CN104836806A - 远程支持系统、远程接入系统、远程协助系统及远程协助方法 - Google Patents

远程支持系统、远程接入系统、远程协助系统及远程协助方法 Download PDF

Info

Publication number
CN104836806A
CN104836806A CN201510236468.5A CN201510236468A CN104836806A CN 104836806 A CN104836806 A CN 104836806A CN 201510236468 A CN201510236468 A CN 201510236468A CN 104836806 A CN104836806 A CN 104836806A
Authority
CN
China
Prior art keywords
remote
support system
remote assistance
server
host
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510236468.5A
Other languages
English (en)
Other versions
CN104836806B (zh
Inventor
江泽鑫
陈炯聪
梁智强
黄曙
胡朝辉
李闯
林丹生
伍晓泉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electric Power Research Institute of Guangdong Power Grid Co Ltd
Original Assignee
Electric Power Research Institute of Guangdong Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electric Power Research Institute of Guangdong Power Grid Co Ltd filed Critical Electric Power Research Institute of Guangdong Power Grid Co Ltd
Priority to CN201510236468.5A priority Critical patent/CN104836806B/zh
Publication of CN104836806A publication Critical patent/CN104836806A/zh
Application granted granted Critical
Publication of CN104836806B publication Critical patent/CN104836806B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种远程支持系统,包括操作主机、远程协助服务器、存储服务器、第一交换机及第一加密认证网关,操作主机、远程协助服务器及存储服务器均连接第一交换机,并连接至第一加密认证网关,第一加密认证网关通过专线网络连接远程接入系统。一种远程接入系统,包括现场被控主机、第二交换机、第二加密认证网关;现场被控主机与第二交换机连接,并连接至第二加密认证网关;所述现场被控主机通过第二加密认证网关连接专线网络,进而与远程协助系统连接。此两个系统通过专线网络提供较为安全的远程协助;在多个层面上加强了远程协助的安全防护。本发明还提供一种应用上述远程支持系统及上述远程接入系统的远程协助系统及远程协助方法。

Description

远程支持系统、远程接入系统、远程协助系统及远程协助方法
技术领域
本发明涉及信息安全领域,尤其涉及一种远程支持系统、远程接入系统、远程协助系统及远程协助方法。
背景技术
近年来,互联网信息安全问题突出,通过互联网的黑客攻击尤为严重。为此,国家以及各重点行业主管部门纷纷制定相应的信息安全管理和技术要求。
根据各行业的特点,安全防护的重点和技术要点稍有区别,但在安全设计的原则上,对企业信息系统(特别是重点行业企业生产控制系统)安全防护的一个重点内容是“分区”和“隔离”。通过层层分区隔离,并管控系统与互联网的边界是“重中之重”的技术要点。然而,采用上述严格的安全防护措施的企业信息系统具有一个极为不便的问题:企业信息系统运维中的故障排查、新系统上线前联调、系统安全防护测评等需要外部支持支援的工作无法迅速开展,或者由于到现场支持工程师的数量和专长而导致现场工作不够充分,影响工作的质量和效率。对于一般企业而言,传统的解决方法是通过互联网,使用类似QQ远程协助的软件进行远程协助即可。然而,对于国家重点行业的重要生产系统而言,通过互联网进行远程协助将可能带来极大的信息安全隐患,甚至在国家和行业的法律法规都是不被允许的。
发明内容
基于此,有必要提供一种安全的远程支持系统、远程接入系统、远程协助系统及远程协助方法。
一种远程协助系统,包括专用网络、远程支持系统及远程接入系统;所述远程接入系统通过所述专用网络与所述远程支持系统连接;
所述远程支持系统,包括操作主机、远程协助服务器、存储服务器、第一交换机及第一加密认证网关,所述操作主机、所述远程协助服务器及所述存储服务器均连接所述第一交换机,并通过所述第一交换机连接至所述第一加密认证网关,所述第一加密认证网关通过专线网络连接远程接入系统;其中,
所述第一加密认证网关,用于通过所述专用网络与所述远程接入系统连接,并与所述远程接入系统的第二加密认证网关配对使用,进行密钥协商,最终建立加密隧道;
所述操作主机,用于对访问所述远程支持系统的用户进行人员身份验证,确保通过人员身份验证的用户才能访问所述远程支持系统;
所述远程协助服务器,用于通过建立的所述加密隧道对所述远程接入系统进行远程操作;记录用户通过所述远程协助服务器对所述远程接入系统进行的所有操作,形成操作记录;
所述存储服务器,用于存储所述远程协助服务器记录的所述操作记录;
所述远程接入系统,包括现场被控主机、第二交换机、第二加密认证网关;所述现场被控主机与所述第二交换机连接,并通过所述第二交换机连接至所述第二加密认证网关;所述现场被控主机通过所述第二加密认证网关连接专线网络,进而与远程协助系统连接;
所述第二加密认证网关,用于通过所述专用网络连接所述远程支持系统,并与远程支持系统的第一加密认证网关配合使用,进行密钥协商,最终建立加密隧道;
所述现场被控主机,用于与所述远程支持系统和需要被远程协助的企业系统连接,并被所述远程支持系统的远程协助服务器远程操作,以对需要被远程协助的企业进行远程协助。
在其中一个实施例中,所述远程接入系统还包括现场环境采集设备,用于采集现场环境数据;所述远程支持系统的所述存储服务器还用于存储所述现场环境采集设备采集的现场环境数据。
在其中一个实施例中,所述远程支持系统的所述操作主机还用于对访问所述远程支持系统的用户进行访问权限控制,确保当前用户具有相应的操作权限。
在其中一个实施例中,所述远程接入系统还包括无线网关,连接所述远程接入系统的第二加密认证网关和所述专线网络;
所述远程支持系统的所述现场被控主机包括第一网口和第二网口;所述第一网口用于所述现场支持系统的所述现场被控主机与所述远程协助系统的所述远程协助服务器进行通信;所述第二网口用于所述现场被控主机与需要被远程协助的企业系统进行通信。
一种远程支持系统,包括操作主机、远程协助服务器、存储服务器、第一交换机及第一加密认证网关,所述操作主机、所述远程协助服务器及所述存储服务器均连接所述第一交换机,并通过所述第一交换机连接至所述第一加密认证网关,所述第一加密认证网关通过专线网络连接远程接入系统;其中,
所述第一加密认证网关,用于通过所述专用网络与所述远程接入系统连接,并与所述远程接入系统的第二加密认证网关配对使用,进行密钥协商,最终建立加密隧道;
所述操作主机,用于对访问所述远程支持系统的用户进行人员身份验证,确保通过人员身份验证的用户才能访问所述远程支持系统;
所述远程协助服务器,用于通过建立的所述加密隧道对所述远程接入系统进行远程操作;记录用户通过所述远程协助服务器对所述远程接入系统进行的所有操作,形成操作记录;
所述存储服务器,用于存储所述远程协助服务器记录的所述操作记录。
一种远程接入系统,包括现场被控主机、第二交换机、第二加密认证网关;所述现场被控主机与所述第二交换机连接,并通过所述第二交换机连接至所述第二加密认证网关;所述现场被控主机通过所述第二加密认证网关连接专线网络,进而与远程协助系统连接;
所述第二加密认证网关,用于通过所述专用网络连接所述远程支持系统,并与远程支持系统的第一加密认证网关配合使用,进行密钥协商,最终建立加密隧道;
所述现场被控主机,用于与所述远程支持系统和需要被远程协助的企业系统连接,并被所述远程支持系统的远程协助服务器远程操作,以对需要被远程协助的企业进行远程协助。
一种远程协助方法,包括步骤:
远程接入系统的第二加密认证网关通过专用网络向远程支持系统的第一加密认证网关发起密钥协商,最终建立加密隧道;
操作主机对访问远程支持系统的用户进行人员身份验证,以确保通过人员身份验证的用户才能访问远程支持系统;
通过建立的加密隧道连接远程支持系统的远程协助服务器与远程接入系统的现场被控主机;用户在操作主机上通过远程协助服务器对现场被控主机进行操作;及
远程协助服务器记录用户通过远程协助服务器对现场被控主机进行的所有操作,形成操作记录;存储器服务器存储远程协助服务器记录的操作记录。
在其中一个实施例中,
所述用户在操作主机上通过远程协助服务器对现场被控主机进行操作的步骤时,还包括步骤:
现场环境采集设备采集现场环境数据;存储器服务器存储现场环境采集设备采集的现场环境数据。
在其中一个实施例中,所述远程协助服务器记录用户通过远程协助服务器对现场被控主机进行的所有操作,形成操作记录;存储器服务器存储远程协助服务器记录的操作记录的步骤,或所述现场环境采集设备采集现场环境数据;存储器服务器存储现场环境采集设备采集的现场环境数据的步骤之后,还包括步骤:
在操作主机上根据存储服务器存储的操作记录或/及现场环境数据对远程协助进行安全审计。
在其中一个实施例中,所述操作主机对访问远程支持系统的用户进行人员身份验证,以确保通过人员身份验证的用户才能访问远程支持系统的步骤之后,
所述通过建立的加密隧道连接远程支持系统的远程协助服务器与远程接入系统的现场被控主机;用户在操作主机上通过远程协助服务器对现场被控主机进行操作的步骤或/及所述在操作主机上根据存储服务器存储的操作记录或/及现场环境数据对远程协助进行安全审计的步骤之前,还包括步骤:
操作主机对访问远程支持系统的用户进行访问权限控制,确保当前用户具有相应的操作权限。
上述远程支持系统、远程接入系统、远程协助系统及远程协助方法,通过专线网络提供较为安全的远程协助;在网络层面、主机层面、应用层面上加强了远程协助的安全防护。
附图说明
图1为本发明中远程协助系统的一种实施方式的结构示意图;
图2为本发明中远程协助方法的一种实施方式的流程图;
图3为本发明中远程协助方法的另一种实施方式的流程图。
具体实施方式
为了便于理解本发明,下面将参照相关附图对本发明进行更全面的描述。附图中给出了本发明的较佳的实施例。但是,本发明可以以许多不同的形式来实现,并不限于本文所描述的实施例。相反地,提供这些实施例的目的是使对本发明的公开内容的理解更加透彻全面。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。本文所使用的术语“或/和”包括一个或多个相关的所列项目的任意的和所有的组合。
如图1所示,一种实施方式的远程协助系统,包括远程支持系统100、远程接入系统200及专用网络300。远程接入系统200通过专用网络300与远程支持系统100连接。
在其中一个实施例中,专线网络300具体为4G APN专线网络。
请继续参阅图1,一种实施方式的远程支持系统100,包括:
操作主机110、远程协助服务器130、存储服务器150、第一交换机160及第一加密认证网关170。操作主机110、远程协助服务器130及存储服务器150均连接第一交换机160,并通过第一交换机160连接至第一加密认证网关170;第一加密认证网关170通过专线网络300连接远程接入系统200。在本实施例中,第一交换机160为二层交换机。
第一加密认证网关170,用于通过专用网络300与远程接入系统200连接,并与远程接入系统200的第二加密认证网关270配对使用,进行密钥协商,最终建立加密隧道。
第一加密认证网关170通过专用网络300与远程接入系统200连接,提升远程支持系统100的安全性。且第一加密认证网关170和第二加密认证网关270采用IPSEC协议进行密钥协商,最终建立加密隧道,如此,在网络层面上加强远程协助的安全防护。每次第一加密认证网关170或第二加密认证网关270有数据发送或接收时,需要采用协商好的密钥对发送的数据进行加密,或采用协商好的密钥对接收的数据进行解密。该加密及解密的密钥是通过密钥协商得到的,是唯一的,因此能通过密钥判断是哪一个用户发送的,从而可用于身份认证。从而,可以确保远程支持系统100与远程接入系统200之间通信数据的真实性、完整性和抗抵赖性。
具体地,第一加密认证网关170可配置为网关模式或透明模式。当第一加密认证网关170配制为透明模式时,将专线网络300出口路由器的IP地址作为网关地址。
