[发明专利]内部网络安全管理的相关设备及方法

权利要求书

1、一种内部网络安全管理系统，其特征在于，所述系统包括安全管理中心、 服务器以及客户端代理，所述安全管理中心通过服务器与客户端代理进行通信， 其中：

所述安全管理中心，用于设置系统安全管理策略和审计策略，并通过所述 服务器向所述客户端代理下发所述安全管理策略和审计策略；

所述服务器，用于接收来自所述安全管理中心的安全管理策略和审计策略， 以及对终端设备进行监控管理和审计管理；

客户端代理，用于对用户进行身份认证；以及获取来自所述服务器的安全 管理策略和审计策略；根据所述安全管理策略，对内设有所述客户端代理的终 端设备进行安全检测或/和修复，并控制所述终端设备执行与所述安全管理策略 相应等级的操作或访问；根据所述审计策略，对所述终端设备的操作及访问行 为进行审计；以及将通过安全检测获得的安全事件信息和通过审计获得的安全 状况信息通过所述服务器发送到所述安全管理中心。

2、根据权利要求1所述的系统，其特征在于，所述安全管理中心包括：

管理控制台，用于设置系统安全管理策略，以及接收客户端代理通过服务 器上报的安全事件信息，根据所述安全事件信息、从所述系统安全管理策略中 获取与所述安全事件信息相对应的安全管理策略，并通过所述服务器向所述客 户端代理下发所述相对应的安全管理策略；

审计控制台，用于设置系统审计策略，通过所述服务器向所述客户端代理 下发所述审计策略，以及获取客户端代理通过服务器上报的安全状况信息，以 便用户通过所述审计控制台对所述安全状况信息进行查询。

3、根据权利要求2所述的系统，其特征在于，所述服务器包括：

管理模块，用于接收所述管理控制台下发的安全管理策略，以及对终端设 备进行监控管理，以及收集终端设备经过安全检测获得的安全事件信息；

接入控制模块，用于对用户进行身份认证，以及根据安全管理策略，对终 端设备接入网络进行监控；

审计模块，用于接收所述审计控制台下发的审计策略，以及收集终端设备 操作及访问行为经过审计获得的安全状况信息；

存储模块，用于存储所述管理模块收集的安全事件信息和所述审计模块收 集的安全状况信息。

4、根据权利要求1-3任意一项所述的系统，其特征在于，所述客户端代理， 还用于通过服务器获取来自所述安全管理中心的加解密策略，对指定的终端设 备及外围存储设备的应用程序和指定后缀的文件进行自动加解密处理。

5、一种客户端代理，其特征在于，所述客户端代理用于对用户进行身份认 证；以及获取来自所述服务器的安全管理策略和审计策略；根据所述安全管理 策略，对内设有所述客户端代理的终端设备进行安全检测或/和修复，并控制所 述终端设备执行与所述安全管理策略相应等级的操作或访问；根据所述审计策 略，对所述终端设备的操作及访问行为进行审计；以及将通过安全检测获得的 安全事件信息和通过审计获得的安全状况信息通过所述服务器发送到所述安全 管理中心；通过服务器获取来自所述安全管理中心的加解密策略，对指定的终 端设备及外围存储设备的应用程序和指定后缀的文件进行自动加解密处理。

6、一种内部网络安全管理的方法，其特征在于，所述方法包括：

客户端代理对请求入网的终端设备进行身份认证；

若身份认证合法，则客户端代理根据安全防护策略，对终端设备进行安全 检测和修复；

若安全检测和修复的结果符合安全防护策略要求，则准予终端设备接入网 络；

在终端设备接入网络之后，客户端代理根据安全监控策略，控制所述终端 设备执行与所述安全监控策略相应等级的操作或访问。

7、根据权利要求6所述的方法，其特征在于，在控制所述终端设备执行与 所述安全监控策略相应等级的操作或访问的过程中，所述方法还包括：

所述客户端代理根据审计策略，对所述终端设备的操作及访问行为进行审 计，获得安全状况信息，并将安全状况信息通过服务器发送到安全管理中心。