一种计算机网络的网络安全系统及其控制方法

1、一种计算机网络的网络安全系统，其特征在于，至少包括网络安全管理 中心、网络安全设备和适配器，所述适配器位于所述网络安全管理中心与所 述网络安全设备之间，所述网络安全管理中心分别与所述适配器、外部控制 台相连，所述适配器与所述网络安全设备之间采用所述网络安全设备的网络 协议和对应端口进行通信，所述适配器实现与所述网络安全设备通信的网络协议，转换数据格 式，对所述网络安全设备的配置管理信息和安全信息进行初步处理，而所述网络安全管理中心则集中管 理所述适配器，对来自所述网络安全设备的安全信息进行进一步的处理和存储。
2、根据权利要求1所述的网络安全系统，其特征在于，所述网络安全管理 中心可与多个所述适配器连接；所述网络安全管理中心与所述适配器之间采 用传输控制协议或加密套接字协议层协议通信。
3、根据权利要求2所述的网络安全系统，其特征在于，所述适配器与所述 网络安全管理中心位于同一个子网内或不同的子网内；当位于不同的子网内 时，所述子网间的访问控制设备允许开放所述适配器与所述网络安全管理中 心之间使用的TCP端口。
4、根据权利要求1所述的网络安全系统，其特征在于，所述适配器与一个 或多个网络安全设备连接。
5、根据权利要求1所述的网络安全系统，其特征在于，所述适配器与所述 网络安全设备位于同一个子网中。
6、根据权利要求1、4或5所述的网络安全系统，其特征在于，所述网络安 全设备是具有多种功能、使用多种网络协议和多种数据交换格式的设备。
7、根据权利要求1至5任一所述的网络安全系统，其特征在于，所述网络 安全管理中心进一步包括控制台管理服务模块、认证模块、第一设备管理模 块、设备组织模块、系统策略模块、系统管理模块、监控模块、适配器管理 模块、安全信息分析模块、安全信息存储模块、级联管理模块和报警模块；
其中所述第一设备管理模块、设备组织模块、系统策略模块、监控模块 和系统管理模块统称为系统功能模块，提供对所述网络安全设备的配置和控 制管理，提供用户管理和系统配置的功能，并实现实时监控；
所述控制台管理服务模块，用于管理外部控制台与所述网络安全管理中 心的连接，并向所述认证模块发起认证请求，实现外部控制台与所述系统功 能模块之间信息的传输；
所述认证模块，负责维护与管理中心通信的管理员、控制台和所述适配 器的有效列表，并向所述控制台管理服务模块提供认证是否通过的应答；
所述适配器管理模块，用于管理所述适配器与所述网络安全管理中心的 连接，负责所述适配器与所述安全信息分析模块、所述系统功能模块的信息 交互；
所述安全信息分析模块，用于分析所述适配器管理模块发来的安全信 息，并将分析后的安全信息转发给所述安全信息存储模块，如果需要报警， 则同时将报警信号传送给所述报警模块；
所述安全信息存储模块，用于将所述安全信息分析模块发送的安全信息 顺序存储；
所述级联管理模块，用于将由所述适配器上报的全部信息构成的本地报 表定时传送给上一级的网络安全管理中心；
所述报警模块，用于根据所述安全信息分析模块产生的报警信号，顺序 进行报警操作。
8、根据权利要求7所述的网络安全系统，其特征在于，当同时存在多个外 部控制台接入所述网络安全管理中心时，所述控制台管理服务模块还负责协 调对系统内同一个数据对象资源的同时修改请求。
9、根据权利要求1至5任一所述的网络安全系统，其特征在于，所述适配 器包括第二设备管理模块和设备插件模块；
所述第二设备管理模块与所述网络安全管理中心进行通信，并且对所述 网络安全设备进行监控，将对某个网络安全设备的配置管理信息分配到与该 网络安全设备对应的设备插件模块中；
所述设备插件模块复用一个共同的网络通信协议和端口集合，与所述第 二设备管理模块进行通信，并且与所述网络安全设备一一对应，接收所述网 络安全设备的安全信息，并转换所述网络安全设备的配置管理信息格式和安 全信息格式，实现对配置管理信息和安全信息的内容理解和归一化处理。
10、根据权利要求9所述的网络安全系统，其特征在于，所述第二设备管理 模块包括通信模块、信息路由管理模块、设备通断监控模块和设备发现模块；
所述通信模块，负责与所述网络安全管理中心之间的信息交互；
所述信息路由管理模块，负责信息在所述通信模块与所述适配器中其他 模块之间传递；
所述设备通断监控模块，用于定时监控所述网络安全设备的通断状态， 并将状态变化发送到所述信息路由管理模块；
所述设备发现模块，用于执行所述网络安全管理中心的发现设备命令， 找到相应的网络安全设备，并将发现的设备信息返回给所述网络安全管理中 心。
11、根据权利要求9所述的网络安全系统，其特征在于，所述设备插件模块 包括安全信息收集模块、安全信息处理模块和设备配置模块；
所述安全信息收集模块，用于收集所述网络安全设备发来的日志和事 件，并转发到所述安全信息处理模块中；
所述安全信息处理模块，用于接收所述安全信息收集模块发来的日志和 事件，根据设定好的过滤规则，进行事件的预处理，然后发送给所述信息路 由管理模块；
所述设备配置模块，用于处理所述网络安全设备的配置信息，将所述第 二设备管理模块发来的设备配置命令，传送到所述网络安全设备中，同时接 收所述网络安全设备的应答，返回给所述第二设备管理模块。
12、一种网络安全系统的控制方法，其特征在于，包括外部控制台与网络安 全管理中心建立连接；适配器与网络安全管理中心建立连接；对网络安全设 备的配置管理控制和对网络安全设备的安全信息控制；
所述对网络安全设备的配置管理控制包括以下步骤：
步骤1，控制台子系统向网络安全管理中心发送对某个网络安全设备的 设备管理命令；
步骤2，网络安全管理中心判断该网络安全设备与哪个适配器连接，并 将设备管理命令解释为对该适配器的命令；
步骤3，网络安全管理中心将命令发送到与该网络安全设备相连的适配 器中；
步骤4，适配器中的第二设备管理模块将接收到的命令发给对应该网络 安全设备的设备插件模块，由该设备插件模块进行处理；
步骤5，该设备插件模块将上述第二设备管理模块发来的命令采用对应 网络安全设备所采用的处理方式发送到网络安全设备中；
步骤6，网络安全设备向其连接的设备插件模块发送响应信号，由该设 备插件模块返回第二设备管理模块；
所述网络安全设备的安全信息控制过程，包括以下步骤：
步骤1’，网络安全设备将安全信息发送给与之相连的适配器；
步骤2’，适配器中的设备插件模块对上述安全信息进行预处理；
步骤3’，设备插件模块将步骤2所得的信息转换成网络安全管理中心定 义的标准格式，并由第二设备管理模块发送给网络安全管理中心；
步骤4’，网络安全管理中心对接收到的信息进行分析、监测、报警和存 储等操作。
13、根据权利要求12所述的网络安全系统控制方法，其特征在于，所述外 部控制台与网络安全管理中心建立连接具体包括：外部控制台启动后，控制 台管理服务模块启动一个新的用户界面服务与之对应，同时向所述认证模块 发起认证请求；当认证通过后，接收外部控制台的命令，并将返回的响应信 号发送给外部控制台。
14、根据权利要求12或13所述的网络安全系统控制方法，其特征在于，所 述适配器与网络安全管理中心建立连接具体包括：当新的适配器接入网络安 全管理中心时，适配器管理模块启动一个适配器控制器与所述新的适配器对 应，并记录所述新的适配器与网络安全设备连接的信息。
15、根据权利要求14所述的网络安全系统控制方法，其特征在于，所述网 络安全设备的安全信息控制过程中的步骤2’进一步包括以下步骤：设备插件 模块中的安全信息收集模块接收网络安全设备发来的日志和事件，并转发到 安全信息处理模块中；安全信息处理模块根据网络安全管理中心设定的日志 类型收集过滤规则，进行事件的预处理，然后发送给信息路由管理模块。
16、根据权利要求12、13或15所述的网络安全系统控制方法，其特征在于， 所述网络安全设备的安全信息控制过程中的步骤4’进一步包括以下步骤：网 络安全管理中心的安全信息分析模块收到经过预处理的安全信息后，将其与 规则表中对应的安全信息处理规则进行对照，如果匹配，则启动规则响应； 如果需要报警，则将报警信号传送给报警模块，由报警模块按顺序进行报警 操作；安全信息分析模块将分析后的安全信息转发给安全信息存储模块进行 存储。

技术领域\n本发明涉及计算机网络安全技术领域，具体地说，涉及对多个网络安全 设备进行集中管理的系统及方法。\n背景技术\n为了保障计算机网络的安全运行，一般在计算机网络中都会部署有许多 安全设备和安全软件，因为随着日益增强的网络安全需要，依靠单一的防火 墙已经很难解决现有的网络安全问题，网络安全需要靠一个包括防火墙、虚 拟专用网(Virtual Private Networks，简称VPN)、入侵检测、防病毒、 漏洞扫描器等多项技术和安全设备组成的安全体系来实现。\n但是上述的网络安全设备大多是独立地根据有关信息产生不同形式的 安全信息，不能作为一个有机的整体为用户的网络提供安全保障。用户可以 在原有的安全设备上进行升级、添加和加强，也可以依照不同安全设备的特 性进行选择，这样会出现多种技术和网络安全设备多层面、分布式地在计算 机网络中共存的情况，不同的技术和网络安全设备会产生大量不同形式的安 全信息，使得整个安全体系的相互协作和集中管理成为安全管理的难点。\n因此，计算机网络需要有一个完整的网络安全系统，其中包括分布在网 络中、能够对网络安全进行控制和采集网络安全信息的各种网络安全设备， 以及对这些网络安全设备进行管理的网络安全管理中心，使得网络安全设备 能够达到其对网络安全的作用，甚至超过网络安全设备单独工作时对网络安 全的作用。\n网络安全管理中心采用集中式的管理方式，能够总体配置、调控所有的 网络安全设备，实现对各种网络安全设备的集中监控、统一管理及在多种网 络安全设备之间的互动，使得网络安全管理工作简洁有效。\n目前网络安全系统面临的技术问题主要有两点：一是计算机网络的结构 是多样化的，许多网络还会有比较复杂的子网划分，这些子网与主网之间、 子网与子网之间、子网与外部网络(如Internet)之间，一般会使用各种 网关设备或网络安全设备进行网络协议的访问限制，例如在整个网络内部对 关键数据库服务器所在的子网使用防火墙进行严格的访问控制，只允许开通 传输控制协议(简称TCP)的几个专用端口，而通常的简单网络管理协议(简 称SNMP)是基于用户数据报协议(简称UDP)的，不能对该子网内的计算机 系统进行管理。\n另外，由于各种网络安全设备采用不同的网络通信协议和数据交换格 式，并有各种不同的网络安全内容，如果完全由网络安全管理中心来识别各 种网络通信协议和数据格式，以及对各种网络安全内容的理解，管理中心的 软件结构将非常复杂，处理的工作量也非常大，那么管理中心将可能成为整 个网络安全系统的瓶颈，而且不能充分利用网络上其它负荷不饱满的计算机 系统来分担处理。\n发明内容\n本发明所要解决的技术问题在于提供一种计算机网络的网络安全系统 及控制方法，可以解决现有技术中网络安全系统无法对有访问限制的子网中 的网络安全设备进行管理以及网络安全管理中心结构复杂的问题。\n本发明网络安全系统在网络安全管理中心与网络安全设备之间增加适 配器，由适配器实现与网络安全设备通信的网络协议，转换数据格式，对网 络安全设备的配置管理信息和安全信息进行初步处理，而网络安全管理中心 则集中管理适配器，对来自网络安全设备的安全信息进行进一步的处理和存 储。