WO2017054705A1

WO2017054705A1 - 一种局域网内基于物理位置的终端监控方法及系统

Info

Publication number: WO2017054705A1
Application number: PCT/CN2016/100362
Authority: WO
Inventors: 张巨世; 张聪
Original assignee: 北京奇虎科技有限公司; 奇智软件（北京）有限公司
Priority date: 2015-09-28
Filing date: 2016-09-27
Publication date: 2017-04-06
Also published as: CN105281950A; CN105281950B

Abstract

一种局域网内基于物理位置的终端监控方法及系统，该终端监控方法包括：根据物理位置结构图创建监控物理图层，在监控物理图层中定义与终端相对应的信息点；建立终端与信息点的关联关系；当终端发生触发事件时，将触发事件显示在监控物理图层中对应的信息点的位置。通过本发明实施例的终端监控方法及系统，在该监控物理图层上实时显示终端可能发生的各类事件，使得对企业内网终端进行的监控过程更加可视化、简单化，降低了对相关工作人员的专业背景的门槛，使得对企业内网终端的监控趋于行政化参与，可提高用户的使用体验。

Description

一种局域网内基于物理位置的终端监控方法及系统

技术领域

本发明是关于终端安全管控技术，具体地，是关于一种局域网内基于物理位置的终端监控方法及系统。

背景技术

随着企业规模的扩大，对企业内部的各个终端进行全方位的管控已成趋势。而现有的对终端进行管控的系统中所能够显示出的操作界面均为列表式，在列表中能够显示出局域网内部的各个终端的ID、用户名、使用状态等基础信息，以供管理员对局域网内部的终端进行监控。但是列表中的信息往往比较复杂，且专业性较强。因此，现有的对终端进行管控的系统大多需要较为专业的管理员来进行操作，这对企业内部终端管控提出了较高的要求。

发明内容

本发明实施例的主要目的在于提供一种局域网内基于物理位置的终端监控方法及系统，以使企业内网终端的管控更加简单、直观，从而降低企业内网终端管控的门槛。

为了实现上述目的，本发明实施例提供一种局域网内基于物理位置的终端监控方法，该终端监控方法包括：根据物理位置结构图创建监控物理图层，在监控物理图层中定义与终端相对应的信息点；建立终端与信息点的关联关系；当终端发生触发事件时，将触发事件显示在监控物理图层中对应的信息点的位置。

本发明实施例还提供一种局域网内基于物理位置的终端监控系统，该终端监控系统包括：信息点定义单元，用于根据物理位置结构图创建监控物理图层，在监控物理图层中定义与终端相对应的信息点；关联关系建立单元，用于建立终端与信息点的关联关系；触发事件显示单元，用于当终端发生触发事件时，将触发事件显示在监控物理图层中对应的信息点的位置。

本发明实施例还提供了一种程序，包括可读代码，当所述可读代码在计算设备上运行时，导致所述计算设备执行根据本发明实施例中的任一个所述的局域网内基于物理位置的终端监控方法。

本发明实施例还提供了一种可读介质，其中存储了如本发明实施例所述的程序。

本发明实施例的有益效果在于，将一基于物理位置结构图的物理图层作为对企业内网终端进行监控的界面，在该物理图层上实时显示终端可能发生的各类事件，使得对企业内网终端进行的监控过程更加可视化、简单化，以适于企业内网中不同使用者来进行企业内网的监控，降低了对相关工作人员的专业背景的门槛，使得对企业内网终端的监控趋于行政化参与，可提高用户的使用体验，有利于该监控方法的应用及推广。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为根据本发明实施例的局域网内基于物理位置的终端监控方法的流程图(一)；

图2为根据本发明实施例的企业内部结构示意图；

图3为根据本发明实施例的局域网内基于物理位置的终端监控方法的流程图(二)；

图4为根据本发明实施例的局域网内基于物理位置的终端监控系统的结构示意图(一)；

图5为根据本发明实施例的关联关系建立单元200的结构示意图(一)；

图6为根据本发明实施例的关联关系建立单元200的结构示意图(二)；

图7为根据本发明实施例的关联关系建立单元200的结构示意图(三)；

图8为根据本发明实施例的局域网内基于物理位置的终端监控系统的结构示意图(二)；

图9示出了用于执行根据本发明的局域网内基于物理位置的终端监控方法的计算设备的框图；

图10示出了用于保持或者携带实现根据本发明的局域网内基于物理位置的终端监控方法的程序代码的存储单元。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供一种局域网内基于物理位置的终端监控方法及系统。以下结合附图对本发明进行详细说明。

本发明实施例提供一种局域网内基于物理位置的终端监控方法，如图1所示，该终端监控方法主要包括以下各步骤：

S101：根据物理位置结构图创建监控物理图层，在监控物理图层中定义与终端相对应的信息点；

S102：建立终端与信息点的关联关系；

S103：判断终端是否发生触发事件，当终端发生触发事件时，将触发事件显示在监控物理图层中对应的信息点的位置。

通过上述步骤S101～步骤S103，将一基于物理位置结构图的物理图层作为对企业内网终端进行监控的界面，在该物理图层上实时显示终端可能发生的各类事件，使得对企业内网终端进行的监控过程更加可视化、简单化，以适于企业内网中不同使用者来进行企业内网的监控，降低了对相关工作人员的专业背景的门槛，使得对企业内网终端的监控趋于行政化参与，也可提高用户的使用体验，有利于该监控方法的应用及推广。

以下将结合具体实施例，对本发明实施例的局域网内基于物理位置的终端监控方法中的各个步骤进行详细的说明。

上述步骤S101，根据物理位置结构图创建监控物理图层，在监控物理图层中定义与终端相对应的信息点。本发明实施例的终端监控方法是基于企业内部的物理位置信息，并在基于物理位置结构图的监控物理图层上实现对企业内网终端进行监控的方法。因此，首先需要将企业内各个楼层的内部结构图作为基础性模板进行导入。如图2所示，该图所示出的为企业中某一楼层的内部结构平面图，仅为举例说明该平面图的样式。在实际应用中，导入的内部结构图可以通过例如是AutoCad等制图工具所绘制的绘图文件，本发明并不以此为限。并且，图2所示出的仅为其中一个楼层的二维平面布局图，在实际应用中，该内部结构图还可以针对不同的办公设备(例如终端、办公座椅等)匹配不同的纵高，从而形成一个具有立体效果的布局视图。并且，最终呈现的整体效果中，还可将多个楼层的二维平面布局图或是具有立体效果的布局视图相叠加，从而形成该企业整个办公环境(例如一栋办公大楼或是多层办公楼层相叠加)作为整体的三维立体模型透视图。

在导入了内部结构图之后，即可根据该内部结构图在管控端(服务器端)创建基于该内部结构图的监控物理图层，并在监控物理图层中定义与终端相对应的信息点。具体地，该信息点包括但不限于：区域信息点、办公楼信息点、终端信息点、企业服务信息点、应用程序信息点及网络设备信息点等。通过定义上述各种信息点，使得监控物理图层中的各楼层信息、各类设备、终端、接口等的信息与实际物理空间中的各楼层信息、各类设备、终端、接口等的信息一一对应。在实际应用中，可以是通过在上述的内部结构图中的各楼层信息、各类设备、终端、接口等所对应的坐标信息的不同来定义其相应的信息点，并记录在管控端服务器中，以备后续的管控过程中进行调用。

然后，执行上述步骤S102，建立终端与信息点的关联关系。此处所述的终端，是指用户实际所使用的连接至局域网的各类设备、移动终端、接口等一系列物理设备。在一实施例中，上述建立终端与信息点之间的关联的过程主要包含有两种方式：一种是通过客户端(agent)建立关联；另一种是无客户端直接建立关联。

首先是通过客户端建立关联的方式，应用此种方式建立终端与信息点的关联的前提在于，在企业内网终端上预先安装有相应的应用程序(application)，该应用程序可以通过用户使用的终端设备的显示装置向用户展示与监控物理图层相一致的物理图层。用户可以在该物理图层中点选自己的工位所对应的位置(具体的楼层、工位等)，并在点选后可输入该用户的基本信息，包括：用户姓名、职位、所在部门等。在应用程序通过该物理图层获取了该用户的基本信息之后，可通过企业内网将该用户的基本信息及其所使用的终端信息同时上传至管控端服务器，并将该用户的基本信息及其所使用的终端信息同时更新至监控物理图层中，此时便建立了该用户的终端与信息点之间相对应的关联关系。以上所述为针对一名用户建立终端与信息点之间关联的过程，针对企业中的每一位员工，均可通过上述过程建立监控物理图层与用户终端的关联，从而实现对管控端与终端之间关联关系的初始化。

上述的无客户端直接建立关联的方式，与通过客户端建立关联的方式的主要区别在于，此种方式并不要求用户的终端中安装有上述的应用程序，而是通过该用户使用的终端所连接的网络通信设备(例如交换机等)来监控终端的流量使用情况。对于流量进行监控，可通过对用户终端中例如浏览器的应用程序对其所使用的流量情况进行统计，从而生成流量统计数据，将流量统计数据通过企业内网上传至管控端服务器，管控端服务器获取并分析该流量统计数据中所包含的流量信息，从而获知该用户终端的流量使用情况。当监控到某一用户终端中产生流量使用的状况时，表明该用户终端已接入企业内网。此时，进一步根据该用户终端的唯一标识(例如是mac地址或mid等用以唯一识别该用户终端的标识，本发明并不以此为限)与管控端服务器所储存的已接入的终端列表中的唯一标识来判断该用户终端是否为新接入企业内网的终端。如果该用户终端的唯一标识为首次出现，则表明该用户终端是新接入企业内网的终端。此时，管控端服务器接收用户终端的浏览器的当前网页的网页信息，对该网页信息进行分析，获得对应于该用户的网络应用标签；匹配该网络应用标签和预置的网络应用映射表，从而将与监控物理图层一致的物理图层推送至用户终端的浏览器。具体地，可通过向用户终端的浏览器中推送一web页面的形式来推送该物理图层。用户可以在该web页面所显示的物理图层中点选自己的工位在物理图层中所对应的位置(具体的楼层、工位等)，并在点选后可输入该用户的基本信息，包括：用户名、职位、所在部门等。在web页面中获取了该用户的基本信息之后，可通过企业内网将该用户的基本信息及其所使用的终端信息同时上传至管控端服务器，并将该用户的基本信息及其所使用的终端信息同时更新至监控物理图层中，此时便建立了该用户的终端与信息点之间相对应的关联关系。

在另一实施例中，当监控到某一用户终端已接入企业内网时，还可根据该用户终端所连接至的网络通信设备的端口信息是否发生变化来判断该用户终端的位置是否发生了改变。以下将以交换机作为上述的网络通信设备为例，对本发明实施例中判断该用户终端的位置是否发生改变的过程进行详细说明，但本发明并不以此为限。具体地，可获取各用户终端及其所连接的交换机的端口编号，并生成一参照列表(终端及交换机端口对应列表)，记录各用户终端与其所连接的交换机的端口的编号的对应关系。获取该用户终端当前连接的交换机的端口的编号，并将当前连接的端口的编号与上述的终端及交换机端口对应列表中该终端所对应的端口编号进行比对，来判断该用户终端所连接的交换机的端口是否发生了改变。当判定用户终端的位置发生改变，则管控端服务器接收用户终端的浏览器的当前网页的网页信息，对该网页信息进行分析，获得对应于该用户的网络应用标签；匹配该网络应用标签和预置的网络应用映射表，从而将与监控物理图层一致的物理图层推送至用户终端的浏览器。具体地，可通过向用户终端的浏览器中推送一web页面的形式来推送该物理图层。用户可以在该web页面所显示的物理图层中点选自己的工位在物理图层中所对应的位置(具体的楼层、工位等)，并在点选后可输入该用户的基本信息，包括：用户名、职位、所在部门等。在web页面中获取了该用户的基本信息之后，可通过企业内网将该用户的基本信息及其所使用的终端信息同时上传至管控端服务器，并将该用户的基本信息及其所使用的终端信息同时更新至监控物理图层中，此时便建立了该用户的终端与信息点之间相对应的关联关系，并实现了对用户终端位置变更的对应更新。

以上所述为针对一名用户建立终端与信息点之间关联的过程，针对企业中的每一位员工，均可通过上述过程建立监控物理图层与用户终端的关联，从而实现对管控端与终端之间关联关系的初始化。

通过上述步骤S101及步骤S102，即实现了监控物理图层与终端的一一对应关系的建立，然后执行步骤S103，判断终端是否发生触发事件，当终端发生触发事件时，将触发事件显示在监控物理图层中对应的信息点的位置。

本发明实施例的终端管控方法可用于实现对企业内网终端的数据防泄密、执行安全策略等管控。具体地，可实时监控企业内网中各信息点的各种操作，例如：用户的登入/登出、接入网络，外联网络、接入外用设备等，其中，针对企业内网中各信息点重点监控的触发事件如表一所示。

表一

在实际应用中，当检测到触发事件时，在该监控物理图层上将发生该触发事件的终端对应的信息点突出显示出来。例如可以是通过高亮形式、闪烁形式、放大形式、单独弹窗形式等多种能够突出该信息点物理位置的形式进行显示，本发明并不以此为限。通过上述的显示方式，能够使管控端的管理员更加简单、直观地了解到发生触发事件的位置。并且，在一实施例中，还可在该位置上同时显示出该位置的用户的基本信息，以及发生的触发事件所执行的操作。

需要说明的是，上述表一所述的各类触发事件仅是举例说明，本发明实施例的局域网内基于物理位置的终端监控方法所能检测到的事件并不仅限于表一所列出的触发事件，也可包括各类企业内网中的运行事件及相关操作。

本发明实施例的局域网内基于物理位置的终端监控方法，将基于物理位置结构图的物理图层作为对企业内网终端进行监控的界面，在该物理图层上实时显示终端可能发生的各类事件，使得对企业内网终端进行的监控过程更加可视化、简单化，以适于企业内网中不同使用者来进行企业内网的监控，降低了对相关工作人员的专业背景的门槛，使得对企业内网终端的监控趋于行政化参与，可提高用户的使用体验，有利于该监控方法的应用及推广。

在实际应用中，本发明实施例的终端监控方法并不仅限于上述的触发事件显示提示，当经过上述步骤S103将发生触发事件的终端显示在监控物理图层之后，还可进一步显示出针对该触发事件的具体应对措施，如图3所示，步骤S104：在发生触发事件的终端对应的信息点的位置显示针对该触发事件的应对措施；接收用户的选择，并根据用户的选择执行相应的应对措施。

例如，当检测某一终端出现“违规外联”时，由于有可能发生企业内部机密泄密的风险，可针对该类事件提示是否执行断网的应对措施，或者也可提示是否执行隔离或其他操作，但可针对最佳应对方案给出“推荐”字样，以提示管理员针对该类事件可选的最佳应对措施；当检测到某一终端出现“违规接入”的行为时，由于可能发生企业内部被来源不明的程序攻击或病毒感染的风险，可针对该类事件提示是否执行隔离及断网的应对措施，或者也可提示是否执行停机或其他操作，但可针对最佳应对方案给出“推荐”字样，以提示管理员针对该类事件可选的最佳应对措施。在实际应用中，应对措施的显示可以是通过弹窗、下拉菜单等形式展示给管理者，本发明并不以此为限。

在管理者根据提示选择了相应的应对措施后，可对发生触发事件的终端进行隔离、断网、停机等相应的操作，以及时处理该触发事件，防止触发事件所带来的危害进一步扩散。

通过上述的步骤S104，本发明实施例的局域网内基于物理位置的终端监控方法不仅能够将发生触发事件的终端以可视化的效果展现给管理员，并且也能够针对各类触发事件直观地给出可供选择的应对措施，并根据管理员的选择执行相应的操作。可见，上述的局域网内基于物理位置的终端监控方法，更能够满足企业内网中不同使用者的使用需求，降低了管理人员专业背景的门槛，使得对企业内网终端的管控趋于行政化参与，因而也可提高用户的使用体验，有利于该终端监控方法的推广。

本发明实施例还提供一种局域网内基于物理位置的终端监控系统，如图4所示，该局域网内基于物理位置的终端监控方法主要包括：信息点定义单元100、关联关系建立单元200及触发事件显示单元300等。

其中，上述的信息点定义单元100用于根据物理位置结构图创建监控物理图层，在监控物理图层中定义与终端相对应的信息点；关联关系建立单元200用于建立终端与信息点的关联关系；触发事件显示单元300用于判断终端是否发生触发事件，当终端发生触发事件时，将触发事件显示在监控物理图层中对应的信息点的位置。

通过上述的局域网内基于物理位置的终端监控系统，将一基于物理位置结构图的物理图层作为对企业内网终端进行监控的界面，在该物理图层上实时显示终端可能发生的各类事件，使得对企业内网终端进行的监控过程更加可视化、简单化，以适于企业内网中不同使用者来进行企业内网的监控，降低了对相关工作人员的专业背景的门槛，使得对企业内网终端的监控趋于行政化参与，可提高用户的使用体验，有利于该监控方法的应用及推广。

以下将结合具体实施例，对本发明实施例的局域网内基于物理位置的终端监控系统中的各个部分进行详细的说明。

上述的信息点定义单元100，用于根据物理位置结构图创建监控物理图层，在监控物理图层中定义与终端相对应的信息点。本发明实施例的终端监控系统是基于企业内部的物理位置信息，并在基于物理位置结构图的监控物理图层上实现对企业内网终端进行监控。因此，首先需要将企业内各个楼层的内部结构平面图作为基础性模板进行导入。如图2所示，该图所示出的为企业中某一楼层的内部结构平面图，仅为举例说明该平面图的样式。在实际应用中，导入的内部结构图可以通过例如是AutoCad等制图工具所绘制的绘图文件，本发明并不以此为限。并且，图2所示出的仅为其中一个楼层的二维平面布局图，在实际应用中，该内部结构图还可以针对不同的办公设备(例如终端、办公座椅等)匹配不同的纵高，从而形成一个具有立体效果的布局视图。并且，最终呈现的整体效果中，还可将多个楼层的二维平面布局图或是具有立体效果的布局视图相叠加，从而形成该企业整个办公环境(例如一栋办公大楼或是多层办公楼层相叠加)作为整体的三维立体模型透视图。

然后，通过上述的关联关系建立单元200，建立终端与信息点的关联关系。此处所述的终端，是指用户实际所使用的连接至局域网的各类设备、移动终端、接口等一系列物理设备。在一实施例中，上述建立终端与信息点之间的关联的过程主要包含有两种方式：一种是通过客户端(agent)建立关联；另一种是无客户端直接建立关联。

在一实施例中，本发明实施例的终端监控系统是通过如图5所示的关联关系建立单元200来执行上述通过客户端建立关联的方式。具体地，该关联关系建立单元200包括：操作接收模块201及关联关系建立模块202。该操作接收模块201用于接收用户在终端上一应用程序的建立关联操作；关联关系建立模块202则用于根据建立关联操作将终端的物理位置与监控物理图层中相应的信息点的位置相对应，以建立关联关系。

通过客户端建立关联，应用此种方式建立终端与信息点的关联的前提在于，在企业内网终端上预先安装有相应的应用程序(application)，该应用程序可以通过用户使用的终端设备的显示装置向用户展示与监控物理图层相一致的物理图层。用户可以在该物理图层中点选自己的工位所对应的位置(具体的楼层、工位等)，并在点选后可输入该用户的基本信息，包括：用户姓名、职位、所在部门等。在操作接收模块201通过该应用程序所显示的该物理图层获取了该用户的基本信息之后，可通过企业内网将该用户的基本信息及其所使用的终端信息同时上传至管控端服务器，并通过关联关系建立模块202将该用户的基本信息及其所使用的终端信息同时更新至监控物理图层中，此时便建立了该用户的终端与信息点之间相对应的关联关系。以上所述为针对一名用户建立终端与信息点之间关联的过程，针对企业中的每一位员工，均可通过上述过程建立监控物理图层与用户终端的关联，从而实现对管控端与终端之间关联关系的初始化。

在一实施例中，本发明实施例的终端监控系统是通过如图6所示的关联关系建立单元200来执行上述无客户端直接建立关联的方式。具体地，该关联关系建立单元200主要包括：流量使用情况检测模块203、新接入终端判断模块204、建立关联请求推送模块205、建立关联操作接收模块206及关联关系建立模块207等。其中，该流量使用情况检测模块203用于检测终端的流量使用情况；新接入终端判断模块204用于当终端产生流量使用时，进一步判断终端是否为新接入终端；建立关联请求推送模块205用于当用户为新用户时，向终端推送一建立关联请求；建立关联操作接收模块206用于接收用户根据建立关联请求所进行的建立关联操作；关联关系建立模块207用于根据建立关联操作将终端的物理位置与监控物理图层中相应的信息点的位置相对应，以建立关联关系。

该关联关系建立单元200是通过上述的无客户端直接建立关联的方式来建立终端与信息点之间的关联。此种方式与通过客户端建立关联的方式的主要区别在于，此种方式并不要求用户的终端中安装有上述的应用程序，而是通过流量使用情况检测模块203(在实际应用中，可以是通过该用户使用的终端所连接的网络通信设备，例如交换机等)来监控终端的流量使用情况。流量使用情况检测模块203对于流量进行监控，可通过对用户终端中例如浏览器的应用程序对其所使用的流量情况进行统计，从而生成流量统计数据，将流量统计数据通过企业内网上传至管控端服务器，管控端服务器获取并分析该流量统计数据中所包含的流量信息，从而获知该用户终端的流量使用情况。当监控到某一用户终端中产生流量使用的状况时，表明该用户终端已接入企业内网。此时，进一步通过新接入终端判断模块204根据该用户终端的唯一标识(例如mac地址或mid等用以唯一识别该用户终端的标识，本发明并不以此为限)与管控端服务器所储存的已接入的终端列表中的唯一标识来判断该用户终端是否为新接入企业内网的终端。如果该用户终端的唯一标识为首次出现，则表明该用户终端是新接入企业内网的终端。此时，通过建立关联请求推送模块205向用户终端推送一建立关联请求。具体地，该建立关联请求推送模块205用于接收用户终端的浏览器的当前网页的网页信息，对该网页信息进行分析，获得对应于该用户的网络应用标签；匹配该网络应用标签和预置的网络应用映射表，从而将与监控物理图层一致的物理图层推送至用户终端的浏览器，并在该物理图层中显示出建立关联请求。具体实施时，可以是通过向用户终端的浏览器中推送一web页面的形式来推送该物理图层。用户可以在该web页面所显示的物理图层中点选自己的工位在物理图层中所对应的位置(具体的楼层、工位等)，并在点选后可输入该用户的基本信息，包括：用户名、职位、所在部门等。在建立关联操作接收模块206通过web页面获取了该用户的基本信息之后，可通过企业内网将该用户的基本信息及其所使用的终端信息同时上传至管控端服务器，并通过关联关系建立模块207将该用户的基本信息及其所使用的终端信息同时更新至监控物理图层中，此时便建立了该用户的终端与信息点之间相对应的关联关系。

在另一实施例中，本发明实施例的终端监控系统是通过如图7所示的关联关系建立单元200来执行上述无客户端直接建立关联的方式。具体地，该关联关系建立单元200主要包括：位置判断模块208、建立关联请求推送模块209、建立关联操作接收模块210及关联关系建立模块211等。其中，该位置判断模块208用于判断终端的位置是否变更；建立关联请求推送模块209用于当终端的位置发生变更时，向终端推送一建立关联请求；建立关联操作接收模块210用于接收用户根据建立关联请求所进行的建立关联操作；关联关系建立模块211用于根据建立关联操作将终端的物理位置与监控物理图层中相应的信息点的位置相对应，以建立关联关系。

具体地，首先通过位置判断模块208根据该用户终端所连接至的网络通信设备的端口信息是否发生变化来判断该用户终端的位置是否发生了改变。以下将以交换机作为上述的网络通信设备为例，对本发明实施例中判断该用户终端的位置是否发生改变的过程进行详细说明，但本发明并不以此为限。具体地，可获取各用户终端及其所连接的交换机的端口编号，并生成一参照列表(终端及交换机端口对应列表)，记录各用户终端与其所连接的交换机的端口的编号的对应关系。获取该用户终端当前连接的交换机的端口的编号，并将当前连接的端口的编号与上述的终端及交换机端口对应列表中该终端所对应的端口编号进行比对，来判断该用户终端所连接的交换机的端口是否发生了改变。当判定用户终端的位置发生改变，则通过建立关联请求推送模块209向用户终端推送一建立关联请求。具体地，该建立关联请求推送模块209用于接收用户终端的浏览器的当前网页的网页信息，对该网页信息进行分析，获得对应于该用户的网络应用标签；匹配该网络应用标签和预置的网络应用映射表，从而将与监控物理图层一致的物理图层推送至用户终端的浏览器，并在该物理图层中显示出建立关联请求。具体实施时，可以是通过向用户终端的浏览器中推送一web页面的形式来推送该物理图层。用户可以在该web页面所显示的物理图层中点选自己的工位在物理图层中所对应的位置(具体的楼层、工位等)，并在点选后可输入该用户的基本信息，包括：用户名、职位、所在部门等。在建立关联操作接收模块210通过web页面获取了该用户的基本信息之后，可通过企业内网将该用户的基本信息及其所使用的终端信息同时上传至管控端服务器，并通过关联关系建立模块211将该用户的基本信息及其所使用的终端信息同时更新至监控物理图层中，此时便建立了该用户的终端与信息点之间相对应的关联关系，并实现了对用户终端位置变更的对应更新。

通过上述的信息点定义单元100及关联关系建立单元200，实现了监控物理图层与终端的一一对应关系的建立，然后触发上述的触发事件显示单元300，判断终端是否发生触发事件，当终端发生触发事件时，将触发事件显示在监控物理图层中对应的信息点的位置。

本发明实施例的终端管控系统可用于实现对企业内网终端的数据防泄密、执行安全策略等管控。具体地，可实时监控企业内网中各信息点的各种操作，例如：用户的登入/登出、接入网络，外联网络、接入外用设备等，其中，针对企业内网中各信息点重点监控的触发事件如表一所示。

在实际应用中，当检测到触发事件时，通过触发事件显示单元300在该监控物理图层上将发生该触发事件的终端对应的信息点突出显示出来。例如可以是通过高亮形式、闪烁形式、放大形式、单独弹窗形式等多种能够突出该信息点物理位置的形式进行显示，本发明并不以此为限。通过上述的显示方式，能够使管控端的管理员更加简单、直观地了解到发生触发事件的位置。并且，在一实施例中，还可在该位置上同时显示出该位置的用户的基本信息，以及发生的触发事件所执行的操作。

需要说明的是，表一所述的各类触发事件仅是举例说明，本发明实施例的局域网内基于物理位置的终端监控系统所能检测到的事件并不仅限于表一所列出的触发事件，也可包括各类企业内网中的运行事件及相关操作。

本发明实施例的局域网内基于物理位置的终端监控系统，将基于物理位置结构图的物理图层作为对企业内网终端进行监控的界面，在该物理图层上实时显示终端可能发生的各类事件，使得对企业内网终端进行的监控过程更加可视化、简单化，以适于企业内网中不同使用者来进行企业内网的监控，降低了对相关工作人员的专业背景的门槛，使得对企业内网终端的监控趋于行政化参与，可提高用户的使用体验，有利于该监控系统的应用及推广。

在实际应用中，本发明实施例的终端监控系统并不仅限于上述的触发事件显示提示，当通过上述的触发事件显示单元300将发生触发事件的终端显示在监控物理图层之后，还可通过应对措施显示单元400及应对措施执行单元500显示出针对该触发事件的具体应对措施，并根据用户的选择执行相应的应对措施，如图8所示。其中，该应对措施显示单元400用于在发生触发事件的终端对应的信息点的位置显示针对该触发事件的应对措施；应对措施执行单元500用于接收用户的选择，并根据用户的选择执行相应的应对措施。

例如，当检测某一终端出现“违规外联”时，由于有可能发生企业内部机密泄密的风险，可通过应对措施显示单元400针对该类事件提示是否执行断网的应对措施，或者也可提示是否执行隔离或其他操作，但可针对最佳应对方案给出“推荐”字样，以提示管理员针对该类事件可选的最佳应对措施；当检测到某一终端出现“违规接入”的行为时，由于可能发生企业内部被来源不明的程序攻击或病毒感染的风险，可针对该类事件提示是否执行隔离及断网的应对措施，或者也可提示是否执行停机或其他操作，但可针对最佳应对方案给出“推荐”字样，以提示管理员针对该类事件可选的最佳应对措施。在实际应用中，应对措施的显示可以是通过弹窗、下拉菜单等形式展示给管理者，本发明并不以此为限。

在管理者根据提示选择了相应的应对措施后，应对措施执行单元500可对发生触发事件的终端进行隔离、断网、停机等相应的操作，以及时处理该触发事件，防止触发事件所带来的危害进一步扩散。

通过上述的步骤应对措施显示单元400及应对措施执行单元500，本发明实施例的局域网内基于物理位置的终端监控系统不仅能够将发生触发事件的终端以可视化的效果展现给管理员，并且也能够针对各类触发事件直观地给出可供选择的应对措施，并根据管理员的选择执行相应的操作。可见，上述的终端监控系统，更能够满足企业内网中不同使用者的使用需求，降低了管理人员专业背景的门槛，使得对企业内网终端的管控趋于行政化参与，因而也可提高用户的使用体验，有利于该终端监控系统的推广及应用。

对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的应用的后台运行方法及装置设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

例如，图9示出了可以实现根据本发明的局域网内基于物理位置的终端监控方法的计算设备。该计算设备传统上包括处理器910和以存储器920形式的程序产品或者可读介质。存储器920可以是诸如闪存、EEPROM(电可擦除可编程只读存储器)、EPROM或者ROM之类的电子存储器。存储器920具有用于执行上述方法中的任何方法步骤的程序代码931的存储空间930。例如，用于程序代码的存储空间930可以包括分别用于实现上面的方法中的各种步骤的各个程序代码931。这些程序代码可以从一个或者多个程序产品中读出或者写入到这一个或者多个程序产品中。这些程序产品包括诸如存储卡之类的程序代码载体。这样的程序产品通常为如参考图10所述的便携式或者固定存储单元。该存储单元可以具有与图9的计算设备中的存储器920类似布置的存储段、存储空间等。程序代码可以例如以适当形式进行压缩。通常，存储单元包括可读代码931’，即可以由例如诸如910之类的处理器读取的代码，这些代码当由计算设备运行时，导致该计算设备执行上面所描述的方法中的各个步骤。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读取存储介质中，比如ROM/RAM、磁碟、光盘等。

以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施例而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

一种局域网内基于物理位置的终端监控方法，其特征在于，所述的终端监控方法包括：

根据物理位置结构图创建监控物理图层，在所述监控物理图层中定义与终端相对应的信息点；

建立终端与所述信息点的关联关系；

当所述终端发生触发事件时，将所述触发事件显示在所述监控物理图层中对应的信息点的位置。
根据权利要求1所述的局域网内基于物理位置的终端监控方法，其特征在于，所述的终端监控方法还包括：

在发生所述触发事件的终端对应的信息点的位置显示针对所述触发事件的应对措施；

接收用户的选择，并根据用户的选择执行相应的应对措施。
根据权利要求1所述的局域网内基于物理位置的终端监控方法，其特征在于，建立终端与所述信息点的关联关系，进一步包括：

接收用户在所述终端上一应用程序的建立关联操作；

根据所述建立关联操作将所述终端的物理位置与所述监控物理图层中相应的信息点的位置相对应，以建立所述的关联关系。
根据权利要求1所述的局域网内基于物理位置的终端监控方法，其特征在于，建立终端与所述信息点的关联关系，进一步包括：

检测所述终端的流量使用情况；

当所述终端产生流量使用时，进一步判断所述终端是否为新接入终端；

当所述终端是新接入终端时，向所述终端推送一建立关联请求；

接收用户根据所述建立关联请求所进行的建立关联操作；

根据所述建立关联操作将所述终端的物理位置与所述监控物理图层中相应的信息点的位置相对应，以建立所述的关联关系。
根据权利要求4所述的局域网内基于物理位置的终端监控方法，其特征在于，判断所述终端是否为新接入终端，包括：

获取所述终端的唯一标识；

将所述唯一标识与已接入终端的唯一标识列表进行比对，以判断所述唯一标识是否为所述唯一标识列表中已接入的唯一标识；

如果是，则所述终端不是新接入终端；否则，所述终端是新接入终端。
根据权利要求1所述的局域网内基于物理位置的终端监控方法，其特征在于，建立终端与所述信息点的关联关系，进一步包括：

判断所述终端的位置是否变更；

当所述终端的位置发生变更时，向所述终端推送一建立关联请求；

接收用户根据所述建立关联请求所进行的建立关联操作；

根据所述建立关联操作将所述终端的物理位置与所述监控物理图层中相应的信息点的位置相对应，以建立所述的关联关系。
根据权利要求6所述的局域网内基于物理位置的终端监控方法，其特征在于，判断所述终端的位置是否变更，包括：

获取所述终端当前连接的网络通信设备的端口的编号；

将所述端口的编号与终端及网络通信设备端口对应列表中的所述终端所对应的端口编号进行比对；

判断所述终端连接的网络通信设备的端口是否变更。
根据权利要求1所述的局域网内基于物理位置的终端监控方法，其特征在于，所述的物理位置结构图为建筑内部各层的二维平面结构图。
根据权利要求1所述的局域网内基于物理位置的终端监控方法，其特征在于，所述的物理位置结构图为建筑内部三维立体结构模型图。
根据权利要求1所述的局域网内基于物理位置的终端监控方法，其特征在于，所述的信息点至少包括：区域信息点、办公楼信息点、终端信息点、企业服务信息点、应用程序信息点及网络设备信息点。
根据权利要求1所述的局域网内基于物理位置的终端监控方法，其特征在于，将所述触发事件显示在所述监控物理图层中对应的信息点的位置的方式包括：以高亮形式、闪烁形式、放大形式、单独弹窗形式的至少其中之一将所述信息点的位置在所述监控物理图层中突出显示。
一种局域网内基于物理位置的终端监控系统，其特征在于，所述的终端监控系统包括：

信息点定义单元，用于根据物理位置结构图创建监控物理图层，在所述监控物理图层中定义与终端相对应的信息点；

关联关系建立单元，用于建立终端与所述信息点的关联关系；

触发事件显示单元，用于当所述终端发生触发事件时，将所述触发事件显示在所述监控物理图层中对应的信息点的位置。
根据权利要求12所述的局域网内基于物理位置的终端监控系统，其特征在于，所述的终端监控系统还包括：

应对措施显示单元，用于在发生所述触发事件的终端对应的信息点的位置显示针对所述触发事件的应对措施；

应对措施执行单元，用于接收用户的选择，并根据用户的选择执行相应的应对措施。
根据权利要求12所述的局域网内基于物理位置的终端监控系统，其特征在于，所述的关联关系建立单元包括：

操作接收模块，用于接收用户在所述终端上一应用程序的建立关联操作；

关联关系建立模块，用于根据所述建立关联操作将所述终端的物理位置与所述监控物理图层中相应的信息点的位置相对应，以建立所述的关联关系。
根据权利要求12所述的局域网内基于物理位置的终端监控系统，其特征在于，所述的关联关系建立单元包括：

流量使用情况检测模块，用于检测所述终端的流量使用情况；

新接入终端判断模块，用于当所述终端产生流量使用时，进一步判断所述终端是否为新接入终端；

建立关联请求推送模块，用于当所述用户为新用户时，向所述终端推送一建立关联请求；

建立关联操作接收模块，用于接收用户根据所述建立关联请求所进行的建立关联操作；

关联关系建立模块，用于根据所述建立关联操作将所述终端的物理位置与所述监控物理图层中相应的信息点的位置相对应，以建立所述的关联关系。
根据权利要求15所述的局域网内基于物理位置的终端监控系统，其特征在于，所述的新接入终端判断模块具体用于：

获取所述终端的唯一标识；

将所述唯一标识与已接入终端的唯一标识列表进行比对，以判断所述唯一标识是否为所述唯一标识列表中已接入的唯一标识；

如果是，则所述终端不是新接入终端；否则，所述终端是新接入终端。
根据权利要求12所述的局域网内基于物理位置的终端监控系统，其特征在于，所述的关联关系建立单元包括：

位置判断模块，用于判断所述终端的位置是否变更；

建立关联请求推送模块，用于当所述终端的位置发生变更时，向所述终端推送一建立关联请求；

建立关联操作接收模块，用于接收用户根据所述建立关联请求所进行的建立关联操作；

关联关系建立模块，用于根据所述建立关联操作将所述终端的物理位置与所述监控物理图层中相应的信息点的位置相对应，以建立所述的关联关系。
根据权利要求17所述的局域网内基于物理位置的终端监控系统，其特征在于，所述的位置判断模块具体用于：

获取所述终端当前连接的网络通信设备的端口；

将所述端口与终端及网络通信设备端口对应列表中的所述终端所对应的端口编号进行比对；

判断所述终端连接的网络通信设备的端口是否变更。
根据权利要求12所述的局域网内基于物理位置的终端监控系统，其特征在于，所述的物理位置结构图为建筑内部各层的二维平面结构图。
根据权利要求12所述的局域网内基于物理位置的终端监控系统，其特征在于，所述的物理位置结构图为建筑内部三维立体结构模型图。
根据权利要求12所述的局域网内基于物理位置的终端监控系统，其特征在于，所述的信息点至少包括：区域信息点、办公楼信息点、终端点、企业服务信息点、应用程序信息点及网络设备信息点。
根据权利要求12所述的局域网内基于物理位置的终端监控系统，其特征在于，所述的触发事件显示单元显示所述触发事件的方式包括：以高亮形式、闪烁形式、放大形式、单独弹窗形式的至少其中之一将所述信息点的位置在所述监控物理图层中突出显示。
一种程序，包括可读代码，当所述可读代码在计算设备上运行时，导致所述计算设备执行根据权利要求1-11中的任一个所述的局域网内基于物理位置的终端监控方法。
一种可读介质，其中存储了如权利要求23所述的程序。