一种基于交换机的安全边界定义方法及系统技术方案

本发明专利技术公开了一种基于交换机的安全边界定义方法及系统，涉及数据处理技术领域，包括并基于网络的物理拓扑结构和逻辑拓扑结构确定网络中各个初始区域；依据影响因素确定节点的影响量；通过企业发展战略偏重以及节点的影响量来定义节点的战略级别；根据初始区域内节点的战略级别将初始区域调整为多个战略区域，并设置多个战略区域之间的访问规则，并基于访问规则配置交换机的接口信息；对多个战略区域之间的访问规则进行测试和验证，并对访问规则进行调整；获取一段时间内的访问规则的效果，并根据访问规则的效果对访问规则进行更新。提高了安全边界的精度和准确性，保证了安全边界与网络安全的复杂适应性。与网络安全的复杂适应性。与网络安全的复杂适应性。

【技术实现步骤摘要】
一种基于交换机的安全边界定义方法及系统


[0001]本申请涉及数据处理
，更具体地，涉及一种基于交换机的安全边界定义方法及系统。

技术介绍

[0002]基于交换机的安全边界定义是指通过配置和管理网络交换机，将网络划分为不同的安全区域，并在区域之间设置严格的访问控制规则，以限制网络流量的传播和保护敏感信息免受未经授权的访问。实现对网络资源的控制和保护。这种方法主要基于交换机的VLAN技术，通过对交换机端口的配置，实现对不同安全级别的主机之间的隔离，从而提高网络的安全性。
[0003]现有技术中，安全边界仅仅根据网络逻辑拓扑结构进行设定或定义，导致安全边界的精度差，从而影响网络的安全性。
[0004]因此，如何提高安全边界的精度和网络安全，是目前有待解决的技术问题。

技术实现思路

[0005]本专利技术提供一种基于交换机的安全边界定义方法，用以解决现有技术中安全边界精度低、网络安全性差的技术问题。所述方法包括：获取网络的物理拓扑结构和逻辑拓扑结构，并基于网络的物理拓扑结构和逻辑拓扑结构确定网络中各个初始区域；获取每个初始区域内节点的影响因素，依据影响因素确定节点的影响量；获取企业发展战略偏重，通过企业发展战略偏重以及节点的影响量来定义节点的战略级别；根据初始区域内节点的战略级别将初始区域调整为多个战略区域，并设置多个战略区域之间的访问规则，并基于访问规则配置交换机的接口信息；对多个战略区域之间的访问规则进行测试和验证，并对访问规则进行调整；获取一段时间内的访问规则的效果，并根据访问规则的效果对访问规则进行更新。
[0006]本申请一些实施例中，依据影响因素确定节点的影响量，包括：影响因素包括安全需求影响因素、业务流量影响因素、管理复杂性影响因素和可拓展性影响因素；基于安全需求影响因素构建第一集合，基于业务流量影响因素构建第二集合，基于管理复杂性影响因素第三集合，基于可拓展性影响因素构建第四集合，并赋予第一集合、第二集合、第三集合和第四集合不同的权重；确定第一集合、第二集合、第三集合和第四集合之间的交集情况，交集情况包括二交和三交，其中，二交为两个集合相交，三交为三个集合相交；若存在二交，则将其交集记作第一交集，确定第一交集涉及的两个集合的权重之
和与剩余集合的权重之和的大小关系，计算第一交集涉及的两个集合的权重之和与第一权重之差，记为第一权重差，并基于大小关系和第一权重差确定第一修正量，其中，剩余集合为第一交集涉及的两个集合以外的两个集合，第一权重为预设权重；若存在三交，则将其交集记作第二交集，确定第二交集涉及的三个集合的权重之和与剩余集合的权重的常数倍的大小关系，计算第二交集涉及的三个集合之和与第二权重之差，记为第二权重差，并基于大小关系和第二权重差确定第二修正量，其中，剩余集合为第一交集涉及的三个集合以外的一个集合，第二权重为预设权重，且第二权重大于第一权重。
[0007]本申请一些实施例中，依据影响因素确定节点的影响量，还包括：影响量包括安全需求度、业务流量、管理复杂度和可拓展度分别与安全需求影响因素、业务流量影响因素、管理复杂性影响因素和可拓展性影响因素相对应；根据第一修正量或第二修正量确定影响量；；其中，L为安全需求度或业务流量或管理复杂度或可拓展度，n为安全需求影响因素或业务流量影响因素或管理复杂性影响因素或可拓展性影响因素对应的总数，为第i个影响因素对应的权重，为第i个影响因素的参数大小，exp为指数函数，为第一修正量，为第二修正量，为预设修正量。
[0008]本申请一些实施例中，通过企业发展战略偏重以及节点的影响量来定义节点的战略级别，包括：企业发展战略偏重包括安全需求度、业务流量、管理复杂度和可拓展度各自的偏重比；基于企业发展战略偏重和节点的影响量来确定安全需求度、业务流量、管理复杂度和可拓展度各自对应的偏重量，并基于安全需求度、业务流量、管理复杂度和可拓展度各自的偏重比将偏重量划分为第一偏重量和第二偏重量；基于第一偏重量和第二偏重量计算出总偏重量；；其中，P为总偏重量，为第一偏重量对应的转换系数，n为第一偏重量的个数，为第i个第一偏重量对应的权重，为第i个第一偏重量，为第二偏重量对应的转换系数，m为第二偏重量的个数，为第j个第二偏重量，为第j个第二偏重量；基于总偏重量确定节点的战略级别，其中，依据总偏重量所处范围不同对应有不同的节点的战略级别。
[0009]本申请一些实施例中，根据初始区域内节点的战略级别将初始区域调整为多个战略区域，包括：将相同战略级别的节点数最大的节点战略级别定义为该初始区域的初始战略区域级别；若其余节点中存在与相邻的初始战略区域级别相匹配的情况，则将该节点划分到相邻的战略区域内，其中，其余节点为该初始区域内相同战略级别的节点数最大的节点以外的节点；节点划分完成后，形成多个战略区域。
[0010]本申请一些实施例中，并设置多个战略区域之间的访问规则，包括：访问规则包括访问动作和访问接口；若相互通信的两个战略区域之间的战略级别之差不超过预设差值，则规定访问动作，基于相互通信的两个战略区域之间的战略级别的平均值确定访问接口；若相互通信的两个战略区域之间的战略级别之差超过预设差值，则规则访问动作，基于相互通信的两个战略区域之间的战略级别中较大者确定访问接口。
[0011]本申请一些实施例中，对多个战略区域之间的访问规则进行测试和验证，并对访问规则进行调整，包括：对多个战略区域之间的访问规则进行模拟攻击、流量测试和规则冲突检测；根据测试和验证结果对访问规则进行调整。
[0012]本申请一些实施例中，获取一段时间内的访问规则的效果，包括：获取一段时间内的日志记录，对日志记录进行检查，筛选出异常数据；计算每个异常数据与访问规则的相关度，将相关度超过预设相关度阈值的异常数据进行保留，作为访问规则的效果。
[0013]本申请一些实施例中，并根据访问规则的效果对访问规则进行更新，包括：若访问规则的效果符合预期效果，则不对访问规则进行更新；若访问规则的效果不符合预期效果，则根据访问规则的效果与预期效果的差对访问规则进行更新。
[0014]对应的，本申请还提供了一种基于交换机的安全边界定义系统，所述系统包括：第一模块，用于获取网络的物理拓扑结构和逻辑拓扑结构，并基于网络的物理拓扑结构和逻辑拓扑结构确定网络中各个初始区域；第二模块，用于获取每个初始区域内节点的影响因素，依据影响因素确定节点的影响量；第三模块，用于获取企业发展战略偏重，通过企业发展战略偏重以及节点的影响量来定义节点的战略级别；第四模块，用于根据初始区域内节点的战略级别将初始区域调整为多个战略区域，并设置多个战略区域之间的访问规则，并基于访问规则配置交换机的接口信息；第五模块，用于对多个战略区域之间的访问规则进行测试和验证，并对访问规则进行调整；第六模块，用于获取一段时间内的访问规则的效果，并根据访问规则的效果对访问规则进行更新。
[0015]通过应用以上技术方案，获取网络的物理拓扑结构和逻辑拓扑结构，并基于网络的物理拓扑结构和逻辑拓扑结构确定网络中各个本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于交换机的安全边界定义方法，其特征在于，所述方法包括：获取网络的物理拓扑结构和逻辑拓扑结构，并基于网络的物理拓扑结构和逻辑拓扑结构确定网络中各个初始区域；获取每个初始区域内节点的影响因素，依据影响因素确定节点的影响量；获取企业发展战略偏重，通过企业发展战略偏重以及节点的影响量来定义节点的战略级别；根据初始区域内节点的战略级别将初始区域调整为多个战略区域，并设置多个战略区域之间的访问规则，并基于访问规则配置交换机的接口信息；对多个战略区域之间的访问规则进行测试和验证，并对访问规则进行调整；获取一段时间内的访问规则的效果，并根据访问规则的效果对访问规则进行更新。2.如权利要求1所述的基于交换机的安全边界定义方法，其特征在于，依据影响因素确定节点的影响量，包括：影响因素包括安全需求影响因素、业务流量影响因素、管理复杂性影响因素和可拓展性影响因素；基于安全需求影响因素构建第一集合，基于业务流量影响因素构建第二集合，基于管理复杂性影响因素第三集合，基于可拓展性影响因素构建第四集合，并赋予第一集合、第二集合、第三集合和第四集合不同的权重；确定第一集合、第二集合、第三集合和第四集合之间的交集情况，交集情况包括二交和三交，其中，二交为两个集合相交，三交为三个集合相交；若存在二交，则将其交集记作第一交集，确定第一交集涉及的两个集合的权重之和与剩余集合的权重之和的大小关系，计算第一交集涉及的两个集合的权重之和与第一权重之差，记为第一权重差，并基于大小关系和第一权重差确定第一修正量，其中，剩余集合为第一交集涉及的两个集合以外的两个集合，第一权重为预设权重；若存在三交，则将其交集记作第二交集，确定第二交集涉及的三个集合的权重之和与剩余集合的权重的常数倍的大小关系，计算第二交集涉及的三个集合之和与第二权重之差，记为第二权重差，并基于大小关系和第二权重差确定第二修正量，其中，剩余集合为第一交集涉及的三个集合以外的一个集合，第二权重为预设权重，且第二权重大于第一权重。3.如权利要求2所述的基于交换机的安全边界定义方法，其特征在于，依据影响因素确定节点的影响量，还包括：影响量包括安全需求度、业务流量、管理复杂度和可拓展度分别与安全需求影响因素、业务流量影响因素、管理复杂性影响因素和可拓展性影响因素相对应；根据第一修正量或第二修正量确定影响量；；其中，L为安全需求度或业务流量或管理复杂度或可拓展度，n为安全需求影响因素或
业务流量影响因素或管理复杂性影响因素或可拓展性影响因素对应的总数，为第i个影响因素对应的权重，为第i个影响因素的参数大小，exp为指数函数，为第一修正量，为第二修正量，为预设修正量。4.如权利要求3所述的基于交换机的安全边界定义方法，其特征在于，通过企业发展战略偏重以及节点的影响量来定义节点的战略级别，包括：企业发展战略偏重包括安全需求度、业务流量、管理复杂度和可拓展度各自的偏重比；基于企业发展战略偏重和节点的影响量来确定安全需求度、业务流量、管理复杂度和可拓展度各自对应的偏重量，并基于安全需求度、业务流量、管理复杂度和可拓展度各自的偏重比将偏重量划分为第一...

【专利技术属性】
技术研发人员：孙运刚，周贝，申大伟，刘鹏程，丛帅，李栋梁，李杰，王维海，徐华林，刘建鹏，
申请(专利权)人：华能信息技术有限公司华能山东发电有限公司郑州信大云谷科技有限公司，
类型：发明
国别省市：