CN114978706B - 通信网络定级备案的备案信息稽核方法及系统 - Google Patents
通信网络定级备案的备案信息稽核方法及系统 Download PDFInfo
- Publication number
- CN114978706B CN114978706B CN202210572299.2A CN202210572299A CN114978706B CN 114978706 B CN114978706 B CN 114978706B CN 202210572299 A CN202210572299 A CN 202210572299A CN 114978706 B CN114978706 B CN 114978706B
- Authority
- CN
- China
- Prior art keywords
- information
- port
- record
- library
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims abstract description 73
- 238000000034 method Methods 0.000 title claims abstract description 38
- 238000013507 mapping Methods 0.000 claims abstract description 53
- 238000004590 computer program Methods 0.000 claims description 22
- 238000012550 audit Methods 0.000 claims description 10
- 238000012937 correction Methods 0.000 claims description 6
- 230000000875 corresponding effect Effects 0.000 description 32
- 238000010586 diagram Methods 0.000 description 5
- 230000002596 correlated effect Effects 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 101100206192 Arabidopsis thaliana TCP22 gene Proteins 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供通信网络定级备案的备案信息稽核方法及系统。所述方法包括:查询防火墙的安全策略,查询服务端口,查询服务端口,查询目标IP的端口组,对访问控制列表IP端口组库的端口组列信息和端口组库的端口组列信息进行关联查询,以及对服务组库、端口组库、和策略IP服务库的IP信息和服务组列信息进行关联查询,得到目标IP的防火墙信息和端口开通信息;查询防火墙内外网的映射关系,得到具有映射关系的公网IP信息、内网IP信息、和IP端口组库中对应IP的端口开通信息;将备案信息库的备案信息与IP端口云库的信息进行关联查询,实现备案信息的稽核。本申请可以提高稽核备案信息的稽核效率及稽核结果的准确性。
Description
技术领域
本申请涉及网络信息安全技术领域,具体涉及通信网络定级备案的备案信息稽核方法及系统。
背景技术
通信网络的定级备案是工信部要求的网络安全防护项目,属于电信增值业务年报工作的内容。各通信网络运行单位需要按照《通信网络安全防护管理办法》的规定,将通信网络单元的划分和定级情况向电信管理机构备案。工信部的员工会对通信网络定级备案的备案信息进行逐一审核,若备案信息有误,工信部会对相关责任部门和责任人进行问责处理,并且备案整改。如此会增加工信部员工的工作量,导致审核效率低下,审核结果不够准确。
发明内容
本申请实施例提供一种通信网络定级备案的备案信息稽核方法及系统,用以解决现有技术审核通信网络定级备案的备案信息审核结果不够准确的技术问题。
第一方面,本申请实施例提供一种通信网络定级备案的备案信息稽核方法,包括:
查询防火墙的安全策略,得到目标IP信息以及目标IP的端口服务信息,并将目标IP信息以及目标IP的端口服务信息存储至策略IP服务库;
查询服务端口,得到服务组的端口服务信息,并将服务组的端口服务信息存储至服务组库;
查询服务端口,得到端口组的端口服务信息,并将端口组的端口服务信息存储至端口组库;
查询目标IP的端口组,得到目标IP的端口组信息,并将目标IP的端口组信息存储至访问控制列表IP端口组库;
对访问控制列表IP端口组库的端口组列信息和端口组库的端口组列信息进行关联查询,以及对服务组库的IP信息和服务组列信息、端口组库的IP信息和服务组列信息、以及策略IP服务库的IP信息和服务组列信息进行关联查询,得到目标IP的防火墙信息以及端口开通信息,并将目标IP的防火墙信息以及端口开通信息存储至IP端口组库;
查询防火墙内外网的映射关系,得到具有映射关系的公网IP信息和内网IP信息,根据公网IP信息和内网IP信息,得到IP端口组库中对应IP的端口开通信息,并将公网IP信息、内网IP信息、以及IP端口组库中对应IP的端口开通信息存储至IP端口云库;
获取通信网络定级备案的备案信息,并将备案信息存储至备案信息库;
将备案信息库的备案信息与IP端口云库的信息进行关联查询,若关联查询结果为一致,则判定备案信息稽核无误,若关联查询结果为不一致,则判定备案信息稽核有误。
在一个实施例中,所述将备案信息库的备案信息与IP端口云库的信息进行关联查询,若关联查询结果为一致,则判定备案信息稽核无误,若关联查询结果为不一致,则判定备案信息稽核有误,包括:
在IP端口云库的内网IP信息和公网IP信息中查找备案信息库的IP备案信息,若在IP端口云库的内网IP信息和公网IP信息中查找得到备案信息库的IP备案信息,则比对IP端口云库的端口开通信息和备案信息库的端口开通备案信息,若比对结果为一致,则根据备案信息查询备案IP的地址类型,若查询得到的备案IP的地址类型与备案信息库的备案IP地址类型信息一致,则判定备案信息稽核无误;
在备案信息库的IP备案信息中查找IP端口云库的内网IP信息和公网IP信息,若在备案信息库的IP备案信息中查找得到IP端口云库的内网IP信息和公网IP信息,则比对IP端口云库的端口开通信息和备案信息库的端口开通备案信息,若比对结果为一致,则判定备案信息稽核无误,若在备案信息库的IP备案信息中未能找到IP端口云库的内网IP信息和公网IP信息,则判定备案信息稽核有误。
在一个实施例中,所述查询防火墙的安全策略,得到目标IP信息以及目标IP的端口服务信息,并将目标IP信息以及目标IP的端口服务信息存储至策略IP服务库,包括:
查询防火墙的安全策略,得到目标IP组信息和目标IP组的端口服务信息,将得到的目标IP组信息和目标IP组的端口服务信息存储至策略IP服务库;
查询地址组,得到目标IP组的IP信息,并将目标IP组的IP信息存储至IP组库。
在一个实施例中,所述查询防火墙内外网的映射关系,得到具有映射关系的公网IP信息和内网IP信息,根据公网IP信息和内网IP信息,得到IP端口组库中对应IP的端口开通信息,并将公网IP信息、内网IP信息、以及IP端口组库中对应IP的端口开通信息存储至IP端口云库,包括:
查询防火墙内外网映射关系,得到一对一映射的第一公网IP信息和第一内网IP信息,根据第一公网IP信息和第一内网IP信息,得到IP端口组库中对应IP的第一端口开通信息,并将第一公网IP信息、第一内网IP信息、以及第一端口开通信息存储至IP端口云库;
查询防火墙内外网映射关系,得到端口映射的第二公网IP信息和第二内网IP信息,根据第二公网IP信息和第二内网IP信息,得到IP端口组库中对应IP的第二端口开通信息,并将第二公网IP信息、第二内网IP信息、以及第二端口开通信息存储至IP端口云库。
在一个实施例中,还包括:
当判定备案信息稽核有误时,发出修正提醒信息。
在一个实施例中,所述通信网络定级备案的备案信息包括以下任一项或其任意组合:备案企业名称信息、定级备案对象信息、域名信息、IP备案信息、端口开通备案信息、备案IP地址类型信息、备案联系人信息。
第二方面,本申请实施例提供一种通信网络定级备案的备案信息稽核系统,包括:
第一查询模块,用于:查询防火墙的安全策略,得到目标IP信息以及目标IP的端口服务信息,并将目标IP信息以及目标IP的端口服务信息存储至策略IP服务库;
第二查询模块,用于:查询服务端口,得到服务组的端口服务信息,并将服务组的端口服务信息存储至服务组库;
第三查询模块,用于:查询服务端口,得到端口组的端口服务信息,并将端口组的端口服务信息存储至端口组库;
第四查询模块,用于:查询目标IP的端口组,得到目标IP的端口组信息,并将目标IP的端口组信息存储至访问控制列表IP端口组库;
关联查询模块,用于:对访问控制列表IP端口组库的端口组列信息和端口组库的端口组列信息进行关联查询,以及对服务组库的IP信息和服务组列信息、端口组库的IP信息和服务组列信息、以及策略IP服务库的IP信息和服务组列信息进行关联查询,得到目标IP的防火墙信息以及端口开通信息,并将目标IP的防火墙信息以及端口开通信息存储至IP端口组库;
第五查询模块,用于:查询防火墙内外网的映射关系,得到具有映射关系的公网IP信息和内网IP信息,根据公网IP信息和内网IP信息,得到IP端口组库中对应IP的端口开通信息,并将公网IP信息、内网IP信息、以及IP端口组库中对应IP的端口开通信息存储至IP端口云库;
备案信息获取模块,用于:获取通信网络定级备案的备案信息,并将备案信息存储至备案信息库;
备案信息稽核模块,用于:将备案信息库的备案信息与IP端口云库的信息进行关联查询,若关联查询结果为一致,则判定备案信息稽核无误,若关联查询结果为不一致,则判定备案信息稽核有误。
第三方面,本申请实施例提供一种网络设备,包括存储器,收发机,处理器;
存储器,用于存储计算机程序;收发机,用于在所述处理器的控制下收发数据;处理器,用于读取所述存储器中的计算机程序并执行以下操作:
查询防火墙的安全策略,得到目标IP信息以及目标IP的端口服务信息,并将目标IP信息以及目标IP的端口服务信息存储至策略IP服务库;
查询服务端口,得到服务组的端口服务信息,并将服务组的端口服务信息存储至服务组库;
查询服务端口,得到端口组的端口服务信息,并将端口组的端口服务信息存储至端口组库;
查询目标IP的端口组,得到目标IP的端口组信息,并将目标IP的端口组信息存储至访问控制列表IP端口组库;
对访问控制列表IP端口组库的端口组列信息和端口组库的端口组列信息进行关联查询,以及对服务组库的IP信息和服务组列信息、端口组库的IP信息和服务组列信息、以及策略IP服务库的IP信息和服务组列信息进行关联查询,得到目标IP的防火墙信息以及端口开通信息,并将目标IP的防火墙信息以及端口开通信息存储至IP端口组库;
查询防火墙内外网的映射关系,得到具有映射关系的公网IP信息和内网IP信息,根据公网IP信息和内网IP信息,得到IP端口组库中对应IP的端口开通信息,并将公网IP信息、内网IP信息、以及IP端口组库中对应IP的端口开通信息存储至IP端口云库;
获取通信网络定级备案的备案信息,并将备案信息存储至备案信息库;
将备案信息库的备案信息与IP端口云库的信息进行关联查询,若关联查询结果为一致,则判定备案信息稽核无误,若关联查询结果为不一致,则判定备案信息稽核有误。
第四方面,本申请实施例提供一种电子设备,包括处理器和存储有计算机程序的存储器,所述处理器执行所述程序时实现第一方面所述的通信网络定级备案的备案信息稽核方法的步骤。
第五方面,本申请实施例提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现第一方面所述的通信网络定级备案的备案信息稽核方法的步骤。
本申请实施例提供的通信网络定级备案的备案信息稽核方法及系统,通过查询防火墙的安全策略,得到目标IP信息以及目标IP的端口服务信息,查询服务端口,得到服务组的端口服务信息,查询服务端口,得到端口组的端口服务信息,查询目标IP的端口组,得到目标IP的端口组信息,再对访问控制列表IP端口组库的端口组列信息和端口组库的端口组列信息进行关联查询,以及对服务组库的IP信息和服务组列信息、端口组库的IP信息和服务组列信息、以及策略IP服务库的IP信息和服务组列信息进行关联查询,能够得到目标IP的防火墙信息以及端口开通信息,以获知目标IP在哪个防火墙开通了哪些端口服务;然后通过查询防火墙内外网的映射关系,得到具有映射关系的公网IP信息和内网IP信息,根据公网IP信息和内网IP信息,得到IP端口组库中对应IP的端口开通信息,如此能够获知防火墙开通了哪些公网IP以及公网IP开通了哪些端口服务;再通过将备案信息库的备案信息与IP端口云库的信息进行关联查询以稽核备案信息,当关联查询结果为一致时,判定备案信息稽核无误,当关联查询结果为不一致时,判定备案信息稽核有误。本申请实施例提供的通信网络定级备案的备案信息稽核方法及系统,通过精细化的稽核步骤逐层稽核通信网络定级备案的备案信息,能够极大程度上提高稽核备案信息的稽核结果的准确性,以及本申请实施例提供的通信网络定级备案的备案信息稽核方法能够通过自动化设备实现,有效提高稽核效率。
附图说明
为了更清楚地说明本申请或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的通信网络定级备案的备案信息稽核方法的流程示意图;
图2是本申请实施例提供的通信网络定级备案的备案信息稽核系统的结构示意图;
图3是根据本申请实施例的网络设备的结构示意图;
图4是本申请实施例提供的电子设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
图1为本申请实施例提供一种通信网络定级备案的备案信息稽核方法的流程示意图。参照图1,本申请实施例提供一种通信网络定级备案的备案信息稽核方法,可以包括:
S110、查询防火墙的安全策略,得到目标IP信息以及目标IP的端口服务信息,并将目标IP信息以及目标IP的端口服务信息存储至策略IP服务库;
S120、查询服务端口,得到服务组的端口服务信息,并将服务组的端口服务信息存储至服务组库;
S130、查询服务端口,得到端口组的端口服务信息,并将端口组的端口服务信息存储至端口组库;
S140、查询目标IP的端口组,得到目标IP的端口组信息,并将目标IP的端口组信息存储至访问控制列表IP端口组库;
S150、对访问控制列表IP端口组库的端口组列信息和端口组库的端口组列信息进行关联查询,以及对服务组库的IP信息和服务组列信息、端口组库的IP信息和服务组列信息、以及策略IP服务库的IP信息和服务组列信息进行关联查询,得到目标IP的防火墙信息以及端口开通信息,并将目标IP的防火墙信息以及端口开通信息存储至IP端口组库;
S160、查询防火墙内外网的映射关系,得到具有映射关系的公网IP信息和内网IP信息,根据公网IP信息和内网IP信息,得到IP端口组库中对应IP的端口开通信息,并将公网IP信息、内网IP信息、以及IP端口组库中对应IP的端口开通信息存储至IP端口云库;
S170、获取通信网络定级备案的备案信息,并将备案信息存储至备案信息库;
S180、将备案信息库的备案信息与IP端口云库的信息进行关联查询,若关联查询结果为一致,则判定备案信息稽核无误,若关联查询结果为不一致,则判定备案信息稽核有误。
需要说明的是,本申请实施例提供的通信网络定级备案的备案信息稽核方法的执行主体可以是任何网络侧设备,例如通信网络定级备案的备案信息稽核系统等等。
在步骤S110中,网络侧设备会查询防火墙的安全策略,得到目标IP信息以及目标IP的端口服务信息,并将目标IP信息以及目标IP的端口服务信息存储至策略IP服务库。
具体的,网络侧设备可以通过命令行进行查询防火墙的安全策略,例如可以通过命令行“display security-policy ip###”进行查询防火墙的安全策略,跟web查看一样的,一条rule就是一条安全策略。
例子1:
rule 2925name 10.10.13.97-98&103.14.11.100-101;
action pass;
description-2021-6-15;
source-zone guanli;
destination-zone Trust;
source-ip 10.10.13.97-98&103#这个是源地址组;
destination-ip 10.14.11.100-101#这个是目的地址组。
因此,网络侧设备可以通过查询防火墙的安全策略,得到目标IP信息以及目标IP的端口服务信息,并将目标IP信息以及目标IP的端口服务信息存储至策略IP服务库(policy_ip_service)。
在一种实施例中,步骤S110可以包括:
S1101、查询防火墙的安全策略,得到目标IP组信息和目标IP组的端口服务信息,将得到的目标IP组信息和目标IP组的端口服务信息存储至策略IP服务库;
S1102、查询地址组,得到目标IP组的IP信息,并将目标IP组的IP信息存储至IP组库。
网络侧设备可以通过命令行“display object-group ip address##”进行查询地址组。需要说明的是,地址组的信息包括单个主机IP信息、地址范围信息、网段信息等。
例子2:
Ip address object group 10.10.0.160/0.0.0.0:1object(in use);
GeLiCeShi;
0network host address 10.10.0.160#表示单个主机IP;
Ip address object group 10.10.1.162-164:1object(in use);
security-zone Trust;
0network range 10.10.1.162 10.10.1.164#表示地址范围;
Ip address object group 10.10.1.160/28:1object(in use);
Baoleiji;
0network subnet 10.10.1.160 255.255.255.240#表示网段。
因此,网络侧设备可以通过查询地址组得到目标IP组的IP信息,并将目标IP组的IP信息存储至IP组库(group_ip)。
在步骤S120中,网络侧设备会查询服务端口,得到服务组的端口服务信息,并将服务组的端口服务信息存储至服务组库。
网络侧设备可以通过命令行“display object-group service##”进行查询服务端口。需要说明的是,服务组的信息包括单个端口信息和端口范围信息等。
例子3:
Service object group 10.41.9.37:6objects(out of use);
P-37;
0service udp destination range 10000 30000#表示端口范围UDP10000-30000;
10service udp destination eq 5060#表示单个端口UDP5060;
20service tcp destination eq 5060;
30service tcp destination eq 8880;
40service tcp destination eq 22;
50service tcp destination eq 22088。
网络侧设备可以通过查询服务端口得到服务组的端口服务信息,并将服务组的端口服务信息存储至服务组库(group_service)。
在步骤S130中,网络侧设备会查询服务端口,得到端口组的端口服务信息,并将端口组的端口服务信息存储至端口组库。
网络侧设备可以通过命令行“display object-group port##”进行查询服务端口。需要说明的是,服务组的信息包括单个端口信息和端口范围信息。
例子4:
Port object group port-10.41.53.12:2objects(in use);
QYZHJQ-TCP-10.41.53.12;
1port eq 22#表示单个端口5060;
2port range 8033 8036#表示端口范围8033-8036。
端口协议是TCP还是UDP取决于在调用时选的端口协议是TCP还是UDP。
例子5:
rule 1110permit tcp destination 10.41.46.45 0destination-port object-group yyfwq-02-tcp-port;
rule 1115permit udp destination 10.41.46.45 0destination-port object-group yyfwq-02-udp-port。
因此,网络侧设备可以通过查询服务端口,得到端口组的端口服务信息,并将端口组的端口服务信息存储至端口组库(group_port)。
在步骤S140中,网络侧设备会查询目标IP的端口组,得到目标IP的端口组信息,并将目标IP的端口组信息存储至访问控制列表IP端口组库。
网络侧设备可以通过命令行“display acl 3002##”进行查询目标IP的端口组。或者,网络侧设备可以利用display object-group port查看端口组里包含的端口的信息。
例子6:
<KXC-YSJ-C11(C10)-3-22U-M9010-FW>dis acl 3002|inc yyfwq;
rule 1110permit tcp destination 10.41.46.45 0destination-port object-group yyfwq-02-tcp-port;
rule 1115permit udp destination 10.41.46.45 0destination-port object-group yyfwq-02-udp-port;
<KXC-YSJ-C11(C10)-3-22U-M9010-FW>dis object-group port name yyfwq-02-tcp-port#表示开放的端口有TCP22/5060/8880/22088;
Port object group yyfwq-02-tcp-port:4objects(in use);
yyfwq-02-tcp-port;
0port eq 22;
1port eq 5060;
2port eq 8880;
3port eq 22088;
<KXC-YSJ-C11(C10)-3-22U-M9010-FW>dis object-group port name yyfwq-02-udp-port#表示开放的端口有UDP5060/10000-30000;
Port object group yyfwq-02-udp-port:2objects(in use);
yyfwq-02-udp-port;
0port eq 5060;
1port range 10000 30000。
因此,网络侧设备可以通过查询目标IP的端口组,得到目标IP的端口组信息,并将目标IP的端口组信息存储至访问控制列表IP端口组库(group_acl_ip_port_tmp)。
在步骤S150中,网络侧设备会对访问控制列表IP端口组库的端口组列信息和端口组库的端口组列信息进行关联查询,以及对服务组库的IP信息和服务组列信息、端口组库的IP信息和服务组列信息、以及策略IP服务库的IP信息和服务组列信息进行关联查询,得到目标IP的防火墙信息以及端口开通信息,并将目标IP的防火墙信息以及端口开通信息存储至IP端口组库。
需要说明的是,网络侧设备对访问控制列表IP端口组库的端口组列信息和端口组库的端口组列信息进行关联查询,可以是对访问控制列表IP端口组库(group_acl_ip_port_tmp)的端口组列信息和端口组库(group_port)的端口组列信息进行关联查询,关联查询即查询访问控制列表IP端口组库(group_acl_ip_port_tmp)的端口组列信息和端口组库(group_port)的端口组列信息是否一致(group_acl_ip_port_tmp的port_str是否等于group_port的group_port)。网络侧设备对服务组库(group_service)的IP信息和服务组列信息、端口组库(group_port)的IP信息和服务组列信息、以及策略IP服务库(policy_ip_service)的IP信息和服务组列信息进行关联查询,可以是对服务组库(group_service)的IP信息和服务组列信息、端口组库(group_port)的IP信息和服务组列信息、以及策略IP服务库(policy_ip_service)的IP信息和服务组列信息进行关联查询,关联查询即查询服务组库(group_service)的IP信息和服务组列信息、端口组库(group_port)的IP信息和服务组列信息、以及策略IP服务库(policy_ip_service)的IP信息和服务组列信息是否一致(group_ip的group_ip是否等于policy_ip_service的destip,且policy_ip_service的service是否等于group_service的group_service)。
综合步骤S110-150,网络侧设备能够获知哪个目标IP在哪个防火墙开通了哪些端口服务。
在步骤S160中,网络侧设备会查询防火墙内外网的映射关系,得到具有映射关系的公网IP信息和内网IP信息,根据公网IP信息和内网IP信息,得到IP端口组库中对应IP的端口开通信息,并将公网IP信息、内网IP信息、以及IP端口组库中对应IP的端口开通信息存储至IP端口云库。
网络侧设备可以通过查询内网和外网的关系表来得到具有映射关系的公网IP信息和内网IP信息,并将公网IP信息、内网IP信息、以及IP端口组库中对应IP的端口开通信息存储至IP端口云库(cloud_ip_port)。
具体的,步骤S160可以包括:
S1601、查询防火墙内外网映射关系,得到一对一映射的第一公网IP信息和第一内网IP信息,根据第一公网IP信息和第一内网IP信息,得到IP端口组库中对应IP的第一端口开通信息,并将第一公网IP信息、第一内网IP信息、以及第一端口开通信息存储至IP端口云库;
S1602、查询防火墙内外网映射关系,得到端口映射的第二公网IP信息和第二内网IP信息,根据第二公网IP信息和第二内网IP信息,得到IP端口组库中对应IP的第二端口开通信息,并将第二公网IP信息、第二内网IP信息、以及第二端口开通信息存储至IP端口云库。
网络侧设备通过步骤S160可以解析得到防火墙IP端口映射关系,即哪些IP开了哪些端口。防火墙IP分为内网IP和公网IP,根据防火墙IP端口映射关系,即可确定内网IP开了哪些端口、公网IO开了哪些端口,如此网络侧设备能够获知防火墙开通了哪些公网IP以及公网IP开通了哪些端口服务。
在步骤S170中,网络侧设备会获取通信网络定级备案的备案信息,并将备案信息存储至备案信息库。
需要说明的是,所述通信网络定级备案的备案信息包括以下任一项或其任意组合:备案企业名称信息、定级备案对象信息、域名信息、IP备案信息、端口开通备案信息、备案IP地址类型信息、备案联系人信息。
需要说明的是,网络侧设备可以通过爬虫的方式,模拟登陆通信网络安全防护管理系统,获取通信网络定级备案的备案信息,并将备案信息存储至备案信息库(filing_grad_info)。
在步骤S180中,网络侧设备会将备案信息库的备案信息与IP端口云库的信息进行关联查询,若关联查询结果为一致,则判定备案信息稽核无误,若关联查询结果为不一致,则判定备案信息稽核有误。
通信网络定级备案的备案信息填写有误(包括多填、少填、漏填),备案对象企业是要被工信部问责通报的,所以网络侧设备对备案信息库的备案信息的稽核具有重大意义,能够预先稽核备案信息,令相关负责方及时进行修正,避免被问责通报。
具体的,网络侧设备稽核备案信息时,可以先对备案信息库(filing_grad_info)的列filling_ip和IP端口云库(cloud_ip_port)的内网IP列pri_ip和公网列map_ip列做关联查询,在IP端口云库的内网IP信息和公网IP信息中查找备案信息库的IP备案信息,若在IP端口云库的内网IP信息和公网IP信息中查找得到备案信息库的IP备案信息,则比对IP端口云库的端口开通信息和备案信息库的端口开通备案信息,若比对结果为一致,则根据备案信息查询备案IP的地址类型,若查询得到的备案IP的地址类型(类型包括公网、内网)与备案信息库的备案IP地址类型信息一致,则判定备案信息稽核无误,反之备案信息稽核有误。或者,网络侧设备稽核备案信息时,也可以在备案信息库的IP备案信息中查找IP端口云库的内网IP信息和公网IP信息,若在备案信息库的IP备案信息中能够找到IP端口云库的内网IP信息和公网IP信息,则比对IP端口云库的端口开通信息和备案信息库的端口开通备案信息,若比对结果为一致,则判定备案信息稽核无误;若在备案信息库的IP备案信息中未能找到IP端口云库的内网IP信息和公网IP信息,则判定备案信息稽核有误,这种情况属于备案信息漏填。
本申请实施例提供的通信网络定级备案的备案信息稽核方法及系统,通过查询防火墙的安全策略,得到目标IP信息以及目标IP的端口服务信息,查询服务端口,得到服务组的端口服务信息,查询服务端口,得到端口组的端口服务信息,查询目标IP的端口组,得到目标IP的端口组信息,再对访问控制列表IP端口组库的端口组列信息和端口组库的端口组列信息进行关联查询,以及对服务组库的IP信息和服务组列信息、端口组库的IP信息和服务组列信息、以及策略IP服务库的IP信息和服务组列信息进行关联查询,能够得到目标IP的防火墙信息以及端口开通信息,以获知目标IP在哪个防火墙开通了哪些端口服务;然后通过查询防火墙内外网的映射关系,得到具有映射关系的公网IP信息和内网IP信息,根据公网IP信息和内网IP信息,得到IP端口组库中对应IP的端口开通信息,如此能够获知防火墙开通了哪些公网IP以及公网IP开通了哪些端口服务;再通过将备案信息库的备案信息与IP端口云库的信息进行关联查询以稽核备案信息,当关联查询结果为一致时,判定备案信息稽核无误,当关联查询结果为不一致时,判定备案信息稽核有误。本申请实施例提供的通信网络定级备案的备案信息稽核方法及系统,通过精细化的稽核步骤逐层稽核通信网络定级备案的备案信息,能够极大程度上提高稽核备案信息的稽核结果的准确性,以及本申请实施例提供的通信网络定级备案的备案信息稽核方法能够通过自动化设备实现,有效提高稽核效率。
在一种实施例中,本申请实施例提供的通信网络定级备案的备案信息稽核方法还可以包括:
S190、当判定备案信息稽核有误时,发出修正提醒信息。
在步骤S190中,当判定备案信息稽核有误时,网络侧设备会及时发出修正提醒信息,例如可以根据备案信息中的备案企业名称信息及时提醒企业进行备案信息的修正,或提醒相关通信网络运行单位及时修正备案信息,避免被工信部问责通报。
另外,工信部也可以通过本申请实施例提供的通信网络定级备案的备案信息稽核方法对通信网络定级备案的备案信息进行稽核,以提高稽核效率和稽核的准确性。
下面对本申请实施例提供的通信网络定级备案的备案信息稽核系统进行描述,下文描述的通信网络定级备案的备案信息稽核系统与上文描述的通信网络定级备案的备案信息稽核方法可相互对应参照。
参照图2,本申请实施例提供的通信网络定级备案的备案信息稽核系统,可以包括:
第一查询模块210,用于:查询防火墙的安全策略,得到目标IP信息以及目标IP的端口服务信息,并将目标IP信息以及目标IP的端口服务信息存储至策略IP服务库;
第二查询模块220,用于:查询服务端口,得到服务组的端口服务信息,并将服务组的端口服务信息存储至服务组库;
第三查询模块230,用于:查询服务端口,得到端口组的端口服务信息,并将端口组的端口服务信息存储至端口组库;
第四查询模块240,用于:查询目标IP的端口组,得到目标IP的端口组信息,并将目标IP的端口组信息存储至访问控制列表IP端口组库;
关联查询模块250,用于:对访问控制列表IP端口组库的端口组列信息和端口组库的端口组列信息进行关联查询,以及对服务组库的IP信息和服务组列信息、端口组库的IP信息和服务组列信息、以及策略IP服务库的IP信息和服务组列信息进行关联查询,得到目标IP的防火墙信息以及端口开通信息,并将目标IP的防火墙信息以及端口开通信息存储至IP端口组库;
第五查询模块260,用于:查询防火墙内外网的映射关系,得到具有映射关系的公网IP信息和内网IP信息,根据公网IP信息和内网IP信息,得到IP端口组库中对应IP的端口开通信息,并将公网IP信息、内网IP信息、以及IP端口组库中对应IP的端口开通信息存储至IP端口云库;
备案信息获取模块270,用于:获取通信网络定级备案的备案信息,并将备案信息存储至备案信息库;
备案信息稽核模块280,用于:将备案信息库的备案信息与IP端口云库的信息进行关联查询,若关联查询结果为一致,则判定备案信息稽核无误,若关联查询结果为不一致,则判定备案信息稽核有误。
在一种实施例中,所述备案信息稽核模块280可以包括:
第一稽核子模块2801,用于:备案信息稽核子模块280,用于:在IP端口云库的内网IP信息和公网IP信息中查找备案信息库的IP备案信息,若在IP端口云库的内网IP信息和公网IP信息中查找得到备案信息库的IP备案信息,则比对IP端口云库的端口开通信息和备案信息库的端口开通备案信息,若比对结果为一致,则根据备案信息查询备案IP的地址类型,若查询得到的备案IP的地址类型与备案信息库的备案IP地址类型信息一致,则判定备案信息稽核无误;
第二稽核子模块2802,用于:在备案信息库的IP备案信息中查找IP端口云库的内网IP信息和公网IP信息,若在备案信息库的IP备案信息中查找得到IP端口云库的内网IP信息和公网IP信息,则比对IP端口云库的端口开通信息和备案信息库的端口开通备案信息,若比对结果为一致,则判定备案信息稽核无误,若在备案信息库的IP备案信息中未能找到IP端口云库的内网IP信息和公网IP信息,则判定备案信息稽核有误。
在一种实施例中,所述第一查询模块210可以包括:
安全策略查询子模块2101,用于:查询防火墙的安全策略,得到目标IP组信息和目标IP组的端口服务信息,将得到的目标IP组信息和目标IP组的端口服务信息存储至策略IP服务库;
地址组查询子模块2102,用于:查询地址组,得到目标IP组的IP信息,并将目标IP组的IP信息存储至IP组库。
在一种实施例中,所述第五查询模块260可以包括:
第一内外网映射查询子模块2601,用于:查询防火墙内外网映射关系,得到一对一映射的第一公网IP信息和第一内网IP信息,根据第一公网IP信息和第一内网IP信息,得到IP端口组库中对应IP的第一端口开通信息,并将第一公网IP信息、第一内网IP信息、以及第一端口开通信息存储至IP端口云库;
第二内外网映射查询子模块2602,用于:查询防火墙内外网映射关系,得到端口映射的第二公网IP信息和第二内网IP信息,根据第二公网IP信息和第二内网IP信息,得到IP端口组库中对应IP的第二端口开通信息,并将第二公网IP信息、第二内网IP信息、以及第二端口开通信息存储至IP端口云库。
在一种实施例中,还包括:
修正提醒模块,用于:当判定备案信息稽核有误时,发出修正提醒信息。
需要说明的是,所述通信网络定级备案的备案信息包括以下任一项或其任意组合:备案企业名称信息、定级备案对象信息、域名信息、IP备案信息、端口开通备案信息、备案IP地址类型信息、备案联系人信息。
图3为根据本申请实施例的网络设备的结构示意图,参照图3,本申请实施例还提供一种网络设备,可以包括:存储器X10,收发机X20以及处理器X30;
存储器X10用于存储计算机程序;收发机X20,用于在所述处理器X30的控制下收发数据;处理器X30,用于读取所述存储器X10中的计算机程序并执行以下操作:
查询防火墙的安全策略,得到目标IP信息以及目标IP的端口服务信息,并将目标IP信息以及目标IP的端口服务信息存储至策略IP服务库;
查询服务端口,得到服务组的端口服务信息,并将服务组的端口服务信息存储至服务组库;
查询服务端口,得到端口组的端口服务信息,并将端口组的端口服务信息存储至端口组库;
查询目标IP的端口组,得到目标IP的端口组信息,并将目标IP的端口组信息存储至访问控制列表IP端口组库;
对访问控制列表IP端口组库的端口组列信息和端口组库的端口组列信息进行关联查询,以及对服务组库的IP信息和服务组列信息、端口组库的IP信息和服务组列信息、以及策略IP服务库的IP信息和服务组列信息进行关联查询,得到目标IP的防火墙信息以及端口开通信息,并将目标IP的防火墙信息以及端口开通信息存储至IP端口组库;
查询防火墙内外网的映射关系,得到具有映射关系的公网IP信息和内网IP信息,根据公网IP信息和内网IP信息,得到IP端口组库中对应IP的端口开通信息,并将公网IP信息、内网IP信息、以及IP端口组库中对应IP的端口开通信息存储至IP端口云库;
获取通信网络定级备案的备案信息,并将备案信息存储至备案信息库;
将备案信息库的备案信息与IP端口云库的信息进行关联查询,若关联查询结果为一致,则判定备案信息稽核无误,若关联查询结果为不一致,则判定备案信息稽核有误。
其中,在图3中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器X30代表的一个或多个处理器和存储器X10代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机X20可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。处理器X30负责管理总线架构和通常的处理,存储器X10可以存储处理器X30在执行操作时所使用的数据。
在此需要说明的是,本申请实施例提供的终端以及网络设备,能够实现上述方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
图4示例了一种电子设备的实体结构示意图,如图4所示,该电子设备可以包括:处理器(processor)810、通信接口(Communication Interface)820、存储器(memory)830和通信总线840,其中,处理器810,通信接口820,存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的计算机程序,以执行通信网络定级备案的备案信息稽核方法的步骤,例如包括:
查询防火墙的安全策略,得到目标IP信息以及目标IP的端口服务信息,并将目标IP信息以及目标IP的端口服务信息存储至策略IP服务库;
查询服务端口,得到服务组的端口服务信息,并将服务组的端口服务信息存储至服务组库;
查询服务端口,得到端口组的端口服务信息,并将端口组的端口服务信息存储至端口组库;
查询目标IP的端口组,得到目标IP的端口组信息,并将目标IP的端口组信息存储至访问控制列表IP端口组库;
对访问控制列表IP端口组库的端口组列信息和端口组库的端口组列信息进行关联查询,以及对服务组库的IP信息和服务组列信息、端口组库的IP信息和服务组列信息、以及策略IP服务库的IP信息和服务组列信息进行关联查询,得到目标IP的防火墙信息以及端口开通信息,并将目标IP的防火墙信息以及端口开通信息存储至IP端口组库;
查询防火墙内外网的映射关系,得到具有映射关系的公网IP信息和内网IP信息,根据公网IP信息和内网IP信息,得到IP端口组库中对应IP的端口开通信息,并将公网IP信息、内网IP信息、以及IP端口组库中对应IP的端口开通信息存储至IP端口云库;
获取通信网络定级备案的备案信息,并将备案信息存储至备案信息库;
将备案信息库的备案信息与IP端口云库的信息进行关联查询,若关联查询结果为一致,则判定备案信息稽核无误,若关联查询结果为不一致,则判定备案信息稽核有误。
此外,上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本申请实施例还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,所述计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各实施例所提供的通信网络定级备案的备案信息稽核方法的步骤,例如包括:
查询防火墙的安全策略,得到目标IP信息以及目标IP的端口服务信息,并将目标IP信息以及目标IP的端口服务信息存储至策略IP服务库;
查询服务端口,得到服务组的端口服务信息,并将服务组的端口服务信息存储至服务组库;
查询服务端口,得到端口组的端口服务信息,并将端口组的端口服务信息存储至端口组库;
查询目标IP的端口组,得到目标IP的端口组信息,并将目标IP的端口组信息存储至访问控制列表IP端口组库;
对访问控制列表IP端口组库的端口组列信息和端口组库的端口组列信息进行关联查询,以及对服务组库的IP信息和服务组列信息、端口组库的IP信息和服务组列信息、以及策略IP服务库的IP信息和服务组列信息进行关联查询,得到目标IP的防火墙信息以及端口开通信息,并将目标IP的防火墙信息以及端口开通信息存储至IP端口组库;
查询防火墙内外网的映射关系,得到具有映射关系的公网IP信息和内网IP信息,根据公网IP信息和内网IP信息,得到IP端口组库中对应IP的端口开通信息,并将公网IP信息、内网IP信息、以及IP端口组库中对应IP的端口开通信息存储至IP端口云库;
获取通信网络定级备案的备案信息,并将备案信息存储至备案信息库;
将备案信息库的备案信息与IP端口云库的信息进行关联查询,若关联查询结果为一致,则判定备案信息稽核无误,若关联查询结果为不一致,则判定备案信息稽核有误。
另一方面,本申请实施例还提供一种处理器可读存储介质,所述处理器可读存储介质存储有计算机程序,所述计算机程序用于使处理器执行上述各实施例提供的方法的步骤,例如包括:
查询防火墙的安全策略,得到目标IP信息以及目标IP的端口服务信息,并将目标IP信息以及目标IP的端口服务信息存储至策略IP服务库;
查询服务端口,得到服务组的端口服务信息,并将服务组的端口服务信息存储至服务组库;
查询服务端口,得到端口组的端口服务信息,并将端口组的端口服务信息存储至端口组库;
查询目标IP的端口组,得到目标IP的端口组信息,并将目标IP的端口组信息存储至访问控制列表IP端口组库;
对访问控制列表IP端口组库的端口组列信息和端口组库的端口组列信息进行关联查询,以及对服务组库的IP信息和服务组列信息、端口组库的IP信息和服务组列信息、以及策略IP服务库的IP信息和服务组列信息进行关联查询,得到目标IP的防火墙信息以及端口开通信息,并将目标IP的防火墙信息以及端口开通信息存储至IP端口组库;
查询防火墙内外网的映射关系,得到具有映射关系的公网IP信息和内网IP信息,根据公网IP信息和内网IP信息,得到IP端口组库中对应IP的端口开通信息,并将公网IP信息、内网IP信息、以及IP端口组库中对应IP的端口开通信息存储至IP端口云库;
获取通信网络定级备案的备案信息,并将备案信息存储至备案信息库;
将备案信息库的备案信息与IP端口云库的信息进行关联查询,若关联查询结果为一致,则判定备案信息稽核无误,若关联查询结果为不一致,则判定备案信息稽核有误。
所述处理器可读存储介质可以是处理器能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NANDFLASH)、固态硬盘(SSD))等。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (9)
1.一种通信网络定级备案的备案信息稽核方法,其特征在于,包括:
查询防火墙的安全策略,得到目标IP信息以及目标IP的端口服务信息,并将目标IP信息以及目标IP的端口服务信息存储至策略IP服务库;
查询服务端口,得到服务组的端口服务信息,并将服务组的端口服务信息存储至服务组库;
查询服务端口,得到端口组的端口服务信息,并将端口组的端口服务信息存储至端口组库;
查询目标IP的端口组,得到目标IP的端口组信息,并将目标IP的端口组信息存储至访问控制列表IP端口组库;
对访问控制列表IP端口组库的端口组列信息和端口组库的端口组列信息进行关联查询,以及对服务组库的IP信息和服务组列信息、端口组库的IP信息和服务组列信息、以及策略IP服务库的IP信息和服务组列信息进行关联查询,得到目标IP的防火墙信息以及端口开通信息,并将目标IP的防火墙信息以及端口开通信息存储至IP端口组库;
查询防火墙内外网的映射关系,得到具有映射关系的公网IP信息和内网IP信息,根据公网IP信息和内网IP信息,得到IP端口组库中对应IP的端口开通信息,并将公网IP信息、内网IP信息、以及IP端口组库中对应IP的端口开通信息存储至IP端口云库;
获取通信网络定级备案的备案信息,并将备案信息存储至备案信息库;
将备案信息库的备案信息与IP端口云库的信息进行关联查询,若关联查询结果为一致,则判定备案信息稽核无误,若关联查询结果为不一致,则判定备案信息稽核有误;
所述将备案信息库的备案信息与IP端口云库的信息进行关联查询,若关联查询结果为一致,则判定备案信息稽核无误,若关联查询结果为不一致,则判定备案信息稽核有误,包括:
在IP端口云库的内网IP信息和公网IP信息中查找备案信息库的IP备案信息,若在IP端口云库的内网IP信息和公网IP信息中查找得到备案信息库的IP备案信息,则比对IP端口云库的端口开通信息和备案信息库的端口开通备案信息,若比对结果为一致,则根据备案信息查询备案IP的地址类型,若查询得到的备案IP的地址类型与备案信息库的备案IP地址类型信息一致,则判定备案信息稽核无误;
在备案信息库的IP备案信息中查找IP端口云库的内网IP信息和公网IP信息,若在备案信息库的IP备案信息中查找得到IP端口云库的内网IP信息和公网IP信息,则比对IP端口云库的端口开通信息和备案信息库的端口开通备案信息,若比对结果为一致,则判定备案信息稽核无误,若在备案信息库的IP备案信息中未能找到IP端口云库的内网IP信息和公网IP信息,则判定备案信息稽核有误。
2.根据权利要求1所述的通信网络定级备案的备案信息稽核方法,其特征在于,所述查询防火墙的安全策略,得到目标IP信息以及目标IP的端口服务信息,并将目标IP信息以及目标IP的端口服务信息存储至策略IP服务库,包括:
查询防火墙的安全策略,得到目标IP组信息和目标IP组的端口服务信息,将得到的目标IP组信息和目标IP组的端口服务信息存储至策略IP服务库;
查询地址组,得到目标IP组的IP信息,并将目标IP组的IP信息存储至IP组库。
3.根据权利要求1所述的通信网络定级备案的备案信息稽核方法,其特征在于,所述查询防火墙内外网的映射关系,得到具有映射关系的公网IP信息和内网IP信息,根据公网IP信息和内网IP信息,得到IP端口组库中对应IP的端口开通信息,并将公网IP信息、内网IP信息、以及IP端口组库中对应IP的端口开通信息存储至IP端口云库,包括:
查询防火墙内外网映射关系,得到一对一映射的第一公网IP信息和第一内网IP信息,根据第一公网IP信息和第一内网IP信息,得到IP端口组库中对应IP的第一端口开通信息,并将第一公网IP信息、第一内网IP信息、以及第一端口开通信息存储至IP端口云库;
查询防火墙内外网映射关系,得到端口映射的第二公网IP信息和第二内网IP信息,根据第二公网IP信息和第二内网IP信息,得到IP端口组库中对应IP的第二端口开通信息,并将第二公网IP信息、第二内网IP信息、以及第二端口开通信息存储至IP端口云库。
4.根据权利要求1所述的通信网络定级备案的备案信息稽核方法,其特征在于,还包括:
当判定备案信息稽核有误时,发出修正提醒信息。
5.根据权利要求1-3任一项所述的通信网络定级备案的备案信息稽核方法,其特征在于,所述通信网络定级备案的备案信息包括以下任一项或其任意组合:备案企业名称信息、定级备案对象信息、域名信息、IP备案信息、端口开通备案信息、备案IP地址类型信息、备案联系人信息。
6.一种通信网络定级备案的备案信息稽核系统,其特征在于,包括:
第一查询模块,用于:查询防火墙的安全策略,得到目标IP信息以及目标IP的端口服务信息,并将目标IP信息以及目标IP的端口服务信息存储至策略IP服务库;
第二查询模块,用于:查询服务端口,得到服务组的端口服务信息,并将服务组的端口服务信息存储至服务组库;
第三查询模块,用于:查询服务端口,得到端口组的端口服务信息,并将端口组的端口服务信息存储至端口组库;
第四查询模块,用于:查询目标IP的端口组,得到目标IP的端口组信息,并将目标IP的端口组信息存储至访问控制列表IP端口组库;
关联查询模块,用于:对访问控制列表IP端口组库的端口组列信息和端口组库的端口组列信息进行关联查询,以及对服务组库的IP信息和服务组列信息、端口组库的IP信息和服务组列信息、以及策略IP服务库的IP信息和服务组列信息进行关联查询,得到目标IP的防火墙信息以及端口开通信息,并将目标IP的防火墙信息以及端口开通信息存储至IP端口组库;
第五查询模块,用于:查询防火墙内外网的映射关系,得到具有映射关系的公网IP信息和内网IP信息,根据公网IP信息和内网IP信息,得到IP端口组库中对应IP的端口开通信息,并将公网IP信息、内网IP信息、以及IP端口组库中对应IP的端口开通信息存储至IP端口云库;
备案信息获取模块,用于:获取通信网络定级备案的备案信息,并将备案信息存储至备案信息库;
备案信息稽核模块,用于:将备案信息库的备案信息与IP端口云库的信息进行关联查询,若关联查询结果为一致,则判定备案信息稽核无误,若关联查询结果为不一致,则判定备案信息稽核有误;
所述将备案信息库的备案信息与IP端口云库的信息进行关联查询,若关联查询结果为一致,则判定备案信息稽核无误,若关联查询结果为不一致,则判定备案信息稽核有误,包括:
在IP端口云库的内网IP信息和公网IP信息中查找备案信息库的IP备案信息,若在IP端口云库的内网IP信息和公网IP信息中查找得到备案信息库的IP备案信息,则比对IP端口云库的端口开通信息和备案信息库的端口开通备案信息,若比对结果为一致,则根据备案信息查询备案IP的地址类型,若查询得到的备案IP的地址类型与备案信息库的备案IP地址类型信息一致,则判定备案信息稽核无误;
在备案信息库的IP备案信息中查找IP端口云库的内网IP信息和公网IP信息,若在备案信息库的IP备案信息中查找得到IP端口云库的内网IP信息和公网IP信息,则比对IP端口云库的端口开通信息和备案信息库的端口开通备案信息,若比对结果为一致,则判定备案信息稽核无误,若在备案信息库的IP备案信息中未能找到IP端口云库的内网IP信息和公网IP信息,则判定备案信息稽核有误。
7.一种网络设备,其特征在于,包括存储器,收发机,处理器;
存储器,用于存储计算机程序;收发机,用于在所述处理器的控制下收发数据;处理器,用于读取所述存储器中的计算机程序并执行以下操作:
查询防火墙的安全策略,得到目标IP信息以及目标IP的端口服务信息,并将目标IP信息以及目标IP的端口服务信息存储至策略IP服务库;
查询服务端口,得到服务组的端口服务信息,并将服务组的端口服务信息存储至服务组库;
查询服务端口,得到端口组的端口服务信息,并将端口组的端口服务信息存储至端口组库;
查询目标IP的端口组,得到目标IP的端口组信息,并将目标IP的端口组信息存储至访问控制列表IP端口组库;
对访问控制列表IP端口组库的端口组列信息和端口组库的端口组列信息进行关联查询,以及对服务组库的IP信息和服务组列信息、端口组库的IP信息和服务组列信息、以及策略IP服务库的IP信息和服务组列信息进行关联查询,得到目标IP的防火墙信息以及端口开通信息,并将目标IP的防火墙信息以及端口开通信息存储至IP端口组库;
查询防火墙内外网的映射关系,得到具有映射关系的公网IP信息和内网IP信息,根据公网IP信息和内网IP信息,得到IP端口组库中对应IP的端口开通信息,并将公网IP信息、内网IP信息、以及IP端口组库中对应IP的端口开通信息存储至IP端口云库;
获取通信网络定级备案的备案信息,并将备案信息存储至备案信息库;
将备案信息库的备案信息与IP端口云库的信息进行关联查询,若关联查询结果为一致,则判定备案信息稽核无误,若关联查询结果为不一致,则判定备案信息稽核有误;
所述将备案信息库的备案信息与IP端口云库的信息进行关联查询,若关联查询结果为一致,则判定备案信息稽核无误,若关联查询结果为不一致,则判定备案信息稽核有误,包括:
在IP端口云库的内网IP信息和公网IP信息中查找备案信息库的IP备案信息,若在IP端口云库的内网IP信息和公网IP信息中查找得到备案信息库的IP备案信息,则比对IP端口云库的端口开通信息和备案信息库的端口开通备案信息,若比对结果为一致,则根据备案信息查询备案IP的地址类型,若查询得到的备案IP的地址类型与备案信息库的备案IP地址类型信息一致,则判定备案信息稽核无误;
在备案信息库的IP备案信息中查找IP端口云库的内网IP信息和公网IP信息,若在备案信息库的IP备案信息中查找得到IP端口云库的内网IP信息和公网IP信息,则比对IP端口云库的端口开通信息和备案信息库的端口开通备案信息,若比对结果为一致,则判定备案信息稽核无误,若在备案信息库的IP备案信息中未能找到IP端口云库的内网IP信息和公网IP信息,则判定备案信息稽核有误。
8.一种电子设备,包括处理器和存储有计算机程序的存储器,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至4任一项所述的通信网络定级备案的备案信息稽核方法。
9.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4任一项所述的通信网络定级备案的备案信息稽核方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210572299.2A CN114978706B (zh) | 2022-05-24 | 2022-05-24 | 通信网络定级备案的备案信息稽核方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210572299.2A CN114978706B (zh) | 2022-05-24 | 2022-05-24 | 通信网络定级备案的备案信息稽核方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114978706A CN114978706A (zh) | 2022-08-30 |
CN114978706B true CN114978706B (zh) | 2024-01-30 |
Family
ID=82954996
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210572299.2A Active CN114978706B (zh) | 2022-05-24 | 2022-05-24 | 通信网络定级备案的备案信息稽核方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114978706B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1635511A (zh) * | 2003-12-26 | 2005-07-06 | 鸿富锦精密工业(深圳)有限公司 | 动态稽核系统及方法 |
CN103905464A (zh) * | 2014-04-21 | 2014-07-02 | 西安电子科技大学 | 基于形式化方法的网络安全策略验证系统及方法 |
CN112565300A (zh) * | 2020-12-25 | 2021-03-26 | 联通(广东)产业互联网有限公司 | 基于行业云黑客攻击识别与封堵方法、系统、装置及介质 |
-
2022
- 2022-05-24 CN CN202210572299.2A patent/CN114978706B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1635511A (zh) * | 2003-12-26 | 2005-07-06 | 鸿富锦精密工业(深圳)有限公司 | 动态稽核系统及方法 |
CN103905464A (zh) * | 2014-04-21 | 2014-07-02 | 西安电子科技大学 | 基于形式化方法的网络安全策略验证系统及方法 |
CN112565300A (zh) * | 2020-12-25 | 2021-03-26 | 联通(广东)产业互联网有限公司 | 基于行业云黑客攻击识别与封堵方法、系统、装置及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114978706A (zh) | 2022-08-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9336400B2 (en) | Information asset placer | |
CN106254045B (zh) | 一种数据校验方法及装置 | |
US20080040417A1 (en) | System and method for allocating workflow operations to a computing device | |
EP3414881A1 (en) | Security system | |
US20080095334A1 (en) | Automatic Status Notification | |
WO2016210236A1 (en) | Systems for diagnosing and tracking product vulnerabilities | |
WO2019005399A1 (en) | FIREWALL CONFIGURATION MANAGER | |
CN109447820B (zh) | 数据处理方法、装置、计算机设备及存储介质 | |
US10884862B2 (en) | Method and apparatus for processing failure of cipher change of ciphertext in database | |
CN112698820B (zh) | 存储器和交换机统一监控管理方法、装置和计算机设备 | |
CN111078447A (zh) | 一种微服务架构中的异常定位方法、装置、设备、介质 | |
CN107704475B (zh) | 多层分布式非结构化数据存储方法、查询方法及装置 | |
CN107633386B (zh) | 网络终端信息的管理方法、系统、设备及存储介质 | |
CN116846619A (zh) | 一种自动化网络安全风险评估方法、系统及可读存储介质 | |
WO2023056259A1 (en) | Asset inventorying system with in-context asset valuation prioritization | |
CN114978706B (zh) | 通信网络定级备案的备案信息稽核方法及系统 | |
AU2017276243A1 (en) | System And Method For Generating Service Operation Implementation | |
CN109729050A (zh) | 一种网络访问监控方法及装置 | |
CN108133150B (zh) | 基于合同数据的安全管理系统、存储介质及电子终端 | |
US11422882B1 (en) | Systems, methods, and apparatuses for determining causality for anomalies and/or events | |
US20200387813A1 (en) | Dynamically adaptable rules and communication system to manage process control-based use cases | |
CN111241547B (zh) | 一种越权漏洞的检测方法、装置及系统 | |
US11010479B2 (en) | Cyber security for space-switching program calls | |
US8244761B1 (en) | Systems and methods for restricting access to internal data of an organization by external entity | |
CN111241376B (zh) | 多级信息匹配方法、装置及云服务平台 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |