技術領域

本發明涉及網絡安全領域，尤其涉及一種安全配置優化的方法及裝置。

背景技術

隨著網絡安全問題的日益突出，各企業根據業務需求、網絡環境建立了各自的安全配置規范，并依據安全配置規范對操作系統、數據庫、應用軟件和網絡設備進行系統配置，在系統配置過程中，通常僅考慮安全性的要求，忽略了使用的方便性。另一方面，也很難從眾多的配置項中找到既滿足安全性，又提高使用性的配置項組合。

以一個簡單的例子說明。假設將一個系統的網線接口、通用串行總線（Universal?Serial?Bus，USB）接口、光驅、軟驅四個配置項設置為禁用，配置后的系統與外界隔離，是非常安全的。但是，由于配置后的系統不能與外界發生任何的信息交互，導致該系統的使用性較低。

發明內容

本發明實施例提供一種安全配置優化的方法及裝置，用以解決現有技術中配置后的系統雖然可以滿足安全性的要求，但是使用性較低的問題。

本發明實施例提供的一種安全配置優化的方法，包括：

優化裝置確定系統中包括的配置項；并

根據預先設定的每個配置項對應的安全性權值，確定滿足指定條件的配置項組合，其中，滿足指定條件的配置項組合具體為：所包含的每個配置項對應的安全性權值的和值大于設定安全閾值的配置項組合；以及

根據預先設定的每個配置項對應的使用性損失權值，在確定的滿足指定條件的配置項組合中，選擇所包含的每個配置項對應的使用性損失權值的和值最小的配置項組合；

所述優化裝置根據選擇出的配置項組合中包含的配置項，配置所述系統。

本發明實施例提供的一種安全配置優化的裝置，包括：

配置項確定模塊，用于確定系統中包括的配置項；

配置項組合確定模塊，用于根據預先設定的每個配置項對應的安全性權值，確定滿足指定條件的配置項組合，其中，滿足指定條件的配置項組合具體為：所包含的每個配置項對應的安全性權值的和值大于設定安全與之的配置項組合；

選擇模塊，用于根據預先設定的每個配置項對應的使用性損失權值，在確定的滿足指定條件的配置項組合中，選擇所包含的每個配置項對應的使用性損失權值的和值最小的配置項組合；

優化模塊，用于根據選擇出的配置項組合中包含的配置項，配置所述系統。

本發明實施例提供一種安全配置優化的方法及裝置，該方法根據系統中包括的每個配置項對應的安全性權值，確定所包含的每個配置項對應的安全性權值的和值大于設定安全閾值的配置項組合，根據每個配置相對應的使用性損失權值，在確定的配置項組合中，選擇所包含的每個配置相對應的使用性損失權值的和值最小的配置項組合，根據選擇出的配置項組合中包含的配置項配置該系統。通過上述方法，選擇出的配置項組合為既滿足系統的安全性要求，又對系統的使用性影響程度最低的配置項組合，因此根據選擇出的配置項組合配置系統，可以使配置后的系統在滿足安全性要求的同時，提高系統的使用性。

附圖說明

圖1為本發明實施例提供的安全配置優化的過程；

圖2為本發明實施例提供的確定所包含的每個配置項對應的安全性權值的和值大于設定安全閾值，且，所包含的每個配置相對應的使用性損失權值的和值最小的配置項組合的過程；

圖3為本發明實施例提供的第一種調整向量集合的過程；

圖4為本發明實施例提供的第二種調整向量集合的過程；

圖5為本發明實施例提供的第三種調整向量集合的過程；

圖6為本發明實施例提供的安全配置優化的詳細過程；

圖7為本發明實施例提供的安全配置優化的裝置結構示意圖。

具體實施方式

由于現有技術中在配置系統中的配置項時，只考慮了配置項對系統安全性的影響，并未考慮配置項對系統使用性的影響，因此往往使配置后的系統雖然可以滿足安全性的要求，但使用性很低。本發明實施例旨在從系統包括的配置項中，選擇出在滿足系統安全性要求的前提下，使系統使用性的降低程度最小的一種配置項組合，則按照選擇出的配置項組合配置系統后，可以使配置后的系統在滿足安全性要求的前提下，盡量提高系統的使用性。

下面結合說明書附圖，對本發明實施例進行詳細描述。

圖1為本發明實施例提供的安全配置優化的過程，具體包括以下步驟：

S101：優化裝置確定系統中包括的配置項。

在本發明實施例中，優化裝置首先確定系統中包括哪些配置項。