一种计算机网络信息安全监护系统

技术领域

本发明涉及网络信息安全领域，尤其涉及一种计算机网络信息安全监护系统。

背景技术

企业的信息化建设快速发展与企业网络信息安全管理的相对滞后已形成一个亟待解决的突出矛盾。企业内部网络管理及信息安全保护作为企业信息化建设的重要一环，对提高企业生产效率，保护企业秘密，促进企业发展有着非常现实和重要的意义。企业网络信息安全的现状随着企业网络信息化建设的不断推进，各种数据信息在企业整个业务过程中起着至关重要的作用，信息数据的安全和保密性也成为了至关重要的问题。企业因信息被窃取所造成的损失超过病毒破坏和黑客攻击所造成的损失，各种重要数据、文件的滥用、丢失、被盗所造成的损失以亿计。

通过对当前信息安全系统的反思，造成这一情况的一个重要的原因，就是企业网络现行的这些安全产品实际上都是针对用户数字身份的权限管理，而没有解决用户的物理身份和数字身份相对应的问题，即缺乏为这些安全系统提供权限管理的依据。传统的安全保护产品只是解决了防止外部人员非法访问的问题，不能解决内部人员通过电子邮件、移动硬盘或笔记本计算机把电子文档进行二次传播的问题。企业对信息安全保护系统的要求是多方面、多层次的，企业所需要的是建立一个从内到外的多层次的信息安全保护体系，将被动防御与主动保护相结合，最终实现对企业机密信息的全方位保护。

发明内容

本发明为了解决以上问题，提供了一种计算机网络信息安全监护系统，。

为实现上述目的，本发明所采用的技术方案如下：

一种计算机网络信息安全监护系统，包括，网络安全管理模块，用于进行网络规划以及计算机分配和监测；

用户身份认证模块，用于识别用户的物理身份和数字身份；

以及数据加密保护模块，对企业计算机上的文件进行强制自动加密，且识别未经管理员认证的外接设备，禁止未经管理员认证的外接设备接入系统。

可选的，所述网络安全管理模块包括网络规划与地址管理单元、网络管理策略与分发单元、网络远程监控与维护单元以及入侵监测与安全预警单元。

可选的，所述网络规划与地址管理单元用于将工作站的IP地址、计算机名、工作权限、网络参数设置等进行集中管理。

可选的，所述网络管理策略与分发单元用于完成策略的生成、修改、删除以及分发。

可选的，所述网络远程监控与维护单元用于远程对计算机输出设备进行监控。

可选的，所述入侵监测与安全预警单元用于在计算机接入未认证的外接设备时进行报警。

可选的，所述用户身份认证模块包括物理身份认证单元以及数字身份认证单元，所述物理身份认证单元用以识别用户的人体特征，所述数字身份认证单元用于将每个用户设置为不同的权限管理以访问不同密级的文件。

可选的，所述数据加密保护模块包括加密单元以及识别单元，所述加密单元用以对企业计算机上的文件进行强制自动加密，所述识别单元用以识别未经管理员认证的外接设备。

可选的，还包括数据库服务器，所述数据库服务器用以对系统中的数据和信息进行存储、备份及管理。

可选的，还包括客户端，所述客户端部署在企业用户计算机上，系统管理员通过管理控制台对客户端进行管理及保护策略，以实现企业用户计算机的集中管理和保护，客户端通过结合硬件的用户身份识别系统对计算机进行登录保护。

本发明与现有技术相比，所取得的技术进步在于：

本发明解决了当前企业在网络管理及信息保护方面的现状和存在的问题，提出了在实现内网的安全管理的基拙上，结合用户身份认证和数据加密技术来保护企业网络信息系统中的数据安全，防止企业机密信息泄漏或被盗窃。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。

在附图中：

图1为本发明的模块图。

具体实施方式

下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图，对本发明的实施例进行描述。

实施例一

如图1所示，本发明公开了一种计算机网络信息安全监护系统，包括：

网络安全管理模块，用于进行网络规划以及计算机分配和监测；

用户身份认证模块，用于识别用户的物理身份和数字身份；

以及数据加密保护模块，对企业计算机上的文件进行强制自动加密，且识别未经管理员认证的外接设备，禁止未经管理员认证的外接设备接入系统。

本发明解决了当前企业在网络管理及信息保护方面的现状和存在的问题，提出了在实现内网的安全管理的基拙上，结合用户身份认证和数据加密技术来保护企业网络信息系统中的数据安全，防止企业机密信息泄漏或被盗窃。

实施例二

本发明公开了一种计算机网络信息安全监护系统，包括网络安全管理模块，其用于进行网络规划以及计算机分配和监测，其包括网络规划与地址管理单元、网络管理策略与分发单元、网络远程监控与维护单元以及入侵监测与安全预警单元。

所述网络规划与地址管理单元用于按企业机构设置进行网络(VLAN)规划和计算机分配，采用基于MAC地址的地址安全绑定技术将工作站的IP地址、计算机名、工作权限、网络参数设置等进行集中管理。

所述网络管理策略与分发单元用于完成策略的生成、修改、删除以及分发。

所述网络远程监控与维护单元用于远程对计算机输出设备进行监控。

所述入侵监测与安全预警单元用于在计算机接入未认证的外接设备时进行报警。

用户身份认证模块，用户身份认证是保证信息安全的最重要一道防线。用户身份认证用于解决用户的物理身份和数字身份相对应的问题，从而为其他安全管理系统提供权限管理的依据。

如果没有有效的身份认证手段，有权访问者的身份就很容易被伪造，通过可靠的身份认证机制，以用户为对象制定信息安全保护策略，针对每个用户采取权限管理、角色定义、系统跟踪日志等安全措施，可以建立一个安全的信息防泄漏系统。

具体的其包括物理身份认证单元以及数字身份认证单元，所述物理身份认证单元用以识别用户的人体特征，所述数字身份认证单元用于将每个用户设置为不同的权限管理以访问不同密级的文件。

以及数据加密保护模块，所述数据加密保护模块包括加密单元以及识别单元，所述加密单元用以对企业计算机上的文件进行强制自动加密。

所述识别单元用以识别未经管理员认证的外接设备，禁止未经管理员认证的外接设备接入系统。

对数据进行加密保护的目的是防止组织内部的用户故意或者由于疏导致信息通过内网或外网的泄漏，实现使得加密后的数据文件离开企业电脑后无法被访问和使用。由于现在企业重要的资料文件大部分都以电子文档形式的存在，通过采用过程强制加密技术对企业计算机上的文件进行强制自动加密，使得加密后的图纸文件和文档文件离开企业计算机无法使用，这样就将企业中的一些核心数据牢牢限定在了本企业这样一个内部环境中，保证企业中一些核心数据的安全性。识别未经管理员认证的外接设备，禁止未经管理员认证的外接设备接入系统同样是为了保证整个系统的安全性。

同时，本发明还包括数据库服务器，数据库服务器端作为整个系统的数据中心，负责实现对系统中各种数据和信息的存储、备份及管理，采用MSSQLServer2000/2005数据库系统，主要作用是从管理端接收系统管理员的设置信息，再分发到客户端上进行实现。

SQL Server采用二级安全验证、登录验证及数据库用户帐号和角色的许可验证。SQL Server支持两种身份验证模式：Windows NT身份验证和SQL Server身份验证。7.0版支持多种类型的角色，"角色"概念的引入方便了权限的管理，也使权限的分配更加灵活。

SQL Server为公共的管理功能提供了预定义的服务器和数据库角色，可以很容易为某一特定用户授予一组选择好的许可权限。SQL Server可以在不同的操作平台上运行，支持多种不同类型的网络协议如TCP/IP、IPX/SPX、Apple Talk等。SQL Server在服务器端的软件运行平台是Windows NT、Windows9x，在客户端可以是Windows3.x、Windows NT、Windows9x,也可以采用其它厂商开发的系统如Unix、Apple Macintosh等。

微软的SQL Server是一项完美的客户/服务器系统。SQL Server需要安装在Windows NT的平台上，而Windows NT可以支持Intel 386，Power PC，MIPS，Alpha PC和RISC等平台，它使SQL Server具备足够的威力和功能。

这里所采用的数据库应用程序都是基于SQL Server之上的，采用ODBC及标准的SQL查询，可以非常简单的移植到任何一个支持ODBC的数据库之上，如：Oracle，Informix，Db2和Access，在阅读有关ASP数据库编程技术之前，要确认你至少熟悉一种数据库管理系统，并可以使用标准的SQL查询语言操作数据库。

SQL Server提供服务器端的软件，这部分需要安装在NT Server上，SQL Server的用户端则可以安装在许多用户端PC系统中，Windows可以让用户端进行数据库的建立，维护及存取等操作，SQL Server可以最多定义32767个数据库，每个数据库中，可以定义20亿个表格，每个表格可以有250个字段，每个表格的数据个数并没有限制，每一个表格可以定义250个索引，其中有一个可以是Clustered索引。

SQL Server所使用的数据库查询语言称为Transact-SQL，它是SQL Server的核心，Transact-SQL强化了原有的SQL关键字以进行数据的存取，储存及处理等功能，Transact-SQL扩充了流程控制指定，可以使你方便的编写功能强大的存储过程，他们存放在服务器端，并预先编译过，执行速度非常块，触发是一种特殊的存储过程，用来确保SQLServer数据库引用的完整性，你可以建立插入，删除和更新触发以控制相关的表格中对数据列的插入，删除和更新，你还可以使用规则(Rule)，缺省(default)以及限制(Constraints)，来协助将新的数值套用到表格中去。

实施例三

本发明公开了一种计算机网络信息安全监护系统，包括网络安全管理模块，其用于进行网络规划以及计算机分配和监测，其包括网络规划与地址管理单元、网络管理策略与分发单元、网络远程监控与维护单元以及入侵监测与安全预警单元。

所述网络规划与地址管理单元用于按企业机构设置进行网络(VLAN)规划和计算机分配，采用基于MAC地址的地址安全绑定技术将工作站的IP地址、计算机名、工作权限、网络参数设置等进行集中管理。

所述网络管理策略与分发单元用于完成策略的生成、修改、删除以及分发。

所述网络远程监控与维护单元用于远程对计算机输出设备进行监控。

所述入侵监测与安全预警单元用于在计算机接入未认证的外接设备时进行报警。

用户身份认证模块，用户身份认证是保证信息安全的最重要一道防线。用户身份认证用于解决用户的物理身份和数字身份相对应的问题，从而为其他安全管理系统提供权限管理的依据。

如果没有有效的身份认证手段，有权访问者的身份就很容易被伪造，通过可靠的身份认证机制，以用户为对象制定信息安全保护策略，针对每个用户采取权限管理、角色定义、系统跟踪日志等安全措施，可以建立一个安全的信息防泄漏系统。

具体的其包括物理身份认证单元以及数字身份认证单元，所述物理身份认证单元用以识别用户的人体特征，所述数字身份认证单元用于将每个用户设置为不同的权限管理以访问不同密级的文件。

以及数据加密保护模块，所述数据加密保护模块包括加密单元以及识别单元，所述加密单元用以对企业计算机上的文件进行强制自动加密。

所述识别单元用以识别未经管理员认证的外接设备，禁止未经管理员认证的外接设备接入系统。

对数据进行加密保护的目的是防止组织内部的用户故意或者由于疏导致信息通过内网或外网的泄漏，实现使得加密后的数据文件离开企业电脑后无法被访问和使用。

由于现在企业重要的资料文件大部分都以电子文档形式的存在，通过采用过程强制加密技术对企业计算机上的文件进行强制自动加密，使得加密后的图纸文件和文档文件离开企业计算机无法使用，这样就将企业中的一些核心数据牢牢限定在了本企业这样一个内部环境中，保证企业中一些核心数据的安全性。识别未经管理员认证的外接设备，禁止未经管理员认证的外接设备接入系统同样是为了保证整个系统的安全性。

同时，本发明还包括数据库服务器，数据库服务器端作为整个系统的数据中心，负责实现对系统中各种数据和信息的存储、备份及管理，采用MSSQLServer2000/2005数据库系统，主要作用是从管理端接收系统管理员的设置信息，再分发到客户端上进行实现。

