本發(fā)明涉及信息，尤其涉及一種防火墻受攻擊面梳理與安全加固方法。

背景技術(shù)：

1、隨著企業(yè)加速數(shù)字化轉(zhuǎn)型,傳統(tǒng)的網(wǎng)絡(luò)邊界被打破,原有的防火墻部署和策略難以滿足混合業(yè)務(wù)模式下的安全需求。在企業(yè)采用創(chuàng)新的混合業(yè)務(wù)模式時(shí),傳統(tǒng)的業(yè)務(wù)線劃分變得模糊,導(dǎo)致安全策略難以界定和執(zhí)行。這種情況下,構(gòu)建一個(gè)靈活的安全策略框架面臨著諸多技術(shù)挑戰(zhàn)。首先,不同業(yè)務(wù)場(chǎng)景下的安全需求差異很大,比如線上業(yè)務(wù)注重?cái)?shù)據(jù)安全和隱私保護(hù),而線下業(yè)務(wù)更關(guān)注物理安全和訪問(wèn)控制。其次,混合業(yè)務(wù)模式下,各個(gè)業(yè)務(wù)環(huán)節(jié)緊密關(guān)聯(lián),安全問(wèn)題可能在不同業(yè)務(wù)場(chǎng)景間傳播和演化,導(dǎo)致安全風(fēng)險(xiǎn)評(píng)估和防控更加復(fù)雜。再者,業(yè)務(wù)創(chuàng)新帶來(lái)的不確定性,使得原有的安全策略和技術(shù)手段可能無(wú)法完全適用,需要不斷更新和優(yōu)化。同時(shí),虛擬化、云計(jì)算等新技術(shù)環(huán)境也給防火墻的部署和配置帶來(lái)了更多復(fù)雜性。最后,在實(shí)現(xiàn)跨場(chǎng)景的無(wú)縫安全管控時(shí),還需要考慮不同業(yè)務(wù)系統(tǒng)和安全機(jī)制的兼容性和互操作性問(wèn)題,避免出現(xiàn)管理盲區(qū)和防護(hù)空白?？傊?構(gòu)建適應(yīng)混合業(yè)務(wù)模式的安全策略框架,需要在深入理解業(yè)務(wù)場(chǎng)景和安全需求的基礎(chǔ)上,綜合運(yùn)用多種技術(shù)手段,提供一套靈活、智能、可擴(kuò)展的解決方案,切實(shí)平衡好安全性、可用性和成本效益。企業(yè)需要重新審視傳統(tǒng)的防火墻部署策略,升級(jí)改造現(xiàn)有的安全架構(gòu),建立一套全方位、動(dòng)態(tài)適配的安全防護(hù)體系,為混合業(yè)務(wù)模式保駕護(hù)航。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明提供了一種防火墻受攻擊面梳理與安全加固方法，主要包括：

2、步驟一、根據(jù)企業(yè)線上線下融合的業(yè)務(wù)流程，獲取用戶在不同場(chǎng)景下的身份信息、行為數(shù)據(jù)和業(yè)務(wù)操作日志，以及防火墻的網(wǎng)絡(luò)流量數(shù)據(jù)，對(duì)多源異構(gòu)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，構(gòu)建用戶畫像知識(shí)圖譜，刻畫用戶和網(wǎng)絡(luò)的行為模式和業(yè)務(wù)語(yǔ)義，生成多維度用戶身份認(rèn)證策略并通過(guò)防火墻策略規(guī)則實(shí)施，對(duì)跨場(chǎng)景的身份統(tǒng)一管理；

3、步驟二、根據(jù)步驟一構(gòu)建的用戶畫像知識(shí)圖譜，獲取混合業(yè)務(wù)場(chǎng)景下的環(huán)境感知數(shù)據(jù)，環(huán)境感知數(shù)據(jù)包括用戶地理位置、網(wǎng)絡(luò)狀態(tài)、設(shè)備指紋，對(duì)訪問(wèn)環(huán)境進(jìn)行畫像，刻畫不同環(huán)境的風(fēng)險(xiǎn)等級(jí)，根據(jù)環(huán)境風(fēng)險(xiǎn)動(dòng)態(tài)調(diào)整認(rèn)證強(qiáng)度和權(quán)限粒度，生成與環(huán)境相適應(yīng)的安全訪問(wèn)策略，將環(huán)境感知信息納入用戶行為審計(jì)日志中；

4、步驟三、面向供應(yīng)鏈上下游業(yè)務(wù)協(xié)同場(chǎng)景，采用聯(lián)邦學(xué)習(xí)技術(shù)，在混合業(yè)務(wù)主體間以隱私保護(hù)的方式共享步驟一和步驟二生成的用戶身份、行為和交易數(shù)據(jù)，聯(lián)合構(gòu)建跨主體的身份認(rèn)證和行為分析模型，識(shí)別供應(yīng)鏈中的異常行為和風(fēng)險(xiǎn)事件；

5、步驟四、在步驟三識(shí)別的供應(yīng)鏈中數(shù)據(jù)流動(dòng)的各個(gè)環(huán)節(jié)，對(duì)敏感數(shù)據(jù)進(jìn)行保護(hù)，并在數(shù)據(jù)流動(dòng)鏈路上部署數(shù)據(jù)防泄漏網(wǎng)關(guān)，采用內(nèi)容感知的深度包檢測(cè)，實(shí)現(xiàn)對(duì)數(shù)據(jù)流動(dòng)行為的可視化呈現(xiàn)和安全審計(jì)，對(duì)異常數(shù)據(jù)流動(dòng)進(jìn)行阻斷和告警；

6、步驟五、構(gòu)建安全策略配置知識(shí)庫(kù)，將業(yè)務(wù)描述映射為安全策略組件，采用基于規(guī)則和深度學(xué)習(xí)相結(jié)合的策略生成引擎，自動(dòng)生成與業(yè)務(wù)語(yǔ)義相匹配的細(xì)粒度安全策略，并借助步驟一構(gòu)建的知識(shí)圖譜推理，實(shí)現(xiàn)跨場(chǎng)景的策略沖突檢測(cè)和糾正；

7、步驟六、融合步驟一至步驟五產(chǎn)生的多維度風(fēng)險(xiǎn)數(shù)據(jù)，包括用戶異常行為、環(huán)境突變事件、產(chǎn)品安全事故、數(shù)據(jù)泄露事件以及防火墻安全事件和告警數(shù)據(jù)，將各類風(fēng)險(xiǎn)數(shù)據(jù)映射到統(tǒng)一的特征空間，運(yùn)用孿生神經(jīng)網(wǎng)絡(luò)實(shí)現(xiàn)跨場(chǎng)景的風(fēng)險(xiǎn)因素關(guān)聯(lián)分析，對(duì)業(yè)務(wù)面臨的安全風(fēng)險(xiǎn)進(jìn)行量化評(píng)估，生成可解釋的業(yè)務(wù)安全態(tài)勢(shì)分析報(bào)告；

8、步驟七、針對(duì)步驟六識(shí)別出的風(fēng)險(xiǎn)因素，采用自適應(yīng)博弈論和強(qiáng)化學(xué)習(xí)，自主決策最優(yōu)的防御策略組合，協(xié)同部署安全防御措施，安全防御措施包括身份認(rèn)證、訪問(wèn)控制、數(shù)據(jù)保護(hù)、行為審計(jì)的，通過(guò)對(duì)抗樣本生成持續(xù)優(yōu)化防御模型，提升系統(tǒng)面對(duì)未知風(fēng)險(xiǎn)的自適應(yīng)防御能力。

9、本發(fā)明實(shí)施例提供的技術(shù)方案可以包括以下有益效果：

10、本發(fā)明公開了一種防火墻受攻擊面梳理與安全加固方法。本發(fā)明首先構(gòu)建用戶畫像知識(shí)圖譜，實(shí)現(xiàn)跨場(chǎng)景的身份統(tǒng)一管理。然后獲取環(huán)境感知數(shù)據(jù)，動(dòng)態(tài)調(diào)整認(rèn)證策略。針對(duì)供應(yīng)鏈協(xié)同場(chǎng)景，采用聯(lián)邦學(xué)習(xí)技術(shù)在多方間安全共享數(shù)據(jù)，構(gòu)建跨主體的身份認(rèn)證和行為分析模型。在數(shù)據(jù)流動(dòng)鏈路上部署防泄漏網(wǎng)關(guān)，實(shí)現(xiàn)可視化呈現(xiàn)和安全審計(jì)。本發(fā)明還構(gòu)建安全策略配置知識(shí)庫(kù)，自動(dòng)生成與業(yè)務(wù)語(yǔ)義匹配的細(xì)粒度安全策略。融合多維度風(fēng)險(xiǎn)數(shù)據(jù)，運(yùn)用孿生神經(jīng)網(wǎng)絡(luò)實(shí)現(xiàn)跨場(chǎng)景風(fēng)險(xiǎn)關(guān)聯(lián)分析，生成可解釋的安全態(tài)勢(shì)報(bào)告。最后采用自適應(yīng)博弈論和強(qiáng)化學(xué)習(xí)，自主決策最優(yōu)防御策略組合，協(xié)同部署安全防御措施。本發(fā)明通過(guò)多維度數(shù)據(jù)融合和智能分析，實(shí)現(xiàn)了供應(yīng)鏈協(xié)同場(chǎng)景下的自適應(yīng)安全防護(hù)，有效提升了系統(tǒng)應(yīng)對(duì)未知風(fēng)險(xiǎn)的防御能力。

技術(shù)特征：

1.一種防火墻受攻擊面梳理與安全加固方法，其特征在于，所述方法包括：

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述步驟一、根據(jù)企業(yè)線上線下融合的業(yè)務(wù)流程，獲取用戶在不同場(chǎng)景下的身份信息、行為數(shù)據(jù)和業(yè)務(wù)操作日志，以及防火墻的網(wǎng)絡(luò)流量數(shù)據(jù)，對(duì)多源異構(gòu)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，構(gòu)建用戶畫像知識(shí)圖譜，刻畫用戶和網(wǎng)絡(luò)的行為模式和業(yè)務(wù)語(yǔ)義，生成多維度用戶身份認(rèn)證策略并通過(guò)防火墻策略規(guī)則實(shí)施，對(duì)跨場(chǎng)景的身份統(tǒng)一管理，包括:

3.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述步驟二、根據(jù)步驟一構(gòu)建的用戶畫像知識(shí)圖譜，獲取混合業(yè)務(wù)場(chǎng)景下的環(huán)境感知數(shù)據(jù)，環(huán)境感知數(shù)據(jù)包括用戶地理位置、網(wǎng)絡(luò)狀態(tài)、設(shè)備指紋，對(duì)訪問(wèn)環(huán)境進(jìn)行畫像，刻畫不同環(huán)境的風(fēng)險(xiǎn)等級(jí)，根據(jù)環(huán)境風(fēng)險(xiǎn)動(dòng)態(tài)調(diào)整認(rèn)證強(qiáng)度和權(quán)限粒度，生成與環(huán)境相適應(yīng)的安全訪問(wèn)策略，將環(huán)境感知信息納入用戶行為審計(jì)日志中，包括:

4.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述步驟三、面向供應(yīng)鏈上下游業(yè)務(wù)協(xié)同場(chǎng)景，采用聯(lián)邦學(xué)習(xí)技術(shù)，在混合業(yè)務(wù)主體間以隱私保護(hù)的方式共享步驟一和步驟二生成的用戶身份、行為和交易數(shù)據(jù)，聯(lián)合構(gòu)建跨主體的身份認(rèn)證和行為分析模型，識(shí)別供應(yīng)鏈中的異常行為和風(fēng)險(xiǎn)事件，包括:

5.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述步驟四、在步驟三識(shí)別的供應(yīng)鏈中數(shù)據(jù)流動(dòng)的各個(gè)環(huán)節(jié)，對(duì)敏感數(shù)據(jù)進(jìn)行保護(hù)，并在數(shù)據(jù)流動(dòng)鏈路上部署數(shù)據(jù)防泄漏網(wǎng)關(guān)，采用內(nèi)容感知的深度包檢測(cè)，實(shí)現(xiàn)對(duì)數(shù)據(jù)流動(dòng)行為的可視化呈現(xiàn)和安全審計(jì)，對(duì)異常數(shù)據(jù)流動(dòng)進(jìn)行阻斷和告警，包括:

6.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述步驟五、構(gòu)建安全策略配置知識(shí)庫(kù)，將業(yè)務(wù)描述映射為安全策略組件，采用基于規(guī)則和深度學(xué)習(xí)相結(jié)合的策略生成引擎，自動(dòng)生成與業(yè)務(wù)語(yǔ)義相匹配的細(xì)粒度安全策略，并借助步驟一構(gòu)建的知識(shí)圖譜推理，實(shí)現(xiàn)跨場(chǎng)景的策略沖突檢測(cè)和糾正，包括:

7.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述步驟六、融合步驟一至步驟五產(chǎn)生的多維度風(fēng)險(xiǎn)數(shù)據(jù)，包括用戶異常行為、環(huán)境突變事件、產(chǎn)品安全事故、數(shù)據(jù)泄露事件以及防火墻安全事件和告警數(shù)據(jù)，將各類風(fēng)險(xiǎn)數(shù)據(jù)映射到統(tǒng)一的特征空間，運(yùn)用孿生神經(jīng)網(wǎng)絡(luò)實(shí)現(xiàn)跨場(chǎng)景的風(fēng)險(xiǎn)因素關(guān)聯(lián)分析，對(duì)業(yè)務(wù)面臨的安全風(fēng)險(xiǎn)進(jìn)行量化評(píng)估，生成可解釋的業(yè)務(wù)安全態(tài)勢(shì)分析報(bào)告，包括:

8.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述步驟七、針對(duì)步驟六識(shí)別出的風(fēng)險(xiǎn)因素，采用自適應(yīng)博弈論和強(qiáng)化學(xué)習(xí)，自主決策最優(yōu)的防御策略組合，協(xié)同部署安全防御措施，安全防御措施包括身份認(rèn)證、訪問(wèn)控制、數(shù)據(jù)保護(hù)、行為審計(jì)的，通過(guò)對(duì)抗樣本生成持續(xù)優(yōu)化防御模型，提升系統(tǒng)面對(duì)未知風(fēng)險(xiǎn)的自適應(yīng)防御能力，包括:

技術(shù)總結(jié)
本申請(qǐng)?zhí)峁┮环N防火墻受攻擊面梳理與安全加固方法，包括：在識(shí)別的供應(yīng)鏈中數(shù)據(jù)流動(dòng)的各個(gè)環(huán)節(jié)，對(duì)敏感數(shù)據(jù)進(jìn)行保護(hù)，并在數(shù)據(jù)流動(dòng)鏈路上部署數(shù)據(jù)防泄漏網(wǎng)關(guān)，采用內(nèi)容感知的深度包檢測(cè)，實(shí)現(xiàn)對(duì)數(shù)據(jù)流動(dòng)行為的可視化呈現(xiàn)和安全審計(jì)，對(duì)異常數(shù)據(jù)流動(dòng)進(jìn)行阻斷和告警；構(gòu)建安全策略配置知識(shí)庫(kù)，將業(yè)務(wù)描述映射為安全策略組件，采用基于規(guī)則和深度學(xué)習(xí)相結(jié)合的策略生成引擎，自動(dòng)生成與業(yè)務(wù)語(yǔ)義相匹配的細(xì)粒度安全策略，并借助構(gòu)建的知識(shí)圖譜推理，實(shí)現(xiàn)跨場(chǎng)景的策略沖突檢測(cè)和糾正。

技術(shù)研發(fā)人員：張顯珠,方雄盛,鄧濤
受保護(hù)的技術(shù)使用者：珠海晞曼科技有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/9