[发明专利]一种网络安全规则自动化部署方法及系统

说明书

技术领域

本发明涉及网络安全领域，尤其涉及一种网络安全规则自动化部署方法及系统。

背景技术

随着网络在日常生产及生活中的大量应用，网络安全问题日益凸显并对网络用户造成很大的困扰。尤其是在例如工业控制领域这样的特殊应用领域中，随着工业控制自动化进程的深入，工业控制网络与外部互联网或企业办公网络的信息交互日趋频繁，使得工业控制网络不断面临着来自外部互联网的恶意攻击和内部人员的误操作等威胁。因为早期工控设备使用环境相对封闭，所以工业控制系统在开发时往往更重视功能的实现，而缺少对工控网络自身安全的关注，这也导致工业控制系统中存在不可避免的安全缺陷。

分布式的网络安全保护构架能够满足不同形态和规模的工控网络，同时也能够适应工控网络结构和规模的变化，系统的灵活性可以得到充分的体现。分布式网络安全保护系统在关键位置上设置安全保护设备，从而实现整个工控网络的安全。

在复杂的网络环境下，常常需要多个安全保护设备。传统的安全解决方案常常需要对每个安全设备分别设置安全规则。由于没有考虑到设备之间的联系，人工部署非常复杂，并容易产生人为引起的错误。当用户需要改变规则时，由于系统的复杂性，很难为每个保护设备及时的更新准确的新规则。

发明内容

为解决上述现有技术中存在的问题，本发明提出了一种网络安全规则自动化部署的方法和系统：

一种网络安全规则自动化部署方法，包括以下步骤：步骤一，基于通信网络系统的网络拓扑结构，分析网络拓扑结构的连通性，确定各个保护设备的监控和保护区域；步骤二，分析所述通信系统的整体安全规则中每个规则项与所述保护设备之间的匹配关系；步骤三，根据所述整体安全规则项中的源地址和目标地址与通信网络拓扑结构的比较,自动修改规则项,为每个所述的保护设备生成定制化的安全规则；步骤四，将生成的定制化的安全规则自动部署到所述的每个保护设备中。

进一步地，步骤一中使用图论法对网络拓扑结构的连通性进行分析以及确定所述保护设备的监控和保护区域。

进一步地，步骤二中的整体安全规则为可以保证整个系统安全工作的安全规则，其由多个规则项组成，每个规则项包括源地址、目标地址、规则内容以及应对措施。

进一步地，步骤三中的所述定制化安全规则为对保护设备定制的的安全规则。

进一步地，步骤四中通过设置保护设备配置的方式向所述每个保护设备部署定制化的安全规则。

本发明还提供一种网络安全规则自动化部署系统，包括中央管理系统、保护设备、用户设备以及通讯网络，所述中央管理系统与每个保护设备连通，所述每个保护设备与用户设备连通。

进一步地，中央管理系统收集用户整体安全规则以及为每个保护设备生成定制的安全规则，并自动化部署。

进一步地，保护设备从所述中央管理系统接收定制化安全规则作为配置文件，并按照定制化安全规则的规则项实现用户设备的数据通讯监测和/或保护。

进一步地，用户设备可以为交换机、工作站、服务器以及可编程逻辑控制器中的一种或几种。

进一步地，保护设备可以为网关、IDS、IPS中的一种或几种。

本发明所产生的有益效果在于：

1.提供了一种为网络中的每个保护设备自动生成定制化的安全规则的通用方法，在部署时自动修改规则的源地址和目标地址以确保生成的定制化安全规则符合用户整体规则并满足用户对整体网络安全的需要，提高了网络通信系统的易用性和可扩展性；

2.提供了一种网络安全规则自动部署系统，该系统可以使用上述通用的安全规则自动部署方法，针对每个安全设备生成定制化的安全规则并完成自动部署，极大地提高了安全规则的部署效率及准确性。

附图说明

图1为使用本发明的网络安全规则自动部署方法及系统的通信网络拓扑图；

图2为通信网络中保护设备A所监测和保护区域的网络拓扑图；

图3为通信网络中保护设备B所监测和保护区域的网络拓扑图；

图4为通信网络中保护设备C所监测和保护区域的网络拓扑图；

图5为通信网络中保护设备D所监测和保护区域的网络拓扑图；

图6为生成定制化安全规则并部署的流程图。

附图标记：1-8用户设备

具体实施方式

以下以工业控制网络安全规则自动部署方法和系统为例对本发明进行详细阐述，应当注意的是，下列实施例仅用于对本发明进行说明而非作为对本发明的限制。本发明的网络安全规则自动部署方法和系统除了可以应用在工业控制网络中，还可以用于任何其他的分布式网络。