本实用新型专利技术是一种内网安全管理系统,包括:传输介质;经由所述传输介质接入内网的多个计算机;连接所述传输介质具有受控端口的交换机,该交换机可以根据认证结果接受或拒绝计算机的入网请求;连接所述交换机的认证服务器,该认证服务器对对所述计算机经由交换机发送的认证请求进行认证或识别,并将得到的认证结果返回给交换机;以及连接所述交换机的管理中心,该管理中心分配已通过认证计算机的权限和下发关于计算机权限指令,并接收计算机上传的日志及报警。本实用新型专利技术可以有效的阻断外部计算机接入内部网络和内部计算机非法外联,同时对内网可信计算机进行控制管理,从而有效的防止信息泄漏事件的发生。(*该技术在2019年保护过期,可自由使用*)
【技术实现步骤摘要】
本技术涉及计算机的安全管理,特别涉及一种只允许可信终端接入安全管理的内网安全管理系统。
技术介绍
随着内部计算机网络的发展和信息化程度的提高,传统的管理方式如手工登记、 物理拆卸或者局部软件管理已具有很大的局限性,它们通常只能在有限的范围内实现部分 安全管理需求,同时繁琐的重复工作无论对管理者还是使用者都造成了极大的不便,另外 对于违规事件的事后审计和报告也缺乏系统的管理。因此,研制适用于涉密企业内部计算 机的多功能、自动化的内网安全管理系统,从而对内网计算机进行实时安全监控与管理,已 成为安全管理者和安全技术人员十分关注和迫切盼望解决的问题。 目前的一些终端认证大多从网络层控制计算机的非法接入,使得非授权终端数据 流可以进入网络,造成如ARP包非法广播、ping攻击、恶意病毒、木马数据流在网络中泛滥。 此外, 一些终端认证直接利用交换机的普通端口 ,没有对端口进行控制,只是对数 据的普通转发,不能对计算机的接入进行控制。 此外,一些终端认证为弹出界面,要求用户输入相关认证信息进行认证,非常麻 烦,并且也给非法破译密码等非法连入网络创造了条件。 因此,目前的内部网络不能阻止外界计算机非法接入,因而极易造成信息泄露,带 来很大的信息安全隐患,如何控制非法主机接入内部网络是目前很多企、事业单位共同关 心的问题。还有,内网计算机可以通过无线上网,出现内网计算机非法外联的现象,这也会 使内网计算机的数据通过外网泄密。
技术实现思路
本技术的目的是提供一种能够加强涉密计算机的内网安全管理系统。 本技术的实现上述目的的内网安全管理系统包括 传输介质;经由所述传输介质接入内网的多个计算机;连接所述传输介质的具有 受控端口的交换机;连接所述交换机以对所述计算机经由交换机发出的认证请求进行认证 的认证服务器;以及连接所述交换机以对所述计算机中已通过认证的计算机进行安全管理 的管理中心。 其中,所述管理中心包括控制台,用于分配已通过认证的计算机的权限;以及监 控与审计服务器,通过与已通过认证的计算机通信以下发关于计算机权限的指令,并接收 计算机上传的日志及警报。 其中,所述多个计算机之每个经由传输介质分别连接所述交换机的一个相应受控 端口 ;控制台、监控与审计服务器和认证服务器分别连接所述交换机的其他三个端口 。 其中,所述交换机包括具有多个分别连接所述多个计算机的受控端口以及连接 所述控制台、监控与审计服务器和认证服务器的其他端口的交换芯片;以及连接所述交换芯片以根据所述认证服务器的认证结果对连接计算机的受控端口进行控制的端口控制模 块。 其中,所述计算机是装有终端代理装置的计算机。 其中,所述终端代理装置包括经由计算机USB 口连接计算机CPU的USB密钥装 置,其内存有用来登录的USB密钥;连接计算机CPU以根据USB密钥和用户密码启动计算机 操作系统的双因子登录检查模块;连接计算机CPU以接收及执行监控与审计服务器下发的 指令的管理指令接收及执行模块;连接计算机CPU以检查计算机的非法外联的外联检查模 块;连接计算机CPU的网卡禁用模块,用于在外联检查模块发现计算机非法外联时禁用网 卡工作;连接计算机CPU的日志生成及警报发送模块,用于生成与管理指令接收及执行模 块执行情况相应的审计日志和关于非法外联的警报;以及连接计算机CPU的涉密文件转换 模块,用于将计算机内存储的涉密文件转换成密文。 其中,所述双因子登录检查模块包括经由计算机CPU检查所述USB密钥装置的 USB密钥的USB密钥识别单元;以及经由计算机CPU检查用户输入的用户密码的用户密码 识别单元。 其中,所述外联检查模块包括向外网域名解析服务器发送数据包的数据包发送单元;以及接收并解析外网域名解析服务器回送的数据包的域名解析单元。 本技术具有以下技术效果 1、可以保证只有经过主管部门认证的计算机,才可以顺利通过基于交换机端口的 访问控制认证,才可以自由的应用单位内部的计算机网络以及其中的资源,防止外来计算 机随意接入内部网络等违规行为。 2、可以监控和审计涉密计算机的数据输入/输出接口、设备以及被控端用户的敏 感行为,从而加强对涉密计算机的安全管理,达到有效预防失、泄密事件发生的目的。 3、可以禁止涉密计算机非法拨号上网,防止涉密计算机的非法外联行为。 以下结合附图对本技术进行详细说明。附图说明图1是本技术的内网安全管理系统的配置图; 图2是本技术的内网安全管理系统的原理图; 图3是图2所示的交换机的原理图; 图4是图2所示的终端计算机的原理图; 图5是图4中双因子登录检查模块的原理图; 图6是图4中外联检查模块的原理图。具体实施方式图1显示了本技术的内网安全管理系统的配置图,图1所示的内网安全管理 系统包括传输介质2,它可以是双绞线或同轴电缆;经由所述传输介质2接入内网的多个 计算机1 ;连接所述传输介质1的具有受控端口的交换机3,该交换机可以根据认证结果接 受或拒绝计算机的入网请求;连接所述交换机3的认证服务器4,该认证服务器对所述计 算机经由所述交换机发送的认证请求进行认证或识别,并将认证或识别后得到的认证结果3/5页返回给交换机;以及连接所述交换机3的管理中心5,该管理中心包括控制台51和监控与 审计服务器52,所述控制台负责分配已通过认证计算机的权限,所述监控与审计服务器通 过与已通过认证的计算机通信以下发关于计算机权限指令,并接收计算机上传的日志及报氛 图2显示了计算机1经由交换机3认证服务器4入网请求以及管理中心5发送指 令管理可信计算机的原理。如图2所示,假定在计算机A、 B和C中,计算机A和B是可信 计算机,而计算机C是非法接入的计算机。当计算机A C启动时,分别经由交换机3向认 证服务器4发送认证请求。由于计算机A和B是可信计算机,因此认证服务器4向交换机 3发送计算机A和B认证成功的认证结果,使交换机3打开分别连接计算机A和B的受 控端口 ;而由于计算机C不是可信计算机,因此认证服务器4向交换机3发送计算机C认 证失败的认证结果,使交换机3的连接计算机C的受控端口处于断开状态,从而拒绝计算 机C入网。对于已成功通过请求入网认证的可信计算机A和B,通过管理中心5对其进行 安全管理。控制台51负责可信计算机的安全策略规划和权限分配,监控与审计服务器52 通过与可信计算机通信下发关于计算机权限的指令,并接收计算机上传的与指令执行情况 相应的审计日志和关于非法外联的警报,同时,对于非法外联的情形,监控与审计服务器52 还向控制台51报警。 本技术的内网是指具有传输介质2、交换机3、认证服务器4和管理中心5的 局域网,其中管理中心包括控制台51和监控与审计服务器52,计算机1经由所述传输介质 2接入内网,如图1和图2所示,多个计算机1如计算机A C之每个经由传输介质2分别 连接所述交换机3的一个相应的受控端口 ;认证服务器4、控制台51和监控与审计服务器 52分别连接所述交换机3的三个其他端口 。 计算机终端在接入内网之前,先向认证服务器发出认证请求。如果终端通过了认 证申请,则可以接入内网,进行网络通信。如果终端没有通过认证则不能接入内网,不能进 行网络通信,使未经相关主管部门授权的计算机本文档来自技高网...
【技术保护点】
一种内网安全管理系统,其特征在于包括: 传输介质(2); 经由所述传输介质(2)接入内网的多个计算机(1); 连接所述传输介质(2)的具有受控端口的交换机(3); 连接所述交换机(3)以对所述计算机(1)经由交换机(3)发出的认证请求进行认证的认证服务器(4);以及 连接所述交换机(3)以对所述计算机(1)中已通过认证的计算机进行安全管理的管理中心(5)。
【技术特征摘要】
一种内网安全管理系统,其特征在于包括传输介质(2);经由所述传输介质(2)接入内网的多个计算机(1);连接所述传输介质(2)的具有受控端口的交换机(3);连接所述交换机(3)以对所述计算机(1)经由交换机(3)发出的认证请求进行认证的认证服务器(4);以及连接所述交换机(3)以对所述计算机(1)中已通过认证的计算机进行安全管理的管理中心(5)。2. 根据权利要求1所述的内网安全管理系统,其特征在于,所述管理中心(5)包括 控制台(51),用于分配已通过认证的计算机的权限;以及监控与审计服务器(52),通过与已通过认证的计算机通信以下发关于计算机权限的指令,并接收计算机上传的日志及警报。3. 根据权利要求2所述的内网安全管理系统,其特征在于,所述多个计算机(1)之每个 经由传输介质(2)分别连接所述交换机(3)的一个相应受控端口 ;控制台(51)、监控与审 计服务器(52)和认证服务器(4)分别连接所述交换机(3)的其他三个端口。4. 根据权利要求3所述的内网安全管理系统,其特征在于,所述交换机(3)包括 具有多个分别连接所述多个计算机(1)的受控端口以及连接所述控制台(51)、监控与审计服务器(52)和认证服务器(4)的其他端口的交换芯片(31);以及连接所述交换芯片(31)以根据所述认证服务器(4)的认证结果对连接计算机的受控 端口进行控制的端口控制模块(32)。5. 根据权利要求4所述的内网安全管理系统,其特征在于,所述计算机(1)是装有终端 代理装置(16)的计算机。6. 根据权利要求5所...
【专利技术属性】
技术研发人员:于晴,王海洋,
申请(专利权)人:北京鼎普科技股份有限公司,
类型:实用新型
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。