用于網(wǎng)絡(luò)監(jiān)控系統(tǒng)的權(quán)限處理方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)監(jiān)控領(lǐng)域,具體而言,涉及一種用于網(wǎng)絡(luò)監(jiān)控系統(tǒng)的權(quán)限處理方法和裝置。
【背景技術(shù)】
[0002]網(wǎng)絡(luò)監(jiān)控系統(tǒng)是對局域網(wǎng)中的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、存儲設(shè)備、主機設(shè)備、應(yīng)用服務(wù)等提供監(jiān)控和管理的安全系統(tǒng)。網(wǎng)絡(luò)監(jiān)控系統(tǒng)還能夠?qū)Χ喾N網(wǎng)絡(luò)安全設(shè)備的性能及運行狀況進行監(jiān)測,采集多種信息源的安全事件信息并提供實時告警及圖形化分析。
[0003]發(fā)明人發(fā)現(xiàn),現(xiàn)有的網(wǎng)絡(luò)監(jiān)控系統(tǒng)大多只為整個系統(tǒng)設(shè)置超級管理員,超級管理員具有對所有功能和所有設(shè)備的管理權(quán)限,這種管理方式便于系統(tǒng)配置和維護。然而,網(wǎng)絡(luò)監(jiān)控系統(tǒng)中管理的資產(chǎn)設(shè)備重要程度也不盡相同,一般的網(wǎng)絡(luò)監(jiān)控系統(tǒng)不對資產(chǎn)本身進行訪問控制,現(xiàn)有的網(wǎng)絡(luò)監(jiān)控系統(tǒng)的權(quán)限配置,使得用戶具有所有資產(chǎn)的監(jiān)控和管理權(quán)限,這使得局域網(wǎng)中的資產(chǎn)設(shè)備存在安全隱患。
[0004]針對現(xiàn)有技術(shù)中網(wǎng)絡(luò)監(jiān)控系統(tǒng)的權(quán)限配置存在安全隱患的問題,目前尚未提出有效的解決方案。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的主要目的在于提供一種用于網(wǎng)絡(luò)監(jiān)控系統(tǒng)的權(quán)限處理方法和裝置,以解決現(xiàn)有技術(shù)中網(wǎng)絡(luò)監(jiān)控系統(tǒng)的權(quán)限配置存在安全隱患的問題。
[0006]為了實現(xiàn)上述目的,根據(jù)本發(fā)明實施例的一個方面,提供了一種用于網(wǎng)絡(luò)監(jiān)控系統(tǒng)的權(quán)限處理方法。根據(jù)本發(fā)明的用于網(wǎng)絡(luò)監(jiān)控系統(tǒng)的權(quán)限處理方法包括:接收登錄網(wǎng)絡(luò)監(jiān)控系統(tǒng)的用戶信息,其中,所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)設(shè)置有第一權(quán)限、第二權(quán)限和第三權(quán)限,所述第一權(quán)限為對所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)進行配置管理和維護的權(quán)限,所述第二權(quán)限為設(shè)置所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)所管理的資產(chǎn)的安全屬性和安全規(guī)則的權(quán)限,所述第三權(quán)限為對所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的審計信息進行管理的權(quán)限;對所述用戶信息進行驗證,確定用戶對應(yīng)的系統(tǒng)角色所具有的功能權(quán)限和所述用戶所具有的資產(chǎn)權(quán)限;以及根據(jù)確定出的權(quán)限控制所述用戶對所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的訪問或者操作。
[0007]進一步地,在接收登錄網(wǎng)絡(luò)監(jiān)控系統(tǒng)的用戶信息之前,所述方法還包括:通過所述第一權(quán)限對所述用戶對應(yīng)的系統(tǒng)角色的訪問權(quán)限進行配置,所述訪問權(quán)限用于訪問所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的功能模塊,根據(jù)確定出的權(quán)限控制所述用戶對所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的訪問或者操作包括:根據(jù)所述訪問權(quán)限控制所述用戶對所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的功能模塊的訪問。
[0008]進一步地,根據(jù)所述訪問權(quán)限控制所述用戶對所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的功能模塊的訪問包括:過濾掉所述訪問權(quán)限無法訪問的所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的功能模塊,顯示過濾后的所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的功能模塊;所述用戶基于所述訪問權(quán)限訪問顯示的所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的功能t吳塊。
[0009]進一步地,在接收登錄網(wǎng)絡(luò)監(jiān)控系統(tǒng)的用戶信息之前,所述方法還包括:通過所述第二權(quán)限對所述用戶的資產(chǎn)權(quán)限進行配置,所述資產(chǎn)權(quán)限為對所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)中的資產(chǎn)的訪問權(quán)限;通過所述第二權(quán)限對所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)中的資產(chǎn)的安全級別進行配置,根據(jù)確定出的權(quán)限控制所述用戶對所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的訪問或者操作包括:根據(jù)所述資產(chǎn)權(quán)限控制所述用戶對所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的資產(chǎn)的訪問。
[0010]進一步地,所述方法還包括:通過所述第三權(quán)限對所述用戶的登錄情況和操作行為進行審計。
[0011]為了實現(xiàn)上述目的,根據(jù)本發(fā)明實施例的另一方面,提供了一種用于網(wǎng)絡(luò)監(jiān)控系統(tǒng)的權(quán)限處理裝置。根據(jù)本發(fā)明的用于網(wǎng)絡(luò)監(jiān)控系統(tǒng)的權(quán)限處理裝置包括:接收單元,用于接收登錄網(wǎng)絡(luò)監(jiān)控系統(tǒng)的用戶信息,其中,所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)設(shè)置有第一權(quán)限、第二權(quán)限和第三權(quán)限,所述第一權(quán)限為對所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)進行配置管理和維護的權(quán)限,所述第二權(quán)限為設(shè)置所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)所管理的資產(chǎn)的安全屬性和安全規(guī)則的權(quán)限,所述第三權(quán)限為對所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的審計信息進行管理的權(quán)限;驗證單元,用于對所述用戶信息進行驗證,確定用戶對應(yīng)的系統(tǒng)角色所具有的功能權(quán)限和所述用戶所具有的資產(chǎn)權(quán)限;以及控制單元,用于根據(jù)確定出的權(quán)限控制所述用戶對所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的訪問或者操作。
[0012]進一步地,所述裝置還包括:第一配置單元,用于在接收登錄網(wǎng)絡(luò)監(jiān)控系統(tǒng)的用戶信息之前,通過所述第一權(quán)限對所述用戶對應(yīng)的系統(tǒng)角色的訪問權(quán)限進行配置,所述訪問權(quán)限用于訪問所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的功能模塊,所述控制單元包括:第一控制模塊,用于根據(jù)所述訪問權(quán)限控制所述用戶對所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的功能模塊的訪問。
[0013]進一步地,所述第一控制模塊包括:過濾子模塊,用于過濾掉所述訪問權(quán)限無法訪問的所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的功能模塊,顯示過濾后的所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的功能模塊;訪問子模塊,用于使得所述用戶基于所述訪問權(quán)限訪問顯示的所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的功能模塊。
[0014]進一步地,所述裝置還包括:第二配置單元,用于在接收登錄網(wǎng)絡(luò)監(jiān)控系統(tǒng)的用戶信息之前,通過所述第二權(quán)限對所述用戶對應(yīng)的資產(chǎn)權(quán)限進行配置,所述資產(chǎn)權(quán)限為對所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)中的資產(chǎn)的訪問權(quán)限;第三配置單元,用于通過所述第二權(quán)限對所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)中的資產(chǎn)的安全級別進行配置,所述控制單元包括:第二控制模塊,用于根據(jù)所述資產(chǎn)權(quán)限控制所述用戶對所述網(wǎng)絡(luò)監(jiān)控系統(tǒng)的資產(chǎn)的訪問。
[0015]進一步地,所述裝置還包括:審計單元,用于通過所述第三權(quán)限對所述用戶的登錄情況和操作行為進行審計。
[0016]根據(jù)本發(fā)明實施例,通過在網(wǎng)絡(luò)監(jiān)控系統(tǒng)中設(shè)置第一權(quán)限、第二權(quán)限和第三權(quán)限,其中,第一權(quán)限為對網(wǎng)絡(luò)監(jiān)控系統(tǒng)進行配置管理和維護的權(quán)限,第二權(quán)限為設(shè)置網(wǎng)絡(luò)監(jiān)控系統(tǒng)所管理的資產(chǎn)的安全屬性和安全規(guī)則的權(quán)限,第三權(quán)限為對網(wǎng)絡(luò)監(jiān)控系統(tǒng)的審計信息進行管理的權(quán)限,將現(xiàn)有的超級管理員的權(quán)限劃分為至少三個權(quán)限,從而達到計算機設(shè)備信息系統(tǒng)安全等級保護三級中的強制訪問控制要求,在用戶登錄系統(tǒng)之后,網(wǎng)絡(luò)監(jiān)控系統(tǒng)可以依據(jù)其所具有的權(quán)限對其訪問或者操作進行控制,解決了現(xiàn)有技術(shù)中網(wǎng)絡(luò)監(jiān)控系統(tǒng)的權(quán)限配置存在安全隱患的問題,達到了避免網(wǎng)絡(luò)監(jiān)控系統(tǒng)出現(xiàn)安全隱患的效果。
【附圖說明】
[0017]構(gòu)成本申請的一部分的附圖用來提供對本發(fā)明的進一步理解,本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明,并不構(gòu)成對本發(fā)明的不當(dāng)限定。在附圖中:
[0018]圖1是根據(jù)本發(fā)明實施例的用于網(wǎng)絡(luò)監(jiān)控系統(tǒng)的權(quán)限處理方法的流程圖;以及
[0019]圖2是根據(jù)本發(fā)明實施例的用于網(wǎng)絡(luò)監(jiān)控系統(tǒng)的權(quán)限處理裝置的示意圖。
【具體實施方式】
[0020]需要說明的是,在不沖突的情況下,本申請中的實施例及實施例中的特征可以相互組合。下面將參考附圖并結(jié)合實施例來詳細(xì)說明本發(fā)明。
[0021 ] 為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案,下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分的實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都應(yīng)當(dāng)屬于本發(fā)明保護的范圍。
[0022]需要說明的是,本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語“第一”、“第二”等是用于區(qū)別類似的對象,而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換,以便這里描述的本發(fā)明的實施例。此外,術(shù)語“包括”和“具有”以及他們的任何變形,意圖在于覆蓋不排他的包含,例如,包含了一系列步驟或單元的過程、方法、系統(tǒng)、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元,而是可包括沒有清楚地列出的或?qū)τ谶@些過程、方法、產(chǎn)品或設(shè)備固有的其它步驟或單元。
[0023]本發(fā)明實施例提供了一種用于網(wǎng)絡(luò)監(jiān)控系統(tǒng)的權(quán)限處理方法。
[0024]圖1是根據(jù)本發(fā)明實施例的用于網(wǎng)絡(luò)監(jiān)控系統(tǒng)的權(quán)限處理方法的流程圖。如圖1所示,該方法包括步驟如下:
[0025]步驟S102,接收登錄網(wǎng)絡(luò)監(jiān)控系統(tǒng)的用戶信息。其中,網(wǎng)絡(luò)監(jiān)控系統(tǒng)設(shè)置有第一權(quán)限、第二權(quán)限和第三權(quán)限,第一權(quán)限為對網(wǎng)絡(luò)監(jiān)控系統(tǒng)進行配置管理和維護的權(quán)限,第二權(quán)限為設(shè)置網(wǎng)絡(luò)監(jiān)控系統(tǒng)所管理的資產(chǎn)的安全屬性和安全規(guī)則的權(quán)限,第三權(quán)限為對網(wǎng)絡(luò)監(jiān)控系統(tǒng)的審計信息進行管理的權(quán)限。
[0026]步驟S104,對用戶信息進行驗證,確定用戶對應(yīng)的系統(tǒng)角色所具有的功能權(quán)限和用戶所具有的資產(chǎn)權(quán)限。
[0027]步驟S106,根據(jù)確定出的權(quán)限控制用戶對網(wǎng)絡(luò)監(jiān)控系統(tǒng)的訪問或者操作。
[0028]本實施例中,上述用戶是指登錄網(wǎng)絡(luò)監(jiān)控系統(tǒng)的賬號,包括管理員用戶和普通用戶;其中管理員用戶是系統(tǒng)內(nèi)置,不可刪除的,普通用戶可以由管理員創(chuàng)建和刪除。將網(wǎng)絡(luò)監(jiān)控系統(tǒng)的高級權(quán)限分為第一權(quán)限、第二權(quán)限和第三權(quán)限,其中,第一權(quán)限可以對網(wǎng)絡(luò)監(jiān)控系統(tǒng)進行配置管理和維護,第二權(quán)限可以設(shè)置網(wǎng)絡(luò)監(jiān)控系統(tǒng)所管理的資產(chǎn)的安全屬性和安全規(guī)則,第三權(quán)限可以對網(wǎng)絡(luò)監(jiān)控系統(tǒng)的審計信息進行管理。
[0029]具體地,網(wǎng)絡(luò)監(jiān)控系統(tǒng)內(nèi)置三個管理員用戶,其中,第一管理員具有第一權(quán)限,第二管理員具有第二權(quán)限,第三管理員具有第三權(quán)限,從而將上述三個權(quán)限分由三個管理員來管理??梢栽诰W(wǎng)絡(luò)監(jiān)控系統(tǒng)中由系統(tǒng)管理員(sysadmin),安全管理員(secadmin)和審計管理員(auditadmin)取代現(xiàn)有的網(wǎng)絡(luò)監(jiān)控系統(tǒng)中超級管理員共同管理系統(tǒng),其中,系統(tǒng)管理員具有上述第一權(quán)限,安全管理員具有上述第二權(quán)限,審計管理員具有上述第三權(quán)限。系統(tǒng)管理員負(fù)責(zé)系統(tǒng)管理和日常維護;安全管理員負(fù)責(zé)資產(chǎn)安全屬性及安全規(guī)則的設(shè)定;審計管理員負(fù)責(zé)對系統(tǒng)審計信息進行管理。
[0030]上述中資產(chǎn)指的是網(wǎng)絡(luò)監(jiān)控系統(tǒng)管理的局域網(wǎng)中的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、存儲設(shè)備、主機設(shè)備、應(yīng)用服務(wù),及機房供電系統(tǒng)、環(huán)境系統(tǒng)和安防系統(tǒng)等。
[0031]根據(jù)本發(fā)明實施