[发明专利]安全组策略管理方法、装置、设备及计算机可读存储介质

说明书

本发明公开了一种安全组策略管理方法、装置、设备及计算机可读存储介质，涉及金融科技领域，该方法包括以下步骤：根据预设区域映射关系为安全组策略中的源IP匹配相应的源区域，和目标IP匹配相应的目标区域；根据预设审计规则、所述源区域和目标区域判断所述安全组策略是否违规；若所述安全组策略违规，则对所述安全组策略进行安全管控。实现了自动根据安全组策略中的源IP、目标IP所属的区域和预设审计规则判断安全组策略是否违规，从而在安全组策略违规时自动对该安全组策略提起安全管控，进而实现了对安全组策略的自动化审计，提升了安全组策略的审计效率，从而能够对海量的安全组策略进行全面的审计。

技术领域

本发明涉及金融科技(Fintech)的网络安全领域，尤其涉及一种安全组策略管理方法、装置、设备及计算机可读存储介质。

背景技术

随着计算机技术的发展，越来越多的技术应用在金融领域，传统金融业正在逐步向金融科技(Fintech)转变，但由于金融行业的安全性、实时性要求，也对技术提出了更高的要求。

云服务平台是一种新的企业信息化服务模式和管理方式，能够把海量的、高度虚拟化的企业资源和应用管理起来，组成一个集资源池、企业应用为一体的统一服务。

银行等金融机构的云服务平台上的安全组是基于本地防火墙实现的，其使用与传统的网络层防火墙有本质的区别，且其中的策略与云主机的对应关系极其复杂，随着时间推移，伴随着越来越多的新系统上线，云上就会有越来越多的安全组策略。鉴于安全组策略能够直接影响企业公有云的网络安全，因此安全组策略的合格性就极其重要。现有的对安全组策略的合规性的审计是通过人工逐条审核的，面对海量的安全组策略，无法对安全组策略的合规性做出全面的、自动化的审计。显然面对与云主机具有复杂对应关系的安全组策略，现有的安全组策略审计方案无法做到对越来越多的安全组策略的自动化审计，这种情况不符合银行等金融机构的业务需求，影响银行等金融机构对各种业务平台(如开发贷款业务平台、存款业务平台等)的安全组策略管理。

发明内容

本发明的主要目的在于提供一种安全组策略管理方法、装置、设备及可读存储介质，旨在解决现有技术无法对安全组策略的合规性做出全面的自动化审计的技术问题。

为实现上述目的，本发明提供一种安全组策略管理方法，所述安全组策略管理方法包括以下步骤：

根据预设区域映射关系为安全组策略中的源IP匹配相应的源区域，和目标IP匹配相应的目标区域；

根据预设审计规则、所述源区域和目标区域判断所述安全组策略是否违规；

若所述安全组策略违规，则对所述安全组策略进行安全管控。

可选地，所述根据预设区域映射关系为安全组策略中的源IP匹配相应的源区域，和目标IP匹配相应的目标区域的步骤之前，还包括：

判断所述安全组策略是否在白名单中；

若所述安全组策略不在白名单中，则执行步骤：根据预设区域映射关系为安全组策略中的源IP和目标IP匹配相应的所属区域。

可选地，所述根据预设区域映射关系为安全组策略中的源IP匹配相应的源区域，和目标IP匹配相应的目标区域的步骤之前，还包括：

根据所述安全组策略中的源IP和目标IP是否存在于下线IP库中判断所述安全组策略中是否包括下线IP；

若所述安全组策略中不包括下线IP，则执行步骤：根据预设区域映射关系为安全组策略中的源IP和目标IP匹配相应的所属区域；

若所述安全组策略中包括下线IP，则将所述安全组策略下线。

可选地，所述根据预设审计规则、所述源区域和目标区域判断所述安全组策略是否违规的步骤包括：