CN111600912A - 网络安全策略管理系统 - Google Patents
网络安全策略管理系统 Download PDFInfo
- Publication number
- CN111600912A CN111600912A CN202010707626.1A CN202010707626A CN111600912A CN 111600912 A CN111600912 A CN 111600912A CN 202010707626 A CN202010707626 A CN 202010707626A CN 111600912 A CN111600912 A CN 111600912A
- Authority
- CN
- China
- Prior art keywords
- network security
- module
- security policy
- network
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Abstract
本发明涉及网络安全策略管理系统,包括:管理模块:对网络安全策略进行周期式管理和状态变更记录,以及网络安全策略下发;实施模块:网络安全策略的执行主体,接收并执行所述管理模块下发的网络安全策略;流量监测模块:根据预设的规则对网络流量进行监测;优化模块:接收流量监测模块的监测数据,并同步管理模块中当前生效的网络安全策略,将接收到的流量监测模块的监测数据并和当前的网络安全策略比对后,将相应的策略优化数据反馈给管理模块。本发明能够对网络安全策略进行有效的分析、整理和优化,大幅度缩减了网络安全策略的数量,保证了网络安全策略的有效性。
Description
技术领域
本发明涉及管理系统技术领域,具体涉及网络安全策略管理系统。
背景技术
随着计算机网络的不断发展,全球信息化进程日益加快。由于计算机网络的连接方式的多样性、终端分布广、网络的开放和互联等特征,致使网络易遭受恶意攻击,所以网络的安全是一个至关重要的问题。网络安全策略作为网络层的基础安全防护手段,对网络中的信息起着保护作用。
在企业的信息化建设过程中,信息安全问题逐步凸显,通过划分不同的网络区域进行隔离保护,在不同的网络区域之间甚至同个网络区域的不同网段之间需要进行网络访问控制,这导致网络安全策略数量越来越多且难以有效整理,这可能造成防火墙或其他网络安全设备出现性能瓶颈,从上层应用的角度,也难以清晰地描绘出不同业务应用之间的调用关系,难以在出现问题时从网络调用关系上迅速地进行问题定位。
发明内容
本发明提供了一种网络安全策略管理系统,以对网络安全策略进行分析、整理、优化,缩减网络安全策略的数量,保证网络安全策略的有效性。
本发明的网络安全策略管理系统,包括:
管理模块:对每一条网络安全策略进行全生命周期式管理和状态变更记录,并负责网络安全策略的下发;
实施模块:网络安全策略的执行主体,接收并执行所述管理模块下发的网络安全策略;
流量监测模块:根据预设规则对网络流量进行监测;
优化模块:接收流量监测模块的监测数据,同步管理模块当前生效的网络安全策略,并且将接收到的流量监测模块的监测数据和当前的网络安全策略比对后,将相应的策略优化数据反馈给管理模块。
本发明的网络安全策略管理系统是基于信息安全和业务区域的分布情况,先在管理模块中生成网络安全策略的初始集合,并且根据实际的业务调用关系配置预设的网络安全策略。再对初始集合中的每一条网络安全策略建立唯一索引并打上时间戳,由管理模块下发至实施模块执行对应的网络安全策略。流量监测模块根据配置的预设规则对流量进行监测,并把监测结果周期性地发送至优化模块。优化模块定期比对监测模块的监测结果和当前的网络安全策略,并制定出网络安全策略优化的方案,管理模块根据优化方案和预设的网络安全策略对网络安全策略进行优化调整并记录,并将调整后的策略重新下发至实施模块进行执行。
进一步的,所述的实施模块为网络安全防护设备。
具体的一种形式为,所述的实施模块为网络防火墙设备。
可选的,所述的流量监测模块集中部署在核心网络交换设备处。
根据具体的业务情况,所述的流量监测模块还可以分布式地部署在各区域的网络交换设备处。
在此基础上,实施模块的数量与划分的网络区域数量相适应或者与使用场景相适应。
本发明的网络安全策略管理系统,能够将网络安全策略以生命周期的方式进行集中管理,通过管理模块跟踪记录每条策略从产生到消亡的整个生命周期,在策略发生变化时即刻下发给对应的实施模块进行执行,并且通过流量监测模块的监测结果定期对当前的网络策略进行优化调整。由此实现了对全网的网络安全策略进行集中地管理和配置,解决了网络安全策略分散于各个安全设备无法有效管理的弊端。通过对网络流量进行实时监控,有效提高了根据实际业务流量进行网络策略的优化的能力,避免了过多无效的网络安全策略长期无法清理的问题,大幅度缩减了网络安全策略的数量,有效保证了网络安全策略的有效性。
以下结合实施例的具体实施方式,对本发明的上述内容再作进一步的详细说明。但不应将此理解为本发明上述主题的范围仅限于以下的实例。在不脱离本发明上述技术思想情况下,根据本领域普通技术知识和惯用手段做出的各种替换或变更,均应包括在本发明的范围内。
附图说明
图1为本发明的网络安全策略管理系统的框图。
图2为本发明的网络安全策略管理系统的工作时序图。
具体实施方式
如图1所示本发明的网络安全策略管理系统,包括:
管理模块:对每一条网络安全策略进行全生命周期式管理和状态变更记录,并负责网络安全策略的下发。
实施模块:为网络防火墙设备形式,可以有1个或多个,是网络安全策略的执行主体,接收并执行所述管理模块下发的网络安全策略,该模块的数量与划分的网络区域数量或使用场景相适应。
流量监测模块:根据预设规则对网络流量进行监测。可以集中部署在核心网络交换设备处,也可以分布式地部署在各区域的网络交换设备处。
优化模块:接收流量监测模块的监测数据,同步管理模块当前生效的网络安全策略,并且将接收到的流量监测模块的监测数据和当前的网络安全策略比对后,将相应的策略优化数据反馈给管理模块。
本发明的网络安全策略管理系统是基于信息安全和业务区域的分布情况,先在管理模块中生成网络安全策略的初始集合,并且根据实际的业务调用关系配置预设的网络安全策略。再对初始集合中的每一条网络安全策略建立唯一索引并打上时间戳,由管理模块下发至实施模块执行对应的网络安全策略。流量监测模块根据配置的规则对流量进行监测,并把监测结果周期性地发送至优化模块。优化模块定期比对监测模块的监测结果和当前的网络安全策略,并制定出网络安全策略优化的方案,管理模块根据优化方案和预设的网络安全策略对网络安全策略进行优化调整并记录,并将调整后的策略重新下发至实施模块进行执行。
如图2所示,本发明网络安全策略管理系统的工作时序为:
管理模块下发网络安全策略给对应的实施模块,实施模块中包含有实施模块A和实施模块B,依照管理模块下发的网络安全策略进行执行并同步当前网络安全策略给优化模块;流量监测模块进行网络流量监测并将流量监测结果发送给优化模块;优化模块比对现有策略和流量监测结果,进行策略优化;优化模块定期发送策略优化方案给管理模块,进行上述步骤的循环执行。
以下以具体实例进一步说明本发明:
实施例1:
根据本发明的网络安全策略管理系统系统,其运行当时为:
1、实施模块A负责的网络区域A,网段为1.1.0.0/16;
2、实施模块B负责的网络区域B,网段为1.2.0.0/16;
3、1.1.0.0/16和1.2.0.0/16下面的256个C段内部互通,流量不通过实施模块来进行访问控制。
4、实际的业务系统之间的分布和调用情况如下描述:
应用系统1包括前端web,ip分别为1.1.1.1、1.1.1.2、1.1.1.3,其中1.1.1.3为虚ip,1.1.1.1~1.1.1.2为真实的web服务器;后端数据库的ip分别为1.1.2.1、1.1.2.2、1.1.2.3,分别为mysql数据库的主、从、备库;前端web需要访问后端数据库的3306端口,即需要配置1.1.1.1~1.1.1.2到1.1.2.1~1.1.2.3的3306的网络安全策略。
应用系统2包括前端web,ip分别为1.2.1.1、1.2.1.2、1.2.1.3,其中1.2.1.3为虚ip,1.2.1.1~1.2.1.2为真实的web服务器;后端数据库的ip分别为1.2.2.1、1.2.2.2、1.2.2.3,分别为mysql数据库的主、从、备库;前端web需要访问后端数据库的3306端口,即需要配置1.2.1.1~1.2.1.2到1.2.2.1~1.2.2.3的3306的网络安全策略。
由于应用系统2需要调用应用系统1的前端web,因此需要放行从应用系统2的前端web的1.2.1.1~1.2.1.2访问应用系统1的前端web的1.1.1.3的443端口的网络安全策略。
步骤1:初始化的网络安全策略集合为:1.1.1.0/24可访问1.1.2.0/24的3306端口,1.2.1.0/24可访问1.2.2.0/24的3306端口,1.2.1.0/24可访问1.1.1.0/24的443端口。
则管理模块会生成表1所示的一张策略记录表。
表1:
同时,由于考虑到高可用性,前端到数据库的主、备、从库在网络上都需要放行,因此在管理模块配置预设的网络安全策略为1.1.1.1~1.1.1.2可访问1.1.2.1~1.1.2.3的3306、1.2.1.1~1.2.1.2可访问1.2.2.1~1.2.2.3的3306。
由管理模块下发策略给对应的实施模块A和实施模块B,实施模块A和B即刻执行策略。同时,管理模块将当前的网络安全策略同步至优化模块。
步骤2:在流量监测模块中会配置需要监测的地址,这里配置监测地址的ip为1.1.1.0/24、1.1.2.0/24、1.2.1.0/24、1.2.2.0/24。流量监测模块周期性地将流量监测结果发送给优化模块。这里在上述4个C段中只有1.1.1.1~1.1.1.2到1.1.2.1的3306端口、1.2.1.1~1.2.1.2到1.2.2.1的3306端口、1.2.1.1~1.2.1.2访问1.1.1.3的443才有流量。
步骤3:优化模块根据同步的当前网络安全策略,比对当前网络安全策略和流量监测结果,定期发送策略优化方案给管理模块。
步骤4:管理模块根据优化模块的优化方案,根据预设的网络安全策略(虽然1.1.1.1~1.1.1.2到1.1.2.2~1.1.2.3的3306和1.2.1.1~1.2.1.2到1.2.2.2~1.2.2.3的3306都无流量,但这两条网络安全策略须保留)更新当前的策略记录表,并下发更新后的网络安全策略给实施模块A和B执行。
更新后的策略记录表如表2所示:
表2:
步骤5:管理模块同步更新后的网络安全策略,并下发到实施模块处执行,同时把最新的处于启用状态的网络安全策略同步给优化模块。
实施例2:
在实施例1的基础上,应用系统2的web服务器进行了扩容,增加了一台主机1.2.1.4,虚ip仍然是1.2.1.3,并且系统调用关系发生变化,应用系统2不再需要访问应用系统1的前端web。
流程各步骤如下:
步骤1:由于应用系统2的web服务器发生了更新,因此和应用系统2的web服务器相关的策略都需要进行更新。管理模块更新应用系统2的web服务器对应的策略记录表,相关的策略有A0002和A0003,更新后的策略记录表如表3所示:
表3:
步骤2:管理模块下发更新后的网络安全策略给实施模块A和B,执行网络安全策略;
由于应用系统2的前端web不再需要访问应用系统1的前端web,因此流量监测模块监测到1.2.1.1~1.2.1.2,1.2.1.4到1.1.1.3:443流量为0。流量监测模块周期性地把流量监测结果发送给优化模块;
步骤3:优化模块比对当前的网络安全策略和流量监测结果,并将优化方案反馈给管理模块;
步骤4:优化建议清理不再有流量A0003的当前策略,该策略也不在预设网络安全策略集合里,因此管理模块更新策略记录表,如表4所示:
表4:
步骤5:同步网络安全策略给实施模块A、实施模块B和优化模块。
Claims (6)
1.网络安全策略管理系统,其特征在于,包括:
管理模块:对每一条网络安全策略进行全生命周期式管理和状态变更记录,并负责网络安全策略的下发;
实施模块:网络安全策略的执行主体,接收并执行所述管理模块下发的网络安全策略;
流量监测模块:根据预设规则对网络流量进行监测;
优化模块:接收流量监测模块的监测数据,同步管理模块当前生效的网络安全策略,并且将接收到的流量监测模块的监测数据和当前的网络安全策略比对后,将相应的策略优化数据反馈给管理模块。
2.如权利要求1所述的网络安全策略管理系统,其特征在于:所述的实施模块为网络安全防护设备。
3.如权利要求2所述的网络安全策略管理系统,其特征在于:所述的实施模块为网络防火墙设备。
4.如权利要求1所述的网络安全策略管理系统,其特征在于:所述的流量监测模块集中部署在核心网络交换设备处。
5.如权利要求1所述的网络安全策略管理系统,其特征在于:所述的流量监测模块分布式地部署在各区域的网络交换设备处。
6.如权利要求1至5任一所述的网络安全策略管理系统,其特征在于:所述的实施模块的数量与划分的网络区域数量相适应或者与使用场景相适应。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010707626.1A CN111600912A (zh) | 2020-07-22 | 2020-07-22 | 网络安全策略管理系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010707626.1A CN111600912A (zh) | 2020-07-22 | 2020-07-22 | 网络安全策略管理系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111600912A true CN111600912A (zh) | 2020-08-28 |
Family
ID=72191757
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010707626.1A Pending CN111600912A (zh) | 2020-07-22 | 2020-07-22 | 网络安全策略管理系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111600912A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112738114A (zh) * | 2020-12-31 | 2021-04-30 | 四川新网银行股份有限公司 | 一种网络安全策略的配置方法 |
| CN113438075A (zh) * | 2021-06-25 | 2021-09-24 | 四川新网银行股份有限公司 | 一种基于秘密分享算法的多头时序图计算方法及存储介质 |
| CN116708038A (zh) * | 2023-08-07 | 2023-09-05 | 恒安嘉新(北京)科技股份公司 | 基于资产测绘的工业互联网企业网络安全威胁识别方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101505302A (zh) * | 2009-02-26 | 2009-08-12 | 中国联合网络通信集团有限公司 | 安全策略的动态调整方法和系统 |
| CN105471618A (zh) * | 2015-08-03 | 2016-04-06 | 汉柏科技有限公司 | 一种基于防火墙的网络安全的管理方法和系统 |
| CN107395617A (zh) * | 2017-08-14 | 2017-11-24 | 中国联合网络通信集团有限公司 | 安全策略管理方法及装置 |
| CN109510834A (zh) * | 2018-12-07 | 2019-03-22 | 北京神州绿盟信息安全科技股份有限公司 | 一种安全策略下发方法及装置 |
| WO2020072215A1 (en) * | 2018-10-01 | 2020-04-09 | Illumio, Inc. | Traffic visibility and segmentation policy enforcement for workloads in different address spaces |
| CN111147528A (zh) * | 2020-04-03 | 2020-05-12 | 四川新网银行股份有限公司 | 管理网络安全策略的方法 |
-
2020
- 2020-07-22 CN CN202010707626.1A patent/CN111600912A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101505302A (zh) * | 2009-02-26 | 2009-08-12 | 中国联合网络通信集团有限公司 | 安全策略的动态调整方法和系统 |
| CN105471618A (zh) * | 2015-08-03 | 2016-04-06 | 汉柏科技有限公司 | 一种基于防火墙的网络安全的管理方法和系统 |
| CN107395617A (zh) * | 2017-08-14 | 2017-11-24 | 中国联合网络通信集团有限公司 | 安全策略管理方法及装置 |
| WO2020072215A1 (en) * | 2018-10-01 | 2020-04-09 | Illumio, Inc. | Traffic visibility and segmentation policy enforcement for workloads in different address spaces |
| CN109510834A (zh) * | 2018-12-07 | 2019-03-22 | 北京神州绿盟信息安全科技股份有限公司 | 一种安全策略下发方法及装置 |
| CN111147528A (zh) * | 2020-04-03 | 2020-05-12 | 四川新网银行股份有限公司 | 管理网络安全策略的方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112738114A (zh) * | 2020-12-31 | 2021-04-30 | 四川新网银行股份有限公司 | 一种网络安全策略的配置方法 |
| CN113438075A (zh) * | 2021-06-25 | 2021-09-24 | 四川新网银行股份有限公司 | 一种基于秘密分享算法的多头时序图计算方法及存储介质 |
| CN116708038A (zh) * | 2023-08-07 | 2023-09-05 | 恒安嘉新(北京)科技股份公司 | 基于资产测绘的工业互联网企业网络安全威胁识别方法 |
| CN116708038B (zh) * | 2023-08-07 | 2023-10-13 | 恒安嘉新(北京)科技股份公司 | 基于资产测绘的工业互联网企业网络安全威胁识别方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3695568B1 (en) | Systems and methods for controlling switches to record network packets using a traffice monitoring network | |
| CN111600912A (zh) | 网络安全策略管理系统 | |
| US10230612B2 (en) | Systems and methods for implementing a traffic visibility network | |
| CN101582807B (zh) | 一种基于北向接口实现网络管理的方法及系统 | |
| US7421509B2 (en) | Enforcing quality of service in a storage network | |
| CN1874223B (zh) | 实现网络设备mac和ip绑定的接入控制方法 | |
| EP3403308A1 (en) | Network monitoring, detection, and analysis system | |
| WO2012145963A1 (zh) | 数据管理系统及方法 | |
| Bobba et al. | Exploring a tiered architecture for NASPInet | |
| US9311123B2 (en) | Distributed virtual security appliance and flow-based forwarding system using virtual machines | |
| CN111258780A (zh) | 基于前置机进行数据交换的系统及方法 | |
| CN112333020B (zh) | 一种基于五元组的网络安全监测及数据报文解析系统 | |
| CN111147528A (zh) | 管理网络安全策略的方法 | |
| US20230362131A1 (en) | Systems and methods for monitoring and securing networks using a shared buffer | |
| Nickless et al. | Combining Cisco {NetFlow} Exports with Relational Database Technology for Usage Statistics, Intrusion Detection, and Network Forensics | |
| CN112383573B (zh) | 一种基于多个攻击阶段的安全入侵回放设备 | |
| Qian et al. | Characterization of 3g data-plane traffic and application towards centralized control and management for software defined networking | |
| WO2018137710A1 (zh) | 搜索控制方法和系统 | |
| KR101445765B1 (ko) | 네트워크 관리 장치 및 그 관리 방법 | |
| CN111147516B (zh) | 基于sdn的安全设备动态互联与智能选路决策系统及方法 | |
| Chaudhry et al. | A distributed sdn application for cross-institution data access | |
| CN110489302A (zh) | 基于多种设备日志复合分析的故障判断方法 | |
| US11283823B1 (en) | Systems and methods for dynamic zone protection of networks | |
| CN111614763B (zh) | 一种动态调整应用服务器负载的方法、设备、存储介质 | |
| KR102352187B1 (ko) | 패시브 핑거프린트 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200828 |