CN111447202B - 一种安全策略可视化编排系统 - Google Patents
一种安全策略可视化编排系统 Download PDFInfo
- Publication number
- CN111447202B CN111447202B CN202010212834.4A CN202010212834A CN111447202B CN 111447202 B CN111447202 B CN 111447202B CN 202010212834 A CN202010212834 A CN 202010212834A CN 111447202 B CN111447202 B CN 111447202B
- Authority
- CN
- China
- Prior art keywords
- policy
- strategy
- security policy
- chain
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/22—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Human Computer Interaction (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种安全策略可视化编排系统,包括安全策略库和策略编排器,安全策略库包括多个具有可编辑属性的安全策略组件;策略编排器包括至少一个用户块或用户组块,每个用户块或用户组块下设置有策略链业务流程,每个策略链业务流程下设置有多个执行锚点,执行锚点处用于配置安全策略组件。本发明对安全策略进行可视化编排,方便直观观察策略链的执行情况,便于修改和维护。
Description
技术领域
本发明涉及了一种安全策略可视化编排系统。
背景技术
网络安全产品都是采用安全策略进行安全控制。安全策略的作用是对进入网络安全设备的数据流进行检查匹配,符合安全策略规则定义的流量,实施策略中定义的相关动作(如阻止,允许,告警等)。针对流量的安全策略,有域间安全策略,域内安全策略以及接口包过滤策略。技术实现上,又有ACL策略,黑白名单策略,强密码认证策略,二次认证策略,硬件特征码检测策略等等。各种安全策略散布在一个网络安全产品内部各个环节运行,保护着网络和系统安全。
网络安全产品都是通过安全策略,实现网络安全保护。对于一台网络安全设备内部,存在众多的安全策略。现有系统中,安全策略的执行过程,都是按照先后顺序固化到系统内部,形成静态的策略执行过程,因为安全策略导致的流量不通,或者用户身份的信任评估失败问题时有发生,往往比较难于定位和修改,这给网络安全运维带来很大困难。
发明内容
为了解决背景技术中所存在的问题,本发明提出了一种安全策略可视化编排系统。
一种安全策略可视化编排系统,包括
安全策略库,包括多个具有可编辑属性的安全策略组件;
策略编排器,包括至少一个用户块或用户组块,每个用户块或用户组块下设置有策略链业务流程,每个策略链业务流程下设置有多个执行锚点,执行锚点处用于配置安全策略组件。
基于上述,策略链业务流程包括认证策略链和访问策略链。
基于上述,每个用户块或用户组块下还设置有自定义策略链业务流程,自定义策略链业务流程下设置有多个执行锚点,执行锚点处用于配置安全策略组件。
基于上述,安全策略组件可编辑的属性至少包括策略名称、安全策略类型、策略编号、策略优先级、策略匹配规则、策略动作、策略关联关系。
基于上述,安全策略组件为具有可编辑属性的图形化图标。
基于上述,所述图形化图标为具有动态属性的图形化图标。
本发明相对现有技术具有突出的实质性特点和显著的进步,具体的说,在本发明中通过对安全策略进行可视化编排,方便直观观察策略链的执行情况,便于修改和维护。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明的结构示意框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,一种安全策略可视化编排系统,包括安全策略库和策略编排器,安全策略库包括多个具有可编辑属性的安全策略组件;策略编排器包括至少一个用户块或用户组块,每个用户块或用户组块下设置有策略链业务流程,每个策略链业务流程下设置有多个执行锚点,执行锚点处用于配置安全策略组件。
将用户块或用户组块下的策略链业务流程与目标用户或用户组进行关联后,通过鼠标拖曳的方式将安全策略库内所需的安全策略组件拖动至执行锚点处,策略链业务流程内的多个安全策略组件可通过拖曳的方式进行顺序调整,并可通过点击的方式进行属性设置,如优先级设置等。本实施例中,策略链业务流程包括认证策略链和访问策略链。认证策略链相关的安全策略组件包括首登改密策略、强密码策略、密码超期策略、管理员白名单策略、登录并发数策略、长时间未登录策略、防暴力破解策略等。访问策略链相关的安全策略组件包括入向报文过滤策略、应用访问策略、出向报文过滤策略等。
优选地,每个用户块或用户组块下还设置有自定义策略链业务流程,自定义策略链业务流程下设置有多个执行锚点,执行锚点处用于配置安全策略组件。通过自定义策略链业务流程,可以以自定义的方式派生出新的流程,比如可以增加一个二次认证业务流程,并在该策略链中,可以鼠标的方式操作添加安全策略组件执行以及策略执行的先后顺序,如可以插入微信认证、手机短信认证等,从而形成一个二次认证策略链。
实际中,安全策略组件为具有可编辑属性的图形化图标。安全策略组件可编辑的属性至少包括策略名称、安全策略类型、策略编号、策略优先级、策略匹配规则、策略动作、策略关联关系。所述图形化图标为具有动态属性的图形化图标,图标显示包括策略标号和策略名称,在策略编排器内可进行静态的编辑,包括对策略链内安全策略组件属性的编辑及位置顺序的编辑。编辑完后可进行动态的执行,图形化图标的动态属性是指执行过程中不同的执行状态可以以不同的图标颜色、策略标号变化等进行区别显示,如正常状态下图标颜色为绿色,执行状态下的策略图标为橙色,被跳过的未执行图标为灰色,执行错误或被跳过的未执行图标的策略标号由数字变为禁止符号等,以提高直观性。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
Claims (4)
1.一种安全策略可视化编排系统,其特征在于:包括
安全策略库,包括多个具有可编辑属性的安全策略组件;其中,安全策略组件可编辑的属性至少包括策略名称、安全策略类型、策略编号、策略优先级、策略匹配规则、策略动作、策略关联关系;
策略编排器,包括至少一个用户块或用户组块,每个用户块或用户组块下设置有策略链业务流程,每个策略链业务流程下设置有多个执行锚点,执行锚点处用于配置安全策略组件;
在策略编排器内可进行静态的编辑,包括对策略链内安全策略组件属性的编辑及位置顺序的编辑,通过自定义策略链业务流程派生出新的流程,包括:插入微信认证、手机短信认证从而形成一个二次认证策略链,通过二次认证策略链派生出二次认证业务流程;
每个用户块或用户组块下还设置有自定义策略链业务流程,自定义策略链业务流程下设置有多个执行锚点,执行锚点处用于配置安全策略组件。
2.根据权利要求1所述的安全策略可视化编排系统,其特征在于:策略链业务流程包括认证策略链和访问策略链。
3.根据权利要求1所述的安全策略可视化编排系统,其特征在于:安全策略组件为具有可编辑属性的图形化图标。
4.根据权利要求3所述的安全策略可视化编排系统,其特征在于:所述图形化图标为具有动态属性的图形化图标。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010212834.4A CN111447202B (zh) | 2020-03-24 | 2020-03-24 | 一种安全策略可视化编排系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010212834.4A CN111447202B (zh) | 2020-03-24 | 2020-03-24 | 一种安全策略可视化编排系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111447202A CN111447202A (zh) | 2020-07-24 |
| CN111447202B true CN111447202B (zh) | 2021-03-30 |
Family
ID=71654367
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010212834.4A Active CN111447202B (zh) | 2020-03-24 | 2020-03-24 | 一种安全策略可视化编排系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111447202B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112333171B (zh) * | 2020-10-28 | 2023-11-28 | 腾讯科技(深圳)有限公司 | 一种业务数据处理方法、装置及计算机设备 |
| CN112839045B (zh) * | 2021-01-14 | 2023-05-30 | 中盈优创资讯科技有限公司 | 对策略进行编排的实现方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102123149A (zh) * | 2011-03-04 | 2011-07-13 | 哈尔滨工程大学 | 面向服务的大规模网络安全态势评估装置及方法 |
| CN107992398A (zh) * | 2017-12-22 | 2018-05-04 | 宜人恒业科技发展(北京)有限公司 | 一种业务系统的监控方法和监控系统 |
| CN108508850A (zh) * | 2017-02-28 | 2018-09-07 | Sap欧洲公司 | 制造过程数据收集和分析 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10447738B2 (en) * | 2016-09-16 | 2019-10-15 | Oracle International Corporation | Dynamic policy injection and access visualization for threat detection |
| CN108614688B (zh) * | 2016-12-30 | 2021-04-02 | 上海华讯网络系统有限公司 | 应用于混合云环境的可视化应用编排系统及方法 |
| US20190121334A1 (en) * | 2017-10-24 | 2019-04-25 | Baker Hughes, A Ge Company, Llc | Advisory system for industrial plants |
| CN110213369B (zh) * | 2019-06-03 | 2021-03-16 | 电子科技大学 | 一种服务功能链自动编排系统及其编排方法 |
-
2020
- 2020-03-24 CN CN202010212834.4A patent/CN111447202B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102123149A (zh) * | 2011-03-04 | 2011-07-13 | 哈尔滨工程大学 | 面向服务的大规模网络安全态势评估装置及方法 |
| CN108508850A (zh) * | 2017-02-28 | 2018-09-07 | Sap欧洲公司 | 制造过程数据收集和分析 |
| CN107992398A (zh) * | 2017-12-22 | 2018-05-04 | 宜人恒业科技发展(北京)有限公司 | 一种业务系统的监控方法和监控系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111447202A (zh) | 2020-07-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3664411B1 (en) | Generating attack graphs in agile security platforms | |
| Zahadat et al. | BYOD security engineering: A framework and its analysis | |
| US8115769B1 (en) | System, method, and computer program product for conveying a status of a plurality of security applications | |
| CN107563203B (zh) | 集成安全策略和事件管理 | |
| CN111447202B (zh) | 一种安全策略可视化编排系统 | |
| US10671723B2 (en) | Intrusion detection system enrichment based on system lifecycle | |
| US20160246962A1 (en) | System, Method, and Computer Program Product for Isolating a Device Associated with At Least Potential Data Leakage Activity, Based on User Input | |
| US11841954B2 (en) | Systems and methods for automated threat modeling when deploying infrastructure as a code | |
| US11882145B2 (en) | Detection of vulnerabilities in a computer network | |
| CN112787992A (zh) | 一种敏感数据的检测与防护的方法、装置、设备和介质 | |
| Husák et al. | CRUSOE: A toolset for cyber situational awareness and decision support in incident handling | |
| Eastman et al. | Big data and predictive analytics: on the cybersecurity front line | |
| Toker et al. | Mitre ics attack simulation and detection on ethercat based drinking water system | |
| Moskal et al. | Cyberattack action-intent-framework for mapping intrusion observables | |
| CN111447203B (zh) | 一种安全策略编排方法 | |
| CN113361933A (zh) | 一种跨企业协同的集中管控中心 | |
| CN110378120A (zh) | 应用程序接口攻击检测方法、装置以及可读存储介质 | |
| Raghuvanshi | Addressing Cybersecurity and Data Breach Regulations: A Global Perspective | |
| CN111010391A (zh) | 一种漏洞修复方法、装置及其相关设备 | |
| CN117354060B (zh) | 一种针对云计算IaaS层漏洞检测方法、系统和介质 | |
| Effendi et al. | ICS and IT: managing cyber security across the enterprise | |
| Al Harthy | A Risk Management Framework for the BYOD Environment | |
| Nabi | Software Design Flaw and Security Assurance Gap in Component-based Application Security & Privacy | |
| US11563759B2 (en) | Methods and systems for cyber-monitoring and visually depicting cyber-activities | |
| Hristova et al. | Training of administrative staff for providing information security in a remote work environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |