安全策略运维评估的方法及装置的制造方法
【技术领域】
[0001] 本发明涉及通信技术领域,尤其涉及一种安全策略运维评估的方法及装置。
【背景技术】
[0002] 近年来网络技术的不断发展,为了保护网络用户的数据安全,设置网络防火墙成 为了必不可少的安全措施。防火墙是不同网络或网络安全域之间信息的唯一出入口,它通 过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运 行状况,有选择地接受外部访问,对内部强化设备监管、控制对服务器与外部网络的访问, 以防止发生不可预测的、潜在的破坏性侵入。随着企业办公网络化的普及,防火墙已经在企 业网络中广泛应用。为了满足网络业务变化和企业安全的要求,在一些大型企业的网络中, 防火墙安全策略的数量已经超过万条。
[0003] 现有技术至少存在如下问题,对于越来越复杂的防火墙安全策略,管理人员没有 办法对其运维的情况及安全策略优化工作的成效直接进行判断,也很难得到直观的综合数 据对安全策略的运维进行精细化管理,从而不能直观地评估和监控防火墙安全策略的合理 性、安全性和运维工作的效果。
【发明内容】
[0004] 本发明的实施例提供一种安全策略运维评估的方法及装置,能够解决不能正确、 直观的评估防火墙安全策略运维状况。
[0005] 为达到上述目的,本发明的实施例采用如下技术方案:
[0006] 第一方面,本发明的实施例提供一种安全策略运维评估的方法,包括:
[0007] 对防火墙策略数据进行策略分析获得策略参数,所述策略参数包括冗余策略参 数、未命中策略参数和风险策略参数;
[0008] 根据所述策略参数计算策略健康度;
[0009] 根据所述策略健康度生成评估报告。
[0010] 结合第一方面,在第一种可能的实现方式中,在所述根据所述策略参数计算策略 健康度之前,所述方法还包括:
[0011] 设置防火墙策略数据的权值,所述防火墙策略数据的权值包括完全冗余策略权值 FRW、部分冗余策略权值PRW、未使用策略权值NUW、高风险策略权值HRW、中风险策略权值 MRW和低风险策略权值LRW。
[0012] 可选的,所述对防火墙策略数据进行策略分析获得策略参数包括:
[0013] 对防火墙策略数据进行冗余策略分析,分析所述防火墙策略数据中策略的覆盖情 况;
[0014] 对冗余策略分析后的所述防火墙策略数据进行命中分析,统计所述防火墙策略数 据中策略的命中次数;
[0015] 对命中分析后的所述防火墙策略数据进行风险策略分析,使用特定的风险规则分 析所述防火墙策略数据的风险。
[0016] 可选的,在所述对策略数据进行策略分析之前,所述方法还包括:
[0017] 获取防火墙策略数据;
[0018] 归一化处理所述防火墙策略数据。
[0019] 结合第一种可能的实现方式,在第二种可能的实现方式中,所述冗余策略参数包 括完全冗余策略数FRn和部分冗余策略数PRn,所述未命中策略参数包括未使用策略数 NUn,所述风险策略参数包括高风险策略数HRn、中风险策略数MRn和低风险策略数LRn ;
[0020] 所述根据所述策略参数计算策略健康度包括:
[0021] 通过计算公式计算所述策略健康度,所述计算公式为:
[0022]
【主权项】
1. 一种安全策略运维评估的方法,其特征在于,包括: 对防火墙策略数据进行策略分析获得策略参数,所述策略参数包括冗余策略参数、未 命中策略参数和风险策略参数; 根据所述策略参数计算策略健康度; 根据所述策略健康度生成评估报告。
2. 根据权利要求1所述的方法,其特征在于,在所述根据所述策略参数计算策略健康 度之前,所述方法还包括: 设置防火墙策略数据的权值,所述防火墙策略数据的权值包括完全冗余策略权值FRW、 部分冗余策略权值PRW、未使用策略权值NUW、高风险策略权值HRW、中风险策略权值MRW和 低风险策略权值LRW。
3. 根据权利要求2所述的方法,其特征在于,所述冗余策略参数包括完全冗余策略数 FRn和部分冗余策略数PRn,所述未命中策略参数包括未使用策略数NUn,所述风险策略参 数包括高风险策略数HRn、中风险策略数MRn和低风险策略数LRn; 所述根据所述策略参数计算策略健康度包括: 通过计算公式计算所述策略健康度,所述计算公式为:
其中,A为策略健康度的值,FRW>PRW彡0,NUW彡0,HRW>MRW>LRW彡0,FRW+NUW+HRW=100,PT为所述防火墙策略数据中策略总数。
4. 根据权利要求1所述的方法,其特征在于,所述对防火墙策略数据进行策略分析获 得策略参数包括: 对防火墙策略数据进行冗余策略分析,分析所述防火墙策略数据中策略的覆盖情况; 对冗余策略分析后的所述防火墙策略数据进行命中分析,统计所述防火墙策略数据中 策略的命中次数; 对命中分析后的所述防火墙策略数据进行风险策略分析,使用特定的风险规则分析所 述防火墙策略数据的风险。
5. 根据权利要求1所述的方法,其特征在于,在所述对策略数据进行策略分析之前,所 述方法还包括: 获取防火墙策略数据; 归一化处理所述防火墙策略数据。
6. -种安全策略运维评估的装置,其特征在于,包括: 分析单元,用于对防火墙策略数据进行策略分析获得策略参数,所述策略参数包括冗 余策略参数、未命中策略参数和风险策略参数; 计算单元,用于根据所述分析单元获得的所述策略参数计算策略健康度; 评估单元,用于根据所述计算单元计算的所述策略健康度生成评估报告。
7. 根据权利要求6所述的装置,其特征在于,所述装置还包括: 设置单元,用于设置防火墙策略数据的权值,所述防火墙策略数据的权值包括完全冗 余策略权值FRW、部分冗余策略权值PRW、未使用策略权值NUW、高风险策略权值HRW、中风险 策略权值MRW和低风险策略权值LRW。
8. 根据权利要求7所述的装置,其特征在于,所述冗余策略参数包括完全冗余策略数 FRn和部分冗余策略数PRn,所述未命中策略参数包括未使用策略数NUn,所述风险策略参 数包括高风险策略数HRn、中风险策略数MRn和低风险策略数LRn; 所述计算单元包括: 计算子单元,用于通过计算公式计算所述策略健康度,所述计算公式为:
其中,A为策略健康度的值,FRW>PRW彡0,NUW彡0,HRW>MRW>LRW彡0,FRW+NUW+HRW=100,PT为所述防火墙策略数据中策略总数。
9. 根据权利要求6所述的装置,其特征在于,所述分析单元包括: 分析子单元,用于对防火墙策略数据进行冗余策略分析,分析所述防火墙策略数据中 策略的覆盖情况; 所述分析子单元还用于对冗余策略分析后的所述防火墙策略数据进行命中分析,统计 所述防火墙策略数据中策略的命中次数; 所述分析子单元还用于对命中分析后的所述防火墙策略数据进行风险策略分析,使用 特定的风险规则分析所述防火墙策略数据的风险。
10. 根据权利要求6所述的装置,其特征在于,所述装置还包括: 获取单元,用于获取防火墙策略数据; 处理单元,用于归一化处理所述获取单元获取的所述防火墙策略数据。
【专利摘要】本发明实施例公开了一种安全策略运维评估的方法及装置,涉及通信技术领域,能够正确、直观的评估防火墙安全策略运维状况。本发明的方法包括:对防火墙策略数据进行策略分析获得策略参数,所述策略参数包括冗余策略参数、未命中策略参数和风险策略参数;根据所述策略参数计算策略健康度;根据所述策略健康度生成评估报告。本发明适用于策略运维评估系统。
【IPC分类】H04L29-06, H04L12-26
【公开号】CN104580090
【申请号】CN201310495143
【发明人】刘剑波
【申请人】华为技术有限公司
【公开日】2015年4月29日
【申请日】2013年10月18日