CN114024759B - 安全策略管控方法、装置、计算机设备和介质 - Google Patents
安全策略管控方法、装置、计算机设备和介质 Download PDFInfo
- Publication number
- CN114024759B CN114024759B CN202111322292.7A CN202111322292A CN114024759B CN 114024759 B CN114024759 B CN 114024759B CN 202111322292 A CN202111322292 A CN 202111322292A CN 114024759 B CN114024759 B CN 114024759B
- Authority
- CN
- China
- Prior art keywords
- security
- strategy
- policy
- security policy
- management system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 238000012795 verification Methods 0.000 claims abstract description 63
- 238000007726 management method Methods 0.000 claims description 142
- 230000002159 abnormal effect Effects 0.000 claims description 30
- 238000004458 analytical method Methods 0.000 claims description 18
- 230000004044 response Effects 0.000 claims description 15
- 238000012545 processing Methods 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 2
- 238000011161 development Methods 0.000 abstract description 4
- 230000009286 beneficial effect Effects 0.000 abstract description 3
- 238000012423 maintenance Methods 0.000 abstract description 3
- 230000010354 integration Effects 0.000 abstract description 2
- 230000006870 function Effects 0.000 description 43
- 238000010586 diagram Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 6
- 230000009471 action Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 230000033001 locomotion Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 239000002023 wood Substances 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006698 induction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000007493 shaping process Methods 0.000 description 1
- 239000000725 suspension Substances 0.000 description 1
- 238000010408 sweeping Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开涉及一种题目安全策略管控方法、装置、计算机设备和介质;其中,该方法包括:接收安全管理系统通过目标接口管控方式发送的安全策略,并对安全策略中包含的策略内容进行完整性校验;在完整性校验通过时,根据预设校验规则对各策略内容分别对应的参数进行校验;在所有参数校验通过后,将安全策略下发至与安全管理系统对应的安全防护设备。本公开实施例能够实现对各种安全防护设备的安全策略管控,便于安全管理系统的调用与集成,以及有利于节约开发和运维的成本。
Description
技术领域
本公开涉及网络安全技术领域,尤其涉及一种安全策略管控方法、装置、计算机设备和介质。
背景技术
随着计算机技术的不断发展,网络面临的安全问题也越来越多,为了能够及时发现网络安全问题,出现了大量的安全防护设备。面对各种型号的设备,都有各自对应的管理系统完成一系列的策略配置、系统配置或漏洞扫描等操作,以保证网络的安全。
现有技术中,管理系统通过对部署在网络中的各种安全防护设备进行策略管控,来实现对安全事件的监测、告警及处置等,及时下发策略保障网络的安全。基于网络安全的需要,各厂家的设备不断增多,功能需求不断累积,接口管控方式也有多种,无法根据统一形式对各安全防护设备进行策略管控。因此,使用人员需要积累大量的安全防护设备使用方法,掌握多种接口管控方式,以及确定各安全防护设备之间的差异,对使用人员的知识储备要求较高,且增加了使用人员的工作量。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种安全策略管控方法、装置、计算机设备和介质。
第一方面,本公开提供了一种安全策略管控方法,包括:
接收安全管理系统通过目标接口管控方式发送的安全策略,并对所述安全策略中包含的策略内容进行完整性校验;
在所述完整性校验通过时,根据预设校验规则对各策略内容分别对应的参数进行校验;
在所有参数校验通过后,将所述安全策略下发至与所述安全管理系统对应的安全防护设备。
可选的,所述对所述安全策略中包含的策略内容进行完整性校验,包括:
获取所述安全策略中包含的策略内容;
根据所述策略内容中是否包含预设信息对所述策略内容进行完整性校验,其中,所述预设信息包括登录信息、待访问安全防护设备的信息、策略操作码以及所述策略操作码对应的参数信息。
可选的,所述在所述完整性校验通过时,根据预设校验规则对各策略内容分别对应的参数进行校验,包括:
在所述完整性校验通过时,获取所述各策略内容分别对应的目标参数;
根据各目标参数分别对应的参数类型,采取与所述参数类型对应的校验规则对相应的目标参数进行校验,得到所述目标参数的校验结果。
可选的,所述方法还包括:
根据所述校验结果确定所述目标参数的校验是否通过;
若不通过,则确定所述目标参数的校验不通过的原因,并将所述目标参数的校验不通过以及所述原因发送至所述安全管理系统,以供所述安全管理系统根据所述原因调整所述安全策略,以及发送调整后的安全策略。
可选的,所述方法还包括:
对所述策略操作码进行解析,得到解析结果;
根据所述解析结果和预设策略操作码表,确定所述策略操作码是否异常;
若异常,则向所述安全管理系统发送所述策略操作码异常的消息,以供所述安全管理系统根据所述消息调整所述安全策略,以及发送调整后的安全策略。
可选的,所述策略操作码包括:所述安全策略对应的功能类别的编码、所述安全策略对应的功能的编码、所述安全策略对应的操作的编码以及安全策略中对应的待访问安全防护设备的编码。
可选的,所述方法还包括:
接收所述安全防护设备返回的针对所述安全策略的响应数据;
对所述响应数据进行处理,并将处理后得到的数据发送至所述安全管理系统。
第二方面,本公开提供了一种安全策略管控装置,包括:
第一校验模块,用于接收安全管理系统通过目标接口管控方式发送的安全策略,并对所述安全策略中包含的策略内容进行完整性校验;
第二校验模块,用于在所述完整性校验通过时,根据预设校验规则对各策略内容分别对应的参数进行校验;
策略下发模块,用于在所有参数校验通过后,将所述安全策略下发至与所述安全管理系统对应的安全防护设备。
可选的,第一校验模块,具体用于:
接收安全管理系统通过目标接口管控方式发送的安全策略,获取所述安全策略中包含的策略内容;
根据所述策略内容中是否包含预设信息对所述策略内容进行完整性校验,其中,所述预设信息包括登录信息、待访问安全防护设备的信息、策略操作码以及所述策略操作码对应的参数信息。
可选的,第二校验模块,具体用于:
在所述完整性校验通过时,获取所述各策略内容分别对应的目标参数;
根据各目标参数分别对应的参数类型,采取与所述参数类型对应的校验规则对相应的目标参数进行校验,得到所述目标参数的校验结果。
可选的,上述装置还包括:
第一确定模块,用于根据所述校验结果确定所述目标参数的校验是否通过;
第一调整模块,用于若不通过,则确定所述目标参数的校验不通过的原因,并将所述目标参数的校验不通过以及所述原因发送至所述安全管理系统,以供所述安全管理系统根据所述原因调整所述安全策略,以及发送调整后的安全策略。
可选的,上述装置还包括:
解析模块,用于对所述策略操作码进行解析,得到解析结果;
第二确定模块,用于根据所述解析结果和预设策略操作码表,确定所述策略操作码是否异常;
第二调整模块,用于若异常,则向所述安全管理系统发送所述策略操作码异常的消息,以供所述安全管理系统根据所述消息调整所述安全策略,以及发送调整后的安全策略。
可选的,所述策略操作码包括:所述安全策略对应的功能类别的编码、所述安全策略对应的功能的编码、所述安全策略对应的操作的编码以及安全策略中对应的待访问安全防护设备的编码。
可选的,上述装置还包括:
接收模块,用于接收所述安全防护设备返回的针对所述安全策略的响应数据;
发送模块,用于对所述响应数据进行处理,并将处理后得到的数据发送至所述安全管理系统。
第三方面,本公开还提供了一种计算机设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本公开实施例中的任一种所述的安全策略管控方法。
第四方面,本公开还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本公开实施例中的任一种所述的安全策略管控方法。
本公开实施例提供的技术方案与现有技术相比具有如下优点:首先接收安全管理系统通过目标接口管控方式发送的安全策略,并对安全策略中包含的策略内容进行完整性校验,然后在完整性校验通过时,根据预设校验规则对各策略内容分别对应的参数进行校验,最后在所有参数校验通过后,将安全策略下发至与安全管理系统对应的安全防护设备,通过上述方法能够实现对各种安全防护设备的安全策略管控,便于安全管理系统的调用与集成,以及有利于节约开发和运维的成本。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1A是本公开实施例提供的一种安全策略管控方法的流程示意图;
图1B是本公开实施例中网络访问控制包含的功能及操作的示意图;
图1C是本公开实施例中资源对象包含的功能及操作的示意图;
图1D是本公开实施例中网络扫描包含的功能及操作的示意图;
图2是本公开实施例提供的另一种安全策略管控方法的流程示意图;
图3是本公开实施例提供的一种安全策略管控装置的结构示意图;
图4是本公开实施例提供的一种计算机设备的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
图1A是本公开实施例提供的一种安全策略管控方法的流程示意图。本实施例可适用于对各种安全防护设备进行安全策略管控的情况。本实施例方法可由安全策略管控装置来执行,该装置可采用硬件/或软件的方式来实现,并可配置于计算机设备中。如图1A所示,该方法具体包括如下:
S110,接收安全管理系统通过目标接口管控方式发送的安全策略,并对安全策略中包含的策略内容进行完整性校验。
其中,安全管理系统可以理解为用户所使用的能够对安全防护设备进行管理和控制的系统。安全防护设备可以理解为能够及时发现网络中的安全问题的设备,例如,防火墙、入侵检测、入侵防御、僵木蠕、终端检测与响应(Endpoint Detection and Response,简称EDR)以及漏扫设备等。目标接口管控方式可以理解为本实施例中的策略管控服务系统为各种安全管理系统提供的统一的接口管控方式,该接口管控方式可以为安全协议(SecureShell,简称SSH)命令行方式,也可以为表现层状态转移应用程序接口(RepresentationalState TransferApplication Programming Interface,简称RESTAPI)方式,还可以为套接字(Socket)方式,以及其他方式等,本实施例不做具体限制。安全策略可以理解为与设备安全防护有关的策略,例如,黑名单策略、扫描任务策略以及其他策略等。
现有技术的实际生产作业环境中,基于网络安全的需要,各厂家的安全防护设备不断增多,功能需求不断累积,对应的接口管控方式一般也不相同,无法根据统一形式对各安全防护设备进行安全策略管控,例如,操作人员通过登录安全防护设备的全球广域网(World Wide Web,简称WEB)页面,进行安全策略管控,但是不同型号的安全防护设备设备对应的WEB页面功能分类不统一,需要操作人员整体管控,不方便且工作量较大。
本实施例中通过策略管控服务系统为各种安全管理系统提供了统一的接口管控方式,即:目标接口管控方式,用来解决现有技术中安全管理系统对不同厂家不同型号的安全防护设备在接口集成时接口开发繁琐、不易复用以及难于维护的问题。因此,安全管理系统通过调用策略管控服务系统中的目标接口管控方式能够向对应的安全防护设备发送安全策略,此时,策略管控服务系统会接收到安全管理系统通过目标接口管控方式发送的安全策略,并且要对该安全策略中包含的策略内容进行完整性校验,具体是对该安全策略中包含的策略内容是否完整进行校验,例如,该安全策略中包含的策略内容中是否含有登录信息。
优选的,本实施例中的方法可以由策略管控服务系统实现。
S120,在完整性校验通过时,根据预设校验规则对各策略内容分别对应的参数进行校验。
其中,预设校验规则可以为预先设定的校验规则,也可以视具体情况而定,本实施例不做具体限制。
在安全策略中包含的策略内容完整性校验通过时,还需要对各策略内容分别对应的参数进行校验,确定参数内容和格式是否正确,具体可以是根据预先设定的校验规则对各策略内容分别对应的参数所属的参数类型、必填参数是否缺少、参数是否为空进行校验。
S130,在所有参数校验通过后,将安全策略下发至与安全管理系统对应的安全防护设备。
在所有参数校验通过后,说明该安全策略是符合预设规定的,此时将安全策略下发至与安全管理系统对应的安全防护设备,便于后续该安全防护设备根据该安全策略执行相应的操作。其中,预设规定可以是预先设定好的针对各种安全策略的规范,还可以是其他的规定,本实施例不做具体限制。
在本实施例中,首先接收安全管理系统通过目标接口管控方式发送的安全策略,并对安全策略中包含的策略内容进行完整性校验,然后在完整性校验通过时,根据预设校验规则对各策略内容分别对应的参数进行校验,最后在所有参数校验通过后,将安全策略下发至与安全管理系统对应的安全防护设备,通过上述方法能够实现对各种安全防护设备的安全策略管控,便于安全管理系统的调用与集成,以及有利于节约开发和运维的成本。
在本实施例中,可选的,所述对所述安全策略中包含的策略内容进行完整性校验,包括:
获取所述安全策略中包含的策略内容;
根据所述策略内容中是否包含预设信息对所述策略内容进行完整性校验,其中,所述预设信息包括登录信息、待访问安全防护设备的信息、策略操作码以及所述策略操作码对应的参数信息。
其中,登录(Login)信息可以通过策略管控服务系统自身的接口获取令牌(Token)得到,可以包括账号名或者验证码等。待访问安全防护设备的信息可以包括待访问安全防护设备的互联网协议(Internet Protocol,简称IP)地址或者端口等。策略操作码可以理解为安全管理系统根据策略管控服务系统提供的策略规范所确定的与发送的安全策略具体要执行的操作所对应的编码。因此,根据该策略操作码能够确定安全管理系统需要对应的安全防护设备执行何种操作。预设信息还可以包括其他信息,例如:策略名称、源地址对象、目的地址对象以及策略的状态等。
具体的,获取当前的安全策略中所包含的策略内容,根据获取到的策略内容能够确定该策略内容中是否包含登录信息、是否包含待访问安全防护设备的信息、是否包含策略操作码,以及是否包含策略操作码对应的参数信息等,如果策略内容中包含上述信息,则说明安全策略中包含的策略内容的完整性校验通过。如果策略内容中不包含上述信息,或者包含上述信息中的部分信息,则说明安全策略中包含的策略内容的完整性校验不通过,此时需要向安全管理系统发送安全策略中包含的策略内容完整性校验不通过的消息,以使安全管理系统根据该消息调整安全策略中包含的策略内容,以及发送调整后的安全策略。
本实施例中,通过上述方法对安全策略中包含的策略内容进行完整性校验,能够确定策略内容是否完整,便于后续在完整性校验通过时,根据预设校验规则对各策略内容分别对应的参数进行校验以及完整性校验不通过时,及时调整安全策略中包含的策略内容。
在本实施例中,可选的,所述方法还包括:
对所述策略操作码进行解析,得到解析结果;
根据所述解析结果和预设策略操作码表,确定所述策略操作码是否异常;
若异常,则向所述安全管理系统发送所述策略操作码异常的消息,以供所述安全管理系统根据所述消息调整所述安全策略,以及发送调整后的安全策略。
其中,预设策略操作码表可以理解为预先编写好的针对各种待访问的安全防护设备的策略操作码的表格。
具体的,策略操作码通常是数字编码,对策略操作码进行解析,能够得到该数字编码分别对应的内容,例如,待访问的安全防护设备、安全策略对应的功能类别、安全策略对应的功能以及具体要执行的操作等,即:解析结果。通过查询预设策略操作码表,能够确定预设策略操作码表中是否包含有与解析结果一致的策略操作码,从而确定策略操作码是否异常。若预设策略操作码表中查询不到与解析结果一致的策略操作码,例如,未找到策略操作码为xxxx(可以为具体的数字)的编码,则说明策略操作码异常,此时要向安全管理系统发送策略操作码异常的消息,以供安全管理系统根据该消息调整安全策略,以及发送调整后的安全策略。
本实施例中,在策略操作码异常时及时向安全管理系统发送策略操作码异常的消息,便于安全管理系统能够及时调整,节省时间以及提高用户的使用体验。
在本实施例中,可选的,所述策略操作码包括:所述安全策略对应的功能类别的编码、所述安全策略对应的功能的编码、所述安全策略对应的操作的编码以及安全策略中对应的待访问安全防护设备的编码。
其中,功能类别可以为策略管控服务系统基于各安全策略功能或需求,进行的划分,将相似功能或相似需求的安全策略划分为一类,可以包括网络访问控制、资源对象、网络扫描。功能为各安全防护设备的具体功能实现,可以包括黑名单策略、网络访问控制策略以及资源对象等,例如,防火墙设备和僵木蠕设备中包含的功能有黑名单策略、网络访问控制策略以及地址资源,漏洞扫描设备中包含的功能有扫描任务。操作为对功能的具体执行目的,根据不同功能的实际要求,各功能包含的操作可能不相同,可以包括获取、下发、修改、删除、移动、暂停、继续、停止以及重新扫描等。对需要集成的安全防护设备进行编号,便于接口调用。各功能类别下包含有各种功能,各功能下包含对应的各种操作。
具体的,将安全策略对应的功能类别的编码、安全策略对应的功能的编码、安全策略对应的操作的编码以及安全策略中对应的待访问安全防护设备的编码组合在一起,能够形成策略操作码。例如,策略操作码可以用以下格式表示:功能类别+功能+操作+安全防护设备。
示例性的,图1B是本公开实施例中网络访问控制包含的功能及操作的示意图,如图1B所示:
网络访问控制包含的功能有黑名单策略和网络访问控制策略,其中,黑名单策略包含的操作为:获取列表、下发以及删除;网络访问控制策略包含的操作为:获取列表、下发、修改、删除以及移动。
黑名单策略中包括的参数可以为:源IP地址、目的IP地址、源端口、目的端口、源媒体存取控制(Media Access Control,简称MAC)位址、目的MAC地址、身份标识号(IdentityDocument,简称ID)以及名称(name)等。
网络访问控制策略中包括的参数可以为:动作、启用、日志、源地址对象名称、源端口对象名称、目的地址对象名称、目的端口对象名称、服务对象名称、时间对象名称、区域对象名称、安全引擎、ID以及name等。
图1C是本公开实施例中资源对象包含的功能及操作的示意图,如图1C所示:
资源对象包含的功能有地址资源、时间资源、区域资源以及服务资源,其中,地址资源包括:主机地址、子网地址、范围地址以及地址组,这四种地址包含的操作为:获取列表、下发、修改以及删除;时间资源、区域资源以及服务资源包含的操作为:获取列表。
地址资源中包括的参数可以为:源IP地址、目的IP地址、子网、MAC地址以及成员(用于地址组:主机、范围、子网对象名称)等。
图1D是本公开实施例中网络扫描包含的功能及操作的示意图,如图1D所示:
网络扫描包含的功能有扫描任务、扫描任务结果以及扫描任务模板,其中,扫描任务包含的操作为:获取列表、下发、获取任务状态、控制以及删除,控制包括:暂停、继续、停止以及重新扫描;扫描任务结果包含的操作为:获取;扫描任务模板包含的操作为:获取。
扫描任务包括的参数可以为:目标地址,如IP地址或者统一资源定位器(UniformResource Locator,简称URL)地址、任务类型、任务ID以及任务类别等。
需要说明的是:网络访问控制、资源对象以及网络扫描还可以包含其他功能,各功能下还可以包含其他操作,本实施例不做具体限制。
示例性的,表1为策略管控服务系统提供的部分功能类别和功能的关系及编码,表2为策略管控服务系统提供的操作及编码,表3为策略管控服务系统提供的部分安全防护设备及编码。
表1
表2
操作类型 | 编号 |
获取 | 01 |
新增 | 02 |
更新 | 03 |
删除 | 04 |
移动 | 05 |
停止 | 07 |
控制 | 09 |
获取扫描任务列表 | 11 |
获取扫描任务状态 | 12 |
获取扫描任务结果 | 14 |
扫描 | 16 |
暂停 | 18 |
继续 | 19 |
重新扫描 | 20 |
表3
安全防护设备 | 编号 |
防火墙系统-1 | 0001 |
防火墙系统-2 | 0002 |
脆弱性扫描与管理系统(综合漏扫) | 0005 |
工控防火墙系统 | 0007 |
需要说明的是:表1、表2和表3中还可以包括其他内容,本实施例不做具体限制。
本实施例中,通过策略管控服务系统提供的表1-表3,各安全管理系统可以确定出与要发送的安全策略对应的策略操作码,从而形成统一的策略操作码规范,并且表1-表3的编写过程中能够整合不同厂商、不同版本、型号及不同接口方式的安全防护设备的安全策略,解决了安全防护设备接口多且繁琐的集成难题,统一了不同厂商各型号的安全防护设备的操作,且能够灵活扩展新型号的安全防护设备,以及方便各安全管理系统的调用。
图2是本公开实施例提供的另一种安全策略管控方法的流程示意图。本实施例是在上述实施例的基础上进行优化。可选的,本实施例对根据预设校验规则对各策略内容分别对应的参数进行校验的过程进行详细的解释说明。如图2所示,该方法具体包括如下:
S210,接收安全管理系统通过目标接口管控方式发送的安全策略,并对安全策略中包含的策略内容进行完整性校验,
S220,在完整性校验通过时,获取各策略内容分别对应的目标参数。
其中,目标参数可以理解为与策略内容所对应的参数。
在完整性校验通过时,根据对应的接口能够获取各策略内容分别对应的目标参数,例如登录信息中包含的参数,待访问安全防护设备的信息中包含的参数以及所述策略操作码对应的参数等。
S230,根据各目标参数分别对应的参数类型,采取与参数类型对应的校验规则对相应的目标参数进行校验,得到目标参数的校验结果。
由于不同的目标参数对应的参数类型可能不同,例如,登录信息中的IP地址为ipv4格式的参数,参数类型为枚举,取值范围为SSH、REST API;网络访问控制策略中源地址对象为字符串等,因此需要根据各目标参数分别对应的参数类型,采取与参数类型对应的校验规则对相应的目标参数进行校验,避免因为参数类型的不同影响最终的校验结果,在对所有的目标参数进行校验之后,能够得到各目标参数分别对应的校验结果。
示例性的,参数类型可以包括:普通字符串,普通整型,枚举,IP字符串,端口,字典以及列表,相应的参数校验规则如下所示:
普通字符串:只允许字符串,部分参数会有长度限制,若某参数为空,返回异常信息:参数不能为空;若某参数超出长度,返回异常信息:内容长度超限;校验规则:获取参数的长度,与预置的参数长度进行对比。
普通整型:允许传入数字,字符串或整型,例如:‘1’或1,若某参数为空,返回异常信息:参数不能为空;若输入非数字的字符,返回异常信息:参数只能传入数字;校验规则:将获取的参数转为整型,出现异常则表明该参数不是整型。
枚举:定义取值范围,只能传入定义范围内的值,若某参数为空或者某参数不在定义范围内,返回异常信息:参数值不在取值范围内;校验规则:获取传入参数与预定义的该参数的枚举进行对比。
IP字符串:只允许传入IP地址,ipv4或者ipv6,若某参数为空,返回异常信息:参数不能为空;若某参数非IP格式字符串,返回异常信息:该参数为非法IP;校验规则:首先判断参数中含有“.”或者“:”,分出是ipv4,还是ipv6,然后通过正则进行格式的匹配。
端口:属于普通整型,固定范围为1-65536,若某参数为非端口数据或超出定义范围,返回异常信息:端口不在范围内或者该参数为非法端口。
字典:允许传入键值对的数据,且会对键和值进行定义,若某参数为空,返回异常信息:参数不能为空;校验规则:先校验参数格式,格式正确,则校验字典内部数据,格式不正确返回异常信息:该参数格式不正确。
列表:允许传入多个元素,一般为统一类型的元素,若某参数为空,返回异常信息:参数不能为空;若校验格式不是列表,返回异常信息:该参数格式不是列表。
需要说明的是:策略内容中的参数包括必填参数和非必填参数,必填参数不能缺少,非必填参数可缺,因此还需要进行参数是否必填的校验。若某参数为必填参数,则对填入的参数校验参数内容是否符合以上规则,若没有该参数的参数内容,返回异常信息:该参数缺少参数内容。
S240,根据校验结果确定目标参数的校验是否通过。
在得到各目标参数分别对应的校验结果之后,根据校验结果能够确定目标参数的校验是否通过。
若是,执行S250;若否,执行S260。
S250,将安全策略下发至与安全管理系统对应的安全防护设备。
若目标参数的校验通过,则将安全策略下发至与安全管理系统对应的安全防护设备。
S260,确定目标参数的校验不通过的原因,并将目标参数的校验不通过以及原因发送至安全管理系统,以供安全管理系统根据原因调整安全策略,以及发送调整后的安全策略。
若目标参数的校验不通过,则确定未通过校验的目标参数,以及目标参数的校验不通过的原因,然后将目标参数的校验不通过以及原因发送至安全管理系统,以供安全管理系统根据原因调整安全策略,以及发送调整后的安全策略,便于安全管理系统能够及时调整,节省时间以及提高用户的使用体验。
在本实施例中,首先接收安全管理系统通过目标接口管控方式发送的安全策略,并对安全策略中包含的策略内容进行完整性校验,接着在完整性校验通过时,获取各策略内容分别对应的目标参数,然后根据各目标参数分别对应的参数类型,采取与参数类型对应的校验规则对相应的目标参数进行校验,得到目标参数的校验结果,最后根据校验结果确定目标参数的校验是否通过,若通过,则将安全策略下发至与安全管理系统对应的安全防护设备;若不通过,则确定目标参数的校验不通过的原因,并将目标参数的校验不通过以及原因发送至安全管理系统,以供安全管理系统根据原因调整安全策略,以及发送调整后的安全策略,通过上述方法不仅能够实现对各种安全防护设备的安全策略管控,便于安全管理系统的调用与集成,以及有利于节约开发和运维的成本,还能够在参数校验出现异常时,及时调整安全策略,实现对安全策略的规范化管控。
在本实施例中,可选的,所述方法还包括:
接收所述安全防护设备返回的针对所述安全策略的响应数据;
对所述响应数据进行处理,并将处理后得到的数据发送至所述安全管理系统。
本实施例中,在将安全策略下发至与安全管理系统对应的安全防护设备之后,还需要接收安全防护设备返回的针对该安全策略的响应数据,并对该响应数据进行处理,具体可以为数据格式统一化处理或者数据归纳分析处理等,将处理后得到的数据发送至安全管理系统,以便安全管理系统能够快速收到响应数据,确定安全策略的执行过程是否顺利。
图3是本公开实施例提供的一种安全策略管控装置的结构示意图;该装置配置于计算机设备中,可实现本申请任意实施例所述的安全策略管控方法。该装置具体包括如下:
第一校验模块310,用于接收安全管理系统通过目标接口管控方式发送的安全策略,并对所述安全策略中包含的策略内容进行完整性校验;
第二校验模块320,用于在所述完整性校验通过时,根据预设校验规则对各策略内容分别对应的参数进行校验;
策略下发模块330,用于在所有参数校验通过后,将所述安全策略下发至与所述安全管理系统对应的安全防护设备。
在本实施例中,可选的,第一校验模块310,具体用于:
接收安全管理系统通过目标接口管控方式发送的安全策略,获取所述安全策略中包含的策略内容;
根据所述策略内容中是否包含预设信息对所述策略内容进行完整性校验,其中,所述预设信息包括登录信息、待访问安全防护设备的信息、策略操作码以及所述策略操作码对应的参数信息。
在本实施例中,可选的,第二校验模块320,具体用于:
在所述完整性校验通过时,获取所述各策略内容分别对应的目标参数;
根据各目标参数分别对应的参数类型,采取与所述参数类型对应的校验规则对相应的目标参数进行校验,得到所述目标参数的校验结果。
在本实施例中,可选的,上述装置还包括:
第一确定模块,用于根据所述校验结果确定所述目标参数的校验是否通过;
第一调整模块,用于若不通过,则确定所述目标参数的校验不通过的原因,并将所述目标参数的校验不通过以及所述原因发送至所述安全管理系统,以供所述安全管理系统根据所述原因调整所述安全策略,以及发送调整后的安全策略。
在本实施例中,可选的,上述装置还包括:
解析模块,用于对所述策略操作码进行解析,得到解析结果;
第二确定模块,用于根据所述解析结果和预设策略操作码表,确定所述策略操作码是否异常;
第二调整模块,用于若异常,则向所述安全管理系统发送所述策略操作码异常的消息,以供所述安全管理系统根据所述消息调整所述安全策略,以及发送调整后的安全策略。
在本实施例中,可选的,所述策略操作码包括:所述安全策略对应的功能类别的编码、所述安全策略对应的功能的编码、所述安全策略对应的操作的编码以及安全策略中对应的待访问安全防护设备的编码。
在本实施例中,可选的,上述装置还包括:
接收模块,用于接收所述安全防护设备返回的针对所述安全策略的响应数据;
发送模块,用于对所述响应数据进行处理,并将处理后得到的数据发送至所述安全管理系统。
通过本公开实施例提供的安全策略管控装置,首先接收安全管理系统通过目标接口管控方式发送的安全策略,并对安全策略中包含的策略内容进行完整性校验,然后在完整性校验通过时,根据预设校验规则对各策略内容分别对应的参数进行校验,最后在所有参数校验通过后,将安全策略下发至与安全管理系统对应的安全防护设备,能够实现对各种安全防护设备的安全策略管控,便于安全管理系统的调用与集成,以及有利于节约开发和运维的成本。
本公开实施例所提供的安全策略管控装置可执行本公开任意实施例所提供的安全策略管控方法,具备执行方法相应的功能模块和有益效果。
图4是本公开实施例提供的一种计算机设备的结构示意图。如图4所示,该计算机设备包括处理器410和存储装置420;计算机设备中处理器410的数量可以是一个或多个,图4中以一个处理器410为例;计算机设备中的处理器410和存储装置420可以通过总线或其他方式连接,图4中以通过总线连接为例。
存储装置420作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本公开实施例中的安全策略管控方法对应的程序指令/模块。处理器410通过运行存储在存储装置420中的软件程序、指令以及模块,从而执行计算机设备的各种功能应用以及数据处理,即实现本公开实施例所提供的安全策略管控方法。
存储装置420可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储装置420可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储装置420可进一步包括相对于处理器410远程设置的存储器,这些远程存储器可以通过网络连接至计算机设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
本实施例提供的一种计算机设备可用于执行上述任意实施例提供的安全策略管控方法,具备相应的功能和有益效果。
本公开实施例还提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于实现本公开实施例所提供的安全策略管控方法。
当然,本公开实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本公开任意实施例所提供的安全策略管控方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本公开可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本公开的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本公开各个实施例所述的方法。
值得注意的是,上述安全策略管控装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本公开的保护范围。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (8)
1.一种安全策略管控方法,其特征在于,所述方法包括:
接收安全管理系统通过目标接口管控方式发送的安全策略,并获取所述安全策略中包含的策略内容;
根据所述策略内容中是否包含预设信息对所述策略内容进行完整性校验,其中,所述预设信息包括登录信息、待访问安全防护设备的信息、策略操作码以及所述策略操作码对应的参数信息;
在所述完整性校验通过时,根据预设校验规则对各策略内容分别对应的参数进行校验;
在所有参数校验通过后,将所述安全策略下发至与所述安全管理系统对应的安全防护设备;
对所述策略操作码进行解析,得到解析结果;
根据所述解析结果和预设策略操作码表,确定所述策略操作码是否异常;
若异常,则向所述安全管理系统发送所述策略操作码异常的消息,以供所述安全管理系统根据所述消息调整所述安全策略,以及发送调整后的安全策略。
2.根据权利要求1所述的方法,其特征在于,所述在所述完整性校验通过时,根据预设校验规则对各策略内容分别对应的参数进行校验,包括:
在所述完整性校验通过时,获取所述各策略内容分别对应的目标参数;
根据各目标参数分别对应的参数类型,采取与所述参数类型对应的校验规则对相应的目标参数进行校验,得到所述目标参数的校验结果。
3.根据权利要求2所述的方法,其特征在于,还包括:
根据所述校验结果确定所述目标参数的校验是否通过;
若不通过,则确定所述目标参数的校验不通过的原因,并将所述目标参数的校验不通过以及所述原因发送至所述安全管理系统,以供所述安全管理系统根据所述原因调整所述安全策略,以及发送调整后的安全策略。
4.根据权利要求1所述的方法,其特征在于,所述策略操作码包括:所述安全策略对应的功能类别的编码、所述安全策略对应的功能的编码、所述安全策略对应的操作的编码以及安全策略中对应的待访问安全防护设备的编码。
5.根据权利要求1-4任一项所述的方法,其特征在于,还包括:
接收所述安全防护设备返回的针对所述安全策略的响应数据;
对所述响应数据进行处理,并将处理后得到的数据发送至所述安全管理系统。
6.一种安全策略管控装置,其特征在于,所述装置包括:
第一校验模块,用于接收安全管理系统通过目标接口管控方式发送的安全策略,并获取所述安全策略中包含的策略内容;根据所述策略内容中是否包含预设信息对所述策略内容进行完整性校验,其中,所述预设信息包括登录信息、待访问安全防护设备的信息、策略操作码以及所述策略操作码对应的参数信息;
第二校验模块,用于在所述完整性校验通过时,根据预设校验规则对各策略内容分别对应的参数进行校验;
策略下发模块,用于在所有参数校验通过后,将所述安全策略下发至与所述安全管理系统对应的安全防护设备;
解析模块,用于对所述策略操作码进行解析,得到解析结果;
第二确定模块,用于根据所述解析结果和预设策略操作码表,确定所述策略操作码是否异常;
第二调整模块,用于若异常,则向所述安全管理系统发送所述策略操作码异常的消息,以供所述安全管理系统根据所述消息调整所述安全策略,以及发送调整后的安全策略。
7.一种计算机设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-5中任一所述的方法。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-5中任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111322292.7A CN114024759B (zh) | 2021-11-09 | 2021-11-09 | 安全策略管控方法、装置、计算机设备和介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111322292.7A CN114024759B (zh) | 2021-11-09 | 2021-11-09 | 安全策略管控方法、装置、计算机设备和介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114024759A CN114024759A (zh) | 2022-02-08 |
CN114024759B true CN114024759B (zh) | 2024-02-02 |
Family
ID=80062769
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111322292.7A Active CN114024759B (zh) | 2021-11-09 | 2021-11-09 | 安全策略管控方法、装置、计算机设备和介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114024759B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115459940A (zh) * | 2022-07-21 | 2022-12-09 | 新华三信息安全技术有限公司 | 一种安全策略的校验方法、装置、电子设备及介质 |
CN117896182B (zh) * | 2024-03-14 | 2024-06-07 | 麒麟软件有限公司 | Linux网络通信安全管控方法、装置及存储介质 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107733914A (zh) * | 2017-11-04 | 2018-02-23 | 公安部第三研究所 | 面向异构安全机制的集中管控系统 |
CN110348201A (zh) * | 2019-05-22 | 2019-10-18 | 中国科学院信息工程研究所 | 一种设备安全策略的配置方法及装置 |
CN110971620A (zh) * | 2020-01-03 | 2020-04-07 | 清华大学深圳国际研究生院 | 一种智能网关流量安全策略方法 |
CN111628962A (zh) * | 2020-03-30 | 2020-09-04 | 西安交大捷普网络科技有限公司 | 一种网络安全设备的策略集中配置系统及方法 |
CN112035355A (zh) * | 2020-08-28 | 2020-12-04 | 中国平安财产保险股份有限公司 | 数据处理方法、装置、计算机设备和存储介质 |
CN112347461A (zh) * | 2020-11-02 | 2021-02-09 | 浙江齐安信息科技有限公司 | 工控系统登录管控方法、装置、电子装置和存储介质 |
CN112751874A (zh) * | 2020-12-31 | 2021-05-04 | 北京天融信网络安全技术有限公司 | 一种设备策略管控方法、装置、电子设备及存储介质 |
CN112788593A (zh) * | 2019-11-04 | 2021-05-11 | 阿里巴巴集团控股有限公司 | 安全策略的更新方法及装置、系统 |
CN113364801A (zh) * | 2021-06-24 | 2021-09-07 | 深圳前海微众银行股份有限公司 | 网络防火墙策略的管理方法、系统、终端设备及存储介质 |
WO2021212661A1 (zh) * | 2020-04-23 | 2021-10-28 | 平安科技(深圳)有限公司 | 运行系统构建方法、装置、电子设备及存储介质 |
-
2021
- 2021-11-09 CN CN202111322292.7A patent/CN114024759B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107733914A (zh) * | 2017-11-04 | 2018-02-23 | 公安部第三研究所 | 面向异构安全机制的集中管控系统 |
CN110348201A (zh) * | 2019-05-22 | 2019-10-18 | 中国科学院信息工程研究所 | 一种设备安全策略的配置方法及装置 |
CN112788593A (zh) * | 2019-11-04 | 2021-05-11 | 阿里巴巴集团控股有限公司 | 安全策略的更新方法及装置、系统 |
CN110971620A (zh) * | 2020-01-03 | 2020-04-07 | 清华大学深圳国际研究生院 | 一种智能网关流量安全策略方法 |
CN111628962A (zh) * | 2020-03-30 | 2020-09-04 | 西安交大捷普网络科技有限公司 | 一种网络安全设备的策略集中配置系统及方法 |
WO2021212661A1 (zh) * | 2020-04-23 | 2021-10-28 | 平安科技(深圳)有限公司 | 运行系统构建方法、装置、电子设备及存储介质 |
CN112035355A (zh) * | 2020-08-28 | 2020-12-04 | 中国平安财产保险股份有限公司 | 数据处理方法、装置、计算机设备和存储介质 |
CN112347461A (zh) * | 2020-11-02 | 2021-02-09 | 浙江齐安信息科技有限公司 | 工控系统登录管控方法、装置、电子装置和存储介质 |
CN112751874A (zh) * | 2020-12-31 | 2021-05-04 | 北京天融信网络安全技术有限公司 | 一种设备策略管控方法、装置、电子设备及存储介质 |
CN113364801A (zh) * | 2021-06-24 | 2021-09-07 | 深圳前海微众银行股份有限公司 | 网络防火墙策略的管理方法、系统、终端设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114024759A (zh) | 2022-02-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11652793B2 (en) | Dynamic firewall configuration | |
CN110535777B (zh) | 访问请求控制方法、装置、电子设备以及可读存储介质 | |
CN109981344B (zh) | 扫描方法、装置及网络转发设备 | |
CN114024759B (zh) | 安全策略管控方法、装置、计算机设备和介质 | |
CN106878262B (zh) | 报文检测方法及装置、建立本地威胁情报库的方法及装置 | |
US11949704B2 (en) | Attribute-based policies for integrity monitoring and network intrusion detection | |
EP2740028A2 (en) | Asset model import connector | |
JP2020017809A (ja) | 通信装置及び通信システム | |
CN102780681A (zh) | Url过滤系统及过滤url的方法 | |
CN112579997B (zh) | 一种用户权限配置方法、装置、计算机设备及存储介质 | |
US20240297826A1 (en) | Proactive inspection technique for improved classification | |
CN114679292A (zh) | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 | |
CN109165513B (zh) | 系统配置信息的巡检方法、装置和服务器 | |
CN111756716A (zh) | 流量检测方法、装置及计算机可读存储介质 | |
CN111008254A (zh) | 一种对象创建方法、装置、计算机设备和存储介质 | |
US20200026528A1 (en) | Message based discovery and management of applications | |
US11533327B2 (en) | Method and device for intrusion detection in a computer network | |
CN111866995B (zh) | 一种基于微信小程序的智能设备配网方法及系统 | |
US20210014255A1 (en) | Method and device for intrusion detection in a computer network | |
CN114338809B (zh) | 访问控制方法、装置、电子设备和存储介质 | |
CA3190126A1 (en) | Network device identification | |
CN113259468B (zh) | 一种网络设备配置方法及装置 | |
US11729188B2 (en) | Method and device for intrusion detection in a computer network | |
US20060206593A1 (en) | Use of discovery scanning and method of IP only communication to identify owners and administrators of network attached devices | |
CN114567678A (zh) | 一种云安全服务的资源调用方法、装置及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |