[发明专利]一种网络设备安全管理方法

说明书

本发明公开了一种网络设备安全管理方法，属于网络通信技术领域，包括在网络设备组中通过创建多个管理协议端口对管理模式进行分解，并基于用户域的角色分组对多个用户进行逻辑隔离，创建多个管理协议端口包括在管理域增加系统管理协议端口、安全管理协议端口和日志管理协议端口。本发明的网络设备安全管理方法，利用仲裁监视器根据访问网络设备组的用户隔离规则，监控虚拟机之间的资源共享和虚拟机之间的通信，以实现基于用户域的逻辑隔离，并限制管理者查看用户域的隐私数据；通过多视图对比监视虚拟机内部是否有存在恶意软件，当需要修复时，由管理者在可信环境虚拟机中向虚拟机发送操作指令，防止虚拟机内部发生攻击其他用户的动作。

技术领域

本发明涉及一种安全管理方法，特别是涉及一种网络设备安全管理方法，属于网络通信技术领域。

背景技术

随着各种网络设备的广泛使用，厂家生产的不同型号的网络设备也越来越多，管理人员需要了解并掌握每一型号的网络设备的管理方法，才能有效对网络设备进行管理，增加了网络设备管理的难度，同时也增加了用户资源泄漏的风险。

发明内容

本发明的主要目的是为了解决现有技术的不足，提供一种网络设备安全管理方法。

本发明的目的可以通过采用如下技术方案达到：

一种网络设备安全管理方法，包括在网络设备组中通过创建多个管理协议端口对管理模式进行分解，并基于用户域的角色分组对多个用户进行逻辑隔离，所述创建多个管理协议端口包括在管理域增加系统管理协议端口、安全管理协议端口和日志管理协议端口。

优选的，所述日志管理用于从执行监控器层记录上层虚拟机的运行状态，包括执行操作的用户名、服务器、动作状态、是否授权和虚拟机操作系统错误代码，提供查询端口并防止日志被篡改。

优选的，基于用户域的角色分组对多个用户进行逻辑隔离包括访问规则基于每个用户，通过使用唯一的用户域安全标签，标记所有用户的虚拟机和用户域相关的资源，利用仲裁监视器根据访问网络设备组的用户隔离规则。

优选的，所述虚拟机中包括执行监控器，在创建所述虚拟机时安装在所述虚拟机的驱动中，用于监控虚拟机中的内部视图，通过多视图对比监视虚拟机内部是否有存在恶意软件。

优选的，基于所述执行监控器对上层虚拟机的操作拦截，在可信环境虚拟机中部署虚拟机内核完整性监视模块，可信环境虚拟机中的安全组件和监视代理对虚拟机内部资源的访问均符合网络设备组中的访问规则。

优选的，所述执行监控器包括安全控制模块，所述安全控制模块提供通用的安全访问机制，在所述执行监控器启动后运行。

一种网络设备安全管理的管理方法，包括如下步骤：

步骤1：当用户请求访问其他域时，虚拟机安全控制模块拦截这些请求，并对请求的主体进行分析；

步骤2：安全控制模块判定结果；

步骤3：根据判定结果，安全控制模块决定是否允许用户访问其他域。

优选的，所述服务器包括存储单元、接收单元、确定单元和发送单元，所述存储单元用于存储网络设备的管理文件列表、存储认证键值和设备标识的映射关系。

优选的，接收单元用于接网络设备通过与数据传输网络独立的无线通信网络发送的管理文件下载请求，所述下载请求中携带有为所述网络设备预分配的认证键值，所述认证键值根据所述网络设备在网络中的位置预先分配，所述无线通信网络包括移动通信网络和WIFI网络。

优选的，确定单元用于确定所述认证键值是否有效，所述发送单元用于发送与所述认证键值对应的所述管理文件。