CN112270493B - 一种资产自动防护的方法及装置 - Google Patents

一种资产自动防护的方法及装置 Download PDF

Info

Publication number
CN112270493B
CN112270493B CN202011266704.5A CN202011266704A CN112270493B CN 112270493 B CN112270493 B CN 112270493B CN 202011266704 A CN202011266704 A CN 202011266704A CN 112270493 B CN112270493 B CN 112270493B
Authority
CN
China
Prior art keywords
asset
security
access
assets
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011266704.5A
Other languages
English (en)
Other versions
CN112270493A (zh
Inventor
宋飞虎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Unihub China Information Technology Co Ltd
Original Assignee
Unihub China Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Unihub China Information Technology Co Ltd filed Critical Unihub China Information Technology Co Ltd
Priority to CN202011266704.5A priority Critical patent/CN112270493B/zh
Publication of CN112270493A publication Critical patent/CN112270493A/zh
Application granted granted Critical
Publication of CN112270493B publication Critical patent/CN112270493B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0631Resource planning, allocation, distributing or scheduling for enterprises or organisations
    • G06Q10/06311Scheduling, planning or task assignment for a person or group
    • G06Q10/063114Status monitoring or status determination for a person or group
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • G06Q10/103Workflow collaboration or project management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Engineering & Computer Science (AREA)
  • Strategic Management (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Economics (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Physics & Mathematics (AREA)
  • Marketing (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Development Economics (AREA)
  • Educational Administration (AREA)
  • Game Theory and Decision Science (AREA)
  • Storage Device Security (AREA)
  • Alarm Systems (AREA)

Abstract

本发明公开一种资产自动防护的方法及装置,其中,该方法包括:录入资产配置表,得到资产信息以及所属业务系统信息;将扫描器对资产的扫描结果和业务系统进行关联,确定业务系统下所有资产的暴露面;根据资产的暴露面和访问路径得到资产的访问关系;根据业务系统的访问基线和业务系统下的资产信息,得到所有资产的访问基线;将资产的访问关系与对应的访问基线进行比对,得到比对结果;根据比对结果进行安全决策和安全实施。该方法及装置将资产和安全设备结合,提高了资产和安全设备的管理效率;通过扫描技术和访问路径,对资产自动防护,提高系统的安全性。

Description

一种资产自动防护的方法及装置
技术领域
本发明涉及资产管理领域,尤其是一种资产自动防护的方法及装置。
背景技术
企业中的资产和安全设备一般都是分开管理的,运维人员不了解资产信息,对安全设备的安全策略,只敢新增,不敢删除。安全策略的数量与日俱增,而新增策略可能覆盖历史策略,使得策略之间存在无效、冲突、冗余等异常关系,导致资产防护失效。另外,当资产发生变动时,运维人员基本上靠人工运维,无法及时更新安全策略,会导致资产防护不及时,容易受到外部攻击。
发明内容
为解决上述的问题,本发明提供一种资产自动防护的方法及装置,使用扫描技术和访问路径对资产进行自动防护,增加了资产的安全性。
为实现上述目的,本发明采用下述技术方案:
在本发明一实施例中,提出了一种资产自动防护的方法,该方法包括:
录入资产配置表,得到资产信息以及所属业务系统信息;
将扫描器对资产的扫描结果和业务系统进行关联,确定业务系统下所有资产的暴露面;
根据资产的暴露面和访问路径得到资产的访问关系;
根据业务系统的访问基线和业务系统下的资产信息,得到所有资产的访问基线;
将资产的访问关系与对应的访问基线进行比对,得到比对结果;
根据比对结果进行安全决策和安全实施。
进一步地,资产信息包括资产IP地址、资产MAC地址、资产ID号、资产操作系统、资产上部署的应用和端口暴露面。
进一步地,资产的访问路径通过资产上的安全组信息以及安全设备上的安全策略得到。
进一步地,将扫描器对资产的扫描结果和业务系统进行关联,确定业务系统下所有资产的暴露面,包括:
根据扫描得到的资产的IP、MAC地址、端口暴露面和应用信息,到资产配置表中检索资产;
如果检索到资产,则将该资产和业务系统进行关联,并记录该资产的暴露面;
如果检索不到资产,则将该资产信息发给资产管理员,由资产管理员去确认该资产所属业务系统,并重新录入资产配置表。
进一步地,比对结果包括一致和不一致,其中不一致包括安全策略的地址过于宽松、端口过于宽松、地址过窄和端口过窄。
进一步地,安全实施包括变更安全策略、调整安全组规则和关闭暴露端口。
进一步地,根据比对结果进行安全决策和安全实施,包括:
当地址过于宽松时,则调整安全设备上的安全策略或者安全组规则;
当端口过于宽松时,则关闭资产上宽松的端口或者调整安全设备的安全策略或者调整安全组规则;
当地址过窄或者端口过窄时,则发送告警信息给运维人员,运维人员再进行安全实施,包括:开放资产端口、增加安全设备的安全策略和增加安全组规则。
在本发明一实施例中,还提出了一种资产自动防护的装置,该装置包括:
资产管理模块,用于录入资产配置表,得到资产信息以及所属业务系统信息;
资产扫描模块,用于使用扫描技术对公司资产进行扫描,得到资产的IP、MAC地址、端口暴露面和应用信息;
资产分析模块,用于分析资产的访问关系和访问基线,并得到分析比对结果;
安全实施模块,用于根据比对结果进行安全决策和安全实施,安全决策确定是否由系统自动实施安全实施,其中安全实施包括变更安全策略、调整安全组规则和关闭暴露端口。
进一步地,资产分析模块包括资产暴露面管理子模块、资产访问关系管理子模块、资产访问基线管理子模块和资产比对子模块;其中:
资产暴露面管理子模块,用于将扫描器对资产的扫描结果和业务系统进行关联,确定业务系统下所有资产的暴露面;
资产访问关系管理子模块,用于通过资产上的安全组信息以及安全设备上的安全策略得到资产的访问路径,然后根据资产的暴露面和访问路径得到资产的访问关系;
资产访问基线管理子模块,用于根据业务系统的访问基线和业务系统下的资产信息,得到所有资产的访问基线;
资产比对子模块,用于将资产的访问关系与对应的访问基线进行比对,得到比对结果。
进一步地,资产信息包括资产IP地址、资产MAC地址、资产ID号、资产操作系统、资产上部署的应用和端口暴露面。
进一步地,资产暴露面管理子模块,具体用于:
根据扫描得到的资产的IP、MAC地址、端口暴露面和应用信息,到资产配置表中检索资产;
如果检索到资产,则将该资产和业务系统进行关联,并记录该资产的暴露面;
如果检索不到资产,则将该资产信息发给资产管理员,由资产管理员去确认该资产所属业务系统,并重新录入资产配置表。
进一步地,比对结果包括一致和不一致,其中不一致包括安全策略的地址过于宽松、端口过于宽松、地址过窄和端口过窄。
进一步地,安全实施模块,具体用于:
当地址过于宽松时,则调整安全设备上的安全策略或者安全组规则;
当端口过于宽松时,则关闭资产上宽松的端口或者调整安全设备的安全策略或者调整安全组规则;
当地址过窄或者端口过窄时,则发送告警信息给运维人员,运维人员再进行安全实施,包括:开放资产端口、增加安全设备的安全策略和增加安全组规则。
在本发明一实施例中,还提出了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现前述资产自动防护的方法。
在本发明一实施例中,还提出了一种计算机可读存储介质,计算机可读存储介质存储有执行资产自动防护的方法的计算机程序。
有益效果:
本发明使用扫描技术和访问路径将资产和安全设备结合,对资产进行自动防护;当资产发生变更或者安全策略配置错误时,可以自动感知并通过安全决策和安全实施对资产进行防护;本发明极大地节省了运维人员的工作量,同时减少了人工运维容易出错的问题。
附图说明
图1是本发明一实施例的资产自动防护的方法流程示意图;
图2是本发明一实施例的业务系统1和业务系统2的关系示例图;
图3是本发明一实施例的资产自动防护的装置结构示意图;
图4是本发明一实施例的资产分析模块的组成示意图;
图5是本发明一实施例的计算机设备结构示意图。
具体实施方式
下面将参考若干示例性实施方式来描述本发明的原理和精神,应当理解,给出这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明,而并非以任何方式限制本发明的范围。相反,提供这些实施方式是为了使本公开更加透彻和完整,并且能够将本公开的范围完整地传达给本领域的技术人员。
本领域技术人员知道,本发明的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此,本公开可以具体实现为以下形式,即:完全的硬件、完全的软件(包括固件、驻留软件、微代码等),或者硬件和软件结合的形式。
根据本发明的实施方式,提出了一种资产自动防护的方法及装置,通过扫描资产暴露的端口和应用信息,得到业务系统下所有资产的暴露面;然后根据访问路径和资产的暴露面得到资产的访问关系;再通过预设的业务系统的访问基线和业务系统下的资产信息得到资产的访问基线;最后将资产的访问关系和资产的访问基线进行对比,根据比对结果,对资产进行安全实施。
下面参考本发明的若干代表性实施方式,详细阐释本发明的原理和精神。
图1是本发明一实施例的资产自动防护的方法流程示意图。如图1所示,该方法包括:
S101、录入资产配置表,得到资产信息以及所属业务系统信息,其中资产信息包括资产IP地址、资产MAC地址、资产ID号、资产操作系统、资产上部署的应用和端口暴露面等信息;
S102、使用扫描技术对公司资产进行扫描,得到资产的IP、MAC地址、端口暴露面和应用信息;
S103、将扫描器对资产的扫描结果和业务系统进行关联,确定业务系统下所有资产的暴露面;
(1)根据扫描得到的资产的IP、MAC地址、端口暴露面和应用信息,到资产配置表中检索资产;
(2)如果检索到资产,则将该资产和业务系统进行关联,并记录该资产的暴露面;
(3)如果检索不到资产,则将该资产信息发给资产管理员,由资产管理员去确认该资产所属业务系统,并重新录入资产配置表;
S104、通过资产上的安全组信息以及安全设备上的安全策略得到资产的访问路径,然后根据资产的暴露面和访问路径得到资产的访问关系;
S105、根据业务系统的访问基线和业务系统下的资产信息,得到所有资产的访问基线;
S106、将资产的访问关系与对应的访问基线进行比对,得到比对结果;
(1)遍历比对资产的访问关系与对应的访问基线;
(2)以访问基线为基准,记录比对结果;
(3)比对结果包括一致和不一致,其中不一致包括安全策略的地址过于宽松、端口过于宽松、地址过窄和端口过窄等;
S107、根据比对不一致结果进行安全决策和安全实施,安全决策确定是否由系统自动实施安全实施,其中安全实施包括变更安全策略、调整安全组规则和关闭暴露端口;
(1)当地址过于宽松时,则调整安全设备上的安全策略或者安全组规则;
(2)当端口过于宽松时,则选择以下实施方式:关闭资产上宽松的端口、调整安全设备的安全策略或者调整安全组规则;
(3)当地址过窄或端口过窄时,则发送告警信息给运维人员,运维人员再进行安全实施,包括:开放资产端口、增加安全设备的安全策略和增加安全组规则。
需要说明的是,尽管在上述实施例及附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
为了对上述资产自动防护的方法进行更为清楚的解释,下面结合一个具体的实施例来进行说明,然而值得注意的是该实施例仅是为了更好地说明本发明,并不构成对本发明不当的限定。
图2是本发明一实施例的业务系统1和业务系统2的关系示例图。如图2所示,假设存在业务系统1和业务系统2,它们通过安全设备FW1和FW2相连,业务系统1中有一个资产host1,业务系统2中有一个资产host2。实现步骤如下:
1、录入企业资产配置表,获取host1和host2的资产信息和所属的业务系统信息;
2、采用扫描器对资产进行扫描,得到host1和host2暴露的资产的IP、MAC地址、端口暴露面和应用信息;
3、将host1和host2分别去资产配置表检索,获取对应的业务系统1和业务系统2;
4、分析业务系统1和业务系统2之间安全设备的安全策略,并结合资产上的安全组得到host1和host2之间的访问路径,再根据host1和host2的暴露面得到它们之间的访问关系;
4.1、首先分别筛选FW1和FW2中源地址和host1的IP有交集,目的地址和host2的IP有交集的安全策略;
4.2、将得到的安全策略和安全组规则取交集,获取host1到host2的访问路径,再根据host2的暴露面,获取host1到host2的访问关系;
4.3、重复4.1-4.2步,得到host2到host1的访问关系;
5、查询业务系统1和业务系统2预定义的访问基线,得到host1和host2之间的访问基线,并标记方向;
6、将host1和host2之间的访问关系和访问基线进行比对;
6.1、首先比对host1到host2的访问关系和访问基线;
6.2、如果访问关系和访问基线相同,则继续比对host2到host1的访问关系和访问基线;
6.3、如果访问关系和访问基线不同,以访问基线为基准,记录比对差异;
6.4、重复6.1-6.3步,比对host2到host1的访问关系和访问基线;
7、如果host1和host2之间的访问关系和访问基线有差异,就需要根据比对结果进行安全实施。这里以host1到host2的访问方向为例,步骤如下:
7.1、若地址过于宽松,则调整安全设备上的安全策略或者安全组规则;
7.2、若端口过于宽松,则选择以下实施方式:关闭host2上宽松的端口、调整安全设备的安全策略或者调整安全组规则;
7.3、当地址过窄或端口过窄时,则发送告警信息给运维人员,运维人员再进行安全实施,包括:开放host2的端口、增加安全设备的安全策略或者增加安全组规则。
基于同一发明构思,本发明还提出一种资产自动防护的装置。该装置的实施可以参见上述方法的实施,重复之处不再赘述。以下所使用的术语“模块”,可以是实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图3是本发明一实施例的资产自动防护的装置结构示意图。如图3所示,该装置包括:
资产管理模块200,用于录入资产配置表,得到资产信息以及所属业务系统信息;
资产信息包括资产IP地址、资产MAC地址、资产ID号、资产操作系统、资产上部署的应用和端口暴露面。
资产扫描模块210,用于使用扫描技术对公司资产进行扫描,得到资产的IP、MAC地址、端口暴露面和应用信息;
资产分析模块220,用于分析资产的访问关系和访问基线,并得到分析比对结果;
图4是本发明一实施例的资产分析模块的组成示意图;如图4所示,资产分析模块220包括资产暴露面管理子模块221、资产访问关系管理子模块222、资产访问基线管理子模块223和资产比对子模块224;其中:
资产暴露面管理子模块221,用于将扫描器对资产的扫描结果和业务系统进行关联,确定业务系统下所有资产的暴露面;
根据扫描得到的资产的IP、MAC地址、端口暴露面和应用信息,到资产配置表中检索资产;
如果检索到资产,则将该资产和业务系统进行关联,并记录该资产的暴露面;
如果检索不到资产,则将该资产信息发给资产管理员,由资产管理员去确认该资产所属业务系统,并重新录入资产配置表;
资产访问关系管理子模块222,用于通过资产上的安全组信息以及安全设备上的安全策略得到资产的访问路径,然后根据资产的暴露面和访问路径得到资产的访问关系;
资产访问基线管理子模块223,用于根据业务系统的访问基线和业务系统下的资产信息,得到所有资产的访问基线;
资产比对子模块224,用于将资产的访问关系与对应的访问基线进行比对,得到比对结果;比对结果包括一致和不一致,其中不一致包括安全策略的地址过于宽松、端口过于宽松、地址过窄和端口过窄;
安全实施模块230,用于根据比对结果进行安全决策和安全实施,安全决策确定是否由系统自动实施安全实施,其中安全实施包括变更安全策略、调整安全组规则和关闭暴露端口;
当地址过于宽松时,则调整安全设备上的安全策略或者安全组规则;
当端口过于宽松时,则关闭资产上宽松的端口或者调整安全设备的安全策略或者调整安全组规则;
当地址过窄或者端口过窄时,则发送告警信息给运维人员,运维人员再进行安全实施,包括:开放资产端口、增加安全设备的安全策略和增加安全组规则。
应当注意,尽管在上文详细描述中提及了资产自动防护的装置的若干模块,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本发明的实施方式,上文描述的两个或更多模块的特征和功能可以在一个模块中具体化。反之,上文描述的一个模块的特征和功能可以进一步划分为由多个模块来具体化。
基于前述发明构思,如图5所示,本发明还提出一种计算机设备300,包括存储器310、处理器320及存储在存储器310上并可在处理器320上运行的计算机程序330,处理器320执行计算机程序330时实现前述资产自动防护的方法。
基于前述发明构思,本发明还提出一种计算机可读存储介质,计算机可读存储介质存储有执行前述资产自动防护的方法的计算机程序。
本发明提出的资产自动防护的方法及装置,将资产和安全设备结合,提高了资产和安全设备的管理效率;通过扫描技术和访问路径,对资产自动防护,提高了系统的安全性。
虽然已经参考若干具体实施方式描述了本发明的精神和原理,但是应该理解,本发明并不限于所公开的具体实施方式,对各方面的划分也不意味着这些方面中的特征不能组合以进行受益,这种划分仅是为了表述的方便。本发明旨在涵盖所附权利要求的精神和范围内所包含的各种修改和等同布置。
对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。

Claims (13)

1.一种资产自动防护的方法,其特征在于,该方法包括:
录入资产配置表,得到资产信息以及所属业务系统信息;
将扫描器对资产的扫描结果和业务系统进行关联,确定业务系统下所有资产的暴露面,包括:
根据扫描得到的资产的IP、MAC地址、端口暴露面和应用信息,到资产配置表中检索资产;
如果检索到资产,则将该资产和业务系统进行关联,并记录该资产的暴露面;
如果检索不到资产,则将该资产信息发给资产管理员,由资产管理员去确认该资产所属业务系统,并重新录入资产配置表;
根据资产的暴露面和访问路径得到资产的访问关系,资产的访问路径通过资产上的安全组信息以及安全设备上的安全策略得到,包括:
首先分别筛选安全设备中源地址和资产1的IP有交集,目的地址和资产2的IP有交集的安全策略;
将得到的安全策略和安全组规则取交集,获取资产1到资产2的访问路径,再根据资产2的暴露面,获取资产1到资产2的访问关系;
重复前两步,得到资产2到资产1的访问关系;
根据业务系统的访问基线和业务系统下的资产信息,得到所有资产的访问基线;
将资产的访问关系与对应的访问基线进行比对,得到比对结果;
根据比对结果进行安全决策和安全实施;安全实施包括变更安全策略、调整安全组规则和关闭暴露端口。
2.根据权利要求1所述的资产自动防护的方法,其特征在于,所述资产信息包括资产IP地址、资产MAC地址、资产ID号、资产操作系统、资产上部署的应用和端口暴露面。
3.根据权利要求1所述的资产自动防护的方法,其特征在于,将扫描器对资产的扫描结果和业务系统进行关联,确定业务系统下所有资产的暴露面,包括:
根据扫描得到的资产的IP、MAC地址、端口暴露面和应用信息,到资产配置表中检索资产;
如果检索到资产,则将该资产和业务系统进行关联,并记录该资产的暴露面;
如果检索不到资产,则将该资产信息发给资产管理员,由资产管理员去确认该资产所属业务系统,并重新录入资产配置表。
4.根据权利要求1所述的资产自动防护的方法,其特征在于,所述比对结果包括一致和不一致,其中不一致包括安全策略的地址过于宽松、端口过于宽松、地址过窄和端口过窄。
5.根据权利要求1所述的资产自动防护的方法,其特征在于,根据比对结果进行安全决策和安全实施,包括:
当地址过于宽松时,则调整安全设备上的安全策略或者安全组规则;
当端口过于宽松时,则关闭资产上宽松的端口或者调整安全设备的安全策略或者调整安全组规则;
当地址过窄或者端口过窄时,则发送告警信息给运维人员,运维人员再进行安全实施,包括:开放资产端口、增加安全设备的安全策略和增加安全组规则。
6.一种资产自动防护的装置,其特征在于,该装置包括:
资产管理模块,用于录入资产配置表,得到资产信息以及所属业务系统信息;
资产扫描模块,用于使用扫描技术对公司资产进行扫描,得到资产的IP、MAC地址、端口暴露面和应用信息;
资产分析模块,用于分析资产的访问关系和访问基线,并得到分析比对结果;
资产分析模块包括资产暴露面管理子模块、资产访问关系管理子模块;其中:
资产暴露面管理子模块,用于将扫描器对资产的扫描结果和业务系统进行关联,确定业务系统下所有资产的暴露面;
资产访问关系管理子模块,用于通过资产上的安全组信息以及安全设备上的安全策略得到资产的访问路径,然后根据资产的暴露面和访问路径得到资产的访问关系,包括:
首先分别筛选安全设备中源地址和资产1的IP有交集,目的地址和资产2的IP有交集的安全策略;
将得到的安全策略和安全组规则取交集,获取资产1到资产2的访问路径,再根据资产2的暴露面,获取资产1到资产2的访问关系;
重复前两步,得到资产2到资产1的访问关系;
安全实施模块,用于根据比对结果进行安全决策和安全实施,安全决策确定是否由系统自动实施安全实施,其中安全实施包括变更安全策略、调整安全组规则和关闭暴露端口。
7.根据权利要求6所述的资产自动防护的装置,其特征在于,所述资产分析模块还包括资产访问基线管理子模块和资产比对子模块;其中:
资产访问基线管理子模块,用于根据业务系统的访问基线和业务系统下的资产信息,得到所有资产的访问基线;
资产比对子模块,用于将资产的访问关系与对应的访问基线进行比对,得到比对结果。
8.根据权利要求6所述的资产自动防护的装置,其特征在于,所述资产信息包括资产IP地址、资产MAC地址、资产ID号、资产操作系统、资产上部署的应用和端口暴露面。
9.根据权利要求7所述的资产自动防护的装置,其特征在于,所述资产暴露面管理子模块,具体用于:
根据扫描得到的资产的IP、MAC地址、端口暴露面和应用信息,到资产配置表中检索资产;
如果检索到资产,则将该资产和业务系统进行关联,并记录该资产的暴露面;
如果检索不到资产,则将该资产信息发给资产管理员,由资产管理员去确认该资产所属业务系统,并重新录入资产配置表。
10.根据权利要求7所述的资产自动防护的装置,其特征在于,所述比对结果包括一致和不一致,其中不一致包括安全策略的地址过于宽松、端口过于宽松、地址过窄和端口过窄。
11.根据权利要求6所述的资产自动防护的装置,其特征在于,所述安全实施模块,具体用于:
当地址过于宽松时,则调整安全设备上的安全策略或者安全组规则;
当端口过于宽松时,则关闭资产上宽松的端口或者调整安全设备的安全策略或者调整安全组规则;
当地址过窄或者端口过窄时,则发送告警信息给运维人员,运维人员再进行安全实施,包括:开放资产端口、增加安全设备的安全策略和增加安全组规则。
12.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1-5任一项所述方法。
13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1-5任一项所述方法的计算机程序。
CN202011266704.5A 2020-11-13 2020-11-13 一种资产自动防护的方法及装置 Active CN112270493B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011266704.5A CN112270493B (zh) 2020-11-13 2020-11-13 一种资产自动防护的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011266704.5A CN112270493B (zh) 2020-11-13 2020-11-13 一种资产自动防护的方法及装置

Publications (2)

Publication Number Publication Date
CN112270493A CN112270493A (zh) 2021-01-26
CN112270493B true CN112270493B (zh) 2023-05-12

Family

ID=74340043

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011266704.5A Active CN112270493B (zh) 2020-11-13 2020-11-13 一种资产自动防护的方法及装置

Country Status (1)

Country Link
CN (1) CN112270493B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113472775B (zh) * 2021-06-29 2023-07-14 深信服科技股份有限公司 一种暴露面确定方法、系统及存储介质
CN114584339A (zh) * 2021-12-29 2022-06-03 奇安信科技集团股份有限公司 基于内生安全机制的网络安全防护方法和装置
CN115408701B (zh) * 2022-08-30 2023-06-27 上海聚均科技有限公司 人工智能与大数据结合的数据资产漏洞分析方法及系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105553940A (zh) * 2015-12-09 2016-05-04 北京中科云集科技有限公司 一种基于大数据处理平台的安全防护方法
CN107809433A (zh) * 2017-11-06 2018-03-16 中国联合网络通信集团有限公司 资产管理方法及装置
CN107979597A (zh) * 2017-11-24 2018-05-01 上海携程商务有限公司 分布式扫描的内网资产管理方法、系统、设备及存储介质
CN108111487A (zh) * 2017-12-05 2018-06-01 全球能源互联网研究院有限公司 一种安全监控方法及系统
CN108833358A (zh) * 2018-05-22 2018-11-16 郑州云海信息技术有限公司 一种安全基线的管理方法及系统
CN109995736A (zh) * 2017-12-31 2019-07-09 中国移动通信集团四川有限公司 检测威胁攻击的方法、装置、设备和存储介质
CN110336684A (zh) * 2019-03-21 2019-10-15 北京天防安全科技有限公司 一种网络资产智能识别方法及系统
CN111898898A (zh) * 2020-07-25 2020-11-06 江苏锐创软件技术有限公司 风险设备定位监控方法、装置、系统及存储介质

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105553940A (zh) * 2015-12-09 2016-05-04 北京中科云集科技有限公司 一种基于大数据处理平台的安全防护方法
CN107809433A (zh) * 2017-11-06 2018-03-16 中国联合网络通信集团有限公司 资产管理方法及装置
CN107979597A (zh) * 2017-11-24 2018-05-01 上海携程商务有限公司 分布式扫描的内网资产管理方法、系统、设备及存储介质
CN108111487A (zh) * 2017-12-05 2018-06-01 全球能源互联网研究院有限公司 一种安全监控方法及系统
CN109995736A (zh) * 2017-12-31 2019-07-09 中国移动通信集团四川有限公司 检测威胁攻击的方法、装置、设备和存储介质
CN108833358A (zh) * 2018-05-22 2018-11-16 郑州云海信息技术有限公司 一种安全基线的管理方法及系统
CN110336684A (zh) * 2019-03-21 2019-10-15 北京天防安全科技有限公司 一种网络资产智能识别方法及系统
CN111898898A (zh) * 2020-07-25 2020-11-06 江苏锐创软件技术有限公司 风险设备定位监控方法、装置、系统及存储介质

Also Published As

Publication number Publication date
CN112270493A (zh) 2021-01-26

Similar Documents

Publication Publication Date Title
CN112270493B (zh) 一种资产自动防护的方法及装置
US8261317B2 (en) Moving security for virtual machines
AU2015253103B2 (en) Method and apparatus for multi-tenancy secrets management
US7810156B2 (en) Automated evidence gathering
CN109995796B (zh) 工控系统终端安全防护方法
US11323474B1 (en) System and method for determining endpoint compatibility with subnet prefix of all-ones for lateral propagation prevention of ransomware
CN112565287B (zh) 资产暴露面确定方法、装置、防火墙及存储介质
DE112016004345T5 (de) Technologien für eine anonyme kontextbestätigung und bedrohungsanalyse
CN114003943A (zh) 一种用于机房托管管理的安全双控管理平台
CN108449324B (zh) 一种网间数据的安全交换方法及系统
CN114553471A (zh) 一种租户安全管理系统
CN108418697B (zh) 一种智能化的安全运维服务云平台的实现架构
CN106209799A (zh) 一种实现动态网络防护的方法、系统及动态防火墙
Sianturi et al. A security framework for secure host-to-host environments
CN110392127B (zh) 网络地址空间识别方法及装置
CN113032354A (zh) 内外网应用间数据共享与实时高频交互方法
WO2009120377A2 (en) Network firewalls
US11651313B1 (en) Insider threat detection using access behavior analysis
CN111600971A (zh) 一种设备管理的方法和设备管理的装置
JP2006332997A (ja) 通信管理装置、ネットワークシステム、ネットワークシステムにおける通信遮断方法、およびプログラム
Ohmori On automation and orchestration of an initial computer security incident response by introducing centralized incident tracking system
Bikov et al. Threat hunting as cyber security baseline in the next-generation security operations center
KR20200071787A (ko) 온프레미스와 클라우드의 스토리지 통합 관리 방법 및 시스템
KR102623276B1 (ko) 방화벽 정책 시각화 방법 및 그 장치
Patil et al. Performance and information security evolution with firewalls

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP02 Change in the address of a patent holder

Address after: 200000 room 702-2, No. 4811 Cao'an Road, Jiading District, Shanghai

Patentee after: CHINA UNITECHS

Address before: Room 1004-4, 10 / F, 1112 Hanggui Road, Anting Town, Jiading District, Shanghai

Patentee before: CHINA UNITECHS

CP02 Change in the address of a patent holder