面向异构安全机制的集中管控系统的制作方法

本发明涉及网络安全技术领域，具体涉及面向异构安全机制实现集中管控的技术。

背景技术：

集中管理技术将不同位置、不同系统中分散且海量的单一事件进行汇总、过滤、收集和关联分析，得出全局角度的风险事件，并形成统一的决策对事件进行响应和处理。

而在计算机信息系统中，传统的安全管理方式是将分散部署的、不同种类的安全防护系统分别管理。此种方式会导致安全信息分散、互不相通，安全策略难以保持一致，造成了众多安全隐患。

由此可见，在计算机信息系统中对各安全防护系统进行集中管理，提高系统安全性是本领域亟需解决的技术问题。

技术实现要素：

针对现有计算机信息系统采用分散部署管理技术所存在的问题，需要一种新的安全机制管理方案。

为此，本发明的目的在于提供一种面向异构安全机制的集中管控系统，实现整个系统安全策略的统一，提高系统的安全性。

为了达到上述目的，本发明采用的面向异构安全机制的集中管控系统，其包括

注册认证模块，所述注册认证模式梳理清楚不同种类、不同层面的设备，进行同一注册，并对被管控设备进行统一信息收集，且对收集上来的信息进行分析总结及判定，形成汇总报告；

策略提取模块，所述策略提取模块根据注册模块收集上来的设备信息汇总表，提取各类、各层面设备的策略，防护点，并对提取到的策略和防护点的特征进行分析，针对不同层次的防护点，重新构建防护策略；

策略关联模块，所述策略关联模块通过集中管控方式对不同设备出现的审计信息进行收集整合分析，基于策略提取模块构建的防护策略对分析确定的安全威胁形成对应的安全策略，并通过统一接口及融合转换模块进行策略分发，保持策略的动态性使策略协调一致；

统一接口及融合转换模块，所述统一接口及融合转换模块通过对经注册认证模块注册认证的设备进行分析，判定设备策略接口情况，根据设备策略接口下发安全策略。

进一步的，所述统一接口及融合转换模块确定各类设备是否可直接调用系统开放的标准接口，对可直接调用平台开放的标准接口的设备，将安全策略，通过标准接口进行策略的下发，使相应的安全策略贯穿不同的位置及设备；对于无法直接调用平台开放的标准接口的设备，对设备接口进行分类归总，调取这一类设备接口，通过采取非标准化的接口方式把策略进行下发。

进一步的，所述注册认证模块统一信息收集信息包括类型、标识信息、所属对象、策略方式。

本发明提供的面向异构安全机制的集中管控方案，通过构建有效安全的系统体系，确保在资源访问过程中，用户配置的安全性，整个系统的安全策略统一，实现不同安全设备安全机制集中统一管理与控制。

再者，本方案通过集中的对设备属性进行收集，把设备的属性信息提取到系统，对不同属性信息的策略进行接口统一、转换，通过接口进行策略的下发到设备，最后把设备反馈的信息进行分析，实现策略统一联动。

附图说明

以下结合附图和具体实施方式来进一步说明本发明。

图1为本发明实例中面向异构安全机制的集中管控平台的框架图；

图2为本发明实例中面向异构安全机制的集中管控平台进行策略分发流程图。

具体实施方式

为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体图示，进一步阐述本发明。

本实例通过构建集中管控平台将安全防护策略分发给各类安全设备，使其各类安全设备具备全程一致的访问控制策略，从而使得整个系统的安全策略统一。

参见图1，所示为本实例据此构成的面向异构安全机制的集中管控平台的框架图。由图可知，该集中管控平台100主要由注册认证模块110、策略提取模块120、策略关联模块130以及统一接口及融合转换模块140配合构成。

其中，注册认证模块110，其运行在平台中用于梳理清楚不同种类、不同层面的设备，进行同一注册，并对被管控设备进行统一信息收集，且对收集上来的信息进行分析总结及判定，形成汇总报告。

策略提取模块120，其运行在平台中与注册认证模块110数据连接，用于根据注册模块收集上来的设备信息汇总表，提取各类、各层面设备的策略，防护点，并对提取到的策略和防护点的特征进行分析，针对不同层次的防护点，重新构建防护策略。

策略关联模块130，其运行在平台中通过集中管控方式对不同设备出现的审计信息进行收集整合分析，基于策略提取模块构建的防护策略对分析确定的安全威胁形成对应的安全策略，并通过统一接口及融合转换模块140进行策略分发，保持策略的动态性使策略协调一致。

统一接口及融合转换模块140，其运行在平台中，并与注册认证模块110、策略关联模块130进行数据连接，通过对经注册认证模块110注册认证的设备进行分析，判定设备策略接口情况，确定各类设备是否可直接调用系统开放的标准接口，对可直接调用平台开放的标准接口的设备，将安全策略，通过标准接口进行策略的下发，使相应的安全策略贯穿不同的位置及设备；对于无法直接调用平台开放的标准接口的设备，对设备接口进行分类归总，调取这一类设备接口，通过采取非标准化的接口方式把策略进行下发。

本平台构建面向多种类型设备统一集中化的管理机制，统一完成对各类型、各层面的安全机制的执行与管理，实现整个网络做到安全策略一致，对威胁做到防护整体联动效果。

本方案在具体应用时，在信息系统中相应设备或环节部署必要的安全部件，同时建立安全管理中心一体化的设备监测和管理平台100(即面向异构安全机制的集中管控平台)，将不同类型的系统整合到一起，进行统一的管理、配置和监控，并通过对审计和监测数据的分析，实现对当前系统的危害进行实时响应。参见图2，基于本平台实现对不同类型的系统进行集中统一管理的过程如下：

(1)设备注册；

调取设备注册模块的注册认证模式来梳理清楚不同种类、不同层面的设备，使其统一在集中管控平台进行注册，通过集中管控平台对被管控设备进行统一信息收集例如：类型、标识信息、所属对象、策略方式等。对收集上来的信息进行分析总结及判定，形成汇总报告。

(2)策略提取；

调取策略提取模块根据注册模块收集上来的设备信息汇总表，提取各类、各层面设备的策略、防护点(内容包括策略的功能、配置情况，配置目标等)。利用集中管控平台对这些策略的特征进行分析，对策略信息进行集中汇总，同时对提取的策略进行整理。根据立体、纵深防护的思想，针对不同层次的防护点，重新构建防护策略，使策略达到体系化、整体性

(3)统一接口及融合转换；

调用统一接口及融合转换模块对经过设备注册模块注册认证的设备进行分析，判定设备策略接口情况，确定各类设备是否能够直接调用管控平台开放的策略接口，对于可直接调用平台开放的标准接口的设备，通过管理中心将指定或收集的安全策略，通过标准接口进行策略的下发，使相应的安全策略贯穿不同的位置及设备，形成安全策略一致性及全局性；

对于无法直接调用平台开放的标准接口的其他设备，对设备接口进行分类归总(例如防火墙、ids、访问控制等)，由平台调取这一类设备接口，通过采取非标准化的接口方式把策略进行下发。

(4)策略关联；

调取策略关联模块通过集中管控方式对不同设备出现的警报、威胁、日志等审计信息进行收集整合分析，基于策略提取模块重新构建的防护策略对分析确定的全威胁形成特有的安全策略通过接口模块进行策略分发，保持策略的动态性使策略协调一致。

以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。