CN116318795A - 网络安全防护系统 - Google Patents
网络安全防护系统 Download PDFInfo
- Publication number
- CN116318795A CN116318795A CN202211618522.9A CN202211618522A CN116318795A CN 116318795 A CN116318795 A CN 116318795A CN 202211618522 A CN202211618522 A CN 202211618522A CN 116318795 A CN116318795 A CN 116318795A
- Authority
- CN
- China
- Prior art keywords
- security
- module
- information
- policy
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 claims abstract description 49
- 230000004044 response Effects 0.000 claims description 71
- 238000000034 method Methods 0.000 claims description 46
- 238000013480 data collection Methods 0.000 claims description 30
- 238000005259 measurement Methods 0.000 claims description 27
- 238000004458 analytical method Methods 0.000 claims description 25
- 238000012544 monitoring process Methods 0.000 claims description 25
- 230000008569 process Effects 0.000 claims description 21
- 238000012545 processing Methods 0.000 claims description 8
- 230000007123 defense Effects 0.000 abstract description 4
- 230000009286 beneficial effect Effects 0.000 description 18
- 238000013461 design Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 3
- 238000004659 sterilization and disinfection Methods 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000005484 gravity Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000037361 pathway Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000000725 suspension Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/302—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Evolutionary Computation (AREA)
- Technology Law (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种网络安全防护系统,涉及通信技术领域,能够实现动态调整安全对象的防御策略。该系统包括:安全对象,被配置为:获取自身的运行环境信息和第一安全态势信息;根据运行环境信息,确定第一安全策略;向安全服务平台发送运行环境信息和第一安全态势信息;安全服务平台,被配置为:根据运行环境信息和第一安全态势信息以及第三方数据库中的数据,确定第二安全策略;向安全对象发送第二安全策略;安全对象,被配置为:根据第一安全策略和第二安全策略,进行安全防护。本申请的实施例应用于安全对象的防护。
Description
技术领域
本申请涉及通信领域,尤其涉及一种网络安全防护系统。
背景技术
随着物联网市场的不断增长,物联网设备的数量和种类也随之不断增加。大量的异构物联网设备在运行的过程中,会发生各种各样的安全事件。
相关技术中,在对安全对象进行防护时,主要是对特定或某类安全对象、操作系统进行的检测、杀毒,无法动态调整安全对象的防御策略。由于安全对象的种类众多,且其网络安全需求一直处于变化的状态,常规统一的安全防护方法无法实现对安全对象的有效保护。如何动态调整安全对象的防御策略是仍待解决的问题。
发明内容
本申请提供了一种网络安全防护系统,用于实现动态调整安全对象的防御策略。
为达到上述目的,本申请采用如下技术方案:
第一方面,本申请实施例提供了一种网络安全防护系统,网络安全防护包括:安全对象,被配置为:获取自身的运行环境信息和第一安全态势信息;根据运行环境信息,确定第一安全策略;向安全服务平台发送运行环境息和第一安全态势信息;安全服务平台,被配置为:根据运行环境信息和第一安全态势信息以及第三方数据库中的数据,确定第二安全策略;向安全对象发送第二安全策略;安全对象,被配置为:根据第一安全策略和第二安全策略,进行安全防护。
结合上述第一方面,在一种可能的实现方式中,系统还包括:密码服务平台:密码服务平台,被配置为:向安全对象发送第一安全身份凭证和密钥;向安全服务平台发送第二安全身份凭证和密钥;安全对象,被配置为:通过第一安全身份凭证和密钥与安全服务平台进行加密通信;安全服务平台,被配置为:通过第二安全身份凭证和密钥与安全对象进行加密通信。
结合上述第一方面,在一种可能的实现方式中,安全对象包括:可适配系统和系列安全服务模块;系列安全服务模块,被配置为:获取安全对象的运行环境信息和第一安全态势信息;向安全服务平台发送运行环境信息和第一安全态势信息;可适配系统,被配置为:获取安全对象的运行环境数据信息,根据运行环境信息,确定第一安全策略,第一安全策略用于指示强制修改安全对象中应用的权限。
结合上述第一方面,在一种可能的实现方式中,系列安全服务模块包括:数据收集与上传模块、能力注册与指令执行模块、配置管理模块、安全监测模块、安全增强模块;数据收集与上传模块,被配置为:调用可适配系统的接口,获取安全对象的日志;根据安全对象的日志,确定安全对象的运行环境信息和第一安全态势信息;向安全服务平台发送运行环境信息和第一安全态势信息;能力注册与指令执行模块,被配置为:向安全服务平台发送第一配置信息,第一配置信息包括安全对象的所有模块的能力;接收安全服务平台发送的第二策略,将第二策略转发至安全系统或者安全子系统;配置管理模块,被配置为:根据安全服务平台的第一指示信息,协助安全对象中的模块完成目标任务,第一指示信息包括第一目标模块和第一目标策略;安全监测模块,被配置为:根据安全服务平台的第三安全策略,对安全对象中的威胁、漏洞进行实时监测,第三安全用于指示启动安全监测模块;安全增强模块,被配置为:根据安全服务平台的第二安全策略,生成第四安全策略,第四安全策略的防护等级高于第二安全策略。
结合上述第一方面,在一种可能的实现方式中,可适配系统包括:密码服务模块、安全子系统、安全管理模块、安全基础服务模块;密码服务模块,被配置为:接收并保存密码服务平台发送的第一安全身份凭证和密钥;安全子系统,还被配置为:调用密码服务模块中的第一安全身份凭证和密钥;通过数据收集与上传模块向安全服务平台或其他安全对象发送第一安全身份凭证和密钥;安全管理模块,被配置为:根据安全管理平台发送的第三指示信息,在系列安全服务模块中创建新的模块;第三指示信息包括安全管理平台的需求;对系列安全服务模块中模块进行管理;安全基础服务模块,被配置为:为安全系统和安全子建立统一的接口,进行统一管理。
结合上述第一方面,在一种可能的实现方式中,安全服务平台包括:安全态势感知系统、安全管控与处置响应系统以及统一编排管理系统;安全态势感知系统,被配置为:对运行环境信息和第一安全态势信息以及第三方数据库中的数据进行分析,确定安全对象的第二安全态势信息;向统一编排管理系统发送安全对象的第二安全态势信息;统一编排管理系统,被配置为:根据安全对象的第二安全态势信息,确定安全对象是否存在安全隐患;在安全对象存在安全隐患的情况下,确定第二安全策略,并向安全管控与处置响应系统发送第四指示信息,第四指示信息用于指示安全管控与处置响应系统向安全对象发送第二安全策略;安全管控与处置响应系统,被配置为:根据第四指示信息,向安全对象发送第二安全策略;接收安全对象发送的响应消息,响应消息用于指示安全对象是否执行第二安全策略。
结合上述第一方面,在一种可能的实现方式中,安全服务平台还包括:专业人员在线系统;专业人员在线系统,被配置为:对运行环境信息和第一安全态势信息进行人工分析,确定安全对象的第四安全态势信息;向统一编排管理系统发送安全对象的第四安全态势信息;密码服务模块,被配置为:接收并保存密码服务平台发送的第二安全身份凭证和密钥。
结合上述第一方面,在一种可能的实现方式中,统一编排管理系统包括:需求分析模块、统一编排模块、安全态势度量模块以及任务分配执行模块;需求分析模块,被配置为:对安全对象的第二安全态势信息进行安全需求分析,确定安全对象的安全目标,安全目标用于表征安全对象理想工作的状态;统一编排模块,被配置为:接收安全目标,向安全态势度量发送第三指示信息,第三指示信息用于指示安全态势度量模块对安全对象的第二安全态势信息进行处理;安全态势度量模块,被配置为:根据第三指示信息,对安全对象的第二安全态势信息进行处理,得到第三安全态势信息,使得统一编排模块分析第三安全态势信息;统一编排模块,还被配置为:根据第一数据和安全目标,确定第二安全策略;任务分配执行模块,被配置为:向安全对象中的能力注册与指令执行模块发送第二安全策略。
结合上述第一方面,在一种可能的实现方式中,安全对象包括:数据收集与上传模块;安全服务平台包括:统一编排管理系统、安全管控与处置响应系统以及安全态势感知系统;数据收集与上传模块,被配置为:获取安全对象的日志;根据安全对象的日志,确定安全对象的运行环境信息和第一安全态势信息;向统一编排管理系统发送运行环境信息和第一安全态势信息;统一编排管理系统,被配置为:向安全态势感知系统发送运行环境信息和第一安全态势信息;安全态势感知系统,被配置为:对运行环境信息和第一安全态势信息以及第三方数据库中的数据进行分析,确定安全对象的第二安全态势信息;向统一编排管理系统发送安全对象的第二安全态势信息;统一编排管理系统,还被配置为:根据安全对象的第二安全态势信息,确定安全对象是否存在安全隐患;在安全对象存在安全隐患的情况下,确定第二安全策略,并向安全管控与处置响应系统发送第四指示信息,第四指示信息用于指示安全管控与处置响应系统向安全对象发送第二安全策略;或,统一编排管理系统,还被配置为:根据安全对象的第二安全态势信息,确定安全对象是否存在安全隐患;在安全对象存在安全隐患的情况下,确定第三安全策略,并向安全管控与处置响应系统发送第五指示信息,第五指示信息用于指示安全管控与处置响应系统向安全对象发送第三安全策略;安全管控与处置响应系统,被配置为:根据第四指示信息,向安全对象发送第二安全策略;接收安全对象发送的第一响应消息,响应消息用于指示安全对象是否执行第二安全策略;或,安全管控与处置响应系统,被配置为:根据第五指示信息,向安全对象发送第三安全策略;接收安全对象发送的第二响应消息,第一消息用于指示安全对象是否执行第三安全策略。
结合上述第一方面,在一种可能的实现方式中,系统包括:统一编排管理系统包括:需求分析模块、统一编排模块、安全态势度量模块以及任务分配执行模块;需求分析模块,被配置为:接收安全态势感知系统发送的安全对象的第二安全态势信息;对安全对象的第二安全态势信息进行安全需求分析,确定安全对象的安全目标,安全目标用于表征安全对象理想工作的状态;统一编排模块,被配置为:接收安全目标,向安全态势度量发送第三指示信息,第三指示信息用于指示安全态势度量模块对安全对象的第二安全态势信息进行处理;安全态势度量模块,被配置为:根据第三指示信息,对安全对象的第二安全态势信息进行处理,得到第三安全态势信息,使得统一编排模块分析第三安全态势信息;统一编排模块,还被配置为:根据第三安全态势信息和安全目标之间差异,确定第二安全策略和第三安全策略;向任务分配执行模块发送第二安全策略和第三安全策略;任务分配执行模块,被配置为:向安全对象中的能力注册与指令执行模块或安全增强模块发送第二安全策略;向安全对象中的安全监测模块发送第三安全策略。
本申请的这些方面或其他方面在以下的描述中会更加简明易懂。
本申请实施例中,安全对象通过获取自身的运行环境信息,生成第一安全策略。安全服务平台根据安全对象发送到的运行环境信息和第一安全态势信息,生成第二安全策略,并将第二安全策略发送给安全对象。由于第一安全策略是安全对象根据自身动态的运行环境信息实时生成的,第二安全策略是安全服务平台根据安全对象动态的运行环境信息和第一安全态势信息生成的。这样,当安全对象根据第一安全策略和第二安全策略进行安全防护时,可以实现动态调整安全对象的防御策略。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种网络安全防护系统中的装置结构示意图;
图2为本申请实施例提供的一种网络安全防护系统的示意图;
图3a为本申请实施例提供的一种网络安全防护方法的流程示意图;
图3b为本申请实施例提供的又一种网络安全防护系统的示意图;
图4为本申请实施例提供的又一种网络安全防护方法的流程示意图;
图5为本申请实施例提供的又一种网络安全防护方法的流程示意图;
图6为本申请实施例提供的又一种网络安全防护方法的流程示意图;
图7为本申请实施例提供的又一种网络安全防护方法的流程示意图;
图8为本申请实施例提供的又一种网络安全防护方法的流程示意图;
图9为本申请实施例提供的又一种网络安全防护方法的流程示意图;
图10为本申请实施例提供的又一种网络安全防护方法的流程示意图;
图11为本申请实施例提供的又一种网络安全防护系统的示意图。
具体实施方式
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。
本申请的说明书以及附图中的术语“第一”和“第二”等是用于区别不同的对象,或者用于区别对同一对象的不同处理,而不是用于描述对象的特定顺序。
此外,本申请的描述中所提到的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选的还包括其他没有列出的步骤或单元,或可选的还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,本申请实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
在本申请的描述中,除非另有说明,“多个”的含义是指两个或两个以上。
本申请实施例的技术方案可用于各种通信系统,该通信系统可以为第三代合作伙伴计划(third generation partnership project,3GPP)通信系统,例如,长期演进(longterm evolution,LTE)系统,又可以为5G移动通信系统、NR系统、新空口车联网(vehicle toeverything,NR V2X)系统,还可以应用于LTE和5G混合组网的系统中,或者设备到设备(device-to-device,D2D)通信系统、机器到机器(machine to machine,M2M)通信系统、物联网(Internet of Things,IoT),以及其他下一代通信系统,也可以为非3GPP通信系统,不予限制。
本申请实施例的技术方案可以应用于各种通信场景,例如可以应用于以下通信场景中的一种或多种:增强移动宽带(enhanced mobile broadband,eMBB)、超可靠低时延通信(ultra reliable low latency communication,URLLC)、机器类型通信(machine typecommunication,MTC)、大规模机器类型通信(massive machine type communications,mMTC)、SA、D2D、V2X、和IoT等通信场景。
其中,上述适用本申请的通信系统和通信场景仅是举例说明,适用本申请的通信系统和通信场景不限于此,在此统一说明,以下不再赘述。
在一些实施例中,本申请涉及的终端设备可以是用于实现通信功能的设备。终端设备也可以称为用户设备(user equipment,UE)、终端、接入终端、用户单元、用户站、移动站(mobile station,MS)、远方站、远程终端、移动终端(mobile terminal,MT)、用户终端、无线通信设备、用户代理或用户装置等。终端设备例如可以是IoT、V2X、D2D、M2M、5G网络、或者未来演进的公共陆地移动网络(public land mobile network,PLMN)中的无线终端或有线终端。无线终端可以是指一种具有无线收发功能的设备,可以部署在陆地上,包括室内或室外、手持或车载;也可以部署在水面上(如轮船等);还可以部署在空中(例如飞机、气球和卫星上等)。
示例性的,终端设备可以是无人机、IoT设备(例如,传感器,电表,水表等)、V2X设备、无线局域网(wireless local area networks,WLAN)中的站点(station,ST)、蜂窝电话、无绳电话、会话启动协议(session initiation protocol,SIP)电话、无线本地环路(wireless local loop,WLL)站、个人数字处理(personal digital assistant,PDA)设备、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备(也可以称为穿戴式智能设备)、平板电脑或带无线收发功能的电脑、虚拟现实(virtual reality,VR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端、车载终端、具有车对车(vehicle-to-vehicle,V2V)通信能力的车辆、智能网联车、具有无人机对无人机(UAV toUAV,U2U)通信能力的无人机等等。终端可以是移动的,也可以是固定的,本申请对此不作具体限定。
本申请实施例提供的网络安全防护系统包括网络安全防护装置,用于执行本申请实施例提供的网络安全防护系统,图1为本申请实施例提供的一种网络安全防护系统中的装置的结构示意图。如图1所示,该网络安全防护装置100包括至少一个处理器101,通信线路102,以及至少一个通信接口104,还可以包括存储器103。其中,处理器101,存储器103以及通信接口104三者之间可以通过通信线路102连接。
处理器101可以是一个中央处理器(central processing unit,CPU),也可以是特定集成电路(application specific integrated circuit,ASIC),或者是被配置成实施本申请实施例的一个或多个集成电路,例如:一个或多个数字信号处理器(digital signalprocessor,DSP),或,一个或者多个现场可编程门阵列(field programmable gate array,FPGA)。
通信线路102可以包括一通路,用于在上述组件之间传送信息。
通信接口104,用于与其他设备或通信网络通信,可以使用任何收发器一类的装置,如以太网,无线接入网(radio access network,RAN),WLAN等。
存储器103可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electricallyerasable programmable read-only memory,EEPROM)、只读光盘(compact disc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于包括或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
一种可能的设计中,存储器103可以独立于处理器101存在,即存储器103可以为处理器101外部的存储器,此时,存储器103可以通过通信线路102与处理器101相连接,用于存储执行指令或者应用程序代码,并由处理器101来控制执行。又一种可能的设计中,存储器103也可以和处理器101集成在一起,即存储器103可以为处理器101的内部存储器,例如,该存储器103为高速缓存,可以用于暂存一些数据和指令信息等。
作为一种可实现方式,处理器101可以包括一个或多个CPU,例如图1中的CPU0和CPU1。作为另一种可实现方式,网络安全防护装置100可以包括多个处理器,例如图1中的处理器101和处理器107。作为再一种可实现方式,网络安全防护装置100还可以包括输出设备105和输入设备106。
随着物联网市场的不断增长,物联网设备的数量和种类也随之不断增加。大量的异构物联网设备在运行的过程中,会发生各种各样的安全事件。
相关技术中,在对安全对象进行防护时,主要是特定或某类安全对象、操作系统进行的检测、杀毒,无法动态调整安全对象的防御策略。由于安全对象的种类众多,且其网络安全需求一直处于变化的状态,常规统一的杀毒无法实现对安全对象的有效保护。安全对象中的操作系统在对资源进行调度调配的过程中,虽然部分操作系统已存在安全机制,但其安全机制环境适应性差、无法动态调整。
为了解决相关技术中存在的技术问题,本申请实施例中,安全对象通过获取自身的运行环境信息,生成第一安全策略。安全服务平台根据安全对象发送到的运行环境信息和第一安全态势信息,生成第二安全策略,并将第二安全策略发送给安全对象。由于第一安全策略是安全对象根据自身动态的运行环境信息实时生成的,第二安全策略是安全服务平台根据安全对象动态的运行环境信息和第一安全态势信息生成的。这样,当安全对象据第一安全策略和第二安全策略进行安全防护时,可以实现动态调整安全对象的防御策略。
以下,结合附图2对本申请实施例提供的网络安全防护系统进行详细说明,如图2所示,该网络安全防护系统包括:安全对象21和安全服务平台22。
其中,安全对象21,被配置为:获取自身的运行环境信息和第一安全态势信息;根据运行环境信息,确定第一安全策略;向安全服务平台22发送运行环境信息和第一安全态势信息。
安全服务平台22,被配置为:根据运行环境信息和第一安全态势信息以及第三方数据库中的数据,确定第二安全策略;向安全对象21发送第二安全策略。
安全对象21,被配置为:根据第一安全策略和第二安全策略,进行安全防护。
上述方案至少带来以下有益效果:本申请实施例中,安全对象通过获取自身的运行环境信息,生成第一安全策略。安全服务平台根据安全对象发送到的运行环境信息和第一安全态势信息,生成第二安全策略,并将第二安全策略发送给安全对象。由于第一安全策略是安全对象根据自身动态的运行环境信息实时生成的,第二安全策略是安全服务平台根据安全对象动态的运行环境信息和第一安全态势信息生成的。这样,当安全对象根据第一安全策略和第二安全策略进行安全防护时,可以实现动态调整安全对象的防御策略。
一种可能的实现方式中,系统还包括:密码服务平台23。
密码服务平台23,被配置为:向安全对象发送第一安全身份凭证和密钥;向安全服务平台22发送第二安全身份凭证和密钥。
安全对象21,被配置为:通过第一安全身份凭证和密钥与安全服务平台22进行加密通信;
安全服务平台22,被配置为:通过第二安全身份凭证和密钥与安全对象进行加密通信。
上述方案至少带来以下有益效果:本申请实施例中,密码服务平台分别对安全对象和安全服务平台发送安全身份凭证和密钥,这样一来,安全对象和安全服务平台可以通过安全身份凭证验证互相验证身份的合法性,提高通信的安全。另外,由于安全对象和安全服务平台的密钥是密码服务平台提供的,这样,可以提高安全对象和安全服务平台通信的效率。
一种可能的实现方式中,安全对象21包括:可适配系统211和系列安全服务模块212。
系列安全服务模块212,被配置为:获取安全对象21的运行环境信息和第一安全态势信息;向安全服务平台22发送运行环境信息和第一安全态势信息;
可适配系统211,被配置为:获取安全对象21的运行环境数据信息,根据运行环境信息,确定第一安全策略,第一安全策略用于指示强制修改安全对象21中应用的权限。
上述方案至少带来以下有益效果:本申请实施例中,安全对象通过获取自身的运行环境信息,生成第一安全策略。由于第一安全策略是安全对象根据自身动态的运行环境信息实时生成的,这样,当安全对象根据第一安全策略进行安全防护时,可以实现动态调整安全对象的防御策略。另外,安全子系统通过系列安全服务模块可以向外界请求对安全对象进行监控、处理,可以更加准确地实现动态调整安全对象的防御策略。
一种可能的实现方式中,系列安全服务模块212包括:数据收集与上传模块2124、能力注册与指令执行模块2125、配置管理模块2123、安全监测模块2122、安全增强模块2121。
数据收集与上传模块2124,被配置为:调用可适配系统211的接口,获取安全对象21的日志;根据安全对象21的日志,确定安全对象21的运行环境信息和第一安全态势信息;向安全服务平台22发送运行环境信息和第一安全态势信息;
能力注册与指令执行模块2125,被配置为:向安全服务平台22发送第一配置信息,第一配置信息包括安全对象21的所有模块的能力;接收安全服务平台22发送的第二策略,将第二策略转发至安全系统或者安全子系统2113。
配置管理模块2123,被配置为:根据安全服务平台22的第一指示信息,协助安全对象21中的模块完成目标任务,第一指示信息包括第一目标模块和第一目标策略。
安全监测模块2122,被配置为:根据安全服务平台22的第三安全策略,对安全对象21中的威胁、漏洞进行实时监测,第三安全用于指示启动安全监测模块。
安全增强模块2121被配置为:根据安全服务平台22的第二安全策略,生成第四安全策略,第四安全策略的防护等级高于第二安全策略。
上述方案至少带来以下有益效果:本申请实施例中,系列安全模块作为可扩展的模块,可以根据安全对象的性能与需求,增加新的模块。新增的模块可以更好对安全对象的数据监控以及准确地向安全对象转发安全策略,从而提高安全对象的安全防护。
一种可能的实现方式中,可适配系统211包括:密码服务模块2114、安全子系统2113、安全管理模块2111、安全基础服务模块2112;
密码服务模块2114,被配置为:接收并保存密码服务平台23发送的第一安全身份凭证和密钥。
安全子系统2113,还被配置为:调用密码服务模块2114中的第一安全身份凭证和密钥;通过数据收集与上传模块2124向安全服务平台22或其他安全对象21发送第一安全身份凭证和密钥。
安全管理模块2111,被配置为:根据安全管理平台22发送的第三指示信息,在系列安全服务模块212中创建新的模块;第三指示信息包括安全管理平台22的需求;对系列安全服务模块212中模块进行管理。
安全基础服务模块2112,被配置为:为安全系统和安全子系统2113建立统一的接口,进行统一管理。
上述方案至少带来以下有益效果:本申请实施例中,安全对象中的安全管理可以对系列安全服务模块中模块进行管理,安全基础服务为安全系统和安全子系统建立统一的接口,进行统一管理。这样一来,可以实现对安全对象进行管理,方便安全对象与安全服务平台通信。
一种可能的实现方式中,安全服务平台22包括:安全态势感知系统223、安全管控与处置响应系统224以及统一编排管理系统225。
安全态势感知系统223,被配置为:对运行环境信息和第一安全态势信息以及第三方数据库中的数据进行分析,确定安全对象21的第二安全态势信息;向统一编排管理系统225发送安全对象21的第二安全态势信息。
统一编排管理系统225,被配置为:根据安全对象21的第二安全态势信息,确定安全对象21是否存在安全隐患;在安全对象21存在安全隐患的情况下,确定第二安全策略,并向安全管控与处置响应系统224发送第四指示信息,第四指示信息用于指示安全管控与处置响应系统224向安全对象21发送第二安全策略。
安全管控与处置响应系统224,被配置为:根据第四指示信息,向安全对象21发送第二安全策略;接收安全对象21发送的响应消息,响应消息用于指示安全对象21是否执行第二安全策略。
上述方案至少带来以下有益效果:本申请实施例中,安全服务平台中的安全态势感知系统、统一编排管理系统对接收到的运行环境信息和第一安全态势信息进行分析,最终确定第二安全策略。
一种可能的实现方式中,安全服务平台22还包括:专业人员在线系统221、密码服务模块222。
专业人员在线系统221,被配置为:对运行环境信息和第一安全态势信息进行人工分析,确定安全对象21的第四安全态势信息;向统一编排管理系统225发送安全对象21的第四安全态势信息。
密码服务模块222,被配置为:接收并保存密码服务平台23发送的第二安全身份凭证和密钥。
上述方案至少带来以下有益效果:本申请实施例中,安全服务平台中还设置有专业人员在线系统,这样一来,可以实现专业人员对安全对象中的安全情况进行合理分析,提高第二安全策略的准确性。
一种可能的实现方式中,统一编排管理系统225包括:需求分析模块2251、统一编排模块2252、安全态势度量模块2253以及任务分配执行模块2254。
需求分析模块2251,被配置为:对安全对象21的第二安全态势信息进行安全需求分析,确定安全对象21的安全目标,安全目标用于表征安全对象21理想工作的状态。
统一编排模块2252,被配置为:接收安全目标,向安全态势度量2253发送第三指示信息,第三指示信息用于指示安全态势度量模块2253对安全对象21的第二安全态势信息进行处理。
安全态势度量模块2253,被配置为:根据第三指示信息,对安全对象21的第二安全态势信息进行处理,得到第三安全态势信息,使得统一编排模块2252分析第三安全态势信息。
统一编排模块2252,还被配置为:根据第一数据和安全目标,确定第二安全策略。
任务分配执行模块2254,被配置为:向安全对象21中的能力注册与指令执行模块2125发送第二安全策略。
上述方案至少带来以下有益效果:本申请实施例中,统一编排管理系统中的:需求分析模块、统一编排模块、安全态势度量模块以及任务分配执行模块对对接收到的第二安全态势信息进行分析,最终确定第二安全策略。
一种可能的实现方式中,安全对象21包括:数据收集与上传模块2121;安全服务平台22包括:统一编排管理系统225、安全管控与处置响应系统224以及安全态势感知系统223。
数据收集与上传模块2121被配置为:获取安全对象21的日志;根据安全对象21的日志,确定安全对象21的运行环境信息和第一安全态势信息;向统一编排管理系统225发送运行环境信息和第一安全态势信息。
统一编排管理系统225,被配置为:向安全态势感知系统223发送运行环境信息和第一安全态势信息。
安全态势感知系统223,被配置为:对运行环境信息和第一安全态势信息以及第三方数据库中的数据进行分析,确定安全对象21的第二安全态势信息;向统一编排管理系统发送安全对象21的第二安全态势信息。
统一编排管理系统223,还被配置为:根据安全对象21的第二安全态势信息,确定安全对象21是否存在安全隐患;在安全对象21存在安全隐患的情况下,确定第二安全策略,并向安全管控与处置响应系统224发送第四指示信息,第四指示信息用于指示安全管控与处置响应系统224向安全对象发送第二安全策略。
统一编排管理系统223,还被配置为:根据安全对象21的第二安全态势信息,确定安全对象21是否存在安全隐患;在安全对象21存在安全隐患的情况下,确定第三安全策略,并向安全管控与处置响应系统224发送第五指示信息,第五指示信息用于指示安全管控与处置响应系统224向安全对象21发送第三安全策略。
安全管控与处置响应系统224,被配置为:根据第四指示信息,向安全对象21发送第二安全策略;接收安全对象21发送的第一响应消息,响应消息用于指示安全对象21是否执行第二安全策略。
安全管控与处置响应系统224,被配置为:根据第五指示信息,向安全对象21发送第三安全策略;接收安全对象21发送的第二响应消息,第一消息用于指示安全对象21是否执行第三安全策略。
上述方案至少带来以下有益效果:本申请实施例中,数据收集与上传模块向统一编排管理系统发送运行环境信息和第一安全态势信息,安全服务平台中的统一编排管理系统、安全态势感知系统根据运行环境信息和第一安全态势信息,生成第二安全策略,并将第二安全策略发送给安全对象。由于第二安全策略是安全服务平台根据安全对象动态的运行环境信息和第一安全态势信息生成的。这样,当安全对象根据第二安全策略进行安全防护时,可以实现动态调整安全对象的防御策略。
一种可能的实现方式中,系统包括:统一编排管理系统包括:需求分析模块2251、统一编排模块2252、安全态势度量模块2253以及任务分配执行模块2254。
需求分析模块2251,被配置为:接收安全态势感知系统223发送的安全对象21的第二安全态势信息;对安全对象21的第二安全态势信息进行安全需求分析,确定安全对象21的安全目标,安全目标用于表征安全对象21理想工作的状态。
统一编排模块2252,被配置为:接收安全目标,向安全态势度量发送第三指示信息,第三指示信息用于指示安全态势度量模块2253对安全对象21的第二安全态势信息进行处理。
安全态势度量2253,被配置为:根据第三指示信息,对安全对象21的第二安全态势信息进行处理,得到第三安全态势信息,使得统一编排模块2252分析第三安全态势信息。
统一编排模块2252,还被配置为:根据第三安全态势信息和安全目标之间差异,确定第二安全策略和第三安全策略;向任务分配执行模块2254发送第二安全策略和第三安全策略。
任务分配执行模块2254,被配置为:向安全对象21中的能力注册与指令执行模块2125或安全增强模块2121发送第二安全策略;向安全对象21中的安全监测模块2122发送第三安全策略。
上述方案至少带来以下有益效果:本申请实施例中,统一编排管理系统根据接收到安全对象发送的信息,结合安全对象中的所有模块的能力与状态,通过需求分析模块、统一编排模块以及安全态势度量模块对上述信息进行分析,最终生成第二安全策略。这样,当安全对象根据第二安全策略进行安全防护时,可以实现动态调整安全对象的防御策略。
以上对申请实施例提供了一种网络安全防护系统进行了介绍,下面对本申请提供的网络安全防护方法进行说明。
本申请实施例提供了一种网络安全防护方法,可以应用于如图2所示的网络安全防护系统中。如图3a所示,为本申请实施例提供的一种网络安全防护方法的流程示意图,该网络安全防护方法具体可以通过以下S301-S307实现:
S301、安全对象向密码服务平台发送第一请求信息。
其中,第一请求信息用于请求构建安全凭证。
可选的,密码服务平台用于对密钥管理,密钥管理包括以下至少一项:生成密钥、分发密钥、更新密钥、注销密钥。
可选的,安全对象包括物理实体和虚拟实体。物理实体包括物联网设备、计算机设备、服务器;虚拟实体包括:虚拟机、容器。
示例性的,如图3b所示,身份实体1、身份实体2、身份实体3分别通过自身的密钥模块向密码服务平台发送请求信息。
S302、密码服务平台向安全对象发送第一安全身份凭证和密钥。
其中,第一安全身份凭证用于唯一标识安全对象的身份。
一种可能的实现方式中,密码服务平台向安全对象中密码服务模块的凭证管理子模块发送第一安全身份凭证和密钥。
可选的,密码服务模块用于申请密钥、更新密钥、注销密钥;还用于对数据签名、验证、加密以及解密。
示例性的,密码服务模块包括物理密码服务模块和逻辑密码服务模块。物理密码服务模块包括以下任意一项:密码卡、密码模组、具有安全存储和计算能力的SIM卡以及物理安全存储介质和CPU组合的实体;逻辑密码服务模块逻辑安全存储文件和CPU组合的实体。
说需要解释的是,当安全对象或安全服务平台为物理单元时,密码服务模块为物理密码服务模块;当安全对象或安全服务平台为逻辑单元时,密码服务模块为逻辑密码服务模块。
示例性的,如图3b所示,密码管理平台通过自身的密钥分发模块分别向身份实体1、身份实体2、身份实体3发送安全身份凭证和密钥。
S303、安全服务平台向密码服务平台发送第二请求信息。
其中,第二请求信息用于请求构建安全凭证。
S304、密码服务平台向安全服务平台发送第二安全身份凭证和密钥。
其中、第二安全身份凭证用于唯一标识安全服务平台的身份。
一种可能的实现方式中,密码服务平台向安全服务平台中的密码服务模块发送第二安全身份凭证和密钥。
S305、安全对象验证安全服务平台的合法性。
可选的,安全对象接收安全服务平台发送的第二安全身份凭证,根据第二安全身份凭证验证安全服务平台的合法性。
S306、安全服务平台验证安全对象的合法性。
可选的,安全服务平台接收安全服务对象发送的第一安全身份凭证,根据第一安全身份凭证验证安全服务平台的合法性。
S307、在安全对象通过验证且安全服务平台通过验证的情况下,安全对象与安全服务平台进行加密通信。
一种可能的实现方式中,安全对象中的密码服务模块通过密钥对待发送数据进行加密得到加密数据,将加密数据发送给安全服务平台中的密码服务模块;安全服务平台中的密码服务模块通过密钥对安全加密数据进行解密,得到待发送数据。
另一种可能的实现方式中,在安全对象的密码体制与安全服务平台之间的密码体制不同时,安全对象向第一身份实体发送第一加密报文。第一身份实体对第一加密报文进行转换得到第二加密报文,向安全服务平台发送第二加密报文。其中,第一加密报文是安全对象和第一身份实体能够处理的报文,第二加密报文是安全服务平台和第一身份实体能够处理的报文。第一身份实体为多密码体制实体。第一身份实体和安全对象至少有一个相同的密码体系;第一身份实体和安全服务平台至少有一个相同的密码体系。
示例性的,如图3b所示,身份实体1与身份实体2之间的密码体制相同,身份实体3与身份实体2之间的密码体制相同,身份实体1与身份实体3之间的密码体制不同。身份实体1与身份实体3之间无法正常加密通信,身份实体1向身份实体2发送第一加密报文,身份实体2中的多体跨域制互信模块、安全数据处理模块以及密钥报文对第一加密报文进行处理,得到第二加密报文,并向身份实体3发送第二加密报文。由于身份实体3与身份实体2之间的密码体制相同,因此,身份实体3可以随第二加密报文进行解密。
一种可能的实现方式中,在安全对象的密码体制与安全服务平台之间跨域通信时,安全对象向第二身份实体发送第一报文。第二身份实体对第一报文进行转换得到第二加密报文,向安全服务平台发送第二加密报文。第一身份实体和安全对象属于同一域,第一身份实体和安全服务平台属于同一域。
上述方案至少带来以下有益效果:密码服务平台分别对安全对象和安全服务平台发送安全身份凭证和密钥,这样一来,安全对象和安全服务平台可以通过安全身份凭证验证互相验证身份的合法性,提高通信的安全。另外,由于安全对象和安全服务平台的密钥是密码服务平台提供的,这样,可以提高安全对象和安全服务平台通信的效率。
一种可能的实现方式中,本申请实施例提供了一种网络安全防护方法,可以应用于如图2所示的网络安全防护系统中。如图4所示,为本申请实施例提供的一种网络安全防护方法的流程示意图,该网络安全防护方法具体可以通过以下S401-S407实现:
S401、安全对象向密码服务平发送第三请求信息。
S402、密码服务平台向安全对象发送第一安全身份凭证和密钥。
S403、目标安全对象向密码服务平台发送第三请求信息。
其中,第三请求信息用于请求构建安全凭证。
S404、密码服务平台向目标安全对象发送第三安全身份凭证和密钥。
其中、第三安全身份凭证用于唯一标识目标安全对象的身份。
S405、安全对象验证目标安全对象的合法性。
示例性的,如图3b所示,身份实体1验证身份实体2的合法性,身份实体2验证身份实体3的合法性。
S406、目标安全对象验证安全对象的合法性。
S407、在安全对象通过验证且目标安全对象通过验证的情况下,安全对象与目标安全对象进行加密通信。
示例性的,如图3b所示,身份实体1向身份实体2发送加密信息,身份实体2向身份实体3发送加密信息。
上述方案至少带来以下有益效果:密码服务平台分别对安全对象和目标安全对象发送安全身份凭证和密钥,这样一来,安全对象和目标安全对象可以通过安全身份凭证验证互相验证身份的合法性,提高通信的安全。另外,由于安全对象和目标安全对象的密钥是密码服务平台提供的,这样,可以提高安全对象和安全服务平台通信的效率。
一种可能的实现方式中,本申请实施例提供了一种网络安全防护方法,可以应用于如图2所示的网络安全防护系统中。如图5所示,为本申请实施例提供的一种网络安全防护方法的流程示意图,该网络安全防护方法具体可以通过以下S501-S504实现:
S501、安全子系统获取安全对象的运行环境数据信息。
其中,安全子系统为安全对象中操作系统中的一部分。
可选的,运行环境数据信息包括以下参数中的至少一项:操作系统环境、运行硬件环境、密码服务环境。
S502、安全子系统根据运行环境信息,确定第一安全策略。
其中,第一安全策略用于指示强制修改安全对象中应用的权限。
S503、安全子系统根据自身以及操作系统的能力和状态,确定进行安全防护的目标系统。
其中,目标系统包括:安全子系统和安全系统。
S504、安全子系统根据所述第一安全策略和第二安全策略,进行安全防护。或,操作系统根据所述第一安全策略和第二安全策略,进行安全防护。
示例性的,安全子系统根据第一安全策略,强制关闭安全对象中的摄像头。或,安全系统第一安全策略,强制关闭安全对象中的摄像头。
上述方案至少带来以下有益效果:安全子系统通过获取自身的运行环境信息,生成第一安全策略。由于第一安全策略是安全子系统根据自身动态的运行环境信息实时生成的,这样,当安全子系统根据第一安全策略进行安全防护时,可以实现动态调整安全对象的防御策略。另外,安全子系统通过系列安全服务模块可以向外界请求对安全对象进行监控、处理,可以更加准确地实现动态调整安全对象的防御策略。
一种可能的实现方式中,本申请实施例提供了一种网络安全防护方法,可以应用于如图2所示的网络安全防护系统中。如图6所示,为本申请实施例提供的一种网络安全防护方法的流程示意图,该网络安全防护方法具体可以通过以下S601-S610实现:
S601、安全服务平台向安全对象发送第三指示信息。相应的,安全对象接收安全服务平台发送的第三指示信息。
其中,第三信息用于请求对获取安全对象的运行环境信息和第一安全态势信息;第三指示信息包括安全管理平台的需求。
S602、安全对象根据第三指示信息,创建数据收集与上传模块。
一种可能的实现方式中,安全对象中可适配系统中的安全管理模块根据安全管理平台发送的第三指示信息,在安全服务模块中创建数据收集与上传模块。
示例性的,安全管理模块根据第三指示信息,从远端平台上下载数据收集与上传模块的数据包,并安装数据收集与上传模块。
需要解释的是,安全管理模块对全服务模块中的所有模块的整个生命周期进行管理。模块的生命周期包括:模块的创建、模块激活、模块挂起、模块删除。
可选的,安全对象根据第三指示信息,还可以创建其他安全服务模块。
S603、数据收集与上传模块调用可适配系统的接口,获取安全对象的日志。
示例性的,数据收集与上传模块调用操作系统ERROR级别日志接口,获取操作系统ERROR级别日志信息。
S604、数据收集与上传模块根据安全对象的日志,确定安全对象的运行环境信息和第一安全态势信息。
需要解释的是,数据收集与上传模块只需要获取操作系统的日志,无需知晓操作系统的类型,这样可以快速确定安全对象的运行环境信息和第一安全态势信息。
S605、数据收集与上传模块向安全服务平台发送运行环境信息和第一安全态势信息。
一种可能的实现方式中,数据收集与上传模块向安全服务平台发送运行环境信息和第一安全态势信息以及收集上述信息的频率。
S606、安全服务平台中统一编排管理系统接收运行环境信息和第一安全态势信息。
可选的,安全服务平台还接收能力注册与指令执行模块发送的能力信息,能力信息包括系列安全服务模块中所有模块的能力。
S607、统一编排管理系统向安全态势感知系统发送运行环境信息和第一安全态势信息。相应的,安全态势感知系统接收统一编排管理系统发送的运行环境信息和第一安全态势信息。
S608、安全态势感知系统对运行环境信息和第一安全态势信息以及第三方数据库中的数据进行分析,确定安全对象的第二安全态势信息。
可选的,第三方数据库至少包括以下至少一项:威胁数据库、漏洞库、病毒库。
S609、安全态势感知系统向统一编排管理系统发送安全对象的第二安全态势信息。相应的,统一编排管理系统接收安全态势感知系统发送的全态势信息。
S610、统一编排管理系统根据安全对象的第二安全态势信息,确定安全对象是否存在安全隐患。
上述方案至少带来以下有益效果:本申请实施例中,数据收集与上传模块向统一编排管理系统发送运行环境信息和第一安全态势信息,安全服务平台中的统一编排管理系统、安全态势感知系统根据运行环境信息和第一安全态势信息,生成第二安全策略,并将第二安全策略发送给安全对象。由于第二安全策略是安全服务平台根据安全对象动态的运行环境信息和第一安全态势信息生成的。这样,当安全对象根据第二安全策略进行安全防护时,可以实现动态调整安全对象的防御策略。
在上述S610之后,统一编排管理系统进行网络安全防护。以下,针对三中情况,对统一编排管理系统进行网络安全防护的过程进行介绍。
情况一、结合图6,如图7所示,上述统一编排管理系统进行网络安全防护的过程具体可以通过以下S701-S705实现。
S701、在安全对象存在安全隐患的情况下,统一编排管理系统确定第二安全策略。
需要解释的是,在安全对象不存在安全隐患的情况下,统一编排管理系统向安全对象发送第六指示信息。第六指示信息用于指示安全对象不存在安全隐患。
S702、统一编排管理系统向安全管控与处置响应系统发送第四指示信息。
其中,第四指示信息用于指示安全管控与处置响应系统向安全对象发送第二安全策略。
S703、安全管控与处置响应系统根据第四指示信息,向能力注册与指令执行模块发送第二安全策略。
S704、能力注册与指令执行模块根据安全子系统以及和操作系统的能力和状态,确定进行安全防护的目标系统。
一种可能的实现方式中,能力注册与指令执行模验证安全管控与处置响应系统的身份的合法性。在安全管控与处置响应系统通过身份验证后,确定处置响应系统所属的安全服务平台是否有权限指示安全对象执行第二安全策略,在满足上述条件后,能力注册与指令执行模块确定进行安全防护的目标系统。
S705、能力注册与指令执行模块向目标系统发送第二安全策略,并向统一编排管理系统发送响应消息。相应的,统一编排管理系统接收安全对象发送的响应消息。
其中,响应消息用于指示安全对象是否执行第二安全策略。
上述方案至少带来以下有益效果:本申请实施例中,数据收集与上传模块向统一编排管理系统发送运行环境信息和第一安全态势信息,安全服务平台中的统一编排管理系统、安全态势感知系统根据运行环境信息和第一安全态势信息,生成第二安全策略,并将第二安全策略发送给能力注册与指令执行模块。能力注册与指令执行模块可以将第二安全策略转发给相应的系统,这样,当安全对象中的系统根据第二安全策略进行安全防护时,可以实现动态调整安全对象的防御策略。
情况二、结合图6,如图8所示,上述统一编排管理系统进行网络安全防护的过程具体可以通过以下S801-S804实现。
S801、在安全对象存在安全隐患的情况下,统一编排管理系统确定第三安全策略。
S802、统一编排管理系统向安全管控与处置响应系统发送第五指示信息。
其中,第五指示信息用于指示安全管控与处置响应系统向安全对象发送第三安全策略。
S803、安全管控与处置响应系统根据第五指示信息,向安全监测模块发送第三安全策略。
一种可能的实现方式中,安全管控与处置响应系统根据第五指示信息,向安全监测模块和配置管理模块发送第三安全策略。配置管理模块向安全监测模块发送待监测的目标以及目标参数。安全监测模块根据第三安全策略、待监测的目标以及目标参数对安全对象中的威胁、漏洞进行实时监测。目标参数包括:监测的内容、监测算法、监测重心、监测执行频率。监测的内容包括以下至少一项:网络数据、程序执行、文件操作。
S804、安全对象向发送统一编排管理系统响应消息。相应的,统一编排管理系统接收安全对象发送的响应消息。
其中,响应消息用于指示安全对象是否执行第三安全策略。
上述方案至少带来以下有益效果:本申请实施例中,数据收集与上传5模块向统一编排管理系统发送运行环境信息和第一安全态势信息,安全服务平台中的统一编排管理系统、安全态势感知系统根据运行环境信息和第一安全态势信息,生成第三安全策略,并将三安全策略发送给安全监测模块。这样一来,安全监测模块可以对安全对象中的数据进行监测,并及时向安全服务平台汇报,以便安全服务平台进一步监管安全对象。
0情况三、结合图6,如图9所示,上述统一编排管理系统进行网络安全防护的过程具体可以通过以下S901-S904实现。
S901、在安全对象存在安全隐患的情况下,统一编排管理系统确定第二安全策略。
S902、统一编排管理系统向安全管控与处置响应系统发送第六指示信5息。
其中,第五指示信息用于指示安全管控与处置响应系统向安全对象发送第二安全策略。
S903、安全管控与处置响应系统根据第六指示信息,向安全增强模块发送第二安全策略。
0一种可能的实现方式中,安全管控与处置响应系统根据第五指示信息,
向安全增强模块和配置管理模块发送第二安全策略。配置管理模块向安全增强模块发送待增强的目标。安全增强模块根据第二安全策略、待监测的目标,生成第四安全策略,第四安全策略的防护等级高于第二安全策略。
S904、安全对象向发送统一编排管理系统响应消息。相应的,统一编5排管理系统接收安全对象发送的响应消息。
其中,响应消息用于指示安全对象是否执行第二安全策略。
上述方案至少带来以下有益效果:本申请实施例中,数据收集与上传模块向统一编排管理系统发送运行环境信息和第一安全态势信息,安全服
务平台中的统一编排管理系统、安全态势感知系统根据运行环境信息和第0一安全态势信息,生成第二安全策略,并将二安全策略发送给安全增强模块。这样一来,安全增强模块可以对第二安全策略进行增强,更加安全地保护安全对象。
结合图6,如图10所示,上述S608安全态势感知系统对运行环境信息和第一安全态势信息以及第三方数据库中的数据进行分析,确定安全对象的第二安全态势信息码的过程具体可以通过以下S1001-S1008实现。
S1001、需求分析模块接收安全态势感知系统发送的安全对象的第二安全态势信息。
S1002、需求分析模块对安全对象的第二安全态势信息进行安全需求分析,确定安全对象的安全目标。
其中,安全目标用于表征安全对象理想工作的状态。
一种可能的实现方式中,需求分析模块根于安全目标多层级正交体系、优先级体系等设计方法对第二安全态势信息进行分析,确定安全对象的能够被统一编排模块衡量与执行的安全目标。
S1003、需求分析模块向统一编排模块发送安全目标。
S1004、统一编排模块向安全态势度量发送第三指示信息。
其中,第三指示信息用于指示安全态势度量模块对安全对象的第二安全态势信息进行处理。
S1005、安全态势度量根据第三指示信息,对安全对象的第二安全态势信息进行处理,得到第三安全态势信息,使得统一编排模块分析第三安全态势信息。
一种可能的实现方式中,安全态势度量根据第三指示信息和第一安全态势信息,对安全对象的第二安全态势信息进行处理,得到第三安全态势信息。
S1006、统一编排模块根据第三安全态势信息和安全目标之间差异,确定第二安全策略和第三安全策略。
一种可能的实现方式中,统一编排模块根据第三安全态势信息和安全目标之间差异以及能力注册与指令执行模块发送的能力信息,确定第二安全策略、第三安全策略、执行第二策略的对象以及执行第三策略的对象。
可选的,执行第二策略的对象包括:能力注册与指令执行模块或安全增强模块;执行第三策略的对象包括:安全监测模块。
示例性的,如图11所示,能力注册与指令执行模块向安全服务平台上报可编排能力模块A和可编排能力模块B的能力子1、能力子2、能力子3、能力子4。统一编排模块根据第三安全态势信息和安全目标之间差异,分析得出可编排能力模块B的能力子3执行第二安全策略可以使得安全对象至理想状态。这样,统一编排模块指示任务分配执行模块向可编排能力模块B发送第二安全策略。
S1007、统一编排模块向任务分配执行模块发送第二安全策略和第三安全策略。
一种可能的实现方式中统一编排模块向任务分配执行模块发送第二安全策略、第三安全策略、执行第二策略的对象以及执行第三策略的对象。
S1008、任务分配执行模块向安全对象中的能力注册与指令执行模块或安全增强模块发送第二策略,并向安全对象中的安全监测模块发送第三安全策略。
上述方案至少带来以下有益效果:本申请实施例中,统一编排管理系统根据接收到安全对象发送的信息,结合安全对象中的所有模块的能力与状态,通过需求分析模块、统一编排模块以及安全态势度量模块对上述信息进行分析,最终生成第二安全策略。这样,当安全对象根据第二安全策略进行安全防护时,可以实现动态调整安全对象的防御策略。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何在本申请揭露的技术范围内的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。
Claims (10)
1.一种网络安全防护系统,其特征在于,包括:安全对象和安全服务平台:
其中,所述安全对象,被配置为:获取自身的运行环境信息和第一安全态势信息;根据所述运行环境信息,确定第一安全策略;向所述安全服务平台发送所述运行环境信息和所述第一安全态势信息;
所述安全服务平台,被配置为:根据所述运行环境信息和所述第一安全态势信息以及第三方数据库中的数据,确定第二安全策略;向所述安全对象发送所述第二安全策略;
所述安全对象,被配置为:根据所述第一安全策略和所述第二安全策略,进行安全防护。
2.根据权利要求1所述的系统,其特征在于,所述系统还包括:密码服务平台:
所述密码服务平台,被配置为:向所述安全对象发送第一安全身份凭证和密钥;向所述安全服务平台发送第二安全身份凭证和密钥;
所述安全对象,被配置为:通过所述第一安全身份凭证和密钥与所述安全服务平台进行加密通信;
所述安全服务平台,被配置为:通过所述第二安全身份凭证和密钥与所述安全对象进行加密通信。
3.根据权利要求1所述的系统,其特征在于,所述安全对象包括:可适配系统和系列安全服务模块;
所述系列安全服务模块,被配置为:获取所述安全对象的运行环境信息和第一安全态势信息;向所述安全服务平台发送所述运行环境信息和所述第一安全态势信息;
所述可适配系统,被配置为:获取所述安全对象的运行环境数据信息,根据所述运行环境信息,确定所述第一安全策略,所述第一安全策略用于指示强制修改所述安全对象中应用的权限。
4.根据权利要求3所述的系统,其特征在于,所述系列安全服务模块包括:数据收集与上传模块、能力注册与指令执行模块、配置管理模块、安全监测模块、安全增强模块;
所述数据收集与上传模块,被配置为:调用所述可适配系统的接口,获取所述安全对象的日志;根据所述安全对象的日志,确定所述安全对象的运行环境信息和第一安全态势信息;向所述安全服务平台发送所述运行环境信息和所述第一安全态势信息;
所述能力注册与指令执行模块,被配置为:向所述安全服务平台发送第一配置信息,所述第一配置信息包括所述安全对象的所有模块的能力;接收所述安全服务平台发送的所述第二策略,将所述第二策略转发至所述安全系统或者所述安全子系统;
所述配置管理模块,被配置为:根据所述安全服务平台的第一指示信息,协助所述安全对象中的模块完成目标任务,所述第一指示信息包括第一目标模块和第一目标策略;
所述安全监测模块,被配置为:根据所述安全服务平台的第三安全策略,对安全对象中的威胁、漏洞进行实时监测,所述第三安全用于指示启动安全监测模块;
所述安全增强模块,被配置为:根据所述安全服务平台的第二安全策略,生成第四安全策略,所述第四安全策略的防护等级高于所述第二安全策略。
5.根据权利要求3所述的系统,其特征在于,所述可适配系统包括:密码服务模块、安全子系统、安全管理模块、安全基础服务模块;
所述密码服务模块,被配置为:接收并保存密码服务平台发送的第一安全身份凭证和密钥;
所述安全子系统,还被配置为:调用所述密码服务模块中的第一安全身份凭证和密钥;通过数据收集与上传模块向所述安全服务平台或其他安全对象发送所述第一安全身份凭证和所述密钥;
所述安全管理模块,被配置为:根据所述安全管理平台发送的第三指示信息,在所述系列安全服务模块中创建新的模块;所述第三指示信息包括所述安全管理平台的需求;对所述系列安全服务模块中模块进行管理;
所述安全基础服务模块,被配置为:为所述安全系统和所述安全子建立统一的接口,进行统一管理。
6.根据权利要求1所述的系统,其特征在于,所述安全服务平台包括:安全态势感知系统、安全管控与处置响应系统以及统一编排管理系统;
所述安全态势感知系统,被配置为:对所述运行环境信息和所述第一安全态势信息以及所述第三方数据库中的数据进行分析,确定所述安全对象的第二安全态势信息;向所述统一编排管理系统发送所述安全对象的第二安全态势信息;
所述统一编排管理系统,被配置为:根据所述安全对象的第二安全态势信息,确定所述安全对象是否存在安全隐患;在所述安全对象存在安全隐患的情况下,确定所述第二安全策略,并向所述安全管控与处置响应系统发送第四指示信息,所述第四指示信息用于指示所述安全管控与处置响应系统向所述安全对象发送所述第二安全策略;
所述安全管控与处置响应系统,被配置为:根据所述第四指示信息,向所述安全对象发送所述第二安全策略;接收所述安全对象发送的响应消息,所述响应消息用于指示所述安全对象是否执行所述第二安全策略。
7.根据权利要求6所述的系统,其特征在于,安全服务平台还包括:专业人员在线系统;
所述专业人员在线系统,被配置为:对所述运行环境信息和所述第一安全态势信息进行人工分析,确定所述安全对象的第四安全态势信息;向所述统一编排管理系统发送所述安全对象的第四安全态势信息;
所述密码服务模块,被配置为:接收并保存密码服务平台发送的第二安全身份凭证和密钥。
8.根据权利要求6所述的系统,其特征在于,所述统一编排管理系统包括:需求分析模块、统一编排模块、安全态势度量模块以及任务分配执行模块;
所述需求分析模块,被配置为:对所述安全对象的第二安全态势信息进行安全需求分析,确定所述安全对象的安全目标,所述安全目标用于表征所述安全对象理想工作的状态;
所述统一编排模块,被配置为:接收所述安全目标,向所述安全态势度量发送第三指示信息,所述第三指示信息用于指示所述安全态势度量模块对所述安全对象的第二安全态势信息进行处理;
所述安全态势度量模块,被配置为:根据所述第三指示信息,对所述安全对象的第二安全态势信息进行处理,得到第三安全态势信息,使得所述统一编排模块分析所述第三安全态势信息;
所述统一编排模块,还被配置为:根据所述第一数据和所述安全目标,确定所述第二安全策略;
所述任务分配执行模块,被配置为:向所述安全对象中的能力注册与指令执行模块发送所述第二安全策略。
9.根据权利要求1所述的系统,其特征在于,所述安全对象包括:数据收集与上传模块;安全服务平台包括:统一编排管理系统、安全管控与处置响应系统以及安全态势感知系统;
所述数据收集与上传模块,被配置为:获取所述安全对象的日志;根据所述安全对象的日志,确定所述安全对象的运行环境信息和第一安全态势信息;向统一编排管理系统发送所述运行环境信息和所述第一安全态势信息;
所述统一编排管理系统,被配置为:向安全态势感知系统发送所述运行环境信息和所述第一安全态势信息;
所述安全态势感知系统,被配置为:对所述运行环境信息和所述第一安全态势信息以及所述第三方数据库中的数据进行分析,确定所述安全对象的第二安全态势信息;向所述统一编排管理系统发送所述安全对象的第二安全态势信息;
所述统一编排管理系统,还被配置为:根据所述安全对象的第二安全态势信息,确定所述安全对象是否存在安全隐患;在所述安全对象存在安全隐患的情况下,确定所述第二安全策略,并向所述安全管控与处置响应系统发送第四指示信息,所述第四指示信息用于指示所述安全管控与处置响应系统向所述安全对象发送所述第二安全策略;或,
所述统一编排管理系统,还被配置为:根据所述安全对象的第二安全态势信息,确定所述安全对象是否存在安全隐患;在所述安全对象存在安全隐患的情况下,确定所述第三安全策略,并向所述安全管控与处置响应系统发送第五指示信息,所述第五指示信息用于指示所述安全管控与处置响应系统向所述安全对象发送所述第三安全策略;
所述安全管控与处置响应系统,被配置为:根据所述第四指示信息,向所述安全对象发送所述第二安全策略;接收所述安全对象发送的第一响应消息,所述响应消息用于指示所述安全对象是否执行所述第二安全策略;或,
所述安全管控与处置响应系统,被配置为:根据所述第五指示信息,向所述安全对象发送所述第三安全策略;接收所述安全对象发送的第二响应消息,所述第一消息用于指示所述安全对象是否执行所述第三安全策略。
10.根据权利要求9所述的系统,其特征在于,所述系统包括:所述统一编排管理系统包括:需求分析模块、统一编排模块、安全态势度量模块以及任务分配执行模块;
所述需求分析模块,被配置为:接收所述安全态势感知系统发送的所述安全对象的第二安全态势信息;对所述安全对象的第二安全态势信息进行安全需求分析,确定所述安全对象的安全目标,所述安全目标用于表征所述安全对象理想工作的状态;
所述统一编排模块,被配置为:接收所述安全目标,向所述安全态势度量发送第三指示信息,所述第三指示信息用于指示所述安全态势度量模块对所述安全对象的第二安全态势信息进行处理;
所述安全态势度量模块,被配置为:根据所述第三指示信息,对所述安全对象的第二安全态势信息进行处理,得到第三安全态势信息,使得所述统一编排模块分析所述第三安全态势信息;
所述统一编排模块,还被配置为:根据所述第三安全态势信息和所述安全目标之间差异,确定所述第二安全策略和第三安全策略;向任务分配执行模块发送所述第二安全策略和所述第三安全策略;
所述任务分配执行模块,被配置为:向所述安全对象中的能力注册与指令执行模块或安全增强模块发送所述第二安全策略;向所述安全对象中的安全监测模块发送所述第三安全策略。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211618522.9A CN116318795A (zh) | 2022-12-15 | 2022-12-15 | 网络安全防护系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211618522.9A CN116318795A (zh) | 2022-12-15 | 2022-12-15 | 网络安全防护系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116318795A true CN116318795A (zh) | 2023-06-23 |
Family
ID=86824687
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211618522.9A Pending CN116318795A (zh) | 2022-12-15 | 2022-12-15 | 网络安全防护系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116318795A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117040912A (zh) * | 2023-09-13 | 2023-11-10 | 湖南新生命网络科技有限公司 | 一种基于数据分析的网络安全运维管理方法及系统 |
-
2022
- 2022-12-15 CN CN202211618522.9A patent/CN116318795A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117040912A (zh) * | 2023-09-13 | 2023-11-10 | 湖南新生命网络科技有限公司 | 一种基于数据分析的网络安全运维管理方法及系统 |
CN117040912B (zh) * | 2023-09-13 | 2024-01-05 | 湖南新生命网络科技有限公司 | 一种基于数据分析的网络安全运维管理方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11736277B2 (en) | Technologies for internet of things key management | |
CN109511115B (zh) | 一种授权方法和网元 | |
Cao et al. | GBAAM: group‐based access authentication for MTC in LTE networks | |
CN107005569B (zh) | 端对端服务层认证 | |
US10790995B2 (en) | Oracle authentication using multiple memory PUFs | |
EP3308519B1 (en) | System, apparatus and method for transferring ownership of a device from manufacturer to user using an embedded resource | |
CN109716724A (zh) | 与服务器通信的通信设备的双网认证的方法和系统 | |
CN102378170A (zh) | 一种鉴权及业务调用方法、装置和系统 | |
KR20210134649A (ko) | 프라이버시 보호 자율 증명 | |
CN112512045B (zh) | 一种通信系统、方法及装置 | |
US11855977B2 (en) | Systems and methods for configuring a network function proxy for secure communication | |
Le et al. | An energy-efficient access control scheme for wireless sensor networks based on elliptic curve cryptography | |
WO2019096586A1 (en) | Protection of traffic between network functions | |
Liu et al. | A secure and efficient authentication protocol for satellite-terrestrial networks | |
Park et al. | Inter-authentication and session key sharing procedure for secure M2M/IoT environment | |
Rizzardi et al. | Analysis on functionalities and security features of Internet of Things related protocols | |
Holtrup et al. | 5g system security analysis | |
Goswami et al. | A blockchain-based authentication scheme for 5g-enabled iot | |
CN116318795A (zh) | 网络安全防护系统 | |
Gao et al. | An efficient secure authentication and key establishment scheme for M2M communication in 6LoWPAN in unattended scenarios | |
Boubakri et al. | Access control in 5G communication networks using simple PKI certificates | |
US20230006993A1 (en) | Authentication of an Entity | |
Khandare et al. | Analysis on privacy protection in cloudlet and edge technology | |
Amgoune et al. | 5g: Interconnection of services and security approaches | |
CN117255340B (zh) | 蓝牙通信方法、装置、系统、存储介质及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |