网络安全管理方法和系统转让专利
申请号 : CN200910158939.X
文献号 : CN101605058B
文献日 : 2012-06-06
发明人 : 林健 , 孙健 , 王家文
申请人 : 中兴通讯股份有限公司
摘要 :
一种网络安全管理方法和系统,根据本发明的网络安全管理方法包括:从设备下载安全包,其中,安全包中包括安全配置文件和安全工具包,安全配置文件包括安全配置信息,每条安全配置信息都与安全工具包中的一个安全工具对应;从设备根据安全配置文件,从安全工具包中选择安全工具进行安装。通过本发明,解决每个设备分别加固,无法整体上达到安全加固的问题,从而可以实现对网元上设备的不同安全需求进行安装对应安全工具,同时使整个网元实现安全加固,便于网元上设备的安全加固的升级。
权利要求 :
1.一种网络安全管理方法,其特征在于,包括:
主控设备从网元管理系统接收安全包,并将所述安全包发送给从设备;
所述从设备下载所述安全包,其中,所述安全包中包括安全配置文件和安全工具包,安全配置文件包括安全配置信息,每条安全配置信息都与所述安全工具包中的一个安全工具对应;
所述从设备根据所述安全配置文件,从所述安全工具包中选择安全工具进行安装;
其中,所述根据所述安全配置文件,从所述安全工具包中选择安装工具进行安装包括:所述从设备遍历所述安全配置文件中的安全配置信息,将本地的安全配置信息与每条安全配置信息进行匹配;
对于匹配失败的安全配置信息,判断其是否对应于所述从设备,如果是,则根据所述匹配失败的安全配置信息选择进行工具包安装操作。
2.根据权利要求1所述的方法,其特征在于,所述根据所述匹配失败的安全配置信息选择进行工具包安装操作包括:判断所述匹配失败的安全配置信息对应的安全工具在本地是否已经安装;
如果没有安装,则对该安全工具进行安装,并在所述匹配失败的安全配置信息中的安全配置与所述从设备的安全配置不一致时,使用所述匹配失败的安全配置信息中的安全配置对所述从设备的安全配置进行更新;
如果已经安装,则判断所述匹配失败的安全配置信息中的安全配置与所述从设备中的安全配置是否一致时,并在二者不一致时,使用所述匹配失败的安全配置信息中的安全配置对所述从设备中的安全配置进行更新。
3.根据权利要求1-2中的任一项所述的方法,其特征在于,所述安全配置信息中包括以下至少之一:所述安全配置信息对应的从设备的物理类型和逻辑类型、所述安全配置信息对应的安全工具、所述对应的安全工具的安全配置、对所述从设备的安全控制要求。
4.根据权利要求1所述的方法,其特征在于,所述安全包具有版本头,在所述主控设备下载所述安全包之前,所述方法还包括:所述主控设备解析所述版本头,获取其中的版本头信息,并根据所述版本头信息判断需要下载所述安全包;
在所述从设备下载所述安全包之后,所述方法还包括:去除所述版本头,得到去版本头的安全包。
5.一种网络安全管理系统,其特征在于,主控设备和从设备,其中,所述主控设备包括:收发单元,用于从网元管理系统接收安全包,并将所述安全包发送给所述从设备;
所述从设备包括:
下载单元,用于下载所述安全包,所述安全包中包括安全配置文件和安全工具包,所述安全配置文件包括安全配置信息,每条安全配置信息都与安全工具包中的一个安全工具对应;
管理单元,用于根据所述安全配置文件从所述安全工具包中选择安全工具;
安装单元,用于安装安全工具;
其中,所述管理单元包括:
查询单元,用于遍历所述安全配置文件中的安全配置信息;
匹配单元,用于将本地的安全配置信息与所述查询单元遍历到的每条安全配置信息进行匹配,得到匹配结果;
控制单元,用于根据所述匹配单元的匹配结果控制进行安全工具安装操作。
6.根据权利要求5所述的系统,其特征在于,所述控制单元包括:第一判断单元,用于判断匹配失败的安全配置信息对应的安全工具在本地是否已经安装;
调度单元,用于根据所述判断单元的判断结果对所述安装单元进行调度;
第二判断单元,用于判断本地的安全配置与所述判断匹配失败的安全配置信息中的安全配置是否一致;
更新单元,用于使用判断匹配失败的安全配置信息中的安全配置对本地的安全配置进行更新。
说明书 :
网络安全管理方法和系统
技术领域
[0001] 本发明涉及计算机网络的技术领域,具体而言,涉及一种计算机网络安全管理方法和系统。
背景技术
[0002] 网元(Network Element,NE)设备是计算机网络中的核心设备,一般采用刀片式服务器结构,每台服务器可以插入几块,甚至几十块刀片式服务器,每一块刀片式服务器实际上就是一块系统主板,作为独立的计算机系统,通过内部网络连接进行统一管理,系统主板中配置CPU、内存、存储设备和网卡等设备,上述设备中运行有操作系统及刀片管理软件。 [0003] 目前,常用的计算机网络安全措施为在网元操作系统上安装防火墙、入侵检测系统、防病毒等安全产品,并对这些安全产品进行配置,以提高计算机设备的防御能力。上述的安全措施比较简单,往往只针对计算机网络中的某一计算机系统的网络安全,但是,不同的计算机系统有不同的安全要求,多重防御措施的混合使用才能实现真正的安全。即便对所有的计算机设备安全要求相同,目前的安全措施也缺乏统一的配置管理方法;特别是对于刀片式服务器,对于刀片式服务器而言,其相互关联,且存在多种不同操作系统及硬件结构。
[0004] 目前,尚未提出更是缺乏既对每个刀片式服务器等计算机设备进行安全加固,又在整体上达到安全加固的效果的安全配置方法。
发明内容
[0005] 针对相关技术中网元中设备安全配置方法不统一问题而提出本发明,为此,本发明的主要目的在于提供一种网络安全管理方法及系统,以解决上述问题至少之一。 [0006] 为了实现上述目的,根据本发明的一个方面,提供了一种网络安全管理方法,上述方法包括:主控设备从网元管理系统接收安全包,并将安全包发送给从设备;从设备下载安全包,其中,安全包中包括安全配置文件和安全工具包,安全配置文件包括安全配置信息,每条安全配置信息都与安全工具包中的一个安全工具对应;从设备根据安全配置文件,从安全工具包中选择安全工具进行安装。
[0007] 为了实现上述目的,根据本发明的另一方面,提供了一种网络安全管理系统,上述系统包括:主控设备和从设备,其中,主控设备包括:收发单元,用于从网元管理系统接收安全包,并将安全包发送给从设备;从设备包括:下载单元,用于下载安全包,安全包中包括安全配置文件和安全工具包,安全配置文件包括安全配置信息,每条安全配置信息都与安全工具包中的一个安全工具对应;管理单元,用于根据安全配置文件从安全工具包中选择安全工具;安装单元,用于安装安全工具。
[0008] 通过本发明提供的上述至少一个技术方案,采用从设备下载包含安全配置信息和安全工具包的安全包的技术手段,并根据安全配置文件从包含所有设备的安全工具的安全工具包中选择安全工具进行安装,解决目前的每个设备分别加固,无法整体上达到安全加固的问题,从而可以实现对网元上设备的不同安全需求进行安装对应安全工具,同时使整个网元实现安全加固,便于网元上设备的安全加固的升级。
[0009] 本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
[0010] 此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中: [0011] 图1为根据本发明实施例的网络安全管理方法的流程图;
[0012] 图2为根据本发明优选实施例的网络安全管理方法中安全配置文件的配置方法的流程图;
[0013] 图3为根据本发明优选实施例的网络安全管理方法中主控设备下发安全包的流程图;
[0014] 图4为根据本发明优选实施例的网络安全管理方法中从设备安装安全包的流程图;
[0015] 图5为根据本发明实施例的网络安全管理系统的结构框图;
[0016] 图6为根据本发明优选实施例的网络安全管理系统的结构框图。 具体实施方式
[0017] 功能概述
[0018] 在本发明实施例中,提供了一种网络安全管理方案,在该方法中,将系统中所有的计算机设备可能使用的安全工具进行打包处理,得到一个安全包,由网元管理系统进行一次性下发,例如,优选地,可以由网元管理系统下发到主控设备,再由主控设备下发到各从设备。从设备下载安全包后,可以根据安全包中的安全配置文件安装合适的安全工具。本发明实施例中使用的安全包中包括安全配置文件,以及含有多个安全工具的安全工具包,安全配置文件包括多条安全配置信息,每条安全配置信息都分别与安全工具包中的一个安全工具相对应。优选地,这里的安全配置信息中包括:安全配置信息对应的从设备的物理类型和逻辑类型、安全配置信息对应的安全工具、对应的安全工具的安全配置、对从设备的安全控制要求。
