一种安全网络的级联管理系统和方法与流程

本发明涉及计算机通信和操作系统安全领域，具体的说是一种安全网络的级联管理系统和方法。

背景技术：

对于大规模的多个局域网，或者跨地域广域网，包括基于国家、省、市、县等多级管理模式的网络结构，由于大型级联网络管理复杂，传统的集中管理方法无法进行全网统一的监控和管理，很有可能给上级带来网络风险。并且，现在部分级联架构管理方法存在部署繁琐、管理复杂、应用性差等弊端，系统管理员不能全面及时的了解下级网络的安全状况，全网监控管理效率低下。

技术实现要素：

本发明针对目前技术发展的需求和不足之处，提供一种安全网络的级联管理系统和方法。

本发明所述一种安全网络的级联管理系统和方法，解决上述技术问题采用的技术方案如下：所述安全网络的级联管理方法，通过级联设置、资产管理、策略管理及全局监控对全网数据中心进行统一监控和管理，上级数据中心的上级管理中心管理下级数据中心的下级管理中心，上级管理中心、下级管理中心均能够管理其数据中心的终端；上级管理中心向下级管理中心制定强制策略或推荐策略，级联下发策略；下级管理中心向上级管理中心级联上报统计、告警信息；系统管理员通过上级管理中心全局监控实时掌控各个下级数据中心的基本信息和安全状态。

优选的，级联设置，负责设置各个管理中心上下级关系，主要包括级管理中心设置、下级订阅设置、上下级通信间隔设置以及地图定制设置；

级管理中心设置：下级管理中心通过设置上级管理中心的ip地址和端口信息，注册并连接到上级管理中心；上级管理中心认证并授权后，对下级数据中心进行管理，并维护下级管理中心的在线状态；

下级订阅设置：上级管理中心设置下级管理中心订阅审计日志的类型和订阅频率，并且支持安全动态的实时上报；设置完成后，订阅策略下发至下级管理中心，根据策略上传统计数据和实时告警信息；

上下级通信间隔设置：设置上级管理中心和下级管理中心通信的时间间隔，下级管理中心定时将本级的统计数据和告警信息上报给上级管理中心；

地图定制设置：支持全国地图设置，设置用于全局监控的地图模式和图表模式。

优选的，策略管理，负责管理策略模板，策略模板按属性包括强制策略和推荐策略；强制策略：策略强制执行，下发后不允许修改；强制策略分发至本地数据中心，或者下发至下级管理中心；推荐策略：推荐至本地数据中心和下级管理中心，分发后不直接生效，需要时管理员可以直接引用。

优选的，根据策略的应用范围，策略分为分组策略和单台策略；分组策略和策略模板之间支持相互转换，即已设置好的分组策略可以直接生成策略模板，分组策略中可以直接引用推荐策略。

一种安全网络的级联管理系统，基于级联管理构架，该级联管理构架包括上级数据中心和若干下级数据中心，上级数据中心中设置上级管理中心和终端，下级数据中心中设置下级管理中心和终端；该级联管理系统能够集中管理，表现在上级管理中心和下级管理中心能够分别管理其数据中心内的终端；还可以级联管理，表现在上级管理中心能够管理下级数据中心；

上级管理中心能够根据需求向下级管理中心制定强制策略或推荐策略，级联下发安全策略；下级管理中心能够向上级管理中心级联上报统计、告警信息；上级管理中心能够全局监控实时掌控各个下级数据中心的基本信息和安全状态。

优选的，上级数据中心包括上级管理中心、数据库服务器、应用程序服务器、web服务器和终端，上级管理中心与数据库服务器、应用程序服务器、web服务器和终端均连接通信，系统管理员能够通过上级管理中心管理其本地数据中心；下级数据中心包括下级管理中心、数据库服务器、应用程序服务器、web服务器和终端，下级管理中心与数据库服务器、应用程序服务器、web服务器和终端均连接通信，系统管理员能够通过下级管理中心管理其本地数据中心。

本发明所述一种安全网络的级联管理系统和方法，与现有技术相比具有的有益效果是：本方法为复杂多级的网络用户提供了集中级联安全管理，能够活动设置上下级关系，支持无限级扩展，支持策略模板的定制和级联下发，支持多个管理中心的级联数据汇总，系统管理员能够实时查询全网的安全概况；

与传统的集中管理模式相比，避免了全部计算机连接上级带来的网络风险，同时实现了上级管理中心统筹全局的目的，极大方便了上级管理人员了解下级网络的安全状态；能够帮助多层级网络管理架构的组织提高计算机的安全性和合规性，协助组织建立规范的计算机安全管理制度，达到最佳的管理效果。

附图说明

附图1为所述安全网络的级联管理系统的示意框图；

附图2为所述下级管理中心向上级管理中心注册的流程图；

附图3为所述分组策略和策略模板转换关系的示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，对本发明所述一种服务器开关电源保护方法进一步详细说明。

本发明提出了一种安全网络的级联管理系统和方法，对于大型级联网络，提出一集中级联管理构架，通过级联设置、资产管理、策略管理及全局监控等实现集中级联管理；集中管理表现为各级管理中心可以管理本数据中心的终端，级联管理表现为上级管理中心管理下级管理中心，通过集中级联管理构架实现对全网计算机的统一监控和管理。

本发明所提出的级联管理系统和方法，级联管理不限制级数，可以无限级扩展，方便管理员根据单位内部的组织架构，建立合理的上下级关系；系统管理员可以根据需求向下级制定强制策略或推荐策略，支持安全策略的级联下发和统计、告警信息的级联上报；上级管理人员可以通过全局监控功能实时掌控全网的安全状况。

实施例：

本实施例所述安全网络的级联管理系统，基于级联管理构架，如附图1所示，该级联管理构架包括上级数据中心和若干下级数据中心，上级数据中心中设置上级管理中心和终端，下级数据中心中设置下级管理中心和终端；该级联管理系统能够集中管理，表现在上级管理中心和下级管理中心能够分别管理其数据中心内的终端；还可以级联管理，表现在上级管理中心能够管理下级数据中心；

上级管理中心能够根据需求向下级管理中心制定强制策略或推荐策略，级联下发安全策略；下级管理中心能够向上级管理中心级联上报统计、告警信息；上级管理中心能够全局监控实时掌控各个下级数据中心的基本信息和安全状态。

如附图1所示，上级数据中心包括上级管理中心、数据库服务器、应用程序服务器、web服务器和终端，上级管理中心与数据库服务器、应用程序服务器、web服务器和终端均连接通信，系统管理员能够通过上级管理中心管理其本地数据中心。下级数据中心包括下级管理中心、数据库服务器、应用程序服务器、web服务器和终端，下级管理中心与数据库服务器、应用程序服务器、web服务器和终端均连接通信，系统管理员能够通过下级管理中心管理其本地数据中心。

下级管理中心设置上级管理中心的ip地址和端口信息，注册并连接到上级管理中心，上级管理中心认证并授权，上级管理中心对下级管理中心进行管理，维护下级管理中心的在线状态。

上级管理中心设置下级管理中心订阅审计日志的类型和订阅频率，支持安全动态的实时上报；上级管理中心将订阅策略下发至下级管理中心，下级管理中心根据策略上传统计数据和实时告警信息。下级管理中心定时将本级的统计数据和告警信息上报给上级管理中心。

上级管理中心设置用于全局监控的地图模式和图表模式，通过地图模式和图表模式展示全网的安全状态，方便系统管理员实时监控全网的安全动态。

本实施例所述安全网络的级联管理方法，通过级联设置、资产管理、策略管理及全局监控对全网数据中心进行统一监控和管理，上级数据中心的上级管理中心管理下级数据中心的下级管理中心，上级管理中心、下级管理中心均能够管理其数据中心的终端；上级管理中心向下级管理中心制定强制策略或推荐策略，级联下发策略；下级管理中心向上级管理中心级联上报统计、告警信息；系统管理员通过上级管理中心全局监控实时掌控各个下级数据中心的基本信息和安全状态。

级联设置，负责设置各个管理中心上下级关系，主要包括级管理中心设置、下级订阅设置、上下级通信间隔设置以及地图定制设置四部分内容。

级管理中心设置：下级管理中心通过设置上级管理中心的ip地址和端口信息，注册并连接到上级管理中心；上级管理中心认证并授权后，对下级数据中心进行管理，并维护下级管理中心的在线状态（在线或离线）。

附图2为下级管理中心向上级管理中心注册的流程图，如附图2所示，系统管理员向下级管理中心发送注册请求，下级管理中心获取基本信息后，向上级管理中心发送注册消息，上级管理中心校验身份信息，并创建消息队列，若通过校验，则上级管理中心向下级管理中心发送管理平台临时uuid（通用唯一识别码），下级管理中心向系统管理员反馈注册成功消息；若没通过校验，上级管理中心向下级管理中心发送注册失败消息，下级管理中心向系统管理员反馈注册失败原因。

下级订阅设置：上级管理中心设置下级管理中心订阅审计日志的类型和订阅频率，并且支持安全动态的实时上报；设置完成后，订阅策略下发至下级管理中心，根据策略上传统计数据和实时告警信息。

上下级通信间隔设置：设置上级管理中心和下级管理中心通信的时间间隔，下级管理中心定时将本级的统计数据和告警信息上报给上级管理中心。

地图定制设置：支持全国地图设置，设置用于全局监控的地图模式和图表模式，便于系统管理员实时监控全网的安全动态。

资产管理，主要是指，统一查看所有下级数据中心的基本信息和安全状态，这些基本信息包括：名称、ip地址、操作系统、终端数量、在线率等等，系统管理员可以直接登录到下级管理中心进行管理。

策略管理，主要是管理策略模板，策略模板按属性分包括强制策略和推荐策略。强制策略：策略强制执行，并且下发后不允许修改；强制策略可以分发至本地数据中心，也可以通过消息总线下发至下级管理中心，适用于管控类安全功能。推荐策略：推荐至本地数据中心和下级管理中心，分发后不直接生效，需要时管理员可以直接引用。策略模板删除时，不影响已下发的终端，适用于防护类的安全功能。

根据策略的应用范围，策略分为分组策略和单台策略。分组策略和策略模板之间支持相互转换，即已设置好的分组策略可以直接生成策略模板，分组策略可以直接引用推荐策略，如附图3所示。当下级管理中心理线时，可以通过策略同步机制保证策略的一致性。

全局监控，通过地图模式和图表模式展示全网的安全动态；通过地图模式可以查看部署概况、下级管理中心的在线状态、安全等级（优、良、中、差、危）、实时安全事件、威胁趋势图等。

具体实施方式仅是本发明的具体个案，本发明的专利保护范围包括但不限于上述具体实施方式，任何符合本发明的权利要求书的且任何所属技术领域的普通技术人员对其所做的适当变化或替换，皆应落入本发明的专利保护范围。