CN102801560A - 可以实现审计大量设备并扩容用户的审计系统的审计方法 - Google Patents

可以实现审计大量设备并扩容用户的审计系统的审计方法 Download PDF

Info

Publication number
CN102801560A
CN102801560A CN2012102764398A CN201210276439A CN102801560A CN 102801560 A CN102801560 A CN 102801560A CN 2012102764398 A CN2012102764398 A CN 2012102764398A CN 201210276439 A CN201210276439 A CN 201210276439A CN 102801560 A CN102801560 A CN 102801560A
Authority
CN
China
Prior art keywords
auditing
module
strategy
dilatation
administration module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2012102764398A
Other languages
English (en)
Other versions
CN102801560B (zh
Inventor
黄云翔
范清华
涂大志
卓志昌
李晓芬
陈仙住
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Electric fufu Mdt InfoTech Ltd
Original Assignee
Fujian Fujitsu Communication Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujian Fujitsu Communication Software Co Ltd filed Critical Fujian Fujitsu Communication Software Co Ltd
Priority to CN201210276439.8A priority Critical patent/CN102801560B/zh
Publication of CN102801560A publication Critical patent/CN102801560A/zh
Application granted granted Critical
Publication of CN102801560B publication Critical patent/CN102801560B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供了一种可以实现审计大量设备并扩容用户的审计系统的审计方法,所述审计系统包括复数个从系统和一主系统,每所述从系统均包括一第二核心审计模块;所述主系统包括第一统一门户模块、第一核心审计模块和第一扩容管理模块;所述第一核心审计模块中定义有一数据库;本发明通过主系统的第一扩容管理模块实现下挂多个从系统,使本发明大大增加了审计的设备量和用户数。