[0019] 在本发明中涉及到的网元如下:网元管理系统、主控设备、从设备(也可以称为受控设备)。
[0020] 本发明的实施环境优选为3GPP的网络管理架构,除了网元外,还有网元管理系统(Element Management System,简称为EMS)以及网络管理系统(Network Management System,简称为NMS),网元管理系统中的软件模块通过对网元下发命令消息来管理网元,在网元管理系统中还可以配置相关的网络配置文件及安装程序,在网元设备中一般都存在一个主控计算机设备,简称主控设备,网元管理系统通知主控设备下载相关网络配置文件及安装程序,再由主控设备将网络配置文件及安装程序分发到网元设备中的其他计算机设备,并且作为之后安全工具使用及升级的参考信息,一旦需要进行升级,网元上各计算机设备上的安全工具下载安装程序可以迅速、简单地了解本地计算机设备的安全配置情况,以此进行升级或撤销 回退安全措施。同时,根据网元上的其它各个计算机设备自身软硬件设备的不同,在网元中配置了不同的物理类型及逻辑类型用于区分各个计算机设备,也就是从设备。网元中各计算机系统上存在负责下载安装本发明的安全包文件的程序,不同硬件及操作系统的从设备选择不同的安全工具安装及配置信息,通过各从设备下载统一的数据包,统一的对网元内各计算机系统的安全加固配置,实现对整个网元系统的安全加固配置。 [0021] 本发明的实施环境包括以下模块:网元管理系统;安全工具安装包;文件下载安装程序;安全配置文件。各模块的功能大概包括:
[0022] 网元管理系统负责根据对整个网元的要求,下发安全配置文件以及安全工具包;网元内各从设备上的文件下载程序下载安全配置文件及安全工具包,再根据安全配置文件及各个从设备的类型的不同,安装不同的安全工具及对安全工具的不同配置。 [0023] 下面将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
[0024] 方法实施例
[0025] 根据本发明实施例,首先提供了一种网络安全管理方法。图1是示出该方法的处理的流程图,如图1所示,具体包括以下处理:
[0026] S102:从设备下载安全包,其中,安全包中包括安全配置文件和安全工具包,安全配置文件包括安全配置信息,每条安全配置信息都与安全工具包中的一个安全工具对应;优选地,从设备可以从主控设备下载安全包,而主控设备则可以从网元管理系统下载该安全包;
[0027] S104:从设备根据安全配置文件,从安全工具包中选择安全工具进行安装。 [0028] 对于上述的实现过程,接下来,将从配置安全配置文件、主控设备下发安全包、从设备安装安全包三个方面进行说明。
[0029] 图2为根据本发明优选实施例的网络安全管理方法中,安全配置文件的配置方法的流程图。如图2所示,主要包括以下步骤(步骤S202-步骤S206):
[0030] 步骤S202:在网元管理系统上按照安全需求对网元中的设备编写安全配置文件,安全配置文件中包括有多个安全配置信息,以记录的方式存储,每个记录都记录了安全配置信息对应的从设备的物理类型和逻辑类型、安全配置信息对应的安全工具、对应的安全工具的安全配置、对从设备的安全控制要求等,以linux操作系统环境为例,通过编写一个shell脚本实现安全配置文件,通过shell命令来执行对linux操作系统的安全控制,比如限制超级用户远程登陆、限制访问端口、限制用户访问文件权限等等。 [0031] 步骤S204:把安全配置文件以及安全配置文件的记录对应的要安装的安全工具按一定格式进行打包,打包成安全包,也称为安全版本文件。以linux操作系统环境为例,如果操作系统已经自带了安全工具,那么只需要进行相关配置即可。
[0032] 步骤S206:为安全版本文件添加版本头信息,版本头信息包含安全版本文件的一些基本信息,版本头信息用于表示版本文件类型,区分安全版本文件和具有其它作用的版本文件,以供网元中的主控设备判断是否要下载安全版本文件,以及在更新版本时利用版本头信息判断是否需要更新等。
[0033] 图3为根据本发明优选实施例的网络安全管理方法中,主控设备下发安全包的流程图,如图3所示,主控设备下发安全包的方法主要包括以下处理(步骤S302-步骤S324): [0034] 步骤S302:网元管理系统在安全版本文件配置完成后,向网元中的主控设备下发安全版本加载消息;
[0035] 步骤S304:主控设备接收到安全版本加载消息后,解析版本头,获取其中的版本头信息,并根据版本头信息判断需要下载安全包,如果需要下载安全包,则主控设备从网元管理系统下载安全版本文件并记录,此处的下载方式优选为ftp方式;
[0036] 步骤S306:网元管理系统向主控设备发送安全版本设置消息; [0037] 步骤S308:主控设备向网元中的受控设备下发安全版本设置消息,告知受控设备不再下发安全版本设置消息;
[0038] 步骤S310:网元管理系统向主控设备发送安全版本设置取消消息; [0039] 步骤S312:主控设备向受控设备下发安全版本设置取消消息; [0040] 步骤S314:受控设备向主控设备上传安全版本设置取消应答消息; [0041] 步骤S316:主控设备向网元管理系统发送安全版本设置取消应答消息; [0042] 步骤S318:受控设备在收到安全版本设置消息后,向主控设备发送安全版本设置消息应答,对版本下载进行初始化的操作;
[0043] 步骤S320:主控设备收到安全版本设置消息应答后,向受控设备发送安全版本文件,其中,由于该步骤中由一个主控设备向多个受控设备发送安全版本文件,所以主控设备将安全版本文件设置为多个数据包,以组播的形式向受控设备发送数据包; [0044] 步骤S322:受控设备接收到数据包之后,向主控设备发送应答,表示数据包接收成功,由于数据包以组播的形式发送给受控设备,所以受控设备每收到一个数据包是都向主控设备发出应答,该步骤受控设备以单波形式向主控设备发送应答; [0045] 步骤S324:主控设备接收到应答后,向网元管理系统发送安全版本设置消息应答,向网元管理系统告知安全版本设置成功。
[0046] 在具体实施过程中,步骤S310-S316并不必然在步骤S308-S318之间执行,也可以在其它合适的时刻执行,例如,在步骤S318之后执行。受控设备可以在收到安全版本设置消息后便向主控设备发送安全版本设置消息应答,无需等待步骤S310-S316执行后再执行。
[0047] 图4为根据本发明优选实施例的网络安全管理方法中,从设备安装安全包流程图,如图4所示,主要包括以下步骤(步骤S402-步骤S426):
[0048] 步骤S402,受控设备获取以数据包形式传送的安全版本文件; [0049] 步骤S404,生成安全版本信息文件,安全版本信息文件记录安全版本的基本信息,作用在于利用安全版本信息文件判断是否更新安全版本;
[0050] 步骤S406,将安全版本文件的版本头去除;
[0051] 步骤S408,对安全版本文件解包;
[0052] 步骤S410,解析安全版本文件中的安全配置文件中的一个记录; [0053] 步骤S412,受控设备对比其已有的安全配置的记录与解析出的安全配置文件中的记录,如果发现后者与前者完全一致,则返回步骤S410,解析安全版本文件中的安全配置文件中的下一条记录,否则,进入步骤S414;
[0054] 步骤S414,判断记录中的设备类型与受控设备的设备类型一致,如果否,返回步骤S410,解析安全版本文件中的安全配置文件中的下一条记录;
[0055] 步骤S416,判断受控设备中是否已安装安全工具,如果未安装,进入步骤S422; [0056] 步骤S418,判断安装配置文件的记录中的配置要求与受控设备的本地配置要求是否一致,如果否,进入步骤S424;
[0057] 步骤S420,判断安全配置文件的解析是否完成,如果是,进入步骤S426,如果否,返回步骤S410;
[0058] 步骤S422,受控设备安装解析的安全配置文件的记录对应的安全工具,返回步骤S418;
[0059] 步骤S424,根据安装配置文件的配置要求,对安装配置文件重新配置,返回步骤S420;
[0060] 步骤S426,根据受控设备的安全配置情况,生成本地的安全配置的记录,用于对比以及后续的查询,而后返回步骤S402。
[0061] 通过上述实施例的网络安全管理方法,对网元上设备的不同安全需求进行自动安装及管理,实现灵活配置,同时将网元上各设备的安全加固措施联系起来,使整个网元实现安全加固,便于网元上各设备利用网元管理系统实现安全加固的升级和回退。 [0062] 系统实施例
[0063] 根据本发明实施例,还提供了一种网络安全管理系统。
[0064] 图5为根据本发明实施例的网络安全管理系统的结构框图。图5所示,根据本发明实施例的网络安全管理系统包括:下载单元10、管理单元20和安装单元30。以下进一步结合图5来描述上述各个模块的细节。
[0065] 下载单元10用于下载安全包,安全包中包括打包到一起的安全配置文件和安全工具包,安全配置文件包括多条安全配置信息,安全工具包中具有多个与网络中的从设备相关的安全工具,其中每条安全配置信息都与安全工具包中的一个安全工具对应,用以帮助从设备识别安全工具,判断是否需要安装相应的安全工具。
[0066] 管理单元20与下载单元10连接,用于根据下载的安全包中的安全配置文件中的各条安全配置信息,从安全工具包中选择相应的安全工具,并将选择结果通知安装单元30。 [0067] 安装单元30与管理单元20连接,用于根据管理单元20的选择结果,安装相应的安全工具。
[0068] 图6为根据本发明优选实施例的网络安全管理系统的结构框图。如图6所示,管理单元20还可以包括查询单元22、匹配单元24和控制单元26。
[0069] 查询单元22用于遍历下载的安全包中安全配置文件中的安全配置信息,因而可以对所有安全配置信息全都进行查询,确保不会出现遗漏;匹配单元24查询单元22用于将本地的安全配置信息与查询单元22遍历到的每条安全配置信息进行匹配,得到匹配结果,匹配过程中,只有将安全配置信息与每条安全配置信息中所有的内容全部匹配,才能判断匹配成功,否则,便认为匹配失败;控制单元16连接匹配单元24用于根据匹配单元的匹配结果控制进行安全工具安装操作,其中,安装操作包括安装安全工具和安全配置更新操作。 [0070] 控制单元30还可以包括第一判断单元32、调度单元34、第二判断单元36和更新单元38。
[0071] 第一判断单元32用于判断匹配失败的安全配置信息对应的安全工具在本地是否已经安装,如果是,则根据匹配失败的安全配置信息选择进行安全工具安装操作,当然,该匹配失败的安全配置信息应当是对应从设备的安全配置消息。调度单元34,连接第一判断单元32,用于根据第一判断单元32的判断结果对安装单元进行调度。具体调度过程为:如果从设备没有安装安全工具,则安装安全工具。调度单元34通过安装安全工具,实现了对从设备的安全加固,并且可以灵活配置安全工具,使从设备的安全加固与整个网元上所有设备的安全加固都相关。第二判断单元36,连接调度单元34,在调度过程之后或者第一判断单元32判断匹配失败的安全配置信息对应的安全工具在本地已经安装之后,判断本地的安全配置与判断匹配失败的安全配置信息中的安全配置是否一致。更新单元38,连接第二判断单元36,用于使用判断匹配失败的安全配置信息中的安全配置对本地的安全配置进行更新,具体更新过程为:第二判断单元36判断匹配失败的安全配置信息中的安全配置与从设备的安全配置不一致时,使用匹配失败的安全配置信息中的安全配置对从设 备的安全配置进行更新。实施更新过程的好处是,便于从设备在下一次安全加固的过程中的查询。 [0072] 通过上述实施例提供了的网络安全管理系统,包括查询单元、匹配单元和控制单元,可以达到对网元上多个设备的不同安全需求进行安全工具的安装及管理,灵活配置,使整个网元实现安全加固。
[0073] 综上所述,通过本发明的上述实施例,提供的网络安全管理方案,解决了对计算机设备个体与网元整体进行统一地安全加固的问题,便于实现网元整体的安全加固。 [0074] 显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
[0075] 以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。