CN101562541B - 一种统一管理方法和装置 - Google Patents
一种统一管理方法和装置 Download PDFInfo
- Publication number
- CN101562541B CN101562541B CN2009101428788A CN200910142878A CN101562541B CN 101562541 B CN101562541 B CN 101562541B CN 2009101428788 A CN2009101428788 A CN 2009101428788A CN 200910142878 A CN200910142878 A CN 200910142878A CN 101562541 B CN101562541 B CN 101562541B
- Authority
- CN
- China
- Prior art keywords
- level
- business game
- low
- stage arrangement
- unified management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种统一管理方法,应用于包括下级装置和上级装置的系统中,所述方法包括以下步骤:所述下级装置接收来自所述上级装置的业务策略;所述下级装置根据预设的策略对所述业务策略进行修改,并根据修改后的业务策略对所述接入终端的安全信息进行统计,收集统计数据;所述下级装置将所述统计数据发送给所述上级装置,由所述上级装置根据所述统计数据对所述接入终端进行统一管理。本发明中,通过在上级装置中获取业务策略,并由上级装置将该业务策略发送给下级装置,从而在分布式部署网络接入控制系统中实现统一管理,极大的减轻了维护工作。本发明同样提供了一种应用本发明方法的装置。
Description
技术领域
本发明涉及安全技术领域,特别涉及一种统一管理方法和装置。
背景技术
随着社会信息化步伐的不断提速,网络应用不断普及与深入,网络安全已经超过对网络可靠性、交换能力和服务质量的需求,成为企业用户最关心的问题,网络安全设施也日渐成为企业网建设的重中之重。
在企业中,新的安全威胁不断涌现(例如,病毒和蠕虫日益肆虐),对企业网的破坏程度和范围持续扩大,经常引起系统崩溃、网络瘫痪等问题,使企业蒙受了严重损失。而在企业网中,任何一台终端的安全状态(例如,终端的防病毒能力、补丁级别和系统安全设置),均将直接影响到整个企业网的安全状态。不符合企业安全策略的终端(例如,防病毒库版本低,补丁未升级),容易受到攻击、感染病毒,如果某台终端感染了病毒,在该终端中寄存的病毒将不断在企业网中试图寻找下一个终端,并使下一个终端感染病毒;最终的结果可能是企业网的全网瘫痪,所有终端都无法正常工作。
为了保证企业网中终端的安全状态符合企业的安全策略,NAC(Network Access control,网络接入控制)技术为企业提供了一个相对完整的网络安全解决方法,例如,H3C公司的EAD(End user Admission Domination,终端准入控制)解决方案,该方案从企业网的终端入手,强制终端实施企业的安全策略,从而加强企业网终端的主动防御能力,控制病毒、蠕虫的蔓延,大幅度提高企业网的整体安全。
网络接入控制系统一般由安全策略服务器、AAA(Authentication Authorization Accounting,认证、授权和计费)服务器、接入设备和接入终端组成。其中,该接入终端为企业网中的终端,当接入终端需要接入网络时,首先对该终端进行身份认证和安全认证;该过程具体为:(1)接入终端向接 入设备发送身份认证请求;(2)接入设备向AAA服务器转发身份认证请求;(3)AAA服务器对该接入终端进行身份认证,当认证通过时(接入终端为合法用户),AAA服务器向接入设备返回认证通过的响应消息,当没有认证通过时(接入终端为非法用户),AAA服务器向接入设备返回拒绝接入网络的响应消息;(4)接入设备向接入终端发送认证通过的指示;(5)接入终端(合法用户)向安全策略服务器发送安全检查请求;(6)安全策略服务器验证接入终端是否安全(补丁版本、病毒库版本是否合格),当接入终端安全时,安全策略服务器向接入设备发送该接入终端可以接入到网络的信息,当接入终端不安全时(补丁版本、病毒库版本不合格),安全策略服务器向接入设备发送该接入终端的安全级别需要升级的信息;(7)当接入终端不安全时,接入设备将该接入终端隔离到隔离区;(8)接入终端在隔离区中进行补丁升级、病毒库的升级(在隔离区中有补丁升级和病毒库升级的相关信息),直到安全状态合格;(9)接入终端升级完成后,继续向安全策略服务器发送安全检查请求;(10)安全策略服务器验证接入终端是否安全,重复上述步骤,一直到接入终端可以访问网络。
现有企事业单位的网络接入控制系统一般采用分布式部署,企事业单位的各个分支机构都有着各自独立的网络接入控制系统,如图1所示,包含3个独立的网络接入控制系统,客户端1(接入终端1)在网络接入控制系统1中,客户端2在网络接入控制系统2中,客户端3在网络接入控制系统3中,各个网络接入控制系统中均有独立的AAA服务器和安全策略服务器,以及隔离区,其中,大型企事业单位的各个分支机构的网络接入控制系统在进行统一管理时,需要采用相同的业务策略。
基于上面的分析,现有的企事业单位网络接入控制系统对接入终端进行控制时(身份认证控制和安全检查控制),很难统一管理和审计;大型企事业单位(例如,跨国企业)的大量分支机构分布在世界各地,而且每个分支机构都有大量的员工,每个分支机构的网络接入控制系统中,均有各自的业务策略,并且每个分支机构只能对各自的业务数据进行管理和审计;然而大型企事业单位需要使用统一业务策略对各个分支机构的业务数据进行管理和审 计,此时需要重复的在所有的分支机构制定相同的业务策略,维护工作量巨大而且多为重复劳动,导致易用性较差;并且需要到所有分支机构逐个管理和审计各个分支机构的业务数据,由于各个分支机构的数据都是独立的,总部机构要想对各个分支机构的数据进行统一管理和审计,只能登陆到各个分支机构的配置台中,才能进行统一管理和审计,并且只能审计各个分支机构各自的数据,不能实现审计各个分支机构的汇总信息功能,导致审计功能使用比较复杂。
发明内容
本发明提供一种统一管理方法和装置,以减轻企事业单位网络接入控制系统中的维护工作。
为达到上述目的,本发明一方面提供一种统一管理的方法,应用于包括至少两级装置的网络中,所述两级装置彼此为下级装置和上级装置,所述两级装置分别属于不同的分布式部署的网络接入控制系统,每个网络接入控制系统中还至少包括一接入终端,所述方法包括以下步骤:
所述下级装置接收来自所述上级装置的业务策略;
所述下级装置根据预设的策略对所述业务策略进行修改,并根据修改后的业务策略对所述接入终端的安全信息进行统计,收集统计数据;
所述下级装置将所述统计数据发送给所述上级装置,由所述上级装置根据所述统计数据对所述接入终端进行统一管理。
优选的,
所述下级装置接收来自所述上级装置的业务策略之前,还包括:
所述上级装置获取所述业务策略,所述业务策略中携带安全策略信息;
所述上级装置将所述业务策略发送给所述下级装置。
优选的,
所述上级装置获取所述业务策略具体包括:
当所述上级装置为最高级别的装置时,由所述最高级别的装置制定所述业务策略;或
当所述上级装置不是最高级别的装置时,所述上级装置接收最高级别装置逐级转发到所述上级装置的业务策略;或
当所述上级装置不是最高级别的装置时,所述上级装置根据预设的策略制定业务策略。
优选的,
所述上级装置将所述业务策略发送给所述下级装置具体包括:
所述上级装置主动将所述业务策略发送给所述下级装置;或
所述上级装置接收来自所述下级装置的请求消息,并根据所述请求消息将所述业务策略发送给所述下级装置。
优选的,
所述业务策略发生变化时,所述上级装置重新获取业务策略,并将所述重新获取的业务策略发送给所述下级装置。
优选的,
所述下级装置将所述统计数据发送给所述上级装置具体包括:
所述下级装置主动将所述统计数据发送给所述上级装置;或
所述下级装置接收来自所述上级装置的命令消息,并根据所述命令消息将所述统计数据发送给所述上级装置。
本发明还提供一种统一管理装置,应用于包括至少两级装置的网络中,所述至少两级装置彼此为下级装置和上级装置,所述至少两级装置分别属于不同的分布式部署的网络接入控制系统,每个网络接入控制系统中还至少包括一接入终端,所述统一管理装置为下级装置或上级装置,所述统一管理装置包括:
策略模块,当所述统一管理装置为下级装置,且所述下级装置为最低级别的装置时,用于获取业务策略;当所述统一管理装置为上级装置,且所述上级装置为最高级别的装置时,用于制定业务策略;当所述统一管理装置为上级装置,且不是最高级别的装置时,用于制定或获取业务策略;
业务处理模块,与所述策略模块电性连接,用于根据所述策略模块制定或获取的业务策略进行业务处理,所述业务处理包括对接入终端的安全信息进行统计,收集统计数据;其中,对所述接入终端的安全信息进行统计具体为:对本装置所属网络接入控制系统中的接入终端的安全信息进行统计,或对本装置所属网络接入控制系统的接入终端和所述本装置的下级装置上报的接入终端的安全信息进行统计;
收发模块,与策略模块和业务处理模块分别电性连接,当所述统一管理 装置为下级装置,且所述下级装置为最低级别的装置时用于接收策略模块制定的业务策略,和发送业务处理模块收集的统计数据;当所述统一管理装置为上级装置,且所述上级装置为最高级别的装置时,用于发送策略模块制定的业务策略,和接收业务处理模块收集的统计数据;当所述统一管理装置为上级装置,且所述上级装置不是最高级别的装置时,用于收发策略模块制定或获取的业务策略,和收发业务处理模块收集的统计数据。
优选的,所述策略模块包括:
策略配置子模块,用于制定业务策略;
策略获取子模块,与所述策略配置子模块电性连接,用于根据所述策略配置子模块制定的业务策略获取向所述下级装置发送的业务策略。
优选的,
所述策略配置子模块具体用于:当所述统一管理装置为上级装置,且所述上级装置为最高级别的装置时,由所述策略配置子模块制定所述业务策略;或当所述统一管理装置为上级装置,且所述上级装置不是最高级别的装置时,由所述策略配置子模块接收最高级别装置逐级转发到所述上级装置的业务策略;或当所述统一管理装置为上级装置,且所述上级装置不是最高级别的装置时,由所述策略配置子模块根据预设的策略制定业务策略;或当所述统一管理装置为下级装置,由所述策略配置子模块接收来自所述上级装置的业务策略;
所述策略获取子模块具体用于:获取所述策略配置子模块接收到的来自上级装置的业务策略为向所述下级装置发送的业务策略;或获取所述策略配置子模块接收到的来自上级装置的业务策略中的一部分为向所述下级装置发送的业务策略;或获取所述策略配置子模块根据预设的策略制定的业务策略为向所述下级装置发送的业务策略;或获取所述策略配置子模块根据预设的策略制定业务策略以及策略配置子模块接收到的来自上级装置的业务策略中的一部分为向所述下级装置发送的业务策略。
优选的,
所述业务处理模块包括:
修改子模块,用于根据预设的策略修改所述业务策略中的私有数据;
收集子模块,与所述修改子模块电性连接,用于根据来自所述策略模块的业务策略或修改后的业务策略收集统计数据;
安全管理子模块,与所述收集子模块电性连接,用于根据所述收集子模块收集的统计数据进行安全管理。
优选的,
所述收发模块包括:
发送子模块,用于将所述上级装置的业务策略发送给所述下级装置,和/或将所述下级装置的统计数据发送给所述上级装置;
接收子模块,用于接收来自所述上级装置的业务策略,和/或接收来自所述下级装置的统计数据。
优选的,
所述发送子模块具体用于:主动将所述业务策略发送给所述下级装置;或接收来自所述下级装置的请求消息,并根据所述请求消息将所述业务策略发送给所述下级装置;以及
主动将所述统计数据发送给所述上级装置;或接收来自所述上级装置的命令消息,并根据所述命令消息将所述统计数据发送给所述上级装置。
与现有技术相比,本发明具有以下优点:通过在上级装置中获取业务策略,并由上级装置将该业务策略发送给下级装置,当有多个级别的装置时,将业务策略逐级转发,在各个级别的装置中使用相同的业务策略,从而在分布式部署网络接入控制系统中实现统一管理,极大的减轻了维护工作。并且具有功能强大的审计功能,可以在上级装置中汇总各个下级装置的统计数据。通过使用本发明,还可以减少短暂带宽的占用。
附图说明
图1是现有技术中提出的网络接入控制系统采用分布式网络部署的示意图;
图2是本发明提出的分布式部署的网络接入控制系统的多分支机构示意图;
图3是本发明统一管理方法流程图;
图4是本发明统一管理方法具体应用场景的分级示意图;
图5是本发明图4所示应用场景对应的方法流程图;
图6是本发明统一管理方法另一种应用场景下的流程图;
图7是本发明提出的应用本发明方法的管理系统结构图;
图8是本发明提出的应用本发明方法的管理装置结构图。
具体实施方式
本发明的核心思想是在分布式部署的网络接入控制系统(各个分支机构的网络控制系统是平等关系,每个分支机构使用各自独立的数据库,而且各个分支机构的网络控制系统独立运行)中,将所有的分支机构分为多级关系,由上级分支结构统一制定业务策略,并将该业务策略手工分发给下级分支机构或自动给下级分支机构。其中,该业务策略包括认证策略和安全策略,该认证策略为和认证相关的一组绑定信息(例如,终端名称、标识、IP地址、终端名的绑定关系),该安全策略为和安全相关的数据(例如,流量监控策略、注册表监控策略、补丁级别、防病毒软件级别、安全级别、可控软件等)。上述将业务策略手工分发给下级分支机构为上级分支机构根据实际需要(例如,当上级分支机构对业务策略进行修改后)任意的将业务策略手工分发给下级分支机构,上述的将业务策略自动给下级分支机构为上级分支机构可以根据预设的时间(例如,24小时)周期性的将业务策略自动给下级分支机构,当然,本发明中,还可以通过其他的方式,例如:当业务策略一旦发生变化时,触发上级分支机构将业务策略发送给下级分支机构的。下级分支机构在接收到来自上级分支机构的业务策略之后,将业务策略存储到自身的数据库中,并在分支机构中使用该业务策略,从而完成多个分支机构的统一管理。其中,下级分支机构还可以根据预设的策略对业务策略进行修改,例如,修改一些私有数据(例如,补丁服务器的IP地址)。
具体地,应用本发明的分布式部署的网络接入控制系统的多分支机构如图2所示,集团公司(为上级分支结构)在北京,AAA服务器的IP地址为10.153.0.1,安全策略服务器的IP地址为10.153.0.2,在数据库中存储该集团公司的业务策略,例如,将补丁级别设置为5级、防病毒软件级别设置为5级(业务策略以补丁级别和防病毒软件级别为例进行说明),此时,在业务策略的 安全策略中,有补丁级别(5)、防病毒软件级别(5)的对应关系;在该业务策略中还包含集团公司的私有数据,例如,集团公司所使用的补丁服务器的IP地址和防病毒软件服务器的IP地址;其中,在该集团公司制定的业务策略为统一的业务策略,制定完成后,集团公司将该业务策略发送到下级分公司(下级分支机构)中,即集团公司将该业务策略发送给上海分公司和江苏分公司,下级分公司在接收到该业务策略后,将该业务策略保存在本地的数据库中,其中,下级分公司需要修改其中的私有数据,例如,当上海分公司获得安全策略中的补丁级别、防病毒软件级别、补丁服务器的IP地址和防病毒软件服务器的IP地址的对应关系时,需要将补丁服务器的IP地址和防病毒软件服务器的IP地址修改为上海分公司所使用的补丁服务器的IP地址和防病毒软件服务器的IP地址。其中,下级分支机构需要获得AAA服务器的IP地址和安全策略服务器的IP地址,上海分公司的AAA服务器的IP地址为10.153.1.1,安全策略服务器的IP地址为10.153.1.2;江苏分公司的AAA服务器的IP地址为10.153.2.1,安全策略服务器的IP地址为10.153.2.2。
江苏分公司在获得该业务策略之后,还需要将该业务策略发送到下级分公司中(江苏分公司相对于无锡办事处和南通办事处为上级分支机构),即江苏分公司将该业务策略发送给无锡办事处和南通办事处,其中,江苏分公司发送给下级分公司的业务策略具体为:集团公司的业务策略(与江苏分公司接收的业务策略完全相同),或集团公司业务策略中的一部分(江苏分公司从接收的业务策略选取其中一部分业务策略),或集团公司业务策略中的一部分以及江苏分公司所制定的业务策略(江苏分公司选取集团公司业务策略中的一部分业务策略并根据自身的策略制定的业务策略),或完全由江苏分公司所制定的业务策略。
下级分公司在接收到该业务策略后,将该业务策略保存在本地的数据库中,其中,下级分公司也需要修改私有数据,例如,无锡办事处将接收到的业务策略中的补丁服务器的IP地址和防病毒软件服务器的IP地址修改为无锡办事处所使用的补丁服务器的IP地址和防病毒软件服务器的IP地址;南通办事处将接收到的业务策略中的补丁服务器的IP地址和防病毒软件服务器的IP地 址修改为南通办事处所使用的补丁服务器的IP地址和防病毒软件服务器的IP地址;其中,无锡办事处的AAA服务器的IP地址为10.153.3.1,安全策略服务器的IP地址为10.153.3.2;南通办事处的AAA服务器的IP地址为10.153.4.1,安全策略服务器的IP地址为10.153.4.2。
由于上述各级分支机构使用相同的业务策略,通过在集团公司制定业务策略,下级分支机构接收该业务策略,从而完成分布式部署的网络接入控制系统的统一部署,由上级分支机构进行统一管理和审计。当然,某一级分支机构还有下一级时,该级别分支机构还可以自身制定业务策略,并将该业务策略发送到下一级分支机构中,以灵活的完成分布式部署的网络接入控制系统的统一部署。
当业务策略需要修改时,只在上级分支机构(集团公司)进行修改,并将业务策略重新发送给下级分支机构。其中,上级分支机构通过使用相同的业务策略进行统一管理和审计,以集团公司对第一级分支机构和第二级进行统一管理和审计为例,集团公司使用业务策略判断该分支机构(北京集团公司)中的接入终端是否符合安全策略的要求,并统计相应的结果,例如,集团公司根据补丁级别为5级、防病毒软件级别为5级的安全策略获知属于集团公司的接入终端中没有达到补丁级别为5级和/或防病毒软件级别为5级的个数;上海分公司和江苏分公司各自将本地的统计结果发送给集团公司,集团公司可以只限制上海分公司接入终端的使用(上海分公司不安全的接入终端数目超过预设的阈值),也可以限制集团公司、上海分公司和江苏分公司接入终端的使用。
图3为本发明统一管理方法的具体实现流程示意图,该方法应用于包括至少两级装置的网络中,所述两级装置彼此为下级装置和上级装置,且所述两个装置分别属于不同的分布式部署的网络接入控制系统,每个网络接入控制系统中还至少包括一接入终端,所述方法包括以下步骤:
步骤S301,所述下级装置接收来自所述上级装置的业务策略。
步骤S302,所述下级装置根据预设的策略对所述业务策略进行修改,并 根据修改后的业务策略对所述接入终端的安全信息进行统计,收集统计数据。
步骤S303,所述下级装置将所述统计数据发送给所述上级装置,由所述上级装置根据所述统计数据对所述接入终端进行统一管理。
本发明中,通过在上级装置中获取业务策略,并由上级装置将该业务策略发送给下级装置,当有多个级别的装置时,将业务策略逐级转发,在各个级别的装置中使用相同的业务策略,从而在分布式部署网络接入控制系统中实现统一管理,极大的减轻了维护工作。并且具有功能强大的审计功能,可以在上级装置中汇总各个下级装置的统计数据。通过使用本发明,还可以减少短暂带宽的占用。
图4和图5分别是本发明统一管理的方法的具体应用场景示意图以及对应的流程图,在本应用场景中,企事业单位包含多个分支机构,而各个分支机构都有着各自独立的网络接入控制系统,上级分支机构将业务策略发送给下级分支机构,本发明中以三级分支结构为例进行说明,每级分支机构中均包含业务策略服务器、数据库、接入终端、AAA服务器、安全策略服务器、隔离区(在该隔离区中包括补丁升级服务器和防病毒软件服务器等),其中,该AAA服务器、安全策略服务器和业务策略服务器可以部署在一起,也可以分别部署,第一级分支结构包括一级业务策略服务器1和数据库1,第二级分支结构包括二级业务策略服务器2和数据库2,以及二级业务策略服务器3和数据库3,第三级分支结构包括三级业务策略服务器4和数据库4,上述的统一管理方法包括以下步骤:
步骤S501,在上级分支机构中获取业务策略。
其中,上级分支机构中获取业务策略具体为:当该上级分支机构为最高级别的分支机构(集团公司)时,由该上级分支机构制定业务策略;或
当该上级分支机构不是最高级别的分支机构时,由最高级别的分支机构制定业务策略,该上级分支机构接收来自在最高级别的分支机构逐级转发的业务策略,例如,该上级分支机构为第二级分支机构时,最高级别的分支机构为第一级分支机构,由第一级分支机构制定业务策略,并将该业务策略发送给第二级分支机构;或
当该上级分支机构不是最高级别的分支机构,而该上级分支机构有对应的下级分支机构时,由该上级分支机构根据自身的策略制定业务策略,该业务策略可以为最高级别的分支机构所制定业务策略的一部分,或最高级别的分支机构所制定业务策略的一部分以及该上级分支机构所制定的业务策略,或该上级分支机构所制定的业务策略。
本发明中,以该上级分支机构为第一级分支机构为例进行说明。
其中,上级分支机构中获取业务策略的实体为一级业务策略服务器1,一级业务策略服务器1从数据库1中查询出所有需要分发的业务策略,并将该业务策略发送给下级的分支机构。
其中,该业务策略包括认证策略和安全策略,该认证策略包括但不限于标识号、IP地址、MAC(Media Access Control,介质访问控制)地址、终端名、设备类型的绑定对应关系,该安全策略包括但不限于可控软件、流量监控策略、注册表监控策略、补丁级别、防病毒软件级别、安全级别、补丁服务器的IP地址、防病毒软件服务器的IP地址等。例如,将流量监控策略制定为最大200K/s,将注册表监控策略制定为只包含A、B、C等内容,将补丁级别制定为5级(一共为6级,最高级别为6级),将防病毒软件级别制定为5级(一共为6级,最高级别为6级),将安全级别制定为6级(一共为6级,最高级别为6级),其中,该可控软件为根据实际需要设置的软件,例如,QQ软件、FTP(File Transfer Protocol,文件传输协议)软件等,通过使用该可控软件可以限制接入终端不能使用QQ软件或FTP软件。
其中,在该第一级分支机构中还需要设置所有分支机构的端口和IP地址信息,使各级分支机构通过使用该端口和IP地址进行业务策略的逐级发送。
步骤S502,上级分支机构将业务策略发送给下级分支机构。
其中,一级业务策略服务器1将制定的业务策略发送给二级业务策略服务器2和二级业务策略服务器3。
具体的,一级业务策略服务器1将业务策略组成XML(Extensible Markup Language,可扩展标记语言)格式文件,并通过Websevices(Web服务器)将XML格式文件发送给二级业务策略服务器2和二级业务策略服务器3。当然, 一级业务策略服务器1还可以将业务策略组成其他格式的文件,在此不再赘述。
本发明中,上级分支机构可以将业务策略逐级发送给下级分支机构,例如,一级业务策略服务器1将业务策略发送给二级业务策略服务器3,二级业务策略服务器3将业务策略发送给三级业务策略服务器4;上级分支机构也可以将业务策略越级发送给下级分支机构,例如,一级业务策略服务器1将业务策略越级发送给三级业务策略服务器4。
步骤S503,下级分支机构获取来自上级分支机构的业务策略。
其中,二级业务策略服务器2在接收到一级业务策略服务器1的XML格式文件之后,解析出XML格式文件中的业务策略,并将业务策略存储到数据库2中,同样的,级业务策略服务器3解析出XML格式文件中的业务策略,并将业务策略存储到数据库3中。
步骤S504,下级分支机构修改业务策略中的私有数据。
其中,二级业务策略服务器2将业务策略存储到数据库2中之后,二级业务策略服务器2修改业务策略中的私有数据。例如,在该业务策略中携带的补丁服务器的IP地址为一级业务策略服务器1所在网络接入控制系统的补丁服务器的IP地址,当二级分支机构的接入终端需要访问补丁服务器时,应该访问二级业务策略服务器2所在网络接入控制系统的补丁服务器的IP地址,即需要将业务策略中的补丁服务器的IP地址修改为二级业务策略服务器2所在网络接入控制系统的补丁服务器的IP地址,同样的,二级业务策略服务器2将业务策略中的防病毒软件服务器的IP地址修改为二级业务策略服务器2所在网络接入控制系统的防病毒软件服务器的IP地址。
本发明中,二级业务策略服务器3将业务策略存储到数据库3中之后,二级业务策略服务器3修改业务策略中的私有数据,该修改过程与上述二级业务策略服务器2的修改过程相同,在此不再赘述。
步骤S505,二级业务策略服务器3将业务策略发送给三级业务策略服务器4,由三级业务策略服务器4将该业务策略存储到数据库4中,并修改业务策略中的私有数据。
