TWI660605B - 網路安全管理系統 - Google Patents

網路安全管理系統 Download PDF

Info

Publication number
TWI660605B
TWI660605B TW106132502A TW106132502A TWI660605B TW I660605 B TWI660605 B TW I660605B TW 106132502 A TW106132502 A TW 106132502A TW 106132502 A TW106132502 A TW 106132502A TW I660605 B TWI660605 B TW I660605B
Authority
TW
Taiwan
Prior art keywords
information
type
network
computer
event
Prior art date
Application number
TW106132502A
Other languages
English (en)
Other versions
TW201916636A (zh
Inventor
李坤榮
Original Assignee
台眾電腦股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 台眾電腦股份有限公司 filed Critical 台眾電腦股份有限公司
Priority to TW106132502A priority Critical patent/TWI660605B/zh
Priority to US15/870,937 priority patent/US10574659B2/en
Publication of TW201916636A publication Critical patent/TW201916636A/zh
Application granted granted Critical
Publication of TWI660605B publication Critical patent/TWI660605B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/18Delegation of network management function, e.g. customer network management [CNM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

一種網路安全管理系統,係對於一內部網路環境所屬的一對象網點進行管理,包含:一資訊收集裝置、一類型判斷裝置及一事件管理裝置;資訊收集裝置收集各個對象網點於登入時發出的網點資訊之網域名稱資訊、電腦名稱資訊及帳號資訊,類型判斷裝置依據資訊收集裝置所接收之網點資訊比對於一網點管理清單,而判斷出各個對象網點所屬的網點類型;事件管理裝置依據類型判斷裝置之判斷結果而決定對象網點是否有操作權限或給予其所屬的網點類型所對應之操作權限。

Description

網路安全管理系統
本發明相關於一種網路安全管理系統,特別是相關於一種管理企業內部網路的網路安全管理系統。
隨著網路及數位資訊的發展,電腦已經成為企業組織內部的各成員之間與各部門之間的聯繫橋樑,並透過網路的架設以相互提供重要的資訊或文件。但,網路中的資訊交流也帶來許多的風險,如:資訊的盜取、病毒的散播等。故,企業必須在網路環境中建立多個安全管理系統,如:透過防火牆或防毒程式,以避免有心人士由企業外部竊取資訊及電腦病毒的散播。但,前述的安全管理系統仍有漏洞,無法避免因成員的不當操作所造成的資料外洩,或是有心人士透過企業內部網路或電腦竊取資訊、入侵系統等。
因此,現有企業經常會另外建置內部的安全管理系統,而以分散且繁雜的人工作業控管各個電腦的工作,並以複雜的認證作業方式檢查每一筆欲通過的資訊。此一類型的安全系統缺乏統整能力:在電腦管理方面,無法有效地得知有問題的網點。亦即,等到安全系統發現電腦異常時,已經過一段時間,於事後再從各段系統中分析各電腦狀態並無法快速地得知問題點之位置。 並且,在資訊管理方面,安全系統須由機密文件管理人員依照文件的內容,設定文件的權限。但若管理人員因機密文件過於大量而無法即時設定權限,則會 造成延遲工作的缺失。故,習知技術中之內部的安全管理系統仍有諸多缺失,而需加以改良。
緣此,本發明的目的在於提供一種網路安全管理系統,能夠有效的統整內部網點且即時分配網點之權限,進而達到實用、省時及安全之功效。
本發明為解決習知技術之問題所採用之技術手段係提供一種網路安全管理系統,係對於一網路環境所屬的對象網點進行管理,該網路安全管理系統包含:一資訊收集裝置,收集各個該對象網點於登入時發出的網點資訊,該網點資訊包括網域名稱資訊、電腦名稱資訊及帳號資訊;一類型判斷裝置,訊號連接於該資訊收集裝置,該類型判斷裝置經設置而依據該資訊收集裝置所接收之該網點資訊比對於一網點管理清單而判斷出各個該對象網點對該網路安全管理系統之登入所屬的網點類型,其中,該網點管理清單對應於每個該網點類型而各具有允許網域名稱資訊、允許電腦名稱資訊及允許帳號資訊,且該網點資訊與該網點管理清單之比對係為依據該網點資訊分別比對於該允許網域名稱資訊、該允許電腦名稱資訊及該允許帳號資訊之比對結果,而在查照出的該對象網點在清單內的所對應的該網點類型而判斷該對象網點所屬該網點類型,或是在該對象網點無對應的該網點類型而判斷該對象網點不在清單內;以及一事件管理裝置,訊號連接於該類型判斷裝置,該事件管理裝置經設置依據該類型判斷裝置之判斷結果,而判斷該對象網點所對應的一登入事件,並據以對該對象網點執行一對應的管理操作,其中該管理操作包括決定該對象網點是否有操作權限或給予該對象網點對應於所屬的該網點類型之操作權限。
在本發明的一實施例中係提供一種網路安全管理系統,該網點類型包括一允許本機登入類型,其所對應的該允許網域名稱資訊與該允許帳號資 訊為空資訊,該類型判斷裝置係比對於該允許網域名稱資訊,在該允許網域名稱資訊之比對結果為否,而比對於該允許本機登入類型之該允許電腦名稱資訊,該允許本機登入類型的該允許電腦資訊比對結果為是,而判斷出該對象網點之登入屬於清單內的該允許本機登入類型,該事件管理裝置則判斷為一允許登入本機之清單內登入事件。
在本發明的一實施例中係提供一種網路安全管理系統,在該允許本機登入類型的該允許電腦資訊比對結果為否,而判斷出該對象網點之登入屬於一不在清單內的非允許登入本機類型,該事件管理裝置則判斷為一非允許登入本機之不在清單內登入事件。
在本發明的一實施例中係提供一種網路安全管理系統,該網點類型包括一通用帳號類型,其所對應的該允許電腦名稱為空資訊,該類型判斷裝置係分別比對於該允許網域名稱資訊、該允許電腦名稱資訊、該允許帳號資訊,在該允許網域名稱資訊之比對結果為是,該允許電腦名稱資訊之比對結果為否,該允許帳號資訊之比對結果為是,而進一步比對該通用帳號類型的該允許帳號資訊,在該通用帳號類型的該允許帳號資訊比對結果為是,而判斷出該對象網點之登入屬於清單內的該通用帳號類型,該事件管理裝置則判斷為一通用帳號之清單內登入事件。
在本發明的一實施例中係提供一種網路安全管理系統,在該允許網域名稱資訊之比對結果為是,該允許電腦名稱資訊之比對結果為否,該允許帳號資訊之比對結果為否,而判斷出該對象網點之登入屬於一不在清單內的非管理清單,該事件管理裝置則判斷為一非管理清單之不在清單內登入事件。
在本發明的一實施例中係提供一種網路安全管理系統,在該通用帳號類型的該允許帳號資訊比對結果為否,而判斷出該對象網點之登入屬於一 不在清單內的非指定電腦類型,該事件管理裝置則判斷為一非指定電腦之不在清單內登入事件。
在本發明的一實施例中係提供一種網路安全管理系統,該網點類型包括一綁定電腦與帳號類型,該類型判斷裝置係分別比對於該允許網域名稱資訊、該允許電腦名稱資訊,在該允許網域名稱資訊之比對結果為是,該允許電腦名稱資訊之比對結果為是,而比對於該綁定電腦與帳號類型的該允許帳號資訊,在該綁定電腦與帳號類型的該允許帳號資訊之比對結果為是,而判斷出該對象網點之登入屬於清單內的該綁定電腦與帳號類型,該事件管理裝置則判斷為一綁定電腦與帳號之清單內登入事件。
在本發明的一實施例中係提供一種網路安全管理系統,該網點類型包括一通用電腦類型,其所對應的該允許帳號為空資訊,該類型判斷裝置係在該綁定電腦與帳號類型的該允許帳號資訊之比對結果為否,而進一步比對於該通用電腦類型的該允許電腦名稱資訊,在通用電腦類型的該允許電腦名稱資訊之比對結果為是,而判斷出該對象網點之登入屬於清單內的該通用電腦類型,該事件管理裝置則判斷為一通用電腦之清單內登入事件。
在本發明的一實施例中係提供一種網路安全管理系統,在通用電腦類型的該允許電腦名稱資訊之比對結果為否,而判斷出該對象網點之登入屬於不在清單內的一非指定帳號類型,該事件管理裝置則判斷為一非指定帳號之不在清單內登入事件。
在本發明的一實施例中係提供一種網路安全管理系統,更包括一上線監控裝置,訊號連接於該事件管理裝置,該上線監控裝置經設置而在一前次已判斷不在清單內之該對象網點上線於該網路環境時,而判斷該對象網點是否被強制登入該網路安全管理系統,在該對象網點為未被強制登入該網路安全 管理系統時,該事件管理裝置則判斷該對象網點為一合法上線之不在管理範圍內事件,並通知該對象網點執行一安裝代理程式之管理操作。
在本發明的一實施例中係提供一種網路安全管理系統,該上線監控裝置經設置而在判斷出該對象網點為被強制登入該網路安全管理系統時,進一步確認該資訊收集裝置是否在時限內收集到該對象網點之網點資訊,若為否則該事件管理裝置判斷該對象網點為一未加入管理系統之不在管理範圍內事件。
在本發明的一實施例中係提供一種網路安全管理系統,更包含一定時確認裝置,訊號連接於該事件管理裝置,該定時確認裝置經設置而對在清單內的該對象網點之是否定時回報一網點訊息進行確認,以及該事件管理裝置更包括一定時回報事件管理模組,經設置而在該定時確認裝置確認到該對象網點為未定時回報訊息時,判斷為一電腦無回應之不在管理範圍內事件。
在本發明的一實施例中係提供一種網路安全管理系統,該定時回報事件管理模組經設置在判斷為一電腦無回應事件時,對該對象網點進行一管理規範的查詢,在該管理規範的查詢之結果為授權認證錯誤或網域名稱不符時,則進一步判斷為一退網域之不在管理範圍內事件。
在本發明的一實施例中係提供一種網路安全管理系統,在該管理規範的查詢之結果並無授權認證錯誤或網域名稱不符時,該定時回報事件管理模組則再進行一管理規範的查詢,而判斷該對象網點是否未安裝有該代理程式,若為是則判斷為一未安裝代理程式之不在管理範圍內事件,若為否則判斷為一電腦無回應之不在管理範圍內事件。
在本發明的一實施例中係提供一種網路安全管理系統,更包括一電腦識別裝置,訊號連接於該事件管理裝置,該電腦識別裝置經設置而對於在清單內的該對象網點,經由一管理規範的查詢而得到一該對象網點之通用唯一 識別碼資料,並以其為基礎作為一電腦識別資訊而儲存,並藉由將該電腦識別資訊比對於前次所儲存的電腦識別資訊,而比對結果為不符時,該事件管理裝置則判斷為一電腦偽冒之異常事件。
經由本發明所採用之技術手段,在企業內部網路環境具有多個網域的工作環境下,當網點開機登入作業系統時,本系統能夠快速的利用該資訊收集裝置收集該對象網點的網點資訊,並以該類型判斷裝置根據該登入訊息與已建置的網點管理清單進行比對,而能快速識別該對象網點目前登入動作是否合乎於該網點管理清單,以達到簡易控管網路系統的目的。並且,該類型判斷裝置已將合乎於該網點管理清單的該對象網點進行分類,而使該事件管理裝置能夠快速地依據該對象網點所屬的該網點類型而判斷登入事件並給予其所對應之操作權限,如:限定非網域內的特定的允許電腦之權限、限定只有特定的使用者之權限、限定特定的電腦之權限、限定特定的電腦加特定的使用者才能有的權限等,或是在該對象網點不合乎於網點管理清單,而可以直接阻斷,以達到快速地整合內部的網路環境並保護資訊安全的效果。
再者,本發明能夠以該類型判斷裝置對不合乎於該網點管理清單之該對象網點進行分類,並透過該事件管理裝置判斷登入事件,而使管理員能夠依據所屬的登入事件而直接找出異常的問題點,如:使用非指定電腦之不符合清單之事件、或非指定帳號之不符合清單之事件等,而不須透過繁雜的分析加以解決。
另外,本發明能夠對該對象網點進行詳細的分類,而能達到彈性且多樣化管理的目的。
還有,本發明還進一步包括該上線監控裝置,而能對不在清單內的該對象網點進行事件的判斷及通知其安裝該代理程式而加入系統的管理,並透過該事件管理裝置依據事件而控制其權限以確保網路安全。
並且,本發明還進一步包括該定時確認裝置,以定時確認在本系統在清單內已給予權限之該對象網點是否回報,並能夠得知該對象網點之網路連線是否正常,且能夠再進一步判斷異常狀況為電腦無回應事件或是私自退出網域的事件,從而強化網路安全管理系統之管理,以解決管理員在網路安全管理上的難以釐清問題的一大痛點。
值得一提的,本發明還進一步以電腦識別裝置透過管理規範的查詢得到該對象網點的資料,並藉由該對象網點的資料組成唯一的電腦識別資訊而儲存,以用來識別該對象網點之電腦硬體是否有被人為手動更換過。而在比對結果異常後,判斷為一電腦偽冒之異常事件而通知管理者即時監控,進而確保電腦硬體不被人為更換且達到安全管理的目的。
100‧‧‧網路安全管理系統
1‧‧‧資訊收集裝置
2‧‧‧類型判斷裝置
3‧‧‧事件管理裝置
31‧‧‧定時回報事件管理模組
4‧‧‧上線監控裝置
5‧‧‧定時確認裝置
6‧‧‧電腦識別裝置
A、B‧‧‧網域名稱
A1、A2、A3、B1、B2、B3‧‧‧對象網點
S101、S102、S105、S106、S107、S111、S113‧‧‧比對步驟
S103、S104、S108、S109、S110、S112、S114、S115‧‧‧判斷步驟
S201~S206‧‧‧判斷步驟
S301~S309‧‧‧判斷步驟
S401、S403、S406‧‧‧判斷步驟
S402‧‧‧查詢步驟
S405‧‧‧比對步驟
S404‧‧‧存取步驟
第1圖為顯示根據本發明的一實施例的網路安全管理系統的示意圖。
第2圖為顯示根據本發明的實施例的網路安全管理系統的系統方塊示意圖。
第3圖為顯示根據本發明的實施例的網路安全管理系統的網點管理清單的示意表。
第4圖為顯示根據本發明的實施例的網路安全管理系統的網點登入類型比對步驟與其所對應之登入事件的流程圖。
第5圖為顯示根據本發明的實施例的網路安全管理系統的不在清單內登入系統的事件判斷步驟的流程圖。
第6圖為顯示根據本發明的實施例的網路安全管理系統的清單內對象網點的連線狀況的事件判斷步驟的流程圖。
第7圖為顯示根據本發明的實施例的網路安全管理系統的清單內對象網點的硬體設備的事件的判斷步驟的流程圖。
以下根據第1圖至第7圖,而說明本發明的實施方式。該說明並非為限制本發明的實施方式,而為本發明之實施例的一種。
本發明所提出的一個Windows Server上的服務網域之整合服務。主要是管理「人、機」等資源和構成網路環境關係(如,公司組織架構、部門、會議室等等)的機制。該Windows Server提供諸多服務,檔案服務或印表機服務僅為統合資源的服務之一。
如第1圖所示,依據本發明的一實施例的一網路安全管理系統100,係對於一內部網路環境(網域A、網域B)所屬的對象網點(A1、A2、A3、B1、B2、B3)進行管理。該網路安全管理系統100包含:一資訊收集裝置1、一類型判斷裝置2及一事件管理裝置3。
舉例而言,如第1圖及第2圖所示,該網路安全管理系統100係安裝於內部所建置的一主控電腦中。事件管理裝置3於本發明的實施例係作為統籌管理之用而連結本系統之所有裝置(該資訊收集裝置1、該類型判斷裝置2、一上線監控裝置4、一定時確認裝置5、一電腦識別裝置6)。該網路安全管理系統100所管理的該內部網路環境包括一網域A及一網域B。並且,該網域A連結於該對象網點A1、A2、A3;該網域B連結於該對象網點B1、B2、B3。
在本實施例中,該網路安全管理系統100係透過一微軟(Microsoft)系統佈署一AD(Active Directory)環境並透過群組原則物件(GPO,Group Policy Object)派送軟體,而在該對象網點(A1、A2、A3、B1、B2、B3)上安裝代理程式(Agent)。
該資訊收集裝置1收集各個該對象網點(A1、A2、A3、B1、B2、B3)於登入時發出的網點資訊。該網點資訊包括網域名稱資訊、電腦名稱資訊及帳號資訊。本實施例中,資訊收集裝置1收集該對象網點(A1、A2、A3、B1、B2、B3)之代理程式(Agent)於登入AD環境所發出的網點資訊。該網點資訊包含:登入網域名稱、電腦名稱、登入帳號,且另外包含了IP位址、MAC位址等。
如第1圖及第2圖所示,該類型判斷裝置2訊號連接於該資訊收集裝置1。該類型判斷裝置2經設置而依據該資訊收集裝置1所接收之該網點資訊比對於一網點管理清單而判斷出各個該對象網點(A1、A2、A3、B1、B2、B3)對該網路安全管理系統之登入是屬於該網點管理清單之哪一個的網點類型;或是,判斷出並不屬於該網點管理清單,並更進一步判斷出是哪一種不在清單的類型。該類型判斷裝置2並將該網點資訊之登入比對結果傳於該事件管理裝置3。
該事件管理裝置3訊號連接於該類型判斷裝置2。該事件管理裝置3經設置依據該類型判斷裝置2之判斷結果,而判斷該對象網點(A1、A2、A3、B1、B2、B3)所對應的一所屬的該網點類型之清單內登入事件,或是並不在清單內的登入事件。並且,該事件管理裝置3對在清單內的該對象網點(A1、A2、A3、B1、B2、B3)依所屬的該網點類型,允許其登入系統並給予特定的管理操作權限。該事件管理裝置3並可以對不在清單內的該對象網點(A1、A2、A3、B1、B2、B3)而依據類型決定是否有操作權限,對於高危險類型予以阻斷其登入系統而連線,或是直接將所有不在清單內的該對象網點(A1、A2、A3、B1、B2、B3)進行阻斷。
如第3圖所示,舉例而言,該網點管理清單係存取於本系統內,本實施例為存取於該事件管理裝置3。該網點管理清單係為一列表。該網點管理 清單之內容係代表:索引號、不同的該網點類型及具有該網點類型所對應的一允許網域名稱資訊、一允許電腦名稱資訊及一允許帳號資訊之條件。
該網點類型係選自一允許本機登入、一通用帳號、一綁定電腦與帳號及一通用電腦之四個類型其中之一。該允許網域名稱資訊、該允許電腦名稱資訊及該允許帳號資訊可為一空資訊(null),而表示該資訊不需具有對應之條件,亦即在進行該資訊比對時忽略而不比對。該允許本機登入類型,其所對應的該允許網域名稱資訊與該允許帳號資訊為空資訊;該通用帳號類型,其所對應的該允許電腦名稱為空資訊;該綁定電腦與帳號類型,則無空資訊;該通用電腦類型,其所對應的該允許帳號為空資訊。
該類型判斷裝置2係為依據該網點資訊之該網域名稱資訊、該電腦名稱資訊及該帳號資訊分別比對於該網點管理清單之該允許網域名稱資訊、該允許電腦名稱資訊及該允許帳號資訊。該類型判斷裝置2再依據分別比對結果而在查照出的該對象網點(A1、A2、A3、B1、B2、B3)在清單內的所對應的該網點類型而判斷該對象網點(A1、A2、A3、B1、B2、B3)所屬該網點類型。 或是,在該類型判斷裝置2查照不出該對象網點(A1、A2、A3、B1、B2、B3)任何對應的該網點類型而判斷該對象網點(A1、A2、A3、B1、B2、B3)不在清單內並進一步判斷不在清單內的類型。
如第4圖所示,以下為該網點資訊與該網點管理清單之網點登入類型比對步驟與其所對應之登入事件。
該允許網域名稱資訊比對步驟S101:比對該網點資訊之該網域名稱是否為該允許網域名稱;在該允許網域名稱資訊之比對步驟S101的結果為否時,而進行該允許本機登入類型的該允許電腦名稱之比對步驟S102:比對該網點資訊之該電腦名稱是否為該允許本機登入類型的該允許電腦名稱; 在該允許本機登入類型的該允許電腦名稱比對步驟S102之結果為是時,而進行清單內的類型判斷步驟S103:判斷出該對象網點(A1、A2、A3、B1、B2、B3)之登入屬於清單內的該允許本機登入類型,及其登入係為一允許登入本機之清單內登入事件。
在該允許本機登入類型的該允許電腦資訊比對步驟S102之結果為否時,而進行不在清單內的類型判斷步驟S104:判斷出該對象網點(A1、A2、A3、B1、B2、B3)之登入屬於一不在清單內的非允許登入本機類型,及其登入係為一非允許登入本機之不在清單內登入事件。
在該允許網域名稱資訊之比對步驟S101之結果為是時,而進行該允許電腦名稱之比對步驟S105:比對該網點資訊之該電腦名稱是否為該允許電腦名稱;在該允許電腦名稱資訊之比對步驟S105之結果為否時,而進行該允許帳號資訊之比對步驟S106:比對該網點資訊之該帳號是否為該允許帳號;在該允許帳號資訊之比對步驟S106之結果為是時,而進一步進行該通用帳號的該允許帳號資訊之比對步驟S107:比對該網點資訊之該帳號是否為該通用帳號之該允許帳號;在該通用帳號類型的該允許帳號資訊之比對步驟S107之結果為是時,而進行清單內的類型判斷步驟S108:判斷出該對象網點(A1、A2、A3、B1、B2、B3)之登入屬於清單內的該通用帳號類型,及其登入係為一通用帳號之清單內登入事件。
在該通用帳號類型的該允許帳號資訊之比對步驟S107之結果為否時,而進行不在清單內的類型判斷步驟S110:判斷出該對象網點(A1、A2、A3、B1、B2、B3)之登入屬於一不在清單內的非指定電腦類型,及其登入係為一非指定電腦之不在清單內登入事件。
在該允許電腦名稱資訊之比對步驟S105之結果為否,且該允許帳號資訊之比對步驟S106之結果為否時,而進行不在清單內的類型判斷步驟S109:判斷出該對象網點(A1、A2、A3、B1、B2、B3)之登入屬於一不在清單內的非管理清單類型及其登入係為一非管理清單之不在清單內登入事件。
在該允許電腦名稱資訊之比對步驟S105之結果為是,而進行該綁定電腦與帳號類型的該允許帳號資訊之比對步驟S111:比對該網點資訊之該帳號是否為該綁定電腦與帳號類型的該允許帳號;在該綁定電腦與帳號類型的該允許帳號資訊之比對步驟S111之結果為是,而進行清單內的類型判斷步驟S112:判斷出該對象網點(A1、A2、A3、B1、B2、B3)之登入屬於清單內的該綁定電腦與帳號類型,及其登入係為一綁定電腦與帳號之清單內登入事件。
在該綁定電腦與帳號類型的該允許帳號資訊之比對步驟S111之結果為否,而進一步進行該通用電腦類型的該允許電腦名稱資訊之比對步驟S113:比對該網點資訊之該電腦名稱資訊是否為該通用電腦類型的該允許電腦名稱;在該通用電腦類型的該允許電腦名稱資訊之比對步驟S113之結果為是,而進行清單內的類型判斷步驟S114:判斷出該對象網點(A1、A2、A3、B1、B2、B3)之登入屬於清單內的該通用電腦類型,及其登入係為一通用電腦之清單內登入事件。
在該通用電腦類型的該允許電腦名稱資訊之比對步驟S113之結果為否時,而進行不在清單內的類型判斷步驟S115:判斷出該對象網點(A1、A2、A3、B1、B2、B3)之登入屬於不在清單內的一非指定帳號類型,及其登入係為一非指定帳號之不在清單內登入事件。
藉由上述步驟,而使該事件管理裝置3能夠依據該對象網點之清單內登入事件而讓其登入於該管理系統並根據該網點類型給予權限,並依據該對象網點之非清單登入事件而讓其無法登入於該管理系統,而能分層管理權限保衛網路安全。
如第1圖及第2圖所示,該網路安全管理系統100還可以包括一上線監控裝置4。該上線監控裝置4訊號連接於該事件管理裝置3。該上線監控裝置4經設置而在一前次已判斷不在清單內之該對象網點(A1、A2、A3、B1、B2、B3)上線於該網路環境時,而監控該對象網點(A1、A2、A3、B1、B2、B3)。 並且,該上線監控裝置4經過一不在清單內登入系統的事件判斷步驟,而產生一對應事件於該事件管理裝置3,而使該事件管理裝置3能夠因應事件而給予權限並得知是否異常。
舉例而言,該上線監控裝置4得知前次已判斷不在清單內之該對象網點(A1、A2、A3、B1、B2、B3)上線的方式,是根據一不在清單內的設備管理清單而判斷該對象網點於前次已不在清單內。該不在清單內的設備管理清單係,在該類型判斷裝置2判斷該對象網點不在清單內之狀況下,同步建立於該事件管理裝置3而將不在清單內之該對象網點之網點資訊存入之列表中。
如第5圖所示,該不在清單內登入系統的事件判斷步驟如下:判斷步驟S201在該對象網點(A1、A2、A3、B1、B2、B3)上線時,進行判斷步驟S202,判斷該對象網點(A1、A2、A3、B1、B2、B3)是否被強制登入該網路安全管理系統。
在判斷步驟S202之判斷結果為否時,則進入判斷步驟S203,判斷該對象網點(A1、A2、A3、B1、B2、B3)為一合法上線之不在管理範圍內事件(如印表機、傳真機等可不須登入系統),並通知該對象網點(A1、A2、A3、B1、B2、B3)執行該安裝代理程式之管理操作。而進行判斷步驟S204,判 斷該對象網點(A1、A2、A3、B1、B2、B3)是否一安裝代理程式並回報該網點資訊,若為是,則接第4圖中的c而管理;若為否,則再次進入判斷步驟S203。
在判斷步驟S202之判斷結果為是時,而進一步進行之判斷步驟S205確認該資訊收集裝置1是否在時限內收集到該對象網點(A1、A2、A3、B1、B2、B3)之網點資訊。若在判斷步驟S205之判斷結果為否時,則判斷該對象網點(A1、A2、A3、B1、B2、B3)為一未加入管理系統之不在管理範圍內事件S206。
如第1圖及第2圖所示,該網路安全管理系統100還可以包括一定時確認裝置5。該定時確認裝置5訊號連接於該事件管理裝置3。該定時確認裝置5經設置而對在清單內的該對象網點(A1、A2、A3、B1、B2、B3)登入系統後,經一連線狀況的事件判斷步驟以進行定時確認連線穩定度之監控。並且,在異常情形發生後,該定時確認裝置5產生一對應事件於該事件管理裝置3,而使該事件管理裝置3能夠因應事件而給予權限並得知其異常狀況。該事件管理裝置3更包括一定時回報事件管理模組31,經設置而在該定時確認裝置5確認到該對象網點(A1、A2、A3、B1、B2、B3)為未定時回報訊息時,判斷為一電腦無回應之不在管理範圍內事件。
如第6圖所示,該連線狀況的事件判斷步驟如下所示: 判斷步驟S301判斷該對象網點(A1、A2、A3、B1、B2、B3)是否上線,在上線時,進行判斷步驟S302而針對是否定時回報一網點訊息進行確認。當該定時確認裝置5判斷該對象網點為定時回報網點訊息時,該定時回報事件管理模組31判斷該對象網點為「在管理範圍內合法上線S303」。反之,當該定時確認裝置5判斷該對象網點未定時回報網點訊息時,該定時回報事件管理模組31判斷該對象網點為「電腦無回應之不在管理範圍內事件S304」。
該定時回報事件管理模組31經設置在判斷為一電腦無回應事件時,對該對象網點(A1、A2、A3、B1、B2、B3)進行一Windows管理規範(WMI,Windows Management Instrumentation)的查詢判斷步驟S305。在判斷步驟S305之結果為授權認證錯誤或網域名稱不符時,則進一步進行判斷步驟S306,判斷該對象網點之連線為一退網域之不在管理範圍內事件。
在判斷步驟S305之結果為無授權認證錯誤或網域名稱不符時,該定時回報事件管理模組31則再進行一管理規範的查詢判斷步驟S307,而判斷該對象網點(A1、A2、A3、B1、B2、B3)是否未安裝有該代理程式。若判斷步驟S307為是,則進行判斷步驟S308,而判斷該對象網點之連線為一未安裝代理程式之不在管理範圍內事件。若判斷步驟S307為否,則進行判斷步驟S309,而判斷判斷為一電腦無回應之不在管理範圍內事件。
如第1圖及第2圖所示,該網路安全管理系統100還可以包括一電腦識別裝置6。該電腦識別裝置6訊號連接於該事件管理裝置3。在該對象網點(A1、A2、A3、B1、B2、B3)之硬體設備與前次不同時,該電腦識別裝置6產生一電腦偽冒之異常事件的信息並傳送給該事件管理裝置3,而使該事件管理裝置3能夠因應事件給予該對象網點權限並得知電腦偽冒的異常狀況。該電腦識別裝置6經設置而得到清單內的對象網點之硬體設備的通用唯一識別碼資料(UUID,Universally Unique Identifier)。其中,對象網點之硬體設備的通用唯一識別碼是該電腦識別裝置6經由一管理規範的查詢而得到。並且,該電腦識別裝置6以通用唯一識別碼資料為基礎作為一電腦識別資訊而儲存,並將該電腦識別資訊比對於前次所儲存的電腦識別資訊。當比對結果為不符時,該事件管理裝置3則判斷為一電腦偽冒之異常事件。
如第7圖所示,該電腦識別裝置6之硬體設備的事件的判斷步驟如下所示: 於判斷步驟S401,電腦識別裝置6判斷對象網點(A1、A2、A3、B1、B2、B3)是否上線。接著,電腦識別裝置6進行查詢步驟S402以得到對象網點的電腦識別資訊。並且,電腦識別裝置6以本次對象網點的電腦識別資訊進行之判斷步驟S403,以判斷本次的對象網點是否具有前次上線之對象網點的電腦識別資訊。
在判斷步驟S403的結果為否時,電腦識別裝置6則進行存取步驟S404,以建立本次上線之對象網點的電腦識別資訊。
在判斷步驟S403的結果為是時,電腦識別裝置6則進行之比對步驟S405,以比對本次上線之對象網點的電腦識別資訊與前次上線之對象網點的電腦識別資訊是否不同。在比對步驟S405的結果為否時,則電腦識別裝置6判斷結果為正常。在比對步驟S405的結果為是時,電腦識別裝置6則進行判斷步驟S406,以判斷本次對象網點(A1、A2、A3、B1、B2、B3)之硬體設備的上線事件為一電腦偽冒之異常事件。
以上之敘述以及說明僅為本發明之較佳實施例之說明,對於此項技術具有通常知識者當可依據以下所界定申請專利範圍以及上述之說明而作其他之修改,惟此些修改仍應是為本發明之創作精神而在本發明之權利範圍中。

Claims (15)

  1. 一種網路安全管理系統,係對於一內部網路環境所屬的對象網點進行管理,該網路安全管理系統包含:一資訊收集裝置,收集各個該對象網點於登入時發出的網點資訊,該網點資訊包括網域名稱資訊、電腦名稱資訊及帳號資訊;一類型判斷裝置,訊號連接於該資訊收集裝置,該類型判斷裝置經設置而依據該資訊收集裝置所接收之該網點資訊比對於一網點管理清單而判斷出各個該對象網點對該網路安全管理系統之登入所屬的網點類型,其中,該網點管理清單對應於每個該網點類型而各具有允許網域名稱資訊、允許電腦名稱資訊及允許帳號資訊,且將該網域名稱資訊及該允許網域名稱資訊予以比對而得出第一比對結果、將該電腦名稱資訊及該允許電腦名稱資訊予以比對而得出第二比對結果、以及將該帳號資訊及該允許帳號資訊予以比對而得出第三比對結果,並根據第一比對結果、第二比對結果及第三比對結果的各自相符結果而判斷該對象網點所屬該網點類型,或是在該對象網點無對應的該網點類型而判斷該對象網點不在清單內;以及一事件管理裝置,訊號連接於該類型判斷裝置,該事件管理裝置經設置依據該類型判斷裝置之判斷結果,而判斷該對象網點所對應的一登入事件,並據以對該對象網點執行一對應的管理操作,其中該管理操作包括決定該對象網點是否有操作權限或給予該對象網點對應於所屬的該網點類型之操作權限。
  2. 如請求項1所述的網路安全管理系統,其中該網點類型包括一允許本機登入類型,其所對應的該允許網域名稱資訊與該允許帳號資訊為空資訊,該類型判斷裝置係比對於該允許網域名稱資訊,在該允許網域名稱資訊之比對結果為否,而比對於該允許本機登入類型之該允許電腦名稱資訊,該允許本機登入類型的該允許電腦資訊比對結果為是,而判斷出該對象網點之登入屬於清單內的該允許本機登入類型,該事件管理裝置則判斷為一允許登入本機之清單內登入事件。
  3. 如請求項2所述的網路安全管理系統,其中在該允許本機登入類型的該允許電腦資訊比對結果為否,而判斷出該對象網點之登入屬於一不在清單內的非允許登入本機類型,該事件管理裝置則判斷為一非允許登入本機之不在清單內登入事件。
  4. 如請求項1所述的網路安全管理系統,其中該網點類型包括一通用帳號類型,其所對應的該允許電腦名稱為空資訊,該類型判斷裝置係分別比對於該允許網域名稱資訊、該允許電腦名稱資訊、該允許帳號資訊,在該允許網域名稱資訊之比對結果為是,該允許電腦名稱資訊之比對結果為否,該允許帳號資訊之比對結果為是,而進一步比對該通用帳號類型的該允許帳號資訊,在該通用帳號類型的該允許帳號資訊比對結果為是,而判斷出該對象網點之登入屬於清單內的該通用帳號類型,該事件管理裝置則判斷為一通用帳號之清單內登入事件。
  5. 如請求項4所述的網路安全管理系統,其中在該允許網域名稱資訊之比對結果為是,該允許電腦名稱資訊之比對結果為否,該允許帳號資訊之比對結果為否,而判斷出該對象網點之登入屬於一不在清單內的非管理清單,該事件管理裝置則判斷為一非管理清單之不在清單內登入事件。
  6. 如請求項4所述的網路安全管理系統,其中在該通用帳號類型的該允許帳號資訊比對結果為否,而判斷出該對象網點之登入屬於一不在清單內的非指定電腦類型,該事件管理裝置則判斷為一非指定電腦之不在清單內登入事件。
  7. 如請求項1所述的網路安全管理系統,其中該網點類型包括一綁定電腦與帳號類型,該類型判斷裝置係分別比對於該允許網域名稱資訊、該允許電腦名稱資訊,在該允許網域名稱資訊之比對結果為是,該允許電腦名稱資訊之比對結果為是,而比對於該綁定電腦與帳號類型的該允許帳號資訊,在該綁定電腦與帳號類型的該允許帳號資訊之比對結果為是,而判斷出該對象網點之登入屬於清單內的該綁定電腦與帳號類型,該事件管理裝置則判斷為一綁定電腦與帳號之清單內登入事件。
  8. 如請求項7所述的網路安全管理系統,其中該網點類型包括一通用電腦類型,其所對應的該允許帳號為空資訊,該類型判斷裝置係在該綁定電腦與帳號類型的該允許帳號資訊之比對結果為否,而進一步比對於該通用電腦類型的該允許電腦名稱資訊,在通用電腦類型的該允許電腦名稱資訊之比對結果為是,而判斷出該對象網點之登入屬於清單內的該通用電腦類型,該事件管理裝置則判斷為一通用電腦之清單內登入事件。
  9. 如請求項8所述的網路安全管理系統,其中在通用電腦類型的該允許電腦名稱資訊之比對結果為否,而判斷出該對象網點之登入屬於不在清單內的一非指定帳號類型,該事件管理裝置則判斷為一非指定帳號之不在清單內登入事件。
  10. 如請求項1所述的網路安全管理系統,更包括一上線監控裝置,訊號連接於該事件管理裝置,該上線監控裝置經設置而在一前次已判斷不在清單內之該對象網點上線於該網路環境時,而判斷該對象網點是否被強制登入該網路安全管理系統,在該對象網點為未被強制登入該網路安全管理系統時,該事件管理裝置則判斷該對象網點為一合法上線之不在管理範圍內事件,並通知該對象網點執行一安裝代理程式之管理操作。
  11. 如請求項10所述的網路安全管理系統,其中該上線監控裝置經設置而在判斷出該對象網點為被強制登入該網路安全管理系統時,進一步確認該資訊收集裝置是否在時限內收集到該對象網點之網點資訊,若為否則該事件管理裝置判斷該對象網點為一未加入管理系統之不在管理範圍內事件。
  12. 如請求項1所述的網路安全管理系統,更包含一定時確認裝置,訊號連接於該事件管理裝置,該定時確認裝置經設置而對在清單內的該對象網點之是否定時回報一網點訊息進行確認,以及該事件管理裝置更包括一定時回報事件管理模組,經設置而在該定時確認裝置確認到該對象網點為未定時回報訊息時,判斷為一電腦無回應之不在管理範圍內事件。
  13. 如請求項12所述的網路安全管理系統,其中該定時回報事件管理模組經設置在判斷為一電腦無回應事件時,對該對象網點進行一管理規範的查詢,在該管理規範的查詢之結果為授權認證錯誤或網域名稱不符時,則進一步判斷為一退網域之不在管理範圍內事件。
  14. 如請求項13所述的網路安全管理系統,其中在該管理規範的查詢之結果並無授權認證錯誤或網域名稱不符時,該定時回報事件管理模組則再進行一管理規範的查詢,而判斷該對象網點是否未安裝有該代理程式,若為是則判斷為一未安裝代理程式之不在管理範圍內事件,若為否則判斷為一電腦無回應之不在管理範圍內事件。
  15. 如請求項1所述的網路安全管理系統,更包括一電腦識別裝置,訊號連接於該事件管理裝置,該電腦識別裝置經設置而對於在清單內的該對象網點,經由一管理規範的查詢而得到一該對象網點之通用唯一識別碼資料,並以其為基礎作為一電腦識別資訊而儲存,並藉由將該電腦識別資訊比對於前次所儲存的電腦識別資訊,而比對結果為不符時,該事件管理裝置則判斷為一電腦偽冒之異常事件。
TW106132502A 2017-09-22 2017-09-22 網路安全管理系統 TWI660605B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
TW106132502A TWI660605B (zh) 2017-09-22 2017-09-22 網路安全管理系統
US15/870,937 US10574659B2 (en) 2017-09-22 2018-01-13 Network security management system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW106132502A TWI660605B (zh) 2017-09-22 2017-09-22 網路安全管理系統

Publications (2)

Publication Number Publication Date
TW201916636A TW201916636A (zh) 2019-04-16
TWI660605B true TWI660605B (zh) 2019-05-21

Family

ID=65808053

Family Applications (1)

Application Number Title Priority Date Filing Date
TW106132502A TWI660605B (zh) 2017-09-22 2017-09-22 網路安全管理系統

Country Status (2)

Country Link
US (1) US10574659B2 (zh)
TW (1) TWI660605B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112933608B (zh) * 2021-01-29 2023-04-18 深圳市星际大陆科技有限公司 游戏对局数据的处理方法、系统、节点、设备及存储介质
CN113938483B (zh) * 2021-10-29 2023-06-16 北京京航计算通讯研究所 一种分布式ai协同计算系统的节点身份验证方法和系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102148867A (zh) * 2011-02-09 2011-08-10 杭州华三通信技术有限公司 一种基于用户权限的页面访问方法和设备
CN103096042A (zh) * 2013-02-05 2013-05-08 泰州市易航软件科技有限公司 一种视频监控系统
US20130247149A1 (en) * 2012-03-15 2013-09-19 Theodore SANFT Internet protocol address authentication method
CN103856443A (zh) * 2012-11-29 2014-06-11 台众计算机股份有限公司 网点的判断与阻挡的方法
US20170195286A1 (en) * 2015-12-30 2017-07-06 Donuts Inc. Whitelist domain name registry

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9143481B2 (en) * 2013-06-06 2015-09-22 Apple Inc. Systems and methods for application-specific access to virtual private networks
US9398058B2 (en) * 2013-10-28 2016-07-19 Instamedica Inc. Systems and methods for video-conference network system suitable for scalable, private tele-consultation
US9313193B1 (en) * 2014-09-29 2016-04-12 Amazon Technologies, Inc. Management and authentication in hosted directory service

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102148867A (zh) * 2011-02-09 2011-08-10 杭州华三通信技术有限公司 一种基于用户权限的页面访问方法和设备
US20130247149A1 (en) * 2012-03-15 2013-09-19 Theodore SANFT Internet protocol address authentication method
CN103856443A (zh) * 2012-11-29 2014-06-11 台众计算机股份有限公司 网点的判断与阻挡的方法
CN103096042A (zh) * 2013-02-05 2013-05-08 泰州市易航软件科技有限公司 一种视频监控系统
US20170195286A1 (en) * 2015-12-30 2017-07-06 Donuts Inc. Whitelist domain name registry

Also Published As

Publication number Publication date
US20190098011A1 (en) 2019-03-28
TW201916636A (zh) 2019-04-16
US10574659B2 (en) 2020-02-25

Similar Documents

Publication Publication Date Title
CN109831327B (zh) 基于大数据分析的ims全业务网络监视智能化运维支撑系统
US11489879B2 (en) Method and apparatus for centralized policy programming and distributive policy enforcement
Chun et al. Decentralized trust management and accountability in federated systems
US8146160B2 (en) Method and system for authentication event security policy generation
US9838429B1 (en) Dynamic access policies
US20060149848A1 (en) System, apparatuses, and method for linking and advising of network events related to resource access
US10721209B2 (en) Timing management in a large firewall cluster
EP2387746B1 (en) Methods and systems for securing and protecting repositories and directories
CN103413083A (zh) 单机安全防护系统
TWI660605B (zh) 網路安全管理系統
CN114553537A (zh) 一种面向工业互联网的异常流量监测方法和系统
JP4713186B2 (ja) ネットワーク監視方法及びネットワーク監視システム
CN109150853A (zh) 基于角色访问控制的入侵检测系统及方法
CN109547397B (zh) 网络安全管理系统
CN101616038A (zh) Soa安全保障系统及方法
KR100546045B1 (ko) 사용자 계정 및 스케쥴링에 의한 디바이스 접근권한 제어장치 및 그 방법
WO2024057557A1 (ja) 診断装置及び診断方法
Bhatt et al. Fast, cheap, and in control: a step towards pain free security!
Lee et al. A study on hierarchical policy model for managing heterogeneous security systems
WO2016023386A1 (zh) 云安全的维护处理方法及装置
Shimoe et al. Security Solutions Provided by Fujitsu’s Middleware Products
PROFILE CONFIGURABLE SECURITY GUARD
Bruniges A security related architecture for a TNB supporting confidentiality and integrity based policies
Raghavan et al. Formal description of perfect security
Ronak et al. Comprehensive Server Protection Scheme for a Conventional Modern Firm