本发明专利技术公开了一种网络安全规则自动化部署方法及系统,其基于用户通信系统的网络拓扑结构,利用图论技术,确定保护设备监控和保护的区域,并由此分析通信系统的整体安全规则中每个规则项与保护设备之间的匹配关系,根据所述整体安全规则项中的源地址和目标地址与通信网络拓扑结构的比较,自动修改规则项,为每个保护设备生成定制化的安全规则并利用中央管理系统将定制化的安全规则部署到每个保护设备中。
【技术实现步骤摘要】
本专利技术涉及网络安全领域,尤其涉及一种网络安全规则自动化部署方法及系统。
技术介绍
随着网络在日常生产及生活中的大量应用,网络安全问题日益凸显并对网络用户造成很大的困扰。尤其是在例如工业控制领域这样的特殊应用领域中,随着工业控制自动化进程的深入,工业控制网络与外部互联网或企业办公网络的信息交互日趋频繁,使得工业控制网络不断面临着来自外部互联网的恶意攻击和内部人员的误操作等威胁。因为早期工控设备使用环境相对封闭,所以工业控制系统在开发时往往更重视功能的实现,而缺少对工控网络自身安全的关注,这也导致工业控制系统中存在不可避免的安全缺陷。分布式的网络安全保护构架能够满足不同形态和规模的工控网络,同时也能够适应工控网络结构和规模的变化,系统的灵活性可以得到充分的体现。分布式网络安全保护系统在关键位置上设置安全保护设备,从而实现整个工控网络的安全。在复杂的网络环境下,常常需要多个安全保护设备。传统的安全解决方案常常需要对每个安全设备分别设置安全规则。由于没有考虑到设备之间的联系,人工部署非常复杂,并容易产生人为引起的错误。当用户需要改变规则时,由于系统的复杂性,很难为每个保护设备及时的更新准确的新规则。
技术实现思路
为解决上述现有技术中存在的问题,本专利技术提出了一种网络安全规则自动化部署的方法和系统:一种网络安全规则自动化部署方法,包括以下步骤:步骤一,基于通信网络系统的网络拓扑结构,分析网络拓扑结构的连通性,确定各个保护设备的监控和保护区域;步骤二,分析所述通信系统的整体安全规则中每个规则项与所述保护设备之间的匹配关系;步骤三,根据所述整体安全规则项中的源地址和目标地址与通信网络拓扑结构的比较,自动修改规则项,为每个所述的保护设备生成定制化的安全规则;步骤四,将生成的定制化的安全规则自动部署到所述的每个保护设备中。进一步地,步骤一中使用图论法对网络拓扑结构的连通性进行分析以及确定所述保护设备的监控和保护区域。进一步地,步骤二中的整体安全规则为可以保证整个系统安全工作的安全规则,其由多个规则项组成,每个规则项包括源地址、目标地址、规则内容以及应对措施。进一步地,步骤三中的所述定制化安全规则为对保护设备定制的的安全规则。进一步地,步骤四中通过设置保护设备配置的方式向所述每个保护设备部署定制化的安全规则。本专利技术还提供一种网络安全规则自动化部署系统,包括中央管理系统、保护设备、用户设备以及通讯网络,所述中央管理系统与每个保护设备连通,所述每个保护设备与用户设备连通。进一步地,中央管理系统收集用户整体安全规则以及为每个保护设备生成定制的安全规则,并自动化部署。进一步地,保护设备从所述中央管理系统接收定制化安全规则作为配置文件,并按照定制化安全规则的规则项实现用户设备的数据通讯监测和/或保护。进一步地,用户设备可以为交换机、工作站、服务器以及可编程逻辑控制器中的一种或几种。进一步地,保护设备可以为网关、IDS、IPS中的一种或几种。本专利技术所产生的有益效果在于:1.提供了一种为网络中的每个保护设备自动生成定制化的安全规则的通用方法,在部署时自动修改规则的源地址和目标地址以确保生成的定制化安全规则符合用户整体规则并满足用户对整体网络安全的需要,提高了网络通信系统的易用性和可扩展性;2.提供了一种网络安全规则自动部署系统,该系统可以使用上述通用的安全规则自动部署方法,针对每个安全设备生成定制化的安全规则并完成自动部署,极大地提高了安全规则的部署效率及准确性。【附图说明】图1为使用本专利技术的网络安全规则自动部署方法及系统的通信网络拓扑图;图2为通信网络中保护设备A所监测和保护区域的网络拓扑图;图3为通信网络中保护设备B所监测和保护区域的网络拓扑图;图4为通信网络中保护设备C所监测和保护区域的网络拓扑图;图5为通信网络中保护设备D所监测和保护区域的网络拓扑图;图6为生成定制化安全规则并部署的流程图。附图标记:1-8用户设备【具体实施方式】以下以工业控制网络安全规则自动部署方法和系统为例对本专利技术进行详细阐述,应当注意的是,下列实施例仅用于对本专利技术进行说明而非作为对本专利技术的限制。本专利技术的网络安全规则自动部署方法和系统除了可以应用在工业控制网络中,还可以用于任何其他的分布式网络。如图1所示的通信网络拓扑图,中央管理系统与保护设备A-D连通,保护设备A与用户设备3、5连通,其中用户设备3与用户设备I连通,保护设备B与用户设备2、7、8连通,其中用户设备7与用户设备6连通,保护设备C与用户设备4、7连通,保护设备D与用户设备5、7连通。用户设备可以为交换机、工作站、服务器以及可编程逻辑控制器等,保护设备可以为网关、IDS、IPS等。按照图3所示的步骤,基于图1的网络拓扑结构,利用智能图论法分析系统的连通性,确定如图2-5所示的保护设备A-D所监测和保护的区域,即保护设备A-D的负责区域。其中,保护设备A的负责区域包括用户设备1、3、5,保护设备B的负责区域包括用户设备2、6、7、8,保护设备C的负责区域包括用户设备4、6、7,保护设备D的负责区域包括用户设备5、6、70在确定了安全设备A-D的负责区域之后,由中央管理系统自动分析用户整体安全规则中的各个规则项与安全设备A-D之间的匹配关系。用户的整体安全规则由一系列有序的规则项组成,每个规则项包括源地址、目标地址、规则细节以及处理措施。中央管理系统将安全设备A-D各自负责的区域规则项的源地址以及目标地当前第1页1 2 本文档来自技高网...
【技术保护点】
一种网络安全规则自动化部署方法,其特征在于,包括以下步骤:步骤一:基于通信网络系统的网络拓扑结构,分析网络拓扑结构的连通性,确定各个保护设备的监控和保护区域;步骤二:分析所述通信系统的整体安全规则中每个规则项与所述保护设备之间的匹配关系;步骤三:根据所述整体安全规则项中的源地址和目标地址与通信网络拓扑结构的比较,自动修改规则项,为每个所述的保护设备生成定制化的安全规则;步骤四:将生成的定制化安全规则自动部署到所述的每个保护设备中。
【技术特征摘要】
【专利技术属性】
技术研发人员:孙一桉,徐林,
申请(专利权)人:宁波匡恩网络科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。