一种网络安全策略的手动配置方法
技术领域
本公开涉及网络安全领域,特别是涉及一种网络安全策略的配置方法、装置和计算机可读存储介质。
背景技术
网络在日常生产及生活中得到大量应用与普及,使得人们越来越离不开网络。然而,网络安全问题也日益凸显并对网络用户造成很大的困扰。尤其是在工业控制领域,随着工业控制自动化进程的不断深入,工业控制网络自身,以及与外部互联网或企业办公网络的信息交互日趋频繁,使得工业控制网络不断面临着来自外部互联网的恶意攻击和内部人员的误操作等威胁。
正是由于计算机和计算机网络的开放性和标准化等结构特点,使计算机信息具有高度共享和易于扩散的特性,导致计算机信息在处理、存储、网络传输和应用过程中很容易被泄露、窃取、篡改和破坏,或者受到计算机病毒的感染。要想保证网络中信息的安全保密性、完整性、可靠性、可用性,就必须制定符合网络实际应用的高效网络安全策略。现有技术中,随着技术的发展,即使实现一定的网络安全自学习能力,也依然无法高效、精准、实时地制定出符合网络应用需求的网络安全策略。
针对上述技术问题,为了方便、快捷、精准、实时地制定网络安全策略,本公开实现一种网络安全策略的快速配置方法和系统。
发明内容
本公开提供一种网络安全策略配置方法,用于解决如何高效、精准、实时地制定网络安全策的技术问题。此外,还提供一种网络安全策略配置系统和计算机可读存储介质。
为了实现上述目的,根据本公开的一个方面,提供以下技术方案:
一种网络安全策略配置方法,其特征在于:所述方法包括:
基于网络安全准则,配置网络各个节点当前运行的安全规则,构建网络当前安全策略配置;
在网络运行过程中,试运行各个节点的备选安全规则;
根据所述网络安全准则,评估各个节点当前运行的安全规则所具有的第一安全性能;
根据所述网络安全准则,评估各个节点运行所述备选安全规则所具有的第二安全性能;
比较所述第一安全性能与所述第二安全性能;
当第二安全性能大于第一安全性能时,替换各个节点上当前运行的安全规则为所述备选安全规则,构建新的安全策略。
进一步,其中网络运行过程中,更新所述网络安全准则,以适应网络运行环境。
进一步,其中在各个节点的网络设备上试运行所述备选安全规则。
进一步,其中在中心节点的网络设备上试运行各个节点的所述备选安全规则。
进一步,其中所述安全性能包括一项或多项安全指标;所述网络安全准则包括一条或多条所述安全指标满足的标准;根据网络环境,动态调整所述安全指标满足的标准,以调整所述网络安全准则。
进一步,其中,根据所述网络安全准则,对各个节点进行所述安全性能的评估,按照预定算法计算。
进一步,其中各个节点安全规则的所述替换由网络各个节点自动进行。
进一步,其中各个节点安全规则的所述替换由网络管理节点按照条件自动进行或手动进行。
为了实现上述目的,根据本公开的另一个方面,还提供以下技术方案:
一种网络安全策略配置装置,其特征在于,包括:
配置模块,用于基于网络安全准则,配置网络各个节点当前运行的安全规则,构建网络当前安全策略配置;
运行模块,用于在网络运行过程中,试运行各个节点的备选安全规则;
评估模块,用于根据所述网络安全准则,评估各个节点当前运行的安全规则所具有的第一安全性能;用于根据所述网络安全准则,评估各个节点运行所述备选安全规则所具有的第二安全性能;
比较模块,用于比较所述第一安全性能与所述第二安全性能;
更新模块,用于当第二安全性能大于第一安全性能时,替换各个节点上当前运行的安全规则为所述备选安全规则,构建新的安全策略。
进一步,其中网络运行过程中,更新所述网络安全准则,以适应网络运行环境。
进一步,其中在各个节点的网络设备上试运行所述备选安全规则。
进一步,其中在中心节点的网络设备上试运行各个节点的所述备选安全规则。
进一步,其中所述安全性能包括一项或多项安全指标;所述网络安全准则包括一条或多条所述安全指标满足的标准;根据网络环境,动态调整所述安全指标满足的标准,以调整所述网络安全准则。
进一步,其中,根据所述网络安全准则,对各个节点进行所述安全性能的评估,按照预定算法计算。
进一步,其中各个节点安全规则的所述替换由网络各个节点自动进行。
进一步,其中各个节点安全规则的所述替换由网络管理节点按照条件自动进行或手动进行。
为了实现上述目的,根据本公开的又一个方面,还提供以下技术方案:
一种计算机可读存储介质,用于存储非暂时性计算机可读指令,当所述非暂时性计算机可读指令由计算机执行时,使得所述计算机执行上述网络安全策略配置方法。
上述说明仅是本公开技术方案的概述,为了能更清楚了解本公开的技术手段,而可依照说明书的内容予以实施,并且为让本公开的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。
附图说明
图1为根据本公开一个实施例的网络安全策略配置方法的流程示意图;
图2为根据本公开一个实施例的网络安全策略配置装置的结构示意图;
图3为根据本公开一个实施例的计算机可读存储介质的结构示意图。
具体实施方式
以下通过特定的具体实例说明本公开的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本公开的其他优点与功效。显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。本公开还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本公开的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
需要说明的是,下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见,本文中所描述的方面可体现于广泛多种形式中,且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开,所属领域的技术人员应了解,本文中所描述的一个方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。举例来说,可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外,可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
还需要说明的是,以下实施例中所提供的图示仅以示意方式说明本公开的基本构想,图式中仅显示与本公开中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
另外,在以下描述中,提供具体细节是为了便于透彻理解实例。然而,所属领域的技术人员将理解,可在没有这些特定细节的情况下实践所述方面。
为了解决如何高效、精准、实时地制定网络安全策略的技术问题。以下实施例提供一种网络安全策略配置方法。如图1所示,该网络安全策略配置方法主要包括如下步骤:
基于网络安全准则,配置网络各个节点当前运行的安全规则,构建网络当前安全策略配置;
在网络运行过程中,试运行各个节点的备选安全规则;
根据所述网络安全准则,评估各个节点当前运行的安全规则所具有的第一安全性能;
根据所述网络安全准则,评估各个节点运行所述备选安全规则所具有的第二安全性能;
比较所述第一安全性能与所述第二安全性能;
当第二安全性能大于第一安全性能时,替换各个节点上当前运行的安全规则为所述备选安全规则,构建新的安全策略。
如图1所示,步骤S1,基于网络安全准则,配置网络各个节点当前运行的安全规则,构建网络当前安全策略配置;
在一个实施例中,根据网络安全需要,初始配置网络各个节点运行的安全规则,构建网络初始的安全策略配置。
其中,安全策略配置包括设备配置,规则配置,以及策略信息配置。
在一个实施例中,可以对系统的设备进行分组,以便于更好的管理系统中的每一个设备。在进行设备配置过程中,先创建设备组,再将设备添加到相应的设备组中以完成设备配置。
在设备配置中,通过操作界面提供设备信息的编辑功能,完成设备信息的修改、添加、删除等操作。
在规则配置中,创建和完善规则信息,关联到规则模板,实现规则的自由组合;
在一个实施例中,采用规则模板来创建与管理配置的规则,实现不同规则的自由组合,同时也实现规则的规范化与标准化。
在一个实施例中,可以对创建的规则进行分组,根据某一准则进行类别分组,实现规则的高效管理。在进行规则配置过程中,先创建规则组,再将创建的规则添加到相应的规则组中以完成规则配置。
在一个实施例中,将创建的规则添加到规则组后,创建规则模板,并关联已创建的一个或多个规则,形成具有特定属性和特性的规则模板,完成规则配置。
策略信息配置,创建属性信息;创建条件与规则的关联,形成策略关联规则信息;根据已配置设备,建立每一个设备与策略关联规则的对应关系,形成每一个设备所对应的策略信息;将所述策略信息下发到指定设备,完成设备的策略信息更新;
在一个实施例,可以对创建的策略信息进行分组,根据某一准则进行类别分组,实现策略的高效管理。在进行规则配置过程中,先创建策略组,再将创建的策略添加到相应的策略组中以完成策略配置。
在一个实施例中,配置的设备信息,规则信息,策略信息存储在数据库中,以策略-设备,策略-规则模板,规则模板-规则作为存储关系进行数据存储。
在一个实施例中,安全策略基于网络安全准则进行配置,所述网络安全准则包括一条或多条体现网络安全性能的涉及安全指标的标准;其中所述安全性能包括一项或多项安全指标,安全指标例如数据的精确度和位置,警报的效率和准确性,响应时间,关闭率,安全价值比,成本和损失,遭遇成功入侵量,以及特权账户持有人等;
在一个实施例中,由于在网络运行中,特别是工业网络,根据业务和安全的双重需要,网络安全准则不能一成不变。根据网络环境的变化,动态调整所述安全指标标准,以调整所述网络安全准则。网络运行过程中,更新所述网络安全准则,以适应网络运行环境。
基于当前的网络安全准则,初始配置网络各个节点运行的安全规则,构建网络初始的安全策略配置,形成网络当前运行的安全策略;同时,基于网络安全准则,配置网络各个节点的多种满足安全准则的安全规则,网络的策略信息,构建各个节点的备选安全准则,网络的备选策略信息,进而构建网络的备选安全策略。其中,所基于的网络安全准则即包括当前的安全准则,也包括其他安全准则。
步骤S2,在网络运行过程中,试运行各个节点的备选安全规则;
在网络中形成当前运行的安全策略后,在网络运行过程中,保证业务与安全运行的需要的同时,试运行各个节点上配置的备选安全规则。
在一个实施例中,在各个节点的网络设备上试运行所述备选安全规则。
在一个实施例中,在中心节点的网络设备上试运行各个节点的所述备选安全规则。
根据网络设备的计算性能,既可以在各个节点设备上试运行所述备选安全规则,只要计算性能满足业务与网络安全的需要,冗余的计算资源用于所述备选安全规则的试运行。
中心节点的网络设备通常包括更高的计算资源与性能,例如中心网络服务器,在中心节点的网络设备上试运行各个节点的备选安全规则具有更高的运行效率。
无论是在各个节点的设备上试运行所述备选安全规则,还是在中心节点的网络设备上试运行所述备选安全规则,既可以采用利用物理资源进行运行计算,也可以采用虚拟技术,仿真运行计算。
步骤S3,根据所述网络安全准则,评估各个节点当前运行的安全规则所具有的第一安全性能;
根据所述网络安全准则,评估各个节点运行所述备选安全规则所具有的第二安全性能;
在一个实施例中,根据当前的所述网络安全准则,对各个节点进行所述安全性能的评估,按照预定算法计算。评估算法可以采用现有技术中的各种算法,例如PKI体系下的网络安全性能评估算法等。也可以采用基于网络设计需要而设置的评估算法。
步骤S4,比较所述第一安全性能与所述第二安全性能;
步骤S5,当第二安全性能大于第一安全性能时,替换各个节点上当前运行的安全规则为所述备选安全规则,构建新的安全策略。
在一个实施例中,各个节点安全规则的所述替换由网络各个节点自动进行。
在一个实施例中,各个节点安全规则的所述替换由网络管理节点按照条件自动进行或手动进行。
各个节点安全规则进行替换,形成新的安全策略。这种安全策略的更新在满足业务与安全的正常运行的要求下,自动或手动进行。实现高效、精准、实时地配置网络安全策略。
通过上述网络安全策略配置方法,实现网络安全策略配置的高效、精准、实时性。
在上文中,虽然按照上述的顺序描述了网络安全策略配置方法实施例中的各个步骤,本领域技术人员应清楚,本公开实施例中的步骤并不必然按照上述顺序执行,其也可以倒序、并行、交叉等其他顺序执行,而且,在上述步骤的基础上,本领域技术人员也可以再加入其他步骤,这些明显变型或等同替换的方式也应包含在本公开的保护范围之内,在此不再赘述。
下面为本公开装置实施例,本公开装置实施例可用于执行本公开方法实施例实现的步骤,为了便于说明,仅示出了与本公开实施例相关的部分,具体技术细节未揭示的,请参照本公开方法实施例。
为了解决如何高效、精准地制定网络安全策略的技术问题。以下实施例提供一种网络安全策略配置装置。该装置可以执行上述网络安全策略配置方法实施例中所述的步骤。如图2所示,该装置2主要包括:
配置模块21,用于基于网络安全准则,配置网络各个节点当前运行的安全规则,构建网络当前安全策略配置;
运行模块22,用于在网络运行过程中,试运行各个节点的备选安全规则;
评估模块23,用于根据所述网络安全准则,评估各个节点当前运行的安全规则所具有的第一安全性能;用于根据所述网络安全准则,评估各个节点运行所述备选安全规则所具有的第二安全性能;
比较模块24,用于比较所述第一安全性能与所述第二安全性能;
更新模块25,用于当第二安全性能大于第一安全性能时,替换各个节点上当前运行的安全规则为所述备选安全规则,构建新的安全策略。
其中,配置模块21,基于网络安全准则,配置网络各个节点当前运行的安全规则,构建网络当前安全策略配置;
在一个实施例中,根据网络安全需要,初始配置网络各个节点运行的安全规则,构建网络初始的安全策略配置。
其中,安全策略配置包括设备配置,规则配置,以及策略信息配置。
在一个实施例中,可以对系统的设备进行分组,以便于更好的管理系统中的每一个设备。在进行设备配置过程中,先创建设备组,再将设备添加到相应的设备组中以完成设备配置。
在设备配置中,通过操作界面提供设备信息的编辑功能,完成设备信息的修改、添加、删除等操作。
在规则配置中,创建和完善规则信息,关联到规则模板,实现规则的自由组合;
在一个实施例中,采用规则模板来创建与管理配置的规则,实现不同规则的自由组合,同时也实现规则的规范化与标准化。
在一个实施例中,可以对创建的规则进行分组,根据某一准则进行类别分组,实现规则的高效管理。在进行规则配置过程中,先创建规则组,再将创建的规则添加到相应的规则组中以完成规则配置。
在一个实施例中,将创建的规则添加到规则组后,创建规则模板,并关联已创建的一个或多个规则,形成具有特定属性和特性的规则模板,完成规则配置。
策略信息配置,创建属性信息;创建条件与规则的关联,形成策略关联规则信息;根据已配置设备,建立每一个设备与策略关联规则的对应关系,形成每一个设备所对应的策略信息;将所述策略信息下发到指定设备,完成设备的策略信息更新;
在一个实施例,可以对创建的策略信息进行分组,根据某一准则进行类别分组,实现策略的高效管理。在进行规则配置过程中,先创建策略组,再将创建的策略添加到相应的策略组中以完成策略配置。
在一个实施例中,配置的设备信息,规则信息,策略信息存储在数据库中,以策略-设备,策略-规则模板,规则模板-规则作为存储关系进行数据存储。
在一个实施例中,安全策略基于网络安全准则进行配置,所述网络安全准则包括一条或多条体现网络安全性能的涉及安全指标的标准;其中所述安全性能包括一项或多项安全指标,安全指标例如数据的精确度和位置,警报的效率和准确性,响应时间,关闭率,安全价值比,成本和损失,遭遇成功入侵量,以及特权账户持有人等;
在一个实施例中,由于在网络运行中,特别是工业网络,根据业务和安全的双重需要,网络安全准则不能一成不变。根据网络环境的变化,动态调整所述安全指标标准,以调整所述网络安全准则。网络运行过程中,更新所述网络安全准则,以适应网络运行环境。
基于当前的网络安全准则,初始配置网络各个节点运行的安全规则,构建网络初始的安全策略配置,形成网络当前运行的安全策略;同时,基于网络安全准则,配置网络各个节点的多种满足安全准则的安全规则,网络的策略信息,构建各个节点的备选安全准则,网络的备选策略信息,进而构建网络的备选安全策略。其中,所基于的网络安全准则即包括当前的安全准则,也包括其他安全准则。
运行模块,在网络运行过程中,试运行各个节点的备选安全规则;
在网络中形成当前运行的安全策略后,在网络运行过程中,保证业务与安全运行的需要的同时,试运行各个节点上配置的备选安全规则。
在一个实施例中,在各个节点的网络设备上试运行所述备选安全规则。
在一个实施例中,在中心节点的网络设备上试运行各个节点的所述备选安全规则。
根据网络设备的计算性能,既可以在各个节点设备上试运行所述备选安全规则,只要计算性能满足业务与网络安全的需要,冗余的计算资源用于所述备选安全规则的试运行。
中心节点的网络设备通常包括更高的计算资源与性能,例如中心网络服务器,在中心节点的网络设备上试运行各个节点的备选安全规则具有更高的运行效率。
无论是在各个节点的设备上试运行所述备选安全规则,还是在中心节点的网络设备上试运行所述备选安全规则,既可以采用利用物理资源进行运行计算,也可以采用虚拟技术,仿真运行计算。
评估模块,根据所述网络安全准则,评估各个节点当前运行的安全规则所具有的第一安全性能;
根据所述网络安全准则,评估各个节点运行所述备选安全规则所具有的第二安全性能;
在一个实施例中,根据当前的所述网络安全准则,对各个节点进行所述安全性能的评估,按照预定算法计算。评估算法可以采用现有技术中的各种算法,例如PKI体系下的网络安全性能评估算法等。也可以采用基于网络设计需要而设置的评估算法。
比较模块,比较所述第一安全性能与所述第二安全性能;
更新模块,当第二安全性能大于第一安全性能时,替换各个节点上当前运行的安全规则为所述备选安全规则,构建新的安全策略。
在一个实施例中,各个节点安全规则的所述替换由网络各个节点自动进行。
在一个实施例中,各个节点安全规则的所述替换由网络管理节点按照条件自动进行或手动进行。
各个节点安全规则进行替换,形成新的安全策略。这种安全策略的更新在满足业务与安全的正常运行的要求下,自动或手动进行。实现高效、精准、实时地配置网络安全策略。
通过上述网络安全策略配置装置,实现网络安全策略配置的高效、精准、实时性。
有关网络安全策略配置装置实施例的工作原理、实现的技术效果等详细说明可以参考前述网络安全策略配置方法实施例中的相关说明,在此不再赘述。
图3是图示根据本公开的实施例的计算机可读存储介质的示意图。如图3所示,根据本公开实施例的计算机可读存储介质30,其上存储有非暂时性计算机可读指令31。当该非暂时性计算机可读指令31由处理器运行时,执行前述的本公开各实施例的网络安全策略配置方法的全部或部分步骤。
上述计算机可读存储介质30包括但不限于:光存储介质(例如:CD-ROM和DVD)、磁光存储介质(例如:MO)、磁存储介质(例如:磁带或移动硬盘)、具有内置的可重写非易失性存储器的媒体(例如:存储卡)和具有内置ROM的媒体(例如:ROM盒)。
有关本实施例的详细说明可以参考前述各实施例中的相应说明,在此不再赘述。
以上结合具体实施例描述了本公开的基本原理,但是,需要指出的是,在本公开中提及的优点、优势、效果等仅是示例而非限制,不能认为这些优点、优势、效果等是本公开的各个实施例必须具备的。另外,上述公开的具体细节仅是为了示例的作用和便于理解的作用,而非限制,上述细节并不限制本公开为必须采用上述具体的细节来实现。
本公开中涉及的器件、装置、设备、系统的方框图仅作为例示性的例子并且不意图要求或暗示必须按照方框图示出的方式进行连接、布置、配置。如本领域技术人员将认识到的,可以按任意方式连接、布置、配置这些器件、装置、设备、系统。诸如“包括”、“包含”、“具有”等等的词语是开放性词汇,指“包括但不限于”,且可与其互换使用。这里所使用的词汇“或”和“和”指词汇“和/或”,且可与其互换使用,除非上下文明确指示不是如此。这里所使用的词汇“诸如”指词组“诸如但不限于”,且可与其互换使用。
另外,如在此使用的,在以“至少一个”开始的项的列举中使用的“或”指示分离的列举,以便例如“A、B或C的至少一个”的列举意味着A或B或C,或AB或AC或BC,或ABC(即A和B和C)。此外,措辞“示例的”不意味着描述的例子是优选的或者比其他例子更好。
还需要指出的是,在本公开的系统和方法中,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本公开的等效方案。
可以不脱离由所附权利要求定义的教导的技术而进行对在此所述的技术的各种改变、替换和更改。此外,本公开的权利要求的范围不限于以上所述的处理、机器、制造、事件的组成、手段、方法和动作的具体方面。可以利用与在此所述的相应方面进行基本相同的功能或者实现基本相同的结果的当前存在的或者稍后要开发的处理、机器、制造、事件的组成、手段、方法或动作。因而,所附权利要求包括在其范围内的这样的处理、机器、制造、事件的组成、手段、方法或动作。
提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者使用本公开。对这些方面的各种修改对于本领域技术人员而言是非常显而易见的,并且在此定义的一般原理可以应用于其他方面而不脱离本公开的范围。因此,本公开不意图被限制到在此示出的方面,而是按照与在此公开的原理和新颖的特征一致的最宽范围。
为了例示和描述的目的已经给出了以上描述。此外,此描述不意图将本公开的实施例限制到在此公开的形式。尽管以上已经讨论了多个示例方面和实施例,但是本领域技术人员将认识到其某些变型、修改、改变、添加和子组合。