企业网络访问权限的控制方法及装置的制造方法

企业网络访问权限的控制方法及装置的制造方法
【专利摘要】本发明提供了一种企业网络访问权限的控制方法及装置，该方法包括：从申请终端接收企业网络访问权限申请信息；根据企业网络访问控制平台的工单内容规则，解析访问权限申请信息中的多个关键组成要素，将多个关键组成要素添加至一个工单中，生成网络访问权限申请信息对应的网络访问权限控制工单；将网络访问权限控制工单提供至审核终端，获取审核终端针对网络访问权限控制工单的操作，操作包括下列至少一项：展示、查询、允许和/或禁止；根据审核终端的操作执行网络访问权限的控制。采用本发明提供的方法，实现了工单的线上流程化处理。
【专利说明】
企业网络访问权限的控制方法及装置
技术领域
[0001]本发明涉及网络应用技术领域，特别是涉及一种企业网络访问权限的控制方法及
目.0
【背景技术】
[0002]信息点间通信和内外网络的通信是企业网络中必不可少的业务需求，为了保证企业内部资源和重要信息的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。访问控制列表(Access Control List，简称ACL)可以过滤网络中的流量，是控制访问的一种网络技术手段。
[0003]配置ACL后，可以限制网络流量，允许特定设备访问，指定转发特定端口数据包等。如可以配置ACL，禁止局域网内的设备访问外部公共网络，或者只能使用文件传输协议(File Transfer Protocol，简称FTP)服务。
[0004]现有技术中关于ACL访问控制的处理模式是由人工操作处理。人工操作管理的模式使得ACL访问控制配置复杂且管理混乱，进一步使得ACL访问控制的管理无法实现合规可控，经常出现业务申请用户和网络管理人员之间沟通不顺畅，无法按需访问，以及网络安全管理人员操作不当引起的严格受限的权限放开，致使企业内部资源外泄的问题。

【发明内容】

[0005]鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的企业网络访问权限的控制方法及装置。
[0006]基于本发明的一个方面，提供了一种企业网络访问权限的控制方法，包括:
[0007]从申请终端接收企业网络访问权限申请信息，其中，所述访问权限申请信息中包括:发起访问的源IP地址、需要访问的目的IP地址、目的端口、通信协议、访问权限有效时间、申请理由中的一项或多项；
[0008]根据企业网络访问控制平台的工单内容规则，解析获取所述访问权限申请信息中的多个关键组成要素，将所述多个关键组成要素添加至一个工单中，生成所述网络访问权限申请信息对应的网络访问权限控制工单；
[0009]将所述网络访问权限控制工单提供至审核终端，获取所述审核终端针对所述网络访问权限控制工单的操作，所述操作包括下列至少一项:展示、查询、允许和/或禁止；
[0010]根据所述审核终端的操作执行网络访问权限的控制。
[0011]将所述网络访问权限控制工单提供至审核终端，获取所述审核终端针对所述网络访问权限控制工单的操作，包括:
[0012]根据所述审核终端预设的安全策略确定针对所述网络访问权限控制工单的审批结果；
[0013]根据所述审批结果获取针对所述网络访问权限控制工单的操作。
[0014]可选地，根据所述审批结果获取针对所述网络访问权限控制工单的操作，包括:
[0015]若所述网络访问权限控制工单符合所述审核终端预设的安全策略，则所述审核终端针对所述网络访问权限控制工单进行展示、查询、允许操作中的至少一项操作；
[0016]若所述网络访问权限控制工单不符合所述审核终端预设的安全策略，则所述审核终端针对所述网络访问权限控制工单进行展示、查询、禁止操作中的至少一项操作。
[0017]可选地，从申请终端获取企业网络访问权限申请信息之前，还包括:对所述申请终端进行身份认证。
[0018]可选地，还包括:
[0019]若获取到多个申请终端的企业网络访问权限申请信息时，针对所述多个申请终端的企业网络访问权限申请信息生成对应的多个网络访问权限控制工单；以及
[0020]将所述多个网络访问权限控制工单以审批列表的形式在所述企业网络访问控制平台中呈现。
[0021]可选地，还包括:
[0022]若所述网络访问权限控制工单符合所述审核终端预设的安全策略，则由所述企业网络访问控制平台通知相应设备为所述申请终端开启所述企业网络访问权限；
[0023]若所述网络访问权限控制工单不符合所述审核终端预设的安全策略，则将禁止消息提供给所述申请终端。
[0024]可选地，将禁止消息提供给所述申请终端之后，还包括:接收所述申请终端再次发起的、修改后的企业网络访问权限申请信息，并对其进行后续处理。
[0025]可选地，对所述企业网络访问权限申请信息的修改至少包括:
[0026]修改所述企业网络访问权限申请信息中的目的IP地址；
[0027]修改所述企业网络访问权限申请信息中的申请理由；
[0028]修改所述企业网络访问权限申请信息中的目的端口；
[0029]修改所述企业网络访问权限申请信息中的访问权限有效时间。
[0030]可选地，对所述企业网络访问权限申请信息进行的审批包括至少两层的审批操作。
[0031]可选地，所述方法适用于交换机、路由器以及防火墙间的访问操作。
[0032]基于本发明的另一方面，还提供了一种企业网络访问权限的控制装置，包括:
[0033]接收模块，适于从申请终端接收企业网络访问权限申请信息，其中，所述访问权限申请信息中包括:发起访问的源IP地址、需要访问的目的IP地址、目的端口、通信协议、访问权限有效时间、申请理由中的一项或多项；
[0034]生成模块，适于根据企业网络访问控制平台的工单内容规则，解析获取所述访问权限申请信息中的多个关键组成要素，将所述多个关键组成要素添加至一个工单中，生成所述网络访问权限申请信息对应的网络访问权限控制工单；
[0035]获取模块，适于将所述网络访问权限控制工单提供至审核终端，获取所述审核终端针对所述网络访问权限控制工单的操作，所述操作包括:展示、查询、允许和/或禁止；
[0036]执行模块，适于根据所述审核终端的操作执行网络访问权限的控制。
[0037]可选地，所述获取模块还适于:
[0038]根据所述审核终端预设的安全策略确定针对所述网络访问权限控制工单的审批结果；
[0039]根据所述审批结果获取针对所述网络访问权限控制工单的操作。
[0040]可选地，所述获取模块还适于:
[0041]若所述网络访问权限控制工单符合所述审核终端预设的安全策略，则所述审核终端针对所述网络访问权限控制工单进行展示、查询、允许操作中的至少一项操作
[0042]若所述网络访问权限控制工单不符合所述审核终端预设的安全策略，则所述审核终端针对所述网络访问权限控制工单进行展示、查询、禁止操作中的至少一项操作。
[0043]可选地，还包括:认证模块，适于从申请终端获取企业网络访问权限申请信息之前，对所述申请终端进行身份认证。
[0044]可选地，所述接收模块，还适于若获取到多个申请终端的企业网络访问权限申请信息时，针对所述多个申请终端的企业网络访问权限申请信息生成对应的多个网络访问权限控制工单；以及
[0045]所述生成模块，还适于将所述多个网络访问权限控制工单以审批列表的形式在所述企业网络访问控制平台中呈现。
[0046]可选地，还包括:通知模块，适于若所述网络访问权限控制工单符合所述审核终端预设的安全策略，则由所述企业网络访问控制平台通知相应设备为所述申请终端开启所述企业网络访问权限；
[0047]若所述网络访问权限控制工单不符合所述审核终端预设的安全策略，则将禁止消息提供给所述申请终端。
[0048]可选地，所述接收模块还适于:将禁止消息提供给所述申请终端之后，接收所述申请终端再次发起的、修改后的企业网络访问权限申请信息，并对其进行后续处理。
[0049]可选地，对所述企业网络访问权限申请信息的修改至少包括:
[0050]修改所述企业网络访问权限申请信息中的目的IP地址；
[0051 ]修改所述企业网络访问权限申请信息中的申请理由；
[0052]修改所述企业网络访问权限申请信息中的目的端口；
[0053]修改所述企业网络访问权限申请信息中的访问权限有效时间。
[0054]可选地，对所述企业网络访问权限申请信息进行的审批包括至少两层的审批操作。
[0055]可选地，所述装置适用于交换机、路由器以及防火墙间的访问操作。
[0056]本发明实施例中，将申请终端的企业网络访问权限的申请信息按照工单内容规则，自动生成对应的网络访问权限控制工单，现有技术中关于申请终端的企业网络访问权限的申请信息的处理模式是由人工操作处理，而自动生成工单不需要人工操作，直接根据配置好的工单内容规则生成一个具备各项关键信息的工单，这一步骤相对于现有技术，提升网络安全管理人员的效率，简化网络权限管理复杂度，避免人工操作造成的错误配置的问题。然后，本发明实施例将网络访问权限控制工单提供至审核终端，由审核终端针对网络访问控制工单执行对应的控制，审核终端的审批和控制流程能够进一步实现工单的线上流程化处理，使得工单的后续审批处理也能够流程化，而不需要每次由人工去审批关于申请终端的企业网络访问权限的申请信息。因此，本发明实施例提供的企业网络访问权限的控制方法可以协助网络安全管理人员统一管理网络访问控制策略，提升网络安全管理人员的效率，简化网络权限管理复杂度，避免人工操作造成的错误配置的问题，实现工单的线上流程化处理，保障企业网络访问权限的配置管理的规范和合规。
[0057]上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的【具体实施方式】。
[0058]根据下文结合附图对本发明具体实施例的详细描述，本领域技术人员将会更加明了本发明的上述以及其他目的、优点和特征。
【附图说明】
[0059]通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中:
[0060]图1示出了根据本发明一个实施例的企业网络访问权限的控制方法的处理流程图；
[0061]图2示出了根据本发明一个实施例的企业网络访问控制平台的示意图；
[0062]图3示出了根据本发明一个实施例的用户申请页面的示意图；
[0063]图4示出了根据本发明一个实施例的网络访问权限控制工单的示意图；
[0064]图5示出了根据本发明一个实施例的管理员审批页面的示意图；
[0065]图6示出了根据本发明一个实施例的企业网络访问权限的控制方法的另一种处理流程图；
[0066]图7示出了根据本发明一个实施例的企业网络边界设备拓扑结构图的示意图；
[0067]图8示出了根据本发明一个实施例的企业网络访问权限的控制装置的结构示意图；
[0068]图9示出了根据本发明一个实施例的企业网络访问权限的控制装置的另一种结构示意图；
[0069]图10示出了根据本发明一个实施例的企业网络访问权限的控制装置的另一种结构示意图。
【具体实施方式】
[0070]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
[0071]为解决上述技术问题，本发明实施例提供了一种企业网络访问权限的控制方法，该方法适用于交换机、路由器以及防火墙间的访问操作。图1示出了根据本发明一个实施例的企业网络访问权限的控制方法的处理流程图。参见图1，该方法至少包括步骤S102至步骤S108o
[0072]本发明实施例中，首先执行步骤S102，从申请终端接收企业网络访问权限申请信息，其中，访问权限申请信息中包括:发起访问的源IP地址、需要访问的目的IP地址、目的端口、通信协议、访问权限有效时间、申请理由中的一项或多项。
[0073]获取到企业网络访问权限申请信息后，执行步骤S104，根据企业网络访问控制平台的工单内容规则，解析获取访问权限申请信息中的多个关键组成要素，将多个关键组成要素添加至一个工单中，生成网络访问权限申请信息对应的网络访问权限控制工单。
[0074]生成网络访问权限控制工单后，执行步骤S106，将网络访问权限控制工单提供至审核终端，获取审核终端针对网络访问权限控制工单的操作，操作包括下列至少一项:展示、查询、允许和/或禁止。
[0075]最后，执行步骤S108，根据审核终端的操作执行网络访问权限的控制。
[0076]本发明实施例中，将申请终端的企业网络访问权限的申请信息按照工单内容规则，自动生成对应的网络访问权限控制工单，现有技术中关于申请终端的企业网络访问权限的申请信息的处理模式是由人工操作处理，而自动生成工单不需要人工操作，直接根据配置好的工单内容规则生成一个具备各项关键信息的工单，这一步骤相对于现有技术，提升网络安全管理人员的效率，简化网络权限管理复杂度，避免人工操作造成的错误配置的问题。然后，本发明实施例将网络访问权限控制工单提供至审核终端，由审核终端针对网络访问控制工单执行对应的控制，审核终端的审批和控制流程能够进一步实现工单的线上流程化处理，使得工单的后续审批处理也能够流程化，而不需要每次由人工去审批关于申请终端的企业网络访问权限的申请信息。因此，本发明实施例提供的企业网络访问权限的控制方法可以协助网络安全管理人员统一管理网络访问控制策略，提升网络安全管理人员的效率，简化网络权限管理复杂度，避免人工操作造成的错误配置的问题，实现工单的线上流程化处理，保障企业网络访问权限的配置管理的规范和合规。
[0077]上述步骤S104中提及的企业网络访问控制平台具备根据网络安全策略进行网络安全评估能力，并且，在一个优选的实施例中，企业级用户可以为企业网络访问控制平台设置一个单独的安全管理区域，该管理区域是从企业网络中划分出一个单独的区域，仅用于进行网络安全管理策略的管理控制功能。这一单独设置的方式能够进一步提高企业网络访问控制平台的安全性，企业网络访问控制平台无须与其他业务同时竞争企业资源(包括企业网络资源、时间资源等等)，保证了企业网络访问控制平台的运行速度和反应能力，增加企业网络访问控制平台的鲁棒性和健壮性。如图2所示，该企业网络访问控制平台可以部署在企业网络的安全管理区域，以机架服务器的形式连接到管理域的核心交换上，用户和管理员远程通过Web页面进行访问，管理服务器同企业网络和互联网数据中心(InternetData Center，简称IDC)核心网络设备进行配置和命令层次的交互，包括路由器、交换机和防火墙，对支持简单网络管理协议(Simple Network Management Protocol，简称SNMP)、命令行终端和netconf协议的网络设备适配支持。
[0078]在部署企业网络访问控制平台时，需要导入用户信息进行注册和组织机构业务流程关系，也可以同企业的轻量目录访问协议(Lightweight Directory Access Protocol，简称LDAP)接口进行集成，同时需要批量导入核心网络设备的安全外壳协议(SecureShell,简称SSH)登陆信息和SNMP读取串，明确该网络设备品牌用于自动化命令适配。
[0079]企业网络访问控制平台可以以硬件形式提供，可远程访问Web页面进行管理，该产品由用户登录申请平台、管理员平台、管理服务器和流量采集器组成。
[0080]用户登录申请平台用于用户和用户上级的登录，包括网络访问策略的申请、用户申请记录查看、用户上级的确认、用户上级确认记录查看和用户口令管理等。
[0081]管理员平台用于网络安全管理员对网络访问控制策略的综合管理，包括网络设备ACL管理模块，ACL状态监测，ACL信息查看和审批，虚拟局域网(Virtual Local AreaNetwork，简称VLAN)信息管理，用户和权限管理、系统配置管理、审计日志管理等。
[0082]管理服务器负责定期抓取核心网络设备的配置信息，检查网络设备状态，网络设备命令执行的适配、网络设备命令的自动生成和推送、ACL策略失效状态监测、ACL流量监测和失效撤销等。
[0083]为了更清楚地理解上述用户登录申请平台和管理员平台，图3示出了根据本发明一个实施例的用户申请页面的示意图，图4示出了根据本发明一个实施例的网络访问权限控制工单的示意图，图5示出了根据本发明一个实施例的管理员审批页面的示意图。
[0084]用户登录企业网络访问控制平台后，点击新建ACL申请，即可进入图3示出的用户申请界面。用户须在该用户申请界面上填写企业网络访问权限申请信息，即图3示出的源IP地址、目的IP地址、目的端口、通信协议、开通有效时间、申请理由。需要说明地是，从申请终端获取企业网络访问权限申请之前，还需对申请终端进行身份认证，例如，对用户填写的申请邮箱进行身份认证。
[0085]用户完成企业网络访问权限申请信息的填写后，生成对应的网络访问权限控制工单，如图4所示。本发明实施例中，若获取到多个申请终端的企业网络访问权限申请信息时，针对多个申请终端的企业网络访问权限申请信息生成对应的多个网络访问权限控制工单，图4示出了两个申请终端对应的网络访问权限控制工单，这两个网络访问权限控制工单以审批列表的形式呈现在企业网络访问控制平台中。
[0086]将生成的网络访问权限控制工单提供至管理员，管理员登录进入该企业网络访问控制平台后进行审核，即对图5示出的管理员审批界面上的网络访问权限控制工单进行处理。在本发明的一个优选实施例中，对网络访问权限控制工单进行处理，可以根据审核终端预设的安全策略确定网络访问权限控制工单的审批结果，然后根据审批结果获取针对网络访问权限控制工单的操作。预设的安全策略可以为只允许特定设备访问，还可以为禁止局域网内的设备访问外部公共网络，还可以为只能使用FTP服务协议类型，还可以为访问权限有效时间为三个月，等等。管理员将网络访问权限控制工单上的信息与预设的安全策略进行匹配，对符合预设的安全策略的网络访问权限控制工单进行允许操作，即图5示出的批准操作，对不符合预设的安全策略的网络访问权限控制工单进行禁止操作，即图5示出的驳回操作。
[0087]若网络访问权限控制工单符合预设的安全策略，则企业网络访问控制平台通知相应的设备为网络访问权限控制工单对应的申请终端开启企业网络访问权限;若网络访问权限控制工单不符合预设的安全策略，则企业网络访问控制平台提供禁止消息至对应的申请终端，并告知被禁止的理由，例如，不允许访问需要访问的目的IP地址，或者通信协议类型不符，或者访问权限有效时间过长等等。
[0088]另外，图4和图5示出的界面上还示出了网络访问权限控制工单的查询操作。用户可以在图4和图5示出的查询区间输入申请时间的起止日期，或者在查询内容输入框中输入具体的关键词，例如，源IP地址、目的IP地址、目的端口等，输入完成后点击查找按钮，该界面上就会显示符合要求的网络访问权限控制工单。
[0089]申请终端接收到禁止消息后，根据企业网络访问控制平台返回的被禁止的理由，对企业网络访问权限申请信息进行修改，例如，修改目的IP地址、修改申请理由、修改目的端口和修改访问权限有效时间中的一项或多项。对企业网络访问权限申请信息修改之后，申请终端可再次发起申请。企业网络访问控制平台接收到该申请终端修改后的企业网络访问权限申请信息后，再次对其进行解析，自动生成对应的网络访问权限控制工单，并对网络访问权限控制工单进行后续处理。
[0090]上文中仅涉及网络访问权限控制工单的自动生成，为了实现企业网络访问权限控制的整个流程的自动化，本发明实施例还提供了另一种企业网络访问权限的控制方法。图6示出了根据本发明一个实施例的企业网络访问权限的控制方法的另一种处理流程图。参见图6，该方法至少包括步骤S602至步骤S608。
[0091]首先，执行步骤S602，建立网络访问权限控制工单处理的处理进程，并为该处理进程的两端分别设置输入接口和输出接口。
[0092]通过步骤S602中设置的输入接口，执行步骤S604，接收记载有访问控制ACL策略请求的网络访问权限控制工单，其中，ACL策略请求中至少携带有本次申请的业务信息，以及本次申请的关于该业务的安全权限。其中，步骤S602中提及的网络访问权限控制工单可按照上述步骤S102至步骤S104示出的方法生成。
[0093]然后，执行步骤S606，根据处理线程预先获取的ACL策略，判断当前系统是否能够满足ACL策略请求中关于业务信息以及安全权限的需求，得到判断结果。
[0094]最后，执行步骤S608，根据判断结果对ACL策略请求进行应答，并将应答消息经输出接口输出。即根据判断结果对网络访问权限控制工单进行允许或禁止的操作。
[0095]本发明实施例提供的网络访问权限控制工单的处理方法实现了自动化的网络访问控制管理，即将企业网络访问权限的申请信息自动生成对应的网络访问权限控制工单，然后利用建立的处理进程实现自动处理网络访问权限控制工单，该处理进程具备独立的输入接口和输出接口，任意网络访问权限控制工单通过输入接口输入后，由该处理进程直接转化为针对该网络访问权限控制工单的处理结果，并将携带有该处理结果的应答消息通过输出接口输出。由此得出，上述整个转化过程无须人工干预，相对于人工管理网络访问控制的方式而言，提升网络访问控制管理的效率，简化网络权限管理复杂度，避免人工操作造成的错误配置的问题，实现网络访问权限的线上自动化流程化处理，保障企业网络访问权限的配置管理的规范和合规。
[0096]在本发明的一个优选实施例中，步骤S606中根据处理线程预先获取的ACL策略，对网络访问权限控制工单中的ACL策略请求进行的审批至少包括两层审批。具体地，首先判断当前系统是否具备能够支持业务信息对应的具体业务的业务资源;若当前系统具备支持业务信息对应的具体业务的业务资源，则进一步判断安全权限的需求是否与ACL策略中的安全权限相匹配;若安全权限的需求与ACL策略中的安全权限相匹配，则判断出当前系统能够满足ACL策略请求;若当前系统不具备支持业务信息对应的具体业务资源，则判断出当前系统不能够满足ACL策略请求。
[0097]以任一企业网络访问控制平台为例，该企业网络访问控制平台设置于独立的管理空间，并具体设置有如下ACL资源权限:业务资源仅对外公开公共业务资源，或者，仅允许特定设备进行访问，等。以该企业网络访问控制平台管理一个即时通信软件为例，此时，业务资源仅对外公开公共业务资源以及该即时通信软件的登录用户的部分可访问资源，除此之后的资源对该登录用户屏蔽或禁止访问。任何通过即时通信软件所上传的ACL申请都可以被认为一个ACL策略请求。
[0098]在具体实施时，该企业网络访问控制平台接收到某一申请终端的企业网络访问权限申请信息，将该企业网络访问权限申请信息解析并生成对应的网络访问权限控制工单，其中，该网络访问权限控制工单记载的ACL策略请求为访问某即时通讯软件的业务资源。该企业网络访问控制平台首先判断当前系统是否具备该即时通讯软件的业务资源，若具备，则进行进一步的判断，即判断该申请终端的访问即时通讯软件的业务资源的安全权限是否符合预设的安全权限的策略。具体地，首先解析获取ACL策略记载的业务的安全权限分配阈值;判断ACL策略请求中的安全权限需求是否高于安全权限分配阈值;若高于，则两者不匹配;若低于，则两者匹配。例如，即时通讯软件的业务资源仅向外部公开一些公共业务资源，若该申请终端申请访问即时通讯软件业务资源中的服务器资源部分，则认定该申请终端的ACL策略请求中的安全权限需求高于安全权限分配阈值，若该申请终端申请访问即时通讯软件的公共业务资源，则认定该申请终端的ACL策略请求中的安全权限需求低于安全权限分配阈值。
[0099]在本发明的一个优选实施例中，申请终端的企业网络访问权限申请信息生成对应的网络访问权限控制工单后，将生成的网络访问权限控制工单推送至交换机、路由器、防火墙等网络边界设备。然后，根据网络边界设备上的网络访问权限控制工单上的信息，确定网络边界设备的数据包过滤规则，数据包过滤规则允许或拒绝特定的数据包通过。数据包过滤规则是用于对通过网络边界设备进出的数据包进行检查的规则，以阻止那些不符合数据包过滤规则的数据包的传输，允许符合数据包过滤规则的数据包的通过。最后，根据数据包过滤规则确定网络边界设备的连通路径，对网络边界设备的连通路径进行可视化展示，生成企业网络边界设备拓扑结构图，如图7所示。在本发明一实施例中，生成企业网络边界设备拓扑结构图，还可以基于网络边界设备的连通路径和对外可访问端口生成企业网络边界设备拓扑结构图。
[0100]本发明通过利用网络边界设备的网络访问权限控制工单上的信息确定出网络边界设备的连通路径，并对确定出的各连通路径进行展示，以利用展示出的连通路径生成企业网络边界设备拓扑结构图，从而实现企业网络全局安全态势的可视化展示。可视化拓扑结构图可以实时显示网络边界设备的网络路径以及各设备之间的拓扑关系，并且当网络边界设备之间的拓扑关系产生变化时，可以实时显示该变化。从而提高了各网络边界设备的安全性，使得任意设备间的拓扑关系的变化可以被及时获知，有助于网络管理员实时掌控企业网络边界设备的防护状况，并能够实时对网络运行的状态和网络结构有一个全面的了解。
[0101]基于同一发明构思，本发明实施例还提供了一种企业网络访问权限的控制装置。图8示出了根据本发明一个实施例的企业网络访问权限的控制装置的结构示意图。参见图8，该装置至少包括:
[0102]接收模块810，适于从申请终端接收企业网络访问权限申请信息，其中，访问权限申请信息中包括:发起访问的源IP地址、需要访问的目的IP地址、目的端口、通信协议、访问权限有效时间、申请理由中的一项或多项；
[0103]生成模块820，与接收模块810耦合，适于根据企业网络访问控制平台的工单内容规则，解析获取访问权限申请信息中的多个关键组成要素，将多个关键组成要素添加至一个工单中，生成网络访问权限申请信息对应的网络访问权限控制工单；
[0104]获取模块830，与生成模块820耦合，适于将网络访问权限控制工单提供至审核终端，获取审核终端针对网络访问权限控制工单的操作，操作包括:展示、查询、允许和/或禁止；
[0105]执行模块840，与获取模块830耦合，适于根据审核终端的操作执行网络访问权限的控制。
[0106]在本发明的一个优选实施例中，获取模块830还适于:根据审核终端预设的安全策略确定针对网络访问权限控制工单的审批结果;根据审批结果获取针对网络访问权限控制工单的操作。
[0107]在本发明的一个优选实施例中，获取模块830还适于:若网络访问权限控制工单符合审核终端预设的安全策略，则审核终端针对网络访问权限控制工单进行展示、查询、允许操作中的至少一项操作;若网络访问权限控制工单不符合审核终端预设的安全策略，则审核终端针对网络访问权限控制工单进行展示、查询、禁止操作中的至少一项操作。
[0108]在本发明的一个优选实施例中，参见图9，该装置还包括:
[0109]认证模块850，与接收模块810耦合，适于从申请终端获取企业网络访问权限申请信息之前，对申请终端进行身份认证。
[0110]在本发明的一个优选实施例中，接收模块810，还适于若获取到多个申请终端的企业网络访问权限申请信息时，针对多个申请终端的企业网络访问权限申请信息生成对应的多个网络访问权限控制工单；以及
[0111]生成模块820，还适于将多个网络访问权限控制工单以审批列表的形式在企业网络访问控制平台中呈现。
[0112]在本发明的一个优选实施例中，参见图9，该装置还包括:
[0113]通知模块860，与执行模块840耦合，适于若网络访问权限控制工单符合审核终端预设的安全策略，则由企业网络访问控制平台通知相应设备为申请终端开启企业网络访问权限；若网络访问权限控制工单不符合审核终端预设的安全策略，则将禁止消息提供给申请终端。
[0114]在本发明的一个优选实施例中，接收模块810还适于:将禁止消息提供给申请终端之后，接收申请终端再次发起的、修改后的企业网络访问权限申请信息，并对其进行后续处理。
[0115]在本发明的一个优选实施例中，对企业网络访问权限申请信息的修改至少包括:修改企业网络访问权限申请信息中的目的IP地址;修改企业网络访问权限申请信息中的申请理由；修改企业网络访问权限申请信息中的目的端口 ；修改企业网络访问权限申请信息中的访问权限有效时间。
[0116]在本发明的一个优选实施例中，对网络访问权限控制工单进行的审批包括至少两层的审批操作。
[0117]在本发明的一个优选实施例中，该装置适用于交换机、路由器以及防火墙间的访问操作。
[0118]基于同一发明构思，本发明实施例还提供了另一种企业网络访问权限的控制装置。图10示出了根据本发明一个实施例的企业网络访问权限的控制装置的另一种结构示意图。参见图10，该装置至少包括:
[0119]建立模块1010，适于建立网络访问权限控制工单处理的处理进程，并为该处理进程的两端分别设置输入接口 1020和输出接口 1030。
[0120]输入接口1020，适于接收记载有访问控制ACL策略请求的网络访问权限控制工单，其中，ACL策略请求中至少携带有本次申请的业务信息，以及本次申请的关于该业务的安全权限。其中，网络访问权限控制工单可按照上述步骤S102至步骤S104示出的方法生成。
[0121]判断模块1040，与输入接口1020耦合适于根据处理线程预先获取的ACL策略，判断当前系统是否能够满足ACL策略请求中关于业务信息以及安全权限的需求，得到判断结果。
[0122]应答模块1050，与判断模块1040耦合，适于根据判断结果对ACL策略请求进行应答，并将应答消息经输出接口输出。
[0123]输出接口1030，与应答模块1050耦合，适于将应答消息输出。
[0124]在本发明的一个优选实施例中，判断模块1040还适于:判断当前系统是否具备能够支持业务信息对应的具体业务的业务资源;若当前系统具备支持业务信息对应的具体业务的业务资源，则进一步判断安全权限的需求是否与ACL策略中的安全权限相匹配;若安全权限的需求与ACL策略中的安全权限相匹配，则判断出当前系统能够满足ACL策略请求。
[0125]在本发明的一个优选实施例中，判断模块1040还适于:解析获取ACL策略记载的业务的安全权限分配阈值;判断ACL策略请求中的安全权限需求是否高于安全权限分配阈值；若高于，则判断出两者不匹配;若低于，则判断出两者匹配。
[0126]在本发明的一个优选实施例中，判断模块1040还适于:若当前系统不具备支持业务信息对应的具体业务的业务资源，则直接判断当前系统不能够满足ACL策略请求。
[0127]综上，采用本发明实施例提供的企业网络访问权限的控制方法及装置可以达到如下有益效果:
[0128]本发明实施例中，将申请终端的企业网络访问权限的申请信息按照工单内容规则，自动生成对应的网络访问权限控制工单，现有技术中关于申请终端的企业网络访问权限的申请信息的处理模式是由人工操作处理，而自动生成工单不需要人工操作，直接根据配置好的工单内容规则生成一个具备各项关键信息的工单，这一步骤相对于现有技术，提升网络安全管理人员的效率，简化网络权限管理复杂度，避免人工操作造成的错误配置的问题。然后，本发明实施例将网络访问权限控制工单提供至审核终端，由审核终端针对网络访问控制工单执行对应的控制，审核终端的审批和控制流程能够进一步实现工单的线上流程化处理，使得工单的后续审批处理也能够流程化，而不需要每次由人工去审批关于申请终端的企业网络访问权限的申请信息。因此，本发明实施例提供的企业网络访问权限的控制方法可以协助网络安全管理人员统一管理网络访问控制策略，提升网络安全管理人员的效率，简化网络权限管理复杂度，避免人工操作造成的错误配置的问题，实现工单的线上流程化处理，保障企业网络访问权限的配置管理的规范和合规。
[0129]在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。
[0130]类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循【具体实施方式】的权利要求书由此明确地并入该【具体实施方式】，其中每个权利要求本身都作为本发明的单独实施例。
[0131]本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
[0132]此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
[0133]本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的企业网络访问权限的控制装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。
[0134]应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
[0135]至此，本领域技术人员应认识到，虽然本文已详尽示出和描述了本发明的多个示例性实施例，但是，在不脱离本发明精神和范围的情况下，仍可根据本发明公开的内容直接确定或推导出符合本发明原理的许多其他变型或修改。因此，本发明的范围应被理解和认定为覆盖了所有这些其他变型或修改。
[0136]基于本发明的一个方面，还提供了Al、一种企业网络访问权限的控制方法，包括:
[0137]从申请终端接收企业网络访问权限申请信息，其中，所述访问权限申请信息中包括:发起访问的源IP地址、需要访问的目的IP地址、目的端口、通信协议、访问权限有效时间、申请理由中的一项或多项；
[0138]根据企业网络访问控制平台的工单内容规则，解析所述访问权限申请信息中的多个关键组成要素，将所述多个关键组成要素添加至一个工单中，生成所述网络访问权限申请信息对应的网络访问权限控制工单；
[0139]将所述网络访问权限控制工单提供至审核终端，获取所述审核终端针对所述网络访问权限控制工单的操作，所述操作包括下列至少一项:展示、查询、允许和/或禁止；
[0140]根据所述审核终端的操作执行网络访问权限的控制。
[0141]A2、根据Al所述的方法，其中，将所述网络访问权限控制工单提供至审核终端，获取所述审核终端针对所述网络访问权限控制工单的操作，包括:
[0142]根据所述审核终端预设的安全策略确定针对所述网络访问权限控制工单的审批结果；
[0143]根据所述审批结果获取针对所述网络访问权限控制工单的操作。
[0144]A3、根据A2所述的方法，其中，根据所述审批结果获取针对所述网络访问权限控制工单的操作，包括:
[0145]若所述网络访问权限控制工单符合所述审核终端预设的安全策略，则所述审核终端针对所述网络访问权限控制工单进行展示、查询、允许操作中的至少一项操作；
[0146]若所述网络访问权限控制工单不符合所述审核终端预设的安全策略，则所述审核终端针对所述网络访问权限控制工单进行展示、查询、禁止操作中的至少一项操作。
[0147]A4、根据A1-A3任一项所述的方法，其中，从申请终端获取企业网络访问权限申请信息之前，还包括:对所述申请终端进行身份认证。
[0148]A5、根据A1-A4任一项所述的方法，其中，还包括:
[0149]若获取到多个申请终端的企业网络访问权限申请信息时，针对所述多个申请终端的企业网络访问权限申请信息生成对应的多个网络访问权限控制工单；以及
[0150]将所述多个网络访问权限控制工单以审批列表的形式在所述企业网络访问控制平台中呈现。
[0151]A6、根据A1-A5任一项所述的方法，其中，还包括:
[0152]若所述网络访问权限控制工单符合所述审核终端预设的安全策略，则由所述企业网络访问控制平台通知相应设备为所述申请终端开启所述企业网络访问权限；
[0153]若所述网络访问权限控制工单不符合所述审核终端预设的安全策略，则将禁止消息提供给所述申请终端。
[0154]A7、根据A6所述的方法，其中，将禁止消息提供给所述申请终端之后，还包括:接收所述申请终端再次发起的、修改后的企业网络访问权限申请信息，并对其进行后续处理。
[0155]AS、根据A7所述的方法，其中，对所述企业网络访问权限申请信息的修改至少包括:
[0156]修改所述企业网络访问权限申请信息中的目的IP地址；
[0157]修改所述企业网络访问权限申请信息中的申请理由；
[0158]修改所述企业网络访问权限申请信息中的目的端口；
[0159]修改所述企业网络访问权限申请信息中的访问权限有效时间。
[0160]A9、根据A1-A8任一项所述的方法，其中，对所述网络访问权限控制工单进行的审批包括至少两层的审批操作。
[0161]A10、根据A1-A9任一项所述的方法，其中，所述方法适用于交换机、路由器以及防火墙间的访问操作。
[0162]基于本发明的另一个方面，还提供了B11、一种企业网络访问权限的控制装置，包括:
[0163]接收模块，适于从申请终端接收企业网络访问权限申请信息，其中，所述访问权限申请信息中包括:发起访问的源IP地址、需要访问的目的IP地址、目的端口、通信协议、访问权限有效时间、申请理由中的一项或多项；
[0164]生成模块，适于根据企业网络访问控制平台的工单内容规则，解析获取所述访问权限申请信息中的多个关键组成要素，将所述多个关键组成要素添加至一个工单中，生成所述网络访问权限申请信息对应的网络访问权限控制工单；
[0165]获取模块，适于将所述网络访问权限控制工单提供至审核终端，获取所述审核终端针对所述网络访问权限控制工单的操作，所述操作包括:展示、查询、允许和/或禁止；
[0166]执行模块，适于根据所述审核终端的操作执行网络访问权限的控制。
[0167]B12、根据Bll所述的装置，其中，所述获取模块还适于:
[0168]根据所述审核终端预设的安全策略确定针对所述网络访问权限控制工单的审批结果；
[0169]根据所述审批结果获取针对所述网络访问权限控制工单的操作。
[0170]B13、根据B12所述的装置，其中，所述获取模块还适于:
[0171]若所述网络访问权限控制工单符合所述审核终端预设的安全策略，则所述审核终端针对所述网络访问权限控制工单进行展示、查询、允许操作中的至少一项操作；
[0172]若所述网络访问权限控制工单不符合所述审核终端预设的安全策略，则所述审核终端针对所述网络访问权限控制工单进行展示、查询、禁止操作中的至少一项操作。
[0173]B14、根据B11-B13任一项所述的装置，其中，还包括:
[0174]认证模块，适于从申请终端获取企业网络访问权限申请信息之前，对所述申请终端进行身份认证。
[0175]B15、根据B11-B14任一项所述的装置，其中，
[0176]所述接收模块，还适于若获取到多个申请终端的企业网络访问权限申请信息时，针对所述多个申请终端的企业网络访问权限申请信息生成对应的多个网络访问权限控制工单；以及
[0177]所述生成模块，还适于将所述多个网络访问权限控制工单以审批列表的形式在所述企业网络访问控制平台中呈现。
[0178]B16、根据B11-B15任一项所述的装置，其中，还包括:
[0179]通知模块，适于若所述网络访问权限控制工单符合所述审核终端预设的安全策略，则由所述企业网络访问控制平台通知相应设备为所述申请终端开启所述企业网络访问权限；
[0180]若所述网络访问权限控制工单不符合所述审核终端预设的安全策略，则将禁止消息提供给所述申请终端。
[0181]B17、根据B16所述的装置，其中，所述接收模块还适于:将禁止消息提供给所述申请终端之后，接收所述申请终端再次发起的、修改后的企业网络访问权限申请信息，并对其进行后续处理。
[0182]B18、根据B17所述的装置，其中，对所述企业网络访问权限申请信息的修改至少包括:
[0183]修改所述企业网络访问权限申请信息中的目的IP地址；
[0184]修改所述企业网络访问权限申请信息中的申请理由；
[0185]修改所述企业网络访问权限申请信息中的目的端口；
[0186]修改所述企业网络访问权限申请信息中的访问权限有效时间。
[0187]B19、根据B11-B18任一项所述的装置，其中，对所述网络访问权限控制工单进行的审批包括至少两层的审批操作。
[0188]B20、根据B11-B19任一项所述的装置，其中，所述装置适用于交换机、路由器以及防火墙间的访问操作。
【主权项】
1.一种企业网络访问权限的控制方法，包括: 从申请终端接收企业网络访问权限申请信息，其中，所述访问权限申请信息中包括:发起访问的源IP地址、需要访问的目的IP地址、目的端口、通信协议、访问权限有效时间、申请理由中的一项或多项； 根据企业网络访问控制平台的工单内容规则，解析所述访问权限申请信息中的多个关键组成要素，将所述多个关键组成要素添加至一个工单中，生成所述网络访问权限申请信息对应的网络访问权限控制工单； 将所述网络访问权限控制工单提供至审核终端，获取所述审核终端针对所述网络访问权限控制工单的操作，所述操作包括下列至少一项:展示、查询、允许和/或禁止； 根据所述审核终端的操作执行网络访问权限的控制。2.根据权利要求1所述的方法，其中，将所述网络访问权限控制工单提供至审核终端，获取所述审核终端针对所述网络访问权限控制工单的操作，包括: 根据所述审核终端预设的安全策略确定针对所述网络访问权限控制工单的审批结果； 根据所述审批结果获取针对所述网络访问权限控制工单的操作。3.根据权利要求2所述的方法，其中，根据所述审批结果获取针对所述网络访问权限控制工单的操作，包括: 若所述网络访问权限控制工单符合所述审核终端预设的安全策略，则所述审核终端针对所述网络访问权限控制工单进行展示、查询、允许操作中的至少一项操作； 若所述网络访问权限控制工单不符合所述审核终端预设的安全策略，则所述审核终端针对所述网络访问权限控制工单进行展示、查询、禁止操作中的至少一项操作。4.根据权利要求1-3任一项所述的方法，其中，从申请终端获取企业网络访问权限申请信息之前，还包括:对所述申请终端进行身份认证。5.根据权利要求1-4任一项所述的方法，其中，还包括: 若获取到多个申请终端的企业网络访问权限申请信息时，针对所述多个申请终端的企业网络访问权限申请信息生成对应的多个网络访问权限控制工单；以及 将所述多个网络访问权限控制工单以审批列表的形式在所述企业网络访问控制平台中呈现。6.根据权利要求1-5任一项所述的方法，其中，还包括: 若所述网络访问权限控制工单符合所述审核终端预设的安全策略，则由所述企业网络访问控制平台通知相应设备为所述申请终端开启所述企业网络访问权限； 若所述网络访问权限控制工单不符合所述审核终端预设的安全策略，则将禁止消息提供给所述申请终端。7.根据权利要求6所述的方法，其中，将禁止消息提供给所述申请终端之后，还包括:接收所述申请终端再次发起的、修改后的企业网络访问权限申请信息，并对其进行后续处理。8.根据权利要求7所述的方法，其中，对所述企业网络访问权限申请信息的修改至少包括: 修改所述企业网络访问权限申请信息中的目的IP地址； 修改所述企业网络访问权限申请信息中的申请理由； 修改所述企业网络访问权限申请信息中的目的端口； 修改所述企业网络访问权限申请信息中的访问权限有效时间。9.根据权利要求1-8任一项所述的方法，其中，对所述网络访问权限控制工单进行的审批包括至少两层的审批操作。10.—种企业网络访问权限的控制装置，包括: 接收模块，适于从申请终端接收企业网络访问权限申请信息，其中，所述访问权限申请信息中包括:发起访问的源IP地址、需要访问的目的IP地址、目的端口、通信协议、访问权限有效时间、申请理由中的一项或多项； 生成模块，适于根据企业网络访问控制平台的工单内容规则，解析获取所述访问权限申请信息中的多个关键组成要素，将所述多个关键组成要素添加至一个工单中，生成所述网络访问权限申请信息对应的网络访问权限控制工单； 获取模块，适于将所述网络访问权限控制工单提供至审核终端，获取所述审核终端针对所述网络访问权限控制工单的操作，所述操作包括:展示、查询、允许和/或禁止； 执行模块，适于根据所述审核终端的操作执行网络访问权限的控制。
【文档编号】H04L29/06GK106060041SQ201610371864
【公开日】2016年10月26日
【申请日】2016年5月30日
【发明人】张睿, 童文, 裴越峰, 江亚辉, 金迪颖, 刘小雄
【申请人】北京琵琶行科技有限公司