CN112104638A - 一种网络设备安全管理方法 - Google Patents

一种网络设备安全管理方法 Download PDF

Info

Publication number
CN112104638A
CN112104638A CN202010947391.3A CN202010947391A CN112104638A CN 112104638 A CN112104638 A CN 112104638A CN 202010947391 A CN202010947391 A CN 202010947391A CN 112104638 A CN112104638 A CN 112104638A
Authority
CN
China
Prior art keywords
virtual machine
management
user
network
network device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010947391.3A
Other languages
English (en)
Inventor
吴朋
朱来斌
张瑾瑾
吴凡
郭朝
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Anhui Shengshi Huake Electronic Technology Co ltd
Original Assignee
Anhui Shengshi Huake Electronic Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Anhui Shengshi Huake Electronic Technology Co ltd filed Critical Anhui Shengshi Huake Electronic Technology Co ltd
Priority to CN202010947391.3A priority Critical patent/CN112104638A/zh
Publication of CN112104638A publication Critical patent/CN112104638A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络设备安全管理方法,属于网络通信技术领域,包括在网络设备组中通过创建多个管理协议端口对管理模式进行分解,并基于用户域的角色分组对多个用户进行逻辑隔离,创建多个管理协议端口包括在管理域增加系统管理协议端口、安全管理协议端口和日志管理协议端口。本发明的网络设备安全管理方法,利用仲裁监视器根据访问网络设备组的用户隔离规则,监控虚拟机之间的资源共享和虚拟机之间的通信,以实现基于用户域的逻辑隔离,并限制管理者查看用户域的隐私数据;通过多视图对比监视虚拟机内部是否有存在恶意软件,当需要修复时,由管理者在可信环境虚拟机中向虚拟机发送操作指令,防止虚拟机内部发生攻击其他用户的动作。

Description

一种网络设备安全管理方法
技术领域
本发明涉及一种安全管理方法,特别是涉及一种网络设备安全管理方法,属于网络通信技术领域。
背景技术
随着各种网络设备的广泛使用,厂家生产的不同型号的网络设备也越来越多,管理人员需要了解并掌握每一型号的网络设备的管理方法,才能有效对网络设备进行管理,增加了网络设备管理的难度,同时也增加了用户资源泄漏的风险。
发明内容
本发明的主要目的是为了解决现有技术的不足,提供一种网络设备安全管理方法。
本发明的目的可以通过采用如下技术方案达到:
一种网络设备安全管理方法,包括在网络设备组中通过创建多个管理协议端口对管理模式进行分解,并基于用户域的角色分组对多个用户进行逻辑隔离,所述创建多个管理协议端口包括在管理域增加系统管理协议端口、安全管理协议端口和日志管理协议端口。
优选的,所述日志管理用于从执行监控器层记录上层虚拟机的运行状态,包括执行操作的用户名、服务器、动作状态、是否授权和虚拟机操作系统错误代码,提供查询端口并防止日志被篡改。
优选的,基于用户域的角色分组对多个用户进行逻辑隔离包括访问规则基于每个用户,通过使用唯一的用户域安全标签,标记所有用户的虚拟机和用户域相关的资源,利用仲裁监视器根据访问网络设备组的用户隔离规则。
优选的,所述虚拟机中包括执行监控器,在创建所述虚拟机时安装在所述虚拟机的驱动中,用于监控虚拟机中的内部视图,通过多视图对比监视虚拟机内部是否有存在恶意软件。
优选的,基于所述执行监控器对上层虚拟机的操作拦截,在可信环境虚拟机中部署虚拟机内核完整性监视模块,可信环境虚拟机中的安全组件和监视代理对虚拟机内部资源的访问均符合网络设备组中的访问规则。
优选的,所述执行监控器包括安全控制模块,所述安全控制模块提供通用的安全访问机制,在所述执行监控器启动后运行。
一种网络设备安全管理的管理方法,包括如下步骤:
步骤1:当用户请求访问其他域时,虚拟机安全控制模块拦截这些请求,并对请求的主体进行分析;
步骤2:安全控制模块判定结果;
步骤3:根据判定结果,安全控制模块决定是否允许用户访问其他域。
优选的,所述服务器包括存储单元、接收单元、确定单元和发送单元,所述存储单元用于存储网络设备的管理文件列表、存储认证键值和设备标识的映射关系。
优选的,接收单元用于接网络设备通过与数据传输网络独立的无线通信网络发送的管理文件下载请求,所述下载请求中携带有为所述网络设备预分配的认证键值,所述认证键值根据所述网络设备在网络中的位置预先分配,所述无线通信网络包括移动通信网络和WIFI网络。
优选的,确定单元用于确定所述认证键值是否有效,所述发送单元用于发送与所述认证键值对应的所述管理文件。
本发明的有益技术效果:按照本发明的网络设备安全管理方法,利用仲裁监视器根据访问网络设备组的用户隔离规则,监控虚拟机之间的资源共享和虚拟机之间的通信,以实现基于用户域的逻辑隔离,并限制管理者查看用户域的隐私数据;通过多视图对比监视虚拟机内部是否有存在恶意软件,当需要修复时,由管理者在可信环境虚拟机中向虚拟机发送操作指令,防止虚拟机内部发生攻击其他用户的动作;通过服务器管理用户资源,可以降低用户数据泄漏风险。
附图说明
图1为按照本发明的网络设备安全管理方法的一优选实施例的流程图。
具体实施方式
为使本领域技术人员更加清楚和明确本发明的技术方案,下面结合实施例及附图对本发明作进一步详细的描述,但本发明的实施方式不限于此。
如图1所示,本实施例提供的网络设备安全管理方法,包括在网络设备组中通过创建多个管理协议端口对管理模式进行分解,并基于用户域的角色分组对多个用户进行逻辑隔离,创建多个管理协议端口包括在管理域增加系统管理协议端口、安全管理协议端口和日志管理协议端口,系统管理用于管理虚拟资源,完成创建、访问和分配虚拟机资源的操作;安全管理用于完成用户授权和虚拟机安全访问条件配置。日志管理用于从执行监控器层记录上层虚拟机的运行状态,包括执行操作的用户名、服务器、动作状态、是否授权和虚拟机操作系统错误代码,提供查询端口并防止日志被篡改。基于用户域的角色分组对多个用户进行逻辑隔离包括访问规则基于每个用户,通过使用唯一的用户域安全标签,标记所有用户的虚拟机和用户域相关的资源,利用仲裁监视器根据访问网络设备组的用户隔离规则,监控虚拟机之间的资源共享和虚拟机之间的通信,以实现基于用户域的逻辑隔离,并限制管理者查看用户域的隐私数据。虚拟机中包括执行监控器,在创建虚拟机时安装在虚拟机的驱动中,用于监控虚拟机中的内部视图,通过多视图对比监视虚拟机内部是否有存在恶意软件,当需要修复时,由管理者在可信环境虚拟机中向虚拟机发送操作指令,防止虚拟机内部发生攻击其他用户的动作。基于执行监控器对上层虚拟机的操作拦截,在可信环境虚拟机中部署虚拟机内核完整性监视模块,可信环境虚拟机中的安全组件和监视代理对虚拟机内部资源的访问均符合网络设备组中的访问规则。执行监控器包括安全控制模块,安全控制模块提供通用的安全访问机制,在执行监控器启动后运行。
一种网络设备安全管理的管理方法,包括如下步骤:
步骤1:当用户请求访问其他域时,虚拟机安全控制模块拦截这些请求,并对请求的主体进行分析;
步骤2:安全控制模块判定结果;
步骤3:根据判定结果,安全控制模块决定是否允许用户访问其他域。
在本实施例中,如图1所示,服务器包括存储单元、接收单元、确定单元和发送单元,存储单元用于存储网络设备的管理文件列表、存储认证键值和设备标识的映射关系。接收单元用于接网络设备通过与数据传输网络独立的无线通信网络发送的管理文件下载请求,下载请求中携带有为网络设备预分配的认证键值,认证键值根据网络设备在网络中的位置预先分配,无线通信网络包括移动通信网络和WIFI网络。确定单元用于确定认证键值是否有效,发送单元用于发送与认证键值对应的管理文件。
综上所述,在本实施例中,按照本实施例的网络设备安全管理方法,本实施例提供的网络设备安全管理方法,利用仲裁监视器根据访问网络设备组的用户隔离规则,监控虚拟机之间的资源共享和虚拟机之间的通信,以实现基于用户域的逻辑隔离,并限制管理者查看用户域的隐私数据。通过多视图对比监视虚拟机内部是否有存在恶意软件,当需要修复时,由管理者在可信环境虚拟机中向虚拟机发送操作指令,防止虚拟机内部发生攻击其他用户的动作。通过服务器管理用户资源,可以降低用户数据泄漏风险。
以上所述,仅为本发明进一步的实施例,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明所公开的范围内,根据本发明的技术方案及其构思加以等同替换或改变,都属于本发明的保护范围。

Claims (10)

1.一种网络设备安全管理方法,其特征在于,包括在网络设备组中通过创建多个管理协议端口对管理模式进行分解,并基于用户域的角色分组对多个用户进行逻辑隔离,所述创建多个管理协议端口包括在管理域增加系统管理协议端口、安全管理协议端口和日志管理协议端口。
2.如权利要求1所述的一种网络设备安全管理方法,其特征在于,所述日志管理用于从执行监控器层记录上层虚拟机的运行状态,包括执行操作的用户名、服务器、动作状态、是否授权和虚拟机操作系统错误代码,提供查询端口并防止日志被篡改。
3.如权利要求2所述的一种网络设备安全管理方法,其特征在于,基于用户域的角色分组对多个用户进行逻辑隔离包括访问规则基于每个用户,通过使用唯一的用户域安全标签,标记所有用户的虚拟机和用户域相关的资源,利用仲裁监视器根据访问网络设备组的用户隔离规则。
4.如权利要求3所述的一种网络设备安全管理方法,其特征在于,所述虚拟机中包括执行监控器,在创建所述虚拟机时安装在所述虚拟机的驱动中,用于监控虚拟机中的内部视图,通过多视图对比监视虚拟机内部是否有存在恶意软件。
5.如权利要求4所述的一种网络设备安全管理方法,其特征在于,基于所述执行监控器对上层虚拟机的操作拦截,在可信环境虚拟机中部署虚拟机内核完整性监视模块,可信环境虚拟机中的安全组件和监视代理对虚拟机内部资源的访问均符合网络设备组中的访问规则。
6.如权利要求5所述的一种网络设备安全管理方法,其特征在于,所述执行监控器包括安全控制模块,所述安全控制模块提供通用的安全访问机制,在所述执行监控器启动后运行。
7.如权利要求1-6任意一项所述的一种网络设备安全管理的管理方法,其特征在于,包括如下步骤:
步骤1:当用户请求访问其他域时,虚拟机安全控制模块拦截这些请求,并对请求的主体进行分析;
步骤2:安全控制模块判定结果;
步骤3:根据判定结果,安全控制模块决定是否允许用户访问其他域。
8.如权利要求2所述的一种网络设备安全管理方法,其特征在于,所述服务器包括存储单元、接收单元、确定单元和发送单元,所述存储单元用于存储网络设备的管理文件列表、存储认证键值和设备标识的映射关系。
9.如权利要求8所述的一种网络设备安全管理方法,其特征在于,接收单元用于接网络设备通过与数据传输网络独立的无线通信网络发送的管理文件下载请求,所述下载请求中携带有为所述网络设备预分配的认证键值,所述认证键值根据所述网络设备在网络中的位置预先分配,所述无线通信网络包括移动通信网络和WIFI网络。
10.如权利要求9所述的一种网络设备安全管理方法,其特征在于,确定单元用于确定所述认证键值是否有效,所述发送单元用于发送与所述认证键值对应的所述管理文件。
CN202010947391.3A 2020-09-10 2020-09-10 一种网络设备安全管理方法 Pending CN112104638A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010947391.3A CN112104638A (zh) 2020-09-10 2020-09-10 一种网络设备安全管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010947391.3A CN112104638A (zh) 2020-09-10 2020-09-10 一种网络设备安全管理方法

Publications (1)

Publication Number Publication Date
CN112104638A true CN112104638A (zh) 2020-12-18

Family

ID=73752453

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010947391.3A Pending CN112104638A (zh) 2020-09-10 2020-09-10 一种网络设备安全管理方法

Country Status (1)

Country Link
CN (1) CN112104638A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115622815A (zh) * 2022-12-19 2023-01-17 苏州浪潮智能科技有限公司 基于虚拟化环境的端口隔离实现方法、装置、设备及介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102710436A (zh) * 2012-05-23 2012-10-03 福建星网锐捷网络有限公司 一种网络设备管理方法、装置、相关设备及系统
CN105184147A (zh) * 2015-09-08 2015-12-23 成都博元科技有限公司 云计算平台中的用户安全管理方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102710436A (zh) * 2012-05-23 2012-10-03 福建星网锐捷网络有限公司 一种网络设备管理方法、装置、相关设备及系统
CN105184147A (zh) * 2015-09-08 2015-12-23 成都博元科技有限公司 云计算平台中的用户安全管理方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115622815A (zh) * 2022-12-19 2023-01-17 苏州浪潮智能科技有限公司 基于虚拟化环境的端口隔离实现方法、装置、设备及介质
CN115622815B (zh) * 2022-12-19 2023-02-24 苏州浪潮智能科技有限公司 基于虚拟化环境的端口隔离实现方法、装置、设备及介质

Similar Documents

Publication Publication Date Title
US11290346B2 (en) Providing mobile device management functionalities
US7788366B2 (en) Centralized network control
CN105184147B (zh) 云计算平台中的用户安全管理方法
US11469964B2 (en) Extension resource groups of provider network services
EP2880589B1 (en) Trusted execution environment virtual machine cloning
US10331882B2 (en) Tracking and managing virtual desktops using signed tokens
JP5522307B2 (ja) 仮想機械によるソフトウェアテストを用いた電子ネットワークにおけるクライアントシステムの遠隔保守のためのシステム及び方法
CN105184164B (zh) 一种数据处理方法
JP2019526843A (ja) ホストされたアプリケーションへの動的アクセス
US20090276774A1 (en) Access control for virtual machines in an information system
KR102117724B1 (ko) 분산형 운영체제 물리적 자원을 관리하는 기법
CN103020543B (zh) 一种虚拟磁盘映像加密管理系统及方法
EP2862119B1 (en) Network based management of protected data sets
US10721719B2 (en) Optimizing caching of data in a network of nodes using a data mapping table by storing data requested at a cache location internal to a server node and updating the mapping table at a shared cache external to the server node
CN113821305B (zh) 基于Docker的云密码服务调用方法及中间件系统
CN103297441A (zh) 访问控制方法和装置
CN111885031B (zh) 一种基于会话过程的细粒度访问控制方法及系统
CN109324873A (zh) 虚拟化安全管理方法、运行内核驱动的设备及存储介质
US7849055B2 (en) Method and system for limiting instances of a client-server program within a restricted distributed network
CN112104638A (zh) 一种网络设备安全管理方法
CN112491545B (zh) 一种可信的混合云管理平台、接入方法及系统
US20020161880A1 (en) Disk management interface
US20120174206A1 (en) Secure computing environment
CN113407941A (zh) 一种边缘云节点与终端用户安全管理方法
US20220107834A1 (en) Task engine

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20201218