等保处理方法、装置、设备及存储介质与流程

本发明涉及网络安全技术领域，尤其涉及等保处理方法、装置、设备及存储介质。

背景技术：

信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，其核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督，以保障信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定。

目前，很多企业在落实等级保护制度时偏形式化，为了过等级保护，盲目添加各种硬件网络安全设备，由此导致了设备堆叠、运维复杂的问题，因而，现有的企业等级保护措施还有待改进。

技术实现要素：

本发明的主要目的在于提出一种等保处理方法、装置、设备及存储介质，旨在解决现有技术中企业为了过等级保护而导致的设备堆叠、运维复杂的技术问题。

为实现上述目的，本发明提供一种等保处理方法，所述等保处理方法包括如下步骤：

接收企业客户端发起的基于信息安全等级保护的安全产品购买请求；

根据所述安全产品购买请求确定企业想要购买的安全产品；

获取与所述安全产品对应的安全组件及安全组件防护策略，基于所述安全组件及安全组件防护策略执行企业信息安全等级保护。

优选地，所述根据所述安全产品购买请求确定企业想要购买的安全产品的步骤包括：

获取所述安全产品购买请求中携带的等保合规等级信息；

查询预设的等保合规等级与安全产品套餐之间的对应关系，得到与所述等保合规等级信息对应的安全产品套餐；

将所述安全产品套餐中的安全产品作为企业想要购买的安全产品。

优选地，所述基于所述安全组件及安全组件防护策略执行企业信息安全等级保护的步骤包括：

创建安全虚拟机，在创建的所述安全虚拟机中配置所述安全组件，并根据所述安全组件防护策略初始化所述安全组件的安全防护功能；

通过初始化安全防护功能后的所述安全组件执行企业信息安全等级保护。

优选地，所述安全组件包括流量管理组件，所述通过初始化安全防护功能后的所述安全组件执行企业信息安全等级保护的步骤包括：

通过所述流量管理组件采集企业互联网出口域的业务流量报文；

对所述业务流量报文进行分析，得到与所述业务流量报文对应的组件防御策略；

根据预设的业务流量路由规则，将所述组件防御策略路由至对应的企业网络域，以使所述企业网络域根据所述组件防御策略启用对应的安全组件的安全防护功能。

优选地，所述对所述业务流量报文进行分析，得到与所述业务流量报文对应的组件防御策略的步骤包括：

获取所述业务数据流量报文的源地址；

基于获取到的所述源地址检索预设的知识库，得到与所述源地址对应的威胁模型；

获得预设的与所述威胁模型对应的组件防御策略。

优选地，所述通过初始化安全防护功能后的所述安全组件执行企业信息安全等级保护的步骤之前，还包括：

向所述企业客户端发送提示信息以提示设置业务流量路由规则；

获取并保存所述企业客户端设置的业务流量路由规则。

优选地，所述企业网络域包括专网外联域、终端接入域、运维管理域、核心业务服务器域、普通业务服务器域中的一种或多种。

此外，为实现上述目的，本发明还提供一种等保处理装置，所述等保处理装置包括：

接收程序模块，用于接收企业客户端发起的基于信息安全等级保护的安全产品购买请求；

确定程序模块，用于根据所述安全产品购买请求确定企业想要购买的安全产品；

获取执行程序模块，用于获取与所述安全产品对应的安全组件及安全组件防护策略，基于所述安全组件及安全组件防护策略执行企业信息安全等级保护。

此外，为实现上述目的，本发明还提供一种等保处理设备，所述等保处理设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的等保处理程序，所述等保处理程序被所述处理器执行时实现如上所述的等保处理方法的步骤。

此外，为实现上述目的，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有等保处理程序，所述等保处理程序被处理器执行时实现如上所述的等保处理方法的步骤。

本发明接收企业客户端发起的基于信息安全等级保护的安全产品购买请求；根据所述安全产品购买请求确定企业想要购买的安全产品；获取与所述安全产品对应的安全组件及安全组件防护策略，基于所述安全组件及安全组件防护策略执行企业信息安全等级保护。通过上述方式，企业无需添加硬件网络安全设备，而只需向等保服务提供商购买相应的基于信息安全等级保护的安全产品，就能通过等保服务提供商提供的安全组件及安全组件防护策略实现企业信息安全等级保护，从而解决了现有技术中企业为了过等级保护而导致的设备堆叠、运维复杂的技术问题。

附图说明

图1是本发明实施例方案涉及的硬件运行环境的等保处理设备结构示意图；

图2为本发明等保处理方法第一实施例的流程示意图；

图3为图2中步骤s20的细化步骤示意图；

图4为本发明实施例中等保一体机建设的拓扑结构示意图；

图5为本发明等保处理装置一实施例的模块示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明实施例的主要解决方案是：接收企业客户端发起的基于信息安全等级保护的安全产品购买请求；根据所述安全产品购买请求确定企业想要购买的安全产品；获取与所述安全产品对应的安全组件及安全组件防护策略，基于所述安全组件及安全组件防护策略执行企业信息安全等级保护。

目前，很多企业在落实等级保护制度时偏形式化，为了过等级保护，盲目添加各种硬件网络安全设备，由此导致了设备堆叠、运维复杂的问题，因而，现有的企业等级保护措施还有待改进。

本发明提供的等保处理方法，企业无需添加硬件网络安全设备，而只需向等保服务提供商购买相应的基于信息安全等级保护的安全产品，就能通过等保服务提供商提供的安全组件及安全组件防护策略实现企业信息安全等级保护，从而解决了现有技术中企业为了过等级保护而导致的设备堆叠、运维复的技术问题。

如图1所示，图1是本发明实施例方案涉及的硬件运行环境的等保处理设备结构示意图。

本发明实施例等保处理设备可以是搭载了虚拟化平台的pc机或服务器(如x86服务器)等终端设备。

如图1所示，该等保处理设备可以包括：处理器1001，例如cpu，网络接口1004，用户接口1003，存储器1005，通信总线1002。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(display)、输入单元比如键盘(keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如wi-fi接口)。存储器1005可以是高速ram存储器，也可以是稳定的存储器(non-volatilememory)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。

本领域技术人员可以理解，图1中示出的终端结构并不构成对终端的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

如图1所示，作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及等保处理程序。

在图1所示的终端中，网络接口1004主要用于连接后台服务器，与后台服务器进行数据通信；用户接口1003主要用于连接客户端(用户端)，与客户端进行数据通信；而处理器1001可以用于调用存储器1005中存储的等保处理程序，并执行以下安全组件的权限配置方法实施例中的操作。

基于上述硬件结构，提出本发明等保处理方法实施例。

参照图2，图2为本发明等保处理方法第一实施例的流程示意图，所述方法包括：

步骤s10，接收企业客户端发起的基于信息安全等级保护的安全产品购买请求；

本实施例可以通过等保服务提供商的等保一体机实现。该等保一体机可搭载云端安全服务管理平台cssp(cloudsecurityserviceplatform)，该平台用于对云端安全服务进行统一管理。

当企业想要过信息安全等级保护时，可依据相应等级要求，并结合自身实际网络安全情况进行分析，从而确定想要向等保服务提供商购买的安全服务，之后，再基于企业客户端触发基于信息安全等级保护的安全产品购买请求，该购买请求中可以携带购买方身份、等保合规等级、想要购买的安全服务及安全产品等信息；企业客户端接收到用户触发的安全产品购买请求后，将该安全产品购买请求发送给等保一体机上的云端安全服务管理平台cssp。

需要说明的是，安全服务管理平台cssp，是基于软件定义安全技术实现的安全服务化交付的平台，运营方只要通过标准x86服务器搭配安全资源池系统，就能以服务的形式向客户提供丰富的安全服务。大部分服务以安全组件的形式提供，比如vaf、vssl、vad、vdas等安全组件，通过虚拟化功能，将这些传统的安全组件融合进云平台，从而使得等保一体机能够提供全面的安全保障和服务功能。

步骤s20，根据所述安全产品购买请求确定企业想要购买的安全产品；

等保一体机在接收到企业客户端发起的安全产品购买请求后，根据该安全产品购买请求确定企业想要购买的安全产品。

具体地，作为一种实施方式，参照图3，图3为图2中步骤s20的细化步骤示意图，上述步骤s20可以包括：

步骤s21，获取所述安全产品购买请求中携带的等保合规等级信息；

步骤s22，查询预设的等保合规等级与安全产品套餐之间的对应关系，得到与所述等保合规等级信息对应的安全产品套餐；

步骤s23，将所述安全产品套餐中的安全产品作为企业想要购买的安全产品。

根据我国计算机信息系统安全保护等级划分准则(gb17859-1999)，信息系统的安全保护等级由低到高可划分为五级：第一级，用户自主保护级；第二级，系统审计保护级；第三级，安全标记保护级；第四级，结构化保护级；第五级，访问验证保护级。

等保一体机中预先设置有等保合规等级与安全产品套餐之间的对应关系，其中安全产品套餐中包括若干不同类型的安全防护产品，服务提供商可根据实际需要，灵活地添加、删除或更新安全产品套餐及安全产品套餐中的安全产品。

在确定企业想要购买的安全产品时，等保一体机可以首先获取安全产品购买请求中携带的等保合规等级信息，然后查询预设的等保合规等级与安全产品套餐之间的对应关系，得到与等保合规等级信息对应的安全产品套餐，之后再将安全产品套餐中的安全产品作为企业想要购买的安全产品。

例如，等保合规等级二级和等保合规三级对应的安全产品套餐中包括的安全产品可设置如下：

作为另一种实施方式，企业也可以不以安全产品套餐的形式购买安全产品，而是基于cssp提供的选择页面直接选择想要购买的安全产品类型，此时等保一体机可直接从安全产品购买请求携带的信息中获得企业想要购买的安全产品。

步骤s30，获取与所述安全产品对应的安全组件及安全组件防护策略，基于所述安全组件及安全组件防护策略执行企业信息安全等级保护。

在确定企业想要购买的安全产品后，等保一体机进一步获取与该安全产品对应的安全组件及安全组件防护策略，具体获取方式可以为：查询预设的安全产品、安全组件及安全组件防护策略三者之间的对应关系，从而得到与企业想要购买的安全产品对应的安全组件及安全防护策略。其中，一个安全组件对应一个或多个安全防护功能，安全组件包括但不限于vaf、vssl、vad、vdas等类型的组件，安全防护功能包括但不限于web应用防护、入侵防御、网关杀毒、应用识别等；安全防护策略用于对安全组件下的安全防护功能进行初始化，即控制安全防护功能的启用、关闭等。

在获取到与安全产品对应的安全组件及安全组件防护策略后，等保一体机即可根据该安全组件及安全组件防护策略执行企业信息安全等级保护。具体执行方式可以为：首先根据安全组件防护策略初始化安全组件的安全防护功能，然后采集企业的业务流量报文并分析出业务流量报文的组件防御策略，然后将组件防御策略下发给对应的企业网络域中的安全组件，以使企业网络域根据组件防御策略启用对应的安全组件的安全防护功能。

在本实施例中，等保一体机接收企业客户端发起的基于信息安全等级保护的安全产品购买请求；根据所述安全产品购买请求确定企业想要购买的安全产品；获取与所述安全产品对应的安全组件及安全组件防护策略，基于所述安全组件及安全组件防护策略执行企业信息安全等级保护。通过上述方式，企业无需添加硬件网络安全设备，而只需向等保服务提供商购买相应的基于信息安全等级保护的安全产品，就能通过等保服务提供商提供的安全组件及安全组件防护策略实现企业信息安全等级保护，从而解决了现有技术中企业为了过等级保护而导致的设备堆叠、运维复杂的技术问题。

进一步地，基于本发明等保处理方法第一实施例，提出本发明等保处理方法第二实施例。

在本实施例中，上述步骤s30中基于所述安全组件及安全组件防护策略执行企业信息安全等级保护的步骤可以进一步包括：

创建安全虚拟机，在创建的所述安全虚拟机中配置所述安全组件，并根据所述安全组件防护策略初始化所述安全组件的安全防护功能；通过初始化安全防护功能后的所述安全组件执行企业信息安全等级保护。

具体地，在获取到安全组件及安全组件防护策略后，等保一体机创建一个安全虚拟机，然后将获取到的安全组件下发至该安全虚拟机中，并根据安全组件防护策略对安全虚拟机中的安全组件的安全防护功能进行初始化，即控制安全防护功能的启用、关闭等，之后，再通过初始化安全防护功能后的安全组件执行企业信息安全等级保护。通过创建虚拟机并使安全组件运行在虚拟机中，实现了网络安全设备的虚拟化，且实现了不同企业安全防护服务的隔离。

进一步地，上述步骤s30中的安全组件包括流量管理组件，所述通过初始化安全防护功能后的所述安全组件执行企业信息安全等级保护的步骤可以包括：

通过所述流量管理组件采集企业互联网出口域的业务流量报文；对所述业务流量报文进行分析，得到与所述业务流量报文对应的组件防御策略；根据预设的业务流量路由规则，将所述组件防御策略路由至对应的企业网络域，以使所述企业网络域根据所述组件防御策略启用对应的安全组件的安全防护功能。

具体地，参照图4，图4为本发明实施例中等保一体机建设的拓扑结构示意图，图中等保一体机通过互联网出口域与对外服务器域通信，且等保一体机分别与专网外联域、终端接入域、运维管理域、核心业务服务器域、普通业务服务器域和其他服务器域等各个企业网络域保持通信，其中不同的企业网络域表示企业不同业务类型所需的网络通信基础设施架构，比如终端接入域主要运行用户的上网行为管理业务，其可以包括终端和对应的上网行为管理设备，运维管理域主要运行日常的运维管理业务，其可以包括安全感知平台、日志审计系统、运维堡垒主机、防病毒服务器、漏洞扫描系统和防火墙设备等。本实施例中，等保一体机中预先保存有企业的业务流量路由规则，且等保一体机与企业网络的各个域保持通信；企业通过等保一体机访问对外服务器域时，等保一体机通过流量管理组件采集业务互联网出口域的业务流量报文，然后，对该业务流量报文进行分析，得到对应的组件防御策略，该组件防御策略用于表示等保一体机需要使用的安全防御组件及对应的安全防护功能；之后，等保一体机根据预设的业务流量路由规则，将组件防御策略路由至对应的企业网络域，以使企业网络域根据组件防御策略启用对应的安全组件的安全防护功能，由此实现了各个网络域协同防御的动态保护体系。

其中，根据企业业务类型的不同，企业网络域可以包括专网外联域、终端接入域、运维管理域、核心业务服务器域、普通业务服务器域中的一种或多种，当然也可以包括其他服务器域。具体实施时可根据企业的实际业务情况灵活设置等保一体机与企业网络域的连接关系。

进一步地，所述对所述业务流量报文进行分析，得到与所述业务流量报文对应的组件防御策略的步骤可以包括：

获取所述业务数据流量报文的源地址；基于获取到的所述源地址检索预设的知识库，得到与所述源地址对应的威胁模型；获得预设的与所述威胁模型对应的组件防御策略。

在等保一体机中，预先设置有一个知识库，该知识库中保存有业务数据流量报文的源地址和威胁模型之间的对应关系，等保一体机通过解析业务数据流量报文能够获得业务数据流量报文的源地址，然后基于该源地址检索知识库，即可得到对应的威胁模型，威胁模型中的威胁类型包括但不限于系统漏洞攻击、网页木马、中间件漏洞、dos(denialofservice，拒绝服务)攻击、doos(distributeddenialofservice，分布式拒绝服务)攻击、病毒、恶意软件等；在确定威胁模型后，即可获得预设的与威胁模型对应的组件防御策略。

由于源地址能够反映业务数据流量报文的来源，而不同来源的业务数据流量报文所对应的业务类型及可能存在的威胁往往不同，因此通过源地址能够区分不同的业务类型，进而根据业务类型匹配对应的威胁模型和组件防御策略，保证了组件防御策略的准确匹配。

当然，在获取与业务流量报文对应的组件防御策略时也可以采用其他方式，比如通过分析业务流量报文的除源地址外的其他组成特征或结合源地址和其他组成特征进行分析，进而通过预设的识别规则，识别特征所对应的组件防御策略，具体实施时可灵活设置。

进一步地，所述通过初始化安全防护功能后的所述安全组件执行企业信息安全等级保护的步骤之前，还可以包括：向所述企业客户端发送提示信息以提示设置业务流量路由规则；获取并保存所述企业客户端设置的业务流量路由规则。

在本实施例中，等保一体机在创建安全虚拟机之后，可以向企业客户端发送提示信息以提示设置业务流量路由规则，该业务流量路由规则用于控制业务流量数据在企业网络中的流转，企业可根据自身实际业务需求和网络架构灵活设置业务流量路由规则。之后，企业客户端将设置好的业务流量路由规则发送至等保一体机，等保一体机保存该业务流量路由规则，以为后续将组件防御策略路由至对应的企业网络域提供前提保证。

本发明还提供一种等保处理装置，参照图5，图5为本发明等保处理装置一实施例的模块示意图，本实施例中，所述装置包括：

接收程序模块10，用于接收企业客户端发起的基于信息安全等级保护的安全产品购买请求；

确定程序模块20，用于根据所述安全产品购买请求确定企业想要购买的安全产品；

获取执行程序模块30，用于获取与所述安全产品对应的安全组件及安全组件防护策略，基于所述安全组件及安全组件防护策略执行企业信息安全等级保护。

上述各功能模块实现的方法可参照本发明等保处理方法实施例，此处不再赘述。

在本实施例中，接收程序模块10接收企业客户端发起的基于信息安全等级保护的安全产品购买请求；确定程序模块20根据所述安全产品购买请求确定企业想要购买的安全产品；获取执行程序模块30获取与所述安全产品对应的安全组件及安全组件防护策略，基于所述安全组件及安全组件防护策略执行企业信息安全等级保护。通过上述方式，企业无需添加硬件网络安全设备，而只需向等保服务提供商购买相应的基于信息安全等级保护的安全产品，就能通过等保服务提供商提供的安全组件及安全组件防护策略实现企业信息安全等级保护，从而解决了现有技术中企业为了过等级保护而导致的设备堆叠、运维复杂的技术问题。

本发明还提供一种计算机可读存储介质。

本发明计算机可读存储介质上存储有等保处理程序，所述等保处理程序被处理器执行时实现如上所述的等保处理方法的步骤。

其中，在所述处理器上运行的等保处理程序被执行时所实现的方法可参照本发明等保处理方法各个实施例，此处不再赘述。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。