本發(fā)明實(shí)施方式涉及信息安全技術(shù)領(lǐng)域，特別是涉及一種安全策略適配框架及其方法。

背景技術(shù)：

隨著云計(jì)算和大數(shù)據(jù)時(shí)代的到來，云計(jì)算和大數(shù)據(jù)安全問題逐漸成為現(xiàn)代信息安全所要解決的主要問題。解決云計(jì)算和大數(shù)據(jù)安全問題的有效途徑之一即是安全管理，而安全策略管理是實(shí)現(xiàn)安全管理的重要手段，它是安全管理的核心，通過安全策略的集中統(tǒng)一的配置和管理能實(shí)現(xiàn)系統(tǒng)、安全設(shè)備等安全機(jī)制的高效管理，提高系統(tǒng)、安全設(shè)備的運(yùn)行效率。

然而，安全策略管理的現(xiàn)狀是，在諸如云計(jì)算環(huán)境這樣的大規(guī)模分布式環(huán)境中，隨著安全設(shè)備越來越多、應(yīng)用訪問越來越廣、結(jié)構(gòu)越來越復(fù)雜，對高效管理復(fù)雜多樣的安全設(shè)備提出近乎苛刻的要求。這些種類繁多的安全軟件和設(shè)備，其各自的安全管理接口都不開放，即使開放所要求的格式、數(shù)據(jù)類型也千差萬別，無法實(shí)現(xiàn)安全策略的集中而統(tǒng)一的自適應(yīng)部署和管理；由于當(dāng)前沒有制定統(tǒng)一的策略標(biāo)準(zhǔn)和策略描述規(guī)范，各個(gè)廠商提供的安全設(shè)備都具有自己獨(dú)立的一套策略定義和描述規(guī)范，造成兼容性較差，互操作性不強(qiáng)，接口不規(guī)范。要實(shí)現(xiàn)真正意義上的與廠商無關(guān)的策略管理，必須制定一種各廠商都能接受的統(tǒng)一策略規(guī)范描述標(biāo)準(zhǔn)和協(xié)議。作為策略的一大分支，安全策略在繼承策略基本特征的基礎(chǔ)上，賦予了新的內(nèi)涵。同時(shí)，安全策略也存在著不同的表達(dá)方式和適用的范圍，即策略層次。策略層次的不同影響著策略的轉(zhuǎn)換效果，高層抽象策略通常以自然語言的形式存在，描述的是系統(tǒng)安全需求和安全管理目標(biāo)，必須轉(zhuǎn)換為較低層次的策略才能實(shí)施執(zhí)行。

80年代起，英國皇家學(xué)院分布式系統(tǒng)管理小組的領(lǐng)袖人物Morris Sloman最先推廣策略概念，并開展與策略相關(guān)課題的研究。隨后，IETF、DMTF等國際標(biāo)準(zhǔn)組織、國外學(xué)術(shù)機(jī)構(gòu)和知名網(wǎng)絡(luò)設(shè)備廠商也對策略管理的相關(guān)問題展開研究，產(chǎn)生了一些實(shí)現(xiàn)策略管理解決方案的思路和技術(shù)。但這些解決方案往往局限于特定企業(yè)的產(chǎn)品，因?yàn)闆]有推出基于策略、策略描述、策略管理的標(biāo)準(zhǔn)，兼容性較差。

鑒于上述情況，IETF等推出了基于策略管理的標(biāo)準(zhǔn)體系結(jié)構(gòu)以及多種不同的策略描述規(guī)范如貝爾實(shí)驗(yàn)室的PDL策略描述語言、英國皇家學(xué)院的PONDER策略描述語言、OASIS的xACML通用訪問控制策略語言和執(zhí)行授權(quán)策略框架，但仍然缺乏通用的語言規(guī)范標(biāo)準(zhǔn)。國內(nèi)對這方面的研究相對較少，或多或少都有些缺陷，不能滿足現(xiàn)有的策略管理要求

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明實(shí)施方式主要解決的技術(shù)問題是提供一種安全策略適配框架及其方法。能夠用自然語言描述的通用安全策略轉(zhuǎn)換為目標(biāo)對象中可執(zhí)行的安全策略規(guī)則，具有較強(qiáng)的通用性，支持多種異構(gòu)安全設(shè)備的安全策略集中統(tǒng)一管理。

為解決上述技術(shù)問題，本發(fā)明實(shí)施方式采用的一個(gè)技術(shù)方案是：提供一種安全策略適配方法，方法包括：預(yù)存目標(biāo)對象的安全信息以及策略轉(zhuǎn)換的安全信息；掃描所述目標(biāo)對象，以獲取所述目標(biāo)對象的安全信息；對所述目標(biāo)對象的原始策略進(jìn)行詞法和語法分析，并進(jìn)行策略語義轉(zhuǎn)換，進(jìn)一步采用基于所述策略轉(zhuǎn)換的安全信息的策略組裝技術(shù)將經(jīng)過策略語義轉(zhuǎn)換后的策略轉(zhuǎn)換為適合多個(gè)目標(biāo)對象的可執(zhí)行安全策略規(guī)則；根據(jù)所述目標(biāo)對象的安全信息，將適合所述目標(biāo)對象的可執(zhí)行安全策略規(guī)則下發(fā)給所述目標(biāo)對象實(shí)施執(zhí)行。

其中，目標(biāo)對象的安全信息包括所述目標(biāo)對象的設(shè)備類型、系統(tǒng)軟件、業(yè)務(wù)軟件類型及系統(tǒng)補(bǔ)丁信息、可能存在的漏洞及安全風(fēng)險(xiǎn)、已部署的安全策略及安全要求。

其中，策略轉(zhuǎn)換的安全信息包括安全策略模板、適合不同等級(jí)保護(hù)的等級(jí)安全要求、安全場景和安全需求的安全策略和規(guī)范、主流操作系統(tǒng)、安全設(shè)備的安全策略和規(guī)范、配置文件、配置內(nèi)容及相應(yīng)的取值。

其中，對所述目標(biāo)對象的原始策略進(jìn)行詞法和語法分析，并進(jìn)行策略語義轉(zhuǎn)換，進(jìn)一步采用基于所述策略轉(zhuǎn)換的安全信息的策略組裝技術(shù)將經(jīng)過策略語義轉(zhuǎn)換后的策略轉(zhuǎn)換為適合多個(gè)目標(biāo)對象的可執(zhí)行安全策略規(guī)則的步驟包括：

詞法和語法分析步驟：將所述原始策略的字符串進(jìn)行詞法分析掃描，識(shí)別出策略關(guān)鍵字及相應(yīng)的值，按照策略描述語言既定的語法規(guī)則對原始策略進(jìn)行語法檢查，并識(shí)別出相應(yīng)的語法成分，經(jīng)過詞法分析和語法分析處理后，形成原始策略的中間策略；

策略語義轉(zhuǎn)換步驟：根據(jù)所述目標(biāo)對象的安全信息，將所述原始策略的高層抽象語義結(jié)合所述策略轉(zhuǎn)換的安全信息，轉(zhuǎn)換為所述目標(biāo)對象的低層抽象語義；

策略組裝步驟：根據(jù)所述低層抽象語義獲取到所述詞法和語法分析步驟得到的中間策略相對應(yīng)的策略轉(zhuǎn)換的安全信息，進(jìn)而利用所述策略轉(zhuǎn)換的安全信息結(jié)合所述目標(biāo)對象的安全信息，對所述詞法和語法分析步驟得到的中間策略組裝形成適合所述目標(biāo)對象的可執(zhí)行策略規(guī)則。

其中，以適合所述目標(biāo)對象的策略下發(fā)給所述目標(biāo)對象實(shí)施執(zhí)行的步驟包括：

以命令行、配置腳本或策略結(jié)構(gòu)的形式下發(fā)給所述目標(biāo)對象實(shí)施執(zhí)行。

為解決上述技術(shù)問題，本發(fā)明實(shí)施方式采用的另一個(gè)技術(shù)方案是：提供一種安全策略適配框架，該框架包括：

存儲(chǔ)模塊，用于預(yù)存目標(biāo)對象的安全信息以及策略轉(zhuǎn)換的安全信息；

識(shí)別模塊，用于掃描所述目標(biāo)對象，以獲取所述目標(biāo)對象的安全信息；

策略轉(zhuǎn)換模塊，用于對所述目標(biāo)對象的原始策略進(jìn)行詞法和語法分析，并進(jìn)行策略語義轉(zhuǎn)換，進(jìn)一步采用基于所述策略轉(zhuǎn)換的安全信息的策略組裝技術(shù)將經(jīng)過策略語義轉(zhuǎn)換后的策略轉(zhuǎn)換為適合多個(gè)目標(biāo)對象的可執(zhí)行安全策略規(guī)則；

下發(fā)模塊，用于根據(jù)所述目標(biāo)對象的安全信息，將適合所述目標(biāo)對象的可執(zhí)行安全策略規(guī)則下發(fā)給所述目標(biāo)對象實(shí)施執(zhí)行。

其中，目標(biāo)對象的安全信息包括所述目標(biāo)對象的設(shè)備類型、系統(tǒng)軟件、業(yè)務(wù)軟件類型及系統(tǒng)補(bǔ)丁信息、可能存在的漏洞及安全風(fēng)險(xiǎn)、已部署的安全策略及安全要求。

其中，策略轉(zhuǎn)換的安全信息包括安全策略模板、適合不同等級(jí)保護(hù)的等級(jí)安全要求、安全場景和安全需求的安全策略和規(guī)范、主流操作系統(tǒng)、安全設(shè)備的安全策略和規(guī)范、配置文件、配置內(nèi)容及相應(yīng)的取值。

其中，轉(zhuǎn)換模塊包括：

詞法和語法分析單元，用于將所述原始策略的字符串進(jìn)行詞法分析掃描，識(shí)別出策略關(guān)鍵字及相應(yīng)的值，按照策略描述語言既定的語法規(guī)則對原始策略進(jìn)行語法檢查，并識(shí)別出相應(yīng)的語法成分，經(jīng)過詞法分析和語法分析處理后，形成原始策略的中間策略；

策略語義轉(zhuǎn)換單元，用于根據(jù)所述目標(biāo)對象的安全信息，將所述原始策略的高層抽象語義結(jié)合所述策略轉(zhuǎn)換的安全信息，轉(zhuǎn)換為所述目標(biāo)對象的低層抽象語義；

策略組裝單元，用于根據(jù)所述低層抽象語義獲取到所述詞法和語法分析步驟得到的中間策略相對應(yīng)的策略轉(zhuǎn)換的安全信息，進(jìn)而利用所述策略轉(zhuǎn)換的安全信息結(jié)合所述目標(biāo)對象的安全信息，對所述詞法和語法分析步驟得到的中間策略組裝形成適合所述目標(biāo)對象的可執(zhí)行策略規(guī)則。

其中，下發(fā)模塊具體以命令行、配置腳本或策略結(jié)構(gòu)的形式下發(fā)給所述目標(biāo)對象實(shí)施執(zhí)行。

本發(fā)明實(shí)施方式的有益效果是：區(qū)別于現(xiàn)有技術(shù)的情況，本發(fā)明實(shí)施方式提供一種安全策略適配框架及其方法。該方法包括以下步驟：首先預(yù)存目標(biāo)對象的安全信息以及策略轉(zhuǎn)換的安全信息，然后掃描目標(biāo)對象，以獲取目標(biāo)對象的安全信息，進(jìn)而對目標(biāo)對象的原始策略進(jìn)行詞法和語法分析，并進(jìn)行策略語義轉(zhuǎn)換，進(jìn)一步采用基于策略轉(zhuǎn)換的安全信息的策略組裝技術(shù)將經(jīng)過策略語義轉(zhuǎn)換后的策略轉(zhuǎn)換為適合多個(gè)目標(biāo)對象的可執(zhí)行安全策略規(guī)則，最后根據(jù)目標(biāo)對象的安全信息，將適合目標(biāo)對象的可執(zhí)行安全策略規(guī)則下發(fā)給目標(biāo)對象實(shí)施執(zhí)行。因此，本發(fā)明能夠用自然語言描述的通用安全策略轉(zhuǎn)換為目標(biāo)對象中可執(zhí)行的安全策略規(guī)則，具有較強(qiáng)的通用性，支持多種異構(gòu)安全設(shè)備的安全策略集中統(tǒng)一管理。

附圖說明

圖1是本發(fā)明實(shí)施方式提供的一種安全策略適配方法的流程圖；

圖2是本發(fā)明實(shí)施方式提供的一種安全策略適配框架的結(jié)構(gòu)示意圖；

圖3是本發(fā)明實(shí)施方式提供的另一種安全策略適配框架的結(jié)構(gòu)示意圖。

具體實(shí)施方式

參閱圖1，圖1是本發(fā)明實(shí)施方式提供的一種安全策略適配方法的流程圖。如圖1所示，本發(fā)明實(shí)施方式的方法包括以下步驟：

步驟S1：預(yù)存目標(biāo)對象的安全信息以及策略轉(zhuǎn)換的安全信息。

其中，目標(biāo)對象的安全信息包括目標(biāo)對象的設(shè)備類型、目標(biāo)對象中的系統(tǒng)軟件、業(yè)務(wù)軟件類型及系統(tǒng)補(bǔ)丁信息、目標(biāo)對象可能存在的漏洞及安全風(fēng)險(xiǎn)、目標(biāo)對象中已部署的安全策略及目標(biāo)對象的安全要求。

其中，設(shè)備類型包括主機(jī)類型、網(wǎng)絡(luò)類型以及安全類型。系統(tǒng)軟件包括操作系統(tǒng)、數(shù)據(jù)庫以及中間件。安全要求包括等級(jí)保護(hù)要求或企業(yè)要求。

目標(biāo)對象的安全信息的存儲(chǔ)采用面向?qū)ο蟊硎痉ㄟM(jìn)行表示，采用樹型結(jié)構(gòu)組織知識(shí)庫知識(shí)之間的層次結(jié)構(gòu)關(guān)系。在實(shí)現(xiàn)上采用LDAP或關(guān)系數(shù)據(jù)庫等存儲(chǔ)。同時(shí)在存儲(chǔ)過程中，保持策略知識(shí)的一致性和完整性。

策略轉(zhuǎn)換的安全信息包括安全策略模板、適合不同等級(jí)保護(hù)的等級(jí)安全要求、安全場景和安全需求的安全策略和規(guī)范、主流操作系統(tǒng)、安全設(shè)備的安全策略和規(guī)范、配置文件、配置內(nèi)容及相應(yīng)的取值。具體是采用LDAP(Light Directory Access Protocol,輕量級(jí)目錄訪問協(xié)議)協(xié)議實(shí)現(xiàn)安全信息的訪問操作和存儲(chǔ)。

策略轉(zhuǎn)換的安全信息的存儲(chǔ)是實(shí)現(xiàn)策略轉(zhuǎn)換和策略統(tǒng)一管理的基礎(chǔ)。

步驟S2：掃描目標(biāo)對象，以獲取目標(biāo)對象的安全信息。

步驟S3：對目標(biāo)對象的原始策略進(jìn)行詞法和語法分析，并進(jìn)行策略語義轉(zhuǎn)換，進(jìn)一步采用基于策略轉(zhuǎn)換的安全信息的策略組裝技術(shù)將經(jīng)過策略語義轉(zhuǎn)換后的策略轉(zhuǎn)換為適合多個(gè)目標(biāo)對象的可執(zhí)行安全策略規(guī)則。

本步驟是安全策略適配方法的核心，借鑒人工智能專家系統(tǒng)的一般結(jié)構(gòu)，融合編譯原理的思想進(jìn)行。具體包括詞法和語法分析步驟、策略語義轉(zhuǎn)換步驟以及策略組裝步驟。其中：

詞法和語法分析步驟：將目標(biāo)對象的原始策略的字符串進(jìn)行詞法分析掃描，識(shí)別出策略關(guān)鍵字及相應(yīng)的值，按照策略描述語言既定的語法規(guī)則對原始策略進(jìn)行語法檢查，具體是對單詞(屬性字)形式的原始策略進(jìn)行語法檢查，并識(shí)別出相應(yīng)的語法成分，經(jīng)過詞法分析和語法分析處理后，形成原始策略的中間策略，優(yōu)選用正則表達(dá)式表示。其中，原始策略為用自然語言或半形式化語言描述的通用安全策略。并且策略關(guān)鍵字及相應(yīng)的值優(yōu)選以鍵值的形式存在。

策略語義轉(zhuǎn)換步驟：根據(jù)目標(biāo)對象的安全信息，將原始策略的高層抽象語義結(jié)合策略轉(zhuǎn)換的安全信息，轉(zhuǎn)換為目標(biāo)對象的低層抽象語義。具體是根據(jù)目標(biāo)對象中的系統(tǒng)軟件、安全設(shè)備類型以及安全要求等信息，將原始策略的高層抽象語義結(jié)合策略轉(zhuǎn)換中相應(yīng)的系統(tǒng)軟件、設(shè)備類型等的實(shí)施策略信息，轉(zhuǎn)換為目標(biāo)對象的低層抽象語義。

策略組裝步驟：根據(jù)低層抽象語義獲取到詞法和語法分析步驟得到的中間策略相對應(yīng)的策略轉(zhuǎn)換的安全信息，進(jìn)而利用策略轉(zhuǎn)換的安全信息結(jié)合目標(biāo)對象的安全信息，優(yōu)選為結(jié)合目標(biāo)對象的操作系統(tǒng)及安全要求等信息，對詞法和語法分析步驟得到的中間策略組裝形成適合目標(biāo)對象的可執(zhí)行策略規(guī)則。具體是對詞法和語法分析步驟得到的中間策略進(jìn)行匹配、替換、插入以及排序等操作以組裝形成適合目標(biāo)對象的可執(zhí)行策略規(guī)則。

本步驟中，首先是采用預(yù)定的搜索策略對存儲(chǔ)的策略轉(zhuǎn)換的安全信息進(jìn)行搜索，以獲得中間策略相對應(yīng)的策略轉(zhuǎn)換的安全信息。其中，搜索策略包括廣度優(yōu)先搜索策略以及深度優(yōu)先搜索策略。中間策略相對應(yīng)的策略轉(zhuǎn)換的安全信息包括相對應(yīng)的安全策略模板等。

步驟S4：根據(jù)目標(biāo)對象的安全信息，將適合目標(biāo)對象的可執(zhí)行安全策略規(guī)則下發(fā)給目標(biāo)對象實(shí)施執(zhí)行。具體是根據(jù)目標(biāo)對象的系統(tǒng)軟件或設(shè)備類型，將適合目標(biāo)對象的可執(zhí)行安全策略規(guī)則以命令行、配置腳本或策略結(jié)構(gòu)的形式下發(fā)給目標(biāo)對象實(shí)施執(zhí)行。

因此，本發(fā)明實(shí)現(xiàn)對目標(biāo)對象中安全機(jī)制的統(tǒng)一管控，本發(fā)明的方法具有較強(qiáng)的通用性，支持多種異構(gòu)目標(biāo)對象安全策略的適配轉(zhuǎn)換，能滿足大規(guī)模安全策略管理的要求，支持安全策略的一體化管理。

本發(fā)明還提供一種安全策略適配框架，該框架適用于前文所述的方法中，具體請參閱圖2。

如圖2所示，本發(fā)明的框架20包括識(shí)別模塊21、存儲(chǔ)模塊22、策略轉(zhuǎn)換模塊23以及下發(fā)模塊24。

其中，識(shí)別模塊21用于掃描目標(biāo)對象，以獲取所述目標(biāo)對象的安全信息。其中，目標(biāo)對象的安全信息包括目標(biāo)對象的設(shè)備類型、目標(biāo)對象中的系統(tǒng)軟件、業(yè)務(wù)軟件類型及系統(tǒng)補(bǔ)丁信息、目標(biāo)對象可能存在的漏洞及安全風(fēng)險(xiǎn)、目標(biāo)對象中中已部署的安全策略及目標(biāo)對象的安全要求。

其中，設(shè)備類型包括主機(jī)類型、網(wǎng)絡(luò)類型以及安全類型。系統(tǒng)軟件包括操作系統(tǒng)、數(shù)據(jù)庫以及中間件。安全要求包括等級(jí)保護(hù)要求或企業(yè)要求。

存儲(chǔ)模塊22包括策略庫和知識(shí)庫。其中，知識(shí)庫和策略庫分別用于預(yù)存目標(biāo)對象的安全信息以及策略轉(zhuǎn)換的安全信息。

其中，知識(shí)庫作為策略轉(zhuǎn)換的輔助決策工具，存儲(chǔ)目標(biāo)對象的安全信息。知識(shí)庫采用面向?qū)ο蟊硎痉ㄟM(jìn)行表示，采用樹型結(jié)構(gòu)組織知識(shí)庫知識(shí)之間的層次結(jié)構(gòu)關(guān)系。在實(shí)現(xiàn)上采用LDAP或關(guān)系數(shù)據(jù)庫等存儲(chǔ)。同時(shí)在知識(shí)庫的建立和存儲(chǔ)過程中，保持策略知識(shí)的一致性和完整性。

策略庫是實(shí)現(xiàn)策略轉(zhuǎn)換和策略統(tǒng)一管理的基礎(chǔ)，存放由策略轉(zhuǎn)換模塊23產(chǎn)生的策略轉(zhuǎn)換的安全信息。具體是采用LDAP(Light Directory Access Protocol,輕量級(jí)目錄訪問協(xié)議)協(xié)議實(shí)現(xiàn)策略庫中安全信息的訪問操作和存儲(chǔ)。

策略轉(zhuǎn)換的安全信息包括安全策略模板、適合不同等級(jí)保護(hù)的等級(jí)安全要求、安全場景和安全需求的安全策略和規(guī)范、主流操作系統(tǒng)、安全設(shè)備的安全策略和規(guī)范、配置文件、配置內(nèi)容及相應(yīng)的取值。

策略轉(zhuǎn)換模塊23用于對目標(biāo)對象的原始策略進(jìn)行詞法和語法分析，并進(jìn)行策略語義轉(zhuǎn)換，進(jìn)一步采用基于策略轉(zhuǎn)換的安全信息的策略組裝技術(shù)將經(jīng)過策略語義轉(zhuǎn)換后的策略轉(zhuǎn)換為適合多個(gè)目標(biāo)對象的可執(zhí)行安全策略規(guī)則。

策略轉(zhuǎn)換模塊23是安全策略適配方法的核心，借鑒人工智能專家系統(tǒng)的一般結(jié)構(gòu)，融合編譯原理的思想進(jìn)行。具體包括詞法和語法分析單元231、策略語義轉(zhuǎn)換單元232以及策略組裝單元233。

其中，詞法和語法分析單元231用于將目標(biāo)對象的原始策略的字符串進(jìn)行詞法分析掃描，識(shí)別出策略關(guān)鍵字及相應(yīng)的值，按照策略描述語言既定的語法規(guī)則對原始策略進(jìn)行語法檢查，具體是對單詞(屬性字)形式的原始策略進(jìn)行語法檢查，并識(shí)別出相應(yīng)的語法成分，經(jīng)過詞法分析和語法分析處理后，形成原始策略的中間策略，優(yōu)選用正則表達(dá)式表示。其中，原始策略為用自然語言或半形式化語言描述的通用安全策略。并且策略關(guān)鍵字及相應(yīng)的值優(yōu)選以鍵值的形式存在。

策略語義轉(zhuǎn)換單元232用于根據(jù)目標(biāo)對象的安全信息，將原始策略的高層抽象語義結(jié)合策略轉(zhuǎn)換的安全信息，轉(zhuǎn)換為目標(biāo)對象的低層抽象語義。具體是根據(jù)目標(biāo)對象中的系統(tǒng)軟件、安全設(shè)備類型以及安全要求等信息，將原始策略的高層抽象語義結(jié)合策略轉(zhuǎn)換中相應(yīng)的系統(tǒng)軟件、設(shè)備類型等的實(shí)施策略信息，轉(zhuǎn)換為目標(biāo)對象的低層抽象語義。

策略組裝單元233用于根據(jù)低層抽象語義獲取到詞法和語法分析單元231得到的中間策略相對應(yīng)的策略轉(zhuǎn)換的安全信息，進(jìn)而利用策略轉(zhuǎn)換的安全信息結(jié)合目標(biāo)對象的安全信息，優(yōu)選為結(jié)合目標(biāo)對象的操作系統(tǒng)及安全要求等信息，對詞法和語法分析模塊231得到的中間策略組裝形成適合目標(biāo)對象的可執(zhí)行策略規(guī)則。具體是對詞法和語法分析模塊231得到的中間策略進(jìn)行匹配、替換、插入以及排序等操作以組裝形成適合目標(biāo)對象的可執(zhí)行策略規(guī)則。

策略組裝單元233首先是采用預(yù)定的搜索策略對存儲(chǔ)的策略轉(zhuǎn)換的安全信息進(jìn)行搜索，以獲得中間策略相對應(yīng)的策略轉(zhuǎn)換的安全信息。其中，搜索策略包括廣度優(yōu)先搜索策略以及深度優(yōu)先搜索策略。中間策略相對應(yīng)的策略轉(zhuǎn)換的安全信息包括相對應(yīng)的安全策略模板等。

下發(fā)模塊24用于根據(jù)目標(biāo)對象的安全信息，將適合目標(biāo)對象的可執(zhí)行安全策略規(guī)則下發(fā)給目標(biāo)對象實(shí)施執(zhí)行。具體是根據(jù)目標(biāo)對象的系統(tǒng)軟件或設(shè)備類型，將適合目標(biāo)對象的可執(zhí)行安全策略規(guī)則以命令行、配置腳本或策略結(jié)構(gòu)的形式下發(fā)給目標(biāo)對象實(shí)施執(zhí)行。

以上介紹了本發(fā)明的一種安全策略框架及其方法，以下將以操作系統(tǒng)CentOS 7的系統(tǒng)安全策略為例說明，具體請參閱圖3，包括：

(1)識(shí)別模塊31：管理員通過策略編輯界面給目標(biāo)對象，在此為目標(biāo)主機(jī)添加操作系統(tǒng)CentOS 7的安全策略，如：密碼長度至少為8位。然后，通過對目標(biāo)對象的主動(dòng)掃描，識(shí)別出目標(biāo)對象的設(shè)備類型為主機(jī)服務(wù)器；識(shí)別出目標(biāo)對象中的系統(tǒng)軟件為x86_64位的CentOS 7操作系統(tǒng)及系統(tǒng)補(bǔ)丁信息；識(shí)別出目標(biāo)對象存在的漏洞并評估安全風(fēng)險(xiǎn)；識(shí)別出目標(biāo)對象中已部署的安全策略；識(shí)別出目標(biāo)對象的安全需求為等級(jí)保護(hù)三級(jí)安全要求。

(2)策略轉(zhuǎn)換模塊33：包括詞法和語法分析單元331、策略語義轉(zhuǎn)換單元332和策略組裝單元333。策略轉(zhuǎn)換模塊33借助編譯原理的思想，詞法和語法分析單元331對原始策略“密碼長度至少為8位”進(jìn)行詞法分析，得到原始策略的關(guān)鍵字“密碼”，“長度”和“8位”及相應(yīng)的值，以鍵值對的形式存在。對原始策略進(jìn)行語法檢查，判斷原始策略是否存在語法錯(cuò)誤。

策略語義轉(zhuǎn)換單元332對詞法和語法分析單元331的策略中間結(jié)果進(jìn)行策略語義轉(zhuǎn)換，將原始策略的高層抽象語義結(jié)合策略庫中關(guān)于目標(biāo)對象的安全策略規(guī)范和模板，轉(zhuǎn)換為低層的抽象語義，形成用正則表達(dá)式表示的中間策略。根據(jù)關(guān)鍵字“密碼”查找策略庫351中存儲(chǔ)的CentOS 7操作系統(tǒng)的安全策略、配置文件(/etc/login.defs)、配置內(nèi)容(PASS_MIN_LEN)及相應(yīng)的取值，利用這些策略信息由策略組裝單元333將中間策略組裝為目的對象可執(zhí)行的腳本，并發(fā)送給策略下發(fā)模塊34。

(3)下發(fā)模塊34：建立與目標(biāo)對象的安全通信通道，將可執(zhí)行安全策略腳本傳送給目標(biāo)對象，由目標(biāo)對象操作系統(tǒng)CentOS 7實(shí)施執(zhí)行。

(4)策略庫351：存放由策略轉(zhuǎn)換模塊產(chǎn)生的策略及相關(guān)的各種信息，包括適合不同等級(jí)保護(hù)要求、安全設(shè)備、安全場景和安全需求的安全策略和規(guī)范；主流操作系統(tǒng)、安全設(shè)備的安全策略和規(guī)范、配置文件、配置內(nèi)容及相應(yīng)的取值。策略庫采用LDAP協(xié)議組織和存儲(chǔ)CentOS 7安全策略。

(5)知識(shí)庫352：存儲(chǔ)安全標(biāo)準(zhǔn)、目標(biāo)對象安全要求，包括等級(jí)保護(hù)標(biāo)準(zhǔn)不同等級(jí)的安全技術(shù)要求，主流操作系統(tǒng)和安全設(shè)備的漏洞信息；主流操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備和安全設(shè)備的安全基線庫等。

因此，本發(fā)明實(shí)現(xiàn)對目標(biāo)對象中安全機(jī)制的統(tǒng)一管控，本發(fā)明的方法具有較強(qiáng)的通用性，支持多種異構(gòu)目標(biāo)對象安全策略的適配轉(zhuǎn)換，能滿足大規(guī)模安全策略管理的要求，支持安全策略的一體化管理。

以上所述僅為本發(fā)明的實(shí)施方式，并非因此限制本發(fā)明的專利范圍，凡是利用本發(fā)明說明書及附圖內(nèi)容所作的等效結(jié)構(gòu)或等效流程變換，或直接或間接運(yùn)用在其他相關(guān)的技術(shù)領(lǐng)域，均同理包括在本發(fā)明的專利保護(hù)范圍內(nèi)。