JPH10210033A - ネットワーク管理システム、セキュリティ管理装置およびセキュリティ管理方法 - Google Patents

ネットワーク管理システム、セキュリティ管理装置およびセキュリティ管理方法

Info

Publication number
JPH10210033A
JPH10210033A JP9013724A JP1372497A JPH10210033A JP H10210033 A JPH10210033 A JP H10210033A JP 9013724 A JP9013724 A JP 9013724A JP 1372497 A JP1372497 A JP 1372497A JP H10210033 A JPH10210033 A JP H10210033A
Authority
JP
Japan
Prior art keywords
network
management
security
access
manager
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP9013724A
Other languages
English (en)
Other versions
JP3737594B2 (ja
Inventor
Yasushi Sawada
安史 沢田
Michio Suzuki
三知男 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP01372497A priority Critical patent/JP3737594B2/ja
Publication of JPH10210033A publication Critical patent/JPH10210033A/ja
Application granted granted Critical
Publication of JP3737594B2 publication Critical patent/JP3737594B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 【課題】ネットワーク管理システムにおいて、システム
全体としてのセキュリティを管理でき、セキュリティ侵
犯の検出が可能なネットワーク管理システムを提供す
る。 【解決手段】複数のネットワーク装置7の各々のエージ
ェント4は、自装置へのアクセス情報を管理することに
よりセキュリティ管理を行う。ネットワーク管理エージ
ェント3は、当該ワークステーション6からネットワー
ク装置7へのアクセス情報を管理する。セキュリティ管
理マネージャ1は、ネットワーク装置7のアクセス情報
と、当該ネットワーク装置7への、ネットワーク管理エ
ージェント3におけるアクセス情報とを照合し、照合の
結果を出力する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、ネットワークのセ
キュリティ管理に関し、特に、OSI(Open Systems Inte
rconnection)管理にしたがってネットワークのセキュリ
ティを管理する場合に関する。
【0002】
【従来の技術】外部からネットワークへの不正な進入を
防止するためのセキュリティ管理機能は、ネットワーク
管理機能の一つとして一般に実装されている。ITU-T X.
701においては、OSI管理の概念にしたがって、多重化装
置等のネットワーク装置を複数管理するネットワーク管
理マネージャを、ネットワーク上に一または二以上配置
し、各ネットワーク装置には、エージェントと呼ばれる
管理機能を備える。各ネットワーク装置のエージェント
は、自装置内のネットワークを管理するための管理情報
を保持し、ネットワーク管理マネージャは、CMIP(Comm
on ManagementInformation Protocol)を使って、各ネッ
トワーク装置のエージェントから管理情報を収集し、ネ
ットワーク管理を行っている。ネットワーク管理マネー
ジャは、管理情報として、ネットワークの構成情報、性
能情報、障害検出、課金情報とともに、セキュリティ情
報を管理している。
【0003】図12に、従来技術におけるネットワーク
システムの構成図を示す。図12において、ネットワー
クシステムは、ネットワーク管理マネージャ151およ
び152と、ネットワーク装置153、154および1
55とを有する。ネットワーク装置の各々は、エージョ
ント156、157、158を備える。この場合、エー
ジョント156、157、158は、自装置の管理情報
の一つとして、セキュリティ情報159、160、16
1を収集し、保持している。このセキュリティ情報は、
OSI管理にしたがって、管理オブジェクト(MO)の形式で
保持され、ネットワーク管理マネージャ151および1
52により、管理オブジェクトに対してM-GET(情報の取
得)、M-SET(情報の設定)などのCMIPコマンドを発行する
ことで収集される。
【0004】
【発明が解決しようとする課題】上述したような従来の
セキュリティ管理方法では、ネットワーク管理マネージ
ャは、個々のネットワーク装置を管理しているが、ネッ
トワーク管理マネージャ自身の装置におけるセキュリテ
ィは管理していない。例えば、図12に示すようなネッ
トワーク管理システムでは、ネットワーク装置のエージ
ェントのみで、正当なユーザによるログインか否かを判
断してセキュリティ管理を行っているが、ネットワーク
管理マネージャ自身の装置におけるセキュリティは管理
していない。
【0005】また、ネットワーク管理マネージャを経由
して他のネットワーク装置へのアクセスについては、セ
キュリティ管理を行っていない。
【0006】さらに、図12に示すような構成におい
て、ネットワーク管理マネージャ151は、ネットワー
ク装置153および154を管理し、ネットワーク管理
マネージャ152は、ネットワーク装置154および1
55を管理しているが、それぞれ独立に管理しているの
で、ネットワーク全体の管理は行えていない。
【0007】本発明の目的は、ネットワーク管理システ
ムにおいて、システム全体としてのセキュリティを管理
でき、セキュリティ侵犯の発生を検出しやすいセキュリ
ティ管理システム、セキュリティ管理装置およびセキュ
リティ管理方法を提供することである。
【0008】
【課題を解決するための手段】本発明は、複数のネット
ワーク装置を管理するネットワーク管理装置を有するネ
ットワーク管理システムであって、当該ネットワーク管
理システムにおけるセキュリティを管理するセキュリテ
ィ管理マネージャを有し、前記複数のネットワーク装置
の各々は、自装置へのアクセスの履歴を表すアクセスを
管理することによりセキュリティ管理を行うセキュリテ
ィ管理手段を備え、前記ネットワーク管理装置は、当該
ネットワーク管理装置から前記ネットワーク装置へのア
クセスの履歴を表すアクセスを管理するアクセス管理手
段を備え、前記セキュリティ管理マネージャは、前記ネ
ットワーク装置のセキュリティ管理手段における前記ア
クセス情報と、当該ネットワーク装置への、前記ネット
ワーク管理装置のアクセス管理手段における前記アクセ
ス情報とを照合する照合手段と、前記照合手段による照
合の結果を出力する出力手段とを備える。
【0009】このように、本発明では、セキュリティ管
理の機能であるセキュリティ管理マネージャを、他のネ
ットワーク管理機能を備えるネットワーク管理装置とは
別にし、ネットワークシステム全体のセキュリティを管
理できるようにする。照合手段においては、前記ネット
ワーク装置のセキュリティ管理手段における前記アクセ
ス情報と、当該ネットワーク装置への、前記ネットワー
ク管理装置のアクセス管理手段における前記アクセス情
報とを照合することができるようにした。出力手段は、
前記照合手段による照合の結果、前記二つのアクセス情
報の整合が取れていない場合に、その旨を出力するの
で、セキュリティ侵犯の発見を容易にすることができ
る。
【0010】セキュリティ管理マネージャの機能は、ネ
ットワーク管理装置に備えるようにしてもよいし、セキ
ュリティ管理装置に備えさせてもよい。
【0011】
【発明の実施の形態】以下、本発明の実施の形態を詳細
に説明する。
【0012】図1に、本発明の実施の形態におけるネッ
トワーク管理システムの構成図を示す。図1において、
ネットワーク管理システムは、ネットワーク内のセキュ
リティ管理情報を管理するセキュリティ管理マネージャ
1と、セキュリティ管理以外の、ネットワークの構成情
報、性能情報、障害検出、課金情報などのネットワーク
管理情報を管理するネットワーク管理マネージャ2とを
備える。セキュリティ管理マネージャ1とネットワーク
管理マネージャ2とは、それぞれ異なるワークステーシ
ョン5、6上に実装される。
【0013】また、ネットワーク管理マネージャ2が実
装されたワークステーション6には、ワークステーショ
ン6のセキュリティ管理情報を管理するセキュリティ管
理エージェント3を実装する。さらに、ネットワーク装
置7(たとえば多重化装置)には、自装置内のセキュリ
ティ管理情報を含むネットワーク管理情報を収集して保
持するエージェント4を実装し、ネットワーク装置7の
セキュリティ管理情報を含むネットワーク管理情報を管
理する。
【0014】セキュリティ管理マネージャ1は、セキュ
リティ管理エージェント3あるいはエージェント4と、
CMIPをプロトコルとしてセキュリティ管理情報を交
換し、ネットワークシステム全体のセキュリティを管理
する。ワークステーション5、6およびネットワーク装
置7と、セキュリティ管理マネージャ1とは、たとえば
イーサネットなどの通信ネットワークで接続される。ネ
ットワーク管理マネージャ2とエージェント4との間に
は、通信用のチャネル9が設定され、セキュリティ管理
マネージャ1とセキュリティ管理エージェント3および
エージェント4との間には、通信用のチャネル8が設定
される。ネットワーク管理マネージャ2は、1または2
以上のエージェント4と通信チャネルを設定し、必ずし
もすべてのエージェント4と通信チャネルを設定する必
要はない。セキュリティ管理マネージャ1は、ネットワ
ークに存在するすべてのエージェント4およびセキュリ
ティ管理エージェント3と通信チャネル8を設定して、
セキュリティ管理情報を収集する。
【0015】図2(a)に、本発明の実施の形態におけ
るセキュリティ管理エージェント3の機能モジュール図
を示す。セキュリティ管理エージェント3は、セキュリ
ティ管理機能として、ベルコア文書GR−1253−C
OREに記述されているログイン管理機能22と、セキ
ュリティに関係のある事象をマネージャに報告するセキ
ュリティ事象報告機能23とを備える。さらに、本発明
の実施の形態を特徴づける機能として、上記機能に加え
て、他のネットワーク装置へのアクセスの履歴表すアク
セス情報を管理する他装置へのアクセス管理機能21を
設ける。または、セキュリティ管理エージェント3は、
セキュリティ管理以外の、ネットワークの構成情報、性
能情報、障害検出、課金情報などのネットワーク管理情
報を管理するエージェントでもよい。
【0016】セキュリティ事象報告機能23は、ユーザ
のログイン失敗などのセキュリティに関する事象をCM
IPのM−EVENT−REPORTコマンドでセキュ
リティ管理マネージャ1に報告する機能である。セキュ
リティ事象報告機能23がセキュリティ管理マネージャ
1に報告する際のデータの内容を図3(a)に示す。
【0017】ログイン管理機能22は、ネットワーク管
理マネージャへのログインに関するログイン管理情報、
例えば、ユーザID、パスワードなどのユーザ認証情
報、ログインした日時、使用時間などをログイン管理情
報テーブル25に記憶させてアクセス情報の管理を行
う。ログイン管理情報テーブル25に記憶するデータの
例を図3(b)に示す。ログイン管理情報テーブル25
に記憶するデータは、セキュリティ管理マネージャ1に
よりセキュリティ管理情報として収集される。
【0018】また、他装置へのアクセス管理機能21
は、自装置のワークステーション6から他装置にログイ
ンしたり、コマンドを発行したときのアクセスの履歴を
表すアクセス情報、たとえば、他装置にアクセスするユ
ーザ名、開始終了時刻、相手装置名、アクセスの成功失
敗、アクセス中に使用したコマンドなどを管理する。他
装置へのアクセス管理機能21で管理するアクセス情報
は、他装置へのアクセス情報テーブル24に記憶され
る。他装置へのアクセス情報テーブル24に記憶するデ
ータの例を図3(c)に示す。他装置へのアクセス情報
テーブル24に記憶するデータは、セキュリティ管理マ
ネージャ1によりセキュリティ管理情報として収集され
る。
【0019】セキュリティ事象報告機能23がセキュリ
ティ管理マネージャ1に報告する際のデータは、ログイ
ン管理情報テーブル25と他装置へのアクセス情報テー
ブル24とを参照し、ログインに失敗したものを抽出し
て作成される。セキュリティ事象報告は、あらかじめ定
めた周期で定期的に、セキュリティ管理マネージャ1に
送信される。もしくは、ログインに失敗したことを検出
したときに、報告するようにしてもよい。
【0020】また、図2(b)に示すように、ネットワ
ーク装置のエージェント4には、セキュリティ管理に関
係する機能として、セキュリティ管理エージェントの場
合と同様に、ログイン管理機能22およびセキュリティ
事象報告機能23を設ける。また、エージェント4に、
他のネットワーク装置へのアクセスを管理する他装置へ
のアクセス管理機能21を設けるようにしてもよい。
【0021】図4に、本発明の実施の形態におけるセキ
ュリティ管理マネージャ1の機能モジュール図を示す。
図4において、セキュリティ管理マネージャ1は、各エ
ージェントのセキュリティ管理情報(ログイン管理情報
テーブル25と他装置へのアクセス情報テーブル24と
の内容)をCMIPのM−GETコマンドで収集するセ
キュリティ管理情報収集機能41と、各エージェントに
CMIPのM−SETコマンドでセキュリティに関する
管理情報を設定するセキュリティ管理情報設定機能42
と、エージェントからCMIPのM−EVENT−RE
PORTコマンドでのセキュリティ事象報告を受けるセ
キュリティ事象報告受付機能43とを備える。さらに、
セキュリティ管理情報収集機能41と、セキュリティ事
象報告受付機能43とによって集めたセキュリティ管理
情報を、ネットワーク装置ごとに比較することによっ
て、特定のネットワーク装置に対するセキュリティ侵犯
を検出するセキュリティ侵犯検出機能44、および、収
集したセキュリティ管理情報をディスプレイなどの表示
装置に表示するセキュリティ管理情報表示機能45を設
ける。
【0022】つぎに、上述したような機能を実装した各
装置を組み合わせたネットワークシステムにおいて、ユ
ーザがネットワーク管理マネージャ2からネットワーク
装置7に対して管理操作を行う場合のシーケンスを図5
を用いて説明する。
【0023】図5において、ユーザがネットワーク管理
マネージャ2にログイン要求51を指示すると、ネット
ワーク管理マネージャ2はユーザからのログイン要求5
1をうけて、セキュリティ管理エージェント3のログイ
ン管理機能22にそのユーザをログインさせるかどうか
を問い合わせる。ログイン管理機能22は、ユーザI
D、パスワードなどからログインの可否を判定し(処理
501)、セキュリティ管理エージェント3のログイン
管理情報テーブル25に、ログイン管理情報として、ユ
ーザID、パスワード等を記憶させて内容を更新し(処
理502)、判定の結果がOKならばユーザのログイン
を許可する(52)。許可後、ログイン管理情報テーブ
ル25には、当該ユーザのログイン時間を記録する。判
定の結果がログインを許可しないのであれば、このユー
ザのログインを拒否する。ネットワーク管理マネージャ
2へのログインが許可されてから、ユーザは、管理操作
を行いたいネットワーク装置7にログインすることがで
きる。ネットワーク装置7は、ユーザからのログイン要
求53をうけて、ネットワーク装置7内のエージェント
4にそのユーザをログインさせるかどうかを問い合わせ
る。エージェント4は、セキュリティ管理エージェント
3におけるログイン要求の場合と同様に、ログイン管理
機能22によりユーザID、パスワードをチェックし、
また、同時に同じユーザが二重に自装置にログインして
いないかなどをチェックし、ログインの可否を判定する
(処理503)。エージェント4は、ネットワーク装置
7のログイン管理情報テーブル25に、ログイン管理情
報を記憶させて内容を更新し(処理504)、判定の結
果がOKならばユーザのログインを許可する(54)。
また、ログイン管理情報テーブル25には、当該ユーザ
のログイン時間を記録する。ログインの可否の判定は、
本実施の形態では、マネージャ側とエージェント側で同
様の判定条件(ユーザIDとパスワードの照合)で行っ
たが、異なる方法で行ってもかまわない。
【0024】また、この時点で、ネットワーク管理マネ
ージャ2のワークステーション6に備えられているセキ
