CN111428094A - 基于资产的网络拓扑生成方法、装置、设备及存储介质 - Google Patents
基于资产的网络拓扑生成方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN111428094A CN111428094A CN202010255420.XA CN202010255420A CN111428094A CN 111428094 A CN111428094 A CN 111428094A CN 202010255420 A CN202010255420 A CN 202010255420A CN 111428094 A CN111428094 A CN 111428094A
- Authority
- CN
- China
- Prior art keywords
- asset
- security
- network topology
- security domain
- domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000004590 computer program Methods 0.000 claims description 10
- 230000000694 effects Effects 0.000 abstract description 2
- 238000007726 management method Methods 0.000 description 43
- 238000004891 communication Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000003086 colorant Substances 0.000 description 1
- 238000004883 computer application Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
- G06F16/9024—Graphs; Linked lists
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Economics (AREA)
- Strategic Management (AREA)
- Databases & Information Systems (AREA)
- Entrepreneurship & Innovation (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Development Economics (AREA)
- Educational Administration (AREA)
- Data Mining & Analysis (AREA)
- Game Theory and Decision Science (AREA)
- Software Systems (AREA)
- Marketing (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种基于资产的网络拓扑生成方法,该方法包括:确定已接入到云图平台的安全设备;建立每个安全设备和每个分支中已配置好的安全域的关联关系;确定资产管理列表中每个资产和安全域的所属关系;基于关联关系和所属关系,生成基于资产的网络拓扑,在网络拓扑中,资产在所属安全域的板块内,安全域及其关联的安全设备在对应分支的板块内。应用本申请实施例所提供的技术方案,通过安全设备和安全域的关联关系,资产和安全域的所属关系,自动生成基于资产的网络拓扑,方便用户直观查看资产拓扑整体情况,可以减少用户的复杂、繁琐操作,提高了工作效率。本申请还公开了一种基于资产的网络拓扑生成装置、设备及存储介质,具有相应技术效果。
Description
技术领域
本申请涉及计算机应用技术领域,特别是涉及一种基于资产的网络拓扑生成方法、装置、设备及存储介质。
背景技术
随着计算机技术的快速发展,服务器、PC(Personal Computer,个人计算机)机等在各企事业单位中的使用越来越普遍,这些都构成了单位的资产。
目前,多是通过列表形式表现基于资产的拓扑,进而对资产进行管理。这种方式不方便用户直观查看资产拓扑整体情况,而且,对于拥有很多资产的用户而言,维护、管理列表操作复杂、繁琐,工作效率较低。
发明内容
本申请的目的是提供一种基于资产的网络拓扑生成方法、装置、设备及存储介质,以方便用户直观查看资产拓扑整体情况,减少用户的复杂、繁琐操作,提高工作效率。
为解决上述技术问题,本申请提供如下技术方案:
一种基于资产的网络拓扑生成方法,包括:
确定已接入到云图平台的安全设备;
建立每个安全设备和每个分支中已配置好的安全域的关联关系;
确定资产管理列表中每个资产和安全域的所属关系;
基于所述关联关系和所述所属关系,生成基于资产的网络拓扑,在所述网络拓扑中,资产在所属安全域的板块内,安全域及其关联的安全设备在对应分支的板块内。
在本申请的一种具体实施方式中,所述确定已接入到云图平台的安全设备,包括:
接收安全设备接入到云图平台的接入请求,所述接入请求中至少携带接入账号和接入密码的信息;
根据所述接入账号和所述接入密码,确定所述安全设备是否为合法设备;
如果是,则确定所述安全设备接入到所述云图平台。
在本申请的一种具体实施方式中,所述建立每个安全设备和每个分支中已配置好的安全域的关联关系,包括:
根据接收到的关联关系建立指令,在安全设备列表中设置每个分支中每个安全设备防护的安全域,和/或,在安全域列表中设置每个分支的每个安全域所对应的安全设备。
在本申请的一种具体实施方式中,所述确定资产管理列表中每个资产和安全域的所属关系,包括:
根据资产的网络地址信息和安全域的网段信息,确定资产管理列表中每个资产和安全域的所属关系。
在本申请的一种具体实施方式中,所述根据资产的网络地址信息和安全域的网段信息,确定资产管理列表中每个资产和安全域的所属关系,包括:
针对资产管理列表中的每个资产,将该资产的网络地址信息与各安全域的网段信息进行匹配;
如果存在匹配成功的安全域,则确定该资产属于该安全域;
如果不存在匹配成功的安全域,则确定该资产属于默认安全域。
在本申请的一种具体实施方式中,所述网络拓扑为平面拓扑和/或立体拓扑。
在本申请的一种具体实施方式中,在所述生成基于资产的网络拓扑之后,还包括:
在接收到针对所述网络拓扑中元素的位置调整指令的情况下,调整相应元素的位置。
在本申请的一种具体实施方式中,还包括:
在监测到所述资产管理列表中的资产有更新的情况下,确定更新后的所述资产管理列表中每个资产和安全域的所属关系;
基于所述关联关系和所述所属关系,更新所述网络拓扑。
在本申请的一种具体实施方式中,还包括:
获得所述资产管理列表中每个资产的安全风险信息;
基于所述安全风险信息,在所述网络拓扑中对资产进行安全风险标记。
一种基于资产的网络拓扑生成装置,包括:
安全设备接入确定模块,用于确定已接入到云图平台的安全设备;
关联关系建立模块,用于建立每个安全设备和每个分支中已配置好的安全域的关联关系;
所属关系确定模块,用于确定资产管理列表中每个资产和安全域的所属关系;
网络拓扑生成模块,用于基于所述关联关系和所述所属关系,生成基于资产的网络拓扑,在所述网络拓扑中,资产在所属安全域的板块内,安全域及其关联的安全设备在对应分支的板块内。
一种基于资产的网络拓扑生成设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述任一项所述基于资产的网络拓扑生成方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述基于资产的网络拓扑生成方法的步骤。
应用本申请实施例所提供的技术方案,确定已接入到云图平台的安全设备后,可以建立每个安全设备和每个分支中已配置好的安全域的关联关系,并确定资产管理列表中每个资产和安全域的所属关系,进而基于关联关系和所属关系,生成基于资产的网络拓扑,在该网络拓扑中,资产在所属安全域的板块内,安全域及其关联的安全设备在对应分支的板块内。通过建立的安全设备和安全域的关联关系,确定的资产和安全域的所属关系,自动生成基于资产的网络拓扑,方便用户直观查看资产拓扑整体情况,可以减少用户的复杂、繁琐操作,提高了工作效率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例中基于资产的网络拓扑生成方法的一种实施流程图;
图2为本申请实施例中一种基于资产的网络拓扑的展示示意图;
图3为本申请实施例中一种基于资产的网络拓扑生成装置的结构示意图;
图4为本申请实施例中一种基于资产的网络拓扑生成设备的结构示意图。
具体实施方式
本申请的核心是提供一种基于资产的网络拓扑生成方法,该方法可以应用于云图平台。在确定已接入到云图平台的安全设备,建立每个安全设备和每个分支中已配置好的安全域的关联关系,确定资产管理列表中每个资产和安全域的所属关系之后,可以基于关联关系和所属关系,生成基于资产的网络拓扑。在生成的网络拓扑中,资产在所属安全域的板块内,安全域及其关联的安全设备在对应分支的板块内。通过建立的安全设备和安全域的关联关系,确定的资产和安全域的所属关系,自动生成基于资产的网络拓扑,方便用户直观查看资产拓扑整体情况,可以减少用户的复杂、繁琐操作,提高了工作效率。
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
参见图1所示,为本申请实施例中一种基于资产的网络拓扑生成方法的实施流程图,该方法可以包括以下步骤:
S110:确定已接入到云图平台的安全设备。
在本申请实施例中,安全设备可以是防火墙、上网行为管理等设备。用户可以根据实际情况,将安全设备接入到云图平台中。用户可以是企业运维人员。
在实际应用中,云图平台可以为用户提供设备接入界面,用户在该设备接入界面可以选择新增设备接入。云图平台可以为新增的安全设备创建接入账号、接入密码等。这样,用户就获得了要新增的安全设备的接入账号、接入密码等信息。用户在设备接入界面,可以准确填写接入账号、接入密码,还可以填写企业标识ID等。
云图平台接收安全设备接入到云图平台的接入请求,该接入请求中至少携带接入账号和接入密码的信息。进一步可以根据接入账号和接入密码,确定安全设备是否合法设备。如果是合法设备,则可以确定安全设备接入到云图平台,接入成功。如果不是合法设备,则可以拒绝安全设备的接入,接入失败。在这种情况下,可以返回失败原因,以便用户查看。
接入请求中还可以携带企业ID等信息,通过企业ID可以区分要接入的安全设备属于哪个企业。
S120:建立每个安全设备和每个分支中已配置好的安全域的关联关系。
在本申请实施例中,安全域是指将同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统划入同一网段内,在网段的边界处进行访问控制。每个安全域具有基本相同的安全特性,如安全级别、安全威胁、风险等。
用户可以在云图平台上选择新增的安全域,配置安全域的名称、对应网段、描述信息等。描述信息可以选填。
在实际应用中,一家企业可以有多个分支,每个分支可以配置有一个或多个安全域。
在确定已接入到云图平台的安全设备后,可以建立每个安全设备和每个分支中已配置好的安全域的关联关系。对于每个安全域而言,与该安全域具有关联关系的安全设备负责该安全域范围内资产的访问控制。
具体的,可以根据接收到的关联关系建立指令,在安全设备列表中设置每个分支中每个安全设备防护的安全域,和/或,在安全域列表中设置每个分支的每个安全域所对应的安全设备。
在实际应用中,云图平台可以为用户提供关联界面,用户提供关联界面可以在云图平台上创建安全域和安全设备的关联关系。
云图平台在接收到关联关系建立指令后,可以在安全设备列表中设置每个分支中每个安全设备防护的安全域。安全设备列表包括确定已接入到云图平台的安全设备。
或者,云图平台在接收到关联关系建立指令后,可以在安全域列表中设置每个分支的每个安全域所对应的安全设备。安全域列表包括已配置好的安全域。
对于安全设备与安全域的关联关系的建立,可以单独使用上述一种方式完成,还可以同时使用上述两种方式完成。在同时使用上述两种方式时,可以通过比对,确认建立的关联关系的一致性。
S130:确定资产管理列表中每个资产和安全域的所属关系。
在本申请实施例中,云图平台可以获得并维护资产管理列表。资产管理列表可以是用户上传给云图平台的,还可以是云图平台根据用户提供的资产信息建立的。资产管理列表中包含用户所拥有的资产情况。资产可以包括服务器、PC机、移动终端等。
确定资产管理列表中每个资产和安全域的所属关系。具体的,可以根据用户的指令,确定资产管理列表中每个资产和安全域的所属关系。即由用户确定哪个资产属于哪个安全域。
在本申请的一种具体实施方式中,可以根据资产的网络地址信息和安全域的网段信息,确定资产管理列表中每个资产和安全域的所属关系。
资产管理列表中的资产可以对应相应的网络地址,如IP(Internet Protocol网际互连协议)地址。每个安全域配置有一定的网段,网段可以是(0.0.0.0-255.255.255.255)中的一个区间段。
对于资产管理列表中的一个资产而言,如果该资产的网络地址信息在某个安全域的网段内,则可以确定该资产属于该安全域。通过资产的网络地址信息和安全域的网段信息,可以确定每个资产和安全域的所属关系。
具体的,针对资产管理列表中的每个资产,可以将该资产的网络地址信息与各安全域的网段信息进行匹配,如果存在匹配成功的安全域,则可以确定该资产属于该安全域,如果不存在匹配成功的安全域,则可以确定该资产属于默认安全域。默认安全域具体还可以分为业务区域和用户区域,服务器、PC机等资产的网络地址信息如果与任意一个安全域的网段信息都不匹配,则可以将其归入到默认安全域的业务区域,移动终端等资产的网络地址信息如果与任意一个安全域的网段信息都不匹配,则可以将其归入到默认安全域的用户区域。以避免同一区域内的资产过多,不方便查看。
举例而言,已配置好的安全域有三个,安全域A、安全域B和安全域C,三个安全域分别具有各自的网段。通过匹配,如果确定资产管理列表中的资产X的IP地址在安全域A的网段内,则可以确定资产X属于安全域A,如果确定资产管理列表中的资产Y的IP地址既不在安全域A中,也不在安全域B和安全域C中,则可以确定资产Y属于默认安全域,可以设定默认安全域为安全域C。
S140:基于关联关系和所属关系,生成基于资产的网络拓扑,在网络拓扑中,资产在所属安全域的板块内,安全域及其关联的安全设备在对应分支的板块内。
在建立每个安全设备和每个分支中已配置好的安全域的关联关系,确定资产管理列表中每个资产和安全域的所属关系之后,进一步可以基于关联关系和所属关系,生成基于资产的网络拓扑。
在生成的网络拓扑中,资产在所属安全域的板块内,安全域及其关联的安全设备在对应分支的板块内。安全设备可以位于相关联的安全域的边界处。如图2所示,安全设备A与安全域A具有关联关系,安全设备B与安全域B具有关联关系,安全设备C与安全域C具有关联关系,资产1-5属于安全域A,在安全域A的板块内,资产6-9属于安全域B,在安全域B的板块内,资产10、11属于安全域C,在安全域C的板块内,安全域A及其关联的安全设备A、安全域C及其关联的安全设备C在分支1的板块内,安全域B及其关联的安全设备B在分支2的板块内。
生成基于资产的网络拓扑后,可以输出展示该网络拓扑。在展示的网络拓扑中,如果属于某个安全域的资产的数量太多,针对该安全域,可以仅展示设定数量的资产,并提供“查看更多”图标,以便查看更多资产。在网络拓扑中,还可以在每个元素上显示网络地址等相关信息。
应用本申请实施例所提供的方法,确定已接入到云图平台的安全设备后,可以建立每个安全设备和每个分支中已配置好的安全域的关联关系,并确定资产管理列表中每个资产和安全域的所属关系,进而基于关联关系和所属关系,生成基于资产的网络拓扑,在该网络拓扑中,资产在所属安全域的板块内,安全域及其关联的安全设备在对应分支的板块内。通过建立的安全设备和安全域的关联关系,确定的资产和安全域的所属关系,自动生成基于资产的网络拓扑,方便用户直观查看资产拓扑整体情况,可以减少用户的复杂、繁琐操作,提高了工作效率。
在本申请的一个实施例中,网络拓扑可以是平面拓扑和/或立体拓扑。平面拓扑即通过二维形式展示的拓扑关系。立体拓扑即通过多维形式展示的拓扑,如2.5维或者三维等。网络拓扑中每个元素都存在固定的属性值,包括ID、类型、背景图片、坐标位置、关联关系、从属关系等。通过封装多维技术,使用这些数据做出立体效果,可视效果更佳,更方便用户查看整体拓扑情况。
在本申请的一个实施例中,在生成基于资产的网络拓扑之后,该方法还可以包括以下步骤:
在接收到针对网络拓扑中元素的位置调整指令的情况下,调整相应元素的位置。
在本申请实施例中,基于安全设备和安全域的关联关系、资产和安全域的所属关系,云图平台可以生成基于资产的网络拓扑,网络拓扑中各板块所在位置是基于预设的规则确定的,位置存在一定的随机性。在输出展示网络拓扑之后,用户可以根据个人习惯进行位置调整,如可以在展示的网络拓扑上拖曳并移动相应元素。在监测到用户有针对某个元素的拖曳、移动操作时,可以认为接收到相应的位置调整指令。
在接收到针对网络拓扑中元素的位置调整指令的情况下,可以调整相应元素的位置。如互换分支位置,互换同一分支内安全域的位置等。
当然,在实际应用中,可以预先设定哪些元素可以调整位置,哪些元素不可以调整位置,在监测到用户对网络拓扑中的元素进行拖曳操作时,可以先确定该元素是否为可调整位置元素,如果否,则可以拒绝用户的拖曳操作,输出提示信息,如果是,则可以响应该拖曳操作,进行相应的位置调整。
对网络拓扑中的元素进行位置调整,更方便用户的查看。
在本申请的一个实施例中,该方法还可以包括以下步骤:
在监测到资产管理列表中的资产有更新的情况下,确定更新后的资产管理列表中每个资产和安全域的所属关系,基于关联关系和所属关系,更新网络拓扑。
在本申请实施例中,企业在运营过程中,资产可能会发生变化,如新增或者删减等变化,用户可以通过资产管理列表新增资产,配置资产名称、IP地址等信息,还可以通过资产管理列表删除资产。
在监测到资产管理列表中的资产有更新的情况下,可以确定更新后的资产管理列表中每个资产和安全域的所属关系,基于关联关系和所属关系,更新网络拓扑。具体的更新方法可以参考上述生成方法,不再赘述。
在本申请的一个实施例中,该方法还可以包括以下步骤:
步骤一:获得资产管理列表中每个资产的安全风险信息;
步骤二:基于安全风险信息,在网络拓扑中对资产进行安全风险标记。
为便于描述,将上述两个步骤结合起来进行说明。
在本申请实施例中,通过安全设备或者其他安全防护系统可以获得资产管理列表中每个资产的安全风险信息。通过安全风险信息,可以确定每个资产是否存在安全风险、存在的安全风险的高低、是否为僵尸网络、是否为恶意用户等。
基于安全风险信息,可以在生成的网络拓扑中对资产进行安全风险标记,如标记为僵尸网络、恶意用户等。如果资产不存在安全风险,则可以不做任何安全风险标记,只显示相应的IP地址等信息。
进行安全风险标记可以通过文字进行标记,还可以通过设定不同颜色进行标记,还可以设置不同图标进行标记,本申请实施例对此不做限制。
当然,在云图平台中展示该网络拓扑时,还可以相应展示存在安全风险的资产的数量信息。方便用户了解整体情况。
相应于上面的方法实施例,本申请实施例还提供了一种基于资产的网络拓扑生成装置,下文描述的基于资产的网络拓扑生成装置与上文描述的基于资产的网络拓扑生成方法可相互对应参照。
参见图3所示,该装置可以包括以下模块:
安全设备接入确定模块310,用于确定已接入到云图平台的安全设备;
关联关系建立模块320,用于建立每个安全设备和每个分支中已配置好的安全域的关联关系;
所属关系确定模块330,用于确定资产管理列表中每个资产和安全域的所属关系;
网络拓扑生成模块340,用于基于关联关系和所属关系,生成基于资产的网络拓扑,在网络拓扑中,资产在所属安全域的板块内,安全域及其关联的安全设备在对应分支的板块内。
应用本申请实施例所提供的装置,确定已接入到云图平台的安全设备后,可以建立每个安全设备和每个分支中已配置好的安全域的关联关系,并确定资产管理列表中每个资产和安全域的所属关系,进而基于关联关系和所属关系,生成基于资产的网络拓扑,在该网络拓扑中,资产在所属安全域的板块内,安全域及其关联的安全设备在对应分支的板块内。通过建立的安全设备和安全域的关联关系,确定的资产和安全域的所属关系,自动生成基于资产的网络拓扑,方便用户直观查看资产拓扑整体情况,可以减少用户的复杂、繁琐操作,提高了工作效率。
在本申请的一种具体实施方式中,安全设备接入确定模块310,用于:
接收安全设备接入到云图平台的接入请求,接入请求中至少携带接入账号和接入密码的信息;
根据接入账号和接入密码,确定安全设备是否为合法设备;
如果是,则确定安全设备接入到云图平台。
在本申请的一种具体实施方式中,关联关系建立模块320,用于:
根据接收到的关联关系建立指令,在安全设备列表中设置每个分支中每个安全设备防护的安全域,和/或,在安全域列表中设置每个分支的每个安全域所对应的安全设备。
在本申请的一种具体实施方式中,所属关系确定模块330,用于:
根据资产的网络地址信息和安全域的网段信息,确定资产管理列表中每个资产和安全域的所属关系。
在本申请的一种具体实施方式中,所属关系确定模块330,用于:
针对资产管理列表中的每个资产,将该资产的网络地址信息与各安全域的网段信息进行匹配;
如果存在匹配成功的安全域,则确定该资产属于该安全域;
如果不存在匹配成功的安全域,则确定该资产属于默认安全域。
在本申请的一种具体实施方式中,网络拓扑为平面拓扑和/或立体拓扑。
在本申请的一种具体实施方式中,还包括位置调整模块,用于:
在生成基于资产的网络拓扑之后,在接收到针对网络拓扑中元素的位置调整指令的情况下,调整相应元素的位置。
在本申请的一种具体实施方式中,还包括网络拓扑更新模块,用于:
在监测到资产管理列表中的资产有更新的情况下,确定更新后的资产管理列表中每个资产和安全域的所属关系;
基于关联关系和所属关系,更新网络拓扑。
在本申请的一种具体实施方式中,还包括安全风险标记模块,用于:
获得资产管理列表中每个资产的安全风险信息;
基于安全风险信息,在网络拓扑中对资产进行安全风险标记。
相应于上面的方法实施例,本申请实施例还提供了一种基于资产的网络拓扑生成设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现上述基于资产的网络拓扑生成方法的步骤。
如图4所示,为基于资产的网络拓扑生成设备的组成结构示意图,基于资产的网络拓扑生成设备可以包括:处理器10、存储器11、通信接口12和通信总线13。处理器10、存储器11、通信接口12均通过通信总线13完成相互间的通信。
在本申请实施例中,处理器10可以为中央处理器(Central Processing Unit,CPU)、特定应用集成电路、数字信号处理器、现场可编程门阵列或者其他可编程逻辑器件等。
处理器10可以调用存储器11中存储的程序,具体的,处理器10可以执行基于资产的网络拓扑生成方法的实施例中的操作。
存储器11中用于存放一个或者一个以上程序,程序可以包括程序代码,程序代码包括计算机操作指令,在本申请实施例中,存储器11中至少存储有用于实现以下功能的程序:
确定已接入到云图平台的安全设备;
建立每个安全设备和每个分支中已配置好的安全域的关联关系;
确定资产管理列表中每个资产和安全域的所属关系;
基于关联关系和所属关系,生成基于资产的网络拓扑,在网络拓扑中,资产在所属安全域的板块内,安全域及其关联的安全设备在对应分支的板块内。
在一种可能的实现方式中,存储器11可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统,以及至少一个功能(比如界面展示功能、图像输出功能)所需的应用程序等;存储数据区可存储使用过程中所创建的数据,如关联关系数据、所属关系数据等。
此外,存储器11可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件或其他易失性固态存储器件。
通信接口13可以为通信模块的接口,用于与其他设备或者系统连接。
当然,需要说明的是,图4所示的结构并不构成对本申请实施例中基于资产的网络拓扑生成设备的限定,在实际应用中基于资产的网络拓扑生成设备可以包括比图4所示的更多或更少的部件,或者组合某些部件。
相应于上面的方法实施例,本申请实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述基于资产的网络拓扑生成方法的步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的技术方案及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
Claims (12)
1.一种基于资产的网络拓扑生成方法,其特征在于,包括:
确定已接入到云图平台的安全设备;
建立每个安全设备和每个分支中已配置好的安全域的关联关系;
确定资产管理列表中每个资产和安全域的所属关系;
基于所述关联关系和所述所属关系,生成基于资产的网络拓扑,在所述网络拓扑中,资产在所属安全域的板块内,安全域及其关联的安全设备在对应分支的板块内。
2.根据权利要求1所述的方法,其特征在于,所述确定已接入到云图平台的安全设备,包括:
接收安全设备接入到云图平台的接入请求,所述接入请求中至少携带接入账号和接入密码的信息;
根据所述接入账号和所述接入密码,确定所述安全设备是否为合法设备;
如果是,则确定所述安全设备接入到所述云图平台。
3.根据权利要求1所述的方法,其特征在于,所述建立每个安全设备和每个分支中已配置好的安全域的关联关系,包括:
根据接收到的关联关系建立指令,在安全设备列表中设置每个分支中每个安全设备防护的安全域,和/或,在安全域列表中设置每个分支的每个安全域所对应的安全设备。
4.根据权利要求1所述的方法,其特征在于,所述确定资产管理列表中每个资产和安全域的所属关系,包括:
根据资产的网络地址信息和安全域的网段信息,确定资产管理列表中每个资产和安全域的所属关系。
5.根据权利要求4所述的方法,其特征在于,所述根据资产的网络地址信息和安全域的网段信息,确定资产管理列表中每个资产和安全域的所属关系,包括:
针对资产管理列表中的每个资产,将该资产的网络地址信息与各安全域的网段信息进行匹配;
如果存在匹配成功的安全域,则确定该资产属于该安全域;
如果不存在匹配成功的安全域,则确定该资产属于默认安全域。
6.根据权利要求1所述的方法,其特征在于,所述网络拓扑为平面拓扑和/或立体拓扑。
7.根据权利要求1所述的方法,其特征在于,在所述生成基于资产的网络拓扑之后,还包括:
在接收到针对所述网络拓扑中元素的位置调整指令的情况下,调整相应元素的位置。
8.根据权利要求1所述的方法,其特征在于,还包括:
在监测到所述资产管理列表中的资产有更新的情况下,确定更新后的所述资产管理列表中每个资产和安全域的所属关系;
基于所述关联关系和所述所属关系,更新所述网络拓扑。
9.根据权利要求1至8之中任一项所述的方法,其特征在于,还包括:
获得所述资产管理列表中每个资产的安全风险信息;
基于所述安全风险信息,在所述网络拓扑中对资产进行安全风险标记。
10.一种基于资产的网络拓扑生成装置,其特征在于,包括:
安全设备接入确定模块,用于确定已接入到云图平台的安全设备;
关联关系建立模块,用于建立每个安全设备和每个分支中已配置好的安全域的关联关系;
所属关系确定模块,用于确定资产管理列表中每个资产和安全域的所属关系;
网络拓扑生成模块,用于基于所述关联关系和所述所属关系,生成基于资产的网络拓扑,在所述网络拓扑中,资产在所属安全域的板块内,安全域及其关联的安全设备在对应分支的板块内。
11.一种基于资产的网络拓扑生成设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至9任一项所述基于资产的网络拓扑生成方法的步骤。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至9任一项所述基于资产的网络拓扑生成方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010255420.XA CN111428094A (zh) | 2020-04-02 | 2020-04-02 | 基于资产的网络拓扑生成方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010255420.XA CN111428094A (zh) | 2020-04-02 | 2020-04-02 | 基于资产的网络拓扑生成方法、装置、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111428094A true CN111428094A (zh) | 2020-07-17 |
Family
ID=71556127
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010255420.XA Pending CN111428094A (zh) | 2020-04-02 | 2020-04-02 | 基于资产的网络拓扑生成方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111428094A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111898897A (zh) * | 2020-07-25 | 2020-11-06 | 江苏锐创软件技术有限公司 | 应用资产定位管理方法、装置、系统以及存储介质 |
CN112465933A (zh) * | 2020-11-26 | 2021-03-09 | 杭州安恒信息技术股份有限公司 | 一种设备资产安全状态信息展示方法及相关组件 |
CN114143090A (zh) * | 2021-11-30 | 2022-03-04 | 招商局金融科技有限公司 | 基于网络安全架构的防火墙部署方法、装置、设备及介质 |
CN116975370A (zh) * | 2023-06-30 | 2023-10-31 | 上海螣龙科技有限公司 | 一种网络资产拓扑图展示方法、系统、设备及存储介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090180393A1 (en) * | 2008-01-16 | 2009-07-16 | Oki Electric Industry Co., Ltd. | Sampling apparatus distinguishing a failure in a network even by using a single sampling and a method therefor |
US20120023546A1 (en) * | 2010-07-22 | 2012-01-26 | Juniper Networks, Inc. | Domain-based security policies |
CN103166794A (zh) * | 2013-02-22 | 2013-06-19 | 中国人民解放军91655部队 | 一种具有一体化安全管控功能的信息安全管理方法 |
CN105227383A (zh) * | 2015-11-06 | 2016-01-06 | 广东电网有限责任公司电力科学研究院 | 一种网络拓扑排查的装置 |
CN105450442A (zh) * | 2015-11-06 | 2016-03-30 | 广东电网有限责任公司电力科学研究院 | 一种网络拓扑排查方法及其系统 |
CN105491173A (zh) * | 2014-09-18 | 2016-04-13 | 中国电信股份有限公司 | 一种dns解析方法、服务器及网络系统 |
CN108092979A (zh) * | 2017-12-20 | 2018-05-29 | 国家电网公司 | 一种防火墙策略处理方法及装置 |
CN109714206A (zh) * | 2018-12-28 | 2019-05-03 | 广州邦讯信息系统有限公司 | 电力监控系统网络拓扑图生成方法、总线式网络拓扑图 |
CN110764969A (zh) * | 2019-10-25 | 2020-02-07 | 新华三信息安全技术有限公司 | 网络攻击溯源方法及装置 |
-
2020
- 2020-04-02 CN CN202010255420.XA patent/CN111428094A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090180393A1 (en) * | 2008-01-16 | 2009-07-16 | Oki Electric Industry Co., Ltd. | Sampling apparatus distinguishing a failure in a network even by using a single sampling and a method therefor |
US20120023546A1 (en) * | 2010-07-22 | 2012-01-26 | Juniper Networks, Inc. | Domain-based security policies |
CN103166794A (zh) * | 2013-02-22 | 2013-06-19 | 中国人民解放军91655部队 | 一种具有一体化安全管控功能的信息安全管理方法 |
CN105491173A (zh) * | 2014-09-18 | 2016-04-13 | 中国电信股份有限公司 | 一种dns解析方法、服务器及网络系统 |
CN105227383A (zh) * | 2015-11-06 | 2016-01-06 | 广东电网有限责任公司电力科学研究院 | 一种网络拓扑排查的装置 |
CN105450442A (zh) * | 2015-11-06 | 2016-03-30 | 广东电网有限责任公司电力科学研究院 | 一种网络拓扑排查方法及其系统 |
CN108092979A (zh) * | 2017-12-20 | 2018-05-29 | 国家电网公司 | 一种防火墙策略处理方法及装置 |
CN109714206A (zh) * | 2018-12-28 | 2019-05-03 | 广州邦讯信息系统有限公司 | 电力监控系统网络拓扑图生成方法、总线式网络拓扑图 |
CN110764969A (zh) * | 2019-10-25 | 2020-02-07 | 新华三信息安全技术有限公司 | 网络攻击溯源方法及装置 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111898897A (zh) * | 2020-07-25 | 2020-11-06 | 江苏锐创软件技术有限公司 | 应用资产定位管理方法、装置、系统以及存储介质 |
CN111898897B (zh) * | 2020-07-25 | 2024-02-02 | 江苏锐创软件技术有限公司 | 应用资产定位管理方法、装置、系统以及存储介质 |
CN112465933A (zh) * | 2020-11-26 | 2021-03-09 | 杭州安恒信息技术股份有限公司 | 一种设备资产安全状态信息展示方法及相关组件 |
CN114143090A (zh) * | 2021-11-30 | 2022-03-04 | 招商局金融科技有限公司 | 基于网络安全架构的防火墙部署方法、装置、设备及介质 |
CN114143090B (zh) * | 2021-11-30 | 2024-02-06 | 招商局金融科技有限公司 | 基于网络安全架构的防火墙部署方法、装置、设备及介质 |
CN116975370A (zh) * | 2023-06-30 | 2023-10-31 | 上海螣龙科技有限公司 | 一种网络资产拓扑图展示方法、系统、设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111428094A (zh) | 基于资产的网络拓扑生成方法、装置、设备及存储介质 | |
US11397805B2 (en) | Lateral movement path detector | |
JP2020030866A (ja) | 機密情報処理方法、装置、及び、サーバ、ならびに、セキュリティ決定システム | |
US9723007B2 (en) | Techniques for secure debugging and monitoring | |
US20150347773A1 (en) | Method and system for implementing data security policies using database classification | |
CN104144419A (zh) | 一种身份验证的方法、装置及系统 | |
CN103607385A (zh) | 基于浏览器进行安全检测的方法和装置 | |
US9871778B1 (en) | Secure authentication to provide mobile access to shared network resources | |
CN111431753A (zh) | 一种资产信息更新方法、装置、设备及存储介质 | |
CN106254319B (zh) | 一种轻应用登录控制方法和装置 | |
CN109861968A (zh) | 资源访问控制方法、装置、计算机设备及存储介质 | |
CN110457629A (zh) | 权限处理、权限控制方法及装置 | |
CN110430167B (zh) | 临时账户的管理方法、电子设备、管理终端及存储介质 | |
US20170004201A1 (en) | Structure-based entity analysis | |
US11812273B2 (en) | Managing network resource permissions for applications using an application catalog | |
KR20190052033A (ko) | 일시적인 트랜잭션 서버 | |
CN113614718A (zh) | 异常用户会话检测器 | |
CN112738100A (zh) | 数据访问的鉴权方法、装置、鉴权设备和鉴权系统 | |
CN114731291A (zh) | 安全服务 | |
CN103905514A (zh) | 服务器、终端设备以及网络数据存取权限管理方法 | |
CN106357727A (zh) | 向多个服务器同时上传文件的方法和系统 | |
CN111597584B (zh) | 一种基于区块链的隐私保护和数据共享方法、装置、设备 | |
CN117251837A (zh) | 一种系统接入方法、装置、电子设备及存储介质 | |
CN110035099B (zh) | 一种多系统管理方法、终端设备及存储介质 | |
CN112417403B (zh) | 一种基于GitLab API的系统自动化认证和授权处理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |