[发明专利]一种对多个网络安全设备集中操作管控的方法与系统

说明书

技术领域

本发明涉及网络安全设备的操作行为管控与安全监视与审计领域，特别涉及一种多个网络安全设备集中操作管控的方法与装置。

背景技术

部署区域分散，依靠安全设备自带的远程管理功能管理，对各个安全设备的操作分散在不同设备上，不能对操作人员的操作进行基于安全系统原始指令的操作内容审计。管理人员在系统资源操作管控和系统帐号管理上存在如下烦恼：面对大量系统帐号容易忘记密码，忘记定时更新密码；帐号多人交叉使用，造成系统帐号及密码外泄，系统帐号交叉使用导致无法确定责任人；难以对设备及资源的访问控制进行管理；无法集中对操作员的身份鉴别和无法对操作行为进行集中的授权、监控与审计。

发明内容

本发明的目的为了克服上述现有技术存在的问题，提供一种安全操作管控与审计系统。

一种对多个网络安全设备集中操作管控的系统，包括依次连接的操作登陆界面、操作通道模块和系统资源代理操作模块；还包括访问控制模块、资源账号管理模块、在线监控模块和操作内容审计模块；所述访问控制模块与所述操作登陆界面连接；所述资源账号管理模块与所述操作通道模块连接；所述在线监控模块、所述操作内容审计模块与所述系统资源代理操作模块连接。

一种对多个网络安全设备集中操作管控的方法，包括以下步骤：

步骤一、操作人员进入操作登录界面；

步骤二、通过访问控制模块对操作人员进行多重身份鉴别和操作授权验证；

步骤三、以上所有认证通过后，操作人员通过操作通道模块，连接资源账号管理模块获取信息；

步骤四、资源账号管理模块把操作人员操作需要的信息传递给操作通道模块，操作需要的信息分别人设备的协议、端口、用户名和密码等，此时资源账号管理模块会传输一个ID给操作通道模块；

步骤五、操作通道模块接收到资源账号管理模块传输的ID，在数据库中查询到完整的资源账号信息，然后与相应的设备建立连接；

步骤六、通过操作通道模块连接建立后，系统资源代理操作模块通过agent将操作人员的操作转化为系统可识别的命令，从而完成远程操作；

步骤七、管理员通过系统资源代理操作模块的agent取到正在进行操作的ID,根据ID让agent传回该操作的图像信息并显示出来，让管理员对操作人员在在线监控模块中进行在线监控；

步骤八、操作人员的操作内容被系统资源代理模块完整记录，操作内容审计模块通过查询agent日志的文件名让agent返回相应的审计信息并显示出来，以实现内容审计。

本发明的积极效果：通过安全设备密码集中保存，避免造成系统管理密码外泄，通过代理登录，集中增强身份认证手段，进一步实现集中对操作员的身份鉴别，用户授权；实现远程操作、实现操作行为监控与记录，实现违规操作进行阻断。

附图说明

图1是本发明的系统流程示意图。

具体实施方式

下面结合附图和具体实施方式对本发明作进一步详细的说明。

如图1所示，一种对多个网络安全设备集中操作管控的系统，包括依次连接的操作登陆界面1、操作通道模块3和系统资源代理操作模块5。

该系统还包括访问控制模块2、资源账号管理模块4、在线监控模块6、操作内容审计模块7。访问控制模块2与操作登陆界面1连接；资源账号管理模块4与操作通道模块3连接；在线监控模块6、操作内容审计模块7与系统资源代理操作模块5连接。

其中：访问控制模块2采用两种控制模式，分别是多重身份识别和授权。多重身份识别(口令鉴别、动态令牌卡鉴别、指纹鉴别)增强原有的系统系统鉴别能力单一口令的问题，满足安全设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别，且用户的身份鉴别信息至少应有一种是不可伪造的信息安全等级保护要求，确保合法用户才能访问其拥有权限的系统资源；授权是结合对访问主体和受控对象的安全等级进行比较，决定访问主体能否访问该受控对象，对操作人员操作系统资源的时限、权限、内容等进行严格控制。

操作通道模块3,根据访问控制规则在系统资源与操作人员之间建立唯一的集中操作通道，操作人员只能通过提供的操作通道访问系统资源.同时，操作通道模块3负责与系统资源进行通信，系统资源接口支持多种的网络协议。

资源账号管理模块4,针对系统资源的账户口令的采用统一管理。并使资源的帐号对于操作用户不可见的，以实现了对资源帐户的口令统一保护。通过对操作人员认证和授权后，根据配置策略实现资源的自动登录。

系统资源代理操作模块5，把用户的操作转化为系统可识别的命令，并执行操作。