用于網(wǎng)絡(luò)監(jiān)控系統(tǒng)的權(quán)限處理方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)監(jiān)控領(lǐng)域��,具體而言����,涉及一種用于網(wǎng)絡(luò)監(jiān)控系統(tǒng)的權(quán)限處理方法和裝置����。
【背景技術(shù)】
[0002]網(wǎng)絡(luò)監(jiān)控系統(tǒng)是對(duì)局域網(wǎng)中的網(wǎng)絡(luò)設(shè)備����、安全設(shè)備�����、存儲(chǔ)設(shè)備�、主機(jī)設(shè)備、應(yīng)用服務(wù)等提供監(jiān)控和管理的安全系統(tǒng)�����。網(wǎng)絡(luò)監(jiān)控系統(tǒng)還能夠?qū)Χ喾N網(wǎng)絡(luò)安全設(shè)備的性能及運(yùn)行狀況進(jìn)行監(jiān)測(cè)�����,采集多種信息源的安全事件信息并提供實(shí)時(shí)告警及圖形化分析�。
[0003]發(fā)明人發(fā)現(xiàn),現(xiàn)有的網(wǎng)絡(luò)監(jiān)控系統(tǒng)大多只為整個(gè)系統(tǒng)設(shè)置超級(jí)管理員�����,超級(jí)管理員具有對(duì)所有功能和所有設(shè)備的管理權(quán)限�����,這種管理方式便于系統(tǒng)配置和維護(hù)�����。然而�,網(wǎng)絡(luò)監(jiān)控系統(tǒng)中管理的資產(chǎn)設(shè)備重要程度也不盡相同,一般的網(wǎng)絡(luò)監(jiān)控系統(tǒng)不對(duì)資產(chǎn)本身進(jìn)行訪問(wèn)控制����,現(xiàn)有的網(wǎng)絡(luò)監(jiān)控系統(tǒng)的權(quán)限配置,使得用戶具有所有資產(chǎn)的監(jiān)控和管理權(quán)限�����,這使得局域網(wǎng)中的資產(chǎn)設(shè)備存在安全隱患�。
[0004]針對(duì)現(xiàn)有技術(shù)中網(wǎng)絡(luò)監(jiān)控系統(tǒng)的權(quán)限配置存在安全隱患的問(wèn)題,目前尚未提出有效的解決方案�����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的主要目的在于提供一種用于網(wǎng)絡(luò)監(jiān)控系統(tǒng)的權(quán)限處理方法和裝置�,以解決現(xiàn)有技術(shù)中網(wǎng)絡(luò)監(jiān)控系統(tǒng)的權(quán)限配置存在安全隱患的問(wèn)題。
[0006]為了實(shí)現(xiàn)上述目的�,根據(jù)本發(fā)明實(shí)施例的一個(gè)方面,提供了一種用于網(wǎng)絡(luò)監(jiān)控系統(tǒng)的權(quán)限處理方法。根據(jù)本發(fā)明的用于網(wǎng)絡(luò)監(jiān)控系統(tǒng)的權(quán)限處理方法包括:接收登錄網(wǎng)絡(luò)監(jiān)控系統(tǒng)的用戶信息��,其中���,所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)設(shè)置有第一權(quán)限����、第二權(quán)限和第三權(quán)限���,所述第一權(quán)限為對(duì)所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)進(jìn)行配置管理和維護(hù)的權(quán)限�,所述第二權(quán)限為設(shè)置所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)所管理的資產(chǎn)的安全屬性和安全規(guī)則的權(quán)限��,所述第三權(quán)限為對(duì)所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的審計(jì)信息進(jìn)行管理的權(quán)限�;對(duì)所述用戶信息進(jìn)行驗(yàn)證,確定用戶對(duì)應(yīng)的系統(tǒng)角色所具有的功能權(quán)限和所述用戶所具有的資產(chǎn)權(quán)限��;以及根據(jù)確定出的權(quán)限控制所述用戶對(duì)所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的訪問(wèn)或者操作���。
[0007]進(jìn)一步地���,在接收登錄網(wǎng)絡(luò)監(jiān)控系統(tǒng)的用戶信息之前,所述方法還包括:通過(guò)所述第一權(quán)限對(duì)所述用戶對(duì)應(yīng)的系統(tǒng)角色的訪問(wèn)權(quán)限進(jìn)行配置����,所述訪問(wèn)權(quán)限用于訪問(wèn)所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的功能模塊�,根據(jù)確定出的權(quán)限控制所述用戶對(duì)所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的訪問(wèn)或者操作包括:根據(jù)所述訪問(wèn)權(quán)限控制所述用戶對(duì)所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的功能模塊的訪問(wèn)�。
[0008]進(jìn)一步地�����,根據(jù)所述訪問(wèn)權(quán)限控制所述用戶對(duì)所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的功能模塊的訪問(wèn)包括:過(guò)濾掉所述訪問(wèn)權(quán)限無(wú)法訪問(wèn)的所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的功能模塊����,顯示過(guò)濾后的所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的功能模塊;所述用戶基于所述訪問(wèn)權(quán)限訪問(wèn)顯示的所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的功能t吳塊�。
[0009]進(jìn)一步地,在接收登錄網(wǎng)絡(luò)監(jiān)控系統(tǒng)的用戶信息之前�,所述方法還包括:通過(guò)所述第二權(quán)限對(duì)所述用戶的資產(chǎn)權(quán)限進(jìn)行配置,所述資產(chǎn)權(quán)限為對(duì)所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)中的資產(chǎn)的訪問(wèn)權(quán)限�;通過(guò)所述第二權(quán)限對(duì)所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)中的資產(chǎn)的安全級(jí)別進(jìn)行配置,根據(jù)確定出的權(quán)限控制所述用戶對(duì)所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的訪問(wèn)或者操作包括:根據(jù)所述資產(chǎn)權(quán)限控制所述用戶對(duì)所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的資產(chǎn)的訪問(wèn)���。
[0010]進(jìn)一步地�����,所述方法還包括:通過(guò)所述第三權(quán)限對(duì)所述用戶的登錄情況和操作行為進(jìn)行審計(jì)��。
[0011]為了實(shí)現(xiàn)上述目的����,根據(jù)本發(fā)明實(shí)施例的另一方面,提供了一種用于網(wǎng)絡(luò)監(jiān)控系統(tǒng)的權(quán)限處理裝置�����。根據(jù)本發(fā)明的用于網(wǎng)絡(luò)監(jiān)控系統(tǒng)的權(quán)限處理裝置包括:接收單元����,用于接收登錄網(wǎng)絡(luò)監(jiān)控系統(tǒng)的用戶信息,其中��,所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)設(shè)置有第一權(quán)限��、第二權(quán)限和第三權(quán)限�,所述第一權(quán)限為對(duì)所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)進(jìn)行配置管理和維護(hù)的權(quán)限,所述第二權(quán)限為設(shè)置所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)所管理的資產(chǎn)的安全屬性和安全規(guī)則的權(quán)限�����,所述第三權(quán)限為對(duì)所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的審計(jì)信息進(jìn)行管理的權(quán)限�����;驗(yàn)證單元,用于對(duì)所述用戶信息進(jìn)行驗(yàn)證��,確定用戶對(duì)應(yīng)的系統(tǒng)角色所具有的功能權(quán)限和所述用戶所具有的資產(chǎn)權(quán)限�;以及控制單元,用于根據(jù)確定出的權(quán)限控制所述用戶對(duì)所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的訪問(wèn)或者操作�。
[0012]進(jìn)一步地,所述裝置還包括:第一配置單元�����,用于在接收登錄網(wǎng)絡(luò)監(jiān)控系統(tǒng)的用戶信息之前���,通過(guò)所述第一權(quán)限對(duì)所述用戶對(duì)應(yīng)的系統(tǒng)角色的訪問(wèn)權(quán)限進(jìn)行配置,所述訪問(wèn)權(quán)限用于訪問(wèn)所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的功能模塊�,所述控制單元包括:第一控制模塊,用于根據(jù)所述訪問(wèn)權(quán)限控制所述用戶對(duì)所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的功能模塊的訪問(wèn)�。
[0013]進(jìn)一步地,所述第一控制模塊包括:過(guò)濾子模塊���,用于過(guò)濾掉所述訪問(wèn)權(quán)限無(wú)法訪問(wèn)的所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的功能模塊�����,顯示過(guò)濾后的所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的功能模塊�;訪問(wèn)子模塊,用于使得所述用戶基于所述訪問(wèn)權(quán)限訪問(wèn)顯示的所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的功能模塊����。
[0014]進(jìn)一步地,所述裝置還包括:第二配置單元��,用于在接收登錄網(wǎng)絡(luò)監(jiān)控系統(tǒng)的用戶信息之前����,通過(guò)所述第二權(quán)限對(duì)所述用戶對(duì)應(yīng)的資產(chǎn)權(quán)限進(jìn)行配置,所述資產(chǎn)權(quán)限為對(duì)所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)中的資產(chǎn)的訪問(wèn)權(quán)限�����;第三配置單元��,用于通過(guò)所述第二權(quán)限對(duì)所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)中的資產(chǎn)的安全級(jí)別進(jìn)行配置�����,所述控制單元包括:第二控制模塊����,用于根據(jù)所述資產(chǎn)權(quán)限控制所述用戶對(duì)所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的資產(chǎn)的訪問(wèn)。
[0015]進(jìn)一步地���,所述裝置還包括:審計(jì)單元�,用于通過(guò)所述第三權(quán)限對(duì)所述用戶的登錄情況和操作行為進(jìn)行審計(jì)。
[0016]根據(jù)本發(fā)明實(shí)施例��,通過(guò)在網(wǎng)絡(luò)監(jiān)控系統(tǒng)中設(shè)置第一權(quán)限�����、第二權(quán)限和第三權(quán)限��,其中�����,第一權(quán)限為對(duì)網(wǎng)絡(luò)監(jiān)控系統(tǒng)進(jìn)行配置管理和維護(hù)的權(quán)限�,第二權(quán)限為設(shè)置網(wǎng)絡(luò)監(jiān)控系統(tǒng)所管理的資產(chǎn)的安全屬性和安全規(guī)則的權(quán)限�,第三權(quán)限為對(duì)網(wǎng)絡(luò)監(jiān)控系統(tǒng)的審計(jì)信息進(jìn)行管理的權(quán)限,將現(xiàn)有的超級(jí)管理員的權(quán)限劃分為至少三個(gè)權(quán)限��,從而達(dá)到計(jì)算機(jī)設(shè)備信息系統(tǒng)安全等級(jí)保護(hù)三級(jí)中的強(qiáng)制訪問(wèn)控制要求���,在用戶登錄系統(tǒng)之后�,網(wǎng)絡(luò)監(jiān)控系統(tǒng)可以依據(jù)其所具有的權(quán)限對(duì)其訪問(wèn)或者操作進(jìn)行控制����,解決了現(xiàn)有技術(shù)中網(wǎng)絡(luò)監(jiān)控系統(tǒng)的權(quán)限配置存在安全隱患的問(wèn)題��,達(dá)到了避免網(wǎng)絡(luò)監(jiān)控系統(tǒng)出現(xiàn)安全隱患的效果�����。
【附圖說(shuō)明】
[0017]構(gòu)成本申請(qǐng)的一部分的附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解�����,本發(fā)明的示意性實(shí)施例及其說(shuō)明用于解釋本發(fā)明����,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定���。在附圖中:
[0018]圖1是根據(jù)本發(fā)明實(shí)施例的用于網(wǎng)絡(luò)監(jiān)控系統(tǒng)的權(quán)限處理方法的流程圖�;以及
[0019]圖2是根據(jù)本發(fā)明實(shí)施例的用于網(wǎng)絡(luò)監(jiān)控系統(tǒng)的權(quán)限處理裝置的示意圖��。
【具體實(shí)施方式】
[0020]需要說(shuō)明的是���,在不沖突的情況下�,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互組合。下面將參考附圖并結(jié)合實(shí)施例來(lái)詳細(xì)說(shuō)明本發(fā)明����。
[0021 ] 為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案,下面將結(jié)合本發(fā)明實(shí)施例中的附圖�����,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚����、完整地描述,顯然���,所描述的實(shí)施例僅僅是本發(fā)明一部分的實(shí)施例�,而不是全部的實(shí)施例��?���;诒景l(fā)明中的實(shí)施例����,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范圍�。
[0022]需要說(shuō)明的是�����,本發(fā)明的說(shuō)明書和權(quán)利要求書及上述附圖中的術(shù)語(yǔ)“第一”���、“第二”等是用于區(qū)別類似的對(duì)象,而不必用于描述特定的順序或先后次序���。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換��,以便這里描述的本發(fā)明的實(shí)施例���。此外,術(shù)語(yǔ)“包括”和“具有”以及他們的任何變形�����,意圖在于覆蓋不排他的包含���,例如�,包含了一系列步驟或單元的過(guò)程��、方法、系統(tǒng)�����、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元��,而是可包括沒有清楚地列出的或?qū)τ谶@些過(guò)程�����、方法�、產(chǎn)品或設(shè)備固有的其它步驟或單元。
[0023]本發(fā)明實(shí)施例提供了一種用于網(wǎng)絡(luò)監(jiān)控系統(tǒng)的權(quán)限處理方法��。
[0024]圖1是根據(jù)本發(fā)明實(shí)施例的用于網(wǎng)絡(luò)監(jiān)控系統(tǒng)的權(quán)限處理方法的流程圖��。如圖1所示��,該方法包括步驟如下:
[0025]步驟S102���,接收登錄網(wǎng)絡(luò)監(jiān)控系統(tǒng)的用戶信息����。其中�,網(wǎng)絡(luò)監(jiān)控系統(tǒng)設(shè)置有第一權(quán)限、第二權(quán)限和第三權(quán)限�,第一權(quán)限為對(duì)網(wǎng)絡(luò)監(jiān)控系統(tǒng)進(jìn)行配置管理和維護(hù)的權(quán)限,第二權(quán)限為設(shè)置網(wǎng)絡(luò)監(jiān)控系統(tǒng)所管理的資產(chǎn)的安全屬性和安全規(guī)則的權(quán)限���,第三權(quán)限為對(duì)網(wǎng)絡(luò)監(jiān)控系統(tǒng)的審計(jì)信息進(jìn)行管理的權(quán)限��。
[0026]步驟S104���,對(duì)用戶信息進(jìn)行驗(yàn)證,確定用戶對(duì)應(yīng)的系統(tǒng)角色所具有的功能權(quán)限和用戶所具有的資產(chǎn)權(quán)限��。
[0027]步驟S106�����,根據(jù)確定出的權(quán)限控制用戶對(duì)網(wǎng)絡(luò)監(jiān)控系統(tǒng)的訪問(wèn)或者操作�����。
[0028]本實(shí)施例中��,上述用戶是指登錄網(wǎng)絡(luò)監(jiān)控系統(tǒng)的賬號(hào)���,包括管理員用戶和普通用戶���;其中管理員用戶是系統(tǒng)內(nèi)置��,不可刪除的�����,普通用戶可以由管理員創(chuàng)建和刪除����。將網(wǎng)絡(luò)監(jiān)控系統(tǒng)的高級(jí)權(quán)限分為第一權(quán)限�、第二權(quán)限和第三權(quán)限,其中�����,第一權(quán)限可以對(duì)網(wǎng)絡(luò)監(jiān)控系統(tǒng)進(jìn)行配置管理和維護(hù)�����,第二權(quán)限可以設(shè)置網(wǎng)絡(luò)監(jiān)控系統(tǒng)所管理的資產(chǎn)的安全屬性和安全規(guī)則�,第三權(quán)限可以對(duì)網(wǎng)絡(luò)監(jiān)控系統(tǒng)的審計(jì)信息進(jìn)行管理。
[0029]具體地�,網(wǎng)絡(luò)監(jiān)控系統(tǒng)內(nèi)置三個(gè)管理員用戶,其中����,第一管理員具有第一權(quán)限,第二管理員具有第二權(quán)限����,第三管理員具有第三權(quán)限,從而將上述三個(gè)權(quán)限分由三個(gè)管理員來(lái)管理����。可以在網(wǎng)絡(luò)監(jiān)控系統(tǒng)中由系統(tǒng)管理員(sysadmin)�����,安全管理員(secadmin)和審計(jì)管理員(auditadmin)取代現(xiàn)有的網(wǎng)絡(luò)監(jiān)控系統(tǒng)中超級(jí)管理員共同管理系統(tǒng)���,其中�����,系統(tǒng)管理員具有上述第一權(quán)限�,安全管理員具有上述第二權(quán)限���,審計(jì)管理員具有上述第三權(quán)限��。系統(tǒng)管理員負(fù)責(zé)系統(tǒng)管理和日常維護(hù)��;安全管理員負(fù)責(zé)資產(chǎn)安全屬性及安全規(guī)則的設(shè)定���;審計(jì)管理員負(fù)責(zé)對(duì)系統(tǒng)審計(jì)信息進(jìn)行管理�����。
[0030]上述中資產(chǎn)指的是網(wǎng)絡(luò)監(jiān)控系統(tǒng)管理的局域網(wǎng)中的網(wǎng)絡(luò)設(shè)備����、安全設(shè)備����、存儲(chǔ)設(shè)備、主機(jī)設(shè)備�、應(yīng)用服務(wù),及機(jī)房供電系統(tǒng)��、環(huán)境系統(tǒng)和安防系統(tǒng)等����。
[0031]根據(jù)本發(fā)明實(shí)施