专利名称:内网安全管理系统的制作方法
技术领域:
本实用新型涉及ー种内网安全管理系统。
技术背景在知识型经济之下,企业信息资产显得特别重要,能否有效保护专有技术等内部信息更是求存成功的关键,对业务保障的基础。进入信息年代,互联网成为企业与本土外地公司沟通、交换业务数据及信息的主要渠道,利用互联网沟通固然方便,但现有的内网安全管理系统工作站与服务器之间的加密算法易被破解,使机密的商业资料很容易透过开放的互联网泄露给竞争对手,机密商业资料ー经泄漏,不论是有意还是无意,始終会对企业的资产构成损失。最近公布的ー项调查结果表明,目前员エ在工作场所花费在网上的与工作无关时间越来越多,现有的内网管理系统无法对员エ电脑的上网情况实现实时监控,也无法即时监视员エ电脑的屏幕快照,员エ认为办公室的电脑属于他们所有,他们可以想干什么就干什么,企业的生产カ受到很大影响,为此造成大量的金钱损失。根据Gartner Group及Forrester Research的研究调查,信息系统管理部门接近一半的工作时间用于为计算机安装及升级软件,占计算机的总体拥有成本很大比重。IT人员为PC做简单的日常维护工作所花的时间占其总工作量的70-80%,大大增加计算机网络的综合管理成本。而且如果问题没有得到及时有效的处理,也会极大影响企业的生产力。因此有必要減少了 IT人员的ー些无谓操作,大幅度提升他们的工作效率,使得IT人员更加关注于管理工作,并将精力集中于能够提升企业管理效率的信息系统中。现有的内网安全管理系统无法监控和记录企业内部各台计算机和用户的使用情况,没有截取工作站的屏幕快照、计算机用户使用电脑的记录的功能,无法根据客户需要回播这些记录来报告工作站的工作状況。
实用新型内容本实用新型的目的在于解决现有内网安全管理系统的不足,提供ー种新型的内网安全管理系统,克服传统内网安全管理系统工作站与服务器之间的加密算法易被破解,使机密的商业资料透过开放的互联网泄露、对企业的资产构成损失;无法对员エ电脑的工作情况实现全面的实时的监控,部分员エ占用工作时间上网,影响企业生产カ;可扩展性差、安全性差等缺点。本实用新型的目的是通过以下技术方案来实现的内网安全管理系统,它包括客户端、控制台和服务器,客户端、控制台与服务器之间通过内网互相通信连接,组成ー级局域网;多个ー级局域网之间通过ー级交換机通信连接,组成ニ级局域网;ニ级局域网依次通过ニ级交換机和防火墙与外网连接。本实用新型所述的ー级局域网还包括前端管理设备,前端管理设备通过内网与服务器连接,前端管理设备包括工作站计算机分组装置、消息传输装置、基本信息查看装置、文件操作监控装置、程序运行监控装置、系统事件监控装置、屏幕快照装置、网络流量统计装置、打印监控装置、设备使用监控装置、网站浏览监控装置和报警装置;所述的消息传输装置为消息发送机和消息接收机,基本信息查看装置为基本硬件信息查看器和基本软件信息查看器,设备使用监控装置包括存储设备使用监控器和外设使用监控器。本实用新型所述的控制台集成了控制台管理系统,控制台管理系统包括启动控制台模块、使用控制台模块、系统控制模块、系统维护模块、应用监控模块、策略设置模块、统计报表模块、资产管理模块、日志与报警模块和设置菜单模块。本实用新型所述的使用控制台模块包括控制台界面简介模块、计算机分组操作模块、删除模块和重命名模块,计算机分组操作模块又包括新建分组操作模块和指定分组、改变分组模块。本实用新型所述的系统控制模块包括发送通知消息模块、锁定/解锁计算机模块、注销用户关闭/重启计算机模块和卸载客户端模块。 本实用新型所述的系统维护模块包括基本信息查看模块、硬件信息查看模块、系统进程操作模块、网络状态操作模块、软件信息操作模块、系统服务操作模块、启动项管理模块、系统用户管理模块、共享目录管理模块、远程控制模块和辅助操作模块。本实用新型所述的应用监控模块包括文件监控模块、程序监控模块、系统事件监控模块、实时屏幕监控模块、历史屏幕监控模块、上网监视模块和打印监控模块。本实用新型所述的策略设置模块包括设备策略模块、防火墙策略模块、网站策略模块、应用程序策略模块、屏幕监控策略模块、报警策略模块和软件分发策略模块。本实用新型所述的统计报表模块包括应用程序统计模块、上网浏览统计模块和网络流量统计模块。本实用新型所述的资产管理模块包括硬件资产管理模块、软件资产管理模块和系统信息统计模块。本实用新型所述的日志与报警模块包括系统日志模块和报警信息模块,设置菜单模块包括规则管理模块。工作站计算机分组装置用于将待管理的工作站计算机分为多组,对其进行分组管理;消息传输装置用于管理计算机与待管理计算机之间的消息通讯;基本信息查看装置用于管理人员查看待管理计算机的基本信息;文件操作监控装置用于监控待管理计算机上文件的操作情況,并查看其操作日志;程序运行监控装置用于监控待管理计算机上程序的运行情况;系统事件监控装置用于监控待管理计算机的“启动”、“注销”、“登录”和“停止”等系统事件;屏幕快照装置用于定时拍照,监控待管理计算机的使用状态;网络流量统计装置用于监控待管理计算机上所使用的网络流量;打印监控装置用于监控待管理计算机上的打印历史及当前打印任务等;设备使用监控装置用于监控待管理计算机上的设备连接和使用的状态;网站浏览监控装置用于监控待管理计算机的网站浏览记录,并进行实时监控;设置报警装置,用于报警提示待管理计算机上的各项工作状态。本实用新型的有益效果是(I)历史记录管理、查看、归档和捜索等功能方便灵活;(2)数据资料的存取速度快、效率高;(3)可实时获取受监视计算机的上网情况和屏幕快照等信息,实时地监控员エ,有效地減少了员エ与工作无关的上网或游戏时间,提高了企业生产力;(4)工作站与服务器之间的数据传输利用DES算法进行加密,可有效保护资料和防止非法资料截获,避免企业机密泄露造成的经济损失;(5)监视和数据管理功能强,用户接ロ简单易用,图形化的用户接ロ让系统的所有功能一目了然,易于操作;(6)可扩展性好、安全稳定且可有效降低企业管理成本。
图I为本实用新型结构示意框图;图2为本实用新型前端管理设备系统连接关系示意框图;图3为本实用新型控制台管理系统组成框图。
具体实施方式
以下结合附图进ー步详细描述本实用新型的技术方案如图I所述,内网安全管理系统,它包括客户端、控制台和服务器,客户端、控制台与服务器之间通过内网互相通信连接,组成ー级局域网;多个ー级局域网之间通过ー级交換机通信连接,组成ニ级局域网;ニ级局域网依次通过ニ级交換机和防火墙与外网连接。如图2所示,ー级局域网还包括前端管理设备,前端管理设备通过内网与服务器连接,前端管理设备包括工作站计算机分组装置、消息传输装置、基本信息查看装置、文件操作监控装置、程序运行监控装置、系统事件监控装置、屏幕快照装置、网络流量统计装置、打印监控装置、设备使用监控装置、网站浏览监控装置和报警装置;所述的消息传输装置为消息发送机和消息接收机,基本信息查看装置为基本硬件信息查看器和基本软件信息查看器,设备使用监控装置包括存储设备使用监控器和外设使用监控器。如图3所示,控制台集成了控制台管理系统,包括启动控制台模块、使用控制台模块、系统控制模块、系统维护模块、应用监控模块、策略设置模块、统计报表模块、资产管理模块、日志与报警模块和设置菜单模块。启动控制台模块包括启动模块和修改密码模块。在启动控制台模块之前必须先在网络上运行服务器模块,控制台模块在启动后会显示登录窗ロ,要求用户输入服务器IP地址,并且需要输入管理员账号和密码;为了保证保密的完全性,用户可以修改自己的密码,以防止他人盗用您的用户账号登录到系统中执行非法的操作,选中admin用户对其修改密码,此账号权限最高,不可以删除,可为此账号修改ー个强密码,也可以为其他管理员创建一个或者多个账号。使用控制台模块包括控制台界面简介模块、计算机分组操作模块、删除模块和重命名模块,计算机分组操作模块又包括新建分组操作模块和指定分组、改变分组模块。在控制台登录后,用户将见到由菜单栏、标签栏、导航栏和状态栏组成的用户界面,计算机导航栏下边显示的是网络上计算机(组)的逻辑树,而在右边是数据视图;在软件导航栏里显示在网络上运行客户端的计算机,为了方便管理,可以根据实际情况设定一些分组,将这些计算机在逻辑上划分到不同的组中,通过控制台的计算机分组的相关操作,可以管理所有运行客户端代理模块的计算机,右键中可以选择“按地址显示”和“按名称显示”两种方式,管理员 可以手动修改成自己容易区分的用户名称;当需要为计算机指定逻辑的分组时或改变分组时,选定需要移动的计算机、选择相应的目标组,计算机会移动到指定的组内,通过鼠标的拖拽操作来完成,选择要操作的对象后,按住鼠标左键不放,然后把它拖到目标组中去,这样所选择的计算机就会属于指定的组了,同时支持Shift和Ctrl对单个和组计算机来操作;管理员可以直接单击右键“删除”去删除计算机,删除计算机不会卸载该计算机的客户端,只是删除当时的信息,过一段时间(默认是15分钟)后自动连上服务器,组里面有计算机是不可以删除组的,只可以对空组名删除。系统控制模块包括发送通知消息模块、锁定/解锁计算机模块、注销用户关闭/重启计算机模块和卸载客户端模块。当需要通知工作站用户某些信息或下达某些命令吋,选择相应的计算机或组,选择“发送通知消息”进行通知,在对话框中输入消息后按发送按钮通知目标计算机或组;当发现客户端的计算机有异常举动或有其它原因时,将该计算机阻止用户继续使用键盘和鼠标进行操作,选择菜单“锁定计算机”对计算机进行锁定,被锁定的计算机在计算机图标上会显示锁定的状态,客户端断电后重启客户端任然处于锁定状态,必须在控制台由管理员解除计算机的锁定,也可在“报警策略”中设置报警策略规则,当用户违反规则后会相应策略的设置,通知用户还是直接锁定屏幕等,当需要对已锁定的计算机解锁时,选择菜単“解锁”进行解锁,解锁后计算机上的加锁图标将消失,目标计算机就可以继续使用键盘和鼠标了 ;当需要关闭运行代理模块的计算机,用户可以使用此项功能,用户可以选择“操作”菜单的“注销”、“重新启动”和“关闭计算机”,当然执行此操作后该代理模块将退出直到下次重新登录后才会开始运行;如果确定某个计算机将不再需要运行代理模块,选择“客户端”、“卸载客户端”将其代理模块移除,此后代理模块将不再启动运行,如果以后需要在该计算机上使用客户端,必须重新安装。系统维护模块包括基本信息查看模块、硬件信息查看模块、系统进程操作模块、网络状态操作模块、软件信息操作模块、系统服务操作模块、启动项管理模块、系统用户管理模块、共享目录管理模块、远程控制模块和辅助操作模块。基本信息里面显示操作系统、物理内存、硬盘空间、IP地址、计算机名字、处理器、开机时间、客户端版本、客户端安装时间和客户端更新时间,只可以对单个计算机进行基本信息的查看;硬件信息显示所选单个计算机的所有硬件的详细内容,包括设备的具体型号和配置;系统进程显示选定的单个计算机正在运行的进程,包括进程名、ID号和路径,管理员可以对其操作,可以删除选中的进程;网络状态显示当前选中的计算机的当前网络状况,包括协议类型、进程名称、PID、本地地址和远程地址的IP和端口号,在状态里显示当前的状态情況,是监听状态还是等待处理,根据需要对计算机做相应的操作;软件管理功能查看当前选中计算机上安装的所有软件,查看是否安装允许以外的非法软件;系统服务功能显示系统所有运行的服务,与计算机本地服务是一致的,可以手动禁止和启动相应的服务;显示跟随计算机随机启动的启动项目,可以删除随机一起启动的项目,缩短客户端的启动时间;显示计算机系统的所有用户,可以选中ー个账号,单击右键对其进行删除和重新修改密码;共享目录显示所有隐藏的共享目录和一般共享的所有磁盘和文件夹,显示共享文件夹的名字或者是磁盘的盘符、文件夹的路径和描述,管理员可以对其停止共享操作;远程控制可以对客户端完全控制,可以通过远程控制的方式直接访问,选定目标计算机,单击右键,选择下拉菜单“远程控制”,此时管理员对其具有完全操作权;文件系统包括文件管理和注册表,文件管理可以在本地服务器上创建文件夹和在客户端上创建文件夹和删除文件(夹)也支持在服务器上拖拽功能,直接按住鼠标左键不放把服务上的文件(夹)拖到客户端的计算机上;系统注册表修改系统注册表。应用监控模块包括文件监控模块、程序监控模块、系统事件监控模块、实时屏幕监控模块、历史屏幕监控模块、上网监视模块和打印监控模块。当用户对文档进行操作时,客户端会记录文档的操作动作,文档的路径,文档操作所在的磁盘,文档操作所使用的应用程序等;并定时将数据传到服务器,管理员可以通过控制台查看相关日志,选择“文件监控”,管理员可以查看客户端所有的文档操作日志,包括创建文件夹、重命名文件夹、重命名文件、访问、移动、修改、拷贝、删除文件夹和文件等操作,管理员也可通过选择时间和范围、操作类型、文档的驱动器类型及文档名称、文档大小范围和开启文档的应用程序自定义查询 需要的日志,输入字段支持通配符;当用户打开应用程序或关闭应用程序,或者将应用程序窗ロ切换时,客户端会记录下来,并定时将数据传到服务器,管理员可以通过控制台查看相关日志,选择“程序监控”,管理员可以查看所有的应用程序启动和停止状态,管理员也可通过选择时间和范围、应用程序或应用程序类别和输入应用程序名称自定义查询需要的日志;选择“系统事件”,管理员可以查看所有客户机的启动、注销、登录和停止状态,插入和拔出移动硬盘的提示,添加软件的记录,管理员也可通过选择时间和范围,输入消息内容自定义查询需要的日志,输入字段支持通配符;点击菜単“实时屏幕监控”,管理员可以实时查看并跟踪某一台计算机的屏幕快照,实时跟踪单击右键选择“跟踪”即可;系统默认不记录屏幕历史,管理者需要通过“屏幕监控策略”来创建监控屏幕记录,同时可以通过设置时间间隔来调节屏幕快照的频率,时间间隔属性的有效范围不限(建议设置在5秒以上),设置策略生效后在历史屏幕快照里面就可以看到监控的快照屏幕,数据的上传以每小时的间隔上传;选择菜单“上网监视”可以查看客户端使用即时通讯工具的聊天记录,支持的即时通讯工具包括腾迅 QQ、TM、MSN Messenger、Yahoo Messenger、skype、腾迅 RTX、贸易通 AliTalk和飞信,当用户通过浏览器浏览网页时,客户端会将网址和窗ロ标题记录下来,并定时将数据传到服务器,管理员可以通过控制台查看相关日志,管理员也可通过选择时间和范围、网站类别和输入窗ロ标题自定义查询需要的日志,也可以查看客户端收发邮件的记录,支持的邮件类型包括P0P3/SMTP收发邮件、Exchange收发邮件、Lotus Notes发送邮件、常用Http网页发送邮件内容和附件等;选择“打印监控”,管理员可以查看客户端所有的文档打印日志,包括本地打印机、共享打印机、网络打印机及虚拟打印机,管理员也可通过选择时间和范围来查看打印的内容,打印记录包括文档名称及类型、服务器名称、打印机名称、文档页数、份数、打印页数等内容。策略设置模块包括设备策略模块、防火墙策略模块、网站策略模块、应用程序策略模块、屏幕监控策略模块、报警策略模块和软件分发策略模块。设备控制策略主要是对硬件设备进行控制,如禁止或启用设备,当客户端的机器手工更改该设备的状态时,客户端会自动判断该状态是否与策略匹配,如果不匹配,客户端会強制更改设备的状态,使其与策略相匹配。设备控制策略支持的设备主要包括存储设备(软盘、光盘、磁帯、USB存储设备等),USB存储设备(可区分USB键盘、USB鼠标、USB⑶COM、USB存储、USB硬盘、USB网卡等)外设(串ロ、井口、USB、蓝牙、红外线等),拨号连接设备,网络设备(无线网卡、PnP网卡、虚拟网卡),其他(包括设备管理器、网络属性、任务管理器、打印、添加、删除打印机等操作);防火墙功能将限制内部网络有条件的访问外部网络或者禁止一切外网活动,保证网络内部的员エ计算机的安全,有效的使用网络,启用防火墙功能“防火檣”,单击“添加策略”按钮添加相应的防火墙策略(I)输入规则的“名称”以便于查找和阅读;(2)设定该规则所对应的协议,其中“TCP”协议要填入本机的端ロ范围和对方的端ロ范围,如果只是指定ー个端ロ,那么可以在起始端ロ处输入该端ロ,结束处,输入同样的端ロ,如果不想指定任何端ロ,只要在起始端ロ都输入O ;(3)选择该规则是对进入的数据包还是输出的数据包有效,或者双向;(4) “目标地址”,用于确定选择数据包从那里来或是去哪里;(5)当一条策略启用后,如有数据包满足此策略将被按此策略设置的给与禁止和放行处理。网站策略可以限制所有客户机在规定的时间或者全天都不可以访问禁止的网站,例如禁止百度网站在名称中输入名称,在网站中输入禁止的网站名称wm baidu. com,也可以勾选网站组(之前已经 创建好的网站组),选定时间段单击确定,启用策略,当同时启用多条规则,规则从上网下一条一条执行。应用程序策略可以限制客户端机器可以使用某些应用程序,禁止使用某些应用程序,如禁止使用QQgame,迅雷,BT等,应用程序的控制有两种方式(I)通过进程名称来禁止,管理员直接输入应用程序的名称,如thunder, exe,此时策略是通过字符串匹配的,如果客户端修改了应用程序名称改为thunderl23. exe,则策略就无法生效,要避免这种情况可以采用第二种方法去禁止;(2)通过应用程序组来禁止,管理员可以将要禁止的应用程序都放到这个组中,即使客户端修改了应用程序名称,只要程序本身没有变化,策略依然生效,对应用程序的分类可在“应用程序组管理”中増加和修改。系统默认不记录屏幕历史,管理者需要通过“屏幕监控策略”来创建监控屏幕记录,同时可以通过设置时间间隔来调节屏幕快照的频率,时间间隔属性的有效范围是1-999。管理员可以设置对客户端触发的各种事件进行报警,比如客户端机器有硬件变化或者插入U盘等操作时,管理员就可以实时的对这种动作的合法性进行核实并做出反应,控制台可以设置是否弹出报警窗ロ,在“报警策略”中设置,报警信息可通过策略日志查看相应的报警日志,系统默认是不报警,需要设置相关的策略才会报警,报警规则包括以下变动(1)文件操作可以对指定的文件夹和文件的创建、删除、共享、复制、移动和改名等操作记录报警记录,可以设定指定的时间段或者全天,在模式下启用策略,在响应策略中可以勾选锁定计算机和通知用户发送消息;(2)网站访问可以对指定限制的网站启用策略报警,当客户端访问网站吋,记录报警记录,在响应策略中可以勾选锁定计算机和通知用户发送消息;(3)应用程序当客户端使用报警策略时的应用程序,记录报警记录,在响应策略中可以勾选锁定计算机和通知用户发送消息;
(4)软件变动当启用软件变动报警规则后,当客户端添加和卸载应用程序时,会响应策略的设置;(5)硬件变动当客户端增加设备时(如网卡、插入u盘等外部设备),会响应策略的设置。“软件分发策略”菜单,管理员可以把需要安装到客户端的运行程序通过服务器和控制台来分发到客户的计算机上。统计报表模块包括应用程序统计模块、上网浏览统计模块和网络流量统计模块。选择“应用程序统计”可查询在某一段时间计算机(组)的应用程序使用情況,系统默认统计当天的应用程序使用情况,在统计中,默认有程序名称、访问次数、全部时间和时间,管理员也可以通过选择时间范围,自定义查询需要生成的统计报告和图表,方便评估员エ的工作效率,系统默认查询的是当天的排名前十位的统计数据。选择“网站访问统计”可查询在某一段时间计算机(组)的浏览网站情况,在统计中默认有网站名称、访问次数和时间,管理员也可以通过选择时间和范围,上网浏览的网站类别自定义查询需要生成的统计报告,方便评估员エ的工作效率,系统默认查询的是当天的统计数据。选择“网络流量统计”可统计在某段时间内计算机(组)的使用网络流量并查看。资产管理模块包括硬件资产管理模块、软件资产管理模块和系统信息统计模块。硬件资产管理帮助企业快速统计所有客户端硬件的数据,包括计算机名称,CPU的型号、内存的大小、硬盘驱动器、网卡的型号。管理员可以统计组、部门、全部计算机的硬件统计。软件资产统计可以对组、部门所有计算机上安装的软件进行统计,方便对软件资产的查看统计。系统信息统计模块统计所有的硬件的信息,在右边查询中也可以通过类别和类型来选择查询的信息记录。日志与报警模块包括系统日志模块和报警信息模块,设置菜单模块包括规则管理 模块。选择“日志与报警”,管理员可以查看服务器的启动和停止状态,管理员也可通过选择时间和范围,输入消息内容自定义查询需要的日志。输入字段支持通配符,系统日志包括类型、用户名、服务器的ip地址、时间和内容。警报信息记录所有策略触发的实时报警日志,可以通过“报警信息”来调整实时报警窗ロ能够显示报警记录的最大数量,可以通过右边查询来选择具体的时间段和具体的查询事项来查询。在规则管理中可以对周期管理、网站组管理、应用程序组管理。其中,周期管理创建不同的时间周期;网站组管理可以对禁止使用的网站进行分组创建,可以创建ー个组名,在网站地址里面输入禁止的网站地址,可以添加和删除网站地址;应用程序组管理可以对禁止使用的应用程序进行分组创建,可以创建ー个组名,在程序地址里面输入禁止的程序名称,可以添加和删除程序名称。
权利要求1.内网安全管理系统,其特征在于它包括至少一个客户端、控制台和服务器,客户端、控制台与服务器之间通过内网互相通信连接,组成一级局域网;多个一级局域网之间通过一级交换机通信连接,组成二级局域网;二级局域网依次通过二级交换机和防火墙与外网连接。
2.根据权利要求I所述的内网安全管理系统,其特征在于所述的一级局域网还包括前端管理设备,前端管理设备通过内网与服务器连接,前端管理设备包括工作站计算机分组装置、消息传输装置、基本信息查看装置、文件操作监控装置、程序运行监控装置、系统事件监控装置、屏幕快照装置、网络流量统计装置、打印监控装置、设备使用监控装置、网站浏览监控装置和报警装置;所述的消息传输装置为消息发送机和消息接收机,基本信息查看装置为基本硬件信息查看器和基本软件信息查看器,设备使用监控装置包括存储设备使用监控器和外设使用监控器。
专利摘要本实用新型公开了一种内网安全管理系统,它包括至少一个客户端、控制台和服务器,客户端、控制台与服务器之间通过内网互相通信连接,组成一级局域网;多个一级局域网之间通过一级交换机通信连接,组成二级局域网;二级局域网依次通过二级交换机和防火墙与外网连接。本实用新型的有益效果是历史记录管理、查看、归档和搜索等功能方便灵活;可实时监控受控计算机;可有效保护资料和防止非法资料截获;可扩展性好、安全稳定且可有效降低企业管理成本。
文档编号H04L29/06GK202424769SQ20112050248
公开日2012年9月5日 申请日期2011年12月6日 优先权日2011年12月6日
发明者向生建, 杨旭东, 章锦鑫 申请人:四川久远新方向智能科技有限公司