CN113922988B - 一种基于网络的主机安全策略检测方法、系统 - Google Patents
一种基于网络的主机安全策略检测方法、系统 Download PDFInfo
- Publication number
- CN113922988B CN113922988B CN202111087856.3A CN202111087856A CN113922988B CN 113922988 B CN113922988 B CN 113922988B CN 202111087856 A CN202111087856 A CN 202111087856A CN 113922988 B CN113922988 B CN 113922988B
- Authority
- CN
- China
- Prior art keywords
- security
- cluster
- operating system
- host
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims description 31
- 238000000034 method Methods 0.000 claims abstract description 31
- 230000006855 networking Effects 0.000 claims abstract description 12
- 230000004044 response Effects 0.000 claims description 22
- 230000001360 synchronised effect Effects 0.000 claims description 12
- 230000008569 process Effects 0.000 claims description 8
- 230000004931 aggregating effect Effects 0.000 claims description 6
- 238000007726 management method Methods 0.000 description 10
- 230000002155 anti-virotic effect Effects 0.000 description 4
- 238000009434 installation Methods 0.000 description 3
- 238000011217 control strategy Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种基于网络的主机安全策略检测方法、系统,所述方法包括如下步骤:启动主机初始化操作系统各模块;查找局域网内安装安全模块的操作系统;将查找到的所有操作系统安装安全模块的主机生成安全集群;将安全集群内所有操作系统的安全策略进行同步;根据安全策略逐项与操作系统的实际安全策略进行匹配;根据匹配结果控制各操作系统联网。生成集群后,集群内部的任何一台设备都可以与主设备通信,查看集群内部所有设备的安全状态和设置集群内部设备的安全策略。可有效提升内部网络内部的主机安全的安全性。
Description
技术领域
本发明涉及操作系统安全技术领域,具体涉及一种基于网络的主机安全策略检测方法、系统。
背景技术
人们越来越重视网络安全。在这个大环境下网络等级保护等一系列的安全技术要求得到实施。操作系统安全也成为操作系统的必备功能模块。可有效的防止不法分子的攻击。操作系统安全根据保护等级的不同有不同的要求。如安全功能要求、自身安全要求和安全保障要求在不同的级别下就采用了不同等级的要求。
在操作系统自身安全领域有身份鉴别、自主访问控制、标记和强制访问控制、安全审计、数据的完整性、数据的保密性和网络安全保护等;在自身安全要求有运行安全保护、资源利用、用户登录与访问控制、可信度量、安全策略配置等。安全保障要求提供了从开发到测试过程中的各种安全策略和措施要求。
当前操作系统要求有各种保障方式:如杀毒软件、电脑管家、各种安全解决方案:如基于网关、主机、策略服务器的解决方案。杀毒软件、电脑管家是针对安装的杀毒软件的操作系统自身,不具备将相同网络下操作系统联合管控的功能。解决方案基本上也是基于网络形式的依靠网关和策略服务器对联网设备进行安全控制。
发明内容
各种安全解决方案,针对安装的杀毒软件的操作系统自身,不具备将相同网络下操作系统联合管控的功能,本发明提供一种基于网络的主机安全策略检测方法、系统。
本发明的技术方案是:
一方面,本发明技术方案提供一种基于网络的主机安全检测方法,将若干安装操作系统的主机组成局域网,所述方法包括如下步骤:
启动主机初始化操作系统各模块;
查找局域网内安装安全模块的操作系统;
将查找到的所有操作系统安装安全模块的主机生成安全集群;
将安全集群内所有操作系统的安全策略进行同步;
根据安全策略逐项与操作系统的实际安全策略进行匹配;
根据匹配结果控制各操作系统联网。
生成集群后,集群内部的任何一台设备都可以与主设备通信,查看集群内部所有设备的安全状态和设置集群内部设备的安全策略。自定义其是否允许或者禁止接入网络。主设备可自动向集群内的其它设备配置预定义的安全策略和同步其它设备的安全策略,安全策略将根据设备类型的不同下发不同的安全策略。
进一步的,启动主机初始化操作系统各模块的步骤包括:
启动主机初始化操作系统各模块;
获取首个启动的操作系统的主机。目的是为了后续步骤聚合集群时确定主设备。
进一步的,查找局域网内安装安全模块的操作系统的步骤之前包括:
控制将局域网内初始化完成的操作系统禁用网络。操作系统初始化完成后,需要将局域网的设备设置禁用网络,禁用网络的外部访问功能,方便后续步骤执行完成后能安全连接网络。
进一步的,查找局域网内安装安全模块的操作系统的步骤包括:
通过安全模块查找局域网内是否存在其他安装安全模块的操作系统;
若是,执行步骤:将查找到的所有操作系统安装安全模块的主机生成安全集群;
若否,将安装安全模块的操作系统的主机设置为主设备;
主设备操作系统加载安全策略;执行步骤:根据安全策略逐项与操作系统的实际安全策略进行匹配。安全集群内的设备的操作系统的实际安全策略是否是预设的安全策略,对集群内的所有设备进行安全策略的配置和网络控制,只有符合条件的设备才允许连接网络,整体提升了集群内设备的安全性,减少设备被攻击的可能性。
进一步的,将查找到的所有操作系统安装安全模块的主机生成安全集群的步骤之后还包括:
将获取的首个启动的操作系统的主机设置为主设备;
安全集群内的其他设备设置为从设备。
集群内为了方便管控需要设置主设备进行集群管理与设置。
进一步的,将安全集群内所有操作系统的安全策略进行同步的步骤之前还包括:
设置通过主设备查看集群内部所有设备的安全状态,并通过主设备设置安全集群内部各设备的安全策略。
进一步的,该方法还包括:
安全集群内的各设备发送广播报文到集群内的其他设备,并接收各设备的响应信息;
当设定个数的从设备未接收到主设备的响应信息时,判定主设备故障或关机;
将首个未接收到主设备响应的从设备设置为新的主设备;
再次将安全集群内所有操作系统的安全策略进行同步。
发送广播报文并设置响应信息的目的是为了实时监控集群内的各设备的状态,防止主设备关机或故障时影响整个集群设备的管控。
进一步的,该方法还包括:
每个设备在启动时保留上次关机时的安全策略,该设备加入安全集群后自动与集群的主设备进行安全策略的同步;
具体同步过程包括:
设备加入集群后根据时间配置的不同自动将失效策略移除,保留有效安全策略;
将主设备的安全策略同步到该设备。
每个设备在启动时会带有上次关机时的策略。这些策略在加入集群后会自动与主设备进行安全策略的融合与同步。保留有效策略。根据时间配置的不同自动将失效策略移除。
另一方面,本发明技术方案还提供一种基于网络的主机安全检测系统,包括若干个安装操作系统的主机,且所述有主机组成局域网;
每个主机的操作系统包括安全模块、安全策略模块、安全检测模块和网络控制模块;
安全策略模块是由安全检测模块执行的检测操作系统是否符合上网规范的数据库;
安全模块,用于启动主机初始化操作系统各模块,查找局域网内安装安全模块的操作系统;将查找到的所有操作系统安装安全模块的主机聚合成安全集群;并将安全集群内所有操作系统的安全策略进行同步;
安全检测模块,用于根据安全策略逐项与操作系统的实际安全策略进行匹配;
网络控制模块,用于根据匹配结果控制各操作系统联网。
生成集群后,集群内部的任何一台设备都可以与主设备通信,查看集群内部所有设备的安全状态和设置集群内部设备的安全策略。自定义其是否允许或者禁止接入网络。主设备可自动向集群内的其它设备配置预定义的安全策略和同步其它设备的安全策略,安全策略将根据设备类型的不同下发不同的安全策略。
进一步的,网络控制模块,还用于控制将局域网内初始化完成的操作系统禁用网络。控制将局域网内初始化完成的操作系统禁用网络。操作系统初始化完成后,需要将局域网的设备设置禁用网络,禁用网络的外部访问功能,方便后续步骤执行完成后能安全连接网络。
进一步的,安全模块,用于通过安全模块查找局域网内是否存在其他安装安全模块的操作系统;若是,将查找到的所有操作系统安装安全模块的主机生成安全集群;若否,将安装安全模块的操作系统的主机设置为主设备;控制主设备操作系统加载安全策略;执行步骤:根据安全策略逐项与操作系统的实际安全策略进行匹配。
进一步的,安全模块,还用于启动主机初始化操作系统各模块;获取首个启动的操作系统的主机;还用于聚合安全集群后,将获取的首个启动的操作系统的主机设置为主设备;安全集群内的其他设备设置为从设备。
进一步的,主机操作系统还包括控制接口模块;
安全集群内的各从设备通过控制接口模块与主设备通信,查看集群内部所有设备的安全状态,并通过主设备的控制接口模块设置安全集群内部各设备的安全策略。
进一步的,安全模块,还用于控制安全集群内的各设备发送广播报文到集群内的其他设备,并接收各设备的响应信息;当设定个数的从设备未接收到主设备的响应信息时,判定主设备故障或关机同时将首个未接收到主设备响应的从设备设置为新的主设备;再次将安全集群内所有操作系统的安全策略进行同步。
进一步的,每个设备在启动时保留上次关机时的安全策略,该设备加入安全集群后自动与集群的主设备进行安全策略的同步;具体同步过程包括:设备加入集群后根据时间配置的不同自动将失效策略移除,保留有效安全策略;将主设备的安全策略同步到该设备。
从以上技术方案可以看出,本发明具有以下优点:能够根据网络内安装安全模块的主机情况,自动聚合一个安全集群,该集群内部的设备都在安全策略管控下对每个主机进行联网安全策略管控。当只有一个安装该安全模块的主机存在时,集群退化为一个主机设备,当存在多个安装该模块的主机存在时,集群包含这些主机。并根据安全策略对这些主机进行联网管控。可确保内部网络主机操作系统在达到安全要求的情况下才允许接入网络,可提供管理员判断集群内所有的设备的安全情况。可有效提升内部网络内部的主机安全的安全性。
此外,本发明设计原理可靠,结构简单,具有非常广泛的应用前景。
由此可见,本发明与现有技术相比,具有突出的实质性特点和显著地进步,其实施的有益效果也是显而易见的。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例的方法的示意性流程图。
图2是本发明另一个实施例的方法的示意性流程图。
图3是本发明一个实施例的系统的示意性框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
如图1所示,本发明实施例提供一种基于网络的主机安全检测方法,将若干安装操作系统的主机组成局域网,所述方法包括如下步骤:
步骤11:启动主机初始化操作系统各模块;本步骤中,加入局域网后,操作系统初始化完成后操作系统各模块具备设置的功能;
步骤12:查找局域网内安装安全模块的操作系统;
本步骤中,该加入局域网的主机操作系统的安全模块查找局域网内是否存在其他也安装有安全模块的操作系统的主机;
步骤13:将查找到的所有操作系统安装安全模块的主机生成安全集群;
需要说明的是,加入局域网的主机包括查找到的所有安装安全模块的主机组成一个安全集群;
步骤14:将安全集群内所有操作系统的安全策略进行同步;
本步骤中,将安全策略进行同步是指,虽然设置的时候每个主机根据需求的不同设置的安全策略不同,但是这里的同步是所有主机的安全策略形成的安全策略集进行同步,安全策略集包括各个主机的安全策略。
步骤15:根据安全策略逐项与操作系统的实际安全策略进行匹配;
本步骤中,是根据安全策略集中针对每个主机的安全策略与实际的安全策略进行匹配;
步骤16:根据匹配结果控制各操作系统联网。
本步骤中,若主机的安全策略与实际的安全策略一致,则认为该主机操作系统安全,可以连接网络,否则,不允许连接网络。
生成集群后,集群内部的任何一台设备都可以与主设备通信,查看集群内部所有设备的安全状态和设置集群内部设备的安全策略。自定义其是否允许或者禁止接入网络。主设备可自动向集群内的其它设备配置预定义的安全策略和同步其它设备的安全策略,安全策略将根据设备类型的不同下发不同的安全策略。
本发明实施例提供一种基于网络的主机安全检测方法,将若干安装操作系统的主机组成局域网,所述方法包括如下步骤:
步骤21:启动主机初始化操作系统各模块,获取首个启动的操作系统的主机。目的是为了后续步骤聚合集群时确定主设;本步骤中,加入局域网后,操作系统初始化完成后操作系统各模块具备设置的功能;
步骤22:控制将局域网内初始化完成的操作系统禁用网络;
操作系统初始化完成后,需要将局域网的设备设置禁用网络,禁用网络的外部访问功能,方便后续步骤执行完成后能安全连接网络。
步骤23:查找局域网内安装安全模块的操作系统;
本步骤中,该加入局域网的主机操作系统的安全模块查找局域网内是否存在其他也安装有安全模块的操作系统的主机;
步骤24:是否存在其他安装安全模块的操作系统;若是,执行步骤25,否则执行步骤28;
步骤25:将查找到的所有操作系统安装安全模块的主机生成安全集群;
步骤26:将获取的首个启动的操作系统的主机设置为主设备,安全集群内的其他设备设置为从设备;
设置通过主设备查看集群内部所有设备的安全状态,并通过主设备设置安全集群内部各设备的安全策略。
安全集群内的各设备发送广播报文到集群内的其他设备,并接收各设备的响应信息;当设定个数的从设备未接收到主设备的响应信息时,判定主设备故障或关机;将首个未接收到主设备响应的从设备设置为新的主设备;再次将安全集群内所有操作系统的安全策略进行同步。发送广播报文并设置响应信息的目的是为了实时监控集群内的各设备的状态,防止主设备关机或故障时影响整个集群设备的管控。
步骤27:将安全集群内所有操作系统的安全策略进行同步;跳转执行步骤30;本步骤中,将安全策略进行同步是指,虽然设置的时候每个主机根据需求的不同设置的安全策略不同,但是这里的同步是所有主机的安全策略形成的安全策略集进行同步,安全策略集包括各个主机的安全策略。
步骤28:将安装该安全模块的操作系统的主机设置为主设备;需要说明的是,本步骤中,由于局域网内,除了新加入的主机其他主机并没有安装安全模块,所以将新加入局域网的操作系统安装有安全模块的主机设备为主设备;
步骤29:主设备操作系统加载安全策略;安全策略加载后生效方便后续进行检查。
步骤30:根据安全策略逐项与操作系统的实际安全策略进行匹配;安全集群内的设备的操作系统的实际安全策略是否是预设的安全策略,对集群内的所有设备进行安全策略的配置和网络控制,只有符合条件的设备才允许连接网络,整体提升了集群内设备的安全性,减少设备被攻击的可能性。
步骤31:根据匹配结果控制各操作系统联网。
本步骤中,是根据安全策略集中针对每个主机的安全策略与实际的安全策略进行匹配;若主机的安全策略与实际的安全策略一致,则认为该主机操作系统安全,可以连接网络,否则,不允许连接网络。
进一步的,将安全集群内所有操作系统的安全策略进行同步的步骤之前还包括:
进一步的,该方法还包括:
安全集群内的各设备发送广播报文到集群内的其他设备,并接收各设备的响应信息;
当设定个数的从设备未接收到主设备的响应信息时,判定主设备故障或关机;
将首个未接收到主设备响应的从设备设置为新的主设备;
再次将安全集群内所有操作系统的安全策略进行同步。
发送广播报文并设置响应信息的目的是为了实时监控集群内的各设备的状态,防止主设备关机或故障时影响整个集群设备的管控。
需要说明的是,每个设备在启动时保留上次关机时的安全策略,该设备加入安全集群后自动与集群的主设备进行安全策略的同步;具体同步过程包括:设备加入集群后根据时间配置的不同自动将失效策略移除,保留有效安全策略;将主设备的安全策略同步到该设备。
每个主机在启动时会带有上次关机时的安全策略。这些安全策略在加入集群后会自动与主设备进行安全策略的融合与同步。保留有效策略。根据时间配置的不同自动将失效策略移除。
也就是说,安装了安全模块的操作系统称为一个安全主机,多个安全主机自动形成一个安全集群;安全集群内部的安全主机存在两种情况,被判定为不安全的主机,阻断网络连接;判定为安全的主机允许网络连接;安全集群内部的主机平等存在,任何一个主机都保存了集群内部安全主机的每一个主机的安全策略。但是集群内部会自动推选一个主机为主设备做为用户管理集群内部主机的操作对象。
需要说明的是,安全集群内的从设备可以查看集群内其他设备的状态,这个过程是通过从设备与主设备通信获取其他设备的状态信息,从设备之间并不进行这种互动。
由于集群内各主机均设置有控制接口模块,管理员可通过任何一台主机连接集群的主设备。通过主设备进行安全策略的定制和分发。安全集群内部的主机因为平等存在会自动同步安全策略。同步过程,安全策略模块内存在新更新的安全策略时,自动将更新的安全策略同步到集群内的其他主机。
主设备在集群内首次出现时一般为第一个启动的设备。后续加入集群的设备都为从设备。当主设备关机时,会在从设备中自动推选出一个主设备。集群内的各主机之间设定时间发送广播报文,目的是为了监控集群内个主机的状态,一般为第一个发现主设备离线的从设备成为新的主设备(这个过程中第一个发现主设备离线的从设备为发送广播报文后第一个没有在设定时间收到主设备响应信息的从设备)。当仅剩一台主机时,该设备自动成为主设备。若该设备关机,集群自动解散。
每个设备(主设备、从设备)在启动时会带有上次关机时的安全策略。这些安全策略在加入集群后会自动与主设备进行安全策略的融合与同步。保留有效策略。根据时间配置的不同自动将失效策略移除。
在这里,安全策略可以是安全基线和杀毒软件。安全基线的多少取决于当前安全模块携带的安全功能的多少。
若集群能够检测到智能网关。该网关也是安装了该安全模块的设备。则可与网关形成联动。将主机安全从集群内部的主机控制,扩展到整个网关。网关会对集群内的设备和集群外部的设备存在不一样的策略。具体策略取决于管理员的配置。网关是否启用取决于管理员的配置。在此不做赘述。
如图3所示,本发明实施例还提供一种基于网络的主机安全检测系统,包括若干个安装操作系统的主机,且所述有主机组成局域网;
每个主机的操作系统包括安全模块、安全策略模块、安全检测模块和网络控制模块;
安全策略模块是由安全检测模块执行的检测操作系统是否符合上网规范的数据库;
安全模块,用于启动主机初始化操作系统各模块,查找局域网内安装安全模块的操作系统;将查找到的所有操作系统安装安全模块的主机聚合成安全集群;并将安全集群内所有操作系统的安全策略进行同步;
安全检测模块,用于根据安全策略逐项与操作系统的实际安全策略进行匹配;
网络控制模块,用于根据匹配结果控制各操作系统联网。
主机操作系统还包括控制接口模块;
安全集群内的各从设备通过控制接口模块与主设备通信,查看集群内部所有设备的安全状态,并通过主设备的控制接口模块设置安全集群内部各设备的安全策略。
生成集群后,集群内部的任何一台设备都可以与主设备通信,查看集群内部所有设备的安全状态和设置集群内部设备的安全策略。自定义其是否允许或者禁止接入网络。主设备可自动向集群内的其它设备配置预定义的安全策略和同步其它设备的安全策略,安全策略将根据设备类型的不同下发不同的安全策略。
本发明实施例还提供一种基于网络的主机安全检测系统,包括若干个安装操作系统的主机,且所述有主机组成局域网;
每个主机的操作系统包括安全模块、安全策略模块、安全检测模块和网络控制模块;
安全策略模块是由安全检测模块执行的检测操作系统是否符合上网规范的数据库;安全策略主要是集群内的设备的安全检测策略和由管理员配置的例外检测策略组成。网络控制模块默认的控制策略由安全检测模块根据安全策略生成。
安全模块,用于启动主机初始化操作系统各模块,通过安全模块查找局域网内是否存在其他安装安全模块的操作系统;若是,将查找到的所有操作系统安装安全模块的主机生成安全集群;若否,将安装安全模块的操作系统的主机设置为主设备;控制主设备操作系统加载安全策略;获取首个启动的操作系统的主机;还用于聚合安全集群后,将获取的首个启动的操作系统的主机设置为主设备;安全集群内的其他设备设置为从设备;还用于控制安全集群内的各设备发送广播报文到集群内的其他设备,并接收各设备的响应信息;当设定个数的从设备未接收到主设备的响应信息时,判定主设备故障或关机同时将首个未接收到主设备响应的从设备设置为新的主设备;再次将安全集群内所有操作系统的安全策略进行同步。
实际上,安全模块具有自动识别和发现操作系统的能力。当一个操作系统接入网络时,该操作系统能够自动的被安全模块识别,多个安装安全模块的操作系统的主机形成一个集群,集群内的设备为方便管理会通过该安全模块自动选举一个主设备,并由该主设备统一控制集群内的设备。集群内的其它设备为统一为从设备。若主设备离线,再自动推举一个主设备管理集群安全策略。
安全检测模块,用于根据安全策略逐项与操作系统的实际安全策略进行匹配;主要是根据安全策略生成默认的网络控制模块控制规则;
网络控制模块,用于根据匹配结果控制各操作系统联网;还用于控制将局域网内初始化完成的操作系统禁用网络。控制将局域网内初始化完成的操作系统禁用网络。操作系统初始化完成后,需要将局域网的设备设置禁用网络,禁用网络的外部访问功能,方便后续步骤执行完成后能安全连接网络。也就是,控制操作系统的网络连接。根据安全策略允许或断开操作系统上的所有网络连接。