操作主机110,用于对访问远程支持系统100的用户进行人员身份验证,确保通过人员身份验证的用户才能访问远程支持系统100,在主机层面上加强远程协助的安全防护。操作主机110内预存了允许访问的用户名,只有是允许访问的用户才可访问操作主机110。
在其中一个实施例中,操作主机110为堡垒机。
远程协助服务器130,用于通过建立的加密隧道对远程接入系统200进行远程操作;记录用户通过远程协助服务器130对远程接入系统200进行的所有操作,形成操作记录。
远程协助服务器130上配置有远程协助软件的主控端程序。用户能够在操作主机110上通过远程协助服务器130上运行的远程协助软件对现场被控主机进行操作,从而对与现场被控主机连接的企业系统提供远程协助,如此,在应用层面上加强远程协助的安全防护。远程协助服务器130还用于记录用户通过远程协助服务器130对远程接入系统200进行的所有操作,形成操作记录,并将其发送给存储服务器150。具体地,操作记录包括键盘和屏幕的变化过程。
存储服务器150,用于存储远程协助服务器130记录的操作记录。
存储服务器150接收并存储服务器150发送的操作记录,从而为系统安全审计提供数据基础,可以供用户通过操作主机110进行相应的安全审计时使用。可每隔一定时间或者当出现安全事故时对远程协助系统的使用进行审计,即从使用的用户、使用的操作等各过程审查是否有人违规操作,如果有,违规操作的用户是谁等。
在其中一个实施例中,存储器服务器150还用于存储远程接入系统200的现场环境采集设备250采集的现场环境数据。其中,现场环境数据包括:地理位置信息和现场录像信息。
在其中一个实施例中,存储服务器150配置多块磁盘,是采用RAID技术部署的高可用存储,提供比单个磁盘更高的存储性能和提供数据备份技术,从而使远程协助系统具有更好的稳定性和更快的响应速度。
在其中一个实施例中,操作主机110还用于对访问远程支持系统的用户进行访问权限控制,确保当前用户具有相应的操作权限。每一个用户都至少有一个角色,如系统管理员、远程协助人员、安全审计人员等。不是任何用户都可以做任何操作,不同的角色应该拥有不同的操作权限,以限定用户不能越权操作,进一步保证系统数据的安全性。
上述远程支持系统100的第一加密认证网关170通过专线网络300连接远程接入系统200,而不通过互联网,可以提升远程协助的安全性。且第一加密认证网关170通过专用网络300与远程接入系统200连接,并与远程接入系统200的第二加密认证网关270配对使用,进行密钥协商,最终建立加密隧道,确保远程支持系统100与远程接入系统200之间通信数据的真实性、完整性和抗抵赖性,在网络层面上加强远程协助的安全防护。操作主机110对访问远程支持系统100的用户进行人员身份验证,在主机层面上加强远程协助的安全防护。远程协助服务器130上的远程协助软件对远程接入系统200进行远程协助,在应用层面上加强远程协助的安全防护。通过存储服务器150存储远程协助服务器130记录的操作记录,从而可以提供对远程协助操作的审计工作。因此,上述远程支持系统100较为安全。
请继续参阅图1,一种实施方式的远程接入系统200,包括:
现场被控主机230、现场环境采集设备250、第二加密认证网关270、第二交换机260及无线网关290。现场被控主机230和现场环境采集设备250与第二交换机260连接,并通过第二交换机260连接至第二加密认证网关270。现场被控主机230通过第二加密认证网关270和无线网关290连接专线网络300,进而与远程协助系统100连接。在本实施例中,第二交换机260为二层交换机。
第二加密认证网关270,用于通过专用网络300连接远程支持系统100,并与远程支持系统100的第一加密认证网关170配合使用,进行密钥协商,最终建立加密隧道。
第二加密认证网关270通过专用网络300与远程接入系统200连接,如此,在网络层面上加强远程协助的安全防护。第二加密认证网关270和第一加密认证网关170采用IPSEC协议进行密钥协商,最终建立加密隧道。每次第二加密认证网关270或第一加密认证网关170有数据发送或接收时,需要采用协商好的密钥对发送的数据进行加密,或采用协商好的密钥对接收的数据进行解密。该加密及解密的密钥是通过密钥协商得到的,是唯一的,可用于身份认证。从而,可以确保远程接入系统200与远程支持系统100之间通信数据的真实性、完整性和抗抵赖性。
第二加密认证网关270可配置为网关模式或透明模式。当第二加密认证网关270配制为透明模式时,将专线网络300出口路由器的IP地址或无线网关290的IP地址作为网关地址。
现场被控主机230,用于与远程支持系统100和需要被远程协助的企业系统连接,从而由远程支持系统100的远程协助服务器130远程操作,以对需要被远程协助的企业进行远程协助。现场被控主机230上配置了与远程支持系统100的远程协助服务器130相对应的远程协助程序的受控端。因此,现场被控主机230能使用户在操作主机110上通过远程协助服务器130上运行的远程协助软件的控制下,对与现场被控主机230连接的企业系统提供远程协助功能。如此,在应用层面上解决远程协助的安全防护问题。
