CN103368965A - 一种将网络安全规范映射为网络所对应的属性要求的工作方法 - Google Patents
一种将网络安全规范映射为网络所对应的属性要求的工作方法 Download PDFInfo
- Publication number
- CN103368965A CN103368965A CN2013103034132A CN201310303413A CN103368965A CN 103368965 A CN103368965 A CN 103368965A CN 2013103034132 A CN2013103034132 A CN 2013103034132A CN 201310303413 A CN201310303413 A CN 201310303413A CN 103368965 A CN103368965 A CN 103368965A
- Authority
- CN
- China
- Prior art keywords
- network
- equipment
- standard
- rule
- mapped
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
本发明涉及一种将网络安全规范映射为网络所对应的属性要求的工作方法,包括以下步骤:将网络安全规范按照单机设备规范和网络整体规范进行分类,并将通过规范确定的关键检查点转化为要检查的网络设备的一种属性的工作方法。本发明的有益效果为:可以将大量复杂的网络安全规范及要求,翻译为规范化、可比较、可计量、可判断的具体数据,为后期依照此标准来对网络中设备或整个网络属性进行检验提供了数据依据。本方法并不限于网络设备检查中配套使用,也适用于在任何已有相关标准的产品的自动化检查操作中配套使用。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种将网络安全规范映射为网络所对应的属性要求的工作方法。
背景技术
在对现有网络进行检查,或升级改造现有网络,或者测试新协议项目中,都需要对网络的可靠性和有效性进行客观地评估,以降低网络建设的投资风险,使设计网络有很高的性能,或者使测试结果能够真实反映新协议的表现。传统网络设计和规划方法主要靠经验,对复杂的大型网络,很多地方由于无法预知而抓不住设计的要点。因此越来越需要一种新的网络检查和审计手段。
网络设备特指所有构成网络主体、以及用于网络连接的硬件设备,包括PC终端、移动终端、专用服务器等各种终端设备,以及路由器、交换机、防火墙、IPS、IDS等组网专用设备。的自动检查又面临着大量的技术难题,从设备的自动识别到设备配置的自动判断,检查及后期自动生成报告,都存在较多技术难点。将大量的国内外安全规则映射为可量化、可对比、可判断的规范化数据,以用来进行自动化网络配置检查,也是其中一个技术重点。
发明内容
本发明的目的是提供一种将网络安全规范映射为网络所对应的属性要求的工作方法,以克服目前现有技术上述不足。
本发明的目的是通过以下技术方案来实现:
一种将网络安全规范映射为网络所对应的属性要求的工作方法,包括以下步骤:
(1)将网络安全规范按照单机设备规范和网络整体规范进行分类,分类规则为:规则中对技术点的要求,只涉及一台网络设备,与其他网络设备无关,则该规则为单机设备规范,该规则描述涉及的相关技术中,需要两台或两台以上设备共同实现的,则该规则界定为整体网络规范;
(2)将每一条单机或网络整体规范所描述的内容,变更为每个厂商,每种设备应设置成的配置命令相应的设备状态;
(3)找出每种应设置的配置命令中的关键检查点,确定关键检查点的规则为:要检查的内容,不会出现完全符合检查标准,而该设备又没有达到最终要求的检查效果的情况;
(4)将确定的关键检查点转化为要检查的网络设备的一种属性。
进一步的,在步骤(1)中,应将所有安全规范划分为单机适用规范和网络整体适用规范。
进一步的,在步骤(3)中,应将对应的命令中的关键检查点找出。
进一步的,在步骤(4)中,将关键检查点表示为需要检查的网络设备或网络整体的某一种属性。
本发明的有益效果为:可以将大量复杂的网络安全规范及要求,翻译为规范化、可比较、可计量、可判断的具体数据,为后期依照此标准来对网络中设备或整个网络属性进行检验提供了数据依据。本方法并不限于网络设备检查中配套使用,也适用于在任何已有相关标准的产品的自动化检查操作中配套使用。
附图说明
下面根据附图对本发明作进一步详细说明。
图1是本发明实施例所述的一种将网络安全规范映射为网络所对应的属性要求的工作方法的流程图。
具体实施方式
如图1所示,本发明实施例所述的一种将网络安全规范映射为网络所对应的属性要求的工作方法,其特征在于,包括以下步骤:
(1)将网络安全规范按照单机设备规范和网络整体规范进行分类,分类规则为:规则中对技术点的要求,只涉及一台网络设备,与其他网络设备无关,则该规则为单机设备规范,该规则描述涉及的相关技术中,需要两台或两台以上设备共同实现的,则该规则界定为整体网络规范;应将所有安全规范划分为单机适用规范和网络整体适用规范;应将对应的命令中的关键检查点找出。
例1:某归测中要求网络设备必须创建本地用户。该规则只涉及一台机器,虽然每一台机器都要设定本地用户,但每台机器独自就能实现该要求,不用其他设备配合。
例2:某规则要求Trunk线路两端的设定的VLAN必须对应(相同)。由于Trunk线路是连接两台交换机的线路,在设定时,要两台交换机各自制定己端的线路的设定,所以如果要两端的VLAN设定一致,就需要同时涉及两台设备,一台设备无法满足该要求。
(2)将每一条单机或网络整体规范所描述的内容,变更为每个厂商,每种设备应设置成的配置命令相应的设备状态;
例如:思科安全规范中强调思科设备需要设定本地用户。经查,对应的思科IOS设备命令为:
username “username” privilege “num” secret “password”
(3)找出每种应设置的配置命令中的关键检查点,确定关键检查点的规则为:要检查的内容,不会出现完全符合检查标准,而该设备又没有达到最终要求的检查效果的情况。
例如:接上例,发现思科配置中以username开头的命令即为设定本地用户的命令,则该条规则的关键检查点为“配置命令中是否包含以username开头的配置命令”;因满足此关键检查点的情况有且只有一种,并且此种情况即为我们最初要求的情况:“网络设备有本地用户”。
(4)将确定的关键检查点转化为要检查的网络设备的一种属性,将关键检查点表示为需要检查的网络设备或网络整体的某一种属性。
例如:接上例,将“配置命令中是否包含以username开头的配置命令”这条检查标准在软件中设置如下:
a要检查的网络设备的“设备配置”大类中“本地用户”属性对应的字符:username
b“本地用户”的配套属性:“匹配文字是否为一行开头”:是
c检验结果:真(如果被检测设备与该规则状态相同,则通过,否则不通过)
本阶段设定完毕后,在后续检测时,即可按照如上设定进行检测。首先判断待检测设备的“设备配置”大类中“本地用户”这个属性的内容;如找到为username,与规则中的一样,结果为真;继续检查配套属性“匹配文字是否为一行开头”,如果继续为真,则该检测判定结果为:则该检测通过,不记录在问题报告中。
网络设备特指所有构成网络主体、以及用于网络连接的硬件装置,和保障网络连通的非实物的,逻辑上存在的客体,包括如下:
1、PC终端、专用服务器、打印机、移动终端等各种终端设备;
2、路由器、交换机、防火墙、单独插接的物理功能模块等组网专用装置;
3、联网中需要的物理线路或逻辑连接,如网络线缆、无线连接;
4、逻辑上的非实体目标,如由各个网络连接装置所组成的“局域网”这个虚拟实体本身或“云”(虚拟实体“云”适于多种应用场合,如:由运营商提供的骨干网等)。
本发明不局限于上述最佳实施方式,任何人在本发明的启示下都可得出其他各种形式的产品,但不论在其形状或结构上作任何变化,凡是具有与本申请相同或相近似的技术方案,均落在本发明的保护范围之内。
Claims (5)
1.一种将网络安全规范映射为网络所对应的属性要求的工作方法,其特征在于,包括以下步骤:
(1)将网络安全规范按照单机设备规范和网络整体规范进行分类,其中分类规则为:规则中对技术点的要求,只涉及一台网络设备,与其他网络设备无关,则该规则为单机设备规范,该规则描述涉及的相关技术中,需要两台或两台以上设备共同实现的,则该规则界定为整体网络规范;
(2)将每一条单机或网络整体规范所描述的内容,变更为每个厂商,每种设备应设置成的配置命令相应的设备状态;
(3)找出每种应设置的配置命令中的关键检查点;
(4)将确定的关键检查点转化为要检查的网络设备的一种属性。
2.根据权利要求1所述的一种将网络安全规范映射为网络所对应的属性要求的工作方法,其特征在于:步骤(1)中,应将所有安全规范划分为单机适用规范和网络整体适用规范。
3.根据权利要求2所述的一种将网络安全规范映射为网络所对应的属性要求的工作方法,其特征在于:步骤(3)中,确定关键检查点的规则为:要检查的内容,不会出现完全符合检查标准,而该设备又没有达到最终要求的检查效果的情况。
4.根据权利要求3所述的一种将网络安全规范映射为网络所对应的属性要求的工作方法,其特征在于:步骤(3)中,应将对应的命令中的关键检查点找出。
5.根据权利要求4所述的一种将网络安全规范映射为网络所对应的属性要求的工作方法,其特征在于:步骤(4)中,将关键检查点表示为需要检查的网络设备或网络整体的某一种属性。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310303413.2A CN103368965B (zh) | 2013-07-18 | 2013-07-18 | 一种将网络安全规范映射为网络所对应的属性要求的工作方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310303413.2A CN103368965B (zh) | 2013-07-18 | 2013-07-18 | 一种将网络安全规范映射为网络所对应的属性要求的工作方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103368965A true CN103368965A (zh) | 2013-10-23 |
| CN103368965B CN103368965B (zh) | 2018-04-17 |
Family
ID=49369502
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310303413.2A Expired - Fee Related CN103368965B (zh) | 2013-07-18 | 2013-07-18 | 一种将网络安全规范映射为网络所对应的属性要求的工作方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103368965B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114020674A (zh) * | 2021-10-27 | 2022-02-08 | 成都交大许继电气有限责任公司 | 一种远动终端的级联装置及通信方法 |
Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1742256A (zh) * | 2003-01-24 | 2006-03-01 | 松下电器产业株式会社 | 为评价网络情况的动态的基于cc/pp设置文件的生成框架 |
| US20080056156A1 (en) * | 2006-09-05 | 2008-03-06 | Cisco Technology, Inc. | Method and System for Providing Network Management Based on Defining and Applying Network Administrative Intents |
| CN101242279A (zh) * | 2008-03-07 | 2008-08-13 | 北京邮电大学 | 用于web系统的自动化渗透性测试系统和方法 |
| CN101699815A (zh) * | 2009-10-30 | 2010-04-28 | 华南师范大学 | 一种网络攻击自动执行/展现的系统及方法 |
| CN101771574A (zh) * | 2008-12-31 | 2010-07-07 | 华为技术有限公司 | 网络运维的方法和网络 |
| CN102231686A (zh) * | 2011-06-24 | 2011-11-02 | 北京天融信科技有限公司 | 一种实现网络安全设备自动化测试的系统和方法 |
| CN102257787A (zh) * | 2008-12-17 | 2011-11-23 | Abb研究有限公司 | 网络分析 |
| CN102413012A (zh) * | 2011-11-21 | 2012-04-11 | 上海交通大学 | 计算机网络连通性自动分析系统 |
| CN102413011A (zh) * | 2011-11-18 | 2012-04-11 | 奇智软件(北京)有限公司 | 一种局域网安全评估的方法和系统 |
| CN102468985A (zh) * | 2010-11-01 | 2012-05-23 | 北京神州绿盟信息安全科技股份有限公司 | 针对网络安全设备进行渗透测试的方法和系统 |
| CN102594579A (zh) * | 2011-01-06 | 2012-07-18 | 卓思网络公司 | 自动化网络设备配置和网络部署 |
| CN102880829A (zh) * | 2011-07-14 | 2013-01-16 | 苏州经贸职业技术学院 | 一种信息技术设备安全检测系统及其检测方法 |
| CN102930210A (zh) * | 2012-10-14 | 2013-02-13 | 江苏金陵科技集团公司 | 恶意程序行为自动化分析、检测与分类系统及方法 |
| CN102957695A (zh) * | 2012-10-25 | 2013-03-06 | 北京奇虎科技有限公司 | 一种企业内网终端安全维护方法以及装置 |
| CN103095716A (zh) * | 2013-01-28 | 2013-05-08 | 北京航空航天大学 | 计算机网络防御决策系统 |
| CN103390133A (zh) * | 2012-05-07 | 2013-11-13 | 恒安嘉新(北京)科技有限公司 | 一种自动化的Windows系统安全配置检查方法 |
-
2013
- 2013-07-18 CN CN201310303413.2A patent/CN103368965B/zh not_active Expired - Fee Related
Patent Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1742256A (zh) * | 2003-01-24 | 2006-03-01 | 松下电器产业株式会社 | 为评价网络情况的动态的基于cc/pp设置文件的生成框架 |
| US20080056156A1 (en) * | 2006-09-05 | 2008-03-06 | Cisco Technology, Inc. | Method and System for Providing Network Management Based on Defining and Applying Network Administrative Intents |
| CN101242279A (zh) * | 2008-03-07 | 2008-08-13 | 北京邮电大学 | 用于web系统的自动化渗透性测试系统和方法 |
| CN102257787A (zh) * | 2008-12-17 | 2011-11-23 | Abb研究有限公司 | 网络分析 |
| CN101771574A (zh) * | 2008-12-31 | 2010-07-07 | 华为技术有限公司 | 网络运维的方法和网络 |
| CN101699815A (zh) * | 2009-10-30 | 2010-04-28 | 华南师范大学 | 一种网络攻击自动执行/展现的系统及方法 |
| CN102468985A (zh) * | 2010-11-01 | 2012-05-23 | 北京神州绿盟信息安全科技股份有限公司 | 针对网络安全设备进行渗透测试的方法和系统 |
| CN102594579A (zh) * | 2011-01-06 | 2012-07-18 | 卓思网络公司 | 自动化网络设备配置和网络部署 |
| CN102231686A (zh) * | 2011-06-24 | 2011-11-02 | 北京天融信科技有限公司 | 一种实现网络安全设备自动化测试的系统和方法 |
| CN102880829A (zh) * | 2011-07-14 | 2013-01-16 | 苏州经贸职业技术学院 | 一种信息技术设备安全检测系统及其检测方法 |
| CN102413011A (zh) * | 2011-11-18 | 2012-04-11 | 奇智软件(北京)有限公司 | 一种局域网安全评估的方法和系统 |
| CN102413012A (zh) * | 2011-11-21 | 2012-04-11 | 上海交通大学 | 计算机网络连通性自动分析系统 |
| CN103390133A (zh) * | 2012-05-07 | 2013-11-13 | 恒安嘉新(北京)科技有限公司 | 一种自动化的Windows系统安全配置检查方法 |
| CN102930210A (zh) * | 2012-10-14 | 2013-02-13 | 江苏金陵科技集团公司 | 恶意程序行为自动化分析、检测与分类系统及方法 |
| CN102957695A (zh) * | 2012-10-25 | 2013-03-06 | 北京奇虎科技有限公司 | 一种企业内网终端安全维护方法以及装置 |
| CN103095716A (zh) * | 2013-01-28 | 2013-05-08 | 北京航空航天大学 | 计算机网络防御决策系统 |
Non-Patent Citations (2)
| Title |
|---|
| 公安部信息安全等级保护评估中心: "《网络设备配置安全检查的难点与自动化工具的实际应用》", 《信息网络安全》 * |
| 张永铮等: "《网络运行安全指数多维属性分类模型》", 《计算机学报》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114020674A (zh) * | 2021-10-27 | 2022-02-08 | 成都交大许继电气有限责任公司 | 一种远动终端的级联装置及通信方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103368965B (zh) | 2018-04-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101399710B (zh) | 一种协议格式异常检测方法及系统 | |
| CN104363228A (zh) | 一种终端安全准入控制方法 | |
| CN108055182B (zh) | 开放式智能家居系统 | |
| CN103913728A (zh) | 一种便携式雷达综合测试仪及测试方法 | |
| CN101344579A (zh) | 电池电量检测装置及其检测方法 | |
| US10356118B2 (en) | Test method and system for PLC security defense device | |
| CN104536514A (zh) | 具有选择性切换管理网络连接功能的服务器 | |
| CN103368965A (zh) | 一种将网络安全规范映射为网络所对应的属性要求的工作方法 | |
| CN104052632B (zh) | 基于虚拟串口服务器的设备自动化测试方法及装置 | |
| CN104468227A (zh) | 一种广电宽带账号检测方法 | |
| CN104579817A (zh) | 基于goose逻辑的通信回路测试方法 | |
| CN104598598A (zh) | 一种关系型数据标准性的评估方法 | |
| CN103281221B (zh) | 消防物联网系统测试方法 | |
| CN104065495A (zh) | 判断长发光onu的方法、装置及无源光网络系统 | |
| CN105049294A (zh) | Eaps协议master交换机端口状态切换的自动化测试方法 | |
| CN104579745A (zh) | 一种移动终端及网络巡检系统 | |
| CN103984312A (zh) | 一种井下设备控制系统 | |
| CN105929794B (zh) | 一种即插即用的工业网络扩展方法 | |
| CN114338074A (zh) | 一种配电终端ip白名单自动检测方法及检测系统 | |
| CN207251622U (zh) | 一种光纤中继芯片测试系统 | |
| CN110730163B (zh) | 一种变电站主辅控联动方法及变电站辅控设备 | |
| CN103368779A (zh) | 网络属性归集检查法 | |
| CN103559047B (zh) | 一种实现电力抄表机在Linux瘦终端上应用的系统及方法 | |
| CN206364819U (zh) | 一种高端服务器外接pcie物理设备可靠性测试系统 | |
| CN109905378A (zh) | 一种网络信息安全监护方法、系统及计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: ZHAN WEI Effective date: 20140423 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20140423 Address after: 100086, 44 floor, Zhongguancun Aviation Science Park, No. 43 West Third Ring Road, Beijing, Haidian District Applicant after: Beijing Suifang Information Technology Co., Ltd. Applicant after: Zhan Wei Address before: 100086, 44 floor, Zhongguancun Aviation Science Park, No. 43 West Third Ring Road, Beijing, Haidian District Applicant before: Beijing Suifang Information Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180417 Termination date: 20210718 |