[发明专利]一种电信网络的资产安全管理方法、系统及网元设备

权利要求书

1.一种电信网络的资产安全管理方法，应用于包括：至少一个网元设备的电信网络；其特征在于，该方法包括：

网元设备对其相邻网元设备中包含的各资产进行安全状态跟踪，并按安全状态对各资产进行安全管理。

2.根据权利要求1所述的方法，其特征在于，所述网元设备对相邻网元设备中包含的各资产进行安全状态跟踪并按安全状态对各资产进行安全管理，包括：

记录各相邻网元设备包含的各资产的安全状态；

当该设备收到相邻网元设备包含资产的访问请求或信息时，若该资产状态为信任，则处理该访问请求或接收该信息；若该资产状态为不信任，则拒绝处理该访问请求或拒绝接收该信息。

3.根据权利要求2所述的方法，其特征在于，该方法进一步包括：对各相邻网元设备中包含的资产进行资产登记。

4.根据权利要求3所述的方法，其特征在于，所述对各相邻网元设备中包含的资产进行资产登记，包括：

划分网元设备包含的资产的类型，确定每一类型对应的资产并记录。

5.根据权利要求4所述的方法，其特征在于，所划分的资产的类型包括：物理系统、或主机操作系统、或应用软件、或数据库，或这四者的任意组合。

6.根据权利要求2所述的方法，其特征在于，所述记录相邻网元设备中包含的各资产的安全状态为：

建立由黑名单和白名单构成的黑白名单，在该白名单中记录状态为信任的相邻网元设备的资产的信息，在该黑名单中记录状态为不信任的相邻网元设备包含的资产的信息；

当该用于进行安全管理的网元设备收到来自于相邻网元设备的资产的访问请求或信息时，进一步包括：查询该黑白名单，若该相邻网元设备的资产的信息记录在黑名单中，则该相邻网元设备的资产的状态为不信任；若该相邻网元设备的资产的信息记录在白名单中，则该相邻网元设备的资产的状态为信任。

7.根据权利要求6所述的方法，其特征在于，所述建立由黑名单和白名单构成的黑白名单包括：

创建黑名单和白名单，在白名单中加入该用于进行安全管理的网元设备的所有相邻网元设备中的所有资产的信息，设定该黑名单的初始内容为空；

所述在该白名单中记录状态为信任的相邻网元设备的资产的信息，在该黑名单中记录状态为不信任的相邻网元设备的资产的信息，包括：

当白名单中记录的一个资产的状态由信任转为不信任时，将该资产的信息记录在黑名单中并从白名单中自动删除该资产的信息；当黑名单中有一个资产的状态由不信任转为信任时，将该资产的信息记录在白名单中并从黑名单中自动删除该资产的信息。

8.根据权利要求6所述的方法，其特征在于，所述建立由黑名单和白名单构成的黑白名单包括：

创建黑名单和白名单，设定该白名单和黑名单的初始内容均为空；

所述在该白名单中记录状态为信任的相邻网元设备的资产的信息，在该黑名单中记录状态为不信任的相邻网元设备的资产的信息，包括：

确定初始的各相邻网元设备的资产状态，将状态为不信任的资产信息记录在黑名单中，将状态为信任的资产信息记录在白名单中；

当黑名单中有一个资产的状态由不信任转为信任时，将该资产的信息记录在白名单中并从黑名单中自动删除该资产的信息；当白名单中记录的一个资产的状态由信任转为不信任时，将该资产的信息记录在黑名单中并从白名单中自动删除该资产的信息。

9.根据权利要求7或8所述的方法，其特征在于，该方法进一步包括：根据预先设定的策略确定状态由信任转为不信任的资产。

10.根据权利要求9所述的方法，其特征在于，所述预先设定的策略为：

当一个资产出现故障以至不能正常运转时，该资产的状态由信任转为不信任；和/或，

当收到一个资产直接或间接发送的用于指示自身受到无法自动恢复或隔离安全侵害的安全告警时，该资产的状态由信任转为不信任；和/或

当收到网管控制系统发出的针对至少一个资产的安全隔离告警时，该至少一个资产的状态由信任转为不信任。

11.根据权利要求7或8所述的方法，其特征在于，该方法进一步包括：根据预先设定的策略确定状态由不信任转为信任的资产。