[发明专利]一种网络设备安全管理方法

权利要求书

1.一种网络设备安全管理方法，其特征在于，包括在网络设备组中通过创建多个管理协议端口对管理模式进行分解，并基于用户域的角色分组对多个用户进行逻辑隔离，所述创建多个管理协议端口包括在管理域增加系统管理协议端口、安全管理协议端口和日志管理协议端口。

2.如权利要求1所述的一种网络设备安全管理方法，其特征在于，所述日志管理用于从执行监控器层记录上层虚拟机的运行状态，包括执行操作的用户名、服务器、动作状态、是否授权和虚拟机操作系统错误代码，提供查询端口并防止日志被篡改。

3.如权利要求2所述的一种网络设备安全管理方法，其特征在于，基于用户域的角色分组对多个用户进行逻辑隔离包括访问规则基于每个用户，通过使用唯一的用户域安全标签，标记所有用户的虚拟机和用户域相关的资源，利用仲裁监视器根据访问网络设备组的用户隔离规则。

4.如权利要求3所述的一种网络设备安全管理方法，其特征在于，所述虚拟机中包括执行监控器，在创建所述虚拟机时安装在所述虚拟机的驱动中，用于监控虚拟机中的内部视图，通过多视图对比监视虚拟机内部是否有存在恶意软件。

5.如权利要求4所述的一种网络设备安全管理方法，其特征在于，基于所述执行监控器对上层虚拟机的操作拦截，在可信环境虚拟机中部署虚拟机内核完整性监视模块，可信环境虚拟机中的安全组件和监视代理对虚拟机内部资源的访问均符合网络设备组中的访问规则。

6.如权利要求5所述的一种网络设备安全管理方法，其特征在于，所述执行监控器包括安全控制模块，所述安全控制模块提供通用的安全访问机制，在所述执行监控器启动后运行。

7.如权利要求1-6任意一项所述的一种网络设备安全管理的管理方法，其特征在于，包括如下步骤：

步骤1：当用户请求访问其他域时，虚拟机安全控制模块拦截这些请求，并对请求的主体进行分析；

步骤2：安全控制模块判定结果；

步骤3：根据判定结果，安全控制模块决定是否允许用户访问其他域。

8.如权利要求2所述的一种网络设备安全管理方法，其特征在于，所述服务器包括存储单元、接收单元、确定单元和发送单元，所述存储单元用于存储网络设备的管理文件列表、存储认证键值和设备标识的映射关系。

9.如权利要求8所述的一种网络设备安全管理方法，其特征在于，接收单元用于接网络设备通过与数据传输网络独立的无线通信网络发送的管理文件下载请求，所述下载请求中携带有为所述网络设备预分配的认证键值，所述认证键值根据所述网络设备在网络中的位置预先分配，所述无线通信网络包括移动通信网络和WIFI网络。

10.如权利要求9所述的一种网络设备安全管理方法，其特征在于，确定单元用于确定所述认证键值是否有效，所述发送单元用于发送与所述认证键值对应的所述管理文件。