本实用新型专利技术公开了一种网络安全规则自动化部署系统,包括中央管理系统、保护设备、用户设备以及通讯网络,所述中央管理系统与每个保护设备连通,所述每个保护设备与在其监控和保护区域内的用户设备连通。所述中央管理系统收集用户整体安全规则并通过确定的每个保护设备所负责的区域完成对每个保护设备生成定制化安全规则,并自动化部署。
【技术实现步骤摘要】
本技术涉及网络安全领域,尤其涉及一种网络安全规则自动化部署系统。
技术介绍
随着网络在日常生产及生活中的大量应用,网络安全问题日益凸显并对网络用户造成很大的困扰。尤其是在例如工业控制领域这样的特殊应用领域中,随着工业控制自动化进程的深入,工业控制网络与外部互联网或企业办公网络的信息交互日趋频繁,使得工业控制网络不断面临着来自外部互联网的恶意攻击和内部人员的误操作等威胁。因为早期工控设备使用环境相对封闭,所以工业控制系统在开发时往往更重视功能的实现,而缺少对工控网络自身安全的关注,这也导致工业控制系统中存在不可避免的安全缺陷。分布式的网络安全保护构架能够满足不同形态和规模的工控网络,同时也能够适应工控网络结构和规模的变化,系统的灵活性可以得到充分的体现。分布式网络安全保护系统在关键位置上设置安全保护设备,从而实现整个工控网络的安全。在复杂的网络环境下,常常需要多个安全保护设备。传统的安全解决方案常常需要对每个安全设备分别设置安全规则。由于没有考虑到设备之间的联系,人工部署非常复杂,并容易产生人为引起的错误。当用户需要改变规则时,由于系统的复杂性,很难为每个保护设备及时的更新准确的新规则。
技术实现思路
为解决上述现有技术中存在的问题,本技术提出了一种网络安全规则自动化部署的系统:一种网络安全规则自动化部署系统,包括中央管理系统、保护设备、用户设备以及通讯网络,所述中央管理系统与每个保护设备连通,所述每个保护设备与用户设备连通。进一步地,中央管理系统收集用户整体安全规则以及为每个保护设备生成定制的安全规则,并自动化部署。进一步地,保护设备从所述中央管理系统接收定制化安全规则作为配置文件,并按照定制化安全规则的规则项实现用户设备的数据通讯监测和/或保护。进一步地,用户设备可以为交换机、工作站、服务器以及可编程逻辑控制器中的一种或几种。进一步地,保护设备可以为网关、IDS、IPS中的一种或几种。本技术所产生的有益效果在于:提供了一种为网络中的每个保护设备自动生成定制化的安全规则的系统,在部署时自动修改规则的源地址和目标地址以确保生成的定制化安全规则符合用户整体规则并满足用户对整体网络安全的需要,提高了分布式网络安全系统的易用性和可扩展性;同时可以对每个安全设备定制的安全规则进行自动部署,极大地提高了安全规则部署的效率及准确性。【附图说明】图1为使用本技术的网络安全规则自动部署系统的通信网络拓扑图;图2为通信网络中保护设备A所监测和保护区域的网络拓扑图;图3为通信网络中保护设备B所监测和保护区域的网络拓扑图;图4为通信网络中保护设备C所监测和保护区域的网络拓扑图;图5为通信网络中保护设备D所监测和保护区域的网络拓扑图;图6为生成定制化安全规则并部署的流程图。附图标记:1-8用户设备【具体实施方式】以下以工业控制网络安全规则自动部署系统为例对本技术进行详细阐述,应当注意的是,下列实施例仅用于对本技术进行说明而非作为对本技术的限制。本技术的网络安全规则自动部署系统除了可以应用在工业控制网络中,还可以用于任何其他的系统中。如图1所示的通信网络拓扑图,中央管理系统与保护设备A-D连通,保护设备A与用户设备3、5连通,其中用户设备3与用户设备I连通,保护设备B与用户设备2、7、8连通,其中用户设备7与用户设备6连通,保护设备C与用户设备4、7连通,保护设备D与用户设备5、7连通。用户设备可以为交换机、工作站、服务器以及可编程逻辑控制器等,保护设备可以为网关、IDS、IPS等。按照图3所示的步骤,基于图1的网络拓扑结构,利用智能图论法分析系统的连通性,确定如图2-5所示的保护设备A-D所监测和保护的区域,即保护设备A-D的负责区域。其中,保护设备A的负责区域包括用户设备1、3、5,保护设备B的负责区域包括用户设备2、6、7、8,保护设备C的负责区域包括用户设备4、6、7,保护设备D的负责区域包括用户设备5、6、70在确定了安全设备A-D的负责区域之后,由中央管理系统自动分析用户整体安全规则中的各个规则项与安全设备A-D之间的匹配关系。用户的整体安全规则由一系列有序的规则项组成,每个规则项包括源地址、目标地址、规则细节以及处理措施。中央管理系统将安全设备A-D各自负责的区域规则项的源地址以及目标地址进行比较,确定该规则项是否与某个安全设备相关,即确定该规则项是否与某个安全设备的负责区域有交集,如果无关,则不适用该规则项,可以删除。例如有以下规则项:规则项:【8】,【4】,TCP,允许该规则项的内容为:从用户设备8到用户设备4的TCP数据包允许通过,由于用户设备8和用户设备4不属于保护设备A的负责区域,则保护设备A可以忽略此规则项。在规则项的源地址和目标地址与某个保护设备的负责区域有交集时,该规则项可以与该保护设备相关。此时由中央管理系统依照其相关性自动修改规则项并为保护设备A-D生成定制化的安全规则,例如:用户整体安全规则为:规则项一:【1】,【4】,TCP,允许;规则项二:【1,5】,【4,6,7】,1^卩,阻断;即用户的实际要求为:a:【1】,【4】,TCP,允许;b:【1】,【6】,TCP,阻断;c:【1】,【7】,TCP,阻断;d:【5】,【4】,TCP,阻断;e:【5】,【6】,TCP,阻断;f:【5】,【7】,TCP,阻断;对于保护设备D,规则项一与其无关,会被忽略,规则项二与其相关会被保留。但是对于【I】,【4】之间的数据包,即使保护设备A和保护设备C允许其通过,保护设备D依据规则项二也会将其阻断。用户需求a将无法实现。因而规则项二对于保护设备D不完全适用,因此对于保护设备D规则项二将改写为:【5】,【4,6,7】,TCP,阻断;【1】,【6,7】,TCP,阻断;整体上所生成的针对保护设备A-D的定制化安全规则为:保护设备A:【1】,【4】,TCP,允许;【I】,【4,6,7】,TCP,阻断;保护设备B:无规则;保护设备C:【1】,【4】,TCP,允许;【1,5】,【4】,TCP,阻断;保护设备D:【5】,【4,6,7】,TCP,阻断;【1】,【6,7】,TCP,阻断;通过中央管理系统将生成的针对安全设备A-D的定制化安全规则以配置文件的形式自动部署到保护设备A-D中,保护设备A-D按照定制化安全规则的规则项对用户设备的数据通讯进行监测和/或保护。以上所述实施例仅表达了本技术的实施方式,其描述较为具体和详细,但并不能因此而理解为对本技术专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本技术构思的前提下,还可以做出若干变形和改进,这些都属于本技术的保护范围。因此,本技术专利的保护范围应以所附权利要求为准。【主权项】1.一种网络安全规则自动化部署系统,其特征在于,包括中央管理系统、保护设备、用户设备以及通讯网络,所述中央管理系统与每个保护设备连通,所述每个保护设备与在其监控和保护区域内的用户设备连通; 所述中央管理系统收集用户整体安全规则以及为每个保护设备生成定制的安全规则,并自动化部署。2.如权利要求1所述的网络安全规则自动化部署系统,其特征在于,所述保护设备从所述中央管理系统接收定制化安全规则作为配置文件,并按本文档来自技高网...
【技术保护点】
一种网络安全规则自动化部署系统,其特征在于,包括中央管理系统、保护设备、用户设备以及通讯网络,所述中央管理系统与每个保护设备连通,所述每个保护设备与在其监控和保护区域内的用户设备连通;所述中央管理系统收集用户整体安全规则以及为每个保护设备生成定制的安全规则,并自动化部署。
【技术特征摘要】
【专利技术属性】
技术研发人员:孙一桉,徐林,
申请(专利权)人:宁波匡恩网络科技有限公司,
类型:新型
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。