[发明专利]基于形式化方法的网络安全策略验证系统及方法

摘要

一种基于形式化方法的安全策略验证系统及方法，系统由策略验证和发布中心、终端设备和数据库服务器组成。方法为策略验证和发布中心的信息收集模块从终端设备提取信息，漏洞检测与修复模块进行漏洞检测与修复，策略形式化模块生成安全策略，策略一致性验证模块对安全策略进行冲突检测和消除，策略完备性验证模块对安全策略进行完备性验证和修复，策略比较模块将当前终端设备上运行的安全策略与管理员期望的配置进行比较，策略配置模块将安全策略转换成终端设备能识别的命令，发给终端设备执行。本发明对网络安全策略的验证具有通用性、完整性、易用性和自动化的优点。

主权项

一种基于形式化方法的网络安全策略验证系统，包括策略验证和发布中心、终端设备、数据库服务器，其中：所述的策略验证和发布中心，包括信息收集模块、漏洞检测与修复模块、策略形式化模块、策略一致性验证模块、策略完备性验证模块、策略比较模块、策略分发模块，其中，所述的信息收集模块，用于按照自定义的文件格式，从终端设备中提取系统信息、应用程序信息、进程信息、路由器信息、交换机信息、防火墙信息，存入数据库服务器的终端设备信息库中；所述的漏洞检测与修复模块，用于以从主机或者服务器提取的系统信息、应用程序信息、进程信息为索引，在互联网上的漏洞信息库查找与被检测主机或者服务器有关的漏洞信息，将存在的漏洞信息存入数据库服务器的本地漏洞库中，以检测出的漏洞为索引，在互联网上搜索并下载与该漏洞相关的补丁，存入数据库服务器的本地补丁库中，并用这些补丁对该漏洞进行修复，在数据库服务器的系统日志中添加漏洞是否成功修复的记录；所述的策略形式化模块，用于根据从终端设备收集的信息生成自定义的策略格式，供后续进行安全策略的验证；所述的策略一致性验证模块，用于对安全策略进行冲突检测，并对检测出的冲突进行消除；所述的策略完备性验证模块，用于对安全策略进行完备性验证，找出安全策略存在的缺陷，并对其进行修复；所述的策略比较模块，用于将安全策略库中存储的安全策略与管理员期望的安全策略进行比较，对存在差异的策略进行重新配置；所述的策略分发模块，用于根据终端设备的类型，将安全策略转换成相应的配置命令，发给终端设备执行，对终端设备的安全策略进行重新配置；所述的数据库服务器，包括漏洞库、补丁库、终端设备信息库、安全策略库和系统日志库，其中，所述的漏洞库，用于存储主机或者服务器上的检测出的漏洞的信息；所述的补丁库，用于存储主机或者服务器中已经安装的补丁的信息；所述的安全策略库，用于存储当前终端设备的安全策略；所述的系统日志库，用于存储漏洞是否成功修复的记录、安全策略冲突检测事件、安全策略冲突消除事件、安全策略完备性验证事件、安全策略缺陷修复事件和安全策略重新配置事件。