CN100495975C - 基于安全应用服务器的网络信息安全综合管理方法 - Google Patents
基于安全应用服务器的网络信息安全综合管理方法 Download PDFInfo
- Publication number
- CN100495975C CN100495975C CNB2003101098367A CN200310109836A CN100495975C CN 100495975 C CN100495975 C CN 100495975C CN B2003101098367 A CNB2003101098367 A CN B2003101098367A CN 200310109836 A CN200310109836 A CN 200310109836A CN 100495975 C CN100495975 C CN 100495975C
- Authority
- CN
- China
- Prior art keywords
- application server
- security
- management
- server
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种基于安全应用服务器的网络信息安全综合管理方法。属于信息安全领域。方法如下:客户端浏览器选择应用服务器安全管理应用服务器、安全方法应用服务器、安全审计应用服务器之一;建立正常连接后,客户端浏览器发出指令,应用服务器根据请求调用已建立好连接的管理对象服务器,然后管理对象服务器通过三个协议映射中间件对受管安全资源进行信息提取;当中间件收到数据采集请求时向安全资源采集数据,将采集到的数据根据协议映射中间件定义的模式进行转换后提交给管理对象服务器,管理对象服务器将数据统一存放在管理对象信息库中,再告诉应用服务器;应用服务器通过管理对象服务器调出管理数据加以分析处理,最终返还给客户端浏览器。
Description
技术领域
本发明涉及一种网络信息安全综合管理方法,具体地说,是一种基于安全应用服务器的网络信息安全综合管理方法。属于信息安全领域。
背景技术
在互联网时代,有效的公司信息安全管理对企业的良好运作至关重要。但是,当安全产品试图组合在一起时,由于缺乏综合的安全管理,很难形成多维的网络安全整体防护体系。因此,企业需要建构一个类似HP Open-View、SunNet-Manager、Cabletron Spectrum式的大型网络信息安全管理综合平台来保证网络系统正常运行。在这个管理平台下,实现设备协同工作,优化网络和系统资源的有效利用,保障网络和应用系统正常地运行。
为了实现网络信息安全技术的综合管理,特别是安全设备之间的协同工作,国内外进行了许多的研究。例如由以色列Check Point公司倡议成立的OPSEC联盟,以及国内天融信公司倡议成立的TOPSEC联盟。然而,在具体实践中用户发现,根据自身的需要所选择的各类安全设备之间相互配合还是相当困难的。
目前市场上的安全管理产品尚未将策略功能、审计功能从平台中独立出来,形成专司其职的安全策略应用服务器、安全审计应用服务器。同时,也尚未形成类似于J2EE架构的为用户提供丰富的二次开发接口管理应用服务器。
经文献检索发现,张少俊在《计算机工程》第29卷第14期124页《网络安全综合管理系统的设计与实现》一文中,该文给出了一种集中式信息安全综合管理系统的设计方案。该设计将集中监控、联动策略、安全审计作为安全管理系统的三个主要模块,统一安装在安全管理平台工作站上。这种设计虽然结构比较简洁明了,但由于不是基于应用服务器的分布式解决方案,所以也不具备应用服务器优越的伸缩性、可维护性、可靠性、可用性、可扩展性、可管理性等特点,不适合应用于对管理系统容量、性能要求均非常苛刻的大规模企业网络环境。
发明内容
本发明的目的在于针对现有技术中存在的以上不足和缺陷,提供一种基于安全应用服务器的网络信息安全综合管理方法,使其实现了对网络中各个设备和事件的独立管理,采用安全联动方法实现了整个网络设备和事件的综合管理,并实现对网络安全信息的综合审计功能,为企业提供了一个安全有效的网络综合管理方法。
本发明是通过以下技术方案实现的,本发明方法如下:
(1)客户端浏览器根据其处理目标选择通过网络相连的具体的应用服务器安全管理应用服务器、安全策略应用服务器、安全审计应用服务器之一,识别具体的服务器是根据每个服务器所对应的网络IP地址来实现;
(2)当客户端浏览器选择了正确的应用服务器并与之建立正常连接后,发出指令给应用服务器,当应用服务器安全管理应用服务器、安全策略应用服务器或者安全审计应用服务器接受到客户端浏览器发来的请求则通过网络调用已建立好连接的管理对象服务器,管理对象服务器接收到应用服务器发来的调用请求后,通过分别位于其上的三个信息提供者——SNMP协议映射中间件、DMI协议映射中间件、私有协议映射中间件对受管安全资源进行信息提取;
(3)用户通过协议映射中间件的映射定义文件预先定义协议转换方法,当中间件收到数据采集请求时向安全资源采集数据,而后将采集到的安全资源数据根据协议映射中间件定义的模式进行转换后提交给管理对象服务器,管理对象服务器将数据统一存放在管理对象信息库中,而后发消息告诉应用服务器,数据已经准备就绪;
(4)而后安全管理应用服务器,安全策略应用服务器或安全审计应用服务器通过管理对象服务器调用管理对象信息库的数据接口调出管理数据加以分析处理,最终返还给客户端浏览器。
安全管理应用服务器、安全策略应用服务器、安全审计应用服务器通过管理对象服务器存取数据,管理对象服务器通过SNMP协议映射中间件、DMI协议映射中间件、私有协议映射中间件将采集到的安全资源数据转换为平台标准数据格式。为了保证链路上信息的安全性,安全管理应用服务器、安全策略应用服务器、安全审计应用服务器与管理对象服务器之间的通信数据用RSA加密。客户端浏览器与安全管理应用服务器、安全策略应用服务器、安全审计应用服务器之间而采用SSL(安全套接层协议)实现网络传输安全,以确保网管链路上的信息不被截获,不被篡改。
所述的受管安全资源包括骨干网的路由器、交换机,应用服务器、流量检测系统、内容监管系统、桌面系统,以及IDS、防火墙、扫描器、VPN等常见网络安全设备。
所述的网络浏览器为支持Java Applet的主流浏览器,可以利用网络浏览器通过HTTP协议访问安全管理应用服务器、安全策略应用服务器、安全审计应用服务器。
所述的安全管理应用服务器设有设备管理模块、流量管理模块、安全日志分析模块、服务检测模块、资源监控模块,分别进行设备状态检测、网络流量检测、安全设备日志分析、网络服务可用性检测,资源监控模块通过对网络中受管资源(设备状态、网络流量、设备日志、服务可用性)的轮询完成特定的管理监控,各监控服务器加载的监控项可动态添加、修改或删除。
所述的安全策略应用服务器遵循IETF方法框架,支持基于XML的方法描述语言,支持DMTF CIM Policy Schema。通过在方法容器内定制和部署相应的安全方法,通过管理对象服务器实现对安全设备的动态管理。
所述的安全审计应用服务器包含数据查询模块、OLAP分析模块、模式匹配模块。通过管理对象服务器收集网络安全资源信息,安全设备日志信息,而后根据审计组件的逻辑对信息进行综合审计分析。
所述的管理对象服务器遵循WBEM/CIM标准,在管理对象服务器底层对每一类管理协议开发协议(如SNMP、DMI)映射中间件以采集设备数据。
所述的安全管理对象信息库遵循LDAP协议与ODBC软件接口规范,将静态的管理信息存放在LDAP服务器,将动态的管理信息存放在关系数据库。
所述的SNMP协议映射中间件、DMI协议映射中间件、私有协议映射中间件对管理对象服务器的软件接口遵循Sun的WBEM API标准,对受管安全资源支持特定协议标准(如SNMP、DMI、私有协议)。协议映射中间件通过部署基于XML的映射定义文件为协议映射提供模板。任何需要管理的系统、设备,只要支持这些标准管理接口,通过对中间件的部署定制,就可以方便地集成到平台中来进行管理。
本发明在集中统一的管理平台上通过采集各类信息(主机设备、网络设备、安全设备、系统、应用、服务等相关安全信息),进行集中分析与审计,提供有效的报警,并实现一定的设备协同工作,以保障网络系统的正常运行。它包括了基于视图的设备管理、流量管理、日志分析、服务检测、联动方法、管理工具、安全事件、平台配置、用户管理模块,实现了对网络安全的综合管理。为了保证链路上信息的安全性,而采用安全套接层协议实现网络传输安全,使客户端与管理应用服务器,管理应用服务器与管理对象服务器之间的链路上的信息都得以加密传输,以确保网管链路上的权限、审计和管理信息不被截获,不被篡改。
与现有技术相比,本发明具伸缩性、可维护性、可靠性、可用性、可扩展性、可管理性好等分布式系统的优点,同时又具有部署方便、对第三方提供充沛的二次开发接口等应用服务器的优点,因而在安全管理项目的实施中能够带来巨大的实际效益。
附图说明
图1是本发明的方法原理图。
具体实施方式
如图1所示,基于本发明方法实现的网络信息安全综合管理系统。该系统包括:客户端浏览器,安全管理应用服务器,安全策略应用服务器,安全审计应用服务器,管理对象服务器,安全管理对象信息库,SNMP协议映射中间件,DMI协议映射中间件,私有协议映射中间件,受管安全资源。客户端浏览器通过网络与安全管理应用服务器、安全策略应用服务器、安全审计应用服务器物理相连,安全管理应用服务器、安全策略应用服务器、审计应用服务器通过网络连接分别与管理对象服务器相连,管理对象服务器与安全管理对象信息库所布置的数据库服务器相连接,SNMP协议映射中间件、DMI协议映射中间件、私有协议映射中间件位于管理对象服务器上,管理对象服务器通过网线与受管安全资源相连。
具体实现的流程为:用户通过其客户端浏览器根据每个服务器所对应的网络IP地址选择具体的应用服务器之一,并与之建立连接,这些应用服务器包括安全管理应用服务器、安全策略应用服务器、安全审计应用服务器;客户端浏览器发指令给应用服务器,当应用服务器接受到客户端浏览器发来的请求则通过网络调用已建立好连接的管理对象服务器,管理对象服务器接收到应用服务器发来的调用请求分别利用位于其上的三个部件——SNMP协议映射中间件、DMI协议映射中间件、私有协议映射中间件;三个协议映射中间件将采集到的安全资源数据返回给管理对象服务器,并根据映射定义文件将协议映射为CIM数据格式,转换后的数据统一存放在管理对象信息库中并,发消息告诉应用服务器,数据已经准备就绪;而后安全管理应用服务器,安全策略应用服务器或安全审计应用服务器通过管理对象服务器调用管理对象信息库调出管理数据加以分析处理,最终返还给客户端浏览器。在整个流程中,安全管理应用服务器、安全策略应用服务器、安全审计应用服务器与管理对象服务器之间的通信数据用RSA加密,客户端浏览器与安全管理应用服务器、方法应用服务器、审计应用服务器之间而采用安全套接层协议实现网络传输安全。
本方法实施于十五重大攻关计划S219工程二期安全管理平台,在项目中,安全管理平台分为管理应用服务器、管理方法应用服务器、安全审计应用服务器三部分,经过实施证明系统的伸缩性、可维护性、可靠性、可用性、可扩展性、可管理性比项目一期的非基于安全应用服务器的管理体系架构有着明显的增强。
在系统可伸缩性方面,当受管资源较大或用户量较大超过单机负载时,可以通过增加应用服务器并使应用服务器之间进行负载均衡的方式增大系统最大容量。应用服务器集群的工作方式同时防止了单台设备瘫痪造成系统不可用,增加了系统的可靠性与可用性,并使得系统的一部分在维护时不会造成服务暂停。在可扩展性方面,当需要接入新型管理资源时,通过定制协议中间件的协议映射文件能够非常快速地将受管资源接入,以新型号的Cisco交换设备为例,使得平均接入时间由原来的一个星期降低到三天。另外,对于新的方法组件与审计组件的增加,按照应用服务器接口规范开发后通过定义XML部署文件直接实现部署运行,从而避免了费时费力的系统整体编译过程,大大提高了开发效率。
Claims (9)
1、一种基于安全应用服务器的网络信息安全综合管理方法,其特征在于,方法如下:
(1)客户端浏览器根据其处理目标选择通过网络相连的安全管理应用服务器、安全策略应用服务器、安全审计应用服务器之一,识别具体的服务器是根据每个服务器所对应的网络IP地址来实现;
(2)客户端浏览器选择了正确的应用服务器并与之建立正常连接后,发出指令给应用服务器,当应用服务器安全管理应用服务器、安全策略应用服务器或者安全审计应用服务器接受到客户端浏览器发来的请求则通过网络调用已建立好连接的管理对象服务器,管理对象服务器接收到应用服务器发来的调用请求后,通过分别位于其上的SNMP协议映射中间件、DMI协议映射中间件、私有协议映射中间件对受管安全资源进行信息提取;
(3)管理对象服务器通过协议映射中间件的映射定义文件预先定义协议转换方法,当中间件收到数据采集请求时向安全资源采集数据,将采集到的安全资源数据根据协议映射中间件定义的模式进行转换后提交给管理对象服务器,管理对象服务器将数据统一存放在管理对象信息库中,再发消息告诉应用服务器,数据已经准备就绪;
(4)安全管理应用服务器、安全策略应用服务器或安全审计应用服务器通过管理对象服务器调用管理对象信息库的数据接口调出管理数据加以分析处理,最终返还给客户端浏览器。
2、根据权利要求1所述的基于安全应用服务器的网络信息安全综合管理方法,其特征是,安全管理应用服务器、安全策略应用服务器、安全审计应用服务器通过管理对象服务器存取数据,管理对象服务器通过SNMP协议映射中间件、DMI协议映射中间件、私有协议映射中间件将采集到的安全资源数据转换为平台标准数据格式,安全管理应用服务器、安全策略应用服务器、安全审计应用服务器与管理对象服务器之间的通信数据用RSA加密,客户端浏览器与安全管理应用服务器、方法应用服务器、审计应用服务器之间而采用安全套接层协议实现网络传输安全。
3、根据权利要求1所述的基于安全应用服务器的网络信息安全综合管理方法,其特征是,所述的网络浏览器为支持Java Applet的主流浏览器,利用网络浏览器通过HTTP协议访问安全管理应用服务器、安全策略应用服务器、安全审计应用服务器。
4、根据权利要求1所述的基于安全应用服务器的网络信息安全综合管理方法,其特征是,所述的安全管理应用服务器设有设备管理模块、流量管理模块、安全日志分析模块、服务检测模块、资源监控模块,分别进行设备状态检测、网络流量检测、安全设备日志分析、网络服务可用性检测,资源监控模块通过对网络中受管资源的轮询完成管理监控,各监控服务器加载的监控项能动态添加、修改或删除。
5、根据权利要求1所述的基于安全应用服务器的网络信息安全综合管理方法,其特征是,所述的安全策略应用服务器遵循IETF方法框架,支持基于XML的方法描述语言,支持DMTF CIM Policy Schema,通过在方法容器内定制和部署相应的安全方法,通过管理对象服务器实现对安全设备的动态管理。
6、根据权利要求1所述的基于安全应用服务器的网络信息安全综合管理方法,其特征是,所述的安全审计应用服务器设有数据查询模块、OLAP分析模块、模式匹配模块,通过管理对象服务器收集网络安全资源信息,安全设备日志信息,而后根据审计组件的逻辑对信息进行综合审计分析。
7、根据权利要求1所述的基于安全应用服务器的网络信息安全综合管理方法,其特征是,所述的管理对象服务器遵循WBEM/CIM标准,在管理对象服务器底层对每一类管理协议开发协议映射中间件以采集设备数据。
8、根据权利要求1所述的基于安全应用服务器的网络信息安全综合管理方法,其特征是,所述的安全管理对象信息库遵循LDAP协议与ODBC软件接口规范,将静态的管理信息存放在LDAP服务器,将动态的管理信息存放在关系数据库。
9、根据权利要求1所述的基于安全应用服务器的网络信息安全综合管理方法,其特征是,所述的SNMP协议映射中间件、DMI协议映射中间件、私有协议映射中间件对管理对象服务器的软件接口遵循Sun的WBEM API标准,对受管安全资源支持协议标准,协议映射中间件通过部署基于XML的映射定义文件为协议映射提供模板,任何需要管理的系统、设备,只要支持这些标准管理接口,通过对中间件的部署定制,即能方便地集成到平台中来进行管理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2003101098367A CN100495975C (zh) | 2003-12-30 | 2003-12-30 | 基于安全应用服务器的网络信息安全综合管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2003101098367A CN100495975C (zh) | 2003-12-30 | 2003-12-30 | 基于安全应用服务器的网络信息安全综合管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1556611A CN1556611A (zh) | 2004-12-22 |
| CN100495975C true CN100495975C (zh) | 2009-06-03 |
Family
ID=34335395
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2003101098367A Expired - Fee Related CN100495975C (zh) | 2003-12-30 | 2003-12-30 | 基于安全应用服务器的网络信息安全综合管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100495975C (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100417066C (zh) * | 2004-12-29 | 2008-09-03 | 国际商业机器公司 | 用于处理基于浏览器的应用中的安全问题的多域访问代理 |
| CN101401390B (zh) * | 2006-01-11 | 2012-10-31 | 三星电子株式会社 | 多媒体中间件中的安全管理方法和设备及其存储介质 |
| CN101197876B (zh) * | 2006-12-06 | 2012-02-29 | 中兴通讯股份有限公司 | 一种对消息类业务数据进行多维分析的方法和系统 |
| CN101227329B (zh) * | 2008-02-18 | 2011-04-06 | 华为技术有限公司 | 网络设备管理的方法、装置及系统 |
| CN101557350B (zh) * | 2009-05-21 | 2011-11-16 | 中国建设银行股份有限公司 | 数据交换方法、数据交换模块以及服务接入系统 |
| CN101917419A (zh) * | 2010-08-04 | 2010-12-15 | 安徽天虹数码技术有限公司 | 工作网络行为防火墙 |
| CN101963904A (zh) * | 2010-09-17 | 2011-02-02 | 中山大学 | 一种基于无线网络的中间件系统 |
| US9444840B2 (en) * | 2012-03-13 | 2016-09-13 | Alcatel Lucent | Method and apparatus for a distributed security service in a cloud network |
| CN104102960A (zh) * | 2013-04-08 | 2014-10-15 | 宁夏新航信息科技有限公司 | 计算机节能审计应用模块 |
| CN104378228B (zh) * | 2014-09-30 | 2018-07-13 | 上海宾捷信息科技有限公司 | 网络数据安全管理系统及方法 |
| CN104573395B (zh) * | 2015-01-29 | 2017-04-12 | 上海理想信息产业(集团)有限公司 | 大数据平台安全评估定量分析方法 |
| CN107404474A (zh) * | 2017-06-08 | 2017-11-28 | 广州市呼百应网络技术股份有限公司 | 基于分布式运算的服务器资源弹性管理方法 |
| CN107545408A (zh) * | 2017-07-21 | 2018-01-05 | 合肥未来计算机技术开发有限公司 | 一种基于精细化管理的企业信息安全运营管理系统 |
| CN109510792A (zh) * | 2017-09-11 | 2019-03-22 | 基本立子(北京)科技发展有限公司 | 一种设备售后管理系统 |
| CN110012031B (zh) * | 2019-04-26 | 2022-03-08 | 中国电子科技集团公司第二十九研究所 | 数据报文通用自动解析方法和存储方法 |
| CN110262420A (zh) * | 2019-06-18 | 2019-09-20 | 国家计算机网络与信息安全管理中心 | 一种分布式工业控制网络安全检测系统 |
-
2003
- 2003-12-30 CN CNB2003101098367A patent/CN100495975C/zh not_active Expired - Fee Related
Non-Patent Citations (2)
| Title |
|---|
| 数据库安全应用服务器的研究与实现. 邵佩英.软件学报,第112卷第1期. 2001 |
| 数据库安全应用服务器的研究与实现. 邵佩英.软件学报,第112卷第1期. 2001 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1556611A (zh) | 2004-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100495975C (zh) | 基于安全应用服务器的网络信息安全综合管理方法 | |
| CN112799789B (zh) | 一种节点集群管理方法、装置、设备及存储介质 | |
| CN101069169B (zh) | 在网络元件处缓存内容和状态数据 | |
| CN100461150C (zh) | 在网络元件中代表应用执行消息和变换适配器功能 | |
| CN101605056B (zh) | 一种j2ee服务器监控装置及采用该装置的监控方法 | |
| EP1604486B1 (en) | Relational model for management information in network devices | |
| CN101088245B (zh) | 在网络元件中对消息有效载荷执行安全性功能 | |
| CN101282237B (zh) | 一种基于snmp协议的综合网管系统 | |
| US20020091944A1 (en) | Reporting and maintenance systems for enterprise management from a central location | |
| CN103152352A (zh) | 一种基于云计算环境的全信息安全取证监听方法和系统 | |
| CN102571550A (zh) | 一种通用的信息交互平台和方法 | |
| CN103546343B (zh) | 网络流量分析系统的网络流量展示方法和系统 | |
| US20020178382A1 (en) | Security administration server and its host server | |
| GB2427490A (en) | Network usage monitoring with standard message format | |
| US9680713B2 (en) | Network management system | |
| CN201616710U (zh) | 可伸缩的终端并发接入和负载均衡体系架构 | |
| CN107025222A (zh) | 一种分布式日志采集方法及装置 | |
| CN1063898C (zh) | 模拟移动通信网的集中操作维护方法 | |
| Wang et al. | Design of IoT-based energy efficiency management system for building ceramics production line | |
| CN102904744A (zh) | 性能数据的采集方法及系统 | |
| WO2012119340A1 (zh) | 一种实现北向接口的方法及装置 | |
| CN105978715A (zh) | 一种基于实时数据中心的数据接入接口统一管理方法 | |
| CN102904739A (zh) | 一种实现事件转发的方法及通用信息模型cim服务器 | |
| CN100411384C (zh) | 一种利用移动设备远程使用局域网资源的方法 | |
| US20030131054A1 (en) | CORBA based transmission element management system and method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090603 Termination date: 20151230 |
|
| EXPY | Termination of patent right or utility model |