng)內(nèi)網(wǎng)安全統(tǒng)一管理平臺(tái)及管理方法�����,是一種對(duì)接入信息系統(tǒng)內(nèi)網(wǎng)的用戶、終端進(jìn)行識(shí)別、安全性檢查和安全策略強(qiáng)制的一體化網(wǎng)絡(luò)安全系統(tǒng)���。
背景技術(shù):
準(zhǔn)入控制是網(wǎng)絡(luò)準(zhǔn)入控制(NAC)的簡(jiǎn)稱(chēng)�����。準(zhǔn)入控制是指對(duì)網(wǎng)絡(luò)的邊界進(jìn)行保護(hù)�����,對(duì)接入網(wǎng)絡(luò)的終端和終端的使用人進(jìn)行合規(guī)性檢查����。在準(zhǔn)入控制行業(yè)中�����,最傳統(tǒng)的技術(shù)是國(guó)際標(biāo)準(zhǔn)的IEEE802.1x技術(shù)。802.1x協(xié)議——基于端口的訪問(wèn)控制協(xié)議(port-basednetwork access control protocol),是針對(duì) Client/Server 的訪問(wèn)控制和認(rèn)證協(xié)議����。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過(guò)接入端口(access port)訪問(wèn)LAN/WLAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前���,802.1x對(duì)連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證���。在認(rèn)證通過(guò)之前����,802.1x只允許EAPoL (基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)數(shù)據(jù)通過(guò)設(shè)備連接的交換機(jī)端口�,認(rèn)證通過(guò)以后����,正常的數(shù)據(jù)可以順利地通過(guò)以太網(wǎng)端口。802.1x的內(nèi)容為:靠近用戶一側(cè)的以太網(wǎng)交換機(jī)上放置一個(gè)EAP (extensibleauthentication protocol)代理,用戶 PC 機(jī)運(yùn)行 EAPoE (ΕΑΡ over Ethernet)的客戶端軟件與交換機(jī)通信����。初始狀態(tài)下���,交換機(jī)上的所有端口處于關(guān)閉狀態(tài)����,只有802.1x數(shù)據(jù)流才能通過(guò)�����,而另外任何類(lèi)型的網(wǎng)絡(luò)數(shù)據(jù)流��,如動(dòng)態(tài)主機(jī)配置協(xié)議���、超文本傳輸協(xié)議(HTTP)���、文件傳輸協(xié)議(FTP )�����、簡(jiǎn)單郵件傳輸協(xié)議(SMTP )和郵局協(xié)議(POP3 )等都被禁止傳輸��。當(dāng)用戶通過(guò)EAPoE登錄交換機(jī)時(shí)�����,交換機(jī)將用戶同時(shí)提供的用戶名口令傳送到后臺(tái)的Radius認(rèn)證服務(wù)器上。如果用戶名及口令通過(guò)了驗(yàn)證���,則相應(yīng)的以太網(wǎng)端口打開(kāi)�,允許用戶訪問(wèn)。802.1x技術(shù)的體系結(jié)構(gòu)包括3個(gè)重要部分:客戶端(supplicant system)�、認(rèn)證者(authenticator system)���、認(rèn)證月艮務(wù)器(authentication server system)��?�?蛻粝到y(tǒng)安裝一個(gè)客戶端軟件,用戶通過(guò)啟動(dòng)客戶端軟件發(fā)起802.1x協(xié)議的認(rèn)證過(guò)程。為支持基于端口的接入控制��,客戶端系統(tǒng)須支持EAPoL (EAPoverLAN)協(xié)議。802.1x技術(shù)的認(rèn)證過(guò)程是接入設(shè)備與服務(wù)器交互的過(guò)程���,其認(rèn)證步驟如下:Stepl:接入設(shè)備在連接網(wǎng)線后����,如果未安裝802.1x客戶端,則計(jì)算機(jī)直接處于隔離狀態(tài)�,必須從某種途徑獲取到(如電話聯(lián)系管理員索取,現(xiàn)場(chǎng)拷貝等)802.1x客戶端���。在安裝好802.1x客戶端后��,通過(guò)802.1x客戶端軟件發(fā)送出帶有組播地址的EAPoL數(shù)據(jù)包�。由支持802.1x的認(rèn)證者(一般是接入交換機(jī))向客戶端發(fā)送響應(yīng)包,并要求用戶提供合法的身份標(biāo)識(shí)��,如用戶名及其密碼��。Step2:客戶端收到響應(yīng)后�����,提供身份標(biāo)識(shí)給接入交換機(jī)�。由于此時(shí)客戶端還未經(jīng)過(guò)驗(yàn)證�����,因此認(rèn)證流只能從接入交換機(jī)的未受控的邏輯端口經(jīng)過(guò)����。接入交換機(jī)通過(guò)EAP協(xié)議將認(rèn)證流轉(zhuǎn)發(fā)到AAA服務(wù)器�����,進(jìn)行認(rèn)證�。St印3:如果認(rèn)證通過(guò)���,則接入交換機(jī)的受控邏輯端口打開(kāi)��;否則����,端口保持關(guān)閉狀態(tài),接入設(shè)備無(wú)法入網(wǎng)���?�;?02.1x協(xié)議的準(zhǔn)入控制方案存在3大缺點(diǎn):無(wú)法進(jìn)行入網(wǎng)頁(yè)面推送����、權(quán)限控制粗放和對(duì)hub環(huán)境下支持的不足�。首先��,目前所有的802.1x平臺(tái)都要求入網(wǎng)用戶必須安裝進(jìn)行認(rèn)證的入網(wǎng)客戶端��,這種情況存在許多缺陷:其一�����、新入網(wǎng)設(shè)備由于未安裝客戶端將在沒(méi)有任何提示信息的情況下無(wú)法進(jìn)行網(wǎng)絡(luò)接入��,這個(gè)過(guò)程對(duì)于訪客和正式員工起到同等的效力��,由于缺乏引導(dǎo)入網(wǎng)的支持,那么即使是合法用戶也無(wú)法被輔助入網(wǎng)從而無(wú)法進(jìn)行正常的工作��,而如果依靠管理員手工安裝入網(wǎng)客戶端��,又存在在設(shè)備數(shù)量眾多且分散的情況下工作量繁重的情況�;其二�、網(wǎng)絡(luò)中的許多非桌面型ip設(shè)備(如網(wǎng)絡(luò)打印機(jī))在無(wú)法安裝客戶端的情況下是無(wú)法入網(wǎng)的。總體上來(lái)看���,就是因?yàn)椴捎每蛻舳四J降?02.1x無(wú)法進(jìn)行web頁(yè)面重定向(入網(wǎng)頁(yè)面推送)�。其次���,大部分的802.1x認(rèn)證都是基于端口的,認(rèn)證通過(guò)后端口完全放開(kāi)�����,無(wú)法根據(jù)接入角色的不同進(jìn)行基于目的地址�����、目的端口或協(xié)議的細(xì)粒度權(quán)限控制��,在所有資源對(duì)所有入網(wǎng)者均能夠以同等權(quán)限進(jìn)行訪問(wèn)的情況下,很容易產(chǎn)生內(nèi)部交叉訪問(wèn)以至于重要資源泄密的情況��。最后,對(duì)于大部分交換機(jī)而言,標(biāo)準(zhǔn)的802.1x協(xié)議也無(wú)法解決端口下掛hub的情況�。當(dāng)網(wǎng)絡(luò)中存在大量使用hub的情況時(shí)�����,802.1x協(xié)議基于端口的特性容易導(dǎo)致hub下某一臺(tái)設(shè)備通過(guò)認(rèn)證打開(kāi)交換機(jī)端口后同一 hub廣播域的所有設(shè)備均無(wú)需認(rèn)證就直接入網(wǎng)�����,這就產(chǎn)生了網(wǎng)絡(luò)的安全漏洞和潛在風(fēng)險(xiǎn)�����。
發(fā)明內(nèi)容
為了克服上述現(xiàn)有技術(shù)存在的缺陷,本發(fā)明提供一種信息系統(tǒng)內(nèi)網(wǎng)安全統(tǒng)一管理平臺(tái)及管理方法���,實(shí)現(xiàn)了對(duì)各品牌的接入層交換機(jī)端口進(jìn)行良好控制�,并能夠達(dá)到快速入網(wǎng)認(rèn)證和hub安全管理�。為了實(shí)現(xiàn)上述目的���,本發(fā)明的技術(shù)方案之一是提供一種信息系統(tǒng)內(nèi)網(wǎng)安全統(tǒng)一管理平臺(tái)�����,包括:入網(wǎng)規(guī)范管理系統(tǒng)��、網(wǎng)絡(luò)智慧管理系統(tǒng)和多維終端安全管理平臺(tái)�����,所述入網(wǎng)規(guī)范管理系統(tǒng)對(duì)入網(wǎng)設(shè)備及人員安全進(jìn)行準(zhǔn)入控制����,所述網(wǎng)絡(luò)智慧管理系統(tǒng)針對(duì)準(zhǔn)入后的設(shè)備網(wǎng)絡(luò)流量和網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行控制和審計(jì)�,所述多維終端安全管理平臺(tái)針對(duì)終端配置和應(yīng)用管理進(jìn)行實(shí)時(shí)監(jiān)測(cè)和管理響應(yīng)���。作為優(yōu)選�����,本發(fā)明所述入網(wǎng)規(guī)范管理系統(tǒng)包括入網(wǎng)身份認(rèn)證模塊�����、入網(wǎng)安全性檢查模塊����、漏洞修復(fù)模塊�、權(quán)限控制模塊�����、BI報(bào)表分析模塊及其組合���,所述入網(wǎng)身份認(rèn)證模塊對(duì)入網(wǎng)設(shè)備或人員進(jìn)行身份認(rèn)證�����,根據(jù)身份由所述權(quán)限控制模塊進(jìn)行權(quán)限控制,所述入網(wǎng)安全性檢查模塊進(jìn)行入網(wǎng)安全性檢查�,所述漏洞修復(fù)模塊進(jìn)行漏洞修復(fù)���,BI報(bào)表分析模塊實(shí)現(xiàn)對(duì)前述模塊記錄的分析����。作為優(yōu)選�����,本發(fā)明所述網(wǎng)絡(luò)智慧管理系統(tǒng)包括網(wǎng)絡(luò)行為審計(jì)模塊��、網(wǎng)絡(luò)行為控制模塊、網(wǎng)絡(luò)流量控制模塊、查詢與報(bào)表分析模塊及其組合���,所述網(wǎng)絡(luò)行為審計(jì)模塊監(jiān)控流量�����、訪問(wèn)情況,所述網(wǎng)絡(luò)行為控制模塊監(jiān)控和響應(yīng)訪問(wèn)違規(guī)情況,網(wǎng)絡(luò)流量控制模塊監(jiān)控和響應(yīng)流量違規(guī)情況,查詢與報(bào)表分析模塊實(shí)現(xiàn)對(duì)前述模塊記錄的分析。作為優(yōu)選����,本發(fā)明所述多維終端安全管理平臺(tái)包括終端資產(chǎn)管理模塊、補(bǔ)丁管理模塊��、移動(dòng)介質(zhì)管理模塊、應(yīng)用管理模塊��、遠(yuǎn)程維護(hù)管理模塊��、外聯(lián)管理模塊、網(wǎng)絡(luò)操作管理模塊及其組合���,前述模塊構(gòu)成終端管理策略庫(kù)��,下發(fā)策略至客戶終端����,并將下發(fā)策略記錄傳輸至審計(jì)與報(bào)表模塊�����。本發(fā)明的技術(shù)方案之二是提供一種信息系統(tǒng)內(nèi)網(wǎng)安全統(tǒng)一管理平臺(tái)的管理方法�,包括如下步驟:a��、對(duì)接入網(wǎng)絡(luò)的終端進(jìn)行特征識(shí)別��;b、對(duì)步驟a中的特征進(jìn)行查詢,根據(jù)規(guī)范獲取入網(wǎng)角色�����;C�����、對(duì)步驟b中的角色進(jìn)行規(guī)范檢查�����,檢查不通過(guò),則切換到隔離區(qū)��,檢查通過(guò),則依據(jù)角色權(quán)限入網(wǎng)���;d�����、對(duì)步驟a中的終端進(jìn)行行為記錄并統(tǒng)計(jì)記錄�����、BI分析和違規(guī)行為的響應(yīng)。作為優(yōu)選,本發(fā)明所述終端包括外接設(shè)備���、使用者及其組合���。作為優(yōu)選�����,本發(fā)明所述特征識(shí)別包括終端的IP地址�、物理地址、硬盤(pán)ID���、所屬交換機(jī)端口號(hào)及其組合�����。本發(fā)明所述切換過(guò)程包括如下步驟:al���、對(duì)指定特征的終端進(jìn)行安全策略下發(fā)���,并依據(jù)安全策略進(jìn)行管理和響應(yīng);bl����、終端符合條件�����,則不改變終端所屬交換機(jī)端口的vlan,終端違規(guī)或未知���,則將終端所屬交換機(jī)的端口切換到隔離vlan �����;Cl���、步驟bl中在隔離vlan內(nèi)的終端通過(guò)管理平臺(tái)進(jìn)行vlan tag轉(zhuǎn)換�,并訪問(wèn)隔離區(qū)進(jìn)行安全修復(fù);dl��、步驟Cl修復(fù)完成后,所屬交換機(jī)端口切換回正常vlan����,獲取入網(wǎng)權(quán)限�。本發(fā)明的有益效果是��,通過(guò)隔離區(qū)的切換來(lái)實(shí)現(xiàn)準(zhǔn)入控制����,處于隔離區(qū)的設(shè)備所有數(shù)據(jù)的傳輸都將通過(guò)管理平臺(tái)進(jìn)行控制�����,同時(shí)接入設(shè)備被強(qiáng)制訪問(wèn)管理平臺(tái)的WEB認(rèn)證頁(yè)面來(lái)實(shí)現(xiàn)規(guī)范約束����,身份認(rèn)證��、安全性檢查及修復(fù)等一系列準(zhǔn)入流程都只需通過(guò)web瀏覽器即可實(shí)現(xiàn),從而實(shí)現(xiàn)了無(wú)客戶端的準(zhǔn)入控制����,避免出現(xiàn)單個(gè)端口下多臺(tái)設(shè)備同時(shí)入網(wǎng)或同時(shí)被隔離的弊端�。
圖1為本發(fā)明管理平臺(tái)的結(jié)構(gòu)框圖���;圖2為入網(wǎng)規(guī)范管理系統(tǒng)結(jié)構(gòu)框圖��;圖3為網(wǎng)絡(luò)智慧管理系統(tǒng)結(jié)構(gòu)框圖��;圖4為多維終端安全管理平臺(tái)控制流程圖��;圖5為網(wǎng)絡(luò)智慧管理系統(tǒng)控制審計(jì)流程圖;圖6為本發(fā)明管理方法控制流程圖����;圖7為本發(fā)明切換隔離區(qū)控制流程圖�。
具體實(shí)施方式
:為了使本發(fā)明的創(chuàng)作特征、技術(shù)手段與達(dá)成目的易于明白理解�,以下結(jié)合具體實(shí)施例進(jìn)一步闡述本發(fā)明�����。實(shí)施例:
一種信息系統(tǒng)內(nèi)網(wǎng)安全統(tǒng)一管理平臺(tái)�,包括如圖1所示入網(wǎng)規(guī)范管理系統(tǒng)S1�、網(wǎng)絡(luò)智慧管理系統(tǒng)S2和多維終端安全管理平臺(tái)S3���,所述入網(wǎng)規(guī)范管理系統(tǒng)SI對(duì)入網(wǎng)設(shè)備及人員安全進(jìn)行準(zhǔn)入控制����,所述網(wǎng)絡(luò)智慧管理系統(tǒng)S2針對(duì)準(zhǔn)入后的設(shè)備網(wǎng)絡(luò)流量和網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行控制和審計(jì),所述多維終端安全管理平臺(tái)S3針對(duì)終端配置和應(yīng)用管理進(jìn)行實(shí)時(shí)監(jiān)測(cè)和管理響應(yīng)����。參看圖2�����,入網(wǎng)規(guī)范管理系統(tǒng)SI包括入網(wǎng)身份認(rèn)證模塊S11���、入網(wǎng)安全性檢查模塊S12�、漏洞修復(fù)模塊S13、權(quán)限控制模塊S14、BI報(bào)表分析模塊S15及其組合���。核心引擎庫(kù)中包含準(zhǔn)入技術(shù)庫(kù)、角色庫(kù)和規(guī)范庫(kù),入網(wǎng)身份證模塊Sll根據(jù)準(zhǔn)入技術(shù)庫(kù)對(duì)入網(wǎng)設(shè)備或人員進(jìn)行強(qiáng)制認(rèn)證�,入網(wǎng)安全性檢查模塊S12根據(jù)角色庫(kù)進(jìn)行角色對(duì)比并根據(jù)規(guī)范庫(kù)進(jìn)行規(guī)范應(yīng)用,實(shí)現(xiàn)權(quán)限控制����,漏洞修復(fù)模塊S13則根據(jù)規(guī)范庫(kù)中規(guī)范對(duì)應(yīng)的修復(fù)方式進(jìn)行漏洞修復(fù),權(quán)限控制模塊S14根據(jù)引用角色庫(kù)中的角色屬性進(jìn)行權(quán)限控制���,BI報(bào)表分析模塊S15則實(shí)現(xiàn)對(duì)入網(wǎng)身份認(rèn)證模塊S11、入網(wǎng)安全性檢查模塊S12和漏洞修復(fù)模塊S13提供記錄的分析����。參看圖3�,網(wǎng)絡(luò)智慧管理系統(tǒng)S2包括網(wǎng)絡(luò)行為審計(jì)模塊S21��、網(wǎng)絡(luò)行為控制模塊S22��、流量控制模塊S23、查詢與報(bào)表分析模塊S24及其組合��。網(wǎng)絡(luò)傳輸過(guò)程中�,網(wǎng)絡(luò)行為審計(jì)模塊S21監(jiān)控網(wǎng)絡(luò)流量��、網(wǎng)絡(luò)訪問(wèn)情況���,網(wǎng)絡(luò)行為控制模塊S22監(jiān)控和響應(yīng)網(wǎng)絡(luò)訪問(wèn)違規(guī)情況�����,網(wǎng)絡(luò)流量控制模塊S23監(jiān)控和響應(yīng)網(wǎng)絡(luò)流量違規(guī)情況�,查詢與報(bào)表分析模塊S24則將前述模塊的記錄進(jìn)行分析���。參看圖4,多維終端安全管理平臺(tái)S3包括終端資產(chǎn)管理模塊��、補(bǔ)丁管理模塊���、移動(dòng)介質(zhì)管理模塊����、應(yīng)用管理模塊、遠(yuǎn)程維護(hù)管理模塊���、外聯(lián)管理模塊����、網(wǎng)絡(luò)操作管理模塊及其組合����。前述模塊共同構(gòu)成終端管理策略庫(kù)���,客戶端將事件上報(bào)至審計(jì)與報(bào)表模塊��,終端管理策略庫(kù)將策略下發(fā)至客戶端,同時(shí)將下發(fā)策略記錄傳輸至審計(jì)與報(bào)表模塊���。參看圖5���,網(wǎng)絡(luò)傳輸時(shí)����,識(shí)別要進(jìn)行網(wǎng)絡(luò)傳輸?shù)牧髁?�,同時(shí)根據(jù)入網(wǎng)規(guī)范管理系統(tǒng)Si獲取用戶身份���,確定匹配策略���,判斷是否違規(guī),如果違規(guī)���,則強(qiáng)制其恢復(fù)到正常狀態(tài)���,如果未違規(guī)�����,則進(jìn)行正常的網(wǎng)絡(luò)傳輸�����,識(shí)別流量的記錄和是否違規(guī)的記錄均錄入到后臺(tái)審計(jì)數(shù)據(jù)庫(kù)中。參看圖6,一種信息系統(tǒng)內(nèi)網(wǎng)安全統(tǒng)一管理平臺(tái)的管理方法,包括如下步驟:對(duì)接入網(wǎng)絡(luò)的終端進(jìn)行特征識(shí)別S4 ;對(duì)步驟S4中的特征進(jìn)行查詢��,根據(jù)規(guī)范獲取入網(wǎng)角色S5 ����;對(duì)S5中的角色進(jìn)行規(guī)范檢查��,檢查不通過(guò)�,則切換到隔離區(qū),檢查通過(guò)�,則依據(jù)角色權(quán)限入網(wǎng)S6 ;對(duì)S4中的終端進(jìn)行行為記錄并統(tǒng)計(jì)記錄�����、BI分析和違規(guī)行為的響應(yīng)S7���。終端行為包括入網(wǎng)行為�����、在線行為����、下線事件、違規(guī)事件���。所述終端包括外接設(shè)備����、使用者及其組合��,外接設(shè)備如PC、notebook��、mobile phone、printer��。所述特征識(shí)別包括終端的IP地址���、物理地址�、硬盤(pán)ID���、所屬交換機(jī)端口號(hào)及其組合�����。參看圖7�,所述隔離區(qū)的切換過(guò)程包括如下步驟:對(duì)入網(wǎng)終端進(jìn)行特征識(shí)別�,對(duì)指定特征的終端進(jìn)行安全策略下發(fā)��,并依據(jù)安全策略進(jìn)行管理和響應(yīng)S61 ;如果終端符合條件�,則不改變終端所屬交換機(jī)端口的vlan����,如果終端違規(guī)或未知��,則將終端所屬交換機(jī)的端口切換到隔離vlan S62 ;在隔離vlan內(nèi)的終端通過(guò)管理平臺(tái)進(jìn)行vlan tag轉(zhuǎn)換,并訪問(wèn)隔離區(qū)進(jìn)行安全修復(fù)S63 ;終端修復(fù)完成后,所屬交換機(jī)端口切換回正常vlan,獲取入網(wǎng)權(quán)限 S64���。
外接設(shè)備接入網(wǎng)線之后,管理平臺(tái)從接入層交換機(jī)上檢測(cè)設(shè)備的mac地址與所屬端口號(hào)�����,根據(jù)mac地址和端口號(hào)查詢到外接設(shè)備的當(dāng)前特征狀態(tài),屬于合規(guī)狀態(tài)的外接設(shè)備被置于正常VLAN中獲得正常入網(wǎng)訪問(wèn)權(quán)限�;屬于不合規(guī)狀態(tài)或未知狀態(tài)的外接設(shè)備,管理平臺(tái)將通知交換機(jī)切換外接設(shè)備所屬交換機(jī)端口到隔離VLAN����,進(jìn)入隔離VLAN的外接設(shè)備發(fā)送的所有數(shù)據(jù)均通過(guò)TRUNK連接進(jìn)入管理平臺(tái)����。依據(jù)外接設(shè)備的當(dāng)前狀況,被允許的訪問(wèn)數(shù)據(jù)將由管理平臺(tái)進(jìn)行VLANtag的轉(zhuǎn)換后進(jìn)入正常VLAN�����,同時(shí)管理平臺(tái)根據(jù)外接設(shè)備發(fā)送的http數(shù)據(jù)報(bào)文自動(dòng)回復(fù)web重定向應(yīng)答�,實(shí)現(xiàn)網(wǎng)頁(yè)的自動(dòng)推送和web頁(yè)面認(rèn)證�����,外接設(shè)備無(wú)需安裝客戶端,在web頁(yè)面實(shí)現(xiàn)認(rèn)證和安全性評(píng)估后,獲得相應(yīng)的訪問(wèn)權(quán)限�,對(duì)于被檢查出有安全漏洞的外接設(shè)備�,可以通過(guò)web頁(yè)面實(shí)現(xiàn)漏洞修補(bǔ)���,并在安全性提高后獲得更高的訪問(wèn)權(quán)限�,安全性完全符合要求的外接設(shè)備�����,接入層交換機(jī)將其所在端口的隔離VLAN切換回正常VLAN���,實(shí)現(xiàn)正常入網(wǎng)�。以上顯示和描述了本發(fā)明的基本原理�、主要特征和本發(fā)明的優(yōu)點(diǎn)����。本行業(yè)的技術(shù)人員應(yīng)該了解,本發(fā)明不受上述實(shí)施例的限制�����,上述實(shí)施例和說(shuō)明書(shū)中描述的只是說(shuō)明本發(fā)明的原理�,在不脫離本發(fā)明精神和范圍的前提下本發(fā)明還會(huì)有各種變化和改進(jìn)���,這些變化和改進(jìn)都落入要求保護(hù)的本發(fā)明范圍內(nèi)�。本發(fā)明要求保護(hù)范圍由所附的權(quán)利要求書(shū)及其等同物界定�。
權(quán)利要求
1.一種信息系統(tǒng)內(nèi)網(wǎng)安全統(tǒng)一管理平臺(tái)���,其特征在于��,包括:入網(wǎng)規(guī)范管理系統(tǒng)���、網(wǎng)絡(luò)智慧管理系統(tǒng)和多維終端安全管理平臺(tái)�����,所述入網(wǎng)規(guī)范管理系統(tǒng)對(duì)入網(wǎng)設(shè)備及人員安全進(jìn)行準(zhǔn)入控制��,所述網(wǎng)絡(luò)智慧管理系統(tǒng)針對(duì)準(zhǔn)入后的設(shè)備網(wǎng)絡(luò)流量和網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行控制和審計(jì)�,所述多維終端安全管理平臺(tái)針對(duì)終端配置和應(yīng)用管理進(jìn)行實(shí)時(shí)監(jiān)測(cè)和管理響應(yīng)。
2.根據(jù)權(quán)利要求1所述的管理平臺(tái)����,其特征在于�����,所述入網(wǎng)規(guī)范管理系統(tǒng)包括入網(wǎng)身份認(rèn)證模塊����、入網(wǎng)安全性檢查模塊、漏洞修復(fù)模塊�、權(quán)限控制模塊��、BI報(bào)表分析模塊及其組合�,所述入網(wǎng)身份認(rèn)證模塊對(duì)入網(wǎng)設(shè)備或人員進(jìn)行身份認(rèn)證,根據(jù)身份由所述權(quán)限控制模塊進(jìn)行權(quán)限控制,所述入網(wǎng)安全性檢查模塊進(jìn)行入網(wǎng)安全性檢查���,所述漏洞修復(fù)模塊進(jìn)行漏洞修復(fù)�,BI報(bào)表分析模塊實(shí)現(xiàn)對(duì)前述模塊記錄的分析。
3.根據(jù)權(quán)利要求1所述的管理平臺(tái)��,其特征在于����,所述網(wǎng)絡(luò)智慧管理系統(tǒng)包括網(wǎng)絡(luò)行為審計(jì)模塊����、網(wǎng)絡(luò)行為控制模塊���、網(wǎng)絡(luò)流量控制模塊�、查詢與報(bào)表分析模塊及其組合�����,所述網(wǎng)絡(luò)行為審計(jì)模塊監(jiān)控流量�����、訪問(wèn)情況�,所述網(wǎng)絡(luò)行為控制模塊監(jiān)控和響應(yīng)訪問(wèn)違規(guī)情況����,網(wǎng)絡(luò)流量控制模塊監(jiān)控和響應(yīng)流量違規(guī)情況��,查詢與報(bào)表分析模塊實(shí)現(xiàn)對(duì)前述模塊記錄的分析�。
4.根據(jù)權(quán)利要求1所述的管理平臺(tái)����,其特征在于��,所述多維終端安全管理平臺(tái)包括終端資產(chǎn)管理模塊、補(bǔ)丁管理模塊��、移動(dòng)介質(zhì)管理模塊��、應(yīng)用管理模塊��、遠(yuǎn)程維護(hù)管理模塊、夕卜聯(lián)管理模塊�����、網(wǎng)絡(luò)操作管理模塊及其組合�����,前述模塊構(gòu)成終端管理策略庫(kù)���,下發(fā)策略至客戶終端�����,并將下發(fā)策略記錄傳輸至審計(jì)與報(bào)表模塊。
5.一種信息系統(tǒng)內(nèi)網(wǎng)安全統(tǒng)一管理平臺(tái)的管理方法,其特征在于���,包括如下步驟: a�����、對(duì)接入網(wǎng)絡(luò)的終端進(jìn)行特征識(shí)別�����; b、對(duì)步驟a中的特征進(jìn)行查詢�����,根據(jù)規(guī)范獲取入網(wǎng)角色���; C��、對(duì)步驟b中的角色進(jìn)行規(guī)范檢查����,檢查不通過(guò),則切換到隔離區(qū)��,檢查通過(guò)�����,則依據(jù)角色權(quán)限入網(wǎng)��; d��、對(duì)步驟a中的終端進(jìn)行行為記錄并統(tǒng)計(jì)記錄�����、BI分析和違規(guī)行為響應(yīng)����。
6.根據(jù)權(quán)利要求5所述的管理方法��,所述終端包括外接設(shè)備、終端使用者及其組合�。
7.根據(jù)權(quán)利要求5所述的管理方法,所述特征識(shí)別包括終端的IP地址����、物理地址����、硬盤(pán)ID�����、所屬交換機(jī)端口號(hào)及其組合����。
8.根據(jù)權(quán)利要求5所述的管理方法����,其特征在于�,所述切換過(guò)程包括如下步驟: al����、對(duì)指定特征的終端進(jìn)行安全策略下發(fā)�����,并依據(jù)安全策略進(jìn)行管理和響應(yīng); bl�����、終端符合條件�,則不改變終端所屬交換機(jī)端口的vlan����,終端違規(guī)或未知�,則將終端所屬交換機(jī)的端口切換到隔離vlan �; Cl���、步驟bl中在隔離vlan內(nèi)的終端通過(guò)管理平臺(tái)進(jìn)行vlan tag轉(zhuǎn)換��,并訪問(wèn)隔離區(qū)進(jìn)行安全修復(fù)�; dl�、步驟Cl修復(fù)完成后,所屬交換機(jī)端口切換回正常vlan����,獲取入網(wǎng)權(quán)限。
全文摘要
本發(fā)明公開(kāi)了一種信息系統(tǒng)內(nèi)網(wǎng)安全統(tǒng)一管理平臺(tái)及管理方法����,管理平臺(tái)包括入網(wǎng)規(guī)范管理系統(tǒng)�、網(wǎng)絡(luò)智慧管理系統(tǒng)和多維終端安全管理平臺(tái)三部分�,對(duì)接入網(wǎng)絡(luò)的終端進(jìn)行特征識(shí)別����;依據(jù)終端特征進(jìn)行查詢���,取入網(wǎng)角色����;對(duì)角色進(jìn)行規(guī)范檢查以依據(jù)角色權(quán)限入網(wǎng)�����;對(duì)終端入網(wǎng)后的安全配置、操作行為進(jìn)行監(jiān)測(cè)和違規(guī)響應(yīng)��;對(duì)網(wǎng)絡(luò)的流量狀況進(jìn)行監(jiān)測(cè)和違規(guī)響應(yīng);對(duì)各類(lèi)事件進(jìn)行統(tǒng)計(jì)和BI分析����。本發(fā)明通過(guò)隔離區(qū)的切換來(lái)實(shí)現(xiàn)準(zhǔn)入控制����,處于隔離區(qū)的設(shè)備所有數(shù)據(jù)的傳輸都將通過(guò)管理平臺(tái)進(jìn)行控制�,同時(shí)接入設(shè)備被強(qiáng)制訪問(wèn)管理平臺(tái)的WEB認(rèn)證頁(yè)面來(lái)實(shí)現(xiàn)規(guī)范約束���,從而實(shí)現(xiàn)了無(wú)客戶端的準(zhǔn)入控制,避免出現(xiàn)單個(gè)端口下多臺(tái)設(shè)備同時(shí)入網(wǎng)或同時(shí)被隔離的弊端���。
文檔編號(hào)H04L12/24GK103179130SQ20131011690
公開(kāi)日2013年6月26日 申請(qǐng)日期2013年4月6日 優(yōu)先權(quán)日2013年4月6日
發(fā)明者韓金龍, 羅治華, 何俊 申請(qǐng)人:杭州盈高科技有限公司