網絡數據安全管理系統及方法
2023-07-23 06:26:41 1
網絡數據安全管理系統及方法
【專利摘要】本發明公開了一種網絡數據安全管理系統及方法,系統包括:一管理對象設置模塊,用於選取伺服器的IP位址及埠號作為管理對象;一數據包採集模塊,用於旁路採集網絡中的數據包;一數據包分析模塊,用於對數據包進行解包處理,並分析其目標地址是否為選取的伺服器的IP位址,若是,將數據包存儲至資料庫中,若否,對數據包作丟包處理;一數據包整理模塊,用於對資料庫中的數據包進行整理,根據數據包的目標地址獲取用戶密鑰,從解包後的數據中解析用戶的當前操作行為;一監控模塊,用於判斷當前操作行為是否超出用戶的身份權限範圍,若是則發出告警並阻斷當前操作行為。本發明能夠保證用戶不會越權限操作,保障了網絡系統的安全。
【專利說明】網絡數據安全管理系統及方法
【技術領域】
[0001]本發明涉及一種網絡數據安全管理系統及方法。
【背景技術】
[0002]現有的網絡安全系統是由用戶提出網絡系統中需要保護的敏感數據實施保護,但是往往在網絡系統龐大複雜後,用戶無法具體提供哪些數據是敏感數據,或者用戶可能直接認定所有數據都是敏感數據,此時網絡系統就無法很好地得到管理,系統的開發人員、維護人員、臨時技術支持修改系統或資料庫的操作就無法得到有效地管理。
【發明內容】
[0003]本發明要解決的技術問題是為了克服現有技術中在網絡系統過於龐大複雜後無法對網絡數據的安全進行很好地管理的缺陷,提供一種網絡數據安全管理系統及方法。
[0004]本發明是通過下述技術方案來解決上述技術問題的:
[0005]本發明提供了一種網絡數據安全管理系統,其特點在於,包括:
[0006]一管理對象設置模塊,用於從網絡中選取至少一個伺服器的IP (網絡之間互連的協議)地址及埠號作為管理對象;
[0007]—數據包採集模塊,用於以旁路模式採集網絡中所有的數據包,每個數據包均用於表徵網絡中的用戶操作行為;
[0008]一數據包分析模塊,用於對採集的每個數據包進行解包處理,並分析所述數據包的目標地址是否為所述管理對象設置模塊選取的伺服器的IP位址,若是,則將所述數據包存儲至資料庫中,若否,則對所述數據包作丟包處理;
[0009]一數據包整理模塊,用於對所述資料庫中的數據包進行整理,根據所述數據包的目標地址獲取用戶密鑰,以識別執行當前操作行為的用戶的唯一身份,並從解包後的數據中解析出用戶的當前操作行為;
[0010]一監控模塊,用於判斷用戶的當前操作行為是否超出用戶的身份權限範圍,並在判斷為是時發出告警並阻斷用戶的當前操作行為。
[0011]其中,不同的用戶身份具有不同的操作權限範圍,具體可根據實際情況由系統使用者進行自定義。
[0012]較佳地,所述數據包採集模塊用於通過網絡交換機的埠鏡像功能或採用TAP (分路器)分流監聽的方式採集數據包。
[0013]較佳地,所述資料庫為Oracle資料庫、Microsoft SQL Server資料庫、DB2資料庫、Sybase資料庫、Informix資料庫或MySQL資料庫(上述均為現有資料庫的具體種類和名稱)。
[0014]佳佳地,所述數據包整理模塊用於根據數據包中欄位表徵的源地址、目標地址、使用程序名、操作表名、操作內容、操作方式來解析出用戶的當前操作行為。
[0015]較佳地,所述網絡數據安全管理系統還包括一顯示模塊,用於通過內部查詢或外部接口將所述監控模塊的監控結果可視化地展示,並自動生成表徵監控結果的統計報表。
[0016]本發明的目的在於還提供了一種網絡數據安全管理方法,其特點在於,其利用上述的網絡數據安全管理系統實現,包括以下步驟:
[0017]S1、從網絡中選取至少一個伺服器的IP位址及埠號作為管理對象;
[0018]S2、以旁路模式採集網絡中所有的數據包,每個數據包均用於表徵網絡中的用戶操作行為;
[0019]S3、對採集的每個數據包進行解包處理,並分析所述數據包的目標地址是否為步驟31中選取的伺服器的IP位址,若是,則將所述數據包存儲至資料庫中,若否,則對所述數據包作丟包處理;
[0020]S4、對所述資料庫中的數據包進行整理,根據所述數據包的目標地址獲取用戶密鑰,以識別執行當前操作行為的用戶的唯一身份,並從解包後的數據中解析出用戶的當前操作行為;
[0021]S5、判斷用戶的當前操作行為是否超出用戶的身份權限範圍,並在判斷為是時發出告警並阻斷用戶的當前操作行為。
[0022]較佳地,步驟S2中通過網絡交換機的埠鏡像功能或採用TAP分流監聽的方式採集數據包。
[0023]較佳地,所述資料庫為Oracle資料庫、Microsoft SQL Server資料庫、DB2資料庫、Sybase資料庫、Informix資料庫或MySQL資料庫。
[0024]較佳地,步驟S4中根據數據包中欄位表徵的源地址、目標地址、使用程序名、操作表名、操作內容、操作方式來解析出用戶的當前操作行為。
[0025]較佳地,所述網絡數據安全管理系統還包括一顯示模塊,步驟S5之後還包括一步驟S6、所述顯示模塊通過內部查詢或外部接口將步驟S5中的監控結果可視化地展示,並自動生成表徵監控結果的統計報表。
[0026]本發明的積極進步效果在於:本發明能夠對龐大複雜的網絡系統進行安全管理,保證用戶不會越權限操作,從而保障了整個網絡系統的安全,保證網絡系統的所有業務都正常運行。
【專利附圖】
【附圖說明】
[0027]圖1為本發明一較佳實施例的網絡數據安全管理系統的模塊示意圖。
[0028]圖2為本發明一較佳實施例的網絡數據安全管理方法的流程圖。
【具體實施方式】
[0029]下面通過實施例的方式進一步說明本發明,但並不因此將本發明限制在所述的實施例範圍之中。
[0030]如圖1所示,本發明的網絡數據安全管理系統包括一管理對象設置模塊1、一數據包採集模塊2、一數據包分析模塊3、一數據包整理模塊4、一資料庫5、一監控模塊6以及一顯示模塊7。
[0031]所述管理對象設置模塊I從網絡中選取至少一個伺服器的IP位址及埠號作為管理對象,從而根據需要制定保護規則,確定需要監管的伺服器IP、埠號信息。所述數據包採集模塊2通過網絡交換機的埠鏡像功能或採用TAP分流監聽等方式,以旁路的方式實時採集網絡中所有的數據包,每個數據包均表徵網絡中的用戶操作行為,從而使本系統能得知用戶在網絡中業務伺服器和資料庫伺服器交互的所有操作行為。在本發明中,對於用戶執行操作行為時所涉及到的伺服器,本系統均能夠根據伺服器的IP位址將其轉換為具體的實際名稱,並對實際名稱進行顯示,使得系統用戶可以直觀地查看用戶操作所涉及到的伺服器名稱。例如某個操作行為中所表徵的源消息的伺服器為「內網網站應用伺服器」、目標消息的伺服器為「資產資料庫伺服器」,那麼在系統進行具體顯示時就會顯示上述的具體名稱,而不是簡單地顯示伺服器的IP位址。
[0032]所述數據包分析模塊3則對採集的每個數據包進行解包處理,並分析數據包的目標地址是否為所述管理對象設置模塊I選取的伺服器的IP位址,若是,則認為其符合條件,將所述數據包存儲至所述資料庫5中,若否,則對所述數據包作丟包處理。所述數據包整理模塊4則對所述資料庫5中的數據包進行整理,根據所述數據包的目標地址獲取用戶密鑰(usbkey,用於存儲用戶的私鑰及數字證書),以識別出執行當前操作行為的用戶的唯一身份,並從解包後的數據中解析出用戶的當前操作行為,所述數據包整理模塊4具體根據數據包中欄位表徵的源地址、目標地址、使用程序名、操作表名、操作內容、操作方式等來解析出用戶的當前操作行為。
[0033]具體地,本發明可根據用戶密鑰確定用戶的唯一身份,並且對於執行操作行為的用戶直接顯示其具體姓名,從而直觀地顯示出每個操作行為的用戶詳細信息。另外,從每個數據包中均能完整地解析出每個操作行為的用戶姓名、操作時間、操作地點、操作行為、操作過程等信息,並可以基於時間信息對一套完整的流程進行排序,從而可以清楚地顯示流程中每個操作行為的具體信息以及先後順序,方便對操作行為進行溯源。例如對於某個額度支付申請事件,其完整依次流程為:用戶A進行單位預算執行審批操作、用戶B進行單位額度支付申請操作,那麼本發明的系統就能按時間順序依次顯示用戶A的姓名及其操作行為,並在其後面顯示用戶B的姓名及其操作行為。
[0034]所述監控模塊6則實時監控數據,判斷用戶的當前操作行為是否超出用戶的身份權限範圍,若判斷為是,則說明用戶操作行為違反設定規則,則發出告警並阻斷用戶的當前操作行為。其中,不同的用戶身份具有不同的操作權限範圍,用於限制不同身份用戶的操作行為,具體可根據實際情況由系統使用者進行自定義,如身份A只可以對資料庫進行只讀操作,身份B則可以對資料庫進行修改操作等。
[0035]所述顯示模塊7則通過內部查詢或外部接口將所述監控模塊6的實時監控結果可視化地展示給用戶,並按照用戶設置,自動生成表徵監控結果的統計報表。通過由用戶設置資料庫和業務系統的管理操作權限範圍,本系統依照該設置,監控所有操作設置,對權限範圍內的操作放行,對越權的操作予以阻斷、告警並記錄。
[0036]其中,所述資料庫5可以為Oracle資料庫、Microsoft SQL Server資料庫、DB2資料庫、Sybase資料庫、Informix資料庫或MySQL資料庫。
[0037]在具體實踐中,利用本發明的網絡數據安全管理系統可以實現以下功能:
[0038]財政業務關鍵操作審計:精確識別業務員的每個操作,根據用戶自定義的審計策略的設計,還原出關鍵業務操作,如預算資金的申請、審批操作,對應的數據欄位有金額、操作人、操作時間等,業務表單數據按照業務人員的習慣方式將審計結果展現出來,並提供多種數據查詢方式,即使不經過培訓的業務人員也能很好地理解和使用,財政業務管理者能夠通過第三方審計系統了解業務系統的運行情況。
[0039]財政業務全流程審計:分析業務系統用戶登錄操作的時間、地點、業務系統、操作內容等信息,並通過業務系統的邏輯關係,將用戶的操作進行關聯,最後將業務表單的全生命周期予以還原,讓管理者了解每個業務表單在經辦人手中的數據原貌(包括辦理的具體時間、地點、結果等),為事故的責任認定起到關鍵作用。
[0040]財政業務關鍵數據智能比對:創新的後臺數據比對引擎,能夠在業務操作的同時,自動將支付表單與銀行實際支付表單(包括金額、收款帳號、收款人名稱等)進行比對,一旦發生比對異常,通過報警接口發出告警信息,有效杜絕異常業務數據流出財政系統。
[0041]業務審計和控制:判斷用戶是否使用usbkey登錄,如果使用usbkey則可以登錄系統,如果沒有則阻止登錄。
[0042]資料庫審計和控制:根據當前登錄用戶的權限,檢測用戶操作的時間、地點、帳號、usbkey、操作權限是否違反安全策略授權,如果沒有授權就進行阻斷,如果存在越權操作行為也進行阻斷。
[0043]簡便的授權管理方式:通過統一的授權、認證、審計設計,將繁瑣無序的權限管理工作簡單化、條理化,並最終由用戶決定開發商、運維服務商、維護人員等使用權限,真正做到外包工作而不外包管理職能。
[0044]零風險部署:以旁路方式,通過網絡交換機的埠鏡像功能或採用TAP分流監聽等方式,部署到系統網絡中,不影響網絡結構和性能,即使審計設備出現故障也不會影響業務系統的正常運行,在線技術支持,實時提供遠程技術指導和維護工作。
[0045]如圖2所示,本發明利用本實施例的網絡數據安全管理系統實現的網絡數據安全管理方法包括以下步驟:
[0046]步驟101、從網絡中選取至少一個伺服器的IP位址及埠號作為管理對象。
[0047]步驟102、以旁路模式採集網絡中所有的數據包,每個數據包均用於表徵網絡中的用戶操作行為。
[0048]步驟103、對採集的每個數據包進行解包處理,並分析所述數據包的目標地址是否為步驟101中選取的伺服器的IP位址,若是,則將所述數據包存儲至資料庫中,若否,則對所述數據包作丟包處理。
[0049]步驟104、對所述資料庫中的數據包進行整理,根據所述數據包的目標地址獲取用戶密鑰,以識別執行當前操作行為的用戶的唯一身份,並從解包後的數據中解析出用戶的當前操作行為。
[0050]步驟105、判斷用戶的當前操作行為是否超出用戶的身份權限範圍,並在判斷為是時發出告警並阻斷用戶的當前操作行為。
[0051]步驟106、通過內部查詢或外部接口將步驟105中的監控結果可視化地展示,並自動生成表徵監控結果的統計報表。
[0052]雖然以上描述了本發明的【具體實施方式】,但是本領域的技術人員應當理解,這些僅是舉例說明,本發明的保護範圍是由所附權利要求書限定的。本領域的技術人員在不背離本發明的原理和實質的前提下,可以對這些實施方式做出多種變更或修改,但這些變更和修改均落入本發明的保護範圍。
【權利要求】
1.一種網絡數據安全管理系統,其特徵在於,包括: 一管理對象設置模塊,用於從網絡中選取至少一個伺服器的I?地址及埠號作為管理對象; 一數據包採集模塊,用於以旁路模式採集網絡中所有的數據包,每個數據包均用於表徵網絡中的用戶操作行為; 一數據包分析模塊,用於對採集的每個數據包進行解包處理,並分析所述數據包的目標地址是否為所述管理對象設置模塊選取的伺服器的I?地址,若是,則將所述數據包存儲至資料庫中,若否,則對所述數據包作丟包處理; 一數據包整理模塊,用於對所述資料庫中的數據包進行整理,根據所述數據包的目標地址獲取用戶密鑰,以識別執行當前操作行為的用戶的唯一身份,並從解包後的數據中解析出用戶的當前操作行為; 一監控模塊,用於判斷用戶的當前操作行為是否超出用戶的身份權限範圍,並在判斷為是時發出告警並阻斷用戶的當前操作行為。
2.如權利要求1所述的網絡數據安全管理系統,其特徵在於,所述數據包採集模塊用於通過網絡交換機的埠鏡像功能或採用從?分流監聽的方式採集數據包。
3.如權利要求1所述的網絡數據安全管理系統,其特徵在於,所述資料庫為0116資料庫、801 361^61'資料庫、082 資料庫、37)35186 資料庫、資料庫或 17301資料庫。
4.如權利要求1所述的網絡數據安全管理系統,其特徵在於,所述數據包整理模塊用於根據數據包中欄位表徵的源地址、目標地址、使用程序名、操作表名、操作內容、操作方式來解析出用戶的當前操作行為。
5.如權利要求1-4中任意一項所述的網絡數據安全管理系統,其特徵在於,所述網絡數據安全管理系統還包括一顯示模塊,用於通過內部查詢或外部接口將所述監控模塊的監控結果可視化地展示,並自動生成表徵監控結果的統計報表。
6.一種網絡數據安全管理方法,其特徵在於,其利用如權利要求1所述的網絡數據安全管理系統實現,包括以下步驟: \、從網絡中選取至少一個伺服器的I?地址及埠號作為管理對象; 32、以旁路模式採集網絡中所有的數據包,每個數據包均用於表徵網絡中的用戶操作行為; 33、對採集的每個數據包進行解包處理,並分析所述數據包的目標地址是否為步驟\中選取的伺服器的I?地址,若是,則將所述數據包存儲至資料庫中,若否,則對所述數據包作丟包處理; 34、對所述資料庫中的數據包進行整理,根據所述數據包的目標地址獲取用戶密鑰,以識別執行當前操作行為的用戶的唯一身份,並從解包後的數據中解析出用戶的當前操作行為; 35、判斷用戶的當前操作行為是否超出用戶的身份權限範圍,並在判斷為是時發出告警並阻斷用戶的當前操作行為。
7.如權利要求6所述的網絡數據安全管理方法,其特徵在於,步驟32中通過網絡交換機的埠鏡像功能或採用從?分流監聽的方式採集數據包。
8.如權利要求6所述的網絡數據安全管理方法,其特徵在於,所述資料庫為0116資料庫、801 361^61'資料庫、082 資料庫、37)35186 資料庫、資料庫或 17301資料庫。
9.如權利要求6所述的網絡數據安全管理方法,其特徵在於,步驟34中根據數據包中欄位表徵的源地址、目標地址、使用程序名、操作表名、操作內容、操作方式來解析出用戶的當前操作行為。
10.如權利要求6-9中任意一項所述的網絡數據安全管理方法,其特徵在於,所述網絡數據安全管理系統還包括一顯示模塊,步驟35之後還包括一步驟36、所述顯示模塊通過內部查詢或外部接口將步驟35中的監控結果可視化地展示,並自動生成表徵監控結果的統計手艮表。
【文檔編號】H04L29/06GK104378228SQ201410522225
【公開日】2015年2月25日 申請日期:2014年9月30日 優先權日:2014年9月30日
【發明者】陳中祥 申請人:上海賓捷信息科技有限公司