[发明专利]一种安全策略适配框架及其方法

权利要求书

1.一种安全策略适配方法，其特征在于，所述方法包括：

预存目标对象的安全信息以及策略转换的安全信息,所述目标对象的安全信息的存储采用面向对象表示法进行表示，采用树型结构组织策略知识、策略属性、形式化策略与可执行策略之间的层次结构关系，在存储过程中，保持策略知识的语义一致性和完整性；

扫描所述目标对象，以获取所述目标对象的安全信息；

对所述目标对象的原始策略进行词法和语法分析，并进行策略语义转换，进一步采用基于所述策略转换的安全信息的策略组装技术将经过策略语义转换后的策略转换为适合多个目标对象的可执行安全策略规则；

根据所述目标对象的安全信息，将适合所述目标对象的可执行安全策略规则下发给所述目标对象实施执行；

其中，所述策略转换的安全信息包括安全策略模板、适合不同等级保护的等级安全要求、安全场景和安全需求的安全策略和规范、主流操作系统、安全设备的安全策略和规范、配置文件、配置内容及相应的取值；

所述对所述目标对象的原始策略进行词法和语法分析，并进行策略语义转换，进一步采用基于所述策略转换的安全信息的策略组装技术将经过策略语义转换后的策略转换为适合多个目标对象的可执行安全策略规则的步骤包括：

词法和语法分析步骤：将所述原始策略的字符串进行词法分析扫描，识别出策略关键字及相应的值，按照策略描述语言既定的语法规则对原始策略进行语法检查，并识别出相应的语法成分，经过词法分析和语法分析处理后，形成原始策略的中间策略，所述原始策略为用自然语言或半形式化语言描述的通用安全策略，所述策略关键字及相应的值优选以键值的形式存在；

策略语义转换步骤：根据所述目标对象中的系统软件、安全设备类型以及安全要求信息，将所述原始策略的高层抽象语义结合所述策略转换中相应的系统软件和设备类型的实施策略信息，转换为所述目标对象的低层抽象语义；

策略组装步骤：采用预定的搜索策略对存储的策略转换的安全信息进行搜索，以获得所述中间策略相对应的策略转换的安全信息，其中，所述搜索策略包括广度优先搜索策略以及深度优先搜索策略，再根据所述低层抽象语义获取到所述词法和语法分析步骤得到的中间策略相对应的策略转换的安全信息，进而利用所述策略转换的安全信息结合所述目标对象的安全信息，对所述词法和语法分析步骤得到的中间策略组装形成适合所述目标对象的可执行策略规则。

2.根据权利要求1所述的方法，其特征在于，所述目标对象的安全信息包括所述目标对象的设备类型、系统软件、业务软件类型及系统补丁信息、可能存在的漏洞及安全风险、已部署的安全策略及安全要求。

3.根据权利要求1所述的方法，其特征在于，所述以适合所述目标对象的策略下发给所述目标对象实施执行的步骤包括：

以命令行、配置脚本或策略结构的形式下发给所述目标对象实施执行。