[发明专利]一种网络安全管理方法、计算设备及可读存储介质

说明书

本发明公开了一种网络安全管理方法，适于在计算设备中执行，计算设备连接数据存储设备和安全管理服务器，并管理接入目标网络的移动终端，安全管理服务器每隔第一预定时间获取接入目标网络的用户终端的入网信息，并将获取的入网信息存储到数据存储设备中，该网络安全管理方法包括：对数据存储设备中的用户终端的入网信息进行认证；如果入网信息认证失败，向用户终端发送认证失败消息，并将用户终端对应的物理地址从地址管理服务器的允许列表中删除；如果认证成功，维持用户终端对应的物理地址在允许列表的状态，以维持用户终端与目标网络的通信连接。本发明一并公开了相应的计算设备和可读存储介质。

技术领域

本发明涉及网络安全领域，尤其涉及一种网络安全管理方法、计算设备及可读存储介质。

背景技术

当下企业办公网的数据安全已经被提升到了非常重要的位置，现有的办公网准入基本上是都是基于域认证(AD)和证书认证(CA)进行用户身份验证，员工通过办公自动化(OA)账号密码，进行身份认证后，企业内部CA系统颁发证书后，用户就可以接入公司内部网络，进行数据访问，这种只进行简单的用户身份的认证，并不能达到企业数据防泄漏的目标。因此，数据泄漏防护技术(Data Leakage Protection，DLP)日渐成为目前市场上最为重要的安全技术之一，但是企业在实施了DLP技术方案之后，由于终端电脑掌握在员工手中，员工可以不启动DLP或者不使用公司电脑，甚至对电脑任意修改，通过删除进程或者重装操作系统等方式对DLP客户端进行破坏或者删除，导致DLP客户端不能正常运行，公司对此完全不可控，导致公司对接入网络的终端设备的限制形同虚设，办公网数据依然得不到有效的保护。

发明内容

为此，本发明提供了一种网络安全管理方法、计算设备及可读存储介质，以力图解决或者至少缓解上面存在的问题。

根据本发明的一个方面，提供一种网络安全管理方法，适于在计算设备中执行，计算设备适于管理接入目标网络的移动终端，并连接数据存储设备和安全管理服务器，安全管理服务器每隔第一预定时间获取接入目标网络的用户终端的入网信息，并将获取的入网信息存储到数据存储设备中，该方法包括：每隔第二预定时间对数据存储设备中的用户终端的入网信息进行认证；如果入网信息认证失败，向用户终端发送认证失败消息，并将用户终端对应的物理地址从地址管理服务器的允许列表中删除；如果认证成功，维持用户终端对应的物理地址在允许列表的状态，以维持该用户终端与目标网络的通信连接。

可选的，在根据本发明的网络安全管理方法中，安全管理服务器安装有安全管理系统的服务端，用户终端安装有安全管理系统的客户端，每间隔第一预定时间间隔获取用户终端的入网信息是通过安全管理系统的服务端与安全管理系统的客户端之间的心跳机制实现的。

可选的，在根据本发明的网络安全管理方法中，入网信息包括登录终端账户、主机名、安全管理系统的服务端与客户端的通信时间、物理地址、安全管理系统版本，如果入网信息认证失败，向用户终端发送认证失败消息包括：对入网信息中的登录终端账户、主机名、安全管理系统的服务端与客户端的通信时间、物理地址、安全管理系统版本进行认证；若其中任意一项信息认证失败，向终端发送携带该项信息的认证失败消息。

可选的，在根据本发明的网络安全管理方法中，还包括：在新用户终端接入目标网络时，将新用户终端的物理地址信息加入白名单；通过白名单将新用户终端的物理地址信息加入地址管理服务器的允许列表；新用户终端连接到目标网络后，将新用户终端的物理地址信息从白名单删除；向新用户终端推送安全管理系统客户端的安装程序，以便后期通过安全管理系统获取该新用户终端的入网信息。

可选的，在根据本发明的网络安全管理方法中，每间隔第三预定时间根据数据存储装置中的用户终端的入网信息对地址管理服务器允许列表中的物理地址对应的入网信息进行认证，从允许列表中移除认证失败的物理地址。

可选的，在根据本发明的网络安全管理方法中，安全管理系统为数据泄露防护系统。