SQL Server采用二级安全验证、登录验证及数据库用户帐号和角色的许可验证。SQL Server支持两种身份验证模式：Windows NT身份验证和SQL Server身份验证。7.0版支持多种类型的角色，"角色"概念的引入方便了权限的管理，也使权限的分配更加灵活。

SQL Server为公共的管理功能提供了预定义的服务器和数据库角色，可以很容易为某一特定用户授予一组选择好的许可权限。SQL Server可以在不同的操作平台上运行，支持多种不同类型的网络协议如TCP/IP、IPX/SPX、Apple Talk等。SQL Server在服务器端的软件运行平台是Windows NT、Windows9x，在客户端可以是Windows3.x、Windows NT、Windows9x,也可以采用其它厂商开发的系统如Unix、Apple Macintosh等。

微软的SQL Server是一项完美的客户/服务器系统。SQL Server需要安装在Windows NT的平台上，而Windows NT可以支持Intel 386，Power PC，MIPS，Alpha PC和RISC等平台，它使SQL Server具备足够的威力和功能。

这里所采用的数据库应用程序都是基于SQL Server之上的，采用ODBC及标准的SQL查询，可以非常简单的移植到任何一个支持ODBC的数据库之上，如：Oracle，Informix，Db2和Access，在阅读有关ASP数据库编程技术之前，要确认你至少熟悉一种数据库管理系统，并可以使用标准的SQL查询语言操作数据库。

SQL Server提供服务器端的软件，这部分需要安装在NT Server上，SQL Server的用户端则可以安装在许多用户端PC系统中，Windows可以让用户端进行数据库的建立，维护及存取等操作，SQL Server可以最多定义32767个数据库，每个数据库中，可以定义20亿个表格，每个表格可以有250个字段，每个表格的数据个数并没有限制，每一个表格可以定义250个索引，其中有一个可以是Clustered索引。

SQL Server所使用的数据库查询语言称为Transact-SQL，它是SQL Server的核心，Transact-SQL强化了原有的SQL关键字以进行数据的存取，储存及处理等功能，Transact-SQL扩充了流程控制指定，可以使你方便的编写功能强大的存储过程，他们存放在服务器端，并预先编译过，执行速度非常块，触发是一种特殊的存储过程，用来确保SQLServer数据库引用的完整性，你可以建立插入，删除和更新触发以控制相关的表格中对数据列的插入，删除和更新，你还可以使用规则(Rule)，缺省(default)以及限制(Constraints)，来协助将新的数值套用到表格中去。

还包括客户端，所述客户端部署在企业用户计算机上，系统管理员通过管理控制台对客户端进行管理及保护策略，以实现企业用户计算机的集中管理和保护，客户端通过结合硬件的用户身份识别系统对计算机进行登录保护，客户端部署在企业用户计算机上，系统管理员通过管理控制台对客户端进行管理及保护策略，以实现企业用户计算机的集中管理和保护，客户端通过结合硬件的用户身份识别系统对计算机进行登录保护。

客户端部署在企业用户计算机上的客户端程序具有不可删除性，即用户在没有得到系统管理员授权时不能对客户端程序进行卸载或停止运行。部署在企业用户计算机上的客户端程序具有不可删除性，即用户在没有得到系统管理员授权时不能对客户端程序进行卸载或停止运行。按照系统层次结构设计的要求，首先要实现基于MAC地址的网络安全管理。网络管理模块的主要功能是按企业机构设置进行网址规划和计算机分配，采用墓于MAC地址的地址绑定技术，将每台工作站的IP地址、计算机名、工作权限、网络参数设置等进行集中管理，并实现网络管理策略的自动分发和网络远程维护和监控功能。

以用户身份认证为主要内容的用户桌面保护约主要功能是对企业用户按所属机构、部门进行管理，采用双因子身份认证的安全登录机制，通过为用户设置属性、安全权级等安全策略，结合客户端系统实现用户安全登录，保证用户身份验证的真实性。

数据的加密存储与访问模块是相对独立约一个功能模块。重点是实现数据信息的强制过程加密，使得加密后的数据文件离开企业电脑后无法被访问和使用。由于数据加密是一个独立的技术领域，市场上已有较成熟的过程加密产品可供企业选用。

最后应说明的是：以上所述仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明权利要求保护的范围之内。