CN109302397B - 一种网络安全管理方法、平台和计算机可读存储介质 - Google Patents
一种网络安全管理方法、平台和计算机可读存储介质 Download PDFInfo
- Publication number
- CN109302397B CN109302397B CN201811191656.0A CN201811191656A CN109302397B CN 109302397 B CN109302397 B CN 109302397B CN 201811191656 A CN201811191656 A CN 201811191656A CN 109302397 B CN109302397 B CN 109302397B
- Authority
- CN
- China
- Prior art keywords
- network security
- management platform
- user
- security management
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007726 management method Methods 0.000 title claims abstract description 177
- 238000004891 communication Methods 0.000 claims abstract description 69
- 230000005540 biological transmission Effects 0.000 claims abstract description 17
- 230000006399 behavior Effects 0.000 claims description 50
- 238000000034 method Methods 0.000 claims description 24
- 238000012545 processing Methods 0.000 claims description 8
- 238000010586 diagram Methods 0.000 description 13
- 238000004590 computer program Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 238000001514 detection method Methods 0.000 description 4
- 230000007123 defense Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 239000000284 extract Substances 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000000739 chaotic effect Effects 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种网络安全管理方法,方法包括:获得用户信息;配置与用户信息对应的第一策略;其中,第一策略用于管理用户信息关联的用户的上网行为;若网络安全管理平台与安全设备建立通信连接,发送第一策略至安全设备,以使得安全设备基于第一策略管理用户的上网行为;其中,通信连接用于实现网络安全管理平台与安全设备之间的数据传输。本发明的实施例同时还公开了一种网络安全管理平台和计算机可读存储介质。
Description
技术领域
本发明涉及但不限于网络安全领域,尤其涉及一种网络安全管理方法、平台和计算机可读存储介质。
背景技术
随着网络安全形势的日益严峻以及移动办公的兴起,给企业安全管理带了巨大挑战。目前,为了加强安全检测和防御效果,越来越多企业开始部署更多的安全设备来管理用户的上网行为。
然而相关技术中针对用户的上网行为进行管理时,将权限策略、安全策略分布在不同的安全设备的策略模板里,如此导致管控效率低下,使企业面临安全风险。
发明内容
有鉴于此,本发明实施例期望提供一种网络安全管理方法、平台和计算机可读存储介质,解决了相关技术中针对用户的上网行为进行管理时将权限策略、安全策略分布在不同的安全设备的策略模板里,如此导致管控效率低下,使企业面临安全风险的问题;提高了管控效率,保障了企业网络安全。
为达到上述目的,本发明的技术方案是这样实现的:
一种网络安全管理方法,应用于网络安全管理平台,所述方法包括:
获得用户信息;
配置与所述用户信息对应的第一策略;其中,所述第一策略用于管理所述用户信息关联的用户的上网行为;
若所述网络安全管理平台与安全设备建立通信连接,发送所述第一策略至所述安全设备,以使得所述安全设备基于所述第一策略管理所述用户的上网行为;其中,所述通信连接用于实现所述网络安全管理平台与所述安全设备之间的数据传输。
可选的,所述获得用户信息,包括:
获得所述网络安全管理平台配置的用户信息。
可选的,所述获得用户信息,包括:
获得服务器配置的所述用户信息;其中,所述服务器与所述网络安全管理平台具有通信连接,所述通信连接用于实现所述网络安全管理平台与所述服务器之间的数据传输。
可选的,所述用户信息包括用户标识信息与用户属性信息;其中,所述用户标识信息表征在网络中唯一标识所述用户的信息,所述用户属性信息表征与所述用户使用的终端关联的信息。
可选的,所述配置与所述用户信息对应的第一策略,包括:
配置与所述用户信息对应的上网权限策略和网络安全策略。
可选的,所述若所述网络安全管理平台与安全设备建立通信连接,发送所述第一策略至所述安全设备,包括:
若所述网络安全管理平台与安全设备建立通信连接,获取所述安全设备的属性信息;
根据所述安全设备的属性信息从所述第一策略中提取与所述安全设备的属性信息对应的部分策略,并发送所述部分策略至具有所述属性信息的所述安全设备;其中,所述部分策略包括所述上网权限策略或者所述网络安全策略。
可选的,所述网络安全管理平台与所述安全设备建立通信连接之后,所述方法还包括:
接收所述安全设备发送的目标用户信息;
若所述用户信息包括所述目标用户信息,从所述第一策略中获取与所述目标用户信息对应的目标策略;
相应的,所述发送所述第一策略至所述安全设备,包括:
发送所述目标策略至所述安全设备。
可选的,所述从所述第一策略中获取与所述目标用户信息对应的目标策略之后,所述方法还包括:
获取所述安全设备的属性信息;
根据所述安全设备的属性信息从所述目标策略中提取与所述安全设备的属性信息对应的部分策略;其中,所述部分策略包括所述上网权限策略或者所述网络安全策略;
相应的,所述发送所述目标策略至所述安全设备,包括:
发送所述部分策略至具有所述属性信息的所述安全设备。
可选的,所述方法还包括:
若所述用户信息不包括所述目标用户信息,获取第二策略,并发送所述第二策略至所述安全设备,以使得所述安全设备基于所述第二策略管理所述用户的上网行为;其中,所述第二策略和所述第一策略不同。
一种网络安全管理平台,所述网络安全管理平台包括:
获取模块,所述获取模块用于获得用户信息;
配置模块,所述配置模块用于配置与所述用户信息对应的第一策略;其中,所述第一策略用于管理所述用户信息关联的用户的上网行为;
处理模块,所述处理模块用于若所述网络安全管理平台与安全设备建立通信连接,发送所述第一策略至所述安全设备,以使得所述安全设备基于所述第一策略管理所述用户的上网行为;其中,所述通信连接用于实现所述网络安全管理平台与所述安全设备之间的数据传输。
一种网络安全管理平台,所述网络安全管理平台包括:处理器、存储器和通信总线;
所述通信总线用于实现处理器和存储器之间的通信连接;
所述处理器用于执行存储器中存储的网络安全管理程序,以实现以下步骤:
获得用户信息;
配置与所述用户信息对应的第一策略;其中,所述第一策略用于管理所述用户信息关联的用户的上网行为;
若所述网络安全管理平台与安全设备建立通信连接,发送所述第一策略至所述安全设备,以使得所述安全设备基于所述第一策略管理所述用户的上网行为;其中,所述通信连接用于实现所述网络安全管理平台与所述安全设备之间的数据传输。
一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述所述的网络安全管理方法的步骤。
本发明的实施例所提供的网络安全管理方法、平台和计算机可读存储介质,获得用户信息;配置与用户信息对应的第一策略;其中,第一策略用于管理用户信息关联的用户的上网行为;若网络安全管理平台与安全设备建立通信连接,发送第一策略至安全设备,以使得安全设备基于第一策略管理用户的上网行为;其中,通信连接用于实现网络安全管理平台与安全设备之间的数据传输;如此,可以实现以用户为基础配置该用户的上网策略,并将策略发送至安全设备以使得安全设备基于策略管理用户的上网行为;解决了相关技术中针对用户的上网行为进行管理时将权限策略、安全策略分布在不同的安全设备的策略模板里,如此导致管控效率低下,使企业面临安全风险的问题;提高了管控效率,保障了企业网络安全。
附图说明
图1为相关技术中网络安全管控平台的架构示意图;
图2为相关技术中网络安全管控平台中的模板的示意图;
图3为本发明实施例提供的一种网络安全管理方法的流程示意图;
图4为本发明实施例提供的一种网络安全管理平台的架构示意图;
图5为本发明实施例提供的另一种网络安全管理方法的流程示意图;
图6为本发明实施例提供的又一种网络安全管理方法的流程示意图;
图7为本发明实施例提供的一种网络安全管理平台的结构示意图;
图8为本发明实施例提供的另一种网络安全管理平台的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
随着网络安全形势的日益严峻以及移动办公的兴起,给企业安全管理带了巨大挑战。目前,为了加强安全检测和防御效果,越来越多企业开始部署更多的安全设备来管理用户的上网行为。相关技术中在部署安全设备的过程中,一方面为了加强安全检测和防御效果,开始部署更多的安全设备或安全组件,找寻更加全面的安全解决方案,同时包括将安全方案实施到企业的分支端;然而,这么多安全设备的策略管理、运维给互联网技术(internet Technology,IT)管理员带来极大挑战。另一方面,随着移动办公的兴起,员工随时随地可以接入企业网络,相比过去传统企业网络管,网络边界变得非常模糊,管控难度变得更高,包括员工的身份认证,权限管理,而这些策略都又分散在不同的设备上。基于上述两个方面,目前的网络安全管理方式无法处理如上越来越复杂的情况,从而导致管理效率低效,同时安全管理策略不能被有效管理,导致企业面临安全风险。
示例性的,参见图1和图2所示,相关技术中网络安全管控平台存储有各类模板,各安全设备与网络安全管控平台连接,安全设备可以查看这些模板并根据相应的模板管理用户的上网行为。安全设备包括上网行为管理设备、防火墙设备、虚拟专用网络(VirtualPrivate Network,VPN)设备。相关技术中对接入网络的用户进行管理时以安全设备为基础,安全设备在管理用户时,即使是同一个用户,也采用不同的用户标识,如此,在网络中使得对同一用户的管理变得混乱无法统一。
基于前述实施例,本发明的实施例提供一种网络安全管理方法,该方法应用于网络安全管理平台中,参照图3所示,该方法包括以下步骤:
步骤101,获得用户信息。
这里,用户信息是与上网的用户关联的信息。本发明实施例中,网络安全管理平台和安全设备均以用户信息为基础,来实现针对上网用户的网络安全管理。
步骤102,配置与用户信息对应的第一策略。
其中,第一策略用于管理用户信息关联的用户的上网行为。
本发明实施例中,网络安全管理平台配置与用户信息对应的第一策略时,可以按照谁和可以/不可以访问什么以及需要适用什么安全检查和防护的策略形式来配置策略。
步骤103,若网络安全管理平台与安全设备建立通信连接,发送第一策略至安全设备,以使得安全设备基于第一策略管理用户的上网行为。
其中,通信连接用于实现网络安全管理平台与安全设备之间的数据传输。
本发明实施例中,在网络安全管理平台与网络安全管理平台通信连接的情况下,网络安全管理平台可以将其根据用户信息配置的第一策略发送至安全设备,以使得安全设备基于第一策略管理用户的上网行为。需要说明的是,网络安全管理平台发送第一策略至安全设备的时机可以是网络安全管理平台与安全设备建立通信连接时,也可以是网络安全管理平台与安全设备建立通信连接之后。
本发明实施例中,示例性的,参见图4所示,安全设备可以包括上网行为管理设备、防火墙设备、VPN设备。当然,安全设备还可以包括其他设备,本发明实施例对此不作具体限定。
本发明实施例所提供的网络安全管理方法,获得用户信息;配置与用户信息对应的第一策略;其中,第一策略用于管理用户信息关联的用户的上网行为;若网络安全管理平台与安全设备建立通信连接,发送第一策略至安全设备,以使得安全设备基于第一策略管理用户的上网行为;其中,通信连接用于实现网络安全管理平台与安全设备之间的数据传输;如此,可以实现以用户为基础配置该用户的上网策略,并将策略发送至安全设备以使得安全设备基于策略管理用户的上网行为;解决了相关技术中针对用户的上网行为进行管理时将权限策略、安全策略分布在不同的安全设备的策略模板里,如此导致管控效率低下,使企业面临安全风险的问题;提高了管控效率,保障了企业网络安全。
基于前述实施例,本发明实施例提供一种网络安全管理方法,该方法应用于网络安全管理平台中,参照图5所示,该方法包括以下步骤:
步骤201,获得用户信息。
本发明实施例中,用户信息包括用户标识信息与用户属性信息;其中,用户标识信息表征在网络中唯一标识用户的信息,用户属性信息表征与用户使用的终端关联的信息。
本发明实施例中,用户标识信息通常来说可以是IP、mac地址或上网认证的账号名等。
用户属性信息通常来说可以是该用户的附加属性,例如:终端信息、用户使用终端时的IP/MAC信息、用户使用终端时的位置信息。
在本发明实施例中,示例性的,某公司,员工上网时不需要认证,管理员通过IP地址来区分人员,每个PC都配置了静态的IP地址。某一个员工在网络上管理时,采用的用户信息如下:用户标识信息:192.168.1.2;用户属性信息:mac:xxx手机类型:iphone位置:xx会议室。
本发明实施例中,步骤201获得用户信息,可以通过如下步骤实现:
步骤201a,获得网络安全管理平台配置的用户信息。
在本发明另一实施例中,示例性的,某单位,员工上网时需要进行账号密码认证,账号密码在网络安全管理平台上自建。员工上网时需要输入账号密码,账号密码会在网络安全管理平台上校验准确性。某一个员工在网络上管理时,采用的用户信息如下:用户标识信息:研发部门/张三(安全管理平台上的信息);用户属性信息:IP 192.168.1.10、mac:xxx手机类型:iphone、位置:武汉办事处。
本发明另一实施例中,步骤201获得用户信息,可以通过如下步骤实现:
步骤201b,获得服务器配置的用户信息。
其中,服务器与网络安全管理平台具有通信连接,通信连接用于实现网络安全管理平台与服务器之间的数据传输。
在本发明又一实施例中,示例性的,某学校学生上网时需要进行身份密码认证,常见是Portal页面认证;认证时需要输入学生的学号,学号存储在教务系统的数据库里,这时候网络安全管理平台需要联动教务系统的服务器的数据库来获取学生信息。某一个学生的在网络上管理时,采用的用户信息如下:用户标识信息:A学院/学生学号201811111;用户属性信息:IP 192.168.1.10、mac:xxx手机类型:iphone、位置:XX宿舍。
步骤202,配置与用户信息对应的上网权限策略和网络安全策略。
本发明实施例中,第一策略包括与用户信息对应的上网权限策略和网络安全策略;上网权限,包括访问哪些网页、哪些应用、是否允许上传文件等。上网权限,还包括服务器资源权限,如包括办公自动化(Office Automation,OA)服务器、邮件服务器等。安全策略对应于安全功能,包括但不限于:行为审计、流量控制策略、病毒查杀、恶意网址过滤、分布式拒绝服务(Distributed Denial of Service,DDOS)检测等。
步骤203,若网络安全管理平台与安全设备建立通信连接,发送第一策略至安全设备,以使得安全设备基于第一策略管理用户的上网行为。
其中,通信连接用于实现网络安全管理平台与安全设备之间的数据传输。
本发明实施例中,步骤203中若网络安全管理平台与安全设备建立通信连接,发送第一策略至安全设备,可以通过如下步骤实现:
步骤203a1,若网络安全管理平台与安全设备建立通信连接,获取安全设备的属性信息。
这里,安全设备的属性信息可以表征安全设备具有的功能。不同的安全设备即不同类型的安全设备可以具有不同的功能。
步骤203a2,根据安全设备的属性信息从第一策略中提取与安全设备的属性信息对应的部分策略,并发送部分策略至具有属性信息的安全设备。
其中,部分策略包括上网权限策略或者网络安全策略。这里,网络安全管理平台根据安全设备的属性信息,实时发送与安全设备的属性信息对应的部分策略至安全设备。
示例性的,首先,各类型的安全设备和网络安全管理平台建立通信连接,安全设备可以包括防火墙,上网行为管理,VPN等等。
其次,网络安全管理平台进行策略配置,策略可以包括三部分:谁,可以/不可以访问什么,以及需要适用什么安全检查和防护。
例如,网络安全管理平台进行策略配置,得到如下的第一策略
再次,网络安全管理平台将配置的第一策略分解成对应的安全设备对应的部分策略。
然后,网络安全管理平台通过已经建立的通信连接下发至各安全设备。
例如,网络安全管理平台将配置的第一策略分解成如下部分策略1,并下发至上网行为管理设备
再例如,网络安全管理平台将配置的第一策略分解成如下部分策略2,并下发至防火墙设备
最后,各安全设备识别出上网用户后,执行该用户匹配的对应的策略。
需要说明的是,本实施例中与其他实施例相同的步骤的相关描述可以参照其他实施例中的解释,此处不再赘述。
基于前述实施例,本发明实施例提供一种网络安全管理方法,该方法应用于网络安全管理平台中,参照图6所示,该方法包括以下步骤:
步骤301,获得用户信息。
步骤302,配置与用户信息对应的上网权限策略和网络安全策略。
这里,第一策略包括与用户信息对应的上网权限策略和网络安全策略。
步骤303,若网络安全管理平台与安全设备建立通信连接,接收安全设备发送的目标用户信息。
本发明实施例中,网络安全管理平台与安全设备建立通信连接之后,只有在接收到安全设备发送的目标用户信息的情况下,才会下发策略至安全设备;即只有安全设备请求下发策略时才下发策略。
步骤304,若用户信息包括目标用户信息,从第一策略中获取与目标用户信息对应的目标策略。
这里,网络安全管理平台从配置的众多第一策略中查找安全设备所请求的目标用户信息对应的目标策略。
步骤305,获取安全设备的属性信息。
这里,网络安全管理平台获取发起请求的安全设备的属性信息如设备类型。
步骤306,根据安全设备的属性信息从目标策略中提取与安全设备的属性信息对应的部分策略。
其中,部分策略包括上网权限策略或者网络安全策略。
这里,网络安全管理平台再获取到安全设备的属性信息之后,从查找到的目标策略中提取与安全设备的属性信息对应的部分策略。
步骤307,发送部分策略至具有属性信息的安全设备,以使得安全设备基于策略管理用户的上网行为。
这里,网络安全管理平台提取出与安全设备的属性信息对应的部分策略之后,发送部分策略至具有属性信息的安全设备,以使得安全设备基于策略管理用户的上网行为。
示例性的,首先,各类型的安全设备和网络安全管理平台建立通信连接,安全设备可以包括防火墙,上网行为管理,VPN等等。
其次,网络安全管理平台进行策略配置,得到的第一策略可以包括三部分:谁,可以/不可以访问什么,以及需要适用什么安全检查和防护。
例如,网络安全管理平台进行策略配置,得到如下的第一策略
再次,各安全设备识别出上网用户后,将用户信息发送至网络安全管理平台查询该用户信息对应的第一策略。
然后、网络安全管理平台根据用户信息查出相应的第一策略,并根据安全设备的属性信息从该第一策略中提取部分策略返回给对应的安全设备。
也就是说,各类型的安全设备和网络安全管理平台建立通信连接时,网络安全管理平台并未直接下发策略至安全设备。这时候安全设备如上网行为管理设备,识别出有一个新的上网用户是/研发部/A组/张三,则发送请求到网络安全管理平台,网络安全管理平台根据用户信息和安全设备属性,返回张三的上网行为管理权限。
例如,网络安全管理平台将配置的策略分解成如下部分策略1,并下发至上网行为管理设备
最后、安全设备执行该用户对应的部分策略。例如,上网行为管理设备执行此权限,拒绝张三访问相关网站如游戏类网站。
本发明实施例中,可以采用PORTAL认证、单点登录等方式进行用户识别,当然本发明实施例中对用户识别的方式不做具体限定。
在本发明的另一实施例中,在步骤303若网络安全管理平台与安全设备建立通信连接,接收安全设备发送的目标用户信息之后,网络安全管理平台还可以执行以下步骤:
若用户信息不包括目标用户信息,获取第二策略,并发送第二策略至安全设备;其中,第二策略和第一策略不同。
也就是说,若网络安全管理平台判断安全网络设备发送的目标用户信息并非网络安全管理平台拥有的用户信息中的信息时,则将第二策略发送给该安全设备,以使得安全设备基于第二策略管理用户的上网行为。这里,第二策略可以认为是默认策略,即对于网络安全管理平台上不存在的用户信息对应的用户采用默认的策略进行上网行为的管理;当然,第二策略也可以是网络安全管理平台针对目标用户信息进行实时配置所得到的策略。
进一步地,网络安全管理平台接收安全设备发送的目标用户信息之后,还可以进行一次信息同步,将与自身具有通信连接的服务器上的用户信息同步到自身中来,以更准确地判断接收的目标用户信息是否存在与用户信息中;例如,网络安全管理平台进行信息同步之后,基于同步之后的用户信息和目标用户信息进行比较,若同步之后的用户信息包括目标用户信息,则确定网络安全管理平台的用户信息包括目标用户信息;若同步之后的用户信息不包括目标用户信息,则确定网络安全管理平台的用户信息不包括目标用户信息。
需要说明的是,本实施例中与其他实施例相同的步骤的相关描述可以参照其他实施例中的解释,此处不再赘述。
基于前述实施例,本发明实施例提供一种网络安全管理平台,参照图7所示,该网络安全管理平台7可用于实现图3、5~6所示的网络安全管理方法的步骤,该网络安全管理平台7包括:获取模块71、配置模块72和处理模块73;
获取模块71,获取模块用于获得用户信息;
配置模块72,配置模块用于配置与用户信息对应的第一策略;其中,第一策略用于管理用户信息关联的用户的上网行为;
处理模块73,处理模块用于若网络安全管理平台与安全设备建立通信连接,发送第一策略至安全设备,以使得安全设备基于第一策略管理用户的上网行为;其中,通信连接用于实现网络安全管理平台与安全设备之间的数据传输。
需要说明的是,本实施例中各功能模块所执行的步骤的具体实现过程,可以参照图3、5~6对应的实施例提供的网络安全管理方法中的实现过程,此处不再赘述。
基于前述实施例,本发明实施例提供一种电子设备,参照图8所示,该网络安全管理平台8可用于实现图3、5~6所示的数据获取方法的步骤,该网络安全管理平台8(图8中的网络安全管理平台8与图7中的网络安全管理平台7对应)包括:处理器81、储存器82和通信总线83;
通信总线83用于实现处理器81和存储器82之间的通信连接;
处理器81用于执行储存器82中储存的网络安全管理程序,以实现以下步骤:
获得用户信息;
配置与用户信息对应的第一策略;其中,第一策略用于管理用户信息关联的用户的上网行为;
若网络安全管理平台与安全设备建立通信连接,发送第一策略至安全设备,以使得安全设备基于第一策略管理用户的上网行为;其中,通信连接用于实现网络安全管理平台与安全设备之间的数据传输。
在本发明的其他实施例中,处理器81用于执行储存器82中存储的获得用户信息,以实现以下步骤:获得网络安全管理平台配置的用户信息。
在本发明的其他实施例中,处理器81用于执行储存器82中存储的获得用户信息,以实现以下步骤:
获得服务器配置的用户信息;其中,服务器与网络安全管理平台具有通信连接,通信连接用于实现网络安全管理平台与服务器之间的数据传输。
在本发明的其他实施例中,用户信息包括用户标识信息与用户属性信息;其中,用户标识信息表征在网络中唯一标识用户的信息,用户属性信息表征与用户使用的终端关联的信息。
在本发明的其他实施例中,处理器81用于执行储存器82中配置与用户信息对应的第一策略,以实现以下步骤:
配置与用户信息对应的上网权限策略和网络安全策略。
在本发明的其他实施例中,处理器81用于执行储存器82中若网络安全管理平台与安全设备建立通信连接,发送第一策略至安全设备,以实现以下步骤:
若网络安全管理平台与安全设备建立通信连接,获取安全设备的属性信息;
根据安全设备的属性信息从第一策略中提取与安全设备的属性信息对应的部分策略,并发送部分策略至具有属性信息的安全设备;其中,部分策略包括上网权限策略或者网络安全策略。
在本发明的其他实施例中,网络安全管理平台与安全设备建立通信连接之后,处理器81用于执行储存器82中的网络安全管理程序,以实现以下步骤:
接收安全设备发送的目标用户信息;
若用户信息包括目标用户信息,从第一策略中获取与目标用户信息对应的目标策略;
相应的,发送第一策略至安全设备,包括:发送目标策略至安全设备。
在本发明的其他实施例中,从第一策略中获取与目标用户信息对应的目标策略之后,处理器81用于执行储存器82中的网络安全管理程序,以实现以下步骤:获取安全设备的属性信息;
根据安全设备的属性信息从目标策略中提取与安全设备的属性信息对应的部分策略;其中,部分策略包括上网权限策略或者网络安全策略;
相应的,发送目标策略至安全设备,包括:
发送部分策略至具有属性信息的安全设备。
在本发明的其他实施例中,处理器81用于执行储存器82中的网络安全管理程序,以实现以下步骤:
若用户信息不包括目标用户信息,获取第二策略,并发送第二策略至安全设备,以使得安全设备基于第二策略管理用户的上网行为;其中,第二策略和第一策略不同。
需要说明的是,本实施例中处理器所执行的步骤的具体实现过程,可以参照图3、5~6对应的实施例提供的网络安全管理方法中的实现过程,此处不再赘述。
基于前述实施例,本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质存储有一个或多个程序,一个或多个程序可被一个或多个处理器执行,以实现如图3、5~6对应的实施例提供的网络安全管理方法中的步骤,此处不再赘述。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (11)
1.一种网络安全管理方法,其特征在于,应用于网络安全管理平台,所述方法包括:
获得用户信息;
配置与所述用户信息对应的第一策略;其中,所述第一策略用于管理所述用户信息关联的用户的上网行为;
若所述网络安全管理平台与安全设备建立通信连接,发送所述第一策略至所述安全设备,以使得所述安全设备基于所述第一策略管理所述用户的上网行为;其中,所述通信连接用于实现所述网络安全管理平台与所述安全设备之间的数据传输;
其中,所述若所述网络安全管理平台与安全设备建立通信连接,发送所述第一策略至所述安全设备,包括:
若所述网络安全管理平台与安全设备建立通信连接,获取所述安全设备的属性信息;
根据所述安全设备的属性信息从所述第一策略中提取与所述安全设备的属性信息对应的部分策略,并发送所述部分策略至具有所述属性信息的所述安全设备。
2.根据权利要求1所述的方法,其特征在于,所述获得用户信息,包括:
获得所述网络安全管理平台配置的用户信息。
3.根据权利要求1所述的方法,其特征在于,所述获得用户信息,包括:
获得服务器配置的所述用户信息;其中,所述服务器与所述网络安全管理平台具有通信连接,所述通信连接用于实现所述网络安全管理平台与所述服务器之间的数据传输。
4.根据权利要求1所述的方法,其特征在于,所述用户信息包括用户标识信息与用户属性信息;其中,所述用户标识信息表征在网络中唯一标识所述用户的信息,所述用户属性信息表征与所述用户使用的终端关联的信息。
5.根据权利要求1所述的方法,其特征在于,所述配置与所述用户信息对应的第一策略,包括:
配置与所述用户信息对应的上网权限策略和网络安全策略。
6.根据权利要求1所述的方法,其特征在于,所述部分策略包括上网权限策略或者网络安全策略。
7.根据权利要求1至6中任一项所述的方法,其特征在于,所述网络安全管理平台与所述安全设备建立通信连接之后,所述方法还包括:
接收所述安全设备发送的目标用户信息;
若所述用户信息包括所述目标用户信息,从所述第一策略中获取与所述目标用户信息对应的目标策略;
相应的,所述根据所述安全设备的属性信息从所述第一策略中提取与所述安全设备的属性信息对应的部分策略,包括:
根据所述安全设备的属性信息从所述目标策略中提取与所述安全设备的属性信息对应的部分策略;其中,所述部分策略包括上网权限策略或者网络安全策略。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
若所述用户信息不包括所述目标用户信息,获取第二策略,并发送所述第二策略至所述安全设备,以使得所述安全设备基于所述第二策略管理所述用户的上网行为;其中,所述第二策略和所述第一策略不同。
9.一种网络安全管理平台,其特征在于,所述网络安全管理平台包括:
获取模块,所述获取模块用于获得用户信息;
配置模块,所述配置模块用于配置与所述用户信息对应的第一策略;其中,所述第一策略用于管理所述用户信息关联的用户的上网行为;
处理模块,所述处理模块用于若所述网络安全管理平台与安全设备建立通信连接,发送所述第一策略至所述安全设备,以使得所述安全设备基于所述第一策略管理所述用户的上网行为;其中,所述通信连接用于实现所述网络安全管理平台与所述安全设备之间的数据传输;其中,所述若所述网络安全管理平台与安全设备建立通信连接,发送所述第一策略至所述安全设备,包括:若所述网络安全管理平台与安全设备建立通信连接,获取所述安全设备的属性信息;根据所述安全设备的属性信息从所述第一策略中提取与所述安全设备的属性信息对应的部分策略,并发送所述部分策略至具有所述属性信息的所述安全设备。
10.一种网络安全管理平台,其特征在于,所述网络安全管理平台包括:处理器、存储器和通信总线;
所述通信总线用于实现处理器和存储器之间的通信连接;
所述处理器用于执行存储器中存储的网络安全管理程序,以实现以下步骤:
获得用户信息;
配置与所述用户信息对应的第一策略;其中,所述第一策略用于管理所述用户信息关联的用户的上网行为;
若所述网络安全管理平台与安全设备建立通信连接,发送所述第一策略至所述安全设备,以使得所述安全设备基于所述第一策略管理所述用户的上网行为;其中,所述通信连接用于实现所述网络安全管理平台与所述安全设备之间的数据传输;其中,所述若所述网络安全管理平台与安全设备建立通信连接,发送所述第一策略至所述安全设备,包括:若所述网络安全管理平台与安全设备建立通信连接,获取所述安全设备的属性信息;根据所述安全设备的属性信息从所述第一策略中提取与所述安全设备的属性信息对应的部分策略,并发送所述部分策略至具有所述属性信息的所述安全设备。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如权利要求1至8中任一项所述的网络安全管理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811191656.0A CN109302397B (zh) | 2018-10-12 | 2018-10-12 | 一种网络安全管理方法、平台和计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811191656.0A CN109302397B (zh) | 2018-10-12 | 2018-10-12 | 一种网络安全管理方法、平台和计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109302397A CN109302397A (zh) | 2019-02-01 |
| CN109302397B true CN109302397B (zh) | 2022-06-21 |
Family
ID=65162506
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811191656.0A Active CN109302397B (zh) | 2018-10-12 | 2018-10-12 | 一种网络安全管理方法、平台和计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109302397B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110149563A (zh) * | 2019-05-06 | 2019-08-20 | 上海科光通信技术有限公司 | 一种基于otn传送网络的安全性管理平台 |
| CN113014427B (zh) * | 2021-02-22 | 2023-11-07 | 深信服科技股份有限公司 | 网络管理方法和设备,及存储介质 |
| CN113590184A (zh) * | 2021-08-19 | 2021-11-02 | 深圳市天天来玩科技有限公司 | 一种配置处理方法、网络设备和存储介质 |
| CN114666161B (zh) * | 2022-04-29 | 2024-04-09 | 深信服科技股份有限公司 | 一种组件安全策略管理方法、装置、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102195991A (zh) * | 2011-06-28 | 2011-09-21 | 辽宁国兴科技有限公司 | 一种终端安全管理、认证方法及系统 |
| CN107294954A (zh) * | 2017-05-22 | 2017-10-24 | 深信服科技股份有限公司 | 云管平台、基于云管平台的上网行为管理系统及方法 |
| CN108429743A (zh) * | 2018-02-28 | 2018-08-21 | 新华三信息安全技术有限公司 | 一种安全策略配置方法、系统、域控服务器及防火墙设备 |
| CN108429755A (zh) * | 2018-03-21 | 2018-08-21 | 深圳天源迪科信息技术股份有限公司 | 网络安全基础信息动态管理平台及方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| SG11201405282RA (en) * | 2012-04-01 | 2014-09-26 | Authentify Inc | Secure authentication in a multi-party system |
| CN103391274B (zh) * | 2012-05-08 | 2016-12-14 | 北京邮电大学 | 一种一体化网络安全管理方法和装置 |
| CN103795602B (zh) * | 2012-10-30 | 2017-05-10 | 华为技术有限公司 | 虚拟网络的网络策略配置方法及装置 |
| US9270703B1 (en) * | 2013-10-22 | 2016-02-23 | Amazon Technologies, Inc. | Enhanced control-plane security for network-accessible services |
| CN108243083B (zh) * | 2016-12-27 | 2021-06-04 | 中国电信股份有限公司 | 物联网流量控制方法、终端、平台及系统 |
-
2018
- 2018-10-12 CN CN201811191656.0A patent/CN109302397B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102195991A (zh) * | 2011-06-28 | 2011-09-21 | 辽宁国兴科技有限公司 | 一种终端安全管理、认证方法及系统 |
| CN107294954A (zh) * | 2017-05-22 | 2017-10-24 | 深信服科技股份有限公司 | 云管平台、基于云管平台的上网行为管理系统及方法 |
| CN108429743A (zh) * | 2018-02-28 | 2018-08-21 | 新华三信息安全技术有限公司 | 一种安全策略配置方法、系统、域控服务器及防火墙设备 |
| CN108429755A (zh) * | 2018-03-21 | 2018-08-21 | 深圳天源迪科信息技术股份有限公司 | 网络安全基础信息动态管理平台及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109302397A (zh) | 2019-02-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109302397B (zh) | 一种网络安全管理方法、平台和计算机可读存储介质 | |
| US9692743B2 (en) | Securing organizational computing assets over a network using virtual domains | |
| US8001610B1 (en) | Network defense system utilizing endpoint health indicators and user identity | |
| US8281381B2 (en) | Techniques for environment single sign on | |
| US8978122B1 (en) | Secure cross-tenancy federation in software-as-a-service system | |
| US10356612B2 (en) | Method of authenticating a terminal by a gateway of an internal network protected by an access security entity providing secure access | |
| CA2955066C (en) | Method and system for providing a virtual asset perimeter | |
| US10419431B2 (en) | Preventing cross-site request forgery using environment fingerprints of a client device | |
| US8091119B2 (en) | Identity based network mapping | |
| JP2017535877A (ja) | 条件付きログインプロモーション | |
| CN110971569A (zh) | 网络访问权限管理方法、装置及计算设备 | |
| US11792194B2 (en) | Microsegmentation for serverless computing | |
| US9871778B1 (en) | Secure authentication to provide mobile access to shared network resources | |
| CN113341798A (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
| US11855993B2 (en) | Data shield system with multi-factor authentication | |
| CN116319024A (zh) | 零信任系统的访问控制方法、装置及零信任系统 | |
| CN116415217A (zh) | 基于零信任架构的即时授权系统 | |
| KR101404537B1 (ko) | 패스워드 자동 변경을 통한 서버 접근 통제 시스템 및 그 방법 | |
| CN111193776B (zh) | 云桌面环境下客户端自动登录方法、装置、设备和介质 | |
| US9680871B2 (en) | Adopting policy objects for host-based access control | |
| CN111193709A (zh) | 一种网络安全防护方法、管控端、网关端、设备 | |
| US20200244646A1 (en) | Remote access computer security | |
| CN115834252B (zh) | 一种服务访问方法及系统 | |
| CN111711612B (zh) | 通信控制方法、对通信请求进行处理的方法及其装置 | |
| CN115130116A (zh) | 业务资源访问方法、装置、设备、可读存储介质及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A network security management method, platform, and computer-readable storage medium Effective date of registration: 20231212 Granted publication date: 20220621 Pledgee: Shenzhen Branch of China Merchants Bank Co.,Ltd. Pledgor: SANGFOR TECHNOLOGIES Inc. Registration number: Y2023980070863 |