CN104753959A - 一种对多个网络安全设备集中操作管控的方法与系统 - Google Patents

一种对多个网络安全设备集中操作管控的方法与系统 Download PDF

Info

Publication number
CN104753959A
CN104753959A CN201510190218.2A CN201510190218A CN104753959A CN 104753959 A CN104753959 A CN 104753959A CN 201510190218 A CN201510190218 A CN 201510190218A CN 104753959 A CN104753959 A CN 104753959A
Authority
CN
China
Prior art keywords
module
resource
management
operating
operating personnel
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510190218.2A
Other languages
English (en)
Other versions
CN104753959B (zh
Inventor
易国华
胡斌
杨军
徐辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hubei Xin Yingtai Systems Technology Co Ltd
Original Assignee
Hubei Xin Yingtai Systems Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hubei Xin Yingtai Systems Technology Co Ltd filed Critical Hubei Xin Yingtai Systems Technology Co Ltd
Priority to CN201510190218.2A priority Critical patent/CN104753959B/zh
Publication of CN104753959A publication Critical patent/CN104753959A/zh
Application granted granted Critical
Publication of CN104753959B publication Critical patent/CN104753959B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Computer And Data Communications (AREA)

Abstract

本发明所述的一种对多个网络安全设备集中操作管控的方法和系统,所述访问控制模块与操作登陆界面连接;资源账号管理模块与操作通道模块连接;在线监控模块、操作内容审计模块与系统资源代理操作模块连接。开始远程操作安全设备请求,从密码库中得到安全设备远程管理密码;操作请求,转换成设备操作原指令,系统代理登录;通过对操作原始的数据包解析成原指令,并记录操作原指令,达到审计功能。本发明的积极效果:本系统采用安全操作管控与审计技术,建立集中操作门户,对异构网络系统的操作实现集中多重身份鉴别、实现授权访问控制、实现远程操作、实现操作行为监控与记录,实现违规操作进行阻断。

Description

一种对多个网络安全设备集中操作管控的方法与系统
技术领域
本发明涉及网络安全设备的操作行为管控与安全监视与审计领域,特别涉及一种多个网络安全设备集中操作管控的方法与装置。
背景技术
部署区域分散,依靠安全设备自带的远程管理功能管理,对各个安全设备的操作分散在不同设备上,不能对操作人员的操作进行基于安全系统原始指令的操作内容审计。管理人员在系统资源操作管控和系统帐号管理上存在如下烦恼:面对大量系统帐号容易忘记密码,忘记定时更新密码;帐号多人交叉使用,造成系统帐号及密码外泄,系统帐号交叉使用导致无法确定责任人;难以对设备及资源的访问控制进行管理;无法集中对操作员的身份鉴别和无法对操作行为进行集中的授权、监控与审计。
发明内容
本发明的目的为了克服上述现有技术存在的问题,提供一种安全操作管控与审计系统。
一种对多个网络安全设备集中操作管控的系统,包括依次连接的操作登陆界面、操作通道模块和系统资源代理操作模块;还包括访问控制模块、资源账号管理模块、在线监控模块和操作内容审计模块;所述访问控制模块与所述操作登陆界面连接;所述资源账号管理模块与所述操作通道模块连接;所述在线监控模块、所述操作内容审计模块与所述系统资源代理操作模块连接。
一种对多个网络安全设备集中操作管控的方法,包括以下步骤:
步骤一、操作人员进入操作登录界面;
步骤二、通过访问控制模块对操作人员进行多重身份鉴别和操作授权验证;
步骤三、以上所有认证通过后,操作人员通过操作通道模块,连接资源账号管理模块获取信息;
步骤四、资源账号管理模块把操作人员操作需要的信息传递给操作通道模块,操作需要的信息分别人设备的协议、端口、用户名和密码等,此时资源账号管理模块会传输一个ID给操作通道模块;
步骤五、操作通道模块接收到资源账号管理模块传输的ID,在数据库中查询到完整的资源账号信息,然后与相应的设备建立连接;
步骤六、通过操作通道模块连接建立后,系统资源代理操作模块通过agent将操作人员的操作转化为系统可识别的命令,从而完成远程操作;
步骤七、管理员通过系统资源代理操作模块的agent取到正在进行操作的ID,根据ID让agent传回该操作的图像信息并显示出来,让管理员对操作人员在在线监控模块中进行在线监控;
步骤八、操作人员的操作内容被系统资源代理模块完整记录,操作内容审计模块通过查询agent日志的文件名让agent返回相应的审计信息并显示出来,以实现内容审计。
本发明的积极效果:通过安全设备密码集中保存,避免造成系统管理密码外泄,通过代理登录,集中增强身份认证手段,进一步实现集中对操作员的身份鉴别,用户授权;实现远程操作、实现操作行为监控与记录,实现违规操作进行阻断。
附图说明
图1是本发明的系统流程示意图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细的说明。
如图1所示,一种对多个网络安全设备集中操作管控的系统,包括依次连接的操作登陆界面1、操作通道模块3和系统资源代理操作模块5。
该系统还包括访问控制模块2、资源账号管理模块4、在线监控模块6、操作内容审计模块7。访问控制模块2与操作登陆界面1连接;资源账号管理模块4与操作通道模块3连接;在线监控模块6、操作内容审计模块7与系统资源代理操作模块5连接。
其中:访问控制模块2采用两种控制模式,分别是多重身份识别和授权。多重身份识别(口令鉴别、动态令牌卡鉴别、指纹鉴别)增强原有的系统系统鉴别能力单一口令的问题,满足安全设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别,且用户的身份鉴别信息至少应有一种是不可伪造的信息安全等级保护要求,确保合法用户才能访问其拥有权限的系统资源;授权是结合对访问主体和受控对象的安全等级进行比较,决定访问主体能否访问该受控对象,对操作人员操作系统资源的时限、权限、内容等进行严格控制。
操作通道模块3,根据访问控制规则在系统资源与操作人员之间建立唯一的集中操作通道,操作人员只能通过提供的操作通道访问系统资源.同时,操作通道模块3负责与系统资源进行通信,系统资源接口支持多种的网络协议。
资源账号管理模块4,针对系统资源的账户口令的采用统一管理。并使资源的帐号对于操作用户不可见的,以实现了对资源帐户的口令统一保护。通过对操作人员认证和授权后,根据配置策略实现资源的自动登录。
系统资源代理操作模块5,把用户的操作转化为系统可识别的命令,并执行操作。
在线监控模块6,采用智能图像拷贝技术,对在线用户操作的实时监控功能,其管理端监控信息与操作用户端所见完全一致,管理端可以对正在进行的会话进行合规性强制中断的功能。
操作内容审计模块7,采用网络会话的完整会话记录,并采用压缩算法对信息进行保存。操作信息包括用户、ip地址、资源名、协议方式、起始时间、终止时间;提供图像形式的回放,真实、直观、可视地重现当时的操作过程。
一种对多个网络安全设备集中操作管控的方法,
开始远程操作安全设备请求,从密码库中得到安全设备远程管理密码;
操作请求,转换成设备操作原指令,系统代理登录;
通过对操作原始的数据包解析成原指令,并记录操作原指令,达到审计功能。
优选的,包括以下步骤:
S1、操作人员进入操作登录界面。
S2、通过访问控制模块对操作人员进行多重身份鉴别(指纹认证、动态口令等)和操作授权验证。多重身份鉴别中指纹认证是通过USB指纹仪收录指纹,通过自带驱动与系统中保存的指纹进行对比验证;动态口令是需要把口令卡的动态密码、SN、SN对应的字符串传到后台进行比对。操作授权是系统对人员、设备、协议和时间的限制。
S3、以上所有认证通过后,操作人员通过操作通道模块,连接资源账号管理模块获取信息。
S4、资源账号管理模块把操作人员操作需要的信息传递给操作通道模块,操作需要的信息分别人设备的协议、端口、用户名和密码等,此时资源账号管理模块会传输一个ID给操作通道模块。
S5、操作通道模块接收到资源账号管理模块传输的ID,在数据库中查询到完整的资源账号信息,然后与相应的设备建立连接。
S6、通过操作通道模块连接建立后,系统资源代理操作模块通过agent将操作人员的操作转化为系统可识别的命令,从而完成远程操作。
S7、管理员通过系统资源代理操作模块的agent取到正在进行操作的ID,根据ID让agent传回该操作的图像信息并显示出来,让管理员对操作人员在在线监控模块中进行在线监控。
S8、操作人员的操作内容被系统资源代理模块完整记录,操作内容审计模块通过查询agent日志的文件名让agent返回相应的审计信息并显示出来,以实现内容审计。
与传统采用技术相比:
采用装保存安全设备登录密码,由系统后台代理登录,实现对多个安全设备帐号密码集中的管理,防止安全密码人为泄露;
并在登录安全设备时,传统安全设备管理采用人工输入安全设备管理密码,本装置采用多重身份鉴别(包括动态令牌、电子证书)方式用户认证,并采用后台代理登录,防止安全密码泄露;编辑访问控制规则对安全设备权限进行控制;
增加采用后台方式自动登录系统资源,外部操作人员无法获取系统资源帐号及密码,防止密码外泄;增加外部操作人员登录口令实时动态更新;强化操作人员主体身份标识;增加授权访问控制(限制访问人、访问时间、访问范围);增加实时监视操作行为;增加对非法操作可以强制阻断;增加对操作进行全程记录。
显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其他不同形式的变化和变动。这里无法对所有的实施方式予以穷举。凡是属于本发明的技术方案所引申出的显而易见的变化或变动仍处于本发明的保护范围之列。

Claims (7)

1.一种对多个网络安全设备集中操作管控的系统,其特征在于,包括依次连接的操作登陆界面、操作通道模块和系统资源代理操作模块;还包括访问控制模块、资源账号管理模块、在线监控模块和操作内容审计模块;所述访问控制模块与所述操作登陆界面连接;所述资源账号管理模块与所述操作通道模块连接;所述在线监控模块、所述操作内容审计模块与所述系统资源代理操作模块连接。
2.根据权利要求1所述的一种对多个网络安全设备集中操作管控的系统,其特征在于,
所述访问控制模块采用两种控制模式,分别是多重身份识别和授权;
所述操作通道模块根据访问控制规则在系统资源与操作人员之间建立唯一的集中操作通道,操作人员只能通过提供的操作通道访问系统资源;同时,所述操作通道模块负责与系统资源进行通信,系统资源接口支持多种的网络协议;
所述资源账号管理模块针对系统资源的账户口令的采用统一管理,并使资源的帐号对于操作用户不可见的,以实现了对资源帐户的口令统一保护;通过对操作人员认证和授权后,根据配置策略实现资源的自动登录;
系统资源代理操作模块把用户的操作转化为系统可识别的命令,并执行操作;
在线监控模块采用智能图像拷贝技术,对在线用户操作的实时监控功能,其管理端监控信息与操作用户端所见完全一致,管理端可以对正在进行的会话进行合规性强制中断的功能;
操作内容审计模块采用网络会话的完整会话记录,并采用压缩算法对操作信息进行保存。
3.根据权利要求1所述的一种对多个网络安全设备集中操作管控的系统,其特征在于,操作信息包括用户、ip地址、资源名、协议方式、起始时间、终止时间;提供图像形式的回放,真实、直观、可视地重现当时的操作过程。
4.一种对多个网络安全设备集中操作管控的方法,其特征在于,包括以下步骤:
步骤一、操作人员进入操作登录界面;
步骤二、通过访问控制模块对操作人员进行多重身份鉴别和操作授权验证;
步骤三、以上所有认证通过后,操作人员通过操作通道模块,连接资源账号管理模块获取信息;
步骤四、资源账号管理模块把操作人员操作需要的信息传递给操作通道模块,操作需要的信息分别人设备的协议、端口、用户名和密码等,此时资源账号管理模块会传输一个ID给操作通道模块;
步骤五、操作通道模块接收到资源账号管理模块传输的ID,在数据库中查询到完整的资源账号信息,然后与相应的设备建立连接;
步骤六、通过操作通道模块连接建立后,系统资源代理操作模块通过agent将操作人员的操作转化为系统可识别的命令,从而完成远程操作;
步骤七、管理员通过系统资源代理操作模块的agent取到正在进行操作的ID,根据ID让agent传回该操作的图像信息并显示出来,让管理员对操作人员在在线监控模块中进行在线监控;
步骤八、操作人员的操作内容被系统资源代理模块完整记录,操作内容审计模块通过查询agent日志的文件名让agent返回相应的审计信息并显示出来,以实现内容审计。
5.根据权利要求4所述的一种对多个网络安全设备集中操作管控的方法,其特征在于,所述多重身份鉴别中指纹认证是通过USB指纹仪收录指纹,通过自带驱动与系统中保存的指纹进行对比验证;动态口令是需要把口令卡的动态密码、SN、SN对应的字符串传到后台进行比对;所述操作授权验证是系统对人员、设备、协议和时间的限制。
6.根据权利要求4所述的一种对多个网络安全设备集中操作管控的方法,其特征在于,
所述操作通道模块3根据访问控制规则在系统资源与操作人员之间建立唯一的集中操作通道,操作人员只能通过提供的操作通道访问系统资源;同时,所述操作通道模块3负责与系统资源进行通信,系统资源接口支持多种的网络协议;
所述资源账号管理模块4针对系统资源的账户口令的采用统一管理,并使资源的帐号对于操作用户不可见的,以实现了对资源帐户的口令统一保护;通过对操作人员认证和授权后,根据配置策略实现资源的自动登录;
系统资源代理操作模块5把用户的操作转化为系统可识别的命令,并执行操作;
在线监控模块6采用智能图像拷贝技术,对在线用户操作的实时监控功能,其管理端监控信息与操作用户端所见完全一致,管理端可以对正在进行的会话进行合规性强制中断的功能;
操作内容审计模块7采用网络会话的完整会话记录,并采用压缩算法对操作信息进行保存。
7.根据权利要求6所述的一种对多个网络安全设备集中操作管控的方法,其特征在于,操作信息包括用户、ip地址、资源名、协议方式、起始时间、终止时间;提供图像形式的回放,真实、直观、可视地重现当时的操作过程。
CN201510190218.2A 2015-04-21 2015-04-21 一种对多个网络安全设备集中操作管控的方法与系统 Active CN104753959B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510190218.2A CN104753959B (zh) 2015-04-21 2015-04-21 一种对多个网络安全设备集中操作管控的方法与系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510190218.2A CN104753959B (zh) 2015-04-21 2015-04-21 一种对多个网络安全设备集中操作管控的方法与系统

Publications (2)

Publication Number Publication Date
CN104753959A true CN104753959A (zh) 2015-07-01
CN104753959B CN104753959B (zh) 2018-01-30

Family

ID=53593063

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510190218.2A Active CN104753959B (zh) 2015-04-21 2015-04-21 一种对多个网络安全设备集中操作管控的方法与系统

Country Status (1)

Country Link
CN (1) CN104753959B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106789982A (zh) * 2016-12-08 2017-05-31 北京立思辰新技术有限公司 一种应用于工业控制系统中的安全防护方法和系统
CN108769004A (zh) * 2018-05-25 2018-11-06 郑州轻工业学院 一种工业互联网智能设备远程操作安全验证方法
CN112367341A (zh) * 2020-12-04 2021-02-12 王志东 针对大量分散智能设备的密码集中管理系统及管理方法
CN113326494A (zh) * 2021-05-31 2021-08-31 湖北微特传感物联研究院有限公司 身份信息认证方法、系统、计算机设备和可读存储介质
CN113901414A (zh) * 2021-10-30 2022-01-07 哈尔滨工业大学 一种面向多实验系统及其中控的控制托管方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101667934A (zh) * 2009-08-25 2010-03-10 中国工程物理研究院电子工程研究所 Usb接口设备网络化的集中监管装置及监管方法
CN102938729A (zh) * 2012-10-30 2013-02-20 鸿富锦精密工业(深圳)有限公司 智能网关、智能家居系统及家电设备的远程控制方法
CN103107925A (zh) * 2011-11-10 2013-05-15 广东中大讯通信息有限公司 一种数字家庭控制系统及方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101667934A (zh) * 2009-08-25 2010-03-10 中国工程物理研究院电子工程研究所 Usb接口设备网络化的集中监管装置及监管方法
CN103107925A (zh) * 2011-11-10 2013-05-15 广东中大讯通信息有限公司 一种数字家庭控制系统及方法
CN102938729A (zh) * 2012-10-30 2013-02-20 鸿富锦精密工业(深圳)有限公司 智能网关、智能家居系统及家电设备的远程控制方法

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106789982A (zh) * 2016-12-08 2017-05-31 北京立思辰新技术有限公司 一种应用于工业控制系统中的安全防护方法和系统
CN108769004A (zh) * 2018-05-25 2018-11-06 郑州轻工业学院 一种工业互联网智能设备远程操作安全验证方法
CN108769004B (zh) * 2018-05-25 2021-08-03 郑州轻工业大学 一种工业互联网智能设备远程操作安全验证方法
CN112367341A (zh) * 2020-12-04 2021-02-12 王志东 针对大量分散智能设备的密码集中管理系统及管理方法
CN112367341B (zh) * 2020-12-04 2022-10-21 北京超维电感科技有限公司 针对大量分散智能设备的密码集中管理系统及管理方法
CN113326494A (zh) * 2021-05-31 2021-08-31 湖北微特传感物联研究院有限公司 身份信息认证方法、系统、计算机设备和可读存储介质
CN113326494B (zh) * 2021-05-31 2023-08-18 湖北微特传感物联研究院有限公司 身份信息认证方法、系统、计算机设备和可读存储介质
CN113901414A (zh) * 2021-10-30 2022-01-07 哈尔滨工业大学 一种面向多实验系统及其中控的控制托管方法
CN113901414B (zh) * 2021-10-30 2023-11-21 哈尔滨工业大学 一种面向多实验系统及其中控的控制托管方法

Also Published As

Publication number Publication date
CN104753959B (zh) 2018-01-30

Similar Documents

Publication Publication Date Title
CN104753959A (zh) 一种对多个网络安全设备集中操作管控的方法与系统
CN104166812B (zh) 一种基于独立授权的数据库安全访问控制方法
US8627417B2 (en) Login administration method and server
CN103489233A (zh) 一种动态密码的电子门禁系统
CN111931144B (zh) 一种操作系统与业务应用统一安全登录认证方法及装置
CN103544746A (zh) 一种动态条码的电子门禁系统
CN107113315A (zh) 一种身份认证方法、终端及服务器
CN108966216B (zh) 一种应用于配电网的移动通信方法及系统
CN105117657A (zh) 一种基于智慧服务的开放式授权接入的设计方法和系统
CN111882704B (zh) 一种智能门锁系统的控制方法以及智能门锁管理系统
CN112187931A (zh) 会话管理方法、装置、计算机设备和存储介质
CN107770137A (zh) 一种信息处理方法和装置
CN111292458A (zh) 蓝牙门禁系统及其开锁方法
CN107862198A (zh) 一种访问验证方法、系统及客户端
CN110313003A (zh) 认证管理方法以及系统
CN116248277A (zh) 用于物联网设备认证加密的零信任安全处理方法及系统
CN114338105B (zh) 一种基于零信任信创堡垒机系统
CN107231378A (zh) 一种基于电力移动办公设备的安全管控方法、装置及系统
CN113285962B (zh) 在线操作监测方法与系统
CN110474916A (zh) 面向Web应用提供特权账号的方法及装置
CN104703180A (zh) 基于移动互联网智能终端的一种隐形多重认证方法
CN107679379A (zh) 一种声纹识别系统和识别方法
CN116455668A (zh) 零信任网络环境下用户信任度量方法与系统
CN109933974A (zh) 密码初始化方法、装置、计算机设备及存储介质
CN109460647A (zh) 一种多设备安全登录的方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 430000 Hubei Wuhan City, Wuhan City, East Lake New Technology Development Zone, Optics Valley Avenue, No. 3 laser engineering design headquarters (phase I) 03 building, 9 floors and 03 rooms

Applicant after: HUBEI INFOTECH CO.,LTD.

Address before: 430000 Hubei Wuhan City, Wuhan City, East Lake New Technology Development Zone, Optics Valley Avenue, No. 3 laser engineering design headquarters (phase I) 3 buildings, 9 floors

Applicant before: HUBEI INFOTECH SYSTEMS TECHNOLOGY CO.,LTD.

GR01 Patent grant
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: A method and system for centralized operation and control of multiple network security devices

Effective date of registration: 20200827

Granted publication date: 20180130

Pledgee: Guanggu Branch of Wuhan Rural Commercial Bank Co.,Ltd.

Pledgor: HUBEI INFOTECH Co.,Ltd.

Registration number: Y2020980005462

PC01 Cancellation of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20210608

Granted publication date: 20180130

Pledgee: Guanggu Branch of Wuhan Rural Commercial Bank Co.,Ltd.

Pledgor: HUBEI INFOTECH Co.,Ltd.

Registration number: Y2020980005462

PE01 Entry into force of the registration of the contract for pledge of patent right
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: A method and system for centralized operation and control of multiple network security devices

Effective date of registration: 20210616

Granted publication date: 20180130

Pledgee: Guanggu Branch of Wuhan Rural Commercial Bank Co.,Ltd.

Pledgor: HUBEI INFOTECH Co.,Ltd.

Registration number: Y2021420000038

PC01 Cancellation of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20220531

Granted publication date: 20180130

Pledgee: Guanggu Branch of Wuhan Rural Commercial Bank Co.,Ltd.

Pledgor: HUBEI INFOTECH CO.,LTD.

Registration number: Y2021420000038

PE01 Entry into force of the registration of the contract for pledge of patent right
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: A method and system for centralized operation and control of multiple network security devices

Effective date of registration: 20220610

Granted publication date: 20180130

Pledgee: Guanggu Branch of Wuhan Rural Commercial Bank Co.,Ltd.

Pledgor: HUBEI INFOTECH CO.,LTD.

Registration number: Y2022420000153

PC01 Cancellation of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20230922

Granted publication date: 20180130

Pledgee: Guanggu Branch of Wuhan Rural Commercial Bank Co.,Ltd.

Pledgor: HUBEI INFOTECH CO.,LTD.

Registration number: Y2022420000153