本发明涉及电网技术领域,特别涉及一种电力信息内网络边界策略健壮性自动化分析方法。
背景技术:
电网作为我国关键基础设施,其安全性是影响国家经济社会发展的全局性、战略性问题之一,电网信息安全成为国家安全的重要组成部分。因此,深入研究内网信息安全问题、制定和实施信息安全战略、建立全方位动态、纵深防御的内网安全保障体系,严守网络安全红线、底线和网络安全责任,已成为当前信息安全的重要内容。
当前边界安全设备品牌范围较广且数量较多,因此存在以下问题:1、造成设备管理差异化,加大了管理难度,无法为运维工作减负;2、各安全域边界防火墙的安全策略一直在做“加法”,无法判断当前策略的有效性及冗余性;3、缺乏能够支持定时自动获取、安全策略一键下发的防火墙管控平台工具;4、目前针对防火墙安全策略采用人工管理的模式,不能满足网公司对网络边界策略规范性提出的高标准要求;5、公司业务大集中后,网络权限变更频繁、纸质资料管理难、网络权限管理流程未完善的问题日益暴露,急需提出一种提出电力信息内网络边界策略健壮性自动化分析方法。
技术实现要素:
针对现有技术的不足,为实现保证实现对边界防火墙安全策略的命中频次分析和统计,为调整优化内网安全防护列表提供数据支撑,本发明提出了对内网安全域网络边界策略健壮性分析的自动化实现思路,实现对边界防火墙安全策略的命中频次分析和统计,为调整内网安全防护列表提供数据支撑,快速指导网络管理人员完成对安全防护策略的优化,集合网络流量,实现防火墙策略命中频次分析、防火墙潜在冲突策略分析等工作目的。
本发明的第一方面的目的是通过以下技术方案实现的:
该种电力信息内网络边界策略健壮性自动化分析方法,包括以下步骤:
s1、利用采集层完成信息采集对象处理,信息采集对象包括交换机和防火墙;
s2、然后处理层经专用分析引擎进行分析处理,依次经安全策略收集模块、安全策略处理的操作,且同时经过流数据解析、防火墙配置解析、互联关系梳理和威胁碰撞完成对信息的处理;
s3、再次利用储存层经过配置文件存储、流量数据存储、梳理结果存储和威胁告警存储依次对信息进行存储处理;
s4、最后经过展示层将信息展示处理在流量互联展示、配置对比展示、流量告警、状态监控展示、工单管理和结果报表导出。
特别地,所述采集层包括有镜像数据采集、xflow数据采集和防火墙配置采集,且采集层是通过分部式部署各类采集器,将边界网络中的流量数据、五大类防火墙的策略数据进行采集。
特别地,所述处理层是对采集的数据进行解析、梳理、分析碰撞。
特别地,所述存储层是将系统运行产生的各类数据,包括系统日志、采集的流量数据、策略数据,各类分析的结果数据以大数据主题库的形式进行存储,作为业务处理层进行业务处理和门户展示层进行展示的数据来源。
特别地,所述展示层中通过流量互联展示模块、配置对比展示模块、流量告警模块、状态监控展示模块、工单管理模块和结构报表导出模块进行处理,且展示层是以可视化的方式为用户提供方便友好的人机交互界面,让数据以更直观的方式呈现在用户面前。
特别地,所述采集层中策略采集模块则过通ssh采集,设置定期任务将xx区域网络中的防火墙的安全策略自动采集到平台。
特别地,所述处理层中策略配置模块是平台根据策略分析的结果,进行一键生成策略调整的配置命令的模块。
特别地,所述处理层中策略分析模块是将策略采集模块采集到平台的策略,流量采集监控模块采集到的流量、流量分析模块分析的数据流进行深层次分析。
本发明的第二方面的目的是提供一种计算机装置,包括存储器、处理器及储存在存储器上并能够在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如前所述的方法。
本发明的第三方面的目的是提供一种计算机可读存储介质,其上储存有计算机程序,所述计算机程序被处理器执行时实现如前所述的方法。
与现有技术相比,本发明具备以下有益效果:
1、该电力信息内网络边界策略健壮性自动化分析方法,通过处理层经专用分析引擎进行分析处理,依次经安全策略收集模块、安全策略处理的操作,且同时经过流数据解析、防火墙配置解析、互联关系梳理和威胁碰撞完成对信息的处理,收集现有防火墙不同的策略格式,提取对应防火墙特征,建立与防火墙策略特征相符的一对一规则,实现机器自动化对防火墙安全策略的审计工作,将已有防火墙策略是否存在配置过粗的策略、配置无效的策略、顺序不当的策略一一梳理,并给出基于真实网络互连数据的正确策略建议,从而与内网安全域实时流量进行结合,保证实现对边界防火墙安全策略的命中频次分析和统计,为调整优化内网安全防护列表提供数据支撑,提出了对内网安全域网络边界策略健壮性分析的自动化实现思路,实现对边界防火墙安全策略的命中频次分析和统计,为调整内网安全防护列表提供数据支撑。
2、该电力信息内网络边界策略健壮性自动化分析方法,通过对不同防火墙安全策略格式的学习,实现机器自动化分析现有防火墙安全策略健壮性。对已有安全策略中的冗余策略、重复策略、宽松策略、冲突策略进行归类,快速指导网络管理人员完成对安全防护策略的优化,集合网络流量,实现防火墙策略命中频次分析、防火墙潜在冲突策略分析等工作。
2、该电力信息内网络边界策略健壮性自动化分析方法,通过提升内网网络权限集中管控工作,实现对现有网络权限管理方式的提升,规范现有网络安全管理流程,提升网络权限管理水平,实现无纸化网络权限管理工作,通过统一的防火墙策略管控平台实现对网络权限管理工作的可追溯性和便捷性。
附图说明
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步的详细描述,其中:
图1为本发明总体框架结构示意图;
图2为本发明系统功能框架结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图所示,本发明的一种电力信息内网络边界策略健壮性自动化分析方法,包括以下步骤:
s1、利用采集层完成信息采集对象处理,信息采集对象包括交换机和防火墙;
s2、然后处理层经专用分析引擎进行分析处理,依次经安全策略收集模块、安全策略处理的操作,且同时经过流数据解析、防火墙配置解析、互联关系梳理和威胁碰撞完成对信息的处理;
s3、再次利用储存层经过配置文件存储、流量数据存储、梳理结果存储和威胁告警存储依次对信息进行存储处理;
s4、最后经过展示层将信息展示处理在流量互联展示、配置对比展示、流量告警、状态监控展示、工单管理和结果报表导出。
该种电力信息内网络边界策略健壮性自动化分析方法,保证实现对边界防火墙安全策略的命中频次分析和统计,为调整优化内网安全防护列表提供数据支撑,提出了对内网安全域网络边界策略健壮性分析的自动化实现思路,实现对边界防火墙安全策略的命中频次分析和统计,为调整内网安全防护列表提供数据支撑,快速指导网络管理人员完成对安全防护策略的优化,集合网络流量,实现防火墙策略命中频次分析、防火墙潜在冲突策略分析等工作。
采集层包括有镜像数据采集、xflow数据采集和防火墙配置采集,且采集层是通过分部式部署各类采集器,将边界网络中的流量数据、五大类防火墙的策略数据进行采集;处理层是对采集的数据进行解析、梳理、分析碰撞,形成有价植的分析结果;存储层是将系统运行产生的各类数据,包括系统日志、采集的流量数据、策略数据,各类分析的结果数据以大数据主题库的形式进行存储,作为业务处理层进行业务处理和门户展示层进行展示的数据来源;展示层中通过流量互联展示模块、配置对比展示模块、流量告警模块、状态监控展示模块、工单管理模块和结构报表导出模块进行处理,且展示层是以可视化的方式为用户提供方便友好的人机交互界面,让数据以更直观的方式呈现在用户面前;采集层中策略采集模块则过通ssh采集,设置定期任务将xx区域网络中的防火墙的安全策略自动采集到平台;处理层中策略配置模块是平台根据策略分析的结果,进行一键生成策略调整的配置命令的模块;处理层中策略分析模块是将策略采集模块采集到平台的策略,流量采集监控模块采集到的流量、流量分析模块分析的数据流进行深层次分析。
综上所述,防火墙策略分析主要是基于防火墙的真实流量和导入的防火墙策略配置,根据算法对各类防火墙策略问题进行分析。分析的问题包括冗余策略、冲突策略、宽泛策略、可合并策略、不活跃策略等。其中,冗余策略是指一条策略(通过五元组)描述的流量完全包含了另一条策略描述的流量,并且处理动作相同,则被包含的那条策略成为冗余策略;冲突策略是指一条策略描述的流量与另一条策略描述的流量有交集,但处理动作相反,则两条策略发生冲突。两条策略发生冲突时,其中一条策略会完全或部分失效;宽泛策略是指与实际命中该策略的流量相比,策略的地址、服务等要素配置的范围太大。any地址或any服务策略就是这类策略的典型代表。宽泛策略违背“安全最小化”原则,应当细化;可合并策略是指可以做“多合一”处理的策略。冗余、冲突、交叉、可合并策略越多防火墙性能下降越明显,会导致信息系统响应变慢。冲突策略更会导致策略管理风险的加大。不必要的宽泛策略会埋下安全隐患。
审核算法主要是将防火墙策略抽象层数学关系,通过分析ip地址、端口、服务的是否存交集来分析策略之间存在的关系。对于宽泛策略,则是根据流量和策略的关系来分析。
本发明提供的一种电力信息内网络边界策略健壮性自动化分析方法,解决了以下四点问题1、造成设备管理差异化,加大了管理难度,无法为运维工作减负;2、各安全域边界防火墙的安全策略一直在做“加法”,无法判断当前策略的有效性及冗余性;3、缺乏能够支持定时自动获取、安全策略一键下发的防火墙管控平台工具;4、目前针对防火墙安全策略采用人工管理的模式,不能满足网公司对网络边界策略规范性提出的高标准要求;5、公司业务大集中后,网络权限变更频繁、纸质资料管理难、网络权限管理流程未完善的问题日益暴露的问题。
应当认识到,本发明的实施例可以由计算机硬件、硬件和软件的组合、或者通过存储在非暂时性计算机可读存储器中的计算机指令来实现或实施。所述方法可以使用标准编程技术-包括配置有计算机程序的非暂时性计算机可读存储介质在计算机程序中实现,其中如此配置的存储介质使得计算机以特定和预定义的方式操作——根据在具体实施例中描述的方法和附图。每个程序可以以高级过程或面向对象的编程语言来实现以与计算机系统通信。然而,若需要,该程序可以以汇编或机器语言实现。在任何情况下,该语言可以是编译或解释的语言。此外,为此目的该程序能够在编程的专用集成电路上运行。
此外,可按任何合适的顺序来执行本文描述的过程的操作,除非本文另外指示或以其他方式明显地与上下文矛盾。本文描述的过程(或变型和/或其组合)可在配置有可执行指令的一个或多个计算机系统的控制下执行,并且可作为共同地在一个或多个处理器上执行的代码(例如,可执行指令、一个或多个计算机程序或一个或多个应用)、由硬件或其组合来实现。所述计算机程序包括可由一个或多个处理器执行的多个指令。
进一步,所述方法可以在可操作地连接至合适的任何类型的计算平台中实现,包括但不限于个人电脑、迷你计算机、主框架、工作站、网络或分布式计算环境、单独的或集成的计算机平台、或者与带电粒子工具或其它成像装置通信等等。本发明的各方面可以以存储在非暂时性存储介质或设备上的机器可读代码来实现,无论是可移动的还是集成至计算平台,如硬盘、光学读取和/或写入存储介质、ram、rom等,使得其可由可编程计算机读取,当存储介质或设备由计算机读取时可用于配置和操作计算机以执行在此所描述的过程。此外,机器可读代码,或其部分可以通过有线或无线网络传输。当此类媒体包括结合微处理器或其他数据处理器实现上文所述步骤的指令或程序时,本文所述的发明包括这些和其他不同类型的非暂时性计算机可读存储介质。当根据本发明所述的方法和技术编程时,本发明还包括计算机本身。
计算机程序能够应用于输入数据以执行本文所述的功能,从而转换输入数据以生成存储至非易失性存储器的输出数据。输出信息还可以应用于一个或多个输出设备如显示器。在本发明优选的实施例中,转换的数据表示物理和有形的对象,包括显示器上产生的物理和有形对象的特定视觉描绘。
最后说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本技术方案的宗旨和范围,其均应涵盖在本发明的权利要求范围当中。
1.一种电力信息内网络边界策略健壮性自动化分析方法,其特征在于:所述方法包括以下步骤:
s1、利用采集层完成信息采集对象处理,信息采集对象包括交换机和防火墙;
s2、然后处理层经专用分析引擎进行分析处理,依次经安全策略收集模块、安全策略处理的操作,且同时经过流数据解析、防火墙配置解析、互联关系梳理和威胁碰撞完成对信息的处理;
s3、再次利用储存层经过配置文件存储、流量数据存储、梳理结果存储和威胁告警存储依次对信息进行存储处理;
s4、最后经过展示层将信息展示处理在流量互联展示、配置对比展示、流量告警、状态监控展示、工单管理和结果报表导出。
2.根据权利要求1所述的一种电力信息内网络边界策略健壮性自动化分析方法,其特征在于:所述采集层包括有镜像数据采集、xflow数据采集和防火墙配置采集,且采集层是通过分部式部署各类采集器,将边界网络中的流量数据、五大类防火墙的策略数据进行采集。
3.根据权利要求1所述的一种电力信息内网络边界策略健壮性自动化分析方法,其特征在于:所述处理层是对采集的数据进行解析、梳理、分析碰撞。
4.根据权利要求1所述的一种电力信息内网络边界策略健壮性自动化分析方法,其特征在于:所述存储层是将系统运行产生的各类数据,包括系统日志、采集的流量数据、策略数据,各类分析的结果数据以大数据主题库的形式进行存储,作为业务处理层进行业务处理和门户展示层进行展示的数据来源。
5.根据权利要求1所述的一种电力信息内网络边界策略健壮性自动化分析方法,其特征在于:所述展示层中通过流量互联展示模块、配置对比展示模块、流量告警模块、状态监控展示模块、工单管理模块和结构报表导出模块进行处理,且展示层是以可视化的方式为用户提供方便友好的人机交互界面,让数据以更直观的方式呈现在用户面前。
6.根据权利要求1所述的一种电力信息内网络边界策略健壮性自动化分析方法,其特征在于:所述采集层中策略采集模块则过通ssh采集,设置定期任务将xx区域网络中的防火墙的安全策略自动采集到平台。
7.根据权利要求1所述的一种电力信息内网络边界策略健壮性自动化分析方法,其特征在于:所述处理层中策略配置模块是平台根据策略分析的结果,进行一键生成策略调整的配置命令的模块。
8.根据权利要求1所述的一种电力信息内网络边界策略健壮性自动化分析方法,其特征在于:所述处理层中策略分析模块是将策略采集模块采集到平台的策略,流量采集监控模块采集到的流量、流量分析模块分析的数据流进行深层次分析。
9.一种计算机装置,包括存储器、处理器及储存在存储器上并能够在处理器上运行的计算机程序,其特征在于:所述处理器执行所述计算机程序时实现如权利要求1-5任一项所述的方法。
10.一种计算机可读存储介质,其上储存有计算机程序,其特征在于:所述计算机程序被处理器执行时实现如权利要求1-5任一项所述的方法。
技术总结