CN107733914A - 面向异构安全机制的集中管控系统 - Google Patents
面向异构安全机制的集中管控系统 Download PDFInfo
- Publication number
- CN107733914A CN107733914A CN201711073188.2A CN201711073188A CN107733914A CN 107733914 A CN107733914 A CN 107733914A CN 201711073188 A CN201711073188 A CN 201711073188A CN 107733914 A CN107733914 A CN 107733914A
- Authority
- CN
- China
- Prior art keywords
- strategy
- equipment
- interface
- tactful
- centralized management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Alarm Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了面向异构安全机制的集中管控系统,该系统基于注册认证模块,策略提取模块,策略关联模块,以及统一接口及融合转换模块构成。本集中管控方案,通过构建有效安全的系统体系,确保在资源访问过程中,用户配置的安全性,整个系统的安全策略统一,实现不同安全设备安全机制集中统一管理与控制。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及面向异构安全机制实现集中管控的技术。
背景技术
集中管理技术将不同位置、不同系统中分散且海量的单一事件进行汇总、过滤、收集和关联分析,得出全局角度的风险事件,并形成统一的决策对事件进行响应和处理。
而在计算机信息系统中,传统的安全管理方式是将分散部署的、不同种类的安全防护系统分别管理。此种方式会导致安全信息分散、互不相通,安全策略难以保持一致,造成了众多安全隐患。
由此可见,在计算机信息系统中对各安全防护系统进行集中管理,提高系统安全性是本领域亟需解决的技术问题。
发明内容
针对现有计算机信息系统采用分散部署管理技术所存在的问题,需要一种新的安全机制管理方案。
为此,本发明的目的在于提供一种面向异构安全机制的集中管控系统,实现整个系统安全策略的统一,提高系统的安全性。
为了达到上述目的,本发明采用的面向异构安全机制的集中管控系统,其包括
注册认证模块,所述注册认证模式梳理清楚不同种类、不同层面的设备,进行同一注册,并对被管控设备进行统一信息收集,且对收集上来的信息进行分析总结及判定,形成汇总报告;
策略提取模块,所述策略提取模块根据注册模块收集上来的设备信息汇总表,提取各类、各层面设备的策略,防护点,并对提取到的策略和防护点的特征进行分析,针对不同层次的防护点,重新构建防护策略;
策略关联模块,所述策略关联模块通过集中管控方式对不同设备出现的审计信息进行收集整合分析,基于策略提取模块构建的防护策略对分析确定的安全威胁形成对应的安全策略,并通过统一接口及融合转换模块进行策略分发,保持策略的动态性使策略协调一致;
统一接口及融合转换模块,所述统一接口及融合转换模块通过对经注册认证模块注册认证的设备进行分析,判定设备策略接口情况,根据设备策略接口下发安全策略。
进一步的,所述统一接口及融合转换模块确定各类设备是否可直接调用系统开放的标准接口,对可直接调用平台开放的标准接口的设备,将安全策略,通过标准接口进行策略的下发,使相应的安全策略贯穿不同的位置及设备;对于无法直接调用平台开放的标准接口的设备,对设备接口进行分类归总,调取这一类设备接口,通过采取非标准化的接口方式把策略进行下发。
进一步的,所述注册认证模块统一信息收集信息包括类型、标识信息、所属对象、策略方式。
本发明提供的面向异构安全机制的集中管控方案,通过构建有效安全的系统体系,确保在资源访问过程中,用户配置的安全性,整个系统的安全策略统一,实现不同安全设备安全机制集中统一管理与控制。
再者,本方案通过集中的对设备属性进行收集,把设备的属性信息提取到系统,对不同属性信息的策略进行接口统一、转换,通过接口进行策略的下发到设备,最后把设备反馈的信息进行分析,实现策略统一联动。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为本发明实例中面向异构安全机制的集中管控平台的框架图;
图2为本发明实例中面向异构安全机制的集中管控平台进行策略分发流程图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
本实例通过构建集中管控平台将安全防护策略分发给各类安全设备,使其各类安全设备具备全程一致的访问控制策略,从而使得整个系统的安全策略统一。
参见图1,所示为本实例据此构成的面向异构安全机制的集中管控平台的框架图。由图可知,该集中管控平台100主要由注册认证模块110、策略提取模块120、策略关联模块130以及统一接口及融合转换模块140配合构成。
其中,注册认证模块110,其运行在平台中用于梳理清楚不同种类、不同层面的设备,进行同一注册,并对被管控设备进行统一信息收集,且对收集上来的信息进行分析总结及判定,形成汇总报告。
策略提取模块120,其运行在平台中与注册认证模块110数据连接,用于根据注册模块收集上来的设备信息汇总表,提取各类、各层面设备的策略,防护点,并对提取到的策略和防护点的特征进行分析,针对不同层次的防护点,重新构建防护策略。
策略关联模块130,其运行在平台中通过集中管控方式对不同设备出现的审计信息进行收集整合分析,基于策略提取模块构建的防护策略对分析确定的安全威胁形成对应的安全策略,并通过统一接口及融合转换模块140进行策略分发,保持策略的动态性使策略协调一致。
统一接口及融合转换模块140,其运行在平台中,并与注册认证模块110、策略关联模块130进行数据连接,通过对经注册认证模块110注册认证的设备进行分析,判定设备策略接口情况,确定各类设备是否可直接调用系统开放的标准接口,对可直接调用平台开放的标准接口的设备,将安全策略,通过标准接口进行策略的下发,使相应的安全策略贯穿不同的位置及设备;对于无法直接调用平台开放的标准接口的设备,对设备接口进行分类归总,调取这一类设备接口,通过采取非标准化的接口方式把策略进行下发。
本平台构建面向多种类型设备统一集中化的管理机制,统一完成对各类型、各层面的安全机制的执行与管理,实现整个网络做到安全策略一致,对威胁做到防护整体联动效果。
本方案在具体应用时,在信息系统中相应设备或环节部署必要的安全部件,同时建立安全管理中心一体化的设备监测和管理平台100(即面向异构安全机制的集中管控平台),将不同类型的系统整合到一起,进行统一的管理、配置和监控,并通过对审计和监测数据的分析,实现对当前系统的危害进行实时响应。参见图2,基于本平台实现对不同类型的系统进行集中统一管理的过程如下:
(1)设备注册;
调取设备注册模块的注册认证模式来梳理清楚不同种类、不同层面的设备,使其统一在集中管控平台进行注册,通过集中管控平台对被管控设备进行统一信息收集例如:类型、标识信息、所属对象、策略方式等。对收集上来的信息进行分析总结及判定,形成汇总报告。
(2)策略提取;
调取策略提取模块根据注册模块收集上来的设备信息汇总表,提取各类、各层面设备的策略、防护点(内容包括策略的功能、配置情况,配置目标等)。利用集中管控平台对这些策略的特征进行分析,对策略信息进行集中汇总,同时对提取的策略进行整理。根据立体、纵深防护的思想,针对不同层次的防护点,重新构建防护策略,使策略达到体系化、整体性
(3)统一接口及融合转换;
调用统一接口及融合转换模块对经过设备注册模块注册认证的设备进行分析,判定设备策略接口情况,确定各类设备是否能够直接调用管控平台开放的策略接口,对于可直接调用平台开放的标准接口的设备,通过管理中心将指定或收集的安全策略,通过标准接口进行策略的下发,使相应的安全策略贯穿不同的位置及设备,形成安全策略一致性及全局性;
对于无法直接调用平台开放的标准接口的其他设备,对设备接口进行分类归总(例如防火墙、IDS、访问控制等),由平台调取这一类设备接口,通过采取非标准化的接口方式把策略进行下发。
(4)策略关联;
调取策略关联模块通过集中管控方式对不同设备出现的警报、威胁、日志等审计信息进行收集整合分析,基于策略提取模块重新构建的防护策略对分析确定的全威胁形成特有的安全策略通过接口模块进行策略分发,保持策略的动态性使策略协调一致。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (3)
1.面向异构安全机制的集中管控系统,其特征在于,所述集中管控系统包括
注册认证模块,所述注册认证模式梳理清楚不同种类、不同层面的设备,进行同一注册,并对被管控设备进行统一信息收集,且对收集上来的信息进行分析总结及判定,形成汇总报告;
策略提取模块,所述策略提取模块根据注册模块收集上来的设备信息汇总表,提取各类、各层面设备的策略,防护点,并对提取到的策略和防护点的特征进行分析,针对不同层次的防护点,重新构建防护策略;
策略关联模块,所述策略关联模块通过集中管控方式对不同设备出现的审计信息进行收集整合分析,基于策略提取模块构建的防护策略对分析确定的安全威胁形成对应的安全策略,并通过统一接口及融合转换模块进行策略分发,保持策略的动态性使策略协调一致;
统一接口及融合转换模块,所述统一接口及融合转换模块通过对经注册认证模块注册认证的设备进行分析,判定设备策略接口情况,根据设备策略接口下发安全策略。
2.根据权利要求1所述的面向异构安全机制的集中管控系统,其特征在于,所述统一接口及融合转换模块确定各类设备是否可直接调用系统开放的标准接口,对可直接调用平台开放的标准接口的设备,将安全策略,通过标准接口进行策略的下发,使相应的安全策略贯穿不同的位置及设备;对于无法直接调用平台开放的标准接口的设备,对设备接口进行分类归总,调取这一类设备接口,通过采取非标准化的接口方式把策略进行下发。
3.根据权利要求1所述的面向异构安全机制的集中管控系统,其特征在于,所述注册认证模块统一信息收集信息包括类型、标识信息、所属对象、策略方式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711073188.2A CN107733914B (zh) | 2017-11-04 | 2017-11-04 | 面向异构安全机制的集中管控系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711073188.2A CN107733914B (zh) | 2017-11-04 | 2017-11-04 | 面向异构安全机制的集中管控系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107733914A true CN107733914A (zh) | 2018-02-23 |
| CN107733914B CN107733914B (zh) | 2020-11-10 |
Family
ID=61221440
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711073188.2A Active CN107733914B (zh) | 2017-11-04 | 2017-11-04 | 面向异构安全机制的集中管控系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107733914B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114024759A (zh) * | 2021-11-09 | 2022-02-08 | 北京天融信网络安全技术有限公司 | 安全策略管控方法、装置、计算机设备和介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1988478A (zh) * | 2006-12-14 | 2007-06-27 | 上海交通大学 | 基于可扩展的标记语言的统一策略管理系统 |
| CN101778109A (zh) * | 2010-01-13 | 2010-07-14 | 苏州国华科技有限公司 | 一种访问控制策略构建方法及其系统 |
| CN102215212A (zh) * | 2010-04-02 | 2011-10-12 | 中兴通讯股份有限公司 | 一种安全策略的冲突处理方法、架构及统一转换器 |
| CN102594783A (zh) * | 2011-01-14 | 2012-07-18 | 中国科学院软件研究所 | 一种网络安全应急响应方法 |
| CN104883347A (zh) * | 2014-09-28 | 2015-09-02 | 北京匡恩网络科技有限责任公司 | 一种网络安全规则冲突分析与简化方法 |
| CN104901838A (zh) * | 2015-06-23 | 2015-09-09 | 中国电建集团成都勘测设计研究院有限公司 | 企业网络安全事件管理系统及其方法 |
| US20160219077A1 (en) * | 2015-01-22 | 2016-07-28 | Unisys Corporation | Integrated security management |
| CN106790023A (zh) * | 2016-12-14 | 2017-05-31 | 平安科技(深圳)有限公司 | 网络安全联合防御方法和装置 |
| CN106953837A (zh) * | 2015-11-03 | 2017-07-14 | 丛林网络公司 | 具有威胁可视化的集成安全系统 |
-
2017
- 2017-11-04 CN CN201711073188.2A patent/CN107733914B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1988478A (zh) * | 2006-12-14 | 2007-06-27 | 上海交通大学 | 基于可扩展的标记语言的统一策略管理系统 |
| CN101778109A (zh) * | 2010-01-13 | 2010-07-14 | 苏州国华科技有限公司 | 一种访问控制策略构建方法及其系统 |
| CN102215212A (zh) * | 2010-04-02 | 2011-10-12 | 中兴通讯股份有限公司 | 一种安全策略的冲突处理方法、架构及统一转换器 |
| CN102594783A (zh) * | 2011-01-14 | 2012-07-18 | 中国科学院软件研究所 | 一种网络安全应急响应方法 |
| CN104883347A (zh) * | 2014-09-28 | 2015-09-02 | 北京匡恩网络科技有限责任公司 | 一种网络安全规则冲突分析与简化方法 |
| US20160219077A1 (en) * | 2015-01-22 | 2016-07-28 | Unisys Corporation | Integrated security management |
| CN104901838A (zh) * | 2015-06-23 | 2015-09-09 | 中国电建集团成都勘测设计研究院有限公司 | 企业网络安全事件管理系统及其方法 |
| CN106953837A (zh) * | 2015-11-03 | 2017-07-14 | 丛林网络公司 | 具有威胁可视化的集成安全系统 |
| CN106790023A (zh) * | 2016-12-14 | 2017-05-31 | 平安科技(深圳)有限公司 | 网络安全联合防御方法和装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114024759A (zh) * | 2021-11-09 | 2022-02-08 | 北京天融信网络安全技术有限公司 | 安全策略管控方法、装置、计算机设备和介质 |
| CN114024759B (zh) * | 2021-11-09 | 2024-02-02 | 北京天融信网络安全技术有限公司 | 安全策略管控方法、装置、计算机设备和介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107733914B (zh) | 2020-11-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105335273B (zh) | 一种面向私有云的云管理平台 | |
| CN106209817B (zh) | 基于大数据和可信计算的信息网络安全自防御系统 | |
| CN106789964A (zh) | 云资源池数据安全检测方法及系统 | |
| CN100550768C (zh) | 一种信息安全管理平台 | |
| CN103684922B (zh) | 基于sdn网络的出口信息保密检查检测平台系统及检测方法 | |
| CN103166794A (zh) | 一种具有一体化安全管控功能的信息安全管理方法 | |
| CN108960456A (zh) | 私有云安全一体化运维平台 | |
| CN104509034A (zh) | 模式合并以识别恶意行为 | |
| CN103227797A (zh) | 分布式电力企业信息网络安全管理系统 | |
| CN101174973A (zh) | 一种网络安全管理构架 | |
| CN101309180A (zh) | 一种适用于虚拟机环境的安全网络入侵检测系统 | |
| CN102594783A (zh) | 一种网络安全应急响应方法 | |
| CN103338128A (zh) | 一种具有一体化安全管控功能的信息安全管理系统 | |
| CN106055984A (zh) | 一种应用于安全基线软件的分级管理方法 | |
| CN106886202A (zh) | 控制装置、综合生产系统及其控制方法 | |
| CN109981686A (zh) | 一种基于循环对抗的网络安全态势感知方法及系统 | |
| CN107547228A (zh) | 一种基于大数据的安全运维管理平台的实现架构 | |
| CN113709170A (zh) | 资产安全运营系统、方法和装置 | |
| CN206962850U (zh) | 电力信息网的安全防护系统及电力信息系统 | |
| CN107733914A (zh) | 面向异构安全机制的集中管控系统 | |
| CN101867571A (zh) | 基于协同多个移动代理的智能网络入侵防御系统 | |
| CN201699728U (zh) | 用于电力实时系统的可信网络管理系统 | |
| Din et al. | Critical success factors for managing information systems security in smart city enabled by Internet of things | |
| CN105487936A (zh) | 云环境下面向等级保护的信息系统安全性测评方法 | |
| CN110247888A (zh) | 一种计算机网络安全态势感知平台架构 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |