CN110602070A - 一种网络安全的自动配置管理系统及方法 - Google Patents

一种网络安全的自动配置管理系统及方法 Download PDF

Info

Publication number
CN110602070A
CN110602070A CN201910811667.2A CN201910811667A CN110602070A CN 110602070 A CN110602070 A CN 110602070A CN 201910811667 A CN201910811667 A CN 201910811667A CN 110602070 A CN110602070 A CN 110602070A
Authority
CN
China
Prior art keywords
configuration
safety
security
module
monitored object
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201910811667.2A
Other languages
English (en)
Inventor
陈军
兰海翔
李卫群
周发辉
雷棋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guiyang Yi Lian Network Co Ltd
Original Assignee
Guiyang Yi Lian Network Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guiyang Yi Lian Network Co Ltd filed Critical Guiyang Yi Lian Network Co Ltd
Priority to CN201910811667.2A priority Critical patent/CN110602070A/zh
Publication of CN110602070A publication Critical patent/CN110602070A/zh
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0811Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种网络安全的自动配置管理系统及方法,包括初始化模块、安全监控模块、安全评估模块、安全决策模块、配置模块和配置库:对监控区域内每个监控对象的初始信任度赋值,获取每个监控对象一一对应的安全状态值和安全需求值,根据所有监控对象的所有初始信任度、所有安全状态值和所有安全需求值对所有监控对象的安全系数进行评估分析,得到每个监控对象一一对应的安全系数值,根据所有监控对象的所有安全系数值制定配置策略表,根据配置策略表,从所配置库中提取每个监控对象所需的配置文件对每个监控对象进行配置。本发明在保证监控对象安全性的前提下,根据配置策略表进行安全配置,大大提升配置系统的配置效率和管理效率。

Description

一种网络安全的自动配置管理系统及方法
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络安全的自动配置管理系统及方法。
背景技术
随着网络与信息技术的发展,网络正逐步改变人类的生活和工作方式,对各行各业产生了巨大深远的影响。网络化的社会不仅给人们日常生活带来诸多便利,也危及个人或企业的信息安全,甚至对国家安全和国际关系也产生了深刻的影响。
现今,国内大部分企业对信息安全问题的解决办法仍停留在安装杀毒软件上,然而在互联网、移动互联网高度发达的当下,这种安全措施已经远远不能满足企业网络信息安全的需求。大部分单位的网络管理人员特别是中小企业的网管人员安全意识非常淡薄,而且安全防护水平低下,无自主能力完成最基本的网络安全配置,导致单位面临极大的安全风险。
目前针对网络安全配置的相关技术主要是对设备、系统和软件进行安全配置,但是在这些安全配置中,基本上都是采取一样的安全配置策略,即同样类型的设备、系统或软件,若发现有潜在的威胁时,在配置过程中,基本上都是采用同样的安全配置文件,安全配置文件未根据安全级别进行分类,这样会造成:1、有些设备、系统和软件的安全需求不是很高,所对应需要配置的安全配置文件的安全级别也无需那么高,这样会造成安全配置文件资源的浪费,且会降低配置效率;2、所有的设备、系统或软件一旦发现有威胁时,同步配置安全配置文件,而没有对这些设备、系统和软件设置优先级,并按照优先级进行配置,会极大地降低配置效率,甚至造成系统的崩溃,影响网络的正常使用。
发明内容
本发明所要解决的技术问题是针对上述现有技术的不足,提供一种网络安全的自动配置管理系统及方法,能够设置合理的安全配置策略,对在网络区域内的设备、系统和软件按照安全配置策略进行自动配置管理,在保证设备、系统和软件的安全性的前提下,大大提升配置效率和安全配置的管理效率。
本发明解决上述技术问题的技术方案如下:
一种网络安全的自动配置管理系统,包括初始化模块、安全监控模块、安全评估模块、安全决策模块、配置模块和配置库:
所述初始化模块,用于对监控区域内每个监控对象的初始信任度赋值;其中,监控对象包括设备、系统和软件;
所述安全监控模块,用于获取所述监控区域内每个监控对象一一对应的安全状态值和安全需求值;
所述安全评估模块,用于根据所有监控对象的所有初始信任度、所有安全状态值和所有安全需求值对所有监控对象的安全系数进行评估分析,得到每个监控对象一一对应的安全系数值;
所述安全决策模块,用于根据所有监控对象的所有安全系数值制定配置策略表;
所述配置模块,用于根据所述配置策略表,从所述配置库中提取每个监控对象所需的配置文件,对每个监控对象进行配置;
所述配置库,用于存储所有监控对象的所有初始信任度、所有安全状态值、所有安全需求值和所有安全系数值,还用于存储所述配置策略表和所有监控对象所需的所有配置文件。
本发明的有益效果是:由于本发明中的网络安全的自动配置管理系统是针对一个监控区域内的所有监控对象进行自动配置管理的,而每个监控对象会具备一个对应的初始信任度,该初始信任度反映了对应的监控对象对整个系统的重要程度;将初始化模块所赋予的每个监控对象对应的初始信任度作为后续安全评估的一个重要决定因素,可方便得出更加合理有效的安全配置策略,即得到更加合理有效的配置策略表,从而提高系统的配置管理效率;监控区域内每个监控对象的安全状态值反映了对应的监控对象当前的安全状态,安全需求值反映了对应的监控对象当前对安全配置的需求程度,将安全配置作为一种服务,若安全需求值较高,则对应的监控对象对安全配置这项服务的需求程度较高;因此将安全监控模块获取的每个监控对象一一对应的安全状态值和安全需求值也分别作为后续安全评估的重要决定因素,可进一步综合考虑每个监控对象当前的安全情况,从而得出每个监控对象一一对应的安全系数值,根据该安全系数值可进一步得出更加合理有效的安全配置策略(配置策略表),根据该安全配置策略选择对应的配置文件对对应的监控对象进行安全配置,克服了现有配置系统中对每个监控对象都采用相同的配置文件并同步进行安全配置的问题,大大提高了安全配置效率,并在保证设备、系统和软件的安全性的前提下,大大提升配置系统的管理效率。
在上述技术方案的基础上,本发明还可以做如下改进:
进一步:所述初始化模块包括第一分析子模块和第一赋值子模块;
所述第一分析子模块,用于基于所述监控区域内所有监控对象之间的网络拓扑结构,分析得到所述网络拓扑结构的连通性;
所述第一赋值子模块,用于根据所述连通性对每个监控对象的初始信任度赋值。
进一步:所述安全监控模块包括数据采集子模块、预处理子模块、第二分析子模块、第一计算子模块和第一遍历子模块;
所述数据采集子模块,用于采集所述监控区域内每个监控对象一一对应的安全信息数据和运行状态数据;
所述预处理子模块,用于对每个监控对象一一对应的安全信息数据和运行状态数据进行预处理,得到每个监控对象一一对应的安全状态数据;
所述第二分析子模块,用于将任一个监控对象对应的安全状态数据与预设的安全事件模型进行对比,得到对应的监控对象中每个安全事件发生的概率;
计算第i个监控对象中第j个安全事件发生的概率的具体公式为:
其中,为第i个监控对象中第j个安全事件发生的概率,gx为第x个安全状态数据发生第j个安全事件的概率,X为安全状态数据的数据总数,ε为数据融合因子,П(·)为连乘运算;
所述第一计算子模块,用于根据所有安全事件发生的概率,得到对应的监控对象的安全状态值和安全需求值;
计算第i个监控对象的安全状态值的具体公式为:
其中,Ti为第i个监控对象的安全状态值,J为安全事件的总数,Dj为第j个安全事件的严重程度,所述严重程度划分为高、中和低三个等级,且当所述严重程度为高时,Dj=3,当所述严重程度为中时,Dj=2,所述严重程度为高时,Dj=1;
计算第i个监控对象的安全需求值的具体公式为:
其中,Qi为第i个监控对象的安全需求值,αj为第j个安全事件的需求权重系数,且αj∈(0,1);
所述第一遍历子模块,用于遍历每个监控对象,得到每个监控对象一一对应的安全状态值和安全需求值。
进一步:所述安全评估模块包括第二赋值子模块、第二计算子模块和第二遍历子模块;
所述第二赋值子模块,用于针对任一个监控对象,按照预设的权重规则,对初始信任度赋予信任度权重,对安全状态值赋予状态值权重,并对安全需求值赋予需求值权重;
所述第二计算子模块,用于根据信任度权重、状态值权重和需求值权重,以及对应的监控对象对应的初始信任度、安全状态值和安全需求值,计算得到对应的监控对象的安全系数值;
计算第i个监控对象的安全系数值的具体公式为:
Zi=APi+BTi+CQi
其中,Zi为第i个监控对象的安全系数值,Pi为第i个监控对象的初始信任度,A为第i个监控对象的信任度权重,B为第i个监控对象的状态值权重,C为第i个监控对象的需求值权重,其中,A+B+C=1且满足A∈(0,1),B∈(0,1)和C∈(0,1);
所述第二遍历子模块,用于遍历每个监控对象,得到每个监控对象一一对应的安全系数值。
进一步:所述配置文件包括配置条目列表,所述配置策略表包括安全系数值与配置条目列表一一对应的映射关系。
进一步:所述配置模块包括自动配置子模块和手动配置子模块;
所述自动配置子模块,用于根据所述配置策略表中每个监控对象的安全系数值一一对应的配置条目列表,从所述配置库中提取对应的配置文件,并按照安全系数值从大到小的顺序对每个监控对象进行自动配置;
所述手动配置子模块,用于按照用户输入的第一控制指令,根据所述配置策略表中每个监控对象的安全系数值一一对应的配置条目列表,从所述配置库中提取对应的配置文件,并按照用户输入的第二控制指令对每个监控对象进行手动配置。
进一步:还包括配置库管理模块,所述配置库管理模块用于对所述配置库中的所有初始信任度、所有安全状态值、所有安全需求值、所有安全系数值、所述配置策略表和所有配置文件进行更新;还用于管理所述配置库中的所有配置文件的导入和导出。
进一步:所述配置库管理模块包括配置库更新子模块、配置库导入子模块和配置库导出子模块;
所述配置库更新子模块,用于对所述配置库中的所有初始信任度、所有安全状态值、所有安全需求值、所有安全系数值、所述配置策略表和所有配置文件进行更新;
所述配置库导入子模块,用于管理所述配置库中的所有配置文件的导入;
所述配置库导出子模块,用于管理所述配置库中的所有配置文件的导出。
进一步:还包括操作日志模块,所述操作日志模块用于对所述初始化模块、所述安全监控模块、所述安全评估模块、所述安全决策模块、所述配置模块和所述配置库管理模块的运行进行日志记录。
依据本发明的另一方面,提供了一种网络安全的自动配置管理方法,应用于本发明中的一种网络安全的自动配置管理系统,包括以下步骤:
对监控区域内每个监控对象的初始信任度赋值;其中,监控对象包括设备、系统和软件;
获取所述监控区域内每个监控对象一一对应的安全状态值和安全需求值;
根据所有监控对象的所有初始信任度、所有安全状态值和所有安全需求值对所有监控对象的安全系数进行评估分析,得到每个监控对象一一对应的安全系数值;
根据所有监控对象的所有安全系数值制定配置策略表;
根据所述配置策略表,从所述配置库中提取每个监控对象所需的配置文件,对每个监控对象进行配置;
其中,所述配置库存储有所有监控对象的所有初始信任度、所有安全状态值、所有安全需求值和所有安全系数值,还存储有所述配置策略表和所有监控对象所需的所有配置文件。
本发明的有益效果是:将每个监控对象对应的初始信任度作为后续安全评估的一个重要决定因素,可方便得出更加合理有效的安全配置策略,即得到更加合理有效的配置策略表,从而提高系统的配置管理效率;监控区域内每个监控对象的安全状态值反映了对应的监控对象当前的安全状态,安全需求值反映了对应的监控对象当前对安全配置的需求程度,因此将安全监控模块获取的每个监控对象一一对应的安全状态值和安全需求值也分别作为后续安全评估的重要决定因素,可进一步综合考虑每个监控对象当前的安全情况,从而得出每个监控对象一一对应的安全系数值,根据该安全系数值可进一步得出更加合理有效的安全配置策略(配置策略表),根据该安全配置策略选择对应的配置文件对对应的监控对象进行安全配置,克服了现有配置系统中对每个监控对象都采用相同的配置文件并同步进行安全配置的问题,大大提高了安全配置效率,并在保证设备、系统和软件的安全性的前提下,大大提升配置系统的管理效率。
附图说明
图1为本发明实施例一中一种网络安全的自动配置管理系统的结构示意图一;
图2为本发明实施例一中一种网络安全的自动配置管理系统的结构示意图二;
图3为本发明实施例一中一种网络安全的自动配置管理系统的结构示意图三;
图4为本发明实施例二中一种网络安全的自动配置管理方法的流程示意图;
图5为本发明实施例二中对监控区域内每个监控对象的初始信任度赋值的流程示意图;
图6为本发明实施例二中获取监控区域内每个监控对象一一对应的安全状态值和安全需求值的流程示意图;
图7为本发明实施例二中得到每个监控对象一一对应的安全系数值的流程示意图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
下面结合附图,对本发明进行说明。
实施例一、如图1所示,一种网络安全的自动配置管理系统,包括初始化模块、安全监控模块、安全评估模块、安全决策模块、配置模块和配置库:
所述初始化模块,用于对监控区域内每个监控对象的初始信任度赋值;其中,监控对象包括设备、系统和软件;
所述安全监控模块,用于获取所述监控区域内每个监控对象一一对应的安全状态值和安全需求值;
所述安全评估模块,用于根据所有监控对象的所有初始信任度、所有安全状态值和所有安全需求值对所有监控对象的安全系数进行评估分析,得到每个监控对象一一对应的安全系数值;
所述安全决策模块,用于根据所有监控对象的所有安全系数值制定配置策略表;
所述配置模块,用于根据所述配置策略表,从所述配置库中提取每个监控对象所需的配置文件,对每个监控对象进行配置;
所述配置库,用于存储所有监控对象的所有初始信任度、所有安全状态值、所有安全需求值和所有安全系数值,还用于存储所述配置策略表和所有监控对象所需的所有配置文件。
由于本发明中的网络安全的自动配置管理系统是针对一个监控区域内的所有监控对象进行自动配置管理的,而每个监控对象会具备一个对应的初始信任度,该初始信任度反映了对应的监控对象对整个系统的重要程度,例如,当某一设备处于整个系统的网络拓扑结构的核心位置,其对应的初始信任度就会较高;将初始化模块所赋予的每个监控对象对应的初始信任度作为后续安全评估的一个重要决定因素,可方便得出更加合理有效的安全配置策略,即得到更加合理有效的配置策略表,从而提高系统的配置管理效率;监控区域内每个监控对象的安全状态值反映了对应的监控对象当前的安全状态,例如,当某一软件正在被攻击,则其对应的安全状态值将较低;安全需求值反映了对应的监控对象当前对安全配置的需求程度,将安全配置作为一种服务,若安全需求值较高,则对应的监控对象对安全配置这项服务的需求程度较高;因此将安全监控模块获取的每个监控对象一一对应的安全状态值和安全需求值也分别作为后续安全评估的重要决定因素,可进一步综合考虑每个监控对象当前的安全情况,从而得出每个监控对象一一对应的安全系数值,根据该安全系数值可进一步得出更加合理有效的安全配置策略(配置策略表),根据该安全配置策略选择对应的配置文件对对应的监控对象进行安全配置,克服了现有配置系统中对每个监控对象都采用相同的配置文件并同步进行安全配置的问题,大大提高了安全配置效率,并在保证设备、系统和软件的安全性的前提下,大大提升配置系统的管理效率。
优选地,如图2所示,所述初始化模块包括第一分析子模块和第一赋值子模块;
所述第一分析子模块,用于基于所述监控区域内所有监控对象之间的网络拓扑结构,分析得到所述网络拓扑结构的连通性;
所述第一赋值子模块,用于根据所述连通性对每个监控对象的初始信任度赋值。
根据监控区域内所有监控对象之间的网络拓扑结构,可以分析出该网络拓扑结构的连通性,该连通性反映了所有监控对象之间的联系,通过这些监控对象之间的联系可以分析每个监控对象的重要程度,因此通过该连通性可以对每个监控对象的初始信任度进行赋值,有利于后续的安全评估,有利于得出每个监控对象的准确的安全系数值,从而得出合理的配置测量表;其中,初始信任度可以更新和调整。
优选地,如图2所示,所述安全监控模块包括数据采集子模块、预处理子模块、第二分析子模块、第一计算子模块和第一遍历子模块;
所述数据采集子模块,用于采集所述监控区域内每个监控对象一一对应的安全信息数据和运行状态数据;
所述预处理子模块,用于对每个监控对象一一对应的安全信息数据和运行状态数据进行预处理,得到每个监控对象一一对应的安全状态数据;
所述第二分析子模块,用于将任一个监控对象对应的安全状态数据与预设的安全事件模型进行对比,得到对应的监控对象中每个安全事件发生的概率;
计算第i个监控对象中第j个安全事件发生的概率的具体公式为:
其中,为第i个监控对象中第j个安全事件发生的概率,gx为第x个安全状态数据发生第j个安全事件的概率,X为安全状态数据的数据总数,ε为数据融合因子,П(·)为连乘运算;
所述第一计算子模块,用于根据所有安全事件发生的概率,得到对应的监控对象的安全状态值和安全需求值;
计算第i个监控对象的安全状态值的具体公式为:
其中,Ti为第i个监控对象的安全状态值,J为安全事件的总数,Dj为第j个安全事件的严重程度,所述严重程度划分为高、中和低三个等级,且当所述严重程度为高时,Dj=3,当所述严重程度为中时,Dj=2,所述严重程度为高时,Dj=1;
计算第i个监控对象的安全需求值的具体公式为:
其中,Qi为第i个监控对象的安全需求值,αj为第j个安全事件的需求权重系数,且αj∈(0,1);
所述第一遍历子模块,用于遍历每个监控对象,得到每个监控对象一一对应的安全状态值和安全需求值。
由于每个监控对象一一对应的安全状态值和安全需求值都与对应的监控对象当前所处的环境状态有关,因此通过数据采子模块采集每个监控对象的安全信息数据和运行状态数据,通过分析该安全信息数据和运行状态数据,可以处理和分析出每个监控对象的安全状态的程度(即安全状态值)和安全需求的程度(即安全需求值);其中,运行状态数据可以是信噪比、节点剩余数量、丢包率和延迟等,安全信息数据可以是正在攻击的攻击事件或潜在的攻击事件(均称为安全事件)的数据,通过预处理子模块对上述运行状态数据和安全信息数据进行预处理,例如格式化和筛选,得到可以分析出每个监控对象发生安全事件概率相关的安全状态数据;通过第二分析子模块,将上述任一个监控对象对应的安全状态数据与预设的安全事件模型进行对比,可以准确地计算得出该监控对象发生每个安全事件的概率;又由于不同的安全事件会对应不同的严重程度,因此,将该监控对象发生所有安全事件的所有概率与所有安全事件的严重程度进行融合,可以得出对应监控对象的安全状态值,准确地掌握该监控对象当前的安全状态的程度(即安全状态值);又由于不同的安全事件会对应不同的需求程度,即不同的需求权重系数,因此,将该监控对象发生所有安全事件的所有概率与所有安全事件的需求权重系数进行融合,可以得出对应监控对象的安全需求状态值,准确地掌握该监控对象当前的安全配置的需求程度(即安全需求值);同理,遍历每个监控对象,可以得出所有监控对象的安全状态值和安全需求值;通过上述安全状态值和安全需求值,便于后续得出更准确的安全系数值,并依据安全系数值得出更加合理有效的配置策略表。
优选地,如图2所示,所述安全评估模块包括第二赋值子模块、第二计算子模块和第二遍历子模块;
所述第二赋值子模块,用于针对任一个监控对象,按照预设的权重规则,对初始信任度赋予信任度权重,对安全状态值赋予状态值权重,并对安全需求值赋予需求值权重;
所述第二计算子模块,用于根据信任度权重、状态值权重和需求值权重,以及对应的监控对象对应的初始信任度、安全状态值和安全需求值,计算得到对应的监控对象的安全系数值;
计算第i个监控对象的安全系数值的具体公式为:
Zi=APi+BTi+CQi
其中,Zi为第i个监控对象的安全系数值,Pi为第i个监控对象的初始信任度,A为第i个监控对象的信任度权重,B为第i个监控对象的状态值权重,C为第i个监控对象的需求值权重,其中,A+B+C=1且满足A∈(0,1),B∈(0,1)和C∈(0,1);
所述第二遍历子模块,用于遍历每个监控对象,得到每个监控对象一一对应的安全系数值。
对于任一个监控对象,按照预设的权重规则分别对初始信任度赋予信任度权重,对安全状态值赋予状态值权重,对安全需求值赋予需求值权重,例如,信任度权重A为0.2,状态值权重B为0.3,需求值权重C为0.5,然后根据上述各权重以及前述步骤得到的初始信任度、安全状态值和安全需求值计算得出该监控对象对应的安全系数值,准确率较高,同理,遍历每个监控对象,得到所有监控对象的安全系数值,这些安全系数值即反映了每个监控对象对安全配置的优先级,因此根据所有的安全系数值有利于制定合理有效的配置策略表,从而有利于对各监控设备按照该合理有效的配置策略表进行安全配置,配置效率明显得到了提高,系统安全配置的管理效率也得到了明显提高。
具体地,本实施例中信任度权重A为0.2,状态值权重B为0.3,需求值权重C为0.5。
优选地,所述配置文件包括配置条目列表,所述配置策略表包括安全系数值与配置条目列表一一对应的映射关系。
由于每个监控对象都需要一个对应的配置文件,而每一个配置文件包括多个配置条目,因此每个监控对象的配置文件包括对应的配置条目列表;而前述步骤得到的配置策略表为安全系数值与配置条目列表一一对应的映射关系的表格,通过该映射关系表,可以方便根据每个监控对象对应的安全系数值查找到对应的配置条目列表,从而方便在配置库中提取到该配置条目列表对应的所有配置条目,实现每个监控对象对应的安全配置,通过该配置策略表,查找方便,准确、有效、合理。
优选地,如图2所示,所述配置模块包括自动配置子模块和手动配置子模块;
所述自动配置子模块,用于根据所述配置策略表中每个监控对象的安全系数值一一对应的配置条目列表,从所述配置库中提取对应的配置文件,并按照安全系数值从大到小的顺序对每个监控对象进行自动配置;
所述手动配置子模块,用于按照用户输入的第一控制指令,根据所述配置策略表中每个监控对象的安全系数值一一对应的配置条目列表,从所述配置库中提取对应的配置文件,并按照用户输入的第二控制指令对每个监控对象进行手动配置。
当提取到每个监控对象对应所需的配置文件(或配置条目列表)后,可以实现两种配置方式,一种是按照安全系数值从大到小的顺序对每个监控对象进行安全配置,真正实现自动的安全配置,且由于安全系数值能反应对应的监控对象对安全配置的优先级,因此该自动配置的效率明显得到了提高;另一种是根据用户输入的第一控制指令,例如,提供一个“是否提取配置文件”的提示框,并配套提供两个选项“是”和“否”,当用户选择了“是”,则提取对应的配置文件,当用户选择了“否”,则放弃该监控对象的配置文件的提取;再根据用户输入的第二控制指令,例如提供一个“是否对该监控对象进行配置”的提示框,并配套提供两个选项“是”和“否”,当用户选择了“是”,则进行对应的安全配置,等待配置完成,而当用户选择了“否”,则放弃该监控对象的安全配置;通过上述两种不同的配置方式,一方面可以按照监控对象的优先级(即安全系数值)进行自动安全配置,有效提高配置效率,配置管理合理完善,另一方面可以按照用户需求进行安全配置,提升用户体验感。
优选地,如图3所示,还包括配置库管理模块,所述配置库管理模块用于对所述配置库中的所有初始信任度、所有安全状态值、所有安全需求值、所有安全系数值、所述配置策略表和所有配置文件进行更新;还用于管理所述配置库中的所有配置文件的导入和导出。
优选地,如图3所示,所述配置库管理模块包括配置库更新子模块、配置库导入子模块和配置库导出子模块;
所述配置库更新子模块,用于对所述配置库中的所有初始信任度、所有安全状态值、所有安全需求值、所有安全系数值、所述配置策略表和所有配置文件进行更新;
所述配置库导入子模块,用于管理所述配置库中的所有配置文件的导入;
所述配置库导出子模块,用于管理所述配置库中的所有配置文件的导出。
通过配置库更新子模块,对前述步骤中得到的所有的初始信任度、安全状态值、安全需求值、安全系数值、配置策略表和配置文件进行更新,有利于根据每个监控对象的实时状态做出相应的改变,使得整个自动配置管理系统的配置和管理更加完善;通过配置库导入子模块,有利于各个配置文件的导入和更新,方便各个监控对象的安全配置;通过配置库导出子模块,一方面有利于每个监控对象所需的配置文件的导出,方便安全配置的顺利进行,另一方面有利于配置文件的更新,提高配置库的管理效率;通过上述构成的配置库管理模块,进一步提高安全配置的管理效率。
优选地,如图3所示,还包括操作日志模块,所述操作日志模块用于对所述初始化模块、所述安全监控模块、所述安全评估模块、所述安全决策模块、所述配置模块和所述配置库管理模块的运行进行日志记录。
通过操作日志模块,方便管理人员查看相关记录,对安全配置的情况进行实时掌握,管理更加完善。
实施例二、如图4所示,一种网络安全的自动配置管理方法,应用于本发明中的一种网络安全的自动配置管理系统,包括以下步骤:
S1:对监控区域内每个监控对象的初始信任度赋值;其中,监控对象包括设备、系统和软件;
S2:获取所述监控区域内每个监控对象一一对应的安全状态值和安全需求值;
S3:根据所有监控对象的所有初始信任度、所有安全状态值和所有安全需求值对所有监控对象的安全系数进行评估分析,得到每个监控对象一一对应的安全系数值;
S4:根据所有监控对象的所有安全系数值制定配置策略表;
S5:根据所述配置策略表,从所述配置库中提取每个监控对象所需的配置文件,对每个监控对象进行配置;
其中,所述配置库存储有所有监控对象的所有初始信任度、所有安全状态值、所有安全需求值和所有安全系数值,还存储有所述配置策略表和所有监控对象所需的所有配置文件。
将每个监控对象对应的初始信任度作为后续安全评估的一个重要决定因素,可方便得出更加合理有效的安全配置策略,即得到更加合理有效的配置策略表,从而提高系统的配置管理效率;监控区域内每个监控对象的安全状态值反映了对应的监控对象当前的安全状态,安全需求值反映了对应的监控对象当前对安全配置的需求程度,因此将安全监控模块获取的每个监控对象一一对应的安全状态值和安全需求值也分别作为后续安全评估的重要决定因素,可进一步综合考虑每个监控对象当前的安全情况,从而得出每个监控对象一一对应的安全系数值,根据该安全系数值可进一步得出更加合理有效的安全配置策略(配置策略表),根据该安全配置策略选择对应的配置文件对对应的监控对象进行安全配置,克服了现有配置系统中对每个监控对象都采用相同的配置文件并同步进行安全配置的问题,大大提高了安全配置效率,并在保证设备、系统和软件的安全性的前提下,大大提升配置系统的管理效率。
优选地,如图5所示,S1的具体步骤包括:
S11:基于所述监控区域内所有监控对象之间的网络拓扑结构,分析得到所述网络拓扑结构的连通性;
S12:根据所述连通性对每个监控对象的初始信任度赋值。
根据监控区域内所有监控对象之间的网络拓扑结构,可以分析出该网络拓扑结构的连通性,该连通性反映了所有监控对象之间的联系,通过这些监控对象之间的联系可以分析每个监控对象的重要程度,因此通过该连通性可以对每个监控对象的初始信任度进行赋值,有利于后续的安全评估,有利于得出每个监控对象的准确的安全系数值,从而得出合理的配置测量表;其中,初始信任度可以更新和调整。
优选的,如图6所示,S2的具体步骤包括:
S21:采集所述监控区域内每个监控对象一一对应的安全信息数据和运行状态数据;
S22:对每个监控对象一一对应的安全信息数据和运行状态数据进行预处理,得到每个监控对象一一对应的安全状态数据;
S23:将任一个监控对象对应的安全状态数据与预设的安全事件模型进行对比,得到对应的监控对象中每个安全事件发生的概率;
计算第i个监控对象中第j个安全事件发生的概率的具体公式为:
其中,为第i个监控对象中第j个安全事件发生的概率,gx为第x个安全状态数据发生第j个安全事件的概率,X为安全状态数据的数据总数,ε为数据融合因子,П(·)为连乘运算;
S24:根据所有安全事件发生的概率,得到对应的监控对象的安全状态值和安全需求值;
计算第i个监控对象的安全状态值的具体公式为:
其中,Ti为第i个监控对象的安全状态值,J为安全事件的总数,Dj为第j个安全事件的严重程度,所述严重程度划分为高、中和低三个等级,且当所述严重程度为高时,Dj=3,当所述严重程度为中时,Dj=2,所述严重程度为高时,Dj=1;
计算第i个监控对象的安全需求值的具体公式为:
其中,Qi为第i个监控对象的安全需求值,αj为第j个安全事件的需求权重系数,且αj∈(0,1);
S25:遍历每个监控对象,得到每个监控对象一一对应的安全状态值和安全需求值。
通过分析安全信息数据和运行状态数据,可以处理和分析出每个监控对象的安全状态的程度(即安全状态值)和安全需求的程度(即安全需求值);对上述运行状态数据和安全信息数据进行预处理,例如格式化和筛选,得到可以分析出每个监控对象发生安全事件概率相关的安全状态数据;将上述任一个监控对象对应的安全状态数据与预设的安全事件模型进行对比,可以准确地计算得出该监控对象发生每个安全事件的概率;由于不同的安全事件会对应不同的严重程度,因此,将该监控对象发生所有安全事件的所有概率与所有安全事件的严重程度进行融合,可以得出对应监控对象的安全状态值,准确地掌握该监控对象当前的安全状态的程度(即安全状态值);又由于不同的安全事件会对应不同的需求程度,即不同的需求权重系数,因此,将该监控对象发生所有安全事件的所有概率与所有安全事件的需求权重系数进行融合,可以得出对应监控对象的安全需求状态值,准确地掌握该监控对象当前的安全配置的需求程度(即安全需求值);通过上述方法计算得到的安全状态值和安全需求值,便于后续得出更准确的安全系数值,并依据安全系数值得出更加合理有效的配置策略表。
优选地,如图7所示,S3的具体步骤包括:
S31:针对任一个监控对象,按照预设的权重规则,对初始信任度赋予信任度权重,对安全状态值赋予状态值权重,并对安全需求值赋予需求值权重;
S32:根据信任度权重、状态值权重和需求值权重,以及对应的监控对象对应的初始信任度、安全状态值和安全需求值,计算得到对应的监控对象的安全系数值;
计算第i个监控对象的安全系数值的具体公式为:
Zi=APi+BTi+CQi
其中,Zi为第i个监控对象的安全系数值,Pi为第i个监控对象的初始信任度,A为第i个监控对象的信任度权重,B为第i个监控对象的状态值权重,C为第i个监控对象的需求值权重,其中,A+B+C=1且满足A∈(0,1),B∈(0,1)和C∈(0,1);
S33:遍历每个监控对象,得到每个监控对象一一对应的安全系数值。
对于任一个监控对象,按照预设的权重规则分别对初始信任度赋予信任度权重,对安全状态值赋予状态值权重,对安全需求值赋予需求值权重,然后根据上述各权重以及前述步骤得到的初始信任度、安全状态值和安全需求值计算得出该监控对象对应的安全系数值,准确率较高,同理,遍历每个监控对象,得到所有监控对象的安全系数值,这些安全系数值即反映了每个监控对象对安全配置的优先级,因此根据所有的安全系数值有利于制定合理有效的配置策略表,从而有利于对各监控设备按照该合理有效的配置策略表进行安全配置,配置效率明显得到了提高,系统安全配置的管理效率也得到了明显提高。
优选地,所述配置文件包括配置条目列表,所述配置策略表包括安全系数值与配置条目列表一一对应的映射关系。
由于每个监控对象都需要一个对应的配置文件,而每一个配置文件包括多个配置条目,因此每个监控对象的配置文件包括对应的配置条目列表;而前述步骤得到的配置策略表为安全系数值与配置条目列表一一对应的映射关系的表格,通过该映射关系表,可以方便根据每个监控对象对应的安全系数值查找到对应的配置条目列表,从而方便在配置库中提取到该配置条目列表对应的所有配置条目,实现每个监控对象对应的安全配置,通过该配置策略表,查找方便,准确、有效、合理。
优选地,S5的具体步骤包括:
根据所述配置策略表中每个监控对象的安全系数值一一对应的配置条目列表,从所述配置库中提取对应的配置文件,并按照安全系数值从大到小的顺序对每个监控对象进行自动配置。
优选地,S5的具体步骤还包括:
用于按照用户输入的第一控制指令,根据所述配置策略表中每个监控对象的安全系数值一一对应的配置条目列表,从所述配置库中提取对应的配置文件,并按照用户输入的第二控制指令对每个监控对象进行手动配置。
当提取到每个监控对象对应所需的配置文件(或配置条目列表)后,可以实现两种配置方式,一种是按照安全系数值从大到小的顺序对每个监控对象进行安全配置,真正实现自动的安全配置,且由于安全系数值能反应对应的监控对象对安全配置的优先级,因此该自动配置的效率明显得到了提高;另一种是根据用户输入的第一控制指令,例如,提供一个“是否提取配置文件”的提示框,并配套提供两个选项“是”和“否”,当用户选择了“是”,则提取对应的配置文件,当用户选择了“否”,则放弃该监控对象的配置文件的提取;再根据用户输入的第二控制指令,例如提供一个“是否对该监控对象进行配置”的提示框,并配套提供两个选项“是”和“否”,当用户选择了“是”,则进行对应的安全配置,等待配置完成,而当用户选择了“否”,则放弃该监控对象的安全配置;通过上述两种不同的配置方式,一方面可以按照监控对象的优先级(即安全系数值)进行自动安全配置,有效提高配置效率,配置管理合理完善,另一方面可以按照用户需求进行安全配置,提升用户体验感。
优选地,S5之后还包括以下步骤:
S6:对所述配置库中的所有初始信任度、所有安全状态值、所有安全需求值、所有安全系数值、所述配置策略表和所有配置文件进行更新;管理所述配置库中的所有配置文件的导入和导出。
通过对所有的初始信任度、安全状态值、安全需求值、安全系数值、配置策略表和配置文件进行更新,有利于根据每个监控对象的实时状态做出相应的改变,使得整个自动配置管理系统的配置和管理更加完善;通过配置文件的导入,方便各个监控对象的安全配置;通过配置文件的导出,一方面方便安全配置的顺利进行,另一方面有利于配置文件的更新,提高配置库的管理效率;通过上述构成的配置库管理模块,进一步提高安全配置的管理效率。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种网络安全的自动配置管理系统,其特征在于,包括初始化模块、安全监控模块、安全评估模块、安全决策模块、配置模块和配置库:
所述初始化模块,用于对监控区域内每个监控对象的初始信任度赋值;其中,监控对象包括设备、系统和软件;
所述安全监控模块,用于获取所述监控区域内每个监控对象一一对应的安全状态值和安全需求值;
所述安全评估模块,用于根据所有监控对象的所有初始信任度、所有安全状态值和所有安全需求值对所有监控对象的安全系数进行评估分析,得到每个监控对象一一对应的安全系数值;
所述安全决策模块,用于根据所有监控对象的所有安全系数值制定配置策略表;
所述配置模块,用于根据所述配置策略表,从所述配置库中提取每个监控对象所需的配置文件,对每个监控对象进行配置;
所述配置库,用于存储所有监控对象的所有初始信任度、所有安全状态值、所有安全需求值和所有安全系数值,还用于存储所述配置策略表和所有监控对象所需的所有配置文件。
2.根据权利要求1所述的网络安全的自动配置管理系统,其特征在于,所述初始化模块包括第一分析子模块和第一赋值子模块;
所述第一分析子模块,用于基于所述监控区域内所有监控对象之间的网络拓扑结构,分析得到所述网络拓扑结构的连通性;
所述第一赋值子模块,用于根据所述连通性对每个监控对象的初始信任度赋值。
3.根据权利要求1或2所述的网络安全的自动配置管理系统,其特征在于,所述安全监控模块包括数据采集子模块、预处理子模块、第二分析子模块、第一计算子模块和第一遍历子模块;
所述数据采集子模块,用于采集所述监控区域内每个监控对象一一对应的安全信息数据和运行状态数据;
所述预处理子模块,用于对每个监控对象一一对应的安全信息数据和运行状态数据进行预处理,得到每个监控对象一一对应的安全状态数据;
所述第二分析子模块,用于将任一个监控对象对应的安全状态数据与预设的安全事件模型进行对比,得到对应的监控对象中每个安全事件发生的概率;
计算第i个监控对象中第j个安全事件发生的概率的具体公式为:
其中,为第i个监控对象中第j个安全事件发生的概率,gx为第x个安全状态数据发生第j个安全事件的概率,X为安全状态数据的数据总数,ε为数据融合因子,П(·)为连乘运算;
所述第一计算子模块,用于根据所有安全事件发生的概率,得到对应的监控对象的安全状态值和安全需求值;
计算第i个监控对象的安全状态值的具体公式为:
其中,Ti为第i个监控对象的安全状态值,J为安全事件的总数,Dj为第j个安全事件的严重程度,所述严重程度划分为高、中和低三个等级,且当所述严重程度为高时,Dj=3,当所述严重程度为中时,Dj=2,所述严重程度为高时,Dj=1;
计算第i个监控对象的安全需求值的具体公式为:
其中,Qi为第i个监控对象的安全需求值,αj为第j个安全事件的需求权重系数,且αj∈(0,1);
所述第一遍历子模块,用于遍历每个监控对象,得到每个监控对象一一对应的安全状态值和安全需求值。
4.根据权利要求3所述的网络安全的自动配置管理系统,其特征在于,所述安全评估模块包括第二赋值子模块、第二计算子模块和第二遍历子模块;
所述第二赋值子模块,用于针对任一个监控对象,按照预设的权重规则,对初始信任度赋予信任度权重,对安全状态值赋予状态值权重,并对安全需求值赋予需求值权重;
所述第二计算子模块,用于根据信任度权重、状态值权重和需求值权重,以及对应的监控对象对应的初始信任度、安全状态值和安全需求值,计算得到对应的监控对象的安全系数值;
计算第i个监控对象的安全系数值的具体公式为:
Zi=APi+BTi+CQi
其中,Zi为第i个监控对象的安全系数值,Pi为第i个监控对象的初始信任度,A为第i个监控对象的信任度权重,B为第i个监控对象的状态值权重,C为第i个监控对象的需求值权重,其中,A+B+C=1且满足A∈(0,1),B∈(0,1)和C∈(0,1);
所述第二遍历子模块,用于遍历每个监控对象,得到每个监控对象一一对应的安全系数值。
5.根据权利要求1所述的网络安全的自动配置管理系统,其特征在于,所述配置文件包括配置条目列表,所述配置策略表包括安全系数值与配置条目列表一一对应的映射关系。
6.根据权利要求5所述的网络安全的自动配置管理系统,其特征在于,所述配置模块包括自动配置子模块和手动配置子模块;
所述自动配置子模块,用于根据所述配置策略表中每个监控对象的安全系数值一一对应的配置条目列表,从所述配置库中提取对应的配置文件,并按照安全系数值从大到小的顺序对每个监控对象进行自动配置;
所述手动配置子模块,用于按照用户输入的第一控制指令,根据所述配置策略表中每个监控对象的安全系数值一一对应的配置条目列表,从所述配置库中提取对应的配置文件,并按照用户输入的第二控制指令对每个监控对象进行手动配置。
7.根据权利要求1所述的网络安全的自动配置管理系统,其特征在于,还包括配置库管理模块,所述配置库管理模块用于对所述配置库中的所有初始信任度、所有安全状态值、所有安全需求值、所有安全系数值、所述配置策略表和所有配置文件进行更新;还用于管理所述配置库中的所有配置文件的导入和导出。
8.根据权利要求7所述的网络安全的自动配置管理系统,其特征在于,所述配置库管理模块包括配置库更新子模块、配置库导入子模块和配置库导出子模块;
所述配置库更新子模块,用于对所述配置库中的所有初始信任度、所有安全状态值、所有安全需求值、所有安全系数值、所述配置策略表和所有配置文件进行更新;
所述配置库导入子模块,用于管理所述配置库中的所有配置文件的导入;
所述配置库导出子模块,用于管理所述配置库中的所有配置文件的导出。
9.根据权利要求8所述的网络安全的自动配置管理系统,其特征在于,还包括操作日志模块,所述操作日志模块用于对所述初始化模块、所述安全监控模块、所述安全评估模块、所述安全决策模块、所述配置模块和所述配置库管理模块的运行进行日志记录。
10.一种网络安全的自动配置管理方法,其特征在于,应用于权利要求1至9任一项的网络安全的自动配置管理系统,包括以下步骤:
对监控区域内每个监控对象的初始信任度赋值;其中,监控对象包括设备、系统和软件;
获取所述监控区域内每个监控对象一一对应的安全状态值和安全需求值;
根据所有监控对象的所有初始信任度、所有安全状态值和所有安全需求值对所有监控对象的安全系数进行评估分析,得到每个监控对象一一对应的安全系数值;
根据所有监控对象的所有安全系数值制定配置策略表;
根据所述配置策略表,从所述配置库中提取每个监控对象所需的配置文件,对每个监控对象进行配置;
其中,所述配置库存储有所有监控对象的所有初始信任度、所有安全状态值、所有安全需求值和所有安全系数值,还存储有所述配置策略表和所有监控对象所需的所有配置文件。
CN201910811667.2A 2019-08-30 2019-08-30 一种网络安全的自动配置管理系统及方法 Withdrawn CN110602070A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910811667.2A CN110602070A (zh) 2019-08-30 2019-08-30 一种网络安全的自动配置管理系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910811667.2A CN110602070A (zh) 2019-08-30 2019-08-30 一种网络安全的自动配置管理系统及方法

Publications (1)

Publication Number Publication Date
CN110602070A true CN110602070A (zh) 2019-12-20

Family

ID=68856687

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910811667.2A Withdrawn CN110602070A (zh) 2019-08-30 2019-08-30 一种网络安全的自动配置管理系统及方法

Country Status (1)

Country Link
CN (1) CN110602070A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112165518A (zh) * 2020-09-23 2021-01-01 北京蓦然认知科技有限公司 一种安全监控策略生成方法、装置
CN113489696A (zh) * 2021-06-24 2021-10-08 南京诺源医疗器械有限公司 一种医疗成像用网络保护系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112165518A (zh) * 2020-09-23 2021-01-01 北京蓦然认知科技有限公司 一种安全监控策略生成方法、装置
CN113489696A (zh) * 2021-06-24 2021-10-08 南京诺源医疗器械有限公司 一种医疗成像用网络保护系统

Similar Documents

Publication Publication Date Title
CN106022592B (zh) 一种用电行为异常检测与治安风险预警方法及装置
Nováczki An improved anomaly detection and diagnosis framework for mobile network operators
CN106888106A (zh) 智能电网中的it资产大规模侦测系统
CN109376924A (zh) 一种物资需求预测的方法、装置、设备及可读存储介质
CN108429651A (zh) 流量数据检测方法、装置、电子设备及计算机可读介质
CN101808351A (zh) 业务影响分析方法和系统
CN110602070A (zh) 一种网络安全的自动配置管理系统及方法
CN112463892A (zh) 一种基于风险态势的预警方法及系统
CN105141446A (zh) 一种基于客观权重确定的网络设备健康度评估方法
CN113612625A (zh) 一种网络故障定位方法及装置
CN116719664B (zh) 基于微服务部署的应用和云平台跨层故障分析方法及系统
CN117041312A (zh) 基于物联网的企业级信息技术监控系统
CN107527123A (zh) 一种基于分布式关联规则的扰动事件预测方法及装置
CN111444075A (zh) 一种自动发现关键影响力指标的方法
CN117667585B (zh) 一种基于运维质量管理数据库的运维效率评估方法及系统
CN110597792A (zh) 基于同期线损数据融合的多级冗余数据融合方法及装置
WO2024066331A1 (zh) 网络异常检测方法、装置、电子设备及存储介质
CN110535972B (zh) 一种平台化的燃气检测设备集中管控及通信系统,设备及可读存储介质
CN104660436A (zh) 服务等级管理方法和系统
CN111769987A (zh) 基于大数据管理模型的网络信息安全测试系统及方法
CN114548769B (zh) 一种智能电网it资产大数据监测系统及方法
CN114338088B (zh) 变电站电力监控系统网络安全等级的评估方法及评估系统
CN115767601A (zh) 一种基于多维数据的5gc网元自动化纳管方法及装置
CN110995465B (zh) 信通点位全景视图信息运维方法及系统
CN115016976A (zh) 一种根因定位方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication
WW01 Invention patent application withdrawn after publication

Application publication date: 20191220