用于网络监控系统的权限处理方法和装置的制造方法
【技术领域】
[0001]本发明涉及网络监控领域,具体而言,涉及一种用于网络监控系统的权限处理方法和装置。
【背景技术】
[0002]网络监控系统是对局域网中的网络设备、安全设备、存储设备、主机设备、应用服务等提供监控和管理的安全系统。网络监控系统还能够对多种网络安全设备的性能及运行状况进行监测,采集多种信息源的安全事件信息并提供实时告警及图形化分析。
[0003]发明人发现,现有的网络监控系统大多只为整个系统设置超级管理员,超级管理员具有对所有功能和所有设备的管理权限,这种管理方式便于系统配置和维护。然而,网络监控系统中管理的资产设备重要程度也不尽相同,一般的网络监控系统不对资产本身进行访问控制,现有的网络监控系统的权限配置,使得用户具有所有资产的监控和管理权限,这使得局域网中的资产设备存在安全隐患。
[0004]针对现有技术中网络监控系统的权限配置存在安全隐患的问题,目前尚未提出有效的解决方案。
【发明内容】
[0005]本发明的主要目的在于提供一种用于网络监控系统的权限处理方法和装置,以解决现有技术中网络监控系统的权限配置存在安全隐患的问题。
[0006]为了实现上述目的,根据本发明实施例的一个方面,提供了一种用于网络监控系统的权限处理方法。根据本发明的用于网络监控系统的权限处理方法包括:接收登录网络监控系统的用户信息,其中,所述网络监控系统设置有第一权限、第二权限和第三权限,所述第一权限为对所述网络监控系统进行配置管理和维护的权限,所述第二权限为设置所述网络监控系统所管理的资产的安全属性和安全规则的权限,所述第三权限为对所述网络监控系统的审计信息进行管理的权限;对所述用户信息进行验证,确定用户对应的系统角色所具有的功能权限和所述用户所具有的资产权限;以及根据确定出的权限控制所述用户对所述网络监控系统的访问或者操作。
[0007]进一步地,在接收登录网络监控系统的用户信息之前,所述方法还包括:通过所述第一权限对所述用户对应的系统角色的访问权限进行配置,所述访问权限用于访问所述网络监控系统的功能模块,根据确定出的权限控制所述用户对所述网络监控系统的访问或者操作包括:根据所述访问权限控制所述用户对所述网络监控系统的功能模块的访问。
[0008]进一步地,根据所述访问权限控制所述用户对所述网络监控系统的功能模块的访问包括:过滤掉所述访问权限无法访问的所述网络监控系统的功能模块,显示过滤后的所述网络监控系统的功能模块;所述用户基于所述访问权限访问显示的所述网络监控系统的功能t吴块。
[0009]进一步地,在接收登录网络监控系统的用户信息之前,所述方法还包括:通过所述第二权限对所述用户的资产权限进行配置,所述资产权限为对所述网络监控系统中的资产的访问权限;通过所述第二权限对所述网络监控系统中的资产的安全级别进行配置,根据确定出的权限控制所述用户对所述网络监控系统的访问或者操作包括:根据所述资产权限控制所述用户对所述网络监控系统的资产的访问。
[0010]进一步地,所述方法还包括:通过所述第三权限对所述用户的登录情况和操作行为进行审计。
[0011]为了实现上述目的,根据本发明实施例的另一方面,提供了一种用于网络监控系统的权限处理装置。根据本发明的用于网络监控系统的权限处理装置包括:接收单元,用于接收登录网络监控系统的用户信息,其中,所述网络监控系统设置有第一权限、第二权限和第三权限,所述第一权限为对所述网络监控系统进行配置管理和维护的权限,所述第二权限为设置所述网络监控系统所管理的资产的安全属性和安全规则的权限,所述第三权限为对所述网络监控系统的审计信息进行管理的权限;验证单元,用于对所述用户信息进行验证,确定用户对应的系统角色所具有的功能权限和所述用户所具有的资产权限;以及控制单元,用于根据确定出的权限控制所述用户对所述网络监控系统的访问或者操作。
[0012]进一步地,所述装置还包括:第一配置单元,用于在接收登录网络监控系统的用户信息之前,通过所述第一权限对所述用户对应的系统角色的访问权限进行配置,所述访问权限用于访问所述网络监控系统的功能模块,所述控制单元包括:第一控制模块,用于根据所述访问权限控制所述用户对所述网络监控系统的功能模块的访问。
[0013]进一步地,所述第一控制模块包括:过滤子模块,用于过滤掉所述访问权限无法访问的所述网络监控系统的功能模块,显示过滤后的所述网络监控系统的功能模块;访问子模块,用于使得所述用户基于所述访问权限访问显示的所述网络监控系统的功能模块。
[0014]进一步地,所述装置还包括:第二配置单元,用于在接收登录网络监控系统的用户信息之前,通过所述第二权限对所述用户对应的资产权限进行配置,所述资产权限为对所述网络监控系统中的资产的访问权限;第三配置单元,用于通过所述第二权限对所述网络监控系统中的资产的安全级别进行配置,所述控制单元包括:第二控制模块,用于根据所述资产权限控制所述用户对所述网络监控系统的资产的访问。
[0015]进一步地,所述装置还包括:审计单元,用于通过所述第三权限对所述用户的登录情况和操作行为进行审计。
[0016]根据本发明实施例,通过在网络监控系统中设置第一权限、第二权限和第三权限,其中,第一权限为对网络监控系统进行配置管理和维护的权限,第二权限为设置网络监控系统所管理的资产的安全属性和安全规则的权限,第三权限为对网络监控系统的审计信息进行管理的权限,将现有的超级管理员的权限划分为至少三个权限,从而达到计算机设备信息系统安全等级保护三级中的强制访问控制要求,在用户登录系统之后,网络监控系统可以依据其所具有的权限对其访问或者操作进行控制,解决了现有技术中网络监控系统的权限配置存在安全隐患的问题,达到了避免网络监控系统出现安全隐患的效果。
【附图说明】
[0017]构成本申请的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
[0018]图1是根据本发明实施例的用于网络监控系统的权限处理方法的流程图;以及
[0019]图2是根据本发明实施例的用于网络监控系统的权限处理装置的示意图。
【具体实施方式】
[0020]需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
[0021 ] 为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
[0022]需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0023]本发明实施例提供了一种用于网络监控系统的权限处理方法。
[0024]图1是根据本发明实施例的用于网络监控系统的权限处理方法的流程图。如图1所示,该方法包括步骤如下:
[0025]步骤S102,接收登录网络监控系统的用户信息。其中,网络监控系统设置有第一权限、第二权限和第三权限,第一权限为对网络监控系统进行配置管理和维护的权限,第二权限为设置网络监控系统所管理的资产的安全属性和安全规则的权限,第三权限为对网络监控系统的审计信息进行管理的权限。
[0026]步骤S104,对用户信息进行验证,确定用户对应的系统角色所具有的功能权限和用户所具有的资产权限。
[0027]步骤S106,根据确定出的权限控制用户对网络监控系统的访问或者操作。
[0028]本实施例中,上述用户是指登录网络监控系统的账号,包括管理员用户和普通用户;其中管理员用户是系统内置,不可删除的,普通用户可以由管理员创建和删除。将网络监控系统的高级权限分为第一权限、第二权限和第三权限,其中,第一权限可以对网络监控系统进行配置管理和维护,第二权限可以设置网络监控系统所管理的资产的安全属性和安全规则,第三权限可以对网络监控系统的审计信息进行管理。
[0029]具体地,网络监控系统内置三个管理员用户,其中,第一管理员具有第一权限,第二管理员具有第二权限,第三管理员具有第三权限,从而将上述三个权限分由三个管理员来管理。可以在网络监控系统中由系统管理员(sysadmin),安全管理员(secadmin)和审计管理员(auditadmin)取代现有的网络监控系统中超级管理员共同管理系统,其中,系统管理员具有上述第一权限,安全管理员具有上述第二权限,审计管理员具有上述第三权限。系统管理员负责系统管理和日常维护;安全管理员负责资产安全属性及安全规则的设定;审计管理员负责对系统审计信息进行管理。
[0030]上述中资产指的是网络监控系统管理的局域网中的网络设备、安全设备、存储设备、主机设备、应用服务,及机房供电系统、环境系统和安防系统等。
[0031]根据本发明实施