CN112751806A - 用于安全策略配置的编排方法、系统、装置及存储介质 - Google Patents
用于安全策略配置的编排方法、系统、装置及存储介质 Download PDFInfo
- Publication number
- CN112751806A CN112751806A CN201911048468.7A CN201911048468A CN112751806A CN 112751806 A CN112751806 A CN 112751806A CN 201911048468 A CN201911048468 A CN 201911048468A CN 112751806 A CN112751806 A CN 112751806A
- Authority
- CN
- China
- Prior art keywords
- security
- service
- policy
- security function
- change
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及用于安全策略配置的编排方法、安全业务控制系统、安全业务控制装置及计算机可读存储介质。其中,将针对变更的业务设置的安全策略表按照目的地址和安全功能类别分解成一个以上的最小化单位策略,按照安全功能类别对一个以上的最小化单位策略进行归类,生成与一个以上的安全功能类别的每一个分别对应的最小化单位策略组,针对一个以上的安全功能类别的每一个,确定与变更的业务对应且与该安全功能类别对应的一个以上的安全设备,针对一个以上的安全设备的每一个,利用与该安全功能类别对应的最小化单位策略组,更新针对该安全设备设置的安全策略表。由此,能够降低安全策略变更的复杂度,提高安全防御边界的编排的灵活度和准确度。
Description
技术领域
本发明涉及安全控制领域,特别涉及用于安全策略配置的编排方法、安全业务控制系统、安全业务控制装置及计算机可读存储介质。
背景技术
随着第五代移动通信技术(简称5G)的发展,允许承载的网络容量进一步增加、设备连接能力进一步提高,能够实现更多的业务发展,从而对业务的安全策略部署提出了更高的要求。
特别地,在5G技术环境下,为了支持差异化业务的服务指标而引入了切片特性,要求在不同网络切片之间进行隔离的同时实现灵活的调度控制。然而,上述网络切片的网络常常采用云化方式承载,导致5G网络与传统网络存在很大的差异。其中,一个差异在于网络虚拟化的实现,由于以用户和业务作为颗粒度划分网络边界,所以难以界定虚拟化的隔离边界;另一个差异在于5G要求支持按需服务的动态业务特性,因此业务指标随时可能变化,进一步地,由于业务指标的变化,业务的安全服务的支持设备、容量和安全策略都有可能对应地变化,从而导致安全防御边界和安全控制措施不断发生变化,为此要求更高效且更精准地划分安全防御边界和安全策略编排。
发明内容
在下文中给出了关于本公开的简要概述,以便提供关于本公开的一些方面的基本理解。但是,应当理解,这个概述并不是关于本公开的穷举性概述。它并不是意图用来确定本公开的关键性部分或重要部分,也不是意图用来限定本公开的范围。其目的仅仅是以简化的形式给出关于本公开的某些概念,以此作为稍后给出的更详细描述的前序。
本发明的发明人注意到,在现有技术中,由于安全隔离和边界防御由VLAN、防火墙实施,所以安全机制分散,针对不同业务的控制细粒度不足,缺乏统一的安全策略配置的编排机制,所以难以适应根据5G业务动态变化和安全需求变化面灵活变更的服务需求。
本发明的目的在于提供一种能够降低安全策略配置变更的复杂度并且提高安全防御边界的编排的灵活度和准确度的、用于安全策略配置的编排方法、安全业务控制系统、安全业务控制装置及计算机可读存储介质。
根据本公开的一个方面,提供一种用于安全策略配置的编排方法,其特征在于,根据用户对业务的变更操作,对于针对变更的业务设置的安全策略表(3200),按照目的地址(3202)和安全功能类别(3203),分解成一个以上的最小化单位策略(7100),其中,所述安全策略表(3200)用于记录与用户的业务对应的针对目的地址(3202)应用由安全功能类别(3203)表示的安全功能的安全策略配置,构成为针对用户的每个业务而设置并且定义了一个以上的目的地址(3202)与一个以上的安全功能类别(3203)的对应关系,所述最小化单位策略(7100)构成为定义了一个目的地址(3202)与一个安全功能类别(3203)的对应关系,按照安全功能类别(3203),对所述一个以上的最小化单位策略(7100)进行归类,生成与所述一个以上的安全功能类别的每一个(3203)分别对应的最小化单位策略组(7200),针对所述一个以上的安全功能类别的每一个(3203),确定与所述变更的业务对应且与该安全功能类别(3203)对应的一个以上的安全设备,针对所述一个以上的安全设备的每一个,利用与该安全功能类别(3203)对应的最小化单位策略组(7200),更新针对该安全设备设置的安全策略表(3700),其中,所述安全策略表(3700)用于记录由安全设备针对目的地址(3202)应用由安全功能类别(3203)表示的安全功能的安全策略配置,构成为针对每个安全设备而设置并且定义了一个以上的目的地址(3202)与一个以上的安全功能类别(3203)的对应关系。
根据本公开的另一方面,提供一种安全业务控制装置,执行安全策略配置的编排方法,其特征在于,包括:业务模块(11),用于响应用户对业务的变更操作;核心模块(12),包括:策略存储单元(121),用于存储针对每个用户的每个业务设置的安全策略表(3200),其中该安全策略表(3200)用于记录与用户的业务对应的针对目的地址(3202)应用由安全功能类别(3203)表示的安全功能的安全策略配置,构成为定义了一个以上的目的地址(3202)与一个以上的安全功能类别(3203)的对应关系;策略分解单元(122),用于根据用户对业务的变更操作,对于针对变更的业务设置的安全策略表(3200),按照目的地址(3202)和安全功能类别(3203),分解成一个以上的最小化单位策略(7100),其中该最小化单位策略(7100)构成为定义了一个目的地址(3202)与一个安全功能类别(3203)的对应关系;和策略更新单元(123、124),按照安全功能类别(3203),对所述一个以上的最小化单位策略(7100)进行归类,生成与所述一个以上的安全功能类别的每一个(3203)分别对应的最小化单位策略组(7200),针对所述一个以上的安全功能类别的每一个(3203),确定与所述变更的业务对应且与该安全功能类别(3203)对应的一个以上的安全设备,针对所述一个以上的安全设备的每一个,利用与该安全功能类别(3203)对应的最小化单位策略组(7200),更新针对该安全设备设置的安全策略表(3700);以及接口模块(13),包括:设备策略存储单元(131),用于存储所述针对该安全设备设置的安全策略表(3700),其中,所述安全策略表(3700)用于记录由安全设备针对目的地址(3202)应用由安全功能类别(3203)表示的安全功能的安全策略配置,构成为针对每个安全设备而设置并且定义了一个以上的目的地址(3202)与一个以上的安全功能类别(3203)的对应关系;和设备通信单元(133),用于与包括安全设备的资源进行通信。
根据本公开的另一方面,提供一种安全业务控制系统,其特征在于,具备:一个或多个处理器;以及存储器,其上存储有计算机可执行指令,所述指令在由所述一个或多个处理器执行时,使得所述一个或多个处理器执行根据权利要求1~8中的任意一项所述的编排方法。
根据本公开的另一方面,提供一种计算机可读存储介质,其特征在于,包括计算机可执行指令,所述指令在由一个或多个处理器执行时,使得所述处理器执行根据权利要求1~8中的任意一项所述的编排方法。
根据本发明,能够降低安全策略配置变更的复杂度,提高安全防御边界的编排的灵活度和准确度,使得安全业务控制系统的计算控制更为高效,实现基于安全域的访问控制快速编排和自动化落地实施,提高整体的运营效率。
附图说明
构成说明书的一部分的附图描述了本公开的实施例,并且连同说明书一起用于解释本公开的原理。
参照附图,根据下面的详细描述,可以更清楚地理解本公开,其中:
图1是示出本发明的安全业务控制系统1的示意性功能框图。
图2是示出本发明的安全业务控制系统1的示意性硬件结构图。
图3(A)是示出本发明的业务模块11中存储的业务层数据表3100的部分结构示意图。
图3(B)是示出本发明的核心模块12中存储的安全策略表3200的部分结构示意图。
图3(C)是示出本发明的核心模块12中存储的业务-服务链映射表3300的部分结构示意图。
图3(D)是示出本发明的核心模块12中存储的服务链-资源映射表3400的部分结构示意图。
图3(E)是示出本发明的核心模块12中存储的安全功能类别-资源映射表3500的部分结构示意图。
图3(F)是示出本发明的接口模块13中存储的接口层数据表3600的部分结构示意图。
图3(G)是示出本发明的接口模块13中存储的安全策略表3700的部分结构示意图。
图4是示出本发明的安全业务控制系统1的编排方法的流程示意图。
图5是示出本发明的安全业务控制系统1的编排方法的具体示例1的流程示意图。
图6是示出本发明的安全业务控制系统1的编排方法的具体示例2的流程示意图。
图7(A)是示出本发明的最小化单位策略7100的结构示意图。
图7(B)是示出本发明的最小化单位策略组7200的结构示意图。
具体实施方式
现在将参照附图来详细描述本公开的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
(功能结构)
图1是示出本发明的安全业务控制系统1的示意性功能框图。图3(A)~(G)示出本发明的安全业务控制系统1中的各数据表的部分结构示意图。图7(A)~(B)是示出本发明的安全业务控制系统1中的最小化单位策略和最小化单位策略组的结构示意图。以下,结合图1、图3(A)~(G)和图7(A)~(B),详细说明本发明的安全业务控制系统1中的功能结构。
首先,如图1所示,安全业务控制系统1包括安全服务10、业务模块11、核心模块12、接口模块13。
安全业务控制系统1是用于对业务的安全策略进行总体管理和控制的系统。作为业务,例如,可以举出流媒体、网页、应用加速等。
安全服务10是提供给用户的服务接收层,可以对用户呈现可操作的安全业务的业务项目,能够使用户进行安全策略配置,可以接收用户对安全业务中的业务项目进行的增加、删除或调整等操作信息,将与用户操作对应的关于业务变更的操作信息发送给业务模块11。在一些实施例中,安全服务10例如可以是由用户操作的、能够实现上述功能的应用程序、网站、或者专用服务终端等。
业务模块11是集成安全业务抽象模型的服务输出层,可以与上层的安全服务10交互。业务模块11可以从安全服务10获取与用户操作对应的关于业务变更的操作信息,响应于此,在业务模块11中存储的业务层数据表中对关于业务变更的操作信息进行存储、分析和调整等处理,并且将与变更的业务对应的安全策略输出给核心模块12。其中,所述业务层数据表是用于记录由安全业务控制系统1管理的业务的业务对象和业务内容的数据表。例如,业务层数据表的数据项可以包括但不限于业务编号、业务类型、业务名称、业务服务用户、业务等级、业务资产类型、业务资产位置、业务资产状态、业务时限、业务安全功能、业务安全策略等中的一项或多项。如图3(A)所示,示出作为一个例子的业务层数据表3100的部分数据结构。其中,图3(A)所示的业务层数据表3100的数据项包括业务编号、业务类型、业务等级、业务安全策略,业务资产类型,但不限于此,也可以还包括上述任意数据项。在图3(A)中,示出了业务编号1~3的三条业务的数据表条目。以下,以业务编号1的业务的数据表条目为例进行具体描述。另外,业务模块11也可以包括API(Application ProgrammingInterface,应用程序接口)访问控制表(未图示),用于记录各业务对在核心模块中存储的各数据表的访问权限。另外,在业务模块11中,可以根据与用户操作对应的关于业务变更的操作信息,通过业务注册、业务启用、业务停用、业务查询、业务网络配置、业务安全策略等功能,对业务层数据表3100中的各数据项的内容配置进行变更。
核心模块12是集成各类安全功能的抽象模型的统一控制层,用于对安全业务控制系统1进行整体的安全控制。核心模块12可以从业务模块11接收与变更的业务对应的安全策略,通过策略存储、策略分解、策略合成、策略删除、功能调度等功能,对业务之间的逻辑关系进行编排和协调,对核心模块12中存储的针对所有业务的每个分别设置的安全策略表进行处理,以使得接口模块13中的针对每个安全设备设置的安全策略表被更新。在一些实施例中,安全设备属于安全资源,例如是防火墙。
更具体地,核心模块12可以包括策略存储单元121、策略分解单元122、策略合成单元123、策略删除单元124、功能调度单元125。(以下,有时也将策略合成单元123和策略删除单元124统称为策略更新单元)
策略存储单元121用于存储针对用户的业务的每一个分别设置的所有安全策略表。在数据结构上,安全策略表的数据项可以包括但不限于源地址、目的地址、安全功能类型、协议类型、处置动作、以及策略优先级中的一个或多个。在功能上,所述安全策略表用于记录与用户的业务对应的针对目的地址应用由安全功能类别表示的安全功能的安全策略配置。更具体地,源地址3201表示网络数据包来源的地址信息,可以在IP地址、IPv6地址、MAC地址、虚拟网卡ID或名称、虚拟机ID或名称、物理机ID或名称、集群ID或名称等中选择地址类别并进行配置。目的地址(在本领域中也被称为“防护对象”)3202表示网络数据包目标的地址信息,可以在IP地址、IPv6地址、MAC地址、虚拟网卡ID或名称、虚拟机ID或名称、物理机ID或名称、集群ID或名称等中选择地址类别并进行配置。安全功能类型(在本领域中也被称为“防护类别”)3203表示能够在安全业务控制系统1中配置的安全功能的类型,可以在访问控制、病毒防护、入侵防御等中选择配置。协议类型3204表示需要安全业务控制系统1进行监控的数据包的协议类型,包括网络层协议(例如,ARP、RARP、ICMP、IGMP等)及应用层协议(例如,HTTP、TELNET、FTP等)。处置动作3205表示需要安全业务控制系统1对符合检测条件的数据包进行的处置操作,可以在允许通过、告警、丢弃、阻断会话、记录、回放会话等操作中选择配置。策略优先级3206表示安全策略在安全业务控制系统1执行时的由高到低的优先级,各安全策略的优先级可以在安全策略生成时由用户设置,也可以预先由系统默认配置。如图3(B)所示,示出作为一个例子的安全策略表3200的数据结构。具体地,图3(B)所示的安全策略表3200是针对图3(A)中的由业务编号1表示的业务设置的,其数据项包括源地址3201、目的地址3202、安全功能类型3203、协议类型3204、处置动作3205、以及策略优先级3206。在图3(B)中,针对图3(A)中的业务编号1的业务设置的安全策略表3200包括“目的地址=192.168.1.2,安全功能类别=入侵防御”、“目的地址=192.168.2.2,安全功能类别=病毒防护”和“目的地址=192.168.3.2,安全功能类别=入侵防御”这三个数据表条目。本领域人员应当清楚,安全策略表3200的数据项不限于图3(B)所示的数量和类型,优选至少包括目的地址3202和安全功能类型3203并定义了一个以上的目的地址3202与一个以上的安全功能类别3203的对应关系,并且安全策略表3200的数据表条目也不限于图3(B)所示的三个,可以是任意数量。
策略分解单元122用于对安全策略表3200进行分解处理。更具体地,策略分解单元122针对在策略存储单元121中存储的针对变更的业务设置的安全策略表3200,按照一个以上的目的地址3202的每一个和一个以上的安全功能类别3203的每一个,分解成一个以上的最小化单位策略。如图7(A)所示,示出作为一个例子的最小化单位策略7100的数据结构。更具体地,所述最小化单位策略7100是以目的地址标识的数据表,其数据项包括源地址3201、目的地址3202、安全功能类型3203、协议类型3204、处置动作3205、以及策略优先级3206。在图7(A)中,示出了由策略分解单元122将图3(B)的安全策略表3200分解出的三个最小化单位策略7100,即最小化单位策略7101“目的地址=192.168.1.2,安全功能类别=入侵防御”、最小化单位策略7102“目的地址=192.168.2.2,安全功能类别=病毒防护”和最小化单位策略7103“目的地址=192.168.3.2,安全功能类别=入侵防御”这三个数据表。本领域人员应当清楚,所述最小化单位策略7100的数据项不限于图7(A)所示的数量和类型,优选至少包括目的地址3202和安全功能类型3203并定义了一个以上的目的地址3202与一个以上的安全功能类别3203的对应关系,并且最小化单位策略7100的数据表条目当然不限于图7(A)所示的每个数据表具有一个条目,可以是任意数量的条目。
策略合成单元123用于将由策略分解单元122分解出的最小化单位策略7100与在接口模块13中存储的针对每个安全设备设置的安全策略表合并。更具体地,策略合成单元123可以对由策略分解单元122分解出的一个以上的最小化单位策略7100进行归类,生成与一个以上的安全功能类别3203的每一个分别对应的最小化单位策略组7200,针对安全功能类别3203的每一个,将与该安全功能类别3203对应的最小化单位策略组7200与接口模块13中的与变更的业务相关的每个安全设备的安全策略表3700合并。其中,如图7(B)所示,示出作为一个例子的最小化单位策略组7200的数据结构。更具体地,所述最小化单位策略组7200是由策略合成单元123将图7(A)所示的三个最小化单位策略7100归类而成的数据表。在图7(B)中,示出了由策略合成单元123生成的最小化单位策略组7201和最小化单位策略组7202这两个数据表。最小化单位策略组7200与最小化单位策略7100的数据结构大致相同,在此不重复赘述。
策略删除单元124用于将由策略分解单元122分解出的最小化单位策略7100从针对安全设备设置的安全策略表3700中删除,更具体地,策略删除单元124针对一个以上的安全功能类别3203的每一个,将由策略合成单元123生成的与安全功能类别3203对应的最小化单位策略组7200从接口模块13中的与变更的业务相关的每个安全设备的安全策略表3700中删除。另外,在上述描述中,策略删除单元124直接使用由策略合成单元123生成的最小化单位策略组7200,但不限于此,例如也可以是策略删除单元124自身对由策略分解单元122分解出的一个以上的最小化单位策略7100进行归类,生成与安全功能类别3203的每一个分别对应的最小化单位策略组7200。
功能调度单元125用于对业务模块11、核心模块12、接口模块13中存储的各数据表进行处理,例如,可以获取各数据表的数据,从各数据表中选择并提供用于策略存储单元121、策略分解单元122、策略合成单元123、策略删除单元124等各单元的处理的数据,对各单元的调度处理进行控制。更具体地,功能调度单元125针对安全功能类别3203的每一个,根据业务-服务链映射表,确定与变更的业务对应的服务链标签,根据服务链-资源映射表,确定与上述确定出的服务链标签对应的资源中的安全设备3402,根据安全功能类别-资源映射表3500,确定与该安全功能类别3203对应的资源中的安全设备3502,由此,确定与上述确定出的服务链标签(变更的业务)对应且与该安全功能类别3203对应的一个以上的安全设备。其中,业务-服务链映射表用于定义业务与服务链的映射对应关系,服务链-资源映射表用于定义服务链与资源的映射对应关系,安全功能类别-资源映射表用于定义安全功能类别与资源的映射对应关系。其中,业务例如可以是流媒体、网页、应用加速等。服务链(Service Chain)可以表示网络流量基于业务逻辑经过业务节点的业务路径。资源可以表示服务链中的业务路径上的业务资源、网络资源或者安全资源等。安全功能类别如上所述可以表示安全功能的类型,例如是访问控制、病毒防护、入侵防御等。如图3(C)所示,示出作为一个例子的业务-服务链映射表3300(第一映射表)的数据结构,在业务-服务链映射表3300中,定义了业务(业务ID)与服务链(服务链标签)的映射对应关系。在图3(C)中,示出了在本实施例中图3(A)的业务编号1的业务“网络”与服务链标签1对应。另外,如图3(D)所示,示出作为一个例子的服务链-资源映射表3400(第二映射表)的数据结构,在服务链-资源映射表3400中,定义了服务链(服务链标签)与资源(资源ID)的映射对应关系。在图3(D)中,示出了在本实施例中图3(C)的服务链标签“服务链1”与资源“网元1、安全设备、安全设备2”对应。另外,如图3(E)所示,示出作为一个例子的安全功能类别-资源映射表3500(第三映射表)的数据结构,在安全功能类别-资源映射表3500中,定义了安全功能类别与资源(资源ID)的映射对应关系。在图3(E)中,示出了在本实施例中图3(B)的安全功能类别“入侵防御”与资源“安全设备1”对应,图3(B)的安全功能类别“病毒防护”与资源“安全设备2、安全设备3”对应。本领域人员应当清楚,业务-服务链映射表3300、服务链-资源映射表3400和安全功能类别-资源映射表3500的数据项不限于两项,可以是任意数量,其数据表条目也不限于图3(C)~(E)中所示的数量,可以是任意数量。
接口模块13是集成底层安全资源的抽象模型的适配转化层,用于对安全设备进行控制和管理,对与安全设备对应的安全策略进行存储和更新,根据核心模块12的指令,与安全设备进行通信。其中,接口模块13可以优选包括设备策略存储单元131、设备信息存储单元132、设备通信单元133。
设备策略存储单元131用于存储与安全设备的每一个分别对应的安全策略表3700。其中,如图3(G)所示,设备策略存储单元131中存储的与安全设备分别对应的安全策略表3700与策略存储单元121中存储的与业务对应的安全策略表3200同样地,其数据项包括源地址3701、目的地址3702、安全功能类型3703、协议类型3704、处置动作3705、以及策略优先级3706。安全策略表3700的各数据项的定义和配置与安全策略表3200相同,在此不赘述。
设备信息存储单元132用于存储表示与安全设备对应的属性特征和实时的状态信息的接口层数据表3600,特别地,在本实施例中,接口层数据表3600用于确定与安全设备对应的安全策略。该接口层数据表3600的数据项例如可以包括资源编号、资源类型、资源地址、服务链标签、失活状态、启用状态、安全等级、安全策略等。如图3(F)所示,示出作为一个例子的接口层数据表3600的部分数据结构。具体而言,在图3(F)中,示出了接口层数据表3600包括资源编号3601、资源类型3602、资源地址3603、安全策略3604和服务链3605的数据项且包括三个数据表条目的情况,但本领域人员应当清楚,接口层数据表3600的数据项和数据表条目不限于图3(F)所示的数量和类型。
设备通信单元133用于从核心模块12接收指令,并且与底层资源进行连接和通信,对接口模块13下发的控制命令和安全设备的状态信息进行传输。
(硬件结构)
接下来,详细说明本发明的安全业务控制系统1的硬件结构。
图2是示出本发明的安全业务控制系统1的示意性硬件结构图。如图2所示,安全业务控制系统1至少包括处理器21、存储器22、存储装置23、通信装置24、总线25。
处理器21例如可以为中央处理单元(CPU)或数字信号处理器(DSP),也可以包括诸如集成电路(IC)、专用集成电路(ASIC)这样的电路、单独处理器核心的部分或电路、整个处理器核心、单独的处理器、诸如现场可编程门阵列(FPGA)的可编程硬件设备、和/或包括多个处理器的系统,从而整体上控制安全业务控制系统1的各功能。另外,处理器21例如实现图1中的安全服务10、业务模块11、核心模块12、接口模块13的各功能。
存储器22例如包括随机存取存储器(RAM)和只读存储器(ROM),并且存储各种数据和由处理器21执行的程序。存储装置23可以包括存储介质,诸如半导体存储器和硬盘。另外,存储器12和存储装置13例如实现图1中的安全服务10、业务模块11、核心模块12、接口模块13中的与存储有关的功能。
通信装置24可以是基于有线方式的通信设备,也可以是基于无线通信方式的通信设备,例如包括网络适配器、网络收发器、多路复用器、转发器、集线器、网桥、交换机、路由器、网关等。另外,通信装置24例如实现图1中的安全服务10、业务模块11、核心模块12、接口模块13中的与信息通信传输有关的功能。
总线25将处理器21、存储器22、存储装置23和通信装置24彼此连接。总线25可以包括各自具有不同速度的两个或更多个总线(诸如高速总线和低速总线)。
(安全策略配置的编排方法)
图4是示出本发明的安全业务控制系统1的编排方法的流程示意图。
在步骤S401中,响应于用户利用安全服务10对业务M进行了变更操作,业务模块11在业务层数据表3100中对业务M的信息进行变更,将变更后的业务M的信息发送给核心模块12。在本公开的实施例中,对业务M的变更可以包括对业务的安全策略的变更和对业务属性的变更中的至少一个。其中,对安全策略的变更例如可以是使得图3(B)中的安全策略表3200的任意数据项发生了变更,对业务属性的变更例如可以是使得图3(A)中的业务层数据表业务资产类型发生了变更,例如新增资产、删除资产等等。在本文的以下叙述中,例举业务编号3101为“业务编号1”的业务M的业务安全策略“安全策略表1”发生了变更的示例进行说明。接下来,进入到步骤S402。
在步骤S402中,核心模块12响应于从业务模块11接收到业务M的信息,在策略存储单元121中存储的安全策略表3200中查找与变更的业务M对应的如图3(B)所示的安全策略表3200(即、相当于业务编号1的业务M的安全策略表1)。然后,策略分解单元122按照目的地址(在本领域中也相当于防护对象)3202和安全功能类别(在本领域中也相当于防护类别)3203,将上述查找到的策略存储单元121中的安全策略表3200分解成如图7(A)所示的一个以上的最小化单位策略7100。接下来,进入到步骤S403。
在步骤S403中,核心模块12的由策略合成单元123和策略删除单元124构成的策略更新单元按照安全功能类别3203,对一个以上的最小化单位策略7100进行归类,如图7(B)所示,生成与安全功能类别3203的每一个分别对应的最小化单位策略组7200。接下来,进入到步骤S404和S405,并且针对安全功能类别3203的每一个,重复执行下述步骤S404和S405。
在步骤S404中,核心模块12的功能调度单元125根据图3(C)所示的业务-服务链映射表3300、图3(D)所示的服务链-资源映射表3400以及图3(E)所示的安全功能类别-资源映射表3500,确定与变更的业务M对应(即,图3(D)所示的与服务链1对应的资源3402中的网元1、安全设备1、安全设备2)且与该安全功能类别3203对应(即,图3(E)所示,在安全功能类别3501为入侵防御的情况下与其对应的资源3502为安全设备1、在安全功能类别3501为病毒防护的情况下与其对应的资源3502为安全设备2和安全设备3)的一个以上的安全设备(即,在安全功能类别3203为入侵防御的情况下确定为安全设备1、在安全功能类别3203为病毒防护的情况下确定为安全设备2)。接下来,进入到步骤S405。
在步骤S405中,核心模块12的策略更新单元针对一个以上的安全设备(即,安全功能类别3203为入侵防御的情况下的安全设备1、安全功能类别3203为病毒防护的情况下的安全设备2)的每一个,根据在设备信息存储单元132中存储的如图3(F)所示的接口层数据表3600确定与该安全设备对应的安全策略表3700(与安全设备1对应的安全策略表10、与安全设备2对应的安全策略表30),利用与该安全功能类别3203对应的如图7(B)所示的最小化单位策略组7200,更新在接口模块13的设备策略存储单元131中存储的如图3(G)所示的针对该安全设备设置的安全策略表3700(其中,仅例示了与安全设备1对应的情况)。
接下来,在针对安全功能类别3203的每一个都重复执行了步骤S404和S405完毕之后,进入到步骤S406。
在步骤S406中,接口模块13的设备通信单元133向与变更的业务M有关的业务资源、网络资源、安全资源下发拓扑更新指令。
根据本发明,根据用户对业务的变更操作,对于针对变更的业务设置的安全策略表,按照目的地址和安全功能类别,分解成一个以上的最小化单位策略,按照安全功能类别,对所述一个以上的最小化单位策略进行归类,生成与所述一个以上的安全功能类别的每一个分别对应的最小化单位策略组,针对所述一个以上的安全功能类别的每一个,确定与所述变更的业务对应且与该安全功能类别对应的一个以上的安全设备,针对所述一个以上的安全设备的每一个,利用与该安全功能类别对应的最小化单位策略组,更新针对该安全设备设置的安全策略表。由此,能够降低安全策略配置变更的复杂度,提高安全防御边界的编排的灵活度和准确度,使得安全业务控制系统的计算控制更为高效,实现基于安全域的访问控制快速编排和自动化落地实施,提高整体的运营效率。
(安全策略配置的编排方法的具体示例1)
图5是示出本发明的安全业务控制系统1的编排方法的具体示例1的流程示意图。
在图5中,具体地例示了用户利用安全服务10对业务M的安全策略进行了变更操作的情况。应注意的是,在以下描述中,为了简化起见,有时省略与图4所示的编排方法相似的解释说明。
在步骤S501中,响应于用户利用安全服务10对业务M的安全策略进行了变更操作,业务模块11在业务层数据表3100中对业务M的安全策略(3104)信息进行变更,将变更后的业务M的安全策略信息发送给核心模块12。接下来,进入到步骤S502。
在步骤S502中,核心模块12响应于从业务模块11接收到变更后的业务M的安全策略信息,功能调度单元125对在核心模块12的测量存储单元121中存储的如图3(B)所示的与该业务M关联的安全策略表3200进行变更。接下来,进入到步骤S503。
在步骤S503中,策略分解单元122按照目的地址3202和安全功能类别3203,将在步骤S502中变更后的安全策略表3200分解成一个以上的如图7(A)所示的最小化单位策略7100。接下来,进入到步骤S504。
在步骤S504中,核心模块12的策略分解单元122按照安全功能类别3203,对一个以上的最小化单位策略7100进行归类,生成与安全功能类别3203的每一个分别对应的如图7(B)所示的最小化单位策略组7200。接下来,进入到步骤S505~S508,并且针对安全功能类别3203的每一个,重复执行下述步骤S505~S508。
在步骤S505中,核心模块12的功能调度单元125根据如图3(C)所示的业务-服务链映射表3300,确定与业务M(在本实施例中,为业务编号1)对应的服务链标签(在本实施例中,为服务链1),根据如图3(D)所示的服务链-资源映射表3400,确定与该服务链标签(在本实施例中,为服务链1)对应的资源中的安全设备3402(在本实施例中,为业务资源1、网元1、安全设备1、安全设备2)。然后,进入到步骤S507。
另一方面,在步骤S506中,核心模块12的功能调度单元125根据如图3(E)所示的安全功能类别-资源映射表3500,确定与该安全功能类别3203对应的资源中的安全设备3502(在本实施例中,在安全功能类别3501为入侵防御的情况下与其对应的资源3502为安全设备1、在安全功能类别3501为病毒防护的情况下与其对应的资源3502为安全设备2和安全设备3)。然后,进入到步骤S507。
在步骤S507中,核心模块12的功能调度单元125根据与该服务链标签对应的资源中的安全设备3402和与该安全功能类别3203对应的资源中的安全设备3502,确定与业务M的服务链标签对应且与安全功能类别3203对应的一个以上的安全设备(在本实施例中,在安全功能类别3203为入侵防御的情况下确定为安全设备1、在安全功能类别3203为病毒防护的情况下确定为安全设备2)。接下来,进入到步骤S508。
在步骤S508中,核心模块12的策略合成单元123针对一个以上的安全设备(在本实施例中,安全功能类别3203为入侵防御的情况下的安全设备1、安全功能类别3203为病毒防护的情况下的安全设备2)的每一个,将与该安全功能类别3203对应的最小化单位策略组7200与接口模块13的设备策略存储单元131中存储的如图3(G)所示的针对该安全设备设置的安全策略表3700(其中,仅例示了与安全设备1对应的情况)合并。
接下来,在针对安全功能类别3203的每一个都重复执行了步骤S505~S508完毕之后,进入到步骤S509。
在步骤S509中,接口模块13的设备通信单元133向与变更的业务M有关的业务资源、网络资源、安全资源下发拓扑更新指令。
根据具体示例1的本发明,着眼于用户对业务M的安全策略进行的变更操作,响应于针对业务的安全策略的变更操作,对于针对所述变更的业务设置的安全策略表进行变更,按照目的地址和安全功能类别,将针对所述变更的业务设置的变更后的所述安全策略表分解成一个以上的最小化单位策略,针对所述一个以上的安全功能类别的每一个,根据业务与资源的映射对应关系,确定与该变更的业务对应的资源中的安全设备,根据安全功能类别与资源的映射对应关系,确定与该安全功能类别对应的资源中的安全设备,确定与该变更的业务M对应且与该安全功能类别对应的一个以上的安全设备,针对所述一个以上的安全设备的每一个,将与该安全功能类别对应的最小化单位策略组与针对该安全设备设置的安全策略表合并。由此,能够更精准地进行安全策略编排,能够降低安全策略配置变更的复杂度,提高安全防御边界的编排的灵活度和准确度,使得安全业务控制系统的计算控制更为高效,实现基于安全域的访问控制快速编排和自动化落地实施,提高整体的运营效率。
(安全策略配置的编排方法的具体示例2)
图6是示出本发明的安全业务控制系统2的编排方法的具体示例2的流程示意图。应注意的是,在以下描述中,为了简化起见,有时省略与图4和图5所示的编排方法相似的解释说明。
在步骤S601中,响应于用户利用安全服务10对业务M的业务属性(例如,安全等级、部署位置、诸如新增资产的业务规模)进行了变更操作,业务模块11在业务层数据表3100中对业务MA的业务属性信息进行变更,将变更后的业务MB的业务属性信息发送给核心模块12。接下来,进入到步骤S602。
在步骤S602中,核心模块12响应于从业务模块11接收到变更后的业务MB的业务属性信息,功能调度单元125在核心模块12中存储的安全策略表3200中确定与变更前的业务MA关联的变更前安全策略表3200A和与变更后的业务关联的变更后安全策略表3200B。接下来,进入到步骤S603。
在步骤S603中,策略分解单元122按照目的地址(目标地址)3202和安全功能类别(安全功能)3203,将在步骤S602中与变更前的业务MA关联的变更前安全策略表3200A分解成一个以上的最小化单位策略7100A,将在步骤S602中与变更后的业务MB关联的变更后安全策略表3200B分解成一个以上的最小化单位策略7100B。接下来,进入到步骤S604。
在步骤S604中,核心模块12的策略分解单元122按照安全功能类别3203,对一个以上的变更前最小化单位策略7100A进行归类,生成与安全功能类别3203的每一个分别对应的变更前最小化单位策略组7200A,对一个以上的变更后最小化单位策略7100B进行归类,生成与安全功能类别3203的每一个分别对应的变更后最小化单位策略组7200B。接下来,进入到步骤S605~S608,并且针对安全功能类别3203的每一个,重复执行下述步骤S605~S608。
在步骤S605中,核心模块12的功能调度单元125根据业务-服务链映射表3300,确定(查找)与变更前的业务MA对应的服务链标签,根据服务链-资源映射表3400,确定与该服务链标签对应的资源中的安全设备3402;并且,核心模块12的功能调度单元125根据业务-服务链映射表3300,确定(查找)与变更后的业务MB对应的服务链标签,根据服务链-资源映射表3400,确定与该服务链标签对应的资源中的安全设备3502。另外,在步骤S605中,也可以根据确定(查找)出的服务链标签,在服务链-资源映射表3400中变更安全资源信息。然后,进入到步骤S607。
另一方面,在步骤S606中,核心模块12的功能调度单元125根据安全功能类别-资源映射表3500,确定与该安全功能类别3203对应的资源中的安全设备3502。然后,进入到步骤S607。
在步骤S607中,核心模块12的功能调度单元125根据与变更前的业务MA的该服务链标签对应的资源中的安全设备3402A和与该安全功能类别3203对应的资源中的安全设备3502A,确定与变更前的业务MA的服务链标签对应且与安全功能类别3203对应的一个以上的变更前安全设备;并且,核心模块12的功能调度单元125根据与变更后的业务MB的该服务链标签对应的资源中的安全设备3402B和与该安全功能类别3203对应的资源中的安全设备3502B,确定与变更后的业务MB的服务链标签对应且与安全功能类别3203对应的一个以上的变更后安全设备。接下来,进入到步骤S608。
在步骤S608中,核心模块12的策略删除单元124针对一个以上的变更前安全设备的每一个,将与该安全功能类别3203对应的变更前最小化单位策略组7200A从接口模块13的设备策略存储单元131中存储的针对该安全设备设置的安全策略表3700A中删除;并且,核心模块12的策略合成单元123针对一个以上的变更后安全设备的每一个,将与该安全功能类别3203对应的变更后最小化单位策略组7200B与接口模块13的设备策略存储单元131中存储的针对该安全设备设置的安全策略表3700B合并。
接下来,在针对安全功能类别3203的每一个都重复执行了步骤S605~S608完毕之后,进入到步骤S609。
在步骤S609中,核心模块12在策略存储单元121中存储的服务链-资源映射表3400中,对与变更的业务M有关的业务资源和网络资源的信息进行变更。接下来,进入到步骤S610。
在步骤S610中,接口模块13的设备通信单元133向变更后的业务资源、网络资源、安全资源下发拓扑更新指令。
根据具体示例2的本发明,着眼于用户对业务的除了安全策略之外的业务属性进行的变更操作,响应于针对业务的业务属性的变更操作,确定在业务变更前设置的变更前安全策略表和在业务变更后设置的变更后安全策略表,按照目的地址和安全功能类别,将所述变更前安全策略表分解成一个以上的变更前最小化单位策略,将所述变更后安全策略表分解成一个以上的变更后最小化单位策略,按照安全功能类别,对所述一个以上的变更前最小化单位策略进行归类,生成与所述安全功能类别的每一个分别对应的变更前最小化单位策略组,对所述一个以上的变更后最小化单位策略进行归类,生成与所述安全功能类别的每一个分别对应的变更后最小化单位策略组,针对所述安全功能类别的每一个,根据业务与资源的映射对应关系,确定与所述变更前的业务对应的资源中的安全设备,根据安全功能类别与资源的映射对应关系,确定与该安全功能类别对应的资源中的安全设备,确定与该变更前的业务对应且与该安全功能类别对应的一个以上的变更前安全设备,针对所述变更前安全设备的每一个,在针对该安全设备设置的安全策略表中删除与该安全功能类别对应的变更前最小化单位策略组,根据业务与资源的映射对应关系,确定与所述变更后的业务对应的资源中的安全设备,根据安全功能类别与资源的映射对应关系,确定与该安全功能类别对应的资源中的安全设备,确定与该变更后的业务对应且与该安全功能类别对应的一个以上的变更后安全设备,针对所述变更后安全设备的每一个,将与该安全功能类别对应的变更后最小化单位策略组与针对该安全设备设置的安全策略表合并。由此,能够更精准地划分安全防御边界,能够降低安全策略配置变更的复杂度,提高安全防御边界的编排的灵活度和准确度,使得安全业务控制系统的计算控制更为高效,实现基于安全域的访问控制快速编排和自动化落地实施,提高整体的运营效率。
应当理解,本说明书中“实施例”或类似表达方式的引用是指结合该实施例所述的特定特征、结构、或特性系包括在本公开的至少一具体实施例中。因此,在本说明书中,“在本公开的实施例中”及类似表达方式的用语的出现未必指相同的实施例。
本领域技术人员应当知道,本公开被实施为一系统、装置、方法或作为计算机程序产品的计算机可读媒体(例如非瞬态存储介质)。因此,本公开可以实施为各种形式,例如完全的硬件实施例、完全的软件实施例(包括固件、常驻软件、微程序代码等),或者也可实施为软件与硬件的实施形式,在以下会被称为“电路”、“模块”或“系统”。此外,本公开也可以任何有形的媒体形式实施为计算机程序产品,其具有计算机可使用程序代码存储于其上。
本公开的相关叙述参照根据本公开具体实施例的系统、装置、方法及计算机程序产品的流程图和/或框图来进行说明。可以理解每一个流程图和/或框图中的每一个块,以及流程图和/或框图中的块的任何组合,可以使用计算机程序指令来实施。这些计算机程序指令可供通用型计算机或特殊计算机的处理器或其它可编程数据处理装置所组成的机器来执行,而指令经由计算机或其它可编程数据处理装置处理以便实施流程图和/或框图中所说明的功能或操作。
在附图中显示根据本公开各种实施例的系统、装置、方法及计算机程序产品可实施的架构、功能及操作的流程图及框图。因此,流程图或框图中的每个块可表示一模块、区段、或部分的程序代码,其包括一个或多个可执行指令,以实施指定的逻辑功能。另外应当注意,在某些其它的实施例中,块所述的功能可以不按图中所示的顺序进行。举例来说,两个图示相连接的块事实上也可以同时执行,或根据所涉及的功能在某些情况下也可以按图标相反的顺序执行。此外还需注意,每个框图和/或流程图的块,以及框图和/或流程图中块的组合,可藉由基于专用硬件的系统来实施,或者藉由专用硬件与计算机指令的组合,来执行特定的功能或操作。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (18)
1.一种用于安全策略配置的编排方法,其特征在于,
根据用户对业务的变更操作,对于针对变更的业务设置的安全策略表(3200),按照目的地址(3202)和安全功能类别(3203),分解成一个以上的最小化单位策略(7100),其中,所述安全策略表(3200)用于记录与用户的业务对应的针对目的地址(3202)应用由安全功能类别(3203)表示的安全功能的安全策略配置,构成为针对用户的每个业务而设置并且定义了一个以上的目的地址(3202)与一个以上的安全功能类别(3203)的对应关系,所述最小化单位策略(7100)构成为定义了一个目的地址(3202)与一个安全功能类别(3203)的对应关系,
按照安全功能类别(3203),对所述一个以上的最小化单位策略(7100)进行归类,生成与所述一个以上的安全功能类别的每一个(3203)分别对应的最小化单位策略组(7200),
针对所述一个以上的安全功能类别的每一个(3203),
确定与所述变更的业务对应且与该安全功能类别(3203)对应的一个以上的安全设备,
针对所述一个以上的安全设备的每一个,利用与该安全功能类别(3203)对应的最小化单位策略组(7200),更新针对该安全设备设置的安全策略表(3700),其中,所述安全策略表(3700)用于记录由安全设备针对目的地址(3202)应用由安全功能类别(3203)表示的安全功能的安全策略配置,构成为针对每个安全设备而设置并且定义了一个以上的目的地址(3202)与一个以上的安全功能类别(3203)的对应关系。
2.根据权利要求1所述的编排方法,其特征在于,
所述用户对业务的变更操作是用户利用能够进行安全策略配置的安全服务(10)进行的针对业务的安全策略(3104)的变更操作,
响应于针对业务的安全策略(3104)的变更操作,对于针对所述变更的业务设置的安全策略表(3200)进行变更,
按照目的地址(3202)和安全功能类别(3203),将针对所述变更的业务设置的变更后的所述安全策略表(3200)分解成一个以上的最小化单位策略(7100)。
3.根据权利要求1所述的编排方法,其特征在于,
针对所述一个以上的安全功能类别的每一个(3203),
根据业务与资源的映射对应关系,确定与该变更的业务对应的资源中的安全设备(3402),
根据安全功能类别与资源的映射对应关系,确定与该安全功能类别(3203)对应的资源中的安全设备(3502),
确定与该变更的业务对应且与该安全功能类别(3203)对应的一个以上的安全设备,
针对所述一个以上的安全设备的每一个,将与该安全功能类别(3203)对应的最小化单位策略组(7200)与针对该安全设备设置的安全策略表(3700)合并。
4.根据权利要求1所述的编排方法,其特征在于,
所述用户对业务的变更操作是用户利用能够进行安全策略配置的安全服务(10)对业务的业务属性的变更操作,
响应于针对业务的业务属性的变更操作,确定在业务变更前设置的变更前安全策略表(3200A)和在业务变更后设置的变更后安全策略表(3700A),
按照目的地址(3202)和安全功能类别(3203),将所述变更前安全策略表(3200A)分解成一个以上的变更前最小化单位策略(7100A),将所述变更后安全策略表(3200B)分解成一个以上的变更后最小化单位策略(7100B),
按照安全功能类别(3203),对所述一个以上的变更前最小化单位策略(7100A)进行归类,生成与所述安全功能类别的每一个(3203)分别对应的变更前最小化单位策略组(7200A),对所述一个以上的变更后最小化单位策略(7100B)进行归类,生成与所述安全功能类别的每一个(3203)分别对应的变更后最小化单位策略组(7200B)。
5.根据权利要求1所述的编排方法,其特征在于,
针对所述安全功能类别的每一个(3203),
根据业务与资源的映射对应关系,确定与变更前的业务对应的资源中的安全设备(3402A),根据安全功能类别与资源的映射对应关系,确定与该安全功能类别(3203)对应的资源中的安全设备(3502A),确定与该变更前的业务对应且与该安全功能类别(3203)对应的一个以上的变更前安全设备,
针对所述变更前安全设备的每一个,在针对该安全设备设置的安全策略表(3700)中删除与该安全功能类别(3203)对应的变更前最小化单位策略组(7200A),
根据业务与资源的映射对应关系,确定与变更后的业务对应的资源中的安全设备(3402B),根据安全功能类别与资源的映射对应关系,确定与该安全功能类别(3203)对应的资源中的安全设备(3502B),确定与该变更后的业务对应且与该安全功能类别(3203)对应的一个以上的变更后安全设备,
针对所述变更后安全设备的每一个,将与该安全功能类别(3203)对应的变更后最小化单位策略组(7200B)与针对该安全设备设置的安全策略表合并(3700)。
6.根据权利要求1所述的编排方法,其特征在于,
配置有第一映射表(3300)、第二映射表(3400)以及第三映射表(3500),
所述第一映射表(3300)定义了业务与服务链的映射对应关系,
所述第二映射表(3400)定义了服务链与资源的映射对应关系,
所述第三映射表(3500)定义了安全功能类别与资源的映射对应关系,
根据第一映射表、第二映射表以及第三映射表,确定与所述变更的业务对应且与所述安全功能类别(3203)对应的一个以上的安全设备。
7.根据权利要求6所述的编排方法,其特征在于,
在所述第一映射表(3300)中,查找与所述变更的业务(3301)对应的服务链信息(3302、3401),
根据所述查找到的服务链信息(3302、3401),在所述第二映射表(3400)中变更资源信息(3402),资源包括业务资源、网络资源、以及包括安全设备的安全资源。
8.根据权利要求1所述的编排方法,其特征在于,
向变更后的业务资源、网络资源、包括安全设备的安全资源发送更新指令。
9.一种安全业务控制装置,执行安全策略配置的编排方法,其特征在于,包括:
业务模块(11),用于响应用户对业务的变更操作;
核心模块(12),包括:
策略存储单元(121),用于存储针对每个用户的每个业务设置的安全策略表(3200),其中该安全策略表(3200)用于记录与用户的业务对应的针对目的地址(3202)应用由安全功能类别(3203)表示的安全功能的安全策略配置,构成为定义了一个以上的目的地址(3202)与一个以上的安全功能类别(3203)的对应关系;
策略分解单元(122),用于根据用户对业务的变更操作,对于针对变更的业务设置的安全策略表(3200),按照目的地址(3202)和安全功能类别(3203),分解成一个以上的最小化单位策略(7100),其中该最小化单位策略(7100)构成为定义了一个目的地址(3202)与一个安全功能类别(3203)的对应关系;和
策略更新单元(123、124),按照安全功能类别(3203),
对所述一个以上的最小化单位策略(7100)进行归类,生成与所述一个以上的安全功能类别的每一个(3203)分别对应的最小化单位策略组(7200),
针对所述一个以上的安全功能类别的每一个(3203),
确定与所述变更的业务对应且与该安全功能类别(3203)对应的一个以上的安全设备,
针对所述一个以上的安全设备的每一个,利用与该安全功能类别(3203)对应的最小化单位策略组(7200),
更新针对该安全设备设置的安全策略表(3700);以及
接口模块(13),包括:
设备策略存储单元(131),用于存储所述针对该安全设备设置的安全策略表(3700),其中,所述安全策略表(3700)用于记录由安全设备针对目的地址(3202)应用由安全功能类别(3203)表示的安全功能的安全策略配置,构成为针对每个安全设备而设置并且定义了一个以上的目的地址(3202)与一个以上的安全功能类别(3203)的对应关系;和
设备通信单元(133),用于与包括安全设备的资源进行通信。
10.根据权利要求9所述的安全业务控制装置,其特征在于,
所述用户对业务的变更操作是用户利用能够进行安全策略配置的安全服务(10)进行的针对业务的安全策略(3104)的变更操作,
在所述核心模块(12)中,响应于针对业务的安全策略(3104)的变更操作,对于在所述策略存储单元(121)中存储的针对所述变更的业务设置的安全策略表(3200)进行变更,
所述策略分解单元(122)按照目的地址(3202)和安全功能类别(3203),将针对所述变更的业务设置的变更后的所述安全策略表(3200)分解成一个以上的最小化单位策略(7100)。
11.根据权利要求9所述的安全业务控制装置,其特征在于,
所述策略更新单元(123、124)包括所述策略合成单元(123),
在所述核心模块(12)中,针对所述一个以上的安全功能类别的每一个(3203),
根据业务与资源的映射对应关系,确定与该变更的业务对应的资源中的安全设备(3402),
根据安全功能类别与资源的映射对应关系,确定与该安全功能类别(3203)对应的资源中的安全设备(3502),
确定与该变更的业务对应且与该安全功能类别(3203)对应的一个以上的安全设备,
所述策略合成单元(123)针对所述一个以上的安全设备的每一个,将与该安全功能类别(3203)对应的最小化单位策略组(7200)与在所述设备策略存储单元(131)中存储的针对该安全设备设置的安全策略表(3700)合并。
12.根据权利要求9所述的安全业务控制装置,其特征在于,
所述用户对业务的变更操作是用户利用能够进行安全策略配置的安全服务(10)对业务的业务属性的变更操作,
在所述核心模块(12)中,响应于针对业务的业务属性的变更操作,确定在业务变更前设置的变更前安全策略表(3200A)和在业务变更后设置的变更后安全策略表(3700A),
所述策略分解单元(122)按照目的地址(3202)和安全功能类别(3203),将所述变更前安全策略表(3200A)分解成一个以上的变更前最小化单位策略(7100A),将所述变更后安全策略表(3200B)分解成一个以上的变更后最小化单位策略(7100B),
策略更新单元(123、124)按照安全功能类别(3203),对所述一个以上的变更前最小化单位策略(7100A)进行归类,生成与所述安全功能类别的每一个(3203)分别对应的变更前最小化单位策略组(7200A),对所述一个以上的变更后最小化单位策略(7100B)进行归类,生成与所述安全功能类别的每一个(3203)分别对应的变更后最小化单位策略组(7200B)。
13.根据权利要求9所述的安全业务控制装置,其特征在于,
所述策略更新单元(123、124)包括策略合成单元(123)和策略删除单元(124),
在所述核心模块(12)中,针对所述安全功能类别的每一个(3203),
根据业务与资源的映射对应关系,确定与变更前的业务对应的资源中的安全设备(3402A),根据安全功能类别与资源的映射对应关系,确定与该安全功能类别(3203)对应的资源中的安全设备(3502A),确定与该变更前的业务对应且与该安全功能类别(3203)对应的一个以上的变更前安全设备,
所述策略删除单元(124)针对所述变更前安全设备的每一个,在所述设备策略存储单元(131)中存储的针对该安全设备设置的安全策略表(3700)中删除与该安全功能类别(3203)对应的变更前最小化单位策略组(7200A),
根据业务与资源的映射对应关系,确定与变更后的业务对应的资源中的安全设备(3402B),根据安全功能类别与资源的映射对应关系,确定与该安全功能类别(3203)对应的资源中的安全设备(3502B),确定与该变更后的业务对应且与该安全功能类别(3203)对应的一个以上的变更后安全设备,
所述策略合成单元(123)针对所述变更后安全设备的每一个,将与该安全功能类别(3203)对应的变更后最小化单位策略组(7200B)与在所述设备策略存储单元(131)中存储的针对该安全设备设置的安全策略表合并(3700)。
14.根据权利要求9所述的安全业务控制装置,其特征在于,
在所述核心模块(12)中,配置有第一映射表(3300)、第二映射表(3400)以及第三映射表(3500),
所述第一映射表(3300)定义了业务与服务链的映射对应关系,
所述第二映射表(3400)定义了服务链与资源的映射对应关系,
所述第三映射表(3500)定义了安全功能类别与资源的映射对应关系,
根据第一映射表、第二映射表以及第三映射表,确定与所述变更的业务对应且与所述安全功能类别(3203)对应的一个以上的安全设备。
15.根据权利要求14所述的安全业务控制装置,其特征在于,
在所述核心模块(12)中,
在所述第一映射表(3300)中,查找与所述变更的业务(3301)对应的服务链信息(3302、3401),
根据所述查找到的服务链信息(3302、3401),在所述第二映射表(3400)中变更资源信息(3402),资源包括业务资源、网络资源、以及包括安全设备的安全资源。
16.根据权利要求9所述的安全业务控制装置,其特征在于,
所述设备通信单元(133)向变更后的业务资源、网络资源、包括安全设备的安全资源发送更新指令。
17.一种安全业务控制系统,其特征在于,具备:
一个或多个处理器;以及
存储器,其上存储有计算机可执行指令,所述指令在由所述一个或多个处理器执行时,使得所述一个或多个处理器执行根据权利要求1~8中的任意一项所述的编排方法。
18.一种计算机可读存储介质,其特征在于,包括计算机可执行指令,所述指令在由一个或多个处理器执行时,使得所述处理器执行根据权利要求1~8中的任意一项所述的编排方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911048468.7A CN112751806B (zh) | 2019-10-31 | 2019-10-31 | 用于安全策略配置的编排方法、系统、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911048468.7A CN112751806B (zh) | 2019-10-31 | 2019-10-31 | 用于安全策略配置的编排方法、系统、装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112751806A true CN112751806A (zh) | 2021-05-04 |
| CN112751806B CN112751806B (zh) | 2022-09-06 |
Family
ID=75641908
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911048468.7A Active CN112751806B (zh) | 2019-10-31 | 2019-10-31 | 用于安全策略配置的编排方法、系统、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112751806B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114780168A (zh) * | 2022-03-30 | 2022-07-22 | 全球能源互联网研究院有限公司南京分公司 | 智能终端容器安全策略动态变更的方法、装置及电子设备 |
| CN115967519A (zh) * | 2022-08-25 | 2023-04-14 | 云南电网有限责任公司 | 一种新能源场站安全智能策略计算控制系统 |
| CN118400200A (zh) * | 2024-06-27 | 2024-07-26 | 杭州迪普科技股份有限公司 | 一种安全策略的编译、集中管控、转发并行方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103888928A (zh) * | 2014-03-04 | 2014-06-25 | 华为技术有限公司 | 一种业务策略控制方法及系统 |
| CN104717181A (zh) * | 2013-12-13 | 2015-06-17 | 中国电信股份有限公司 | 虚拟安全网关的安全策略配置系统与方法 |
| US20160191466A1 (en) * | 2014-12-30 | 2016-06-30 | Fortinet, Inc. | Dynamically optimized security policy management |
| CN106411932A (zh) * | 2016-11-11 | 2017-02-15 | 中国南方电网有限责任公司 | 一种服务链策略实现方法及服务链策略实现系统 |
-
2019
- 2019-10-31 CN CN201911048468.7A patent/CN112751806B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104717181A (zh) * | 2013-12-13 | 2015-06-17 | 中国电信股份有限公司 | 虚拟安全网关的安全策略配置系统与方法 |
| CN103888928A (zh) * | 2014-03-04 | 2014-06-25 | 华为技术有限公司 | 一种业务策略控制方法及系统 |
| US20160191466A1 (en) * | 2014-12-30 | 2016-06-30 | Fortinet, Inc. | Dynamically optimized security policy management |
| CN106411932A (zh) * | 2016-11-11 | 2017-02-15 | 中国南方电网有限责任公司 | 一种服务链策略实现方法及服务链策略实现系统 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114780168A (zh) * | 2022-03-30 | 2022-07-22 | 全球能源互联网研究院有限公司南京分公司 | 智能终端容器安全策略动态变更的方法、装置及电子设备 |
| CN114780168B (zh) * | 2022-03-30 | 2023-04-28 | 全球能源互联网研究院有限公司南京分公司 | 智能终端容器安全策略动态变更的方法、装置及电子设备 |
| CN115967519A (zh) * | 2022-08-25 | 2023-04-14 | 云南电网有限责任公司 | 一种新能源场站安全智能策略计算控制系统 |
| CN115967519B (zh) * | 2022-08-25 | 2024-04-09 | 云南电网有限责任公司 | 一种新能源场站安全智能策略计算控制系统 |
| CN118400200A (zh) * | 2024-06-27 | 2024-07-26 | 杭州迪普科技股份有限公司 | 一种安全策略的编译、集中管控、转发并行方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112751806B (zh) | 2022-09-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10742529B2 (en) | Hierarchichal sharding of flows from sensors to collectors | |
| US11397609B2 (en) | Application/context-based management of virtual networks using customizable workflows | |
| US10541836B2 (en) | Virtual gateways and implicit routing in distributed overlay virtual environments | |
| CN107733670B (zh) | 一种转发策略配置方法和装置 | |
| US9288162B2 (en) | Adaptive infrastructure for distributed virtual switch | |
| CN112751806B (zh) | 用于安全策略配置的编排方法、系统、装置及存储介质 | |
| CN107113240B (zh) | 可扩展虚拟局域网报文发送方法、计算机设备和可读介质 | |
| US9710762B2 (en) | Dynamic logging | |
| US8954992B2 (en) | Distributed and scaled-out network switch and packet processing | |
| AU2012340387B2 (en) | Network control system for configuring middleboxes | |
| CN105379218A (zh) | 业务流的处理方法、装置及设备 | |
| CN106031100B (zh) | 业务链的部署方法和装置 | |
| WO2017113300A1 (zh) | 路由确定方法、网络配置方法以及相关装置 | |
| US9590855B2 (en) | Configuration of transparent interconnection of lots of links (TRILL) protocol enabled device ports in edge virtual bridging (EVB) networks | |
| CN115150114B (zh) | 使用网段前缀的动态获知的基于意图的企业安全 | |
| US20130124721A1 (en) | Detected IP Link and Connectivity Inference | |
| CN106254154B (zh) | 一种资源共享方法和装置 | |
| WO2014064976A1 (ja) | ネットワーク機器、制御方法、及びプログラム | |
| KR101934908B1 (ko) | Sdn 기반의 통합 라우팅에 의한 피씨 전원 제어 방법 | |
| EP3503484A1 (en) | Message transmission method, device and network system | |
| CN111771190A (zh) | 探测虚拟机状态的方法和设备 | |
| US20180329730A1 (en) | Tag based firewall implementation in software defined networks | |
| KR102385707B1 (ko) | 호스트 추상화를 이용한 sdn 네트워크 시스템 및 그 구현방법 | |
| KR102409460B1 (ko) | 네트워크 슬라이스를 자동으로 생성하기 위한 장치 및 방법 | |
| CN111726236A (zh) | 一种状态识别信息生成方法、系统、装置及其存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |