[实用新型]内网安全管理系统

权利要求书

1.一种内网安全管理系统，其特征在于包括：

传输介质(2)；

经由所述传输介质(2)接入内网的多个计算机(1)；

连接所述传输介质(2)的具有受控端口的交换机(3)；

连接所述交换机(3)以对所述计算机(1)经由交换机(3)发出的认证请求进行认证的认证服务器(4)；以及

连接所述交换机(3)以对所述计算机(1)中已通过认证的计算机进行安全管理的管理中心(5)。

2.根据权利要求1所述的内网安全管理系统，其特征在于，所述管理中心(5)包括：

控制台(51)，用于分配已通过认证的计算机的权限；以及

监控与审计服务器(52)，通过与已通过认证的计算机通信以下发关于计算机权限的指令，并接收计算机上传的日志及警报。

3.根据权利要求2所述的内网安全管理系统，其特征在于，所述多个计算机(1)之每个经由传输介质(2)分别连接所述交换机(3)的一个相应受控端口；控制台(51)、监控与审计服务器(52)和认证服务器(4)分别连接所述交换机(3)的其他三个端口。

4.根据权利要求3所述的内网安全管理系统，其特征在于，所述交换机(3)包括：

具有多个分别连接所述多个计算机(1)的受控端口以及连接所述控制台(51)、监控与审计服务器(52)和认证服务器(4)的其他端口的交换芯片(31)；以及

连接所述交换芯片(31)以根据所述认证服务器(4)的认证结果对连接计算机的受控端口进行控制的端口控制模块(32)。

5.根据权利要求4所述的内网安全管理系统，其特征在于，所述计算机(1)是装有终端代理装置(16)的计算机。

6.根据权利要求5所述的内网安全管理系统，其特征在于，所述终端代理装置(16)包括：

经由计算机USB口连接计算机CPU(11)的USB密钥装置(15)，其内存有用来登录的USB密钥；

连接计算机CPU(11)以根据USB密钥和用户密码启动计算机操作系统的双因子登录检查模块(161)；

连接计算机CPU(11)以接收及执行监控与审计服务器(52)下发的指令的管理指令接收及执行模块(162)；

连接计算机CPU(11)以检查计算机的非法外联的外联检查模块(163)；

连接计算机CPU(11)的网卡禁用模块(164)，用于在外联检查模块(163)发现计算机非法外联时禁用网卡(14)工作；

连接计算机CPU(11)的日志生成及警报发送模块(165)，用于生成与管理指令接收及执行模块(162)执行情况相应的审计日志和关于非法外联的警报；以及

连接计算机CPU(11)的涉密文件转换模块(166)，用于将计算机内存储的涉密文件转换成密文。

7.根据权利要求6所述的内网安全管理系统，其特征在于，所述双因子登录检查模块(161)包括：

经由计算机CPU(11)检查所述USB密钥装置(15)的USB密钥的USB密钥识别单元(1611)；以及

经由计算机CPU(11)检查用户输入的用户密码的用户密码识别单元(1612)。

8.根据权利要求6或7所述的内网安全管理系统，其特征在于，所述外联检查模块(163)包括：

向外网域名解析服务器发送数据包的数据包发送单元(1631)；以及

接收并解析外网域名解析服务器回送的数据包的域名解析单元(1632)。