ュリティ管理エージェント3は、他装置へのアクセス管
理機能21を用いて、このユーザがネットワーク管理マ
ネージャ2のワークステーション6からネットワーク装
置7へアクセスしたことを検出し、他の装置へのアクセ
ス情報テーブル24に、ユーザID、ログイン時間、ロ
グアウト時間、ログイン先である他の装置の識別情報
(Destination)、使用したコマンド等を記録して更新す
る(処理505)。この処理は、ネットワーク装置への
ログインが失敗した場合も行われる。ネットワーク装置
へのログインが成功すれば、ネットワーク管理マネージ
ャ2は、ネットワーク装置7内の管理オブジェクト(M
O)に対して、CMIPのM−GET、M−SET、M
−ACTIONなどの管理操作要求55を出す。この管
理操作要求55には、コマンドの発行者のユーザIDも
一緒に送る。ネットワーク装置のエージェント4は、そ
の要求が妥当なものであるかを判定するために、要求の
発行者がその時ログインしているかどうかをログイン管
理機能を用いて判定し(処理506)、許可されたなら
ば実際の管理オブジェクトが、要求された管理操作を行
い(処理507)、その結果をネットワーク管理マネー
ジャ2に返す(56)。管理操作を続ける場合は、さら
に管理操作要求を出すが、終了する場合はネットワーク
装置7に対してログアウト要求(57)を出し、ネット
ワーク装置7のエージェント4は、ログアウトの時間、
コマンドなどをログイン管理情報テーブル25に記録す
る(処理508)。また、セキュリティ管理エージェン
ト3は、他装置へのアクセス管理機能21を用いて、ネ
ットワーク装置7からのログアウトを検出し、他の装置
へのアクセス情報テーブル24の内容を更新する(処理
509)。ここでも同様に、ログアウト時間、ログイン
中に処理されたコマンドなどを他装置へのアクセス情報
テーブル24に記録する。すべての操作を終了する場合
は、ネットワーク管理マネージャ2に対してログアウト
要求(58)を出す。セキュリティ管理エージェント3
は、ログアウトの時間、コマンドなどをログイン管理情
報テーブル25に記録する(処理510)。
【0025】以上、説明したようなシーケンスによっ
て、ネットワーク管理マネージャ2から他のネットワー
ク装置にアクセスしたときの情報を、ネットワーク管理
マネージャ2では他装置へのアクセス情報テーブル24
に記憶し、エージェント側ではログイン管理情報テーブ
ル25に記憶しておく。あるネットワーク装置へのセキ
ュリティ侵犯を検出するには、他装置へのアクセス情報
テーブル24とログイン管理情報テーブル25との双方
に記憶する管理情報を、セキュリティ管理マネージャ1
が比較することで行う。前述したように、セキュリティ
管理マネージャ1は、図4で示されるようなセキュリテ
ィ侵犯検出機能34を持ち、セキュリティ侵犯検出機能
34において、他装置へのアクセス情報テーブル24と
ログイン管理情報テーブル25との双方に記憶する管理
情報を比較する。
【0026】セキュリティ侵犯検出機能34の詳細機能
図を図6に示す。
【0027】図6において、セキュリティ侵犯検出機能
34は、ネットワーク管理マネージャ用ワークステーシ
ョン6内のセキュリティ管理エージェント3、および、
ネットワーク装置7内のエージェント4から、セキュリ
ティ管理情報収集機能41を使ってCMIPのM−GE
Tコマンドで収集されたセキュリティ管理情報(アクセ
ス情報テーブル24およびログイン管理情報テーブル2
5)を取得する。また、セキュリティ侵犯検出機能34
は、セキュリティ事象報告受付機能43により、ネット
ワーク管理マネージャ2を備えるワークステーション6
内のセキュリティ管理エージェント3と、ネットワーク
装置7内のエージェント4とからM−EVENT−RE
PORTで上げられるセキュリティ事象報告を取得す
る。取得したセキュリティ管理情報とセキュリティ事象
報告とは、ネットワーク管理マネージャ2におけるセキ
ュリティ管理情報であるネットワーク管理マネージャ側
セキュリティ管理情報61とエージェントにおけるセキ
ュリティ管理情報であるエージェント側セキュリティ管
理情報62とに分類される。ネットワーク管理マネージ
ャ側セキュリティ管理情報61には、ネットワーク管理
マネージャ2におけるアクセス情報テーブル24のアク
セス情報と、ログイン管理情報テーブル25のログイン
管理情報とがある。各ネットワーク装置に関するセキュ
リティ管理情報は複数のネットワーク管理マネージャ2
のアクセス情報テーブル24に分散している可能性があ
るので、各ネットワーク装置毎のセキュリティ管理情報
64をネットワーク管理マネージャ側セキュリティ管理
情報61から抽出する機能63を、セキュリティ侵犯検
出機能34は持っている。この抽出機能63により、複
数のネットワーク管理マネージャ2のアクセス情報テー
ブル24から各ネットワーク装置のユーザごとにネット
ワーク管理マネージャ側セキュリティ管理情報64が抽
出される。
【0028】抽出機能63により、複数のネットワーク
管理マネージャ2のアクセス情報テーブル24から各ネ
ットワーク装置のユーザごとに抽出されたネットワーク
管理マネージャ側セキュリティ管理情報64と、あるユ
ーザのエージェント側セキュリティ管理情報62とをセ
キュリティ管理情報表示機能45を使ってディスプレイ
に表示した例を図7に示す。図7においては、ユーザが
「sawada」であり、ネットワーク装置の識別情報
が「LTMUX1」の場合の例を示す。
【0029】これらの二つの情報は、セキュリティ管理
情報表示機能45により表示されるとともに、照合機能
65によって比較され、そのネットワーク装置に関する
セキュリティ侵犯を検出することができる。照合機能6
5による比較は、二つの情報を取得したときに逐次行う
ことができる。または、定期的に行うようにしてもよ
い。また、管理ユーザの照合指示を受け付けたときに比
較を行うようにしてもよい。照合機能65は、セキュリ
ティ管理情報64(各ネットワーク装置毎のアクセス情
報テーブル24のアクセス情報)と、エージェント側セ
キュリティ管理情報62(ネットワーク装置7内のエー
ジェント4のログイン管理情報テーブル25)とを各ネ
ットワーク装置のユーザ毎のログインごとに比較し、一
致しない場合を検出する。比較のアルゴリズムの例を図
8に示す。
【0030】図8において、照合機能65は、各ネット
ワーク装置毎のセキュリティ管理情報64と、エージェ
ント側セキュリティ管理情報62とから、一つのネット
ワーク装置における一ユーザを選択し(S801および
S802)、ネットワーク管理マネージャ2におけるア
クセス情報テーブル24に記録されたログイン回数の総
和と、ネットワーク装置側ログイン管理情報テーブル2
5で記録されたログイン回数とを比較する(S80
3)。ネットワーク装置側ログイン管理情報テーブル2
5で記録されたログイン回数の方が多かった場合、ネッ
トワーク管理マネージャ以外の装置からネットワーク装
置にログインしたことになり、不正なログインである可
能性がある。このような場合には、不正ログインがあっ
たものとして、図7に示す表示中に、一致しない双方の
データを表示する。また、不正ログインがあった(一致
しない)旨を示すように、例えば、該当箇所をハッチン
グ表示をしたり、表示色を変えて表示を行う。なお、回
数の一致を判断する際に、アクセス情報テーブル24に
記録される時間と、ログイン管理情報テーブル25に記
録される時間とは時間差があるため、この点を考慮して
もよい。
【0031】さらに、一つ一つのログインごとに、ログ
イン時間およびログアウト時間から使用時間(ログアウ
ト時間−ログイン時間)を計算し、双方の使用時間が一
致するか否かを調べる(S806)。一致しない場合は
不正アクセスもしくはデータ改竄の可能性があるのでそ
の旨を表示し、警告する(S807)。
【0032】また、双方で使用したコマンドが一致しな
ければ(S808)、ユーザ名を騙して不正アクセスを
行った可能性があるのでその旨を表示し、警告する(S
809)。
【0033】このようにして、各ログインについて比較
を行い(S810)、また、各ユーザについて比較を行
い(S811)、各ネットワーク装置について比較を行
い(S812)、不正を検出する。
【0034】以上説明しように処理することにより、ネ
ットワーク全体に渡るセキュリティ管理情報を、セキュ
リティ管理マネージャ1が総合的に収集し、それらの整
合性を照合することにより、今までのセキュリティ管理
方法では発見できなかったセキュリティ侵犯の検出が可
能となる。
【0035】なお、上記実施の形態においては、セキュ
リティ事象報告受付機能43によりセキュリティ事象報
告を受け付け、セキュリティ管理情報収集機能41によ
りセキュリティ管理情報を収集しているが、どちらか一
方により、セキュリティ管理情報を取得するようにして
もよい。また、セキュリティ事象報告受付機能43とセ
キュリティ管理情報収集機能41とにより、同一のアク
セス情報テーブル24およびログイン管理情報テーブル
25を異なる時間に取得した場合には、双方のデータを
比較することにより、一致しない場合には、データが改
竄されたことを検出することができる。
【0036】上記実施の形態では、ネットワーク装置で
ログイン管理を行う場合について説明したが、ネットワ
ーク装置でログイン管理を行わない場合におけるネット
ワーク管理システムについて、第2の実施の形態を説明
する。この場合、誰でも管理操作ができてしまってはセ
キュリティを保証できないので、ネットワーク装置には
いってくるCMIPコマンドの発行者をなんらかの方法
で認証する必要が生じる。この場合のネットワーク装置
のエージェント4のセキュリティ管理に関係する機能モ
ジュールを図9に示す。図2(b)の場合と異なるの
は、ログイン管理機能22の代わりに、ユーザアクセス
管理機能91とユーザ認証機能92とを設けたことであ
る。ユーザアクセス管理機能91では、CMIPコマン
ドの発行者、発行日時、発行された場所などのネットワ
ーク装置7へのアクセスの履歴を表すアクセス情報を管
理する。ユーザ認証機能92では、CMIPコマンドの
発行者の認証を行う。たとえば、ユーザ認証にパスワー
ドを用いる場合は、CMIPコマンドといっしょに送ら
れたパスワードと、あらかじめ登録してあるパスワード
とを比較する。また、パスワードの代わりに電子署名技
術を用いて認証を行うことも可能である。これらのユー
ザアクセス情報は、図3(b)に示すログイン管理情報
テーブルと同様の形式で、ユーザアクセス情報93とし
て保持される。セキュリティ管理マネージャ1とネット
ワーク管理マネージャ用セキュリティ管理エージェント
3は、第1の実施の形態と同じ構成でよい。このネット
ワーク装置を用いる場合のシーケンスを図10に示す。
【0037】この場合、ネットワーク管理マネージャ2
におけるログイン管理は必要だが、ネットワーク装置へ
のログイン、ログアウトは不要になる。図10におい
て、ネットワーク管理マネージャ2からの管理操作要求
101は、要求者の認証手段がCMIPコマンドに付加
され、ネットワーク装置7に送出される。認証手段とし
てパスワードを用いた場合は、ネットワーク装置7側の
エージェント4では、CMIPとともにに送られたユー
ザIDとパスワードとを用いてユーザ認証機能がCMI
Pの要求者を認証し(処理1002)、要求者が認証さ
れたならばエージェント4のログイン管理情報テーブル
25に、ユーザアクセス情報93を記憶させて内容を更
新し(処理1003)、セキュリティ管理エージェント
3の管理オブジェクトへの操作を行い(処理100
4)、結果をネットワーク管理マネージャ2に返す。
【0038】また、この時点で、ネットワーク管理マネ
ージャ2のワークステーション6に備えられているセキ
ュリティ管理エージェント3は、他装置へのアクセス管
理機能21を用いて、このユーザがネットワーク管理マ
ネージャ2のワークステーション6からネットワーク装
置7へアクセスしたことを検出し、他の装置へのアクセ
ス情報テーブル24に、ユーザID、ログイン時間、ロ
グアウト時間、ログイン先である他の装置の識別情報
(Destination)、使用したコマンド等を記録して更新す
る(処理1005)。
【0039】第2の実施の形態においても、ネットワー
ク管理マネージャ2のセキュリティ管理情報とエージェ
ント側のセキュリティ管理情報とを比較してセキュリテ
ィ侵犯を検出することは可能である。すなわち、第1の
実施の形態における処理と同様に、他装置へのアクセス
情報テーブル24とユーザアクセス情報93とをセキュ
リティ管理マネージャ1が比較し、セキュリティ侵犯を
検出することができる。
【0040】つぎに、セキュリティ管理マネージャ1と
ネットワーク管理マネージャ2との機能を、一つのワー
クステーションに備えさせるようにした場合を、第3の
実施の形態として説明する。この場合の構成を図11に
示す。図11において、ネットワーク管理システムは、
ネットワーク内のセキュリティ管理情報を管理するセキ
ュリティ管理マネージャ1と、セキュリティ管理以外
の、ネットワークの構成情報、性能情報、障害検出、課
金情報などのネットワーク管理情報を管理するネットワ
ーク管理マネージャ2と、ワークステーション50上に
備える。ワークステーション50には、ワークステーシ
ョン50のセキュリティ管理情報を管理するセキュリテ
ィ管理エージェント3を実装する。ネットワーク装置7
には、自装置内のセキュリティ管理情報を含むネットワ
ーク管理情報を収集して保持するエージェント4を実装
し、ネットワーク装置7のセキュリティ管理情報を含む
ネットワーク管理情報を管理する。ワークステーション
50とネットワーク装置7とは、たとえばイーサネット
などの通信ネットワークで接続され、ネットワーク管理
マネージャ2とエージェント4との間には、通信用のチ
ャネル9が設定され、セキュリティ管理マネージャ1と
セキュリティ管理エージェント3およびエージェント4
との間には、通信用のチャネル8が設定される。他の機
能については、第1または第2の実施の形態と同様に備
える。
【0041】第3の実施の形態によれば、セキュリティ
管理マネージャ1とネットワーク管理マネージャ2との
機能を、一つのワークステーションに備えさせることが
できる。
【0042】第1〜第3の実施の形態によれば、セキュ
リティ管理マネージャを他のネットワーク管理機能とは
独立して設置しネットワーク全体のセキュリティを管理
することができる。また、ネットワーク管理マネージャ
のセキュリティを管理するセキュリティ管理エージェン
トを設けたことで、従来管理できなかったネットワーク
管理マネージャのセキュリティ管理情報を、セキュリテ
ィ管理マネージャによって管理できるようになる。ま
た、ネットワーク管理マネージャに設置したセキュリテ
ィ管理エージェントに蓄積された情報と、各ネットワー
ク装置のエージェントに蓄積されたセキュリティ管理情
報とを比較することで、精度の高いセキュリティ侵犯の
検出が可能になる。
【0043】
【発明の効果】本発明によれば、ネットワーク管理シス
テムにおいて、システム全体としてのセキュリティを管
理でき、セキュリティ侵犯の発生を検出しやすくなる。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態におけるネットワー
ク管理システムの構成図。
【図2】本発明の実施の形態におけるセキュリティ管理
エージェントおよびネットワーク装置のエージェントの
セキュリティ機能のモジュール構成図。
【図3】本発明の実施の形態におけるセキュリティ管理
情報テーブルの説明図。
【図4】本発明の実施の形態におけるセキュリティ管理
マネージャのモジュール構成図。
【図5】本発明の実施の形態におけるネットワーク装置
側でログイン管理を行う場合の信号シーケンス図。
【図6】本発明の実施の形態におけるセキュリティ侵犯
検出機能の詳細構成図。
【図7】本発明の実施の形態におけるセキュリティ管理
マネージャの画面表示例を示す説明図。
【図8】本発明の実施の形態におけるセキュリティ管理
情報の比較アルゴリズムのフローチャート。
【図9】本発明の第2の実施の形態におけるネットワー
ク装置側でログイン管理を行わない場合のネットワーク
装置のエージェントのセキュリティ機能のモジュール構
成図。
【図10】本発明の第2の実施の形態におけるネットワ
ーク装置側でログイン管理を行わない場合の信号シーケ
ンス図。
【図11】本発明の第3の実施の形態におけるネットワ
ーク管理システムの構成図。
【図12】従来型のセキュリティ管理方法のネットワー
ク構成図。
【符号の説明】
1…セキュリティ管理マネージャ 2…ネットワーク管理マネージャ 3…ネットワーク管理マネージャ用セキュリティ管理エ
ージェント 4…ネットワーク装置に実装されたエージェント 5…セキュリティ管理マネージャ用ワークステーション 6…ネットワーク管理マネージャ用ワークステーション 7…ネットワーク装置 8…セキュリティ管理用通信チャネル 9…ネットワーク管理用通信チャネル

Claims (8)

    【特許請求の範囲】
  1. 【請求項1】複数のネットワーク装置を管理するネット
    ワーク管理装置を有するネットワーク管理システムであ
    って、 当該ネットワーク管理システムにおけるセキュリティを
    管理するセキュリティ管理マネージャを有し、 前記複数のネットワーク装置の各々は、自装置へのアク
    セスの履歴を表すアクセス情報を管理することによりセ
    キュリティ管理を行うセキュリティ管理手段を備え、 前記ネットワーク管理装置は、当該ネットワーク管理装
    置から前記ネットワーク装置へのアクセスの履歴を表す
    アクセス情報を管理するアクセス管理手段を備え、 前記セキュリティ管理マネージャは、前記ネットワーク
    装置のセキュリティ管理手段における前記アクセス情報
    と、当該ネットワーク装置への、前記ネットワーク管理
    装置のアクセス管理手段における前記アクセス情報とを
    照合する照合手段と、前記照合手段による照合の結果を
    出力する出力手段とを備えることを特徴とするネットワ
    ーク管理システム。
  2. 【請求項2】請求項1において、前記出力手段は、前記
    照合手段による照合の結果、前記二つのアクセス情報の
    整合が取れていない場合に、その旨を出力することを特
    徴とするネットワーク管理システム。
  3. 【請求項3】請求項1において、前記セキュリティを管
    理するセキュリティ管理装置をさらに備え、 前記セキュリティ管理マネージャは、前記セキュリティ
    管理装置に備えられ、 前記セキュリティ管理装置と、前記ネットワーク装置の
    各々および前記ネットワーク管理装置とは通信チャネル
    により各々接続され、 前記セキュリティ管理マネージャは、前記通信チャネル
    を介して前記ネットワーク装置のセキュリティ管理手段
    における前記アクセス情報と、当該ネットワーク装置へ
    の、前記ネットワーク管理装置のアクセス管理手段にお
    ける前記アクセス情報とを取得する手段を備えることを
    特徴とするネットワーク管理システム。
  4. 【請求項4】請求項1において、前記セキュリティ管理
    マネージャは、前記ネットワーク管理装置に備えられ、 前記ネットワーク管理装置と、前記ネットワーク装置の
    各々とは、ネットワーク管理のための第1の通信チャネ
    ル、および、前記セキュリティ管理のための第2の通信
    チャネルにより各々接続され、 前記セキュリティ管理マネージャは、前記第2の通信チ
    ャネルを介して前記ネットワーク装置のセキュリティ管
    理手段における前記アクセス情報と、当該ネットワーク
    装置への、前記ネットワーク管理装置のアクセス管理手
    段における前記アクセス情報とを取得する手段を備える
    ことを特徴とするネットワーク管理システム。
  5. 【請求項5】請求項1において、前記ネットワーク管理
    装置は、自装置へのアクセスの履歴を表すアクセス情報
    を管理することによりセキュリティ管理を行う手段をさ
    らに備えることを特徴とするネットワーク管理システ
    ム。
  6. 【請求項6】複数のネットワーク装置を管理するネット
    ワーク管理装置を有するネットワーク管理システムにお
    けるセキュリティ管理装置であって、 当該セキュリティ管理装置と、前記ネットワーク装置の
    各々および前記ネットワーク管理装置とは通信チャネル
    により各々接続され、 前記ネットワーク装置におけるアクセスの履歴を表すア
    クセス情報と、前記ネットワーク管理装置から当該ネッ
    トワーク装置への、前記ネットワーク管理装置における
    アクセスの履歴を表すアクセス情報とを照合する照合手
    段と、前記照合手段による照合の結果を出力する出力手
    段とを備えることを特徴とするセキュリティ管理装置。
  7. 【請求項7】複数のネットワーク装置を管理するネット
    ワーク管理装置と、当該ネットワーク管理システムにお
    けるセキュリティを管理するセキュリティ管理マネージ
    ャとを有するネットワーク管理システムにおける前記ネ
    ットワーク管理装置におけるセキュリティ管理エージェ
    ントであって、 当該ネットワーク管理装置から前記ネットワーク装置へ
    のアクセスの履歴を表すアクセス情報を管理するアクセ
    ス管理手段と、自装置へのアクセスの履歴を表すアクセ
    ス情報を管理することによりセキュリティ管理を行うセ
    キュリティ管理手段とを備えることを特徴とするセキュ
    リティ管理エージェント。
  8. 【請求項8】複数のネットワーク装置を管理するネット
    ワーク管理装置と、当該ネットワーク管理システムにお
    けるセキュリティを管理するセキュリティ管理マネージ
    ャとを有するネットワーク管理システムにおけるセキュ
    リティ管理方法であって、 前記複数のネットワーク装置の各々は、自装置へのアク
    セスの履歴を表すアクセス情報を管理することによりセ
    キュリティ管理を行い、 前記ネットワーク管理装置は、当該ネットワーク管理装
    置から前記ネットワーク装置へのアクセスの履歴を表す
    アクセス情報を管理し、 前記セキュリティ管理マネージャは、前記ネットワーク
    装置の前記アクセス情報と、当該ネットワーク装置へ
    の、前記ネットワーク管理装置の前記アクセス情報とを
    照合し、前記照合の結果を出力することを特徴とするセ
    キュリティ管理方法。
JP01372497A 1997-01-28 1997-01-28 ネットワーク管理システム、セキュリティ管理装置およびセキュリティ管理方法 Expired - Fee Related JP3737594B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP01372497A JP3737594B2 (ja) 1997-01-28 1997-01-28 ネットワーク管理システム、セキュリティ管理装置およびセキュリティ管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP01372497A JP3737594B2 (ja) 1997-01-28 1997-01-28 ネットワーク管理システム、セキュリティ管理装置およびセキュリティ管理方法

Publications (2)

Publication Number Publication Date
JPH10210033A true JPH10210033A (ja) 1998-08-07
JP3737594B2 JP3737594B2 (ja) 2006-01-18

Family

ID=11841204

Family Applications (1)

Application Number Title Priority Date Filing Date
JP01372497A Expired - Fee Related JP3737594B2 (ja) 1997-01-28 1997-01-28 ネットワーク管理システム、セキュリティ管理装置およびセキュリティ管理方法

Country Status (1)

Country Link
JP (1) JP3737594B2 (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010090014A (ko) * 2000-05-09 2001-10-18 김대연 네트워크 보호 시스템
KR20030027646A (ko) * 2001-09-27 2003-04-07 주식회사 시큐브 하이브리드 방식의 보안 취약성 진단 장치 및 그 방법
JP2003524925A (ja) * 1998-12-09 2003-08-19 ネットワーク アイス コーポレイション ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置
KR100424723B1 (ko) * 2001-07-27 2004-03-27 김상욱 미행 메커니즘 기반의 전산망 보안 관리 장치 및 방법
KR100468232B1 (ko) * 2002-02-19 2005-01-26 한국전자통신연구원 분산된 침입탐지 에이전트와 관리자 시스템을 이용한네트워크 기반 침입자 역추적 시스템 및 그 방법
KR100523483B1 (ko) * 2002-10-24 2005-10-24 한국전자통신연구원 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법
US7590745B2 (en) 2001-03-02 2009-09-15 International Business Machines Corporation System and method for analyzing a router in a shared network system
WO2023181330A1 (ja) * 2022-03-25 2023-09-28 日本電気株式会社 ネットワーク監視装置、ネットワーク監視方法、及び記録媒体

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003524925A (ja) * 1998-12-09 2003-08-19 ネットワーク アイス コーポレイション ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置
KR20010090014A (ko) * 2000-05-09 2001-10-18 김대연 네트워크 보호 시스템
US7590745B2 (en) 2001-03-02 2009-09-15 International Business Machines Corporation System and method for analyzing a router in a shared network system
KR100424723B1 (ko) * 2001-07-27 2004-03-27 김상욱 미행 메커니즘 기반의 전산망 보안 관리 장치 및 방법
KR20030027646A (ko) * 2001-09-27 2003-04-07 주식회사 시큐브 하이브리드 방식의 보안 취약성 진단 장치 및 그 방법
KR100468232B1 (ko) * 2002-02-19 2005-01-26 한국전자통신연구원 분산된 침입탐지 에이전트와 관리자 시스템을 이용한네트워크 기반 침입자 역추적 시스템 및 그 방법
KR100523483B1 (ko) * 2002-10-24 2005-10-24 한국전자통신연구원 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법
WO2023181330A1 (ja) * 2022-03-25 2023-09-28 日本電気株式会社 ネットワーク監視装置、ネットワーク監視方法、及び記録媒体

Also Published As

Publication number Publication date
JP3737594B2 (ja) 2006-01-18

Similar Documents

Publication Publication Date Title
US8627417B2 (en) Login administration method and server
US6993683B2 (en) Analysis of pipelined networks
CN105139139B (zh) 用于运维审计的数据处理方法和装置及系统
US6678826B1 (en) Management system for distributed out-of-band security databases
CN112398860A (zh) 一种安全控制的方法和装置
WO2019190007A1 (ko) 접근통제형 장비를 위한 생체인증 로그데이터의 블록체인 공유 기반의 액세스 보안관리 시스템
CN103489233A (zh) 一种动态密码的电子门禁系统
JPH11143738A (ja) 計算機システムの監視方法
CN110213215A (zh) 一种资源访问方法、装置、终端和存储介质
CN104754582A (zh) 维护byod安全的客户端及方法
CN108966216B (zh) 一种应用于配电网的移动通信方法及系统
CN114143033B (zh) 一种云平台用户管理和运维集成系统
CN111882704B (zh) 一种智能门锁系统的控制方法以及智能门锁管理系统
CN112383535B (zh) 哈希传递攻击行为的检测方法、装置和计算机设备
CN111314381A (zh) 安全隔离网关
CN111292438A (zh) 一种信息安全的无人机巡检方法
CN110768942B (zh) 一种身份认证系统
CN109636971A (zh) 一种智能社区安防门禁管理方法及系统
CN110138779A (zh) 一种基于多协议反向代理的Hadoop平台安全管控方法
JP3737594B2 (ja) ネットワーク管理システム、セキュリティ管理装置およびセキュリティ管理方法
CN112734248A (zh) 一种房地产智能管理系统
Ko et al. Analysis of an algorithm for distributed recognition and accountability
CN112581233A (zh) 订单离线操作的方法、装置、设备和计算机可读存储介质
CN107580002A (zh) 双因子认证安全管理机登录系统及方法
CN109933974A (zh) 密码初始化方法、装置、计算机设备及存储介质

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20040210

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050725

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050802

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050927

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20051025

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20051027

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees