网络安全管理方法、装置、系统及可读存储介质与流程

1.本发明涉及网络通信技术领域，尤其涉及一种网络安全管理方法、装置、系统及可读存储介质。


背景技术：

2.随着网络技术的发展，大型企业都配置有指定的网段供外界、内部分支机构访问。配置的内容至少包括网络分配、分支机构的业务变更、用户网络接入、路由器和防火墙的配置、服务器及个人的网络权限配置等；通过该各种类型的配置，实现网络的安全管理。
3.当前，该类配置均通过人工操作实现管理，管理的效率低；并且，一旦出现危害网络的事件，难以快速查找定位事件，导致修复效率低。因此，如何提高网络安全管理的效率和快速修复，是当前亟待解决的技术问题。


技术实现要素：

4.本发明的主要目的在于提供一种网络安全管理方法、装置、系统及可读存储介质，旨在解决现有技术中如何提高网络安全管理的效率和快速修复的技术问题。
5.为实现上述目的，本发明提供一种网络安全管理方法，所述网络安全管理方法包括以下步骤：
6.接收策略配置指令，并根据所述策略配置指令携带的策略配置信息，配置网络的安全策略；
7.接收资产配置指令，并根据所述资产配置指令携带的资产配置信息，配置所述网络的核心资产；
8.接收权限配置指令，并根据所述权限配置指令携带的权限配置信息，配置所述网络的用户访问权限；
9.根据网络规则、路由规则和网段规则，建立网络拓扑结构，并基于所述网络拓扑结构展示与网络权限对应的权限流程；
10.当检测到基于所述安全策略、所述核心资产或所述用户访问权限触发的异常标识时，启动网络安全告警。
11.可选地，所述根据所述权限配置指令携带的权限配置信息，配置所述网络的用户访问权限的步骤之后包括：
12.当接收到对所述安全策略、所述核心资产或所述用户访问权限进行变更的变更工单时，启动审批流程对所述变更工单进行审批；
13.在所述审批流程中的各审批节点均审批通过后，对与所述变更工单对应的变更事项进行变更。
14.可选地，所述当接收到对所述安全策略、所述核心资产或所述用户访问权限进行变更的变更工单时，启动审批流程进行审批的步骤包括：
15.当接收到对所述安全策略、所述核心资产或所述用户访问权限进行变更的变更工
单时，获取所述变更工单中的变更信息；
16.根据所述变更信息确定变更等级，并查找所述安全策略中与所述变更等级对应的变更策略；
17.确定与所述变更策略对应的审批流程，并启动所述审批流程对所述变更工单进行审批。
18.可选地，所述在所述审批流程中的各审批节点均审批通过后，对与所述变更工单对应的变更事项进行变更的步骤之前包括：
19.判断所述审批流程中的各审批节点是否均审批通过，若均审批通过，执行在所述审批流程中的各审批节点均审批通过后，对与所述变更工单对应的变更事项进行变更的步骤；
20.若各所述审批节点中存在未审批通过的审批节点，则获取与未审批通过的审批节点对应的审批原因，并将所述审批原因下发到与所述变更工单对应的请求终端。
21.可选地，所述将所述审批原因下发到与所述变更工单对应的请求终端的步骤之后包括：
22.接收所述请求终端基于所述审批原因发起的新的变更工单，并基于新的所述变更工单，执行获取所述变更工单中的变更信息的步骤。
23.可选地，所述当检测到基于所述安全策略、所述核心资产或所述用户访问权限触发的异常标识时，启动网络安全告警的步骤之前包括：
24.基于所述安全策略进行扫描，当扫描到与所述安全策略匹配的风险信息时，基于所述安全策略触发与所述风险信息对应的异常标识。
25.可选地，所述当检测到基于所述安全策略、所述核心资产或所述用户访问权限触发的异常标识时，启动网络安全告警的步骤包括：
26.当检测到基于所述安全策略、所述核心资产或所述用户访问权限触发的异常标识时，确定所述异常标识的类型；
27.若所述异常标识的类型为与所述风险信息对应的异常标识，则获取与所述风险信息对应的修复信息以及修复时间；
28.将所述风险信息、所述修复信息和所述修复时间生成为告警信息，并基于所述告警信息启动网络安全告警。
29.可选地，所述根据所述资产配置指令携带的资产配置信息，配置所述网络的核心资产的步骤之后包括：
30.获取所述核心资产的期限信息，并对所述核心资产扫描，判断所述核心资产的使用时长是否与所述期限信息匹配；
31.若所述使用时长与所述期限信息匹配，则基于所述核心资产触发与所述使用时长对应的异常标识。
32.可选地，所述根据所述权限配置指令携带的权限配置信息，配置所述网络的用户访问权限的步骤之后包括：
33.获取与所述用户访问权限对应用户账号的访问数据，并对各所述访问数据进行分析，生成分析结果；
34.根据所述分析结果，确定所述用户账号是否越权；
35.若所述用户账号越权，则获取越权信息，并基于所述用户访问权限触发与所述越权信息对应的异常标识。
36.可选地，所述获取与所述用户访问权限对应用户账号的访问数据的步骤之前包括：
37.当接收到基于所述用户账号的登录请求时，获取与所述登录请求对应的登录信息，并对所述登录信息进行验证；
38.若所述登录信息验证通过，则基于所述用户账户生成访问数据。
39.可选地，所述接收策略配置指令的步骤之前包括：
40.接收公共模板信息，并将所述公共模板信息生成为配置文件，以基于所述配置文件配置网络的安全策略、核心资产和用户访问权限。
41.可选地，所述根据所述资产配置指令携带的资产配置信息，配置所述网络的核心资产的步骤之后包括：
42.建立各所述核心资产之间的关联关系。
43.可选地，所述安全策略包括网络安全策略、设备安全策略、端口扫描安全策略、高危端口安全策略和工单策略。
44.进一步地，为实现上述目的，本发明还提供一种网络安全管理装置，所述网络安全管理装置包括：
45.第一配置模块，用于接收策略配置指令，并根据所述策略配置指令携带的策略配置信息，配置网络的安全策略；
46.第二配置模块，用于接收资产配置指令，并根据所述资产配置指令携带的资产配置信息，配置所述网络的核心资产；
47.第三配置模块，用于接收权限配置指令，并根据所述权限配置指令携带的权限配置信息，配置所述网络的用户访问权限；
48.建立模块，用于根据网络规则、路由规则和网段规则，建立网络拓扑结构，并基于所述网络拓扑结构展示与网络权限对应的权限流程；
49.告警模块，用于当检测到基于所述安全策略、所述核心资产或所述用户访问权限触发的异常标识时，启动网络安全告警。
50.可选地，所述网络安全管理装置还包括：
51.审批模块，用于当接收到对所述安全策略、所述核心资产或所述用户访问权限进行变更的变更工单时，启动审批流程对所述变更工单进行审批；
52.变更模块，用于在所述审批流程中的各审批节点均审批通过后，对与所述变更工单对应的变更事项进行变更。
53.可选地，所述审批模块还包括：
54.获取单元，用于当接收到对所述安全策略、所述核心资产或所述用户访问权限进行变更的变更工单时，获取所述变更工单中的变更信息；
55.查找单元，用于根据所述变更信息确定变更等级，并查找所述安全策略中与所述变更等级对应的变更策略；
56.审批单元，用于确定与所述变更策略对应的审批流程，并启动所述审批流程对所述变更工单进行审批。
57.可选地，所述网络安全管理装置还包括：
58.判断模块，用于判断所述审批流程中的各审批节点是否均审批通过，若均审批通过，执行在所述审批流程中的各审批节点均审批通过后，对与所述变更工单对应的变更事项进行变更的步骤；
59.获取模块，用于若各所述审批节点中存在未审批通过的审批节点，则获取与未审批通过的审批节点对应的审批原因，并将所述审批原因下发到与所述变更工单对应的请求终端。
60.可选地，所述网络安全管理装置还包括：
61.接收模块，用于接收所述请求终端基于所述审批原因发起的新的变更工单，并基于新的所述变更工单，执行获取所述变更工单中的变更信息的步骤。
62.进一步地，为实现上述目的，本发明还提供一种网络安全管理系统，所述网络安全管理系统包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的网络安全管理程序，所述网络安全管理程序被所述处理器执行时实现如上述所述的网络安全管理方法的步骤。
63.进一步地，为实现上述目的，本发明还提供一种可读存储介质，所述可读存储介质上存储有网络安全管理程序，所述网络安全管理程序被处理器执行时实现如上所述的网络安全管理方法的步骤。
64.本发明的网络安全管理方法、装置、网络安全管理系统和可读存储介质，由网络安全管理系统统一实现网络安全的管理，通过接收策略配置指令，并根据其中的策略配置信息，配置网络的安全策略；接收资产配置指令，并根据其中的资产配置信息，配置网络的核心资产；接收权限配置指令，并根据其中的权限配置信息，配置网络的用户访问权限；同时根据网络规则、路由规则和网段规则，建立网络拓扑结构，并基于网络拓扑结构展示与网络权限对应的权限流程；在检测到通过安全策略、核心资产或用户权限触发的异常标识时，启动网络安全告警。以此，通过网络安全管理系统的统一管理，根据接收到策略配置指令、资产配置指令和权限配置指令，分别配置网络的安全策略、核心资产和用户访问权限，避免人工操作管理，提高了管理效率；并且，通过建立网络拓扑结构，可视化展示与网络权限对应的权限流程，各流程节点之间的来源去向清晰明确，便于查看。同时，在检测到异常标识，表征网络中存在异常时，启动网络安全告警；以在提醒网络中存在异常的同时，通过异常标识快速定位到异常点，实现对异常点的及时预警修复，提高修复效率。
附图说明
65.图1为本发明网络安全管理系统实施例方案涉及的硬件运行环境的结构示意图；
66.图2为本发明网络安全管理方法第一实施例的流程示意图；
67.图3为本发明网络安全管理装置较佳实施例的功能模块示意图；
68.图4为本发明网络安全管理方法中核心资产配置示意图；
69.图5为本发明网络安全管理方法中用户访问权限配置一示意图；
70.图6为本发明网络安全管理方法中用户访问权限配置另一示意图；
71.图7为本发明网络安全管理方法中安全策略添加示意图；
72.图8为本发明网络安全管理方法中网络拓扑结构的路径示意图；
73.图9为本发明网络安全管理方法中网络拓扑结构示意图。
74.本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
75.应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。
76.本发明提供一种网络安全管理系统，参照图1，图1为本发明网络安全管理系统实施例方案涉及的硬件运行环境的结构示意图。
77.如图1所示，该网络安全管理系统可以包括：处理器1001，例如cpu，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(display)、输入单元比如键盘(keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如wi-fi接口)。存储器1005可以是高速ram存储器，也可以是稳定的存储器(non-volatile memory)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储网络安全管理系统。
78.本领域技术人员可以理解，图1中示出的网络安全管理系统的硬件结构并不构成对网络安全管理系统的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。
79.如图1所示，作为一种可读存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及网络安全管理程序。其中，操作系统是管理和控制网络安全管理系统的硬件与软件资源的程序，支持网络通信模块、用户接口模块、网络安全管理程序以及其他程序或软件的运行；网络通信模块用于管理和控制网络接口1004；用户接口模块用于管理和控制用户接口1003。
80.在图1所示的网络安全管理系统硬件结构中，网络接口1004主要用于连接后台服务器，与后台服务器进行数据通信；用户接口1003主要用于连接客户端(用户端)，与客户端进行数据通信；处理器1001可以调用存储器1005中存储的网络安全管理程序，并执行以下操作：
81.接收策略配置指令，并根据所述策略配置指令携带的策略配置信息，配置网络的安全策略；
82.接收资产配置指令，并根据所述资产配置指令携带的资产配置信息，配置所述网络的核心资产；
83.接收权限配置指令，并根据所述权限配置指令携带的权限配置信息，配置所述网络的用户访问权限；
84.根据网络规则、路由规则和网段规则，建立网络拓扑结构，并基于所述网络拓扑结构展示与网络权限对应的权限流程；
85.当检测到基于所述安全策略、所述核心资产或所述用户访问权限触发的异常标识时，启动网络安全告警。
86.进一步地，所述根据所述权限配置指令携带的权限配置信息，配置所述网络的用户访问权限的步骤之后，处理器1001可以调用存储器1005中存储的网络安全管理程序，并执行以下操作：
87.当接收到对所述安全策略、所述核心资产或所述用户访问权限进行变更的变更工单时，启动审批流程对所述变更工单进行审批；
88.在所述审批流程中的各审批节点均审批通过后，对与所述变更工单对应的变更事项进行变更。
89.进一步地，所述当接收到对所述安全策略、所述核心资产或所述用户访问权限进行变更的变更工单时，启动审批流程进行审批的步骤包括：
90.当接收到对所述安全策略、所述核心资产或所述用户访问权限进行变更的变更工单时，获取所述变更工单中的变更信息；
91.根据所述变更信息确定变更等级，并查找所述安全策略中与所述变更等级对应的变更策略；
92.确定与所述变更策略对应的审批流程，并启动所述审批流程对所述变更工单进行审批。
93.进一步地，所述在所述审批流程中的各审批节点均审批通过后，对与所述变更工单对应的变更事项进行变更的步骤之前，处理器1001可以调用存储器1005中存储的网络安全管理程序，并执行以下操作：
94.判断所述审批流程中的各审批节点是否均审批通过，若均审批通过，执行在所述审批流程中的各审批节点均审批通过后，对与所述变更工单对应的变更事项进行变更的步骤；
95.若各所述审批节点中存在未审批通过的审批节点，则获取与未审批通过的审批节点对应的审批原因，并将所述审批原因下发到与所述变更工单对应的请求终端。
96.进一步地，所述将所述审批原因下发到与所述变更工单对应的请求终端的步骤之后，处理器1001可以调用存储器1005中存储的网络安全管理程序，并执行以下操作：
97.接收所述请求终端基于所述审批原因发起的新的变更工单，并基于新的所述变更工单，执行获取所述变更工单中的变更信息的步骤。
98.进一步地，所述当检测到基于所述安全策略、所述核心资产或所述用户访问权限触发的异常标识时，启动网络安全告警的步骤之前，处理器1001可以调用存储器1005中存储的网络安全管理程序，并执行以下操作：
99.基于所述安全策略进行扫描，当扫描到与所述安全策略匹配的风险信息时，基于所述安全策略触发与所述风险信息对应的异常标识。
100.进一步地，所述当检测到基于所述安全策略、所述核心资产或所述用户访问权限触发的异常标识时，启动网络安全告警的步骤包括：
101.当检测到基于所述安全策略、所述核心资产或所述用户访问权限触发的异常标识时，确定所述异常标识的类型；
102.若所述异常标识的类型为与所述风险信息对应的异常标识，则获取与所述风险信息对应的修复信息以及修复时间；
103.将所述风险信息、所述修复信息和所述修复时间生成为告警信息，并基于所述告警信息启动网络安全告警。
104.进一步地，所述根据所述资产配置指令携带的资产配置信息，配置所述网络的核心资产的步骤之后，处理器1001可以调用存储器1005中存储的网络安全管理程序，并执行
以下操作：
105.获取所述核心资产的期限信息，并对所述核心资产扫描，判断所述核心资产的使用时长是否与所述期限信息匹配；
106.若所述使用时长与所述期限信息匹配，则基于所述核心资产触发与所述使用时长对应的异常标识。
107.进一步地，所述根据所述权限配置指令携带的权限配置信息，配置所述网络的用户访问权限的步骤之后，处理器1001可以调用存储器1005中存储的网络安全管理程序，并执行以下操作：
108.获取与所述用户访问权限对应用户账号的访问数据，并对各所述访问数据进行分析，生成分析结果；
109.根据所述分析结果，确定所述用户账号是否越权；
110.若所述用户账号越权，则获取越权信息，并基于所述用户访问权限触发与所述越权信息对应的异常标识。
111.进一步地，所述获取与所述用户访问权限对应用户账号的访问数据的步骤之前，处理器1001可以调用存储器1005中存储的网络安全管理程序，并执行以下操作：
112.当接收到基于所述用户账号的登录请求时，获取与所述登录请求对应的登录信息，并对所述登录信息进行验证；
113.若所述登录信息验证通过，则基于所述用户账户生成访问数据。
114.进一步地，所述接收策略配置指令的步骤之前，处理器1001可以调用存储器1005中存储的网络安全管理程序，并执行以下操作：
115.接收公共模板信息，并将所述公共模板信息生成为配置文件，以基于所述配置文件配置网络的安全策略、核心资产和用户访问权限。
116.进一步地，所述根据所述资产配置指令携带的资产配置信息，配置所述网络的核心资产的步骤之后，处理器1001可以调用存储器1005中存储的网络安全管理程序，并执行以下操作：
117.建立各所述核心资产之间的关联关系。
118.进一步地，所述安全策略包括网络安全策略、设备安全策略、端口扫描安全策略、高危端口安全策略和工单策略。
119.本发明网络安全管理系统的具体实施方式与下述网络安全管理方法各实施例基本相同，在此不再赘述。
120.本发明还提供一种网络安全管理方法。
121.参照图2，图2为本发明网络安全管理方法第一实施例的流程示意图。
122.本发明实施例提供了网络安全管理方法的实施例，需要说明的是，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。具体地，本实施例网络安全管理方法包括：
123.步骤s10，接收策略配置指令，并根据所述策略配置指令携带的策略配置信息，配置网络的安全策略；
124.本实施例中网络安全管理方法适用于网络安全管理系统(简称管理系统)，通过管理系统对网络中的各项资源、设备，访问网络的用户权限进行配置和管理，以确保网络安
全。具体地，管理平台支持安全策略的配置，所配置的安全策略包括但不限于网络安全策略、设备安全策略、端口扫描安全策略、高危端口安全策略和工单策略等。当具有安全策略的配置需求，则通过管理平台的显示界面发起策略配置指令，管理平台的控制中心一旦接收到该策略配置指令，则根据其中携带的策略配置信息，对网络的安全策略进行配置。
125.其中，策略配置信息包含所需要配置的策略类型，以及如何配置的信息。如对于网络安全策略，则策略配置信息中包含表征网络安全策略的标识，并且包含策略名称、允许和拒绝的执行动作、源地址、目的地址、端口等配置信息。又如对于高危端口安全策略，则策略配置信息中包含表征高危端口的信息；高危端口相对于全端口的概念，全端口为ip所具有的1～65535个端口，高危端口则是全端口中常用、敏感、风险性高的端口，可基于业务规则确定，如确定22、21、445、1433、1521、5323、6379、8006、3306、8360、8361、3389、8001、4505、4506、10051、10050、11211、27017、5900、5901、5902、5903、5904、5905等为高危端口，则可将该类端口的信息作为策略配合信息，用以配置高危端口安全策略。以此，通过获取策略配置指令携带的该类策略配置信息，依据策略配置信息表征的配置方式，实现对安全策略的配置。
126.步骤s20，接收资产配置指令，并根据所述资产配置指令携带的资产配置信息，配置所述网络的核心资产；
127.进一步地，管理平台还支持核心资产的配置，所配置的核心资产包括但不限于交换机、acl(access control lists，访问控制列表)容量、路由器、防火墙、ip地址、端口、设备、设备品牌、机房等。并且，配置的方式至少核心资产的新增、编辑、删除、设置参数等。当具有核心策略的配置需求时，通过管理平台的显示界面发起资产配置指令，管理平台的控制中心一旦接收到该资产配置指令，则根据其中携带的资产配置信息，对网络的核心资产进行配置。实现网络中核心资产的新增、编辑、删除、设置参数等，以动态实现核心资产的配置管理。
128.更进一步地，在配置网络的核心资产后，则可建立核心资产之间的关联关系。如图4所示将设备、设备品牌和机房关联，表征设备属于哪个机房，设备的品牌类型，以及设备是路由器、防火漆、还是交换机或者linux主机等，以通过关联关系快速查询出设备的归属和类型。
129.步骤s30，接收权限配置指令，并根据所述权限配置指令携带的权限配置信息，配置所述网络的用户访问权限；
130.更进一步地，管理平台还支持用户访问权限的配置，所配置的用户访问权限包括但不限于所支持访问的网段和所归属的权限组等。其中，管理系统将网络段划分为多个子网段，以供不同的对象使用，如针对每个部分划分不同的ip段，及开发、测试服务器段，外包人员、隔离、idc(internet data center，互联网数据中心)段等。对于不同的权限组具有不同的网络地址和服务，网络地址涉及ip之间的关系，服务则为ip运行或者阻断的端口。请参照图5和图6，当具有对某一对象进行用户访问权限的配置需求时，通过管理平台的显示界面发起权限配置指令，管理平台的控制中心一旦接收到该权限配置指令，则根据其中携带的权限配置信息，对网络的用户访问权限进行配置。根据权限配置信息确定支持访问的网段和归属的权限组，实现用户访问权限的配置。
131.需要说明的是，请参照图7，在对对象配置完用户访问权限之后，还对用户添加安
全策略，以便于依据安全策略，对对象的访问进行权限限制，使得访问在安全策略所设定权限内，确保对网络访问的安全性。
132.步骤s40，根据网络规则、路由规则和网段规则，建立网络拓扑结构，并基于所述网络拓扑结构展示与网络权限对应的权限流程；
133.进一步地，为了可视化展示网络权限的设定所需要经过的流程，本实施例在网络配置前建立有网络拓扑结构。具体地，通过网络规则中的核心网络规则，正向和反向路由的路由规则，以及网段划分和掩码的网段规则，建立网络拓扑结构。由网络拓扑结构可视化展示网络权限的设定所经过的权限流程，具体参照图8所示。同时，由网络拓扑结构动态显示全网、骨干网和分支机房等网络之间的拓扑关系，具体参照图9所示。以通过查看网络拓扑结构，快速确定权限流程以及网络之间的拓扑关系。
134.步骤s50，当检测到基于所述安全策略、所述核心资产或所述用户访问权限触发的异常标识时，启动网络安全告警。
135.进一步地，在对网络的安全策略、核心资产和用户访问权限配置完成后，管理系统的控制中心则对网络中的安全性、资产、访问进行监控。一旦检测到基于安全策略、核心资产或者用户访问权限中任意一项所触发的异常标识，表征网络在安全策略上存在异常，或者在核心资产上存在异常，抑或者在用户访问权限上存在异常时，启动网络安全告警，以通过网络安全告警提醒对异常及时修复。其中，网络安全告警除了提醒网络存在异常之后，还包含异常信息和对异常的修复信息，以便于运维人员通过异常信息快速定位到异常来源，并通过修复信息快速对异常进行修复，确保网络的安全性。
136.更进一步地，在对安全策略、核心资产和用户访问权限进行配置时，为了简化配置过程，预先设置有配置文件，以通过配置文件进行快速配置。具体地，接收策略配置指令的步骤之前包括：
137.步骤a1，接收公共模板信息，并将所述公共模板信息生成为配置文件，以基于所述配置文件配置网络的安全策略、核心资产和用户访问权限。
138.进一步地，本实施例将适用于安全策略、核心资产和用户访问权限中，共同的配置信息设置为公共模板信息上传到管理系统。管理系统对该公共模板信息进行接收，并生成为配置文件。以便于通过配置文件配置网络的安全策略、核心资产和用户访问权限，避免对三者共同的配置信息逐一设置，简化了三者的配置过程。
139.本发明的网络安全管理方法，由网络安全管理系统统一实现网络安全的管理，通过接收策略配置指令，并根据其中的策略配置信息，配置网络的安全策略；接收资产配置指令，并根据其中的资产配置信息，配置网络的核心资产；接收权限配置指令，并根据其中的权限配置信息，配置网络的用户访问权限；在检测到通过安全策略、核心资产或用户权限触发的异常标识时，启动网络安全告警。以此，通过网络安全管理系统的统一管理，根据接收到策略配置指令、资产配置指令和权限配置指令，分别配置网络的安全策略、核心资产和用户访问权限，避免人工操作管理，提高了管理效率。同时，在检测到异常标识，表征网络中存在异常时，启动网络安全告警；以在提醒网络中存在异常的同时，通过异常标识快速定位到异常点，实现对异常点的及时预警修复，提高修复效率。
140.进一步地，基于本发明网络安全管理方法的第一实施例，提出本发明网络安全管理方法第二实施例。
141.所述网络安全管理方法第二实施例与所述网络安全管理方法第一实施例的区别在于，所述根据所述权限配置指令携带的权限配置信息，配置所述网络的用户访问权限的步骤之后包括：
142.步骤s60，当接收到对所述安全策略、所述核心资产或所述用户访问权限进行变更的变更工单时，启动审批流程对所述变更工单进行审批；
143.本实施例设置有通过工单对管理系统中配置的安全策略、核心资产、用户访问权限等各种信息进行更改的机制。具体地，在对安全策略、核心资产和用户访问权限进行配置后，若接收到对安全策略、核心资产或用户访问权限进行变更的变更工单，表征对此前配置的安全策略、核心资产或用户访问权限具有变更需求，先启动审批流程对变更工单进行审批。其中，审批流程为预先设置，用于验证变更工单是否满足变更条件的流程。具体地，当接收到对安全策略、核心资产或用户访问权限进行变更的变更工单时，启动审批流程进行审批的步骤包括：
144.步骤s61，当接收到对所述安全策略、所述核心资产或所述用户访问权限进行变更的变更工单时，获取所述变更工单中的变更信息；
145.步骤s62，根据所述变更信息确定变更等级，并查找所述安全策略中与所述变更等级对应的变更策略；
146.步骤s63，确定与所述变更策略对应的审批流程，并启动所述审批流程对所述变更工单进行审批。
147.进一步地，当具有对安全策略、核心资产或者用户访问权限的变更需求，如办公网到开发测试服务器、个人vpn时，将该类需要变更的信息添加到变更工单中，发起变更请求。管理系统在接收到变更请求时，从其中获取变更工单，并从变更工单中获取出变更信息，通过变更信息确定所需要变更的内容。考虑到不同的变更内容给管理系统所带来的风险不同，为了体现风险的大小，本实施例预先设置有多个变更等级。不同的变更等级具有不同的变更信息，等级越高的变更信息对应的风险越大，对该类变更信息变更给管理系统带来的风险性越高；反之，等级越低的变更信息对应的风险越小，对该类变更信息变更给管理系统带来的风险性越低。
148.更进一步地，为了避免因变更而带来的风险，在安全策略中针对不同的变更等级设置有不同的变更策略，不同的变更策略则对应不同的审批流程。若变更等级高，风险大，则变更策略越严格，对应的审批流程越严密；反之则变更策略相对宽松，对应的审批流程相对简单。在从变更工单中获取出变更信息后，则确定该变更信息所归属的变更等级，进而从安全策略中对各变更等级预先设定的变更策略，筛选出与该归属的变更等级所对应的变更策略。此后，查找该变更策略对应的审批流程，并启动审批流程对变更工单进行审批。其中，审批流程可设定为全自动化流程和半自动化流程，全自动化流程适用于风险小，相对简单的流程；此时审批流程自动识别变更信息是否符合变更条件，若符合则审批通过，若不符合则审批不通过。半自动化流程适用于风险大，相对严密的流程；此时审批流程识别变更信息是否真实、是否符合变更条件，若真实且符合变更条件，则将变更信息输入到审批人员，由审批人员输入审批是否通过的审批信息；若审批信息为审批通过则审批流程通过，若审批信息为审批不通过则审批流程不通过。以此，通过审批流程中多个环节的审批，确保审批的准确性，提高对管理系统变更的安全性。
149.步骤s70，在所述审批流程中的各审批节点均审批通过后，对与所述变更工单对应的变更事项进行变更。
150.进一步地，将审批流程中各个环节的审批设定为审批流程中的各个审批节点，在作为审批节点的各个环节均审批通过后，则说明变更信息真实有效，进而对变更工单对应的变更事项进行变更，将变更实现内容变更为变更信息表征的内容，以满足对管理系统中的安全策略、核心资产、用户访问权限等各种信息进行更改的需求。
151.更进一步地，对于变更为通过的情形，为了体现未通过的原因，设置有获取表征未通过的审批原因并下发的机制。具体地，在审批流程中的各审批节点均审批通过后，对与变更工单对应的变更事项进行变更的步骤之前包括：
152.步骤b1，判断所述审批流程中的各审批节点是否均审批通过，若均审批通过，执行在所述审批流程中的各审批节点均审批通过后，对与所述变更工单对应的变更事项进行变更的步骤；
153.步骤b2，若各所述审批节点中存在未审批通过的审批节点，则获取与未审批通过的审批节点对应的审批原因，并将所述审批原因下发到与所述变更工单对应的请求终端。
154.进一步地，在启动审批流程对变更工单进行审批的过程中，读取审批流程中各审批节点对变更工单进行审批的结果信息，并通过各个审批节点的结果信息，判断审批流程中的各审批节点是否均审批通过。若各个结果信息均为通过信息，表征各审批节点均审批通过，则审批流程通过，从而对变更工单对应的变更事项进行变更。若各个结果信息中存在任意一项未通过信息，表征各审批节点中存在未审批通过的审批节点，则审批流程未通过。此时，获取未审批通过的审批节点的结果信息，并将该结果信息设为审批原因。进而将该审批原因下发到发起变更工单的请求终端，以便于请求终端的持有者查看审批流程未通过的原因，并依据未通过的原因对变更工单进行快速更改。
155.更进一步地，所述将所述审批原因下发到与所述变更工单对应的请求终端的步骤之后包括：
156.步骤b3，接收所述请求终端基于所述审批原因发起的新的变更工单，并基于新的所述变更工单，执行获取所述变更工单中的变更信息的步骤。
157.进一步地，请求终端的持有者在依据未通过的原因，对变更工单快速更改后，即得到新的变更工单上传到管理系统。管理系统在接收到通过请求终端依据涉农原因更改并发起的新的变更工单后，针对该新的变更工单，获取其中的变更信息，以依据变更信息确定审批流程对新的变更工单进行审批。
158.本实施例针对设置的安全策略、核心资产或用户访问权限设置变更机制，并且在变更过程中依据变更的风险性大小，确定不同的审批流程进行审批，在审批通过后才进行变更。以此，风险性大的变更以严密的审批流程进行审批，风险性相对较小的变更以相对宽松的审批机制进行审批，在实现准确变更，确保管理系统安全的同时，兼顾了审批的时效性，有利于准确高效审批。
159.进一步地，基于本发明网络安全管理方法的第一或第二实施例，提出本发明网络安全管理方法第三实施例。
160.所述网络安全管理方法第三实施例与所述网络安全管理方法第一或第二实施例的区别在于，所述当检测到基于所述安全策略、所述核心资产或所述用户访问权限触发的
异常标识时，启动网络安全告警的步骤之前包括：
161.步骤s80，基于所述安全策略进行扫描，当扫描到与所述安全策略匹配的风险信息时，基于所述安全策略触发与所述风险信息对应的异常标识。
162.更进一步地，为了确保网络的安全性，管理系统依据安全策略中的扫描周期和扫描事项进行扫描，确定是否存在与安全策略匹配的风险信息。其中与安全策略匹配的风险信息可以包括两方面的含义，对于以黑名单形式存在的安全策略，与安全策略匹配的风险信息含义为落入黑名单内的信息；对于以白名单形式存在的安全策略，与安全策略匹配的风险信息含义为不在白名单内的信息。若经扫描确定存在与安全策略匹配的风险信息，则基于安全策略触发与风险信息对应的异常标识，在安全策略中预先针对不同类型的风险信息设定不同的异常标识，根据所存在风险信息的类型，查找对应的异常标识进行触发。
163.进一步地，所述当检测到基于所述安全策略、所述核心资产或所述用户访问权限触发的异常标识时，启动网络安全告警的步骤包括：
164.步骤s51，当检测到基于所述安全策略、所述核心资产或所述用户访问权限触发的异常标识时，确定所述异常标识的类型；
165.步骤s52，若所述异常标识的类型为与所述风险信息对应的异常标识，则获取与所述风险信息对应的修复信息以及修复时间；
166.步骤s53，将所述风险信息、所述修复信息和所述修复时间生成为告警信息，并基于所述告警信息启动网络安全告警。
167.更进一步地，在检测到基于安全策略、核心资产或用户访问权限任一项触发的异常标识后，对异常标识的类型进行判定，通过其类型反映异常标识的触发来源。若经判定异常标识的类型与风险信息对应的异常标识，说明异常标识基于安全策略触发，网络存在与安全策略匹配的风险信息。此时，获取该项安风险息对应的修复信息和修复时间，其中修复信息为预先设定用于对风险信息所表征风险进行修复的信息。修复信息依据风险信息的不同而不同，如可以是在存在漏洞风险时，获取访问者或攻击者的ip作为阻断信息，以提醒阻断ip；也可以是提醒防火墙升级等。修复时间则为预先设定的时间限制，如设定2小时内修复。
168.进一步地，将获取的风险信息、修复信息和修复时间生成为告警信息，并基于告警信息启动网络安全告警，提醒运维人员在修复时间内，将修复信息作为参考对风险信息进行修复。同时，设定到达修复时间的检测机制，计时到达修复时间，检测风险信息是否修复。若在修复时间内尚未修复，则触发限时告警，如每间隔1小时告警一次；并且，触发邮件发送机制，将邮件发送至运维人员、运维管理者，以追踪跟进。
169.更进一步地，对于通过核心资产所触发的异常标识，包含由核心资产的使用期限异常所形成的标识。具体地，根据资产配置指令携带的资产配置信息，配置所述网络的核心资产的步骤之后包括：
170.步骤s90，获取所述核心资产的期限信息，并对所述核心资产扫描，判断所述核心资产的使用时长是否与所述期限信息匹配；
171.步骤s100，若所述使用时长与所述期限信息匹配，则基于所述核心资产触发与所述使用时长对应的异常标识。
172.进一步地，对于经配置的核心资产，获取其期限信息，以体现核心资产的使用实
现。并且，预先依据需求设定扫描周期，如一周，一月扫描一次。每当到达该扫描周期，则对核心资产扫描，获取核心资产的使用时长。将使用时长和期限信息对比，判断使用时长是否超过期限信息的时间范围，以通过超过与否确定核心资产的使用时长是否与期限信息匹配。
173.更进一步地，若核心资产的使用时长超过期限信息的时间范围，则判定使用时长与期限信息匹配。因对核心资产的使用时长已然超过期限信息所限定的时间，不具有对核心资产继续使用的权限，故根据核心资产触发与使用时长对应的异常标识。将表征核心资产唯一性的信息和使用时长生成为异常标识，以体现该核心资产在使用时间上存在异常，并通过触发来提醒及时清理处置。
174.进一步地，对于通过用户访问权限所触发的异常标识，包含越权所形成的标识。具体地，根据权限配置指令携带的权限配置信息，配置网络的用户访问权限的步骤之后包括：
175.步骤s110，获取与所述用户访问权限对应用户账号的访问数据，并对各所述访问数据进行分析，生成分析结果；
176.步骤s120，根据所述分析结果，确定所述用户账号是否越权；
177.步骤s130，若所述用户账号越权，则获取越权信息，并基于所述用户访问权限触发与所述越权信息对应的异常标识。
178.更进一步地，在对用户访问权限进行配置之后，对用户访问权限所对应用户账号的访问数据进行获取，该访问数据为用户账号在网络中进行访问所形成的数据，体现了用户在网络中进行的操作。对获取的访问数据进行分析，建立用户账号所进行操作与账号信息之间的关联关系，如建立操作与账号所来源ip地址、mac地址、部门信息、认证信息等账号信息之间的关联关系，通过关联关系中账号所具有的权限范围，即用户访问权限分析用户操作是否超越该权限范围，得到分析结果。
179.进一步地，若分析结果为用户账号所进行的操作超越其所具有的权限范围，则判定用户账号越权。反之，若未超越其所具有的权限范围，则判定用户账号未越权。以此，实现根据分析结果，确定用户账号是否越权。
180.更进一步地，对于判定用户账号越权的情形，获取越权信息，并将越权信息和用户访问权限生成为与越权信息对应的异常标识，以体现实际所支持的访问权限，以及超越的权限。并且，对生成的异常标识进行触发，以提示存在超越权限的异常，提醒及时处理。
181.可理解地，访问数据基于用户账号的登录操作实现，故在获取访问数据前先对用户账号进行登录。具体地，获取与用户访问权限对应用户账号的访问数据的步骤之前包括：
182.步骤c1，当接收到基于所述用户账号的登录请求时，获取与所述登录请求对应的登录信息，并对所述登录信息进行验证；
183.步骤c2，若所述登录信息验证通过，则基于所述用户账户生成访问数据。
184.进一步地，当接收到登录请求时，对其中所携带的登录信息进行获取，登录信息至少包含登录账号和登录密码。进而对登录信息进行验证，验证登录账号是否为注册账号，登录账号和登录密码之间是否匹配。并且，可结合双因子认证的方式进行验证。双因子认证是结合密码以及信用卡、sms手机、令牌或指纹等生物标志的两种条件进行认证的方法。在经验证通过后，则用户账户可对网络进行访问操作，形成访问数据，用以判断是否越权。
185.本实施例针对安全策略、核心资产和用户访问权限均设定各自异常标识的生成条
件和触发条件。在满足生成条件表征存在异常时，则生成异常标识进行触发，对异常进行告警，提醒及时处理；以快速解决异常，确保网络的安全性。
186.本发明还提供一种网络安全管理装置。请参照图3，所述网络安全管理装置包括：
187.第一配置模块10，用于接收策略配置指令，并根据所述策略配置指令携带的策略配置信息，配置网络的安全策略；
188.第二配置模块20，用于接收资产配置指令，并根据所述资产配置指令携带的资产配置信息，配置所述网络的核心资产；
189.第三配置模块30，用于接收权限配置指令，并根据所述权限配置指令携带的权限配置信息，配置所述网络的用户访问权限；
190.建立模块40，用于根据网络规则、路由规则和网段规则，建立网络拓扑结构，并基于所述网络拓扑结构展示与网络权限对应的权限流程；
191.告警模块50，用于当检测到基于所述安全策略、所述核心资产或所述用户访问权限触发的异常标识时，启动网络安全告警。
192.进一步地，所述网络安全管理装置还包括：
193.审批模块，用于当接收到对所述安全策略、所述核心资产或所述用户访问权限进行变更的变更工单时，启动审批流程对所述变更工单进行审批；
194.变更模块，用于在所述审批流程中的各审批节点均审批通过后，对与所述变更工单对应的变更事项进行变更。
195.进一步地，所述审批模块还包括：
196.获取单元，用于当接收到对所述安全策略、所述核心资产或所述用户访问权限进行变更的变更工单时，获取所述变更工单中的变更信息；
197.查找单元，用于根据所述变更信息确定变更等级，并查找所述安全策略中与所述变更等级对应的变更策略；
198.审批单元，用于确定与所述变更策略对应的审批流程，并启动所述审批流程对所述变更工单进行审批。
199.进一步地，所述网络安全管理装置还包括：
200.判断模块，用于判断所述审批流程中的各审批节点是否均审批通过，若均审批通过，执行在所述审批流程中的各审批节点均审批通过后，对与所述变更工单对应的变更事项进行变更的步骤；
201.获取模块，用于若各所述审批节点中存在未审批通过的审批节点，则获取与未审批通过的审批节点对应的审批原因，并将所述审批原因下发到与所述变更工单对应的请求终端。
202.进一步地，所述网络安全管理装置还包括：
203.接收模块，用于接收所述请求终端基于所述审批原因发起的新的变更工单，并基于新的所述变更工单，执行获取所述变更工单中的变更信息的步骤。
204.本发明网络安全管理装置具体实施方式与上述网络安全管理方法各实施例基本相同，在此不再赘述。
205.此外，本发明实施例还提出一种可读存储介质。
206.可读存储介质上存储有网络安全管理程序，网络安全管理程序被处理器执行时实
现如上所述的网络安全管理方法的步骤。
207.本发明可读存储介质可以为计算机可读存储介质，其具体实施方式与上述网络安全管理方法各实施例基本相同，在此不再赘述。
208.上面结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，这些均属于本发明的保护之内。