CN109255216A - 一种违规操作的发现和响应方法 - Google Patents
一种违规操作的发现和响应方法 Download PDFInfo
- Publication number
- CN109255216A CN109255216A CN201811209845.6A CN201811209845A CN109255216A CN 109255216 A CN109255216 A CN 109255216A CN 201811209845 A CN201811209845 A CN 201811209845A CN 109255216 A CN109255216 A CN 109255216A
- Authority
- CN
- China
- Prior art keywords
- client
- login
- module
- user
- login authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明属于系统安防技术领域,具体涉及一种违规操作的发现和响应方法。为了对违规行为进行即时阻断,提高响应效率,同时提升身份认证安全性,及时止损,本发明方法所依托实施的系统包括包括服务器端及客户端两部分;所述服务器端包括:Web服务模块、登录认证服务模块;所述客户端包括:策略代理模块、登录认证模块;与现有技术相比较,本发明根据密级、违规行为的严重程度、设备的保密要求等制定详细的安全策略。根据审计日志信息和相应策略分析出严重违规行为。身份认证机制中的反馈机制,即在用户行为异常的情况下,可以实时阻止损害的发生。
Description
技术领域
本发明属于系统安防技术领域,具体涉及一种违规操作的发现和响应方法。
背景技术
针对违规操作的处理主要是发出告警和断网等简单操作,而对于安全要求较高的单位不能满足即时响应和阻断继续使用的要求。
终端登录操作系统时,对用户身份进行认证,其方法包括:用户名密码认证,USBKey认证,和数字证书认证等。这些认证方式都是在安装时固定下来的,不能与服务器有互动。
市场产品对用户登录行为的身份认证,集中在对预设用户身份的各种认证,这些认证信息固定存储在终端操作系统或者USB Key认证设备中,虽有审计信息,但是对审计信息的检查,停留在人工检查层面,或者被搁置。这样的认证方式是固定的,不能实现对新增信息的利用,对认证方式的修改,设计对硬件的升级,成本高,灵活性差。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:通过对审计信息的分析和联动,如何对违规行为进行即时阻断,提高响应效率,同时提升身份认证安全性,及时止损。
(二)技术方案
为解决上述技术问题,本发明提供一种违规操作的发现和响应方法,所述方法基于违规操作的发现和响应系统来实施,所述系统包括包括服务器端及客户端两部分;所述服务器端包括:Web服务模块、登录认证服务模块;所述客户端包括:策略代理模块、登录认证模块;
所述方法包括如下步骤:
步骤1:所述Web服务模块预先由系统安全管理员通过Web页面将部门、人员、密级以及相应的安全策略数据录入至服务器端数据库;
步骤2:所述登录认证模块在客户端登录时向服务器端发送登录请求信息,请求服务器端发送安全策略数据;所述登录请求信息包含客户端主机标志、登录操作生成的登录用户标志;
步骤3:所述登录认证服务模块接收客户端的登录请求信息,并根据登录请求信息中的客户端主机标志和登录用户标志在服务器端数据库中查询对应登录用户,根据登录用户查询对应的安全策略数据,发送至客户端;所述安全策略数据中包含该登录用户对应该客户端主机的登录权限信息;
步骤4:所述策略代理模块接收安全策略数据并转发至登录认证模块,由登录认证模块分析其中的该登录用户对应该客户端主机的登录权限信息,根据登录权限信息判断当前登录操作中,登录用户是否可登录该客户端主机桌面。
其中,所述安全策略数据中登录权限信息允许当前登录用户登录则可登录,不允许当前登录用户登录则拒绝登录并提示用户拒绝原因。
其中,所述服务器端还包括:审计服务模块;所述客户端还包括:日志代理模块;
所述方法还包括:
步骤5:所述日志代理模块在登录认证模块判断过程中,实时收集客户端的登录审计信息,并发送至审计服务模块;
步骤6:所述审计服务模块对登录审计信息进行分析,如果出现违规行为,则向管理员发送对应违规行为级别的警告信息,并向登录认证模块发送下线命令,同时将行为和处理操作写入日志;
步骤7:所述登录认证模块收到下线命令后强制客户端的登录用户注销或关机。
其中,所述违规行为按严重程度分为不同的级别,包括:
最高严重级别的违规行为操作:插U盘、连接外网。
其中,所述违规行为按严重程度分为不同的级别,包括:
次严重级别的违规行为操作:无权限的使用光盘。
(三)有益效果
与现有技术相比较,本发明具备如下区别特征:
1)根据密级、违规行为的严重程度、设备的保密要求等制定详细的安全策略。
2)根据审计日志信息和相应策略分析出严重违规行为。
3)身份认证机制中的反馈机制,即在用户行为异常的情况下,可以实时阻止损害的发生。
4)反馈机制本身的保护,无法获取日志时,拒绝登录。
5)策略检查方式实现的身份认证规则的可扩展性。
6)审计信息达到极端情况下的强制措施。
7)可在经过多个管理员同意的情况下,直接下发拒绝登录策略。用于处理临时突发状况。
8)客户端进行进程保护、文件保护、注册表保护。防止登录认证系统被破坏。
本发明所具备的技术效果如下:
1)异常情况下,可以即时响应。
2)认证机制的可扩展性。
3)突发情况的可处置机制。
4)审计行为的保护。
附图说明
图1为本发明技术方案的原理示意图。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
为解决上述技术问题,本发明提供一种违规操作的发现和响应方法,所述方法基于违规操作的发现和响应系统来实施,所述系统包括包括服务器端及客户端两部分;所述服务器端包括:Web服务模块、登录认证服务模块;所述客户端包括:策略代理模块、登录认证模块;
所述方法包括如下步骤:
步骤1:所述Web服务模块预先由系统安全管理员通过Web页面将部门、人员、密级以及相应的安全策略数据录入至服务器端数据库;
步骤2:所述登录认证模块在客户端登录时向服务器端发送登录请求信息,请求服务器端发送安全策略数据;所述登录请求信息包含客户端主机标志、登录操作生成的登录用户标志;
步骤3:所述登录认证服务模块接收客户端的登录请求信息,并根据登录请求信息中的客户端主机标志和登录用户标志在服务器端数据库中查询对应登录用户,根据登录用户查询对应的安全策略数据,发送至客户端;所述安全策略数据中包含该登录用户对应该客户端主机的登录权限信息;
步骤4:所述策略代理模块接收安全策略数据并转发至登录认证模块,由登录认证模块分析其中的该登录用户对应该客户端主机的登录权限信息,根据登录权限信息判断当前登录操作中,登录用户是否可登录该客户端主机桌面。
其中,所述安全策略数据中登录权限信息允许当前登录用户登录则可登录,不允许当前登录用户登录则拒绝登录并提示用户拒绝原因。
其中,所述服务器端还包括:审计服务模块;所述客户端还包括:日志代理模块;
所述方法还包括:
步骤5:所述日志代理模块在登录认证模块判断过程中,实时收集客户端的登录审计信息,并发送至审计服务模块;
步骤6:所述审计服务模块对登录审计信息进行分析,如果出现违规行为,则向管理员发送对应违规行为级别的警告信息,并向登录认证模块发送下线命令,同时将行为和处理操作写入日志;
步骤7:所述登录认证模块收到下线命令后强制客户端的登录用户注销或关机。
其中,所述违规行为按严重程度分为不同的级别,包括:
最高严重级别的违规行为操作:插U盘、连接外网。
其中,所述违规行为按严重程度分为不同的级别,包括:
次严重级别的违规行为操作:无权限的使用光盘。
此外,本发明还提供一种违规操作的发现和响应系统,如图1所示,所述系统包括包括服务器端及客户端两部分;所述服务器端包括:Web服务模块、登录认证服务模块;所述客户端包括:策略代理模块、登录认证模块;
所述Web服务模块用于预先由系统安全管理员通过Web页面将部门、人员、密级以及相应的安全策略数据录入至服务器端数据库;
所述登录认证模块用于在客户端登录时向服务器端发送登录请求信息,请求服务器端发送安全策略数据;所述登录请求信息包含客户端主机标志、登录操作生成的登录用户标志;
所述登录认证服务模块用于接收客户端的登录请求信息,并根据登录请求信息中的客户端主机标志和登录用户标志在服务器端数据库中查询对应登录用户,根据登录用户查询对应的安全策略数据,发送至客户端;所述安全策略数据中包含该登录用户对应该客户端主机的登录权限信息;
所述策略代理模块用于接收安全策略数据并转发至登录认证模块,由登录认证模块分析其中的该登录用户对应该客户端主机的登录权限信息,根据登录权限信息判断当前登录操作中,登录用户是否可登录该客户端主机桌面。
其中,所述安全策略数据中登录权限信息允许当前登录用户登录则可登录,不允许当前登录用户登录则拒绝登录并提示用户拒绝原因。
其中,所述服务器端还包括:审计服务模块;所述客户端还包括:日志代理模块;
所述日志代理模块用于在登录认证模块判断过程中,实时收集客户端的登录审计信息,并发送至审计服务模块;
所述审计服务模块用于对登录审计信息进行分析,如果出现违规行为,则向管理员发送对应违规行为级别的警告信息,并向登录认证模块发送下线命令,同时将行为和处理操作写入日志;
所述登录认证模块收到下线命令后强制客户端的登录用户注销或关机。
其中,所述违规行为按严重程度分为不同的级别,包括:
最高严重级别的违规行为操作:插U盘、连接外网。
其中,所述违规行为按严重程度分为不同的级别,包括:
次严重级别的违规行为操作:无权限的使用光盘。
根据严重程度不同,容忍的违规次数不同,处罚手段也不同。
其中,所述预先录入的策略分为两种,一种是登录认证相关策略,此种策略在登录认证模块会进行检查,检查结果如果是拒绝登录,那么将拒绝用户登录,检查结果正常,则可以通过认证。第二种,是实时策略,收到拒绝用户登录的实时策略,策略模块将直接锁定客户端或者注销客户端。此种实时策略的影响较大,策略的下发,要经过严格的数据分析,或者在极端情况下可以经过三员的同时身份认证下发。拒绝登录、锁定客户端、或者注销客户端是登录认证模块对策略的响应,在进行这些极端响应前,对用户进行多次提示,如果经过提示,未进行纠正,而采取极端响应措施。
本发明的重点是出现违规操作时的处理策略。违规操作一定会被拒绝执行,在此基础上还有额外的处理策略。
部门分级别,对应不同的违规次数,最高级别的违规次数为0,违规操作是不允许执行。违规3次强制退出登录,并且禁止以后登录。还可以如果当前不退出登录,可以继续使用其它功能,但是禁止以后登录。
违规操作的严重程度,最高严重的操作:插U盘、连接外网。次严重的操作:无权限的使用光盘。根据严重程度不同,容忍的违规次数不同,处罚手段也不同。
处理策略可以参考上述的部门保密级别、违规操作的严重程度,还可以参考用户的保密级别、专用设备的保密级别、设备所在网络。内网的管控更严格,外网略宽松。违规行为里,硬件操作的违规行为更严重,软件操作的违规行为较轻。
其中,所述严重违规行为,是以审计信息为基础的。对终端违规行为审计信息的收集是由日志模块来完成,如终端违规连接互联网,违规连接移动设备,认证失败次数过多,等行为,都会记录并提交服务器。服务器对用户的违规行为进行分析,并根据用户设置的策略,下发策略,控制用户身份认证和终端注销、锁定等操作。其中违规行为包括:违规连接互联网或内部网络,违规连接禁用的移动存储设备,等。某一种或者多种违规行为达到一定的次数或者在某个时间段内多次出现违规(次数可设置策略),禁止用户登录或强制注销等(采取的行动可用策略设置)。服务器检查本地日志空间,如果日志空间超过策略设置的百分比,会对管理员提示警告信息,如果出现空间将满的极端情况,则直接拒绝客户端用户登录。
为了保证审计行为有效性,对日志空间进行审计,在日志空间将满等极端情况下,拒绝用户登录或者强制注销等。
本方法中,通过对各种审计信息的收集、分析和联动机制,提升了身份认证的安全性,并增加了用户身份认证条件的可扩展性。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (5)
1.一种违规操作的发现和响应方法,其特征在于,所述方法基于违规操作的发现和响应系统来实施,所述系统包括包括服务器端及客户端两部分;所述服务器端包括:Web服务模块、登录认证服务模块;所述客户端包括:策略代理模块、登录认证模块;
所述方法包括如下步骤:
步骤1:所述Web服务模块预先由系统安全管理员通过Web页面将部门、人员、密级以及相应的安全策略数据录入至服务器端数据库;
步骤2:所述登录认证模块在客户端登录时向服务器端发送登录请求信息,请求服务器端发送安全策略数据;所述登录请求信息包含客户端主机标志、登录操作生成的登录用户标志;
步骤3:所述登录认证服务模块接收客户端的登录请求信息,并根据登录请求信息中的客户端主机标志和登录用户标志在服务器端数据库中查询对应登录用户,根据登录用户查询对应的安全策略数据,发送至客户端;所述安全策略数据中包含该登录用户对应该客户端主机的登录权限信息;
步骤4:所述策略代理模块接收安全策略数据并转发至登录认证模块,由登录认证模块分析其中的该登录用户对应该客户端主机的登录权限信息,根据登录权限信息判断当前登录操作中,登录用户是否可登录该客户端主机桌面。
2.如权利要求1所述的违规操作的发现和响应方法,其特征在于,所述安全策略数据中登录权限信息允许当前登录用户登录则可登录,不允许当前登录用户登录则拒绝登录并提示用户拒绝原因。
3.如权利要求1所述的违规操作的发现和响应方法,其特征在于,所述服务器端还包括:审计服务模块;所述客户端还包括:日志代理模块;
所述方法还包括:
步骤5:所述日志代理模块在登录认证模块判断过程中,实时收集客户端的登录审计信息,并发送至审计服务模块;
步骤6:所述审计服务模块对登录审计信息进行分析,如果出现违规行为,则向管理员发送对应违规行为级别的警告信息,并向登录认证模块发送下线命令,同时将行为和处理操作写入日志;
步骤7:所述登录认证模块收到下线命令后强制客户端的登录用户注销或关机。
4.如权利要求3所述的违规操作的发现和响应方法,其特征在于,所述违规行为按严重程度分为不同的级别,包括:
最高严重级别的违规行为操作:插U盘、连接外网。
5.如权利要求4所述的违规操作的发现和响应方法,其特征在于,所述违规行为按严重程度分为不同的级别,包括:
次严重级别的违规行为操作:无权限的使用光盘。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811209845.6A CN109255216A (zh) | 2018-10-17 | 2018-10-17 | 一种违规操作的发现和响应方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811209845.6A CN109255216A (zh) | 2018-10-17 | 2018-10-17 | 一种违规操作的发现和响应方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109255216A true CN109255216A (zh) | 2019-01-22 |
Family
ID=65046262
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811209845.6A Pending CN109255216A (zh) | 2018-10-17 | 2018-10-17 | 一种违规操作的发现和响应方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109255216A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112149078A (zh) * | 2020-10-15 | 2020-12-29 | 北京理工大学 | 一种制造执行系统的审计方法及系统 |
CN117407872A (zh) * | 2023-12-13 | 2024-01-16 | 深圳市科力锐科技有限公司 | 安全防护检测方法、装置、设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1564530A (zh) * | 2004-04-15 | 2005-01-12 | 沈春和 | 网络安全防护的分布式入侵检测与内网监控系统及方法 |
US20050081064A1 (en) * | 2002-07-31 | 2005-04-14 | Ooi Chin Shyan | System and method for authentication |
CN102571874A (zh) * | 2010-12-31 | 2012-07-11 | 上海可鲁系统软件有限公司 | 一种分布式系统中的在线审计方法及装置 |
CN103391216A (zh) * | 2013-07-15 | 2013-11-13 | 中国科学院信息工程研究所 | 一种违规外联报警及阻断方法 |
CN107659585A (zh) * | 2017-11-03 | 2018-02-02 | 郑州云海信息技术有限公司 | 一种分级管理全网安全的方法及系统 |
-
2018
- 2018-10-17 CN CN201811209845.6A patent/CN109255216A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050081064A1 (en) * | 2002-07-31 | 2005-04-14 | Ooi Chin Shyan | System and method for authentication |
CN1564530A (zh) * | 2004-04-15 | 2005-01-12 | 沈春和 | 网络安全防护的分布式入侵检测与内网监控系统及方法 |
CN102571874A (zh) * | 2010-12-31 | 2012-07-11 | 上海可鲁系统软件有限公司 | 一种分布式系统中的在线审计方法及装置 |
CN103391216A (zh) * | 2013-07-15 | 2013-11-13 | 中国科学院信息工程研究所 | 一种违规外联报警及阻断方法 |
CN107659585A (zh) * | 2017-11-03 | 2018-02-02 | 郑州云海信息技术有限公司 | 一种分级管理全网安全的方法及系统 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112149078A (zh) * | 2020-10-15 | 2020-12-29 | 北京理工大学 | 一种制造执行系统的审计方法及系统 |
CN117407872A (zh) * | 2023-12-13 | 2024-01-16 | 深圳市科力锐科技有限公司 | 安全防护检测方法、装置、设备及存储介质 |
CN117407872B (zh) * | 2023-12-13 | 2024-04-09 | 深圳市科力锐科技有限公司 | 安全防护检测方法、装置、设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Sattarova Feruza et al. | IT security review: Privacy, protection, access control, assurance and system security | |
CN106776141B (zh) | 一种安全增强的数据备份与恢复系统 | |
CN103413088B (zh) | 一种计算机文档操作安全审计系统 | |
US20050071643A1 (en) | Method of and system for enterprise information asset protection through insider attack specification, monitoring and mitigation | |
CN111598574A (zh) | 面向智能服务交易的监管方法及监管接口 | |
CN111083107B (zh) | 一种基于区块链的网络安全漏洞收集处理方法 | |
CN102227116B (zh) | 一种安全的局域网管理方法和一种局域网 | |
CN109302404A (zh) | 一种广域运维系统的远程维护操作认证方法 | |
Dierks | Computer network abuse | |
US20070162596A1 (en) | Server monitor program, server monitor device, and server monitor method | |
CN108965294A (zh) | 一种用户名及密码保护系统 | |
Levy et al. | Assessing ethical severity of e-learning systems security attacks | |
CN112688971B (zh) | 功能损害型网络安全威胁识别装置及信息系统 | |
CN109255216A (zh) | 一种违规操作的发现和响应方法 | |
CN102184371B (zh) | Sql语句的数据库操作权限检测方法与系统 | |
CN201491036U (zh) | 主机监控与审计系统 | |
KR20230151579A (ko) | 정보보호 관리체계 및 주요정보통신기반 시설 취약점 분석 평가 통합시스템 | |
CN104331259A (zh) | 一种基于文件保护的文档集中文印系统 | |
CN109255215A (zh) | 一种违规操作的发现和响应系统 | |
CN117692219A (zh) | 一种基于动态评估机制的访问控制方法 | |
CN112214772A (zh) | 一种特权凭证集中管控与服务系统 | |
Braband | What's Security Level got to do with Safety Integrity Level? | |
CN108600178A (zh) | 一种征信数据的安全保障方法及系统、征信平台 | |
Kossakowski et al. | Responding to intrusions | |
CN113923045A (zh) | 安全监控式内网准入控制方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190122 |
|
RJ01 | Rejection of invention patent application after publication |