具体地,现场被控主机230包括两个以太网口,分别为第一网口和第二网口。第一网口用于现场被控主机230与远程支持系统100的远程协助服务器130进行通信;第二网口用于现场被控主机230与需要远程协助的企业系统进行通信。远程支持系统100的远程协助服务器130通过第一网口控制现场被控主机230;然后再通过被控制的现场被控主机230的第二网口对需要被远程协助的企业系统进行操作。
在其中一个实施例中,现场被控主机230还用于抓取第二网口的所有通信数据,并发送至存储服务器150进行存储。具体的,现场被控主机230可以通过运行抓包程序以抓取第二网口的所有通信数据。远程支持系统100的存储服务器150接收并存储该通信数据;该通信数据可用于安全审计。
现场环境采集设备250,用于采集现场环境数据。现场环境采集设备250还用于将采集到的现场环境数据发送至远程支持系统100的存储服务器150进行存储。具体地,现场环境采集设备250包括地理位置信息采集设备251或/和现场录像机设备253。现场环境数据包括地理位置信息或/和现场操作录像信息。其中,地理位置信息采集设备251连接现场被控主机230,用于采集现场被控主机230的地理位置信息,并发送至存储服务器150进行存储。现场录像机设备253设置于现场被控主机230旁,用于对现场被控主机230采集现场操作录像信息,并发送至存储服务器150进行存储。远程支持系统100的存储服务器150接收并存储现场环境采集设备250采集的现场环境数据,一方面,用于安全审计。另一方面,还可用于辅助远程支持系统100的用户进行远程协助工作。可以理解地,在一些实施例中,现场环境采集设备250可以省略。
无线网关290,连接第二加密认证网关270和专线网络300;用于将远程接入系统200与专线网络300进行连接。具体地,无线网关290用于将远程接入系统200与专线网络300进行拨号连接。专线网络300为4G APN专线网络。可以理解地,无线网关290可以省略,而远程接入系统200直接通过第二加密认证网关270连接到专线网络300,进而与远程支持系统100连接。
上述远程接入系统200的第二加密认证网关270通过专线网络300连接远程支持系统100,而不通过互联网,可以提升远程协助的安全性。且第二加密认证网关270与远程支持系统100的第一加密认证网关170配合使用,进行起密钥协商,最终建立加密隧道,确保远程接入系统200与远程支持系统100之间通信数据的真实性、完整性和抗抵赖性,在网络层面上解决远程协助安全防护问题。现场被控主机230与远程支持系统100和需要被远程协助的企业系统连接,并被远程支持系统100的远程协助服务器130远程操作,以对需要被远程协助的企业进行远程协助,在应用层面上解决远程协助的安全防护问题。通过现场环境采集设备250对现场环境数据进行采集,并发送至存储器服务器150进行存储,从而可以提供对远程协助操作的审计工作。因此,上述远程接入系统200较为安全。
上述远程接入系统200,还具有极大的移动便携特点,远程接入系统200只需要在现场上电,并将现场被控主机230预留的第二网口接入到需要被远程协助的企业系统即可,不需要在现场实施复杂的配置操作。
如图2所示,一种实施方式的远程协助方法,包括步骤:
S100:远程接入系统的第二加密认证网关通过专用网络向远程支持系统的第一加密认证网关发起密钥协商,最终建立加密隧道。
具体地,远程接入系统上电后,远程接入系统的第二加密认证网关通过专用网络向远程支持系统的第一加密认证网关发起密钥协商,最终建立加密隧道。通过专用网络而不是互联网进行通信,可以提升远程协助系统的安全性。每次第一加密认证网关或第二加密认证网关有数据发送或接收时,需要采用协商好的密钥对发送的数据进行加密;采用协商好的密钥对接收的数据进行解密。该加密及解密的密钥是通过密钥协商得到的,是唯一的,因此,可用于身份认证。如此,在网络层面上加强远程协助的安全防护。
S200:操作主机对访问远程支持系统的用户进行人员身份验证,以确保通过人员身份验证的用户才能访问远程支持系统。
如此,在主机层面上加强远程协助的安全防护。
S300:通过建立的加密隧道连接远程支持系统的远程协助服务器与远程接入系统的现场被控主机;用户在操作主机上通过远程协助服务器对现场被控主机进行操作。
用户能够在操作主机上通过远程协助服务器上运行的远程协助软件对现场被控主机进行操作,从而对与现场被控主机连接的企业系统提供远程协助。在应用层面上加强远程协助的安全防护。
步骤S300中,用户在操作主机上通过远程协助服务器对现场被控主机进行操作时,还包括步骤:
S400:远程协助服务器记录用户通过远程协助服务器对现场被控主机进行的所有操作,形成操作记录;存储器服务器存储远程协助服务器记录的操作记录。
其中,存储服务器配置多块磁盘,是采用RAID技术部署的高可用存储,提供比单个磁盘更高的存储性能和提供数据备份技术,从而使远程协助系统具有更好的稳定性和更快的响应速度。
请参阅图3,在其中给一个实施例中,步骤S300中用户在操作主机上通过远程协助服务器对现场被控主机进行操作时,还包括步骤:
S500:现场环境采集设备采集现场环境数据;存储器服务器存储现场环境采集设备采集的现场环境数据。
现场环境采集设备包括地理位置信息采集设备和现场录像设备。现场环境数据包括:地理位置信息和现场录像信息。其中,地理位置信息采集设备采集地理位置信息;现场录像设备采集现场录像信息。
在其中一个实施例中,步骤S400或步骤S500之后,远程协助方法还包括步骤:
S600:在操作主机上根据存储服务器存储的操作记录或/及现场环境数据对远程协助进行安全审计。
安全审计包括:根据某一用户或某次安全协助操作,查看存储服务器中的相关操作记录或/及现场环境数据。在其中给一个实施例中,安全审计还包括:对查看的用户或安全协助操作进行评价。
在其中一个实施例中,在步骤S200之后,步骤S300或/及步骤S600之前,还包括步骤:
S210:操作主机对访问远程支持系统的用户进行访问权限控制,确保当前用户具有相应的操作权限。
每一个用户都至少有一个角色,如系统管理员、远程协助人员、安全审计人员等。不是任何用户都可以做任何操作,不同的角色应该拥有不同的操作权限,以限定用户不能越权操作,进一步保证系统数据的安全性。
具体地,在步骤S300之前,步骤S210具体为:操作主机对访问远程支持系统的用户进行访问权限控制,确保当前用户具有访问远程协助服务器及远程操作现场被控主机及对其做相应操作的权限;否则不能进行步骤S300。
在步骤S600之前,步骤S210具体为:操作主机对访问远程支持系统的用户进行访问权限控制,确保当前用户具有访问存储服务器及做相应的安全审计的权限;否则不能进行步骤S600。
上述远程协助方法中远程接入系统的第二加密认证网关通过专用网络向远程支持系统的第一加密认证网关发起密钥协商,最终建立加密隧道,可以提升远程协助的安全性,并且可以确保远程接入系统与远程支持系统之间通信数据的真实性、完整性和抗抵赖性,在网络层面上解决远程协助安全防护问题。在操作主机上对访问远程支持系统的用户进行人员身份验证,在主机层面上加强远程协助的安全防护。远程协助服务器启动远程协助软件,并通过建立的加密隧道连接远程协助服务器与现场被控主机,在应用层面上加强远程协助的安全防护。远程支持系统的远程协助服务器上的远程协助软件对远程接入系统进行远程协助,在应用层面上加强远程协助的安全防护。远程支持系统的存储器服务器存储远程协助服务器记录的操作记录,从而可以提供对远程协助操作的审计工作。因此,上述远程协助方法是安全的。
以上实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出多个变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种远程协助系统,包括专用网络、远程支持系统及远程接入系统;所述远程接入系统通过所述专用网络与所述远程支持系统连接;
所述远程支持系统,包括操作主机、远程协助服务器、存储服务器、第一交换机及第一加密认证网关,所述操作主机、所述远程协助服务器及所述存储服务器均连接所述第一交换机,并通过所述第一交换机连接至所述第一加密认证网关,所述第一加密认证网关通过专线网络连接远程接入系统;其中,
所述第一加密认证网关,用于通过所述专用网络与所述远程接入系统连接,并与所述远程接入系统的第二加密认证网关配对使用,进行密钥协商,最终建立加密隧道;
所述操作主机,用于对访问所述远程支持系统的用户进行人员身份验证,确保通过人员身份验证的用户才能访问所述远程支持系统;
所述远程协助服务器,用于通过建立的所述加密隧道对所述远程接入系统进行远程操作;记录用户通过所述远程协助服务器对所述远程接入系统进行的所有操作,形成操作记录;
所述存储服务器,用于存储所述远程协助服务器记录的所述操作记录;
所述远程接入系统,包括现场被控主机、第二交换机、第二加密认证网关;所述现场被控主机与所述第二交换机连接,并通过所述第二交换机连接至所述第二加密认证网关;所述现场被控主机通过所述第二加密认证网关连接专线网络,进而与远程协助系统连接;
所述第二加密认证网关,用于通过所述专用网络连接所述远程支持系统,并与远程支持系统的第一加密认证网关配合使用,进行密钥协商,最终建立加密隧道;
所述现场被控主机,用于与所述远程支持系统和需要被远程协助的企业系统连接,并被所述远程支持系统的远程协助服务器远程操作,以对需要被远程协助的企业进行远程协助。
2.根据权利要求1所述的远程协助系统,其特征在于,所述远程接入系统还包括现场环境采集设备,用于采集现场环境数据;所述远程支持系统的所述存储服务器还用于存储所述现场环境采集设备采集的现场环境数据。
