[发明专利]一种对多个网络安全设备集中操作管控的方法与系统

权利要求书

1.一种对多个网络安全设备集中操作管控的系统，其特征在于，包括依次连接的操作登陆界面、操作通道模块和系统资源代理操作模块；还包括访问控制模块、资源账号管理模块、在线监控模块和操作内容审计模块；所述访问控制模块与所述操作登陆界面连接；所述资源账号管理模块与所述操作通道模块连接；所述在线监控模块、所述操作内容审计模块与所述系统资源代理操作模块连接；

所述访问控制模块采用两种控制模式，分别是多重身份识别和授权；

所述操作通道模块根据访问控制规则在系统资源与操作人员之间建立唯一的集中操作通道，操作人员只能通过提供的操作通道访问系统资源；同时，所述操作通道模块负责与系统资源进行通信，系统资源接口支持多种的网络协议；

所述资源账号管理模块针对系统资源的账户口令的采用统一管理，并使资源的帐号对于操作用户不可见的，以实现了对资源帐户的口令统一保护；通过对操作人员认证和授权后，根据配置策略实现资源的自动登录；

系统资源代理操作模块把用户的操作转化为系统可识别的命令，并执行操作；

在线监控模块采用智能图像拷贝技术，对在线用户操作的实时监控功能，其管理端监控信息与操作用户端所见完全一致，管理端可以对正在进行的会话进行合规性强制中断的功能；

操作内容审计模块采用网络会话的完整会话记录，并采用压缩算法对操作信息进行保存。

2.根据权利要求1所述的一种对多个网络安全设备集中操作管控的系统，其特征在于，操作信息包括用户、ip地址、资源名、协议方式、起始时间、终止时间；提供图像形式的回放，真实、直观、可视地重现当时的操作过程。

3.一种对多个网络安全设备集中操作管控的方法，其特征在于，包括以下步骤：

步骤一、操作人员进入操作登录界面；

步骤二、通过访问控制模块对操作人员进行多重身份鉴别和操作授权验证；

步骤三、以上所有认证通过后，操作人员通过操作通道模块，连接资源账号管理模块获取信息；

步骤四、资源账号管理模块把操作人员操作需要的信息传递给操作通道模块，操作需要的信息分别人设备的协议、端口、用户名和密码等，此时资源账号管理模块会传输一个ID给操作通道模块；

步骤五、操作通道模块接收到资源账号管理模块传输的ID，在数据库中查询到完整的资源账号信息，然后与相应的设备建立连接；

步骤六、通过操作通道模块连接建立后，系统资源代理操作模块通过agent将操作人员的操作转化为系统可识别的命令，从而完成远程操作；

步骤七、管理员通过系统资源代理操作模块的agent取到正在进行操作的ID,根据ID让agent传回该操作的图像信息并显示出来，让管理员对操作人员在在线监控模块中进行在线监控；

步骤八、操作人员的操作内容被系统资源代理模块完整记录，操作内容审计模块通过查询agent日志的文件名让agent返回相应的审计信息并显示出来，以实现内容审计；

所述操作通道模块根据访问控制规则在系统资源与操作人员之间建立唯一的集中操作通道，操作人员只能通过提供的操作通道访问系统资源；同时，所述操作通道模块3负责与系统资源进行通信，系统资源接口支持多种的网络协议；

所述资源账号管理模块针对系统资源的账户口令的采用统一管理，并使资源的帐号对于操作用户不可见的，以实现了对资源帐户的口令统一保护；通过对操作人员认证和授权后，根据配置策略实现资源的自动登录；

所述系统资源代理操作模块把用户的操作转化为系统可识别的命令，并执行操作；

所述在线监控模块采用智能图像拷贝技术，对在线用户操作的实时监控功能，其管理端监控信息与操作用户端所见完全一致，管理端可以对正在进行的会话进行合规性强制中断的功能；

所述操作内容审计模块采用网络会话的完整会话记录，并采用压缩算法对操作信息进行保存。

4.根据权利要求3所述的一种对多个网络安全设备集中操作管控的方法，其特征在于，所述多重身份鉴别中指纹认证是通过USB指纹仪收录指纹，通过自带驱动与系统中保存的指纹进行对比验证；动态口令是需要把口令卡的动态密码、SN、SN对应的字符串传到后台进行比对；所述操作授权验证是系统对人员、设备、协议和时间的限制。

5.根据权利要求3所述的一种对多个网络安全设备集中操作管控的方法，其特征在于，操作信息包括用户、ip地址、资源名、协议方式、起始时间、终止时间；提供图像形式的回放，真实、直观、可视地重现当时的操作过程。