[发明专利]一种安全策略适配框架及其方法

摘要

本发明实施方式公开了一种安全策略适配框架及其方法。该方法包括：预存目标对象的安全信息以及策略转换的安全信息；扫描目标对象，以获取目标对象的安全信息；对目标对象的原始策略进行词法和语法分析，并进行策略语义转换，进一步采用基于策略转换的安全信息的策略组装技术将经过策略语义转换后的策略转换为适合多个目标对象的可执行安全策略规则；根据目标对象的安全信息，将适合目标对象的可执行安全策略规则下发给目标对象实施执行。通过上述方式，本发明能够用自然语言描述的通用安全策略转换为目标对象中可执行的安全策略规则，具有较强的通用性，支持多种异构安全设备的安全策略集中统一管理。

主权项

1.一种安全策略适配方法，其特征在于，所述方法包括：预存目标对象的安全信息以及策略转换的安全信息,所述目标对象的安全信息的存储采用面向对象表示法进行表示，采用树型结构组织策略知识、策略属性、形式化策略与可执行策略之间的层次结构关系，在存储过程中，保持策略知识的语义一致性和完整性；扫描所述目标对象，以获取所述目标对象的安全信息；对所述目标对象的原始策略进行词法和语法分析，并进行策略语义转换，进一步采用基于所述策略转换的安全信息的策略组装技术将经过策略语义转换后的策略转换为适合多个目标对象的可执行安全策略规则；根据所述目标对象的安全信息，将适合所述目标对象的可执行安全策略规则下发给所述目标对象实施执行；其中，所述策略转换的安全信息包括安全策略模板、适合不同等级保护的等级安全要求、安全场景和安全需求的安全策略和规范、主流操作系统、安全设备的安全策略和规范、配置文件、配置内容及相应的取值；所述对所述目标对象的原始策略进行词法和语法分析，并进行策略语义转换，进一步采用基于所述策略转换的安全信息的策略组装技术将经过策略语义转换后的策略转换为适合多个目标对象的可执行安全策略规则的步骤包括：词法和语法分析步骤：将所述原始策略的字符串进行词法分析扫描，识别出策略关键字及相应的值，按照策略描述语言既定的语法规则对原始策略进行语法检查，并识别出相应的语法成分，经过词法分析和语法分析处理后，形成原始策略的中间策略，所述原始策略为用自然语言或半形式化语言描述的通用安全策略，所述策略关键字及相应的值优选以键值的形式存在；策略语义转换步骤：根据所述目标对象中的系统软件、安全设备类型以及安全要求信息，将所述原始策略的高层抽象语义结合所述策略转换中相应的系统软件和设备类型的实施策略信息，转换为所述目标对象的低层抽象语义；策略组装步骤：采用预定的搜索策略对存储的策略转换的安全信息进行搜索，以获得所述中间策略相对应的策略转换的安全信息，其中，所述搜索策略包括广度优先搜索策略以及深度优先搜索策略，再根据所述低层抽象语义获取到所述词法和语法分析步骤得到的中间策略相对应的策略转换的安全信息，进而利用所述策略转换的安全信息结合所述目标对象的安全信息，对所述词法和语法分析步骤得到的中间策略组装形成适合所述目标对象的可执行策略规则。