一種對多個網絡安全設備集中操作管控的方法與系統的制作方法
【技術領域】
[0001]本發(fā)明涉及網絡安全設備的操作行為管控與安全監(jiān)視與審計領域�����,特別涉及一種多個網絡安全設備集中操作管控的方法與裝置���。
【背景技術】
[0002]部署區(qū)域分散���,依靠安全設備自帶的遠程管理功能管理����,對各個安全設備的操作分散在不同設備上,不能對操作人員的操作進行基于安全系統原始指令的操作內容審計�。管理人員在系統資源操作管控和系統帳號管理上存在如下煩惱:面對大量系統帳號容易忘記密碼�����,忘記定時更新密碼���;帳號多人交叉使用�,造成系統帳號及密碼外泄���,系統帳號交叉使用導致無法確定責任人�����;難以對設備及資源的訪問控制進行管理����;無法集中對操作員的身份鑒別和無法對操作行為進行集中的授權�����、監(jiān)控與審計��。
【發(fā)明內容】
[0003]本發(fā)明的目的為了克服上述現有技術存在的問題�,提供一種安全操作管控與審計系統。
[0004]一種對多個網絡安全設備集中操作管控的系統,包括依次連接的操作登陸界面�、操作通道模塊和系統資源代理操作模塊���;還包括訪問控制模塊、資源賬號管理模塊�、在線監(jiān)控模塊和操作內容審計模塊;所述訪問控制模塊與所述操作登陸界面連接�����;所述資源賬號管理模塊與所述操作通道模塊連接��;所述在線監(jiān)控模塊����、所述操作內容審計模塊與所述系統資源代理操作模塊連接。
[0005]一種對多個網絡安全設備集中操作管控的方法,包括以下步驟:
[0006]步驟一����、操作人員進入操作登錄界面��;
[0007]步驟二��、通過訪問控制模塊對操作人員進行多重身份鑒別和操作授權驗證;
[0008]步驟三����、以上所有認證通過后�����,操作人員通過操作通道模塊��,連接資源賬號管理模塊獲取?目息�����;
[0009]步驟四�����、資源賬號管理模塊把操作人員操作需要的信息傳遞給操作通道模塊��,操作需要的信息分別人設備的協議���、端口、用戶名和密碼等�����,此時資源賬號管理模塊會傳輸一個ID給操作通道模塊��;
[0010]步驟五����、操作通道模塊接收到資源賬號管理模塊傳輸的ID,在數據庫中查詢到完整的資源賬號信息��,然后與相應的設備建立連接���;
[0011]步驟六����、通過操作通道模塊連接建立后�,系統資源代理操作模塊通過agent將操作人員的操作轉化為系統可識別的命令,從而完成遠程操作����;
[0012]步驟七、管理員通過系統資源代理操作模塊的agent取到正在進行操作的ID���,根據ID讓agent傳回該操作的圖像信息并顯示出來�����,讓管理員對操作人員在在線監(jiān)控模塊中進行在線監(jiān)控�����;
[0013]步驟八��、操作人員的操作內容被系統資源代理模塊完整記錄���,操作內容審計模塊通過查詢agent日志的文件名讓agent返回相應的審計信息并顯示出來���,以實現內容審計。
[0014]本發(fā)明的積極效果:通過安全設備密碼集中保存�,避免造成系統管理密碼外泄,通過代理登錄�,集中增強身份認證手段,進一步實現集中對操作員的身份鑒別��,用戶授權�����;實現遠程操作����、實現操作行為監(jiān)控與記錄,實現違規(guī)操作進行阻斷。
【附圖說明】
[0015]圖1是本發(fā)明的系統流程示意圖�。
【具體實施方式】
[0016]下面結合附圖和【具體實施方式】對本發(fā)明作進一步詳細的說明。
[0017]如圖1所示�����,一種對多個網絡安全設備集中操作管控的系統����,包括依次連接的操作登陸界面1����、操作通道模塊3和系統資源代理操作模塊5。
[0018]該系統還包括訪問控制模塊2�、資源賬號管理模塊4、在線監(jiān)控模塊6�����、操作內容審計模塊7���。訪問控制模塊2與操作登陸界面I連接���;資源賬號管理模塊4與操作通道模塊3連接;在線監(jiān)控模塊6、操作內容審計模塊7與系統資源代理操作模塊5連接�。
[0019]其中:訪問控制模塊2采用兩種控制模式,分別是多重身份識別和授權��。多重身份識別(口令鑒別����、動態(tài)令牌卡鑒別、指紋鑒別)增強原有的系統系統鑒別能力單一口令的問題�����,滿足安全設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別���,且用戶的身份鑒別信息至少應有一種是不可偽造的信息安全等級保護要求�,確保合法用戶才能訪問其擁有權限的系統資源�����;授權是結合對訪問主體和受控對象的安全等級進行比較�����,決定訪問主體能否訪問該受控對象�,對操作人員操作系統資源的時限、權限、內容等進行嚴格控制����。
[0020]操作通道模塊3,根據訪問控制規(guī)則在系統資源與操作人員之間建立唯一的集中操作通道�,操作人員只能通過提供的操作通道訪問系統資源.同時,操作通道模塊3負責與系統資源進行通信�����,系統資源接口支持多種的網絡協議����。
[0021]資源賬號管理模塊4�����,針對系統資源的賬戶口令的采用統一管理���。并使資源的帳號對于操作用戶不可見的�����,以實現了對資源帳戶的口令統一保護����。通過對操作人員認證和授權后,根據配置策略實現資源的自動登錄��。
[0022]系統資源代理操作模塊5��,把用戶的操作轉化為系統可識別的命令����,并執(zhí)行操作。
[0023]在線監(jiān)控模塊6��,采用智能圖像拷貝技術�,對在線用戶操作的實時監(jiān)控功能,其管理端監(jiān)控信息與操作用戶端所見完全一致��,管理端可以對正在進行的會話進行合規(guī)性強制中斷的功能�。
[0024]操作內容審計模塊7,采用網絡會話的完整會話記錄�,并采用壓縮算法對信息進行保存。操作信息包括用戶��、ip地址�����、資源名、協議方式�、起始時間、終止時間����;提供圖像形式的回放,真實�����、直觀����、可視地重現當時的操作過程。
[0025]一種對多個網絡安全設備集中操作管控的方法��,
[0026]開始遠程操作安全設備請求����,從密碼庫中得到安全設備遠程管理密碼��;
[0027]操作請求�����,轉換成設備操作原指令,系統代理登錄�;
[0028]通過對操作原始的數據包解析成原指令,并記錄操作原指令����,達到審計功能。
[0029]優(yōu)選的�����,包括以下步驟:
[0030]S1�����、操作人員進入操作登錄界面�����。
[0031]S2���、通過訪問控制模塊對操作人員進行多重身份鑒別(指紋認證��、動態(tài)口令等)和操作授權驗證��。多重身份鑒別中指紋認證是通過USB指紋儀收錄指紋�����,通過自帶驅動與系統中保存的指紋進行對比驗證����;動態(tài)口令是需要把口令卡的動態(tài)密碼、SN���、SN對應的字符串傳到后臺進行比對�����。操作授權是系統對人員�����、設備�����、協議和時間的限制。
[0032]S3�����、以上所有認證通過后,操作人員通過操作通道模塊����,連接資源賬號管理模塊獲取信息。
[0033]S4����、資源賬號管理模塊把操作人員操作需要的信息傳遞給操作通道模塊,操作需要的信息分別人設備的協議����、端口、用戶名和密碼等���,此時資源賬號管理模塊會傳輸一個ID給操作通道模塊�。
[0034]S5��、操作通道模塊接收到資源賬號管理模塊傳輸的ID�,在數據庫中查詢到完整的資源賬號信息,然后與相應的設備建立連接�����。
[0035]S6���、通過操作通道模塊連接建立后�,系統資源代理操作模塊通過agent將操作人員的操作轉化為系統可識別的命令,從而完成遠程操作�����。
[0036]S7�����、管理員通過系統資源代理操作模塊的agent取到正在進行操作的ID��,根據ID讓agent傳回該