[发明专利]一种基于策略和规则的安全审计系统

说明书

本发明公开了一种基于策略和规则的安全审计系统，无需对现有的网络系统进行修改，包括无需修改现有的不具备安全功能的网络进行修改，仅需通过部署安全配置策略审计系统，即可为现有的网络系统访问控制安全防护，对当前网络内设网关设备众多、类型、厂商愈加复杂情况下，该安全策略设计系统具有可适配国内外绝大部分网关厂商产品，不限于防火墙、路由器、交换机，可实现自动采集设别策略、日志，适配性高，兼容型好，自动化程度高，可提供策略配置优化建议、安全审计、网络拓扑分析、合规性设计等功能。

技术领域

本发明涉及安全审计系统技术领域，尤其涉及一种基于策略和规则的安全审计系统。

背景技术

相对于其他安全产品，防火墙在网络的应用中要普遍的多，同时在安全市场上也是相对要成熟的技术。目前市场上的主流防火墙有思科、华为、Juniper、Checkpoint等几大品牌。

Cisco的PIX防火墙和IOS防火墙都实现的是状态数据报过滤。对于通过这些防火墙的过滤来说，防火墙维护了与连接状态相关的内部信息，并且在一定程度上能够检查数据报内的数据。

华为防火墙则通过设置，可以灵活地划分安全区域，不仅能设置为预定义的本地区域（Local）、受信区（Trust）、非受信区（Untrust）、DMZ（Demilitarized Zone）区或者虚拟区域（Vzone），还可以自定义为其他安全级别的区域。当数据在分属于两个不同安全级别的接口之间流动的时候，会激活Eudemon 1000E 的安全规则检查功能。

Juniper 防火墙作为专业的网络安全设备，可以支持各种复杂网络环境中的网络安全应用需 求；但是由于部署模式及功能的多样性使得 Juniper 防火墙在实际部署时具有一定的复杂性。

CheckPoint防火墙可以为复杂基础架构中的多个网络提供综合全面的保护，帮助它们安全的连接到互联网和 DMZ 等共享的资源，并且实现了在提供集中管理的同时允许它们之间进行安全互动。 该防火墙网关利用一台硬件设备就可以帮助各单位创建一个包括路由器、交换机和 VPN-1 网关的复杂、虚拟的网络，其负责安全保护和联网的物理设备，减少了为整个网络提供安全保障所需的硬件投入。

防火墙策略审计及安全域连通性自动分析对防火墙的管理和网络优化相当重要，因为充分的分析能够帮助管理员进行正确决策，并能随时掌握防火墙的当前工作状态，检查网络运行实况，并给出防火墙配置中存在问题，给出修改建议，提升网络管理水平。

那么当前相关的分析平台还很少，而且均是针对单一网络设备产品、单独部门使用的小型软件，没有统一的集成平台，这对于现有防火墙的使用管理带来诸多不便，也存在许多不足，比如部分软件仅是针对一些网络系统管理员用户来开发的，可以满足小型机构内部网络检测的要求，但是如果拥有不同的防火墙，则其并不能满足所要的需求，且扩展性，所以应该根据需要进行集成开发。

根据以上现状，我们可以充分的认识到防火墙策略审计及安全域连通性自动分析的重要性，以及对其进行分析研究的内容广度，因此我们需要对各种防火墙的现有版本进行研究，分析其配置策略及方法，提出共同特性，进而开发出能够进行统一分析防火墙相关配置文件的平台。

发明内容

本发明的目的就在于为了解决上述问题而提供一种基于策略和规则的安全审计系统。

本发明通过以下技术方案来实现上述目的：

本发明包括

对外接入层，包含用户通过浏览器访问Web页面、基于webservice等其他接口技术的的第三方模块调用，提供对外的数据查询，数据导入导出等接口；

核心服务层，包含策略分析引擎、安全配置采集引擎、网络扫描引擎、统一分析引擎；

系统处理层，包含数据处理和系统服务；