一种集中式管控网络安全的方法、设备和系统的制作方法

一种集中式管控网络安全的方法、设备和系统的制作方法
【专利摘要】本发明的实施例公开一种集中式管控网络安全的方法、设备和系统，涉及计算机应用技术，实现了对不同网络域中的网络安全审计设备进行集中的管控，完成了数据集中呈现、安全审计策略统一部署并对重点区域的重点保护。该方法包括：集中管控设备为至少一个网络安全审计设备生成安全审计策略消息；将该安全审计策略消息通过预设的第一格式进行封装；接收至少一个网络安全审计设备根据第一格式发送的安全审计策略消息生成的结果信息；根据至少一个网络安全审计设备对应的结果信息调整安全审计策略生成调整后的安全审计策略消息，并按照预设第一周期发送调整后的安全审计策略消息。本发明的实施例应用于网络安全审计设备的集中管控。
【专利说明】一种集中式管控网络安全的方法、设备和系统
【技术领域】
[0001]本发明涉及计算机应用技术，尤其涉及一种集中式管控网络安全的方法、设备和系统。
【背景技术】
[0002]随着网络的发展，互联网的用户呈现出爆发式增长趋势，但是网络在给予人们生活带来方便的同时，也带来许多网络安全问题，互联网中的各种攻击行为破坏了企业级政府机关系统的正常运行，近年来由于互联网上传播和发布非法信息的现象越来越严重，甚至影响到了社会的治安与国家安全，因此，对网络中用户行为的规范显得尤为重要，因此在网络中使用安全审计设备的意义十分重大。
[0003]网络安全审计是指根据配置的安全策略，利用记录、系统行为和用户行为等信息，检查用户进行操作事件的环境及活动，从而发现系统漏洞、入侵行为或攻击行为的过程。网络安全审计是审查评估安全风险并采取相应措施的一个过程，网络安全审计可以进行应用审计、系统审计和用户审计，应用审计主要审计对业务应用程序的操作信息，系统审计主要是审计对系统的操作以及系统的运维配置等信息，用户审计主要审计用户的操作及上网行为。因此通过网络安全审计设备达到监管网络安全，并及时防控。
[0004]在现有技术中网络安全审计设备间没有统一的消息接口实现多个网络安全审计设备的集中管控，从而无法满足大型企业的集中管理，以及安全审计策略统一部署的需求，进而不能便于对重点区域进行重点保护。

【发明内容】

[0005]本发明的实施例提供一种集中式管控网络安全的方法、设备和系统，实现了对不同网络域中的网络安全审计设备进行集中的管控，完成了数据集中呈现、安全审计策略统一部署并对重点区域的重点保护。
[0006]为达到上述目的，本发明的实施例采用如下技术方案:
[0007]第一方面，提供一种集中式管控网络安全的方法，包括:
[0008]集中管控设备为至少一个网络安全审计设备生成安全审计策略消息；
[0009]将所述安全审计策略消息通过预设的第一格式进行封装，并发送根据所述预设的第一格式封装后的安全审计策略消息至所述至少一个网络安全审计设备，所述第一格式至少包括:策略编号、策略类型、策略级别、策略名称和时间戳中的至少一种或至少两种的组合；
[0010]接收所述至少一个网络安全审计设备根据所述第一格式发送的安全审计策略消息生成的结果信息；
[0011]根据所述至少一个网络安全审计设备对应的结果信息调整安全审计策略生成调整后的安全审计策略消息，并按照预设第一周期发送所述调整后的安全审计策略消息。
[0012]第二方面，提供一种集中式管控网络安全的方法，包括:[0013]至少一个网络安全审计设备接收集中管控设备根据预设的第一格式发送的安全审计策略消息；
[0014]根据所述安全审计策略消息配置所述至少一个网络安全审计设备中的系统；
[0015]根据所述安全审计策略消息生成反馈的结果信息；
[0016]发送所述结果信息至所述集中管控设备，以便所述集中管控设备根据所述结果信息调整安全审计策略生成调整后的安全审计策略消息，并按照预设第一周期发送所述调整后的安全审计策略消息。
[0017]第三方面，提供一种集中管控设备，包括:
[0018]配置单元，用于为至少一个网络安全审计设备生成安全审计策略消息；
[0019]通信单元，用于将所述配置单元生成的所述安全审计策略消息通过预设的第一格式进行封装，并发送根据所述预设的第一格式封装后的安全审计策略消息至所述至少一个网络安全审计设备，所述第一格式至少包括:策略编号、策略类型、策略级别、策略名称和时间戳中的至少一种或至少两种的组合；
[0020]所述通信单元，还用于接收所述至少一个网络安全审计设备根据所述第一格式发送的安全审计策略消息生成的结果信息；
[0021]所述配置单元，还用于根据所述至少一个网络安全审计设备对应的结果信息调整安全审计策略生成调整后的安全审计策略消息，并按照预设第一周期发送所述配置单元生成的所述调整后的安全审计策略消息。
[0022]第四方面，提供一种网络安全审计设备，包括:
[0023]通信单元，用于接收集中管控设备根据预设的第一格式发送的安全审计策略消息；
[0024]配置单元，用于根据所述通信单元接收的所述安全审计策略消息配置所述至少一个网络安全审计设备中的系统；
[0025]所述配置单元，还用于根据所述安全审计策略消息生成反馈的结果信息；
[0026]所述通信单元，还用于发送所述配置单元生成的所述结果信息至所述集中管控设备，以便所述集中管控设备根据所述结果信息调整安全审计策略生成调整后的安全审计策略消息，并按照预设第一周期发送所述调整后的安全审计策略消息。
[0027]第五方面，提供一种计算机网络系统，包括:集中管控设备和所述集中管控设备所辖的至少一个网络安全审计设备，其中，
[0028]所述集中管控设备为第三方面所述的集中管控设备；
[0029]所述至少一个网络安全审计设备为第四方面所述的网络安全审计设备。
[0030]本发明实施例提供的集中式管控网络安全的方法、设备和系统，通过集中管控设备对所辖的网络安全审计设备配置安全审计策略信息，并对所辖的网络安全审计设备实时进行监控，且通过接收所辖的网络安全审计设备根据安全审计策略信息反馈的结果信息，分析调整安全审计策略以及安全审计等级，从而实现了对不同网络域中的网络安全审计设备进行集中的管控，完成了数据集中呈现、安全审计策略统一部署并对重点区域的重点保护。
【专利附图】

【附图说明】[0031]为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0032]图1为本发明实施例提供的一种集中式管控网络安全的方法的流程示意图；
[0033]图2为本发明实施例提供的另一种集中式管控网络安全的方法的流程示意图；
[0034]图3为本发明另一实施例提供的一种集中式管控网络安全的方法的流程示意图；
[0035]图4为本发明另一实施例提供的一种集中式管控网络的拓扑结构示意图；
[0036]图5为本发明实施例提供的一种集中管控设备的结构示意图；
[0037]图6为本发明实施例提供的另一种集中管控设备的结构示意图；
[0038]图7为本发明实施例提供的又一种集中管控设备的结构示意图；
[0039]图8为本发明实施例提供的一种网络安全审计设备的结构示意图；
[0040]图9为本发明实施例提供的一种计算机网络系统的结构示意图。
【具体实施方式】
[0041]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的`实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0042]本发明实施例提供一种集中式管控网络安全的方法，在集中管控设备侧，参照图1所示，具体如以下步骤所述:
[0043]101、集中管控设备为至少一个网络安全审计设备生成安全审计策略消息。
[0044]这里集中管控设备为所管理的至少一个网络安全审计设备根据每个网络安全审计设备的具体需求配置相应的安全审计策略信息。
[0045]102、集中管控设备将该安全审计策略消息通过预设的第一格式进行封装，并发送根据该预设的第一格式封装后的安全审计策略消息至至少一个网络安全审计设备。
[0046]其中，第一格式至少包括:策略编号、策略类型、策略级别、策略名称和时间戳中的至少一种或至少两种的组合。
[0047]这里第一格式封装的安全审计策略消息如下示例所示:
[0048]
<R00T>
〈POLICY—ID></ POLICY—ID >/*策略编号*/
<POLICY—TYPEX/ POLICY—TYPE > /*策略类型*/
<POLICY—LEVELX/ POLICY—LEVEL > /*策略级别*/
<POLICY—NAMEX/ POLICY—NAME〉 /*策略名称*/
<TIMEX/TIME>/* 时间戳 */
</R00T>
[0049]集中管控设备按照第一格式对安全审计策略消息进行封装，其中，策略ID字段表示策略的编号，策略类型字段说明该策略所属的类型，策略级别字段说明该策略的重要程度，策略名称字段说明策略具体的内容，时间戳字段表明策略下发的时间。
[0050]103、集中管控设备接收至少一个网络安全审计设备根据该第一格式发送的安全审计策略消息生成的结果信息。
[0051]这里集中管控设备接收到的结果信息，为网络安全审计设备按照预设的第二格式封装后的结果信息。
[0052]其中，预设的第二格式至少包括:结果类型、结果来源、结果内容、告警、告警内容和时间戳中的至少一种或至少两种的组合。
[0053]这里第二格式封装的结果信息如下示例所示:
[0054]
<R00T>
〈RESULT—TYPEX/ RESULT—TYPE >/*结果类型*/

〈RESULT—SOURCEX/RESULT—SOURCE〉/* 结果来源 */

〈RESULT—CONTENT〉〈/RESULT—CONTENT〉 /* 结果内容 */

〈IS—ALARMX/IS—ALARM〉 /* 告警 */
[0055]

〈ALARM—CONTENT〉〈/ALARM—CONTENT〉/* 告警内容 */
〈TIMEX/TIME〉/* 时间戳 */
</R00T>
[0056]网络安全审计设备按照第二格式发送的结果信息中，结果类型字段标识是否为正常的审计结果，结果来源字段说明结果来自哪台网络安全审计设备，结果内容字段包括审计结果的具体说明，告警字段表明是否有告警产生，告警内容字段说明具体的告警信息，时间戳字段表明审计结果的提交时间。
[0057]104、集中管控设备根据至少一个网络安全审计设备对应的结果信息调整安全审计策略生成调整后的安全审计策略消息，并按照预设第一周期发送该调整后的安全审计策略消息。
[0058]其中，集中管控设备根据该结果信息监控集中管控设备所管理的全部网络安全审计设备的运行状态。
[0059]这里集中管控设备根据网络安全审计设备发送的根据安全审计策略消息执行的结果(即网络安全审计设备发送的结果信息)，对设置的安全审计策略消息进行分析，并根据分析自动调整安全审计策略消息的内容和级别，通过调整安全审计策略消息的内容和级另IJ，将调整后的安全审计策略 消息根据预设的第一周期发送至集中管控设备所辖的各个网络安全审计设备。
[0060]其中，集中管控设备对设置的安全审计策略消息进行调整具体为:
[0061](I)分析来自管控区域内的数据，能够收集该区域内不同网络安全审计设备的数据，比较该区域不同网络安全审计设备的策略和相应的审计数据，例如，网络安全审计设备A的策略为审计内容为“联通”的发帖，网络安全审计设备B的策略为阻断内容为“联通”的发帖，通过分析或者对比发现A管理的小区域“联通”的发帖行为大幅增加，则可智能的将策略改为阻断；或者是通过设置重点区域调整策略，比如一个集中管控设备可以管理十个网络安全审计设备，对重点的三个进行阻断，其余只进行审计，那么每次可以通过比对数据找出最重要的3个区域进行阻断，对策略进行调整。
[0062](2)分析来自管控区域间的数据，能够收集该区域内不同集中管控设备的数据，SP能够获取其他区域的所有策略和数据，通过和自己区域的监控数据对比，进行策略调整，t匕如A区域设置了阻断p2p软件的策略，而区域B没有设置，导致网络流量比A大很多，则区域B将自动进行设置阻断p2p的策略；再如，A区域的策略只是审计某个上网行为，而B区域是阻止某个上网行为，通过对比的数据分析，发现该行为在A区域也很猖獗，则A会自动调整为阻止。
[0063]这里集中管控设备将调整后的安全审计策略消息发送至该集中管控设备所辖的网络安全审计设备，以便网络安全审计设备根据调整后的安全策略审计消息重新对系统配置安全审计策略。[0064]可选的，集中管控设备存储所有配置安全审计策略消息，并将存储的所有的安全审计策略消息与其他集中管控设备共享，从而实现了对不同网络域中的网络安全审计设备进行集中的管控，完成了数据集中呈现、安全审计策略统一部署并对重点区域的重点保护。
[0065]本发明实施例提供一种集中式管控网络安全的方法，在网络安全审计设备侧，参照图2所示，具体如以下步骤所述:
[0066]201、至少一个网络安全审计设备接收集中管控设备根据预设的第一格式发送的安全审计策略消息。
[0067]202、至少一个网络安全审计设备根据安全审计策略消息配置至少一个网络安全审计设备中的系统。
[0068]这里网络安全审计设备将安全审计策略消息配置于该网络安全审计设备中的系统中，以便该网络安全审计设备所辖的核心网络中的计算机系统根据安全审计策略消息进行相应处理。
[0069]203、至少一个网络安全审计设备根据该安全审计策略消息生成反馈的结果信息。
[0070]这里网络安全审计设备通过预设的第二格式将根据安全审计策略消息生成的结果信息进行封装，并将封装后的结果信息反馈至集中管控设备。
[0071]其中，预设的第二格式至少包括:结果类型、结果来源、结果内容、告警、告警内容和时间戳中的至少一种或至少两种的组合。
[0072]这里第二格式封装的结果信息如下示例所示:
[0073]
<R00T>
〈RESULT—TYPEX/ RESULT—TYPE >/*结果类型*/
〈RESULT—SOURCEX/RESULT—SOURCE〉/* 结果来源 */

〈RESULT—CONTENT〉</RESULT_CONTENT> /* 结果内容 */
〈IS—ALARMX/IS—ALARM〉 /* 告警 */
〈ALARM—CONTENTX/ALARM—CONTENT〉/* 告警内容 */
<TIMEX/TIME>/* 时间戳 */
</R00T>
[0074]网络安全审计设备按照第二格式发送的结果信息中，结果类型字段标识是否为正常的审计结果，结果来源字段说明结果来自哪台网络安全审计设备，结果内容字段包括审计结果的具体说明，告警字段表明是否有告警产生，告警内容字段说明具体的告警信息，时间戳字段表明审计结果的提交时间。
[0075]204、至少一个网络安全审计设备发送该结果信息至集中管控设备，以便集中管控设备根据该结果信息调整安全审计策略生成调整后的安全审计策略消息。
[0076]本发明实施例提供的集中式管控网络安全的方法，通过集中管控设备对所辖的网络安全审计设备配置安全审计策略信息，并对所辖的网络安全审计设备实时进行监控，且通过接收所辖的网络安全审计设备根据安全审计策略信息反馈的结果信息，分析调整安全审计策略以及安全审计等级，从而实现了对不同网络域中的网络安全审计设备进行集中的管控，完成了数据集中呈现、安全审计策略统一部署并对重点区域的重点保护。
[0077]具体的，以下结合具体的实施例进行说明。
[0078]实施例一
[0079]可以在图1或图2所示的实施例的基础上，本发明的实施例提供了一种集中式管控网络安全的方法，参照图3所示，为集中管控设备为网络安全审计设备配置安全审计策略信息的过程，具体步骤如下:
[0080]在本发明实施例中，以集中管控设备位于核心网络域LDl中，集中管控设备用于负责集中管控LD2和LD3的网络安全审计设备，为例进行说明，其中网络安全审计设备A位于LD3的出口处，网络安全审计设备B位于LD2的出口处，主机I位于网络安全审计设备A管控的LD3中，主机2位于网络安全审计设备B管控的LD2中，参照图4所示，由集中管控设备以及网络安全审计设备A与网络安全审计设备B组成的计算机系统的工作流程如下所述:
[0081]301、集中管控设备为至少一个网络安全审计设备生成安全审计策略消息。
[0082]这里集中管控设备为所管理的至少一个网络安全审计设备根据每个网络安全审计设备的具体需求配置相应的安全审计`策略信息。
[0083]其中，集中管控设备为LD3设置安全审计策略信息M，集中管控设备为LD2设置安全审计策略信息N。
[0084]302、集中管控设备将该安全审计策略消息通过预设的第一格式进行封装，并发送根据该预设的第一格式封装后的安全审计策略消息至至少一个网络安全审计设备。
[0085]其中，第一格式至少包括:策略编号、策略类型、策略级别、策略名称和时间戳中的至少一种或至少两种的组合。
[0086]这里第一格式封装的安全审计策略消息如下示例所示:
[0087]
<R00T>
〈POLICY—IDX/ POLICY—ID >/*策略编号*/
<POLICY—TYPEX/ POLICY—TYPE > /*策略类型*/
<POLICY—LEVELX/ POLICY—LEVEL > /*策略级别*/
<POLICY—MMEX/ POLICY—NAME〉 /*策略名称*/
<TIMEX/TIME>/* 时间戳 */
</R00T>
[0088]集中管控设备按照第一格式对安全审计策略消息进行封装，其中，策略ID字段表示策略的编号，策略类型字段说明该策略所属的类型，策略级别字段说明该策略的重要程度，策略名称字段说明策略具体的内容，时间戳字段表明策略下发的时间。
[0089]集中管控设备将安全审计策略消息M下发到网络安全审计设备A，将安全审计策略消息N下发到网络安全审计设备B。其中安全审计策略消息M与安全审计策略消息N以上述预设的第一格式封装发送。
[0090]303、至少一个网络安全审计设备接收集中管控设备根据预设的第一格式发送的安全审计策略消息。
[0091]网络安全审计设备A与网络安全审计设备B分别接收到，集中管控设备以预设的第一格式封装的对应网络安全审计设备A的安全审计策略消息M与对应网络安全审计设备B的安全审计策略消息N。
[0092]304、至少一个网络安全审计设备根据安全审计策略消息配置至少一个网络安全审计设备中的系统。
[0093]这里网络安全审计设备将安全审计策略消息配置于该网络安全审计设备中的系统中，以便该网络安全审计设备所辖的核心网络中 的计算机系统根据安全审计策略消息进行相应处理。
[0094]网络安全审计设备A与网络安全审计设备B分别接收到安全审计策略消息M与安全审计策略消息N后，对安全审计策略消息M与安全审计策略消息N进行解析，并将配置到本地的计算机系统中执行生效。
[0095]主机I发生触发安全审计策略消息M的网络行为，网络安全审计设备A检测到该行为，并根据安全审计策略消息M进行相应的处理。
[0096]主机2发生触发安全审计策略消息N的网络行为，网络安全审计设备B检测到该行为，并根据安全审计策略消息N进行相应的处理。
[0097]305、至少一个网络安全审计设备根据该安全审计策略消息生成反馈的结果信息。
[0098]这里网络安全审计设备通过预设的第二格式将根据安全审计策略消息生成的结果信息进行封装，并将封装后的结果信息反馈至集中管控设备。
[0099]其中，预设的第二格式至少包括:结果类型、结果来源、结果内容、告警、告警内容和时间戳中的至少一种或至少两种的组合。
[0100]这里第二格式封装的结果信息如下示例所示:
[0101]
<R00T>
〈RESULT—TYPEX/ RESULT—TYPE >/*结果类型*/
〈RESULT—SOURCEX/RESULT—SOURCE〉/* 结果来源 */

〈RESULT—CONTENTX/RESULT—CONTENT〉 /* 结果内容 */
<IS—ALARMX/IS—ALARM〉 /* 告警 */
〈ALARM—CONTENTX/ALARM—CONTENT〉/* 告警内容 */
<TIMEX/TIME>/* 时间戳 */
</R00T>
[0102]网络安全审计设备按照第二格式发送的结果信息中，结果类型字段标识是否为正常的审计结果，结果来源字段说明结果来自哪台网络安全审计设备，结果内容字段包括审计结果的具体说明，告警字段表明是否有告警产生，告警内容字段说明具体的告警信息，时间戳字段表明审计结果的提交时间。
[0103]306、至少一个网络安全审计设备发送该结果信息至集中管控设备，以便集中管控设备根据结果信息调整安全审计策略生成调整后的安全审计策略消息。
[0104]307、集中管控设备接收至少一个网络安全审计设备根据该第一格式发送的安全审计策略消息生成的结果信息。
[0105]这里集中管控设备接收到的结果信息，为网络安全审计设备按照预设的第二格式封装后的结果信息。
[0106]其中集中管控设备接收来自网络安全审计设备A和网络安全审计设备B的上报结果息。
[0107]308、集中管控设备根据至少一个网络安全审计设备对应的结果信息调整安全审计策略生成调整后的安全审计策略消息，并按照预设第一周期发送该调整后的安全审计策略消息。
[0108]其中，集中管控设备根据该结果信息监控集中管控设备所管理的全部网络安全审计设备的运行状态。
[0109]这里集中管控设备根据网络安全审计设备发送的根据安全审计策略消息执行的结果(即网络安全审计设备发送的结果信息)，对设置的安全审计策略消息进行分析，并根据分析自动调整安全审计策略消息的内容和级别，通过调整安全审计策略消息的内容和级另O，将调整后的安全审计策略消息根据预设的第一周期发送至集中管控设备所辖的各个网络安全审计设备。
[0110]其中，集中管控设备对设置的安全审计策略消息进行调整具体为:
[0111]分析来自管控区域内的数据，能够收集该区域内不同网络安全审计设备的数据，比较该区域不同网络安全审计设备的策略和相应的审计数据，例如，网络安全审计设备A的策略为审计内容为“联通”的发帖，网络安全审计设备B的策略为阻断内容为“联通”的发帖，通过分析或者对比发现A管理的小区域“联通”的发帖行为大幅增加，则可智能的将策略改为阻断；或者是通过设置重点区域调整策略，比如一个集中管控设备可以管理十个网络安全审计设备，对重点的三个进行阻断，其余只进行审计，那么每次可以通过比对数据找出最重要的3个区域进行阻断，对策略进行调整。
[0112]其中，集中管控设备根据分析结果信息调整对网络安全审计设备A和网络安全审计设备B的管控策略内容和级别或删改安全审计策略消息中的内容，并定期再分别下发策略。
[0113]这里集中管控设备将调整后的安全审计策略消息发送至该集中管控设备所辖的网络安全审计设备，以便至少一个网络安全审计设备根据调整后的安全审计策略消息重新配置至少一个网络安全审计设备中所辖的网络设备。
[0114]309、至少一个网络安全审计设备接收集中管控设备根据结果信息通过调整安全审计策略生成的调整后的安全审计策略消息。
[0115]310、至少一个网络安全审计设备根据调整后的安全审计策略消息配置至少一个网络安全审计设备中的系统。
[0116]此外，本发明实施例提供的集中式管控网络安全的方法，还包括:[0117]a、集中管控设备存储集中管控设备发送的安全审计策略消息。
[0118]这里集中管控设备还可以存储所有配置安全审计策略消息，不单单仅存储调整后的安全审计策略消息，其中存储调整后的安全审计策略消息能够更新已存储的安全审计策略消息，从而满足应对不同的网络安全问题。
[0119]b、集中管控设备按照预设的第二周期与其他集中管控设备共享调整后的安全审计策略消息，以便其他管控设备与集中管控设备根据共享的安全审计策略消息，为其他管控设备与集中管控设备中所辖的网络安全审计设备进行对应配置。
[0120]本发明实施例提供的集中式管控网络安全的方法，通过集中管控设备对所辖的网络安全审计设备配置安全审计策略信息，并对所辖的网络安全审计设备实时进行监控，且通过接收所辖的网络安全审计设备根据安全审计策略信息反馈的结果信息，分析调整安全审计策略以及安全审计等级，从而实现了对不同网络域中的网络安全审计设备进行集中的管控，完成了数据集中呈现、安全审计策略统一部署并对重点区域的重点保护。
[0121]本发明的实施例提供一种集中管控设备4，该集中管控设备4以可以实现本发明的实施例所提供的上述任一集中式管控网络安全的方法为准，参照图5所示，包括:
[0122]配置单元41，用于为至少一个网络安全审计设备生成安全审计策略消息；
[0123]通信单元42，用于将该配置单元生成的安全审计策略消息通过预设的第一格式进行封装，并发送根据该预设的第一格式封装后的安全审计策略消息至至少一个网络安全审计设备，该第一格式至少包括:策略编号、策略类型、策略级别、策略名称和时间戳中的至少一种或至少两种的组合；
[0124]通信单元42，还用于接收至少一个网络安全审计设备根据该第一格式发送的安全审计策略消息生成的结果信息；
[0125]配置单元41，还用于根据该至少一个网络安全审计设备对应的结果信息调整安全审计策略生成调整后的安全审计策略消息，并按照预设第一周期发送配置单元生成的调整后的安全审计策略消息。
[0126]本发明实施例提供的集中管控设备，通过集中管控设备对所辖的网络安全审计设备配置安全审计策略信息，并对所辖的网络安全审计设备实时进行监控，且通过接收所辖的网络安全审计设备根据安全审计策略信息反馈的结果信息，分析调整安全审计策略以及安全审计等级，从而实现了对不同网络域中的网络安全审计设备进行集中的管控，完成了数据集中呈现、安全审计策略统一部署并对重点区域的重点保护。
[0127]可选的，配置单元41，具体还用于:通过分析该结果信息，对所管理的网络安全审计设备生成的安全审计策略消息进行内容与审计级别的修改，或者对安全审计策略消息进行删除；
[0128]发送该调整后的安全审计策略消息至集中管控设备所辖的至少一个网络安全审计设备，以便至少一个网络安全审计设备根据该调整后的安全审计策略消息重新配置至少一个网络安全审计设备中所辖的网络设备。
[0129]进一步，可选的，参照图6所示，配置单元41，包括:
[0130]监控子单元411，用于根据结果信息监控集中管控设备所管理的全部网络安全审计设备的运行状态。
[0131]进一步，可选的，参照图7所示，集中管控设备5，还包括:[0132]存储单元43，用于存储集中管控设备发送的安全审计策略消息；
[0133]共享单元44，用于按照预设的第二周期与其他集中管控设备共享存储子单元存储的调整后的安全审计策略消息，以便其他管控设备与集中管控设备根据共享的安全审计策略消息，为其他管控设备与集中管控设备中所辖的网络安全审计设备进行对应配置。
[0134]本发明实施例提供的集中管控设备，通过集中管控设备对所辖的网络安全审计设备配置安全审计策略信息，并对所辖的网络安全审计设备实时进行监控，且通过接收所辖的网络安全审计设备根据安全审计策略信息反馈的结果信息，分析调整安全审计策略以及安全审计等级，从而实现了对不同网络域中的网络安全审计设备进行集中的管控，完成了数据集中呈现、安全审计策略统一部署并对重点区域的重点保护。
[0135]本发明的实施例提供一种网络安全审计设备5，该网络安全审计设备5以可以实现本发明的实施例所提供的上述任一集中式管控网络安全的方法为准，参照图8所示，包括:
[0136]通信单元51，用于接收集中管控设备根据预设的第一格式发送的安全审计策略消息；
[0137]配置单元52，用于根据通信单元接收的安全审计策略消息配置至少一个网络安全审计设备中的系统；
[0138]配置单元52，还用于根据安全审计策略消息生成反馈的结果信息；
[0139]通信单元51，还用于发送配置单元生成的结果信息至集中管控设备，以便集中管控设备根据结果信息调整安全审计策略生成调整后的安全审计策略消息，并按照预设第一周期发送调整后的安全审计策略消息。
[0140]本发明实施例提供的网络安全审计设备，通过集中管控设备对所辖的网络安全审计设备配置安全审计策略信息，并对所辖的网络安全审计设备实时进行监控，且通过接收所辖的网络安全审计设备根据安全审计策略信息反馈的结果信息，分析调整安全审计策略以及安全审计等级，从而实现了对不同网络域中的网络安全审计设备进行集中的管控，完成了数据集中呈现、安全审计策略统一部署并对重点区域的重点保护。
[0141]可选的，配置单元52，具体用于:根据预设的第二格式封装结果信息，该预设的第二格式至少包括:结果类型、结果来源、结果内容、告警、告警内容和时间戳中的至少一种或至少两种的组合。
[0142]可选的，通信单元51，还用于接收集中管控设备根据结果信息通过调整安全审计策略生成的调整后的安全审计策略消息；
[0143]配置单元52，还用于根据通信单元接收的调整后的安全审计策略消息配置至少一个网络安全审计设备中的系统。
[0144]本发明实施例提供的网络安全审计设备，通过集中管控设备对所辖的网络安全审计设备配置安全审计策略信息，并对所辖的网络安全审计设备实时进行监控，且通过接收所辖的网络安全审计设备根据安全审计策略信息反馈的结果信息，分析调整安全审计策略以及安全审计等级，从而实现了对不同网络域中的网络安全审计设备进行集中的管控，完成了数据集中呈现、安全审计策略统一部署并对重点区域的重点保护。
[0145]本发明实施例提供一种计算机网络系统6，该计算机网络系统6以可以实现本发明的实施例所提供的上述任一集中式管控网络安全的方法为准，参照图9所示，包括:集中管控设备61和该集中管控设备所辖的至少一个网络安全审计设备62，其中，
[0146]该集中管控设备61为图5?图7中任一所述的集中管控设备；
[0147]至少一个网络安全审计设备62为图8中任一所述的网络安全审计设备。
[0148]本发明实施例提供的计算机网络系统，通过集中管控设备对所辖的网络安全审计设备配置安全审计策略信息，并对所辖的网络安全审计设备实时进行监控，且通过接收所辖的网络安全审计设备根据安全审计策略信息反馈的结果信息，分析调整安全审计策略以及安全审计等级，从而实现了对不同网络域中的网络安全审计设备进行集中的管控，完成了数据集中呈现、安全审计策略统一部署并对重点区域的重点保护。
[0149]以上所述，仅为本发明的【具体实施方式】，但本发明的保护范围并不局限于此，任何熟悉本【技术领域】的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。
【权利要求】
1.一种集中式管控网络安全的方法，其特征在于，包括: 集中管控设备为至少一个网络安全审计设备生成安全审计策略消息； 将所述安全审计策略消息通过预设的第一格式进行封装，并发送根据所述预设的第一格式封装后的安全审计策略消息至所述至少一个网络安全审计设备，所述第一格式至少包括:策略编号、策略类型、策略级别、策略名称和时间戳中的至少一种或至少两种的组合； 接收所述至少一个网络安全审计设备根据所述第一格式发送的安全审计策略消息生成的结果信息； 根据所述至少一个网络安全审计设备对应的结果信息调整安全审计策略生成调整后的安全审计策略消息，并按照预设第一周期发送所述调整后的安全审计策略消息。
2.根据权利要求1所述的方法，其特征在于，所述根据所述至少一个网络安全审计设备对应的结果信息调整安全审计策略生成调整后的安全审计策略消息，并按照预设第一周期发送所述调整后的安全审计策略消息，包括: 所述集中管控设备通过分析所述结果信息，对所管理的网络安全审计设备生成的安全审计策略消息进行内容与审计级别的修改，或者对安全审计策略消息进行删除； 发送所述调整后的安全审计策略消息至所述集中管控设备所辖的至少一个网络安全审计设备，以便所述至少一个网络安全审计设备根据所述调整后的安全审计策略消息重新配置所述至少一个网络安全审计设备中所辖的网络设备。
3.根据权利要求1或2所述的方法，其特征在于，所述根据所述至少一个网络安全审计设备对应的结果信息调整安全审计策略生成调整后的安全审计策略消息，包括: 所述集中管控设备根据所述结果信息监控所述集中管控设备所管理的全部网络安全审计设备的运行状态。
4.根据权利要求1~3任一所述的方法，其特征在于，所述方法还包括: 存储所述集中管控设备发送的安全审计策略消息； 按照预设的第二周期与其他集中管控设备共享所述安全审计策略消息，以便所述其他管控设备与所述集中管控设备根据共享的安全审计策略消息，为所述其他管控设备与所述集中管控设备中所辖的网络安全审计设备进行对应配置。
5.一种集中式管控网络安全的方法，其特征在于，包括: 至少一个网络安全审计设备接收集中管控设备根据预设的第一格式发送的安全审计策略消息； 根据所述安全审计策略消息配置所述至少一个网络安全审计设备中的系统； 根据所述安全审计策略消息生成反馈的结果信息； 发送所述结果信息至所述集中管控设备，以便所述集中管控设备根据所述结果信息调整安全审计策略生成调整后的安全审计策略消息，并按照预设第一周期发送所述调整后的安全审计策略消息。
6.根据权利要求5所述的方法，其特征在于，所述根据所述安全审计策略消息生成反馈的结果信息，包括: 根据预设的第二格式封装所述结果信息，所述预设的第二格式至少包括:结果类型、结果来源、结果内容、告警、告警内容和时间戳中的至少一种或至少两种的组合。
7.根据权利要求5所述的方法，其特征在于，所述发送所述结果信息至集中管控设备之后，还包括: 接收所述集中管控设备根据所述结果信息通过调整安全审计策略生成的调整后的安全审计策略消息； 根据所述调整后的安全审计策略消息配置所述至少一个网络安全审计设备中的系统。
8.一种集中管控设备，其特征在于，包括: 配置单元，用于为至少一个网络安全审计设备生成安全审计策略消息； 通信单元，用于将所述配置单元生成的所述安全审计策略消息通过预设的第一格式进行封装，并发送根据所述预设的第一格式封装后的安全审计策略消息至所述至少一个网络安全审计设备，所述第一格式至少包括:策略编号、策略类型、策略级别、策略名称和时间戳中的至少一种或至少两种的组合； 所述通信单元，还用于接收所述至少一个网络安全审计设备根据所述第一格式发送的安全审计策略消息生成的结果信息； 所述配置单元，还用 于根据所述至少一个网络安全审计设备对应的结果信息调整安全审计策略生成调整后的安全审计策略消息，并按照预设第一周期发送所述配置单元生成的所述调整后的安全审计策略消息。
9.根据权利要求8所述的集中管控设备，其特征在于，所述配置单元，具体还用于: 所述集中管控设备通过分析所述结果信息，对所管理的网络安全审计设备生成的安全审计策略消息进行内容与审计级别的修改，或者对安全审计策略消息进行删除； 发送所述调整后的安全审计策略消息至所述集中管控设备所辖的至少一个网络安全审计设备，以便所述至少一个网络安全审计设备根据所述调整后的安全审计策略消息重新配置所述至少一个网络安全审计设备中所辖的网络设备。
10.根据权利要求8或9所述的集中管控设备，其特征在于，所述配置单元，包括: 监控子单元，用于根据所述结果信息监控所述集中管控设备所管理的全部网络安全审计设备的运行状态。
11.根据权利要求8~10任一所述的集中管控设备，其特征在于，所述的集中管控设备，还包括: 存储单元，用于存储所述集中管控设备发送的安全审计策略消息； 共享单元，用于按照预设的第二周期与其他集中管控设备共享所述存储子单元存储的所述调整后的安全审计策略消息，以便所述其他管控设备与所述集中管控设备根据共享的安全审计策略消息，为所述其他管控设备与所述集中管控设备中所辖的网络安全审计设备进行对应配置。
12.—种网络安全审计设备，其特征在于，包括: 通信单元，用于接收集中管控设备根据预设的第一格式发送的安全审计策略消息； 配置单元，用于根据所述通信单元接收的所述安全审计策略消息配置所述至少一个网络安全审计设备中的系统； 所述配置单元，还用于根据所述安全审计策略消息生成反馈的结果信息； 所述通信单元，还用于发送所述配置单元生成的所述结果信息至所述集中管控设备，以便所述集中管控设备根据所述结果信息调整安全审计策略生成调整后的安全审计策略消息，并按照预设第一周期发送所述调整后的安全审计策略消息。
13.根据权利要求12所述的网络安全审计设备，其特征在于，所述配置单元，具体用于: 根据预设的第二格式封装所述结果信息，所述预设的第二格式至少包括:结果类型、结果来源、结果内容、告警、告警内容和时间戳中的至少一种或至少两种的组合。
14.根据权利要求12所述的网络安全审计设备，其特征在于， 所述通信单元，还用于接收所述集中管控设备根据所述结果信息通过调整安全审计策略生成的调整后的安全审计策略消息； 所述配置单元，还用于根据所述通信单元接收的所述调整后的安全审计策略消息配置所述至少一个网络安全审计设备中的系统。
15.一种计算机网络系统，其特征在于，包括:集中管控设备和所述集中管控设备所辖的至少一个网络安全审计设备，其中， 所述集中管控设备为权利要求8~权利要求11中任一所述的集中管控设备； 所述至少一个网络安全审计设备为权利要求12~权利要求14中任一所述的网络安全审计设备。`
【文档编号】H04L29/06GK103634156SQ201310695472
【公开日】2014年3月12日 申请日期:2013年12月17日 优先权日:2013年12月17日
【发明者】贾亦辰, 王晓箴, 唐磊, 马铮, 朱安南 申请人:中国联合网络通信集团有限公司