本发明中,二级业务策略服务器3与三级业务策略服务器4相比,该二级业务策略服务器3为上级分支机构,三级业务策略服务器4为下级分支机构。
其中,二级业务策略服务器3将来自一级业务策略服务器1的业务策略直接发送给三级业务策略服务器4;或二级业务策略服务器3选择来自一级业务策略服务器1的业务策略的一部分发送给三级业务策略服务器4;或二级业务策略服务器3根据预设的策略制定业务策略,并将该业务策略发送给三级业务策略服务器4;二级业务策略服务器3根据预设的策略制定业务策略,并将该业务策略与来自一级业务策略服务器1的业务策略的一部分(或全部)一起发送给三级业务策略服务器4。
本步骤的过程与上述步骤S501-步骤S504的过程相同,在此不再赘述。
步骤S506,下级分支机构通过使用该业务策略收集需要上报的统计数据。
下级分支机构根据该业务策略统计接入终端的安全情况(该统计结果为统计数据),例如,二级业务策略服务器3所在的网络接入控制系统中有500个接入终端,二级业务策略服务器3获取每个接入终端的安全信息,即获取业务策略所对应的安全信息,例如,获取每个接入终端的流量信息、注册表信息、补丁级别信息、防病毒软件级别信息、安全级别信息,判断出哪些终端符合所有的安全信息(流量不大于200K/s、注册表中包含的内容为A、B、C、补丁级别不小于5、防病毒软件级别不小于5、安全级别为6);判断出哪些终端所有的安全信息均不满足,判断出哪些终端满足部分安全信息(例如,判断出哪些终端符合防病毒软件级别信息、判断出哪些终端符合补丁级别信息、判断出哪些终端符合安全级别信息、判断出哪些终端符合注册表信息等)。其中,下级分支机构需要统计出终端的数量信息,例如,获取符合所有的安全信息的终端数量(占所有终端的概率),符合补丁级别信息的终端数量,符合注册表信息的终端数量,符合安全级别信息的终端数量等。
本发明中,当二级业务策略服务器3获知接入终端不满足安全策略的要求时,可以通知对应的接入终端,由接入终端到隔离区去升级,直至满足安全策略为止(通过使用AAA服务器的地址和安全策略服务器的地址进行身份认证和安全认证),其中,隔离区中包含补丁服务器和防病毒软件服务器,该 补丁服务器的IP地址和防病毒软件服务器的IP地址是二级业务策略服务器3所修改的私有数据,即接入终端可以到正确的补丁服务器的IP地址和防病毒软件服务器的IP地址去升级。该过程为现有技术,在此不再赘述。
本发明中,下级分支机构可以通过使用该业务策略定时的收集需要上报的统计数据,例如,二级业务策略服务器3每过一个小时便收集一次统计数据;
或下级分支机构也可以在接收到来自上级分支机构的命令消息后,通过使用该业务策略收集需要上报的统计数据,其中,该命令消息中携带要求下级分支机构上报统计数据的信息。
本发明中,上级分支机构也需要根据自身制定的业务策略统计接入终端的安全情况,该统计过程与上述下级分支机构根据该业务策略统计接入终端的安全情况的过程相同,在此不再赘述。
步骤S507,下级分支机构将统计数据上报给上级分支机构。
本发明中,以该下级分支机构为二级分支机构,该上级分支机构为一级分支机构为例进行说明。
具体的,二级业务策略服务器3将收集到的统计数据上报给一级业务策略服务器1,同样的,二级业务策略服务器2将收集到的统计数据上报给一级业务策略服务器1,例如,二级业务策略服务器3上报的统计数据包括:500个接入终端中有400个接入终端符合所有的安全信息(在该统计数据中还可以携带哪个接入终端符合所有的安全信息),有30个接入终端不符合所有的安全信息,有10个接入终端不符合补丁级别的安全信息,有10个接入终端不符合防病毒软件级别的安全信息;有10个接入终端不符合注册表信息的安全信息,有5个接入终端不符合补丁级别和防病毒软件级别的安全信息等;当然,由于二级业务策略服务器3会周期性的收集统计数据,上述的数值是随时变化的(因为接入终端可以到隔离区升级,不安全的接入终端可以变为安全的接入终端),在此不再赘述。
本发明中,二级业务策略服务器3将收集到的统计数据组成XML格式文件,并通过Websevices将XML格式文件发送给一级业务策略服务器1,同样的,二级业务策略服务器2将收集到的统计数据组成XML格式文件,并通过 Websevices将XML格式文件发送给一级业务策略服务器1。
本发明中,当该下级分支机构为三级分支机构,该上级分支机构为二级分支机构时,三级业务策略服务器4需要将统计数据上报给二级业务策略服务器3,该上报过程与上述二级业务策略服务器3将收集到的统计数据上报给一级业务策略服务器1的过程相同,在此不再赘述。
在二级业务策略服务器3将收集到的统计数据上报给一级业务策略服务器1时,还可以将三级业务策略服务器4上报给二级业务策略服务器3的统计数据一起上报给一级业务策略服务器1,例如,三级业务策略服务器4上报给二级业务策略服务器3的统计数据为500个接入终端中有300个接入终端符合所有的安全信息,有30个接入终端不符合所有的安全信息,有20个接入终端不符合补丁级别的安全信息,有20个接入终端不符合防病毒软件级别的安全信息;有20个接入终端不符合注册表信息的安全信息,有20个接入终端不符合补丁级别和防病毒软件级别的安全信息;二级业务策略服务器3上报给一级业务策略服务器1的统计数据为:1000个接入终端中有700个接入终端符合所有的安全信息,有60个接入终端不符合所有的安全信息,有30个接入终端不符合补丁级别的安全信息,有30个接入终端不符合防病毒软件级别的安全信息;有30个接入终端不符合注册表信息的安全信息,有25个接入终端不符合补丁级别和防病毒软件级别的安全信息等。
步骤S508,上级分支机构获得统计数据,并将该统计数据存储到数据库中。
其中,一级业务策略服务器1通过Websevices接收来自二级业务策略服务器3的XML格式文件,解析该XML格式文件,并获取到二级业务策略服务器3统计数据,同样的方法还可以获取到二级业务策略服务器2统计数据,在此不再赘述。
步骤S509,上级分支机构对统计数据进行审计,并根据审计结果和统计数据对接入网络的终端进行统一管理。
其中,一级业务策略服务器1接收到二级业务策略服务器3的统计数据和二级业务策略服务器2的统计数据之后,对统计数据进行审计,可以获知二级 业务策略服务器3所在网络接入控制系统的安全情况和二级业务策略服务器2所在网络接入控制系统的安全情况,例如,获知二级业务策略服务器3所在网络接入控制系统中有400个接入终端符合所有的安全信息,有30个接入终端不符合所有的安全信息,有10个接入终端不符合补丁级别的安全信息,有10个接入终端不符合防病毒软件级别的安全信息;有10个接入终端不符合注册表信息的安全信息,有5个接入终端不符合补丁级别和防病毒软件级别的安全信息;该一级业务策略服务器1可以根据该审计结果和统计数据对接入网络的终端进行统一管理,例如,一级业务策略服务器1使400个符合所有安全信息的接入终端(接入网络的终端)接入到网络中,而不许30个不符合所有的安全信息的接入终端接入到网络中;或者,当一级业务策略服务器获知符合所有安全信息的接入终端数目所占比例小于90%时,不许整个网络接入控制系统中的接入终端接入到网络中。
本步骤中,一级业务策略服务器还可以汇总二级业务策略服务器3所在网络接入控制系统的统计数据和三级业务策略服务器4所在网络接入控制系统的统计数据,将上述的统计数据汇总到一起,对总的统计数据进行审计,并根据总的审计结果对统计数据进行统一管理,例如,二级业务策略服务器3所在网络接入控制系统中有400个(一共500个)接入终端符合所有安全信息,三级业务策略服务器4所在网络接入控制系统中有300个(一共500个)接入终端符合所有安全信息,一级业务策略服务器汇总的信息为70%的接入终端符合所有安全信息。
其中,本发明方法可以根据实际需要对各个步骤顺序进行调整。
如图6所示为本发明统一管理的方法另一种应用场景图,在该应用场景下,企事业单位包含多个分支机构,而各个分支机构都有着各自独立的网络接入控制系统,下级分支机构向上级分支机构请求业务策略,由上级分支机构根据下级分支机构的请求将业务策略发送给下级分支机构,上述的统一管理方法包括以下步骤:
步骤S601,下级分支机构向上级分支机构发送请求消息,该请求消息中 携带要求上级分支机构发送业务策略的信息。
本应用场景中,仍以图4所示的统一管理方法的分级示意图为例进行说明,例如,二级业务策略服务器3向一级业务策略服务器1发送请求消息;和/或二级业务策略服务器2向一级业务策略服务器1发送请求消息;和/或三级业务策略服务器4向二级业务策略服务器3发送请求消息;以二级业务策略服务器3向一级业务策略服务器1发送请求消息为例进行说明。
步骤S602,在上级分支机构中查询需要发送给下级分支机构的业务策略。
其中,在上级分支机构中查询需要发送给下级分支机构的业务策略具体为:当上级分支机构中存在业务策略时,该业务策略为需要发送给下级分支机构的业务策略;或,
当上级分支机构中没有业务策略时,该上级分支机构是最高级别的分支机构,由该上级分支机构制定业务策略;或,
当上级分支机构中没有业务策略时,该上级分支机构不是最高级别的分支机构,该上级分支机构向最高级别的分支机构发送请求消息,接收从最高级别的分支机构逐级转发的业务策略;或,
上级分支机构中没有业务策略时,该上级分支机构不是最高级别的分支机构,该上级分支机构根据预设的策略制定业务策略。
显而易见的,二级业务策略服务器3向一级业务策略服务器1发送请求消息时,该一级业务策略服务器1为最高级别的分支机构,当该一级业务策略服务器1所对应的数据库1中有业务策略时,该业务策略为需要发送给下级分支机构的业务策略,否则,一级业务策略服务器1制定业务策略。
其中,该业务策略包括认证策略和安全策略,该认证策略包括但不限于标识号、IP地址、MAC地址、终端名、设备类型的绑定对应关系,该安全策略包括但不限于可控软件、流量监控策略、注册表监控策略、补丁级别、防病毒软件级别、安全级别、补丁服务器的IP地址、防病毒软件服务器的IP地址等。
步骤S603,上级分支机构将业务策略发送给下级分支机构。其中,一级业务策略服务器1将制定的业务策略发送给二级业务策略服务器3,一级业务 策略服务器1将业务策略组成XML格式文件,并通过Websevices将XML格式文件发送给二级业务策略服务器3。
本发明中,上级分支机构可以将业务策略逐级发送给下级分支机构,例如,一级业务策略服务器1将业务策略发送给二级业务策略服务器3,二级业务策略服务器3将业务策略发送给三级业务策略服务器4;上级分支机构也可以将业务策略越级发送给下级分支机构,例如,一级业务策略服务器1将业务策略越级发送给三级业务策略服务器4。
步骤S604,下级分支机构获取来自上级分支机构的业务策略。其中,二级业务策略服务器3在接收到一级业务策略服务器1的XML格式文件之后,解析出XML格式文件中的业务策略,并将业务策略存储到数据库3中。
步骤S605,下级分支机构修改业务策略中的私有数据。其中,二级业务策略服务器3将业务策略存储到数据库3中之后,二级业务策略服务器3修改业务策略中的私有数据。例如,补丁服务器的IP地址和防病毒软件服务器的IP地址。
步骤S606,二级业务策略服务器3将业务策略发送给三级业务策略服务器4,由三级业务策略服务器4将该业务策略存储到数据库4中,并修改业务策略中的私有数据。
步骤S607,下级分支机构通过使用该业务策略收集需要上报的统计数据。
本发明中,下级分支机构可以通过使用该业务策略定时的收集需要上报的统计数据,例如,二级业务策略服务器3每过一个小时便收集一次统计数据;
或下级分支机构也可以在接收到来自上级分支机构的命令消息后,通过使用该业务策略收集需要上报的统计数据,其中,该命令消息中携带要求下级分支机构上报统计数据的信息。
步骤S608,下级分支机构将统计数据上报给上级分支机构。其中,二级业务策略服务器3将收集到的统计数据组成XML格式文件,并通过Websevices将XML格式文件发送给一级业务策略服务器1。
步骤S609,上级分支机构获得统计数据,并将该统计数据存储到数据库中。其中,一级业务策略服务器1通过Websevices接收来自二级业务策略服务 器3的XML格式文件,解析该XML格式文件,并获取到二级业务策略服务器3统计数据。
步骤S610,上级分支机构对统计数据进行审计,并根据审计结果和统计数据对接入网络的终端进行统一管理。
其中,上述的步骤S607-步骤S610与步骤S506-步骤S509的过程相同,在此不再赘述。
其中,本发明方法可以根据实际需要对各个步骤顺序进行调整。
本发明还提出了一种应用本发明方法的统一管理系统,如图7所示,包括至少两个分布式部署的网络接入控制系统。其中每个网络接入控制系统均包括一装置,所述装置彼此为上级装置和下级装置,在本发明中,所述装置具体可以为业务策略服务器等。另外,所述分布式部署的网络接入控制系统中,各自还包括接入终端、AAA服务器、安全策略服务器、隔离区(在该隔离区中包括补丁升级服务器和防病毒软件服务器等),以及数据库等,为描述方便,以下仅以该统一管理系统只包括两级装置为例进行说明。上级装置711位于网络接入控制系统71中,下级装置为721位于网络接入控制系统72中,网络接入控制系统71还包括接入终端712、AAA服务器713、安全策略服务器714、隔离区715和数据库716,网络接入控制系统72还包括接入终端722、AAA服务器723、安全策略服务器724、隔离区725和数据库726,其中,
该下级装置721,用于接收来自该上级装置711的业务策略;并根据该业务策略收集统计数据;并将该统计数据发送给该上级装置711。
具体地,该下级装置721在接收到该业务策略之后,根据预设的策略对该业务策略进行修改,并根据修改后的业务策略统计数据,例如,下级装置721所在的网络接入控制系统72中有500个接入终端,需要获取业务策略所对应的安全信息,获取符合所有的安全信息的终端数量(占所有终端的概率),符合补丁级别信息的终端数量,符合注册表信息的终端数量,符合安全级别信息的终端数量等。
本发明中,该下级装置721还可以对该统计数据进行审计,并根据审计 结果对该网络接入控制系统72中的接入终端722进行管理,例如,获知网络接入控制系统72中有400个接入终端符合所有的安全信息,有10个接入终端不符合防病毒软件级别的安全信息;可以根据该审计结果和统计数据对接入网络的终端进行统一管理,使400个符合所有安全信息的接入终端接入到网络中,通知不符合安全信息的接入终端到隔离区进行升级,其中,上述获知网络接入控制系统中接入终端的安全信息是根据AAA服务器723和安全策略服务器724获得的。
进一步的,该下级装置721主动将该统计数据发送给该上级装置711;或在接收来自该上级装置711的命令消息之后,根据该命令消息将该统计数据发送给该上级装置711。
该上级装置711,用于获取业务策略,并将该业务策略发送给该下级装置721,接收来自该下级装置721的统计数据,并根据该统计数据对接入网络的终端进行统一管理。
具体地,当该上级装置711为最高级别的装置时,由该上级装置711制定该业务策略;或当该上级装置711不是最高级别的装置时,由该上级装置711接收最高级别装置逐级转发到该上级装置711的业务策略;或当该上级装置711不是最高级别的装置时,由该上级装置711根据预设的策略制定业务策略。
另外,该上级装置711主动将该业务策略发送给该下级装置721;或接收到来自该下级装置721的请求消息之后,根据该请求消息将该业务策略发送给该下级装置721。
进一步的,该上级装置711可以只对该上级装置711所在的网络接入控制系统71进行统一安全管理,即上级装置711根据统计数据对上级装置711所在网络接入控制系统71的接入终端进行统一管理,也可以对下级装置721所在的网络接入控制系统72进行统一安全管理,该安全管理过程与上述下级装置721进行安全管理的过程相同,在此不再赘述。
本发明还提出了一种应用本发明方法的统一管理装置,应用于上述系统 中。为描述方便,以所述系统包括三个等级的统一管理装置为例进行说明,该统一管理装置具体为服务器(例如,业务策略服务器),其中,该第一级别的统一管理装置为上级装置,对于第一级别的统一管理装置该第二级别的统一管理装置为下级装置,对于第三级别的统一管理装置该第二级别的统一管理装置为上级装置,该第三级别的统一管理装置为下级装置。如图8所示,该统一管理装置8包括策略模块81、业务处理模块82、收发模块83,该策略模块81与该业务处理模块82和该收发模块83分别电性连接,该业务处理模块82与该收发模块83电性连接;其中,
该策略模块81,用于制定或获取业务策略。
其中,该业务策略包括认证策略和安全策略,该认证策略包括但不限于标识号、IP地址、MAC地址、终端名、设备类型的绑定对应关系,该安全策略包括但不限于可控软件、流量监控策略、注册表监控策略、补丁级别、防病毒软件级别、安全级别、补丁服务器的IP地址、防病毒软件服务器的IP地址等。
该策略模块81进一步包括策略配置子模块811和策略获取子模块812,其中,该策略配置子模块811与该策略获取子模块812电性连接,
该策略配置子模块811,用于制定业务策略,其中,当该统一管理装置为上级装置时,该策略配置子模块811根据自身策略获取业务策略,当该上级装置为最高级别的装置(第一级别的统一管理装置)时,由该策略配置子模块811制定该业务策略;或当该上级装置不是最高级别的装置(第二级别的统一管理装置)时,由该策略配置子模块811接收最高级别装置逐级转发到该上级装置的业务策略;或当该上级装置不是最高级别的装置(第二级别的统一管理装置)时,由该策略配置子模块811根据预设的策略制定业务策略。当该统一管理装置为下级装置(第三级别的统一管理装置)时,该策略配置子模块811接收来自上级装置的业务策略。
策略获取子模块812,用于根据该策略配置子模块811制定的业务策略获取向下级装置发送的业务策略。例如,当该统一管理装置为第二级别的统一管理装置时,该策略配置子模块811制定的业务策略具体为:接收来自第一 级别统一管理装置的业务策略,或根据预设的策略制定业务策略;
该策略获取子模块812从策略配置子模块811制定的业务策略中获取需要向第三级别的统一管理装置发送的业务策略,其中,需要向第三级别的统一管理装置发送的业务策略具体包括:策略配置子模块811接收到的来自第一级别统一管理装置的业务策略;或,策略配置子模块811接收到的来自第一级别统一管理装置的业务策略中的一部分(由该策略获取子模块812根据预设的策略任意选择);或,策略配置子模块811根据预设的策略制定的业务策略;或,策略配置子模块811根据预设的策略制定业务策略以及策略配置子模块811接收到的来自第一级别统一管理装置的业务策略中的一部分(或全部)。
该业务处理模块82,用于根据该策略模块81制定或获取的业务策略进行业务处理,该业务处理包括但不限于根据业务策略进行安全管理、认证管理,本发明中以进行安全管理为例进行说明。
该业务处理模块82进一步包括修改子模块821、收集子模块822,安全管理子模块823、其中,修改子模块821和收集子模块822电性连接,收集子模块822和安全管理子模块823电性连接,
修改子模块821,用于根据预设的策略修改所述业务策略中的数据。即该修改子模块821对该策略模块81制定或获取的业务策略中的私有数据进行修改,例如,当该统一管理装置为下级装置时,当上述策略配置子模块811接收到来自上级装置的业务策略之后,该修改子模块821修改业务策略中的私有数据,例如,将该业务策略中携带的补丁服务器的IP地址修改为该下级装置所在网络接入控制系统的补丁服务器的IP地址。
收集子模块822,用于根据业务策略收集统计数据。其中,每一级的收集子模块822均根据业务策略收集本级别的统计数据,例如,第二级别统一管理装置中的收集子模块822需要根据修改子模块821修改后的业务策略(当统一管理装置为第一级别时,不需要修改子模块821进行修改,只根据策略模块81制定的业务策略即可),收集该第二级别统一管理装置所在网络接入控制系统的接入终端的安全统计数据。当第二级别统一管理装置所在的网络 接入控制系统中有500个接入终端,需要获取业务策略所对应的安全信息,获取符合所有的安全信息的终端数量(占所有终端的概率),符合补丁级别信息的终端数量,符合注册表信息的终端数量,符合安全级别信息的终端数量等。
需要说明的是,当该统一管理装置为上级装置时,该收集子模块822还需要收集下级装置的统计数据,该统计数据为下级装置通过收发模块83发送给该收集子模块822的。
安全管理子模块823,用于根据收集子模块822收集的统计数据进行安全管理。其中,该安全管理子模块823只对本级别装置的安全信息进行管理,或对下一级别装置的安全信息进行管理,或对级别装置的安全信息以及下一级别装置的安全信息进行统一管理。例如,当该统一管理装置为第一级别的统一管理装置(上级装置)时,该收集子模块822将收集本级别的统计数据(第一级别统一管理装置所在网络接入控制系统的接入终端的安全统计数据),和下级装置的统计数据(第二级别统一管理装置所在网络接入控制系统的接入终端的安全统计数据),该安全管理子模块823需要对第一级别统一管理装置所对应的网络接入控制系统中的所有接入终端进行安全管理,或对第二级别统一管理装置所对应的网络接入控制系统中的所有接入终端进行安全管理,或对第一级别统一管理装置所对应的网络接入控制系统中的所有接入终端,和第二级别统一管理装置所对应的网络接入控制系统中的所有接入终端,进行统一安全管理。以对第二级别统一管理装置所对应的网络接入控制系统中的所有接入终端进行安全管理为例进行说明,该第二级别统一管理装置所对应的网络接入控制系统中的所有接入终端的安全信息为:网络接入控制系统中有400个接入终端符合所有的安全信息,有30个接入终端不符合所有的安全信息,有10个接入终端不符合补丁级别的安全信息,有10个接入终端不符合防病毒软件级别的安全信息;有10个接入终端不符合注册表信息的安全信息,有5个接入终端不符合补丁级别和防病毒软件级别的安全信息;可以根据该统计数据对接入网络的终端进行统一管理,使400个符合所有安全信息的接入终端接入到网络中,而不许30个不符合所有的安全信息的接入 终端接入到网络中,并通知不符合安全信息的接入终端到隔离区进行升级,其中,上述获知网络接入控制系统中接入终端的安全信息是根据AAA服务器和安全策略服务器获得的。
收发模块83,用于将收发该策略模块81获得的业务策略和收发业务处理模块82获得的统计数据。
进一步的,该收发模块83进一步包括发送子模块831和接收子模块832,该发送子模块831,用于将上级装置的业务策略发送给下级装置,和/或将下级装置的统计数据发送给上级装置,该接收子模块832,用于接收来自上级装置的业务策略,和/或接收来自下级装置的统计数据。例如,当该统一管理装置为第二级别统一管理装置时,该发送子模块831用于将策略获取子模块812获取的业务策略发送给第三级别统一管理装置,并将收集子模块822收集的统计数据发送给第一级别统一管理装置;该接收子模块832用于接收来自第三级别统一管理装置的统计数据,并接收来自第一级别统一管理装置的业务策略。本发明中,当统一管理装置为第一级别统一管理装置时,发送子模块831只发送业务策略,接收子模块832只接收统计数据;当统一管理装置为第二级别统一管理装置时,发送子模块831将发送业务策略和统计数据,接收子模块832接收业务策略和统计数据;当统一管理装置为第三级别统一管理装置时,发送子模块831只发送统计数据,接收子模块832只接收业务策略。
具体的,发送子模块831将上级装置的业务策略发送给下级装置的方式包括但不限于:将业务策略组成XML格式文件,并通过Websevices将XML格式文件发送给下级装置。该发送子模块831将统计数据发送给上级装置的方式包括但不限于:将统计数据组成XML格式文件,并通过使用Websevices将XML格式文件发送给上级装置。其中,该发送子模块831主动将该业务策略发送给该下级装置;或该发送子模块831在接收到来自该下级装置的请求消息之后,根据该请求消息将该业务策略发送给该下级装置。另外,该发送子模块831主动将该统计数据发送给该上级装置;或该发送子模块831在接收到来自该上级装置的命令消息之后,根据该命令消息将该统计数据发送给该上级装置。
上述模块可以分布于本发明装置的一个部件中,也可以分布于本发明装置的多个部件中。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (12)
1.一种统一管理方法,应用于包括至少两级装置的网络中,所述至少两级装置彼此为下级装置和上级装置,所述至少两级装置分别属于不同的分布式部署的网络接入控制系统,每个网络接入控制系统中还至少包括一接入终端,其特征在于,所述方法包括以下步骤:
所述下级装置接收来自所述上级装置的业务策略;
所述下级装置根据预设的策略对所述业务策略进行修改,并根据修改后的业务策略对所述接入终端的安全信息进行统计,收集统计数据;其中,对所述接入终端的安全信息进行统计具体为:对本下级装置所属网络接入控制系统的接入终端的安全信息进行统计,或对本下级装置所属网络接入控制系统的接入终端和所述本下级装置的下级装置上报的接入终端的安全信息进行统计;
所述下级装置将所述统计数据发送给所述上级装置,当所述上级装置为至少两级装置中最高级别的装置时,由所述至少两级装置中最高级别的装置根据所述统计数据对所述接入终端进行统一管理。
2.如权利要求1所述的方法,其特征在于,所述下级装置接收来自所述上级装置的业务策略之前,还包括:
所述上级装置获取所述业务策略,所述业务策略中携带安全策略信息;
所述上级装置将所述业务策略发送给所述下级装置。
3.如权利要求2所述的方法,其特征在于,所述上级装置获取所述业务策略具体包括:
当所述上级装置为最高级别的装置时,由所述最高级别的装置制定所述业务策略;或
当所述上级装置不是最高级别的装置时,所述上级装置接收最高级别装置逐级转发到所述上级装置的业务策略;或
当所述上级装置不是最高级别的装置时,所述上级装置根据预设的策略制定业务策略。
4.如权利要求2所述的方法,其特征在于,所述上级装置将所述业务策略发送给所述下级装置具体包括:
所述上级装置主动将所述业务策略发送给所述下级装置;或
所述上级装置接收来自所述下级装置的请求消息,并根据所述请求消息将所述业务策略发送给所述下级装置。
5.如权利要求2-4中任一项所述的方法,其特征在于,所述业务策略发生变化时,所述上级装置重新获取业务策略,并将所述重新获取的业务策略发送给所述下级装置。
6.如权利要求1所述的方法,其特征在于,所述下级装置将所述统计数据发送给所述上级装置具体包括:
所述下级装置主动将所述统计数据发送给所述上级装置;或
所述下级装置接收来自所述上级装置的命令消息,并根据所述命令消息将所述统计数据发送给所述上级装置。
7.一种统一管理装置,应用于包括至少两级装置的网络中,所述至少两级装置彼此为下级装置和上级装置,所述至少两级装置分别属于不同的分布式部署的网络接入控制系统,每个网络接入控制系统中还至少包括一接入终端,其特征在于,所述统一管理装置为下级装置或上级装置,所述统一管理装置包括:
策略模块,当所述统一管理装置为下级装置,且所述下级装置为最低级别的装置时,用于获取业务策略;当所述统一管理装置为上级装置,且所述上级装置为最高级别的装置时,用于制定业务策略;当所述统一管理装置为上级装置,且不是最高级别的装置时,用于制定或获取业务策略;
业务处理模块,与所述策略模块电性连接,用于根据所述策略模块制定或获取的业务策略进行业务处理,所述业务处理包括对接入终端的安全信息进行统计,收集统计数据;其中,对所述接入终端的安全信息进行统计具体为:对本装置所属网络接入控制系统中的接入终端的安全信息进行统计,或对本装置所属网络接入控制系统的接入终端和所述本装置的下级装置上报的接入终端的安全信息进行统计;
收发模块,与策略模块和业务处理模块分别电性连接,当所述统一管理装置为下级装置,且所述下级装置为最低级别的装置时用于接收策略模块制定的业务策略,和发送业务处理模块收集的统计数据;当所述统一管理装置为上级装置,且所述上级装置为最高级别的装置时,用于发送策略模块制定的业务策略,和接收业务处理模块收集的统计数据;当所述统一管理装置为上级装置,且所述上级装置不是最高级别的装置时,用于收发策略模块制定或获取的业务策略,和收发业务处理模块收集的统计数据。
8.如权利要求7所述的装置,其特征在于,所述策略模块包括:
策略配置子模块,当所述统一管理装置为下级装置,且所述下级装置为最低级别的装置时,用于接收业务策略;当所述统一管理装置为上级装置,且所述上级装置为最高级别的装置时,用于制定业务策略;当所述统一管理装置为上级装置,且所述上级装置不是最高级别的装置时,用于接收或制定业务策略;
策略获取子模块,与策略配置子模块电性连接,当所述统一管理装置不是最低级别的装置时,用于根据策略配置子模块制定的业务策略获取向所述下级装置发送的业务策略。
9.如权利要求8所述的装置,其特征在于,策略配置子模块具体用于:当所述统一管理装置为上级装置,且所述上级装置为最高级别的装置时,由策略配置子模块制定所述业务策略;或当所述统一管理装置为上级装置,且所述上级装置不是最高级别的装置时,由策略配置子模块接收最高级别装置逐级转发到所述上级装置的业务策略;或当所述统一管理装置为上级装置,且所述上级装置不是最高级别的装置时,由策略配置子模块根据预设的策略制定业务策略;或当所述统一管理装置为下级装置,由策略配置子模块接收来自所述上级装置的业务策略;
所述策略获取子模块具体用于:当所述统一管理装置为下级装置,且其所述下级装置不是最低级别的装置时,获取策略配置子模块接收到的来自上级装置的业务策略为向所述下级装置发送的业务策略;或当所述统一管理装置为下级装置,且其所述下级装置不是最低级别的装置时,获取策略配置子模块接收到的来自上级装置的业务策略中的一部分为向所述下级装置发送的业务策略;或当所述统一管理装置为下级装置时,且其所述下级装置不是最低级别的装置时,获取策略配置子模块根据预设的策略制定的业务策略为向所述下级装置发送的业务策略;或当所述统一管理装置为下级装置时,且其所述下级装置不是最低级别的装置时,获取策略配置子模块根据预设的策略制定业务策略以及策略配置子模块接收到的来自上级装置的业务策略中的一部分为向所述下级装置发送的业务策略;当所述统一管理装置为上级装置,且其所述上级装置是最高级别的装置时,获取策略配置子模块制定的业务策略为向所述下级装置发送的业务策略。
10.如权利要求7所述的装置,其特征在于,所述业务处理模块包括:
修改子模块,当所述统一管理装置不是最高级别的装置时,用于根据预设的策略修改所述业务策略中的私有数据;
收集子模块,与所述修改子模块电性连接,当所述统一管理装置为上级装置,且所述上级装置为最高级别的装置时,用于根据来自策略模块的业务策略收集统计数据;当所述统一管理装置不是最高级别的装置时,用于根据修改后的业务策略收集统计数据;
安全管理子模块,与所述收集子模块电性连接,用于根据所述收集子模块收集的统计数据进行安全管理。
11.如权利要求7所述的装置,其特征在于,所述收发模块包括:
发送子模块,用于将所述上级装置的业务策略发送给所述下级装置,和/或将所述下级装置的统计数据发送给所述上级装置;
接收子模块,用于接收来自所述上级装置的业务策略,和/或接收来自所述下级装置的统计数据。
12.如权利要求11所述的装置,其特征在于,所述发送子模块具体用于:主动将所述业务策略发送给所述下级装置;或接收来自所述下级装置的请求消息,并根据所述请求消息将所述业务策略发送给所述下级装置;以及
主动将所述统计数据发送给所述上级装置;或接收来自所述上级装置的命令消息,并根据所述命令消息将所述统计数据发送给所述上级装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101428788A CN101562541B (zh) | 2009-05-19 | 2009-05-19 | 一种统一管理方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101428788A CN101562541B (zh) | 2009-05-19 | 2009-05-19 | 一种统一管理方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101562541A CN101562541A (zh) | 2009-10-21 |
| CN101562541B true CN101562541B (zh) | 2012-05-23 |
Family
ID=41221173
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101428788A Active CN101562541B (zh) | 2009-05-19 | 2009-05-19 | 一种统一管理方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101562541B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102264070B (zh) * | 2010-05-25 | 2013-11-13 | 中国移动通信集团设计院有限公司 | 一种提供业务数据及执行访问业务的方法及设备 |
| CN102510341B (zh) * | 2011-10-26 | 2015-06-17 | 国家广播电影电视总局广播科学研究院 | 数据流处理方法和系统及管控节点单元 |
| CN102377603B (zh) * | 2011-10-26 | 2014-10-29 | 国家广播电影电视总局广播科学研究院 | 策略处理方法和系统以及设备 |
| CN103024716B (zh) * | 2012-11-27 | 2015-10-07 | 中兴通讯股份有限公司 | 一种WiFi流量统计方法、装置和系统 |
| CN104105124A (zh) * | 2013-04-08 | 2014-10-15 | 南京理工大学常熟研究院有限公司 | 基于Android智能移动终端的流量监测系统 |
| CN105871835B (zh) * | 2016-03-29 | 2020-07-17 | 广西钦保网络科技有限公司 | 管理接入计算机网络的设备的装置和方法 |
| CN106789270A (zh) * | 2016-12-27 | 2017-05-31 | 浪潮软件集团有限公司 | 一种信息系统集中运维管理的实现方法及系统 |
| CN111162929B (zh) * | 2019-12-04 | 2022-11-01 | 杭州迪普科技股份有限公司 | 一种分级管理方法和系统 |
| CN112948103B (zh) * | 2019-12-10 | 2023-10-27 | 腾讯科技(深圳)有限公司 | 资源配置方法、装置、存储介质及电子设备 |
| CN113949617A (zh) * | 2020-07-16 | 2022-01-18 | 中移(成都)信息通信科技有限公司 | 一种组网系统、方法、设备及计算机存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6038563A (en) * | 1997-10-31 | 2000-03-14 | Sun Microsystems, Inc. | System and method for restricting database access to managed object information using a permissions table that specifies access rights corresponding to user access rights to the managed objects |
| CN1859178A (zh) * | 2005-11-07 | 2006-11-08 | 华为技术有限公司 | 一种网络安全控制方法及系统 |
| CN1885788A (zh) * | 2005-06-22 | 2006-12-27 | 杭州华为三康技术有限公司 | 网络安全防护方法及系统 |
| CN1933392A (zh) * | 2006-08-16 | 2007-03-21 | 华为技术有限公司 | 一种提高局端-终端架构安全和性能的系统及其方法 |
-
2009
- 2009-05-19 CN CN2009101428788A patent/CN101562541B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6038563A (en) * | 1997-10-31 | 2000-03-14 | Sun Microsystems, Inc. | System and method for restricting database access to managed object information using a permissions table that specifies access rights corresponding to user access rights to the managed objects |
| CN1885788A (zh) * | 2005-06-22 | 2006-12-27 | 杭州华为三康技术有限公司 | 网络安全防护方法及系统 |
| CN1859178A (zh) * | 2005-11-07 | 2006-11-08 | 华为技术有限公司 | 一种网络安全控制方法及系统 |
| CN1933392A (zh) * | 2006-08-16 | 2007-03-21 | 华为技术有限公司 | 一种提高局端-终端架构安全和性能的系统及其方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101562541A (zh) | 2009-10-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101562541B (zh) | 一种统一管理方法和装置 | |
| CN105247529B (zh) | 在目录服务之间同步凭证散列 | |
| CN1586065B (zh) | 利用网络地址转换的对等网络通信方法、设备及系统 | |
| CN102365855B (zh) | 基于网络的周边服务的方法和设备 | |
| EP2080317B1 (en) | Apparatus and a security node for use in determining security attacks | |
| CN105321108A (zh) | 一种用于在对等网络上创建共享信息列表的系统和方法 | |
| US20060224670A1 (en) | File distribution method and client terminal implementing the same | |
| CN103283202A (zh) | 用于针对恶意软件的网络级保护的系统和方法 | |
| CN113746679B (zh) | 跨子域通信运维方法、总运维服务器和介质 | |
| CN107864056A (zh) | 一种分布式事件采集探针、分布式事件高速采集系统及方法 | |
| CN106155812A (zh) | 一种对虚拟主机的资源管理的方法、装置、系统及电子设备 | |
| US20050071457A1 (en) | System and method of network fault monitoring | |
| CN103020861A (zh) | 用于金融证券行业的中间业务平台系统 | |
| CN102932391A (zh) | P2sp系统中处理数据的方法、装置和系统 | |
| US10192262B2 (en) | System for periodically updating backings for resource requests | |
| CN109246769A (zh) | 一种pdu会话建立方法及装置 | |
| CN110008694A (zh) | 一种应用程序安全控制方法、装置、设备及可读存储介质 | |
| CN111062850A (zh) | 一种解决多平台业务互联互通的政务整合管理系统 | |
| CN105991596A (zh) | 一种访问控制方法和系统 | |
| CN101309220A (zh) | 一种流量控制方法和装置 | |
| US11516071B2 (en) | Method and system for root cause analysis across multiple network systems | |
| CN107995062B (zh) | 基于rpc的交管综合平台异地业务实时处理方法和系统 | |
| CN103258389A (zh) | 自助终端上传文件的方法、系统和自助终端 | |
| CN110535919B (zh) | 集中器的入网方法及装置、电力调峰系统 | |
| US7783752B2 (en) | Automated role based usage determination for software system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |