CN105991525B - 防火墙访问控制策略提出者的确定方法及装置 - Google Patents
防火墙访问控制策略提出者的确定方法及装置 Download PDFInfo
- Publication number
- CN105991525B CN105991525B CN201510053763.7A CN201510053763A CN105991525B CN 105991525 B CN105991525 B CN 105991525B CN 201510053763 A CN201510053763 A CN 201510053763A CN 105991525 B CN105991525 B CN 105991525B
- Authority
- CN
- China
- Prior art keywords
- work order
- order information
- matrix
- policy
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明实施例公开了防火墙访问控制策略提出者的确定方法及装置。所述方法包括:将访问控制策略拆解为策略元素;从工单信息中查找出与所述策略元素相匹配的指定工单信息;从所述指定工单信息中获取发起者信息,所述发起者信息对应的发起者即为访问控制策略的提出者。采用本发明实施例,可以利用工单信息与访问控制策略之间的对应关系,根据工单信息确定访问控制策略的提出者,从而可以满足确定访问控制策略的提出者的需求,便于访问控制策略的提出者可以安全有效地清理由自己设置的访问控制策略。
Description
技术领域
本发明涉及信息安全领域,尤其涉及防火墙访问控制策略提出者的确定方法及装置。
背景技术
近些年各企事业单位对信息安全的重视度逐年提升,防火墙在企事业单位信息化建设中已起到至关重要的作用。防火墙通常设置在内部网络与外部网络之间,根据管理员设置的访问控制策略控制外部网络对内部网络的访问,从而避免内部网络免受来自外部网络的非法侵入。
在内部网络或外部网络发生变化时,管理员为防火墙设置的访问控制策略可能会发生失效。随着时间的推移,越来越多的失效访问控制策略会导致防火墙的性能日益下降。因此需要管理员及时对访问控制策略进行清理,删除失效访问控制策略。由于访问控制策略的复杂性,管理员在对访问控制策略进行清理时,需要采用人工梳理方式对逐一判断访问控制策略是否已经失效。
由于不同的访问控制策略通常是由不同的管理员所设置,因此只有访问控制策略的提出者才能准确知道该访问控制策略是否依然有效,其他管理员通常无法准确知道该访问控制策略是否依然有效。因此,管理员在对在清理访问控制策略时,只能根据经验判断不是由自己设置的访问控制策略是否依然有效。因此最好的办法就是找到访问控制策略的提出者,由访问控制策略的提出者进行处理。但是现有技术一般通过人工梳理的方式查找访问控制策略的提出者,这种人工查找的方式效率低,准确性差。
因此,亟需一种自动确定访问控制策略提出者的方法,以便于访问控制策略提出者可以安全有效地清理由自己设置的访问控制策略。
发明内容
本发明实施例提供了防火墙访问控制策略提出者的确定方法及装置,以满足确定访问控制策略的提出者的需求。
第一方面,本发明实施例提供了一种防火墙访问控制策略提出者的确定方法,该方法包括:将访问控制策略拆解为策略元素;从工单信息中查找出与所述策略元素相匹配的指定工单信息;从所述指定工单信息中获取发起者信息,所述发起者信息对应的发起者即为访问控制策略的提出者。
结合第一方面,在第一方面第一种可能的实现方式中,所述从工单信息中查找出与所述策略元素相匹配的指定工单信息包括:将所述策略元素转换为策略元素矩阵;将每一条工单信息分别转换为一个工单信息矩阵;从所述工单信息矩阵中查找出与所述策略元素矩阵相匹配的指定工单信息矩阵,所述指定工单信息矩阵对应的工单信息即为指定工单信息。
结合第一方面第一种可能的实现方式,在第一方面第二种可能的实现方式中,所述将所述策略元素转换为策略元素矩阵包括:将所述策略元素组合为策略元素组;生成以所述策略元素组为矩阵元素的所述策略元素矩阵。
结合第一方面第一种可能的实现方式,在第一方面第三种可能的实现方式中,采用如下方式将每一条所述工单信息分别转换为一个工单信息矩阵包括:从所述工单信息的指定指令段中提取出所述工单信息所包含的原始信息;采用预设转译规则将所述原始信息转译为信息元素;将所述信息元素组合为信息元素组;生成以所述信息元素组为矩阵元素的所述工单信息矩阵。
结合第一方面第一至三种可能的实现方式中任何一种,在第一方面第四种可能的实现方式中,所述从所述工单信息矩阵中查找出与所述策略元素矩阵相匹配的指定工单信息矩阵包括:从所述工单信息矩阵中查找出所述指定工单信息矩阵,所述指定工单信息矩阵的矩阵元素与所述策略元素矩阵的矩阵元素一致。
结合第一方面第一至三种可能的实现方式中任何一种,在第一方面第五种可能的实现方式中,所述从所述工单信息矩阵中查找出与所述策略元素矩阵相匹配的指定工单信息矩阵包括:从所述工单信息矩阵中查找出所述指定工单信息矩阵,所述指定工单信息矩阵的矩阵元素至少包含部分所述策略元素矩阵的矩阵元素。
第二方面,本发明实施例还提供了一种防火墙访问控制策略提出者的确定装置,所述装置包括:拆解单元,用于将访问控制策略拆解为策略元素;查找单元,用于从工单信息中查找出与所述策略元素相匹配的指定工单信息;确定单元,用于从所述指定工单信息中获取发起者信息,所述发起者信息对应的发起者即为访问控制策略的提出者。
结合第二方面,在第二方面第一种可能的实现方式中,所述查找单元包括:第一转换子单元,用于将所述策略元素转换为策略元素矩阵;第二转换子单元,用于将每一条工单信息分别转换为一个工单信息矩阵;匹配子单元,用于从所述工单信息矩阵中查找出与所述策略元素矩阵相匹配的指定工单信息矩阵,所述指定工单信息矩阵对应的工单信息即为指定工单信息。
结合第二方面第一种可能的实现方式,在第二方面第二种可能的实现方式中,所述匹配子单元,具体用于从所述工单信息矩阵中查找出所述指定工单信息矩阵,所述指定工单信息矩阵的矩阵元素与所述策略元素矩阵的矩阵元素一致。
结合第二方面第一种可能的实现方式,在第二方面第三种可能的实现方式中,所述匹配子单元,具体用于从所述工单信息矩阵中查找出所述指定工单信息矩阵,所述指定工单信息矩阵的矩阵元素至少包含部分所述策略元素矩阵的矩阵元素。
本发明实施例中,将访问控制策略拆解为策略元素;从工单信息中查找出与所述策略元素相匹配的指定工单信息;从所述指定工单信息中获取发起者信息,所述发起者信息对应的发起者即为访问控制策略的提出者。采用本发明实施例,可以利用工单信息与访问控制策略之间的对应关系,根据工单信息确定访问控制策略的提出者,从而可以满足确定访问控制策略的提出者的需求,便于访问控制策略的提出者可以安全有效地清理由自己设置的访问控制策略。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明防火墙访问控制策略提出者的确定方法一个实施例的流程图;
图2为本发明防火墙访问控制策略提出者的确定方法另一个实施例的流程图;
图3为本发明防火墙访问控制策略提出者的确定装置一个实施例的结构示意图。
具体实施方式
企事业单位在信息化建设中,除了会用到防火墙之外,通常还会用到工单系统。由于在同一个单位中,防火墙与工单系统同属于同一个信息系统,管理员在防火墙中设置访问控制策略时,工单系统会生成相应的工单信息以记录管理员设置访问控制策略的操作,因此工单系统中所保存的工单信息与防火墙的访问控制策略有很强的对应性。通常情况下工单信息的发起者即为该工单信息所对应访问控制策略的提出者,因此可以利用工单信息中的发起者信息确定访问控制策略的提出者。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1,为本发明防火墙访问控制策略提出者的确定方法一个实施例的流程图,该方法包括如下步骤:
步骤101,将访问控制策略拆解为策略元素。
服务器可以首先获取访问控制策略,然后从所述访问控制策略中获取访问控制策略的策略元素,所述策略元素可以包括访问控制策略对应的源地址、源端口、目的地址、目的端口、协议类型及有效期等。
步骤102,从工单信息中查找出与所述策略元素相匹配的指定工单信息。
在获取到所述策略元素后,服务器可以从工单系统获取工单信息。工单信息通常也由若干信息元素构成。工单信息的信息元素包括工单信息对应的源地址、源端口、目的地址、目的端口、协议类型、有效期、工单号、发起者信息等。
由于工单信息记录了管理员设置访问控制策略的操作,因此工单信息中通常会至少包含一个与策略元素相匹配的指定工单信息。指定工单信息与策略元素相匹配该指定工单信息所包含的信息元素与所述策略元素包含的策略元素内容一致,或者所述信息元素包含所述策略元素的部分或全部。
为便于查找指定工单信息,服务器可以将所述策略元素转换为策略元素矩阵;并将每一条工单信息分别转换为一个工单信息矩阵;然后从所述工单信息矩阵中查找出与所述策略元素矩阵相匹配的指定工单信息矩阵,所述指定工单信息矩阵对应的工单信息即为指定工单信息。
在将策略元素转换为策略元素矩阵时,如果所述策略元素包括所述访问控制策略对应的源地址、源端口、目的地址、目的端口及协议类型等多种类型,服务器将所述策略元素组合为策略元素组;然后生成以所述策略元素组为矩阵元素的所述策略元素矩阵。
在将工单信息转换为工单信息矩阵时,服务器可以首先从所述工单信息的指定指令段中提取出所述工单信息所包含的原始信息;然后采用预设转译规则将所述原始信息转译为信息元素,所述信息元素包括所述工单信息应的源地址、源端口、目的地址、目的端口及协议类型;并将所述信息元素组合为信息元素组;最后再生成以所述信息元素组为矩阵元素的所述工单信息矩阵。
在确定指定工单信息矩阵时,如果某个工单信息矩阵的矩阵元素与所述策略元素矩阵的矩阵元素一致,那么可以将该工单信息矩阵作为指定工单信息矩阵。或者,如果某个工单信息矩阵的矩阵元素至少包含部分所述策略元素矩阵的矩阵元素,即该工单信息矩阵的矩阵元素与策略元素矩阵的矩阵元素之间有交集,那么也可以将该工单信息矩阵作为指定工单信息矩阵。
步骤103,从所述指定工单信息中获取发起者信息,所述发起者信息对应的发起者即为访问控制策略的提出者。
由于指定工单信息的内容中包含该指定工单信息的工单号及该指定工单信息的发起者信息等,因此服务器可以从所述指定工单信息中获取发起者信息。由于访问控制策略与工单信息具有对应性,在指定工单信息与策略元素相匹配时,可以认为指定工单信息的发起者即为访问控制策略的提出者,因此所述发起者信息对应的发起者即为访问控制策略的提出者。在此需要说明的是,当与策略元素相匹配的指定工单信息有多条时,可以认为每条工单信息的发起者都为访问控制策略的提出者。
在本实施例中,将访问控制策略拆解为策略元素;从工单信息中查找出与所述策略元素相匹配的指定工单信息;根据所述指定工单信息的内容确定所述指定工单信息的发起者,所述发起者即为访问控制策略的提出者。采用本实施,可以利用工单信息与访问控制策略之间的对应关系,根据工单信息确定访问控制策略的提出者,从而可以满足确定访问控制策略的提出者的需求,便于访问控制策略的提出者可以安全有效地清理由自己设置的访问控制策略。
参见图2,为本发明防火墙访问控制策略提出者的确定方法另一个实施例的流程图。下面结合图2对本发明防火墙访问控制策略提出者的确定方法做进一步说明。
步骤201,将访问控制策略拆解为策略元素。
服务器可以首先登陆防火墙并获取防火墙的访问控制列表(ACCESS CONTROLLIST,简称ACL),然后从ACL中获取需要查找提出者的访问控制策略。在获取到访问控制策略后,服务器可以首先将所述访问控制策略拆解为由所述访问控制策略对应策略元素。所述策略元素可以包含所述访问控制策略对应的地址、源端口、目的地址、目的端口、协议类型及有效期等多种类型。
由于所述访问控制策略通常为针对端口进行控制的策略,因此访问控制策略可能并不直接包含协议类型信息,因此在实际使用中可能需要通过端口/协议转换规则将访问控制策略中包含的源端口或目的端口转换为对应的协议信息。端口/协议转换规则可以如表1所示。
表1
| 端口 | 对应协议 |
| 80 | HTTP(超文本传输协议) |
| 21/20 | Ftp(文件传输协议) |
| 23 | Telnet(远程登陆协议) |
| 161 | SNMP(简单网络管理协议) |
| 25 | SMTP(简单邮件传输协议) |
| 53 | DNS(域名系统协议) |
| …… | …… |
一条访问控制策略可以包括一条或多条访问规则,根据访问控制策略所包含访问规则数量的不同,访问控制策略所对应的策略元素的数量也各不相同。策略元素组所包含的内容可以如表2所示,其中每一行表示一条访问规则所对应策略元素。
表2
| 序号 | 源地址 | 源端口 | 目的地址 | 目的端口 | 协议 | 有效期 |
| 1 | ||||||
| 2 | ||||||
| 3 | ||||||
| 4 | ||||||
| 5 | ||||||
| …… |
步骤202,将所述策略元素转换为策略元素矩阵。
在获取到策略元素之后,服务器也可以直接生成以所述策略元素为矩阵元素的策略元素矩阵。
为了便于查找指定工单信息矩阵,在获取到所述策略元素后,服务器可以将所述策略元素组合为不同的策略元素组。根据策略元素类型选择的不同,所述策略元素组可以是访问控制策略对应的源地址、源端口、目的地址、目的端口及协议类型构成的策略五元组,或者,也可以是访问控制策略对应的源地址、源端口、目的地址、目的端口、协议类型及有效期构成的策略六元组。在所述策略元素组生成之后,服务器可以生成以所述策略元素组为矩阵元素的所述策略元素矩阵。具体过程在此就不再详述。
步骤203,将每一条工单信息分别转换为一个工单信息矩阵。
服务器可以首先登陆工单系统,并从工单系统中获取所有的工单信息。在从工单系统获取到工单信息后,服务器可以通过工单接口或提取工具提取工单信息所包含的信息元素,并生成有该信息元素构成的信息元素组。
由于工单信息通常以指令形式存在,因此服务器也可以首先从所述工单信息的指定指令段中提取出所述工单信息所包含的原始信息,然后采用预设转译规则将所述原始信息转译为信息元素。所述信息元素包括所述工单信息应的源地址、源端口、目的地址、目的端口及协议类型。在获取到所述信息元素后,可以将所述信息元素组合为信息元素组,并生成以所述信息元素组为矩阵元素的所述工单信息矩阵。
根据所选信息元素类型的不同,所述信息元素组可以是由工单信息对应的源地址、源端口、目的地址、目的端口及协议类型构成的信息五元组,或者,也可以是有工单信息对应的源地址、源端口、目的地址、目的端口、协议类型、工单号及发起者的信息七元组。在实际使用中,为了便于比对,可以将信息元素组设置为信息五元组,并将所述策略元素组设置为策略五元组。当工单信息不直接包含协议类型信息时,也可以采用表1所示的端口/协议转换规则将工单信息中包含的源端口或目的端口转换为对应的协议信息。
根据工单信息的不同,信息元素组的数量也各不相同。信息元素组所包含的内容可以如表3所示,其中每一行表示一个信息元素组。
表3
| 序号 | 源地址 | 源端口 | 目的地址 | 目的端口 | 协议 | 有效期 | 工单号 | 发起者 |
| 1 | ||||||||
| 2 | ||||||||
| 3 | ||||||||
| 4 | ||||||||
| 5 | ||||||||
| …… |
步骤204,从所述工单信息矩阵中查找出与所述策略元素矩阵相匹配的指定工单信息矩阵,所述指定工单信息矩阵对应的工单信息即为指定工单信息。
在从所述工单信息矩阵中查找与所述策略元素矩阵相匹配的指定工单信息矩阵时,可以采用逐一比对的方式,从所述工单信息矩阵中查找出与所述策略元素矩阵相匹配的指定工单信息矩阵。由于不同的工单信息矩阵包含的信息元素组不同,并且不同的策略元素矩阵所包含的策略元素组也不相同。因此可以采用精确匹配或关联匹配等不同的匹配方式确定指定工单信息矩阵。
在采用精确匹配方式确定指定工单信息矩阵时,如果某个工单信息矩阵的矩阵元素与所述策略元素矩阵的矩阵元素一致,那么可以将该工单信息矩阵作为指定工单信息矩阵。例如,当所述工单信息矩阵包含3个信息五元组,所述策略元素矩阵也包含3个特征五元组时,如果3个信息五元组与3个特征五元组的内容相同,则可以认为工单信息矩阵和策略元素矩阵精确匹配,该工单信息矩阵即为指定工单信息矩阵。
在采用关联匹配方式确定指定工单信息矩阵时,如果某个工单信息矩阵的矩阵元素至少包含部分所述策略元素矩阵的矩阵元素,即该工单信息矩阵的矩阵元素与策略元素矩阵的矩阵元素之间有交集,那么也可以将该工单信息矩阵作为指定工单信息矩阵。例如,当所述工单信息矩阵包含5个信息五元组,所述策略元素矩阵包含4个特征五元组时,如果4个信息五元组与4个特征五元组的内容相同,则可以认为工单信息矩阵策略元素矩阵关联匹配,该工单信息矩阵即为指定工单信息矩阵;如果2个信息五元组与2个特征五元组的内容相同,则也可以认为工单信息矩阵策略元素矩阵关联匹配,该工单信息矩阵即为指定工单信息矩阵。又如,当所述工单信息矩阵包含4个信息五元组,所述策略元素矩阵包含5个特征五元组时,如果2个信息五元组与2个特征五元组的内容相同,则也可以认为工单信息矩阵策略元素矩阵关联匹配,该工单信息矩阵即为指定工单信息矩阵。
步骤205,从所述指定工单信息中获取发起者信息,所述发起者信息对应的发起者即为访问控制策略的提出者。
在所述指定工单信息确定之后,服务器可以从指定工单信息中获取该指定工单信息发起者信息,所述发起者信息对应的发起者即为访问控制策略的提出者。具体过程在此就不再赘述。
采用本实施,不但可以利用工单信息与访问控制策略之间的对应关系,根据工单信息确定访问控制策略的提出者,而且采用矩阵匹配的形式可以更快的查找出访问控制策略的提出者。
参见图3,为本发明防火墙访问控制策略提出者的确定装置一个实施例的结构示意图。
如图3所示,所述装置包括:拆解单元301、查找单元302及确定单元303。
其中,拆解单元301,用于将访问控制策略拆解为策略元素;查找单元302,用于从工单信息中查找出与所述策略元素相匹配的指定工单信息;确定单元303,用于从所述指定工单信息中获取发起者信息,所述发起者信息对应的发起者即为访问控制策略的提出者。
可选的,所述查找单元302包括:第一转换子单元,用于将所述策略元素转换为策略元素矩阵;第二转换子单元,用于将每一条工单信息分别转换为一个工单信息矩阵;匹配子单元,用于从所述工单信息矩阵中查找出与所述策略元素矩阵相匹配的指定工单信息矩阵,所述指定工单信息矩阵对应的工单信息即为指定工单信息。
可选的,所述第一转换子单元,可以用于将所述策略元素组合为策略元素组;生成以所述策略元素组为矩阵元素的所述策略元素矩阵。
可选的,所述第二转换子单元,可以用于从所述工单信息的指定指令段中提取出所述工单信息所包含的原始信息;采用预设转译规则将所述原始信息转译为信息元素;将所述信息元素组合为信息元素组;生成以所述信息元素组为矩阵元素的所述工单信息矩阵。
可选的,所述匹配子单元,可以用于从所述工单信息矩阵中查找出所述指定工单信息矩阵,所述指定工单信息矩阵的矩阵元素与所述策略元素矩阵的矩阵元素一致。
可选的,所述匹配子单元,可以用于从所述工单信息矩阵中查找出所述指定工单信息矩阵,所述指定工单信息矩阵的矩阵元素至少包含部分所述策略元素矩阵的矩阵元素。
采用本实施,可以利用工单信息与访问控制策略之间的对应关系,根据工单信息确定访问控制策略的提出者,从而可以满足确定访问控制策略的提出者的需求,便于访问控制策略的提出者可以安全有效地清理由自己设置的访问控制策略。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述的本发明实施方式,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种防火墙访问控制策略提出者的确定方法,其特征在于,所述方法包括:
将访问控制策略拆解为策略元素;
从工单信息中查找出与所述策略元素相匹配的指定工单信息;
从所述指定工单信息中获取发起者信息,所述发起者信息对应的发起者即为访问控制策略的提出者;
所述从工单信息中查找出与所述策略元素相匹配的指定工单信息包括:
将所述策略元素转换为策略元素矩阵;
将每一条工单信息分别转换为一个工单信息矩阵;
从所述工单信息矩阵中查找出与所述策略元素矩阵相匹配的指定工单信息矩阵,所述指定工单信息矩阵对应的工单信息即为指定工单信息。
2.如权利要求1所述的方法,其特征在于,所述将所述策略元素转换为策略元素矩阵包括:
将所述策略元素组合为策略元素组;
生成以所述策略元素组为矩阵元素的所述策略元素矩阵。
3.如权利要求1所述的方法,其特征在于,采用如下方式将每一条所述工单信息分别转换为一个工单信息矩阵包括:
从所述工单信息的指定指令段中提取出所述工单信息所包含的原始信息;
采用预设转译规则将所述原始信息转译为信息元素;
将所述信息元素组合为信息元素组;
生成以所述信息元素组为矩阵元素的所述工单信息矩阵。
4.如权利要求1至3任一项所述的方法,其特征在于,所述从所述工单信息矩阵中查找出与所述策略元素矩阵相匹配的指定工单信息矩阵包括:
从所述工单信息矩阵中查找出所述指定工单信息矩阵,所述指定工单信息矩阵的矩阵元素与所述策略元素矩阵的矩阵元素一致。
5.如权利要求1至3任一项所述的方法,其特征在于,所述从所述工单信息矩阵中查找出与所述策略元素矩阵相匹配的指定工单信息矩阵包括:
从所述工单信息矩阵中查找出所述指定工单信息矩阵,所述指定工单信息矩阵的矩阵元素至少包含部分所述策略元素矩阵的矩阵元素。
6.一种防火墙访问控制策略提出者的确定装置,其特征在于,所述装置包括:
拆解单元,用于将访问控制策略拆解为策略元素;
查找单元,用于从工单信息中查找出与所述策略元素相匹配的指定工单信息;
确定单元,用于从所述指定工单信息中获取发起者信息,所述发起者信息对应的发起者即为访问控制策略的提出者;
第一转换子单元,用于将所述策略元素转换为策略元素矩阵;
第二转换子单元,用于将每一条工单信息分别转换为一个工单信息矩阵;
匹配子单元,用于从所述工单信息矩阵中查找出与所述策略元素矩阵相匹配的指定工单信息矩阵,所述指定工单信息矩阵对应的工单信息即为指定工单信息。
7.如权利要求6所述的装置,其特征在于,
所述匹配子单元,具体用于从所述工单信息矩阵中查找出所述指定工单信息矩阵,所述指定工单信息矩阵的矩阵元素与所述策略元素矩阵的矩阵元素一致。
8.如权利要求6所述的装置,其特征在于,
所述匹配子单元,具体用于从所述工单信息矩阵中查找出所述指定工单信息矩阵,所述指定工单信息矩阵的矩阵元素至少包含部分所述策略元素矩阵的矩阵元素。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510053763.7A CN105991525B (zh) | 2015-02-02 | 2015-02-02 | 防火墙访问控制策略提出者的确定方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510053763.7A CN105991525B (zh) | 2015-02-02 | 2015-02-02 | 防火墙访问控制策略提出者的确定方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105991525A CN105991525A (zh) | 2016-10-05 |
| CN105991525B true CN105991525B (zh) | 2019-05-03 |
Family
ID=57036839
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510053763.7A Active CN105991525B (zh) | 2015-02-02 | 2015-02-02 | 防火墙访问控制策略提出者的确定方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105991525B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1885297A (zh) * | 2006-06-02 | 2006-12-27 | 石杰 | 带有精细访问控制策略的基于角色的访问控制模型的方法 |
| CN101236618A (zh) * | 2007-01-30 | 2008-08-06 | 华为技术有限公司 | 一种选择工作流路由的方法和装置 |
| CN101771669B (zh) * | 2008-12-30 | 2014-07-30 | 北京天融信网络安全技术有限公司 | 一种设置防火墙策略的方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8909751B2 (en) * | 2010-12-28 | 2014-12-09 | Microsoft Corporation | Flexible policy based network decision making |
-
2015
- 2015-02-02 CN CN201510053763.7A patent/CN105991525B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1885297A (zh) * | 2006-06-02 | 2006-12-27 | 石杰 | 带有精细访问控制策略的基于角色的访问控制模型的方法 |
| CN101236618A (zh) * | 2007-01-30 | 2008-08-06 | 华为技术有限公司 | 一种选择工作流路由的方法和装置 |
| CN101771669B (zh) * | 2008-12-30 | 2014-07-30 | 北京天融信网络安全技术有限公司 | 一种设置防火墙策略的方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 大型企业网络防火墙策略梳理经验谈;srxh_2013;《百度文库》;20140521;正文第2-4章 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105991525A (zh) | 2016-10-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210250373A1 (en) | Managing security actions in a computing environment based on information gathering activity of a security threat | |
| US20220253535A1 (en) | Iot device risk assessment | |
| JP6894528B2 (ja) | Dnsを評価するための方法及び装置 | |
| CN105991521B (zh) | 网络风险评估方法和装置 | |
| US8020045B2 (en) | Root cause analysis method, apparatus, and program for IT apparatuses from which event information is not obtained | |
| US8949418B2 (en) | Firewall event reduction for rule use counting | |
| US20210314250A1 (en) | Auto re-segmentation to assign new applications in a microsegmented network | |
| US20140101724A1 (en) | Network attack detection and prevention based on emulation of server response and virtual server cloning | |
| US20060109850A1 (en) | IP-SAN network access control list generating method and access control list setup method | |
| ES2687351T3 (es) | Dispositivo de control de flujo de red y método de configuración de estrategia de seguridad y dispositivo del mismo | |
| CN110177123B (zh) | 基于dns映射关联图的僵尸网络检测方法 | |
| Le et al. | Policy-based identification of iot devices’ vendor and type by dns traffic analysis | |
| WO2018103214A1 (zh) | 一种方案测试的方法及服务器 | |
| CN111010405B (zh) | 一种SaaS化的网站安全监控系统 | |
| WO2020168757A1 (zh) | 网络系统访问方法、装置、计算机设备及可读存储介质 | |
| CN109302397B (zh) | 一种网络安全管理方法、平台和计算机可读存储介质 | |
| CN109063077A (zh) | 一种基于弹性搜索的数据访问方法及装置 | |
| WO2023093638A1 (zh) | 异常数据识别方法、装置、设备和存储介质 | |
| CN108234217A (zh) | 组网设备自动配置方法、电子设备及存储介质 | |
| CN111200525A (zh) | 网络靶场场景复刻方法、系统、电子设备及存储介质 | |
| CN105991525B (zh) | 防火墙访问控制策略提出者的确定方法及装置 | |
| CN105871749A (zh) | 一种基于路由器的网络访问控制方法、系统及相关设备 | |
| US9667642B2 (en) | Apparatus, system, and method for reconciling network discovered hosts across time | |
| CN113726813B (zh) | 网络安全配置方法、设备及存储介质 | |
| CN108197253A (zh) | 一种云监控平台的设备查询方法、装置和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder |
Address after: Room 813, 8 / F, 34 Haidian Street, Haidian District, Beijing 100080 Patentee after: BEIJING ULTRAPOWER INFORMATION SAFETY TECHNOLOGY Co.,Ltd. Address before: 100107 Beijing city Haidian District wanquanzhuang Road No. 28 Wanliu new building block A room 604 Patentee before: BEIJING ULTRAPOWER INFORMATION SAFETY TECHNOLOGY Co.,Ltd. |
|
| CP02 | Change in the address of a patent holder |