\n本发明所述网络安全系统，至少包括网络安全管理中心、网络安全设备 和适配器，所述适配器位于所述网络安全管理中心与所述网络安全设备之 间，所述网络安全管理中心分别与所述适配器、外部控制台进行通信，所述 适配器与所述网络安全设备之间采用所述网络安全设备的网络协议和对应 端口进行通信，所述适配器实现与所述网络安全设备通信的网络协议，转换数据格式，对 所述网络安全设备的配置管理信息和安全信息进行初步处理，而所述网络安全管理中心则集 中管理所述适配器，对来自所述网络安全设备的安全信息进行进一步的处理和存储。\n所述网络安全管理中心与所述适配器之间采用传输控制协议/加密套接 字协议层协议进行通信。\n所述网络安全管理中心进一步包括控制台管理服务模块、认证模块、第 一设备管理模块、设备组织模块、系统策略模块、系统管理模块、监控模块、 适配器管理模块、安全信息分析模块、安全信息存储模块、级联管理模块和 报警模块，其中所述第一设备管理模块、设备组织模块、系统策略模块、监 控模块和系统管理模块统称为系统功能模块，提供对所述网络安全设备的配 置和控制管理，提供用户管理和系统配置的功能，并实现实时监控；\n所述控制台管理服务模块，用于管理外部控制台与所述网络安全管理中 心的连接，并向所述认证模块发起认证请求，实现外部控制台与所述系统功 能模块之间信息的传输；如果同时存在多个控制台，则所述控制台管理服务 模块还负责协调对系统内同一个数据对象的同时修改请求。\n所述认证模块，负责维护可与网络安全管理中心通信的管理员、控制台 和所述适配器的有效列表，并向所述控制台管理服务模块提供认证是否通过 的应答；\n所述适配器管理模块，用于管理所述适配器与所述网络安全管理中心的 连接，负责所述适配器与所述安全信息分析模块、所述系统功能模块的信息 交互；\n所述安全信息分析模块，用于分析所述适配器管理模块发来的安全信 息，并将分析后的安全信息转发给所述安全信息存储模块，如果需要报警， 则同时将报警信号传送给所述报警模块；\n所述安全信息存储模块，用于将所述安全信息分析模块发送的安全信息顺序存储；\n所述级联管理模块，用于将由所述适配器收集的全部信息构成的本地报 表定时传送到上一级的网络安全管理中心；\n所述报警模块，用于根据所述安全信息分析模块产生的报警信号，顺序 进行报警操作。\n所述适配器包括第二设备管理模块和设备插件模块，所述第二设备管理 模块与所述网络安全管理中心进行通信，并且对所述网络安全设备进行监 控，将对某个网络安全设备的配置管理信息分配到与该网络安全设备对应的 设备插件模块中；所述设备插件模块复用一个共同的网络通信协议和端口集 合，与所述第二设备管理模块进行通信，并且与所述网络安全设备一一对应， 接收所述网络安全设备的安全信息，并转换所述网络安全设备的配置管理信 息格式和安全信息格式，实现对配置管理信息和安全信息的内容理解和归一 化处理。\n所述第二设备管理模块包括通信模块、信息路由管理模块、设备通断监 控模块和设备发现模块；其中所述通信模块，负责与所述网络安全管理中心 之间的信息交互；所述信息路由管理模块，负责信息在所述通信模块与所述 适配器中其他模块之间传递；所述设备通断监控模块，用于定时监控所述网 络安全设备的通断状态，并将状态变化发送到所述信息路由管理模块；所述 设备发现模块，用于执行所述网络安全管理中心的发现设备命令，找到相应 的网络安全设备，并将发现的设备信息返回给所述网络安全管理中心。\n所述设备插件模块包括安全信息收集模块、安全信息处理模块和设备配 置模块；其中所述安全信息收集模块，用于收集所述网络安全设备发来的日 志和事件，并转发到所述安全信息处理模块中；所述安全信息处理模块，用 于接收所述安全信息收集模块发来的日志和事件，根据设定好的过滤规则， 进行事件的预处理，然后发送给所述信息路由管理模块；所述设备配置模块， 用于处理所述网络安全设备的配置信息，将所述第二设备管理模块发来的设 备配置命令，传送到所述网络安全设备中，同时接收所述网络安全设备的应 答，返回给所述第二设备管理模块。\n一个网络安全系统只包括一个网络安全管理中心，但对于网络安全管理 中心之间可以有上下级的管理，上下级的网络安全管理中心需要各自导入对 方的证书，以保证认证和访问控制。下级可以向上级传报表，报告安全情况。\n一个网络安全管理中心可以连接一个或多个适配器；一个适配器可以连 接一个或多个网络安全设备；网络安全设备可以是具有多种功能、使用多种 网络协议和多种数据交换格式的设备。\n适配器与网络安全管理中心是独立的网络软件子系统，可以位于不同的 计算机系统中，也可以位于不同的子网中。\n适配器与网络安全设备可以位于同一个子网中。\n本发明网络安全系统的控制方法，包括外部控制台与网络安全管理中心 建立连接；适配器与网络安全管理中心建立连接；对网络安全设备的配置管 理控制和对网络安全设备的安全信息控制。\n所述外部控制台与网络安全管理中心建立连接具体包括：外部控制台启 动后，控制台管理服务模块启动一个新的用户界面服务与之对应，同时向所 述认证模块发起认证请求；当认证通过后，接收外部控制台的命令，并将返 回的响应信号发送给外部控制台。\n所述适配器与网络安全管理中心建立连接具体包括：当新的适配器接入 网络安全管理中心时，适配器管理模块启动一个适配器控制器与所述新的适 配器对应，并记录所述新的适配器与网络安全设备连接的信息。\n所述对网络安全设备的配置管理控制包括以下步骤：\n步骤1，控制台子系统向网络安全管理中心发送对某个网络安全设备的 设备管理命令；\n步骤2，网络安全管理中心判断该网络安全设备与哪个适配器连接，并 将设备管理命令解释为对该适配器的命令；\n步骤3，网络安全管理中心将设备管理命令发送到与该网络安全设备相 连的适配器中；\n步骤4，适配器中的第二设备管理模块将接收到的命令发给对应该网络 安全设备的设备插件模块，由该设备插件模块进行处理；\n步骤5，该设备插件模块将上述第二设备管理模块发来的命令采用对应 网络安全设备所采用的处理方式发送到网络安全设备中；\n步骤6，网络安全设备向其连接的设备插件模块发送响应信号，由该设 备插件模块返回第二设备管理模块；\n所述网络安全设备的安全信息控制过程，包括以下步骤：\n步骤1’，网络安全设备将安全信息发送给与之相连的适配器；\n步骤2’，适配器中的设备插件模块对上述安全信息进行预处理；\n步骤3’，设备插件模块将步骤2所得的信息转换成网络安全管理中心定 义的标准格式，并由第二设备管理模块发送给网络安全管理中心；\n步骤4’，网络安全管理中心对接收到的信息进行分析、监测、报警和存 储等操作。\n所述步骤2’进一步包括以下步骤：设备插件模块中的安全信息收集模块 接收网络安全设备发来的日志和事件，并转发到安全信息处理模块中；安全 信息处理模块根据网络安全管理中心设定的日志类型收集过滤规则，进行事 件的预处理，然后发送给信息路由管理模块。\n所述步骤4’进一步包括以下步骤：网络安全管理中心的安全信息分析模 块收到经过预处理的安全信息后，将其与规则表中对应的安全信息处理规则 进行对照，如果匹配，则启动规则响应；如果需要报警，则将报警信号传送 给报警模块，由报警模块按顺序进行报警操作；安全信息分析模块将分析后 的安全信息转发给安全信息存储模块进行存储。\n本发明采用一个网络安全管理中心连续运行，管理网络多个网络安全设 备的模式，在网络安全管理中心和网络安全设备之间增加适配器，解决了多 种网络安全设备具有多种功能，使用多种网络协议和多种数据交换格式带来 的管理可行性和复杂性的问题，解决了网络安全系统的性能问题。\n附图说明\n图1是本发明网络安全系统的一个实施例示意图；\n图2是图1中网络安全管理中心110的内部示意图；\n图3是图1中适配器的内部示意图；\n图4是对网络安全设备的配置管理控制方法的流程图；\n图5是对网络安全设备的安全信息控制方法的流程图。\n具体实施方式\n下面结合附图和实施例，对本发明作进一步的详细描述。\n图1所示的网络安全系统包括网络安全管理中心110、适配器111和 112、网络安全设备211、212、221和222。网络安全管理中心110与控制 台子系统的各个控制台相连，当启动不同的控制台时，可分别进入网络安全 系统的系统管理、监控和设备管理等界面。网络安全管理中心110通过适配 器111、112对网络安全设备211，212，221，222进行监视和管理，其中网 络安全设备211和212是两种不同的网络安全设备。网络安全管理中心110 与适配器111、适配器112的通信连接建立在TCP/SSL网络协议上，也可以 采用IPSec协议，IPSec(IPSecurity)协议是由一组RFC文档组成的，定 义了一个系统来提供选择安全协议、安全算法、确定服务所使用密钥等服务， 从而在IP层提供安全保障。网络安全管理中心110与适配器111在同一个 子网中，而适配器112与网络安全管理中心110在不同的子网中，并且这两 个子网之间存在网络访问限制，例如这两个子网的UDP协议不同，因此网络 安全管理中心110与适配器112之间的网络访问控制允许开放TCP的部分端 口，包括网络安全管理中心110与适配器112之间的TCP端口。适配器111 与网络安全设备211、212建立连接，采用简单网络管理协议(Simple Network Management Protocol，简称SNMP)和UNIX系统日志Syslog进行通信；适 配器112与网络安全设备221、222建立连接，也采用简单网络管理协议SNMP (Simple Network Management Protocol)和UNIX系统日志Syslog进行通 信。网络安全设备211、212与适配器111在同一个子网中；网络安全设备 221、222与适配器112在同一个子网中。\n在本发明中，网络安全管理中心110的主要功能是实现对网络中各个网 络安全设备的控制和配置的集中管理，以及对来自网络安全设备的安全信息 的集中处理和存储，对于具体的与网络安全设备间的网络通信协议以及信息 数据格式均交由适配器完成。如图2所示，网络安全管理中心110包括控制 台管理服务模块、认证模块、第一设备管理模块、设备组织模块、系统策略 模块、系统管理模块、监控模块、适配器管理模块、安全信息分析模块、安 全信息存储模块、级联管理模块和报警模块，其中第一设备管理模块、设备 组织模块、系统策略模块、监控模块和系统管理模块统称为系统功能模块， 提供对网络安全设备的配置和控制管理，提供用户管理和系统配置的功能， 并进行实时监控。\n每当一个外部控制台启动后，与网络安全管理中心建立起连接，控制台 管理服务模块就启动一个新的用户界面服务与之对应，同时向所述认证模块 发起认证请求，当认证通过后，接收外部控制台的命令，并转发给相应的系 统功能模块；同时在收到系统功能模块的响应后，向外部控制台发送。第一 设备管理模块负责设备与策略管理控制台的请求，内容是对设备的操作，如 下达配置命令、设备启停控制等；设备列表管理模块负责设备与策略管理控 制台的请求，内容是维护系统可管的设备列表，从设备表中添加或删除设备 等等；系统策略管理模块负责设备与策略管理控制台的请求，内容是对系统 策略规则表的维护，规则是指针对某一个设备发来的某一条事件，系统将采 用何种响应方式，如邮件报警或控制台显示报警等；监控模块负责安全信息 检测控制台的请求，内容是在安全信息检测控制台界面上实时显示某设备的 运行情况，如CPU利用率等等；系统管理模块负责系统管理控制台的请求， 内容是维护用户表，适配器表，上下级设定等。当同时有多个控制台与网络 安全管理中心连接时，如果需要同时修改系统内的同一个数据对象资源，如 设备表、策略表、适配器表、用户表等，则由控制台管理服务模块对上述请 求进行协调。\n适配器管理模块是适配器接入网络安全管理中心的连接、管理模块，每 当有新的适配器接入时，适配器管理模块就启动一个适配器控制器与之对 应，并记录该适配器与网络安全设备连接的信息。适配器发来的网络安全设 备的安全信息经过适配器管理模块发给安全信息分析模块；同时也接收网络 安全管理中心的命令，发送给适配器。安全信息分析模块收到安全信息后， 将其与系统策略管理模块中的规则表中对应的安全信息处理规则进行对照， 如果匹配，则启动规则响应。分析后的安全信息被转发给安全信息存储模块 进行存储，如果需要报警，则同时将报警信号传送给报警模块，由报警模块 按顺序进行报警操作。\n适配器的内部模块如图3所示，包括第二设备管理模块和设备插件模 块，第二设备管理模块与设备插件模块之间的通信采用同一个端口集合和网 络通信协议，设备插件模块中保存有其对应的网络安全设备对外提供的各种 网络协议和端口号等信息，能够根据设备管理的具体功能，与网络安全设备 使用相同的网络协议和相应的端口进行通信。其中，第二设备管理模块包括 通信模块、信息路由管理模块、设备通断监控模块和设备发现模块；设备插 件模块包括安全信息收集模块、安全信息处理模块和设备配置模块。\n适配器与网络安全管理中心之间的信息交互均通过通信模块进行传递。 信息路由管理模块，对通信模块发送的信息分发到各相应的模块中，并接收 各模块返回的信息，通过通信模块上传到网络安全管理中心。为了及时了解 网络安全设备的通断状态，在第二设备管理模块中还设有设备通断监控模块 定时监控，并将状态变化信息发送到信息路由管理模块中。当网络安全管理 中心发出发现网络安全设备的命令时，由设备发现模块执行该命令，找到该 网络安全设备，并将发现的设备信息返回给网络安全管理中心。\n当设备配置模块收到通信模块转发的设备配置命令后，将其转发给相应 的网络安全设备，然后接收该网络安全设备的响应信号，发给第二设备管理 模块；另外还对网络安全设备上报的配置信息进行处理。安全信息收集模块 则接收网络安全设备发来的日志和事件，并转发到安全信息处理模块中进行 处理，安全信息处理模块根据网络安全管理中心预先下发的日志类型收集过 滤规则，即关于某个网络安全设备发来的哪些类日志收集、哪些类日志不收 集的规则，进行事件的预处理，然后发送给信息路由管理模块。在本实施例 中，适配器111中包括2个设备插件模块，分别对应网络安全设备211和 212；适配器112中包括2个设备插件模块，分别对应网络安全设备221和 222。\n当网络安全管理中心110接收到控制台发出的一个针对网络安全设备 211设备管理命令时，首先进行逻辑判断，判断该网络安全设备与哪个适配 器连接，在本实施例中，网络安全设备211与适配器111连接。然后将该设 备管理命令解释成对适配器111的命令，该命令为网络安全系统认知的通用 命令，不依赖于具体的设备，并发送到适配器111中。适配器111接收到该 命令后，由第二设备管理模块将命令转发到对应网络安全设备211的设备插 件模块中，由该设备插件模块中的设备配置模块进行处理，并将处理后的命 令采用该网络安全设备所采用的具体处理方式，包括命令控制、信息解析和 处理等，不同的网络安全设备采用不同的处理方式，如设备A可以采用HTTP 方式进行远程配置，SYSLOG方式收集日志，而设备B采用SNMP SET方式进 行配置，SNMP TRAP方式收集日志等，发送到网络安全设备211，并接收该设 备的响应，发回给第二设备管理模块。同样，针对网络安全设备212的管理 命令是由适配器111中对应网络安全设备212的设备插件模块进行处理的。\n网络安全设备211产生的各种网络安全信息，包括设备状态信息和网络 安全事件，都会先发送到适配器111中与之对应的设备插件模块中，设备插 件模块中的设备配置模块和安全信息收集模块将上述安全信息转发到安全 信息处理模块中进行预处理，安全信息处理模块根据设定的过滤规则对安全 信息进行预处理，并将其转换成网络安全管理中心定义的标准格式，发给网 络安全管理中心110，由网络安全管理中心110进行信息的分析、监测、报 警和存储等操作。同样，来自网络安全设备212的网络安全信息也首先由适 配器111中对应网络安全设备212的设备插件模块进行处理，然后发给网络 安全管理中心110，处理后的网络安全信息的格式也是采用标准格式。\n通过上述操作可实现网络安全管理中心110对不同的网络安全设备采 用相同的管理方式进行管理。\n对于位于不同子网的网络安全管理中心110和网络安全设备221、222， 由于网络访问的限制，不能直接使用网络安全设备221和222的网络管理协 议和网络端口进行管理，因此在网络安全设备221和222的子网中设置了适 配器112，适配器112可以使用网络安全设备221、222的网络通信协议， 如UDP协议，以解决跨子网带来的网络通信困难的问题。\n来自网络安全管理中心110的各种设备管理命令通过TCP/SSL协议，跨 过子网的访问控制设备，将命令传送到适配器112，适配器112通过网络安 全设备221和222的具体管理网络协议端口进行设备管理。同时网络安全设 备221和222的安全信息也发送到适配器112，通过TCP/SSL协议，跨过子 网的访问控制设备，将信息传送到管理中心110。\n如果某些网络安全设备的安全信息量特别大，并同时传送到一个适配 器，而该适配器不能满足实时处理，则可以再增加一个适配器，分担部分网 络安全设备信息的处理，对网络安全信息进行分布式的处理，以满足系统对 性能的要求。\n本发明网络安全系统的控制方法包括对网络安全设备的配置管理控制 和对网络安全设备的安全信息控制两个过程。\n如图4所示。对网络安全设备的配置管理控制过程的流程是：控制台子 系统向网络安全管理中心发送对某个网络安全设备的设备管理命令；网络安 全管理中心判断该网络安全设备与哪个适配器连接，并将设备管理命令解释 为对该适配器的命令，发送到该适配器中；适配器中的第二设备管理模块将 接收到的命令发给对应该网络安全设备的设备插件模块；该设备插件模块将 上述命令采用对应网络安全设备所采用的具体处理方式发送到网络安全设 备中；网络安全设备向对应的设备插件模块发送响应信号，由该设备插件模 块返回第二设备管理模块。\n如图5所示，对网络安全设备的安全信息控制过程的流程是：网络安全 设备将安全信息发送给与之相连的适配器的设备插件模块中；设备插件模块 根据设定好的过滤规则对安全信息进行预处理，并将处理后的安全信息转换 成网络安全管理中心定义的标准格式，发送给网络安全管理中心，由网络安 全管理中心对接收到的信息完成进一步的分析、监测、报警和存储等操作。\n最后所应说明的是，以上实施例仅用以说明本发明的技术方案而非限 制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员 应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发 明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。