CN114021155A - 一种企业网络安全域可视化管理与策略审计系统及方法 - Google Patents
一种企业网络安全域可视化管理与策略审计系统及方法 Download PDFInfo
- Publication number
- CN114021155A CN114021155A CN202111425680.8A CN202111425680A CN114021155A CN 114021155 A CN114021155 A CN 114021155A CN 202111425680 A CN202111425680 A CN 202111425680A CN 114021155 A CN114021155 A CN 114021155A
- Authority
- CN
- China
- Prior art keywords
- module
- policy
- address
- security domain
- maintenance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/451—Execution arrangements for user interfaces
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
- G06Q10/103—Workflow collaboration or project management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本发明涉及企业网络安全技术领域,公开了一种企业网络安全域可视化管理与策略审计系统,包括网络安全域可视化管理模块与策略审计模块,其中:所述网络安全域可视化管理模块用于绘制源IP地址至目标IP地址的访问路径图并将所述访问路径图进行展示;所述策略审计模块用于定制通过防火墙的策略的白名单规则,以确保每一条策略的合规性,本发明还公开了一种企业网络安全域可视化管理与策略审计的方法。本发明基于源IP、目的IP的访问路径展示,辅助防火墙运维人员策略配置、网络连通性排查、监测人员溯源分析工作,提升防火墙运维、监测溯源分析的直观性与便捷性。
Description
技术领域
本发明涉及企业网络安全技术领域,具体涉及一种企业网络安全域可视化管理与策略审计系统及方法。
背景技术
随着电力信息化业务的不断发展,电力公司新建了多个数据中心机房,信息内外网不断地发展扩大,华为云、容器云等云平台建设等引入了更多的防火墙与安全域,面对公司内部数量不断增加的防火墙及安全域,以及复杂的网络链路情况,网络安全运维,尤其是防火墙运维工作难度逐渐加大。具体存在如下问题:
(1)防火墙策略配置的错误率持续增加
由于公司网络防火墙及安全域不断增加,运维人员需要人工查找需求策略的源地址、目的地址所属安全域,判断需求策略所经过的多个防火墙,再到相应的防火墙开通策略,人工防火墙策略运维工作复杂度增加,导致策略配置错误率增加;
(2)网络连通性排查难度逐渐增大
由于公司网络防火墙及安全域不断增加,当公司信息系统网络连通性出现问题,网络安全问题排查对象(如防火墙)数量多,问题定位难度增加,排查工作效率降低,影响公司业务系统稳定运行指标;
(3)防火墙策略合规性难以审计
由于公司网络防火墙及安全域不断增加,防火墙策略成指数增长,不仅防火墙策略运维配置难度增加,防火墙策略合规性审计工作也难以人工实现,两个安全域之间的交互访问是否合规无法直观地判断。
发明内容
本发明提供一种企业网络安全域可视化管理与策略审计系统及方法,绘制安全域分布图,详细展示基于安全域划分的网络安全拓扑图;绘制访问路径图,可视化展示在安全域分布图中,辅助防火墙运维人员策略配置、网络连通性排查、监测人员溯源分析工作;开发防火墙策略白名单审计功能,根据三大分类策略,定制防火墙策略白名单规则,确保每一条策略的合规性。
本发明通过下述技术方案实现:
一种企业网络安全域可视化管理与策略审计系统,包括网络安全域可视化管理模块与策略审计模块,其中:
所述网络安全域可视化管理模块用于绘制源IP地址至目标IP地址的访问路径图并将所述访问路径图进行展示;
所述策略审计模块用于定制通过防火墙的策略的白名单规则,以确保每一条策略的合规性。
作为优化,所述网络安全域可视化管理模块包括安全域绘制模块以及访问路径绘制模块,其中:
所述安全域绘制模块用于绘制安全域分布图,以详细展示基于安全域划分的网络安全拓扑结构;
所述访问路径绘制模块用于在所述安全分布图中绘制源IP至目标IP的访问路径图,将源IP至目标IP的访问路径可视化展示在所述安全域分布图中。
作为优化,所述策略审计模块包括业务策略模块、运维策略模块和数据传输策略模块,其中:
所述业务策略模块为业务系统向公司内部、外部用户提供服务所制定的策略;
所述运维策略模块为公司内部运维人员远程运维管理数据中心服务器、数据口和中间件所制定的策略;
所述数据传输策略模块为对同一个业务系统、不同业务系统之间的数据接口交互所制定的策略。
作为优化,所述业务策略模块的源IP地址包括公司内部服务器的IP地址和外部用户端口的IP地址;所述业务策略模块的目标IP地址为业务系统服务器的IP地址,所述业务策略模块的目的端口包括但不限于80/443业务端口。
作为优化,所述运维策略模块的源IP地址为公司内部的运维终端的IP地址;所述运维策略模块的目标IP地址为公司内部的服务器的IP地址,所述运维策略模块的目的端口包括但不限于22/3306运维端口。
作为优化,所述数据传输策略模块的源IP地址和目标IP地址均为公司内部的服务器的IP地址,所述数据传输策略模块的目的端口为规定的数据交互端口组。
作为优化,所述业务策略模块包括内部业务策略子模块、公众开放业务策略子模块、API业务策略子模块。
作为优化,所述运维策略模块包括主机运维策略子模块、数据库运维策略子模块、中间件/组件运维策略子模块。
作为优化,所述数据传输策略子模块包括业务转发类策略子模块、数据操作类策略子模块、业务系统之间交互策略子模块。
本发明还公开了一种企业网络安全域可视化管理与策略审计的方法,包括如下步骤:
步骤1、获取交换机和路由器的配置信息,通过所述配置信息给防火墙配置安全域信息以绘制安全域分布图;
步骤2、在所述安全域分布图上配置源IP地址至目标IP地址的访问路径图;
步骤3、制定通过所述防火墙的策略的白名单规则,所述白名单规则包括源IP地址、目标IP地址、目的端口以及端口协议。
本发明与现有技术相比,具有如下的优点和有益效果:
本发明基于源IP、目的IP的访问路径展示,辅助防火墙运维人员策略配置、网络连通性排查、监测人员溯源分析工作,提升防火墙运维、监测溯源分析的直观性与便捷性。
附图说明
为了更清楚地说明本发明示例性实施方式的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。在附图中:
图1为本发明所述的一种企业网络安全域可视化管理与策略审计系统的系统结构图;
图2为本发明所述的一种企业网络安全域可视化管理与策略审计系统中安全域可视化效果图;
图3为策略审计模块中的具体分类图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明作进一步的详细说明,本发明的示意性实施方式及其说明仅用于解释本发明,并不作为对本发明的限定。
实施例1
一种企业网络安全域可视化管理与策略审计系统,包括网络安全域可视化管理模块与策略审计模块,所述网络安全域可视化管理模块用于绘制源IP地址至目标IP地址的访问路径图并将所述访问路径图进行展示。
本实施例中,所述网络安全域可视化管理模块包括安全域绘制模块以及访问路径绘制模块,所述安全域绘制模块用于绘制安全域分布图,以详细展示基于安全域划分的网络安全拓扑结构;所述访问路径绘制模块用于在所述安全分布图中绘制源IP至目标IP的访问路径图,将源IP至目标IP的访问路径可视化展示在所述安全域分布图中。
以国网四川省电力公司为例,如图1所示,安全域绘制模块绘制安全域分布图,以详细展示基于安全域划分的网络安全拓扑结构。具体的,安全域绘制模块通过SSH、REST接口与防火墙、交换机和路由器连接,获取交换机和路由器的配置信息,根据所述配置信息给防火墙配置安全域信息以绘制安全域分布图,具体获取的信息包括交换机的虚拟局域网(VLAN)、桥接域(BD)、VPN实例等信息。在所述安全域分布图上配置源IP地址至目标IP地址的访问路径图。
安全域的划分一般采用VPN实例、VLAN组、BD域组等方式,不同的企业的网络架构的安全域拓扑结构及所属IP地址获取方式不同。二层网络防火墙(图2中的数据中心防火墙)隔离的安全域,所属的IP地址段信息在网关交换机,三层网络防火墙(图2中的边界防火墙)隔离的安全域,所属的IP地址段信息在防火墙或路由器接口。
以VPN实例为例:
公司信息内网采用VPN实例划分的安全域,且防火墙均为二层防火墙,安全域可视化管理模块采用SSH接口读取数据中心交换机、边界路由器的配置信息,通过人工配置方式确定防火墙所属安全域信息,将安全域与IP地址对应,访问路径绘制模块自动绘制出安全域拓扑结构及安全域所属IP地址段,如下图2所示。
在安全域信息的可视化的基础数据中,任意源IP、目的IP必定属于某个安全域,因此每个防火墙策略、业务交互数据、安全监测攻击日志等包含源IP、目的IP的访问路径均可在安全域拓扑上展示,如下图2所示。访问路径绘制模块创新地将访问路径直观展示给运维人员,辅助防火墙运维人员策略配置、网络连通性排查、监测人员溯源分析工作。
所述策略审计模块用于定制通过防火墙的策略的白名单规则,以确保每一条策略的合规性。
如图3所示,本实施例中,通过策略审计模块制定通过防火墙的策略的白名单规则,所述策略审计模块包括业务策略模块、运维策略模块和数据传输策略模块,其中:
所述业务策略模块为业务系统向公司内部、外部用户提供服务所制定的策略;所述业务策略模块包括内部业务策略子模块、公众开放业务策略子模块、API业务策略子模块,业务策略模块的源IP地址包括公司内部服务器的IP地址和外部用户端口的IP地址;所述业务策略模块的目标IP地址为业务系统服务器的IP地址,所述业务策略模块的目的端口包括但不限于80/443业务端口。
所述运维策略模块为公司内部运维人员远程运维管理数据中心服务器、数据口和中间件所制定的策略;运维策略模块包括主机运维策略子模块、数据库运维策略子模块、中间件/组件运维策略子模块,运维策略模块的源IP地址为公司内部的运维终端的IP地址;所述运维策略模块的目标IP地址为公司内部的服务器的IP地址,所述运维策略模块的目的端口包括但不限于22/3306运维端口。
所述数据传输策略模块为对同一个业务系统、不同业务系统之间的数据接口交互所制定的策略,数据传输策略子模块包括业务转发类策略子模块、数据操作类策略子模块、业务系统之间交互策略子模块,数据传输策略模块的源IP地址和目标IP地址均为公司内部的服务器的IP地址,所述数据传输策略模块的目的端口为规定的数据交互端口组。
制定通过防火墙的策略的白名单规则,所述白名单规则包括源IP地址、目标IP地址、目的端口以及端口协议。
将策略审计模块分成三大类以及将三大类分成多个细分小类策略分类方法,设计公司信息内外网合规的白名单规则,定制开发审计工具嵌入设计的白名单特征模型,自动审计策略的合规性,将不属于白名单合规特征模型的策略进行标记和告警,交给人工判断,迭代优化直到所有防火墙的策略都符合白名单规则,极大地提升公司访问控制策略的安全性。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种企业网络安全域可视化管理与策略审计系统,其特征在于,包括网络安全域可视化管理模块与策略审计模块,其中:
所述网络安全域可视化管理模块用于绘制源IP地址至目标IP地址的访问路径图并将所述访问路径图进行展示;
所述策略审计模块用于定制通过防火墙的策略的白名单规则,以确保每一条策略的合规性。
2.根据权利要求1所述的一种企业网络安全域可视化管理与策略审计系统,其特征在于,所述网络安全域可视化管理模块包括安全域绘制模块以及访问路径绘制模块,其中:
所述安全域绘制模块用于绘制安全域分布图,以详细展示基于安全域划分的网络安全拓扑结构;
所述访问路径绘制模块用于在所述安全分布图中绘制源IP至目标IP的访问路径图,将源IP至目标IP的访问路径可视化展示在所述安全域分布图中。
3.根据权利要求1所述的一种企业网络安全域可视化管理与策略审计系统,其特征在于,所述策略审计模块包括业务策略模块、运维策略模块和数据传输策略模块,其中:
所述业务策略模块为业务系统向公司内部、外部用户提供服务所制定的策略;
所述运维策略模块为公司内部运维人员远程运维管理数据中心服务器、数据口和中间件所制定的策略;
所述数据传输策略模块为对同一个业务系统、不同业务系统之间的数据接口交互所制定的策略。
4.根据权利要求3所述的一种企业网络安全域可视化管理与策略审计系统,其特征在于,所述业务策略模块的源IP地址包括公司内部服务器的IP地址和外部用户端口的IP地址;所述业务策略模块的目标IP地址为业务系统服务器的IP地址,所述业务策略模块的目的端口包括但不限于80/443业务端口。
5.根据权利要求3所述的一种企业网络安全域可视化管理与策略审计系统,其特征在于,所述运维策略模块的源IP地址为公司内部的运维终端的IP地址;所述运维策略模块的目标IP地址为公司内部的服务器的IP地址,所述运维策略模块的目的端口包括但不限于22/3306运维端口。
6.根据权利要求3所述的一种企业网络安全域可视化管理与策略审计系统,其特征在于,所述数据传输策略模块的源IP地址和目标IP地址均为公司内部的服务器的IP地址,所述数据传输策略模块的目的端口为规定的数据交互端口组。
7.根据权利要求3所述的一种企业网络安全域可视化管理与策略审计系统,其特征在于,所述业务策略模块包括内部业务策略子模块、公众开放业务策略子模块、API业务策略子模块。
8.根据权利要求3所述的一种企业网络安全域可视化管理与策略审计系统,其特征在于,所述运维策略模块包括主机运维策略子模块、数据库运维策略子模块、中间件/组件运维策略子模块。
9.根据权利要求3所述的一种企业网络安全域可视化管理与策略审计系统,其特征在于,所述数据传输策略子模块包括业务转发类策略子模块、数据操作类策略子模块、业务系统之间交互策略子模块。
10.一种基于权利要求1-9任一所述的一种企业网络安全域可视化管理与策略审计系统的可视化管理与策略审计方法,其特征在于,包括如下步骤:
步骤1、获取交换机和路由器的配置信息,通过所述配置信息给防火墙配置安全域信息以绘制安全域分布图;
步骤2、在所述安全域分布图上配置源IP地址至目标IP地址的访问路径图;
步骤3、制定通过所述防火墙的策略的白名单规则,所述白名单规则包括源IP地址、目标IP地址、目的端口以及端口协议。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111425680.8A CN114021155A (zh) | 2021-11-26 | 2021-11-26 | 一种企业网络安全域可视化管理与策略审计系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111425680.8A CN114021155A (zh) | 2021-11-26 | 2021-11-26 | 一种企业网络安全域可视化管理与策略审计系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114021155A true CN114021155A (zh) | 2022-02-08 |
Family
ID=80066693
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111425680.8A Pending CN114021155A (zh) | 2021-11-26 | 2021-11-26 | 一种企业网络安全域可视化管理与策略审计系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114021155A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115001964A (zh) * | 2022-05-19 | 2022-09-02 | 中国人民银行数字货币研究所 | 一种管理防火墙的方法和装置 |
| CN117097565A (zh) * | 2023-10-18 | 2023-11-21 | 山东源鲁信息科技有限公司 | 一种基于业务系统构造策略模型的方法 |
-
2021
- 2021-11-26 CN CN202111425680.8A patent/CN114021155A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115001964A (zh) * | 2022-05-19 | 2022-09-02 | 中国人民银行数字货币研究所 | 一种管理防火墙的方法和装置 |
| CN115001964B (zh) * | 2022-05-19 | 2023-08-22 | 中国人民银行数字货币研究所 | 一种管理防火墙的方法和装置 |
| CN117097565A (zh) * | 2023-10-18 | 2023-11-21 | 山东源鲁信息科技有限公司 | 一种基于业务系统构造策略模型的方法 |
| CN117097565B (zh) * | 2023-10-18 | 2023-12-29 | 山东源鲁信息科技有限公司 | 一种基于业务系统构造策略模型的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11070520B2 (en) | Hierarchical network managers | |
| JP4008432B2 (ja) | ネットワーク機器のトポロジを探索する装置および方法 | |
| US9787546B2 (en) | Network management system generating virtual network map and related methods | |
| AU720871B2 (en) | Apparatus and method for network capacity evaluation and planning | |
| CN114021155A (zh) | 一种企业网络安全域可视化管理与策略审计系统及方法 | |
| US20140289404A1 (en) | Configuration management method of logical topology in virtual network and management server | |
| CN109714206A (zh) | 电力监控系统网络拓扑图生成方法、总线式网络拓扑图 | |
| US20100110932A1 (en) | Network optimisation systems | |
| CN102143007A (zh) | 基于分布式的多级网络拓扑发现方法 | |
| CN102546251B (zh) | 基于混合探测技术的网络拓扑发现和自动布局方法及系统 | |
| CN104243193A (zh) | 一种网络拓扑的动态配置及展示的方法和装置 | |
| US20150370848A1 (en) | System and method for managing data integrity in electronic data storage | |
| US9537749B2 (en) | Method of network connectivity analyses and system thereof | |
| CN105991441B (zh) | 对bgp路由选择性下发路由转发表的方法和装置 | |
| CN105847023A (zh) | 业务系统网络拓扑关系获取方法及装置 | |
| CN108462587A (zh) | 一种网络拓扑处理方法和装置 | |
| CN103490926A (zh) | 一种网络拓扑自动获取的方法 | |
| WO2014135548A2 (en) | Security zones in industrial control systems | |
| CN102427445A (zh) | It仿真基础架构离线合规性安全审计方法 | |
| CN112956158A (zh) | 结构数据平面监视 | |
| CN111711677A (zh) | 智能变电站过程层交换机虚实回路可视化方法、系统及介质 | |
| CN103944763A (zh) | 一种电力系统网络辅助管理系统及管理方法 | |
| JP2004040374A (ja) | 仮想ネットワーク設計装置及びサブネットワーク設計装置及び仮想ネットワーク設計方法 | |
| CN113542074B (zh) | 一种可视化管理kubernetes集群的东西向网络流量的方法及系统 | |
| CN103117880A (zh) | 一种基于Web技术的网络拓扑图生成方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |