CN114598500A - 一种安全服务提供方法、平台、电子设备、介质及程序 - Google Patents
一种安全服务提供方法、平台、电子设备、介质及程序 Download PDFInfo
- Publication number
- CN114598500A CN114598500A CN202210112840.1A CN202210112840A CN114598500A CN 114598500 A CN114598500 A CN 114598500A CN 202210112840 A CN202210112840 A CN 202210112840A CN 114598500 A CN114598500 A CN 114598500A
- Authority
- CN
- China
- Prior art keywords
- security
- resource
- service
- resource type
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 65
- 230000006870 function Effects 0.000 claims description 49
- 238000004590 computer program Methods 0.000 claims description 12
- 230000004044 response Effects 0.000 claims description 9
- 238000012550 audit Methods 0.000 claims description 7
- 238000001514 detection method Methods 0.000 claims description 7
- 230000002776 aggregation Effects 0.000 claims description 6
- 238000004220 aggregation Methods 0.000 claims description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 4
- 230000006833 reintegration Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种安全服务提供方法、平台、电子设备、介质及程序,该方法包括:确定每一安全资源所属的安全资源类型;根据所述每一安全资源所属的安全资源类型,组成安全资源类型集合;根据目标安全服务所需实现的功能,在所述安全资源类型集合中确定所需调用的目标安全资源类型;获取对应所述目标安全资源类型的安全资源集合,并根据所述安全资源集合生成所述目标安全服务。本发明将安全设备与安全资源进行了解耦,并将安全资源重新整合生成目标安全服务,使得不同厂商、不同实体形态的安全设备可以协同提供安全服务,满足了企业的安全需求。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种安全服务提供方法、平台、电子设备、介质及程序。
背景技术
目前企业出于安全需求一般会同时采购多个安全厂商的不同安全设备,这些安全设备实体形态不同,接口不统一,存在无法协同工作为企业提供安全服务的情况。现有技术中仅使用单一的安全设备实现单一的功能,或尽量避免使用不同厂商,无法满足企业的安全需求。
对于现有技术中安全设备实体形态不同,接口不统一,导致各安全设备无法协同工作为企业提供安全服务,存在无法满足企业的安全需求的缺陷。
发明内容
本发明提供一种安全服务提供方法、平台、电子设备、介质及程序,用以解决现有技术中安全设备实体形态不同,接口不统一,无法协同工作为企业提供安全服务,无法满足企业的安全需求的缺陷。
本发明提供一种安全服务提供方法,包括:
确定每一安全资源所属的安全资源类型;其中,所述安全资源是安全设备中提供的用于实现安全服务功能的资源;
根据所述每一安全资源所属的安全资源类型,组成安全资源类型集合;
根据目标安全服务所需实现的功能,在所述安全资源类型集合中确定所需调用的目标安全资源类型;其中,所述所需调用的目标安全资源类型包括所述安全资源类型集合中的至少一种安全资源类型;
获取对应所述目标安全资源类型的安全资源集合,并根据所述安全资源集合生成所述目标安全服务。
根据本发明提供的一种安全服务提供方法,所述安全资源是所述安全设备本身固有的安全资源,或是所述安全设备利用网络功能虚拟化生成的虚拟化安全资源。
根据本发明提供的一种安全服务提供方法,所述确定每一安全资源所属的安全资源类型,包括:
接收第一安全资源的注册请求;其中,所述注册请求中携带有所述第一安全资源的服务内容信息;
根据所述注册请求中携带的服务内容信息与预设的多种安全资源类型之间的对应关系,确定所述第一安全资源所属的安全资源类型。
根据本发明提供的一种安全服务提供方法,所述注册请求中还携带有所述第一安全资源的地址信息,在所述根据所述注册请求中携带的服务内容信息与预设的多种安全资源类型之间的对应关系,确定所述第一安全资源所属的安全资源类型之后,方法还包括:
将所述第一安全资源所属的安全资源类型与所述第一安全资源的地址信息相应存储。
根据本发明提供的一种安全服务提供方法,所述预设的多种安全资源类型至少来自于以下分组中的一种:安全识别组、安全防护组、安全检测组、安全响应组、安全审计组。
根据本发明提供的一种安全服务提供方法,所述获取对应所述目标安全资源类型的安全资源集合,并根据所述安全资源集合生成所述目标安全服务,包括:
在能够直接根据所述安全资源集合中的安全资源生成所述目标安全服务的情况下,通过调用所述安全资源集合中的安全资源的方式,生成所述目标安全服务;或,
在不能直接根据所述安全资源集合中的安全资源生成所述目标安全服务的情况下,通过适配器调用所述安全资源集合中的安全资源,生成所述目标安全服务。
根据本发明提供的一种安全服务提供方法,在所述确定每一安全资源所属的安全资源类型之前,方法还包括:
通过单点登录接口,登录所述安全设备;
对所述安全设备的安全资源的属性进行配置。
根据本发明提供的一种安全服务提供方法,在所述确定每一安全资源所属的安全资源类型之后,方法还包括:
通过权限配置接口,对所述安全资源的权限进行管理。
根据本发明提供的一种安全服务提供方法,在所述获取对应所述目标安全资源类型的安全资源集合,并根据所述安全资源集合生成所述目标安全服务之后,方法还包括:
接收所述安全设备按照预设周期发送的日志文件;或,
向所述安全设备发送日志获取请求,并接收所述安全设备返回的日志文件。
本发明还提供一种安全服务平台,包括:
分类模块,用于确定每一安全资源所属的安全资源类型;其中,所述安全资源是安全设备中提供的用于实现安全服务功能的资源;
集合模块,用于根据所述每一安全资源所属的安全资源类型,组成安全资源类型集合;
确定模块,用于根据目标安全服务所需实现的功能,在所述安全资源类型集合中确定所需调用的目标安全资源类型;其中,所述所需调用的目标安全资源类型包括所述安全资源类型集合中的至少一种安全资源类型;
生成模块,用于获取对应所述目标安全资源类型的安全资源集合,并根据所述安全资源集合生成所述目标安全服务。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述安全服务提供方法的全部或部分步骤。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述安全服务提供方法的全部或部分步骤。
本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机可执行指令,所述指令在被执行时用于实现如上述任一种所述安全服务提供方法的全部或部分步骤。
本发明提供的一种安全服务提供方法、平台、电子设备、介质及程序,确定每一安全资源所属的安全资源类型,组成安全资源类型集合,将安全设备与安全资源进行了解耦;根据目标安全服务所需实现的功能,在所述安全资源类型集合中确定所需调用的目标安全资源类型,获取对应所述目标安全资源类型的安全资源集合,重新整合生成目标安全服务,使得不同厂商、不同实体形态的安全设备可以协同提供安全服务,满足了企业的安全需求。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的安全服务提供方法应用场景的系统架构示意图;
图2是本发明提供的一种安全服务提供方法的流程示意图;
图3是本发明提供的一种安全服务平台的结构示意图;
图4是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合图1-图4描述本发明的一种安全服务提供方法、平台、电子设备、介质及程序。
为便于理解本发明的实现过程,先对本发明的安全服务提供方法应用场景的系统架构进行介绍,图1是本发明提供的安全服务提供方法应用场景的系统架构示意图,如图1所示,安全设备提供了安全资源以支持用户所需的安全服务,例如安全设备A提供了安全资源A1、安全资源A2,安全设备B提供了安全资源B1、安全资源B2。相比于现有技术中直接根据安全设备为用户端提供安全服务,本发明将安全资源与安全设备解耦,利用安全服务平台对这些安全资源(而非安全设备)进行管理,并重新整合生成安全服务,以重新生成的安全服务响应用户端的服务请求,为用户提供服务。本发明使得不同厂商、不同实体形态的安全设备可以协同提供安全服务,满足了企业的安全需求。
下面对本发明的一种安全服务提供方法进行说明,该方法应用于安全服务平台,图2是本发明提供的一种安全服务提供方法的流程示意图,如图2所示,该方法包括:
S21、确定每一安全资源所属的安全资源类型;其中,所述安全资源是安全设备中提供的用于实现安全服务功能的资源;
具体地,安全设备是用于完成一定网络安全功能的网络设备(硬件),例如IP协议密码机、安全路由器、线路密码机、防火墙(硬件设备)等。安全资源是安全设备中提供的用于实现安全服务功能的软件资源,用于实现具体的安全服务功能。安全资源是安全设备(硬件)中提供的用于实现安全服务功能的资源(软件)。
各安全设备中运行的安全资源需要向安全服务平台进行注册,以便安全服务平台对安全资源进行管理,每种安全资源类型对应实现一种类型的基础安全服务功能。确定每一安全资源所属的安全资源类型,相应地,确定了安全资源类型的安全资源就作为对应安全资源类型的一个安全资源实例。可以理解的是,一个安全资源类型中可以包括多个安全资源实例,例如(仍参照图1),假设安全设备A中的运行的安全资源A1和安全设备B中运行的安全资源B2都用于实现“主机资产发现”功能,则安全资源A1、安全资源B2都是“主机资产发现”安全资源类型的一个安全资源实例。本步骤实现了安全设备与安全资源的解耦,便于安全资源之间的跨厂商、跨接口的协同工作,实现多样化的安全服务。
S22、根据所述每一安全资源所属的安全资源类型,组成安全资源类型集合;
具体地,安全服务平台将每一安全资源所属的安全资源类型加入到安全资源类型集合中,安全资源类型集合代表了安全服务平台管理的安全设备能够实现的各种基础安全服务类型。可以理解的是,如果要通过安全服务平台实现一项安全服务,所需调用的基础安全服务类型不再安全资源类型集合中,则无法通过安全服务平台实现该安全服务。
S23、根据目标安全服务所需实现的功能,在所述安全资源类型集合中确定所需调用的目标安全资源类型;其中,所述所需调用的目标安全资源类型包括所述安全资源类型集合中的至少一种安全资源类型;
具体地,安全服务平台基于管理的多种安全资源生成安全服务,在生成目标安全服务时,需要根据目标安全服务所需实现的功能,从安全资源类型集合中确定所需调用的目标安全资源类型。例如需要生成一项针对数据库安全服务,则可以确定需要调用安全资源类型集合中的“数据库漏洞扫描”、“数据库防护”安全资源类型。又例如,需要对攻击行为进行分析,则可以确定需要调用安全资源类型集合中的“终端访问控制”、“网络攻击诱捕”、“网络攻击溯源”安全资源类型。可以理解的是,目标安全服务可以调用多个安全资源类型实现复杂全面的安全服务功能,也可以仅调用单一的安全资源类型,即仅实现单一安全资源类型对应的基础的安全服务功能。
S24、获取对应所述目标安全资源类型的安全资源集合,并根据所述安全资源集合生成所述目标安全服务。
具体地,由于每一安全资源已经确定所属的安全资源类型,因此,可以直接从对应目标安全资源类型的安全资源中获取安全资源构成安全资源集合。例如,假设确定目标安全资源类型包括“数据库漏洞扫描”、“数据库防护”,则从对应“数据库漏洞扫描”的多个安全资源实例中获取一个安全资源实例(假设记为C1),从“数据库防护”的多个安全资源实例中获取一个安全资源实例(假设记为D1),则C1和D1构成目标安全类型的安全资源集合。将安全资源集合中的各安全资源进行整合,生成目标安全服务,以接口程序的形式响应用户端的安全服务请求,对外提供相应功能的安全服务。本发明的安全服务提供方法可以应用于企业内网,以接口程序的形式对内网主机提供目标安全服务;还可以应用于SaaS(软件即服务)服务云平台,以接口程序的形式向租户提供目标安全服务。
另外,需要说明的是,由于目标安全资源类型中每一具体的安全资源类型可能对应了多个安全资源实例,相应的,在获取安全资源实例时,根据不同的组合情况可以得到不同的安全资源集合,此时,根据每一安全资源集合整合生成的安全服务均可以作为目标安全服务的一个实例。在具体生成目标安全服务的过程中,可以仅生成一个安全服务实例,例如选取空闲状态的安全资源实例构成安全资源集合,又例如随机选取安全资源实例构成安全资源集合,并根据单一的安全资源集合生成目标安全服务;还可以获取多个安全资源集合,相应生成包括多个安全服务实例的目标安全服务。具体可以根据需求进行选择,此处不作限制。
本实施例中确定每一安全资源所属的安全资源类型,组成安全资源类型集合,将安全设备与安全资源进行了解耦;根据目标安全服务所需实现的功能,在所述安全资源类型集合中确定所需调用的目标安全资源类型,获取对应所述目标安全资源类型的安全资源集合,重新整合生成目标安全服务,使得不同厂商、不同实体形态的安全设备可以协同提供安全服务,满足了企业的安全需求。
基于上述实施例,在一个实施例中,所述安全资源是所述安全设备本身固有的安全资源,或是所述安全设备利用网络功能虚拟化生成的虚拟化安全资源。
具体地,安全资源可以是安全设备本身固有的安全资源,例如防火墙(专用硬件设备)提供的安全隔离功能;安全资源还可以是安全设备中通过网络功能虚拟化(NetworkFunctions Virtualization,简称NFV)生成的虚拟化安全资源,例如在路由器中通过网络功能虚拟化提供的虚拟防火墙(vWF)、虚拟应用防护(VWAF)、虚拟漏洞扫描(vSCAN)等。网络功能虚拟化使得在通用设备上能够实现专用设备具备的功能,在NFV出现之前,设备的专业化特性明显,具体功能都由其专门的设备实现,有了NFV之后,可以通过NFV将设备的控制平面与设备的底层硬件进行分离,不同设备的控制平面安装在服务器(对应本发明的服务平台)的虚拟机上,这样设备是开发兼容的,当企业需要部署新业务时只需要在开放的虚拟机平台上创建相应的虚拟机,然后在虚拟机上安装相应功能的软件包即可实现所需的网络功能。
本实施例中管理了安全设备汇总多样化的安全资源,提升了安全设备的协同能力。
基于上述任一实施例,在一个实施例中,所述确定每一安全资源所属的安全资源类型,包括:
接收第一安全资源的注册请求;其中,所述注册请求中携带有所述第一安全资源的服务内容信息;
根据所述注册请求中携带的服务内容信息与预设的多种安全资源类型之间的对应关系,确定所述第一安全资源所属的安全资源类型。
具体地,第一安全资源是安全服务平台管理的多个安全设备中运行的多个安全资源中的一个,安全服务平台接收安全设备中运行的第一安全资源发送的注册请求,注册请求中可以仅携带第一安全资源的服务内容信息,也可以同时携带有第一安全资源的地址信息(例如IP地址、端口号等等)以及第一安全资源的服务内容信息。其中,第一安全资源的地址信息用于后续生成的安全服务在调用安全资源时寻址,第一安全资源的服务内容信息用于结合服务内容信息与预设的多种安全资源类型之间的对应关系确定第一安全资源所属的安全资源类型。服务内容信息可以是预设的服务内容标识(如编号、序号等),例如,根据编号形式的服务内容信息“P08”确定第一安全资源属于“应用访问控制”安全资源类型。服务内容信息还可以是预设的服务内容关键词(例如“运维访问控制”、“网页防篡改”),例如根据关键词“网页防篡改”确定第一安全资源属于“网页防护”安全资源类型,在确定第一安全资源所属的安全资源类型信息后,将安全资源类型信息与第一安全资源的地址信息相应存储,以供后续生成的目标安全服务调用。
本实施例中,通过接收第一安全资源的注册请求,并根据注册请求中携带的信息确定了第一安全资源所述的安全资源类型信息,方便目标安全服务准确调用所需类型的安全资源。
基于上述任一实施例,在一个实施例中,当注册请求中同时携带有第一安全资源的地址信息以及第一安全资源的服务内容信息时,在所述根据所述注册请求中携带的服务内容信息与预设的多种安全资源类型之间的对应关系,确定所述第一安全资源所属的安全资源类型之后,方法还包括:
将所述第一安全资源所属的安全资源类型与所述第一安全资源的地址信息相应存储。
具体地,在确定第一安全资源所属的安全资源类型之后,通过将第一安全资源所属的安全资源类型与第一安全资源的地址信息相应存储,方便目标安全服务调用第一安全资源时准确寻址。
基于上述任一实施例,在一个实施例中,所述获取对应所述目标安全资源类型的安全资源集合,并根据所述安全资源集合生成所述目标安全服务,包括:
在能够直接根据所述安全资源集合中的安全资源生成所述目标安全服务的情况下,通过调用所述安全资源集合中的安全资源的方式,生成所述目标安全服务;或,
在不能直接根据所述安全资源集合中的安全资源生成所述目标安全服务的情况下,通过适配器调用所述安全资源集合中的安全资源,生成所述目标安全服务。
具体地,目标安全服务以接口程序的形式向用户提供服务,目标安全服务在实际运行过程中还需要通过接口调用的形式调用安全资源。
能够直接根据安全资源集合中的安全资源生成目标安全服务,即安全资源集合中的各安全资源能够兼容,目标安全服务能够直接通过有序地调用安全资源集合中的各安全资源完成目标安全服务所需实现的功能;或者安全资源集合中仅包含单一的安全资源,能够通过直接调用该单一的安全资源完成目标安全服务所需实现的功能。
不能够直接根据安全资源集合中的安全资源生成目标安全服务,即安全资源集合中的各安全资源不兼容,此时,需要通过预先开发的适配器来调用安全资源集合中的安全资源,以完成目标安全服务所需实现的功能。在计算机编程中,适配器作为两个不兼容的接口之间的桥梁,使得因为接口不兼容而不能在一起工作的类工作在一起,具体做法是将所要用到的类的接口包裹(继承或依赖)在一个已存在的类中。对本发明而言,通过适配器调用安全资源集合中不兼容的安全资源(接口调用),使得各安全资源协同工作,完成目标安全服务所需实现的功能。
本实施例中通过直接调用或利用适配器调用安全资源集合中的安全资源的方式,使得生成的安全服务能有序地调用安全资源,完成目标安全服务所需实现的功能,解决了不同厂商、不同实体形态的安全设备存在的无法协同提供安全服务的问题。
基于上述任一实施例,在一个实施例中,在所述确定每一安全资源所属的安全资源类型之前,方法还包括:
通过单点登录接口,登录所述安全设备;
对所述安全设备的安全资源的属性进行配置。
具体地,单点登录(Single Sign-On,简称SSO)是多个相关但独立的软件系统访问控制的一个属性。通过使用该属性,用户登录与单个ID和密码来访问所连接的一个或多个系统,而不使用不同的用户名或密码,或在某些配置中无缝登录在每个系统上,SSO使得在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
对于本发明而言,服务平台通过单点登录接口(SSO接口)登录一个安全设备后,即可对服务平台管理的所有安全设备进行配置,无需针对每一安全设备重复登录。单点登录后可以配置安全设备中的安全资源的属性进行配置。例如配置安全设备中“软件资产识别”安全资源的可识别的软件类型范围,配置安全设备中为“软件资产识别”分配的存储空间大小,又例如,配置安全设备中“系统漏洞扫描”的漏洞扫描速率(例如,配置为100个/秒)。
本实施例中通过单点登录接口使得服务平台可以便捷地登录各安全设备,无需重复登录,通过对安全设备的安全资源的属性进行配置实现了对安全设备的精准管理,精细化地满足了用户的安全需求。
基于上述任一实施例,在一个实施例中,在所述确定每一安全资源所属的安全资源类型之后,方法还包括:
通过权限配置接口,对所述安全资源的权限进行管理。
具体地,安全服务平台还可以通过权限配置接口,对安全资源的权限进行管理,例如安全资源可以访问哪些重要文件,可以修改(修复)哪些程序,安全补丁安装权限等等。
本实施例中通过权限配置接口使得用户可以对安全资源的权限进行个性化管理,满足了用户的差异化的安全服务需求。
基于上述任一实施例,在一个实施例中,在所述获取对应所述目标安全资源类型的安全资源集合,并根据所述安全资源集合生成所述目标安全服务之后,方法还包括:
接收所述安全设备按照预设周期发送的日志文件;或,
向所述安全设备发送日志获取请求,并接收所述安全设备返回的日志文件。
具体地,安全服务平台获取安全设备的日志文件用于对安全设备的运行状态进行分析,或者用于对具体的安全风险进行分析。安全设备的日志文件可以是安全设备按照预设周期自动发送的日志文件,也可以是安全服务平台向安全设备发送日志获取请求后,安全设备响应日志获取请求返回的日志文件。
本实施例中通过获取安全设备的日志文件便于了解安全设备的运行状态,或者对具体的安全风险进行分析,进一步提升了安全服务能力。
基于上述任一实施例,在一个实施例中,所述预设的多种安全资源类型至少来自于以下分组中的一种:安全识别组、安全防护组、安全检测组、安全响应组、安全审计组。
具体地,预设的多种安全资源类型至少来自于以下分组中的一种:安全识别组(safety identifacation)、安全防护组(safty protection)、安全检测组(safetydetection)、安全响应组(safety response)、安全审计组(safety audit)。
其中,安全识别组(safety identifacation)用于识别资产、漏洞等,可以具体包括以下类型:
安全防护组(safty protection)用于加强安全策略,可以具体包括以下类型:
安全检测组(safety detection)用于对数据、文件等重点关注对象进行检测,可以具体包括以下类型:
安全响应组(safety response)用于对攻击行为执行针对性的处理操作,可以具体包括以下类型:
安全审计组(safety audit)用于进行安全数据分析,可以具体包括以下类型:
本实施例中对安全资源进行了细致的分类,方便安全服务调用,为精准地生成目标安全服务奠定了基础。
下面对本发明提供的安全服务平台进行描述,下文描述的安全服务平台与上文描述的安全服务提供方法可相互对应参照。
图3是本发明提供的一种安全服务平台的结构示意图,如图3所示,该安全服务平台包括:
分类模块31,用于确定每一安全资源所属的安全资源类型;其中,所述安全资源是安全设备中提供的用于实现安全服务功能的资源;
集合模块32,用于根据所述每一安全资源所属的安全资源类型,组成安全资源类型集合;
确定模块33,用于根据目标安全服务所需实现的功能,在所述安全资源类型集合中确定所需调用的目标安全资源类型;其中,所述所需调用的目标安全资源类型包括所述安全资源类型集合中的至少一种安全资源类型;
生成模块34,用于获取对应所述目标安全资源类型的安全资源集合,并根据所述安全资源集合生成所述目标安全服务。
本实施例中确定每一安全资源所属的安全资源类型,组成安全资源类型集合,将安全设备与安全资源进行了解耦;根据目标安全服务所需实现的功能,在所述安全资源类型集合中确定所需调用的目标安全资源类型,获取对应所述目标安全资源类型的安全资源集合,重新整合生成目标安全服务,使得不同厂商、不同实体形态的安全设备可以协同提供安全服务,满足了企业的安全需求。
基于上述任一实施例,在一个实施例中,所述安全资源是所述安全设备本身固有的安全资源,或是所述安全设备利用网络功能虚拟化生成的虚拟化安全资源。
本实施例中管理了安全设备汇总多样化的安全资源,提升了安全设备的协同能力。
基于上述任一实施例,在一个实施例中,所述分类模块31,包括:
注册请求接收单元,用于接收第一安全资源的注册请求;其中,所述注册请求中携带有所述第一安全资源的服务内容信息;
资源类型确定单元,用于根据所述注册请求中携带的服务内容信息与预设的多种安全资源类型之间的对应关系,确定所述第一安全资源所属的安全资源类型。
本实施例中,通过接收第一安全资源的注册请求,并根据注册请求中携带的信息确定了第一安全资源所述的安全资源类型信息,方便目标安全服务准确调用所需类型的安全资源。
基于上述任一实施例,在一个实施例中,当注册请求中携带有所述第一安全资源的地址信息以及所述第一安全资源的服务内容信息时,所述分类模块31,还包括:
存储单元,用于将所述第一安全资源所属的安全资源类型与所述第一安全资源的地址信息相应存储。
本实施例中通过将第一安全资源所属的安全资源类型与第一安全资源的地址信息相应存储,方便目标安全服务调用第一安全资源时准确寻址。
基于上述任一实施例,在一个实施例中,所述生成模块34,包括:
第一生成单元,用于在能够直接根据所述安全资源集合中的安全资源生成所述目标安全服务的情况下,通过调用所述安全资源集合中的安全资源的方式,生成所述目标安全服务;或,
第二生成单元,用于在不能直接根据所述安全资源集合中的安全资源生成所述目标安全服务的情况下,通过适配器调用所述安全资源集合中的安全资源,生成所述目标安全服务。
本实施例中通过直接调用或利用适配器调用安全资源集合中的安全资源的方式,使得生成的安全服务能有序地调用安全资源,完成目标安全服务所需实现的功能,解决了不同厂商、不同实体形态的安全设备存在的无法协同提供安全服务的问题。
基于上述任一实施例,在一个实施例中,安全服务平台还包括:
登录模块,用于通过单点登录接口,登录所述安全设备;
配置模块,用于对所述安全设备的安全资源的属性进行配置。
本实施例中通过单点登录接口使得服务平台可以便捷地登录各安全设备,无需重复登录,通过对安全设备的安全资源的属性进行配置实现了对安全设备的精准管理,精细化地满足了用户的安全需求。
基于上述任一实施例,在一个实施例中,安全服务平台还包括:
权限配置模块,用于通过权限配置接口,对所述安全资源的权限进行管理。
本实施例中通过权限配置接口使得用户可以对安全资源的权限进行个性化管理,满足了用户的差异化安全服务需求。
基于上述任一实施例,在一个实施例中,安全服务平台还包括:
第一日志单元,用于接收所述安全设备按照预设周期发送的日志文件;或,
第二日志单元,用于向所述安全设备发送日志获取请求,并接收所述安全设备返回的日志文件。
本实施例中通过获取安全设备的日志文件便于了解安全设备的运行状态,或者对具体的安全风险进行分析,进一步提升了安全服务能力。
基于上述任一实施例,在一个实施例中,所述预设的多种安全资源类型至少来自于以下分组中的一种:安全识别组、安全防护组、安全检测组、安全响应组、安全审计组。
本实施例中对安全资源进行了细致的分类,方便安全服务调用,为精准地生成目标安全服务奠定了基础。
图4示例了一种电子设备的实体结构示意图,如图4所示,该电子设备可以包括:处理器(processor)410、通信接口(Communications Interface)420、存储器(memory)430和通信总线440,其中,处理器410,通信接口420,存储器430通过通信总线440完成相互间的通信。处理器410可以调用存储器430中的逻辑指令,以执行上述各提供的安全服务提供方法的全部或部分步骤,该方法包括:确定每一安全资源所属的安全资源类型;其中,所述安全资源是安全设备中提供的用于实现安全服务功能的资源;根据所述每一安全资源所属的安全资源类型,组成安全资源类型集合;根据目标安全服务所需实现的功能,在所述安全资源类型集合中确定所需调用的目标安全资源类型;其中,所述所需调用的目标安全资源类型包括所述安全资源类型集合中的至少一种安全资源类型;获取对应所述目标安全资源类型的安全资源集合,并根据所述安全资源集合生成所述目标安全服务。
此外,上述的存储器430中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各提供的安全服务提供方法的全部或部分步骤,该方法包括:确定每一安全资源所属的安全资源类型;其中,所述安全资源是安全设备中提供的用于实现安全服务功能的资源;根据所述每一安全资源所属的安全资源类型,组成安全资源类型集合;根据目标安全服务所需实现的功能,在所述安全资源类型集合中确定所需调用的目标安全资源类型;其中,所述所需调用的目标安全资源类型包括所述安全资源类型集合中的至少一种安全资源类型;获取对应所述目标安全资源类型的安全资源集合,并根据所述安全资源集合生成所述目标安全服务。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的安全服务提供方法的全部或部分步骤,该方法包括:确定每一安全资源所属的安全资源类型;其中,所述安全资源是安全设备中提供的用于实现安全服务功能的资源;根据所述每一安全资源所属的安全资源类型,组成安全资源类型集合;根据目标安全服务所需实现的功能,在所述安全资源类型集合中确定所需调用的目标安全资源类型;其中,所述所需调用的目标安全资源类型包括所述安全资源类型集合中的至少一种安全资源类型;获取对应所述目标安全资源类型的安全资源集合,并根据所述安全资源集合生成所述目标安全服务。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (13)
1.一种安全服务提供方法,其特征在于,包括:
确定每一安全资源所属的安全资源类型;其中,所述安全资源是安全设备中提供的用于实现安全服务功能的资源;
根据所述每一安全资源所属的安全资源类型,组成安全资源类型集合;
根据目标安全服务所需实现的功能,在所述安全资源类型集合中确定所需调用的目标安全资源类型;其中,所述所需调用的目标安全资源类型包括所述安全资源类型集合中的至少一种安全资源类型;
获取对应所述目标安全资源类型的安全资源集合,并根据所述安全资源集合生成所述目标安全服务。
2.根据权利要求1所述的安全服务提供方法,其特征在于,所述安全资源是所述安全设备本身固有的安全资源,或是所述安全设备利用网络功能虚拟化生成的虚拟化安全资源。
3.根据权利要求1所述的安全服务提供方法,其特征在于,所述确定每一安全资源所属的安全资源类型,包括:
接收第一安全资源的注册请求;其中,所述注册请求中携带有所述第一安全资源的服务内容信息;
根据所述注册请求中携带的服务内容信息与预设的多种安全资源类型之间的对应关系,确定所述第一安全资源所属的安全资源类型。
4.根据权利要求3所述的安全服务提供方法,其特征在于,所述注册请求中还携带有所述第一安全资源的地址信息,在所述根据所述注册请求中携带的服务内容信息与预设的多种安全资源类型之间的对应关系,确定所述第一安全资源所属的安全资源类型之后,方法还包括:
将所述第一安全资源所属的安全资源类型与所述第一安全资源的地址信息相应存储。
5.根据权利要求3所述的安全服务提供方法,其特征在于,所述预设的多种安全资源类型至少来自于以下分组中的一种:安全识别组、安全防护组、安全检测组、安全响应组、安全审计组。
6.根据权利要求1所述的安全服务提供方法,其特征在于,所述获取对应所述目标安全资源类型的安全资源集合,并根据所述安全资源集合生成所述目标安全服务,包括:
在能够直接根据所述安全资源集合中的安全资源生成所述目标安全服务的情况下,通过调用所述安全资源集合中的安全资源的方式,生成所述目标安全服务;或,
在不能直接根据所述安全资源集合中的安全资源生成所述目标安全服务的情况下,通过适配器调用所述安全资源集合中的安全资源,生成所述目标安全服务。
7.根据权利要求1所述的安全服务提供方法,其特征在于,在所述确定每一安全资源所属的安全资源类型之前,方法还包括:
通过单点登录接口,登录所述安全设备;
对所述安全设备的安全资源的属性进行配置。
8.根据权利要求1所述的安全服务提供方法,其特征在于,在所述确定每一安全资源所属的安全资源类型之后,方法还包括:
通过权限配置接口,对所述安全资源的权限进行管理。
9.根据权利要求1所述的安全服务提供方法,其特征在于,在所述获取对应所述目标安全资源类型的安全资源集合,并根据所述安全资源集合生成所述目标安全服务之后,方法还包括:
接收所述安全设备按照预设周期发送的日志文件;或,
向所述安全设备发送日志获取请求,并接收所述安全设备返回的日志文件。
10.一种安全服务平台,其特征在于,包括:
分类模块,用于确定每一安全资源所属的安全资源类型;其中,所述安全资源是安全设备中提供的用于实现安全服务功能的资源;
集合模块,用于根据所述每一安全资源所属的安全资源类型,组成安全资源类型集合;
确定模块,用于根据目标安全服务所需实现的功能,在所述安全资源类型集合中确定所需调用的目标安全资源类型;其中,所述所需调用的目标安全资源类型包括所述安全资源类型集合中的至少一种安全资源类型;
生成模块,用于获取对应所述目标安全资源类型的安全资源集合,并根据所述安全资源集合生成所述目标安全服务。
11.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至9任一项所述安全服务提供方法的全部或部分步骤。
12.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至9任一项所述安全服务提供方法的全部或部分步骤。
13.一种计算机程序产品,所述计算机程序产品包括计算机可执行指令,其特征在于,所述指令在被执行时用于实现如权利要求1至9任一项所述安全服务提供方法的全部或部分步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210112840.1A CN114598500A (zh) | 2022-01-29 | 2022-01-29 | 一种安全服务提供方法、平台、电子设备、介质及程序 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210112840.1A CN114598500A (zh) | 2022-01-29 | 2022-01-29 | 一种安全服务提供方法、平台、电子设备、介质及程序 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114598500A true CN114598500A (zh) | 2022-06-07 |
Family
ID=81804760
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210112840.1A Pending CN114598500A (zh) | 2022-01-29 | 2022-01-29 | 一种安全服务提供方法、平台、电子设备、介质及程序 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114598500A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116627635A (zh) * | 2023-05-11 | 2023-08-22 | 中电金信软件有限公司 | 一种资源使用方法、装置及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453646A (zh) * | 2016-11-29 | 2017-02-22 | 上海有云信息技术有限公司 | 一种安全服务平台的资源调度方法和装置 |
| CN106685974A (zh) * | 2016-12-31 | 2017-05-17 | 北京神州绿盟信息安全科技股份有限公司 | 一种安全防护服务建立、提供方法及装置 |
| US20180041515A1 (en) * | 2016-08-05 | 2018-02-08 | Oracle International Corporation | Service discovery for a multi-tenant identity and data security management cloud service |
| US20200359208A1 (en) * | 2018-02-06 | 2020-11-12 | Huawei Technologies Co., Ltd. | Security Negotiation Method and Apparatus |
| US20210014273A1 (en) * | 2019-07-08 | 2021-01-14 | Cloudflare, Inc. | Method and apparatus of automatic generation of a content security policy for a network resource |
-
2022
- 2022-01-29 CN CN202210112840.1A patent/CN114598500A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180041515A1 (en) * | 2016-08-05 | 2018-02-08 | Oracle International Corporation | Service discovery for a multi-tenant identity and data security management cloud service |
| CN106453646A (zh) * | 2016-11-29 | 2017-02-22 | 上海有云信息技术有限公司 | 一种安全服务平台的资源调度方法和装置 |
| CN106685974A (zh) * | 2016-12-31 | 2017-05-17 | 北京神州绿盟信息安全科技股份有限公司 | 一种安全防护服务建立、提供方法及装置 |
| US20200359208A1 (en) * | 2018-02-06 | 2020-11-12 | Huawei Technologies Co., Ltd. | Security Negotiation Method and Apparatus |
| US20210014273A1 (en) * | 2019-07-08 | 2021-01-14 | Cloudflare, Inc. | Method and apparatus of automatic generation of a content security policy for a network resource |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116627635A (zh) * | 2023-05-11 | 2023-08-22 | 中电金信软件有限公司 | 一种资源使用方法、装置及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111819544B (zh) | 用于虚拟计算资源的部署前安全分析器服务 | |
| Fernandez et al. | Building a security reference architecture for cloud systems | |
| US10140453B1 (en) | Vulnerability management using taxonomy-based normalization | |
| JP5522307B2 (ja) | 仮想機械によるソフトウェアテストを用いた電子ネットワークにおけるクライアントシステムの遠隔保守のためのシステム及び方法 | |
| US8667556B2 (en) | Method and apparatus for building and managing policies | |
| CN113612740B (zh) | 权限管理方法、装置、计算机可读介质及电子设备 | |
| EP2387746B1 (en) | Methods and systems for securing and protecting repositories and directories | |
| CN112989330B (zh) | 容器的入侵检测方法、装置、电子设备及存储介质 | |
| CN109450976B (zh) | 一种业务系统的访问的方法及装置 | |
| CN107111510B (zh) | 一种针对vnf包进行操作的方法及装置 | |
| CN112039868A (zh) | 防火墙策略验证方法、装置、设备及存储介质 | |
| CN114978697A (zh) | 一种网络信息系统内生安全防御方法、装置、设备及介质 | |
| CN113614718A (zh) | 异常用户会话检测器 | |
| CN111737232A (zh) | 数据库管理方法、系统、装置、设备及计算机存储介质 | |
| CN114640713A (zh) | 数据访问监视和控制 | |
| Banse et al. | Cloud property graph: Connecting cloud security assessments with static code analysis | |
| CN110602130B (zh) | 终端认证系统及方法、设备端、认证服务器 | |
| CN114598500A (zh) | 一种安全服务提供方法、平台、电子设备、介质及程序 | |
| CN112468476B (zh) | 一种不同类型终端访问应用的设备管理系统和方法 | |
| CN111935195B (zh) | 分布式系统管理方法、装置、存储介质和分布式管理系统 | |
| CN111600755B (zh) | 上网行为管理系统和方法 | |
| Putra et al. | Infrastructure as code for security automation and network infrastructure monitoring | |
| CN111212077A (zh) | 主机访问系统及方法 | |
| CN115208689B (zh) | 基于零信任的访问控制方法、装置及设备 | |
| CN110113243B (zh) | 一种基于容器技术的用户无感vpn接入方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |