CN109040037A - 一种基于策略和规则的安全审计系统 - Google Patents
一种基于策略和规则的安全审计系统 Download PDFInfo
- Publication number
- CN109040037A CN109040037A CN201810801094.0A CN201810801094A CN109040037A CN 109040037 A CN109040037 A CN 109040037A CN 201810801094 A CN201810801094 A CN 201810801094A CN 109040037 A CN109040037 A CN 109040037A
- Authority
- CN
- China
- Prior art keywords
- strategy
- configuration
- network
- analysis
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012550 audit Methods 0.000 claims abstract description 27
- 238000013461 design Methods 0.000 claims abstract description 7
- 238000004458 analytical method Methods 0.000 claims description 43
- 238000007726 management method Methods 0.000 claims description 25
- 238000007689 inspection Methods 0.000 claims description 12
- 230000006978 adaptation Effects 0.000 claims description 9
- 238000013475 authorization Methods 0.000 claims description 9
- 238000000034 method Methods 0.000 claims description 8
- 238000012545 processing Methods 0.000 claims description 6
- 230000005856 abnormality Effects 0.000 claims description 3
- 238000012098 association analyses Methods 0.000 claims description 3
- 230000008676 import Effects 0.000 claims description 3
- 239000000178 monomer Substances 0.000 claims description 3
- 230000008569 process Effects 0.000 claims description 3
- 238000012163 sequencing technique Methods 0.000 claims description 3
- 239000013589 supplement Substances 0.000 claims description 3
- 230000026676 system process Effects 0.000 claims description 3
- 230000002265 prevention Effects 0.000 claims description 2
- 238000005457 optimization Methods 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 6
- 239000000047 product Substances 0.000 description 4
- 241000721662 Juniperus Species 0.000 description 3
- 230000009471 action Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000035800 maturation Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本发明公开了一种基于策略和规则的安全审计系统,无需对现有的网络系统进行修改,包括无需修改现有的不具备安全功能的网络进行修改,仅需通过部署安全配置策略审计系统,即可为现有的网络系统访问控制安全防护,对当前网络内设网关设备众多、类型、厂商愈加复杂情况下,该安全策略设计系统具有可适配国内外绝大部分网关厂商产品,不限于防火墙、路由器、交换机,可实现自动采集设别策略、日志,适配性高,兼容型好,自动化程度高,可提供策略配置优化建议、安全审计、网络拓扑分析、合规性设计等功能。
Description
技术领域
本发明涉及安全审计系统技术领域,尤其涉及一种基于策略和规则的安全审计系统。
背景技术
相对于其他安全产品,防火墙在网络的应用中要普遍的多,同时在安全市场上也是相对要成熟的技术。目前市场上的主流防火墙有思科、华为、Juniper、Checkpoint等几大品牌。
Cisco的PIX防火墙和IOS防火墙都实现的是状态数据报过滤。对于通过这些防火墙的过滤来说,防火墙维护了与连接状态相关的内部信息,并且在一定程度上能够检查数据报内的数据。
华为防火墙则通过设置,可以灵活地划分安全区域,不仅能设置为预定义的本地区域(Local)、受信区(Trust)、非受信区(Untrust)、DMZ(Demilitarized Zone)区或者虚拟区域(Vzone),还可以自定义为其他安全级别的区域。当数据在分属于两个不同安全级别的接口之间流动的时候,会激活Eudemon 1000E 的安全规则检查功能。
Juniper 防火墙作为专业的网络安全设备,可以支持各种复杂网络环境中的网络安全应用需 求;但是由于部署模式及功能的多样性使得 Juniper 防火墙在实际部署时具有一定的复杂性。
CheckPoint防火墙可以为复杂基础架构中的多个网络提供综合全面的保护,帮助它们安全的连接到互联网和 DMZ 等共享的资源,并且实现了在提供集中管理的同时允许它们之间进行安全互动。 该防火墙网关利用一台硬件设备就可以帮助各单位创建一个包括路由器、交换机和 VPN-1 网关的复杂、虚拟的网络,其负责安全保护和联网的物理设备,减少了为整个网络提供安全保障所需的硬件投入。
防火墙策略审计及安全域连通性自动分析对防火墙的管理和网络优化相当重要,因为充分的分析能够帮助管理员进行正确决策,并能随时掌握防火墙的当前工作状态,检查网络运行实况,并给出防火墙配置中存在问题,给出修改建议,提升网络管理水平。
那么当前相关的分析平台还很少,而且均是针对单一网络设备产品、单独部门使用的小型软件,没有统一的集成平台,这对于现有防火墙的使用管理带来诸多不便,也存在许多不足,比如部分软件仅是针对一些网络系统管理员用户来开发的,可以满足小型机构内部网络检测的要求,但是如果拥有不同的防火墙,则其并不能满足所要的需求,且扩展性,所以应该根据需要进行集成开发。
根据以上现状,我们可以充分的认识到防火墙策略审计及安全域连通性自动分析的重要性,以及对其进行分析研究的内容广度,因此我们需要对各种防火墙的现有版本进行研究,分析其配置策略及方法,提出共同特性,进而开发出能够进行统一分析防火墙相关配置文件的平台。
发明内容
本发明的目的就在于为了解决上述问题而提供一种基于策略和规则的安全审计系统。
本发明通过以下技术方案来实现上述目的:
本发明包括
对外接入层,包含用户通过浏览器访问Web页面、基于webservice等其他接口技术的的第三方模块调用,提供对外的数据查询,数据导入导出等接口;
核心服务层,包含策略分析引擎、安全配置采集引擎、网络扫描引擎、统一分析引擎;
系统处理层,包含数据处理和系统服务;
基础平台层,包含软件平台和硬件平台。
本发明优选地,所述对外接入层包括:策略审计任务管理、资产管理、网络展示、审计规则库配置、报表管理、日志监控、引擎升级模块、用户管理模块,以及对外的接口服务,该层软件设计上采用了B/S的Web架构设计了一个自动化的安全策略审计台,将检查工作交由平台执行,采用B/S架构可以使检查人员在任何时间和任何地方,只要其能够登录到安全策略审计平台,就可以进行自动化的检查操作,而且在检查的过程中无需安装任何工具。
本发明优选地,所述策略分析引擎包含
策略覆盖,策略覆盖是指:在相同接口下, 一条策略的源IP、目的IP、源端口,协议相同、目的端口协议相同分别为另一条的子集,且采取的动作一致;
策略冗余,在相同接口下,前策略的源IP、目的IP、源端口协议相同、目的端口协议相同分别为后一条的子集,且采取的动作一致;
策略冲突,在相同接口下, 一条策略的源IP、目的IP、源端口协议相同、目的端口协议相同分别为另一条的子集,且采取的动作相异;
建议合并,在相同接口下,前后两条策略的源IP、目的IP、目的端口四个字段中有三个字段完全相同,另一个字段不同,且采取的动作一致。实际上,两条策略并没有发生实质上的重复。
本发明优选地,所述安全配置采集引擎包括
多协议采集,配置采集引擎负责采集网络设备的安全策略配置、安全策略执行日志,配置获取基于两种方式:基于多协议远程采集,包括SSH、telnet、ftp配置远程自动获取、配置人工导入;
安全配置适配,由于网络设备厂家众多,型号众多,导致采集方式、配置文件位置、文件格式不统一,适配复杂性高,需要一个具有良好适配性的引擎,实现多协议适配、根据厂家、型号的不同实现文件正确读取、实现多种文件格式的解读;
安全配置管理,配置管理旨在实现对采集的安全配置,实现统一管理;
安全配置范化,由于网络设备涉及多厂家、多型号,导致配置内容多样化;需要对采集到的配置统一规范为统一格式,实现所有厂家配置的统一分析,处理。
本发明优选地,所述网络扫描引擎实现了对网络内资产的发现、端口扫描、服务识别、操作系统识别,所述网络扫描引擎需要实现的功能是通过扫描网络,找出网络中的设备,并对其进行识别,网络扫描最核心步骤就是根据网络协议收发数据包,整个过程可以分为四部分,按照先后顺序分别是主机发现、端口扫描、服务识别、系统识别,这四部分所做的工作越来越细致,后面每一步都需要前面的结果作为基础。
本发明优选地,所述统一分析引擎包括
过度授权分析,搜集高危的端口或配置行为,分析出可能存在的过度授权访问,或由用户补充,进行过度授权分析,目的旨在降低高风险事件的发生率;
连通性分析,针对于单体防火墙各个接口所连接的域或子网;
日志分析,日志分析旨在对安全策略执行过程中产生的日志进行分析,发现异常包检测;
多级策略关联分析针对多级防火墙的级联分析。
本发明优选地,同级防火墙间的审计规则为,
防火墙间的关系包括主备倒换和非主备倒换;主备倒换,主要的访问控制策略须一致;可能出现的问题是主备防火墙的主要访问控制策略不同;非主备倒换,当防火墙有相同可达子网时,访问控制策略须一致;可能出现的问题是对于相同可达子网,防火墙配置了不同的访问控制策略,引起配置失效。
本发明优选地,针对多级复杂防火墙的策略审计,策略分析引擎主要包括分析网络拓扑,防火墙之间的层级关系,不同防火墙之间的策略规则库,全面审计网络中各级防火墙之间可能发生的效率低下,冗余,冲突,过度授权,不符合业务要求等各种问题。
本发明的有益效果在于:
本发明提供一种基于策略和规则的安全审计系统,无需对现有的网络系统进行修改,包括无需修改现有的不具备安全功能的网络进行修改,仅需通过部署安全配置策略审计系统,即可为现有的网络系统访问控制安全防护,对当前网络内设网关设备众多、类型、厂商愈加复杂情况下,该安全策略设计系统具有可适配国内外绝大部分网关厂商产品,不限于防火墙、路由器、交换机,可实现自动采集设别策略、日志,适配性高,兼容型好,自动化程度高,可提供策略配置优化建议、安全审计、网络拓扑分析、合规性设计等功能。
附图说明
图1是本发明所述基于策略和规则的安全审计系统的结构示意图;
图2是本发明所述对外接入层架的结构示意图;
图3是本发明所述配置采集引擎的流程结构示意图
图4是本发明所述网络扫描引擎的流程结构示意图;
图5是本发明所述网络扫描引擎的结构示意图;
图6是本发明所述连通性分析的结构示意图。
具体实施方式
下面结合附图对本发明作进一步说明:
如图1所示:本发明包括
对外接入层,包含用户通过浏览器访问Web页面、基于webservice等其他接口技术的的第三方模块调用,提供对外的数据查询,数据导入导出等接口;
核心服务层,包含策略分析引擎、安全配置采集引擎、网络扫描引擎、统一分析引擎;
系统处理层,包含数据处理和系统服务;
基础平台层,包含软件平台和硬件平台。
如图2所示,所述对外接入层包括:策略审计任务管理、资产管理、网络展示、审计规则库配置、报表管理、日志监控、引擎升级模块、用户管理模块,以及对外的接口服务,该层软件设计上采用了B/S的Web架构设计了一个自动化的安全策略审计台,将检查工作交由平台执行,采用B/S架构可以使检查人员在任何时间和任何地方,只要其能够登录到安全策略审计平台,就可以进行自动化的检查操作,而且在检查的过程中无需安装任何工具。
如图1所示,所述策略分析引擎包含
策略覆盖,策略覆盖是指:在相同接口下, 一条策略的源IP、目的IP、源端口,协议相同、目的端口协议相同分别为另一条的子集,且采取的动作一致;
策略覆盖有如下情况:
PolicyA 与PolicyB 完全相同。
在相同接口下,PolicyA 的源IP、目的IP、源端口(协议相同)、目的端口(协议相同)均包含PolicyB,并且Action字段相同。
策略冗余,在相同接口下,前策略的源IP、目的IP、源端口协议相同、目的端口协议相同分别为后一条的子集,且采取的动作一致;
策略冲突,在相同接口下, 一条策略的源IP、目的IP、源端口协议相同、目的端口协议相同分别为另一条的子集,且采取的动作相异;
策略冲突有如下情况:
PolicyA 与PolicyB 动作相异,其它字段完全相同。
在相同接口下,PolicyA 的源IP、目的IP、源端口(协议相同)、目的端口(协议相同)均包含PolicyB,并且Action字段相异。
与策略冗余不同,策略冲突不包含如下情况,即没有发生冲突。
在相同接口下,PolicyA 的源IP、目的IP、源端口(协议相同)、目的端口(协议相同)均被PolicyB包含,并且Action字段相异。
建议合并,在相同接口下,前后两条策略的源IP、目的IP、目的端口四个字段中有三个字段完全相同,另一个字段不同,且采取的动作一致。实际上,两条策略并没有发生实质上的重复。
如图3所示,所述安全配置采集引擎包括
多协议采集,配置采集引擎负责采集网络设备的安全策略配置、安全策略执行日志,配置获取基于两种方式:基于多协议远程采集,包括SSH、telnet、ftp配置远程自动获取、配置人工导入;
安全配置适配,由于网络设备厂家众多,型号众多,导致采集方式、配置文件位置、文件格式不统一,适配复杂性高,需要一个具有良好适配性的引擎,实现多协议适配、根据厂家、型号的不同实现文件正确读取、实现多种文件格式的解读;
安全配置管理,配置管理旨在实现对采集的安全配置,实现统一管理;
安全配置范化,由于网络设备涉及多厂家、多型号,导致配置内容多样化;需要对采集到的配置统一规范为统一格式,实现所有厂家配置的统一分析,处理。
如图4、图5所示,所述网络扫描引擎实现了对网络内资产的发现、端口扫描、服务识别、操作系统识别,所述网络扫描引擎需要实现的功能是通过扫描网络,找出网络中的设备,并对其进行识别,网络扫描最核心步骤就是根据网络协议收发数据包,整个过程可以分为四部分,按照先后顺序分别是主机发现、端口扫描、服务识别、系统识别,这四部分所做的工作越来越细致,后面每一步都需要前面的结果作为基础。
如图6所示,所述统一分析引擎包括
过度授权分析,搜集高危的端口或配置行为,分析出可能存在的过度授权访问,或由用户补充,进行过度授权分析,目的旨在降低高风险事件的发生率;
连通性分析,针对于单体防火墙各个接口所连接的域或子网;
日志分析,日志分析旨在对安全策略执行过程中产生的日志进行分析,发现异常包检测;
多级策略关联分析针对多级防火墙的级联分析。
同级防火墙间的审计规则为,
防火墙间的关系包括主备倒换和非主备倒换;主备倒换,主要的访问控制策略须一致;可能出现的问题是主备防火墙的主要访问控制策略不同;非主备倒换,当防火墙有相同可达子网时,访问控制策略须一致;可能出现的问题是对于相同可达子网,防火墙配置了不同的访问控制策略,引起配置失效。
针对多级复杂防火墙的策略审计,策略分析引擎主要包括分析网络拓扑,防火墙之间的层级关系,不同防火墙之间的策略规则库,全面审计网络中各级防火墙之间可能发生的效率低下,冗余,冲突,过度授权,不符合业务要求等各种问题。
综上所述,本发明提供一种基于策略和规则的安全审计系统,无需对现有的网络系统进行修改,包括无需修改现有的不具备安全功能的网络进行修改,仅需通过部署安全配置策略审计系统,即可为现有的网络系统访问控制安全防护,对当前网络内设网关设备众多、类型、厂商愈加复杂情况下,该安全策略设计系统具有可适配国内外绝大部分网关厂商产品,不限于防火墙、路由器、交换机,可实现自动采集设别策略、日志,适配性高,兼容型好,自动化程度高,可提供策略配置优化建议、安全审计、网络拓扑分析、合规性设计等功能。
本领域技术人员不脱离本发明的实质和精神,可以有多种变形方案实现本发明,以上所述仅为本发明较佳可行的实施例而已,并非因此局限本发明的权利范围,凡运用本发明说明书及附图内容所作的等效结构变化,均包含于本发明的权利范围之内。
Claims (8)
1.一种基于策略和规则的安全审计系统,其特征在于:包括
对外接入层,包含用户通过浏览器访问Web页面、基于webservice等其他接口技术的的第三方模块调用,提供对外的数据查询,数据导入导出等接口;
核心服务层,包含策略分析引擎、安全配置采集引擎、网络扫描引擎、统一分析引擎;
系统处理层,包含数据处理和系统服务;
基础平台层,包含软件平台和硬件平台。
2.根据权利要求1所述的一种基于策略和规则的安全审计系统,其特征在于:所述对外接入层包括:策略审计任务管理、资产管理、网络展示、审计规则库配置、报表管理、日志监控、引擎升级模块、用户管理模块,以及对外的接口服务,该层软件设计上采用了B/S的Web架构设计了一个自动化的安全策略审计台,将检查工作交由平台执行,采用B/S架构可以使检查人员在任何时间和任何地方,只要其能够登录到安全策略审计平台,就可以进行自动化的检查操作,而且在检查的过程中无需安装任何工具。
3.根据权利要求1所述的一种基于策略和规则的安全审计系统,其特征在于:所述策略分析引擎包含
策略覆盖,策略覆盖是指:在相同接口下, 一条策略的源IP、目的IP、源端口,协议相同、目的端口协议相同分别为另一条的子集,且采取的动作一致;
策略冗余,在相同接口下,前策略的源IP、目的IP、源端口协议相同、目的端口协议相同分别为后一条的子集,且采取的动作一致;
策略冲突,在相同接口下, 一条策略的源IP、目的IP、源端口协议相同、目的端口协议相同分别为另一条的子集,且采取的动作相异;
建议合并,在相同接口下,前后两条策略的源IP、目的IP、目的端口四个字段中有三个字段完全相同,另一个字段不同,且采取的动作一致,实际上,两条策略并没有发生实质上的重复。
4.根据权利要求1所述的一种基于策略和规则的安全审计系统,其特征在于:所述安全配置采集引擎包括
多协议采集,配置采集引擎负责采集网络设备的安全策略配置、安全策略执行日志,配置获取基于两种方式:基于多协议远程采集,包括SSH、telnet、ftp配置远程自动获取、配置人工导入;
安全配置适配,由于网络设备厂家众多,型号众多,导致采集方式、配置文件位置、文件格式不统一,适配复杂性高,需要一个具有良好适配性的引擎,实现多协议适配、根据厂家、型号的不同实现文件正确读取、实现多种文件格式的解读;
安全配置管理,配置管理旨在实现对采集的安全配置,实现统一管理;
安全配置范化,由于网络设备涉及多厂家、多型号,导致配置内容多样化;需要对采集到的配置统一规范为统一格式,实现所有厂家配置的统一分析,处理。
5.根据权利要求1所述的一种基于策略和规则的安全审计系统,其特征在于:所述网络扫描引擎实现了对网络内资产的发现、端口扫描、服务识别、操作系统识别,所述网络扫描引擎需要实现的功能是通过扫描网络,找出网络中的设备,并对其进行识别,网络扫描最核心步骤就是根据网络协议收发数据包,整个过程可以分为四部分,按照先后顺序分别是主机发现、端口扫描、服务识别、系统识别,这四部分所做的工作越来越细致,后面每一步都需要前面的结果作为基础。
6.根据权利要求1所述的一种基于策略和规则的安全审计系统,其特征在于:所述统一分析引擎包括
过度授权分析,搜集高危的端口或配置行为,分析出可能存在的过度授权访问,或由用户补充,进行过度授权分析,目的旨在降低高风险事件的发生率;
连通性分析,针对于单体防火墙各个接口所连接的域或子网;
日志分析,日志分析旨在对安全策略执行过程中产生的日志进行分析,发现异常包检测;
多级策略关联分析针对多级防火墙的级联分析。
7.根据权利要求6所述的一种基于策略和规则的安全审计系统,其特征在于:同级防火墙间的审计规则为,
防火墙间的关系包括主备倒换和非主备倒换;主备倒换,主要的访问控制策略须一致;可能出现的问题是主备防火墙的主要访问控制策略不同;非主备倒换,当防火墙有相同可达子网时,访问控制策略须一致;可能出现的问题是对于相同可达子网,防火墙配置了不同的访问控制策略,引起配置失效。
8.根据权利要求6所述的一种基于策略和规则的安全审计系统,其特征在于:针对多级复杂防火墙的策略审计,策略分析引擎主要包括分析网络拓扑,防火墙之间的层级关系,不同防火墙之间的策略规则库,全面审计网络中各级防火墙之间可能发生的效率低下,冗余,冲突,过度授权,不符合业务要求等各种问题。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810801094.0A CN109040037A (zh) | 2018-07-20 | 2018-07-20 | 一种基于策略和规则的安全审计系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810801094.0A CN109040037A (zh) | 2018-07-20 | 2018-07-20 | 一种基于策略和规则的安全审计系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109040037A true CN109040037A (zh) | 2018-12-18 |
Family
ID=64643734
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810801094.0A Pending CN109040037A (zh) | 2018-07-20 | 2018-07-20 | 一种基于策略和规则的安全审计系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109040037A (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110311931A (zh) * | 2019-08-02 | 2019-10-08 | 杭州安恒信息技术股份有限公司 | 资产自动发现方法及装置 |
| CN111047309A (zh) * | 2019-12-18 | 2020-04-21 | 北京三快在线科技有限公司 | 安全合规性检测方法、装置、计算机设备及存储介质 |
| CN111160730A (zh) * | 2019-12-13 | 2020-05-15 | 北京护航科技股份有限公司 | 基于网络建模与仿真技术网络安全设备策略配置分析系统 |
| CN111786949A (zh) * | 2020-05-22 | 2020-10-16 | 山东鲁能软件技术有限公司 | 防火墙安全策略自动适配系统及方法 |
| CN111966641A (zh) * | 2020-08-18 | 2020-11-20 | 国家工业信息安全发展研究中心 | 一种通用的日志范化模型配置方法和装置 |
| CN111966714A (zh) * | 2020-08-07 | 2020-11-20 | 苏州唐云信息技术有限公司 | 一种基于云计算基础的应用管理容器系统 |
| CN111988273A (zh) * | 2020-07-07 | 2020-11-24 | 国网思极网安科技(北京)有限公司 | 一种防火墙策略管理方法及装置 |
| CN113992422A (zh) * | 2021-11-04 | 2022-01-28 | 中海油信息科技有限公司北京分公司 | 防火墙规则动态配置方法 |
| CN114172718A (zh) * | 2021-12-03 | 2022-03-11 | 北京天融信网络安全技术有限公司 | 安全策略配置方法、装置、电子设备及存储介质 |
| CN114221808A (zh) * | 2021-12-14 | 2022-03-22 | 平安壹钱包电子商务有限公司 | 安全策略部署方法、装置、计算机设备及可读存储介质 |
| CN114285719A (zh) * | 2021-12-23 | 2022-04-05 | 天翼视讯传媒有限公司 | 多idc环境中集中识别不同类网络设备的策略方法和系统 |
| CN114430337A (zh) * | 2021-12-23 | 2022-05-03 | 深圳铸泰科技有限公司 | 物联网中基于网络流量的防火墙策略的梳理方法及系统 |
| CN115277204A (zh) * | 2022-07-28 | 2022-11-01 | 国网安徽省电力有限公司电力科学研究院 | 一种电力监控系统便携式网络安全配置核查加固设备 |
| CN116582362A (zh) * | 2023-07-11 | 2023-08-11 | 建信金融科技有限责任公司 | 网络访问的控制方法、装置、电子设备及存储介质 |
| CN117220998A (zh) * | 2023-10-23 | 2023-12-12 | 北京睿航至臻科技有限公司 | 一种防火墙策略统一范式化方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050257267A1 (en) * | 2003-02-14 | 2005-11-17 | Williams John L | Network audit and policy assurance system |
| US20080172716A1 (en) * | 2006-09-12 | 2008-07-17 | Rajesh Talpade | IP network vulnerability and policy compliance assessment by IP device analysis |
| US20090138938A1 (en) * | 2007-01-31 | 2009-05-28 | Tufin Software Technologies Ltd. | System and Method for Auditing a Security Policy |
| CN101567888A (zh) * | 2008-12-29 | 2009-10-28 | 郭世泽 | 网络反馈主机安全防护方法 |
| CN103825876A (zh) * | 2013-11-07 | 2014-05-28 | 北京安码科技有限公司 | 一种复杂网络环境下的防火墙策略审计系统 |
| CN104135461A (zh) * | 2013-05-02 | 2014-11-05 | 中国移动通信集团河北有限公司 | 一种防火墙策略处理的方法及装置 |
| US20150281278A1 (en) * | 2014-03-28 | 2015-10-01 | Southern California Edison | System For Securing Electric Power Grid Operations From Cyber-Attack |
-
2018
- 2018-07-20 CN CN201810801094.0A patent/CN109040037A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050257267A1 (en) * | 2003-02-14 | 2005-11-17 | Williams John L | Network audit and policy assurance system |
| US20080172716A1 (en) * | 2006-09-12 | 2008-07-17 | Rajesh Talpade | IP network vulnerability and policy compliance assessment by IP device analysis |
| US20090138938A1 (en) * | 2007-01-31 | 2009-05-28 | Tufin Software Technologies Ltd. | System and Method for Auditing a Security Policy |
| CN101567888A (zh) * | 2008-12-29 | 2009-10-28 | 郭世泽 | 网络反馈主机安全防护方法 |
| CN104135461A (zh) * | 2013-05-02 | 2014-11-05 | 中国移动通信集团河北有限公司 | 一种防火墙策略处理的方法及装置 |
| CN103825876A (zh) * | 2013-11-07 | 2014-05-28 | 北京安码科技有限公司 | 一种复杂网络环境下的防火墙策略审计系统 |
| US20150281278A1 (en) * | 2014-03-28 | 2015-10-01 | Southern California Edison | System For Securing Electric Power Grid Operations From Cyber-Attack |
Non-Patent Citations (3)
| Title |
|---|
| 卢云龙: "基于B_S架构的防火墙策略审计系统的设计与实现" * |
| 卢云龙等: "基于改进策略树的防火墙策略审计方案设计与实现" * |
| 杨维永: "基于策略的网络安全系统" * |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110311931A (zh) * | 2019-08-02 | 2019-10-08 | 杭州安恒信息技术股份有限公司 | 资产自动发现方法及装置 |
| CN111160730A (zh) * | 2019-12-13 | 2020-05-15 | 北京护航科技股份有限公司 | 基于网络建模与仿真技术网络安全设备策略配置分析系统 |
| CN111047309A (zh) * | 2019-12-18 | 2020-04-21 | 北京三快在线科技有限公司 | 安全合规性检测方法、装置、计算机设备及存储介质 |
| CN111786949A (zh) * | 2020-05-22 | 2020-10-16 | 山东鲁能软件技术有限公司 | 防火墙安全策略自动适配系统及方法 |
| CN111988273A (zh) * | 2020-07-07 | 2020-11-24 | 国网思极网安科技(北京)有限公司 | 一种防火墙策略管理方法及装置 |
| CN111966714A (zh) * | 2020-08-07 | 2020-11-20 | 苏州唐云信息技术有限公司 | 一种基于云计算基础的应用管理容器系统 |
| CN111966641A (zh) * | 2020-08-18 | 2020-11-20 | 国家工业信息安全发展研究中心 | 一种通用的日志范化模型配置方法和装置 |
| CN113992422B (zh) * | 2021-11-04 | 2024-03-26 | 中海油信息科技有限公司北京分公司 | 防火墙规则动态配置方法 |
| CN113992422A (zh) * | 2021-11-04 | 2022-01-28 | 中海油信息科技有限公司北京分公司 | 防火墙规则动态配置方法 |
| CN114172718A (zh) * | 2021-12-03 | 2022-03-11 | 北京天融信网络安全技术有限公司 | 安全策略配置方法、装置、电子设备及存储介质 |
| CN114172718B (zh) * | 2021-12-03 | 2024-01-23 | 北京天融信网络安全技术有限公司 | 安全策略配置方法、装置、电子设备及存储介质 |
| CN114221808B (zh) * | 2021-12-14 | 2024-02-06 | 平安壹钱包电子商务有限公司 | 安全策略部署方法、装置、计算机设备及可读存储介质 |
| CN114221808A (zh) * | 2021-12-14 | 2022-03-22 | 平安壹钱包电子商务有限公司 | 安全策略部署方法、装置、计算机设备及可读存储介质 |
| CN114285719A (zh) * | 2021-12-23 | 2022-04-05 | 天翼视讯传媒有限公司 | 多idc环境中集中识别不同类网络设备的策略方法和系统 |
| CN114430337A (zh) * | 2021-12-23 | 2022-05-03 | 深圳铸泰科技有限公司 | 物联网中基于网络流量的防火墙策略的梳理方法及系统 |
| CN115277204A (zh) * | 2022-07-28 | 2022-11-01 | 国网安徽省电力有限公司电力科学研究院 | 一种电力监控系统便携式网络安全配置核查加固设备 |
| CN116582362A (zh) * | 2023-07-11 | 2023-08-11 | 建信金融科技有限责任公司 | 网络访问的控制方法、装置、电子设备及存储介质 |
| CN116582362B (zh) * | 2023-07-11 | 2023-09-26 | 建信金融科技有限责任公司 | 网络访问的控制方法、装置、电子设备及存储介质 |
| CN117220998A (zh) * | 2023-10-23 | 2023-12-12 | 北京睿航至臻科技有限公司 | 一种防火墙策略统一范式化方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109040037A (zh) | 一种基于策略和规则的安全审计系统 | |
| EP3304824B1 (en) | Policy-driven compliance | |
| Cuppens et al. | A formal approach to specify and deploy a network security policy | |
| US10469320B2 (en) | Versioning system for network states in a software-defined network | |
| US9338134B2 (en) | Firewall policy management | |
| US11477093B2 (en) | Coupling of a business component model to an information technology model | |
| CN109962903A (zh) | 一种家庭网关安全监控方法、装置、系统和介质 | |
| US20050257269A1 (en) | Cost effective incident response | |
| CA2525343C (en) | Security checking program for communication between networks | |
| CN104506351B (zh) | 在线全自动配置合规性安全审计方法及系统 | |
| EP2387746B1 (en) | Methods and systems for securing and protecting repositories and directories | |
| US20170006082A1 (en) | Software Defined Networking (SDN) Orchestration by Abstraction | |
| CN101512510A (zh) | 基于定义和应用网络管理意图提供网络管理的方法和系统 | |
| CN106060041A (zh) | 企业网络访问权限的控制方法及装置 | |
| CN108600260A (zh) | 一种工业物联网安全配置核查方法 | |
| CN104158767A (zh) | 一种网络准入装置及方法 | |
| CN105847300A (zh) | 企业网络边界设备拓扑结构的可视化方法及装置 | |
| CN104539463B (zh) | 一种网络设备配置文件联机属性交叉检查方法及系统 | |
| CN106470203A (zh) | 信息获取方法及装置 | |
| CN113328996B (zh) | 一种基于目标感知的安全策略智能配置方法 | |
| CN106060040A (zh) | 企业网络访问控制方法及装置 | |
| Cisco | Representing Your Network Topology | |
| Cisco | Representing Your Network Topology | |
| Cisco | Getting Started | |
| LaPadula | State of the art in anomaly detection and reaction |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: No. 1 road 210000 Jiangsu Dongji city of Nanjing province Jiangning economic and Technological Development Zone Applicant after: XINLIAN TECHNOLOGY (NANJING) Co.,Ltd. Address before: No. 1 road 210000 Jiangsu Dongji city of Nanjing province Jiangning economic and Technological Development Zone Applicant before: NANJING FANGHENG INFORMATION TECHNOLOGY Co.,Ltd. |
|
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20181218 |