一种对多个网络安全设备集中操作管控的方法与系统.pdf

本发明所述的一种对多个网络安全设备集中操作管控的方法和系统，所述访问控制模块与操作登陆界面连接；资源账号管理模块与操作通道模块连接；在线监控模块、操作内容审计模块与系统资源代理操作模块连接。开始远程操作安全设备请求，从密码库中得到安全设备远程管理密码；操作请求，转换成设备操作原指令，系统代理登录；通过对操作原始的数据包解析成原指令，并记录操作原指令，达到审计功能。本发明的积极效果：本系统采用安全操作管控与审计技术，建立集中操作门户，对异构网络系统的操作实现集中多重身份鉴别、实现授权访问控制、实现远程操作、实现操作行为监控与记录，实现违规操作进行阻断。

1.  一种对多个网络安全设备集中操作管控的系统，其特征在于，包括依次连接的操作登陆界面、操作通道模块和系统资源代理操作模块；还包括访问控制模块、资源账号管理模块、在线监控模块和操作内容审计模块；所述访问控制模块与所述操作登陆界面连接；所述资源账号管理模块与所述操作通道模块连接；所述在线监控模块、所述操作内容审计模块与所述系统资源代理操作模块连接。

2.  根据权利要求1所述的一种对多个网络安全设备集中操作管控的系统，其特征在于，
所述访问控制模块采用两种控制模式，分别是多重身份识别和授权；
所述操作通道模块根据访问控制规则在系统资源与操作人员之间建立唯一的集中操作通道，操作人员只能通过提供的操作通道访问系统资源；同时，所述操作通道模块负责与系统资源进行通信，系统资源接口支持多种的网络协议；
所述资源账号管理模块针对系统资源的账户口令的采用统一管理，并使资源的帐号对于操作用户不可见的，以实现了对资源帐户的口令统一保护；通过对操作人员认证和授权后，根据配置策略实现资源的自动登录；
系统资源代理操作模块把用户的操作转化为系统可识别的命令，并执行操作；
在线监控模块采用智能图像拷贝技术，对在线用户操作的实时监控功能，其管理端监控信息与操作用户端所见完全一致，管理端可以对正在进行的会话进行合规性强制中断的功能；
操作内容审计模块采用网络会话的完整会话记录，并采用压缩算法对操作信息进行保存。

3.  根据权利要求1所述的一种对多个网络安全设备集中操作管 控的系统，其特征在于，操作信息包括用户、ip地址、资源名、协议方式、起始时间、终止时间；提供图像形式的回放，真实、直观、可视地重现当时的操作过程。

4.  一种对多个网络安全设备集中操作管控的方法，其特征在于，包括以下步骤：
步骤一、操作人员进入操作登录界面；
步骤二、通过访问控制模块对操作人员进行多重身份鉴别和操作授权验证；
步骤三、以上所有认证通过后，操作人员通过操作通道模块，连接资源账号管理模块获取信息；
步骤四、资源账号管理模块把操作人员操作需要的信息传递给操作通道模块，操作需要的信息分别人设备的协议、端口、用户名和密码等，此时资源账号管理模块会传输一个ID给操作通道模块；
步骤五、操作通道模块接收到资源账号管理模块传输的ID，在数据库中查询到完整的资源账号信息，然后与相应的设备建立连接；
步骤六、通过操作通道模块连接建立后，系统资源代理操作模块通过agent将操作人员的操作转化为系统可识别的命令，从而完成远程操作；
步骤七、管理员通过系统资源代理操作模块的agent取到正在进行操作的ID,根据ID让agent传回该操作的图像信息并显示出来，让管理员对操作人员在在线监控模块中进行在线监控；
步骤八、操作人员的操作内容被系统资源代理模块完整记录，操作内容审计模块通过查询agent日志的文件名让agent返回相应的审计信息并显示出来，以实现内容审计。

5.  根据权利要求4所述的一种对多个网络安全设备集中操作管控的方法，其特征在于，所述多重身份鉴别中指纹认证是通过USB指纹仪收录指纹，通过自带驱动与系统中保存的指纹进行对比验证；动 态口令是需要把口令卡的动态密码、SN、SN对应的字符串传到后台进行比对；所述操作授权验证是系统对人员、设备、协议和时间的限制。

6.  根据权利要求4所述的一种对多个网络安全设备集中操作管控的方法，其特征在于，
所述操作通道模块3根据访问控制规则在系统资源与操作人员之间建立唯一的集中操作通道，操作人员只能通过提供的操作通道访问系统资源；同时，所述操作通道模块3负责与系统资源进行通信，系统资源接口支持多种的网络协议；
所述资源账号管理模块4针对系统资源的账户口令的采用统一管理，并使资源的帐号对于操作用户不可见的，以实现了对资源帐户的口令统一保护；通过对操作人员认证和授权后，根据配置策略实现资源的自动登录；
系统资源代理操作模块5把用户的操作转化为系统可识别的命令，并执行操作；
在线监控模块6采用智能图像拷贝技术，对在线用户操作的实时监控功能，其管理端监控信息与操作用户端所见完全一致，管理端可以对正在进行的会话进行合规性强制中断的功能；
操作内容审计模块7采用网络会话的完整会话记录，并采用压缩算法对操作信息进行保存。

7.  根据权利要求6所述的一种对多个网络安全设备集中操作管控的方法，其特征在于，操作信息包括用户、ip地址、资源名、协议方式、起始时间、终止时间；提供图像形式的回放，真实、直观、可视地重现当时的操作过程。

一种对多个网络安全设备集中操作管控的方法与系统
技术领域
本发明涉及网络安全设备的操作行为管控与安全监视与审计领域，特别涉及一种多个网络安全设备集中操作管控的方法与装置。
背景技术
部署区域分散，依靠安全设备自带的远程管理功能管理，对各个安全设备的操作分散在不同设备上，不能对操作人员的操作进行基于安全系统原始指令的操作内容审计。管理人员在系统资源操作管控和系统帐号管理上存在如下烦恼：面对大量系统帐号容易忘记密码，忘记定时更新密码；帐号多人交叉使用，造成系统帐号及密码外泄，系统帐号交叉使用导致无法确定责任人；难以对设备及资源的访问控制进行管理；无法集中对操作员的身份鉴别和无法对操作行为进行集中的授权、监控与审计。
发明内容
本发明的目的为了克服上述现有技术存在的问题，提供一种安全操作管控与审计系统。
一种对多个网络安全设备集中操作管控的系统，包括依次连接的操作登陆界面、操作通道模块和系统资源代理操作模块；还包括访问控制模块、资源账号管理模块、在线监控模块和操作内容审计模块；所述访问控制模块与所述操作登陆界面连接；所述资源账号管理模块与所述操作通道模块连接；所述在线监控模块、所述操作内容审计模块与所述系统资源代理操作模块连接。
一种对多个网络安全设备集中操作管控的方法，包括以下步骤：
步骤一、操作人员进入操作登录界面；
步骤二、通过访问控制模块对操作人员进行多重身份鉴别和操作授权验证；
步骤三、以上所有认证通过后，操作人员通过操作通道模块，连接资源账号管理模块获取信息；
步骤四、资源账号管理模块把操作人员操作需要的信息传递给操作通道模块，操作需要的信息分别人设备的协议、端口、用户名和密码等，此时资源账号管理模块会传输一个ID给操作通道模块；
步骤五、操作通道模块接收到资源账号管理模块传输的ID，在数据库中查询到完整的资源账号信息，然后与相应的设备建立连接；
步骤六、通过操作通道模块连接建立后，系统资源代理操作模块通过agent将操作人员的操作转化为系统可识别的命令，从而完成远程操作；
步骤七、管理员通过系统资源代理操作模块的agent取到正在进行操作的ID,根据ID让agent传回该操作的图像信息并显示出来，让管理员对操作人员在在线监控模块中进行在线监控；
步骤八、操作人员的操作内容被系统资源代理模块完整记录，操作内容审计模块通过查询agent日志的文件名让agent返回相应的审计信息并显示出来，以实现内容审计。
本发明的积极效果：通过安全设备密码集中保存，避免造成系统管理密码外泄，通过代理登录，集中增强身份认证手段，进一步实现集中对操作员的身份鉴别，用户授权；实现远程操作、实现操作行为监控与记录，实现违规操作进行阻断。
附图说明
图1是本发明的系统流程示意图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细的说明。
如图1所示，一种对多个网络安全设备集中操作管控的系统，包括依次连接的操作登陆界面1、操作通道模块3和系统资源代理操作模块5。
该系统还包括访问控制模块2、资源账号管理模块4、在线监控模块6、操作内容审计模块7。访问控制模块2与操作登陆界面1连接；资源账号管理模块4与操作通道模块3连接；在线监控模块6、操作内容审计模块7与系统资源代理操作模块5连接。
其中：访问控制模块2采用两种控制模式，分别是多重身份识别和授权。多重身份识别(口令鉴别、动态令牌卡鉴别、指纹鉴别)增强原有的系统系统鉴别能力单一口令的问题，满足安全设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别，且用户的身份鉴别信息至少应有一种是不可伪造的信息安全等级保护要求，确保合法用户才能访问其拥有权限的系统资源；授权是结合对访问主体和受控对象的安全等级进行比较，决定访问主体能否访问该受控对象，对操作人员操作系统资源的时限、权限、内容等进行严格控制。
操作通道模块3,根据访问控制规则在系统资源与操作人员之间建立唯一的集中操作通道，操作人员只能通过提供的操作通道访问系统资源.同时，操作通道模块3负责与系统资源进行通信，系统资源接口支持多种的网络协议。
资源账号管理模块4,针对系统资源的账户口令的采用统一管理。并使资源的帐号对于操作用户不可见的，以实现了对资源帐户的口令统一保护。通过对操作人员认证和授权后，根据配置策略实现资源的自动登录。
系统资源代理操作模块5，把用户的操作转化为系统可识别的命令，并执行操作。
在线监控模块6,采用智能图像拷贝技术，对在线用户操作的实时监控功能，其管理端监控信息与操作用户端所见完全一致，管理端可以对正在进行的会话进行合规性强制中断的功能。
操作内容审计模块7,采用网络会话的完整会话记录，并采用压缩算法对信息进行保存。操作信息包括用户、ip地址、资源名、协议方式、起始时间、终止时间；提供图像形式的回放，真实、直观、可视地重现当时的操作过程。
一种对多个网络安全设备集中操作管控的方法，
开始远程操作安全设备请求，从密码库中得到安全设备远程管理密码；
操作请求，转换成设备操作原指令，系统代理登录；
通过对操作原始的数据包解析成原指令，并记录操作原指令，达到审计功能。
优选的，包括以下步骤：
S1、操作人员进入操作登录界面。
S2、通过访问控制模块对操作人员进行多重身份鉴别(指纹认证、动态口令等)和操作授权验证。多重身份鉴别中指纹认证是通过USB指纹仪收录指纹，通过自带驱动与系统中保存的指纹进行对比验证；动态口令是需要把口令卡的动态密码、SN、SN对应的字符串传到后台进行比对。操作授权是系统对人员、设备、协议和时间的限制。
S3、以上所有认证通过后，操作人员通过操作通道模块，连接资源账号管理模块获取信息。
S4、资源账号管理模块把操作人员操作需要的信息传递给操作通道模块，操作需要的信息分别人设备的协议、端口、用户名和密码 等，此时资源账号管理模块会传输一个ID给操作通道模块。
S5、操作通道模块接收到资源账号管理模块传输的ID，在数据库中查询到完整的资源账号信息，然后与相应的设备建立连接。
S6、通过操作通道模块连接建立后，系统资源代理操作模块通过agent将操作人员的操作转化为系统可识别的命令，从而完成远程操作。
S7、管理员通过系统资源代理操作模块的agent取到正在进行操作的ID,根据ID让agent传回该操作的图像信息并显示出来，让管理员对操作人员在在线监控模块中进行在线监控。
S8、操作人员的操作内容被系统资源代理模块完整记录，操作内容审计模块通过查询agent日志的文件名让agent返回相应的审计信息并显示出来，以实现内容审计。
与传统采用技术相比：
采用装保存安全设备登录密码，由系统后台代理登录，实现对多个安全设备帐号密码集中的管理，防止安全密码人为泄露；
并在登录安全设备时，传统安全设备管理采用人工输入安全设备管理密码，本装置采用多重身份鉴别(包括动态令牌、电子证书)方式用户认证，并采用后台代理登录，防止安全密码泄露；编辑访问控制规则对安全设备权限进行控制；
增加采用后台方式自动登录系统资源，外部操作人员无法获取系统资源帐号及密码，防止密码外泄；增加外部操作人员登录口令实时动态更新；强化操作人员主体身份标识；增加授权访问控制(限制访问人、访问时间、访问范围)；增加实时监视操作行为；增加对非法操作可以强制阻断；增加对操作进行全程记录。
显然，本发明的上述实施例仅仅是为清楚地说明本发明所作的举 例，而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其他不同形式的变化和变动。这里无法对所有的实施方式予以穷举。凡是属于本发明的技术方案所引申出的显而易见的变化或变动仍处于本发明的保护范围之列。