用于網絡監(jiān)控系統的權限處理方法和裝置的制造方法
【技術領域】
[0001]本發(fā)明涉及網絡監(jiān)控領域,具體而言�,涉及一種用于網絡監(jiān)控系統的權限處理方法和裝置。
【背景技術】
[0002]網絡監(jiān)控系統是對局域網中的網絡設備�、安全設備�、存儲設備�、主機設備、應用服務等提供監(jiān)控和管理的安全系統�。網絡監(jiān)控系統還能夠對多種網絡安全設備的性能及運行狀況進行監(jiān)測,采集多種信息源的安全事件信息并提供實時告警及圖形化分析�。
[0003]發(fā)明人發(fā)現,現有的網絡監(jiān)控系統大多只為整個系統設置超級管理員�,超級管理員具有對所有功能和所有設備的管理權限,這種管理方式便于系統配置和維護�。然而,網絡監(jiān)控系統中管理的資產設備重要程度也不盡相同�,一般的網絡監(jiān)控系統不對資產本身進行訪問控制,現有的網絡監(jiān)控系統的權限配置�,使得用戶具有所有資產的監(jiān)控和管理權限,這使得局域網中的資產設備存在安全隱患�。
[0004]針對現有技術中網絡監(jiān)控系統的權限配置存在安全隱患的問題,目前尚未提出有效的解決方案�。
【發(fā)明內容】
[0005]本發(fā)明的主要目的在于提供一種用于網絡監(jiān)控系統的權限處理方法和裝置,以解決現有技術中網絡監(jiān)控系統的權限配置存在安全隱患的問題�。
[0006]為了實現上述目的,根據本發(fā)明實施例的一個方面�,提供了一種用于網絡監(jiān)控系統的權限處理方法。根據本發(fā)明的用于網絡監(jiān)控系統的權限處理方法包括:接收登錄網絡監(jiān)控系統的用戶信息�,其中,所述網絡監(jiān)控系統設置有第一權限�、第二權限和第三權限�,所述第一權限為對所述網絡監(jiān)控系統進行配置管理和維護的權限�,所述第二權限為設置所述網絡監(jiān)控系統所管理的資產的安全屬性和安全規(guī)則的權限,所述第三權限為對所述網絡監(jiān)控系統的審計信息進行管理的權限�;對所述用戶信息進行驗證,確定用戶對應的系統角色所具有的功能權限和所述用戶所具有的資產權限�;以及根據確定出的權限控制所述用戶對所述網絡監(jiān)控系統的訪問或者操作。
[0007]進一步地�,在接收登錄網絡監(jiān)控系統的用戶信息之前,所述方法還包括:通過所述第一權限對所述用戶對應的系統角色的訪問權限進行配置�,所述訪問權限用于訪問所述網絡監(jiān)控系統的功能模塊�,根據確定出的權限控制所述用戶對所述網絡監(jiān)控系統的訪問或者操作包括:根據所述訪問權限控制所述用戶對所述網絡監(jiān)控系統的功能模塊的訪問。
[0008]進一步地�,根據所述訪問權限控制所述用戶對所述網絡監(jiān)控系統的功能模塊的訪問包括:過濾掉所述訪問權限無法訪問的所述網絡監(jiān)控系統的功能模塊,顯示過濾后的所述網絡監(jiān)控系統的功能模塊�;所述用戶基于所述訪問權限訪問顯示的所述網絡監(jiān)控系統的功能t吳塊。
[0009]進一步地�,在接收登錄網絡監(jiān)控系統的用戶信息之前,所述方法還包括:通過所述第二權限對所述用戶的資產權限進行配置�,所述資產權限為對所述網絡監(jiān)控系統中的資產的訪問權限;通過所述第二權限對所述網絡監(jiān)控系統中的資產的安全級別進行配置�,根據確定出的權限控制所述用戶對所述網絡監(jiān)控系統的訪問或者操作包括:根據所述資產權限控制所述用戶對所述網絡監(jiān)控系統的資產的訪問。
[0010]進一步地�,所述方法還包括:通過所述第三權限對所述用戶的登錄情況和操作行為進行審計。
[0011]為了實現上述目的�,根據本發(fā)明實施例的另一方面�,提供了一種用于網絡監(jiān)控系統的權限處理裝置�。根據本發(fā)明的用于網絡監(jiān)控系統的權限處理裝置包括:接收單元,用于接收登錄網絡監(jiān)控系統的用戶信息�,其中,所述網絡監(jiān)控系統設置有第一權限�、第二權限和第三權限,所述第一權限為對所述網絡監(jiān)控系統進行配置管理和維護的權限�,所述第二權限為設置所述網絡監(jiān)控系統所管理的資產的安全屬性和安全規(guī)則的權限,所述第三權限為對所述網絡監(jiān)控系統的審計信息進行管理的權限�;驗證單元,用于對所述用戶信息進行驗證�,確定用戶對應的系統角色所具有的功能權限和所述用戶所具有的資產權限;以及控制單元�,用于根據確定出的權限控制所述用戶對所述網絡監(jiān)控系統的訪問或者操作。
[0012]進一步地�,所述裝置還包括:第一配置單元,用于在接收登錄網絡監(jiān)控系統的用戶信息之前�,通過所述第一權限對所述用戶對應的系統角色的訪問權限進行配置,所述訪問權限用于訪問所述網絡監(jiān)控系統的功能模塊�,所述控制單元包括:第一控制模塊,用于根據所述訪問權限控制所述用戶對所述網絡監(jiān)控系統的功能模塊的訪問�。
[0013]進一步地,所述第一控制模塊包括:過濾子模塊�,用于過濾掉所述訪問權限無法訪問的所述網絡監(jiān)控系統的功能模塊,顯示過濾后的所述網絡監(jiān)控系統的功能模塊;訪問子模塊�,用于使得所述用戶基于所述訪問權限訪問顯示的所述網絡監(jiān)控系統的功能模塊。
[0014]進一步地�,所述裝置還包括:第二配置單元,用于在接收登錄網絡監(jiān)控系統的用戶信息之前�,通過所述第二權限對所述用戶對應的資產權限進行配置,所述資產權限為對所述網絡監(jiān)控系統中的資產的訪問權限�;第三配置單元,用于通過所述第二權限對所述網絡監(jiān)控系統中的資產的安全級別進行配置�,所述控制單元包括:第二控制模塊,用于根據所述資產權限控制所述用戶對所述網絡監(jiān)控系統的資產的訪問�。
[0015]進一步地,所述裝置還包括:審計單元�,用于通過所述第三權限對所述用戶的登錄情況和操作行為進行審計。
[0016]根據本發(fā)明實施例�,通過在網絡監(jiān)控系統中設置第一權限�、第二權限和第三權限,其中�,第一權限為對網絡監(jiān)控系統進行配置管理和維護的權限,第二權限為設置網絡監(jiān)控系統所管理的資產的安全屬性和安全規(guī)則的權限�,第三權限為對網絡監(jiān)控系統的審計信息進行管理的權限,將現有的超級管理員的權限劃分為至少三個權限�,從而達到計算機設備信息系統安全等級保護三級中的強制訪問控制要求,在用戶登錄系統之后�,網絡監(jiān)控系統可以依據其所具有的權限對其訪問或者操作進行控制,解決了現有技術中網絡監(jiān)控系統的權限配置存在安全隱患的問題�,達到了避免網絡監(jiān)控系統出現安全隱患的效果�。
【附圖說明】
[0017]構成本申請的一部分的附圖用來提供對本發(fā)明的進一步理解�,本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明,并不構成對本發(fā)明的不當限定�。在附圖中:
[0018]圖1是根據本發(fā)明實施例的用于網絡監(jiān)控系統的權限處理方法的流程圖;以及
[0019]圖2是根據本發(fā)明實施例的用于網絡監(jiān)控系統的權限處理裝置的示意圖�。
【具體實施方式】
[0020]需要說明的是,在不沖突的情況下�,本申請中的實施例及實施例中的特征可以相互組合。下面將參考附圖并結合實施例來詳細說明本發(fā)明�。
[0021 ] 為了使本技術領域的人員更好地理解本發(fā)明方案,下面將結合本發(fā)明實施例中的附圖�,對本發(fā)明實施例中的技術方案進行清楚、完整地描述�,顯然,所描述的實施例僅僅是本發(fā)明一部分的實施例�,而不是全部的實施例?;诒景l(fā)明中的實施例,本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例�,都應當屬于本發(fā)明保護的范圍。
[0022]需要說明的是�,本發(fā)明的說明書和權利要求書及上述附圖中的術語“第一”、“第二”等是用于區(qū)別類似的對象�,而不必用于描述特定的順序或先后次序。應該理解這樣使用的數據在適當情況下可以互換,以便這里描述的本發(fā)明的實施例�。此外,術語“包括”和“具有”以及他們的任何變形�,意圖在于覆蓋不排他的包含,例如�,包含了一系列步驟或單元的過程、方法�、系統、產品或設備不必限于清楚地列出的那些步驟或單元�,而是可包括沒有清楚地列出的或對于這些過程、方法�、產品或設備固有的其它步驟或單元。
[0023]本發(fā)明實施例提供了一種用于網絡監(jiān)控系統的權限處理方法�。
[0024]圖1是根據本發(fā)明實施例的用于網絡監(jiān)控系統的權限處理方法的流程圖。如圖1所示�,該方法包括步驟如下:
[0025]步驟S102,接收登錄網絡監(jiān)控系統的用戶信息�。其中,網絡監(jiān)控系統設置有第一權限�、第二權限和第三權限�,第一權限為對網絡監(jiān)控系統進行配置管理和維護的權限,第二權限為設置網絡監(jiān)控系統所管理的資產的安全屬性和安全規(guī)則的權限�,第三權限為對網絡監(jiān)控系統的審計信息進行管理的權限。
[0026]步驟S104�,對用戶信息進行驗證,確定用戶對應的系統角色所具有的功能權限和用戶所具有的資產權限。
[0027]步驟S106�,根據確定出的權限控制用戶對網絡監(jiān)控系統的訪問或者操作。
[0028]本實施例中�,上述用戶是指登錄網絡監(jiān)控系統的賬號,包括管理員用戶和普通用戶�;其中管理員用戶是系統內置,不可刪除的�,普通用戶可以由管理員創(chuàng)建和刪除。將網絡監(jiān)控系統的高級權限分為第一權限�、第二權限和第三權限,其中�,第一權限可以對網絡監(jiān)控系統進行配置管理和維護,第二權限可以設置網絡監(jiān)控系統所管理的資產的安全屬性和安全規(guī)則�,第三權限可以對網絡監(jiān)控系統的審計信息進行管理�。
[0029]具體地�,網絡監(jiān)控系統內置三個管理員用戶,其中�,第一管理員具有第一權限�,第二管理員具有第二權限�,第三管理員具有第三權限,從而將上述三個權限分由三個管理員來管理。可以在網絡監(jiān)控系統中由系統管理員(sysadmin)�,安全管理員(secadmin)和審計管理員(auditadmin)取代現有的網絡監(jiān)控系統中超級管理員共同管理系統�,其中,系統管理員具有上述第一權限,安全管理員具有上述第二權限,審計管理員具有上述第三權限�。系統管理員負責系統管理和日常維護;安全管理員負責資產安全屬性及安全規(guī)則的設定�;審計管理員負責對系統審計信息進行管理。
[0030]上述中資產指的是網絡監(jiān)控系統管理的局域網中的網絡設備�、安全設備、存儲設備�、主機設備、應用服務�,及機房供電系統、環(huán)境系統和安防系統等�。
[0031]根據本發(fā)明實施