一种安全策略管理方法、装置、设备及机器可读存储介质与流程

文档序号：26057011发布日期：2021-07-27 15:35阅读：87来源：国知局

本公开涉及通信技术领域，尤其是涉及一种安全策略管理方法、装置、设备及机器可读存储介质。

背景技术：

fw(firewall，防火墙)作为一种网络安全设备，一般都可以通过配置访问控制策略来达到控制经过fw转发的报文。例如当前主流厂商的fw上的安全策略。安全策略是部署在fw设备上的一种策略，该策略根据报文的属性信息对报文进行转发控制。安全策略对报文的控制是通过安全策略规则实现的，规则中可以设置匹配报文的过滤条件，处理报文的动作和对报文内容进行深度检测等功能。每条规则中均可以配置多种过滤条件，具体包括：源安全域、目的安全域、源ip地址、目的ip地址、用户、应用、服务。每种过滤条件均可以配置多个匹配项，比如源安全域过滤条件中可以指定多个源安全域等。

安全策略对报文的处理过程包括：

识别出报文的属性信息，然后将这些属性信息与过滤条件中的匹配项进行匹配。每种过滤条件的多个匹配项之间是或的关系，即报文与某一个过滤条件中的任意一项匹配成功，则报文与此条过滤条件匹配成功；若报文与某一个过滤条件中的所有项都匹配失败，则报文与此条过滤条件匹配失败。

若报文与某条规则中已配置的所有过滤条件都匹配成功，则报文与此条规则匹配成功。若有一个过滤条件不匹配，则报文与此条规则匹配失败，报文继续匹配下一条规则。以此类推，直到最后一条规则，若报文还未与规则匹配成功，则设备会丢弃此报文。

若报文与某条规则匹配成功，则结束此匹配过程，并对此报文执行规则中配置的动作。若规则的动作为“丢弃”，则设备会丢弃此报文；若规则的动作为“允许”，则允许此报文通过。

但这种技术方案安全策略预先固化配置，无法根据网络风险动态调整策略。

技术实现要素：

有鉴于此，本公开提供一种安全策略管理方法、装置及电子设备、机器可读存储介质，以改善上述无法根据网络风险动态调整策略的问题。

具体地技术方案如下：

本公开提供了一种安全策略管理方法，应用于安全管理设备，所述方法包括：获取当前配置的安全策略，为安全策略配置可信度等级；接收报文流量，根据报文流量关联的可信度等级，匹配对应的安全策略；以匹配的安全策略对所述报文流量执行安全管理动作。

作为一种技术方案，所述获取当前配置的安全策略，为安全策略配置可信度等级，包括：为一条安全策略配置至少一个的可信度等级；和/或，为一条安全策略配置的可信度等级为大于等于目标可信度；和/或，为一条安全策略配置的可信度等级为小于等于目标可信度。

作为一种技术方案，所述接收报文流量，根据报文流量关联的可信度等级，匹配对应的安全策略，包括：接收报文流量；接收可信度系统推送的关联于所述报文流量的可信度信息，和/或，向可信度系统请求并获取关联于所述报文流量的可信度信息；根据可信度信息获取报文流量的可信度等级，匹配对应的安全策略。

作为一种技术方案，所述接收报文流量，根据报文流量关联的可信度等级，匹配对应的安全策略，包括：获取报文流量关联的用户的可信度等级；保存报文流量关联的可信度等级与用户的对应关系；周期性刷新用户对应的可信度等级。

本公开同时提供了一种安全策略管理装置，应用于安全管理设备，所述装置包括：配置模块，用于获取当前配置的安全策略，为安全策略配置可信度等级；匹配模块，用于接收报文流量，根据报文流量关联的可信度等级，匹配对应的安全策略；管理模块，用于以匹配的安全策略对所述报文流量执行安全管理动作。

本公开同时提供了一种电子设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，处理器执行所述机器可执行指令以实现前述的安全策略管理方法。

本公开同时提供了一种机器可读存储介质，所述机器可读存储介质存储有机器可执行指令，所述机器可执行指令在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现前述的安全策略管理方法。

本公开提供的上述技术方案至少带来了以下有益效果：

为各安全策略配置相应的可信度等级，在接收到报文流量后，获取关联于报文流量的可信度等级，匹配并启用且只启用可信度等级匹配的安全策略，因报文流量的可信度等级是根据网络环境可变的，从而实现根据网络风险和不同的对象，动态调整安全策略。

附图说明

为了更加清楚地说明本公开实施方式或者现有技术中的技术方案，下面将对本公开实施方式或者现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开中记载的一些实施方式，对于本领域普通技术人员来讲，还可以根据本公开实施方式的这些附图获得其他的附图。

图1是本公开一种实施方式中的安全策略管理方法的流程图；

图2是本公开一种实施方式中的安全策略管理装置的结构图；

图3是本公开一种实施方式中的电子设备的硬件结构图。

具体实施方式

在本公开实施方式使用的术语仅仅是出于描述特定实施方式的目的，而非限制本公开。本公开和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。还应当理解，本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开实施方式可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，此外，所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

本公开提供一种安全策略管理方法、装置及电子设备、机器可读存储介质，以改善上述技术问题的问题。

具体地技术方案如后述。

在一种实施方式中，本公开提供了一种安全策略管理方法，应用于安全管理设备，所述方法包括：获取当前配置的安全策略，为安全策略配置可信度等级；接收报文流量，根据报文流量关联的可信度等级，匹配对应的安全策略；以匹配的安全策略对所述报文流量执行安全管理动作。

具体地，如图1，包括以下步骤：

步骤s11，获取当前配置的安全策略，为安全策略配置可信度等级。

步骤s12，接收报文流量，根据报文流量关联的可信度等级，匹配对应的安全策略。

步骤s13，以匹配的安全策略对所述报文流量执行安全管理动作。

在一种实施方式中，所述获取当前配置的安全策略，为安全策略配置可信度等级，包括：为一条安全策略配置至少一个的可信度等级；和/或，为一条安全策略配置的可信度等级为大于等于目标可信度；和/或，为一条安全策略配置的可信度等级为小于等于目标可信度。

即，可以是多个不同可信度等级的报文流量，均会触发某一条安全策略。如某网络环境配置可信度等级分为低、中、高三级，某安全策略被配置的可信度等级为低，则只有可信度为低的报文流量会触发该条安全策略；某安全策略被配置的可信度等级为低、高，则只有可信度为低或高的报文流量会触发该条安全策略；某安全策略被配置的可信度等级为大于等于中，则只有可信度为中或高的报文流量会触发该条安全策略；某安全策略被配置的可信度等级小于等于中，则只有可信度为低或中的报文流量会触发该条安全策略。

在一种实施方式中，所述接收报文流量，根据报文流量关联的可信度等级，匹配对应的安全策略，包括：接收报文流量；接收可信度系统推送的关联于所述报文流量的可信度信息，和/或，向可信度系统请求并获取关联于所述报文流量的可信度信息；根据可信度信息获取报文流量的可信度等级，匹配对应的安全策略。

可信度系统可以是态势感知系统或高级流量分析系统，也可以是其他具备为报文流量和/或用户判断其可信度等级的系统。安全管理设备可以主动向可信度系统获取所需的可信度信息，也可以被动等待可信度系统推送可信度信息。

在一种实施方式中，所述接收报文流量，根据报文流量关联的可信度等级，匹配对应的安全策略，包括：获取报文流量关联的用户的可信度等级；保存报文流量关联的可信度等级与用户的对应关系；周期性刷新用户对应的可信度等级。

在本地建立数据表保存用户的可信度等级，从而在接收到报文流量后可以从该数据表中查询获取对应的可信度等级，周期性根据可信度系统提供的信息刷新该数据表，以实现动态调整安全策略。

在一种实施方式中，fw上的用户可信度可以分为高、中、低三级维度，高为十分可信，中为一般，低为不可信。用户可信度由态势感知系统或高级流量分析系统推送给fw，也可以由fw主动向态势感知系统或高级流量分析系统获取。用户可信度也可以有更多级别的划分，由获取数据的态势感知系统决定。

fw上配置安全策略，并引用用户可信度级别。例如，配置一条安全策略源ip地址为10.11.11.2，用户可信度为中及以上，动作为放行。那么只有当ip为10.11.11.2这个用户在fw上的可信度为中级或高级，它经过fw的流量才能够被放通。

如果安全策略引用的用户可信度级别为中级，但当前用户可信度为低级，则当前该用户经过fw的流量会被阻断。如果经过一段时间后，通过态势感知系统更新这个用户的可信度升级为中级，则会动态刷新安全策略，则后续这个用户经过fw的流量可以被放通。

反之，如果安全策略引用的用户可信度级别为中级，当前用户可信度为中级，则当前该用户经过fw的流量会被放通。但经过一段时间后，通过态势感知系统更新这个用户的可信度降级为低级，则会动态刷新安全策略，则后续这个用户经过fw的流量会被阻断。

在一种实施方式中，本公开同时提供了一种安全策略管理装置，如图2，应用于安全管理设备，所述装置包括：配置模块21，用于获取当前配置的安全策略，为安全策略配置可信度等级；匹配模块22，用于接收报文流量，根据报文流量关联的可信度等级，匹配对应的安全策略；管理模块23，用于以匹配的安全策略对所述报文流量执行安全管理动作。

装置实施方式与对应的方法实施方式相同或相似，在此不再赘述。

在一种实施方式中，本公开提供了一种电子设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，处理器执行所述机器可执行指令以实现前述的安全策略管理方法，从硬件层面而言，硬件架构示意图可以参见图3所示。

在一种实施方式中，本公开提供了一种机器可读存储介质，所述机器可读存储介质存储有机器可执行指令，所述机器可执行指令在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现前述的安全策略管理方法。

这里，机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：ram(radomaccessmemory，随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等)，或者类似的存储介质，或者它们的组合。

上述实施方式阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本公开时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本领域内的技术人员应明白，本公开的实施方式可提供为方法、系统、或计算机程序产品。因此，本公开可采用完全硬件实施方式、完全软件实施方式、或结合软件和硬件方面的实施方式的形式。而且，本公开实施方式可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本公开是参照根据本公开实施方式的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

而且，这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上，使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

本领域技术人员应明白，本公开的实施方式可提供为方法、系统或计算机程序产品。因此，本公开可以采用完全硬件实施方式、完全软件实施方式、或者结合软件和硬件方面的实施方式的形式。而且，本公开可以采用在一个或者多个其中包含有计算机可用程序代码的计算机可用存储介质(可以包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

以上所述仅为本公开的实施方式而已，并不用于限制本公开。对于本领域技术人员来说，本公开可以有各种更改和变化。凡在本公开的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本公开的权利要求范围之内。

完整全部详细技术资料下载

当前第1页1 2

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：赵文鹏
技术所有人：新华三信息安全技术有限公司
我是此专利的发明人

上一篇：车辆用检测传感器的搭载构造及托架的制作方法
上一篇：基于空间外差拉曼光谱的机器嗅觉气味传感系统的制作方法

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。