CN111523122A - 回溯安全边界的配置的方法和系统 - Google Patents

回溯安全边界的配置的方法和系统 Download PDF

Info

Publication number
CN111523122A
CN111523122A CN202010053619.4A CN202010053619A CN111523122A CN 111523122 A CN111523122 A CN 111523122A CN 202010053619 A CN202010053619 A CN 202010053619A CN 111523122 A CN111523122 A CN 111523122A
Authority
CN
China
Prior art keywords
configuration
report
information
maintenance
configuration information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010053619.4A
Other languages
English (en)
Other versions
CN111523122B (zh
Inventor
秦京
马平清
张瑞涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Unionpay Co Ltd
Original Assignee
China Unionpay Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Unionpay Co Ltd filed Critical China Unionpay Co Ltd
Priority to CN202010053619.4A priority Critical patent/CN111523122B/zh
Publication of CN111523122A publication Critical patent/CN111523122A/zh
Application granted granted Critical
Publication of CN111523122B publication Critical patent/CN111523122B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种回溯安全边界的配置的方法,包括:获取运维系统所管理的安全设备的配置信息,并且根据所述配置信息形成配置报告,其中所述安全设备用于建立所述安全边界;获取所述运维系统中的业务信息,并根据所述业务信息形成运维报告;建立所述配置报告与所述运维报告在时间上的映射关系;以及存储所述映射关系以用于回溯所述安全边界的配置。

Description

回溯安全边界的配置的方法和系统
技术领域
本发明涉及计算机安全领域,具体而言,涉及一种回溯安全边界的配置的方法和系统。
背景技术
如今,网络环境下的服务器、存储器、网络链路等设备及利用其部署的业务越来越多,网络系统安全正变得越来越重要。在网络安全工作中,安全边界的管理与回溯举足轻重,它有助于找到与网络安全相关的问题所在。例如,防火墙ACL(访问控制表)的变更一般是由业务驱动的,经过运维管理流程后得以实施,但是ACL(访问控制表)的管理往往被人忽视,这容易造成安全隐患。其他构成网络边界的各种设备有时需要进行回溯和同步管理,但是这种管理往往由于设备数量庞大而难以较好地实现。
发明内容
为了高效地管理安全边界,本发明提出了一种回溯安全边界的配置的方法和系统,具体而言:
根据本发明的一方面,提供一种回溯安全边界的配置的方法,其特征在于,所述方法包括:获取运维系统所管理的安全设备的配置信息,并且根据所述配置信息形成配置报告,其中所述安全设备用于建立所述安全边界;获取所述运维系统中的业务信息,并根据所述业务信息形成运维报告;建立所述配置报告与所述运维报告在时间上的映射关系;以及存储所述映射关系以用于回溯所述安全边界的配置。
在本发明的一些实施例中,可选地,所述方法还包括根据所述映射关系生成关于所述安全边界的报告。
在本发明的一些实施例中,可选地,若在所述映射关系中所述配置报告中的配置信息在所述运维报告中不存在对应的业务信息,则报告所述配置信息为非法。
在本发明的一些实施例中,可选地,以第一时间间隔周期性地获取所述配置信息,并根据相邻时间间隔之间的配置信息的差异生成所述配置报告。
在本发明的一些实施例中,可选地,所述配置报告还包括所述配置信息的类型、所述配置报告的序列号以及生成所述配置报告的时间。
在本发明的一些实施例中,可选地,所述配置报告还包括对应的标签,所述标签根据所述配置信息的类型、所述配置报告的序列号以及生成所述配置报告的时间而形成。
在本发明的一些实施例中,可选地,以第二时间间隔周期性地获取所述业务信息,并根据相邻时间间隔之间的业务信息的差异生成所述运维报告,所述第一时间间隔是所述第二时间间隔的整数倍。
在本发明的一些实施例中,可选地,所述第一时间间隔等于所述第二时间间隔。
根据本发明的另一方面,提供一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,其特征在于,当所述指令由处理器执行时,使得所述处理器执行如上文所述的任意一种方法。
根据本发明的另一方面,提供一种回溯安全边界的配置的系统,其特征在于,所述系统包括:配置报告获取单元,其配置成获取根据运维系统所管理的安全设备的配置信息形成的配置报告,其中所述安全设备用于建立所述安全边界;运维报告获取单元,其配置成获取根据所述运维系统中的业务信息形成的运维报告;映射关系建立单元,其配置成建立所述配置报告与所述运维报告在时间上的映射关系;以及映射关系存储单元,其配置成存储所述映射关系以用于回溯所述安全边界的配置。
在本发明的一些实施例中,可选地,所述系统还包括报告生成单元,其配置成根据所述映射关系生成关于所述安全边界的报告。
在本发明的一些实施例中,可选地,若在所述映射关系中所述配置报告中的配置信息在所述运维报告中不存在对应的业务信息,则所述报告生成单元报告所述配置信息为非法。
在本发明的一些实施例中,可选地,以第一时间间隔周期性地获取所述配置信息,并且所述配置报告是根据相邻时间间隔之间的配置信息的差异生成的。
在本发明的一些实施例中,可选地,所述配置报告还包括所述配置信息的类型、所述配置报告的序列号以及生成所述配置报告的时间。
在本发明的一些实施例中,可选地,所述配置报告还包括对应的标签,所述标签根据所述配置信息的类型、所述配置报告的序列号以及生成所述配置报告的时间而形成。
在本发明的一些实施例中,可选地,以第二时间间隔周期性地获取所述业务信息,并且所述运维报告是根据相邻时间间隔之间的业务信息的差异生成的,其中所述第一时间间隔是所述第二时间间隔的整数倍。
在本发明的一些实施例中,可选地,所述第一时间间隔等于所述第二时间间隔。
附图说明
从结合附图的以下详细说明中,将会使本发明的上述和其他目的及优点更加完整清楚,其中,相同或相似的要素采用相同的标号表示。
图1示出了根据本发明的一个实施例的回溯安全边界的配置的方法的流程示意图。
图2示出了根据本发明的一个实施例的回溯安全边界的配置的方法的流程示意图。
图3示出了根据本发明的一个实施例的回溯安全边界的配置的系统的示意图。
图4示出了根据本发明的一个实施例的回溯安全边界的配置的系统的示意图。
图5示出了根据本发明的一个实施例的回溯安全边界的配置的系统的示意图。
图6示出了根据本发明的一个实施例的回溯安全边界的配置的系统的局部示意图。
具体实施方式
出于简洁和说明性目的,本文主要参考其示范实施例来描述本发明的原理。但是,本领域技术人员将容易地认识到相同的原理可等效地应用于所有类型的回溯安全边界的配置的方法和系统,并且可以在其中实施这些相同或相似的原理,任何此类变化不背离本专利申请的真实精神和范围。
图1示出了根据本发明的一个实施例的回溯安全边界的配置的方法的流程示意图。如图所示,该方法包括在步骤102中获取运维系统所管理的安全设备的配置信息,并且根据配置信息形成配置报告。运维系统(运维平台)是根据工单业务来配置各种安全设备的,进而构建满足要求的安全边界。其中,安全边界由各种安全设备建立,安全设备包括但不限于防火墙、网关等。在步骤102中获取的配置信息可以是防火墙的ACL(访问控制表)、TCP连接、日志报错等信息或者其组合,然后根据这些配置信息形成配置报告。在一些示例中,配置报告可能是各种配置信息的简单组合,可以从配置报告中直接还原出各种配置信息。例如,配置报告是配置信息的打包形式。在其他示例中,配置报告是对各种配置信息的深加工,需要经过一定处理才可以从配置报告中还原出各个配置信息。例如,配置报告仅记录了相隔预定时间段的配置信息的差异情况。
该方法还包括在步骤104中获取运维系统中的业务信息,并根据业务信息形成运维报告。运维系统中的业务信息是指各类工单任务,包括运维流程中的各种服务信息、变更信息以及可能引起安全边界的任何一部分的配置、容量、运行状态产生变化的信息。
该方法还包括在步骤106中建立配置报告与运维报告在时间上的映射关系。在步骤102和步骤104中分别得到了配置报告和运维报告,本发明还在时间上将这两种报告对应起来。例如,将8:00的配置报告与8:00的运维报告对应起来,将9:00的配置报告与9:00的运维报告对应起来,以此类推,通过这种方式可以建立配置报告与运维报告的映射关系。当需要确定配置报告中的某条配置信息是由哪个工单任务形成时,可以先找到该条配置信息所属配置报告映射到的运维报告,进而可以确定是由哪个工单任务形成的。
该方法还包括在步骤108中存储映射关系以用于回溯安全边界的配置。对于诸如较大型安全边界而言,其包括的设备数目可能较多,且设置的业务规则也可能非常多,因而有必要将上个步骤形成的映射关系保存起来供后续使用,亦即,可以通过保存的各个映射关系来回溯安全边界的配置。例如,若发现安全边界中的某条业务规则可能存在问题,则可以在保存的映射关系中找到对应的工单任务,找到问题所在。
图2示出了根据本发明的一个实施例的回溯安全边界的配置的方法的流程示意图,与上一个实施例相比,本实施例还根据存储的映射关系生成关于安全边界的报告。同样地,该方法包括在步骤102中获取运维系统所管理的安全设备的配置信息,并且根据配置信息形成配置报告。运维系统(运维平台)是根据工单业务来配置各种安全设备的,进而构建满足要求的安全边界。其中,安全边界由各种安全设备建立,安全设备包括但不限于防火墙、网关等。在步骤102中获取的配置信息可以是防火墙的ACL(访问控制表)、TCP连接、日志报错等信息或者其组合,然后根据这些配置信息形成配置报告。在一些示例中,配置报告可能是各种配置信息的简单组合,可以从配置报告中直接还原出各种配置信息。例如,配置报告是配置信息的打包形式。在其他示例中,配置报告是对各种配置信息的深加工,需要经过一定处理才可以从配置报告中还原出各个配置信息。例如,配置报告仅记录了相隔预定时间段的配置信息的差异情况。
同样地,该方法还包括在步骤104中获取运维系统中的业务信息,并根据业务信息形成运维报告。运维系统中的业务信息是指各类工单任务,包括运维流程中的各种服务信息、变更信息以及可能引起安全边界的任何一部分的配置、容量、运行状态产生变化的信息。
同样地,该方法还包括在步骤106中建立配置报告与运维报告在时间上的映射关系。在步骤102和步骤104中分别得到了配置报告和运维报告,本发明还在时间上将这两种报告对应起来。例如,将8:00的配置报告与8:00的运维报告对应起来,将9:00的配置报告与9:00的运维报告对应起来,以此类推,通过这种方式可以建立配置报告与运维报告的映射关系。当需要确定配置报告中的某条配置信息是由哪个工单任务形成时,可以先找到该条配置信息所属配置报告映射到的运维报告,进而可以确定是由哪个工单任务形成的。
同样地,该方法还包括在步骤108中存储映射关系以用于回溯安全边界的配置。对于诸如较大型安全边界而言,其包括的设备数目可能较多,且设置的业务规则也可能非常多,因而有必要将上个步骤形成的映射关系保存起来供后续使用,亦即,可以通过保存的各个映射关系来回溯安全边界的配置。例如,若发现安全边界中的某条业务规则可能存在问题,则可以在保存的映射关系中找到对应的工单任务,找到问题所在。
该方法还包括在步骤202中根据映射关系生成关于安全边界的报告。本发明不限制报告的形式、数量或周期等,以其能够报告安全边界的运行状态即可。例如,可以以一定频率报告配置报告和运维报告的数量、类型等,以便使运维人员知晓安全边界当前运行状态。再如,还可以在检测到配置报告中包括对敏感业务的操作时报告运维人员。报告可以以感官可接受的视觉、听觉等形式,例如输出监控画面、播放警报声等。
在本发明的一些实施例中,若在映射关系中配置报告中的配置信息在运维报告中不存在对应的业务信息,则报告配置信息为非法。有的对安全边界的调整没有经过运维系统,这是一种典型的非法操作行为,因为这种行为可以逃避事后监管。因而,当发现不存在对应业务信息(不通过运维系统)的配置信息时,可以及时通知运维人员。
继续参考图1或图2,在本发明的一些实施例中,可以以第一时间间隔周期性地获取配置信息,并根据相邻时间间隔之间的配置信息的差异生成配置报告。具体而言,在步骤102中以第一时间间隔周期性地获取运维系统所管理的安全设备的配置信息,并且根据相邻时间间隔之间的配置信息的差异生成配置报告。配置信息的差异可以通过对比相邻时间间隔之间的配置信息的内容、条目等得到。由于安全设备的配置可能会在某一段时间内保持稳定,因而可以以预定的时间间隔来获取安全设备的配置信息。当然,如果某些安全设备的配置在单位时间内变动较大,那么可以将关于该设备的获取时间间隔设置得较短些。
运维系统(运维平台)是根据工单业务来配置各种安全设备的,进而构建满足要求的安全边界。其中,安全边界由各种安全设备建立,安全设备包括但不限于防火墙、网关等。在步骤102中获取的配置信息可以是防火墙的ACL(访问控制表)、TCP连接、日志报错等信息或者其组合,然后根据这些配置信息形成配置报告。在一些示例中,配置报告可能是各种配置信息的简单组合,可以从配置报告中直接还原出各种配置信息。例如,配置报告是配置信息的打包形式。在其他示例中,配置报告是对各种配置信息的深加工,需要经过一定处理才可以从配置报告中还原出各个配置信息。例如,配置报告仅记录了相隔预定时间段的配置信息的差异情况。
仅仅根据累积形成的配置信息来形成配置报告有时不太容易从配置报告与运维报告的映射关系中发现配置信息与业务信息的对应关系。因而,可以仅关注某段时间内新增的配置信息,这样一方面可以减小数据规模,另一方面也可以较为容易地使得配置信息与业务信息对应起来。在本发明的一些实施例中可以以预定的时间间隔(例如,每30分钟、每小时等,根据安全边界的规模还可以是其他间隔)周期性地获取配置信息,并根据相邻时间间隔之间的配置信息的差异生成配置报告。例如,当每小时周期性地获取配置信息时,如果8:00获取的配置信息与9:00获取的配置信息完全一致,那么9:00生成的配置报告可以不记录任何配置信息,因为这段时间内实际上没有新的配置信息生成。如果9:00获取的配置信息比8:00获取的配置信息多了一条配置信息A,那么9:00生成的配置报告可以配置信息A而不记录任何其他配置信息。
在本发明的一些实施例中,配置报告还可以包括配置信息的类型(例如,防火墙的ACL、TCP连接、日志报错等)、配置报告的序列号(例如,是一天当中第几次产生的配置报告)以及生成配置报告的时间。配置报告的这些属性有助于后期对这些配置进行归类,也有助于建立配置报告与运维报告之间更精确的映射关系,还有助于后期从保存的映射关系中查找配置信息、业务信息等。
在本发明的一些实施例中,配置报告还可以包括对应的标签,标签根据配置信息的类型、配置报告的序列号以及生成配置报告的时间而形成。通过标签可以将每一个配置报告区分开来,从而即使在配置报告内容一致的情况下也可以通过标签标识这些配置报告,避免了混淆。
上文介绍了可以以第一时间间隔周期性地获取配置信息,基于类似的原因,在本发明的一些实施例中,可以以第二时间间隔周期性地获取业务信息,并根据相邻时间间隔之间的业务信息的差异生成运维报告。仅仅根据累积形成的业务信息来形成运维报告有时不太容易从配置报告与运维报告的映射关系中发现配置信息与业务信息的对应关系。因而,可以仅关注某段时间内新增的业务信息,这样一方面可以减小数据规模,另一方面也可以较为容易地使得配置信息与业务信息对应起来。在本发明的一些实施例中可以以预定的时间间隔(例如,每30分钟、每小时等,根据安全边界的规模还可以是其他间隔)周期性地获取业务信息,并根据相邻时间间隔之间的业务信息的差异生成运维报告。另一方面,由于配置信息大多是由业务信息驱动形成的,且一般一条业务信息可能驱动产生多条配置信息,因此,可以将第一时间间隔设置为第二时间间隔的整数倍。当然,为了保持以统一的时间精细度得到配置报告、运维报告,在本发明的一些实施例中,第一时间间隔等于第二时间间隔。
图3示出了根据本发明的一个实施例的回溯安全边界的配置的系统的示意图。如图所示,系统30包括配置报告获取单元31、运维报告获取单元32、映射关系建立单元33以及映射关系存储单元34。
配置报告获取单元31被配置成获取根据运维系统所管理的安全设备的配置信息形成的配置报告。运维系统(运维平台)是根据工单业务来配置各种安全设备的,进而构建满足要求的安全边界。其中,安全边界由各种安全设备建立,安全设备包括但不限于防火墙、网关等。在步骤102中获取的配置信息可以是防火墙的ACL(访问控制表)、TCP连接、日志报错等信息或者其组合,然后根据这些配置信息形成配置报告。在一些示例中,配置报告可能是各种配置信息的简单组合,可以从配置报告中直接还原出各种配置信息。例如,配置报告是配置信息的打包形式。在其他示例中,配置报告是对各种配置信息的深加工,需要经过一定处理才可以从配置报告中还原出各个配置信息。例如,配置报告仅记录了相隔预定时间段的配置信息的差异情况。
运维报告获取单元32被配置成获取根据运维系统中的业务信息形成的运维报告。运维系统中的业务信息是指各类工单任务,包括运维流程中的各种服务信息、变更信息以及可能引起安全边界的任何一部分的配置、容量、运行状态产生变化的信息。
映射关系建立单元33被配置成建立配置报告与运维报告在时间上的映射关系。配置报告获取单元31和运维报告获取单元32分别配置成获取配置报告和运维报告,本发明还在时间上将这两种报告对应起来。例如,映射关系建立单元33将8:00的配置报告与8:00的运维报告对应起来,将9:00的配置报告与9:00的运维报告对应起来,以此类推,通过这种方式可以建立配置报告与运维报告的映射关系。当需要确定配置报告中的某条配置信息是由哪个工单任务形成时,可以先找到该条配置信息所属配置报告映射到的运维报告,进而可以确定是由哪个工单任务形成的。
映射关系存储单元34被配置成存储映射关系以用于回溯安全边界的配置。对于诸如较大型安全边界而言,其包括的设备数目可能较多,且设置的业务规则也可能非常多,因而有必要将上个步骤形成的映射关系保存起来供后续使用,亦即,可以通过保存的各个映射关系来回溯安全边界的配置。例如,若发现安全边界中的某条业务规则可能存在问题,则可以在保存的映射关系中找到对应的工单任务,找到问题所在。
图4示出了根据本发明的一个实施例的回溯安全边界的配置的系统的示意图,与图3所对应的实施例相比,该实施例中还包括报告生成单元41。如图所示,系统40包括配置报告获取单元31、运维报告获取单元32、映射关系建立单元33、映射关系存储单元34以及报告生成单元41。
同样地,配置报告获取单元31被配置成获取根据运维系统所管理的安全设备的配置信息形成的配置报告。运维系统(运维平台)是根据工单业务来配置各种安全设备的,进而构建满足要求的安全边界。其中,安全边界由各种安全设备建立,安全设备包括但不限于防火墙、网关等。在步骤102中获取的配置信息可以是防火墙的ACL(访问控制表)、TCP连接、日志报错等信息或者其组合,然后根据这些配置信息形成配置报告。在一些示例中,配置报告可能是各种配置信息的简单组合,可以从配置报告中直接还原出各种配置信息。例如,配置报告是配置信息的打包形式。在其他示例中,配置报告是对各种配置信息的深加工,需要经过一定处理才可以从配置报告中还原出各个配置信息。例如,配置报告仅记录了相隔预定时间段的配置信息的差异情况。
同样地,运维报告获取单元32被配置成获取根据运维系统中的业务信息形成的运维报告。运维系统中的业务信息是指各类工单任务,包括运维流程中的各种服务信息、变更信息以及可能引起安全边界的任何一部分的配置、容量、运行状态产生变化的信息。
同样地,映射关系建立单元33被配置成建立配置报告与运维报告在时间上的映射关系。配置报告获取单元31和运维报告获取单元32分别配置成获取配置报告和运维报告,本发明还在时间上将这两种报告对应起来。例如,映射关系建立单元33将8:00的配置报告与8:00的运维报告对应起来,将9:00的配置报告与9:00的运维报告对应起来,以此类推,通过这种方式可以建立配置报告与运维报告的映射关系。当需要确定配置报告中的某条配置信息是由哪个工单任务形成时,可以先找到该条配置信息所属配置报告映射到的运维报告,进而可以确定是由哪个工单任务形成的。
同样地,映射关系存储单元34被配置成存储映射关系以用于回溯安全边界的配置。对于诸如较大型安全边界而言,其包括的设备数目可能较多,且设置的业务规则也可能非常多,因而有必要将上个步骤形成的映射关系保存起来供后续使用,亦即,可以通过保存的各个映射关系来回溯安全边界的配置。例如,若发现安全边界中的某条业务规则可能存在问题,则可以在保存的映射关系中找到对应的工单任务,找到问题所在。
报告生成单元41被配置成根据映射关系生成关于安全边界的报告。本发明不限制报告的形式、数量或周期等,以其能够报告安全边界的运行状态即可。例如,可以以一定频率报告配置报告和运维报告的数量、类型等,以便使运维人员知晓安全边界当前运行状态。再如,还可以在检测到配置报告中包括对敏感业务的操作时报告运维人员。报告可以以感官可接受的视觉、听觉等形式,例如输出监控画面、播放警报声等。
在本发明的一些实施例中,若在映射关系中配置报告中的配置信息在运维报告中不存在对应的业务信息,则报告生成单元41报告配置信息为非法。有的对安全边界的调整没有经过运维系统,这是一种典型的非法操作行为,因为这种行为可以逃避事后监管。因而,当发现不存在对应业务信息(不通过运维系统)的配置信息时,可以及时通知运维人员。
在本发明的一些实施例中,以第一时间间隔周期性地获取配置信息,并且配置报告是根据相邻时间间隔之间的配置信息的差异生成的。具体而言,配置报告获取单元31以第一时间间隔周期性地获取运维系统所管理的安全设备的配置信息,并且根据相邻时间间隔之间的配置信息的差异生成配置报告。配置信息的差异可以通过对比相邻时间间隔之间的配置信息的内容、条目等得到。由于安全设备的配置可能会在某一段时间内保持稳定,因而可以以预定的时间间隔来获取安全设备的配置信息。当然,如果某些安全设备的配置在单位时间内变动较大,那么可以将关于该设备的获取时间间隔设置得较短些。
运维系统(运维平台)是根据工单业务来配置各种安全设备的,进而构建满足要求的安全边界。其中,安全边界由各种安全设备建立,安全设备包括但不限于防火墙、网关等。在步骤102中获取的配置信息可以是防火墙的ACL(访问控制表)、TCP连接、日志报错等信息或者其组合,然后根据这些配置信息形成配置报告。在一些示例中,配置报告可能是各种配置信息的简单组合,可以从配置报告中直接还原出各种配置信息。例如,配置报告是配置信息的打包形式。在其他示例中,配置报告是对各种配置信息的深加工,需要经过一定处理才可以从配置报告中还原出各个配置信息。例如,配置报告仅记录了相隔预定时间段的配置信息的差异情况。
仅仅根据累积形成的配置信息来形成配置报告有时不太容易从配置报告与运维报告的映射关系中发现配置信息与业务信息的对应关系。因而,可以仅关注某段时间内新增的配置信息,这样一方面可以减小数据规模,另一方面也可以较为容易地使得配置信息与业务信息对应起来。在本发明的一些实施例中可以以预定的时间间隔(例如,每30分钟、每小时等,根据安全边界的规模还可以是其他间隔)周期性地获取配置信息,并根据相邻时间间隔之间的配置信息的差异生成配置报告。例如,当每小时周期性地获取配置信息时,如果8:00获取的配置信息与9:00获取的配置信息完全一致,那么9:00生成的配置报告可以不记录任何配置信息,因为这段时间内实际上没有新的配置信息生成。如果9:00获取的配置信息比8:00获取的配置信息多了一条配置信息A,那么9:00生成的配置报告可以配置信息A而不记录任何其他配置信息。
在本发明的一些实施例中,配置报告还可以包括配置信息的类型(例如,防火墙的ACL、TCP连接、日志报错等)、配置报告的序列号(例如,是一天当中第几次产生的配置报告)以及生成配置报告的时间。配置报告的这些属性有助于后期对这些配置进行归类,也有助于建立配置报告与运维报告之间更精确的映射关系,还有助于后期从保存的映射关系中查找配置信息、业务信息等。
在本发明的一些实施例中,配置报告还可以包括对应的标签,标签根据配置信息的类型、配置报告的序列号以及生成配置报告的时间而形成。通过标签可以将每一个配置报告区分开来,从而即使在配置报告内容一致的情况下也可以通过标签标识这些配置报告,避免了混淆。
上文介绍了可以以第一时间间隔周期性地获取配置信息,基于类似的原因,在本发明的一些实施例中,可以以第二时间间隔周期性地获取业务信息,并且运维报告是根据相邻时间间隔之间的业务信息的差异生成的。仅仅根据累积形成的业务信息来形成运维报告有时不太容易从配置报告与运维报告的映射关系中发现配置信息与业务信息的对应关系。因而,可以仅关注某段时间内新增的业务信息,这样一方面可以减小数据规模,另一方面也可以较为容易地使得配置信息与业务信息对应起来。在本发明的一些实施例中可以以预定的时间间隔(例如,每30分钟、每小时等,根据安全边界的规模还可以是其他间隔)周期性地获取业务信息,并根据相邻时间间隔之间的业务信息的差异生成运维报告。另一方面,由于配置信息大多是由业务信息驱动形成的,且一般一条业务信息可能驱动产生多条配置信息,因此,可以将第一时间间隔设置为第二时间间隔的整数倍。当然,为了保持以统一的时间精细度得到配置报告、运维报告,在本发明的一些实施例中,第一时间间隔等于第二时间间隔。
为了更完整地描述本发明的原理,参见图5,其中示出了根据本发明的一个实施例的回溯安全边界的配置的系统的示意图。配置管理服务器502可以例如通过远程登录而连接到各种安全设备(图中未示出),以获取其中的配置信息(522、524)。配置管理服务器502对获取到的配置信息按预定时间间隔进行比对,并将比对结果(差异性报告)汇总打上唯一性标签(例如,配置信息的类型、配置报告的序列号以及生成配置报告的时间)形成配置报告,所述配置被告将由管理服务器506接收。
运维信息服务器504部署在运维平台环境中,其可以根据预定的获取频率抓取运维平台中的生产变更信息(包括变更id、变更描述、工单内容),进而形成运维信息报告推送至管理服务器506。
管理服务器506可以通过B/S架构实现,对差异性报告(由配置管理服务器502提供)和运维信息报告进行入库,并根据唯一性标签匹配相应的运维信息报告;匹配后进行内容比对,并将比对结果入库保存(例如,以可回溯的存储格式582保存到存储器508中)。此外,管理服务器506可提供web页面供各级运维人员进行查询,也可将信息推送至运维生产网进行实时报告、展示。
图6示出了根据本发明的一个实施例的回溯安全边界的配置的系统的局部示意图,如图所示,配置管理服务器502管理了多台安全设备(20-1、20-2、……、20-N),安全设备20-1在多个不同的时间点产生不同的配置信息20-1-0、20-1-1、20-1-2、……。其中,配置信息20-1-0与配置信息20-1-1的差异在于配置信息20-1-1比配置信息20-1-0多了A条目(Δ1= A条目),配置信息20-1-1与配置信息20-1-2的差异在于配置信息20-1-2比配置信息20-1-1多了B条目(Δ2 = B条目)。因而管理服务器502形成的配置报告可以包括Δ1和Δ2的信息,而无需包括全部配置信息的内容。这样可以从配置报告中直接看出第二时间点与第一时间点相比,安全设备20-1发生了哪些配置上的变化,而无需再从完全的配置信息单中找出两个时刻的清单再进行比较。例外,这种处理方式也节省了资源开销。
根据本发明的另一方面,还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,其特征在于,当所述指令由处理器执行时,使得所述处理器执行如上文所述的任意一种回溯安全边界的配置的方法。本发明中所称的计算机可读介质包括各种类型的计算机存储介质,可以是通用或专用计算机能够存取的任何可用介质。举例而言,计算机可读介质可以包括RAM、ROM、E2PROM、CD-ROM 或其他光盘存储器、磁盘存储器或其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码单元并能够由通用或特定用途计算机、或者通用或特定用途处理器进行存取的任何其他临时性或者非临时性介质。如本文所使用的,盘(disk)和碟(disc)包括紧致碟(CD)、激光碟、光碟、数字多用途光碟(DVD)、软盘和蓝光碟,其中盘通常磁性地复制数据,而碟则用激光来光学地复制数据。上述的组合也应当包括在计算机可读介质的保护范围之内。
需要说明的是,附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或者在一个或多个硬件模块或集成电路中实现这些功能实体,或者在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
以上例子主要说明了本发明的回溯安全边界的配置的方法和系统。尽管只对其中一些本发明的实施方式进行了描述,但是本领域普通技术人员应当了解,本发明可以在不偏离其主旨与范围内以许多其他的形式实施。因此,所展示的例子与实施方式被视为示意性的而非限制性的,在不脱离如所附各权利要求所定义的本发明精神及范围的情况下,本发明可能涵盖各种的修改与替换。

Claims (17)

1.一种回溯安全边界的配置的方法,其特征在于,所述方法包括:
获取运维系统所管理的安全设备的配置信息,并且根据所述配置信息形成配置报告,其中所述安全设备用于建立所述安全边界;
获取所述运维系统中的业务信息,并根据所述业务信息形成运维报告;
建立所述配置报告与所述运维报告在时间上的映射关系;以及
存储所述映射关系以用于回溯所述安全边界的配置。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括根据所述映射关系生成关于所述安全边界的报告。
3.根据权利要求2所述的方法,其特征在于,若在所述映射关系中所述配置报告中的配置信息在所述运维报告中不存在对应的业务信息,则报告所述配置信息为非法。
4.根据权利要求1所述的方法,其特征在于,以第一时间间隔周期性地获取所述配置信息,并根据相邻时间间隔之间的配置信息的差异生成所述配置报告。
5.根据权利要求4所述的方法,其特征在于,所述配置报告还包括所述配置信息的类型、所述配置报告的序列号以及生成所述配置报告的时间。
6.根据权利要求4所述的方法,其特征在于,所述配置报告还包括对应的标签,所述标签根据所述配置信息的类型、所述配置报告的序列号以及生成所述配置报告的时间而形成。
7.根据权利要求4-6中任一项所述的方法,其特征在于,以第二时间间隔周期性地获取所述业务信息,并根据相邻时间间隔之间的业务信息的差异生成所述运维报告,所述第一时间间隔是所述第二时间间隔的整数倍。
8.根据权利要求7所述的方法,其特征在于,所述第一时间间隔等于所述第二时间间隔。
9.一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,其特征在于,当所述指令由处理器执行时,使得所述处理器执行如权利要求1-8中任一项所述的方法。
10.一种回溯安全边界的配置的系统,其特征在于,所述系统包括:
配置报告获取单元,其配置成获取根据运维系统所管理的安全设备的配置信息形成的配置报告,其中所述安全设备用于建立所述安全边界;
运维报告获取单元,其配置成获取根据所述运维系统中的业务信息形成的运维报告;
映射关系建立单元,其配置成建立所述配置报告与所述运维报告在时间上的映射关系;以及
映射关系存储单元,其配置成存储所述映射关系以用于回溯所述安全边界的配置。
11.根据权利要求10所述的系统,其特征在于,所述系统还包括报告生成单元,其配置成根据所述映射关系生成关于所述安全边界的报告。
12.根据权利要求11所述的系统,其特征在于,若在所述映射关系中所述配置报告中的配置信息在所述运维报告中不存在对应的业务信息,则所述报告生成单元报告所述配置信息为非法。
13.根据权利要求10所述的系统,其特征在于,以第一时间间隔周期性地获取所述配置信息,并且所述配置报告是根据相邻时间间隔之间的配置信息的差异生成的。
14.根据权利要求13所述的系统,其特征在于,所述配置报告还包括所述配置信息的类型、所述配置报告的序列号以及生成所述配置报告的时间。
15.根据权利要求13所述的系统,其特征在于,所述配置报告还包括对应的标签,所述标签根据所述配置信息的类型、所述配置报告的序列号以及生成所述配置报告的时间而形成。
16.根据权利要求13-15中任一项所述的系统,其特征在于,以第二时间间隔周期性地获取所述业务信息,并且所述运维报告是根据相邻时间间隔之间的业务信息的差异生成的,其中所述第一时间间隔是所述第二时间间隔的整数倍。
17.根据权利要求16所述的系统,其特征在于,所述第一时间间隔等于所述第二时间间隔。
CN202010053619.4A 2020-01-17 2020-01-17 回溯安全边界的配置的方法和系统 Active CN111523122B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010053619.4A CN111523122B (zh) 2020-01-17 2020-01-17 回溯安全边界的配置的方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010053619.4A CN111523122B (zh) 2020-01-17 2020-01-17 回溯安全边界的配置的方法和系统

Publications (2)

Publication Number Publication Date
CN111523122A true CN111523122A (zh) 2020-08-11
CN111523122B CN111523122B (zh) 2024-05-17

Family

ID=71900652

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010053619.4A Active CN111523122B (zh) 2020-01-17 2020-01-17 回溯安全边界的配置的方法和系统

Country Status (1)

Country Link
CN (1) CN111523122B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080005197A1 (en) * 2006-06-29 2008-01-03 Kyusun Chang Dynamic report mapping apparatus to physical data source when creating report definitions for information technology service management reporting for peruse of report definition transparency and reuse
CN109460344A (zh) * 2018-09-26 2019-03-12 国家计算机网络与信息安全管理中心 一种服务器的运维分析方法与系统
CN109933633A (zh) * 2019-04-02 2019-06-25 北京睿至大数据有限公司 一种基于时间和场景维度的运维知识图谱构建方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080005197A1 (en) * 2006-06-29 2008-01-03 Kyusun Chang Dynamic report mapping apparatus to physical data source when creating report definitions for information technology service management reporting for peruse of report definition transparency and reuse
CN109460344A (zh) * 2018-09-26 2019-03-12 国家计算机网络与信息安全管理中心 一种服务器的运维分析方法与系统
CN109933633A (zh) * 2019-04-02 2019-06-25 北京睿至大数据有限公司 一种基于时间和场景维度的运维知识图谱构建方法

Also Published As

Publication number Publication date
CN111523122B (zh) 2024-05-17

Similar Documents

Publication Publication Date Title
EP2487860B1 (en) Method and system for improving security threats detection in communication networks
US20210064500A1 (en) System and Method for Detecting Anomalies by Discovering Sequences in Log Entries
US9379949B2 (en) System and method for improved end-user experience by proactive management of an enterprise network
US11153144B2 (en) System and method of automated fault correction in a network environment
CN112769605B (zh) 一种异构多云的运维管理方法及混合云平台
CN102597966B (zh) 运行管理装置以及运行管理方法
US9251029B2 (en) Locational prediction of failures
CN113259168A (zh) 一种故障根因分析方法及装置
CN103490941A (zh) 一种云计算环境中实时监控在线配置方法
CN111444067A (zh) 一种基于规则引擎的配置化系统监控方法、装置及设备
CN103080922B (zh) 用于处理事件的方法和系统
CN114070711A (zh) 告警信息的处理方法、装置、电子设备及存储介质
CN114844707B (zh) 一种基于图数据库的电网网络安全分析方法及系统
US10510032B2 (en) Automated configuration data collection for business applications using feedback
US11848027B2 (en) Federated learning with sound to detect anomalies in the industrial equipment
CN103518192A (zh) 大规模服务的实时诊断流水线
JP5505930B2 (ja) 監視装置、監視方法及びプログラム
CN106411566A (zh) 一种基于xml技术的mib告警解析方法及系统
CN111523122A (zh) 回溯安全边界的配置的方法和系统
CN105607983B (zh) 数据异常监控方法和装置
JP7082285B2 (ja) 監視システム、監視方法および監視プログラム
JP2006099249A (ja) 障害管理装置および障害管理方法
CN113572633A (zh) 根因定位方法、系统、设备及存储介质
CN109963099B (zh) 一种视频监控告警记录方法及装置
US20210091999A1 (en) Cross domain topology from machine learning

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant