CN111447203B - 一种安全策略编排方法 - Google Patents

一种安全策略编排方法 Download PDF

Info

Publication number
CN111447203B
CN111447203B CN202010212845.2A CN202010212845A CN111447203B CN 111447203 B CN111447203 B CN 111447203B CN 202010212845 A CN202010212845 A CN 202010212845A CN 111447203 B CN111447203 B CN 111447203B
Authority
CN
China
Prior art keywords
security policy
policy
security
configuring
target object
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010212845.2A
Other languages
English (en)
Other versions
CN111447203A (zh
Inventor
秦益飞
杨正权
常官清
叶世杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Yianlian Network Technology Co ltd
Original Assignee
Jiangsu Yianlian Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Yianlian Network Technology Co ltd filed Critical Jiangsu Yianlian Network Technology Co ltd
Priority to CN202010212845.2A priority Critical patent/CN111447203B/zh
Publication of CN111447203A publication Critical patent/CN111447203A/zh
Application granted granted Critical
Publication of CN111447203B publication Critical patent/CN111447203B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供了一种安全策略编排方法,包括配置安全策略库,安全策略库内包括多个安全策略组件;为安全策略组件配置可编辑的属性,并根据安全策略组件的属性配置编排规则;配置安全策略编排模板,对应目标对象的访问过程编辑安全策略执行链;将安全策略编排模板生成编排配置文件,并将编排配置文件导入目标对象。本发明对安全策略进行统一编排和动态生效,避免安全策略之间的冲突,降低了维护的难度。

Description

一种安全策略编排方法
技术领域
本发明涉及了一种安全策略编排方法。
背景技术
网络安全产品都是采用安全策略进行安全控制。安全策略的作用是对进入网络安全设备的数据流进行检查匹配,符合安全策略规则定义的流量,实施策略中定义的相关动作(如阻止,允许,告警等)。针对流量的安全策略,有域间安全策略,域内安全策略以及接口包过滤策略。技术实现上,又有ACL策略,黑白名单策略,强密码认证策略,二次认证策略,硬件特征码检测策略等等。各种安全策略散布在一个网络安全产品内部各个环节运行,保护着网络和系统安全。
网络安全的防护,会采用大量多种多样的安全产品和服务,比如防火墙、负载均衡、IDS、IPS、AV、Anti_DDoS等。对于一台设备的网络安全节点内部,在各个环节,存在众多的安全策略的执行。对于这类安全策略的设置,运维人员往往只能根据经验,在系统各个环节中设置安全策略,这对网络安全高效运维带来很大困难。
发明内容
为了解决背景技术中所存在的问题,本发明提出了一种安全策略编排方法。
一种安全策略编排方法,包括
配置安全策略库,安全策略库内包括多个安全策略组件;
为安全策略组件配置可编辑的属性,并根据安全策略组件的属性配置编排规则;
配置安全策略编排模板,对应目标对象的访问过程编辑安全策略执行链;
将安全策略编排模板生成编排配置文件,并将编排配置文件导入目标对象。
基于上述,安全策略组件可编辑的属性至少包括策略名称、安全策略类型、策略编号、策略优先级、策略匹配规则、策略动作、策略关联关系。
基于上述,对应目标对象的访问过程依次设定锚点;在各锚点处分别选用安全策略组件,并根据编排规则对每个安全策略组件进行编辑,以生成安全策略执行链。
基于上述,安全策略组件的编排规则包括对安全策略组件的属性的范围、种类设置。
本发明相对现有技术具有突出的实质性特点和显著的进步,具体的说,在本发明中通过对安全策略进行统一编排和动态生效,避免安全策略之间的冲突,降低了维护的难度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明的流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,一种安全策略编排方法,包括配置安全策略库,安全策略库内包括多个安全策略组件;为安全策略组件配置可编辑的属性,并根据安全策略组件的属性配置编排规则;配置安全策略编排模板,对应目标对象的访问过程编辑安全策略执行链;将安全策略编排模板生成编排配置文件,并将编排配置文件导入目标对象。
安全策略库内包括多种可被选用的安全策略组件,针对目标对象也即需要使用安全策略进行防护的设备,建立一个安全策略编排模板,在模板内根据目标对象在使用时的访问过程,在编排模板内建立安全策略执行链后,将安全策略编排模板生成编排配置文件,并将编排配置文件导入目标对象,目标对象在运行时,按照安全策略链执行安全策略。
具体的,一个应用访问流程中需要执行安全策略的点,称为锚点,对应目标对象的访问过程依次设定锚点;在各锚点处分别选用安全策略组件,并根据编排规则对每个安全策略组件进行编辑,以生成安全策略执行链。
本实施例中,安全策略组件可编辑的属性至少包括策略名称、安全策略类型、策略编号、策略优先级、策略匹配规则、策略动作、策略关联关系。安全策略组件的编排规则包括对安全策略组件的属性的范围、种类设置,如安全策略类型的种类、策略编号的范围、策略优先级的等级范围等。本实施例中,安全策略类型可以分成认证策略及访问相关策略两大类,首登改密、强密码策略、密码超期策略、管理员白名单策略、登录并发数限制策略、长时间未登录策略、防暴力破解策略等可归属为认证策略,入向报文过滤策略、应用访问策略、出向报文过滤策略等可归属为访问相关策略。通过设定优先级,编排策略执行先后顺序;高优先级的策略优先执行,低优先级策略后执行。前后策略之间的关系,根据优先级实现自动排序,并保存到系统中。
用户在完成一次登陆时,根据传入登陆的会话信息(如用户账户,设备信息,密码),逐个匹配认证过程中定义得安全策略,匹配成功,则执行相应的策略动作,自动过度到下一个安全策略,或是终止当前的认证流程。
用户触发一次访问,在定义的访问策略执行锚点处,传入用户信息以及访问流量信息(如五元组信息,URL信息),进行访问安全策略规则匹配,匹配成功,则执行安全策略相应的策略动作,终止当前的流量访问或是越过当前策略,自动进行下一个安全策略匹配。
原有的策略链发生变化,比如删除认证策略链中的强密码认证策略,会触发策略链更新流程,新的认证过程中按照新的策略链进行认证流程安全控制。相似的,访问策略链发生变化,将在下一次访问流程中,按照新的策略链进行访问安全控制。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。

Claims (1)

1.一种安全策略编排方法,其特征在于:包括
配置安全策略库,安全策略库内包括多个安全策略组件;
为安全策略组件配置可编辑的属性,并根据安全策略组件的属性配置编排规则;其中,安全策略组件可编辑的属性至少包括策略名称、安全策略类型、策略编号、策略优先级、策略匹配规则、策略动作、策略关联关系;安全策略组件的编排规则包括对安全策略组件的属性的范围、种类设置;
配置安全策略编排模板,对应目标对象的访问过程编辑安全策略执行链;其中,对应目标对象的访问过程编辑安全策略执行链包括:对应目标对象的访问过程依次设定锚点;在各锚点处分别选用安全策略组件,并根据编排规则对每个安全策略组件进行编辑,以生成安全策略执行链;
将安全策略编排模板生成编排配置文件, 并将编排配置文件导入目标对象。
CN202010212845.2A 2020-03-24 2020-03-24 一种安全策略编排方法 Active CN111447203B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010212845.2A CN111447203B (zh) 2020-03-24 2020-03-24 一种安全策略编排方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010212845.2A CN111447203B (zh) 2020-03-24 2020-03-24 一种安全策略编排方法

Publications (2)

Publication Number Publication Date
CN111447203A CN111447203A (zh) 2020-07-24
CN111447203B true CN111447203B (zh) 2020-11-10

Family

ID=71649018

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010212845.2A Active CN111447203B (zh) 2020-03-24 2020-03-24 一种安全策略编排方法

Country Status (1)

Country Link
CN (1) CN111447203B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114338231B (zh) * 2022-02-22 2023-10-31 浙江网商银行股份有限公司 策略处理方法及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110011971A (zh) * 2019-03-03 2019-07-12 北京立思辰安科技术有限公司 一种网络安全策略的手动配置方法
CN110348201A (zh) * 2019-05-22 2019-10-18 中国科学院信息工程研究所 一种设备安全策略的配置方法及装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9043861B2 (en) * 2007-09-17 2015-05-26 Ulrich Lang Method and system for managing security policies
US8839349B2 (en) * 2011-10-18 2014-09-16 Mcafee, Inc. Integrating security policy and event management
US11017107B2 (en) * 2018-03-06 2021-05-25 Amazon Technologies, Inc. Pre-deployment security analyzer service for virtual computing resources
CN109729075B (zh) * 2018-12-13 2021-07-30 国云科技股份有限公司 一种云平台组件安全策略实现方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110011971A (zh) * 2019-03-03 2019-07-12 北京立思辰安科技术有限公司 一种网络安全策略的手动配置方法
CN110348201A (zh) * 2019-05-22 2019-10-18 中国科学院信息工程研究所 一种设备安全策略的配置方法及装置

Also Published As

Publication number Publication date
CN111447203A (zh) 2020-07-24

Similar Documents

Publication Publication Date Title
CN101496025B (zh) 用于向移动设备提供网络安全的系统和方法
De Ryck et al. Automatic and precise client-side protection against CSRF attacks
US9881304B2 (en) Risk-based control of application interface transactions
CN101675423B (zh) 在外部设备与主机设备间提供数据和设备安全的系统和方法
US20040073811A1 (en) Web service security filter
US7836483B2 (en) Automatic derivation of access control policies from a choreography
US20230071264A1 (en) Security automation system
US10375091B2 (en) Method, device and assembly operable to enhance security of networks
CN114003943B (zh) 一种用于机房托管管理的安全双控管理平台
US20220407858A1 (en) Methods and systems for ip-based network intrusion detection and prevention
US20230119649A1 (en) Intrusion detection and prevention system rule automation and optimization
CN111464528A (zh) 网络安全防护方法、系统、计算设备和存储介质
CN111447203B (zh) 一种安全策略编排方法
US20170346837A1 (en) Real-time security modification and control
Mukhopadhyay et al. Heuristic intrusion detection and prevention system
Khan et al. Artificial intelligence for cyber security: Performance analysis of network intrusion detection
Mack Cyber security
Fuertes et al. Software-based computing platform as an experimental topology assembled to detect and mitigate DDoS attacks using virtual environments
EP4300333A1 (en) Methods and systems for identity control
Dervišević et al. Case study: Security of system for remote management of windows
Seymour Zero Trust Architectures: A Comprehensive Analysis and Implementation Guide
Bedi et al. Avoiding threats using multi agent system planning for web based systems
Ayachit et al. A petri net based XML firewall security model for web services invocation.
Nikkarinen Security in Authentication Systems and How Usability and Human Factors Contribute to Security in OneID
El Samarji Risk-aware Decision Support System to Counter Coordinated and Simultaneous Attacks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: A security policy arrangement method

Effective date of registration: 20220111

Granted publication date: 20201110

Pledgee: Jiangsu bank Limited by Share Ltd. Nanjing rain flower branch

Pledgor: JIANGSU YIANLIAN NETWORK TECHNOLOGY Co.,Ltd.

Registration number: Y2022980000314