[发明专利]一种电信网络的资产安全管理方法、系统及网元设备

说明书

技术领域

本发明涉及网络安全领域，特别涉及一种电信网络的资产(Asset，或称Product)安全管理方法、系统及网元设备。

背景技术

目前，电信网络中在进行资产安全管理时，主要针对的是物理资产，如：网元设备、系统主机、服务器、安全设备(如硬件防火墙、IDS)等，并通过网管系统进行集中管理，而管理方法也基本以状态监控、主机加固(如在主机安装防火墙和反病毒软件)等几种机制为主。虽然现有的网络安全管理方法能够预防一些安全风险，并且在出现安全事件后能够通知系统采取一定的措施，但延时较长，容易使危害在更大范围内扩散。例如：若某网元设备被高级病毒攻击且该网元设备主机的反病毒软件已经无法有效工作，这时该网元设备既使及时的上报了情况，等到网管人员进行处理时很可能已经造成了病毒扩散，或者由于解决时间的延误而导致系统运转不良等问题。此外，随着电信网络中安全问题的日益复杂化，如：设备的功能融合、硬件功能软件化等，与安全相关的网络资产已经不再局限于物理资产，还包括越来越多的信息资产的内容，如：软件、数据库等。以下对现存的几种网络安全管理方法加以简述。

目前普遍采用一种网络系统集中安全控制方法，在这种方法下，网管系统接收网元设备发送的运行状态报告和安全报告并进行判断，然后根据判断结果发出告警或交付工单系统，由工作人员去进行处理或者自动封闭相关的通信端口，在事故处理完毕后再由网管人员恢复系统。这种技术方案实际上是一种中央控制式的管理方法，由于网元设备的数量众多，形式各异，而且考虑到实际的组网和网络维护工作流程，因此网管系统很难在第一时间且在最小范围内自动隔离受侵害资产。

另外，现有电信网络管理系统还可以通过向设备发出带不信任资产标识的隔离通知，接收到通知的设备根据通知内容采取封闭物理端口等手段进行安全隔离。这种方法在虚拟专网(VPN)中比较常见，可以较为迅速的实现对不信任资产的安全隔离，在完成隔离动作后设备会继续调度其他的任务。但是，该技术针对一些特殊的安全攻击方式是存在缺陷的，下面结合图1对此方法存在的问题加以进一步说明。

图1为现有网络安全管理方法的处理示意图。图1所示的系统中包含：设备A、B、C、D，以及网管中心，其中，A为中间设备分别连接设备B、D和A，C为数据源。如图1所示，攻击者可以采用如下步骤实现对某设备的攻击：

①外部攻击者攻击有读取设备C数据的权限的设备B，使设备B成为不信任设备；

②设备B向网管系统发出告警，或者网管系统通过其它方式得知设备B受到攻击；

③网管中心向与设备B相连的中间设备A发出安全隔离告警；

④中间设备A根据安全策略封闭设备B的通信端口；

⑤攻击者继续攻击与中间设备相连的设备D，以达到通过设备D转发信息的目的；

⑥攻击者通过设备D伪造设备B的身份向中间设备A发送对数据源C的读取请求，并请求将读取到的数据转发给设备D；

⑦由于设备A只是封闭了设备B的通信端口，其应用层依然承认B的身份有效，所以在接收到读取请求后将会成功认证B的身份并读取数据源C的数据内容，然后转发给设备D，此时攻击者获得数据信息，达到攻击目的。

因此，现有网络安全技术不能够有效阻止电信网络中由于某一设备受到攻击而带来的所有风险。

发明内容

有鉴于此，本发明的主要目的在于提供一种电信网络的资产安全管理方法、系统，能够实现基于网元设备的资产安全管理。

本发明的另一主要目的在于提供一种网元设备，该网元设备能对其周边资产进行安全管理。

为达到上述目的，本发明的技术方案是这样实现的：

本发明公开了一种电信网络的资产安全管理方法，应用于包括：至少一个网元设备的电信网络；该方法包括：网元设备对其相邻网元设备中包含的各资产进行安全状态跟踪并按安全状态对各资产进行安全管理。

上述方案中，所述网元设备对各相邻网元设备中包含的各资产进行安全状态跟踪并按安全状态进行安全管理，包括：用于进行安全管理的网元设备记录各相邻网元设备包含的各资产的状态；当该用于进行安全管理的网元设备收到相邻网元设备包含的资产的访问请求或信息时，若该资产的状态为信任，则处理该访问请求或接收该信息；若该资产的状态为不信任，则拒绝处理该访问请求或拒绝接收该信息。

上述方案中，所述记录相邻网元设备中包含的各资产的状态为：