3.根据权利要求1或2所述的远程协助系统,其特征在于,
所述远程支持系统的所述操作主机还用于对访问所述远程支持系统的用户进行访问权限控制,确保当前用户具有相应的操作权限。
4.根据权利要求1所述的远程协助系统,其特征在于,所述远程接入系统还包括无线网关,连接所述远程接入系统的第二加密认证网关和所述专线网络;
所述远程支持系统的所述现场被控主机包括第一网口和第二网口;所述第一网口用于所述现场支持系统的所述现场被控主机与所述远程协助系统的所述远程协助服务器进行通信;所述第二网口用于所述现场被控主机与需要被远程协助的企业系统进行通信。
5.一种远程支持系统,包括操作主机、远程协助服务器、存储服务器、第一交换机及第一加密认证网关,所述操作主机、所述远程协助服务器及所述存储服务器均连接所述第一交换机,并通过所述第一交换机连接至所述第一加密认证网关,所述第一加密认证网关通过专线网络连接远程接入系统;其中,
所述第一加密认证网关,用于通过所述专用网络与所述远程接入系统连接,并与所述远程接入系统的第二加密认证网关配对使用,进行密钥协商,最终建立加密隧道;
所述操作主机,用于对访问所述远程支持系统的用户进行人员身份验证,确保通过人员身份验证的用户才能访问所述远程支持系统;
所述远程协助服务器,用于通过建立的所述加密隧道对所述远程接入系统进行远程操作;记录用户通过所述远程协助服务器对所述远程接入系统进行的所有操作,形成操作记录;
所述存储服务器,用于存储所述远程协助服务器记录的所述操作记录。
6.一种远程接入系统,包括现场被控主机、第二交换机、第二加密认证网关;所述现场被控主机与所述第二交换机连接,并通过所述第二交换机连接至所述第二加密认证网关;所述现场被控主机通过所述第二加密认证网关连接专线网络,进而与远程协助系统连接;
所述第二加密认证网关,用于通过所述专用网络连接所述远程支持系统,并与远程支持系统的第一加密认证网关配合使用,进行密钥协商,最终建立加密隧道;
所述现场被控主机,用于与所述远程支持系统和需要被远程协助的企业系统连接,并被所述远程支持系统的远程协助服务器远程操作,以对需要被远程协助的企业进行远程协助。
7.一种远程协助方法,包括步骤:
远程接入系统的第二加密认证网关通过专用网络向远程支持系统的第一加密认证网关发起密钥协商,最终建立加密隧道;
操作主机对访问远程支持系统的用户进行人员身份验证,以确保通过人员身份验证的用户才能访问远程支持系统;
通过建立的加密隧道连接远程支持系统的远程协助服务器与远程接入系统的现场被控主机;用户在操作主机上通过远程协助服务器对现场被控主机进行操作;及
远程协助服务器记录用户通过远程协助服务器对现场被控主机进行的所有操作,形成操作记录;存储器服务器存储远程协助服务器记录的操作记录。
8.根据权利要求7所述的远程协助的方法,其特征在于,
所述用户在操作主机上通过远程协助服务器对现场被控主机进行操作的步骤时,还包括步骤:
现场环境采集设备采集现场环境数据;存储器服务器存储现场环境采集设备采集的现场环境数据。
9.根据权利要求7或8所述的远程协助的方法,其特征在于,所述远程协助服务器记录用户通过远程协助服务器对现场被控主机进行的所有操作,形成操作记录;存储器服务器存储远程协助服务器记录的操作记录的步骤,或所述现场环境采集设备采集现场环境数据;存储器服务器存储现场环境采集设备采集的现场环境数据的步骤之后,还包括步骤:
在操作主机上根据存储服务器存储的操作记录或/及现场环境数据对远程协助进行安全审计。
10.根据权利要求9所述的远程协助的方法,其特征在于,
所述操作主机对访问远程支持系统的用户进行人员身份验证,以确保通过人员身份验证的用户才能访问远程支持系统的步骤之后,
所述通过建立的加密隧道连接远程支持系统的远程协助服务器与远程接入系统的现场被控主机;用户在操作主机上通过远程协助服务器对现场被控主机进行操作的步骤或/及所述在操作主机上根据存储服务器存储的操作记录或/及现场环境数据对远程协助进行安全审计的步骤之前,还包括步骤:
操作主机对访问远程支持系统的用户进行访问权限控制,确保当前用户具有相应的操作权限。
CN201510236468.5A 2015-05-11 2015-05-11 远程支持系统、远程接入系统、远程协助系统及远程协助方法 Active CN104836806B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510236468.5A CN104836806B (zh) 2015-05-11 2015-05-11 远程支持系统、远程接入系统、远程协助系统及远程协助方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510236468.5A CN104836806B (zh) 2015-05-11 2015-05-11 远程支持系统、远程接入系统、远程协助系统及远程协助方法

Publications (2)

Publication Number Publication Date
CN104836806A true CN104836806A (zh) 2015-08-12
CN104836806B CN104836806B (zh) 2018-11-20

Family

ID=53814442

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510236468.5A Active CN104836806B (zh) 2015-05-11 2015-05-11 远程支持系统、远程接入系统、远程协助系统及远程协助方法

Country Status (1)

Country Link
CN (1) CN104836806B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110968461A (zh) * 2019-12-02 2020-04-07 安徽泰臻真空科技有限公司 一种真空设备远程维护系统
CN114827237A (zh) * 2022-04-01 2022-07-29 杭州指令集智能科技有限公司 远程连接操作日志的记录方法及电子设备

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1848602A (zh) * 2006-03-22 2006-10-18 珠海市伊特高科技有限公司 远程通讯配电监控系统及方法
CN201699742U (zh) * 2009-12-21 2011-01-05 上海可鲁系统软件有限公司 一种远程网络安全接入控制装置
CN103441991A (zh) * 2013-08-12 2013-12-11 江苏华大天益电力科技有限公司 一种移动终端安全接入平台
CN104092727A (zh) * 2014-06-12 2014-10-08 中国石油集团东方地球物理勘探有限责任公司 一种基于3g虚拟专用网络的地震仪器远程支持系统及方法
CN104122877A (zh) * 2014-08-06 2014-10-29 北京大邦实创节能技术服务有限公司 锅炉远程监控系统及锅炉远程监控方法
CN204559620U (zh) * 2015-05-11 2015-08-12 广东电网有限责任公司电力科学研究院 远程支持系统、远程接入系统及远程协助系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1848602A (zh) * 2006-03-22 2006-10-18 珠海市伊特高科技有限公司 远程通讯配电监控系统及方法
CN201699742U (zh) * 2009-12-21 2011-01-05 上海可鲁系统软件有限公司 一种远程网络安全接入控制装置
CN103441991A (zh) * 2013-08-12 2013-12-11 江苏华大天益电力科技有限公司 一种移动终端安全接入平台
CN104092727A (zh) * 2014-06-12 2014-10-08 中国石油集团东方地球物理勘探有限责任公司 一种基于3g虚拟专用网络的地震仪器远程支持系统及方法
CN104122877A (zh) * 2014-08-06 2014-10-29 北京大邦实创节能技术服务有限公司 锅炉远程监控系统及锅炉远程监控方法
CN204559620U (zh) * 2015-05-11 2015-08-12 广东电网有限责任公司电力科学研究院 远程支持系统、远程接入系统及远程协助系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110968461A (zh) * 2019-12-02 2020-04-07 安徽泰臻真空科技有限公司 一种真空设备远程维护系统
CN114827237A (zh) * 2022-04-01 2022-07-29 杭州指令集智能科技有限公司 远程连接操作日志的记录方法及电子设备

Also Published As

Publication number Publication date
CN104836806B (zh) 2018-11-20

Similar Documents

Publication Publication Date Title
EP3691217B1 (en) Web traffic logging system and method for detecting web hacking in real time
CN104184735B (zh) 电力营销移动应用安全防护系统
US9813447B2 (en) Device and related method for establishing network policy based on applications
US9130826B2 (en) System and related method for network monitoring and control based on applications
US9172627B2 (en) Device and related method for dynamic traffic mirroring
US8813189B2 (en) System and method for capturing network traffic
US9256636B2 (en) Device and related method for application identification
US9584393B2 (en) Device and related method for dynamic traffic mirroring policy
US9230213B2 (en) Device and related method for scoring applications running on a network
CN204559620U (zh) 远程支持系统、远程接入系统及远程协助系统
JP5972995B2 (ja) 多数の中継サーバを有する保安管理システム及び保安管理方法
CN101931626A (zh) 远程控制过程中实现安全审计功能的服务终端
CN107347047A (zh) 攻击防护方法和装置
EP3499908B1 (en) A device and method for the determination of applications running on a network
CN110717149B (zh) 一种安全架构及其运行方法、设备及可读存储介质
Maesaroh et al. Wireless network security design and analysis using wireless intrusion detection system
CN104836806B (zh) 远程支持系统、远程接入系统、远程协助系统及远程协助方法
CN108712369A (zh) 一种工业控制网多属性约束访问控制决策系统和方法
US9178853B1 (en) Securely determining internet connectivity
US20170366583A1 (en) Systems and methods for remote forensics and data security services over public and private networks
US20220337591A1 (en) Controlling command execution in a computer network
CN107911500A (zh) 基于态势感知定位用户的方法、设备、装置及存储介质
CN105099849B (zh) 一种IPsec隧道的建立方法和设备
CN114726576A (zh) 一种边缘物联代理基础服务安全管理系统
JP4039361B2 (ja) ネットワークを用いた分析システム

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
EXSB Decision made by sipo to initiate substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant