技術(shù)領(lǐng)域

本發(fā)明涉及一種基于協(xié)同方式的內(nèi)網(wǎng)安全管理方法。

背景技術(shù)

隨著計(jì)算機(jī)技術(shù)的發(fā)展，無紙辦公時(shí)代的到來，人們?cè)诟惺苤? 信息化所帶來的便利的同時(shí)，也面臨著越來越嚴(yán)重的威脅和挑戰(zhàn)。 根據(jù)國(guó)際安全界的統(tǒng)計(jì)，每年全球計(jì)算機(jī)網(wǎng)絡(luò)遭受的攻擊和破壞 70%以上是內(nèi)部人員所為。來自內(nèi)部的數(shù)據(jù)失竊和破壞所造成的危 害遠(yuǎn)遠(yuǎn)高于外部黑客的攻擊。從近年的網(wǎng)絡(luò)安全情況來看，傳統(tǒng)的 邊界網(wǎng)絡(luò)安全產(chǎn)品（例如防火墻等）對(duì)于源自內(nèi)部的攻擊顯得無能 為力，無法解決內(nèi)部人員的主動(dòng)信息泄漏、涉密信息的被動(dòng)泄漏、 非法主機(jī)接入內(nèi)部網(wǎng)絡(luò)、移動(dòng)存儲(chǔ)設(shè)備的安全管理、終端主機(jī)的安 全維護(hù)、移動(dòng)辦公的安全訪問等問題。

為了確保終端主機(jī)的安全，抵御內(nèi)部的網(wǎng)絡(luò)攻擊，防止內(nèi)部的 信息泄露，維護(hù)良好的信息環(huán)境，解決內(nèi)網(wǎng)安全管理問題迫在眉睫。 因此，近年來市場(chǎng)上出現(xiàn)了各類內(nèi)網(wǎng)安全管理的解決方案，但是普 遍存在如下的問題：

1）補(bǔ)丁和軟件的下發(fā)都從一個(gè)或少數(shù)幾個(gè)服務(wù)器下載，服務(wù)器 負(fù)載大，重復(fù)下載現(xiàn)象嚴(yán)重，占用網(wǎng)絡(luò)流量大，對(duì)正常業(yè)務(wù)系統(tǒng)造 成嚴(yán)重影響；

2）服務(wù)器的性能是瓶頸，限制了安全管理的效率；

3）系統(tǒng)伸縮性差；

4）服務(wù)器存在單點(diǎn)失效問題。

發(fā)明內(nèi)容

鑒于上述技術(shù)問題，本發(fā)明提供一種對(duì)內(nèi)網(wǎng)終端設(shè)備進(jìn)行安全 管理的基于協(xié)同方式的內(nèi)網(wǎng)安全管理方法，其能夠?qū)崿F(xiàn)資產(chǎn)管理、 終端安全管理、移動(dòng)存儲(chǔ)介質(zhì)管理、文檔安全管理和準(zhǔn)入控制管理 等功能的同時(shí)，采用協(xié)同方式的安全管理方式，解決了內(nèi)網(wǎng)安全管 理中性能問題，提升了安全管理的效率和效能。

本發(fā)明所涉及的基于協(xié)同方式的內(nèi)網(wǎng)安全管理方法，包括以下 步驟：檢查步驟，終端設(shè)備定期與管理服務(wù)器進(jìn)行安全策略的一致 性檢查；請(qǐng)求步驟，當(dāng)所述終端設(shè)備的安全策略與所述管理服務(wù)器 不一致時(shí)，向所述管理服務(wù)器請(qǐng)求指定的安全策略；查詢步驟，所 述管理服務(wù)器接到來自于所述終端設(shè)備的指定的安全策略的請(qǐng)求 時(shí)，查詢已經(jīng)擁有該指定的安全策略的終端設(shè)備的配置信息，并根 據(jù)擁有該指定的安全策略的終端設(shè)備的負(fù)載狀態(tài)信息，返回一個(gè)當(dāng) 前可用的、最小負(fù)載的安全策略引用；訪問步驟，所述終端設(shè)備根 據(jù)所述安全策略引用，訪問擁有該指定的安全策略的終端設(shè)備，請(qǐng) 求并獲取指定的安全策略；以及更新步驟，所述終端設(shè)備獲取所述 指定的安全策略后，將安全策略信息、當(dāng)前負(fù)載狀態(tài)信息、配置信 息更新到所述管理服務(wù)器，其中，所述管理服務(wù)器和多個(gè)所述終端 設(shè)備形成獨(dú)立節(jié)點(diǎn)，各個(gè)終端設(shè)備都在同一內(nèi)網(wǎng)中活動(dòng)。

在上述的內(nèi)網(wǎng)安全管理方法中，還包括：保存步驟，在每個(gè)終 端設(shè)備啟動(dòng)時(shí)，將所述終端設(shè)備的安全策略信息、負(fù)載狀態(tài)信息、 配置信息、可用的資源信息更新并保存到所述管理服務(wù)器中。

在上述的內(nèi)網(wǎng)安全管理方法中，還包括：定義步驟，在所述管 理服務(wù)器中預(yù)先定義安全策略，并設(shè)置需要應(yīng)用安全策略的所述終 端設(shè)備。

在上述的內(nèi)網(wǎng)安全管理方法中，在所述檢查步驟中，當(dāng)所述終 端設(shè)備的安全策略與所述管理服務(wù)器不一致時(shí)，所述終端設(shè)備先在 自身的終端資源庫(kù)中進(jìn)行查找，當(dāng)查找不到時(shí)，向所述管理服務(wù)器 發(fā)出請(qǐng)求，進(jìn)入所述請(qǐng)求步驟。

在上述的內(nèi)網(wǎng)安全管理方法中，所述終端設(shè)備之間、所述終端 設(shè)備和所述管理服務(wù)器之間的數(shù)據(jù)通信采用加密和壓縮的通信方 式。

在上述的內(nèi)網(wǎng)安全管理方法中，所述管理服務(wù)器和控制臺(tái)之間 采用https的加密通信方式。

在上述的內(nèi)網(wǎng)安全管理方法中，所述終端設(shè)備為多臺(tái)。

在上述的內(nèi)網(wǎng)安全管理方法中，所述管理服務(wù)器為多臺(tái)。

在上述的內(nèi)網(wǎng)安全管理方法中，所述終端設(shè)備、所述管理服務(wù) 器和所述控制臺(tái)構(gòu)成的內(nèi)網(wǎng)安全管理系統(tǒng)支持多級(jí)部署方式，根據(jù) 網(wǎng)絡(luò)的規(guī)模和管理級(jí)別而劃分為N級(jí)，其中，N為大于1的整數(shù)。

在上述的內(nèi)網(wǎng)安全管理方法中，所述安全策略包括：補(bǔ)丁管理 策略、主機(jī)防火墻策略、HTTP監(jiān)控策略、端口監(jiān)控策略、進(jìn)程監(jiān)控 策略、準(zhǔn)入控制策略、文檔安全監(jiān)控策略、移動(dòng)存儲(chǔ)介質(zhì)監(jiān)控策略。