CN109547397B - 网络安全管理*** - Google Patents
网络安全管理*** Download PDFInfo
- Publication number
- CN109547397B CN109547397B CN201710867950.8A CN201710867950A CN109547397B CN 109547397 B CN109547397 B CN 109547397B CN 201710867950 A CN201710867950 A CN 201710867950A CN 109547397 B CN109547397 B CN 109547397B
- Authority
- CN
- China
- Prior art keywords
- information
- event
- type
- computer
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种网络安全管理***,其用于对于一内部网络环境所属的一对象网点进行管理,包含:一信息收集装置、一类型判断装置及一事件管理装置;信息收集装置收集各个对象网点于登入时发出的网点信息的网域信息、计算机名称信息及账户信息,类型判断装置依据信息收集装置所接收的网点信息比对于一网点管理清单,从而判断出各个对象网点所属的网点类型;事件管理装置依据类型判断装置的判断结果而决定对象网点是否有操作权限或给予其所属的网点类型所对应的操作权限。
Description
技术领域
本发明涉及一种网络安全管理***,特别是涉及一种管理企业内部网络的网络安全管理***。
背景技术
随着网络及数字信息的发展,计算机已经成为企业组织内部的各成员之间与各部门之间的联系桥梁,并通过网络的架设以相互提供重要的信息或文件。但是,网络中的信息交流也带来许多的风险,如:信息的盗取、病毒的散播等。因此,企业必须在网络环境中建立多个安全管理***,如:通过防火墙或防病毒程序,以避免不法分子由企业外部窃取信息及计算机病毒的散播。但是,前述的安全管理***仍有漏洞,无法避免因成员的不当操作所造成的数据外泄,或是不法分子通过企业内部网络或计算机窃取信息、入侵***等。
因此,现有企业经常会另外建置内部的安全管理***,而以分散且繁杂的人工操作控管各个计算机的工作,并以复杂的认证作业方式检查每一笔欲通过的信息。这种类型的安全***缺乏统整能力:在计算机管理方面,无法有效地得知有问题的网点。亦即,等到安全***发现计算机异常时,已经过一段时间,于事后再从各段***中分析各计算机状态并无法快速地得知问题点的位置。并且,在信息管理方面,安全***须由机密文件管理人员依照文件的内容,设定文件的权限。但若管理人员因机密文件过于大量而无法实时设定权限,则会造成延迟工作。因此,现有技术中的内部的安全管理***仍有诸多不足之处,从而需进行改进。
发明内容
本发明的目的在于提供一种网络安全管理***,能够有效的统整内部网点且实时分配网点的权限,进而达到实用、省时及安全的功效。
本发明为解决现有技术存在的问题所采用的技术手段为提供一种网络安全管理***,其用于对于一网络环境所属的对象网点进行管理,该网络安全管理***包含:一信息收集装置,收集各个该对象网点于登入时发出的网点信息,该网点信息包括网域信息、计算机名称信息及账户信息;一类型判断装置,信号连接于该信息收集装置,该类型判断装置经设置而依据该信息收集装置所接收的该网点信息比对于一网点管理清单,从而判断出各个该对象网点对该网络安全管理***的登入所属的网点类型,其中,该网点管理清单对应于每个该网点类型而各具有允许网域信息、允许计算机名称信息及允许账户信息,且该网点信息与该网点管理清单的比对是依据该网点信息分别比对于该允许网域信息、该允许计算机名称信息及该允许账户信息的比对结果,从而在查照出的该对象网点在清单内的所对应的该网点类型而判断该对象网点所属该网点类型,或是在该对象网点无对应的该网点类型而判断该对象网点不在清单内;以及一事件管理装置,信号连接于该类型判断装置,该事件管理装置经设置依据该类型判断装置的判断结果,从而判断该对象网点所对应的一登入事件,并据以对该对象网点执行一对应的管理操作,其中该管理操作包括决定该对象网点是否有操作权限或给予该对象网点对应于所属的该网点类型的操作权限。
在本发明的一实施例中提供一种网络安全管理***,该网点类型包括一允许本机登入类型,其所对应的该允许网域信息与该允许账户信息为空信息,该类型判断装置比对于该允许网域信息,若该允许网域信息的比对结果为否,则比对于该允许本机登入类型的该允许计算机名称信息,若该允许本机登入类型的该允许计算机信息比对结果为是,则判断出该对象网点的登入属于清单内的该允许本机登入类型,该事件管理装置则判断为一允许登入本机的清单内登入事件。
在本发明的一实施例中提供一种网络安全管理***,若该允许本机登入类型的该允许计算机信息比对结果为否,则判断出该对象网点的登入属于一不在清单内的非允许登入本机类型,该事件管理装置则判断为一非允许登入本机的不在清单内登入事件。
在本发明的一实施例中提供一种网络安全管理***,该网点类型包括一通用账号类型,其所对应的该允许计算机名称为空信息,该类型判断装置分别比对于该允许网域信息、该允许计算机名称信息以及该允许账户信息,若该允许网域信息的比对结果为是、该允许计算机名称信息的比对结果为否以及该允许账户信息的比对结果为是,则进一步比对该通用账号类型的该允许账户信息,若该通用账号类型的该允许账户信息比对结果为是,则判断出该对象网点的登入属于清单内的该通用账号类型,该事件管理装置则判断为一通用账号的清单内登入事件。
在本发明的一实施例中提供一种网络安全管理***,若该允许网域信息的比对结果为是、该允许计算机名称信息的比对结果为否以及该允许账户信息的比对结果为否,则判断出该对象网点的登入属于一不在清单内的非管理清单,该事件管理装置则判断为一非管理清单的不在清单内登入事件。
在本发明的一实施例中提供一种网络安全管理***,若该通用账号类型的该允许账户信息比对结果为否,则判断出该对象网点的登入属于一不在清单内的非指定计算机类型,该事件管理装置则判断为一非指定计算机的不在清单内登入事件。
在本发明的一实施例中提供一种网络安全管理***,该网点类型包括一绑定计算机与账号类型,该类型判断装置分别比对于该允许网域信息以及该允许计算机名称信息,若该允许网域信息的比对结果为是以及该允许计算机名称信息的比对结果为是,则比对于该绑定计算机与账号类型的该允许账户信息,若该绑定计算机与账号类型的该允许账户信息的比对结果为是则判断出该对象网点的登入属于清单内的该绑定计算机与账号类型,该事件管理装置则判断为一绑定计算机与账号的清单内登入事件。
在本发明的一实施例中提供一种网络安全管理***,该网点类型包括一通用计算机类型,其所对应的该允许账号为空信息,若该类型判断装置在该绑定计算机与账号类型的该允许账户信息的比对结果为否,则进一步比对于该通用计算机类型的该允许计算机名称信息,若通用计算机类型的该允许计算机名称信息的比对结果为是,则判断出该对象网点的登入属于清单内的该通用计算机类型,该事件管理装置则判断为一通用计算机的清单内登入事件。
在本发明的一实施例中提供一种网络安全管理***,若通用计算机类型的该允许计算机名称信息的比对结果为否,则判断出该对象网点的登入属于不在清单内的一非指定账号类型,该事件管理装置则判断为一非指定账号的不在清单内登入事件。
在本发明的一实施例中提供一种网络安全管理***,更包括一上线监控装置,信号连接于该事件管理装置,当该上线监控装置经设置而在一前次已判断不在清单内的该对象网点上线于该网络环境时,则判断该对象网点是否被强制登入该网络安全管理***,当该对象网点为未被强制登入该网络安全管理***时,该事件管理装置则判断该对象网点为一合法上线的不在管理范围内事件,并通知该对象网点执行一安装代理程序的管理操作。
在本发明的一实施例中提供一种网络安全管理***,当该上线监控装置经设置而在判断出该对象网点为被强制登入该网络安全管理***时,则进一步确认该信息收集装置是否在时限内收集到该对象网点的网点信息,若为否,则该事件管理装置判断该对象网点为一未加入管理***的不在管理范围内事件。
在本发明的一实施例中提供一种网络安全管理***,更包含一定时确认装置,信号连接于该事件管理装置,该定时确认装置经设置而对在清单内的该对象网点的是否定时回报一网点信息进行确认,以及该事件管理装置更包括一定时回报事件管理模块,当其经设置而在该定时确认装置确认到该对象网点为未定时回报信息时,则判断为一计算机无响应的不在管理范围内事件。
在本发明的一实施例中提供一种网络安全管理***,当该定时回报事件管理模块经设置而判断为一计算机无响应事件时,则对该对象网点进行一管理规范的查询,若该管理规范的查询的结果为授权认证错误或域名不符,则进一步判断为一退网域的不在管理范围内事件。
在本发明的一实施例中提供一种网络安全管理***,当该管理规范的查询的结果并无授权认证错误或域名不符时,该定时回报事件管理模块则再进行一管理规范的查询,从而判断该对象网点是否未安装有该代理程序,若为是,则判断为一未安装代理程序的不在管理范围内事件,若为否,则判断为一计算机无响应的不在管理范围内事件。
在本发明的一实施例中提供一种网络安全管理***,更包括一计算机识别装置,信号连接于该事件管理装置,该计算机识别装置经设置而对于在清单内的该对象网点,经由一管理规范的查询而得到一该对象网点的通用唯一标识符数据,并以其为基础作为一计算机识别信息而储存,并通过将该计算机识别信息比对于前次所储存的计算机识别信息,当比对结果为不符时,该事件管理装置则判断为一计算机伪冒的异常事件。
经由本发明所采用的技术手段,在企业内部网络环境具有多个网域的工作环境下,当网点开机登入操作***时,本***能够快速的利用该信息收集装置收集该对象网点的网点信息,并以该类型判断装置根据该登入信息与已建置的网点管理清单进行比对,从而能快速识别该对象网点目前登入动作是否合乎于该网点管理清单,以达到简易控管网络***的目的。并且,该类型判断装置已将合乎于该网点管理清单的该对象网点进行分类,从而使该事件管理装置能够快速地依据该对象网点所属的该网点类型而判断登入事件并给予其所对应的操作权限,如:限定非网域内的特定的允许计算机的权限、限定只有特定的使用者的权限、限定特定的计算机的权限、限定特定的计算机加特定的用户才能有的权限等,或是在该对象网点不合乎于网点管理清单,从而可以直接阻断,以达到快速地整合内部的网络环境并保护信息安全的效果。
另外,本发明能够以该类型判断装置对不合乎于该网点管理清单的该对象网点进行分类,并通过该事件管理装置判断登入事件,从而使管理员能够依据所属的登入事件而直接找出异常的问题点,如:使用非指定计算机的不符合清单的事件、或非指定账号的不符合清单的事件等,从而不须通过繁杂的分析加以解决。
另外,本发明能够对该对象网点进行详细的分类,从而能达到弹性且多样化管理的目的。
还有,本发明还进一步包括该上线监控装置,从而能对不在清单内的该对象网点进行事件的判断及通知其安装该代理程序而加入***的管理,并通过该事件管理装置依据事件而控制其权限以确保网络安全。
并且,本发明还进一步包括该定时确认装置,以定时确认在本***在清单内已给予权限的该对象网点是否回报,并能够得知该对象网点的网络联机是否正常,且能够再进一步判断异常状况为计算机无响应事件或是私自退出网域的事件,从而强化网络安全管理***的管理,以解决管理员在网络安全管理上的难以厘清问题的一大痛点。
值得一提的,本发明还进一步以计算机识别装置通过管理规范的查询得到该对象网点的数据,并通过该对象网点的数据组成唯一的计算机识别信息而储存,以用来识别该对象网点的计算机硬件是否有被人为手动更换过。而在比对结果异常后,判断为一计算机伪冒的异常事件而通知管理者实时监控,进而确保计算机硬件不被人为更换且达到安全管理的目的。
附图说明
图1为根据本发明的一实施例的网络安全管理***的示意图;
图2为根据本发明的实施例的网络安全管理***的***方块示意图;
图3为根据本发明的实施例的网络安全管理***的网点管理清单的示意表;
图4为根据本发明的实施例的网络安全管理***的网点登入类型比对步骤与其所对应的登入事件的流程图;
图5为根据本发明的实施例的网络安全管理***的不在清单内登入***的事件判断步骤的流程图;
图6为根据本发明的实施例的网络安全管理***的清单内对象网点的联机状况的事件判断步骤的流程图;
图7为根据本发明的实施例的网络安全管理***的清单内对象网点的硬设备的事件的判断步骤的流程图。
附图标记说明:100-网络安全管理***;1-信息收集装置;2-类型判断装置;3-事件管理装置;31-定时回报事件管理模块;4-上线监控装置;5-定时确认装置;6-计算机识别装置;A、B-网域;A1、A2、A3、B1、B2、B3-对象网点;S101、S102、S105、S106、S107、S111、S113-比对步骤;S103、S104、S108、S109、S110、S112、S114、S115-判断步骤;S201~S206-判断步骤;S301~S309-判断步骤;S401、S403、S406-判断步骤;S402-查询步骤;S405-比对步骤;S404-存取步骤。
具体实施方式
以下根据图1至图7说明本发明的实施方式。该说明并非为限制本发明的实施方式,而为本发明的实施例的一种。
本发明所提出的一个Windows Server上的服务网域的整合服务。主要是管理“人、机”等资源和构成网络环境关系(如,公司组织架构、部门、会议室等等)的机制。该WindowsServer提供诸多服务,档案服务或打印机服务仅为统合资源的服务之一。
如图1所示,依据本发明的一实施例的一网络安全管理***100,其用于对于一内部网络环境(网域A、网域B)所属的对象网点(A1、A2、A3、B1、B2、B3)进行管理。该网络安全管理***100包含:一信息收集装置1、一类型判断装置2及一事件管理装置3。
举例而言,如图1及图2所示,该网络安全管理***100安装于内部所建置的一主控计算机中。事件管理装置3于本发明的实施例是作为统筹管理之用而链接本***的所有装置(该信息收集装置1、该类型判断装置2、一上线监控装置4、一定时确认装置5、一计算机识别装置6)。该网络安全管理***100所管理的该内部网络环境包括一网域A及一网域B。并且,该网域A链接于该对象网点A1、A2、A3;该网域B链接于该对象网点B1、B2、B3。
在本实施例中,该网络安全管理***100是通过一微软(Microsoft)***布署一AD(Active Directory)环境并通过组策略对象(GPO,Group Policy Object)派送软件,而在该对象网点(A1、A2、A3、B1、B2、B3)上安装代理程序(Agent)。
该信息收集装置1收集各个该对象网点(A1、A2、A3、B1、B2、B3)于登入时发出的网点信息。该网点信息包括网域信息、计算机名称信息及账户信息。本实施例中,信息收集装置1收集该对象网点(A1、A2、A3、B1、B2、B3)的代理程序(Agent)于登入AD环境所发出的网点信息。该网点信息包含:登入网域、计算机名称、登入账号,且另外包含了IP地址、MAC地址等。
如图1及图2所示,该类型判断装置2信号连接于该信息收集装置1。该类型判断装置2经设置而依据该信息收集装置1所接收的该网点信息比对于一网点管理清单而判断出各个该对象网点(A1、A2、A3、B1、B2、B3)对该网络安全管理***的登入是属于该网点管理清单的哪一个的网点类型;或是,判断出并不属于该网点管理清单,并更进一步判断出是哪一种不在清单的类型。该类型判断装置2并将该网点信息的登入比对结果传于该事件管理装置3。
该事件管理装置3信号连接于该类型判断装置2。该事件管理装置3经设置依据该类型判断装置2的判断结果,从而判断该对象网点(A1、A2、A3、B1、B2、B3)所对应的一所属的该网点类型的清单内登入事件,或是并不在清单内的登入事件。并且,该事件管理装置3对在清单内的该对象网点(A1、A2、A3、B1、B2、B3)依所属的该网点类型,允许其登入***并给予特定的管理操作权限。该事件管理装置3并可以对不在清单内的该对象网点(A1、A2、A3、B1、B2、B3)而依据类型决定是否有操作权限,对于高危险类型予以阻断其登入***而联机,或是直接将所有不在清单内的该对象网点(A1、A2、A3、B1、B2、B3)进行阻断。
如图3所示,举例而言,该网点管理清单存取于本***内,本实施例为存取于该事件管理装置3。该网点管理清单为一列表。该网点管理清单的内容代表:索引号、不同的该网点类型及具有该网点类型所对应的一允许网域信息、一允许计算机名称信息及一允许账户信息的条件。
该网点类型选自一允许本机登入、一通用账号、一绑定计算机与账号及一通用计算机的四个类型其中之一。该允许网域信息、该允许计算机名称信息及该允许账户信息可为一空信息(null),以表示该信息不需具有对应的条件,亦即在进行该信息比对时忽略而不比对。该允许本机登入类型,其所对应的该允许网域信息与该允许账户信息为空信息;该通用账号类型,其所对应的该允许计算机名称为空信息;该绑定计算机与账号类型,则无空信息;该通用计算机类型,其所对应的该允许账号为空信息。
该类型判断装置2依据该网点信息的该网域信息、该计算机名称信息及该账户信息分别比对于该网点管理清单的该允许网域信息、该允许计算机名称信息及该允许账户信息。该类型判断装置2再依据分别比对结果而在查照出的该对象网点(A1、A2、A3、B1、B2、B3)在清单内的所对应的该网点类型而判断该对象网点(A1、A2、A3、B1、B2、B3)所属该网点类型。或是,在该类型判断装置2查照不出该对象网点(A1、A2、A3、B1、B2、B3)任何对应的该网点类型而判断该对象网点(A1、A2、A3、B1、B2、B3)不在清单内并进一步判断不在清单内的类型。
如图4所示,以下为该网点信息与该网点管理清单的网点登入类型比对步骤与其所对应的登入事件。
该允许网域信息比对步骤S101:比对该网点信息的该网域是否为该允许网域;
当该允许网域信息的比对步骤S101的结果为否时,则进行该允许本机登入类型的该允许计算机名称的比对步骤S102:比对该网点信息的该计算机名称是否为该允许本机登入类型的该允许计算机名称;
当该允许本机登入类型的该允许计算机名称比对步骤S102的结果为是时,则进行清单内的类型判断步骤S103:判断出该对象网点(A1、A2、A3、B1、B2、B3)的登入属于清单内的该允许本机登入类型,及其登入为一允许登入本机的清单内登入事件。
当该允许本机登入类型的该允许计算机信息比对步骤S102的结果为否时,则进行不在清单内的类型判断步骤S104:判断出该对象网点(A1、A2、A3、B1、B2、B3)的登入属于一不在清单内的非允许登入本机类型,及其登入为一非允许登入本机的不在清单内登入事件。
当该允许网域信息的比对步骤S101的结果为是时,则进行该允许计算机名称的比对步骤S105:比对该网点信息的该计算机名称是否为该允许计算机名称;
当该允许计算机名称信息的比对步骤S105的结果为否时,则进行该允许账户信息的比对步骤S106:比对该网点信息的该账号是否为该允许账号;
当该允许账户信息的比对步骤S106的结果为是时,则进一步进行该通用账号的该允许账户信息的比对步骤S107:比对该网点信息的该账号是否为该通用账号的该允许账号;
当该通用账号类型的该允许账户信息的比对步骤S107的结果为是时,则进行清单内的类型判断步骤S108:判断出该对象网点(A1、A2、A3、B1、B2、B3)的登入属于清单内的该通用账号类型,及其登入为一通用账号的清单内登入事件。
当该通用账号类型的该允许账户信息的比对步骤S107的结果为否时,则进行不在清单内的类型判断步骤S110:判断出该对象网点(A1、A2、A3、B1、B2、B3)的登入属于一不在清单内的非指定计算机类型,及其登入为一非指定计算机的不在清单内登入事件。
当该允许计算机名称信息的比对步骤S105的结果为否,且该允许账户信息的比对步骤S106的结果为否时,则进行不在清单内的类型判断步骤S109:判断出该对象网点(A1、A2、A3、B1、B2、B3)的登入属于一不在清单内的非管理清单类型及其登入为一非管理清单的不在清单内登入事件。
当该允许计算机名称信息的比对步骤S105的结果为是时,则进行该绑定计算机与账号类型的该允许账户信息的比对步骤S111:比对该网点信息的该账号是否为该绑定计算机与账号类型的该允许账号;
当该绑定计算机与账号类型的该允许账户信息的比对步骤S111的结果为是时,则进行清单内的类型判断步骤S112:判断出该对象网点(A1、A2、A3、B1、B2、B3)的登入属于清单内的该绑定计算机与账号类型,及其登入为一绑定计算机与账号的清单内登入事件。
当该绑定计算机与账号类型的该允许账户信息的比对步骤S111的结果为否时,则进一步进行该通用计算机类型的该允许计算机名称信息的比对步骤S113:比对该网点信息的该计算机名称信息是否为该通用计算机类型的该允许计算机名称;
当该通用计算机类型的该允许计算机名称信息的比对步骤S113的结果为是时,则进行清单内的类型判断步骤S114:判断出该对象网点(A1、A2、A3、B1、B2、B3)的登入属于清单内的该通用计算机类型,及其登入为一通用计算机的清单内登入事件。
当该通用计算机类型的该允许计算机名称信息的比对步骤S113的结果为否时,则进行不在清单内的类型判断步骤S115:判断出该对象网点(A1、A2、A3、B1、B2、B3)的登入属于不在清单内的一非指定账号类型,及其登入为一非指定账号的不在清单内登入事件。
通过上述步骤使该事件管理装置3能够依据该对象网点的清单内登入事件而让其登入于该管理***并根据该网点类型给予权限,并依据该对象网点的非清单登入事件而让其无法登入于该管理***,从而能分层管理权限保卫网络安全。
如图1及图2所示,该网络安全管理***100还可以包括一上线监控装置4。该上线监控装置4信号连接于该事件管理装置3。该上线监控装置4经设置而在一前次已判断不在清单内的该对象网点(A1、A2、A3、B1、B2、B3)上线于该网络环境时,从而监控该对象网点(A1、A2、A3、B1、B2、B3)。并且,该上线监控装置4经过一不在清单内登入***的事件判断步骤,从而产生一对应事件于该事件管理装置3,从而使该事件管理装置3能够根据事件而给予权限并得知是否异常。
举例而言,该上线监控装置4得知前次已判断不在清单内的该对象网点(A1、A2、A3、B1、B2、B3)上线的方式,是根据一不在清单内的设备管理清单而判断该对象网点于前次已不在清单内。该不在清单内的设备管理清单是在该类型判断装置2判断该对象网点不在清单内的状况下,同步建立于该事件管理装置3而将不在清单内的该对象网点的网点信息存入的列表中。
如图5所示,该不在清单内登入***的事件判断步骤如下:
判断步骤S201在该对象网点(A1、A2、A3、B1、B2、B3)上线时,进行判断步骤S202,判断该对象网点(A1、A2、A3、B1、B2、B3)是否被强制登入该网络安全管理***。
在判断步骤S202的判断结果为否时,则进入判断步骤S203,判断该对象网点(A1、A2、A3、B1、B2、B3)为一合法上线的不在管理范围内事件(如打印机、传真机等可不须登入***),并通知该对象网点(A1、A2、A3、B1、B2、B3)执行该安装代理程序的管理操作。而进行判断步骤S204,判断该对象网点(A1、A2、A3、B1、B2、B3)是否一安装代理程序并回报该网点信息,若为是,则接图4中的c而管理;若为否,则再次进入判断步骤S203。
当判断步骤S202的判断结果为是时,则进一步进行的判断步骤S205确认该信息收集装置1是否在时限内收集到该对象网点(A1、A2、A3、B1、B2、B3)的网点信息。若在判断步骤S205的判断结果为否,则判断该对象网点(A1、A2、A3、B1、B2、B3)为一未加入管理***的不在管理范围内事件S206。
如图1及图2所示,该网络安全管理***100还可以包括一定时确认装置5。该定时确认装置5信号连接于该事件管理装置3。该定时确认装置5经设置而对在清单内的该对象网点(A1、A2、A3、B1、B2、B3)登入***后,经一联机状况的事件判断步骤以进行定时确认联机稳定度的监控。并且,在异常情形发生后,该定时确认装置5产生一对应事件于该事件管理装置3,从而使该事件管理装置3能够根据事件而给予权限并得知其异常状况。该事件管理装置3更包括一定时回报事件管理模块31,经设置而在该定时确认装置5确认到该对象网点(A1、A2、A3、B1、B2、B3)为未定时回报信息时,判断为一计算机无响应的不在管理范围内事件。
如图6所示,该联机状况的事件判断步骤如下所示:
判断步骤S301判断该对象网点(A1、A2、A3、B1、B2、B3)是否上线,在上线时,进行判断步骤S302而针对是否定时回报一网点信息进行确认。当该定时确认装置5判断该对象网点为定时回报网点信息时,该定时回报事件管理模块31判断该对象网点为“在管理范围内合法上线S303”。反之,当该定时确认装置5判断该对象网点未定时回报网点信息时,该定时回报事件管理模块31判断该对象网点为“计算机无响应的不在管理范围内事件S304”。
该定时回报事件管理模块31经设置而判断为一计算机无响应事件时,对该对象网点(A1、A2、A3、B1、B2、B3)进行一Windows管理规范(WMI,Windows ManagementInstrumentation)的查询判断步骤S305。当判断步骤S305的结果为授权认证错误或域名不符时,则进一步进行判断步骤S306,判断该对象网点的联机为一退网域的不在管理范围内事件。
当判断步骤S305的结果为无授权认证错误或域名不符时,该定时回报事件管理模块31则再进行一管理规范的查询判断步骤S307,从而判断该对象网点(A1、A2、A3、B1、B2、B3)是否未安装有该代理程序。若判断步骤S307为是,则进行判断步骤S308,从而判断该对象网点的联机为一未安装代理程序的不在管理范围内事件。若判断步骤S307为否,则进行判断步骤S309,从而判断判断为一计算机无响应的不在管理范围内事件。
如图1及图2所示,该网络安全管理***100还可以包括一计算机识别装置6。该计算机识别装置6信号连接于该事件管理装置3。在该对象网点(A1、A2、A3、B1、B2、B3)的硬设备与前次不同时,该计算机识别装置6产生一计算机伪冒的异常事件的信息并传送给该事件管理装置3,从而使该事件管理装置3能够根据事件给予该对象网点权限并得知计算机伪冒的异常状况。该计算机识别装置6经设置而得到清单内的对象网点的硬设备的通用唯一标识符数据(UUID,Universally Unique Identifier)。其中,对象网点的硬设备的通用唯一标识符是该计算机识别装置6经由一管理规范的查询而得到。并且,该计算机识别装置6以通用唯一标识符数据为基础作为一计算机识别信息而储存,并将该计算机识别信息比对于前次所储存的计算机识别信息。当比对结果为不符时,该事件管理装置3则判断为一计算机伪冒的异常事件。
如图7所示,该计算机识别装置6的硬设备的事件的判断步骤如下所示:
于判断步骤S401,计算机识别装置6判断对象网点(A1、A2、A3、B1、B2、B3)是否上线。接着,计算机识别装置6进行查询步骤S402以得到对象网点的计算机识别信息。并且,计算机识别装置6以本次对象网点的计算机识别信息进行的判断步骤S403,以判断本次的对象网点是否具有前次上线的对象网点的计算机识别信息。
当判断步骤S403的结果为否时,计算机识别装置6则进行存取步骤S404,以建立本次上线的对象网点的计算机识别信息。
当判断步骤S403的结果为是时,计算机识别装置6则进行的比对步骤S405,以比对本次上线的对象网点的计算机识别信息与前次上线的对象网点的计算机识别信息是否不同。在比对步骤S405的结果为否时,则计算机识别装置6判断结果为正常。当比对步骤S405的结果为是时,计算机识别装置6则进行判断步骤S406,以判断本次对象网点(A1、A2、A3、B1、B2、B3)的硬设备的上线事件为一计算机伪冒的异常事件。
以上的叙述以及说明仅为本发明的较佳实施例的说明,本领域技术人员可依据本案权利要求范围以及上述的说明而作其他的修改,惟此些修改仍应是为本发明的创作精神而在本发明的权利范围中。
Claims (15)
1.一种网络安全管理***,其用于对于一内部网络环境所属的对象网点进行管理,其特征在于,该网络安全管理***包含:
一信息收集装置,收集各个该对象网点于登入时发出的网点信息,该网点信息包括网域信息、计算机名称信息及账户信息;
一类型判断装置,信号连接于该信息收集装置,该类型判断装置经设置而依据该信息收集装置所接收的该网点信息比对于一网点管理清单,从而判断出各个该对象网点对该网络安全管理***的登入所属的网点类型,其中,该网点管理清单对应于每个该网点类型而各具有允许网域信息、允许计算机名称信息及允许账户信息,且该网点信息与该网点管理清单的比对是依据该网点信息分别比对于该允许网域信息、该允许计算机名称信息及该允许账户信息的比对结果,从而在查照出的该对象网点在清单内的所对应的该网点类型而判断该对象网点所属该网点类型,或是在该对象网点无对应的该网点类型而判断该对象网点不在清单内;以及
一事件管理装置,信号连接于该类型判断装置,该事件管理装置经设置依据该类型判断装置的判断结果,从而判断该对象网点所对应的一登入事件,并据以对该对象网点执行一对应的管理操作,其中该管理操作包括决定该对象网点是否有操作权限或给予该对象网点对应于所属的该网点类型的操作权限。
2.如权利要求1所述的网络安全管理***,其特征在于,该网点类型包括一允许本机登入类型,其所对应的该允许网域信息与该允许账户信息为空信息,该类型判断装置比对于该允许网域信息,若该允许网域信息的比对结果为否,则比对于该允许本机登入类型的该允许计算机名称信息,若该允许本机登入类型的该允许计算机信息比对结果为是,则判断出该对象网点的登入属于清单内的该允许本机登入类型,该事件管理装置则判断为一允许登入本机的清单内登入事件。
3.如权利要求2所述的网络安全管理***,其特征在于,若该允许本机登入类型的该允许计算机信息比对结果为否,则判断出该对象网点的登入属于一不在清单内的非允许登入本机类型,该事件管理装置则判断为一非允许登入本机的不在清单内登入事件。
4.如权利要求1所述的网络安全管理***,其特征在于,该网点类型包括一通用账号类型,其所对应的该允许计算机名称为空信息,该类型判断装置分别比对于该允许网域信息、该允许计算机名称信息以及该允许账户信息,若该允许网域信息的比对结果为是、该允许计算机名称信息的比对结果为否以及该允许账户信息的比对结果为是,则进一步比对该通用账号类型的该允许账户信息,若该通用账号类型的该允许账户信息比对结果为是,则判断出该对象网点的登入属于清单内的该通用账号类型,该事件管理装置则判断为一通用账号的清单内登入事件。
5.如权利要求4所述的网络安全管理***,其特征在于,若该允许网域信息的比对结果为是、该允许计算机名称信息的比对结果为否以及该允许账户信息的比对结果为否,则判断出该对象网点的登入属于一不在清单内的非管理清单,该事件管理装置则判断为一非管理清单的不在清单内登入事件。
6.如权利要求4所述的网络安全管理***,其特征在于,若该通用账号类型的该允许账户信息比对结果为否,则判断出该对象网点的登入属于一不在清单内的非指定计算机类型,该事件管理装置则判断为一非指定计算机的不在清单内登入事件。
7.如权利要求1所述的网络安全管理***,其特征在于,该网点类型包括一绑定计算机与账号类型,该类型判断装置分别比对于该允许网域信息以及该允许计算机名称信息,若该允许网域信息的比对结果为是以及该允许计算机名称信息的比对结果为是,则比对于该绑定计算机与账号类型的该允许账户信息,若该绑定计算机与账号类型的该允许账户信息的比对结果为是,则判断出该对象网点的登入属于清单内的该绑定计算机与账号类型,该事件管理装置则判断为一绑定计算机与账号的清单内登入事件。
8.如权利要求7所述的网络安全管理***,其特征在于,该网点类型包括一通用计算机类型,其所对应的该允许账号为空信息,若该类型判断装置在该绑定计算机与账号类型的该允许账户信息的比对结果为否,则进一步比对于该通用计算机类型的该允许计算机名称信息,若通用计算机类型的该允许计算机名称信息的比对结果为是,则判断出该对象网点的登入属于清单内的该通用计算机类型,该事件管理装置则判断为一通用计算机的清单内登入事件。
9.如权利要求8所述的网络安全管理***,其特征在于,若通用计算机类型的该允许计算机名称信息的比对结果为否,则判断出该对象网点的登入属于不在清单内的一非指定账号类型,该事件管理装置则判断为一非指定账号的不在清单内登入事件。
10.如权利要求1所述的网络安全管理***,其特征在于,更包括一上线监控装置,信号连接于该事件管理装置,当该上线监控装置经设置而在一前次已判断不在清单内的该对象网点上线于该网络环境时,则判断该对象网点是否被强制登入该网络安全管理***,当该对象网点为未被强制登入该网络安全管理***时,该事件管理装置则判断该对象网点为一合法上线的不在管理范围内事件,并通知该对象网点执行一安装代理程序的管理操作。
11.如权利要求10所述的网络安全管理***,其特征在于,当该上线监控装置经设置而在判断出该对象网点为被强制登入该网络安全管理***时,则进一步确认该信息收集装置是否在时限内收集到该对象网点的网点信息,若为否,则该事件管理装置判断该对象网点为一未加入管理***的不在管理范围内事件。
12.如权利要求1所述的网络安全管理***,其特征在于,更包含一定时确认装置,信号连接于该事件管理装置,该定时确认装置经设置而对在清单内的该对象网点的是否定时回报一网点信息进行确认,以及该事件管理装置更包括一定时回报事件管理模块,定时回报事件管理模块经设置而在该定时确认装置确认到该对象网点为未定时回报信息时,则判断为一计算机无响应的不在管理范围内事件。
13.如权利要求12所述的网络安全管理***,其特征在于,当该定时回报事件管理模块经设置而判断为一计算机无响应事件时,则对该对象网点进行一管理规范的查询,若该管理规范的查询的结果为授权认证错误或域名不符,则进一步判断为一退网域的不在管理范围内事件。
14.如权利要求13所述的网络安全管理***,其特征在于,当该管理规范的查询的结果并无授权认证错误或域名不符时,该定时回报事件管理模块则再进行一管理规范的查询,从而判断该对象网点是否未安装有该代理程序,若为是,则判断为一未安装代理程序的不在管理范围内事件,若为否,则判断为一计算机无响应的不在管理范围内事件。
15.如权利要求1所述的网络安全管理***,其特征在于,更包括一计算机识别装置,信号连接于该事件管理装置,该计算机识别装置经设置而对于在清单内的该对象网点,经由一管理规范的查询而得到一该对象网点的通用唯一标识符数据,并以该通用唯一标识符数据为基础作为一计算机识别信息而储存,并通过将该计算机识别信息比对于前次所储存的计算机识别信息,当比对结果为不符时,该事件管理装置则判断为一计算机伪冒的异常事件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710867950.8A CN109547397B (zh) | 2017-09-22 | 2017-09-22 | 网络安全管理*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710867950.8A CN109547397B (zh) | 2017-09-22 | 2017-09-22 | 网络安全管理*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109547397A CN109547397A (zh) | 2019-03-29 |
| CN109547397B true CN109547397B (zh) | 2021-09-28 |
Family
ID=65828371
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710867950.8A Active CN109547397B (zh) | 2017-09-22 | 2017-09-22 | 网络安全管理*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109547397B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111885070A (zh) * | 2020-07-29 | 2020-11-03 | 解来斌 | 一种网络与信息安全管理*** |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102882828A (zh) * | 2011-07-11 | 2013-01-16 | 上海可鲁***软件有限公司 | 一种内网与外网间的信息安全传输控制方法及其网关 |
| CN103024740A (zh) * | 2011-09-28 | 2013-04-03 | 腾讯科技(深圳)有限公司 | 移动终端访问互联网的方法及*** |
| CN103746995A (zh) * | 2014-01-03 | 2014-04-23 | 汉柏科技有限公司 | 用于安全网络的用户管控方法及*** |
| CN104335523A (zh) * | 2014-04-15 | 2015-02-04 | 华为技术有限公司 | 一种权限控制方法、客户端及服务器 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1924907B (zh) * | 2005-09-02 | 2012-01-25 | 鸿富锦精密工业(深圳)有限公司 | 网络资源自动化管理***及方法 |
| CN102063588A (zh) * | 2010-12-15 | 2011-05-18 | 北京北信源软件股份有限公司 | 一种计算机终端网络安全防护的控制方法和*** |
| CN103248657B (zh) * | 2012-02-10 | 2016-08-31 | 董天群 | 网络发布设备信息方法及其设备信息分享方法 |
| US9143481B2 (en) * | 2013-06-06 | 2015-09-22 | Apple Inc. | Systems and methods for application-specific access to virtual private networks |
| US9313193B1 (en) * | 2014-09-29 | 2016-04-12 | Amazon Technologies, Inc. | Management and authentication in hosted directory service |
-
2017
- 2017-09-22 CN CN201710867950.8A patent/CN109547397B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102882828A (zh) * | 2011-07-11 | 2013-01-16 | 上海可鲁***软件有限公司 | 一种内网与外网间的信息安全传输控制方法及其网关 |
| CN103024740A (zh) * | 2011-09-28 | 2013-04-03 | 腾讯科技(深圳)有限公司 | 移动终端访问互联网的方法及*** |
| CN103746995A (zh) * | 2014-01-03 | 2014-04-23 | 汉柏科技有限公司 | 用于安全网络的用户管控方法及*** |
| CN104335523A (zh) * | 2014-04-15 | 2015-02-04 | 华为技术有限公司 | 一种权限控制方法、客户端及服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109547397A (zh) | 2019-03-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10749909B2 (en) | Method and apparatus for centralized policy programming and distributive policy enforcement | |
| US8256003B2 (en) | Real-time network malware protection | |
| US8286242B2 (en) | System and method for providing network security | |
| US7779465B2 (en) | Distributed peer attack alerting | |
| US20060149848A1 (en) | System, apparatuses, and method for linking and advising of network events related to resource access | |
| CN104219218B (zh) | 一种主动安全防御的方法及装置 | |
| CN103413083B (zh) | 单机安全防护*** | |
| CN101345660B (zh) | 一种基于tcpa/tcg可信网络连接的可信网络管理方法 | |
| CN100581116C (zh) | 一种实现可信网络管理的方法 | |
| CN101072108A (zh) | 一种ssl vpn客户端安全检查方法、***及其装置 | |
| CN113709211A (zh) | 基于旁路控制技术的网络终端准入控制方法 | |
| US6513120B2 (en) | Security system for transmission device | |
| CN109150853A (zh) | 基于角色访问控制的入侵检测***及方法 | |
| CN103618613A (zh) | 网络接入控制*** | |
| CN109547397B (zh) | 网络安全管理*** | |
| TWI660605B (zh) | 網路安全管理系統 | |
| JP4767683B2 (ja) | 中継装置、不正アクセス防止装置、およびアクセス制御プログラム | |
| CN111510431B (zh) | 一种泛终端准入管控平台、客户端及管控方法 | |
| CN116996238A (zh) | 一种网络异常访问的处理方法以及相关装置 | |
| JP2005318037A (ja) | 不正使用監視システム、不正使用監視警報装置、不正使用監視方法 | |
| CN112564982A (zh) | 安全风险自动通报方法及*** | |
| JP2003186763A (ja) | コンピュータシステムへの不正侵入の検知と防止方法 | |
| KR102174507B1 (ko) | 통신 게이트웨이 방화벽 자동설정장치 및 그 방법 | |
| CN110278112B (zh) | 一种计算机接入局域网后接受管理的控制方法 | |
| JP2006178762A (ja) | Pc検疫システム及びpc検疫方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |