CN204334620U - 一种网络安全规则自动化部署系统 - Google Patents
一种网络安全规则自动化部署系统 Download PDFInfo
- Publication number
- CN204334620U CN204334620U CN201420564993.0U CN201420564993U CN204334620U CN 204334620 U CN204334620 U CN 204334620U CN 201420564993 U CN201420564993 U CN 201420564993U CN 204334620 U CN204334620 U CN 204334620U
- Authority
- CN
- China
- Prior art keywords
- equipment
- proterctive equipment
- proterctive
- network security
- management system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 claims abstract description 12
- 238000012544 monitoring process Methods 0.000 claims abstract description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000004075 alteration Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000000034 method Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
Landscapes
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本实用新型公开了一种网络安全规则自动化部署系统,包括中央管理系统、保护设备、用户设备以及通讯网络,所述中央管理系统与每个保护设备连通,所述每个保护设备与在其监控和保护区域内的用户设备连通。所述中央管理系统收集用户整体安全规则并通过确定的每个保护设备所负责的区域完成对每个保护设备生成定制化安全规则,并自动化部署。
Description
技术领域
本实用新型涉及网络安全领域,尤其涉及一种网络安全规则自动化部署系统。
背景技术
随着网络在日常生产及生活中的大量应用,网络安全问题日益凸显并对网络用户造成很大的困扰。尤其是在例如工业控制领域这样的特殊应用领域中,随着工业控制自动化进程的深入,工业控制网络与外部互联网或企业办公网络的信息交互日趋频繁,使得工业控制网络不断面临着来自外部互联网的恶意攻击和内部人员的误操作等威胁。因为早期工控设备使用环境相对封闭,所以工业控制系统在开发时往往更重视功能的实现,而缺少对工控网络自身安全的关注,这也导致工业控制系统中存在不可避免的安全缺陷。
分布式的网络安全保护构架能够满足不同形态和规模的工控网络,同时也能够适应工控网络结构和规模的变化,系统的灵活性可以得到充分的体现。分布式网络安全保护系统在关键位置上设置安全保护设备,从而实现整个工控网络的安全。
在复杂的网络环境下,常常需要多个安全保护设备。传统的安全解决方案常常需要对每个安全设备分别设置安全规则。由于没有考虑到设备之间的联系,人工部署非常复杂,并容易产生人为引起的错误。当用户需要改变规则时,由于系统的复杂性,很难为每个保护设备及时的更新准确的新规则。
实用新型内容
为解决上述现有技术中存在的问题,本实用新型提出了一种网络安全规则自动化部署的系统:
一种网络安全规则自动化部署系统,包括中央管理系统、保护设备、用户设备以及通讯网络,所述中央管理系统与每个保护设备连通,所述每个保护设备与用户设备连通。
进一步地,中央管理系统收集用户整体安全规则以及为每个保护设备生成定制的安全规则,并自动化部署。
进一步地,保护设备从所述中央管理系统接收定制化安全规则作为配置文件,并按照定制化安全规则的规则项实现用户设备的数据通讯监测和/或保护。
进一步地,用户设备可以为交换机、工作站、服务器以及可编程逻辑控制器中的一种或几种。
进一步地,保护设备可以为网关、IDS、IPS中的一种或几种。
本实用新型所产生的有益效果在于:
提供了一种为网络中的每个保护设备自动生成定制化的安全规则的系统,在部署时自动修改规则的源地址和目标地址以确保生成的定制化安全规则符合用户整体规则并满足用户对整体网络安全的需要,提高了分布式网络安全系统的易用性和可扩展性;同时可以对每个安全设备定制的安全规则进行自动部署,极大地提高了安全规则部署的效率及准确性。
附图说明
图1为使用本实用新型的网络安全规则自动部署系统的通信网络拓扑图;
图2为通信网络中保护设备A所监测和保护区域的网络拓扑图;
图3为通信网络中保护设备B所监测和保护区域的网络拓扑图;
图4为通信网络中保护设备C所监测和保护区域的网络拓扑图;
图5为通信网络中保护设备D所监测和保护区域的网络拓扑图;
图6为生成定制化安全规则并部署的流程图。
附图标记:1-8用户设备
具体实施方式
以下以工业控制网络安全规则自动部署系统为例对本实用新型进行详细阐述,应当注意的是,下列实施例仅用于对本实用新型进行说明而非作为对本实用新型的限制。本实用新型的网络安全规则自动部署系统除了可以应用在工业控制网络中,还可以用于任何其他的系统中。
如图1所示的通信网络拓扑图,中央管理系统与保护设备A-D连通,保护设备A与用户设备3、5连通,其中用户设备3与用户设备1连通,保护设备B与用户设备2、7、8连通,其中用户设备7与用户设备6连通,保护设备C与用户设备4、7连通,保护设备D与用户设备5、7连通。用户设备可以为交换机、工作站、服务器以及可编程逻辑控制器等,保护设备可以为网关、IDS、IPS等。
按照图3所示的步骤,基于图1的网络拓扑结构,利用智能图论法分析系统的连通性,确定如图2-5所示的保护设备A-D所监测和保护的区域,即保护设备A-D的负责区域。其中,保护设备A的负责区域包括用户设备1、3、5,保护设备B的负责区域包括用户设备2、6、7、8,保护设备C的负责区域包括用户设备4、6、7,保护设备D的负责区域包括用户设备5、6、7。
在确定了安全设备A-D的负责区域之后,由中央管理系统自动分析用户整体安全规则中的各个规则项与安全设备A-D之间的匹配关系。用户的整体安全规则由一系列有序的规则项组成,每个规则项包括源地址、目标地址、规则细节以及处理措施。中央管理系统将安全设备A-D各自负责的区域规则项的源地址以及目标地址进行比较,确定该规则项是否与某个安全设备相关,即确定该规则项是否与某个安全设备的负责区域有交集,如果无关,则不适用该规则项,可以删除。例如有以下规则项:
规则项:【8】,【4】,TCP,允许
该规则项的内容为:从用户设备8到用户设备4的TCP数据包允许通过,由于用户设备8和用户设备4不属于保护设备A的负责区域,则保护设备A可以忽略此规则项。
在规则项的源地址和目标地址与某个保护设备的负责区域有交集时,该规则项可以与该保护设备相关。此时由中央管理系统依照其相关性自动修改规则项并为保护设备A-D生成定制化的安全规则,例如:
用户整体安全规则为:
规则项一:【1】,【4】,TCP,允许;
规则项二:【1,5】,【4,6,7】,TCP,阻断;
即用户的实际要求为:
a:【1】,【4】,TCP,允许;
b:【1】,【6】,TCP,阻断;
c:【1】,【7】,TCP,阻断;
d:【5】,【4】,TCP,阻断;
e:【5】,【6】,TCP,阻断;
f:【5】,【7】,TCP,阻断;
对于保护设备D,规则项一与其无关,会被忽略,规则项二与其相关会被保留。但是对于【1】,【4】之间的数据包,即使保护设备A和保护设备C允许其通过,保护设备D依据规则项二也会将其阻断。用户需求a将无法实现。因而规则项二对于保护设备D不完全适用,因此对于保护设备D规则项二将改写为:
【5】,【4,6,7】,TCP,阻断;
【1】,【6,7】,TCP,阻断;
整体上所生成的针对保护设备A-D的定制化安全规则为:
保护设备A:
【1】,【4】,TCP,允许;
【1】,【4,6,7】,TCP,阻断;
保护设备B:
无规则;
保护设备C:
【1】,【4】,TCP,允许;
【1,5】,【4】,TCP,阻断;
保护设备D:
【5】,【4,6,7】,TCP,阻断;
【1】,【6,7】,TCP,阻断;
通过中央管理系统将生成的针对安全设备A-D的定制化安全规则以配置文件的形式自动部署到保护设备A-D中,保护设备A-D按照定制化安全规则的规则项对用户设备的数据通讯进行监测和/或保护。
以上所述实施例仅表达了本实用新型的实施方式,其描述较为具体和详细,但并不能因此而理解为对本实用新型专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本实用新型构思的前提下,还可以做出若干变形和改进,这些都属于本实用新型的保护范围。因此,本实用新型专利的保护范围应以所附权利要求为准。
Claims (4)
1.一种网络安全规则自动化部署系统,其特征在于,包括中央管理系统、保护设备、用户设备以及通讯网络,所述中央管理系统与每个保护设备连通,所述每个保护设备与在其监控和保护区域内的用户设备连通;
所述中央管理系统收集用户整体安全规则以及为每个保护设备生成定制的安全规则,并自动化部署。
2.如权利要求1所述的网络安全规则自动化部署系统,其特征在于,所述保护设备从所述中央管理系统接收定制化安全规则作为配置文件,并按照定制化安全规则的规则项实现用户设备的数据通讯监测和/或保护。
3.如权利要求1所述的网络安全规则自动化部署系统,其特征在于,用户设备为交换机、工作站、服务器以及可编程逻辑控制器中的一种或几种。
4.如权利要求1所述的网络安全规则自动化部署系统,其特征在于,保护设备为网关、IDS、IPS中的一种或几种。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201420564993.0U CN204334620U (zh) | 2014-09-28 | 2014-09-28 | 一种网络安全规则自动化部署系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201420564993.0U CN204334620U (zh) | 2014-09-28 | 2014-09-28 | 一种网络安全规则自动化部署系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN204334620U true CN204334620U (zh) | 2015-05-13 |
Family
ID=53170925
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201420564993.0U Active CN204334620U (zh) | 2014-09-28 | 2014-09-28 | 一种网络安全规则自动化部署系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN204334620U (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110875900A (zh) * | 2018-08-31 | 2020-03-10 | 重庆小雨点小额贷款有限公司 | 企业安全管理方法、装置及安全管理服务器 |
-
2014
- 2014-09-28 CN CN201420564993.0U patent/CN204334620U/zh active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110875900A (zh) * | 2018-08-31 | 2020-03-10 | 重庆小雨点小额贷款有限公司 | 企业安全管理方法、装置及安全管理服务器 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10897504B2 (en) | Computerized system for managing gas resource | |
| GB2537302A (en) | System and method for the distributed control and management of a microgrid | |
| CN109542057A (zh) | 基于虚拟机结构的远程运维模型及其构建方法 | |
| CN104883348A (zh) | 一种网络安全规则自动化部署方法及系统 | |
| WO2012048151A3 (en) | Network-based communication, collaboration, and documentation | |
| TW200745977A (en) | Visual role definition for identity management | |
| Hamm et al. | Edge computing: A comprehensive survey of current initiatives and a roadmap for a sustainable edge computing development | |
| CN204440141U (zh) | 基于物联网与计算机的智能港口监控系统 | |
| CN103426065A (zh) | 基于云计算的用电微网配电方法 | |
| FR2959090B1 (fr) | Outil de gestion de ressources et d'infrastructures informatiques et reseaux | |
| CN103916397A (zh) | 一种分布式网络环境下安全监控方法 | |
| CN204334620U (zh) | 一种网络安全规则自动化部署系统 | |
| CN106200563B (zh) | 一种数控设备状态采集和设备控制系统及方法 | |
| TW201915771A (zh) | 基於用戶行為的群組通知方法、系統以及儲存媒體 | |
| CN104484521A (zh) | 电网调度监控用visio拓扑图的定位规则 | |
| CN102542519A (zh) | 政务云系统 | |
| CN106100932A (zh) | 一种基于数据共享的变电站数据处理系统 | |
| CN104883345B (zh) | 一种网络安全特征自动化部署方法及系统 | |
| CN103810553A (zh) | 建筑施工企业项目管理系统 | |
| CN104980310B (zh) | 物联网即时通讯信息实时监控系统 | |
| CN102708502A (zh) | 一个基于xpdl的多步骤营销流程的框架协议 | |
| CN106845745A (zh) | 一种多出入口危险作业场所的定员计数方法 | |
| CN204103951U (zh) | 一种网络安全特征自动化部署系统 | |
| CN204990410U (zh) | 工业废水处理工程智慧运营平台 | |
| CN203813967U (zh) | 基于物联网技术的移动基站监控管理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20170203 Address after: 100191 Haidian District, Zhichun Road, No. 7, building D, real estate, block, floor 1301, 13 Patentee after: BEIJING KUANGEN NETWORK TECHNOLOGY Co.,Ltd. Address before: 315000 Zhejiang Province, Ningbo Jiangbei District Hongtang Changxin Road No. 158 building 7 room 221 Patentee before: NINGBO KUANGEN NETWORK TECHNOLOGY Co.,Ltd. |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of utility model: Network security rule automatic deployment system Effective date of registration: 20171122 Granted publication date: 20150513 Pledgee: Chen Chongjun Pledgor: BEIJING KUANGEN NETWORK TECHNOLOGY Co.,Ltd. Registration number: 2017990001087 |
|
| PP01 | Preservation of patent right |
Effective date of registration: 20180306 Granted publication date: 20150513 |
|
| PP01 | Preservation of patent right | ||
| PD01 | Discharge of preservation of patent | ||
| PD01 | Discharge of preservation of patent |
Date of cancellation: 20210306 Granted publication date: 20150513 |
|
| PP01 | Preservation of patent right | ||
| PP01 | Preservation of patent right |
Effective date of registration: 20210306 Granted publication date: 20150513 |
|
| PD01 | Discharge of preservation of patent | ||
| PD01 | Discharge of preservation of patent |
Date of cancellation: 20240306 Granted publication date: 20150513 |