本發明實施方式公開了一種安全策略適配框架及其方法。該方法包括：預存目標對象的安全信息以及策略轉換的安全信息；掃描目標對象，以獲取目標對象的安全信息；對目標對象的原始策略進行詞法和語法分析，并進行策略語義轉換，進一步采用基于策略轉換的安全信息的策略組裝技術將經過策略語義轉換后的策略轉換為適合多個目標對象的可執行安全策略規則；根據目標對象的安全信息，將適合目標對象的可執行安全策略規則下發給目標對象實施執行。通過上述方式，本發明能夠用自然語言描述的通用安全策略轉換為目標對象中可執行的安全策略規則，具有較強的通用性，支持多種異構安全設備的安全策略集中統一管理。

技術領域

本發明實施方式涉及信息安全技術領域，特別是涉及一種安全策略適配框架及其方法。

背景技術

隨著云計算和大數據時代的到來，云計算和大數據安全問題逐漸成為現代信息安全所要解決的主要問題。解決云計算和大數據安全問題的有效途徑之一即是安全管理，而安全策略管理是實現安全管理的重要手段，它是安全管理的核心，通過安全策略的集中統一的配置和管理能實現系統、安全設備等安全機制的高效管理，提高系統、安全設備的運行效率。

然而，安全策略管理的現狀是，在諸如云計算環境這樣的大規模分布式環境中，隨著安全設備越來越多、應用訪問越來越廣、結構越來越復雜，對高效管理復雜多樣的安全設備提出近乎苛刻的要求。這些種類繁多的安全軟件和設備，其各自的安全管理接口都不開放，即使開放所要求的格式、數據類型也千差萬別，無法實現安全策略的集中而統一的自適應部署和管理；由于當前沒有制定統一的策略標準和策略描述規范，各個廠商提供的安全設備都具有自己獨立的一套策略定義和描述規范，造成兼容性較差，互操作性不強，接口不規范。要實現真正意義上的與廠商無關的策略管理，必須制定一種各廠商都能接受的統一策略規范描述標準和協議。作為策略的一大分支，安全策略在繼承策略基本特征的基礎上，賦予了新的內涵。同時，安全策略也存在著不同的表達方式和適用的范圍，即策略層次。策略層次的不同影響著策略的轉換效果，高層抽象策略通常以自然語言的形式存在，描述的是系統安全需求和安全管理目標，必須轉換為較低層次的策略才能實施執行。

80年代起，英國皇家學院分布式系統管理小組的領袖人物Morris Sloman最先推廣策略概念，并開展與策略相關課題的研究。隨后，IETF、DMTF等國際標準組織、國外學術機構和知名網絡設備廠商也對策略管理的相關問題展開研究，產生了一些實現策略管理解決方案的思路和技術。但這些解決方案往往局限于特定企業的產品，因為沒有推出基于策略、策略描述、策略管理的標準，兼容性較差。

鑒于上述情況，IETF等推出了基于策略管理的標準體系結構以及多種不同的策略描述規范如貝爾實驗室的PDL策略描述語言、英國皇家學院的PONDER策略描述語言、OASIS的xACML通用訪問控制策略語言和執行授權策略框架，但仍然缺乏通用的語言規范標準。國內對這方面的研究相對較少，或多或少都有些缺陷，不能滿足現有的策略管理要求

發明內容

本發明實施方式主要解決的技術問題是提供一種安全策略適配框架及其方法。能夠用自然語言描述的通用安全策略轉換為目標對象中可執行的安全策略規則，具有較強的通用性，支持多種異構安全設備的安全策略集中統一管理。

為解決上述技術問題，本發明實施方式采用的一個技術方案是：提供一種安全策略適配方法，方法包括：預存目標對象的安全信息以及策略轉換的安全信息；掃描所述目標對象，以獲取所述目標對象的安全信息；對所述目標對象的原始策略進行詞法和語法分析，并進行策略語義轉換，進一步采用基于所述策略轉換的安全信息的策略組裝技術將經過策略語義轉換后的策略轉換為適合多個目標對象的可執行安全策略規則；根據所述目標對象的安全信息，將適合所述目標對象的可執行安全策略規則下發給所述目標對象實施執行。

其中，目標對象的安全信息包括所述目標對象的設備類型、系統軟件、業務軟件類型及系統補丁信息、可能存在的漏洞及安全風險、已部署的安全策略及安全要求。