技術領域

本發明涉及通信領域，具體而言，涉及一種安全能力協商方法和系統。

背景技術

隨著網絡的融合以及全IP化的發展趨勢，安全問題越來越嚴重。同時， 相應的各種各樣的安全設備也層出不窮。目前，傳統安全設備已經向大容量 和高性能方向發展，主要應對網絡層的安全威脅。各種各樣的應用級安全設 備和檢測設備也被部署到網絡中，用以抵御來自網絡各個層面的安全威脅。

傳統安全設備主要具有包過濾、NAT(Network?Address?Transfer，網絡 地址翻譯)、防DDoS(Distribution?Denial?of?service，分布式拒絕服務)攻擊 和防畸形報文攻擊等基本功能，可以抵御來自網絡層的安全威脅。隨著網絡 的發展和網絡應用的豐富，針對應用層的攻擊技術發展迅速。而抵御這些應 用層攻擊的安全設備也隨之出現，如IDS(Intrusion?Detection?System，入侵檢 測系統)、IPS(Intrusion?Protection?System，入侵防護系統)和UTM(Unified Threat?Management，統一成脅管理)設備。

隨著人們的安全保護意識越來越強烈，大大小小的安全設備被部署在網 絡的各個角落，加強了對網絡的保護。但是，網絡也越來越復雜，效率越來 越低下。

SOC(Security?Operation?Center，安全運營中心)主要用于統一管理網絡中 各種各樣的安全設備；SOC由“四個中心、五個功能模塊”組成。四個中 心分別為事件監控中心、漏洞評估中心、綜合分析決策支持與預警中心和應 急管理中心；五個功能模塊分別為策略管理、資產管理、用戶管理、安全知 識管理和自身系統維護。

SOC只是對網絡中的各種安全設備實現了統一管理和統一監控，提供 各種安全分析報告，并未解決網絡因引入大量安全設備而導致效率下降的問 題。

發明內容

本發明旨在提供一種安全能力協商方法和系統，能夠實現網絡中安全能 力的合理分配，解決網絡因引入安全設備而導致效率下降的問題。

為了解決上述問題，本發明提供了一種安全能力協商方法，策略服務器 獲取安全設備安全能力參數，為相互關聯的安全設備建立安全能力關系數據 庫，并下發給安全設備執行；所述相互關聯的安全設備是指：在策略服務器 已經注冊的安全設備。

進一步地，上述方法還可具有以下特點，所述策略服務器通過如下方式 獲取安全設備安全能力參數：安全設備向策略服務器注冊，認證通過后向策 略服務器上報安全設備安全能力參數。

進一步地，上述方法還可具有以下特點，安全設備的安全能力參數更新 或者有新安全設備加入時，策略服務器更新安全設備間的安全能力關系數據 庫，重新下發給安全設備執行。

進一步地，上述方法還可具有以下特點，所述策略服務器還檢測安全設 備是否退出，在安全設備退出時，刪除該安全設備的安全能力參數數據庫， 向與該安全設備關聯的其它安全設備發送安全能力關系數據庫刪除信息。

進一步地，上述方法還可具有以下特點，所述策略服務器通過如下方式 檢測安全設備是否退出：

所述策略服務器定時發送檢測報文給安全設備；如果安全設備連續指定 次數未發送響應報文給策略服務器，則策略服務器判斷所述安全設備退出。

進一步地，上述方法還可具有以下特點，所述策略服務器生成安全設備 之間的安全能力關系數據庫時，至少一方為具有控制功能的安全設備，且所 述策略服務器只下發所述安全能力關系數據庫給具有控制功能的安全設備。

進一步地，上述方法還可具有以下特點，所述策略服務器從其他策略服 務器獲取安全設備安全能力參數時，生成安全能力關系數據庫后發送給其他 策略服務器，由其他策略服務器下發給相應的安全設備執行。

一種安全能力協商系統，包括，策略服務器和安全設備，其中：

所述策略服務器，用于獲取安全設備的安全能力參數，為相互關聯的安 全設備建立安全能力關系數據庫，并下發給安全設備執行；所述相互關聯的 安全設備是指：在策略服務器已經注冊的安全設備。

進一步地，上述系統還可具有以下特點，所述安全設備，還用于向策略 服務器注冊，認證通過后向策略服務器上報安全設備安全能力參數；