[发明专利]网络设备安全管理系统、方法及计算机可读存储介质

说明书

技术领域

本发明涉及网络安全技术领域，特别涉及一种网络设备安全管理系统、方法及计算机可读存储介质。

背景技术

目前，配置本地用户方式进行认证和授权时，需要在网络设备上配置用户的认证和授权信息，包括用户名、密码等。该方式主要存在以下缺陷：

1、本地用户的级别、密码过期时间、账号有效期密码复杂度检查、用户的闲置切断时间等都是可选配置项或者缺省配置，安全性较低，主要依赖于操作人的自觉性，无法保证安全规范的一致性。

2、本地用户只能对本台网络设备有效，如果有新网络设备上线需要再次配置，或者网络管理人员发生更换、人员离职等情况，则需要到所有网络设备上新增/删除本地用户账户。上述操作的繁琐程度和工作量＝网管人员x网络设备数，会随着网络规模发展而指数式上升。

3、为了方便考虑，很多网络中都出现了所有设备、所有网络管理员都共用相同的本地账号情况。上述安全漏洞容易发生：未经授权访问导致的安全事件、操作不规范导致的人为事故，事故出现之后难以审计溯源的情况。对于防范管控网络风险、满足监管合规要求非常不利。

发明内容

本发明实施例提供了一种网络设备安全管理系统，以解决现有技术中在网络设备上配置用户认证和授权时存在的安全性低、操作繁琐程度高的技术问题。该系统包括：管理控制机，用于接收分别为每个用户账号和每个网络设备设置的管理策略，并将管理策略实时发送给认证机；所述认证机，用于接收网络设备发送的通过用户账号发起的认证请求和操作授权请求，根据所述网络设备的管理策略和所述用户账号的管理策略分别响应所述认证请求和所述操作授权请求，实现对所述网络设备的安全管理。

本发明实施例还提供了一种网络设备安全管理方法，以解决现有技术中在网络设备上配置用户认证和授权时存在的安全性低、操作繁琐程度高的技术问题。该方法包括：在管理控制机上，分别为每个用户账号和每个网络设备设置管理策略，并将管理策略实时发送给认证机；通过所述认证机接收网络设备发送的由用户账号发起的认证请求和操作授权请求，并根据所述网络设备的管理策略和所述用户账号的管理策略分别响应所述认证请求和所述操作授权请求，实现对所述网络设备的安全管理。

本发明实施例还提供了一种计算机可读存储介质，以解决现有技术中在网络设备上配置用户认证和授权时存在的安全性低、操作繁琐程度高的技术问题。所述计算机可读存储介质存储有执行上述任一种网络设备安全管理方法的计算机程序。

在本发明实施例中，通过在网络设备之外的管理控制机上设置网络设备和网络设备用户账号的管理策略，避免在网络设备上设置认证和授权信息，并在网络设备之外的认证机上根据网络设备的管理策略和用户账号的管理策略响应网络设备发送的认证请求和操作授权请求，实现对网络设备认证和授权的安全管理。由于避免在网络设备上设置认证和授权信息，管理策略中有哪些配置项就必须按照相应配置项进行管理，使得可以避免由于依赖于操作人的自觉性出现选择配置或者缺省配置等现象造成的安全性低的问题；各个网络设备统一在控制机上设置管理策略，如果有新网络设备上线需要再次配置、网络管理人员发生更换或者人员离职等情况，无需到所有网络设备上新增/删除本地用户账户，有利于减少操作繁琐程度、减少工作量；为不同网络设备和用户配置了各自的管理策略，无需所有设备、所有网络管理员都共用相同的本地账号，可以有利于避免未经授权访问导致的安全事件、操作不规范导致的人为事故以及事故出现之后难以审计溯源的情况，有利于进一步提高安全性。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，并不构成对本发明的限定。在附图中：

图1是本发明实施例提供的一种网络设备安全管理系统的结构示意图；

图2是本发明实施例提供的一种具体的网络设备安全管理系统的结构示意图；

图3是本发明实施例提供的一种网络设备安全管理系统的工作原理图；

图4是本发明实施例提供的一种管理控制机的结构框图；

图5是本发明实施例提供的一种网络设备安全管理方法的流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下面结合实施方式和附图，对本发明做进一步详细说明。在此，本发明的示意性实施方式及其说明用于解释本发明，但并不作为对本发明的限定。

在本发明实施例中，提供了一种网络设备安全管理系统，如图1所示，该系统包括：