Description

可以实现审计大量设备并扩容用户的审计系统的审计方法
【技术领域】
本发明具体涉及一种可以实现审计大量设备并扩容用户的审计系统的审计方法。
【背景技术】
处于网络环境中的审计系统,由于入口较多,操作人员和信息使用者干预内部网络设备的机会较大,内部网络设备面临的安全隐患也必然增多。审计系统充当内部设备访问的入口,发挥了如下作用:
安全隔离访问,审计系统对访问设备具有分权分区管理功能,用户访问均需统一的授权,不同的用户,具有不同的访问策略。
审查访问内容,用户访问设备时,审计系统会记录访问者的“足迹”,由管理人员审查访问内容,为进一步增强网络安全提供了保证,把内部由网络安全带来的损失降到最低。
如图1所示,现有的审计系统包括下述内容:
WEB访问门户,为用户提供一种web视图,用于供管理员或用户查看、操作的用户接口,所有的操作均通过该第一统一门户模块进行显示;在WEB访问门户上可以看见本审计系统内的授权后的设备与本审计系统的系统信息;在WEB访问门户上可使用三种访问方式:图形访问、字符访问、web代理访问。
授权模块,用于对本审计系统的内部用户授权,包括给用户授受设备访问权限,以及授受本审计系统管理员的操作权限。
策略配置模块,用于配置本审计系统中涉及的服务器或设备的访问策略,不同的设备或服务器可采取不同的策略,以保证访问的可控性与安全性;比如:针对一般用户访问,大部分服务器或设备都会禁止使用su命令,有些服务器还禁止使用ftp命令。
日志审计模块,用于审计日志记录,为事后审计提供依据,当用户通过各种方式进行设备访问时,都会留下日志记录,可对这些日志记录进行审计,以确认访问行为是否合法。
图形审计模块:用于审计以图形访问方式的记录,比如一台主机是window操作系统,用户可通过审计系统图形化看见window桌面,远程控制,而审计系统根据命令策略允许或禁止访问某些命令,并留下一序列访问日志,以供审计,同时管理员也可以在线查看用户当前正在访问的界面,发现违规,实行实时阻断。
字符审计模块:提供一个虚拟的命令控制台连接到审计系统,审计系统再转接到具体设备,从用户的角度看,相当于直接连到需要访问的设备命令控制台,审计系统根据命令策略允许或禁止访问某些命令,并留下一序列访问日志,以供审计,同时管理员也可以在线查看用户当前正在访问的命令,发现违规,实行实时阻断。
数据库审计模块:通过审计系统提供的虚拟化数据库客户端连接到设备上的数据库,对用户输入的DDL、SQL命令等进行审计,对禁止的操作进行阻断,并为事后查询操作来源;所述虚拟化数据库客户端是:虚拟化运用时,审计系统会提供一种虚拟化的客户端给用户使用,而虚拟化数据库客户端是指当虚拟化运用到数据库时,审计系统提供的一种数据库客户端。
WEB审计模块:通过对WEB设置访问策略,用于审计以HTTP方式进行代理访问的合法性,提高安全性。
然而,现有的审计系统可容纳的用户和设备数相对有限,当用户和设备增加到一定程度后,容易造成系统瓶颈,例如当大量用户并发访问时,审计系统线程增多,CPU被占用100%或者内存耗尽;且当需对各审计系统中的服务器或设备配置相同的访问策略时,需要在各自的审计系统上进行重复配置,操作十分麻烦。
【发明内容】
本发明所要解决的技术问题在于提供一种可以实现审计大量设备并扩容用户的审计系统的审计方法,大大增加了审计的设备量和用户数。
本发明是通过以下技术方案解决上述技术问题的:一种可以实现审计大量设备并扩容用户的审计系统的审计方法,所述审计系统包括一主系统和复数个从系统,所述主系统包括一第一核心审计模块,所述第一核心审计模块中定义有一数据库;每所述从系统均包括一第二核心审计模块,所述主系统还包括第一统一门户模块和第一扩容管理模块;
所述审计方法包括下挂所述从系统步骤,其具体操作方法如下:
步骤1:在所述第一统一门户模块上输入一从系统的注册信息,将所述从系统注册到所述第一扩容管理模块,然后所述第一扩容管理模块将该从系统的注册信息存储于所述第一核心审计模块的数据库,在所述数据库中形成该从系统的记录;所述注册信息包括从系统的用户名、从系统的注册ID、从系统的IP地址、从系统的策略通信接口和从系统的授权通信接口;
步骤2:在所述第一统一门户模块上输入对已注册的从系统发起访问权限申请的命令,接着所述第一扩容管理模块通过所述授权通信接口对已注册的从系统发起访问权限申请;
步骤3:所述从系统审核访问权限信息,并判断是否同意申请,若是,则执行步骤4;若否,则结束流程;
步骤4:所述从系统向所述第一扩容管理模块反馈访问权限信息,接着第一扩容管理模块将该访问权限信息存储于所述数据库中的该从系统的记录内,并通过所述第一统一门户模块进行显示,然后所述主系统可持有该访问权限访问所述从系统的设备和系统信息,从而实现了主系统下挂多个从系统的目的;
所述访问权限信息包括:被访问的从系统的用户名和该从系统的注册ID、授权密码、该从系统的策略列表,及该从系统中可访问的设备列表。
进一步地,所述主系统还包括第一下发管理模块;所述审计方法还包括分发策略步骤,其具体操作方法如下以下:
步骤5:通过所述第一统一门户模块在主系统的第一下发管理模块上增加策略,并在所述第一统一门户模块上输入下发策略命令;所述策略包括对设备的控制命令、服务器文件、网络的配置,所述策略是主系统和从系统中涉及的服务器或设备共同采用的策略;
步骤6:所述第一下发管理模块查找所有已在主系统上注册的从系统,并通过所述策略通信接口将所述策略分发给该些从系统,每分发给一从系统,就将所述策略存储于所述数据库中的该从系统的记录内,且所述数据库自动将所述策略的标识默认为“未运用”;
步骤7:所述从系统审核所述策略,并判断是否接收,若是,则执行步骤8;若否,则结束流程;
步骤8:从系统接收并启用所述策略,然后反馈信息给所述第一下发管理模块;所述反馈的信息包括从系统的用户名、从系统的IP地址,及所接收的策略;
步骤9:所述第一下发管理模块接收到从系统反馈的信息后,将存储在所述数据库中的该从系统记录内的该策略的标识修改为“已运用”,然后结束流程。
进一步地,所述从系统还包括第二统一门户模块、第二扩容管理模块和第二下发管理模块;
所述第二统一门户模块具有第二扩容管理模块和第二下发管理模块的用户接口;所述第二扩容管理模块用于下挂多个更下级的系统,实现从系统的扩容;所述第二下发管理模块用于建立下挂于该从系统上的更下级的系统以及本从系统共同使用的策略;所述策略包括对设备的控制命令、服务器文件、网络的配置,所述策略是所述从系统和更下级的系统中涉及的服务器或设备共同采用的策略,以保护设备及设备信息安全。
本发明的有益效果在于:在现有的审计系统上增加了第一统一门户模块和第一扩容管理模块形成主系统,通过主系统的第一扩容管理模块实现下挂多个从系统,使本发明大大增加了审计的设备量和用户数。
【附图说明】
下面参照附图结合实施例对本发明作进一步的描述。
图1为现有的审计系统的框架图。
图2为本发明中审计系统的框架图。
图3为本发明中第一扩容管理模块下挂从系统的算法流程图。
图4为本发明中第一下发管理模块分发策略的算法流程图。
【具体实施方式】
请参阅图2,本发明的一种可以实现审计大量设备并扩容用户的审计系统的审计方法,所述审计系统包括一主系统和复数个从系统;所述主系统包括第一统一门户模块、第一核心审计模块、第一扩容管理模块和第一下发管理模块;所述第一核心审计模块中定义有一数据库。
所述第一核心审计模块具备现有的审计系统(即背景技术中所述的现有的审计系统)的全部功能。
所述第一统一门户模块具有第一扩容管理模块和第一下发管理模块的用户接口,用户或管理员可以在该第一统一门户模块上看到从系统中对自己开放权限的设备,以及从系统的系统信息,下挂从系统以及分发策略给从系统的操作均通过该第一统一门户模块进行显示。
所述第一扩容管理模块用于下挂多个从系统,实现本发明的审计系统的扩容。
所述第一下发管理模块,用于建立从系统以及本主系统共同使用的策略;所述策略包括对设备的控制命令、服务器文件、网络的配置,所述策略是主系统和从系统中涉及的服务器或设备共同采用的策略。因为某些指令执行后,会发生服务器文件找不到,甚至破坏服务器结构的情形,如禁用su-命令”策略、“禁用delete命令”策略等,所以本发明就采用一些服务器或者设备共同采用的策略,让用户使用这些策略访问服务器,从而可以保护设备及设备信息安全。
所述审计方法包括下挂所述从系统和分发策略步骤,如图3所示,所述下挂所述从系统步骤具体操作方法如下:
步骤1:在所述第一统一门户模块上输入一从系统的注册信息,将所述从系统注册到所述第一扩容管理模块,然后所述第一扩容管理模块将该从系统的注册信息存储于所述第一核心审计模块的数据库,在所述数据库中形成该从系统的记录;所述注册信息包括从系统的用户名、从系统的注册ID、从系统的IP地址、从系统的策略通信接口和从系统的授权通信接口;
步骤2:在所述第一统一门户模块上输入对已注册的从系统发起的访问权限申请的命令,接着所述第一扩容管理模块通过所述授权通信接口对已注册的从系统发起访问权限申请;
步骤3:所述从系统审核访问权限信息,并判断是否同意申请,若是,则执行步骤4;若否,则结束流程;
步骤4:所述从系统向所述第一扩容管理模块反馈访问权限信息,接着第一扩容管理模块将该访问权限信息存储于所述数据库中的该从系统的记录内,并通过所述第一统一门户模块进行显示,然后所述主系统可持有该访问权限访问所述从系统的设备和系统信息,从而实现了主系统下挂多个从系统的目的;
所述访问权限信息包括:被访问的从系统的用户名和该从系统的注册ID、授权密码、该从系统的策略列表,及该从系统中可访问的设备列表。
请参阅图4,所述分发策略步骤具体操作方法如下:
步骤5:管理员通过所述第一统一门户模块在主系统的第一下发管理模块上增加策略,并在所述第一统一门户模块上输入下发策略命令;
步骤6:所述第一下发管理模块查找所有已在主系统上注册的从系统,并通过所述策略通信接口将所述策略分发给该些从系统,每分发给一从系统,就将所述策略存储于所述数据库中的该从系统的记录内,且所述数据库自动将所述策略的标识默认为“未运用”;
步骤7:所述从系统审核所述策略,并判断是否接收,若是,则执行步骤8;若否,则结束流程;
步骤8:从系统接收并启用所述策略,然后反馈信息给所述第一下发管理模块;所述反馈的信息包括从系统的用户名、从系统的IP地址,及所接收的策略;
步骤9:所述第一下发管理模块接收到从系统反馈的信息后,将存储在所述数据库中的该从系统记录内的该策略的标识修改为“已运用”,然后结束流程。
请再参阅图2,所述从系统包括第二核心审计模块,该第二核心审计模块具备现有的审计系统的全部功能。
请再参阅图2,所述从系统还可包括第二统一门户模块、第二下发管理模块和第二扩容管理模块,以使从系统能下挂更下级的系统,对更下级的系统进行审计,所述更下级的系统只从属于所述从系统,只接受所述从系统的支配和管理,而与上述主系统无关。
所述第二统一门户模块具有第二扩容管理模块和第二下发管理模块的用户接口,将更下级的系统下挂于该从系统上,以及分发策略给下挂于该从系统上的更下级的系统的操作均通过该第二统一门户模块进行显示,用户或管理员可以在该第二统一门户模块上看到更下级的系统中对自己开放权限的设备,以及更下级的系统的系统信息。所述第二扩容管理模块用于下挂多个更下级的系统,实现从系统的扩容。
所述第二下发管理模块用于建立下挂于该从系统上的更下级的系统以及本从系统共同使用的策略;所述策略包括对设备的控制命令、服务器文件、网络的配置,所述策略是所述从系统和更下级的系统中涉及的服务器或设备共同采用的策略,以保护设备及设备信息安全。因为某些指令执行后,会发生服务器文件找不到,甚至破坏服务器结构的情形,如禁用su-命令”策略、“禁用delete命令”策略等,所以本发明就采用一些服务器或者设备共同采用的策略,让用户使用这些策略访问服务器,从而可以保护设备及设备信息安全。
本发明的审计系统可以审计大量设备并扩容用户,大大增加了审计的设备量和用户数;当所述主系统和各从系统中涉及的各服务器或设备需配置相同的访问策略时,只需在所述主系统上配置所述访问策略,然后通过主系统的第一下发管理模块将所述访问策略分发给各从系统,大大减少了维护工作量,提高了工作效率,有效节约了管理成本。

Claims (3)

1.一种可以实现审计大量设备并扩容用户的审计系统的审计方法,所述审计系统包括一主系统和复数个从系统,所述主系统包括一第一核心审计模块,所述第一核心审计模块中定义有一数据库;每所述从系统均包括一第二核心审计模块,其特征在于:所述主系统还包括第一统一门户模块和第一扩容管理模块;
所述审计方法包括下挂所述从系统步骤,其具体操作方法如下:
步骤1:在所述第一统一门户模块上输入一从系统的注册信息,将所述从系统注册到所述第一扩容管理模块,然后所述第一扩容管理模块将该从系统的注册信息存储于所述第一核心审计模块的数据库,在所述数据库中形成该从系统的记录;所述注册信息包括从系统的用户名、从系统的注册ID、从系统的IP地址、从系统的策略通信接口和从系统的授权通信接口;
步骤2:在所述第一统一门户模块上输入对已注册的从系统发起访问权限申请的命令,接着所述第一扩容管理模块通过所述授权通信接口对已注册的从系统发起访问权限申请;
步骤3:所述从系统审核访问权限信息,并判断是否同意申请,若是,则执行步骤4;若否,则结束流程;
步骤4:所述从系统向所述第一扩容管理模块反馈访问权限信息,接着第一扩容管理模块将该访问权限信息存储于所述数据库中的该从系统的记录内,并通过所述第一统一门户模块进行显示,然后所述主系统可持有该访问权限访问所述从系统的设备和系统信息,从而实现了主系统下挂多个从系统的目的;
所述访问权限信息包括:被访问的从系统的用户名和该从系统的注册ID、授权密码、该从系统的策略列表,及该从系统中可访问的设备列表。
2.如权利要求1所述的可以实现审计大量设备并扩容用户的审计系统的审计方法,其特征在于:所述主系统还包括第一下发管理模块;所述审计方法还包括分发策略步骤,其具体操作方法如下以下:
步骤5:通过所述第一统一门户模块在主系统的第一下发管理模块上增加策略,并在所述第一统一门户模块上输入下发策略命令;所述策略包括对设备的控制命令、服务器文件、网络的配置,所述策略是主系统和从系统中涉及的服务器或设备共同采用的策略;
步骤6:所述第一下发管理模块查找所有已在主系统上注册的从系统,并通过所述策略通信接口将所述策略分发给该些从系统,每分发给一从系统,就将所述策略存储于所述数据库中的该从系统的记录内,且所述数据库自动将所述策略的标识默认为“未运用”;
步骤7:所述从系统审核所述策略,并判断是否接收,若是,则执行步骤8;若否,则结束流程;
步骤8:从系统接收并启用所述策略,然后反馈信息给所述第一下发管理模块;所述反馈的信息包括从系统的用户名、从系统的IP地址,及所接收的策略;
步骤9:所述第一下发管理模块接收到从系统反馈的信息后,将存储在所述数据库中的该从系统记录内的该策略的标识修改为“已运用”,然后结束流程。
3.如权利要求1所述的可以实现审计大量设备并扩容用户的审计系统的审计方法,其特征在于:所述从系统还包括第二统一门户模块、第二扩容管理模块和第二下发管理模块;
所述第二统一门户模块具有第二扩容管理模块和第二下发管理模块的用户接口;所述第二扩容管理模块用于下挂多个更下级的系统,实现从系统的扩容;所述第二下发管理模块用于建立下挂于该从系统上的更下级的系统以及本从系统共同使用的策略;所述策略包括对设备的控制命令、服务器文件、网络的配置,所述策略是所述从系统和更下级的系统中涉及的服务器或设备共同采用的策略,以保护设备及设备信息安全。
CN201210276439.8A 2012-08-03 2012-08-03 可以实现审计大量设备并扩容用户的审计系统的审计方法 Active CN102801560B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210276439.8A CN102801560B (zh) 2012-08-03 2012-08-03 可以实现审计大量设备并扩容用户的审计系统的审计方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210276439.8A CN102801560B (zh) 2012-08-03 2012-08-03 可以实现审计大量设备并扩容用户的审计系统的审计方法

Publications (2)

Publication Number Publication Date
CN102801560A true CN102801560A (zh) 2012-11-28
CN102801560B CN102801560B (zh) 2015-01-21

Family

ID=47200533

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210276439.8A Active CN102801560B (zh) 2012-08-03 2012-08-03 可以实现审计大量设备并扩容用户的审计系统的审计方法

Country Status (1)

Country Link
CN (1) CN102801560B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105099821A (zh) * 2015-07-30 2015-11-25 北京奇虎科技有限公司 基于云的虚拟环境下流量监控的方法和装置
CN111427618A (zh) * 2020-02-18 2020-07-17 国网辽宁省电力有限公司信息通信分公司 一种信息资源双系统融合方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101272281A (zh) * 2008-04-22 2008-09-24 北京邮电大学 一种涉及四方的提供网络服务的系统和方法
CN202068439U (zh) * 2011-05-20 2011-12-07 广东商学院 企业应用安全统一审计平台

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101272281A (zh) * 2008-04-22 2008-09-24 北京邮电大学 一种涉及四方的提供网络服务的系统和方法
CN202068439U (zh) * 2011-05-20 2011-12-07 广东商学院 企业应用安全统一审计平台

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105099821A (zh) * 2015-07-30 2015-11-25 北京奇虎科技有限公司 基于云的虚拟环境下流量监控的方法和装置
CN105099821B (zh) * 2015-07-30 2020-05-12 奇安信科技集团股份有限公司 基于云的虚拟环境下流量监控的方法和装置
CN111427618A (zh) * 2020-02-18 2020-07-17 国网辽宁省电力有限公司信息通信分公司 一种信息资源双系统融合方法

Also Published As

Publication number Publication date
CN102801560B (zh) 2015-01-21

Similar Documents

Publication Publication Date Title
CN103442354B (zh) 一种移动警务终端安全管控系统
CN105991734B (zh) 一种云平台管理方法及系统
CN104769908B (zh) 基于ldap的多租户云中身份管理系统
CN103441986B (zh) 一种瘦客户端模式的数据资源安全管控方法
CN100596361C (zh) 信息系统或设备的安全防护系统及其工作方法
CN109670768A (zh) 多业务域的权限管理方法、装置、平台及可读存储介质
CN102722576B (zh) 一种云计算环境下数据库加密保护系统和加密保护方法
CN103067344A (zh) 在云环境中自动分发安全规则的非侵入性方法和设备
CN103870749B (zh) 一种实现虚拟机系统的安全监控系统及方法
CN105656903A (zh) 一种Hive平台的用户安全管理系统及应用
CN104166812A (zh) 一种基于独立授权的数据库安全访问控制方法
CN104718526A (zh) 安全移动框架
CN104063756A (zh) 远程用电信息控制系统
CN102722667A (zh) 基于虚拟数据库和虚拟补丁的数据库安全防护系统和方法
CN106027463A (zh) 一种数据传输的方法
CN106850690A (zh) 一种蜜罐构造方法及系统
CN110188573A (zh) 分区授权方法、装置、设备及计算机可读存储介质
CN105991647A (zh) 一种数据传输的方法
CN107070951A (zh) 一种内网安全防护系统和方法
CN106600231A (zh) 一种基建项目动态管理系统
CN106027466A (zh) 一种身份证云认证系统及读卡系统
CN106027476A (zh) 一种身份证云认证系统及读卡系统
CN102316122B (zh) 基于协同方式的内网安全管理方法
CN102801560A (zh) 可以实现审计大量设备并扩容用户的审计系统的审计方法
CN101854359A (zh) 基于虚拟化计算的权限控制方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CP01 Change in the name or title of a patent holder

Address after: 350000 No. 22 water head road Doumen, Jinan District, Fuzhou, Fujian

Patentee after: China Electric fufu Mdt InfoTech Ltd

Address before: 350000 No. 22 water head road Doumen, Jinan District, Fuzhou, Fujian

Patentee before: Fujian Fushitong Information Software Co.,Ltd.

CP01 Change in the name or title of a patent holder