一種網(wǎng)絡(luò)安全規(guī)則自動(dòng)化部署方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域����,尤其涉及一種網(wǎng)絡(luò)安全規(guī)則自動(dòng)化部署方法及系統(tǒng)。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)在日常生產(chǎn)及生活中的大量應(yīng)用�����,網(wǎng)絡(luò)安全問題日益凸顯并對網(wǎng)絡(luò)用戶造成很大的困擾���。尤其是在例如工業(yè)控制領(lǐng)域這樣的特殊應(yīng)用領(lǐng)域中,隨著工業(yè)控制自動(dòng)化進(jìn)程的深入����,工業(yè)控制網(wǎng)絡(luò)與外部互聯(lián)網(wǎng)或企業(yè)辦公網(wǎng)絡(luò)的信息交互日趨頻繁,使得工業(yè)控制網(wǎng)絡(luò)不斷面臨著來自外部互聯(lián)網(wǎng)的惡意攻擊和內(nèi)部人員的誤操作等威脅��。因?yàn)樵缙诠た卦O(shè)備使用環(huán)境相對封閉����,所以工業(yè)控制系統(tǒng)在開發(fā)時(shí)往往更重視功能的實(shí)現(xiàn),而缺少對工控網(wǎng)絡(luò)自身安全的關(guān)注,這也導(dǎo)致工業(yè)控制系統(tǒng)中存在不可避免的安全缺陷����。
[0003]分布式的網(wǎng)絡(luò)安全保護(hù)構(gòu)架能夠滿足不同形態(tài)和規(guī)模的工控網(wǎng)絡(luò),同時(shí)也能夠適應(yīng)工控網(wǎng)絡(luò)結(jié)構(gòu)和規(guī)模的變化��,系統(tǒng)的靈活性可以得到充分的體現(xiàn)�。分布式網(wǎng)絡(luò)安全保護(hù)系統(tǒng)在關(guān)鍵位置上設(shè)置安全保護(hù)設(shè)備,從而實(shí)現(xiàn)整個(gè)工控網(wǎng)絡(luò)的安全��。
[0004]在復(fù)雜的網(wǎng)絡(luò)環(huán)境下����,常常需要多個(gè)安全保護(hù)設(shè)備。傳統(tǒng)的安全解決方案常常需要對每個(gè)安全設(shè)備分別設(shè)置安全規(guī)則��。由于沒有考慮到設(shè)備之間的聯(lián)系����,人工部署非常復(fù)雜,并容易產(chǎn)生人為引起的錯(cuò)誤�����。當(dāng)用戶需要改變規(guī)則時(shí)���,由于系統(tǒng)的復(fù)雜性����,很難為每個(gè)保護(hù)設(shè)備及時(shí)的更新準(zhǔn)確的新規(guī)則。
【發(fā)明內(nèi)容】
[0005]為解決上述現(xiàn)有技術(shù)中存在的問題�����,本發(fā)明提出了一種網(wǎng)絡(luò)安全規(guī)則自動(dòng)化部署的方法和系統(tǒng):
[0006]一種網(wǎng)絡(luò)安全規(guī)則自動(dòng)化部署方法����,包括以下步驟:步驟一,基于通信網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)�,分析網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的連通性,確定各個(gè)保護(hù)設(shè)備的監(jiān)控和保護(hù)區(qū)域���;步驟二,分析所述通信系統(tǒng)的整體安全規(guī)則中每個(gè)規(guī)則項(xiàng)與所述保護(hù)設(shè)備之間的匹配關(guān)系�;步驟三,根據(jù)所述整體安全規(guī)則項(xiàng)中的源地址和目標(biāo)地址與通信網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的比較�,自動(dòng)修改規(guī)則項(xiàng),為每個(gè)所述的保護(hù)設(shè)備生成定制化的安全規(guī)則�����;步驟四,將生成的定制化的安全規(guī)則自動(dòng)部署到所述的每個(gè)保護(hù)設(shè)備中��。
[0007]進(jìn)一步地�����,步驟一中使用圖論法對網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的連通性進(jìn)行分析以及確定所述保護(hù)設(shè)備的監(jiān)控和保護(hù)區(qū)域��。
[0008]進(jìn)一步地�����,步驟二中的整體安全規(guī)則為可以保證整個(gè)系統(tǒng)安全工作的安全規(guī)則�����,其由多個(gè)規(guī)則項(xiàng)組成�,每個(gè)規(guī)則項(xiàng)包括源地址、目標(biāo)地址����、規(guī)則內(nèi)容以及應(yīng)對措施。
[0009]進(jìn)一步地����,步驟三中的所述定制化安全規(guī)則為對保護(hù)設(shè)備定制的的安全規(guī)則�。
[0010]進(jìn)一步地��,步驟四中通過設(shè)置保護(hù)設(shè)備配置的方式向所述每個(gè)保護(hù)設(shè)備部署定制化的安全規(guī)則����。
[0011]本發(fā)明還提供一種網(wǎng)絡(luò)安全規(guī)則自動(dòng)化部署系統(tǒng),包括中央管理系統(tǒng)��、保護(hù)設(shè)備���、用戶設(shè)備以及通訊網(wǎng)絡(luò)��,所述中央管理系統(tǒng)與每個(gè)保護(hù)設(shè)備連通���,所述每個(gè)保護(hù)設(shè)備與用戶設(shè)備連通。
[0012]進(jìn)一步地�����,中央管理系統(tǒng)收集用戶整體安全規(guī)則以及為每個(gè)保護(hù)設(shè)備生成定制的安全規(guī)則,并自動(dòng)化部署��。
[0013]進(jìn)一步地����,保護(hù)設(shè)備從所述中央管理系統(tǒng)接收定制化安全規(guī)則作為配置文件,并按照定制化安全規(guī)則的規(guī)則項(xiàng)實(shí)現(xiàn)用戶設(shè)備的數(shù)據(jù)通訊監(jiān)測和/或保護(hù)��。
[0014]進(jìn)一步地�,用戶設(shè)備可以為交換機(jī)、工作站���、服務(wù)器以及可編程邏輯控制器中的一種或幾種���。
[0015]進(jìn)一步地,保護(hù)設(shè)備可以為網(wǎng)關(guān)�����、IDS����、IPS中的一種或幾種。
[0016]本發(fā)明所產(chǎn)生的有益效果在于:
[0017]1.提供了一種為網(wǎng)絡(luò)中的每個(gè)保護(hù)設(shè)備自動(dòng)生成定制化的安全規(guī)則的通用方法�,在部署時(shí)自動(dòng)修改規(guī)則的源地址和目標(biāo)地址以確保生成的定制化安全規(guī)則符合用戶整體規(guī)則并滿足用戶對整體網(wǎng)絡(luò)安全的需要,提高了網(wǎng)絡(luò)通信系統(tǒng)的易用性和可擴(kuò)展性�����;
[0018]2.提供了一種網(wǎng)絡(luò)安全規(guī)則自動(dòng)部署系統(tǒng)��,該系統(tǒng)可以使用上述通用的安全規(guī)則自動(dòng)部署方法,針對每個(gè)安全設(shè)備生成定制化的安全規(guī)則并完成自動(dòng)部署���,極大地提高了安全規(guī)則的部署效率及準(zhǔn)確性��。
【附圖說明】
[0019]圖1為使用本發(fā)明的網(wǎng)絡(luò)安全規(guī)則自動(dòng)部署方法及系統(tǒng)的通信網(wǎng)絡(luò)拓?fù)鋱D�;
[0020]圖2為通信網(wǎng)絡(luò)中保護(hù)設(shè)備A所監(jiān)測和保護(hù)區(qū)域的網(wǎng)絡(luò)拓?fù)鋱D���;
[0021]圖3為通信網(wǎng)絡(luò)中保護(hù)設(shè)備B所監(jiān)測和保護(hù)區(qū)域的網(wǎng)絡(luò)拓?fù)鋱D���;
[0022]圖4為通信網(wǎng)絡(luò)中保護(hù)設(shè)備C所監(jiān)測和保護(hù)區(qū)域的網(wǎng)絡(luò)拓?fù)鋱D;
[0023]圖5為通信網(wǎng)絡(luò)中保護(hù)設(shè)備D所監(jiān)測和保護(hù)區(qū)域的網(wǎng)絡(luò)拓?fù)鋱D��;
[0024]圖6為生成定制化安全規(guī)則并部署的流程圖�����。
[0025]附圖標(biāo)記:1-8用戶設(shè)備
【具體實(shí)施方式】
[0026]以下以工業(yè)控制網(wǎng)絡(luò)安全規(guī)則自動(dòng)部署方法和系統(tǒng)為例對本發(fā)明進(jìn)行詳細(xì)闡述����,應(yīng)當(dāng)注意的是,下列實(shí)施例僅用于對本發(fā)明進(jìn)行說明而非作為對本發(fā)明的限制��。本發(fā)明的網(wǎng)絡(luò)安全規(guī)則自動(dòng)部署方法和系統(tǒng)除了可以應(yīng)用在工業(yè)控制網(wǎng)絡(luò)中���,還可以用于任何其他的分布式網(wǎng)絡(luò)�����。
[0027]如圖1所示的通信網(wǎng)絡(luò)拓?fù)鋱D�,中央管理系統(tǒng)與保護(hù)設(shè)備A-D連通�,保護(hù)設(shè)備A與用戶設(shè)備3、5連通���,其中用戶設(shè)備3與用戶設(shè)備I連通��,保護(hù)設(shè)備B與用戶設(shè)備2��、7�、8連通�����,其中用戶設(shè)備7與用戶設(shè)備6連通���,保護(hù)設(shè)備C與用戶設(shè)備4����、7連通,保護(hù)設(shè)備D與用戶設(shè)備5��、7連通�����。用戶設(shè)備可以為交換機(jī)�����、工作站�、服務(wù)器以及可編程邏輯控制器等,保護(hù)設(shè)備可以為網(wǎng)關(guān)����、IDS、IPS等�����。
[0028]按照圖3所示的步驟��,基于圖1的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)���,利用智能圖論法分析系統(tǒng)的連通性�,確定如圖2-5所示的保護(hù)設(shè)備A-D所監(jiān)測和保護(hù)的區(qū)域,即保護(hù)設(shè)備A-D的負(fù)責(zé)區(qū)域����。其中�,保護(hù)設(shè)備A的負(fù)責(zé)區(qū)域包括用戶設(shè)備1、3�����、5���,保護(hù)設(shè)備B的負(fù)責(zé)區(qū)域包括用戶設(shè)備2��、6���、7、8�����,保護(hù)設(shè)備C的負(fù)責(zé)區(qū)域包括用戶設(shè)備4��、6、7��,保護(hù)設(shè)備D的負(fù)責(zé)區(qū)域包括用戶設(shè)備5�、6、70
[0029]在確定了安全設(shè)備A-D的負(fù)責(zé)區(qū)域之后��,由中央管理系統(tǒng)自動(dòng)分析用戶整體安全規(guī)則中的各個(gè)規(guī)則項(xiàng)與安全設(shè)備A-D之間的匹配關(guān)系��。用戶的整體安全規(guī)則由一系列有序的規(guī)則項(xiàng)組成��,每個(gè)規(guī)則項(xiàng)包括源地址���、目標(biāo)地址���、規(guī)則細(xì)節(jié)以及處理措施。中央管理系統(tǒng)將安全設(shè)備A-D各自負(fù)責(zé)的區(qū)域規(guī)則項(xiàng)的源地址以及目標(biāo)地