一种区块链服务安全防护策略管控系统与方法与流程

本发明涉及区块链服务信息安全领域，尤其涉及一种区块链服务安全防护策略管控系统与方法。

背景技术：

随着区块链技术的发展，区块链技术的应用范围已经延伸到金融服务、政务信息跨部门交换共享、物流管理、资产交易凭证等多个领域，区块链服务节点部署规模也呈现指数级增加，由于区块链服务系统是一个典型的分布式系统，各区块链节点分布广、安全风险差异较大，整体安全环境与态势实时动态变化，特别是在跨越多个信息域上的大型区块链系统其安全管控难度更大，如何为大型区块链系统各类节点提供统一、动态与个性化的安全防护策略，保障基于区块链系统的各类业务应用能够持续稳定安全运行，是亟待解决的重要问题。

技术实现要素：

本发明的目的是针对现有部署于物理主机和虚拟主机上的各类区块链服务节点无法有效提供统一、动态与个性化的安全防护策略问题，提出了一种区块链服务安全防护策略管控系统与方法。

本发明实施例中，提供了一种区块链服务安全防护策略管控系统，其包括部署于服务器的服务端和部署于各个区块链服务节点的客户端，

所述服务端，用于建立区块链服务维度属性集，生成区块链服务元数据库，并在所述区块链服务元数据库的基础上进行区块链服务安全防护策略定义，并将定义的区块链服务安全防护策略分发给所述客户端；

所述客户端，用于根据所述区块链服务安全防护策略在各个区块链节点进行安全防护，并将所述区块链服务安全防护策略的执行情况返回给所述服务端；

所述服务端，进一步根据所述客户端返回的所述区块链服务安全防护策略的执行情况进行分析，并根据分析结果对所述区块链服务安全防护策略进行优化升级，然后将将优化后区块链服务安全防护策略推送给所述客户端。

本发明实施例中，所述服务端包括：

安全防护策略定义与管理单元，用于根据区块链服务的防护需求，配置区块链服务数据安全防护、网络层访问控制中的安全防护规则，然后根据业务场景需要，分类提供针对性的区块链服务安全防护策略模版，并根据特定区块链服务安全防护策略模版，输入该特定应用场景下训练使用的区块链服务敏感交易数据集，在决策树空间中搜索与训练数据一致的决策树，并将该决策树转化为安全防护策略，完成特定应用场景的区块链安全防护策略定义。

本发明实施例中，所述服务端还包括：

安全防护策略智能转化单元，用于将所述安全防护策略定义与管理单元生成的区块链安全防护策略转换成设备层策略，然后将设备层策略翻译成底层设备配置命令与配置脚本并存入策略部署库中。

本发明实施例中，所述服务端包括：

策略分发订阅与部署单元，用于将区块链安全防护策略内容、安全规则库内容自动化分发推送至部署在区块链服务节点的客户端。

本发明实施例中，所述服务端还包括：

策略执行持续监控单元，用于采集全网各个区块链服务节点的客户端执行所述区块链安全防护策略的情况，形成区块链服务安全防护策略执行日志库，实现对全网区块链服务安全防护策略执行情况进行持续监控。

本发明实施例中，所述服务端还包括：

策略分析审计单元，用于对采集到的区块链服务安全防护策略执行数据进行分析，确定区块链服务安全防护策略执行是否符合相关规定，并对不合规的行为提出告警信息，并根据分析结果分析判断策略的有效性，将未达到效果的区块链服务安全防护策略将纳入待优化策略库中。

本发明实施例中，所述服务端还包括：

策略智能优化单元，用于从待优化策略库中选取特定待优化策略，然后重新分析和设定策略目标，对策略进行智能优化。然后结合实际应用场景，构造该场景下的测试数据集，基于机器学习算法，调整策略决策树中相关属性关键因子，实现特定应用场景的策略个性化推荐。最后将该策略纳入备选策略库中，重新进入策略定义、策略智能转化、策略执行与监控、策略审计与分析等策略应用环节。

本发明实施例中，所述服务端还包括：

策略方案推荐单元，用于结合实际应用场景，构造该场景下的测试数据集，基于机器学习算法，调整策略决策树中相关属性关键因子，实现特定应用场景的策略个性化推荐；

服务端通信服务单元，用于与所述客户端进行通信。

本发明实施例中，所述客户端包括：

客户端通信服务单元，用于与所述服务端进行通信；

客户端策略执行代理单元，用于执行所述服务端提供的区块链服务安全防护策略。

本发明实施例中，还提供了一种区块链服务安全防护策略管控方法，其包括：

部署于服务器的服务端建立区块链服务维度属性集，生成区块链服务元数据库，并在所述区块链服务元数据库的基础上进行区块链服务安全防护策略定义，并将定义的区块链服务安全防护策略分发给部署于各个区块链服务节点的客户端，

所述客户端根据所述区块链服务安全防护策略在各个区块链节点进行安全防护，并将所述区块链服务安全防护策略的执行情况返回给所述服务端，

所述服务端进一步根据所述客户端返回的所述区块链服务安全防护策略的执行情况进行分析，并根据分析结果对所述区块链服务安全防护策略进行优化升级，然后将将优化后的区块链服务安全防护策略推送给所述客户端。

综上所述，本发明的区块链服务安全防护策略管控系统及方法，为区块链服务提供统一的安全策略管理、智能分发、订阅等服务，提供策略中的防护主体、安全事件、安全规则与安全服务的统一定义与编排，通过数据交换平台将安全策略分发到各区块链服务安全防护系统中；该方法支持策略无感全网穿透执行能力，实时采集与汇集策略执行日志，根据日志审计与结果，采用策略智能优化算法，实现安全策略智能优化与智能推广，支持全网或分区域区块链服务安全防护策略的智能升级，可以满足未来大型企业和机构数据中心的区块链服务安全防御策略的统一管控要求，为机构内部全网区块链服务为提供集中统一的安全防护策略管理平台。

附图说明

图1是本发明实施例的区块链服务安全防护策略管控系统的结构示意图。

图2是本发明实施例的区块链服务安全防护策略管控系统的工作流程图。

具体实施方式

如图1所示，本发明实施例中，本发明实施例中，提供了一种区块链服务安全防护策略管控系统，其包括部署于服务器的服务端和部署于各个区块链服务节点的客户端。

所述服务端，用于建立区块链服务维度属性集，生成区块链服务元数据库，并在所述区块链服务元数据库的基础上进行区块链服务安全防护策略定义，并将定义的区块链服务安全防护策略分发给所述客户端。所述客户端，用于根据所述区块链服务安全防护策略在各个区块链节点进行安全防护，并将所述区块链服务安全防护策略的执行情况返回给所述服务端。所述服务端，进一步根据所述客户端返回的所述区块链服务安全防护策略的执行情况进行分析，并根据分析结果对所述区块链服务安全防护策略进行优化升级，然后将将优化后区块链服务安全防护策略推送给所述客户端。

本发明实施例中，所述服务端包括安全防护策略定义与管理单元、安全防护策略智能转化单元、策略分发订阅与部署单元、策略执行持续监控单元、策略分析审计单元、策略智能优化单元、策略方案推荐单元和服务端通信服务单元。下面分别进行说明。

安全防护策略定义与管理单元，用于根据区块链服务的防护需求，配置区块链服务数据安全防护、网络层访问控制中的安全防护规则，然后根据业务场景需要，分类提供针对性的区块链服务安全防护策略模版，并根据特定区块链服务安全防护策略模版，输入该特定应用场景下训练使用的区块链服务敏感交易数据集，在决策树空间中搜索与训练数据一致的决策树，并将该决策树转化为安全防护策略，完成特定应用场景的区块链安全防护策略定义。

所述安全防护策略智能转化单元，用于将所述安全防护策略定义与管理单元生成的区块链安全防护策略转换成设备层策略，然后将设备层策略翻译成底层设备配置命令与配置脚本并存入策略部署库中。

所述策略分发订阅与部署单元，用于将区块链安全防护策略内容、安全规则库内容自动化分发推送至部署在区块链服务节点的客户端。

所述策略执行持续监控单元，用于采集全网各个区块链服务节点的客户端执行所述区块链安全防护策略的情况，形成区块链服务安全防护策略执行日志库，实现对全网区块链服务安全防护策略执行情况进行持续监控。

所述策略分析审计单元，用于对采集到的区块链服务安全防护策略执行数据进行分析，确定区块链服务安全防护策略执行是否符合相关规定，并对不合规的行为提出告警信息，并根据分析结果分析判断策略的有效性，将未达到效果的区块链服务安全防护策略将纳入待优化策略库中。

所述策略智能优化单元，用于从待优化策略库中选取特定待优化策略，然后重新分析和设定策略目标，对策略进行智能优化。然后结合实际应用场景，构造该场景下的测试数据集，基于机器学习算法，调整策略决策树中相关属性关键因子，实现特定应用场景的策略个性化推荐。最后将该策略纳入备选策略库中，重新进入策略定义、策略智能转化、策略执行与监控、策略审计与分析等策略应用环节。

所述策略方案推荐单元，用于结合实际应用场景，构造该场景下的测试数据集，基于机器学习算法，调整策略决策树中相关属性关键因子，实现特定应用场景的策略个性化推荐；

所述服务端通信服务单元，用于与所述客户端进行通信。

本发明实施例中，所述客户端包括客户端通信服务单元和客户端策略执行代理单元。所述客户端通信服务单元，用于与所述服务端进行通信。所述客户端策略执行代理单元，用于执行所述服务端提供的区块链服务安全防护策略。

如图2所示，所述区块链服务安全防护策略管控系统的工作过程如下：

（1）建立区块链服务维度属性集

首先在所述服务端的后台服务中配置各类敏感数据智能识别模型与算法，同时上传区块链服务敏感交易数据样本文件并进行分类管理，然后基于敏感内容智能识别模型与算法，经过样本特征生成、内容智能识别、关键词提取等步骤，实现关键敏感数据内容标定与提取，使用数据安全属性分类器对提取的敏感数据内容进一步进行精细化属性分类与属性权重赋值，并结合人工过程对新生成的属性分类进行命名与规则定义，实现区块链服务安全属性认识维度不断扩大加深，最后基于属性权重与分级分类模型，对交易样本数据进行自动分类、分级。持续不断提供区块链服务敏感交易数据样本文件进行训练与学习，不断重复上述过程对敏感数据识别模型、安全属性智能识别模型和数据分级分类模型进行版本升级与优化，扩大区块链服务安全属性维度，建立区块链服务维度属性集，并按照树型结构进行维度属性层次配置与管理，这里面的维度属性就是影响区块链服务安全的要素。

（2）配置生成区块链服务元数据库

根据区块链服务维度属性集，配置生成区块链服务属性元数据，同时将敏感关键词一并纳入区块链服务元数据管理，建立区块链服务元数据库。

（3）区块链服务安全防护策略定义

根据区块链服务的机密性与完整性等防护需求，配置区块链服务数据安全防护、网络层访问控制中的安全防护规则，然后根据业务场景需要，分类提供针对性的区块链服务安全防护策略模版生成与配置功能，区块链服务安全防护策略模版覆盖服务安全属性、安全防护规则和配套元数据库等内容。根据特定区块链服务安全防护策略模版，输入该特定应用场景下训练使用的区块链服务敏感交易数据集，结合智能决策树学习算法，在决策树空间中搜索与训练数据一致的决策树，并将该决策树转化为安全防护策略，并完成特定应用场景的区块链安全防护策略定义。

（4）区块链服务安全防护策略智能转换

根据自动生成的新区块链安全防护策略，使用策略编辑图形界面实现人工策略编制，结合策略类型查询语义冲突知识库，获取与新策略可能会发生语义冲突的相关知识；利用获得的语义冲突知识从系统信息库中选择出需要与新策略进行语义冲突判断的候选策略；将新策略与候选策略进行一致性分析，冲突则先消解冲突，不冲突则将其转换成设备层策略，然后将设备层策略翻译成底层设备配置命令与配置脚本，最后将其存入策略部署库中。

（5）区块链服务安全防护策略分发与部署

根据策略部署库中信息，采用区块链安全防护策略主动推送、订阅和接口调用服务等方式，将区块链安全防护策略内容、相关安全规则库等内容自动化分发推送至部署在区块链服务节点的客户端中，实现防护协同联动。

（6）区块链服务安全防护策略执行与持续监控过程

区块链服务节点的客户端遇到安全事件时，按照安全规则调用安全服务对区块链服务的节点进行针对性安全防护，并采集相关安全防护策略执行情况与上下文信息，形成区块链服务安全防护策略执行日志库，实现对全网区块链服务安全防护策略执行情况进行持续监控。

（7）区块链服务安全防护策略审计与防护态势分析

通过采集区块链服务安全防护策略执行过程中产生的各种日志,包含账户活动、操作行为、区块链服务平台执行等日志信息，对采集到的数据进行分析，确定区块链服务安全防护策略执行是否符合相关规定，并对不合规的行为提出告警信息。同时对全网区块链服务安全防护策略执行持续监控情况进行分析，结合安全事件预警和安全管理视图功能，提高安全风险智能分析，并根据风险变化趋势，实现安全预警与态势展示。

根据审计与分析结果分析判断策略的有效性，对未达到效果的相关区块链服务安全防护策略将纳入待优化策略库中。

（8）区块链服务安全防护策略智能优化与个性化推荐

从待优化策略库中选取特定待优化策略，然后重新分析和设定策略目标，结合策略强度、区块链服务维度属性等约束条件，构建区块链服务安全属性向量与数据泄漏风险概率关联策略参数矩阵，基于数据区块链服务敏感交易数据样本集及相关策略，采用量子遗传智能优化算法，对策略进行智能优化。然后结合实际应用场景，构造该场景下的测试数据集，基于机器学习算法，调整策略决策树中相关属性关键因子，实现特定应用场景的策略个性化推荐。最后将该策略纳入备选策略库中，重新进入策略定义、策略智能转化、策略执行与监控、策略审计与分析等策略应用环节。

综上所述，本发明的区块链服务安全防护策略管控系统及方法，为区块链服务提供统一的安全策略管理、智能分发、订阅等服务，提供策略中的防护主体、安全事件、安全规则与安全服务的统一定义与编排，通过数据交换平台将安全策略分发到各区块链服务安全防护系统中；该方法支持策略无感全网穿透执行能力，实时采集与汇集策略执行日志，根据日志审计与结果，采用策略智能优化算法，实现安全策略智能优化与智能推广，支持全网或分区域区块链服务安全防护策略的智能升级，可以满足未来大型企业和机构数据中心的区块链服务安全防御策略的统一管控要求，为机构内部全网区块链服务为提供集中统一的安全防护策略管理平台。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。