專利名稱:網(wǎng)絡(luò)安全管理方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機網(wǎng)絡(luò)的技術(shù)領(lǐng)域,具體而言�,涉及一種計算 才幾網(wǎng)全各安全管理方法和系統(tǒng)��。
背景技術(shù):
網(wǎng)元(Network Element , NE )設(shè)備是計算才幾網(wǎng)絡(luò)中的核心設(shè)備, 一般采用刀片式服務(wù)器結(jié)構(gòu)�,每臺服務(wù)器可以插入幾塊�,甚至幾十 塊刀片式服務(wù)器,每一塊刀片式服務(wù)器實際上就是一塊系統(tǒng)主板, 作為獨立的計算機系統(tǒng)����,通過內(nèi)部網(wǎng)絡(luò)連接進行統(tǒng)一管理,系統(tǒng)主 板中配置CPU����、內(nèi)存����、存儲設(shè)備和網(wǎng)卡等設(shè)備����,上述i殳備中運行有 才喿作系統(tǒng)及刀片管理壽欠件。
目前�����,常用的計算機網(wǎng)絡(luò)安全措施為在網(wǎng)元操作系統(tǒng)上安裝防 火墻���、入侵4企測系統(tǒng)��、防病毒等安全產(chǎn)品��,并對這些安全產(chǎn)品進行 配置�����,以提高計算機設(shè)備的防御能力�����。上述的安全措施比較簡單�����, 往往只針對計算機網(wǎng)絡(luò)中的某一計算機系統(tǒng)的網(wǎng)絡(luò)安全�����,但是��,不 同的計算機系統(tǒng)有不同的安全要求�,多重防御措施的混合使用才能 實現(xiàn)真正的安全。即便對所有的計算機設(shè)備安全要求相同���,目前的 安全措施也缺乏統(tǒng)一的配置管理方法�����;特別是對于刀片式服務(wù)器���, 對于刀片式服務(wù)器而言,其相互關(guān)聯(lián)�,且存在多種不同操作系統(tǒng)及 硬件結(jié)構(gòu)。目前����,尚未提出更是缺乏既對每個刀片式服務(wù)器等計算機設(shè)備 進行安全加固,又在整體上達到安全加固的效果的安全配置方法���。
發(fā)明內(nèi)容
針對相關(guān)技術(shù)中網(wǎng)元中設(shè)備安全配置方法不統(tǒng)一 問題而提出本 發(fā)明���,為此,本發(fā)明的主要目的在于提供一種網(wǎng)絡(luò)安全管理方法及 系統(tǒng)���,以解決上述問題至少之一��。
為了實現(xiàn)上述目的�,根據(jù)本發(fā)明的一個方面,提供了一種網(wǎng)絡(luò)
安全管理方法����,上述方法包括從設(shè)備下載安全包��,其中�����,安全包 中包括安全配置文件和安全工具包���,安全配置文件包4舌安全配置信 息����,每條安全配置信息都與安全工具包中的一個安全工具對應(yīng)�;從 設(shè)備根據(jù)安全配置文件,從安全工具包中選擇安全工具進4亍安裝�。
為了實現(xiàn)上述目的,根據(jù)本發(fā)明的另一方面�����,提供了一種網(wǎng)絡(luò) 安全管理系統(tǒng),上述系統(tǒng)包括下載單元����,用于下載安全包,安全 包中包括安全配置文件和安全工具包����,安全配置文件包4舌安全配置 信息,每條安全配置信息都與安全工具包中的一個安全工具對應(yīng)�����; 管理單元�,用于根據(jù)安全配置文件從安全工具包中選擇安全工具; 安裝單元�,用于安裝安全工具。
通過本發(fā)明提供的上述至少一個技術(shù)方案����,采用,人i殳備下載包 含安全配置信息和安全工具包的安全包的纟支術(shù)手^:,并一艮據(jù)安全配
行安裝,解決目前的每個設(shè)備分別加固���,無法整體上達到安全加固 的問題���,從而可以實現(xiàn)對網(wǎng)元上設(shè)備的不同安全需求進行安裝對應(yīng) 安全工具�,同時4吏整個網(wǎng)元實現(xiàn)安全加固����,^更于網(wǎng)元上i殳備的安全 力n固的升級。本發(fā)明的其它特征和優(yōu)點將在隨后的"^兌明書中闡述����,并且�,部 分地從說明書中變得顯而易見,或者通過實施本發(fā)明而了解���。本發(fā) 明的目的和其他優(yōu)點可通過在所寫的說明書����、4又利要求書��、以及附 圖中所特別指出的結(jié)構(gòu)來實現(xiàn)和獲得�����。
此處所i兌明的附圖用來提供對本發(fā)明的進一步理解��,構(gòu)成本申 請的一部分,本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明����,并
不構(gòu)成對本發(fā)明的不當(dāng)限定。在附圖中
圖1為根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)安全管理方法的流程文件的配置方法的流程圖3為根據(jù)本發(fā)明優(yōu)選實施例的網(wǎng)絡(luò)安全管理方法中主控設(shè)備 下發(fā)安全包的流程圖4為根據(jù)本發(fā)明優(yōu)選實施例的網(wǎng)絡(luò)安全管理方法中從設(shè)備安 裝安全包的流程圖5為根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)安全管理系統(tǒng)的結(jié)構(gòu)框圖6為根據(jù)本發(fā)明優(yōu)選實施例的網(wǎng)絡(luò)安全管理系統(tǒng)的結(jié)構(gòu)框圖��。
具體實施例方式
功能扭克述
在本發(fā)明實施例中���,提供了一種網(wǎng)絡(luò)安全管理方案�,在該方法 中�,將系統(tǒng)中所有的計算機設(shè)備可能使用的安全工具進行打包處理, 得到一個安全包�����,由網(wǎng)元管理系統(tǒng)進行一次性下發(fā)���,例如�����,優(yōu)選地����, 可以由網(wǎng)元管理系統(tǒng)下發(fā)到主控設(shè)備,再由主控設(shè)備下發(fā)到各從設(shè) 備���。從設(shè)備下載安全包后��,可以根據(jù)安全包中的安全配置文件安裝 合適的安全工具���。本發(fā)明實施例中使用的安全包中包括安全配置文 件,以及含有多個安全工具的安全工具包�����,安全配置文件包括多條 安全配置信息����,每條安全配置信息都分別與安全工具包中的一個安
全工具相對應(yīng)���。優(yōu)選地��,這里的安全配置信息中包括安全配置信 息對應(yīng)的,人設(shè)備的物理類型和邏輯類型�����、安全配置信息對應(yīng)的安全 工具�����、對應(yīng)的安全工具的安全配置�����、對從i殳備的安全控制要求���。
在本發(fā)明中涉及到的網(wǎng)元如下網(wǎng)元管理系統(tǒng)���、主控設(shè)備、從 設(shè)備(也可以稱為受控設(shè)備)�����。
本發(fā)明的實施環(huán)境優(yōu)選為3GPP的網(wǎng)絡(luò)管理架構(gòu)����,除了網(wǎng)元外, 還有網(wǎng)元管理系統(tǒng)(Element Management System��,簡稱為EMS )以 及網(wǎng)全各管理系統(tǒng)(Network Management System �,簡稱為NMS ),網(wǎng) 元管理系統(tǒng)中的軟件才莫塊通過對網(wǎng)元下發(fā)命令消息來管理網(wǎng)元����,在 網(wǎng)元管理系統(tǒng)中還可以配置相關(guān)的網(wǎng)絡(luò)配置文件及安裝程序�����,在網(wǎng) 元設(shè)備中一般都存在一個主控計算機設(shè)備�,簡稱主控設(shè)備��,網(wǎng)元管 理系統(tǒng)通知主控i殳備下載相關(guān)網(wǎng)絡(luò)配置文件及安裝程序����,再由主控 設(shè)備將網(wǎng)絡(luò)配置文件及安裝程序分發(fā)到網(wǎng)元設(shè)備中的其他計算機設(shè) 備,并且作為之后安全工具使用及升級的參考信息�����, 一旦需要進行 升級��,網(wǎng)元上各計算機設(shè)備上的安全工具下載安裝程序可以迅速����、 簡單地了解本地計算機3殳備的安全配置情況���,以此進4亍升級或4欽銷回退安全措施����。同時,根據(jù)網(wǎng)元上的其它各個計算機設(shè)備自身軟硬 件設(shè)備的不同��,在網(wǎng)元中配置了不同的物理類型及邏輯類型用于區(qū) 分各個計算機i殳備�,也就是從設(shè)備。網(wǎng)元中各計算4幾系統(tǒng)上存在負(fù) 責(zé)下載安裝本發(fā)明的安全包文件的程序��,不同硬件及操作系統(tǒng)的從 設(shè)備選擇不同的安全工具安裝及配置信息���,通過各從設(shè)備下載統(tǒng)一 的數(shù)據(jù)包�,統(tǒng)一的對網(wǎng)元內(nèi)各計算機系統(tǒng)的安全加固配置�����,實現(xiàn)對 整個網(wǎng)元系統(tǒng)的安全加固配置�����。
本發(fā)明的實施環(huán)境包括以下才莫塊網(wǎng)元管理系統(tǒng)�����;安全工具安 裝包�����;文件下載安裝程序;安全配置文件����。各模塊的功能大概包括-.
網(wǎng)元管理系統(tǒng)負(fù)責(zé)根據(jù)對整個網(wǎng)元的要求,下發(fā)安全配置文件 以及安全工具包��;網(wǎng)元內(nèi)各乂人設(shè)備上的文件下載程序下載安全配置 文件及安全工具包���,再根據(jù)安全配置文件及各個從設(shè)備的類型的不 同���,安裝不同的安全工具及對安全工具的不同配置。
下面將參考附圖并結(jié)合實施例來詳細(xì)說明本發(fā)明���。需要說明的 是��,在不沖突的情況下����,本申請中的實施例及實施例中的特征可以 相互組合����。
方法實施例
根據(jù)本發(fā)明實施例,首先提供了一種網(wǎng)絡(luò)安全管理方法�。圖1 是示出該方法的處理的流禾呈圖,如圖l所示�,具體包括以下處理
S102: 乂人設(shè)備下栽安全包,其中��,安全包中包括安全配置文件 和安全工具包�����,安全配置文件包4舌安全配置信息����,每條安全配置信
息都與安全工具包中的一個安全工具對應(yīng);優(yōu)選地�,從i殳備可以從
主控設(shè)備下載安全包,而主控i殳備則可以/人網(wǎng)元管理系統(tǒng)下載該安
全包����;S104:從i殳備才艮據(jù)安全配置文件,,人安全工具包中選擇安全工 具進行安裝����。
對于上述的實現(xiàn)過程,*接下來,將從配置安全配置文件��、主控 設(shè)備下發(fā)安全包��、從設(shè)備安裝安全包三個方面進行說明�。
圖2為才艮據(jù)本發(fā)明優(yōu)選實施例的網(wǎng)絡(luò)安全管理方法中,安全配 置文件的配置方法的流程圖�。如圖2所示,主要包4舌以下步驟(步 驟S202-步驟S206 ):
步驟S202:在網(wǎng)元管理系統(tǒng)上按照安全需求對網(wǎng)元中的設(shè)備編 寫安全配置文件�,安全配置文件中包括有多個安全配置信息,以記 錄的方式存儲���,每個記錄都記錄了安全配置信息對應(yīng)的從設(shè)備的物 理類型和邏輯類型���、安全配置信息對應(yīng)的安全工具、對應(yīng)的安全工 具的安全配置���、對從設(shè)備的安全控制要求等���,以linux操作系統(tǒng)環(huán)境 為例,通過編寫一個shell腳本實現(xiàn)安全配置文件���,通過shell命令 來執(zhí)行對linux操作系統(tǒng)的安全控制�����,比如限制超級用戶遠程登陸��、 限制訪問端口 �����、限制用戶訪問文件權(quán)限等等���。
步驟S204:把安全配置文件以及安全配置文件的記錄對應(yīng)的要 安裝的安全工具按一定格式進行打包,打包成安全包���,也稱為安全 版本文件��。以linux操作系統(tǒng)環(huán)境為例���,如果才乘作系統(tǒng)已經(jīng)自帶了安 全工具,那么只需要進行相關(guān)配置即可�����。
步驟S206:為安全版本文件添加版本頭信息��,版本頭信息包含 安全版本文件的一些基本信息,版本頭信息用于表示X反本文件類型�, 區(qū)分安全X反本文件和具有其它作用的片反本文件,以供網(wǎng)元中的主控 設(shè)備判斷是否要下載安全版本文件���,以及在更新版本時利用版本頭 信息判斷是否需要更新等����。圖3為根據(jù)本發(fā)明優(yōu)選實施例的網(wǎng)絡(luò)安全管理方法中�����,主控設(shè) 備下發(fā)安全包的流程圖���,如圖3所示����,主控i殳備下發(fā)安全包的方法 主要包括以下處理(步驟S302-步驟S324 ):
步驟S302:網(wǎng)元管理系統(tǒng)在安全版本文件配置完成后��,向網(wǎng)元 中的主控設(shè)備下發(fā)安全版本加載消息�����;
步驟S304:主控設(shè)備接收到安全版本加載消息后�,解析版本頭�, 獲取其中的版本頭信息����,并根據(jù)版本頭信息判斷需要下載安全包, 如果需要下載安全包����,則主控i殳備從網(wǎng)元管理系統(tǒng)下載安全版本文 4牛并^己錄����,此處的下載方式優(yōu)選為ftp方式;
步驟S306:網(wǎng)元管理系統(tǒng)向主控設(shè)備發(fā)送安全版本設(shè)置消息����;
步驟S308:主控設(shè)備向網(wǎng)元中的受控設(shè)備下發(fā)安全版本設(shè)置消 息,告知受控設(shè)備不再下發(fā)安全版本設(shè)置消息���;
步驟S310:網(wǎng)元管理系統(tǒng)向主控設(shè)備發(fā)送安全版本設(shè)置取消消
自�����、'
步驟S312:主控設(shè)備向受控設(shè)備下發(fā)安全版本設(shè)置取消消息��; 步驟S314:受控設(shè)備向主控設(shè)備上傳安全版本設(shè)置取消應(yīng)答消自�、.
步驟S316:主控設(shè)備向網(wǎng)元管理系統(tǒng)發(fā)送安全版本設(shè)置取消應(yīng) 答消息;
步驟S318:受控設(shè)備在收到安全版本設(shè)置消息后���,向主控設(shè)備 發(fā)送安全版本設(shè)置消息應(yīng)答��,對版本下載進行初始化的操作���;步驟S320:主控設(shè)備收到安全版本設(shè)置消息應(yīng)答后,向受控設(shè) 備發(fā)送安全版本文件����,其中,由于該步驟中由一個主控設(shè)備向多個 受控設(shè)備發(fā)送安全版本文件��,所以主控設(shè)備將安全版本文件設(shè)置為 多個#:據(jù)包�����,以組播的形式向受控設(shè)備發(fā)送數(shù)據(jù)包�;
步驟S322:受控i殳備4妄收到數(shù)據(jù)包之后,向主控i殳備發(fā)送應(yīng)答��, 表示數(shù)據(jù)包接收成功�,由于數(shù)據(jù)包以組播的形式發(fā)送給受控設(shè)備, 所以受控設(shè)備每收到 一個數(shù)據(jù)包是都向主控設(shè)備發(fā)出應(yīng)答����,該步驟 受控設(shè)備以單波形式向主控設(shè)備發(fā)送應(yīng)答���;
步驟S324:主控設(shè)備接收到應(yīng)答后,向網(wǎng)元管理系統(tǒng)發(fā)送安全 版本i殳置消息應(yīng)答��,向網(wǎng)元管理系統(tǒng)告知安全X反本i殳置成功�。
在具體實施過程中,步驟S310-S316并不必然在步驟S308-S318 之間執(zhí)行�����,也可以在其它合適的時刻執(zhí)行��,例如��,在步驟S318之后 執(zhí)行�。受控設(shè)備可以在收到安全版本設(shè)置消息后便向主控設(shè)備發(fā)送 安全版本設(shè)置消息應(yīng)答��,無需等待步驟S310-S316執(zhí)行后再執(zhí)行��。
圖4為根據(jù)本發(fā)明優(yōu)選實施例的網(wǎng)絡(luò)安全管理方法中����,從設(shè)備 安裝安全包流程圖�,如圖4所示�����,主要包括以下步驟(步驟S402-步驟S426 ):
步驟S402,受控設(shè)備獲取以數(shù)據(jù)包形式傳送的安全版本文件�;
步驟S404,生成安全版本信息文件,安全版本信息文件記錄安 全版本的基本信息��,作用在于利用安全版本信息文件判斷是否更新 安全版本��;
步驟S406����,將安全版本文件的版本頭去除; 步驟S408��,對安全版本文件解包�;步驟S410,解析安全版本文件中的安全配置文件中的一個記
錄���;
步驟S412,受控設(shè)備對比其已有的安全配置的記錄與解析出的 安全配置文件中的記錄��,如果發(fā)現(xiàn)后者與前者完全一致��,則返回步 驟S410,解析安全版本文件中的安全配置文件中的下一條記錄�,否 則,進入步-驟S414;
步驟S414,判斷記錄中的設(shè)備類型與受控設(shè)備的設(shè)備類型一 致����,如果否,返回步驟S410���,解析安全版本文件中的安全配置文件 中的下一條i己錄�����;
步驟S416����,判斷受控設(shè)備中是否已安裝安全工具��,如果未安裝�����, 進入步驟S422;
步驟S418�,判斷安裝配置文件的記錄中的配置要求與受控設(shè)備 的本地配置要求是否一致�,如果否,進入步驟S424;
步驟S420,判斷安全配置文件的解析是否完成�,如果是���,進入 步驟S426,如果否,返回步驟S410;
步驟S422,受控設(shè)備安裝解析的安全配置文件的記錄對應(yīng)的安 全工具�����,返回步驟S418;
步驟S424,根據(jù)安裝配置文件的配置要求���,對安裝配置文件重 新配置��,返回步驟S420;
步驟S426,根據(jù)受控設(shè)備的安全配置情況��,生成本地的安全配 置的i己錄����,用于2寸比以及后續(xù)的查詢�����,而后返回步驟S402�����。通過上述實施例的網(wǎng)絡(luò)安全管理方法,對網(wǎng)元上設(shè)備的不同安 全需求進行自動安裝及管理���,實現(xiàn)靈活配置���,同時將網(wǎng)元上各設(shè)備 的安全加固措施聯(lián)系起來,使整個網(wǎng)元實現(xiàn)安全加固���,便于網(wǎng)元上 各設(shè)備利用網(wǎng)元管理系統(tǒng)實現(xiàn)安全加固的升級和回退��。
系纟克實施例
根據(jù)本發(fā)明實施例�,還提供了一種網(wǎng)絡(luò)安全管理系統(tǒng)�。
圖5為根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)安全管理系統(tǒng)的結(jié)構(gòu)框圖。圖 5所示�,根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)安全管理系統(tǒng)包括下載單元IO、 管理單元20和安裝單元30���。以下進一步結(jié)合圖5來描述上述各個 模塊的細(xì)節(jié)���。
下載單元10用于下載安全包�,安全包中包4舌打包到一起的安全 配置文件和安全工具包,安全配置文件包括多條安全配置信息�����,安 全工具包中具有多個與網(wǎng)絡(luò)中的從設(shè)備相關(guān)的安全工具,其中每條 安全配置信息都與安全工具包中的一個安全工具對應(yīng)����,用以幫助/人 設(shè)備識別安全工具,判斷是否需要安裝相應(yīng)的安全工具��。
管理單元20與下載單元10連4妻�,用于4艮據(jù)下載的安全包中的 安全配置文件中的各條安全配置信息,乂人安全工具包中選擇相應(yīng)的 安全工具��,并將選擇結(jié)果通知安裝單元30�。
安裝單元30與管理單元20連接,用于根據(jù)管理單元20的選 擇結(jié)果���,安裝相應(yīng)的安全工具�。
圖6為根據(jù)本發(fā)明優(yōu)選實施例的網(wǎng)絡(luò)安全管理系統(tǒng)的結(jié)構(gòu)框 圖�����。如圖6所示����,管理單元20還可以包4舌查詢單元22、匹配單元 24和控制單元26。查詢單元22用于遍歷下載的安全包中安全配置文件中的安全 配置信息��,因而可以對所有安全配置信息全都進4亍查詢�,確4呆不會 出現(xiàn)遺漏;匹配單元24查詢單元22用于將本i也的安全配置信息與 查詢單元22遍歷到的每條安全配置信息進行匹配���,得到匹配結(jié)果���, 匹配過程中,只有將安全配置信息與每條安全配置信息中所有的內(nèi) 容全部匹配����,才能判斷匹配成功,否則�,使j人為匹配失敗�;控制單 元16連接匹配單元24用于根據(jù)匹配單元的匹配結(jié)果控制進行安全 工具安裝操作,其中�,安裝操作包括安裝安全工具和安全配置更新 操作。
控制單元30還可以包括第一判斷單元32����、調(diào)度單元34、第二 判新單元36和更新單元38��。
第一判斷單元32用于判斷匹配失敗的安全配置信息對應(yīng)的安 全工具在本地是否已經(jīng)安裝���,如果是�,則才艮據(jù)匹配失敗的安全配置 信息選4奪進4亍安全工具安裝才喿作����,當(dāng)然,該匹配失敗的安全配置信 息應(yīng)當(dāng)是對應(yīng)從i殳備的安全配置消息���。調(diào)度單元34�,連4妄第一判斷 單元32,用于才艮據(jù)第一判斷單元32的判斷結(jié)果對安裝單元進行調(diào) 度����。具體調(diào)度過程為如果從設(shè)備沒有安裝安全工具,則安裝安全 工具����。調(diào)度單元34通過安裝安全工具,實現(xiàn)了對從設(shè)備的安全加固�����, 并且可以靈活配置安全工具��,使從設(shè)備的安全加固與整個網(wǎng)元上所 有設(shè)備的安全加固都相關(guān)。第二判斷單元36���,連接調(diào)度單元34,在 調(diào)度過禾呈之后或者第一判斷單元32判斷匹配失敗的安全配置信息 對應(yīng)的安全工具在本地已經(jīng)安裝之后����,判斷本地的安全配置與判斷 匹配失敗的安全配置4言息中的安全配置是否一致���。更新單元38�,連 接第二判斷單元36,用于使用判斷匹配失敗的安全配置信息中的安 全配置對本地的安全配置進4于更新���,具體更新過程為第二判斷單 元36判斷匹配失敗的安全配置信息中的安全配置與從設(shè)備的安全 配置不一致時���,使用匹配失敗的安全配置信息中的安全配置對從設(shè)備的安全配置進行更新。實施更新過程的好處是����,便于從設(shè)備在下 一次安全加固的過程中的查詢。
通過上述實施例^是供了的網(wǎng)全各安全管理系統(tǒng)�����,包4舌查詢單元�、 匹配單元和控制單元�,可以達到對網(wǎng)元上多個設(shè)備的不同安全需求 進行安全工具的安裝及管理��,靈活配置����,4吏整個網(wǎng)元實現(xiàn)安全加固��。
綜上所述��,通過本發(fā)明的上述實施例�,^是供的網(wǎng)絡(luò)安全管理方 案,解決了對計算機設(shè)備個體與網(wǎng)元整體進行統(tǒng)一地安全加固的問 題�����,便于實現(xiàn)網(wǎng)元整體的安全加固����。
顯然,本領(lǐng)域的技術(shù)人員應(yīng)該明白���,上述的本發(fā)明的各才莫塊或 各步驟可以用通用的計算裝置來實現(xiàn)�����,它們可以集中在單個的計算 裝置上����,或者分布在多個計算裝置所組成的網(wǎng)絡(luò)上,可選地����,它們 可以用計算裝置可執(zhí)行的程序代碼來實現(xiàn),從而��,可以將它們存儲
在存儲裝置中由計算裝置來執(zhí)行���,或者將它們分別制作成各個集成 電路模塊�����,或者將它們中的多個模塊或步驟制作成單個集成電路模 塊來實現(xiàn)�。這樣���,本發(fā)明不限制于任何特定的硬件和軟件結(jié)合����。
以上所述僅為本發(fā)明的優(yōu)選實施例而已�,并不用于限制本發(fā)明��, 對于本領(lǐng)i或的^支術(shù)人員來i兌��,本發(fā)明可以有各種更改和變化���。凡在 本發(fā)明的精神和原則之內(nèi),所作的任何修改���、等同替換、改進等����, 均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
1.一種網(wǎng)絡(luò)安全管理方法����,其特征在于,包括從設(shè)備下載安全包��,其中���,所述安全包中包括安全配置文件和安全工具包��,安全配置文件包括安全配置信息��,每條安全配置信息都與所述安全工具包中的一個安全工具對應(yīng)��;所述從設(shè)備根據(jù)所述安全配置文件�,從所述安全工具包中選擇安全工具進行安裝。
2. 根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述根據(jù)所述安全 配置文件��,從所述安全工具包中選擇安裝工具進行安裝包括所述/人"i殳備遍歷所述安全配置文件中的安全配置信息���,將 本地的安全配置信息與每條安全配置信息進行匹配��;對于匹配失敗的安全配置信息����,判斷其是否對應(yīng)于所述,人 設(shè)備�,如果是,則根據(jù)所述匹配失敗的安全配置信息選擇進行 工具包安裝操作��。
3. 根據(jù)權(quán)利要求2所述的方法�,其特征在于,所述根據(jù)所述匹配 失敗的安全配置信息選擇進行工具包安裝操作包括判斷所述匹配失敗的安全配置4言息對應(yīng)的安全工具在本 地是否已經(jīng)安裝;如果沒有安裝��,則對該安全工具進4亍安裝���,并在所述匹配 失敗的安全配置信息中的安全配置與所述從設(shè)備的安全配置 不一致時���,4吏用所述匹配失敗的安全配置信息中的安全配置對 所述A人i殳備的安全配置進4于更新;如果已經(jīng)安裝���,則判斷所述匹配失敗的安全配置信息中的 安全配置與所述乂人i殳備中的安全配置是否一致時�,并在二者不一致時��, -使用所述匹配失敗的安全配置信息中的安全配置對所 述從i殳備中的安全配置進行更新�。
4. 根據(jù)權(quán)利要求1-3中的任一項所述的方法��,其特征在于����,所述 安全配置信息中包括以下至少之一所述安全配置信息對應(yīng)的從設(shè)備的物理類型和邏輯類型、 所述安全配置信息對應(yīng)的安全工具����、所述對應(yīng)的安全工具的安 全配置、對所述從設(shè)備的安全控制要求。
5. 根據(jù)權(quán)利要求1所述的方法�����,其特征在于�����,從設(shè)備下載安全包 之前����,所述方法還包括主控設(shè)備乂人網(wǎng)元管理系統(tǒng)4妄收所述安全包,并將所述安全 包發(fā)送給所述從設(shè)備����。
6. 4艮據(jù)權(quán)利要求5所述的方法,其特4正在于�����,所述安全包具有片反 本頭�����,在所述主控^殳備下載所述安全包之前���,所述方法還包括所述主控設(shè)備解析所述版本頭��,獲取其中的版本頭信息�, 并根據(jù)所述版本頭信息判斷需要下載所述安全包;在所述從設(shè)備下載所述安全包之后���,所述方法還包括去 除所述版本頭�����,得到去版本頭的安全包���。
7. —種網(wǎng)絡(luò)安全管理系統(tǒng),其特征在于��,包括下載單元�����,用于下載安全包�,所述安全包中包括安全配置 文件和安全工具包��,所述安全配置文件包括安全配置信息����,每 條安全配置信息都與安全工具包中的 一個安全工具對應(yīng)���;管理單元,用于4艮據(jù)所述安全配置文件從所述安全工具包 中選擇安全工具�;安裝單元,用于安裝安全工具��。
8. 根據(jù)權(quán)利要求7所述的系統(tǒng)��,其特征在于�,所述管理單元包括查詢單元,用于遍歷所述安全配置文件中的安全配置信自 匹配單元�����,用于將本地的安全配置信息與所述查詢單元遍 歷到的每條安全配置信息進行匹配���,得到匹配結(jié)果�����;控制單元����,用于4艮據(jù)所述匹配單元的匹配結(jié)果控制進^亍安 全工具安裝操作。
9. 根據(jù)權(quán)利要求8所述的系統(tǒng)�����,其特征在于����,所述控制單元包括第 一判斷單元,用于判斷匹配失敗的安全配置^f言息對應(yīng)的 安全工具在本地是否已經(jīng)安裝���;調(diào)度單元����,用于根據(jù)所述判斷單元的判斷結(jié)果對所述安裝 單元進行調(diào)度�;第二判斷單元,用于判斷本地的安全配置與所述判斷匹配 失敗的安全配置信息中的安全配置是否一致�;更新單元,用于使用判斷匹配失敗的安全配置信息中的安 全配置對本i也的安全配置進行更新�����。
全文摘要
一種網(wǎng)絡(luò)安全管理方法和系統(tǒng)��,根據(jù)本發(fā)明的網(wǎng)絡(luò)安全管理方法包括從設(shè)備下載安全包��,其中��,安全包中包括安全配置文件和安全工具包��,安全配置文件包括安全配置信息���,每條安全配置信息都與安全工具包中的一個安全工具對應(yīng)�;從設(shè)備根據(jù)安全配置文件�,從安全工具包中選擇安全工具進行安裝。通過本發(fā)明���,解決每個設(shè)備分別加固���,無法整體上達到安全加固的問題,從而可以實現(xiàn)對網(wǎng)元上設(shè)備的不同安全需求進行安裝對應(yīng)安全工具��,同時使整個網(wǎng)元實現(xiàn)安全加固�����,便于網(wǎng)元上設(shè)備的安全加固的升級���。
文檔編號H04L29/06GK101605058SQ200910158939
公開日2009年12月16日 申請日期2009年7月8日 優(yōu)先權(quán)日2009年7月8日
發(fā)明者健 孫, 健 林, 王家文 申請人:中興通訊股份有限公司