[发明专利]一种资产自动防护的方法及装置

权利要求书

1.一种资产自动防护的方法，其特征在于，该方法包括：

录入资产配置表，得到资产信息以及所属业务系统信息；

将扫描器对资产的扫描结果和业务系统进行关联，确定业务系统下所有资产的暴露面，包括：

根据扫描得到的资产的IP、MAC地址、端口暴露面和应用信息，到资产配置表中检索资产；

如果检索到资产，则将该资产和业务系统进行关联，并记录该资产的暴露面；

如果检索不到资产，则将该资产信息发给资产管理员，由资产管理员去确认该资产所属业务系统，并重新录入资产配置表；

根据资产的暴露面和访问路径得到资产的访问关系，资产的访问路径通过资产上的安全组信息以及安全设备上的安全策略得到，包括：

首先分别筛选安全设备中源地址和资产1的IP有交集，目的地址和资产2的IP有交集的安全策略；

将得到的安全策略和安全组规则取交集，获取资产1到资产2的访问路径，再根据资产2的暴露面，获取资产1到资产2的访问关系；

重复前两步，得到资产2到资产1的访问关系；

根据业务系统的访问基线和业务系统下的资产信息，得到所有资产的访问基线；

将资产的访问关系与对应的访问基线进行比对，得到比对结果；

根据比对结果进行安全决策和安全实施；安全实施包括变更安全策略、调整安全组规则和关闭暴露端口。

2.根据权利要求1所述的资产自动防护的方法，其特征在于，所述资产信息包括资产IP地址、资产MAC地址、资产ID号、资产操作系统、资产上部署的应用和端口暴露面。

3.根据权利要求1所述的资产自动防护的方法，其特征在于，将扫描器对资产的扫描结果和业务系统进行关联，确定业务系统下所有资产的暴露面，包括：

根据扫描得到的资产的IP、MAC地址、端口暴露面和应用信息，到资产配置表中检索资产；

如果检索到资产，则将该资产和业务系统进行关联，并记录该资产的暴露面；

如果检索不到资产，则将该资产信息发给资产管理员，由资产管理员去确认该资产所属业务系统，并重新录入资产配置表。

4.根据权利要求1所述的资产自动防护的方法，其特征在于，所述比对结果包括一致和不一致，其中不一致包括安全策略的地址过于宽松、端口过于宽松、地址过窄和端口过窄。

5.根据权利要求1所述的资产自动防护的方法，其特征在于，根据比对结果进行安全决策和安全实施，包括：

当地址过于宽松时，则调整安全设备上的安全策略或者安全组规则；

当端口过于宽松时，则关闭资产上宽松的端口或者调整安全设备的安全策略或者调整安全组规则；

当地址过窄或者端口过窄时，则发送告警信息给运维人员，运维人员再进行安全实施，包括：开放资产端口、增加安全设备的安全策略和增加安全组规则。

6.一种资产自动防护的装置，其特征在于，该装置包括：

资产管理模块，用于录入资产配置表，得到资产信息以及所属业务系统信息；

资产扫描模块，用于使用扫描技术对公司资产进行扫描，得到资产的IP、MAC地址、端口暴露面和应用信息；

资产分析模块，用于分析资产的访问关系和访问基线，并得到分析比对结果；

资产分析模块包括资产暴露面管理子模块、资产访问关系管理子模块；其中：

资产暴露面管理子模块，用于将扫描器对资产的扫描结果和业务系统进行关联，确定业务系统下所有资产的暴露面；

资产访问关系管理子模块，用于通过资产上的安全组信息以及安全设备上的安全策略得到资产的访问路径，然后根据资产的暴露面和访问路径得到资产的访问关系，包括：

首先分别筛选安全设备中源地址和资产1的IP有交集，目的地址和资产2的IP有交集的安全策略；

将得到的安全策略和安全组规则取交集，获取资产1到资产2的访问路径，再根据资产2的暴露面，获取资产1到资产2的访问关系；

重复前两步，得到资产2到资产1的访问关系；

安全实施模块，用于根据比对结果进行安全决策和安全实施，安全决策确定是否由系统自动实施安全实施，其中安全实施包括变更安全策略、调整安全组规则和关闭暴露端口。