安全管控的方法、装置及计算机可读存储介质转让专利
申请号 : CN202010522065.8
文献号 : CN111835556B
文献日 : 2022-01-11
发明人 : 殷柳国 , 裴玉奎 , 高天 , 许晋
申请人 : 清华大学
摘要 :
本发明实施例公开了一种安全管控的方法、装置及计算机可读存储介质,其中方法之一应用于安全网关,所述安全网关与归属的配管中心以及所述配管中心下属的其他安全网关通过联盟链形成安全关联组,所述联盟链是由安全防护网络中的全部安全网关和配管中心共同构建的;所述方法包括:安全网关从所述联盟链获取配置信息;所述配置信息为配管中心针对所述安全网关执行关键配置行为生成的信息;所述关键配置行为为进行配置生成配置信息的行为;根据所述配置信息进行操作得到操作结果;在所述安全关联组中全部其他节点通过所述联盟链对所述安全网关进行身份认证后,将所述操作结果上链。如此,基于联盟链实现设备之间协同防护,提升了安全防护能力。
权利要求 :
1.一种安全管控的方法,应用于安全网关,所述安全网关与归属的配管中心以及所述配管中心下属的其他安全网关通过联盟链形成安全关联组,所述联盟链是由安全防护网络中的全部安全网关和配管中心共同构建的;所述方法包括:安全网关从所述联盟链获取配置信息;所述配置信息为配管中心针对所述安全网关执行关键配置行为生成的信息;所述关键配置行为为所述配管中心对所述安全网关进行配置生成配置信息的行为;
根据所述配置信息进行操作得到操作结果;
在所述安全关联组中全部其他节点通过所述联盟链对所述安全网关进行身份认证后,将所述操作结果上链。
2.根据权利要求1所述的方法,其特征在于,该方法还包括:当所述安全关联组中的其他节点有待上链数据时,所述安全网关通过所述联盟链对所述其他节点进行身份认证。
3.根据权利要求1所述的方法,其特征在于,当所述配置信息包括对安全网关的配置指令时,所述操作结果包括对所述安全网关的配置结果;
所述根据所述配置信息进行操作,包括:根据所述配置指令进行配置。
4.根据权利要求3所述的方法,其特征在于,当所述配置信息包括对安全网关产生的告警生成的应急预案时,所述操作结果包括所述应急预案的执行结果;
所述根据所述配置信息进行操作,包括:执行所述应急预案。
5.根据权利要求3所述的方法,其特征在于,该方法还包括:所述安全网关从所述联盟链获取对应的配置结果;
判断所述安全网关的实际配置数据与所述对应的配置结果是否一致;
当不一致时,产生告警,并在所述安全关联组中全部其他节点通过所述联盟链对所述安全网关进行身份认证后,将所述告警上链。
6.根据权利要求1所述的方法,其特征在于,该方法还包括:安全网关从所述联盟链获取网络数据包;所述网络数据包为配管中心针对所述安全网关执行网络数据行为生成的信息;所述网络数据行为指通用的计算机网络中数据传输的形式,所述数据传输的形式为网络数据包;
根据所述网络数据包执行相应操作。
7.根据权利要求6所述的方法,其特征在于,所述网络数据包包括以下一个或者多个信息:日志时间戳,日志时间,主机名,进程名,MAC码,源地址IP,目的地址IP,数据包长度、服务类型、优先级、生存时间、标示,传输层协议类型。
8.根据权利要求4所述的方法,其特征在于,所述配置指令包括以下一个或者多个信息:目标网关网际互连协议IP地址、管理员标识ID、配管中心IP地址、时间戳、配置内容;
所述应急预案包括以下一个或者多个信息:目标网关网际互连协议IP地址、管理员标识ID、配管中心IP地址、时间戳、告警配置内容。
9.一种安全管控的方法,应用于配管中心,所述配管中心与其他配管中心通过联盟链形成协同防护组,所述联盟链是由安全防护网络中的全部安全网关和配管中心共同构建的;所述方法包括:
配管中心针对安全网关执行关键配置行为生成配置信息;所述关键配置行为为所述配管中心对所述安全网关进行配置生成配置信息的行为;
在所述协同防护组中全部其他节点通过所述联盟链对所述配管中心进行身份认证后,将所述配置信息上链。
10.根据权利要求9所述的方法,其特征在于,该方法还包括:当所述协同防护组中的其他节点有待上链数据时,所述配管中心通过所述联盟链对所述其他节点进行身份认证。
11.根据权利要求9所述的方法,其特征在于,在将所述配置信息上链之后,该方法还包括:
从所述联盟链获取所述安全网关根据所述配置信息进行操作得到的操作结果;
根据所述操作结果执行相应操作。
12.根据权利要求11所述的方法,其特征在于,所述关键配置行为为针对所述安全网关进行配置生成配置指令的行为,所述配置信息为对所述安全网关的配置指令;所述操作结果为所述安全网关根据所述配置指令进行配置的配置结果;
所述根据所述操作结果执行相应操作,包括:根据所述配置结果判断所述配置指令是否配置成功。
13.根据权利要求11所述的方法,其特征在于,所述关键配置行为为针对所述安全网关产生的告警进行分析生成对应的应急预案的行为;所述配置信息为所述告警对应的应急预案;所述操作结果为所述安全网关执行所述应急预案的执行结果;
所述根据所述操作结果执行相应操作,包括:根据所述执行结果判断所述应急预案是否执行成功;
当执行成功时,解除所述告警。
14.根据权利要求13所述的方法,其特征在于,在配管中心针对安全网关执行关键配置行为生成配置信息之前,所述方法还包括:从所述联盟链获取所述安全网关的告警。
15.根据权利要求9所述的方法,其特征在于,所述配置信息包括以下一个或者多个信息:目标网关IP地址、管理员ID、配管中心IP地址、时间戳、配置内容、告警配置内容。
16.根据权利要求9所述的方法,其特征在于,该方法还包括:所述配管中心针对安全网关执行网络数据行为生成网络数据包;所述网络数据行为指通用的计算机网络中数据传输的形式,所述数据传输的形式为网络数据包;
在所述协同防护组中全部其他节点通过所述联盟链对所述配管中心进行身份认证后,将所述网络数据包上链。
17.根据权利要求16所述的方法,其特征在于,所述网络数据包包括以下一个或者多个信息:日志时间戳,日志时间,主机名,进程名,MAC码,源地址IP,目的地址IP,数据包长度、服务类型、优先级、生存时间、标示,传输层协议类型。
18.根据权利要求9所述的方法,其特征在于,该方法还包括:所述配管中心接收待追溯查询请求,所述待追溯查询请求携带待追溯信息;
在本地和/或链上数据中查询所述待追溯信息;
根据查询结果确定所述待追溯信息的追溯结果。
19.根据权利要求18所述的方法,其特征在于,所述待追溯信息包括待追溯配置信息;
其中,所述配管中心与下属的安全网关通过所述联盟链形成安全关联组,所述安全关联组以及所述协同防护组中的所有节点在本地以及通过所述联盟链分布式存储每一个配管中心对归属的安全关联组中每一个安全网关的配置信息及对应的操作结果。
20.一种安全管控的方法,应用于安全防护网络,该网络包括:多个配管中心和多个安全网关,每一个配管中心包括一个或者多个下属的安全网关;所述安全防护网络中的全部安全网关和配管中心共同构建一个联盟链,每一个配管中心及下属的安全网关通过所述联盟链形成一个安全关联组,全部配管中心通过所述联盟链形成协同防护组;所述方法包括:配管中心针对安全网关执行关键配置行为生成配置信息;所述关键配置行为为所述配管中心对所述安全网关进行配置生成配置信息的行为;在所述协同防护组中全部其他节点通过所述联盟链对所述配管中心进行身份认证后,将所述配置信息上链;
所述安全网关从所述联盟链获取所述配置信息;根据所述配置信息进行操作得到操作结果;在所述安全关联组中全部其他节点通过所述联盟链对所述安全网关进行身份认证后,将所述操作结果上链;
所述配管中心从所述联盟链获取所述操作结果,根据所述操作结果执行相应操作。
21.根据权利要求20所述的方法,其特征在于,该方法还包括:配管中心针对安全网关执行网络数据行为生成网络数据包;所述网络数据行为指通用的计算机网络中数据传输的形式,所述数据传输的形式为网络数据包;在所述协同防护组中全部其他节点通过所述联盟链对所述配管中心进行身份认证后,将所述网络数据包上链;
所述安全网关从所述联盟链获取所述网络数据包;根据所述网络数据包执行相应操作。
22.一种电子装置,其特征在于,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至8中任一项所述安全管控的方法,或实现如权利要求9至19中任一项所述安全管控的方法。
23.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有信息处理程序,所述信息处理程序被处理器执行时实现如权利要求1至8中任一项所述安全管控的方法,或实现如权利要求9至19中任一项所述安全管控的方法。
说明书 :
安全管控的方法、装置及计算机可读存储介质
技术领域
[0001] 本发明实施例涉及网络安全技术,尤指一种安全管控的方法、装置及计算机可读存储介质。
背景技术
[0002] 在传统的通信网络安全防护系统中,安全设备部署在内网边界上,为内网提供安全防护和数据隔离,包括网关、或者网闸、或者入侵检测系统、或者防火墙等。当用户终端对
外网服务器进行访问时,外网服务器的数据通过安全设备进行检查过滤之后才会到达用户
终端上。安全设备对数据的过滤规则由网络安全维护人员通过配管中心进行配置管理。