每个设备在启动时保留上次关机时的安全策略,该设备加入安全集群后自动与集群的主设备进行安全策略的同步;具体同步过程包括:设备加入集群后根据时间配置的不同自动将失效策略移除,保留有效安全策略;将主设备的安全策略同步到该设备。
在有些实施例中该系统还包括网关,主要用来控制网关内部所有的操作系统的网络访问控制规则。如果网关是智能网关也具有上述操作系统所具有的各模块,则该智能网关内部所有的操作系统都必须具有合适的安全策略才能够上网。如果网关是普通网关,则网关内部的设备靠安全模块自动形成的集群的控制策略控制上网。
尽管通过参考附图并结合优选实施例的方式对本发明进行了详细描述,但本发明并不限于此。在不脱离本发明的精神和实质的前提下,本领域普通技术人员可以对本发明的实施例进行各种等效的修改或替换,而这些修改或替换都应在本发明的涵盖范围内/任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (7)
1.一种基于网络的主机安全检测方法,其特征在于,将若干安装操作系统的主机组成局域网,所述方法包括如下步骤:
启动主机初始化操作系统各模块;具体包括:启动主机初始化操作系统各模块;获取首个启动的操作系统的主机;
查找局域网内安装安全模块的操作系统;
将查找到的所有操作系统安装安全模块的主机生成安全集群;
将获取的首个启动的操作系统的主机设置为主设备;
安全集群内的其他设备设置为从设备;
设置通过主设备查看集群内部所有设备的安全状态,并通过主设备设置安全集群内部各设备的安全策略;
将安全集群内所有操作系统的安全策略进行同步;具体是所有主机的安全策略形成的安全策略集进行同步;
根据安全策略逐项与操作系统的实际安全策略进行匹配;具体是根据安全策略集中针对每个主机的安全策略与实际的安全策略进行匹配;
根据匹配结果控制各操作系统联网。
2.根据权利要求1所述的基于网络的主机安全检测方法,其特征在于,查找局域网内安装安全模块的操作系统的步骤之前包括:
控制将局域网内初始化完成的操作系统禁用网络。
3.根据权利要求1所述的基于网络的主机安全检测方法,其特征在于,查找局域网内安装安全模块的操作系统的步骤包括:
通过安全模块查找局域网内是否存在其他安装安全模块的操作系统;
若是,执行步骤:将查找到的所有操作系统安装安全模块的主机生成安全集群;
若否,将安装安全模块的操作系统的主机设置为主设备;
主设备操作系统加载安全策略;执行步骤:根据安全策略逐项与操作系统的实际安全策略进行匹配。
4.根据权利要求1所述的基于网络的主机安全检测方法,其特征在于,将安全集群内所有操作系统的安全策略进行同步的步骤之前还包括:
设置通过主设备查看集群内部所有设备的安全状态,并通过主设备设置安全集群内部各设备的安全策略。
5.根据权利要求1所述的基于网络的主机安全检测方法,其特征在于,该方法还包括:
安全集群内的各设备发送广播报文到集群内的其他设备,并接收各设备的响应信息;
当设定个数的从设备未接收到主设备的响应信息时,判定主设备故障或关机;
将首个未接收到主设备响应的从设备设置为新的主设备;
再次将安全集群内所有操作系统的安全策略进行同步。
6.根据权利要求1所述的基于网络的主机安全检测方法,其特征在于,该方法还包括:
每个设备在启动时保留上次关机时的安全策略,该设备加入安全集群后自动与集群的主设备进行安全策略的同步;
具体同步过程包括:
设备加入集群后根据时间配置的不同自动将失效策略移除,保留有效安全策略;
将主设备的安全策略同步到该设备。
7.一种基于网络的主机安全检测系统,其特征在于,包括若干个安装操作系统的主机,且所述主机组成局域网;
每个主机的操作系统包括安全模块、安全策略模块、安全检测模块和网络控制模块;
安全策略模块是由安全检测模块执行的检测操作系统是否符合上网规范的数据库;
安全模块,用于启动主机初始化操作系统各模块,具体启动主机初始化操作系统各模块;获取首个启动的操作系统的主机,查找局域网内安装安全模块的操作系统;将查找到的所有操作系统安装安全模块的主机聚合成安全集群;将获取的首个启动的操作系统的主机设置为主设备;安全集群内的其他设备设置为从设备;并将安全集群内所有操作系统的安全策略进行同步;具体是所有主机的安全策略形成的安全策略集进行同步;
安全检测模块,用于根据安全策略逐项与操作系统的实际安全策略进行匹配;具体是根据安全策略集中针对每个主机的安全策略与实际的安全策略进行匹配;
网络控制模块,用于根据匹配结果控制各操作系统联网;
主机操作系统还包括控制接口模块;安全集群内的各从设备通过控制接口模块与主设备通信,查看集群内部所有设备的安全状态,并通过主设备的控制接口模块设置安全集群内部各设备的安全策略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111087856.3A CN113922988B (zh) | 2021-09-16 | 2021-09-16 | 一种基于网络的主机安全策略检测方法、系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111087856.3A CN113922988B (zh) | 2021-09-16 | 2021-09-16 | 一种基于网络的主机安全策略检测方法、系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113922988A CN113922988A (zh) | 2022-01-11 |
| CN113922988B true CN113922988B (zh) | 2023-07-18 |
Family
ID=79235281
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111087856.3A Active CN113922988B (zh) | 2021-09-16 | 2021-09-16 | 一种基于网络的主机安全策略检测方法、系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113922988B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115967564B (zh) * | 2022-12-23 | 2024-02-02 | 星环信息科技(上海)股份有限公司 | 一种数据内容防护方法和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111538763A (zh) * | 2020-04-24 | 2020-08-14 | 咪咕文化科技有限公司 | 一种确定集群中主节点的方法、电子设备和存储介质 |
| CN111814131A (zh) * | 2020-06-15 | 2020-10-23 | 北京天空卫士网络安全技术有限公司 | 一种设备注册和配置管理的方法和装置 |
| CN112166623A (zh) * | 2018-06-14 | 2021-01-01 | Oppo广东移动通信有限公司 | 一种控制安全功能的方法及装置、网络设备、终端设备 |
| CN113067843A (zh) * | 2020-01-02 | 2021-07-02 | 中国电力科学研究院有限公司 | 一种配电物联网网络的安全监测与联动防御系统及方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11388228B2 (en) * | 2019-10-31 | 2022-07-12 | Keysight Technologies, Inc. | Methods, systems and computer readable media for self-replicating cluster appliances |
-
2021
- 2021-09-16 CN CN202111087856.3A patent/CN113922988B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112166623A (zh) * | 2018-06-14 | 2021-01-01 | Oppo广东移动通信有限公司 | 一种控制安全功能的方法及装置、网络设备、终端设备 |
| CN113067843A (zh) * | 2020-01-02 | 2021-07-02 | 中国电力科学研究院有限公司 | 一种配电物联网网络的安全监测与联动防御系统及方法 |
| CN111538763A (zh) * | 2020-04-24 | 2020-08-14 | 咪咕文化科技有限公司 | 一种确定集群中主节点的方法、电子设备和存储介质 |
| CN111814131A (zh) * | 2020-06-15 | 2020-10-23 | 北京天空卫士网络安全技术有限公司 | 一种设备注册和配置管理的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113922988A (zh) | 2022-01-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6832951B2 (ja) | 自動デバイス検出のためのシステムおよび方法 | |
| US8135989B2 (en) | Systems and methods for interrogating diagnostic target using remotely loaded image | |
| EP2936368B1 (en) | Hardware management interface | |
| CN111989681A (zh) | 自动部署的信息技术(it)系统和方法 | |
| US20100325719A1 (en) | System and Method for Redundancy in a Communication Network | |
| US8209740B1 (en) | System and method for controlling access to network resources | |
| US11792194B2 (en) | Microsegmentation for serverless computing | |
| US20140181844A1 (en) | Hardware management interface | |
| CN106656985B (zh) | 一种备份账号登录方法、装置及系统 | |
| CN113922988B (zh) | 一种基于网络的主机安全策略检测方法、系统 | |
| US20220201041A1 (en) | Administrative policy override in microsegmentation | |
| WO2024021703A1 (zh) | 服务器的控制方法、服务器及存储介质 | |
| CN114900333B (zh) | 一种多区域安全防护方法、装置、设备及可读存储介质 | |
| US20190342172A1 (en) | Sending predefined configuration information from a first computer to a second computer in a management network group | |
| CN113961984B (zh) | 主机计算系统及用于主机计算系统的方法 | |
| CN108600156B (zh) | 一种服务器及安全认证方法 | |
| CN111935195A (zh) | 分布式系统管理方法、装置、存储介质和分布式管理系统 | |
| US11621972B2 (en) | System and method for protection of an ICS network by an HMI server therein | |
| US7350065B2 (en) | Method, apparatus and program storage device for providing a remote power reset at a remote server through a network connection | |
| CN111510431B (zh) | 一种泛终端准入管控平台、客户端及管控方法 | |
| US11677630B2 (en) | Secure device management | |
| CN104811446A (zh) | 一种新型网络安全保护系统 | |
| US20220188465A1 (en) | Wireless board management control system | |
| CN114124459B (zh) | 一种集群服务器安全防护方法、装置、设备及存储介质 | |
| CN116627750A (zh) | 一种监控方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |