安全业务编排方法、编排器和系统与流程

1.本公开涉及安全领域，特别涉及一种安全业务编排方法、编排器和系统。


背景技术：

2.目前，为提高安全资产的利用效率，很多安全应用都采用集约化部署。例如漏洞扫描器、网站拨测系统对实时性和并发性要求都不高，因此适合集约化部署。


技术实现要素：

3.发明人注意到，面对5g切片网络，业务网络的隔离特性会对集约化安全能力的实施带来困难。这主要体现在两方面：首先，被保护资产隔离在不同网段中，会导致单点安全设备网络不可达。其次，如果配置安全设备同时连通所有网络，这个全连通点将破坏切片网络的隔离特性，成为黑客可以利用的网络薄弱点。
4.为此，本公开提供一种安全业务编排方案，能够使集中安全机制能够完全覆盖所有切片网络，在降低部署待机代价的同时还能保证资产的安全性。
5.根据本公开实施例的第一方面，提供一种安全业务编排方法，包括：在接收到需要进行编排的安全设备信息后，从安全设备策略库中获取与所述安全设备相关联的安全策略表；从与所述安全设备相关联的安全策略表中提取出防护目标资产信息、安全策略信息和安全策略执行频次信息；所述防护目标资产信息与防护目标资产库进行比对，以获取与防护目标资产相关联的切片网络信息；将所述安全策略信息以防护目标资产粒度进行分解，以得到按不同防护目标资产进行分类的安全策略细表；根据与防护目标资产相关联的切片网络信息，将所述安全策略细表进行合并，以得到与切片网络相关联的安全策略表；根据所述安全策略执行频次信息确定与切片网络相关联的安全策略表中的每个安全策略的执行周期和次序，以生成安全编排表；建立任务时序，并按照任务时序将与切片网络相关联的安全策略表中的安全策略下发给安全设备；在接收到所述安全设备发送的安全策略生效的反馈信息后，触发网络编排器进行网络编排，以便调整相应的切片网络至安全设备上；在网络编排完成后，控制所述安全设备执行安全任务。
6.在一些实施例中，在接收到所述安全设备发送的执行时长信息后，根据所述执行时长信息调整与切片网络相关联的安全策略表中的每个安全策略的执行时序，其中所述安全设备在安全任务执行完毕后发送所述执行时长信息。
7.在一些实施例中，在得到与切片网络相关联的安全策略表后，对与切片网络相关联的安全策略表进行检查；若与切片网络相关联的安全策略表不存在策略错误与冲突，则执行生成安全编排表的步骤。
8.根据本公开实施例的第二方面，提供一种安全业务编排器，包括：第一处理模块，被配置为在接收到需要进行编排的安全设备信息后，从安全设备策略库中获取与所述安全设备相关联的安全策略表，从与所述安全设备相关联的安全策略表中提取出防护目标资产信息、安全策略信息和安全策略执行频次信息；第二处理模块，被配置为将所述防护目标资
产信息与防护目标资产库进行比对，以获取与防护目标资产相关联的切片网络信息，将所述安全策略信息以防护目标资产粒度进行分解，以得到按不同防护目标资产进行分类的安全策略细表，根据与防护目标资产相关联的切片网络信息，将所述安全策略细表进行合并，以得到与切片网络相关联的安全策略表；第三处理模块，被配置为根据所述安全策略执行频次信息确定与切片网络相关联的安全策略表中的每个安全策略的执行周期和次序，以生成安全编排表，建立任务时序，并按照任务时序将与切片网络相关联的安全策略表中的安全策略下发给安全设备，在接收到所述安全设备发送的安全策略生效的反馈信息后，触发网络编排器进行网络编排，以便调整相应的切片网络至安全设备上，在网络编排完成后，控制所述安全设备执行安全任务。
9.在一些实施例中，第二处理模块还被配置为在接收到所述安全设备发送的执行时长信息后，根据所述执行时长信息调整与切片网络相关联的安全策略表中的每个安全策略的执行时序，其中所述安全设备在安全任务执行完毕后发送所述执行时长信息。
10.在一些实施例中，第二处理模块还被配置为在得到与切片网络相关联的安全策略表后，对与切片网络相关联的安全策略表进行检查，若与切片网络相关联的安全策略表不存在策略错误与冲突，则执行生成安全编排表的操作。
11.根据本公开实施例的第三方面，提供一种全业务编排器，包括：存储器，被配置为存储指令；处理器，耦合到存储器，处理器被配置为基于存储器存储的指令执行实现如上述任一实施例所述的方法。
12.根据本公开实施例的第四方面，提供一种安全业务编排系统，包括：如上述任一实施例所述的安全业务编排器；安全设备策略库，被配置为存储与安全设备相关联的安全策略表；防护目标资产库，被配置为存储与防护目标资产相关联的切片网络信息；网络编排器，被配置为根据安全业务编排器的触发操作进行网络编排，以便调整相应的切片网络至安全设备上；安全设备，被配置为在安全业务编排器发送的安全策略生效后，将安全策略生效的反馈信息发送给安全业务编排器，还被配置为在网络编排完成后，根据安全业务编排器的控制执行安全任务。
13.在一些实施例中，安全设备还被配置为在安全任务执行完毕后，将执行时长信息发送给安全业务编排器。
14.根据本公开实施例的第五方面，提供一种计算机可读存储介质，其中，计算机可读存储介质存储有计算机指令，指令被处理器执行时实现如上述任一实施例涉及的方法。
15.通过以下参照附图对本公开的示例性实施例的详细描述，本公开的其它特征及其优点将会变得清楚。
附图说明
16.为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
17.图1为本公开一个实施例的安全业务编排方法的流程示意图；
18.图2为本公开一个实施例的安全业务编排器的结构示意图；
19.图3为本公开另一个实施例的安全业务编排器的结构示意图；
20.图4为本公开一个实施例的安全业务编排系统的结构示意图。
具体实施方式
21.下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本公开及其应用或使用的任何限制。基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。
22.除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
23.同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
24.对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。
25.在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。
26.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。
27.图1为本公开一个实施例的安全业务编排方法的流程示意图。在一些实施例中，下列的安全业务编排方法由安全业务编排器执行。
28.在步骤101，在接收到需要进行编排的安全设备信息后，从安全设备策略库中获取与安全设备相关联的安全策略表。
29.在步骤102，从与安全设备相关联的安全策略表中提取出防护目标资产信息、安全策略信息和安全策略执行频次信息。
30.在步骤103，将防护目标资产信息与防护目标资产库进行比对，以获取与防护目标资产相关联的切片网络信息。
31.在步骤104，将安全策略信息以防护目标资产粒度进行分解，以得到按不同防护目标资产进行分类的安全策略细表。
32.在步骤105，根据与防护目标资产相关联的切片网络信息，将安全策略细表进行合并，以得到与切片网络相关联的安全策略表。
33.在一些实施例中，在得到与切片网络相关联的安全策略表后，对与切片网络相关联的安全策略表进行检查，以防止出现策略错误与冲突。若与切片网络相关联的安全策略表不存在策略错误与冲突，则执行下面的生成安全编排表的步骤。
34.在步骤106，根据安全策略执行频次信息确定与切片网络相关联的安全策略表中的每个安全策略的执行周期和次序，以生成安全编排表。
35.在步骤107，建立任务时序，并按照任务时序将与切片网络相关联的安全策略表中的相应安全策略下发给安全设备。
36.在步骤108，在接收到安全设备发送的安全策略生效的反馈信息后，触发网络编排
器进行网络编排，以便调整相应的切片网络至安全设备上。
37.在步骤109，在网络编排完成后，控制安全设备执行安全任务。
38.在一些实施例中，在接收到安全设备发送的执行时长信息后，根据执行时长信息调整与切片网络相关联的安全策略表中的每个安全策略的执行时序，其中安全设备在安全任务执行完毕后发送执行时长信息。
39.图2为本公开一个实施例的安全业务编排器的结构示意图。如图2所示，安全业务编排器包括第一处理模块21、第二处理模块22和第三处理模块23。
40.第一处理模块21被配置为在接收到需要进行编排的安全设备信息后，从安全设备策略库中获取与安全设备相关联的安全策略表，从与安全设备相关联的安全策略表中提取出防护目标资产信息、安全策略信息和安全策略执行频次信息。
41.第二处理模块22被配置为将防护目标资产信息与防护目标资产库进行比对，以获取与防护目标资产相关联的切片网络信息，将安全策略信息以防护目标资产粒度进行分解，以得到按不同防护目标资产进行分类的安全策略细表，根据与防护目标资产相关联的切片网络信息，将安全策略细表进行合并，以得到与切片网络相关联的安全策略表；
42.第三处理模块23被配置为根据安全策略执行频次信息确定与切片网络相关联的安全策略表中的每个安全策略的执行周期和次序，以生成安全编排表，建立任务时序，并按照任务时序将与切片网络相关联的安全策略表中的安全策略下发给安全设备，在接收到安全设备发送的安全策略生效的反馈信息后，触发网络编排器进行网络编排，以便调整相应的切片网络至安全设备上，在网络编排完成后，控制安全设备执行安全任务。
43.在一些实施例中，第二处理模块22还被配置为在接收到安全设备发送的执行时长信息后，根据执行时长信息调整与切片网络相关联的安全策略表中的每个安全策略的执行时序，其中安全设备在安全任务执行完毕后发送执行时长信息。
44.在一些实施例中，第二处理模块22还被配置为在得到与切片网络相关联的安全策略表后，对与切片网络相关联的安全策略表进行检查，若与切片网络相关联的安全策略表不存在策略错误与冲突，则执行生成安全编排表的操作。
45.图3为本公开另一个实施例的安全业务编排器的结构示意图。如图3所示，安全业务编排器包括存储器31和处理器32。
46.存储器31用于存储指令，处理器32耦合到存储器31，处理器32被配置为基于存储器存储的指令执行实现如图1中任一实施例涉及的方法。
47.如图3所示，该安全业务编排器还包括通信接口33，用于与其它设备进行信息交互。同时，该安全业务编排器还包括总线34，处理器32、通信接口33、以及存储器31通过总线34完成相互间的通信。
48.存储器31可以包含高速ram存储器，也可还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。存储器31也可以是存储器阵列。存储器31还可能被分块，并且块可按一定的规则组合成虚拟卷。
49.此外处理器32可以是一个中央处理器cpu，或者可以是专用集成电路asic，或是被配置成实施本公开实施例的一个或多个集成电路。
50.本公开同时还涉及一种计算机可读存储介质，其中计算机可读存储介质存储有计算机指令，指令被处理器执行时实现如图1中任一实施例涉及的方法。
51.图4为本公开一个实施例的安全业务编排系统的结构示意图。如图4所示，安全业务编排系统包括安全业务编排器41、安全设备策略库42、防护目标资产库43、网络编排器44和安全设备45。安全业务编排器41为图2或图3中任一实施例涉及的安全业务编排器。
52.安全设备策略库42被配置为存储与安全设备相关联的安全策略表。防护目标资产库43被配置为存储与防护目标资产相关联的切片网络信息。
53.网络编排器44被配置为根据安全业务编排器41的触发操作进行网络编排，以便调整相应的切片网络至安全设备上。
54.安全设备45被配置为在安全业务编排器41发送的安全策略生效后，将安全策略生效的反馈信息发送给安全业务编排器，还被配置为在网络编排完成后，根据安全业务编排器的控制执行安全任务。
55.在一些实施例中，安全设备45还被配置为在安全任务执行完毕后，将执行时长信息发送给安全业务编排器41。
56.在一些实施例中，在上面所描述的功能单元模块可以实现为用于执行本公开所描述功能的通用处理器、可编程逻辑控制器(programmable logic controller，简称：plc)、数字信号处理器(digital signal processor，简称：dsp)、专用集成电路(application specific integrated circuit，简称：asic)、现场可编程门阵列(field-programmable gate array，简称：fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意适当组合。
57.通过实施本公开，能够得到以下有益效果：
58.针对集约化安全能力在5g切片网络场景方案所提出的协同编排技术，解决了其在面对切片网络新场景的不适应问题，有助于推进集约化建设方案的演进，提高了集约化安全方案的应用范围与利用率。
59.通过编排器进行安全策略与网络转换协同，实现了5g切片网络场景的动态自适应，可以推动自动化运营机制的落地实施，促进安全运营提升效率。
60.本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。
61.本公开的描述是为了示例和描述起见而给出的，而并不是无遗漏的或者将本公开限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本公开的原理和实际应用，并且使本领域的普通技术人员能够理解本公开从而设计适于特定用途的带有各种修改的各种实施例。