CN108965289A - 一种网络安全协同防护方法和系统 - Google Patents
一种网络安全协同防护方法和系统 Download PDFInfo
- Publication number
- CN108965289A CN108965289A CN201810751712.5A CN201810751712A CN108965289A CN 108965289 A CN108965289 A CN 108965289A CN 201810751712 A CN201810751712 A CN 201810751712A CN 108965289 A CN108965289 A CN 108965289A
- Authority
- CN
- China
- Prior art keywords
- security
- service
- secure resources
- security service
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种网络安全协同防护方法和系统,涉及网络安全技术领域,该方法包括:将已接入的基础安全防护系统所对应的安全资源转化为逻辑形态的安全资源池;依据安全资源池提供的第一安全服务形成安全服务目录,设置安全服务目录中的各第二安全服务对应的服务状态;依据安全事件进行安全防护策略匹配,确定目标安全防护策略;依据目标安全防护策略对已开放的第二安全服务进行编排处理,生成第三安全服务对应的服务描述信息;将服务描述信息提供给对应的安全防护应用,通过安全防护应用调用第三安全服务进行防护。本发明实施例提供统一的协同防护机制和支持系统,提升网络安全防护效果,满足新形势下网络安全防护需求。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种网络安全协同防护方法和一种网络安全协同防护系统。
背景技术
随着信息技术的快速发展,网络空间突破了时空限制,拓展了传播范围,创新了传播方式,引发了人类知识传播的根本性变革。在技术创新与应用需求的双重驱动下,不同类型网络的互联互通与深度融合成为趋势。
在融合网络环境下,网络架构更加复杂,多因素安全威胁持续增加。当前,网络安全防护主要依托基础安全防护系统实现,即针对特定场景,利用单一安全资源提供专项防护,提供网络安全保障。
然而,随着网络安全威胁日益变化,基础安全防护系统已经难以满足新形势下的网络安全防护需求。具体的,不同的基础安全防护系统具有各自特定的安全防护目标,即基础安全防护系统针对特定场景利用自身的单一安全资源提供专项防护,形成防护孤岛。与此同时,影响网络安全的多因素安全威胁不断增加,攻击行为呈现分布化、规模化、复杂化等趋势,仅依靠单一安全资源进行专项防护,已经无法应对当前的网络安全威胁,即无法满足安全防护需求。
发明内容
鉴于上述问题,提出了本发明实施例以便提供一种克服上述问题或者至少部分地解决上述问题的一种网络安全协同防护方法和相应的一种网络安全协同防护系统。
为了解决上述问题,本发明实施例公开了一种网络安全协同防护方法,包括:预先依据网络安全防护需求,将已接入的基础安全防护系统所对应的安全资源转化为逻辑形态的安全资源池;依据所述安全资源池提供的第一安全服务形成安全服务目录,设置所述安全服务目录中的各第二安全服务对应的服务状态;依据接收到的安全事件进行安全防护策略匹配,确定目标安全防护策略;依据所述目标安全防护策略对已开放的第二安全服务进行编排处理,生成第三安全服务和所述第三安全服务对应的服务描述信息;将所述服务描述信息提供给对应的安全防护应用,通过所述安全防护应用调用所述第三安全服务进行防护。
可选地,还包括:依据网络安全防护需求和所述已开放的第二安全服务,针对不同的安全事件定义安全防护策略;依据定义的安全防护策略,构建安全防护策略库;所述依据接收到的安全事件进行安全防护策略匹配,确定目标安全防护策略,包括:在接收到安全事件后,将所述安全事件与所述安全防护策略库中的安全防护策略进行动态匹配,得到所述安全事件对应的目标安全防护策略。
可选地,依据所述安全资源池提供的第一安全服务形成安全服务目录,设置所述安全服务目录中的各第二安全服务对应的服务状态,包括:对安全资源池提供的第一安全服务进行注册与配置,得到第二安全服务;基于所述第二安全服务形成安全服务目录;根据特定规则和网络安全防护需求,设置所述安全服务目录中的各第二安全服务对应的服务状态,所述服务状态包括已开放状态和未开放状态。
可选地,所述依据所述目标安全防护策略对已开放的第二安全服务进行编排处理,生成第三安全服务和所述第三安全服务对应的服务描述信息,包括:对所述目标安全防护策略对应的第二安全服务进行编排和/或重组,得到第三安全服务和所述第三安全服务对应的服务描述信息。
可选地,所述依据网络安全防护需求,将已接入的基础安全防护系统所对应的安全资源转化为逻辑形态的安全资源池,包括:依据网络安全防护需求,将安全功能虚拟化终端代理部署于基础安全防护系统;通过所述安全功能虚拟化终端代理和跨域联动接口,接入至少一个基础安全防护系统;对接入的基础安全防护系统进行统一管理和集中配置,形成安全资产列表;通过安全功能虚拟化服务端,依据所述安全资产列表,将已接入的基础安全防护系统所对应的安全资源转化为逻辑形态的安全资源池。
可选地,还包括:依据网络安全防护需求,通过所述安全功能虚拟化服务端,向所述安全功能虚拟化终端代理发送控制指令;通过所述安全功能虚拟化终端代理,依据所述控制指令获取所述基础安全防护系统对应的安全资源状态信息;依据所述安全资源状态信息,对所述基础安全防护系统对应的安全资源进行调度。
本发明实施例还公开了一种网络安全协同防护系统,包括:安全功能虚拟化管理模块,安全服务管理模块,安全事件解析模块和安全跨域联动模块;
其中,所述安全功能虚拟化管理模块,用于预先依据网络安全防护需求,将已接入的基础安全防护系统所对应的安全资源转化为逻辑形态的安全资源池;
所述安全服务管理模块,用于依据所述安全资源池提供的第一安全服务形成安全服务目录,设置所述安全服务目录中的各第二安全服务对应的服务状态;
所述安全事件解析模块,用于依据接收到的安全事件进行安全防护策略匹配,确定目标安全防护策略;
所述安全服务管理模块,还用于依据所述目标安全防护策略对已开放的第二安全服务进行编排处理,生成第三安全服务和所述第三安全服务对应的服务描述信息,以及,通过所述安全跨域联动模块将所述服务描述信息提供给对应的安全防护应用,以通过所述安全防护应用调用所述第三安全服务进行防护。
可选地,所述安全事件解析模块包括:
安全防护策略库子模块,用于依据网络安全防护需求和所述已开放的第二安全服务,针对不同的安全事件定义安全防护策略;依据定义的安全防护策略,构建安全防护策略库;
安全防护策略匹配子模块,用于在接收到安全事件后,将所述安全事件与所述安全防护策略库中的安全防护策略进行动态匹配,得到所述安全事件对应的目标安全防护策略。
可选地,所述安全服务管理模块,包括:
注册配置子模块,用于对安全资源池提供的第一安全服务进行注册与配置,得到第二安全服务;
服务目录子模块,用于基于所述第二安全服务形成安全服务目录;
服务状态设置子模块,用于根据特定规则和网络安全防护需求,设置所述安全服务目录中的各第二安全服务对应的服务状态,所述服务状态包括已开放状态和未开放状态。
可选地,所述安全服务管理模块,包括:
服务编排重组子模块,用于对所述目标安全防护策略对应的第二安全服务进行编排和/或重组,得到第三安全服务和所述第三安全服务对应的服务描述信息。
可选地,所述安全功能虚拟化管理模块,具体用于依据网络安全防护需求,将安全功能虚拟化终端代理部署于基础安全防护系统;通过所述安全功能虚拟化终端代理和所述安全跨域联动模块中的跨域联动接口,接入至少一个基础安全防护系统;对接入的基础安全防护系统进行统一管理和集中配置,形成安全资产列表;以及,通过安全功能虚拟化服务端,依据所述安全资产列表,将已接入的基础安全防护系统所对应的安全资源转化为逻辑形态的安全资源池。
可选地,所述安全功能虚拟化管理模块,还用于依据网络安全防护需求,通过所述安全功能虚拟化服务端和所述跨域联动接口,向所述安全功能虚拟化终端代理发送控制指令;通过所述安全功能虚拟化终端代理,依据所述控制指令获取所述基础安全防护系统对应的安全资源状态信息;依据所述安全资源状态信息,对所述基础安全防护系统对应的安全资源进行调度。
本发明实施例包括以下优点:
本发明实施例中可以将已接入的基础安全防护系统所对应的安全资源转化为逻辑形态的安全资源池,实现安全资源与物理形态解耦,解决了现有技术中安全防护能力的提升完全依赖安全设备的升级的问题,并提供统一的协同防护机制和支持系统。
此外,本发实施例可依据接收到的安全事件进行安全防护策略匹配,确定目标安全防护策略,随后可依据目标安全防护策略对已开放的第二安全服务进行编排处理,生成第三安全服务和所述第三安全服务对应的服务描述信息,以及将该服务描述信息提供给安全防护应用,从而使得安全防护应用可以依据该服务描述信息调用第三安全服务进行防护,即安全防护应用能够依据第三安全服务对应的服务描述信息调用不同领域的基础安全防护系统所提供的安全资源进行协同防护,从而提升网络安全防护效果,满足新形势下网络安全防护需求。
附图说明
图1是本发明的一种网络安全协同防护方法实施例的步骤流程图;
图2是本发明的一种网络安全协同防护系统实施例的结构框图
图3是本发明一个示例中的一种网络安全协同防护系统的结构框图;
图4是本发明一个示例中的网络安全协同防护系统的总体架构图;
图5是本发明的一种网络安全协同防护方法的注册过程的示意图;
图6是本发明一个示例中的金融机构核心数据防泄漏方法的注册过程的示意图;
图7是本发明的一种网络安全协同防护方法的调用过程的示意图;
图8是本发明一个示例中的金融机构核心数据防泄漏方法的调用过程的示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
当前,网络安全防护主要依托基础安全防护系统实现,即面向基础设施,构建具有检测、响应、防护能力的基础安全防护系统,从而可针对特定场景,利用单一安全资源提供专项防护,提供网络安全保障。目前,经过多年的信息安全建设,已形成覆盖不同领域的众多基础安全防护系统,如防火墙、入侵检测系统等,为网络安全防护奠定了基础。但是,现有的基础安全防护系统仅利用单一安全资源提供专项防护,形成防护孤岛,缺乏联动机制,无法应对多层面安全威胁。此外,现有不同的基础安全防护系统,不具备统一的协同防护机制和支撑系统,难以实现协同防护,因此无法满足新形势下的网络安全防护需求。
本发明实施例的核心构思之一在于,基于安全功能虚拟化(Security FunctionVirtualization,SFV),提供一种网络安全协同防护方法和系统,解决现有基础安全防护系统缺乏协同防护机制的问题,从而提升网络安全防护效果,满足新形势下网络安全防护需求。
其中,安全功能虚拟化是指:针对物理形态或逻辑形态的网络安全资产进行统一管理与集中配置,实现网络安全资源的软硬件解耦、功能抽象及策略编排,提供高灵活性、高扩展性、高弹性的安全服务,支持南北向、东西向多维安全资源跨域联动,从而解决传统网络安全防护的安全策略孤立、缺乏协同设计问题。
参照图1,示出了本发明的一种网络安全协同防护方法实施例的步骤流程图。该方法可以应用于网络安全协同防护系统中,具体可以包括如下步骤:
步骤101,预先依据网络安全防护需求,将已接入的基础安全防护系统所对应的安全资源转化为逻辑形态的安全资源池。
在本发明实施例中,可以依据网络安全防护需求,预先将一个或多个基础安全防护系统接入到网络安全协同防护系统中,使得该网络安全协同防护系统可以将已接入的基础安全防护系统所对应的安全资源转化为逻辑形态的安全资源池。具体的,网络安全协同防护系统可以利用虚拟化技术,将已接入的基础安全防护系统所对应的安全资源转化逻辑形态的安全资源池。该安全资源池可以为网络安全协同防护系统提供第一安全服务。例如,网络安全协同防护系统可以通过安全功能虚拟化服务端,利用虚拟化技术,对已接入的基础安全防护系统所对应的安全资源进行虚拟化,得到一个或多个以服务接口方式提供特定安全防护能力的安全资源池,实现安全资源与物理形态解耦。
步骤102,依据所述安全资源池提供的第一安全服务形成安全服务目录,设置所述安全服务目录中的各第二安全服务对应的服务状态。
本发明实施例中,可以对安全资源池所提供的第一安全服务进行注册,随后可对已注册的第一安全服务进行配置,如统一查询、修改、测试、查看、监控、流量控制和注销等,并且可以将已注册且完成配置的第一安全服务确定为接入到该网络安全协同防护系统中的第二安全服务,进而可以基于接入该网络安全协同防护系统的第二安全服务形成对应的安全服务目录;以及,可以根据特定规则和网络安全防护需求,设置该安全服务目录中的各第二安全服务对应的服务状态,如可以将第二安全服务对应的服务状态设置为已开放状态、未开放状态等,以基于服务状态为已开放状态的第二安全服务形成网络安全协同防护系统中的安全基础服务,即可将已开放的第二安全服务作为网络安全协同防护系统中的安全基础服务,以便后续安全防护应用可以调用该网络安全协同防护系统中已开放的安全基础服务进行协同防护。
步骤103,依据接收到的安全事件进行安全防护策略匹配,确定目标安全防护策略。
在本发明实施例中,网络安全协同防护系统在接收到输入的安全事件后,可依据该安全事件进行安全防护策略匹配,确定安全事件对应的目标安全防护策略。例如,在网络安全协同防护系统接收到输入的安全事件后,可以对该安全事件进行动态匹配,如可以将该安全事件与预先构建的安全防护策略库中的安全防护策略进行动态匹配,从而确定出该安全事件对应的安全防护策略。
在本发明的一个可选实施例中,还可以包括:依据网络安全防护需求和所述已开放的第二安全服务,针对不同的安全事件定义安全防护策略;依据定义的安全防护策略,构建安全防护策略库。具体而言,根据网络安全防护需求,可基于网络安全协同防护系统中已开放的第二安全服务,针对不同的安全事件定义对应的安全防护策略,如在网络安全协同防护系统接收到安全事件之前,可以在网络安全协同防护系统中,基于已开放的第二安全服务定义不同的安全事件对应的安全防护策略等。随后,可基于定义的安全防护策略,构建安全防护策略库。其中,安全防护策略库可以用于存储针对安全事件定义的一个或多个安全防护策略。可选的,通过网络安全协同防护系统,可以对安全防护策略库中的安全防护策略进行新增、删除、修改和查询等,本发明实施例对此不作限制。其中,安全防护策略可以是指:针对特定的安全事件,可以采用的安全防护方案,如可以调用一种或多种安全基础服务,单一或协同应对目标威胁。
可选地,上述依据所述安全事件进行动态匹配,确定目标安全防护策略,可以包括:在接收到安全事件后,将所述安全事件与所述安全防护策略库中的安全防护策略进行动态匹配,得到所述安全事件对应的目标安全防护策略。
步骤104,依据所述目标安全防护策略对已开放的第二安全服务进行编排处理,生成第三安全服务和所述第三安全服务对应的服务描述信息。
本发明实施例中,在网络安全协同防护系统确定出目标安全防护策略后,可以确定该目标安全防护策略对应的一个或多个已开放的第二安全服务,随后可对该目标安全防护策略对应的一个或多个已开放的第二安全服务进行编排处理,得到第三安全服务和该第三安全对应的服务描述信息。其中,已开放的第二安全服务可以包括:服务状态设置为已开放状态的第二安全服务。
例如,在目标安全防护策略对应一个已开放的第二安全服务的情况下,可以直接将这个第二安全服务确定为第三安全服务,并且可将这个第二安全服务所对应的服务描述信息转换为第三安全服务对应的服务描述信息;在目标安全防护策略对应两个或两个以上的已开放的第二安全服务的情况下,可以对该目标安全防护策略对应两个或两个以上的已开放的第二安全服务进行编排和/重组,得到一个或多个第三安全服务,随后可对一个或多个第三安全服务进行描述,得到第三安全服务对应的服务描述信息。
在本发明的一个可选实施例中,上述依据所述目标安全防护策略对已开放的第二安全服务进行编排处理,生成第三安全服务和所述第三安全服务对应的服务描述信息,包括:对所述目标安全防护策略对应的第二安全服务进行编排和/或重组,得到第三安全服务和所述第三安全服务对应的服务描述信息。
具体的,在目标安全防护策略对应至少两个已开放的第二安全服务的情况下,可以对该目标安全防护策略对应的第二安全服务进行编排,并基于编排后的第二安全服务构成安全服务序列,以及该安全服务序列中的各第二安全服务得到第三安全服务;或者,可以对该目标安全防护策略对应的至少两个第二安全服务进行重组,得到一个复合安全服务,将该复合安全服务作为第三安全服务。当然,也对该目标安全防护策略对应的第二安全服务进行编排重组,得到一个或多个第三安全服务,本发明实施例对此不作限制,例如,可对目标安全防护策略对应的第二安全服务进行编排,再对编排后的第二安全服务进行重组,得到第三安全服务;又如可对目标安全防护策略对应的第二安全服务进行重组,得到重组后的安全服务,然后可再对重组后的安全服务进行编排,得到第三安全服务。在得到第三安全服务后,可基于第二安全服务对应的服务描述信息对该第三安全服务进行描述,得到第三安全服务对应的服务描述信息。
步骤105,将所述服务描述信息提供给对应的安全防护应用,通过所述安全防护应用调用所述第三安全服务进行防护。
本发明实施例中,网络安全协同防护系统可以将第三安全服务对应的服务描述信息提供给安全防护应用,从而使得安全防护应用可以依据该服务描述信息调用第三安全服务进行防护,亦即,安全防护应用能够依据第三安全服务对应的服务描述信息实现协同防护,消除威胁。例如,网络安全防护应用可以依据第三安全服务对应的服务描述信息,通过网络安全协同防护系统的跨域联动接口,采用软件编程的方式,便捷调用第三安全服务对应的安全资源,消除威胁。
综上,本发明实施例中可以将已接入的基础安全防护系统所对应的安全资源转化为逻辑形态的安全资源池,实现安全资源与物理形态解耦,解决了现有技术中安全防护能力的提升完全依赖安全设备升级的问题,并且可以提供统一的协同防护机制和支持系统。
此外,本发实施例可依据接收到的安全事件进行安全防护策略动态匹配,确定目标安全防护策略,随后可依据目标安全防护策略对已开放的第二安全服务进行编排处理,生成第三安全服务和所述第三安全服务对应的服务描述信息,以及将该服务描述信息提供给安全防护应用,从而使得安全防护应用可以依据该服务描述信息调用第三安全服务进行防护,即安全防护应用能够依据第三安全服务对应的服务描述信息调用不同领域的基础安全防护系统所提供的安全资源进行协同防护,从而提升网络安全防护效果,满足新形势下网络安全防护需求。
在具体实现中,网络安全协同防护系统中可以包含有安全功能虚拟化服务端,并且可以利用虚拟化技术,将多种形态的安全资源转化为一个或多个以服务接口方式提供特定安全防护能力的逻辑形态的安全资源池,实现了安全资源与物理形态解耦,从而解决了安全资源与物理形态紧耦合导致现有基础安全防护系统的安全防护能力的提升完全依赖安全设备升级、功能固定难创新等问题。
在本发明的一个可选实施例中,上述依据所述安全资源池提供的第一安全服务形成安全服务目录,设置所述安全服务目录中的各第二安全服务对应的服务状态,具体可以包括:对安全资源池提供的第一安全服务进行注册与配置,得到第二安全服务;基于所述第二安全服务形成安全服务目录;根据特定规则和网络安全防护需求,设置所述安全服务目录中的各第二安全服务对应的服务状态,所述服务状态包括已开放状态和未开放状态。
具体的,网络安全协同防护系统可以录入接入服务基本信息,并可对安全资源池提供的第一安全服务进行注册,以及可以对已注册的第一安全服务进行配置,如统一查询、修改、测试、查看、监控、流量控制和/或注销等,得到第二安全服务。其中,安全资源池提供的第一安全服务可以包括各类型安全资源池提供的底层服务;接入服务基本信息可以包括:接入服务编号、接入服务名称、接入服务类别、接入服务描述、所属安全资源池名称、协议类型、接入地址、服务描述和其他预定义或自定义信息等,本发明实施例对此不作限制。
随后,网络安全协同防护系统可以基于得到的第二安全服务形成安全服务目录,如可以依据第二安全服务对应的接入服务基本信息生成安全服务目录等;以及可根据网络安全防护需求和安全协同防护系统中预先配置的特定规则,设置第二安全服务对应的服务状态。其中,服务状态可以用于确定第二安全服务是否可以被调用,如在第二安全服务的服务状态为未开放状态时,该第二安全服务不能被调用;而在第二安全服务的服务状态为已开放状态时,该第二安全服务可以被调用。服务状态为已开放状态的第二安全服务,可以形成安全协同防护系统中已开放的安全基础服务。第二安全服务可以具有松耦合、细粒度等特征。
在本发明的一个可选实施例中,依据网络安全防护需求,将已接入的基础安全防护系统所对应的安全资源转化为逻辑形态的安全资源池,包括:依据网络安全防护需求,将安全功能虚拟化终端代理部署于基础安全防护系统;通过所述安全功能虚拟化终端代理,接入至少一个基础安全防护系统;对接入的基础安全防护系统进行统一管理和集中配置,形成安全资产列表;通过安全功能虚拟化服务端,依据所述安全资产列表,将已接入的基础安全防护系统所对应的安全资源转化为逻辑形态的安全资源池。
在具体实现中,可根据网络安全防护需求,将安全功能虚拟化终端代理部署于基础安全防护系统,如可以以软件形态将网络安全协同防护系统的安全功能虚拟化终端代理部署于需要接入的一个或多个基础安全防护系统中,从而可以通过安全功能虚拟化终端代理,将一个或多个基础安全防护系统接入网络安全协同防护系统,实现基础安全防护系统与网络安全协同防护系统的通信。其中,基础安全防护系统可以包括现有不同领域的安全防护系统和在特定场景下具有安全防护功能的通用设备,如防火墙、入侵检测系统等,本发明实施例对此不作限制。
可选地,网络安全协同防护系统可以通过安全功能虚拟化终端代理和跨域联动接口,接入至少一个基础安全防护系统,并且可通过跨域联动接口与基础安全系统进行安全通信,进而可以对基础安全防护系统进行统一管理与集中配置,形成安全资产列表。该安全资产列表可以包含接入的基础安全防护系统对应的安全资产基本信息。其中,安全资产基本信息可以包括资产编号、资产名称、资产类型、安全域、运行状态、设备IP、重要性、厂商信息、权属信息、备注信息等。当然,网络安全协同防护系统还可以管理安全资产基本信息,以及可以对安全资产进行注册、查询、修改、删除等等,本发明实施例对此不作限制。
本发明实施例中,网络安全协同防护系统中的安全功能虚拟化服务端,可以依据所述安全资产列表,将已接入的基础安全防护系统所对应的安全资源转化为逻辑形态的安全资源池,如可以获取安全资产列表中所包含的安全资产基本信息,利用虚拟化技术,将多种形态的安全资源转化为一个或多个以服务接口方式提供特定安全防护能力的逻辑形态的安全资源池,实现安全资源与物理形态解耦。其中,安全资源池提供的第一安全服务可以接入到安全协同防护系统中,进而得到第二安全服务。可选地,安全功能虚拟化服务端还可以对以服务接口方式提供的第一安全服务进行管理和配置。
在具体实现中,用户可以根据网络安全防护需求,对网络安全协同防护系统中的第二安全服务进行服务检索,得到检索结果列表,从而可以通过该检索结果列表确定该网络安全协同防护系统中已开放的第二安全服务。在本发明的一个可选实施例中,还可以包括:对第二安全服务进行服务检索和检索结果列表展示。
具体的,根据网络安全防护需求,网络安全协同防护系统可以对第二安全服务进行服务检索,从而可以依据检索到的指定服务生成检索结果列表,以及对该检索结果列表进行展示,以通过该检索结果列表向用户展示检索到的指定服务。其中,服务检索可以包括:通过诸如服务编号、服务名称、服务类别、服务状态等检索条件查询所有第二安全服务。检索条件可以支持模糊输入。例如,用户可以通过输入模糊的检索条件,以触发网络安全协同防护系统依据该模糊的检索条件进行服务检索。在检索到指定服务后,网络安全协同防护系统可以通过检索结果列表展示服务编号、服务名称、服务类别、服务状态、服务描述等基本信息。此外,用户可以通过点击检索结果列表中的“详情”按钮,查阅接入服务基本信息。
在本发明实施例中,网络安全协同防护系统可以根据网络安全防护需求,通过跨域联动接口与基础安全系统进行安全通信,并且向安全功能虚拟化终端代理发送面向特定安全资源的控制指令,从而实现了对安全资源统一调度。可选地,网络安全协同防护方法还可以包括依据网络安全防护需求,通过所述安全功能虚拟化服务端,向所述安全功能虚拟化终端代理发送控制指令;通过所述安全功能虚拟化终端代理,依据所述控制指令获取所述基础安全防护系统对应的安全资源状态信息;依据所述安全资源状态信息,对所述基础安全防护系统对应的安全资源进行调度。其中,安全资源状态信息用于确定安全资源的调度状态,安全资源的调度状态包括繁忙状态、链路状态和其他预定义或自定义状态。
例如,根据网络安全防护需求,安全功能虚拟化服务端可以通过安全跨域联动模块的跨域联动接口与接入的基础安全系统进行安全通信,向安全功能虚拟化终端代理发送面向特定安全资源的控制指令,以依据控制指令获取基础安全防护系统对应的安全资源状态信息,从而可以依据安全资源状态信息确定出安全资源的调度状态,并基于安全资源的调度状态对基础安全防护系统对应的安全资源进行智能调度,实现对安全资源统一调度。
参照图2,示出了本发明的一种网络安全协同防护系统实施例的结构框图,具体可以包括:安全功能虚拟化管理模块210,安全服务管理模块220,安全事件解析模块230和安全跨域联动模块240。
其中,所述安全功能虚拟化管理模块210,用于预先依据网络安全防护需求,将已接入的基础安全防护系统所对应的安全资源转化为逻辑形态的安全资源池。所述安全服务管理模块220,用于依据所述安全资源池提供的第一安全服务形成安全服务目录,设置所述安全服务目录中的各第二安全服务对应的服务状态。所述安全事件解析模块230,用于依据接收到的安全事件进行安全防护策略匹配,确定目标安全防护策略。所述安全服务管理模块230,还用于依据所述目标安全防护策略对已开放的第二安全服务进行编排处理,生成第三安全服务和所述第三安全服务对应的服务描述信息,以及,通过所述安全跨域联动模块240将所述服务描述信息提供给对应的安全防护应用,以通过所述安全防护应用调用所述第三安全服务进行防护。
需要说明的是,安全跨域联动模块240可以为网络安全协同防护系统提供内外部通信保障,具体可以包括跨域联动接口、安全通信。跨域联动接口可提供标准通信接口,包括北向接口、南向接口和东西向接口等。其中,北向接口可以将第三安全服务对应的服务描述信息提供给网络安全防护应用。网络安全防护应用开发者通过北向接口,可以采用软件编程的方式,便捷调用第三安全服务对应的安全资源。南向接口,可以用于网络安全协同防护系统可以通过南向接口协议,完成对基础安全防护系统的管理和配置,支持常用协议和自定义协议。东西向接口可以用于网络安全协同防护系统的横向扩展,如形成分布式集群。此外,该安全跨域联动模块240中的安全通信可以基于国密兼容国际主流标准密码算法,保证数据通信全程机密性和完整性。
在具体实现中,网络安全协同防护系统可以基于已开放的第二安全服务构建安全防护策略库;并且,可以根据输入的安全事件在匹配安全防护策略,以及可以根据安全防护效果反馈,动态优化、更新安全防护策略库。具体的,安全事件解析模块230可以通过安全防护策略匹配,将安全事件与安全防护策略库中的安全防护策略进行动态匹配,确定安全事件对应的安全防护策略。其中,安全防护策略库可以是安全事件解析模块230根据网络安全防护需求,针对不同的安全事件,定义安全防护策略,构建的安全防护策略库。
在本发明的一个可选实施例中,所述安全事件解析模块230可以包括如下子模块:
安全防护策略库子模块,用于依据网络安全防护需求和所述已开放的第二安全服务,针对不同的安全事件定义安全防护策略;依据定义的安全防护策略,构建安全防护策略库;
安全防护策略匹配子模块,用于在接收到安全事件后,将所述安全事件与所述安全防护策略库中的安全防护策略进行动态匹配,得到所述安全事件对应的目标安全防护策略。
本发明实施例中,可选地,网络安全协同防护系统可以对安全防护策略进行智能优化,保证安全防护策略的适用性。具体的,安全事件解析模块230可以支持对安全防护策略库中的安全防护策略,进行新增、删除、修改和查询。此外,该安全事件解析模块230可以基于预定义、自定义和智能学习的优化规则,根据安全防护效果反馈,利用自然语言处理、机器学习、数据挖掘等智能技术,动态优化、更新安全防护策略库中的安全防护策略,从而实现了安全防护策略的优化,提升安全防护策略的适用性。
在本发明实施例中,可选的,安全服务管理模块220可以包括如下子模块:
注册配置子模块,用于对安全资源池提供的第一安全服务进行注册与配置,得到第二安全服务;
服务目录子模块,用于基于所述第二安全服务形成安全服务目录;
服务状态设置子模块,用于根据特定规则和网络安全防护需求,设置所述安全服务目录中的各第二安全服务对应的服务状态,所述服务状态包括已开放状态和未开放状态。
本发明实施例中的网络安全协同防护系统可以针对不同的安全事件和网络安全防护需求,支持安全基础服务的柔性编排和动态重组,重构安全防护能力,激发安全防护潜能。可选的,安全服务管理模块220包括:服务编排重组子模块。该服务编排重组子模块,用于对所述目标安全防护策略对应的第二安全服务进行编排和/或重组,得到第三安全服务和所述第三安全服务对应的服务描述信息。
本发明实施例中的网络安全协同防护系统可以提供安全功能虚拟化功能,从而实现安全资源与物理形态解耦,使得安全防护能力的提升不再完全依赖安全设备的升级,并可针对不同的安全事件和网络安全防护需求,支持第二安全服务的柔性编排和动态重组,重构安全防护能力,激发安全防护潜能,更具智能性。
在具体实现中,安全功能虚拟化管理模块210可以提供安全功能虚拟化功能,具体可以包含:安全功能虚拟化终端代理和安全功能虚拟化服务端。其中,安全功能虚拟化终端代理可以以软件形态部署于基础安全防护系统中,从而可以将一个或多个基础安全防护系统接入网络安全协同防护系统,并可以用于与网络安全协同防护系统的通信,进而通过安全功能虚拟化服务端对安全资源进行统一调度。安全功能虚拟化服务端可以通过安全跨域联动模块240的跨域联动接口与基础安全系统进行安全通信,向安全功能虚拟化终端代理发送面向特定安全资源的控制指令,以依据控制指令获取安全资源状态信息,从而可以依据安全资源状态信息确定出特定安全资源的调度状态,并基于确定出的调度状态对特定安全资源进行智能调度,实现对安全资源的统一调度。
在本发明的一个可选实施例中,所述安全功能虚拟化管理模块210具体用于依据网络安全防护需求,将安全功能虚拟化终端代理部署于基础安全防护系统;通过所述安全功能虚拟化终端代理和所述安全跨域联动模块240中的跨域联动接口,接入至少一个基础安全防护系统;对接入的基础安全防护系统进行统一管理和集中配置,形成安全资产列表;以及,通过安全功能虚拟化服务端,依据所述安全资产列表,将已接入的基础安全防护系统所对应的安全资源转化为逻辑形态的安全资源池。
在具体实现中,安全功能虚拟化管理模块可以支持对安全资源进行统一管理与集中配置,可以管理安全资产基本信息,即能够提供安全资产管理功能,实现安全资产的注册、查询、修改、删除。其中,安全资产可以包括用于网络安全协同防护的物理形态安全资产或逻辑形态安全资产,可以是实现网络安全协同防护的基础。此外,安全功能虚拟化管理模块可以提供诸如安全资源池管理等其他功能,如可以添加、移除或重组安全资源池,支持更改安全资源池内部的资源分配,提供资源监控功能,本发明实施例对此不作限制。
在本发明的一个可选实施例中,所述安全功能虚拟化管理模块,还可以用于依据网络安全防护需求,通过所述安全功能虚拟化服务端和所述跨域联动接口,向所述安全功能虚拟化终端代理发送控制指令;通过所述安全功能虚拟化终端代理,依据所述控制指令获取所述基础安全防护系统对应的安全资源状态信息;依据所述安全资源状态信息,对所述基础安全防护系统对应的安全资源进行调度。
在具体实现中,网络安全协同防护系统可以生成安全服务目录,并且可以依据该安全服务目录,面向第二安全服务,提供服务检索和检索结果列表展示功能。可选地,所述安全服务管理模块220,还可以用于依据网络安全防护需求对第二安全服务进行服务检索,得到检索结果列表;对所述检索结果列表进行展示。
综上,本发明实施例提供的网络安全协同防护系统可以提供统一的协同防护机制和支撑系统,并且可以针对物理形态或逻辑形态的网络安全资产进行统一管理与集中配置,打通防护壁垒,支持南北向、东西向多个基础安全防护系统的联动,从而解决了传统网络安全防护的安全策略孤立、缺乏协同设计问题,克服了现有基础安全防护系统在专项防护、人工策略等层面的缺陷,以及可以提供多维安全资源进行协同防护,提升网络安全防护效果,能够有效应对多因素安全威胁,满足新形势下网络安全防护需求。
作为本发明的一个示例,如图3所示,网络安全协同防护系统300可以由安全功能虚拟化管理模块210、安全服务管理模块220、安全事件解析模块230、安全跨域联动模块240、安全防护管理模块310组成。
在本示例中,安全功能虚拟化管理模块210,可以针对物理形态或逻辑形态的网络安全资产进行统一管理与集中配置,构建可以提供高灵活性、高扩展性、高弹性安全服务的安全资源池,实现安全资源与物理形态解耦,提供安全资产管理、安全功能虚拟化和安全资源池管理等功能。
安全服务管理模块220可以对安全资源池提供的安全服务进行注册与管理,向网络安全防护应用开放可调用的第三安全服务,提供安全服务注册、安全服务配置、安全服务目录、安全服务编排等功能。具体的,安全服务管理模块220基于安全服务注册功能,可以录入接入服务基本信息,并且可以对安全资源池提供的第一安全服务进行注册,进而可以对已注册的第一安全服务进行配置,如统一查询、修改、测试、查看、监控、流量控制和注销等。此外,安全服务管理模块220基于安全服务编排功能,可以针对不同的安全防护策略和网络安全防护需求,对已开放的第二安全服务进行柔性编排和动态重组,重构安全防护能力,从而可以激发安全防护潜能,实现多维安全资源协同防护,能够有效应对多因素安全威胁。
安全事件解析模块230可以构建安全防护策略库,并且可以根据输入的安全事件匹配安全防护策略,以及可以根据安全防护效果反馈,动态优化、更新安全防护策略库。
安全跨域联动模块240可以为网络安全协同防护系统提供内外部通信保障,可以包括跨域联动接口、安全通信子模块。其中,跨域联动接口可以是指安全跨域联动模块所提供的标准通信接口,具体可以包括北向接口、南向接口和东西向接口等。北向接口可以将第三安全服务对应的服务描述信息提供给网络安全防护应用。网络安全防护应用开发者可以通过北向接口,采用软件编程的方式,便捷调用第三安全服务对应的安全资源。例如,网络安全防护应用可以遵循RESTful(Representational State Transfer,表述性状态转移,简称REST,REST定义了一组架构约束条件和原则,满足这些约束条件和原则的应用程序或设计就是RESTful)的接口规范和网络安全防护系统中的自定义协议,通过网络安全防护系统的北向接口,调用第三安全服务对应的安全资源进行协同防护。网络安全协同防护系统可以通过南向接口的协议,完成对基础安全防护系统的管理和配置。该南向接口可以支持常用网络通信协议和网络安全防护系统中的自定义协议。东西向接口可以用于多个网络安全协同防护系统的横向扩展,形成分布式集群,可以遵循RESTful的接口规范和网络安全协同防护系统中的自定义协议。安全通信子模块,可以基于国密兼容国际主流标准密码算法,保证网络安全协同防护的数据通信全程的机密性和完整性。
安全防护管理模块310可以实现网络安全协同防护系统的配置和管理,具体可以包括监控审计、报表管理、用户管理、系统管理、系统数据库等。具体而言,安全防护管理模块310可以收集网络安全协同防护系统的日志,并且可以基于日志,根据预定义或自定义的审计策略,对网络安全协同防护全过程进行审计,形成审计报告,从而使得网络安全协同防护系统可以支持导出审计报告,实现了监控审计功能。此外,安全防护管理模块310也可以基于收集到的日志,根据预定义或自定义的可视化策略,对可视化策略中定义的内容进行可视化展示,形成多视角、多纬度的可视化报表,实现了报表管理功能,从而可以帮助用户洞悉网络安全协同防护状态,掌控网络安全协同防护全局情况。
安全防护管理模块310基于用户管理功能,可以提供网络安全协同防护系统的用户创建、删除、修改、查询,并且可以支持用户的分组设置、权限设置。其中,分组设置可以包括:自定义创建、删除、修改、查询用户分组,并可对用户分组设置描述信息,以及可以支持将用户移入或迁出特定用户分组。权限设置可以对不同的用户或用户分组,赋予不同的系统使用权限。
安全防护管理模块310基于系统管理功能,可以实现网络安全协同防护系统的环境配置、系统启停和数据备份。系统数据库可以用于承载网络安全协同防护系统运行的数据信息,具体可以包括一个或多个数据库,本发明实施例对此不作限制。
在具体实现中,网络安全协同防护方法可以分为注册过程和调用过程。其中,网络安全基础设施可以在注册过程中接入到网络安全协同防护系统,如图4所示,从而使得网络安全协同防护系统可以对接入到的网络安全基础设施进行集中管理,进而可以调用该网络安全基础设施所提供的安全资源进行协同防护。网络安全基础设施即基础安全防护系统,可以包括现有不同领域的安全防护系统和在特定场景下具有安全防护功能的通用设备,如防火墙、入侵检测系统等,本发明实施例对此不作限制。
在调用过程,网络安全协同防护系统可以通过安全跨域联动模块的跨域联动接口与网络安全防护应用进行安全通信,进而可以将第三安全服务对应的服务描述信息提供给网络安全防护应用,使得网络安全防护应用可以调用第三安全服务对应的安全资源,消除威胁。
具体而言,在注册过程中,可以根据网络安全防护需求,以软件形态部署安全功能虚拟化终端代理于基础安全防护系统中,从而可以将一个或多个基础安全防护系统接入网络安全协同防护系统,实现基础安全防护系统与网络安全协同防护系统的通信。例如,可以根据核心数据防泄漏需求,以软件形态部署安全功能虚拟化终端代理于金融机构中的安全防护端,如部署于金融机构中的数据防泄漏系统和数据安全交换系统,从而可以将数据防泄漏系统和数据安全交换系统接入网络安全协同防护系统,实现与网络安全协同防护系统的通信。
在基础安全防护系统接入到网络安全协同防护系统后,如图5所示,安全功能虚拟化管理模块可以通过安全跨域联动模块的跨域联动接口与接入的基础安全系统进行安全通信,进而可以对基础安全防护系统进行统一管理与集中配置,管理安全资产基本信息,对安全资产进行注册、查询、修改、删除。
例如,在接入的基础安全防护系统包括数据防泄漏系统和数据安全交换系统的情况下,网络安全协同防护方法可以是一种金融机构核心数据防泄漏方法。如图6所示,安全功能虚拟化管理模块的安全资产管理,通过安全跨域联动模块的跨域联动接口,与接入的数据防泄漏系统和数据安全交换系统进行安全通信,进而可以对数据防泄漏系统和数据安全交换系统进行统一管理与集中配置,并且可以管理安全资产基本信息,对安全资产进行注册、查询、修改、删除。
安全功能虚拟化服务端可以依据安全功能虚拟化管理模块配置的安全资产基本信息,利用虚拟化技术,将多种形态的安全资源转化为一个或多个以服务接口方式提供特定安全防护能力的逻辑形态的安全资源池,实现安全资源与物理形态解耦;以及,可以对安全资源池以服务接口方式提供的第一安全服务进行管理和配置。如结合上述例子,安全功能虚拟化服务端可以获取安全资产管理配置的安全资产基本信息,并且可以利用虚拟化技术,将多种形态的安全资源转化为以服务接口方式提供特定安全防护能力的逻辑形态的数据防泄漏资源池和数据安全交换资源池,实现安全资源与物理形态解耦;以及可以对以服务接口方式提供的安全防护服务第一安全服务进行管理和配置。其中,安全功能虚拟化服务端可将数据防泄漏系统所提供的安全资源转化为数据防泄漏资源池;以及,可将数据安全交换所提供的安全资源转化为数据安全交换资源池。
安全功能虚拟化管理模块可以根据网络安全防护需求进行安全资源池管理,如可以添加、移除或重组安全资源池,更改安全资源池内部的资源分配,以及可以对安全资源池进行资源监控。例如,根据核心数据防泄漏需求,安全功能虚拟化管理模块可以对数据防泄漏资源池和数据安全交换资源池进行管理,添加、移除或重组数据防泄漏资源池和数据安全交换资源池,更改数据防泄漏资源池和数据安全交换资源池内部的资源分配,进行资源监控。
根据网络安全防护需求,安全功能虚拟化服务端可以通过安全跨域联动模块的跨域联动接口与基础安全系统进行安全通信,向安全功能虚拟化终端代理发送面向特定安全资源的控制指令,以依据该控制指令获取特定按安全资源状态信息,从而可以依据安全资源状态信息对特定安全资源进行智能调度,实现对安全资源的统一调度。例如,根据核心数据防泄漏需求,安全功能虚拟化服务端可以通过安全跨域联动模块的跨域联动接口,与数据防泄漏系统和数据安全交换系统进行安全通信,并可以向数据防泄漏系统和数据安全交换系统中的安全功能虚拟化终端代理发送面向特定安全资源的控制指令,以依据控制指令获取特定安全资源对应的安全资源状态信息,进而实现对数据防泄漏系统和数据安全交换系统对应安全资源的统一调度。
安全服务管理模块可以录入基础安全系统所提供的接入服务基本信息,对安全资源池提供的第一安全服务进行注册;并且可以对已注册的第一安全服务进行配置,包括统一查询、修改、测试、查看、监控、流量控制和注销;以及可以根据特定规则和网络安全防护需求,设置第二安全服务的服务状态,从而可以将已开放的第二安全服务作为网络安全协同防护系统中的安全基础服务。例如,安全服务管理模块可以根据特定规则和核心数据防泄漏需求,设置第二安全服务的服务状态;并且可以根据核心数据防泄漏需求,对第二安全服务进行服务检索,然后可以对检索得到的检索结果列表进行展示。
此外,安全防护管理模块可以收集网络安全协同防护系统日志,并可以根据预定义或自定义的审计策略,对网络安全协同防护中的注册过程进行审计,形成审计报告;以及,可以支持网络安全协同防护系统导出审计报告。该安全防护管理模块还可以根据预定义或自定义的可视化策略,对可视化策略中定义的内容进行可视化展示,形成多视角、多纬度的可视化报表。例如,安全防护管理模块可以收集网络安全协同防护系统日志,并且可以根据预定义或自定义的审计策略对金融机构核心数据防泄漏的注册过程进行审计,形成审计报告;以及,可以根据预定义或自定义的可视化策略,对可视化策略中定义的内容进行可视化展示,形成多视角、多纬度的可视化报表。
在调用过程中,网络安全协同防护系统可以根据网络安全防护需求,如核心数据防泄漏需求,针对不同的安全事件,定义安全防护策略,构建安全防护策略库;以及,可以对安全防护策略库中的安全防护策略,进行新增、删除、修改和查询。具体的,在网络安全协同防护系统接收到输入的安全事件后,如图7所示,安全事件解析模块可以依据安全事件进行安全防护策略匹配,即将安全事件与安全防护策略库中的安全防护策略进行动态匹配,确定安全事件对应的目标安全防护策略。安全服务管理模块,可以针对不同的安全防护策略和网络安全防护需求,对已开放的第二安全服务进行柔性编排和动态重组,重构安全防护能力。此外,安全服务管理模块可以通过安全跨域联动模块的跨域联动接口与网络安全防护应用进行安全通信,然后将编排重组后的第三安全服务对应的服务描述信息提供给网络安全防护应用。该网络安全防护应用可以通过北向接口,采用软件编程的方式,便捷调用第三安全服务对应的安全资源,消除威胁。
例如,如图8所示,安全事件解析模块在接收到输入的数据泄漏事件后,可以将数据泄漏事件与安全防护策略库中的安全防护策略进行动态匹配,确定数据泄漏事件对应的安全防护策略,然后将该安全防护策略发送给安全服务管理模块,从而使得安全服务管理模块可以针对已明确的安全防护策略和核心数据防泄漏需求,对已开放的第二安全服务进行柔性编排和动态重组,重构安全防护能力。其中,安全服务管理模块可以通过安全跨域联动模块的跨域联动接口与核心数据防泄漏应用进行安全通信;可以将编排后得到的第三安全服务对应的服务描述信息提供给核心数据防泄漏应用。从而,核心数据防泄漏应用可以通过北向接口,采用软件编程的方式,便捷调用第三安全服务对应的安全资源,进而可以利用数据防泄漏资源池提供的阻断安全服务能力切断核心系统向外界提供核心数据的源头、调整数据安全交换资源池提供的数据安全交换服务能力拒绝为相关节点提供数据交换服务等,从而消除威胁。
在具体实现中,安全防护管理模块可以收集网络安全协同防护系统在调用过程中的日志,并可以根据预定义或自定义的审计策略,对网络安全协同防护的调用过程进行审计,形成审计报告,支持网络安全协同防护系统导出审计报告。该安全防护管理模块还可以根据预定义或自定义的可视化策略,对可视化策略中定义的内容进行可视化展示,形成多视角、多纬度的可视化报表。例如,安全防护管理模块可以收集网络安全协同防护系统日志,然后可以根据预定义或自定义的审计策略,基于该日志对金融机构核心数据防泄漏的调用过程进行审计,形成审计报告;以及可以根据预定义或自定义的可视化策略,对可视化策略中定义的内容进行可视化展示,形成多视角、多纬度的可视化报表。
综上,本发明实施例提供了一种基于SFV的网络安全协同防护方法和系统,从而解决了传统网络安全防护的安全策略孤立、缺乏协同设计问题,并且可以克服基础安全防护系统在专项防护、人工策略等层面的缺陷,提升网络安全防护效果,能够满足新形势下网络安全防护需求。
具体而言,本发明实施例提供统一的协同防护机制和支撑系统,可以针对物理形态或逻辑形态的网络安全资产进行统一管理与集中配置,打通防护壁垒,支持南北向、东西向多个基础安全防护系统的联动,提供多维安全资源进行协同防护,有效应对多因素安全威胁。
应用本发明实施例,可以构建高灵活性、高扩展性、高弹性安全服务的安全资源池,从而可以实现安全资源与物理形态解耦,使得安全防护能力的提升不再完全依赖安全设备的升级。本发明实施例针对不同的安全事件和网络安全防护需求,支持安全基础服务的柔性编排和动态重组,从而可以重构安全防护能力,激发安全防护潜能,更具智能性。
进一步而言,本发明实施例在构建安全防护策略库后,可以根据安全防护效果反馈,引入基于机器学习的安全防护策略优化技术,动态优化、更新安全防护策略,从而提升安全防护策略的适用性。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
对于系统实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的一种网络安全协同防护方法和一种网络安全协同防护系统,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (12)
1.一种网络安全协同防护方法,其特征在于,包括:
预先依据网络安全防护需求,将已接入的基础安全防护系统所对应的安全资源转化为逻辑形态的安全资源池;
依据所述安全资源池提供的第一安全服务形成安全服务目录,设置所述安全服务目录中的各第二安全服务对应的服务状态;
依据接收到的安全事件进行安全防护策略匹配,确定目标安全防护策略;
依据所述目标安全防护策略对已开放的第二安全服务进行编排处理,生成第三安全服务和所述第三安全服务对应的服务描述信息;
将所述服务描述信息提供给对应的安全防护应用,通过所述安全防护应用调用所述第三安全服务进行防护。
2.根据权利要求1所述的方法,其特征在于,还包括:
依据网络安全防护需求和所述已开放的第二安全服务,针对不同的安全事件定义安全防护策略;
依据定义的安全防护策略,构建安全防护策略库;
所述依据接收到的安全事件进行安全防护策略匹配,确定目标安全防护策略,包括:在接收到安全事件后,将所述安全事件与所述安全防护策略库中的安全防护策略进行动态匹配,得到所述安全事件对应的目标安全防护策略。
3.根据权利要求1所述的方法,其特征在于,依据所述安全资源池提供的第一安全服务形成安全服务目录,设置所述安全服务目录中的各第二安全服务对应的服务状态,包括:
对安全资源池提供的第一安全服务进行注册与配置,得到第二安全服务;
基于所述第二安全服务形成安全服务目录;
根据特定规则和网络安全防护需求,设置所述安全服务目录中的各第二安全服务对应的服务状态,所述服务状态包括已开放状态和未开放状态。
4.根据权利要求1至3任一所述的方法,其特征在于,所述依据所述目标安全防护策略对已开放的第二安全服务进行编排处理,生成第三安全服务和所述第三安全服务对应的服务描述信息,包括:
对所述目标安全防护策略对应的第二安全服务进行编排和/或重组,得到第三安全服务和所述第三安全服务对应的服务描述信息。
5.根据权利要求1至3任一所述的方法,其特征在于,所述依据网络安全防护需求,将已接入的基础安全防护系统所对应的安全资源转化为逻辑形态的安全资源池,包括:
依据网络安全防护需求,将安全功能虚拟化终端代理部署于基础安全防护系统;
通过所述安全功能虚拟化终端代理和跨域联动接口,接入至少一个基础安全防护系统;
对接入的基础安全防护系统进行统一管理和集中配置,形成安全资产列表;
通过安全功能虚拟化服务端,依据所述安全资产列表,将已接入的基础安全防护系统所对应的安全资源转化为逻辑形态的安全资源池。
6.根据权利要求5所述的方法,其特征在于,还包括:
依据网络安全防护需求,通过所述安全功能虚拟化服务端,向所述安全功能虚拟化终端代理发送控制指令;
通过所述安全功能虚拟化终端代理,依据所述控制指令获取所述基础安全防护系统对应的安全资源状态信息;
依据所述安全资源状态信息,对所述基础安全防护系统对应的安全资源进行调度。
7.一种网络安全协同防护系统,其特征在于,包括:安全功能虚拟化管理模块,安全服务管理模块,安全事件解析模块和安全跨域联动模块;其中,
所述安全功能虚拟化管理模块,用于预先依据网络安全防护需求,将已接入的基础安全防护系统所对应的安全资源转化为逻辑形态的安全资源池;
所述安全服务管理模块,用于依据所述安全资源池提供的第一安全服务形成安全服务目录,设置所述安全服务目录中的各第二安全服务对应的服务状态;
所述安全事件解析模块,用于依据接收到的安全事件进行安全防护策略匹配,确定目标安全防护策略;
所述安全服务管理模块,还用于依据所述目标安全防护策略对已开放的第二安全服务进行编排处理,生成第三安全服务和所述第三安全服务对应的服务描述信息,以及,通过所述安全跨域联动模块将所述服务描述信息提供给对应的安全防护应用,以通过所述安全防护应用调用所述第三安全服务进行防护。
8.根据权利要求7所述的系统,其特征在于,所述安全事件解析模块包括:
安全防护策略库子模块,用于依据网络安全防护需求和所述已开放的第二安全服务,针对不同的安全事件定义安全防护策略;依据定义的安全防护策略,构建安全防护策略库;
安全防护策略匹配子模块,用于在接收到安全事件后,将所述安全事件与所述安全防护策略库中的安全防护策略进行动态匹配,得到所述安全事件对应的目标安全防护策略。
9.根据权利要求7所述的系统,其特征在于,所述安全服务管理模块,包括:
注册配置子模块,用于对安全资源池提供的第一安全服务进行注册与配置,得到第二安全服务;
服务目录子模块,用于基于所述第二安全服务形成安全服务目录;
服务状态设置子模块,用于根据特定规则和网络安全防护需求,设置所述安全服务目录中的各第二安全服务对应的服务状态,所述服务状态包括已开放状态和未开放状态。
10.根据权利要求7至9任一所述的系统,其特征在于,所述安全服务管理模块,包括:
服务编排重组子模块,用于对所述目标安全防护策略对应的第二安全服务进行编排和/或重组,得到第三安全服务和所述第三安全服务对应的服务描述信息。
11.根据权利要求7至9任一所述的系统,其特征在于,
所述安全功能虚拟化管理模块,具体用于依据网络安全防护需求,将安全功能虚拟化终端代理部署于基础安全防护系统;通过所述安全功能虚拟化终端代理和所述安全跨域联动模块中的跨域联动接口,接入至少一个基础安全防护系统;对接入的基础安全防护系统进行统一管理和集中配置,形成安全资产列表;以及,通过安全功能虚拟化服务端,依据所述安全资产列表,将已接入的基础安全防护系统所对应的安全资源转化为逻辑形态的安全资源池。
12.根据权利要求11所述的系统,其特征在于,
所述安全功能虚拟化管理模块,还用于依据网络安全防护需求,通过所述安全功能虚拟化服务端和所述跨域联动接口,向所述安全功能虚拟化终端代理发送控制指令;通过所述安全功能虚拟化终端代理,依据所述控制指令获取所述基础安全防护系统对应的安全资源状态信息;依据所述安全资源状态信息,对所述基础安全防护系统对应的安全资源进行调度。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810751712.5A CN108965289B (zh) | 2018-07-10 | 2018-07-10 | 一种网络安全协同防护方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810751712.5A CN108965289B (zh) | 2018-07-10 | 2018-07-10 | 一种网络安全协同防护方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108965289A true CN108965289A (zh) | 2018-12-07 |
| CN108965289B CN108965289B (zh) | 2019-10-29 |
Family
ID=64483750
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810751712.5A Active CN108965289B (zh) | 2018-07-10 | 2018-07-10 | 一种网络安全协同防护方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108965289B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111464528A (zh) * | 2020-03-30 | 2020-07-28 | 绿盟科技集团股份有限公司 | 网络安全防护方法、系统、计算设备和存储介质 |
| CN111756692A (zh) * | 2020-05-19 | 2020-10-09 | 中国科学院信息工程研究所 | 一种网络安全防护方法及系统 |
| CN111818068A (zh) * | 2020-07-14 | 2020-10-23 | 绿盟科技集团股份有限公司 | 微场景案例的编排验证方法、装置、介质及计算机设备 |
| CN112104540A (zh) * | 2020-09-08 | 2020-12-18 | 中国电子科技集团公司第五十四研究所 | 一种跨域资源动态编排方法及跨域互联系统 |
| CN112769841A (zh) * | 2021-01-15 | 2021-05-07 | 杭州安恒信息技术股份有限公司 | 一种基于网络安全设备的网络安全防护的方法及系统 |
| CN112839049A (zh) * | 2021-01-18 | 2021-05-25 | 北京长亭未来科技有限公司 | Web应用防火墙防护方法、装置、存储介质及电子设备 |
| CN113780974A (zh) * | 2021-08-09 | 2021-12-10 | 北京永信至诚科技股份有限公司 | 一种网络安全服务管控系统 |
| WO2021252219A1 (en) * | 2020-06-10 | 2021-12-16 | Charter Communications Operating, Llc | Method and framework for internet of things network security |
| CN114137861A (zh) * | 2021-10-23 | 2022-03-04 | 西安电子科技大学 | 一种意图驱动的云安全服务系统及方法 |
| CN114531267A (zh) * | 2021-12-31 | 2022-05-24 | 华能信息技术有限公司 | 一种数据资产管理方法及系统 |
| CN114666161A (zh) * | 2022-04-29 | 2022-06-24 | 深信服科技股份有限公司 | 一种组件安全策略管理方法、装置、设备及存储介质 |
| CN115664846A (zh) * | 2022-12-08 | 2023-01-31 | 深圳市永达电子信息股份有限公司 | 一种网络安全管控系统及方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140137241A1 (en) * | 2012-11-14 | 2014-05-15 | Click Security, Inc. | Automated security analytics platform with pluggable data collection and analysis modules |
| EP2889798A1 (en) * | 2013-12-27 | 2015-07-01 | Huawei Technologies Co., Ltd. | Method and apparatus for improving network security |
| CN106384051A (zh) * | 2016-09-29 | 2017-02-08 | 汉兴德创(武汉)科技有限公司 | 一种基于云计算的多用户协同安全防护系统 |
| CN107483444A (zh) * | 2017-08-22 | 2017-12-15 | 北京邮电大学 | 一种智能电网信息传输安全防护装置及安全防护方法 |
-
2018
- 2018-07-10 CN CN201810751712.5A patent/CN108965289B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140137241A1 (en) * | 2012-11-14 | 2014-05-15 | Click Security, Inc. | Automated security analytics platform with pluggable data collection and analysis modules |
| EP2889798A1 (en) * | 2013-12-27 | 2015-07-01 | Huawei Technologies Co., Ltd. | Method and apparatus for improving network security |
| CN106384051A (zh) * | 2016-09-29 | 2017-02-08 | 汉兴德创(武汉)科技有限公司 | 一种基于云计算的多用户协同安全防护系统 |
| CN107483444A (zh) * | 2017-08-22 | 2017-12-15 | 北京邮电大学 | 一种智能电网信息传输安全防护装置及安全防护方法 |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111464528A (zh) * | 2020-03-30 | 2020-07-28 | 绿盟科技集团股份有限公司 | 网络安全防护方法、系统、计算设备和存储介质 |
| CN111756692A (zh) * | 2020-05-19 | 2020-10-09 | 中国科学院信息工程研究所 | 一种网络安全防护方法及系统 |
| WO2021252219A1 (en) * | 2020-06-10 | 2021-12-16 | Charter Communications Operating, Llc | Method and framework for internet of things network security |
| US11258830B2 (en) | 2020-06-10 | 2022-02-22 | Charter Communications Operating, Llc | Method and framework for internet of things network security |
| CN111818068B (zh) * | 2020-07-14 | 2022-07-15 | 绿盟科技集团股份有限公司 | 微场景案例的编排验证方法、装置、介质及计算机设备 |
| CN111818068A (zh) * | 2020-07-14 | 2020-10-23 | 绿盟科技集团股份有限公司 | 微场景案例的编排验证方法、装置、介质及计算机设备 |
| CN112104540A (zh) * | 2020-09-08 | 2020-12-18 | 中国电子科技集团公司第五十四研究所 | 一种跨域资源动态编排方法及跨域互联系统 |
| CN112769841A (zh) * | 2021-01-15 | 2021-05-07 | 杭州安恒信息技术股份有限公司 | 一种基于网络安全设备的网络安全防护的方法及系统 |
| CN112839049A (zh) * | 2021-01-18 | 2021-05-25 | 北京长亭未来科技有限公司 | Web应用防火墙防护方法、装置、存储介质及电子设备 |
| CN112839049B (zh) * | 2021-01-18 | 2023-07-11 | 北京长亭未来科技有限公司 | Web应用防火墙防护方法、装置、存储介质及电子设备 |
| CN113780974A (zh) * | 2021-08-09 | 2021-12-10 | 北京永信至诚科技股份有限公司 | 一种网络安全服务管控系统 |
| CN114137861A (zh) * | 2021-10-23 | 2022-03-04 | 西安电子科技大学 | 一种意图驱动的云安全服务系统及方法 |
| CN114531267A (zh) * | 2021-12-31 | 2022-05-24 | 华能信息技术有限公司 | 一种数据资产管理方法及系统 |
| CN114531267B (zh) * | 2021-12-31 | 2024-01-23 | 华能信息技术有限公司 | 一种数据资产管理方法及系统 |
| CN114666161A (zh) * | 2022-04-29 | 2022-06-24 | 深信服科技股份有限公司 | 一种组件安全策略管理方法、装置、设备及存储介质 |
| CN114666161B (zh) * | 2022-04-29 | 2024-04-09 | 深信服科技股份有限公司 | 一种组件安全策略管理方法、装置、设备及存储介质 |
| CN115664846A (zh) * | 2022-12-08 | 2023-01-31 | 深圳市永达电子信息股份有限公司 | 一种网络安全管控系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108965289B (zh) | 2019-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108965289B (zh) | 一种网络安全协同防护方法和系统 | |
| US10009385B2 (en) | Method and system for managing security policies | |
| Force et al. | Security and privacy controls for federal information systems and organizations | |
| US11477093B2 (en) | Coupling of a business component model to an information technology model | |
| US7523092B2 (en) | Optimization of aspects of information technology structures | |
| US7568022B2 (en) | Automated display of an information technology system configuration | |
| CN107241360A (zh) | 一种数据安全共享交换方法和数据安全共享交换平台系统 | |
| Fortis et al. | Towards an ontology for cloud services | |
| Juneja et al. | Futuristic cyber-twin architecture for 6G technology to support internet of everything | |
| EP4011127A1 (en) | Methods and devices for resource sharing using smart contracts | |
| Pattaranantakul et al. | Leveraging network functions virtualization orchestrators to achieve software-defined access control in the clouds | |
| Lahmar et al. | Multicloud service composition: a survey of current approaches and issues | |
| Buzachis et al. | Basic principles of osmotic computing: secure and dependable microelements (mels) orchestration leveraging blockchain facilities | |
| Shakeri et al. | Modeling and matching digital data marketplace policies | |
| Tan et al. | Dynamic security reconfiguration for the semantic web | |
| Lin et al. | Autonomic security management for IoT smart spaces | |
| Jiang et al. | Model-Based Cybersecurity Analysis: Extending Enterprise Modeling to Critical Infrastructure Cybersecurity | |
| Ince et al. | Planning and Architectural Design of Modern Command Control Communications and Information Systems: Military and Civilian Applications | |
| de Aguiar Monteiro et al. | A Survey on Microservice Security–Trends in Architecture Privacy and Standardization on Cloud Computing Environments | |
| Moore et al. | Impact of operational and restoration interdependencies on cost and disruptive effect in multilayered infrastructure networks | |
| Aime et al. | Automatic (re) configuration of IT systems for dependability | |
| Soultatos et al. | Towards a security, privacy, dependability, interoperability framework for the Internet of Things | |
| Alqahtani et al. | Auditing requirements for implementing the chinese wall model in the service cloud | |
| Servin et al. | An optimization approach using soft constraints for the cascade vulnerability problem | |
| JP2012108629A (ja) | ポリシ判定装置、方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |