CN110597629A - 一种基于资源前置雾化和云端池化的资源调度方法 - Google Patents
一种基于资源前置雾化和云端池化的资源调度方法 Download PDFInfo
- Publication number
- CN110597629A CN110597629A CN201910818008.1A CN201910818008A CN110597629A CN 110597629 A CN110597629 A CN 110597629A CN 201910818008 A CN201910818008 A CN 201910818008A CN 110597629 A CN110597629 A CN 110597629A
- Authority
- CN
- China
- Prior art keywords
- terminal
- security
- information
- policy
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5061—Partitioning or combining of resources
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种基于资源前置雾化和云端池化的资源调度方法,所述方法通过服务组合的方式,根据业务模型的分析,抽象出软件或功能所需的业务服务以及组合逻辑,并进行服务组合的设计和编排,采用可视化的编排方式和灵活的组合模式,以及动态编译技术和组合引擎的模式进行组合服务的执行,从而开发了高实时、松耦合的统一服务总线和共用组件,实现前置基础资源的雾化部署和云端专用资源的池化部署。
Description
技术领域
本发明属于网络信息安全技术领域,具体涉及一种基于资源前置雾化和云端池化的资源调度方法。
背景技术
随着移动互联网技术的迅速发展,互联网+、云计算、大数据、智能终端、物联网等新技术、新理念在公安警务实战工作中的应用逐步开展,警务改革全面进入深水区,全国公安如何利用科技趋势,提升执法办案和服务民众的工作效率迫在眉睫,大力发展移动警务实现业务流程再造,推动警务机制改革势在必行。而现有技术中,移动警务项目,在移动警务应用APP和移动警务应用服务器交互时,需要及时获取服务器端的数据。要获取服务器上不定时更新的信息,通常有两种方法:
1、轮询(Pull)方式:移动警务应用APP需阶段性的与应用服务器进行连接并查询是否有新的消息到达,移动警务应用APP需自主实现与服务器之间的通信,例如消息排队等。且需要考虑轮询的频率,如果太慢可能导致某些消息的延迟,如果太快,则会大量消耗网络带宽和电池;
2、持久连接(Push)方式:当移动警务应用服务器端有新信息时,则把最新的信息Push到移动警务应用APP上,此方式可以解决由轮询带来的性能问题,但是还是会消耗手机的电池和流量,但如果每一台手机仅仅保持一个与服务器之间的连接,即可很好的解决耗电和流量问题。
轮询(Pull)和持久连接(Push)两种方式都能实现获取服务器端更新信息的功能,但轮询(Pull)方式更费客户端的网络流量和电量,还需要移动警务应用APP不停地去监测服务端的变化。另外,由于Android操作***允许在低内存情况下杀死***服务,所以轮询(Pull)方式的推送通知服务有可能***作***关闭掉,同时考虑到其实现复杂度和电量、流量消耗问题,不采用此种方式。而持久连接(Push)方式则有效降低手机的耗电量和数据流量。但是该连接方式还是存在技术难点。
1、电源管理
Android***为了最大程度降低手机功耗、延长待机时间,在电源管理方面做了非常大量的底层工作,对电池的使用到了精打细算的地步。然而Android***在电源管理方面做出的这些努力,很轻易地就能被不守规矩的应用程序消耗殆尽。消息推送客户端模块服务作为需要长期后台稳定运行的程序,在电源管理方面要能做到取之有度,日均耗电量需控制在100mAh左右,降低对民警移动警务终端使用的影响。
2、网络稳定性
做为全省统一的移动警务***,由于各地市的地区差异、时间段差异、运营商差异都比较明显,使得移动警务终端实现稳定的联网困难重重。为了在各种网络条件下,都能实现稳定联网和流量消耗的兼顾平衡,消息推送组件需要能够根据网络状况动态调整心跳间隔的自适应算法,以最小的网络代价实现最稳定的联网质量。
3、性能问题
为了实现全省4万民警的消息推送客户端模块同时连接到服务端,同时又能控制***运营成本,消息推送组件需要具备平行可扩展能力,以及较高的接入服务器性能。
发明内容
为了解决上述问题,本发明提供一种基于前置资源雾化和云端资源池化的资源调度方法,所述方法由部署在防火墙前置服务区的安全管控策略前置服务器对前置资源进行雾化,当前置资源资源雾化完成后,由前置服务区进行安全策略分发,随后通过部署在公安信息网的终端安全管理***后台,将云端服务器池化,最后将安全策略分发后的资源,逐一与池化后的云端服务器对应,完成资源调度;
进一步地,所述方法具体包括:
S1:基础信息采集,进行移动警务终端硬件资源信息、应用软件信息和网络基础信息的自动采集;
S2:安全策略存储,Android或Windows终端安全加固组件支持终端侧安全策略的存储,采用策略存储器保存所有策略项和值;
S3:安全策略更新,Android或Windows终端安全加固组件支持终端侧安全策略的更新,策略存储器在策略值变化的时候向***发送消息,并连接终端安全管理前置服务器同步策略更新;
S4:安全策略执行,Android或Windows终端安全加固组件支持终端侧安全策略的执行,采用策略解析器解析存储的安全策略并在终端进行执行;
S5:终端后台登记,终端安全管理***的后台登记功能,为通过与鉴别评估管理***的接口实现SIM卡、终端加密卡和终端信息的新增和导入;
S6:终端统计分析,对收集到的终端信息整理后进行查询统计,以报表的形式展示给管理员;
S7:给终端分配策略,对终端使用的规则进行集中的定义,当规则下发到终端时,便变成具体的策略,对终端的策略进行集中的添加、修改和删除;
进一步地,S1中自动采集的基础信息在移动警务终端拨通安全接入通道后,提交到公安信息网内的终端安全管理***信息管理模块,Android移动警务终端的资源采集需要终端安全组件与Android操作***的对接;
进一步地,终端安全组件与Android操作***对接的接口函数包括:
获取android当前可用内存大小:
privateString getAvailMemory();
获得***总内存:
private String getTotalMemory();
获得手机屏幕宽高:
public String getHeightAndWidth();
获取IMEI号,IESI号,手机型号:
private void getInfo();
获取手机MAC地址:
private String getMacAddress();
手机CPU信息:
private String[]getCpuInfo();
获取***中所有安装包信息:
public String getAllPackages(Context context);
进一步地,S1中Windows类移动警务终端采集的基础信息包含操作***信息、机器名、登录用户、内存信息和网络信息,基础信息采集需要调用Windows***的API;
进一步地,所述前置服务区内部署安全管控策略前置服务器,安全管控策略前置服务器的功能包括:通过安全接入通道,访问终端安全管理***后台,读取终端黑名单信息;和在移动警务终端连接到公安无线虚拟专网,且未拨通公安信息网的情况下,下发终端数据抹除和锁定策略;
进一步地,所述S6终端统计分析具体为:对收集到的终端信息整理后进行查询统计,以报表的形式展示给管理员,终端信息包括终端在线、终端日志和终端资产,终端统计分析模块和移动警务***的统计分析子***对接,实现数据的报送和统一展示;
进一步地,所述S6终端统计分析中查询统计项包括:
I、上下线查询,按时间段查询单个终端或用户组的上下线情况;
II、资产信息查询,查询终端的类型、操作***和移动网络信息;
III:上下线统计:按月、日,分运营商统计终端当前在线数;
IV:资产信息统计,按不同制式,不同操作***,不同性能配置;
进一步地,所述S7给终端分配策略具体包括:
S71、显示策略列表;
S72、添加、修改、删除策略,但仅可修改本地被后台允许修改的策略值;
S73、配置应用策略,如建立强制安装列表、允许访问某类外设的应用白名单等;
S74、查看策略被应用的情况;
S75、分控默认策略管理;
本发明的有益效果如下:
1、本发明所述方法采用前置资源雾化、云端资源池化等弹性资源调度管理技术,开发了高实时、松耦合的统一服务总线和共用组件,为多样化应用开发提供统一的共***支撑;
2、本发明所述方法解决了警用移动应用软件不能快速响应业务变化、软件复用程度低、技术和业务混杂、以及开发效率和交付质量不高的问题;
3、本发明所述方法通过服务的抽象,最终形成服务的技术和业务规范,实现技术和业务的有效分离和解耦,通过全新服务实现以及集成服务实现方式,采用成熟的面向对象方法以及构件技术等进行移动警务服务的开发;
4、本发明所述方法通过服务组合的方式,根据业务模型的分析,抽象出软件或功能所需的业务服务以及组合逻辑,并进行服务组合的设计和编排,采用可视化的编排方式和灵活的组合模式,以及动态编译技术和组合引擎的模式进行组合服务的执行,从而开发了高实时、松耦合的统一服务总线和共用组件,实现前置基础资源的雾化部署和云端专用资源的池化部署。
附图说明
图1为本发明中所述终端安全管理***功能结构图;
图2为本发明中所述基础信息采集数据流程图;
图3为本发明中所述终端安全策略制定和分发流程图;
图4为本发明中所述终端策略接收与执行流程图;
图5为本发明中所述用户策略分配图;
图6为本发明中所述功能终端上下线时状态图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细描述。应当理解,此处所描述的具体实施例仅仅用于解释本发明,并不用于限定本发明。相反,本发明涵盖任何由权利要求定义的在本发明的精髓和范围上做的替代、修改、等效方法以及方案。进一步,为了使公众对本发明有更好的了解,在下文对本发明的细节描述中,详尽描述了一些特定的细节部分。对本领域技术人员来说没有这些细节部分的描述也可以完全理解本发明。
下面结合附图和具体实施例对本发明作进一步说明,但不作为对本发明的限定。下面为本发明的举出最佳实施例:
本发明提供一种基于前置资源雾化和云端资源池化的资源调度方法,所述方法终端安全管理***实现资源调度以及策略分发实施;
所述方法具体包括:
S1:基础信息采集,进行移动警务终端硬件资源信息、应用软件信息和网络基础信息的自动采集;
S2:安全策略存储,Android或Windows终端安全加固组件支持终端侧安全策略的存储,采用策略存储器保存所有策略项和值;
S3:安全策略更新,Android或Windows终端安全加固组件支持终端侧安全策略的更新,策略存储器在策略值变化的时候向***发送消息,并连接终端安全管理前置服务器同步策略更新;
S4:安全策略执行,Android或Windows终端安全加固组件支持终端侧安全策略的执行,采用策略解析器解析存储的安全策略并在终端进行执行;
S5:终端后台登记,终端安全管理***的后台登记功能,为通过与鉴别评估管理***的接口实现SIM卡、终端加密卡和终端信息的新增和导入;
S6:终端统计分析,对收集到的终端信息整理后进行查询统计,以报表的形式展示给管理员;
S7:给终端分配策略,对终端使用的规则进行集中的定义,当规则下发到终端时,便变成具体的策略,对终端的策略进行集中的添加、修改和删除;
如图1所示,图1是终端安全管理***的整体功能结构图,分为前台功能、前置服务区功能和后台功能。其中前台功能主要通过部署在终端侧的Android和Windows终端安全组件完成,前置服务区功能由部署在防火墙前置服务区的安全管控策略前置服务器完成,后台功能由部署在公安信息网的终端安全管理***后台完成。下文将根据功能结构图对各模块分别详细阐述。
1)基础信息采集
移动警务终端部署的Android和Windows安全组件,可进行移动警务终端硬件资源信息、应用软件信息、网络信息等基础信息的自动采集,并在移动警务终端拨通安全接入通道后,提交到公安信息网内的终端安全管理***信息管理模块。
Android移动警务终端的资源采集需要终端安全组件与Android操作***的对接,如下表所示的主要接口函数:
Windows类移动警务终端采集的基础信息包含操作***信息、机器名、登录用户、内存信息、网络信息等,这些基础信息采集需要调用Windows***的API,如下表所示的主要API。
基础信息采集数据流程图如图2所示:
2)安全策略存储
Android或Windows终端安全加固组件支持终端侧安全策略的存储,采用策略存储器保存所有策略项和值。
3)安全策略更新
Android或Windows终端安全加固组件支持终端侧安全策略的更新,策略存储器在策略值变化的时候向***发送消息,并连接终端安全管理前置服务器同步策略更新,如图3所示。
4)安全策略执行
Android或Windows终端安全加固组件支持终端侧安全策略的执行,采用策略解析器解析存储的安全策略并在终端进行执行,如图4所示。
前置服务区部署安全管控策略前置服务器,该服务器的主要功能如下:
1、通过安全接入通道,访问终端安全管理***后台,读取终端黑名单信息;
2、在移动警务终端连接到公安无线虚拟专网,且未拨通公安信息网的情况下,下发终端数据抹除和锁定策略。
1)终端后台登记
终端安全管理***的后台登记功能,为通过与鉴别评估管理***的接口实现SIM卡、终端加密卡和终端信息的新增和导入
2)终端统计分析
对收集到的终端信息整理后进行查询统计,以报表的形式展示给管理员,这些信息有终端在线、终端日志、终端资产等。
终端统计分析模块需要和移动警务***的统计分析子***对接,实现数据的报送和统一展示。
设计有以下查询统计项:
1、上下线查询,按时间段查询单个终端或用户组(及组合)的上下线情况;
2、资产信息查询,查询终端的类型、操作***、移动网络等信息;
3、上下线统计:按月、日,分运营商统计终端当前在线数;
4、资产信息统计,按不同制式,不同操作***,不同性能配置。
3)Windows终端安全加固后台
通过Windows终端安全加固后台,管理员可以完成所有与终端安全管理维护相关的各种任务,具体包括:
网络准入控制管理、终端管理、终端用户管理、终端策略管理、终端补丁管理、终端资产管理、终端的软件分发、终端的远程管理和维护、终端用户日常行为监控和审计(包括文件操作,打印操作、网络共享、网络访问、和实时屏幕和历史屏幕信息等)、终端桌面管理(包括:运行的程序、打开的窗口、运行的服务等)、终端文件***保护(包括:证书认证登录***、文件加解密***、保密磁盘)、外设管理、移动存储设备管理、对管理员的各种操作,提供审计功能,以备事后审计。
根据Windows类终端的管理模式和安全要求,Windows终端安全加固后台功能模块设计如下:
1、终端组管理:对终端进行分区域管理,包括区域的添加、修改、删除和区域过滤;
2、终端管理:对注册的终端进行审批,审批通过的终端落入指定的区域,受到区域策略的管理,拥有相应的功能;对未注册或注册但没有审批不通过的终端,进行功能限制;
3、用户组管理:对用户组的管理包括用户组的添加、用户组名称修改、用户分组信息修改,用户组的删除;
4、用户管理:包括用户的添加、修改、删除、用户锁定和解锁、用户文件外带权限的设置、挂失与恢复、多级管理设定;
5、终端策略管理:对终端使用的规则进行集中的定义,当规则下发到终端时,便变成具体的策略。对终端的策略进行集中的添加、修改和删除;
6、终端接入控制管理:实现对网络内部所有的计算机接入网络进行准入控制,防止外来电脑或者不符合规定的电脑接入内部网络中;
7、用户认证登陆控制:采用完全基于PKI体制的认证协议,与移动警务数字证书相结合,独立于Microsoft***,从而给用户提供了更加专业的认证技术保证;
8、外设管理:对***的各种外设进行管理。对被禁止使用的外设,无论客户端使用者进行任何启用操作,均无法使用;
9、进程管理对***中可以运行的进程进行管理,需要指定进程的名称、版本、文件大小和进程的MD5码。对于被禁用的进程,如果违规使用***会自动将其终止,记录日志并对进行审计;
10、服务管理:对***中可以运行的服务进行管理,需要指定服务的名称或者全称。对于被禁用的服务,如果违规启用***会自动将其终止,记录日志并进行审计;
11、文件操作记录:记录客户端计算机文件操作动作,如:创建、删除、重命名等,并对这些日志进行审计;
12、网络共享控制:对计算机设置的网络共享和默认共享进行管理,可以防止桌面终端用户通过文件共享的方式外传文件,例如:通过Windows共享、FTP共享等。自动运行在桌面终端上的客户端可以禁止Windows共享或者对Windows共享方式外传的文件进行审计;
13、IP与端口控制:对客户端计算机网络地址和端口进行封禁,禁止非法外联,禁止IP和端口;
14、IP地址绑定:对客户端计算机使用的IP地址进行锁定,不允许用户自行修改IP地址;
15、非法接入阻断:使用客户端进行非法IP的监视和阻断,从而阻止非法用户计算机联入当前网络;
16、ARP防火墙:对局域网内ARP欺骗行为进行有效的防护。安装了客户端的计算机不能发起ARP欺骗行为,也不会受到ARP欺骗;
17、屏幕信息监控:客户端计算机屏幕信息进行监控,查看用户的屏幕操作界面;
18、移动存储策略管理:U盘注册后,可以根据不同需求针对U盘下发不同策略,可以正常读写、只读、加密读写、禁止使用;
19、硬件终端查询:对客户端计算机硬件资产进行审计。审计的硬件资产信息包括:CPU、内存、硬盘、光驱、显卡鼠标、键盘等;
20、软件终端查询:对客户端计算机软件资产进行审计。
4)Android终端安全加固后台
根据Android类终端管理模式和安全要求,Android终端安全加固后台功能模块设计如下:
1、制定终端策略,包括增删改;
2、给终端分配策略,实质上是给用户分配策略;
3、下发策略到终端;
4、终端在线维护;
5、用户组管理,包括增删改查。单个用户如果建立策略表的话,那么策略表=用户数x策略项数,这张表会很庞大导致不易维护,查询性能也下降。所以,建立用户组的概念,给组分配策略,那么同一组的用户也拥有相同的策略;
6、策略项的增删改;
a)显示策略列表;
b)添加、修改、删除策略,但仅可修改本地被后台允许修改的策略值;
c)配置应用策略,如建立强制安装列表、允许访问某类外设的应用白名单等;
d)查看策略被应用的情况;
e)分控默认策略管理。
根据需求分析情况,Android类终端的主要安全策略项设计如下:
1、移动警务终端应用合规性监测,监测移动警务终端的应用安装情况,通过静默或提示方式强制安装基础应用;
2、Android类移动警务终端应用安装权限控制:实现对终端应用安装权限的控制;
3、Android类移动警务终端ROOT权限监测,阻止应用对ROOT权限的非法获取;
4、Android类移动警务终端防刷机机制,防止移动警务终端用户自行刷机;
5、Android类移动警务应用签名验证,对移动警务应用进行签名,提高安全性和可信性;
6、移动警务终端外设控制:对移动警务终端的外设控制,如通话、短信、录音、GPS、USB、蓝牙、WIFI、摄像头等;
7、移动警务终端数据加密策略:实现对移动警务终端敏感数据的加密存储;
8、移动警务终端IP控制,对网络地址和端口进行安全封禁;
9、移动警务终端锁定屏幕策略,10分钟内无任何操作或拔出终端加密卡TF卡须进行自动锁定屏幕;
10、移动警务终端病毒防护,必须安装经国家认证、许可的正版防病毒软件,并提供有效的更新机制;
11、移动警务终端网络控制:网络资源访问可进行控制,确保仅能访问VPDN专网和公安信息网资源,防止“一机两用”;
12、移动警务终端远程数据抹除和设备锁定:在移动警务终端丢失且没有拨通VPN通道的情况下,可通过前置服务区部署的安全管控策略前置服务器,发送数据抹除和设备锁定指令;
13、提供移动警务终端登陆或用户/帐号切换的情况下,对浏览器等应用程序的缓冲数据、临时文件等进行清除;
14)终端内容安全:确保终端的内容,如网页、DOC、PDF、EXCEL等文档的安全,不被非授权的读取;通过控制终端安装非应用仓库所提供的应用程序方式实现(终端必须下载使用应用仓库内的阅读器组件,且连通公安信息网时才能启动终端侧的文档阅读器,断开公安网时自动关闭文档阅读器)
15)、移动警务终端安全审计:对***的使用和管理进行有效的审计。
Android类终端的安全策略接口设计如下:
请求将会传递XML类型STRING字符串,如请求安全策略
<Event>
<Id>4</Id>//获取安全策略
<TF_Id>MSH000001X</TF_Id>
</Event>
部分安全策略项的接口说明如下表所示:
为实现Android类终端的统一管控,其后台管理业务流程设计如下:
1)增加管理员
以预置的超级管理员或其他具有管理员权限的管理员身份登录,创建特定的管理员,并赋予需要的操作权限,比如用户管理、策略管理等。
2)在用户管理直接分配策略
管理员登录后决定是否要使用新的策略还是沿用已有的策略分配给用户。如果是新的则通过策略管理创建一个新策略。
管理员查看该用户是新用户还是已存在的用户,如果是新用户,则通过用户管理来创建该用户。
管理员从策略集中策略集合中挑选希望的策略给该用户,如图5所示。
3)通过用户组给用户分配策略
管理员登录后决定是否要使用新的策略还是沿用已有的策略分配给用户。如果是新的则通过策略管理创建一个新策略;
管理员查看该用户是新用户还是已存在的用户,如果是新用户,则通过用户管理来创建该用户;
管理员决定是否要给该用户分配新的用户组还是分配给已有的用户组。如果是新的则通过用户组管理创建一个新的用户组。然后检查要分配策略的用户是否在该用户组,如果不在,则将该用户添加到此用户组中;
管理员检查这个用户组的策略是否是希望的策略,如果是则完成;否则从策略集合中挑选希望的策略。给策略组分配策略就是给该组的所有用户分配策略。
4)修改用户信息
管理员登录后进入用户管理,通过身份证或姓名等查询定位该用户,查看该用户信息并进行修改。管理员可以继续查看该用户的终端设备信息,也能添加、删除终端设备,根据需要也可以给该用户分配用户组;
用户管理中,管理员可以选择该用户并删除;
如果找不到该用户,管理员可以添加,添加的过程和修改是类似的。
5)强制安装应用
管理员登录后进入策略管理,检查希望强制安装的应用是否已在应用列表中,如果没有则添加。添加过程中需要输入一些应用的信息比如应用名、描述等,还需要上传该应用的APK包。
管理员从策略列表中选取策略,进入后找到强制安装选项,然后从未分配应用列表中挑选应用。管理员可以从已分配的应用列表中去掉一些应用,这些应用将不再被强制推送。
强制应用的安装过程可分为两种方式:
A、移动警务终端的操作***是定制的安全加固操作***,可以实现应用的强制推送和静默安装;
B、移动警务终端的操作***未经处理,安装安全加固组件后,将会在终端侧不停跳出安装提示,强制要求用户手动安装推送的应用。
6)终端上下线
终端必须发上线请求;
终端可发下线请求;
终端必须发心跳包。
中间的时间段,通信模块有个时间轮询片段,判断所有在线的终端它上次访问分控的时间是否超过了***允许的最大不活跃间隔(比如30分钟,外部可设置),超过了就认为该终端已经下线,接着就按终端下线处理,如图6所示。
7)获取安全策略
移动警务终端登录上线时,Android终端安全加固***后台根据其角色下发安全策略至移动警务终端,这个动作取终端自己的全部策略。
Android终端安全管理的功能清单如下:
5)终端安全管控策略前置模块
为保障未拨通安全接入通道的移动警务终端的远程管控,在前置服务区设计终端安全管控策略前置服务器,在其中部署终端安全管理策略前置模块,该服务器可同步终端安全管理***后台的终端黑名单,并向终端下发数据抹除和终端锁定策略。
6)版本管理
Windows终端安全加固组件和Android终端安全加固组件版本的升级,可以通过终端安全管理***的版本管理模块,进行推送或者下发安装包等方式升级。
为实现版本的统一管理和维护,版本管理模块设计有如下功能:
(1)在***升级之前给予警告,写明升级的条件,比如保持电量,保持终端加密卡等等;
(2)Windows终端安全加固组件和Android终端安全加固组件自身增加检测和自动升级的功能;
(3)调用终端安全加固策略,支持强制安装和静默安装。
7)***管理
***管理模块实现***功能,如管理员管理、操作审计、***参数设置、数据库维护、***升级、***还原、***授权等配套设施,并可提供帮助***。
设计有如下的***管理功能:
1)管理员管理,管理员删除、修改、新增,给管理员分配权限;
2)***配置,***内部参数设置,比如最大密码尝试次数、限制管理员登录地址等;
3)审计,管理员操作行为检查;
4)产品许可证,导入许可证,显示可用的功能、使用时间、最大访问用户数等
5)数据库操作,数据备份与恢复;
6)***升级,上传升级包后升级***,并显示升级记录;
7)***还原,创建还原点,用户可回滚到选定的还原点;
8)数据字典管理,如职务管理、地区维护等。
本发明采用前置资源雾化、云端资源池化等弹性资源调度管理技术,开发了高实时、松耦合的统一服务总线和共用组件,为多样化应用开发提供统一的共***支撑。
移动警务***采用面向服务的软件构建方法,解决了警用移动应用软件不能快速响应业务变化、软件复用程度低、技术和业务混杂、以及开发效率和交付质量不高的问题。根据移动应用软件的业务特征,基于领域知识,梳理和归纳出移动警务业务模型。结合自顶向下以及自底向上的两种方法模型进行服务的抽象,使其具备特定业务功能的、可独立运行的、具有稳定接口的、可被重用的技术实体。通过服务的抽象,最终形成服务的技术和业务规范,实现技术和业务的有效分离和解耦。通过全新服务实现以及集成服务实现方式,采用成熟的面向对象方法以及构件技术等进行移动警务服务的开发。最后通过服务组合的方式,根据业务模型的分析,抽象出软件或功能所需的业务服务以及组合逻辑,并进行服务组合的设计和编排,采用可视化的编排方式和灵活的组合模式,以及动态编译技术和组合引擎的模式进行组合服务的执行,从而开发了高实时、松耦合的统一服务总线和共用组件,实现前置基础资源的雾化部署和云端专用资源的池化部署。
以上所述的实施例,只是本发明较优选的具体实施方式的一种,本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。
Claims (9)
1.一种基于资源前置雾化和云端池化的资源调度方法,其特征在于,所述方法由部署在防火墙前置服务区的安全管控策略前置服务器对前置资源进行雾化,当前置资源资源雾化完成后,由前置服务区进行安全策略分发,随后通过部署在公安信息网的终端安全管理***后台,将云端服务器池化,最后将安全策略分发后的资源,逐一与池化后的云端服务器对应,完成资源调度。
2.根据权利要求1所述的资源调度方法,其特征在于,所述方法具体包括:
S1:基础信息采集,进行移动警务终端硬件资源信息、应用软件信息和网络基础信息的自动采集;
S2:安全策略存储,Android或Windows终端安全加固组件支持终端侧安全策略的存储,采用策略存储器保存所有策略项和值;
S3:安全策略更新,Android或Windows终端安全加固组件支持终端侧安全策略的更新,策略存储器在策略值变化的时候向***发送消息,并连接终端安全管理前置服务器同步策略更新;
S4:安全策略执行,Android或Windows终端安全加固组件支持终端侧安全策略的执行,采用策略解析器解析存储的安全策略并在终端进行执行;
S5:终端后台登记,终端安全管理***的后台登记功能,为通过与鉴别评估管理***的接口实现SIM卡、终端加密卡和终端信息的新增和导入;
S6:终端统计分析,对收集到的终端信息整理后进行查询统计,以报表的形式展示给管理员;
S7:给终端分配策略,对终端使用的规则进行集中的定义,当规则下发到终端时,便变成具体的策略,对终端的策略进行集中的添加、修改和删除。
3.根据权利要求2所述的方法,其特征在于,S1中自动采集的基础信息在移动警务终端拨通安全接入通道后,提交到公安信息网内的终端安全管理***信息管理模块,Android移动警务终端的资源采集需要终端安全组件与Android操作***的对接。
4.根据权利要求3所述的方法,其特征在于,终端安全组件与Android操作***对接的接口函数包括:
获取android当前可用内存大小:
privateString getAvailMemory();
获得***总内存:
private String getTotalMemory();
获得手机屏幕宽高:
public String getHeightAndWidth();
获取IMEI号,IESI号,手机型号:
private void getInfo();
获取手机MAC地址:
private String getMacAddress();
手机CPU信息:
private String[]getCpuInfo();
获取***中所有安装包信息:
public String getAllPackages(Context context)。
5.根据权利要求3所述的方法,其特征在于,S1中Windows类移动警务终端采集的基础信息包含操作***信息、机器名、登录用户、内存信息和网络信息,基础信息采集需要调用Windows***的API。
6.根据权利要求1所述的方法,其特征在于,所述前置服务区内部署安全管控策略前置服务器,安全管控策略前置服务器的功能包括:通过安全接入通道,访问终端安全管理***后台,读取终端黑名单信息;和在移动警务终端连接到公安无线虚拟专网,且未拨通公安信息网的情况下,下发终端数据抹除和锁定策略。
7.根据权利要求2所述的方法,其特征在于,所述S6终端统计分析具体为:对收集到的终端信息整理后进行查询统计,以报表的形式展示给管理员,终端信息包括终端在线、终端日志和终端资产,终端统计分析模块和移动警务***的统计分析子***对接,实现数据的报送和统一展示。
8.根据权利要求7所述的方法,其特征在于,所述S6终端统计分析中查询统计项包括:
I、上下线查询,按时间段查询单个终端或用户组的上下线情况;
II、资产信息查询,查询终端的类型、操作***和移动网络信息;
III:上下线统计:按月、日,分运营商统计终端当前在线数;
IV:资产信息统计,按不同制式,不同操作***,不同性能配置。
9.根据权利要求7所述的方法,其特征在于,所述S7给终端分配策略具体包括:
S71、显示策略列表;
S72、添加、修改、删除策略,但仅可修改本地被后台允许修改的策略值;
S73、配置应用策略,如建立强制安装列表、允许访问某类外设的应用白名单等;
S74、查看策略被应用的情况;
S75、分控默认策略管理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910818008.1A CN110597629A (zh) | 2019-08-30 | 2019-08-30 | 一种基于资源前置雾化和云端池化的资源调度方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910818008.1A CN110597629A (zh) | 2019-08-30 | 2019-08-30 | 一种基于资源前置雾化和云端池化的资源调度方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110597629A true CN110597629A (zh) | 2019-12-20 |
Family
ID=68856646
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910818008.1A Pending CN110597629A (zh) | 2019-08-30 | 2019-08-30 | 一种基于资源前置雾化和云端池化的资源调度方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110597629A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113037524A (zh) * | 2019-12-24 | 2021-06-25 | 阿里巴巴集团控股有限公司 | 服务实例的部署方法、装置及一致****** |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1604541A (zh) * | 2004-11-01 | 2005-04-06 | 沈明峰 | 基于安全策略的网络安全管理***和方法 |
CN101534300A (zh) * | 2009-04-17 | 2009-09-16 | 公安部第一研究所 | 多访问控制机制结合的***保护架构及方法 |
CN103281339A (zh) * | 2013-06-21 | 2013-09-04 | 上海辰锐信息科技公司 | 一种移动终端的安全控制*** |
CN103400226A (zh) * | 2013-07-31 | 2013-11-20 | 湖南省烟草公司永州市公司 | 一种烟草行业信息安全运维一体化应用平台*** |
CN103441882A (zh) * | 2013-09-04 | 2013-12-11 | 上海辰锐信息科技公司 | 一种远程管理互联网访问的方法 |
CN103442354A (zh) * | 2013-09-04 | 2013-12-11 | 上海辰锐信息科技公司 | 一种移动警务终端安全管控*** |
CN104301366A (zh) * | 2013-09-24 | 2015-01-21 | 上海辰锐信息科技公司 | 一种移动警务应用管控*** |
CN106875092A (zh) * | 2017-01-10 | 2017-06-20 | 广东精规划信息科技股份有限公司 | 一种移动警务巡特警*** |
CN107196906A (zh) * | 2017-03-31 | 2017-09-22 | 山东超越数控电子有限公司 | 一种安全域网络接入控制方法及*** |
CN109858286A (zh) * | 2018-12-07 | 2019-06-07 | 赵耘田 | 针对可信计算平台的安全策略管理*** |
CN109995769A (zh) * | 2019-03-18 | 2019-07-09 | 上海辰锐信息科技公司 | 一种多级异构跨区域的全实时安全管控方法 |
-
2019
- 2019-08-30 CN CN201910818008.1A patent/CN110597629A/zh active Pending
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1604541A (zh) * | 2004-11-01 | 2005-04-06 | 沈明峰 | 基于安全策略的网络安全管理***和方法 |
CN101534300A (zh) * | 2009-04-17 | 2009-09-16 | 公安部第一研究所 | 多访问控制机制结合的***保护架构及方法 |
CN103281339A (zh) * | 2013-06-21 | 2013-09-04 | 上海辰锐信息科技公司 | 一种移动终端的安全控制*** |
CN103400226A (zh) * | 2013-07-31 | 2013-11-20 | 湖南省烟草公司永州市公司 | 一种烟草行业信息安全运维一体化应用平台*** |
CN103441882A (zh) * | 2013-09-04 | 2013-12-11 | 上海辰锐信息科技公司 | 一种远程管理互联网访问的方法 |
CN103442354A (zh) * | 2013-09-04 | 2013-12-11 | 上海辰锐信息科技公司 | 一种移动警务终端安全管控*** |
CN104301366A (zh) * | 2013-09-24 | 2015-01-21 | 上海辰锐信息科技公司 | 一种移动警务应用管控*** |
CN106875092A (zh) * | 2017-01-10 | 2017-06-20 | 广东精规划信息科技股份有限公司 | 一种移动警务巡特警*** |
CN107196906A (zh) * | 2017-03-31 | 2017-09-22 | 山东超越数控电子有限公司 | 一种安全域网络接入控制方法及*** |
CN109858286A (zh) * | 2018-12-07 | 2019-06-07 | 赵耘田 | 针对可信计算平台的安全策略管理*** |
CN109995769A (zh) * | 2019-03-18 | 2019-07-09 | 上海辰锐信息科技公司 | 一种多级异构跨区域的全实时安全管控方法 |
Non-Patent Citations (1)
Title |
---|
肖治庭 等: ""涉密内部网用户终端安全防护研究"", 《电子科技》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113037524A (zh) * | 2019-12-24 | 2021-06-25 | 阿里巴巴集团控股有限公司 | 服务实例的部署方法、装置及一致****** |
CN113037524B (zh) * | 2019-12-24 | 2023-10-24 | 阿里巴巴集团控股有限公司 | 服务实例的部署方法、装置及一致****** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11489879B2 (en) | Method and apparatus for centralized policy programming and distributive policy enforcement | |
US20190173922A1 (en) | Automated multi-level federation and enforcement of information management policies in a device network | |
US9558343B2 (en) | Methods and systems for controlling access to resources and privileges per process | |
Reed et al. | Xenoservers: Accountable execution of untrusted programs | |
RU2598324C2 (ru) | Средства управления доступом к онлайновой службе с использованием внемасштабных признаков каталога | |
US9171172B2 (en) | Automated multi-level federation and enforcement of information management policies in a device network | |
US11212285B2 (en) | Access control system and method | |
CN103413083B (zh) | 单机安全防护*** | |
US7376971B2 (en) | Computer implemented method and system for controlling use of digitally encoded products | |
US20120215923A1 (en) | Method and system for policy based lifecycle management of virtual software appliances | |
CN111079091A (zh) | 一种软件的安全管理方法、装置、终端及服务器 | |
US20120290455A1 (en) | System and Method for Providing Computer Services | |
US10333778B2 (en) | Multiuser device staging | |
US20070091809A1 (en) | Managed network resource sharing and optimization method and apparatus | |
CN114003943A (zh) | 一种用于机房托管管理的安全双控管理平台 | |
CN109977644B (zh) | 一种Android平台下分级权限管理方法 | |
CN110597629A (zh) | 一种基于资源前置雾化和云端池化的资源调度方法 | |
CN114117410A (zh) | 容器安全隔离加固方法、装置、电子设备及存储介质 | |
US20200228345A1 (en) | Self-governed secure attestation policy for server data privacy logs | |
Basu et al. | Interactive Grid Architecture for Application Service Providers. | |
US20090171965A1 (en) | System and Method For Policy Based Control of NAS Storage Devices | |
CN114285842A (zh) | 一种基于云桌面的电子阅览室搭建方法及*** | |
Talwar et al. | Architecture and environment for enabling interactive grids | |
US10862747B2 (en) | Single user device staging | |
KR20000030889A (ko) | 컴퓨터 네트워크를 이용한 소프트웨어 라이선스 관리 방법및 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191220 |
|
RJ01 | Rejection of invention patent application after publication |