JPH06282527A - ネットワーク管理システム - Google Patents

ネットワーク管理システム

Info

Publication number
JPH06282527A
JPH06282527A JP5069751A JP6975193A JPH06282527A JP H06282527 A JPH06282527 A JP H06282527A JP 5069751 A JP5069751 A JP 5069751A JP 6975193 A JP6975193 A JP 6975193A JP H06282527 A JPH06282527 A JP H06282527A
Authority
JP
Japan
Prior art keywords
network
computer
management system
displayed
database
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP5069751A
Other languages
English (en)
Inventor
Mariko Kondou
麻里子 近藤
Yumiko Mori
優美子 森
Toshiyuki Tsutsumi
俊之 堤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Software Engineering Co Ltd
Original Assignee
Hitachi Software Engineering Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Software Engineering Co Ltd filed Critical Hitachi Software Engineering Co Ltd
Priority to JP5069751A priority Critical patent/JPH06282527A/ja
Priority to US08/219,725 priority patent/US5684957A/en
Publication of JPH06282527A publication Critical patent/JPH06282527A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

(57)【要約】 (修正有) 【目的】 ネットワーク上でのセキュリティホールを検
出し、それに対する対策を講じる。 【構成】 ネットワークにおけるセキュリティホールを
検出し、ネットワークの構成図面上に当該セキュリティ
ホールを表示する。さらに、前記構成図面上に外部ネッ
トワークからの接続状況表示、電子計算機及びネットワ
ーク機器に対するアクセス内容、ネットワーク環境維持
用設定ファイルへのアクセス状況、特権ユーザでのログ
イン状況を表示する。例えば、監視プログラムが全て稼
働している電子計算機は符号3900のように斜線で表
示し、稼働してない監視プログラムのある電子計算機は
符号3901のように枠のみで表示するといった方法
や、色を変えたり、表示輝度を変えるなどの方法によ
り、違いが判るように表示する。

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明は、複数の電子計算機及び
ネットワーク機器が接続されているコンピュータネット
ワークに関し、特に、ネットワークを円滑に運用管理す
るためのネットワーク管理システムに関するものであ
る。
【0002】
【従来の技術】ネットワークの基盤となる通信技術の発
達により、ここ数年の間に高速で信頼性の高いネットワ
ーク構築が可能になったため、年々その規模は大きく、
広域化が進んでいる。
【0003】現在、ネットワーク管理作業の効率化を図
るための「ネットワーク管理ツール」と呼ばれるシステ
ムが各社から提案されている。こうしたツールの共通点
は、SNMP(Simple Network Management Protcol)やCMI
P(Common Management InformationProtocols )等の通
信プロトコルを用いたネットワークの管理を行うという
点である。
【0004】プロトコルレベルのネットワーク管理機能
とは、ネットワークトラフィックのモニタリング機能、
モニタリング結果をまとめる統計処理機能、トラフィッ
ク異常時のアラーム発生機能などである。
【0005】また、ネットワークのセキュリティ管理シ
ステムに関しては、 (1)特開昭62−211765号公報の「コンピュー
タシステムの利用者チェック装置」 (2)特開平01−76261号公報の「情報処理シス
テムの不正侵入判断方式」 (3)特開平01−196655号公報の「不正ログイ
ン防止方式」 (4)特開平01−224858号公報の「コンピュー
タの不正アクセス防止方法及びそれに用いるボード装
置」 (5)特開平01−293040号公報の「回線接続許
可装置」 (6)特開平02−192339号公報の「ハッカー侵
入防止方式」 (7)特開平03−258152号公報の「通信サービ
ス方式」 (8)特開平02−36456号公報の「ハッカー防止
装置およびそのキーワード作成方法」 などがある。
【0006】前記(1)のコンピュータシステムの利用
者チェック装置は、端末を使用する利用者にIDコード
を入力させ、そのIDコードを端末側とホスト側の両方
で暗号処理装置により2次暗号を生成し、両者の2次暗
号を比較し、一致した場合に暗号処理コードを更新する
ことで、容易にコンピュータシステムへの侵入を行えな
いようにするものである。
【0007】前記(2)の情報処理システムの不正侵入
判断方式は、接続要求を行った端末に対し利用者IDコ
ードを要求し、さらに、その端末に対し信号を送出す
る。利用者IDコードから求められる予め記憶された信
号往復時間と接続要求のあった端末までの信号往復時間
とを比較し、所定時間差以外の場合に接続を拒否するも
のである。
【0008】前記(3)の不正ログイン防止方式は、不
正なログイン試行を検出する手段及び不正ログインに対
し疑似動作を行う手段を用い、侵入者の操作を監視し、
ログイン時間を長引かせることで、ホストコンピュータ
への侵入を防止するものである。
【0009】前記(4)のコンピュータの不正アクセス
防止方法及びそれに用いるボード装置は、コンピュータ
へのアクセス時に2つ以上のコード入力を促し、全ての
コード入力が終了した時点で正誤判定を行い、組合せの
数を大きくさせ、不正アクセスを目的としたハッカーの
コード検索を困難にさせるものである。
【0010】前記(5)の回線接続許可装置は、接続可
否情報を予め設定し、接続要求メッセージが入力された
時点で、この情報に基づき接続可否判定を行うことで、
コンピュータ装置への不正アクセスを防止するものであ
る。
【0011】前記(6)のハッカー侵入防止方式は、電
話回線を用いた端末のコンピュータ接続時に、端末から
暗証番号を2度入力させ、一定時間内に正しい暗証番号
が送信されなければ、回線を切断するものである。
【0012】前記(7)の通信サービス方式は、公衆回
線網を用いたネットワークシステムにおいて、暗号ID
発生機能付電話機から送付される装置ID及び暗号ID
を、予め登録してある加入者側の装置ID及び暗号ID
と比較することで、通信サービス許可の可否判定を行
い、特定加入者のみに通信サービスを提供するものであ
る。
【0013】前記(8)のハッカー防止装置およびその
キーワード作成方法は、端末からホストに送信するデー
タに、端末IDとパスワード、さらに、端末側で作成す
るキーワードを付加し、ハッカー防止装置によりキーワ
ードの照合を行い、不一致の場合には回線を切断するこ
とで、バグ混入プログラム等の送信を防止するものであ
る。
【0014】
【発明が解決しようとする課題】しかしながら、前記従
来の技術では、以下に挙げるような問題がある。
【0015】(1)ネットワークのセキュリティホール
の検出と対策 電子計算機及びネットワーク機器をネットワーク接続し
て使用する場合、どこの端末からでも同様のサービスと
使い易い環境を提供することと、外部からの侵入やネッ
トワーク環境の不正使用防止は、相反する場合が多い。
言い換えると、ネットワークの構築はセキュリティホー
ルを作り出すことであるとも言える。
【0016】そこで、前記従来の技術で述べた通信プロ
トコルレベルでのネットワーク管理システムでは、不当
なアドレスを有する接続機器の検出や、ネットワーク上
を流れているデータのログ内容から不正なネットワーク
利用者の検出を行う機能を有しているものがある。しか
し、こうしたシステムでは、ネットワークのどの部分が
セキュリティホールとなったかが把握できない。
【0017】すなわち、ネットワークに関する各種の設
定条件等が実際に安全な設定になっているか、或は、使
い易さのために部分的にセキュリティチェックを緩和さ
せていないかといったことを、自動的に検出することが
できない。したがって、セキュリティ確保のための対策
を予め講じておくことも困難になる。
【0018】さらに、前記従来の技術で述べた通信プロ
トコルレベルでのネットワーク管理システムでは、論理
的な接続関係に基づくネットワーク構成図を表示するも
のが一般的であり、機器の物理的な配置(レイアウ
ト)、例えば、どのビルの何階のどの部署のどの位置で
接続しているかを表示できるものはない。
【0019】(2)外部からの侵入、内部での不正利用
の早期発見 ネットワークに対する外部からの侵入及び内部での不正
利用を完全に防止することは、現在の技術ではまだ困難
である。しかし、その可能性をできるだけ低くするため
に、前記従来の技術で述べたように、セキュリティ管理
を行う各種の方式や装置が考えられている。
【0020】これらの方式や装置は、端末からのログイ
ン時点、或は、回線接続時点での不正なアクセス防止を
目的としている。しかし、これらの方式や装置では、ネ
ットワークに侵入された後の不正利用を発見することは
できない。
【0021】また、前記従来の技術で述べた通信プロト
コルレベルでのネットワーク管理システムでは、ネット
ワークトラフィックのモニタリング機能及びモニタリン
グのログ内容の統計処理機能を用いて、不当なアドレス
を有する接続機器の検出や不正なネットワーク利用者の
検出を行えるものもある。
【0022】しかし、こうしたシステムでは、実際に不
正が行われ、管理者が何らかの異常な現象に気付き、ネ
ットワークトラフィックのログ調査を開始するまでは、
ネットワーク上のどこで何が行われているかを把握でき
ず、早期発見が困難である。
【0023】さらに、こうした不正アクセス検出はトラ
フィックデータの内容に依存した方式で行われているた
め、ネットワーク利用者単位、利用者の実行権限単位、
ネットワーク機器上で稼働しているコマンドやプログラ
ムやプロセス単位、ネットワーク管理で使用するファイ
ル単位、或は、ネットワーク機器単位で、不正アクセス
を監視することができない。
【0024】(3)適正なネットワーク利用環境の構築
支援 前記従来の技術で述べた通信プロトコルレベルでのネッ
トワーク管理システムでは、ネットワークの性能管理を
行うために、ネットワーク上を流れるデータを収集し、
その内容及び種別毎の統計処理を行う機能を有するもの
が多い。
【0025】しかし、性能管理を行うだけでは、適正な
ネットワーク利用環境を構築できない。すなわち、ネッ
トワークに接続されている電子計算機、端末等を含むネ
ットワーク機器をどのような条件や権限で使用できるよ
うに設定しているかを把握することができない。
【0026】(4)安全なネットワーク環境の視覚的な
把握 前記従来の技術で述べた通信プロトコルレベルでのネッ
トワーク管理システムでは、ネットワークの論理的な接
続関係に基づくネットワーク構成図を表示し、接続して
いるネットワーク機器が稼働しているかどうかを表示す
る機能を有するものが多い。
【0027】しかし、そうしたネットワーク構成図の表
示では、どのネットワーク機器でどのようなセキュリテ
ィ対策を講じているか、或は、どのネットワーク機器で
どのような権限でどのようなコマンドやプログラムやプ
ロセスが稼働しているかを視覚的に把握することができ
ない。
【0028】本発明の第1の目的は、ネットワーク上で
のセキュリティホールを検出し、ネットワーク構成図面
上でそれを表示し、そのネットワークのセキュリティホ
ールに対する対策を講じることができるネットワーク管
理システムを提供することである。
【0029】本発明の第2の目的は、通常のネットワー
ク使用状況を常時監視し、一般のネットワーク利用者の
ネットワーク利用状況や、特権ユーザ権限でしか行えな
いシステム関連ファイルへのアクセスや、実行時に特権
ユーザ権限を得ることのできる特定プロセスの稼働状況
や、特権ユーザ権限でのネットワーク機器に対するアク
セスを把握し、アクセスの記録を残すことで、外部から
の侵入、内部での不正利用の早期発見を可能にすること
ができるネットワーク管理システムを提供することであ
る。
【0030】本発明の第3の目的は、ネットワーク環境
における様々なアクセス許諾内容の妥当性をチェック
し、妥当でない場合はネットワーク管理者に通知を行
い、適正なネットワーク利用環境の構築を支援すること
ができるネットワーク管理システムを提供することであ
る。
【0031】本発明の第4の目的は、ネットワーク管理
システムの管理対象となるネットワークをネットワーク
構成図面上で表示することで、安全なネットワーク環境
の視覚的な把握を行うことができるネットワーク管理シ
ステムを提供することである。
【0032】
【課題を解決するための手段】前記第1の目的を達成す
るために、前記ネットワーク機器の物理的配置と接続関
係に関する情報を格納したデータベースと、ネットワー
ク構成図等を表示する表示装置と、前記データベースに
格納された情報に基づき、論理的または物理的なネット
ワーク構成図面を前記表示装置に表示すると共に、前記
ネットワークのセキュリティホールを検出し、ネットワ
ークのセキュリティホールの内容や重要度等に応じた表
示形態により、前記ネットワーク構成図面上にネットワ
ークのセキュリティホールを表示する管理手段と、ネッ
トワークのセキュリティホールに対する対策を講じる処
理手段とを設けた。
【0033】また、第2の目的を達成するために、本発
明は、前記ネットワーク構成図面に表示された電子計算
機、ネットワーク機器及びネットワーク構成図面上の位
置への指示操作に対し、前記データベースに格納された
物理的ネットワーク構成、論理的ネットワーク構成、ネ
ットワーク配線、フロア図面、地図等の情報を用いて動
的かつ論理的な接続状況、即ち、現在、どの電子計算機
又はネットワーク機器から、或はどんな外部のネットワ
ークから、誰がどのような接続手段で、前記ネットワー
クに接続しているか、さらに動的なユーザのログイン状
況表示、即ち、現在、どの電子計算機、端末、ネットワ
ーク機器から、誰が、どの電子計算機及びネットワーク
機器を使用し、どのような処理を行っているかの表示を
行う手段とを設けた。
【0034】あるいは、前記ネットワーク構成図面に表
示された電子計算機、ネットワーク機器及びネットワー
クケーブル等を指示すると、電子計算機、ネットワーク
機器及びネットワークケーブルでのネットワーク通信量
を測定し、その測定結果に基づいた通信量の時間的な推
移及び変化や、通信内容の分類を行い、分類別の通信量
割合を算出し、測定結果及び分類結果に基づき、全体の
通信量と全体の通信量に対する分類別の通信量割合を、
前記表示装置上に識別可能な形式で表示する手段を設け
た。
【0035】あるいは、ネットワーク上の電子計算機及
びネットワーク機器で定義されたネットワーク環境を維
持するための環境設定ファイルに対するアクセス履歴を
随時、前記データベースに格納しておき、前記ネットワ
ーク構成図面に表示された電子計算機及びネットワーク
機器等を指示すると、前記データベースに格納している
ネットワーク環境を維持するための環境設定ファイルに
対するアクセス履歴から一定期間内のものを抽出し、そ
の抽出結果、即ち、いつ、誰が、どのような変更・参照
・追加を行ったかを前記表示装置上に表示する手段を設
けた。
【0036】あるいは、ネットワーク上の電子計算機及
びネットワーク機器で定義された、ネットワーク上でセ
キュリティを確保した上で稼働を許諾する条件等の情報
に基づき、指示されたネットワーク上の電子計算機及び
ネットワーク機器で、現在、稼働中であるプログラム及
びコマンド群の中から、前記条件に合致しないものや合
致していても外部からの侵入可能性のあるプログラム及
びコマンドや内部での不正使用の可能性あるものを随
時、前記データベースに格納しておき、前記ネットワー
ク構成図面に表示された電子計算機及びネットワーク機
器等を指示すると、前記の条件に合致しないものや合致
していても外部からの侵入可能性のあるプログラム及び
コマンドや内部での不正使用の可能性あるものの動作状
況を、前記表示装置上に表示する手段を設けた。
【0037】あるいは、ネットワーク上の電子計算機及
びネットワーク機器で定義された特権ユーザによるネッ
トワークへのログイン履歴を随時、前記データベースに
格納しておき、前記ネットワーク構成図面に表示された
電子計算機及びネットワーク機器等を指示すると、前記
データベースに格納している特権ユーザによるネットワ
ークへのログイン履歴から、一定期間内のものを抽出
し、その抽出結果、即ち、いつ、誰が、どこから、どの
電子計算機及びネットワーク機器に対して、特権ユーザ
権限で何を行ったかを前記表示装置上に表示する手段を
設けた。
【0038】また、前記第3の目的を達成するために、
前記前記ネットワーク構成図面に表示された電子計算機
及びネットワーク機器等を指示すると、電子計算機及び
ネットワーク機器で定義されたネットワーク接続用環境
設定ファイルの内容を、予め前記データベースに格納さ
れたネットワークへのアクセス許諾条件等の情報に基づ
き、外部からの不正な侵入や不正な使用を許す環境にな
っていないかを、照合及び検査し、その結果を前記表示
装置上に表示し、さらに、緊急度・重要度に応じ、ネッ
トワーク管理者に対して通知する手段を設けた。
【0039】あるいは、前記ネットワーク構成図面に表
示された電子計算機及びネットワーク機器等を指示する
と、予め前記データベースに格納された、ネットワーク
上でセキュリティを確保した上で稼働を許諾する条件等
の情報に基づき、指示されたネットワーク上の電子計算
機及びネットワーク機器で稼働可能なプログラム及びコ
マンド群の中から、前記条件に合致しないものや合致し
ていても外部からの侵入可能性のあるプログラム及びコ
マンドや内部での不正使用の可能性あるものがあるかど
うかを、照合及び検査し、その結果、即ち、どの機器
で、どのような危険な稼働可能なプログラム及びコマン
ド等があるかを前記表示装置上に表示する手段を設け
た。
【0040】また、前記第4の目的を達成するために、
物理的なネットワーク構成図面上で、ネットワーク監視
を行っている電子計算機及びネットワーク機器を、セキ
ュリティレベルに応じて識別可能な形式で表示する手段
を設けた。
【0041】ここで、ネットワークのセキュリティホー
ルとは、複数のネットワーク機器が接続しているネット
ワークにおける以下のような事項を指す。 (1)外部ネットワークとの接続(アクセス)ポイン
ト、(2)外部ネットワークに対するアクセス許諾条件
(論理的侵入可能性)、(3)ネットワーク上を流れる通
信内容の偏り、(4)特定ユーザ、プログラム、コマン
ド等によるネットワークの占有、(5)ネットワーク内
に接続しているネットワーク機器を使用しているユーザ
が稼働させているプログラム及びコマンド群のセキュリ
ティレベル及びユーザ権限、(6)ネットワーク内に接
続している計算機以外のネットワーク機器のアクセス許
諾条件、(7)ネットワーク内に接続しているネットワ
ーク機器で定義された特権ユーザ権限での起動が可能な
プログラム及びコマンドに対するアクセス許諾条件、
(8)ネットワーク内に接続しているネットワーク機器
の上記条件設定情報へのアクセス許諾条件、(9)ネッ
トワーク内で稼働中のプログラム及びコマンド群のセキ
ュリティレベル及びユーザ権限、(10)特権ユーザ権限
でのプログラム及びコマンドの起動、(11)論理的に接
続しているが、ネットワーク管理システムの管理対象範
囲外の内部ネットワーク。
【0042】
【作用】前述の手段によれば、ネットワークのセキュリ
ティホールを検出し、その検出したセキュリティホール
をネットワーク構成図面上に表示するので、ネットワー
クにおけるセキュリティを確保することができる。
【0043】また、ネットワーク及びネットワーク機器
に対するアクセス状況を常時監視するので、外部からの
侵入、内部での不正利用の発見を速やかに行うことがで
きる。
【0044】さらに、ネットワーク環境設定用ファイル
の内容をアクセス許諾条件に基づき照合及び検査するの
で、適正なネットワーク利用環境の構築を容易に行うこ
とができる。
【0045】さらに、ネットワーク管理の対象となって
いるネットワーク機器をネットワー構成図面上で識別可
能な形式で表示させるので、安全なネットワーク環境を
視覚的に簡単に把握することができる。
【0046】
【実施例】以下、本発明の実施例を図面を参照して具体
的に説明する。
【0047】図1は本発明の一実施例にかかるネットワ
ーク管理システムの構成を示す図である。
【0048】図1において、100はネットワーク管理
システムが管理する被管理機器がケーブル類で接続され
たネットワークである。101は通信制御装置であり、
ネットワーク管理システムとネットワーク100間の通
信を制御する。
【0049】102は中央処理装置であり、データ処
理、システム制御及び予めプログラムされた各種処理を
行う。103は入力装置であり、キーボード、マウス、
プリンタなどが用いられる。104は出力装置であり、
ディスプレイ、プリンタなどが用いられる。105は、
補助記憶装置であり、光磁気ディスク、メタルテープ、
ハードディスクなどが用いられる。
【0050】なお、ネットワーク管理システムが管理す
る対象機器を、ここでは被管理機器と呼ぶ。この被管理
機器は電子計算機、端末、ネットワーク機器、周辺機
器、ケーブル類、設備機器の6つに分類する。
【0051】電子計算機は、ワークステーションやパー
ソナルコンピュータやホストコンピュータやファイルサ
ーバなどである。
【0052】端末は、X端末やキャタクタ端末やグラフ
ィック端末などである。
【0053】ネットワーク機器は、ルータやリピータや
ターミナルサーバやトランシーバやブリッジやプロトコ
ルコンバータやモデムなどである。
【0054】周辺機器は、プリンタやワードプロセッサ
やファクシミリやスキャナなどである。
【0055】ケーブル類は、イーサネットケーブルや電
話線や電源ケーブルなどである。
【0056】設備機器は空調やフロアレイアウトや建屋
地図などである。
【0057】また、ネットワークとは、被管理機器が接
続されていて、各機器間で通信が行われているものであ
る。
【0058】例えば、ワークステーション固有の属性と
してCPU名、処理速度、クロック数、稼働OS、外部
インターフェイス、MACアドレス、論理マシン名、I
Pアドレス、メモリサイズ、ハードディスク容量、増設
ボードなどがあり、ルータ固有の属性には対応プロトコ
ル、通信速度、ポート数、ポート形状、インターフェイ
ス種類、拡張可能スロット数などがある。
【0059】ソフトウェア固有の属性には、製品名、バ
ージョン、稼働OS、稼働環境、マニュアル、インスト
ールマシン、保管場所、機能概要、バージョンアップ費
用などが挙げられる。
【0060】ここに挙げた情報は、予め製品データベー
スに登録しておき、製品名と機種名を指定すれば必要な
情報が得られるようになっている。
【0061】上述のような製品に関する情報以外に、ネ
ットワーク管理システムは、個々のコンピュータやネッ
トワーク機器に固有の購入価格、購入先、購入年月、シ
リアル番号、修理履歴、保守費用なども管理属性として
保持する。
【0062】さらに、ネットワーク管理システムは被管
理機器である電子計算機や端末やネットワーク機器に関
するソフトウェア環境、マシン環境、システム構成、ネ
ットワークトラフィックなども管理属性として扱う。
【0063】また、本発明のネットワーク管理システム
で扱う被管理機器の属性には、設備情報における地番、
建屋名、フロア、面積、机位置、座席、マシン位置など
も含まれる。
【0064】さらに、本発明のネットワーク管理システ
ムでは以下に述べる手段を有する。 (1)ネットワーク設備データベース・インターフェイ
ス 上述の対象となる被管理機器や各々の属性情報をデータ
ベース化し、登録及び検索を行う。
【0065】この場合、各々の製品に固有の情報である
シリアル番号、保守契約の有無、購入先、保守契約など
は、新規購入時にデータベース登録する。また、これら
の属性情報データベースへのアクセス用ユーザインター
フェイスがあり、どの端末からでも、どのデータに対し
ても同じようなインターフェイスで入力や更新が可能で
ある。
【0066】(2)地図データベース CADベースの図形処理を用いて、全国規模の地図情報
からビル内のフロア単位の建屋図面まで階層化して保存
する。上述のネットワーク設備データベースとリンクさ
せ、画面に表示した地図で機器の情報もアクセスできる
ユーザインターフェイスを提供する。
【0067】(3)ハードウェア配置及びネットワーク
配線管理 ネットワークの配線、接続状況、電源配置、マシンレイ
アウト、電話配線等を地図データベースに格納されてい
る地図に基づいて作成する。
【0068】(4)システム構成管理 新規にコンピュータを購入する場合に、必要な機器構成
やソフトウェアの一覧を生成し、目的に合ったシステム
構成になっているかチェックする。
【0069】(5)マシン環境管理 例えば、ホームディレクトリはどこか、どのディスクに
何が入っているか、マシンのシステム構成はどうなって
いるか、誰がアカウントを持っているか等の情報検索を
可能にする。
【0070】(6)ネットワーク環境管理 物理的な意味でのネットワーク環境の管理を行う。どこ
に、どんなマシンや端末が接続しているか、イーサネッ
トでのネットワーク基準を満たしているかなどをチェッ
クする。
【0071】(7)ソフトウェア管理 ネットワーク上に接続された電子計算機及びネットワー
ク機器で稼働するソフトウェアの製品名、バージョン、
稼働OS、稼働環境、マニュアル、インストールマシ
ン、保管場所、機能概要、バージョンアップ費用などの
ソフトウェアに関する属性の管理を行う。
【0072】(8)物品在庫管理 未使用ケーブル、コネクタ、トランシーバ、ターミネー
タ等の数や貸し出しリストを管理する。
【0073】(9)統計処理 通信プロトコルレベルのネットワーク管理ツールと連動
させ、定常的なネットワーク状況を監視し、ネットワー
クトラフィック、マシンのロードアベレージ、プリンタ
稼働状況などの統計をとる。
【0074】(10)ネットワーク敷設サポート ネットワークの増設、機器追加、位置変更の際に、物理
的なレベルで可否を診断する。例えば、電源供給量の過
不足、コンセント数、イーサの制限長、接続可能な端末
数などのチェックを行う。
【0075】(11)ネットワーク監視 診断型エキスパートシステムと連動させ、障害発生時に
障害箇所の特定を行ったり、回復のための対策指示を行
う。また、ネットワークに接続されているマシンや端末
を管理プロトコルの利用により自動検知する。さらに、
ホストマシンやネットワークの負荷測定の分析結果から
障害発生前に異常を検知し、ネットワーク管理者にアラ
ーム通知する。
【0076】(12)ネットワークインテグレイト ここまでに述べたネットワークに関する情報を総合的に
判断し、円滑なネットワーク運営に何が不足している
か、どうすれば効率良いネットワークになるかのアドバ
イスを行う。
【0077】ここで、本実施例で扱う用語、ネットワー
ク構成について説明しておく。
【0078】ネットワーク構成とは、電子計算機、端
末、ネットワーク機器、周辺機器、ケーブル類がどのよ
うに接続しているかを示すものである。実際の接続の位
置関係や距離などを含む接続状況を示すものを物理的ネ
ットワーク構成、サブネットやセグメントといった論理
的な単位での接続状況を示すものを論理的ネットワーク
構成と呼ぶ。
【0079】論理的なネットワーク構成図の例を図2に
示す。図2の200は通信網、201は電子計算機、2
02はネットワーク機器、203は端末である。
【0080】一部の電子計算機には、ネットワークに接
続されている別の電子計算機から送られてきた命令を実
行し、その結果を送り返す機能がある。ネットワーク管
理システムは、この機能を利用することで、ネットワー
クに接続されている電子計算機から情報を収集すること
ができる。以下では、これを遠隔操作と呼ぶ。
【0081】次に、本実施例で用いるネットワーク構成
図面について説明する。
【0082】ネットワーク構成図面とは、前記物理的ネ
ットワーク構成と前記論理的ネットワーク構成を統括し
た図面であり、ある縮尺の地図、建屋図面、フロア図面
上に、ネットワーク管理システムが管理する被管理機器
を配置させ、同時にケーブル類の敷設状況や電源配置や
電話配置なども含め、ネットワークの物理的な接続状況
を実際の距離及び面積と合わせて表現したものである。
【0083】前記ネットワーク構成図面は、図示したい
位置、範囲、被管理機器、セキュリティレベル、目的な
どに応じ、図1の補助記憶装置105内にあるデータベ
ースに格納された物理的ネットワーク構成、論理的ネッ
トワーク構成、ネットワーク配線、フロア図面、地図、
ネットワークトラフィックの統計情報、ネットワーク回
線使用率等の中から必要な情報を検索した上で、求めら
れる情報を統合し、図1の出力装置104に表示される
図面である。
【0084】本実施例で用いるネットワーク構成図面の
例を図3に示す。
【0085】図3において、300は通信網、301は
ネットワーク機器、302は電子計算機、303は端末
である。
【0086】ネットワーク管理システムは、上述の管理
属性に関する情報を格納したデータベース以外に、以下
に述べるデータベースをさらに有している。
【0087】図4は被管理機器の情報を格納したデータ
ベース40の構造を示したものであり、400の被管理
機器IDは被管理機器を一意に決めることのできる番号
である。
【0088】この被管理機器ID400は、ネットワー
ク管理システムが表示するネットワーク構成図面の被管
理機器図形データに割り当てられている。
【0089】401の接続情報は、物理的に直接接続し
ている被管理機器の被管理機器IDである。
【0090】402の分類は、電子計算機、端末、ネッ
トワーク機器、周辺機器、ケーブル類を識別するもので
ある。
【0091】403の遠隔操作は、遠隔操作の可能な被
管理機器であるか判別する項目である。
【0092】404の管理者は、被管理機器を管理して
いるユーザのログイン名である。管理者は複数の場合も
ある。
【0093】図5はネットワーク環境を維持するために
必要なファイル名の一覧が登録されているデータベース
50の構造を示すもので、このデータベース50に格納
している情報は、ネットワーク管理者であるネットワー
ク管理システムの使用者により予め登録されている。
【0094】ネットワーク上での被管理機器間の通信
は、通信データを一定の長さに区切った情報単位により
行われている。これをパケットと呼ぶ。
【0095】図6にパケットの構成を示す。パケットは
大きく2つの部分に分けることができる。すなわち、送
受信するために必要な制御情報を格納しているヘッダ部
60と実際に送受信したい情報を格納したデータ部61
である。ヘッダ部60には、各種の制御情報が格納され
ているが、本発明の一実施例にかかるヘッダ情報は図示
のように、受信先の被管理機器ID600、送信元の被
管理機器ID601、パケットサイズ(バイト数)60
2、通信プロトコル603で構成されている。
【0096】ここから、被管理機器である電子計算機
が、複数の別な電子計算機から遠隔ログインやファイル
転送などでアクセスされている状態を表示する処理につ
いて、図7のフローチャートに沿って説明する。
【0097】ネットワーク上の遠隔処理が可能な全ての
電子計算機は、常時ネットワークインタフェース上を送
受信されるパケットのヘッダ部の一部を収集し記録して
いる。これは、ネットワーク管理システムの遠隔操作と
して実行されている。
【0098】まず、ステップ700において、ネットワ
ーク管理システムは、出力装置104にネットワーク構
成を表示している。
【0099】ステップ701において、使用者により入
力装置103から監視対象の電子計算機を指定する。
【0100】次にステップ702において監視期間を指
定し、さらにステップ703において監視対象の電子計
算機の被管理機器IDを用いて被管理機器情報を図4の
データベース40より検索する。
【0101】続く、ステップ704において、指定され
た電子計算機は遠隔操作が可能かどうかを調査する。遠
隔操作が可能であれば、ステップ705へ、不可能であ
れば処理を終了する。
【0102】ステップ705においては、指定された電
子計算機の被管理機器IDを用いて、ステップ702で
指定された期間に収集したデ−タをネットワーク管理シ
ステムに送信する遠隔操作を実行する。
【0103】この時の収集データは、受信先被管理機器
ID600、送信元被管理機器ID601、通信プロト
コル603である。
【0104】図8に収集データの例を示す。800は受
信先被管理機器ID、801は送信元被管理機器ID、
802は通信プロトコルを示している。
【0105】次にステップ706において、出力装置1
04にステップ705で送信された収集データを結果と
して表示する。
【0106】次に、被管理機器を流れているパケットの
通信プロトコル別の数量や数量比を表示する処理につい
て図9のフローチャートに沿って説明する。
【0107】ネットワーク上の遠隔処理が可能な全ての
電子計算機は、常時ネットワークインタフェース上を送
受信されるパケットのヘッダ部の一部を収集し記録して
いる。これは、ネットワーク管理システムの遠隔操作と
して実行されている。
【0108】ステップ900において、ネットワーク管
理システムは、出力装置104にネットワーク構成を表
示している。次にステップ901において、使用者によ
り入力装置103から監視対象の被管理機器を指定さ
れ、続くステップ902において使用者により監視期間
が指定される。
【0109】ステップ903において、ステップ901
で指定された被管理機器の被管理機器IDを用いて被管
理機器情報を図4に示したデータベース40より検索す
る。
【0110】ステップ904において、検索した被管理
機器が遠隔操作可能かどうかを調査する。
【0111】遠隔操作が不可能であればステップ905
へ、可能ならばステップ906へ処理を進める。
【0112】ステップ905において、ステップ904
で調べた被管理機器の接続情報を用いて、被管理機器の
被管理機器情報を図4に示したデータベース40より検
索する。
【0113】接続情報として複数の被管理機器IDがあ
る場合は、先頭の被管理機器IDが使用される。
【0114】遠隔操作可能な被管理機器が見つかるまで
ステップ904、905の処理を繰り返す。
【0115】ステップ906において、ステップ904
で検索した被管理機器の被管理機器IDを用いて、ステ
ップ902で指定された期間に収集したデータをネット
ワーク管理システムに送信する遠隔操作を実行する。
【0116】この時の収集データは、パケットサイズ、
通信プロトコルである。図10に収集データの例を示
す。1000はパケットサイズ、1001は通信プロト
コルである。