外网服务器进行访问时,外网服务器的数据通过安全设备进行检查过滤之后才会到达用户
终端上。安全设备对数据的过滤规则由网络安全维护人员通过配管中心进行配置管理。
[0003] 但是,随着网络环境日渐复杂、各类安全隐患不断增加,传统的安全防护系统暴露出诸多安全风险。例如,目前安全防护系统中的安全设备和配管中心都是单点部署的,并且
网关配置等敏感数据在网络传输中易于被侦听,因此部署在内网边界的安全网关存在被劫
持和攻击的风险。但是配管中心无法对网关设备是否被劫持或攻击进行有效判断;如此一
旦某个安全网关或者配管中心遭受网络攻击而失效,就无法再对网络安全进行防护。
网关配置等敏感数据在网络传输中易于被侦听,因此部署在内网边界的安全网关存在被劫
持和攻击的风险。但是配管中心无法对网关设备是否被劫持或攻击进行有效判断;如此一
旦某个安全网关或者配管中心遭受网络攻击而失效,就无法再对网络安全进行防护。
[0004] 因此,现有安全防护系统的安全防护能力不高,无法满足现有网络环境的需要。
发明内容
[0005] 有鉴于此,本发明一实施例提供了一种安全管控的方法,应用于安全网关,所述安全网关与归属的配管中心以及所述配管中心下属的其他安全网关通过联盟链形成安全关
联组,所述联盟链是由安全防护网络中的全部安全网关和配管中心共同构建的;所述方法
包括:
联组,所述联盟链是由安全防护网络中的全部安全网关和配管中心共同构建的;所述方法
包括:
[0006] 安全网关从所述联盟链获取配置信息;所述配置信息为配管中心针对所述安全网关执行关键配置行为生成的信息;所述关键配置行为为进行配置生成配置信息的行为;
[0007] 根据所述配置信息进行操作得到操作结果;
[0008] 在所述安全关联组中全部其他节点通过所述联盟链对所述安全网关进行身份认证后,将所述操作结果上链。
[0009] 本发明另一实施例提供了另一种安全管控的方法,应用于配管中心,所述配管中心与其他配管中心通过联盟链形成协同防护组,所述联盟链是由安全防护网络中的全部安
全网关和配管中心共同构建的;所述方法包括:
全网关和配管中心共同构建的;所述方法包括:
[0010] 配管中心针对安全网关执行关键配置行为生成配置信息;所述关键配置行为为进行配置生成配置信息的行为;
[0011] 在所述协同防护组中全部其他节点通过所述联盟链对所述配管中心进行身份认证后,将所述配置信息上链。
[0012] 本发明另一实施例提供了另一种安全管控的方法,应用于安全防护网络,该网络包括:多个配管中心和多个安全网关,每一个配管中心下属一个或者多个安全网关;所述安
全防护网络中的全部安全网关和配管中心共同构建一个联盟链,每一个配管中心及下属的
安全网关通过所述联盟链形成一个安全关联组,全部配管中心通过所述联盟链形成协同防
护组;所述方法包括:
全防护网络中的全部安全网关和配管中心共同构建一个联盟链,每一个配管中心及下属的
安全网关通过所述联盟链形成一个安全关联组,全部配管中心通过所述联盟链形成协同防
护组;所述方法包括:
[0013] 配管中心针对安全网关执行关键配置行为生成配置信息;所述关键配置行为为进行配置生成配置信息的行为;在所述协同防护组中全部其他节点通过所述联盟链对所述配
管中心进行身份认证后,将所述配置信息上链;
管中心进行身份认证后,将所述配置信息上链;
[0014] 所述安全网关从所述联盟链获取所述配置信息;根据所述配置信息进行操作得到操作结果;在所述安全关联组中全部其他节点通过所述联盟链对所述安全网关进行身份认
证后,将所述操作结果上链;
证后,将所述操作结果上链;
[0015] 所述配管中心从所述联盟链获取所述操作结果,根据所述操作结果执行相应操作。
[0016] 本发明一实施例还提供了一种电子装置,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现上
述任一项所述安全管控的方法。
述任一项所述安全管控的方法。
[0017] 本发明一实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有信息处理程序,所述信息处理程序被处理器执行时实现上述任一项所述安全管控的
方法。
方法。
[0018] 本发明实施例提供的技术方案,基于联盟链实现设备之间协同防护,提升了安全防护能力。
[0019] 本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的其他优点可通过在说明书以及附图中
所描述的方案来实现和获得。
所描述的方案来实现和获得。
附图说明
[0020] 附图用来提供对本申请技术方案的理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本申请的技术方案,并不构成对本申请技术方案的限制。
[0021] 图1为本发明一实施例提供的一种安全管控的方法的流程示意图;
[0022] 图2为本发明另一实施例提供的一种安全管控的方法的流程示意图;
[0023] 图3为本发明另一实施例提供的一种安全管控的方法的流程示意图;
[0024] 图4为本发明另一实施例提供的一种安全管控的方法的流程示意图;
[0025] 图5为本发明另一实施例提供的一种安全管控的方法的流程示意图;
[0026] 图6为本发明另一实施例提供的一种安全管控的方法的流程示意图;
[0027] 图7为本发明另一实施例提供的一种安全管控的方法的流程示意图;
[0028] 图8为本发明另一实施例提供的一种安全管控的方法的流程示意图;
[0029] 图9为本发明另一实施例提供的一种安全管控的方法的流程示意图;
[0030] 图10为本发明另一实施例提供的一种安全管控的方法的流程示意图;
[0031] 图11为本发明另一实施例提供的一种安全管控的方法的流程示意图;
[0032] 图12为本发明另一实施例提供的一种安全管控的方法的流程示意图;
[0033] 图13为本发明一实施例中提供的一种配管中心对配置信息的追溯方法的流程示意图;
[0034] 图14为本发明另一实施例提供的一种安全管控的方法的流程示意图;
[0035] 图15为本发明一实施例中提供的一种配管中心对网络数据包的追溯方法的流程示意图;
[0036] 图16为本发明另一实施例提供的一种安全管控的方法的流程示意图;
[0037] 图17为本发明一实施例中提供的一种配管中心对安全网关进行配置修改的方法的流程示意图;
[0038] 图18为本发明一实施例中提供的一种安全网关自检告警的方法的流程示意图;
[0039] 图19为本发明另一实施例提供的一种安全管控的方法的流程示意图;
[0040] 图20为本发明一实施例提供的一种心跳机制的实现方法的流程示意图;
[0041] 图21为本发明一实施例提供的一种安全防护网络的架构示意图;
[0042] 图22为本发明一实施例提供的一种安全防护系统中配管中心和安全网关分组后的架构示意图;
[0043] 图23为本发明一实施例提供的一种安全防护系统中安全关联组的架构示意图;
[0044] 图24为本发明一实施例中提供的一种审计中心与配管中心的架构示意图。
具体实施方式
[0045] 本申请描述了多个实施例,但是该描述是示例性的,而不是限制性的,并且对于本领域的普通技术人员来说显而易见的是,在本申请所描述的实施例包含的范围内可以有更
多的实施例和实现方案。尽管在附图中示出了许多可能的特征组合,并在具体实施方式中
进行了讨论,但是所公开的特征的许多其它组合方式也是可能的。除非特意加以限制的情
况以外,任何实施例的任何特征或元件可以与任何其它实施例中的任何其他特征或元件结
合使用,或可以替代任何其它实施例中的任何其他特征或元件。
多的实施例和实现方案。尽管在附图中示出了许多可能的特征组合,并在具体实施方式中
进行了讨论,但是所公开的特征的许多其它组合方式也是可能的。除非特意加以限制的情
况以外,任何实施例的任何特征或元件可以与任何其它实施例中的任何其他特征或元件结
合使用,或可以替代任何其它实施例中的任何其他特征或元件。
[0046] 本申请包括并设想了与本领域普通技术人员已知的特征和元件的组合。本申请已经公开的实施例、特征和元件也可以与任何常规特征或元件组合,以形成由权利要求限定
的独特的发明方案。任何实施例的任何特征或元件也可以与来自其它发明方案的特征或元
件组合,以形成另一个由权利要求限定的独特的发明方案。因此,应当理解,在本申请中示
出和/或讨论的任何特征可以单独地或以任何适当的组合来实现。因此,除了根据所附权利
要求及其等同替换所做的限制以外,实施例不受其它限制。此外,可以在所附权利要求的保
护范围内进行各种修改和改变。
的独特的发明方案。任何实施例的任何特征或元件也可以与来自其它发明方案的特征或元
件组合,以形成另一个由权利要求限定的独特的发明方案。因此,应当理解,在本申请中示
出和/或讨论的任何特征可以单独地或以任何适当的组合来实现。因此,除了根据所附权利
要求及其等同替换所做的限制以外,实施例不受其它限制。此外,可以在所附权利要求的保
护范围内进行各种修改和改变。
[0047] 此外,在描述具有代表性的实施例时,说明书可能已经将方法和/或过程呈现为特定的步骤序列。然而,在该方法或过程不依赖于本文所述步骤的特定顺序的程度上,该方法
或过程不应限于所述的特定顺序的步骤。如本领域普通技术人员将理解的,其它的步骤顺
序也是可能的。因此,说明书中阐述的步骤的特定顺序不应被解释为对权利要求的限制。此
外,针对该方法和/或过程的权利要求不应限于按照所写顺序执行它们的步骤,本领域技术
人员可以容易地理解,这些顺序可以变化,并且仍然保持在本申请实施例的精神和范围内。
或过程不应限于所述的特定顺序的步骤。如本领域普通技术人员将理解的,其它的步骤顺
序也是可能的。因此,说明书中阐述的步骤的特定顺序不应被解释为对权利要求的限制。此
外,针对该方法和/或过程的权利要求不应限于按照所写顺序执行它们的步骤,本领域技术
人员可以容易地理解,这些顺序可以变化,并且仍然保持在本申请实施例的精神和范围内。
[0048] 图1为本发明一实施例提供的一种安全管控的方法的流程示意图,该方法应用于安全网关,所述安全网关与归属的配管中心以及所述配管中心下属的其他安全网关通过联
盟链形成安全关联组,所述联盟链是由安全防护网络中的全部安全网关和配管中心共同构
建的;
盟链形成安全关联组,所述联盟链是由安全防护网络中的全部安全网关和配管中心共同构
建的;
[0049] 如图1所示,该方法包括:
[0050] 步骤101,安全网关从所述联盟链获取配置信息;所述配置信息为配管中心针对所述安全网关执行关键配置行为生成的信息;所述关键配置行为进行配置生成配置信息的行
为;
为;
[0051] 步骤102,根据所述配置信息进行操作得到操作结果;
[0052] 步骤103,在所述安全关联组中全部其他节点通过所述联盟链对所述安全网关进行身份认证后,将所述操作结果上链。
[0053] 在一示例中,该方法还包括:
[0054] 当所述安全关联组中的其他节点有待上链数据时,所述安全网关通过所述联盟链对所述其他节点进行身份认证。
[0055] 在一示例中,所述配置信息为对安全网关的配置指令,所述操作结果为对所述安全网关的配置结果;
[0056] 所述根据所述配置信息进行操作,包括:根据所述配置指令进行配置。
[0057] 在一示例中,所述配置信息为对安全网关产生的告警生成的应急预案,所述操作结果为所述应急预案的执行结果;
[0058] 所述根据所述配置信息进行操作,包括:执行所述应急预案。
[0059] 在一示例中,该方法还包括:
[0060] 所述安全网关从所述联盟链获取对应的配置结果;
[0061] 判断所述安全网关的实际配置数据与所述对应的配置结果是否一致;
[0062] 当不一致时,产生告警,并在所述安全关联组中全部其他节点通过所述联盟链对所述安全网关进行身份认证后,将所述告警上链。
[0063] 在一示例中,该方法还包括:
[0064] 安全网关从所述联盟链获取网络数据包;所述网络数据包为配管中心针对所述安全网关执行网络数据行为生成的信息;所述网络数据行为为生成信息的行为,所生成的信
息为网络数据包;
息为网络数据包;
[0065] 根据所述网络数据包执行相应操作。
[0066] 在一示例中,所述网络数据包包括以下一个或者多个信息:日志时间戳,日志时间,主机名,进程名,MAC码,源地址IP,目的地址IP,数据包长度、服务类型、优先级、生存时
间、标示,传输层协议类型。
间、标示,传输层协议类型。
[0067] 在一示例中,所述配置信息包括以下一个或者多个信息:
[0068] 目标网关网际互连协议IP地址、管理员标识ID、配管中心IP地址、时间戳、配置内容、告警配置内容。
[0069] 本发明实施例提供的技术方案,安全网关基于联盟链和安全关联组实现网关设备之间协同防护,提升了安全防护能力。
[0070] 图2为本发明另一实施例提供的一种安全管控的方法的流程示意图,该方法应用于安全网关,所述安全网关与归属的配管中心以及所述配管中心下属的其他安全网关通过
联盟链形成安全关联组,所述联盟链是由安全防护网络中的全部安全网关和配管中心共同
构建的;
联盟链形成安全关联组,所述联盟链是由安全防护网络中的全部安全网关和配管中心共同
构建的;
[0071] 如图2所示,该方法包括:
[0072] 步骤201,所述安全网关从所述联盟链获取配置信息;所述配置信息为对安全网关的配置指令;
[0073] 其中,所述配置信息为配管中心针对所述安全网关执行关键配置行为生成的信息。在本示例中,所述关键配置行为为所述配管中心对所述安全网关进行配置生成配置指
令的行为。
令的行为。
[0074] 其中,该配置指令可以是配管中心对安全网关的任一种配置指令,例如配管中心对安全网关的防火墙的配置指令、对安全网关的初始化配置指令等。
[0075] 在一示例中,所述配置信息包括以下一个或者多个信息:
[0076] 目标网关网际互连协议IP地址、管理员标识ID、配管中心IP地址、时间戳、配置内容。其中,配置内容指对安全网关进行设置的各类参数信息。
[0077] 步骤202,所述安全网关根据所述配置指令进行配置得到配置结果;
[0078] 例如,该配置信息为对安全网关的防火墙的配置指令,则该配置结果为对所述防火墙的配置结果;改配置信息为对安全网关的初始化配置指令,则该配置结果为安全网关
的初始化结果。
的初始化结果。
[0079] 在一示例中,在根据所述配置指令进行配置之前,还包括:
[0080] 判断所述配置指令的合法性;
[0081] 当所述配置指令合法时,再根据所述配置指令进行配置。
[0082] 在一示例中,如果所述配置信息为加密数据,还需要对所述配置信息进行解密后得到所述配置信息中的配置指令。
[0083] 在一示例中,配管中心可以预先配置在安全网关中哪些数据需要上链,哪些数据不需要上链,不需要上链的数据可以保存在本地。
[0084] 步骤203,在所述安全关联组中全部其他节点通过所述联盟链对所述安全网关进行身份认证后,所述安全网关将所述配置结果上链。
[0085] 在一示例中,所述安全网关需要先对所述配置结果进行加密操作,再将加密后的所述配置结果上链。
[0086] 其中,安全关联组中的节点之间的身份认证通过联盟链的身份认证技术来实现。如何通过联盟链进行身份认证为现有技术,在此不再赘述。
[0087] 本发明实施例提供的技术方案,安全网关基于联盟链和安全关联组实现网关设备之间协同防护,提升了安全防护能力。另外,由于联盟链的不可篡改特性,能够更好的保护
信息安全。
信息安全。
[0088] 图3为本发明另一实施例提供的一种安全管控的方法的流程示意图,该方法应用于安全网关,所述安全网关与归属的配管中心以及所述配管中心下属的其他安全网关通过
联盟链形成安全关联组,所述联盟链是由安全防护网络中的全部安全网关和配管中心共同
构建的;
联盟链形成安全关联组,所述联盟链是由安全防护网络中的全部安全网关和配管中心共同
构建的;
[0089] 如图3所示,该方法包括:
[0090] 步骤301,所述安全网关从所述联盟链获取对应的配置结果;
[0091] 步骤302,判断所述安全网关的实际配置数据与所述对应的配置结果是否一致;
[0092] 步骤303,当不一致时,产生告警,并在所述安全关联组中全部其他节点通过所述联盟链对所述安全网关进行身份认证后,将所述告警上链;
[0093] 步骤304,从所述联盟链获取配置信息;所述配置信息为所述配管中心对安全网关产生的告警生成的应急预案;
[0094] 在一示例中,所述应急预案包括以下一个或者多个信息:
[0095] 目标网关网际互连协议IP地址、管理员标识ID、配管中心IP地址、时间戳、告警配置内容。其中,告警配置内容指告警相关的信息。
[0096] 步骤305,执行所述应急预案得到执行结果;
[0097] 在一示例中,在执行应急预案之前,该方法还包括:
[0098] 判断所述应急预案的合法性;
[0099] 当所述应急预案合法时,再执行所述应急预案。
[0100] 在一示例中,如果所述配置信息为加密数据,则先对其进行解密得到所述配置信息中的应急预案。
[0101] 步骤306,在所述安全关联组中全部其他节点通过所述联盟链对所述安全网关进行身份认证后,所述安全网关将所述执行结果上链。
[0102] 在一示例中,还可以对所述执行结果进行加密操作,再将加密后的执行结果上链。
[0103] 其中,安全关联组中的节点之间的身份认证通过联盟链的身份认证技术来实现。如何通过联盟链进行身份认证为现有技术,在此不再赘述。
[0104] 在一具体示例中,安全网关查链并获取链上当前配置数据,判断本地实际配置数据与当前配置数据是否一致,当不一致时发现配置被篡改,生成告警信息并报警;将篡改的
配置信息上链;获取告警对应的应急预案并执行,将执行结果上链。
配置信息上链;获取告警对应的应急预案并执行,将执行结果上链。
[0105] 本发明实施例提供的技术方案,安全网关基于联盟链和安全关联组实现网关设备之间协同防护,提升了安全防护能力。另外,由于联盟链的不可篡改特性,能够更好的保护
信息安全。
信息安全。
[0106] 图4为本发明另一实施例提供的一种安全管控的方法的流程示意图,该方法应用于安全网关,所述安全网关与归属的配管中心以及所述配管中心下属的其他安全网关通过
联盟链形成安全关联组,所述联盟链是由安全防护网络中的全部安全网关和配管中心共同
构建的;
联盟链形成安全关联组,所述联盟链是由安全防护网络中的全部安全网关和配管中心共同
构建的;
[0107] 如图4所示,该方法包括:
[0108] 步骤401,所述安全网关从所述联盟链获取配置信息;所述配置信息为配管中心对安全网关的防火墙的配置指令;
[0109] 在一示例中,如果配置信息为加密数据,则需要先对其进行解密。
[0110] 在一示例中,所述配置指令包括以下一个或者多个信息:
[0111] 目标网关网际互连协议IP地址、管理员标识ID、配管中心IP地址、时间戳、配置内容。
[0112] 步骤402,所述安全网关根据所述配置指令对所述防火墙进行配置得到配置结果;
[0113] 在一示例中,还可以先判断对配置指令的合法性,当其合法时,再根据所述配置指令对所述防火墙进行配置。
[0114] 步骤403,在所述安全关联组中全部其他节点通过所述联盟链对所述安全网关进行身份认证后,所述安全网关将所述配置结果上链。
[0115] 在一示例中,还可以先对配置结果进行加密,再将加密后的配置结果上链。
[0116] 其中,安全关联组中的节点之间的身份认证通过联盟链的身份认证技术来实现。如何通过联盟链进行身份认证为现有技术,在此不再赘述。
[0117] 在一具体示例中,安全网关查链并获取链上修改指令,该修改指令为修改防火墙的配置;解密并判断该修改指令的合法性;当合法时修改防火墙模块配置。
[0118] 本发明实施例提供的技术方案,安全网关基于联盟链和安全关联组实现网关设备之间协同防护,提升了安全防护能力。另外,由于联盟链的不可篡改特性,能够更好的保护
信息安全。
信息安全。
[0119] 图5为本发明另一实施例提供的一种安全管控的方法的流程示意图,该方法应用于安全网关,所述安全网关与归属的配管中心以及所述配管中心下属的其他安全网关通过
联盟链形成安全关联组,所述联盟链是由安全防护网络中的全部安全网关和配管中心共同
构建的;
联盟链形成安全关联组,所述联盟链是由安全防护网络中的全部安全网关和配管中心共同
构建的;
[0120] 如图5所示,该方法包括:
[0121] 步骤501,所述安全网关从所述联盟链获取网络数据包;所述网络数据包为配管中心针对所述安全网关执行网络数据行为生成的信息;所述网络数据行为为生成信息的行
为,所生成的信息为网络数据包;
为,所生成的信息为网络数据包;
[0122] 其中,网络数据行为指通用的计算机网络中数据传输的形式,例如TCP/IP协议中规定的以“数据包”为形式的传输。网络数据行为中所要传输的数据以网络数据包的形式发
送。
送。
[0123] 在一示例中,所述网络数据包包括以下一个或者多个信息:日志时间戳,日志时间,主机名,进程名,MAC码,源地址IP,目的地址IP,数据包长度、服务类型、优先级、生存时
间、标示,传输层协议类型。其中,不同的网络数据包对应不同的服务类型。
间、标示,传输层协议类型。其中,不同的网络数据包对应不同的服务类型。
[0124] 步骤502,所述安全网关根据所述网络数据包执行相应操作。
[0125] 其中,根据网络数据包携带的各种信息完成其中记录的要执行的操作。
[0126] 在一示例中,如果网络数据包为加密数据则先进行解密。
[0127] 在一示例中,还可以先判断网络数据包的合法性,当合法时再根据所述网络数据包执行相应操作。
[0128] 本发明实施例提供的技术方案,安全网关基于联盟链获取网络数据包,由于联盟链的不可篡改特性,能够更好的保护信息安全。
[0129] 图6为本发明另一实施例提供的一种安全管控的方法的流程示意图,该方法应用于配管中心,所述配管中心与其他配管中心通过联盟链形成协同防护组,所述联盟链是由
安全防护网络中的全部安全网关和配管中心共同构建的;
安全防护网络中的全部安全网关和配管中心共同构建的;
[0130] 如图6所示,所述方法包括:
[0131] 步骤601,配管中心针对安全网关执行关键配置行为生成配置信息;所述关键配置行为为进行配置生成配置信息的行为;
[0132] 步骤602,在所述协同防护组中全部其他节点通过所述联盟链对所述配管中心进行身份认证后,将所述配置信息上链。
[0133] 在一示例中,该方法还包括:
[0134] 当所述协同防护组中的其他节点有待上链数据时,所述配管中心通过所述联盟链对所述其他节点进行身份认证。
[0135] 在一示例中,在将所述配置信息上链之后,该方法还包括:
[0136] 从所述联盟链获取所述安全网关根据所述配置信息进行操作得到的操作结果;
[0137] 根据所述操作结果执行相应操作。
[0138] 在一示例中,所述关键配置行为为针对所述安全网关进行配置生成配置指令的行为,所述配置信息为对所述安全网关的配置指令;所述操作结果为所述安全网关根据所述
配置指令进行配置的配置结果;
配置指令进行配置的配置结果;
[0139] 所述根据所述操作结果执行相应操作,包括:
[0140] 根据所述配置结果判断所述配置指令是否配置成功。
[0141] 在一示例中,所述关键配置行为为针对所述安全网关产生的告警进行分析生成对应的应急预案的行为;所述配置信息为所述告警对应的应急预案;所述操作结果为所述安
全网关执行所述应急预案的执行结果;
全网关执行所述应急预案的执行结果;
[0142] 所述根据所述操作结果执行相应操作,包括:
[0143] 根据所述执行结果判断所述应急预案是否执行成功;
[0144] 当执行成功时,解除所述告警。
[0145] 在一示例中,在配管中心针对安全网关执行关键配置行为生成配置信息之前,所述方法还包括:
[0146] 从所述联盟链获取所述安全网关的告警。
[0147] 在一示例中,所述配置信息包括以下一个或者多个信息:
[0148] 目标网关IP地址、管理员ID、配管中心IP地址、时间戳、配置内容、告警配置内容。
[0149] 在一示例中,该方法还包括:所述配管中心针对安全网关执行网络数据行为生成网络数据包;所述网络数据行为为生成信息的行为,所生成的信息为网络数据包;
[0150] 在所述协同防护组中全部其他节点通过所述联盟链对所述配管中心进行身份认证后,将所述网络数据包上链。
[0151] 在一示例中,所述网络数据包包括以下一个或者多个信息:日志时间戳,日志时间,主机名,进程名,MAC码,源地址IP,目的地址IP,数据包长度、服务类型、优先级、生存时
间、标示,传输层协议类型。
间、标示,传输层协议类型。
[0152] 在一示例中,该方法还包括:
[0153] 所述配管中心接收待追溯查询请求,所述待追溯查询请求携带待追溯信息;
[0154] 在本地和/或链上数据中查询所述待追溯信息;
[0155] 根据查询结果确定所述待追溯信息的追溯结果。
[0156] 在一示例中,所述待追溯信息包括待追溯配置信息;
[0157] 其中,所述配管中心与下属的安全网关通过所述联盟链形成安全关联组,所述安全关联组以及所述协同防护组中的所有节点在本地以及通过所述联盟链分布式存储每一
个配管中心对归属的安全关联组中每一个安全网关的配置信息及对应的操作结果;
个配管中心对归属的安全关联组中每一个安全网关的配置信息及对应的操作结果;
[0158] 或者,所述待追溯信息包括待追溯网络数据包;
[0159] 其中,所述配管中心与下属的安全网关通过所述联盟链形成安全关联组,所述安全关联组以及所述协同防护组中的所有节点在本地以及通过所述联盟链分布式存储每一
个配管中心对归属的安全关联组中每一个安全网关的网络数据包。
个配管中心对归属的安全关联组中每一个安全网关的网络数据包。
[0160] 本发明实施例提供的技术方案,配管中心基于联盟链和协同防护组实现设备之间协同防护,提升了安全防护能力。
[0161] 图7为本发明另一实施例提供的一种安全管控的方法的流程示意图,该方法应用于配管中心,所述配管中心与其他配管中心通过联盟链形成协同防护组,所述联盟链是由
安全防护网络中的全部安全网关和配管中心共同构建的;
安全防护网络中的全部安全网关和配管中心共同构建的;
[0162] 如图7所示,所述方法包括:
[0163] 步骤701,配管中心针对安全网关执行关键配置行为生成配置信息;所述关键配置行为为进行配置生成配置信息的行为;
[0164] 其中,该配置信息可以是配管中心对安全网关的任一种配置信息,例如该配置信息为配管中心对安全网关的防火墙的配置指令,或者对安全网关的初始化配置指令。
[0165] 步骤702,在所述协同防护组中全部其他节点通过所述联盟链对所述配管中心进行身份认证后,将所述配置信息上链;
[0166] 在一示例中,可以对配置信息加密后再上链。
[0167] 在一示例中,可以在配管中心预先配置哪些数据需要上链,哪些数据不需要上链,不需要上链的数据可以保存在本地。
[0168] 步骤703,从所述联盟链获取所述安全网关根据所述配置信息进行操作得到的操作结果;
[0169] 在一示例中,当所述配置信息为对安全网关的防火墙的配置指令时,所述操作结果为对所述防火墙的配置结果;或者当所述配置信息为对安全网关的初始化配置指令,则
操作结果为初始化配置结果。
操作结果为初始化配置结果。
[0170] 步骤704,根据所述操作结果执行相应操作。
[0171] 在一示例中,如果所述操作结果为加密数据则先解密。
[0172] 在一示例中,可以先判断操作结果的合法性,当合法时再根据所述操作结果执行相应操作。
[0173] 本发明实施例提供的技术方案,配管中心基于联盟链和协同防护组实现设备之间协同防护,提升了安全防护能力。
[0174] 图8为本发明另一实施例提供的一种安全管控的方法的流程示意图,该方法应用于配管中心,所述配管中心与其他配管中心通过联盟链形成协同防护组,所述联盟链是由
安全防护网络中的全部安全网关和配管中心共同构建的;
安全防护网络中的全部安全网关和配管中心共同构建的;
[0175] 如图8所示,所述方法包括:
[0176] 步骤801,配管中心针对安全网关执行关键配置行为生成配置信息;所述配置信息为对所述安全网关的配置指令;
[0177] 在本示例中,所述关键配置行为为针对所述安全网关进行配置生成配置指令的行为。
[0178] 其中,该配置指令可以是配管中心对安全网关的任一种配置指令,例如该配置信息为配管中心对安全网关的防火墙的配置指令,或者对安全网关的初始化配置指令。
[0179] 在一示例中,所述配置指令包括以下一个或者多个信息:
[0180] 目标网关IP地址、管理员ID、配管中心IP地址、时间戳、配置内容。
[0181] 步骤802,在所述协同防护组中全部其他节点通过所述联盟链对所述配管中心进行身份认证后,将所述配置指令上链;
[0182] 在一示例中,可以对配置指令加密后再上链。
[0183] 步骤803,从所述联盟链获取所述安全网关根据所述配置指令进行配置得到的配置结果;
[0184] 步骤804,比对所述配置指令与所述配置结果,判断所述配置指令是否配置成功。
[0185] 在一示例中,如果配置结果为加密数据则先解密。
[0186] 在一示例中,可以先判断配置结果的合法性,当合法时再比对所述配置指令与所述配置结果。
[0187] 在一具体示例中,该方法包括:配管中心生成对安全网关的修改指令,加密修改指令并上链;安全网关获取链上数据并修改网关配置,加密修改结果并上链;配管中心查链并
获取修改结果,自查判断对安全网关的修改是否成功。
获取修改结果,自查判断对安全网关的修改是否成功。
[0188] 本发明实施例提供的技术方案,配管中心基于联盟链和协同防护组实现设备之间协同防护,提升了安全防护能力。
[0189] 图9为本发明另一实施例提供的一种安全管控的方法的流程示意图,该方法应用于配管中心,所述配管中心与其他配管中心通过联盟链形成协同防护组,所述联盟链是由
安全防护网络中的全部安全网关和配管中心共同构建的;
安全防护网络中的全部安全网关和配管中心共同构建的;
[0190] 如图9所示,所述方法包括:
[0191] 步骤901,配管中心从所述联盟链获取所述安全网关的告警;
[0192] 步骤902,针对安全网关执行关键配置行为生成配置信息;所述配置信息为所述告警对应的应急预案;
[0193] 在本示例中,所述关键配置行为为针对所述安全网关产生的告警进行分析生成对应的应急预案的行为;
[0194] 在一示例中,该告警为加密数据时先解密。
[0195] 在一示例中,可以先判断所述告警的合法性,当合法时再进行分析生成对应的应急预案。
[0196] 步骤903,在所述协同防护组中全部其他节点通过所述联盟链对所述配管中心进行身份认证后,将所述应急预案上链;
[0197] 在一示例中,可以先加密所述应急预案,然后再上链。
[0198] 步骤904,从所述联盟链获取所述安全网关执行应急预案得到的执行结果;
[0199] 步骤905,根据所述执行结果判断所述应急预案是否执行成功;
[0200] 在一示例中,该执行结果为加密数据时先解密。
[0201] 在一示例中,可以先判断所述执行结果的合法性,当合法时再判断所述应急预案是否执行成功。
[0202] 步骤906,当执行成功时,解除所述告警。
[0203] 在一具体示例中该方法包括:配管中心从联盟链获取安全网关的告警信息并记录入库,分析告警信息并生成应急预案并上链;所述安全网关从链上获取应急预案并执行,将
执行结果上链;配管中心自查判断隐患是否消除,即查链并获取该应急预案的执行结果,判
断应急预案是否执行成功,当执行成功时,接触告警。
执行结果上链;配管中心自查判断隐患是否消除,即查链并获取该应急预案的执行结果,判
断应急预案是否执行成功,当执行成功时,接触告警。
[0204] 本发明实施例提供的技术方案,配管中心基于联盟链和协同防护组实现设备之间协同防护,提升了安全防护能力。
[0205] 图10为本发明另一实施例提供的一种安全管控的方法的流程示意图,该方法应用于配管中心,所述配管中心与其他配管中心通过联盟链形成协同防护组,所述联盟链是由
安全防护网络中的全部安全网关和配管中心共同构建的;
安全防护网络中的全部安全网关和配管中心共同构建的;
[0206] 如图10所示,所述方法包括:
[0207] 步骤1001,配管中心针对安全网关执行网络数据行为生成网络数据包;所述网络数据行为为生成信息的行为,所生成的信息为网络数据包;
[0208] 在一示例中,所述网络数据包包括以下一个或者多个信息:日志时间戳,日志时间,主机名,进程名,MAC码,源地址IP,目的地址IP,数据包长度、服务类型、优先级、生存时
间、标示,传输层协议类型。
间、标示,传输层协议类型。
[0209] 步骤1002,在所述协同防护组中全部其他节点通过所述联盟链对所述配管中心进行身份认证后,将所述网络数据包上链。
[0210] 在一示例中,可以先对网络数据包加密后再上链。
[0211] 本发明实施例提供的技术方案,配管中心基于联盟链基于联盟链将网络数据包上链,由于联盟链的不可篡改特性,能够更好的保护信息安全。
[0212] 图11为本发明另一实施例提供的一种安全管控的方法的流程示意图,该方法应用于配管中心,所述配管中心与其他配管中心通过联盟链形成协同防护组,所述联盟链是由
安全防护网络中的全部安全网关和配管中心共同构建的;
安全防护网络中的全部安全网关和配管中心共同构建的;
[0213] 如图11所示,所述方法包括:
[0214] 步骤1101,配管中心接收待追溯查询请求,所述待追溯查询请求携带待追溯信息;
[0215] 步骤1102,在本地和/或链上数据中查询所述待追溯信息;
[0216] 步骤1103,根据查询结果确定所述待追溯信息的追溯结果。
[0217] 在一示例中,所述待追溯信息包括待追溯配置信息;
[0218] 其中,所述配管中心与下属的安全网关通过所述联盟链形成安全关联组,所述安全关联组以及所述协同防护组中的所有节点在本地以及通过所述联盟链分布式存储每一
个配管中心对归属的安全关联组中每一个安全网关的配置信息及对应的操作结果。
个配管中心对归属的安全关联组中每一个安全网关的配置信息及对应的操作结果。
[0219] 在另一示例中,所述待追溯信息包括待追溯网络数据包;
[0220] 其中,所述配管中心与下属的安全网关通过所述联盟链形成安全关联组,所述安全关联组以及所述协同防护组中的所有节点在本地以及通过所述联盟链分布式存储每一
个配管中心对归属的安全关联组中每一个安全网关的网络数据包。
个配管中心对归属的安全关联组中每一个安全网关的网络数据包。
[0221] 本发明实施例提供的技术方案,通过对以往信息进行追溯,方便管理人员进行管理。
[0222] 图12为本发明另一实施例提供的一种安全管控的方法的流程示意图,该方法应用于配管中心,所述配管中心与其他配管中心通过联盟链形成协同防护组,所述联盟链是由
安全防护网络中的全部安全网关和配管中心共同构建的;
安全防护网络中的全部安全网关和配管中心共同构建的;
[0223] 如图12所示,所述方法包括:
[0224] 步骤1201,所述配管中心接收第一待追溯查询请求,所述第一追溯查询请求携带待追溯配置信息;
[0225] 步骤1202,分别在本地以及链上数据中查询所述待追溯配置信息;
[0226] 步骤1203,比对在本地与链上数据中的查询结果,根据比对结果确定所述待追溯配置信息的追溯结果。
[0227] 其中,比对结果是指本地的查询结果与链上数据的查询结果相同或者不同。可以将比对结果直接作为追溯结果。
[0228] 其中,所述配管中心与下属的安全网关通过所述联盟链形成安全关联组,所述安全关联组以及所述协同防护组中的所有节点在本地以及通过所述联盟链分布式存储每一
个配管中心对归属的安全关联组中每一个安全网关的配置信息及对应的操作结果。
个配管中心对归属的安全关联组中每一个安全网关的配置信息及对应的操作结果。
[0229] 在一具体示例中,提供了一种配管中心对安全网关策略行为的追溯方法,由于区块链本身特性,安全网关的每一次配置策略(即配置信息)在链上都存有记录,并且不可篡
改。所以配管中心可以追溯同组安全网关的配置策略。在本示例中,提供了一种配管中心对
安全网关的配置与修改进行追溯的策略行为追溯机制,包括:输入查询条件;同时查询本地
数据库中数据和链上数据;数据比对;返回追溯结果。
改。所以配管中心可以追溯同组安全网关的配置策略。在本示例中,提供了一种配管中心对
安全网关的配置与修改进行追溯的策略行为追溯机制,包括:输入查询条件;同时查询本地
数据库中数据和链上数据;数据比对;返回追溯结果。
[0230] 本示例中,配管中心作为安全防护系统中对安全网关的策略进行配置管理的软件工具,可以包括十一个模块:用户管理模块、追溯模块、网络管理模块、网关配置模块、数据
加解密模块、心跳监听模块、告警处置模块、威胁与风险分析模块、记录与查询模块、数据库
模块和区块链模块
加解密模块、心跳监听模块、告警处置模块、威胁与风险分析模块、记录与查询模块、数据库
模块和区块链模块
[0231] 如图13所示,包括:
[0232] 步骤1301,配管中心接收操作人员输入的查询条件,生成待追溯请求;
[0233] 在本示例中,可以由操作人员输入待追溯配置信息,生成待追溯请求,该待追溯请求携带该待追溯配置信息。
[0234] 步骤1302,配管中心同时查询本地数据库中数据和链上数据;
[0235] 在本示例中,可以由配管中心的记录与查询模块依据查询条件,同时查询本地数据库中数据和链上数据。
[0236] 步骤1303,将分别对本地数据库中数据和链上数据进行查询得到的两份数据进行数据比对;
[0237] 在本示例中,可以由行为追溯模块将两份数据进行数据比对。
[0238] 步骤1304,配管中心根据比对结果返回追溯结果;
[0239] 在本示例中,返回待追溯配置的追溯结果。例如配管中心还可以包括显示模块,可以通过显示模块显示追溯结果。
[0240] 其中,所述配管中心与下属的安全网关通过所述联盟链形成安全关联组,所述安全关联组以及所述协同防护组中的所有节点在本地以及通过所述联盟链分布式存储每一
个配管中心对归属的安全关联组中每一个安全网关的配置信息及对应的操作结果。
个配管中心对归属的安全关联组中每一个安全网关的配置信息及对应的操作结果。
[0241] 在另一示例中,配管中心可以只查询本地或者链上数据,例如由记录与查询模块依据查询条件,对本地或者链上数据进行查询。链上数据经解密后返回配置数据,由追溯模
块向操作人员返回追溯结果。
块向操作人员返回追溯结果。
[0242] 本发明实施例提供的技术方案,通过追溯以往配置信息,方便管理人员对以往配置信息进行分析。
[0243] 图14为本发明一实施例提供的一种安全管控的方法的流程示意图,该方法应用于配管中心,所述配管中心与其他配管中心通过联盟链形成协同防护组,所述联盟链是由安
全防护网络中的全部安全网关和配管中心共同构建的;
全防护网络中的全部安全网关和配管中心共同构建的;
[0244] 如图14所示,所述方法包括:
[0245] 步骤1401,所述配管中心接收第二待追溯查询请求,所述第二待追溯查询请求携带待追溯网络数据包;
[0246] 步骤1402,在链上数据中查询所述待追溯网络数据包;
[0247] 步骤1403,将查询到的网络数据包作为追溯结果。
[0248] 其中,所述配管中心与下属的安全网关通过所述联盟链形成安全关联组,所述安全关联组以及所述协同防护组中的所有节点在本地以及通过所述联盟链分布式存储每一
个配管中心对归属的安全关联组中每一个安全网关的网络数据包。
个配管中心对归属的安全关联组中每一个安全网关的网络数据包。
[0249] 在一具体示例中,在另一具体示例中,还提供了一种配管中心对网络数据包进行追溯的追溯机制,包括:输入查询条件;查询链上数据;返回追溯结果。本示例中,配管中心
作为安全防护系统中对安全网关的策略进行配置管理的软件工具,可以包括十一个模块:
用户管理模块、追溯模块、网络管理模块、网关配置模块、数据加解密模块、心跳监听模块、
告警处置模块、威胁与风险分析模块、记录与查询模块、数据库模块和区块链模块
作为安全防护系统中对安全网关的策略进行配置管理的软件工具,可以包括十一个模块:
用户管理模块、追溯模块、网络管理模块、网关配置模块、数据加解密模块、心跳监听模块、
告警处置模块、威胁与风险分析模块、记录与查询模块、数据库模块和区块链模块
[0250] 如图15所示,包括:
[0251] 步骤1501,配管中心接收操作人员输入的查询条件,生成待追溯请求;
[0252] 在本示例中,可以由操作人员输入待追溯网络数据包,生成待追溯请求,该待追溯请起携带该待追溯网络数据包。
[0253] 步骤1502,配管中心根据待追溯请求查询链上数据;
[0254] 在本示例中,可以由配管中心的记录与查询模块依据查询条件,对链上数据进行查询,查询链上数据。
[0255] 步骤1503,将查询到的网络数据包作为追溯结果;
[0256] 在本示例中,可以由记录与查询模块依据查询条件,对链上数据进行查询。链上数据经解密后返回网络数据包数据,由行为追溯模块向操作人员返回追溯结果。
[0257] 步骤1504,返回追溯结果。
[0258] 在本示例中,返回待追溯网络数据包的追溯结果。例如配管中心还可以包括显示模块,可以通过显示模块显示追溯结果。
[0259] 在另一示例中,配管中心可以只查询本地或者同查询本地和链上数据,例如对本地和链上数据进行查询,然后将查询结果作为追溯结果。
[0260] 本发明实施例提供的技术方案,通过追溯以往网络数据包,方便管理人员对网络数据包进行分析。
[0261] 图16为本发明另一实施例提供的一种安全管控的方法的流程示意图,该方法应用于安全防护网络,该网络包括:多个配管中心和多个安全网关,每一个配管中心下属一个或
者多个安全网关;所述安全防护网络中的全部安全网关和配管中心共同构建一个联盟链,
每一个配管中心及下属的安全网关通过所述联盟链形成一个安全关联组,全部配管中心通
过所述联盟链形成协同防护组;
者多个安全网关;所述安全防护网络中的全部安全网关和配管中心共同构建一个联盟链,
每一个配管中心及下属的安全网关通过所述联盟链形成一个安全关联组,全部配管中心通
过所述联盟链形成协同防护组;
[0262] 如图16所示,所述方法包括:
[0263] 步骤1601,配管中心针对安全网关执行关键配置行为生成配置信息;所述关键配置行为为进行配置生成配置信息的行为;在所述协同防护组中全部其他节点通过所述联盟
链对所述配管中心进行身份认证后,将所述配置信息上链;
链对所述配管中心进行身份认证后,将所述配置信息上链;
[0264] 步骤1602,所述安全网关从所述联盟链获取所述配置信息;根据所述配置信息进行操作得到操作结果;在所述安全关联组中全部其他节点通过所述联盟链对所述安全网关
进行身份认证后,将所述操作结果上链;
进行身份认证后,将所述操作结果上链;
[0265] 步骤1603,所述配管中心从所述联盟链获取所述操作结果,根据所述操作结果执行相应操作。
[0266] 其中,对关键配置行为、配置信息、各种操作以及操作结果等的详细解释见上述实施例,在此不再赘述。
[0267] 在一示例中,提供了一种配管中心对安全网关进行配置修改的方法,配管中心对安全网关的策略部署与修改依托区块链架构,通过加密、上链、节点签名背书、信息同步,实
现协同管控。安全网关的网关代理模块将配置数据从区块链上提取后,经过数据解密、数据
组装等操作,通过防火墙模块达到修改网关配置的目的。
现协同管控。安全网关的网关代理模块将配置数据从区块链上提取后,经过数据解密、数据
组装等操作,通过防火墙模块达到修改网关配置的目的。
[0268] 本示例中,安全网关作为安全防护系统部署在网络边界,对内网进行安全防护和隔离的软硬件结合的网络设备,可以包括四个模块:防火墙模块;网关代理模块;加解密模
块;区块链模块。配管中心作为安全防护系统中对安全网关的策略进行配置管理的软件工
具,可以包括十一个模块:用户管理模块、追溯模块、网络管理模块、网关配置模块、数据加
解密模块、心跳监听模块、告警处置模块、威胁与风险分析模块、记录与查询模块、数据库模
块和区块链模块。
块;区块链模块。配管中心作为安全防护系统中对安全网关的策略进行配置管理的软件工
具,可以包括十一个模块:用户管理模块、追溯模块、网络管理模块、网关配置模块、数据加
解密模块、心跳监听模块、告警处置模块、威胁与风险分析模块、记录与查询模块、数据库模
块和区块链模块。
[0269] 如图17所示,该方法包括:
[0270] 步骤1701,配管中心生成修改指令,该修改指令用于对安全网关的防火墙配置进行修改;
[0271] 在本示例中,可以由操作人员输入修改项,配管中心根据该修改项生成修改指令。
[0272] 步骤1702,配管中心加密修改指令并上链;
[0273] 在本示例中,修改指令经加密处理后,通过配管中心内部的区块链节点上链,此操作需要同组其他安全网关协同确认安全网关的身份并签名后才可执行。修改指令上链后通
过区块广播传递到同组所有安全网关节点,安全网关节点对本此修改事务进行账本同步。
过区块广播传递到同组所有安全网关节点,安全网关节点对本此修改事务进行账本同步。
[0274] 步骤1703,安全网关查链并获取链上修改指令;
[0275] 在本示例中,目标安全网关通过内部区块链节点获取链上数据,解密得到修改指令。
[0276] 其中,可以由安全网关的网关代理向区块链模块发送查链请求,目标安全网关提取链上数据,获得针对其的修改指令。
[0277] 步骤1704,安全网关解密链上修改指令并判断修改指令的合法性;
[0278] 在本示例中,可以由目标安全网关的加解密模块对链上数据进行解密,并由网关代理判断修改指令的合法性。
[0279] 步骤1705,当合法时,安全网关根据该修改指令修改防火墙配置;
[0280] 其中,当不合法时,不进行修改。
[0281] 步骤1706,安全网关加密修改结果并上链;
[0282] 在本示例中,目标安全网关防火墙配置的修改结果可以由加解密模块进行加密后,通过网关代理将数据上链。上链操作同样需要同组其他节点签名后执行。随后进行区块
广播至同组其他安全网关和配管中心,并进行账本同步。
广播至同组其他安全网关和配管中心,并进行账本同步。
[0283] 步骤1707,配管中心获取修改结果,自查判断对安全网关防火墙配置的修改是否成功。
[0284] 在本示例中,配管中心对修改指令和修改结果进行比对自查,判断本次修改操作是否完成。
[0285] 本示例提供的技术方案,能够基于区块链技术实现多点协同防护,避免现有安全防护系统中潜在的风险。通过区块链技术实现了对网络系统安全策略配置信息的多点协同
部署与协同防护,与传统的单点安全防护系统相比,有效地保障策略配置与管理的安全性,
提升了网络整体安全防护能力。
部署与协同防护,与传统的单点安全防护系统相比,有效地保障策略配置与管理的安全性,
提升了网络整体安全防护能力。
[0286] 在另一示例中,提供了一种安全网关自检告警的方法。本示例中,安全网关存在本地配置的自查逻辑。安全网关时刻会检查当前防火墙配置是否与链上数据一致,若发现防
火墙配置被篡改,则发出告警。配管中心收到安全网关发送的告警信息后下达相应的应急
预案,应急预案的执行结果得到确认后解除警报,若应急预案无效则人工干预。
火墙配置被篡改,则发出告警。配管中心收到安全网关发送的告警信息后下达相应的应急
预案,应急预案的执行结果得到确认后解除警报,若应急预案无效则人工干预。
[0287] 本示例中,安全网关作为安全防护系统部署在网络边界,对内网进行安全防护和隔离的软硬件结合的网络设备,可以包括四个模块:防火墙模块;网关代理模块;加解密模
块;区块链模块。配管中心作为安全防护系统中对安全网关的策略进行配置管理的软件工
具,可以包括十一个模块:用户管理模块、追溯模块、网络管理模块、网关配置模块、数据加
解密模块、心跳监听模块、告警处置模块、威胁与风险分析模块、记录与查询模块、数据库模
块和区块链模块。
块;区块链模块。配管中心作为安全防护系统中对安全网关的策略进行配置管理的软件工
具,可以包括十一个模块:用户管理模块、追溯模块、网络管理模块、网关配置模块、数据加
解密模块、心跳监听模块、告警处置模块、威胁与风险分析模块、记录与查询模块、数据库模
块和区块链模块。
[0288] 如图18所示,该方法包括:
[0289] 步骤1801,安全网关发现配置篡改,生成告警;
[0290] 在本示例中,安全网关内的网关代理向防火墙发送获取配置请求、向区块链发送查链请求,对防火墙当前配置和经过解密后的区块链链上数据进行对比。若一致则继续下
一次循环,若发现当前配置与链上数据不匹配则向配管中心发出告警。
一次循环,若发现当前配置与链上数据不匹配则向配管中心发出告警。
[0291] 步骤1802,安全网关将告警上链;
[0292] 在本示例中,安全网关将告警上链,并进行区块广播和账本同步。上链操作同样需要同组其他节点签名后执行
[0293] 步骤1803,配管中心从链上获取告警,记录入库;
[0294] 在本示例中,配管中心获取告警后,首先通过记录与查询模块记录告警并存入本地数据库。
[0295] 步骤1804,配管中心分析告警生成应急预案,并将应急预案上链;
[0296] 在本示例中,配管中心中威胁与风险分析模块对告警进行分析,并将分析结果通知给告警处置模块,由告警处置模块生成应急预案,应急预案经加密并由其他节点签名后
上链存储。
上链存储。
[0297] 上链操作同样需要同组其他节点签名后执行。
[0298] 步骤1805,安全网关查链获取应急预案并执行;
[0299] 在本示例中,被攻击的安全网关获取应急预案,并由防火墙模块完成执行。
[0300] 步骤1806,安全网关将应急预案的执行结果上链;
[0301] 在本示例中,将应急预案的执行结果进行上链存储,并进行区块广播和账本同步。
[0302] 上链操作同样需要同组其他节点签名后执行。
[0303] 步骤1807,配管中心从链上获取应急预案的执行结果,自查判断告警是否消除。
[0304] 在本示例中,配管中心从区块链上提取预案执行结果并解密。对应急预案和执行结果进行比对自查,判断是否可以解除警报,或是进一步进行人工干预。
[0305] 本发明实施例提供的技术方案,能够基于区块链技术实现多点协同防护,避免现有安全防护系统中潜在的风险。通过区块链技术实现了对网络系统策略配置行为的多点协
同部署与协同防护,与传统的单点安全防护系统相比,有效地保障策略配置与管理的安全
性,提升了网络整体安全防护能力。
同部署与协同防护,与传统的单点安全防护系统相比,有效地保障策略配置与管理的安全
性,提升了网络整体安全防护能力。
[0306] 图19为本发明另一实施例提供的一种安全管控的方法的流程示意图,该方法应用于安全防护网络,该网络包括:多个配管中心和多个安全网关,每一个配管中心下属一个或
者多个安全网关;所述安全防护网络中的全部安全网关和配管中心共同构建一个联盟链,
每一个配管中心及下属的安全网关通过所述联盟链形成一个安全关联组,全部配管中心通
过所述联盟链形成协同防护组;
者多个安全网关;所述安全防护网络中的全部安全网关和配管中心共同构建一个联盟链,
每一个配管中心及下属的安全网关通过所述联盟链形成一个安全关联组,全部配管中心通
过所述联盟链形成协同防护组;
[0307] 如图19所示,所述方法包括:
[0308] 步骤1901,配管中心针对安全网关执行网络数据行为生成网络数据包;所述网络数据行为为生成信息的行为,所生成的信息为网络数据包;
[0309] 步骤1902,所述配管中心在所述协同防护组中全部其他节点通过所述联盟链对所述配管中心进行身份认证后,将所述网络数据包上链;
[0310] 步骤1903,所述安全网关从所述联盟链获取所述网络数据包;根据所述网络数据包执行相应操作。
[0311] 其中,对网络数据行为、网络数据包、各种操作等的详细解释见上述实施例,在此不再赘述。
[0312] 本发明实施例提供的技术方案,配管中心和安全网关基于联盟链传输网络数据包,由于联盟链的不可篡改特性,能够更好的保护信息安全。
[0313] 在本发明的另一示例中,还提供了一种心跳机制的实现方法,该心跳机制通过数据包实时监听安全网关工作状态,如图20所示,该方法包括:
[0314] 步骤2001,安全网关定时发送心跳数据包;
[0315] 在本示例中,安全网关定时将当前设备状态等信息组装成心跳数据包发送给配管中心。
[0316] 步骤2002,配管中心存储收到的心跳数据包;
[0317] 在本示例中,配管中心接收到心跳数据包,并将其存入本地数据库。
[0318] 步骤2003,配管中心对心跳数据包进行分析。
[0319] 在本示例中,配管中心从数据库中调取心跳数据包并进行分析,分析结果存入本地数据库。若分析结果发现问题,则进行后续干预处理。
[0320] 在另一示例中,配管中心还可以主动向安全网关发送请求获取心跳数据包。例如,若配管中心未收到安全网关发送的心跳数据包,则主动给安全网关发送请求以获取安全网
关当前状态等信息。
关当前状态等信息。
[0321] 本发明实施例通过心跳数据包,方便配管中心对安全网关进行分析。
[0322] 本发明一实施例还提供了一种安全防护网络,该安全防护网络可以包括多个配管中心和多个安全网关,或者还可以包括一个审计中心。如图21所示,该安全防护系统,包括:
1个审计中心、3个配管中心、10个安全网关,3个配管中心和10个安全网关构建成一个联盟
链。
1个审计中心、3个配管中心、10个安全网关,3个配管中心和10个安全网关构建成一个联盟
链。
[0323] 其中,配管中心的功能包括对网络中的安全网关进行配置和管理。例如,可以通过配管中心创建、编辑、下发配置信息从而对目标安全网关进行修改。
[0324] 在一示例中,配管中心还可以根据业务对安全网关进行编组,对组内的安全网关进行增减,同组的安全网关通过区块链形成安全关联,维护一个存有策略信息的分布式账
本,网络中配置和管理安全网关的配管中心可以有多个,并由区块链构建维护同一个分布
式账本,共享对安全网关配置的关键操作信息,同样形成多点协同防护组。例如,可以预先
按照业务类型对安全网关和配管中心进行分组,一个配管中心下属一个或者多个安全网
关,该配管中心对下属的安全网关进行配置和管理。同一个安全网关可以同时归属于多个
配管中心。如图21所示,配管中心A下属3个安全网关,配管中心B下属3个安全网关,配管中
心C下属5个安全网关,配管中心A和B下属的安全网关有重复。
本,网络中配置和管理安全网关的配管中心可以有多个,并由区块链构建维护同一个分布
式账本,共享对安全网关配置的关键操作信息,同样形成多点协同防护组。例如,可以预先
按照业务类型对安全网关和配管中心进行分组,一个配管中心下属一个或者多个安全网
关,该配管中心对下属的安全网关进行配置和管理。同一个安全网关可以同时归属于多个
配管中心。如图21所示,配管中心A下属3个安全网关,配管中心B下属3个安全网关,配管中
心C下属5个安全网关,配管中心A和B下属的安全网关有重复。
[0325] 其中,网络中配置和管理安全网关的配管中心可以有多个,并由区块链构建维护同一个分布式账本,共享对安全网关配置的配置信息,同样形成多点协同防护组。
[0326] 在一示例中,安全防护网络中的全部配管中心通过联盟链形成协同防护组,每一个安全关联组通过联盟链维护一个分布式账本,该分布式账本用于存储该协同防护组中每
一个配管中心的配置信息,例如对网关的配置指令或者对网关发送的告警进行分析生成的
应急预案。在一示例中,多个配管中心通过区块链底层网络构成一个协同防护组,配管中心
的配置信息通过区块链同步到协同防护组的各个节点上,形成对配管中心的协同防护。
一个配管中心的配置信息,例如对网关的配置指令或者对网关发送的告警进行分析生成的
应急预案。在一示例中,多个配管中心通过区块链底层网络构成一个协同防护组,配管中心
的配置信息通过区块链同步到协同防护组的各个节点上,形成对配管中心的协同防护。
[0327] 其中,每一个配管中心及其下属的安全网关通过联盟链形成一个安全关联组,每一个安全关联组通过联盟链维护一个分布式账本,该分布式账本用于存储该安全关联组中
配管中心对每一个安全网关的策略信息,该策略信息可以是配管中心对安全网关的任一种
配置信息,例如对网关防火墙的配置指令以及对应得配置结果。例如图22所示,配管中心A
以及下属的安全网关#A‑1、#A‑2、#A‑3形成组A即安全关联组A,配管中心B以及下属的安全
网关#B‑1、#B‑2、#B‑3形成组B即安全关联组B,配管中心C以及下属的安全网关#C‑1、#C‑2、#
C‑3、#C‑4形成组C即安全关联组C。
配管中心对每一个安全网关的策略信息,该策略信息可以是配管中心对安全网关的任一种
配置信息,例如对网关防火墙的配置指令以及对应得配置结果。例如图22所示,配管中心A
以及下属的安全网关#A‑1、#A‑2、#A‑3形成组A即安全关联组A,配管中心B以及下属的安全
网关#B‑1、#B‑2、#B‑3形成组B即安全关联组B,配管中心C以及下属的安全网关#C‑1、#C‑2、#
C‑3、#C‑4形成组C即安全关联组C。
[0328] 其中,每一个安全网关结合区块链的相关机制,将分布式存储、身份认证、密钥加密、共识机制及不可篡改特性加入到网关的基础功能当中,由传统的单点防护转变为多点
协同防护。同组网关和配管中心之间形成一个区块链底层网络,同样形成多点协同防护机
制,对安全网关的策略配置信息进行分布式存储。针对网关节点的所有上链操作必须由其
他节点全部签名后才能通过,在形成区块后,所有节点会及时同步这次操作和操作内容。例
如图23所示,配管中心A以及安全网关#A‑1、#A‑2、#A‑3通过区块连形成组A,形成多点协同
防护机制,对安全网关的策略配置信息进行分布式存储,并且安全网关#A‑1、#A‑2、#A‑3中
任一个网关的上链操作必须由其他节点全部签名后才能通过。
协同防护。同组网关和配管中心之间形成一个区块链底层网络,同样形成多点协同防护机
制,对安全网关的策略配置信息进行分布式存储。针对网关节点的所有上链操作必须由其
他节点全部签名后才能通过,在形成区块后,所有节点会及时同步这次操作和操作内容。例
如图23所示,配管中心A以及安全网关#A‑1、#A‑2、#A‑3通过区块连形成组A,形成多点协同
防护机制,对安全网关的策略配置信息进行分布式存储,并且安全网关#A‑1、#A‑2、#A‑3中
任一个网关的上链操作必须由其他节点全部签名后才能通过。
[0329] 其中,审计中心可获取并分析全网数据,实现同权的配管中心之间审计操作和分析数据的功能。例如图24所示,审计中心可以从配管中心A、B、C中获取数据进行审计操作和
分析。审计中心可获取并分析全网数据,并能够形成安全态势报告,实现同权的配管中心之
间审计操作和分析数据的功能。审计中心在系统中拥有全网所有数据的只读权限。作为数
据收集、数据审计和全网安全态势生成的重要组成部分。在一示例中,审计中心作为安全防
护系统中对全网数据进行审计和分析的软件工具,包括八个模块:安全态势生成与展示模
块;链上数据审计模块;网络威胁分析模块;数据库模块;加解密模块;链上数据收集模块;
威胁数据收集模块;区块链模块。
分析。审计中心可获取并分析全网数据,并能够形成安全态势报告,实现同权的配管中心之
间审计操作和分析数据的功能。审计中心在系统中拥有全网所有数据的只读权限。作为数
据收集、数据审计和全网安全态势生成的重要组成部分。在一示例中,审计中心作为安全防
护系统中对全网数据进行审计和分析的软件工具,包括八个模块:安全态势生成与展示模
块;链上数据审计模块;网络威胁分析模块;数据库模块;加解密模块;链上数据收集模块;
威胁数据收集模块;区块链模块。
[0330] 其中,审计中心和配管中心可部署到PC机上,安全网关可用专用原型设备,也可通过服务器构建虚拟安全网关节点。
[0331] 本发明实施例采用联盟链架构,构建安全关联的安全网关,由多个配管中心协同分组管理安全网关,配置的资源数据由审计中心集中统一分析。通过区块链分布式账本的
不可篡改、共识机制、去中心化特性实现协同防护,提升安全防护能力。
不可篡改、共识机制、去中心化特性实现协同防护,提升安全防护能力。
[0332] 在本发明的另一实施例中,还提供了一种电子装置,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执
行时实现上述安全网关执行的任一项所述安全管控方法,或者上述配管中心执行的任一项
所述安全管控方法。
行时实现上述安全网关执行的任一项所述安全管控方法,或者上述配管中心执行的任一项
所述安全管控方法。
[0333] 在本发明的另一实施例中,还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有信息处理程序,所述信息处理程序被处理器执行时实现上述安全网关执
行的任一项所述安全管控方法,或者上述配管中心执行的任一项所述安全管控方法。
行的任一项所述安全管控方法,或者上述配管中心执行的任一项所述安全管控方法。
[0334] 本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,
在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个
物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些组
件或所有组件可以被实施为由处理器,如数字信号处理器或微处理器执行的软件,或者被
实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读
介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时
性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如
计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非
易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其
他存储器技术、CD‑ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他
磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此
外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模
块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息
递送介质。
在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个
物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些组
件或所有组件可以被实施为由处理器,如数字信号处理器或微处理器执行的软件,或者被
实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读
介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时
性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如
计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非
易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其
他存储器技术、CD‑ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他
磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此
外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模
块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息
递送介质。