[发明专利]网络数据安全管理系统及方法

说明书

本发明公开了一种网络数据安全管理系统及方法，系统包括：一管理对象设置模块，用于选取服务器的IP地址及端口号作为管理对象；一数据包采集模块，用于旁路采集网络中的数据包；一数据包分析模块，用于对数据包进行解包处理，并分析其目标地址是否为选取的服务器的IP地址，若是，将数据包存储至数据库中，若否，对数据包作丢包处理；一数据包整理模块，用于对数据库中的数据包进行整理，根据数据包的目标地址获取用户密钥，从解包后的数据中解析用户的当前操作行为；一监控模块，用于判断当前操作行为是否超出用户的身份权限范围，若是则发出告警并阻断当前操作行为。本发明能够保证用户不会越权限操作，保障了网络系统的安全。

技术领域

本发明涉及一种网络数据安全管理系统及方法。

背景技术

现有的网络安全系统是由用户提出网络系统中需要保护的敏感数据实施保护，但是往往在网络系统庞大复杂后，用户无法具体提供哪些数据是敏感数据，或者用户可能直接认定所有数据都是敏感数据，此时网络系统就无法很好地得到管理，系统的开发人员、维护人员、临时技术支持修改系统或数据库的操作就无法得到有效地管理。

发明内容

本发明要解决的技术问题是为了克服现有技术中在网络系统过于庞大复杂后无法对网络数据的安全进行很好地管理的缺陷，提供一种网络数据安全管理系统及方法。

本发明是通过下述技术方案来解决上述技术问题的：

本发明提供了一种网络数据安全管理系统，其特点在于，包括：

一管理对象设置模块，用于从网络中选取至少一个服务器的IP(网络之间互连的协议)地址及端口号作为管理对象；

一数据包采集模块，用于以旁路模式采集网络中所有的数据包，每个数据包均用于表征网络中的用户操作行为；

一数据包分析模块，用于对采集的每个数据包进行解包处理，并分析所述数据包的目标地址是否为所述管理对象设置模块选取的服务器的IP地址，若是，则将所述数据包存储至数据库中，若否，则对所述数据包作丢包处理；

一数据包整理模块，用于对所述数据库中的数据包进行整理，根据所述数据包的目标地址获取用户密钥，以识别执行当前操作行为的用户的唯一身份，并从解包后的数据中解析出用户的当前操作行为；

一监控模块，用于判断用户的当前操作行为是否超出用户的身份权限范围，并在判断为是时发出告警并阻断用户的当前操作行为。

其中，不同的用户身份具有不同的操作权限范围，具体可根据实际情况由系统使用者进行自定义。

较佳地，所述数据包采集模块用于通过网络交换机的端口镜像功能或采用TAP(分路器)分流监听的方式采集数据包。

较佳地，所述数据库为Oracle数据库、Microsoft SQL Server数据库、DB2数据库、Sybase数据库、Informix数据库或MySQL数据库(上述均为现有数据库的具体种类和名称)。

佳佳地，所述数据包整理模块用于根据数据包中字段表征的源地址、目标地址、使用程序名、操作表名、操作内容、操作方式来解析出用户的当前操作行为。

较佳地，所述网络数据安全管理系统还包括一显示模块，用于通过内部查询或外部接口将所述监控模块的监控结果可视化地展示，并自动生成表征监控结果的统计报表。

本发明的目的在于还提供了一种网络数据安全管理方法，其特点在于，其利用上述的网络数据安全管理系统实现，包括以下步骤：

S₁、从网络中选取至少一个服务器的IP地址及端口号作为管理对象；

S₂、以旁路模式采集网络中所有的数据包，每个数据包均用于表征网络中的用户操作行为；