CN103368965B - 一种将网络安全规范映射为网络所对应的属性要求的工作方法 - Google Patents
一种将网络安全规范映射为网络所对应的属性要求的工作方法 Download PDFInfo
- Publication number
- CN103368965B CN103368965B CN201310303413.2A CN201310303413A CN103368965B CN 103368965 B CN103368965 B CN 103368965B CN 201310303413 A CN201310303413 A CN 201310303413A CN 103368965 B CN103368965 B CN 103368965B
- Authority
- CN
- China
- Prior art keywords
- network
- equipment
- rule
- attribute
- mapped
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及一种将网络安全规范映射为网络所对应的属性要求的工作方法,包括以下步骤:将网络安全规范按照单机设备规范和网络整体规范进行分类,并将通过规范确定的关键检查点转化为要检查的网络设备的一种属性的工作方法。本发明的有益效果为:可以将大量复杂的网络安全规范及要求,翻译为规范化、可比较、可计量、可判断的具体数据,为后期依照此标准来对网络中设备或整个网络属性进行检验提供了数据依据。本方法并不限于网络设备检查中配套使用,也适用于在任何已有相关标准的产品的自动化检查操作中配套使用。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种将网络安全规范映射为网络所对应的属性要求的工作方法。
背景技术
在对现有网络进行检查,或升级改造现有网络,或者测试新协议项目中,都需要对网络的可靠性和有效性进行客观地评估,以降低网络建设的投资风险,使设计网络有很高的性能,或者使测试结果能够真实反映新协议的表现。传统网络设计和规划方法主要靠经验,对复杂的大型网络,很多地方由于无法预知而抓不住设计的要点。因此越来越需要一种新的网络检查和审计手段。
网络设备特指所有构成网络主体、以及用于网络连接的硬件设备,包括PC终端、移动终端、专用服务器等各种终端设备,以及路由器、交换机、防火墙、IPS、IDS等组网专用设备的自动检查又面临着大量的技术难题,从设备的自动识别到设备配置的自动判断,检查及后期自动生成报告,都存在较多技术难点。将大量的国内外安全规则映射为可量化、可对比、可判断的规范化数据,以用来进行自动化网络配置检查,也是其中一个技术重点。
发明内容
本发明的目是提供一种将网络安全规范映射为网络所对应的属性要求的工作方法,以克服目前现有技术上述不足。
本发明的目的是通过以下技术方案来实现:
一种将网络安全规范映射为网络所对应的属性要求的工作方法,包括以下步骤:
(1)将网络安全规范按照单机设备规范和网络整体规范进行分类,分类规则为:规则中对技术点的要求,只涉及一台网络设备,与其他网络设备无关,则该规则为单机设备规范,该规则描述涉及的相关技术中,需要两台或两台以上设备共同实现的,则该规则界定为整体网络规范;
(2)将每一条单机或网络整体规范所描述的内容,变更为每个厂商,每种设备应设置成的配置命令相应的设备状态;
(3)找出每种应设置的配置命令中的关键检查点,确定关键检查点的规则为:要检查的内容,不会出现完全符合检查标准,而该设备又没有达到最终要求的检查效果的情况;
(4)将确定的关键检查点转化为要检查的网络设备的一种属性。
进一步的,在步骤(1)中,应将所有安全规范划分为单机适用规范和网络整体适用规范。
进一步的,在步骤(3)中,应将对应的命令中的关键检查点找出。
进一步的,在步骤(4)中,将关键检查点表示为需要检查的网络设备或网络整体的某一种属性。
本发明的有益效果为:可以将大量复杂的网络安全规范及要求,翻译为规范化、可比较、可计量、可判断的具体数据,为后期依照此标准来对网络中设备或整个网络属性进行检验提供了数据依据。本方法并不限于网络设备检查中配套使用,也适用于在任何已有相关标准的产品的自动化检查操作中配套使用。
附图说明
下面根据附图对本发明作进一步详细说明。
图1是本发明实施例所述的一种将网络安全规范映射为网络所对应的属性要求的工作方法的流程图。
具体实施方式
如图1所示,本发明实施例所述的一种将网络安全规范映射为网络所对应的属性要求的工作方法,其特征在于,包括以下步骤:
(1)将网络安全规范按照单机设备规范和网络整体规范进行分类,分类规则为:规则中对技术点的要求,只涉及一台网络设备,与其他网络设备无关,则该规则为单机设备规范,该规则描述涉及的相关技术中,需要两台或两台以上设备共同实现的,则该规则界定为整体网络规范;应将所有安全规范划分为单机适用规范和网络整体适用规范;应将对应的命令中的关键检查点找出。
例1:某规则中要求网络设备必须创建本地用户。该规则只涉及一台机器,虽然每一台机器都要设定本地用户,但每台机器独自就能实现该要求,不用其他设备配合。
例2:某规则要求Trunk线路两端的设定的VLAN必须对应(相同)。由于Trunk线路是连接两台交换机的线路,在设定时,要两台交换机各自制定己端的线路的设定,所以如果要两端的VLAN设定一致,就需要同时涉及两台设备,一台设备无法满足该要求。
(2)将每一条单机或网络整体规范所描述的内容,变更为每个厂商,每种设备应设置成的配置命令相应的设备状态;
例如:思科安全规范中强调思科设备需要设定本地用户。经查,对应的思科IOS设备命令为:
username“username”privilege“num”secret“password”
(3)找出每种应设置的配置命令中的关键检查点,确定关键检查点的规则为:要检查的内容,不会出现完全符合检查标准,而该设备又没有达到最终要求的检查效果的情况。
例如:接上例,发现思科配置中以username开头的命令即为设定本地用户的命令,则该条规则的关键检查点为“配置命令中是否包含以username开头的配置命令”;因满足此关键检查点的情况有且只有一种,并且此种情况即为我们最初要求的情况:“网络设备有本地用户”。
(4)将确定的关键检查点转化为要检查的网络设备的一种属性,将关键检查点表示为需要检查的网络设备或网络整体的某一种属性。
例如:接上例,将“配置命令中是否包含以username开头的配置命令”这条检查标准在软件中设置如下:
a要检查的网络设备的“设备配置”大类中“本地用户”属性对应的字符:username
b“本地用户”的配套属性:“匹配文字是否为一行开头”:是
c检验结果:真(如果被检测设备与该规则状态相同,则通过,否则不通过)
本阶段设定完毕后,在后续检测时,即可按照如上设定进行检测。首先判断待检测设备的“设备配置”大类中“本地用户”这个属性的内容;如找到为username,与规则中的一样,结果为真;继续检查配套属性“匹配文字是否为一行开头”,如果继续为真,则该检测判定结果为:则该检测通过,不记录在问题报告中。
网络设备特指所有构成网络主体、以及用于网络连接的硬件装置,和保障网络连通的非实物的,逻辑上存在的客体,包括如下:
1、PC终端、专用服务器、打印机、移动终端等各种终端设备;
2、路由器、交换机、防火墙、单独插接的物理功能模块等组网专用装置;
3、联网中需要的物理线路或逻辑连接,如网络线缆、无线连接;
4、逻辑上的非实体目标,如由各个网络连接装置所组成的“局域网”这个虚拟实体本身或“云”(虚拟实体“云”适于多种应用场合,如:由运营商提供的骨干网等)。
本发明不局限于上述最佳实施方式,任何人在本发明的启示下都可得出其他各种形式的产品,但不论在其形状或结构上作任何变化,凡是具有与本申请相同或相近似的技术方案,均落在本发明的保护范围之内。
Claims (2)
1.一种将网络安全规范映射为网络所对应的属性要求的工作方法,其特征在于,包括以下步骤:
(1)将网络安全规范按照单机设备规范和网络整体规范进行分类,其中分类规则为:规则中对技术点的要求,只涉及一台网络设备,与其他网络设备无关,则该规则为单机设备规范,该规则描述涉及的相关技术中,需要两台或两台以上设备共同实现的,则该规则界定为整体网络规范;
(2)将每一条单机或网络整体规范所描述的内容,变更为每个厂商,每种设备应设置成的配置命令相应的设备状态;
(3)找出每种应设置的配置命令中的关键检查点;确定关键检查点的规则为:要检查的内容,不会出现完全符合检查标准,而该设备又没有达到最终要求的检查效果的情况;应将对应的命令中的关键检查点找出;
(4)将确定的关键检查点转化为需要检查的网络设备或网络整体的某一种属性。
2.根据权利要求1所述的一种将网络安全规范映射为网络所对应的属性要求的工作方法,
其特征在于:步骤(1)中,应将所有安全规范划分为单机适用规范和网络整体适用规范。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310303413.2A CN103368965B (zh) | 2013-07-18 | 2013-07-18 | 一种将网络安全规范映射为网络所对应的属性要求的工作方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310303413.2A CN103368965B (zh) | 2013-07-18 | 2013-07-18 | 一种将网络安全规范映射为网络所对应的属性要求的工作方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103368965A CN103368965A (zh) | 2013-10-23 |
| CN103368965B true CN103368965B (zh) | 2018-04-17 |
Family
ID=49369502
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310303413.2A Expired - Fee Related CN103368965B (zh) | 2013-07-18 | 2013-07-18 | 一种将网络安全规范映射为网络所对应的属性要求的工作方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103368965B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114020674A (zh) * | 2021-10-27 | 2022-02-08 | 成都交大许继电气有限责任公司 | 一种远动终端的级联装置及通信方法 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040148386A1 (en) * | 2003-01-24 | 2004-07-29 | Dennis Bushmitch | Dynamic CC/PP-based profile generation framework for network conditions assessment |
| US7710900B2 (en) * | 2006-09-05 | 2010-05-04 | Cisco Technology, Inc. | Method and system for providing network management based on defining and applying network administrative intents |
| CN101242279B (zh) * | 2008-03-07 | 2010-06-16 | 北京邮电大学 | 用于web系统的自动化渗透性测试系统和方法 |
| EP2200249A1 (en) * | 2008-12-17 | 2010-06-23 | Abb Research Ltd. | Network analysis |
| CN101771574A (zh) * | 2008-12-31 | 2010-07-07 | 华为技术有限公司 | 网络运维的方法和网络 |
| CN101699815B (zh) * | 2009-10-30 | 2012-08-15 | 华南师范大学 | 一种网络攻击自动执行/展现的系统及方法 |
| CN102468985B (zh) * | 2010-11-01 | 2016-03-23 | 北京神州绿盟信息安全科技股份有限公司 | 针对网络安全设备进行渗透测试的方法和系统 |
| CN102594579A (zh) * | 2011-01-06 | 2012-07-18 | 卓思网络公司 | 自动化网络设备配置和网络部署 |
| CN102231686B (zh) * | 2011-06-24 | 2017-08-11 | 北京天融信科技有限公司 | 一种实现网络安全设备自动化测试的系统和方法 |
| CN102880829A (zh) * | 2011-07-14 | 2013-01-16 | 苏州经贸职业技术学院 | 一种信息技术设备安全检测系统及其检测方法 |
| CN102413011B (zh) * | 2011-11-18 | 2015-09-30 | 北京奇虎科技有限公司 | 一种局域网安全评估的方法和系统 |
| CN102413012B (zh) * | 2011-11-21 | 2014-06-18 | 上海交通大学 | 计算机网络连通性自动分析系统 |
| CN103390133A (zh) * | 2012-05-07 | 2013-11-13 | 恒安嘉新(北京)科技有限公司 | 一种自动化的Windows系统安全配置检查方法 |
| CN102930210B (zh) * | 2012-10-14 | 2015-11-25 | 江苏金陵科技集团有限公司 | 恶意程序行为自动化分析、检测与分类系统及方法 |
| CN102957695A (zh) * | 2012-10-25 | 2013-03-06 | 北京奇虎科技有限公司 | 一种企业内网终端安全维护方法以及装置 |
| CN103095716B (zh) * | 2013-01-28 | 2015-09-02 | 北京航空航天大学 | 计算机网络防御决策系统 |
-
2013
- 2013-07-18 CN CN201310303413.2A patent/CN103368965B/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN103368965A (zh) | 2013-10-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101399710B (zh) | 一种协议格式异常检测方法及系统 | |
| CN108092854B (zh) | 基于iec61375协议的列车级以太网设备的测试方法及装置 | |
| CN106230780B (zh) | 一种智能变电站信息及控制系统安全分析评估平台 | |
| CN107220539B (zh) | 基于需求的ima安全验证分析方法 | |
| CN105426454A (zh) | 智能电子设备与scd文件回路信息一致性检测方法 | |
| CN109446814A (zh) | 一种漏洞检测方法及装置 | |
| CN104993964A (zh) | 一种基于正则算法的ptn l3网络数据配置合规核查方法 | |
| CN108989067A (zh) | 配置文件一致性的校验方法及设备 | |
| CN107895003A (zh) | 一种数据质量检测方法和装置 | |
| CN103873488A (zh) | 基于路由器插件的上网控制方法 | |
| CN104702598B (zh) | 一种智能电网分布式网络协议安全性检测方法 | |
| CN105117316A (zh) | 一种服务器的自动检查维护方法及系统 | |
| CN106301976A (zh) | 一种变电站智能化调度信息自动化测试方法 | |
| CN103368965B (zh) | 一种将网络安全规范映射为网络所对应的属性要求的工作方法 | |
| CN105429996A (zh) | 一种智能发现和定位地址转换设备的方法 | |
| CN107179973A (zh) | 自动化测试系统及方法 | |
| US10361945B2 (en) | System and method to reconcile cabling test results with cabling test configurations | |
| CN104579817A (zh) | 基于goose逻辑的通信回路测试方法 | |
| CN110278123B (zh) | 检查方法、装置、电子设备及可读存储介质 | |
| CN106845244A (zh) | 一种检测方法及装置 | |
| CN110493254A (zh) | 工业云安全评估方法及装置 | |
| CN103457957B (zh) | 一种具有自适应功能的网络渗透测试系统及方法 | |
| CN110457897A (zh) | 一种基于通信协议与sql语法的数据库安全检测方法 | |
| CN113660560B (zh) | 智能变电站过程层交换机拓扑实时校验方法 | |
| CN106301833A (zh) | 一种变电站调度信息测试方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: ZHAN WEI Effective date: 20140423 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20140423 Address after: 100086, 44 floor, Zhongguancun Aviation Science Park, No. 43 West Third Ring Road, Beijing, Haidian District Applicant after: Beijing Suifang Information Technology Co., Ltd. Applicant after: Zhan Wei Address before: 100086, 44 floor, Zhongguancun Aviation Science Park, No. 43 West Third Ring Road, Beijing, Haidian District Applicant before: Beijing Suifang Information Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180417 Termination date: 20210718 |