[0001] 本发明涉及终端网络安全技术领域，尤其涉及一种终端端口统一管控平台。

[0002] 随着互联网的飞速发展，网络终端的种类也越来越丰富，例如计算机系统、互联网打印机、网络摄像头等，这些终端的使用确实使得人们的生活更加方便安全，但是随之而来的网络安全问题却越来越多，各种病毒层出不穷，对公众的利益造成了极大的损害，对于计算机系统现有的技术中一般通过在计算机系统中安装终端安全管理软件，基于专用安全管理软件实现对计算机系统的安全保障，但是这种安全管理软件功能繁杂，且大量占用终端的CPU、内存等资源，严重影响计算机系统的效能，且这种终端安全管理软件主要管理的是用户的上网行为和操作行为等，对终端端口的统一化管理功能欠缺，另外，对于采用嵌入式系统的终端，例如打印机、摄像头等物联网设备由于其内存小、CPU速率低、带宽低等系统资源特性的限制，使得终端安全管理软件根本无法安装，可见，专用安全管控软件的普适性明显存在不足。

[0027] 下面结合附图对本发明做详细说明，以令本领域普通技术人员参阅本说明书后能够据以实施。

[0028] 如图1-4所示，一种终端端口统一管控平台，包括：管控平台本体1；

[0029] 终端接口2，其设置为多个，并分别设置在所述管控平台本体1上，所述终端接口2用于多种终端与所述管控平台本体1的连接；

[0030] 管控模块，其设置于所述管控平台本体1内，所述管控模块与所述终端接口2电性连接；所述管控模块在终端电性连接于所述终端接口2时基于分布式架构对所述终端的端口进行管控；

[0031] 其中，所述终端为网卡前端安装了节点设备的终端，所述管控平台本体1通过所述节点设备对所述终端的端口进行统一管控。

[0032] 在上述方案中，各种终端通过管控平台本体上设置的终端接口连接于管控平台本体，管控平台本体内设置的管控模块即可实现采用分布式架构对所述终端的端口进行管控，从而保证了终端使用的安全性，且基于管控模块进行终端端口的统一管控，实现了对于端口的主动安全管理。

[0033] 通过多种终端接口的设置，使得所述管控平台可以与各种终端进行连接，消缺了传统终端管理软件扩展性不足的局限；通过管控模块的设置实现了对包含所涉节点硬件的统一管控，具备对所有连接于所述管控平台的终端的端口进行统一管理的能力，极大地提升了对于终端端口的安全管控能力；通过设置管控平台本体通过终端接口与各种终端连接，避免了安全管理软件内置于终端系统中的应用，从而避免了对终端CPU、内存等的占用，从而不仅能够为如计算机系统等具有良好的系统资源的终端进行接入，还能为如网络打印机、自助售电终端，以及网络摄像头等内存小、CPU速率低、带宽低的系统资源严重受限的物联网设备提供接入，有效的消除了由于系统资源限制所导致的端口管控的能力缺失，即实现了多种终端的端口统一管控，增强了所述终端端口统一管控平台的普适性。因而，通过所述终端端口统一管控平台的应用，能够减少人力成本的投入，同时节省了大量端口管理的时间，且减少了材料的使用，也节省了通信费用等成本费用；并提升了系统防护能力，降低由勒索病毒、信息泄密等安全事件所带来经济损失的风险。

[0034] 一个优选方案中，所述管控模块对终端的端口的管控具体为所述管控模块对所述终端的各个端口的开/闭控制以及对各个端口的状态的监控。

[0035] 在上述方案中，终端往往具有多种端口，例如网络摄像头就具有HTTP端口、RTSP端口、HTTPS端口、服务端口、ONVIF端口以及TCP端口等，通过所述终端端口统一管控平台，可以实现对终端上各个端口的分别控制，例如关闭一些不必要或不经常使用的端口，以及监控各个端口的数据传输状态等，从而减少信息泄露、病毒感染等的风险。

[0036] 一个优选方案中，所述管控模块对电性连接所述终端接口2的终端的基础信息进行采集，并形成对应于所述终端的唯一性标识。

[0037] 在上述方案中，通过对终端的基础信息的采集并形成对应于终端的唯一性标识，能够便于所述管控模块对终端的识别，保证识别的准确性，以便于对终端的各个端口进行管控。

[0038] 一个优选方案中，所述终端的基础信息包括：IP、MAC、固件版本以及系统信息。

[0039] 在上述方案中，通过对终端的IP地址，MAC媒体访问控制地址，以及固件版本的获取，能够唯一的确定每个终端，从而保证每个终端的标识生成的唯一性。

[0040] 一个优选方案中，还包括：远程连接模块，其设置于所述管控平台本体1内；所述远程连接模块连接于所述管控模块，用于远程操控所述管控模块对所述终端的端口进行管控。

[0041] 在上述方案中，通过远程连接模块的设置，使得所述终端端口统一管控平台不仅能够实现对各种终端的安全管控，还能实现远程配置并管控所述管控模块以及与所述管控模块连接的终端。

[0042] 一个优选方案中，所述管控平台本体1上设置有显示模块3，所述显示模块3与所述管控模块和远程连接模块分别连接，以将连接于终端接口的终端的各个端口的信息在所述显示模块3上显示，并通过所述远程连接模块将所述显示模块3上显示的内容在与所述远程连接模块连接的远程控制端上同步显示。

[0043] 在上述方案中，通过显示模块的设置能够直观的显示各个端口的状态，便于相关人员对终端使用安全性的掌握，同时显示模块还与远程连接模块连接，实现了远程对终端端口状态的监控。

[0044] 一个优选方案中，所述管控平台本体1内还设置有与所述管控模块和显示模块3分别连接的分析模块；所述分析模块用于对连接于所述终端接口2的终端的各个端口的异动数据进行抓取，并针对所述异动数据进行分析以生成针对所述移动数据的决策，所述管控模块在所述分析模块抓取到异动数据时发出预警，并依据所述决策对相应的端口进行管控；所述显示模块3对应于端口信息显示异动数据以及所述决策。

[0045] 在上述方案中，通过分析模块的设置，能够使得分析模块实时的对各个终端的端口进行监控，并在存在异动数据时及时将数据抓取，且能够针对异动数据生成决策，使得终端的使用安全得到保证，使得所述终端端口统一管控平台通过基于管控平台本体外接终端进行终端端口的管控，实现了以主动防护为核心，分布式信息采集和集中分析处置为基础的动态端口治理方案。

[0046] 一个优选方案中，所述显示模块3上显示的端口的信息包括：数据流、TCP/IP协议信息、异动数据以及针对所述异动数据得到的决策。

[0047] 在上述方案中，通过在显示模块上显示数据流、TCP/IP协议信息、异动数据以及针对所述异动数据得到的决策等端口的信息，方便用户对终端端口的状态的实时掌控，同时能够为集中数据分析研判和展示提供必要的数据支撑，并实现基于数据流的数据包处置机制。

[0048] 本发明技术特点：

[0049] 1、拓宽技术实现：通过基于分布式的集中管控平台(系统)+前置终端接入设备的技术实现，提出基于分布式集中管理架构的终端统一管控平台，继而实现“终端端口”+“统一管控”的技术实现，消缺传统终端管理软件扩展性不足的局限；

[0050] 2、提升资源效能：设计实现包含了多个不同形态大小的硬件设备，满足多种条件网络环境下对于硬件供电设计，形态设计等方面的硬件接入需求、拓宽适用场景，释放所涉终端对专用软件运行资源的需求；

[0051] 3、强化管控能力：统一管控平台实现了包含对所涉节点硬件的统一管控，策略下发，统一管理等，以及节点硬件自身的端口软件管理功能，具备对终端前置硬件节点所提供网络接入的终端端口进行统一管理，极大地提升了对于终端端口的安全管控能力；

[0052] 4、增强普适性：设计实现终端前置硬件节点具备可拓展性，能够实现对于多种终端(包括PC、网络打印机、自助售电终端，以及网络摄像头等物联网设备)提供接入服务，并实现端口统一管控能力。

[0053] 本方案的实现内容主要包含两个部分，一个部分是硬件设计开发，另一部分是管控平台的设计开发，通过“软件”+“硬件”的技术实现、“典型”+“通用”的业务管控，实现对于种类繁多的终端端口统一安全管控的显著成效。

[0054] 具体实现方式包括硬件开发和软件平台设计开发两大部分：

[0055] 硬件开发：

[0056] 包含了多个不同形态大小的硬件设计，硬件供电设计，形态设计，软件集中管控设计等，适用于不同的场景，如直接在终端网口串进去的小型硬件设备，以及可以在交换机前面安装部署的常规尺寸硬件。

[0057] (1)供电设计：针对终端前置设备的电力需求，结合所不同业务场景下的用电需求，进行专业的供电设计，保障接入终端网络接入点用电需求，以及前置设备所需要的软件运行电源保障；

[0058] (2)端口接入设计：结合前置终端所应用的场景，接入终端的网络需求，细化分析提供网络接入点端口类型，并细化落实到前置设备的设计中来；

[0059] (3)形态设计：结合前置终端所应用的场景、接入终端数量，以及接入终端的网络需求，从前置设备的大小、提供网络接入网卡类型、数量，以及布局等层面进行精细化设计，在满足接入需求的前提下，实现较为精巧的外观形态设计。

[0060] 软件平台设计开发

[0061] 部分基于分布式集中管理架构，通过设计一套完善的分布式集中端口管理系统外，还需要设计终端前面安装的硬件节点设备，通过集中管控平台下发策略给各个节点设备，实现对所有网卡前面安装了节点设备的终端进行统一的端口管理。统一管理功能包含了对所有节点硬件的统一管控，策略下发，统一管理等，以及节点硬件自身的端口软件管理系统。

[0062] (1)集中管理功能实现：设计实现专用终端管控平台，构建分布式的信息交互通道和业务交互方式，实现对于各前置接入终端的安全管控能力，实现远程配置管理相关前置设备；

[0063] (2)策略分发功能：设计实现前置终端同集中管控平台之间的信息互动能力，实现对于管控平台中所分发策略的主动实现，全面构建端口基线管控能力；

[0064] (3)专用软件设计：针对不同业务场景中，终端接入的类型、承载业务量、业务类型，以及管控需求，细化设计终端前置设备的系统功能实现，实现前置设备自身的安全管理能力，为管控平台的集中式管理提供基础的业务能力。

[0065] 本发明所述终端端口统一管控平台是基于专用终端前置设备，以主动防护为核心、分布式信息采集和集中分析处置为基础的动态端口治理解决方案。主要包括以下功能：

[0066] (1)适合各类终端设备使用场景的前置端口管控设备，所有终端设备均需要通过前置端口管控设备接入业务网络，实现对于终端设备集中管控的专用操作系统软件功能及其代码设计实现。包括前置设备的硬件设计参数、制造工艺信息、以及设备软件系统的设计理念和代码实现。

[0067] (2)前置终端对于接入设备的基础信息采集和管理功能。包括对于接入终端的IP、MAC、固件版本、系统信息等基础数据进行动态采集并报送集中管控平台的功能设计和代码实现实现，保证对接入终端的唯一性识别和管理。

[0068] (3)基于前置专用设备实现端口信息平台化展示、集中分析研判、主动策略配置管理，以及动态验证的终端设备的主动端口管控理念。展示信息包括数据流、TCP/IP协议信息，以及典型安全攻击载荷分析数据，为集中数据分析研判和展示提供必要的数据支撑，并实现基于数据流的数据包处置机制。

[0069] (4)前置终端同管控平台之间信息传输和处置的系统架构，实现管控平台对于前置终端综合性管控。管控方式包括前置终端同管控平台之间的正常和异动数据交互、管控平台对前置终端的策略配置，以及前置终端策略配置情况的远程展示等软件功能设计和技术实现。

[0070] (5)典型终端的业务访问需求和数据交互特性，从而设计开发前置终端向管控平台及时反馈终端数据的传输状态，支撑管控平台分析处置相关事件。包括从算法角度实现对于异动数据的抓取的初步分析的软件分析功能，继而触发事件提报机制，支撑管控平台动态预警的功能实现。

[0071] (6)在不影响网络应用系统正常访问的前提下，实现由集中管控平台、前置专用终端，到终端设备三个方面双向数据交互业务架构，有效事项对于终端端口运行信息的主动采集、分析，并进行合理化处置的主动动态管控机制。

[0072] 尽管本发明的实施方案已公开如上，但其并不仅仅限于说明书和实施方式中所列运用，它完全可以被适用于各种适合本发明的领域，对于熟悉本领域的人员而言，可容易地实现另外的修改，因此在不背离权利要求及等同范围所限定的一般概念下，本发明并不限于特定的细节和这里所示出与描述的图例。