CN104580090A - 安全策略运维评估的方法及装置 - Google Patents

Abstract

本发明实施例公开了一种安全策略运维评估的方法及装置，涉及通信技术领域，能够正确、直观的评估防火墙安全策略运维状况。本发明的方法包括：对防火墙策略数据进行策略分析获得策略参数，所述策略参数包括冗余策略参数、未命中策略参数和风险策略参数；根据所述策略参数计算策略健康度；根据所述策略健康度生成评估报告。本发明适用于策略运维评估系统。

Description

安全策略运维评估的方法及装置

技术领域

本发明涉及通信技术领域，尤其涉及一种安全策略运维评估的方法及装置。

背景技术

近年来网络技术的不断发展，为了保护网络用户的数据安全，设置网络防火墙成为了必不可少的安全措施。防火墙是不同网络或网络安全域之间信息的唯一出入口，它通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，有选择地接受外部访问，对内部强化设备监管、控制对服务器与外部网络的访问，以防止发生不可预测的、潜在的破坏性侵入。随着企业办公网络化的普及，防火墙已经在企业网络中广泛应用。为了满足网络业务变化和企业安全的要求，在一些大型企业的网络中，防火墙安全策略的数量已经超过万条。

现有技术至少存在如下问题，对于越来越复杂的防火墙安全策略，管理人员没有办法对其运维的情况及安全策略优化工作的成效直接进行判断，也很难得到直观的综合数据对安全策略的运维进行精细化管理，从而不能直观地评估和监控防火墙安全策略的合理性、安全性和运维工作的效果。

发明内容

本发明的实施例提供一种安全策略运维评估的方法及装置，能够解决不能正确、直观的评估防火墙安全策略运维状况。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面，本发明的实施例提供一种安全策略运维评估的方法，包括：

对防火墙策略数据进行策略分析获得策略参数，所述策略参数包括冗余策略参数、未命中策略参数和风险策略参数；

根据所述策略参数计算策略健康度；

根据所述策略健康度生成评估报告。

结合第一方面，在第一种可能的实现方式中，在所述根据所述策略参数计算策略健康度之前，所述方法还包括：

设置防火墙策略数据的权值，所述防火墙策略数据的权值包括完全冗余策略权值FRW、部分冗余策略权值PRW、未使用策略权值NUW、高风险策略权值HRW、中风险策略权值MRW和低风险策略权值LRW。

可选的，所述对防火墙策略数据进行策略分析获得策略参数包括：

对防火墙策略数据进行冗余策略分析，分析所述防火墙策略数据中策略的覆盖情况；

对冗余策略分析后的所述防火墙策略数据进行命中分析，统计所述防火墙策略数据中策略的命中次数；

对命中分析后的所述防火墙策略数据进行风险策略分析，使用特定的风险规则分析所述防火墙策略数据的风险。

可选的，在所述对策略数据进行策略分析之前，所述方法还包括：

获取防火墙策略数据；

归一化处理所述防火墙策略数据。

结合第一种可能的实现方式，在第二种可能的实现方式中，所述冗余策略参数包括完全冗余策略数FRn和部分冗余策略数PRn，所述未命中策略参数包括未使用策略数NUn，所述风险策略参数包括高风险策略数HRn、中风险策略数MRn和低风险策略数LRn；

所述根据所述策略参数计算策略健康度包括：

通过计算公式计算所述策略健康度，所述计算公式为：

$\mathrm{\Δ}=100-(\frac{\mathrm{FRW}\×\mathrm{FRn}}{\mathrm{PT}}+\frac{\mathrm{PRW}\×\mathrm{PRn}}{\mathrm{PT}})-\left(\frac{\mathrm{NUW}\×\mathrm{NUn}}{\mathrm{PT}}\right)-(\frac{\mathrm{HRW}\×\mathrm{HRn}}{\mathrm{PT}}+\frac{\mathrm{MRW}\×\mathrm{MRn}}{\mathrm{PT}}+\frac{\mathrm{LRW}\×\mathrm{LRn}}{\mathrm{PT}}),$ 其中，Δ为策略健康度的值，FRW>PRW≥0，NUW≥0，HRW>MRW>LRW≥0，FRW+NUW+HRW=100，PT为所述防火墙策略数据中策略总数。

第二方面，本发明的实施例提供一种安全策略运维评估的装置，包括：

分析单元，用于对防火墙策略数据进行策略分析获得策略参数，所述策略参数包括冗余策略参数、未命中策略参数和风险策略参数；

计算单元，用于根据所述分析单元获得的所述策略参数计算策略健康度；

评估单元，用于根据所述计算单元计算的所述策略健康度生成评估报告。

结合第二方面，在第一种可能的实现方式中，所述装置还包括：

设置单元，用于设置防火墙策略数据的权值，所述防火墙策略数据的权值包括完全冗余策略权值FRW、部分冗余策略权值PRW、未使用策略权值NUW、高风险策略权值HRW、中风险策略权值MRW和低风险策略权值LRW。

可选的，所述分析单元包括：

分析子单元，用于对防火墙策略数据进行冗余策略分析，分析所述防火墙策略数据中策略的覆盖情况；

所述分析子单元还用于对冗余策略分析后的所述防火墙策略数据进行命中分析，统计所述防火墙策略数据中策略的命中次数；

所述分析子单元还用于对命中分析后的所述防火墙策略数据进行风险策略分析，使用特定的风险规则分析所述防火墙策略数据的风险。

可选的，所述装置还包括：

获取单元，用于获取防火墙策略数据；

处理单元，用于归一化处理所述获取单元获取的所述防火墙策略数据。

结合第一种可能的实现方式，在第二种可能的实现方式中，所述冗余策略参数包括完全冗余策略数FRn和部分冗余策略数PRn，所述未命中策略参数包括未使用策略数NUn，所述风险策略参数包括高风险策略数HRn、中风险策略数MRn和低风险策略数LRn；

所述计算单元包括：

计算子单元，用于通过计算公式计算所述策略健康度，所述计算公式为：

$\mathrm{\Δ}=100-(\frac{\mathrm{FRW}\×\mathrm{FRn}}{\mathrm{PT}}+\frac{\mathrm{PRW}\×\mathrm{PRn}}{\mathrm{PT}})-\left(\frac{\mathrm{NUW}\×\mathrm{NUn}}{\mathrm{PT}}\right)-(\frac{\mathrm{HRW}\×\mathrm{HRn}}{\mathrm{PT}}+\frac{\mathrm{MRW}\×\mathrm{MRn}}{\mathrm{PT}}+\frac{\mathrm{LRW}\×\mathrm{LRn}}{\mathrm{PT}}),$ 其中，Δ为策略健康度的值，FRW>PRW≥0，NUW≥0，HRW>MRW>LRW≥0，FRW+NUW+HRW=100，PT为所述防火墙策略数据中策略总数。

现有技术中，安全策略管理人员没有办法对复杂的安全策略运维的情况及安全策略优化工作的成效直接进行判断，也很难得到直观的综合数据对安全策略的运维进行精细化管理。与现有技术相比，本发明实施例提供的一种安全策略运维评估的方法及装置，本发明中策略运维评估系统对防火墙策略数据进行策略分析获得策略参数后，根据各项策略参数计算策略健康度，进而根据策略健康度生成评估报告。评估报告通过策略健康度的值和策略分析得到的各项策略参数值，可以正确、直观的反映出防火墙安全策略运维状况；安全策略管理人员可以根据评估结果，优化和调整防火墙安全策略，提高防火墙的整体性能，并得出防火墙安全策略运维工作考核的量化指标。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本发明一实施例提供的方法流程图；

图2为本发明又一实施例提供的方法流程图；

图3、图4为本发明又一实施例提供的装置结构示意图；

图5为本发明又一实施例提供的装置结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

本发明一实施例提供一种安全策略运维评估的方法，用于策略运维评估系统，如图1所示，所述方法包括：

101、策略运维评估系统对防火墙策略数据进行策略分析获得策略参数。

其中，策略运维评估系统对防火墙策略数据进行冗余策略分析，冗余策略分析为分析防火墙策略数据中策略的覆盖情况；然后，将冗余策略分析后的数据进行命中分析，命中分析为统计所述数据中策略的命中次数；最后，将命中分析后的数据根据风险规则进行风险分析。在策略分析后的到各项策略参数。

例如，策略参数可以包括冗余策略参数、未命中策略参数和风险策略参数。冗余策略参数包括FRn（Full Redundancy number，完全冗余策略数）和PRn（PartRedundancy number，部分冗余策略数），未命中策略参数包括NUn（Not Usagenumber，未使用策略数），风险策略参数包括HRn（High Risk number，高风险策略数）、MRn（Medium Risk number，中风险策略数）和LRn（Low Risk number，低风险策略数）。

需要说明的是，在执行本步骤之前，策略运维评估系统获取防火墙策略数据，并在获取防火墙策略数据后，对防火墙策略数据归一化处理。

102、策略运维评估系统根据策略参数计算策略健康度。

其中，在计算策略健康度之前，需要设置防火墙策略数据的权值。防火墙策略数据的权值包括FRW（Full Redundancy Weight，完全冗余策略权值）、PRW（Part Redundancy Weight，部分冗余策略权值）、NUW（Not Usage Weight，未使用策略权值）、HRW（High Risk Weight，高风险策略权值）、MRW（Medium RiskWeight，中风险策略权值）和LRW（Low Risk Weight，低风险策略权值）。

例如，计算策略健康度包括：通过计算公式计算所述策略健康度，计算公式为：

$\mathrm{\Δ}=100-(\frac{\mathrm{FRW}\×\mathrm{FRn}}{\mathrm{PT}}+\frac{\mathrm{PRW}\×\mathrm{PRn}}{\mathrm{PT}})-\left(\frac{\mathrm{NUW}\×\mathrm{NUn}}{\mathrm{PT}}\right)-(\frac{\mathrm{HRW}\×\mathrm{HRn}}{\mathrm{PT}}+\frac{\mathrm{MRW}\×\mathrm{MRn}}{\mathrm{PT}}+\frac{\mathrm{LRW}\×\mathrm{LRn}}{\mathrm{PT}}),$ 其中，Δ为策略健康度的值，FRW>PRW≥0，NUW≥0，HRW>MRW>LRW≥0，FRW+NUW+HRW=100，PT（Policy Total，策略总数）为所述防火墙策略数据中策略总数。

103、策略运维评估系统根据策略健康度生成评估报告。

需要说明的是，评估报告中记录每次策略运维评估系统对防火墙策略的评估结果，将当前的评估结果与历史记录进行比较，可以得出防火墙安全策略运维工作考核的量化指标。

现有技术中，安全策略管理人员没有办法对复杂的安全策略运维的情况及安全策略优化工作的成效直接进行判断，也很难得到直观的综合数据对安全策略的运维进行精细化管理。与现有技术相比，本发明实施例中策略运维评估系统对防火墙策略数据进行策略分析获得策略参数后，根据各项策略参数计算策略健康度，进而根据策略健康度生成评估报告。评估报告通过策略健康度的值和策略分析得到的各项策略参数值，可以正确、直观的反映出防火墙安全策略运维状况，解决了现有技术中，安全策略管理人员不能正确、直观的评估防火墙安全策略运维状况的问题。通过解决上述技术问题，安全策略管理人员可以根据评估结果，优化和调整防火墙安全策略，提高防火墙的整体性能，并得出防火墙安全策略运维工作考核的量化指标。

本发明又一实施例提供一种安全策略运维评估的方法，用于策略运维评估系统，如图2所示，所述方法包括：

201、策略运维评估系统接收用户的防火墙策略运维评估请求。

其中，用户当需要对防火墙策略运维进行评估时，向策略运维评估系统提交防火墙策略运维评估请求。策略运维评估系统对当前的防火墙策略运维进行评估。

202、策略运维评估系统获取防火墙策略数据。

其中，策略运维评估系统在接收到用户提交的防火墙策略运维评估请求后，获取防火墙的策略数据。防火墙的策略数据可以从网管侧数据库中获取，还可以从防火墙设备上实时获取。

需要说明的是，在获取的防火墙的策略数据中，各策略均有冗余标识、未命中标识和风险标识，以便统计各策略参数。

203、策略运维评估系统将防火墙策略数据归一化处理。

其中，归一化处理是为了将防火墙策略数据转化为便于计算的标准格式。例如，消除策略数据中的嵌套关系、合并同一策略中的数据等。

204、策略运维评估系统对防火墙策略数据进行冗余策略分析，获得冗余策略参数。

其中，冗余策略分析是对防火墙策略数据中策略的覆盖情况进行分析，得出其中的冗余策略。冗余策略可以分为完全冗余策略和部分冗余策略。完全冗余策略，是指排在前面的防火墙策略完全覆盖了后面策略的访问控制范围，在防火墙工作的过程中，后面的策略永远不会被匹配，则后面的策略称为完全冗余策略；部分冗余策略，是指排在前面的防火墙策略部分覆盖了后面策略的访问控制范围，在防火墙工作的过程中，后面的策略有部分被匹配，则后面的策略称为部分冗余策略。

本发明实施例中，策略运维评估系统将属于同一组内的策略数据进行比较，得出其中的完全冗余策略和部分冗余策略，然后更新策略数据的冗余标识，通过统计策略数据的冗余标识，可以得出冗余策略参数。冗余策略参数包括完全冗余策略数FRn和部分冗余策略数PRn。

205、策略运维评估系统对冗余策略分析后的策略数据进行命中分析，获得未命中策略参数。

其中，命中分析是对防火墙策略数据中策略的使用情况进行分析，得出其中的未命中策略。

本发明实施例中，策略运维评估系统根据策略命中日志计算命中次数为零的策略，然后更新策略数据的未命中标识，通过统计策略数据的未命中标识，可以得出未命中策略参数，即未使用策略数NUn。

206、策略运维评估系统对命中分析后的策略数据进行风险策略分析，获得风险策略参数。

其中，风险策略分析是对防火墙策略数据中策略包括的范围进行分析，得出其中的风险策略。风险策略可以分为高风险策略、中风险策略和低风险策略。高风险策略，是指存在高风险的策略，例如允许访问的源为任意源、目的IP（Internet Protocol，网络协议）地址为任意地址、允许的端口包含了高危或者病毒传播的端口等；中风险策略，是指存在中风险的策略，例如策略允许非信任区域访问信任区域的特定重要服务器；低风险策略，是指存在低风险的策略，例如策略允许HTTP（Hyper Text Transfer Protocol，超文本传输协议）等未加密协议的访问。

本发明实施例中，策略运维评估系统根据预定义的风险规则，与策略进行匹配，得出其中的高风险策略、中风险策略和低风险策略，然后更新策略数据的风险标识，通过统计策略数据的风险标识，可以得出风险策略参数。风险策略参数包括高风险策略数HRn、中风险策略数MRn和低风险策略数LRn。

需要说明的是，由于在防火墙工作的过程中，完全冗余策略不会被匹配，可以不对完全冗余策略进行风险分析。

207、策略运维评估系统根据策略参数计算策略健康度。

需要说明的是，在计算策略健康度之前，通过软件设置了防火墙策略数据的权值，包括完全冗余策略权值FRW、部分冗余策略权值PRW、未使用策略权值NUW、高风险策略权值HRW、中风险策略权值MRW和低风险策略权值LRW。各权值的大小可以根据用户的需要进行调整。

其中，策略运维评估系统通过步骤204、步骤205和步骤206获得策略参数，然后根据策略参数和防火墙策略数据的权值计算策略健康度，计算公式为：

$\mathrm{\Δ}=100-(\frac{\mathrm{FRW}\×\mathrm{FRn}}{\mathrm{PT}}+\frac{\mathrm{PRW}\×\mathrm{PRn}}{\mathrm{PT}})-\left(\frac{\mathrm{NUW}\×\mathrm{NUn}}{\mathrm{PT}}\right)-(\frac{\mathrm{HRW}\×\mathrm{HRn}}{\mathrm{PT}}+\frac{\mathrm{MRW}\×\mathrm{MRn}}{\mathrm{PT}}+\frac{\mathrm{LRW}\×\mathrm{LRn}}{\mathrm{PT}}),$ 其中，Δ为策略健康度的值，FRW>PRW≥0，NUW≥0，HRW>MRW>LRW≥0，FRW+NUW+HRW=100，PT为所述防火墙策略数据中策略总数。

例如，本发明实施例中，获取的防火墙策略数据中策略总数PT=60，通过步骤204的冗余策略分析获得冗余策略参数，FRn和PRn均为10；通过步骤205的命中分析获得未命中策略参数，NUn为5；通过步骤206的风险策略分析获得风险策略参数，HRn为2、MRn为5和LRn均为10。根据各策略数据对健康读的影响，设置FRW为30、PRW为1、NUW为10、HRW为60、MRW为2.5和LRW为1。由公式计算策略健康度： $\mathrm{\Δ}=100-(\frac{30\×10}{60}+\frac{1\×10}{60})-\left(\frac{10\×5}{60}\right)-(\frac{60\×2}{60}+\frac{2.5\×5}{60}+\frac{1\×10}{60})=91.63.$

208、策略运维评估系统根据策略健康度生成评估报告。

例如，评估报告中记录的策略健康度的值越大，表明策略运维的情况越好。评估报告还可以记录策略分析中得到的策略参数，以及各项策略的详细数据，以便管理人员查阅。

需要说明的是，评估报告中记录每次策略运维评估系统对防火墙策略的评估结果，将当前的评估结果与历史记录进行比较，可以得出防火墙安全策略运维工作考核的量化指标。

现有技术中，安全策略管理人员没有办法对复杂的安全策略运维的情况及安全策略优化工作的成效直接进行判断，也很难得到直观的综合数据对安全策略的运维进行精细化管理。与现有技术相比，本发明实施例中策略运维评估系统对防火墙策略数据归一化处理后，分别进行冗余策略分析、命中分析和风险策略分析，并获得策略参数，然后根据各项策略参数计算策略健康度，进而根据策略健康度生成评估报告。评估报告通过策略健康度的值和策略分析得到的各项策略参数值，可以正确、直观的反映出防火墙安全策略运维状况，解决了现有技术中，安全策略管理人员不能正确、直观的评估防火墙安全策略运维状况的问题。通过解决上述技术问题，可以根据评估结果，优化和调整防火墙安全策略，提高防火墙的整体性能，并得出防火墙安全策略运维工作考核的量化指标。

本发明又一实施例提供一种安全策略运维评估的装置30，如图3所示，所述装置30包括：

分析单元31，用于对防火墙策略数据进行策略分析获得策略参数，所述策略参数包括冗余策略参数、未命中策略参数和风险策略参数；

其中，所述冗余策略参数包括完全冗余策略数FRn和部分冗余策略数PRn，所述未命中策略参数包括未使用策略数NUn，所述风险策略参数包括高风险策略数HRn、中风险策略数MRn和低风险策略数LRn；

计算单元32，用于根据所述分析单元31获得的所述策略参数计算策略健康度；

评估单元33，用于根据所述计算单元32计算的所述策略健康度生成评估报告。

进一步的，如图4所示，所述装置30还可以包括：

设置单元34，用于设置防火墙策略数据的权值，所述防火墙策略数据的权值包括完全冗余策略权值FRW、部分冗余策略权值PRW、未使用策略权值NUW、高风险策略权值HRW、中风险策略权值MRW和低风险策略权值LRW。

进一步的，如图4所示，所述计算单元32包括：

计算子单元321，用于通过计算公式计算所述策略健康度，所述计算公式为：

$\mathrm{\Δ}=100-(\frac{\mathrm{FRW}\×\mathrm{FRn}}{\mathrm{PT}}+\frac{\mathrm{PRW}\×\mathrm{PRn}}{\mathrm{PT}})-\left(\frac{\mathrm{NUW}\×\mathrm{NUn}}{\mathrm{PT}}\right)-(\frac{\mathrm{HRW}\×\mathrm{HRn}}{\mathrm{PT}}+\frac{\mathrm{MRW}\×\mathrm{MRn}}{\mathrm{PT}}+\frac{\mathrm{LRW}\×\mathrm{LRn}}{\mathrm{PT}}),$ 其中，Δ为策略健康度的值，FRW>PRW≥0，NUW≥0，HRW>MRW>LRW≥0，FRW+NUW+HRW=100，PT为所述防火墙策略数据中策略总数。

进一步的，如图4所示，所述分析单元31包括：

分析子单元311，用于对防火墙策略数据进行冗余策略分析，分析所述防火墙策略数据中策略的覆盖情况；

所述分析子单元311还用于对冗余策略分析后的所述防火墙策略数据进行命中分析，统计所述防火墙策略数据中策略的命中次数；

所述分析子单元311还用于对命中分析后的所述防火墙策略数据进行风险策略分析，使用特定的风险规则分析所述防火墙策略数据的风险。

进一步的，如图4所示，所述装置30还包括：

获取单元35，用于获取防火墙策略数据；

处理单元36，用于归一化处理所述获取单元35获取的所述防火墙策略数据。

现有技术中，安全策略管理人员没有办法对复杂的安全策略运维的情况及安全策略优化工作的成效直接进行判断，也很难得到直观的综合数据对安全策略的运维进行精细化管理。与现有技术相比，本发明实施例中装置30对防火墙策略数据进行策略分析获得策略参数后，根据各项策略参数计算策略健康度，进而根据策略健康度生成评估报告。评估报告通过策略健康度的值和策略分析得到的各项策略参数值，可以正确、直观的反映出防火墙安全策略运维状况，解决了现有技术中，安全策略管理人员不能正确、直观的评估防火墙安全策略运维状况的问题。通过解决上述技术问题，安全策略管理人员可以根据评估结果，优化和调整防火墙安全策略，提高防火墙的整体性能，并得出防火墙安全策略运维工作考核的量化指标。

本发明又一实施例提供一种安全策略运维评估的装置40，如图5所示，所述装置40包括：

处理器41，用于对防火墙策略数据进行策略分析获得策略参数，所述策略参数包括冗余策略参数、未命中策略参数和风险策略参数；以及，用于根据所述策略参数计算策略健康度；以及，用于根据所述策略健康度生成评估报告。

其中，所述冗余策略参数包括完全冗余策略数FRn和部分冗余策略数PRn，所述未命中策略参数包括未使用策略数NUn，所述风险策略参数包括高风险策略数HRn、中风险策略数MRn和低风险策略数LRn。

进一步的，所述处理器41还用于设置防火墙策略数据的权值，所述防火墙策略数据的权值包括完全冗余策略权值FRW、部分冗余策略权值PRW、未使用策略权值NUW、高风险策略权值HRW、中风险策略权值MRW和低风险策略权值LRW。

进一步的，所述处理器41还用于通过计算公式计算所述策略健康度，所述计算公式为：

$\mathrm{\Δ}=100-(\frac{\mathrm{FRW}\×\mathrm{FRn}}{\mathrm{PT}}+\frac{\mathrm{PRW}\×\mathrm{PRn}}{\mathrm{PT}})-\left(\frac{\mathrm{NUW}\×\mathrm{NUn}}{\mathrm{PT}}\right)-(\frac{\mathrm{HRW}\×\mathrm{HRn}}{\mathrm{PT}}+\frac{\mathrm{MRW}\×\mathrm{MRn}}{\mathrm{PT}}+\frac{\mathrm{LRW}\×\mathrm{LRn}}{\mathrm{PT}}),$ 其中，Δ为策略健康度的值，FRW>PRW≥0，NUW≥0，HRW>MRW>LRW≥0，FRW+NUW+HRW=100，PT为所述防火墙策略数据中策略总数。

进一步的，所述处理器41还用于对防火墙策略数据进行冗余策略分析，分析所述防火墙策略数据中策略的覆盖情况；

对冗余策略分析后的所述防火墙策略数据进行命中分析，统计所述防火墙策略数据中策略的命中次数；

对命中分析后的所述防火墙策略数据进行风险策略分析，使用特定的风险规则分析所述防火墙策略数据的风险。

进一步的，所述处理器41还用于获取防火墙策略数据；以及，用于归一化处理所述防火墙策略数据。

现有技术中，安全策略管理人员没有办法对复杂的安全策略运维的情况及安全策略优化工作的成效直接进行判断，也很难得到直观的综合数据对安全策略的运维进行精细化管理。与现有技术相比，本发明实施例中装置40对防火墙策略数据进行策略分析获得策略参数后，根据各项策略参数计算策略健康度，进而根据策略健康度生成评估报告。评估报告通过策略健康度的值和策略分析得到的各项策略参数值，可以正确、直观的反映出防火墙安全策略运维状况，解决了现有技术中，安全策略管理人员不能正确、直观的评估防火墙安全策略运维状况的问题。通过解决上述技术问题，安全策略管理人员可以根据评估结果，优化和调整防火墙安全策略，提高防火墙的整体性能，并得出防火墙安全策略运维工作考核的量化指标。

本发明实施例提供的一种安全策略运维评估的装置可以实现上述提供的方法实施例，具体功能实现请参见方法实施例中的说明，在此不再赘述。本发明实施例提供的一种安全策略运维评估的方法及装置可以适用于策略运维评估系统，但不仅限于此。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于设备实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体（Read-Only Memory，ROM）或随机存储记忆体（Random Access Memory，RAM）等。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims (10)

1.一种安全策略运维评估的方法，其特征在于，包括：

对防火墙策略数据进行策略分析获得策略参数，所述策略参数包括冗余策略参数、未命中策略参数和风险策略参数；

根据所述策略参数计算策略健康度；

根据所述策略健康度生成评估报告。

2.根据权利要求1所述的方法，其特征在于，在所述根据所述策略参数计算策略健康度之前，所述方法还包括：

设置防火墙策略数据的权值，所述防火墙策略数据的权值包括完全冗余策略权值FRW、部分冗余策略权值PRW、未使用策略权值NUW、高风险策略权值HRW、中风险策略权值MRW和低风险策略权值LRW。

3.根据权利要求2所述的方法，其特征在于，所述冗余策略参数包括完全冗余策略数FRn和部分冗余策略数PRn，所述未命中策略参数包括未使用策略数NUn，所述风险策略参数包括高风险策略数HRn、中风险策略数MRn和低风险策略数LRn；

所述根据所述策略参数计算策略健康度包括：

通过计算公式计算所述策略健康度，所述计算公式为：

$\mathrm{\Δ}=100-(\frac{\mathrm{FRW}\×\mathrm{FRn}}{\mathrm{PT}}+\frac{\mathrm{PRW}\×\mathrm{PRn}}{\mathrm{PT}})-\left(\frac{\mathrm{NUW}\×\mathrm{NUn}}{\mathrm{PT}}\right)-(\frac{\mathrm{HRW}\×\mathrm{HRn}}{\mathrm{PT}}+\frac{\mathrm{MRW}\×\mathrm{MRn}}{\mathrm{PT}}+\frac{\mathrm{LRW}\×\mathrm{LRn}}{\mathrm{PT}}),$ 其中，Δ为策略健康度的值，FRW>PRW≥0，NUW≥0，HRW>MRW>LRW≥0，FRW+NUW+HRW=100，PT为所述防火墙策略数据中策略总数。

4.根据权利要求1所述的方法，其特征在于，所述对防火墙策略数据进行策略分析获得策略参数包括：

对防火墙策略数据进行冗余策略分析，分析所述防火墙策略数据中策略的覆盖情况；

对冗余策略分析后的所述防火墙策略数据进行命中分析，统计所述防火墙策略数据中策略的命中次数；

对命中分析后的所述防火墙策略数据进行风险策略分析，使用特定的风险规则分析所述防火墙策略数据的风险。

5.根据权利要求1所述的方法，其特征在于，在所述对策略数据进行策略分析之前，所述方法还包括：

获取防火墙策略数据；

归一化处理所述防火墙策略数据。

6.一种安全策略运维评估的装置，其特征在于，包括：

分析单元，用于对防火墙策略数据进行策略分析获得策略参数，所述策略参数包括冗余策略参数、未命中策略参数和风险策略参数；

计算单元，用于根据所述分析单元获得的所述策略参数计算策略健康度；

评估单元，用于根据所述计算单元计算的所述策略健康度生成评估报告。

7.根据权利要求6所述的装置，其特征在于，所述装置还包括：

设置单元，用于设置防火墙策略数据的权值，所述防火墙策略数据的权值包括完全冗余策略权值FRW、部分冗余策略权值PRW、未使用策略权值NUW、高风险策略权值HRW、中风险策略权值MRW和低风险策略权值LRW。

8.根据权利要求7所述的装置，其特征在于，所述冗余策略参数包括完全冗余策略数FRn和部分冗余策略数PRn，所述未命中策略参数包括未使用策略数NUn，所述风险策略参数包括高风险策略数HRn、中风险策略数MRn和低风险策略数LRn；

所述计算单元包括：

计算子单元，用于通过计算公式计算所述策略健康度，所述计算公式为：

$\mathrm{\Δ}=100-(\frac{\mathrm{FRW}\×\mathrm{FRn}}{\mathrm{PT}}+\frac{\mathrm{PRW}\×\mathrm{PRn}}{\mathrm{PT}})-\left(\frac{\mathrm{NUW}\×\mathrm{NUn}}{\mathrm{PT}}\right)-(\frac{\mathrm{HRW}\×\mathrm{HRn}}{\mathrm{PT}}+\frac{\mathrm{MRW}\×\mathrm{MRn}}{\mathrm{PT}}+\frac{\mathrm{LRW}\×\mathrm{LRn}}{\mathrm{PT}}),$ 其中，Δ为策略健康度的值，FRW>PRW≥0，NUW≥0，HRW>MRW>LRW≥0，FRW+NUW+HRW=100，PT为所述防火墙策略数据中策略总数。

9.根据权利要求6所述的装置，其特征在于，所述分析单元包括：

分析子单元，用于对防火墙策略数据进行冗余策略分析，分析所述防火墙策略数据中策略的覆盖情况；

所述分析子单元还用于对冗余策略分析后的所述防火墙策略数据进行命中分析，统计所述防火墙策略数据中策略的命中次数；

所述分析子单元还用于对命中分析后的所述防火墙策略数据进行风险策略分析，使用特定的风险规则分析所述防火墙策略数据的风险。

10.根据权利要求6所述的装置，其特征在于，所述装置还包括：

获取单元，用于获取防火墙策略数据；

处理单元，用于归一化处理所述获取单元获取的所述防火墙策略数据。