【0117】ステップ907において、図10の収集デ
ータより、通信プロトコル別にパケットサイズの合計を
算出する。
【0118】ステップ908において、ステップ907
で算出した通信プロトコル別パケットサイズの合計よ
り、通信プロトコルのパケットサイズの総計を算出す
る。
【0119】ステップ909において、ステップ907
の通信プロトコル別合計をステップ908の総計で割
り、その数量比を算出する。
【0120】ステップ910において、出力装置にステ
ップ907の結果とステップ909の結果をグラフで表
示する。図11は棒グラフを用いた通信プロトコル別の
パケット数量の合計の表示例、図12は円グラフを用い
た通信プロトコル別のパケットの数量比の表示例を示す
ものである。なお、この他の表示形式をとってもよい。
【0121】次に、特定の端末や電子計算機の表示装置
(ここでは、まとめて端末と呼ぶ)で、どのユーザ名
で、どこの電子計算機にログインしているか、という情
報を調査し表示する処理を、図2、図3、図14、図1
5を参照しながら図13のフローチャートにそって説明
する。
【0122】図14はログイン記録テーブル140であ
る。これは、各電子計算機へのログインを記録するテー
ブルであり、各電子計算機が保持している。このログイ
ン記録テーブル140は、ログインしたユーザ名140
0、そのログインで使用した仮想端末名1401、ログ
インした端末名1402、ログインした時刻1403、
ログアウトした時刻1404、ログインする前のユーザ
名(あるユーザにログインしてからログアウトせずにそ
こからユーザ名1400でログインした場合)1405
が格納されている。ログイン中である場合、ログアウト
した時刻1404は空欄である。
【0123】図15は、指定した端末で、どのユーザ名
で、どこの電子計算機にログインしているかを示す検出
結果の表示例であり、電子計算機名1500、ログイン
したユーザ名1501、そのログインで使用した仮想端
末名1502、ログインした時刻1502が表示され
る。
【0124】まず、ステップ1300において、図2に
示すような論理的なネットワーク構成図あるいは図3に
示すような物理的なネットワーク構成図を表示する。
【0125】次にステップ1301において、システム
のユーザにより調査したい端末203が指定される。
【0126】次にステップ1302において、システム
はネットワーク内の各電子計算機のログイン記録テーブ
ル140を調査し、ステップ1301で指定された端末
203からのログイン項目を検出する。
【0127】ステップ1302で検出するのはログイン
中のもの(図14の1404が空欄のもの)である。ま
た、仮想端末とは電子計算機側から見た論理的な端末
(実際には1つの端末であるが、ソフトウェアでは複数
の端末として扱うことをいう。例えば、複数のウインド
ウのそれぞれを1つの端末として使用する場合に相当す
る。)意味し、一つのログインに対し一つの名前で割り
当てられる。例えば、ある端末から複数ログインした場
合、電子計算機側は複数の端末からログインされたと仮
想して端末名を割り当てる。その個々の仮想的な端末を
仮想端末と呼ぶ。
【0128】次に、ステップ1303において、システ
ムは1302で検出した項目について、図15に示すよ
うに、電子計算機名1500、ユーザ名1501、仮想
端末名1502、ログインした時刻1503をリストに
して表示する。
【0129】次に、ネットワーク環境を維持していくた
めに必要なファイルのアクセス履歴を監視する処理につ
いて図16、17のフローチャートに沿って説明する。
【0130】ネットワーク管理システムが、予め、アク
セス履歴を保存するために実行している処理について図
16のフローチャートに沿って説明する。
【0131】ステップ1600において、ネットワーク
管理システムは、使用者によりアクセス履歴の保存期間
を指定される。次に、ステップ1601において、図4
に示したデータベース40より、遠隔操作可能な電子計
算機の被管理機器情報を全て検索する。
【0132】ステップ1602において、検索した全て
の遠隔操作可能な電子計算機の被管理機器IDを用い
て、図5に示したデータベース50に登録されているフ
ァイルへのアクセス履歴情報を、ステップ1601で指
定された期間、遠隔操作を行う電子計算機に保存する遠
隔操作を実行する。
【0133】図18にアクセス履歴情報180の例を示
す。ここで、1801はアクセスユーザ、1802はア
クセス方法、1803はアクセス日時である。
【0134】次に、アクセス履歴を表示する処理につい
て図17のフローチャートに沿って説明する。
【0135】ステップ1700において、ネットワーク
管理システムは出力装置にネットワーク構成を表示して
いる。ステップ1701において、使用者により入力装
置で監視する電子計算機が指定される。ステップ170
2において、指定された電子計算機の被管理機器IDを
用いて被管理機器情報を図4に示したデータベース40
より検索する。
【0136】ステップ1703において、指定された電
子計算機が遠隔操作可能かどうかを調査する。遠隔操作
ができればステップ1704へ、できなければ処理を終
了する。
【0137】ステップ1704において、遠隔操作可能
な電子計算機の被管理機器IDを用いて、図5に示した
データベース50のファイルのアクセス履歴情報をネッ
トワーク管理システムに送信する遠隔操作を実行する。
【0138】ステップ1705において、ステップ17
04においてネットワーク管理システムに送信されたア
クセス履歴情報を出力装置に表示する。表示例を図19
に示す。
【0139】次に、特権モードで稼働しているプログラ
ムを捜し出して表示する処理を、図2、図3、図21、
図23を参照して図20のフローチャートにそって説明
する。
【0140】図21はプログラム起動ログテーブル21
0である。このプログラム起動ログテーブル210は、
各電子計算機で起動されたプログラムの情報を記録する
テーブルであり、各電子計算機が保持している。プログ
ラム起動ログテーブルには図示のように、起動したユー
ザ名2100、起動されたプログラム名称2101、起
動した仮想端末名2102、起動した端末名2103、
起動時刻2104、終了時刻2105、起動時のモード
2106が格納されている。稼働中である場合、終了時
刻2105は空欄である。
【0141】図22は特権モードで稼動中のプログラム
を検出した結果の表示例であり、プログラム名220
0、ユーザ名2201、起動した仮想端末名2202、
起動した端末名2203、起動時刻2204が表示され
る。
【0142】特権モードのプログラムとは、他のプログ
ラムやファイルに対して特権的な動作のできるプログラ
ムである。特権的な動作の例としては、一般のユーザに
対して書き込みを禁止しているファイルの書き換え動作
や、他のユーザが起動しているプログラムの停止動作が
ある。
【0143】まずステップ2000において、図2に示
したような論理的なネットワーク構成図、あるいは図3
に示したような物理的なネットワーク構成図を表示す
る。
【0144】次に、ステップ2001において、システ
ムのユーザにより調査したい電子計算機が指定される。
【0145】次に、ステップ2002において、ステッ
プ2001で指定された電子計算機が有する図21に示
すような全プログラム起動ログテーブルを調査し、特権
モードで稼働しているプログラムを検出する。
【0146】ステップ2002で検出するのは、終了時
刻が空欄であるもの、即ち、稼働中のものである。
【0147】次に、ステップ2003において、システ
ムはステップ2002で検出したプログラムについて、
プログラム名称2200、プログラムを起動したユーザ
名2201、プログラムを起動した仮想端末名220
2、プログラムを起動した端末名2203、プログラム
の起動時刻2204をリストにして図22に示すように
表示する。
【0148】次に、指定されたある期間中に、誰がどこ
で特権ユーザとなり、どのようなプログラムを動かした
かを調査し、表示する処理を図2、図3、図14、図2
1、図24、図25を参照して図23のフローチャート
にそって説明する。
【0149】図24には、指定した期間内に、どのユー
ザ名からどの期間、特権ユーザにログインしていたかを
表すテーブル240である。このテーブル240は、図
23のフロ−チャ−トの処理途中で作成される。図24
において、2400は仮想端末名、2401は端末名、
2402はログインしていた時間帯、2403は特権ユ
ーザにログインしたユーザ名である。指定された調査開
始時刻以前に特権ユーザとしてログインしている場合
は、調査開始時刻をログインした時刻として扱う。ま
た、調査終了時刻以後に特権ユーザからログアウトして
いる場合は、調査終了時刻をログアウトした時刻として
扱う。
【0150】図25は、ある期間に誰がどの端末で特権
ユーザとなり、どのようなプログラムを作動させたかを
検出した結果の表示例であり、仮想端末名2500、ロ
グインした端末名2501、起動時刻2503、終了時
刻2504、ログインしたユーザ名2505が表示され
る。
【0151】電子計算機にログインする場合、通常の電
子計算機利用を目的としたログイン名(以降では、これ
を一般ユーザと呼ぶ)か、電子計算機の管理を目的とし
たログイン名(以降では、これを特権ユーザと呼ぶ)の
どちらかを使用する。
【0152】特権ユーザでログインすると、電子計算機
上の全てのプログラムの起動や強制終了、全てのテーブ
ル類の書き換えや消去などの特権的な動作が行える。
【0153】まずステップ2300において、図2に示
したような論理的なネットワーク構成図、あるいは図3
に示したような物理的なネットワーク構成図を表示す
る。
【0154】次にステップ2301において、システム
のユーザにより調査したい電子計算機名と調査期間が指
定される。
【0155】次に、ステップ2302において、システ
ムはステップ2301で指定された電子計算機のログイ
ン記録テーブル140(図14)を調査し、仮想端末名
1401、端末名1402、ステップ2301で指定し
た期間において特権ユーザがログインした時間帯140
3と1404、特権ユーザでログインする前のユーザ名
1405を検出し、図24に示すような検出結果リスト
を作成する。
【0156】次に、ステップ2303において、ステッ
プ2302で作成した検出結果リスト(図24)が空で
あるかを判断する。
【0157】ステップ2303が偽である場合は、ステ
ップ2304において、検出結果リストの先頭項目の情
報の特権ユーザがログインしていた時間帯と仮想端末名
を用いて、時間帯2402に仮想端末2400で起動さ
れたプログラムを、プログラム起動ログテーブル210
(図21)から検出する。
【0158】ステップ2305において、ステップ23
04で使用した先頭項目をステップ2302で作成した
検出結果リストから削除し、ステップ2303に戻る。
【0159】ステップ2303が真である場合は、ステ
ップ2305において、システムはステップ2304で
検出した結果をまとめて図25に示すように仮想端末名
2500、ログインした端末名2501、起動したプロ
グラム名称2502、プログラム起動時刻2503、プ
ログラム終了時刻2504、ログインしたユーザ名25
05をリストにして表示する。
【0160】次に、ネットワーク環境を維持していくた
めに必要なファイルのアクセス権の設定を検査する処理
について、図27〜図30を参照し、図26のフローチ
ャートに沿って説明する。
【0161】ネットワーク管理システムは、ファイルの
アクセス権を、ファイル所有者、グループ所有者、その
他の所有者のレベルに分けて行う。ファイル所有者は、
ユーザ、グループ所有者はグループ、その他の所有者は
ファイル所有者、グループ所有者以外のユーザを示す。
【0162】ここでグループとは、複数のユーザをなん
らかの目的でひとまとめにしたもので、例えば、あるプ
ログラムの開発プロジェエクトの全構成員とか、職制上
の部長全員といったものになる。
【0163】ネットワーク管理システムは、ネットワー
ク環境を維持するため必要なファイルの本来あるべきア
クセス権が登録されているデータベースを持っている。
そのデータベース270を図27に示す。図27におい
て、2700はファイル名、2701はファイル所有者
に対するアクセス権、2702はグループ所有者に対す
るアクセス権、2703は上記以外のユーザに対するア
クセス権、2704はファイル所有者、2705はグル
ープ所有者を示している。
【0164】ここで例示しているファイルは、以下の設
定を行う環境維持ファイルである。
【0165】まず、ファイル名2700の「/etc/
passwd」はネットワークを使用する全ユーザが登
録しているファイル名である。また、「etc/gro
up」はユーザが属することができる全グループを登録
しているファイル名である。さらに、「/etc/ho
sts」はネットワーク上の電子計算機、ネットワーク
機器、周辺機器を登録しているファイル名である。
【0166】図28はアクセス権の設定を説明する概念
図であり、2800は読み、2801は書き、2802
は実行のアクセス権を示すフィールドであり、ビットが
1の時、許可されている。この図示の例では、読み、書
きは許されているが、実行は許されていない。
【0167】図26のステップ2600において、ネッ
トワーク管理システムは使用者により、ファイルのアク
セス権の設定を検査する時間間隔、例えば1時間おき、
3日間おき等の期間が指定される。
【0168】ステップ2601において、図4に示した
データベース40から、遠隔操作可能で、かつ電子計算
機の管理者がネットワーク管理システムの使用者と同一
のものを検索する。
【0169】ステップ2602において、ステップ26
01で検索した全ての電子計算機に対して、被管理機器
IDを用いて図5に示したデータベース50に格納され
ているネットワーク環境維持ファイルのアクセス権の設
定状況を、ネットワーク管理システムに送信する遠隔操
作を実行する。
【0170】図29はある電子計算機から送信されたア
クセス権の設定状況の例である。
【0171】ステップ2603において、ステップ26
02で送信されたアクセス権の設定状況と図27に示し
たデータベースのアクセス権とを比較し、図30に示す
ような比較結果テーブル300を作成する。
【0172】図30において、3000は被管理機器I
D、3001は比較を行ったネットワーク環境維持ファ
イル名、3002は送信されたアクセス権の設定状況、
3003は本来あるべきアクセス権である。
【0173】比較の結果、相違がない場合は、被管理機
器ID3000とファイル名3001のみが格納され
る。
【0174】次にステップ2604において、被管理機
器の管理者に対して、ステップ2603で作成した比較
結果テーブル300をメールで通知する。
【0175】ステップ2605において、ステップ26
00で指定された期間、検査期間の設定変更がないか待
つ。そして、ステップ2606において、ステップ26
00で指定された期間情報が削除されるまでステップ2
601からステップ2605の処理を繰り返す。
【0176】次に、一般ユーザが特権モードで起動でき
るプログラムを探し出して表示する処理を、図2,図
3,図32〜図34を参照し、図31のフローチャート
にそって説明する。
【0177】図32は計算機中の全てのプログラムにつ
いてのプログラム状態テーブル320である。電子計算
機には、一般モードで稼働するプログラムと特権モード
で稼働するプログラムがある。またプログラムによっ
て、所有者のみ起動可能、所有者と同じグループのユー
ザのみ起動可能など、起動者の制限もある。これらの稼
働モードや起動者の制限に関する情報はプログラム状態
テーブル320に格納されている。
【0178】プログラム状態テーブル320は図32に
示すように、プログラム毎のプログラム名称3200、
プログラムの所有者3201、起動可能なユーザ320
2、稼働時のモード3203から成る。
【0179】このプログラム状態テーブル320は各電
子計算機が保持している。
【0180】図33は、特権モードで起動できても支障
のないプログラムのテーブル330で、これはネットワ
ーク管理者によって登録される。特権モードで起動でき
ても支障のないプログラムが事前に明らかな場合は、ネ
ットワーク管理者は予め特権モードで起動できても支障
のないプログラムをテーブル320に構成してシステム
に登録して置く。ここではこれを事前登録テーブルと呼
ぶ。
【0181】図34は一般ユーザが特権モードで起動で
きるプログラムについての検出結果の表示例である。
【0182】まず、ステップ3100において、図2に
示したような論理的なネットワーク構成図、あるいは図
3に示したような物理的なネットワーク構成図を表示す
る。
【0183】次に、ステップ3101において、ネット
ワーク管理者により一般ユーザが特権モードで起動でき
るプログラムの存在を調査したい電子計算機が指定され
る。
【0184】次に、ステップ3102において、システ
ムはその電子計算機内のプログラム状態テーブル320
を調査し、稼働時のモード3203が特権モードである
プログラムを検出する。
【0185】次に、ステップ3103において、事前登
録テーブル330が登録されているかを判断する。ステ
ップ3303が真であれば、ステップ3304におい
て、事前登録テーブル330に登録されているプログラ
ムの項目を、ステップ3102の検出結果から削除す
る。
【0186】次に、ステップ3105において、ステッ
プ3102で検出したプログラム、又はステップ310
4において項目削除を行った後のプログラムについて、
図34に示すように、プログラム名称3400、プログ
ラムの所有者3401、誰によって起動できるか340
2をリストにして表示する。
【0187】また、ステップ3105において、リスト
表示をシステムの出力装置に行うのではなく、ネットワ
ーク管理者にメールで通知するのも一つの表示方法とす
る。
【0188】次に、監視プログラムがネットワーク上の
どの電子計算機で稼働しているかを調査して表示する処
理を、図2,図3,図36〜図39を参照し、図35の
フローチャートにそって説明する。
【0189】図36は、どのような監視プログラムを起
動させているかを示すテーブル360で、ネットワーク
管理者が登録したものである。
【0190】監視プログラムとは、外部からの侵入や不
審なプログラムの稼働を監視したり、その結果を管理者
に通知したりするプログラムのことであり、ネットワー
ク管理者が各電子計算機で稼働するように設定してい
る。ネットワーク管理者は予め、図36に示すように、
監視プログラムの稼働すべき電子計算機名3600と、
その電子計算機で稼働すべき監視プログラム名3601
と、その監視プログラムの重要度3602を格納したテ
ーブル360を作成してシステムに登録しておく。この
テーブルを監視プログラム登録テーブル360と呼ぶ。
【0191】図37、図38は調査対象指定の例、図3
9は監視プログラムが全て稼動中かの調査結果の表示例
である。
【0192】まずステップ3500において、図2に示
したような論理的なネットワーク構成図、あるいは図3
に示したような物理的なネットワーク構成図を表示す
る。
【0193】次に、ステップ3501において、システ
ムのユーザにより監視プログラムが稼働しているかどう
かを調査するように指示される。調査対象の指示は、図
37に示すような電子計算機3700の特定や、図38
に示すような範囲指定3800などにより行う。
【0194】次に、ステップ3502において、指定さ
れた各電子計算機上でプログラム起動ログテーブル21
0(図21)を調査し、監視プログラム登録テーブル3
60(図36)に含まれるプログラムの稼働状況を検出
する。
【0195】ステップ3503において、ステップ35
00で表示したネットワーク構成図上で、指定された監
視プログラムが全て稼働している電子計算機と、稼働し
ていない監視プログラムのある電子計算機の違いが判る
ように表示する。例えば、図39に示すように、監視プ
ログラムが全て稼働している電子計算機は符号3900
のように斜線で表示し、稼働していない監視プログラム
のある電子計算機は符号3901のように枠のみで表示
するといった方法や、色を変えたり、表示輝度を変える
などの方法により、違いが判るように表示する。
【0196】次に、ステップ3504において、図36
のテーブル360で重要度3602が「大」と指定され
ている監視プログラムが全て稼働中であるかどうかを、
ステップ3502の検出結果と監視プログラム登録テー
ブル360(図36)との比較により調査し、ステップ
3504が偽である場合は、ステップ3505におい
て、「重要度大」と指定されている監視プログラムが稼
働していない旨を、メールや電話などで管理者へ直接通
知する。
【0197】次に、ネットワーク管理システムがネット
ワーク上のセキュリティホールを検出後、検出したセキ
ュリティホールへの対策を行う処理を、図40〜図44
を用いて、図45のフローチャートに沿って説明する。
【0198】図40はセキュリティホールテーブル40
0の内容を示す図である。セキュリティホールには、そ
の内容に応じてセキュリティIDとセキュリティ対策I
Dが付けられている。図40の4000はセキュリティ
ID、4001はセキュリティホール内容、4002は
セキュリティ対策IDである。
【0199】図41はセキュリティ対策テーブル410
の内容を示す図である。このセキュリティ対策テーブル
410には、セキュリティ対策ID4100と、セキュ
リティホールに対するチェック条件4101と、チェッ
ク条件4101がYESの場合の処理内容を表すYES
処理番号4102と、チェック条件4101がNOの場
合の処理内容を表すNO処理番号4103が格納されて
いる。
【0200】あるセキュリティホールに対するチェック
条件が複数必要な場合には、このYES処理番号とNO
処理番号に、セキュリティ対策IDが格納される場合も
ある。
【0201】図42はYES/NO処理テーブル420
の内容を示す図である。このYES/NO処理テーブル
420は、処理番号4200、処理内容4201となら
成る。
【0202】図43は管理テーブル430の内容を示す
図である。この管理テーブル430には、ネットワーク
管理システムの管理対象であるネットワークの管理者が
登録されている。
【0203】図43において、4300は管理者のI
D、4301は管理名、4302は管理者の所属であ
る。
【0204】図44は外部ユーザテーブル440の内容
を示す図である。この外部ユーザテーブル440には、
ネットワーク管理システムの管理対象外である外部ネッ
トワークから、管理対象のネットワークに対して、アク
セスを許諾されている外部ユーザが登録されている。
【0205】図44において、4400は外部ユーザの
ID、4401は外部ネットワーク名、4402はユー
ザ名、4403はユーザの所属である。
【0206】まず、ネットワーク管理システムは、上述
の実施例に示したような処理、即ち、常時ネットワーク
環境を監視し、セキュリティホールを検出し、ネットワ
ーク構成画面上に検出したセキュリティホールの表示を
行う処理と同時に、セキュリティホールを後述するセキ
ュリティ対策処理に通知する機能を有する。従って、こ
れから述べるセキュリティホールへの対策を行う処理
は、このセキュリティ対策処理への通知が発生した時点
から処理を開始する。
【0207】図45のフローチャートのステップ450
0において、検出したセキュリティホールのセキュリテ
ィIDの通知を受け取る。次に、ステップ4501にお
いて、通知されたセキュリティIDを元に図40に示し
たセキュリティホールテーブル400を検索し、該当す
るセキュリティ対策IDを得る。
【0208】次に、ステップ4502において、ステッ
プ4501で得たセキュリティ対策IDを元に、図41
で示したセキュリティ対策テーブル410を検索し、セ
キュリティホールに対応したチェック条件を得る。
【0209】ステップ4503において、チェック条件
がYESかどうかを判断する。その際、必要に応じて図
21のプログラム起動ログテーブル210によりプロセ
スの稼働状況を確認したり、図43の管理者テーブル4
30によりセキュリティホールを発生させたのが管理者
かどうか調査したり、図44の外部ユーザテーブル44
0によりアクセスを許諾された外部ユーザかどうかを調
査したりする。
【0210】ステップ4503のチェック条件がYES
だった場合は、ステップ4504において、YES処理
に格納されている内容がセキュリティ対策IDの場合
は、再度セキュリティ対策テーブル410の検索を行う
ために、ステップ4502の前に戻る。YES処理に格
納されている内容が処理番号になるまでこれを繰り返
す。
【0211】YES処理に処理番号が格納されている
と、次に、ステップ4505でその処理番号を元に図4
2YES/NOテーブル420を検索する。
【0212】また、ステップ4503のチェック条件が
NOだった場合も同様に、ステップ4506において、
NO処理に格納されている内容がセキュリティ対策ID
の場合は、再度セキュリティ対策テーブル410の検索
を行うために、ステップ4502の前に戻る。NO処理
に格納されている内容が処理番号になるまでこれを繰り
返す。
【0213】NO処理に処理番号が格納されていると、
次に、ステップ4507でその処理番号を元に図42の
YES/NO番号テーブル420を検索する。
【0214】ステップ4505、又はステップ4507
でYES/NO処理テーブル420を検索して処理内容
を得ると、次に、ステップ4508において、処理内容
を実行してセキュリティ対策を行う。
【0215】
【発明の効果】以上説明したように、本発明において
は、 (1)ソフトウェア的セキュリティホールを検出し、検
出したソフトウェア的セキュリホールをネットワーク構
成図面上に表示するので、ネットワークにおけるセキュ
リティを確保することができる。
【0216】(2)また、ネットワーク及びネットワー
ク機器に対するアクセス状況を常時監視するので、外部
からの侵入、内部での不正利用の発見を速やかに行うこ
とができる。
【0217】(3)さらに、ネットワーク環境設定用フ
ァイルの内容をアクセス許諾条件に基づき照合及び検査
するので、適正なネットワーク利用環境の構築を容易に
行うことができる。
【0218】(4)さらに、ネットワーク管理の対象と
なっているネットワーク機器をネットワー構成図面上で
識別可能な形式で表示させるので、安全なネットワーク
環境を視覚的に簡単に把握することができる。
【図面の簡単な説明】
【図1】 本発明の一実施例にかかるネットワーク管理
システムの構成を示すブロック図である。
【図2】 本実施例の論理的ネットワークの構成を説明
するための摸式的構成図である。
【図3】 本実施例の表示装置上へのネットワーク構成
図面の表示例を示す図である。
【図4】 本実施例の被管理機器ID、接続情報、分
類、遠隔操作、管理者の対応を表す被管理機器の情報を
格納したデータベースの構成を示す図である。
【図5】 本実施例のネットワーク環境を維持するため
に必要なファイルが登録されているデータベースの構成
を示す図である。
【図6】 本実施例のパケットのヘッダ部の構造を説明
するための摸式図である。
【図7】 本実施例の電子計算機がどの被管理機器から
アクセスされているか表示する処理手順を示すフローチ
ャートである。
【図8】 本実施例の電子計算機へのアクセス状況に関
する収集データの例を示す図である。
【図9】 本実施例の被管理機器を流れているパケット
の通信プロトコル別の数量や数量比を表示する処理手順
を示すフローチャートである。
【図10】 本実施例の被管理機器をながれているパケ
ットのパケットサイズと通信プロトコルを収集したデー
タの例を示す図である。
【図11】 本実施例の通信プロトコル別のパケットサ
イズ合計を示す棒グラフである。
【図12】 本実施例の通信プロトコル別のパケットサ
イズ合計の数量比を円グラフを用いて表示した例であ
る。
【図13】 本実施例の指定した端末で、どのユーザ名
でどこの電子計算機にログインしているかを調査して表
示する処理手順を示すフローチャートである。
【図14】 本実施例のログイン記録テーブルの例を示
す図である。
【図15】 本実施例の指定した端末で、どのユーザ名
でどこの電子計算機にログインしているかを示す検出結
果の表示例である。
【図16】 本実施例のネットワーク環境維持ファイル
へのアクセス履歴を保存するために、予め、実行する処
理手順を示すフローチャートである。
【図17】 本実施例のネットワーク環境維持ファイル
へのアクセス履歴を表示する処理手順を示すフローチャ
ートである。
【図18】 本実施例のネットワーク環境維持ファイル
へのアクセス履歴の例を示す図である。
【図19】 本実施例のネットワーク環境維持ファイル
へのアクセス履歴の表示例を示す図である。
【図20】 本実施例の特権モードで稼働中のプログラ
ムを捜し出して表示する処理手順を示すフローチャート
である。
【図21】 本実施例のプログラム起動ログテーブルの
例を示す図である。
【図22】 本実施例の特権モードで稼働中のプログラ
ムを検出した結果の表示例を示す図である。
【図23】 本実施例のある期間に誰がどの端末で特権
ユーザとなり、どのようなプログラムを動かしたかを調
査し表示する処理手順を示すフローチャートである。
【図24】 本実施例のある期間に特権ユーザでログイ
ンした時間帯や端末名等をログイン記録テーブルから検
出した結果の例である。
【図25】 本実施例のある期間に誰がどの端末で特権
ユーザとなり、どのうなプログラムを動かしたかを検出
した結果の表示例である。
【図26】 本実施例のネットワーク環境維持ファイル
のアクセス権を検査する処理手順を示すフローチャート
である。
【図27】 本実施例のネットワーク環境維持ファイル
のアクセス権の本来あるべき設定を表すデータベースの
例を示す図である。
【図28】 本実施例のアクセス権の設定を説明する概
念図である。
【図29】 本実施例のネットワーク環境維持ファイル
のアクセス権を収集した例を示す図である。
【図30】 本実施例のネットワーク環境維持ファイル
のアクセス権を検査した結果の例を示す図である。
【図31】 本実施例の一般ユーザが特権モードで起動
できるプログラムを探し出して表示する処理手順を示す
フローチャートである。
【図32】 本実施例のプログラム状態テーブルの例を
示す図である。
【図33】 本実施例の事前登録テーブルの例を示す図
である。
【図34】 本実施例の一般ユーザが特権モードで起動
できるプログラムを検出した結果の表示例である。
【図35】 本実施例の監視プログラムが稼働している
かを調査して表示する処理手順を示すフローチャートで
ある。
【図36】 本実施例の監視プログラム登録テーブルの
例を示す図である。
【図37】 本実施例の調査対象となるコンピュータを
指定する例を示す図である。
【図38】 本実施例の調査対象の範囲を指定する例を
示す図である。
【図39】 本実施例の指定した監視プログラムが全て
稼働中であるかどうかの表示例を示す図である。
【図40】 本発明の一実施例にかかるネットワーク管
理システムのセキュリティホールテーブルの内容を示す
図である。
【図41】 本発明の一実施例にかかるネットワーク管
理システムのセキュリティ対策テーブルのないようを示
す図である。
【図42】 本発明の一実施例にかかるネットワーク管
理システムのYES/NO処理テーブルの内容を示す図
である。
【図43】 本発明の一実施例にかかるネットワーク管
理システムの管理者テーブルの内容を示す図である。
【図44】 本発明の一実施例にかかるネットワーク管
理システムの外部ユーザテーブルの内容を示す図であ
る。
【図45】 本発明の一実施例にかかるネットワーク管
理システムの検出したセキュリティホールへの対策を行
う処理手順を示すフローチャートである。
【符号の説明】
100…ネットワーク、101…通信制御装置、102
…中央処理装置、103…入力装置、104…出力装
置、105…補助記憶装置、200…通信網、201…
電子計算機、202…ネットワーク機器、203…端
末、300…通信網、301…ネットワーク機器、30
2…電子計算機、303…端末。
フロントページの続き (51)Int.Cl.5 識別記号 庁内整理番号 FI 技術表示箇所 H04L 12/24 12/26 H04M 3/42 E (72)発明者 堤 俊之 神奈川県横浜市中区尾上町6丁目81番地 日立ソフトウェアエンジニアリング株式会 社内

Claims (10)

    【特許請求の範囲】
  1. 【請求項1】 電子計算機を含む複数のネットワーク機
    器が接続されているネットワークを管理運用するネット
    ワーク管理システムであって、 前記ネットワーク機器の物理的配置と接続関係に関する
    情報を格納したデータベースと、ネットワーク構成図等
    を表示する表示装置と、前記データベースに格納された
    情報に基づき、論理的または物理的なネットワーク構成
    図面を前記表示装置に表示すると共に、前記ネットワー
    クのセキュリティホールを検出し、ネットワークのセキ
    ュリティホールの内容や重要度等に応じた表示形態によ
    り、前記ネットワーク構成図面上にネットワークのセキ
    ュリティホールを表示する手段と、ネットワークのセキ
    ュリティホールに対する対策を講じる処理手段とを有す
    るネットワークーク管理システム。
  2. 【請求項2】 請求項1に記載のネットワーク管理シス
    テムにおいて、前記ネットワーク構成図面に表示された
    電子計算機、ネットワーク機器及びネットワーク構成図
    面上の位置への指示操作に対し、前記データベースに格
    納された物理的ネットワーク構成、論理的ネットワーク
    構成、ネットワーク配線、フロア図面、地図等の情報を
    用いて動的かつ論理的な接続状況を表示する手段を設け
    ることを特徴とするネットワーク管理システム。
  3. 【請求項3】 請求項1に記載のネットワーク管理シス
    テムにおいて、前記ネットワーク構成図面に表示された
    電子計算機、ネットワーク機器及びネットワークケーブ
    ルへの指示操作に対し、電子計算機、ネットワーク機器
    及びネットワークケーブルでの通信量を測定し、さらに
    通信内容の分類と分類別の通信量割合を算出し、その測
    定結果及び分類結果に基づき通信量の時間的な推移及び
    変化、全体の通信量に対する分類別の通信量割合を、前
    記表示装置上に識別可能な形式で表示する手段を設ける
    ことを特徴とするネットワーク管理システム。
  4. 【請求項4】 請求項1に記載のネットワーク管理シス
    テムにおいて、前記ネットワーク構成図に表示された電
    子計算機及びネットワーク機器への指示操作に対し、前
    記データベースに格納された物理的ネットワーク構成、
    論理的ネットワーク構成等の情報を用いて、動的かつ論
    理的なユーザのログイン状況を検出して表示する手段を
    設けることを特徴とするネットワーク管理システム。
  5. 【請求項5】 請求項1に記載のネットワーク管理シス
    テムにおいて、ネットワーク上の電子計算機及びネット
    ワーク機器で定義されたネットワーク環境を保持する環
    境設定ファイルに対するアクセス履歴を随時、前記デー
    タベースに格納する手段と、前記ネットワーク構成図面
    に表示された電子計算機及びネットワーク機器等への指
    示操作に対し、前記環境設定ファイルに対するアクセス
    履歴から一定期間内のものを抽出し、その抽出結果を前
    記表示装置上に表示する手段と設けることを特徴とする
    ネットワーク管理システム。
  6. 【請求項6】 請求項1に記載のネットワーク管理シス
    テムにおいて、ネットワーク上の電子計算機及びネット
    ワーク機器で定義された、ネットワーク上でセキュリテ
    ィを確保した上で稼働を許諾する条件等の情報に基づ
    き、指示されたネットワーク上の電子計算機及びネット
    ワーク機器で現在稼働中であるプログラム及びコマンド
    群の中から前記条件に合致しないプログラム及びコマン
    ド、合致していても外部からの侵入可能性のあるプログ
    ラム及びコマンド、内部での不正使用の可能性あるプロ
    グラム及びコマンドを随時、前記データベースに格納す
    る手段と、前記ネットワーク構成図面に表示された電子
    計算機及びネットワーク機器等への指示操作に対し、前
    記データベースに格納したプログラム及びコマンドの動
    作状況を前記表示装置上に表示する手段とを設けること
    を特徴とするネットワーク管理システム。
  7. 【請求項7】 請求項1のネットワーク管理システムに
    おいて、論理的または物理的なネットワーク構成図面を
    前記表示装置に表示させ、ネットワーク上の電子計算機
    及びネットワーク機器で定義された特権ユーザによるネ
    ットワークへのログイン履歴を随時、前記データベース
    に格納する手段と、前記ネットワーク構成図面に表示さ
    れた電子計算機及びネットワーク機器等への指示操作に
    対し、前記データベースに格納した特権ユーザによるネ
    ットワークへのログイン履歴から一定期間内のものを抽
    出し、その抽出結果を前記表示装置上に表示する手段を
    設けることを特徴とするネットワーク管理システム。
  8. 【請求項8】 請求項1のネットワーク管理システムに
    おいて、前記ネットワーク構成図面に表示された電子計
    算機及びネットワーク機器等への指示操作に対し、電子
    計算機及びネットワーク機器で定義されたネットワーク
    接続用環境設定ファイルの内容を、予め前記データベー
    スに格納されたネットワークへのアクセス許諾条件等の
    情報に基づき照合及び検査する手段と、その結果を前記
    表示装置上に表示し、さらに緊急度・重要度に応じて通
    知を行う手段とを設けることを特徴とするネットワーク
    管理システム。
  9. 【請求項9】 請求項1のネットワーク管理システムに
    おいて、前記ネットワーク構成図面に表示された電子計
    算機及びネットワーク機器等への指示操作に対し、予め
    前記データベースに格納された、ネットワーク上でセキ
    ュリティを確保した上で稼働を許諾する条件等の情報に
    基づき、指示されたネットワーク上の電子計算機及びネ
    ットワーク機器で稼働可能なプログラム及びコマンド群
    の中から前記条件に合致しないプログラム及びコマン
    ド、合致していても外部からの侵入可能性のあるプログ
    ラム及びコマンド、内部での不正使用の可能性があるプ
    ログラム及びコマンドがあるかどうかを照合及び検査す
    る手段と、その結果を前記表示装置上に表示する手段と
    を設けることを特徴とするネットワーク管理システム。
  10. 【請求項10】 請求項1のネットワーク管理システム
    において、前記ネットワーク構成図面上で、ネットワー
    ク監視を行っている電子計算機及びネットワーク機器を
    セキュリティレベルに応じて識別可能な形式で表示する
    手段を設けることを特徴とするネットワーク管理システ
    ム。
JP5069751A 1993-03-29 1993-03-29 ネットワーク管理システム Pending JPH06282527A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP5069751A JPH06282527A (ja) 1993-03-29 1993-03-29 ネットワーク管理システム
US08/219,725 US5684957A (en) 1993-03-29 1994-03-29 Network management system for detecting and displaying a security hole

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP5069751A JPH06282527A (ja) 1993-03-29 1993-03-29 ネットワーク管理システム

Publications (1)

Publication Number Publication Date
JPH06282527A true JPH06282527A (ja) 1994-10-07

Family

ID=13411818

Family Applications (1)

Application Number Title Priority Date Filing Date
JP5069751A Pending JPH06282527A (ja) 1993-03-29 1993-03-29 ネットワーク管理システム

Country Status (2)

Country Link
US (1) US5684957A (ja)
JP (1) JPH06282527A (ja)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10161960A (ja) * 1996-11-29 1998-06-19 Canon Inc モニタシステム及び制御方法及び情報処理装置
JPH10198622A (ja) * 1996-12-28 1998-07-31 Casio Comput Co Ltd クライアント及びサーバー
JP2002157221A (ja) * 2000-11-20 2002-05-31 Nec Fielding Ltd セキュリティ脆弱点の対策設定自動化システム
JP2002330177A (ja) * 2001-03-02 2002-11-15 Seer Insight Security Inc セキュリティ管理サーバおよびこれと連携して動作するホストサーバ
US6545775B1 (en) 1995-07-21 2003-04-08 Canon Kabushiki Kaisha Control system and units removably attachable to the same
JP2003523030A (ja) * 2000-02-08 2003-07-29 ハリス コーポレイション ネットワークのセキュリティ態勢を評価し、グラフィカルユーザインタフェースを有するシステム及び方法
JP2007156816A (ja) * 2005-12-05 2007-06-21 Nec Corp リスク分析装置、リスク分析方法およびリスク分析用プログラム
US7444394B2 (en) 1997-02-03 2008-10-28 Canon Kabushiki Kaisha Network data base control device and method thereof
JP2008305420A (ja) * 2008-07-14 2008-12-18 Sky Kk ネットワーク管理システム及びネットワーク管理用プログラム
US7472282B1 (en) 1998-10-23 2008-12-30 Fujitsu, Ltd. Illegal access discriminating apparatus and method
JP2009116517A (ja) * 2007-11-05 2009-05-28 Sky Kk 端末管理装置と端末管理プログラム
JP2012003488A (ja) * 2010-06-16 2012-01-05 Kddi Corp 携帯端末およびプログラム
JP2017063417A (ja) * 2015-09-21 2017-03-30 ▲徳▼勝科技股▲ふん▼有限公司Ruby Tech Corporation ネットワークスイッチ、デバイス管理システム、およびそのデバイス管理方法
WO2021070216A1 (ja) * 2019-10-07 2021-04-15 株式会社Pfu 脆弱性管理装置、脆弱性管理方法、及びプログラム

Families Citing this family (62)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09214493A (ja) * 1996-02-08 1997-08-15 Hitachi Ltd ネットワークシステム
US5935249A (en) * 1997-02-26 1999-08-10 Sun Microsystems, Inc. Mechanism for embedding network based control systems in a local network interface device
US6192361B1 (en) * 1997-12-23 2001-02-20 Alcatel Usa Sourcing, L.P. Full group privileges access system providing user access security protection for a telecommunications switching system
US6298445B1 (en) 1998-04-30 2001-10-02 Netect, Ltd. Computer security
US6205480B1 (en) 1998-08-19 2001-03-20 Computer Associates Think, Inc. System and method for web server user authentication
US6101539A (en) * 1998-10-02 2000-08-08 Kennelly; Richard J. Dynamic presentation of management objectives based on administrator privileges
US6321259B1 (en) * 1998-10-02 2001-11-20 Nortel Networks Limited Attribute inheritance schema for network switches
CN1700657A (zh) * 1998-11-24 2005-11-23 尼克桑公司 用于采集和分析通信数据的装置及方法
US6266774B1 (en) 1998-12-08 2001-07-24 Mcafee.Com Corporation Method and system for securing, managing or optimizing a personal computer
US6249575B1 (en) 1998-12-11 2001-06-19 Securelogix Corporation Telephony security system
US7133511B2 (en) * 1998-12-11 2006-11-07 Securelogix Corporation Telephony security system
US6226372B1 (en) 1998-12-11 2001-05-01 Securelogix Corporation Tightly integrated cooperative telecommunications firewall and scanner with distributed capabilities
US6700964B2 (en) 2001-07-23 2004-03-02 Securelogix Corporation Encapsulation, compression and encryption of PCM data
US6687353B1 (en) 1998-12-11 2004-02-03 Securelogix Corporation System and method for bringing an in-line device on-line and assuming control of calls
US6718024B1 (en) 1998-12-11 2004-04-06 Securelogix Corporation System and method to discriminate call content type
US6760420B2 (en) 2000-06-14 2004-07-06 Securelogix Corporation Telephony security system
US6826692B1 (en) 1998-12-23 2004-11-30 Computer Associates Think, Inc. Method and apparatus to permit automated server determination for foreign system login
JP3653660B2 (ja) * 1999-01-11 2005-06-02 富士通株式会社 ネットワーク管理方法及びネットワーク管理システム
AU4833300A (en) * 1999-05-14 2000-12-05 L-3 Communications Corporation Apparatus and methods for analyzing multiple network security vulnerabilities
US6662208B1 (en) * 1999-08-31 2003-12-09 Nortel Networks Limited System for tracking the history of channel based network devices
US7315801B1 (en) 2000-01-14 2008-01-01 Secure Computing Corporation Network security modeling system and method
US6883101B1 (en) * 2000-02-08 2005-04-19 Harris Corporation System and method for assessing the security posture of a network using goal oriented fuzzy logic decision rules
US7096502B1 (en) 2000-02-08 2006-08-22 Harris Corporation System and method for assessing the security posture of a network
US7565692B1 (en) * 2000-05-30 2009-07-21 At&T Wireless Services, Inc. Floating intrusion detection platforms
DE60141907D1 (de) * 2000-08-04 2010-06-02 Computer Ass Think Inc System und Verfahren zum authentifizierten Zugang eines Benutzers zu einem Web-Server
US7092861B1 (en) 2000-11-02 2006-08-15 Koninklijke Philips Electronics N.V. Visual anti-virus in a network control environment
US8150013B2 (en) * 2000-11-10 2012-04-03 Securelogix Corporation Telephony security system
US7213265B2 (en) * 2000-11-15 2007-05-01 Lockheed Martin Corporation Real time active network compartmentalization
US7225467B2 (en) 2000-11-15 2007-05-29 Lockheed Martin Corporation Active intrusion resistant environment of layered object and compartment keys (airelock)
US6996845B1 (en) 2000-11-28 2006-02-07 S.P.I. Dynamics Incorporated Internet security analysis system and process
US7590745B2 (en) * 2001-03-02 2009-09-15 International Business Machines Corporation System and method for analyzing a router in a shared network system
FR2826472B1 (fr) * 2001-06-22 2003-10-03 Gemplus Card Int Procede de verification des droits d'acces a des fichiers informatiques
JP2003158552A (ja) * 2001-11-20 2003-05-30 Nec Corp メッセージ配信システムおよび方法並びにシステムのプログラム
US7165258B1 (en) 2002-04-22 2007-01-16 Cisco Technology, Inc. SCSI-based storage area network having a SCSI router that routes traffic between SCSI and IP networks
US7325140B2 (en) * 2003-06-13 2008-01-29 Engedi Technologies, Inc. Secure management access control for computers, embedded and card embodiment
US7496950B2 (en) 2002-06-13 2009-02-24 Engedi Technologies, Inc. Secure remote management appliance
US20040006704A1 (en) * 2002-07-02 2004-01-08 Dahlstrom Dale A. System and method for determining security vulnerabilities
US7080094B2 (en) * 2002-10-29 2006-07-18 Lockheed Martin Corporation Hardware accelerated validating parser
US7146643B2 (en) * 2002-10-29 2006-12-05 Lockheed Martin Corporation Intrusion detection accelerator
US7941854B2 (en) 2002-12-05 2011-05-10 International Business Machines Corporation Method and system for responding to a computer intrusion
JP2004252862A (ja) * 2003-02-21 2004-09-09 Canon Inc ログイン装置とその制御方法並びにデータ処理装置及び方法
US7526527B1 (en) * 2003-03-31 2009-04-28 Cisco Technology, Inc. Storage area network interconnect server
US20070162954A1 (en) * 2003-04-07 2007-07-12 Pela Peter L Network security system based on physical location
US7328454B2 (en) * 2003-04-24 2008-02-05 At&T Delaware Intellectual Property, Inc. Systems and methods for assessing computer security
AU2004237046B2 (en) * 2003-05-02 2008-02-28 Giritech A/S Pervasive, user-centric network security enabled by dynamic datagram switch and an on-demand authentication and encryption scheme through mobile intelligent data carriers
US20070113272A2 (en) 2003-07-01 2007-05-17 Securityprofiling, Inc. Real-time vulnerability monitoring
US8352726B2 (en) * 2003-11-07 2013-01-08 Netapp, Inc. Data storage and/or retrieval
WO2005071923A1 (en) * 2004-01-20 2005-08-04 Intrusic, Inc Systems and methods for monitoring data transmissions to detect a compromised network
JP4381861B2 (ja) * 2004-03-26 2009-12-09 富士通株式会社 端末エミュレーションプログラム、記録媒体、負荷試験方法、負荷試験装置
US8095925B2 (en) * 2004-09-15 2012-01-10 Kyocera Mita Corporation Seamless network installation of device drivers
US8433768B1 (en) 2004-10-14 2013-04-30 Lockheed Martin Corporation Embedded model interaction within attack projection framework of information system
US7620985B1 (en) 2004-10-14 2009-11-17 Lockheed Martin Corporation Flood attack projection model
US7996895B2 (en) * 2006-03-27 2011-08-09 Avaya Inc. Method and apparatus for protecting networks from unauthorized applications
JP5072375B2 (ja) * 2007-01-23 2012-11-14 キヤノン株式会社 ネットワークデバイス管理装置及びネットワークデバイス管理方法
US7908660B2 (en) 2007-02-06 2011-03-15 Microsoft Corporation Dynamic risk management
US20090113537A1 (en) * 2007-10-30 2009-04-30 James Woo Proxy authentication server
US8533843B2 (en) * 2008-10-13 2013-09-10 Hewlett-Packard Development Company, L. P. Device, method, and program product for determining an overall business service vulnerability score
CN101562609B (zh) * 2009-05-27 2012-06-27 西北大学 Vpn网络安全漏洞检测全局准入控制系统
US20110125548A1 (en) * 2009-11-25 2011-05-26 Michal Aharon Business services risk management
JP5919729B2 (ja) * 2011-10-27 2016-05-18 セイコーエプソン株式会社 周辺機器のステータス監視方法、デバイスドライバーおよびネットワークシステム
KR102256474B1 (ko) * 2014-04-08 2021-05-26 한화테크윈 주식회사 네트워크 보안 시스템 및 방법
US11405404B2 (en) 2019-09-06 2022-08-02 International Business Machines Corporation Dynamic privilege allocation based on cognitive multiple-factor evaluation

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS62211765A (ja) * 1986-03-12 1987-09-17 Mitsubishi Electric Corp コンピユ−タシステムの利用者チエツク装置
JPS6476261A (en) * 1987-09-18 1989-03-22 Nec Corp Illegal intrusion judgement system for information processing system
US5049873A (en) * 1988-01-29 1991-09-17 Network Equipment Technologies, Inc. Communications network state and topology monitor
JPH01196655A (ja) * 1988-02-01 1989-08-08 Nec Corp 不正ログイン防止方式
JPH01224858A (ja) * 1988-03-04 1989-09-07 M M J:Kk コンピュータの不正アクセス防止方法及びそれに用いるボード装置
US4956769A (en) * 1988-05-16 1990-09-11 Sysmith, Inc. Occurence and value based security system for computer databases
JPH01293040A (ja) * 1988-05-20 1989-11-27 Nec Field Service Ltd 回線接続許可装置
JPH0236456A (ja) * 1988-07-26 1990-02-06 Mitsubishi Electric Corp ハッカー防止装置およびそのキーワード作成方法
JPH02192339A (ja) * 1989-01-20 1990-07-30 Nec Eng Ltd ハッカー侵入防止方式
JPH03258152A (ja) * 1990-03-08 1991-11-18 Hitachi Ltd 通信サービス方式
EP0449242A3 (en) * 1990-03-28 1992-10-28 National Semiconductor Corporation Method and structure for providing computer security and virus prevention
US5276789A (en) * 1990-05-14 1994-01-04 Hewlett-Packard Co. Graphic display of network topology
US5295244A (en) * 1990-09-17 1994-03-15 Cabletron Systems, Inc. Network management system using interconnected hierarchies to represent different network dimensions in multiple display views
JP3315404B2 (ja) * 1990-09-28 2002-08-19 ヒューレット・パッカード・カンパニー ネットワークのトポロジ的特徴を探知する方法

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6545775B1 (en) 1995-07-21 2003-04-08 Canon Kabushiki Kaisha Control system and units removably attachable to the same
US6956678B2 (en) 1995-07-21 2005-10-18 Canon Kabushiki Kaisha Control system and units removably attachable to the same
JPH10161960A (ja) * 1996-11-29 1998-06-19 Canon Inc モニタシステム及び制御方法及び情報処理装置
JPH10198622A (ja) * 1996-12-28 1998-07-31 Casio Comput Co Ltd クライアント及びサーバー
US7444394B2 (en) 1997-02-03 2008-10-28 Canon Kabushiki Kaisha Network data base control device and method thereof
US8473597B2 (en) 1997-02-03 2013-06-25 Canon Kabushiki Kaisha Network database control device and method thereof
US7472282B1 (en) 1998-10-23 2008-12-30 Fujitsu, Ltd. Illegal access discriminating apparatus and method
JP2003523030A (ja) * 2000-02-08 2003-07-29 ハリス コーポレイション ネットワークのセキュリティ態勢を評価し、グラフィカルユーザインタフェースを有するシステム及び方法
JP2002157221A (ja) * 2000-11-20 2002-05-31 Nec Fielding Ltd セキュリティ脆弱点の対策設定自動化システム
JP2002330177A (ja) * 2001-03-02 2002-11-15 Seer Insight Security Inc セキュリティ管理サーバおよびこれと連携して動作するホストサーバ
JP2007156816A (ja) * 2005-12-05 2007-06-21 Nec Corp リスク分析装置、リスク分析方法およびリスク分析用プログラム
JP2009116517A (ja) * 2007-11-05 2009-05-28 Sky Kk 端末管理装置と端末管理プログラム
JP2008305420A (ja) * 2008-07-14 2008-12-18 Sky Kk ネットワーク管理システム及びネットワーク管理用プログラム
JP2012003488A (ja) * 2010-06-16 2012-01-05 Kddi Corp 携帯端末およびプログラム
JP2017063417A (ja) * 2015-09-21 2017-03-30 ▲徳▼勝科技股▲ふん▼有限公司Ruby Tech Corporation ネットワークスイッチ、デバイス管理システム、およびそのデバイス管理方法
US10164843B2 (en) 2015-09-21 2018-12-25 Ruby Tech Corporation Network switch, device management system, and device management method thereof
WO2021070216A1 (ja) * 2019-10-07 2021-04-15 株式会社Pfu 脆弱性管理装置、脆弱性管理方法、及びプログラム
JPWO2021070216A1 (ja) * 2019-10-07 2021-04-15

Also Published As

Publication number Publication date
US5684957A (en) 1997-11-04

Similar Documents

Publication Publication Date Title
JPH06282527A (ja) ネットワーク管理システム
CN112787992B (zh) 一种敏感数据的检测与防护的方法、装置、设备和介质
US5812763A (en) Expert system having a plurality of security inspectors for detecting security flaws in a computer system
CN106411578B (zh) 一种适应于电力行业的网站监控系统及方法
US7185366B2 (en) Security administration server and its host server
US7832006B2 (en) System and method for providing network security
JP4820374B2 (ja) ウェブアクセス監視方法及びそのプログラム
JP3351318B2 (ja) 計算機システムの監視方法
KR100284902B1 (ko) 정보유출을추적하기위한정보보안시스템및방법
US20010056550A1 (en) Protective device for internal resource protection in network and method for operating the same
JP2005526311A (ja) データベースシステムを監視するための方法および装置
CN102195991A (zh) 一种终端安全管理、认证方法及系统
US20080183603A1 (en) Policy enforcement over heterogeneous assets
US20050038888A1 (en) Method of and apparatus for monitoring event logs
JP4984531B2 (ja) サーバ監視プログラム、中継装置、サーバ監視方法
CN107786551B (zh) 访问内网服务器的方法及控制访问内网服务器的装置
CN112163198B (zh) 一种主机登录安全检测方法、系统、装置及存储介质
CN102469098B (zh) 信息安全防护主机
US7093297B2 (en) Method and apparatus for monitoring a network data processing system
CN113364758B (zh) 一种基于堡垒机的网络安全运维管理系统
JP4093811B2 (ja) ユーザアクセス権制御装置及び方法
JPH10107795A (ja) ネットワーク管理システム
JPH1145195A (ja) コンピュータシステム、異常検出装置及び記録媒体
EP0329415A2 (en) Expert system for security inspection of a digital computer system in a network environment
Cisco Initial Setup