一種用于自動改進網絡系統（10）的安全的方法包括：從網絡系統（10）的網絡裝置（14）收集安全相關信息（30'），安全相關信息（30'）包括網絡裝置（14）的安全設定（32）和操作信息（34）；分析安全相關信息（30'），以便確定網絡裝置（14）的弱安全設定（32'），弱安全設定（32'）對于網絡系統（10）的常規操作不是必要的；基于弱安全設定（32'）來確定用于網絡裝置（14）的加固的安全設定（32''），加固的安全設定（32''）限制網絡裝置（14）的可能操作，但是允許網絡系統（10）的常規操作；以及將加固的安全設定（32''）應用于網絡裝置（14）。

技術領域

本發明涉及通信網絡系統的安全的領域。特別是本發明涉及用于自動改進網絡系統的安全的方法、計算機程序和網絡加固（hardening）系統。另外，本發明涉及網絡系統。

背景技術

當今幾乎所有工業系統包括以通信方式與彼此互連并且與外部裝置互連的許多計算裝置。這樣的網絡系統的每個裝置可具有安全設定，所述安全設定控制允許的操作以及與其他裝置的允許的通信。然而，在安裝之后，安全設定可能是不正確的或者僅被部分地設置。

為了改進網絡系統的安全，網絡系統可被“加固”，這除了別的之外還可意指以下過程：評估安裝的軟件、運行的應用和進程以及用于外部接入的接入點，并且通過將安裝的軟件、進程和接入點限制到實行所要求的任務要求的絕對最小量來減少攻擊表面。

當前，網絡系統通常在調試階段期間被加固，并且對操作中的系統很少或沒有執行加固。然而，在調試階段中的手動加固過程可以是挑戰性的和易出錯的。此外，即使存在某種程度的自動化，但是被應用的規則可能是不正確的或者僅部分地可適用于給定網絡系統，這在建立系統時可能難以檢測。

此外，可以的是，網絡系統的部分能夠在其壽命期間改變，例如可添加或更換裝置，或者可修改一些裝置的配置。對改變的網絡系統而言，初始加固可能不再是有效的或者可能是不完整的。

US 2013/097706涉及移動裝置的安全并且涉及使用儀器化沙箱和機器學習分類來評估移動應用安全的自動化應用分析。

US 7966659 B1涉及用于配置防火墻的分布式學習方法。在學習模式期間從分布式源收集業務信息。該信息被轉換為系統上下文，能夠從系統上下文創建安全規則，并且能夠將安全規則自動應用于防火墻。

US 2015/135265 A1涉及自動網絡防火墻策略確定。模板編譯器能夠從用戶已經選取的商業工具來自動確定網絡安全策略。防火墻能夠監控業務，并且能夠通過使網絡安全更加嚴格來基于業務更新安全策略。

發明內容

本發明的目的是提供一種具有更高安全的網絡系統。本發明的另外的目的是簡化網絡系統的加固。

這些目的通過獨立權利要求的主題來被實現。由從屬權利要求和以下描述，另外的示例性實施例是顯而易見的。

本發明的方面涉及一種用于自動改進網絡系統的安全的方法。網絡系統可以是經由通信網絡與彼此互連的計算裝置的任何系統。下面可稱作網絡裝置的計算裝置可以是諸如路由器、交換機和防火墻之類的只支持網絡系統中的通信的裝置，和/或可以是諸如PC、服務器、控制器、智能電子裝置、智能裝置等與彼此通信的裝置。

在這里以及在下文中，術語“自動地”可描述方法可由計算裝置在沒有人類的直接干涉的情況下執行。例如，方法可由網絡系統的一個或多個裝置和/或由與網絡系統互連的一個或多個裝置執行。

根據本發明的實施例，該方法包括：從網絡系統的網絡裝置收集安全相關信息，安全相關信息包括網絡裝置的安全設定和操作信息。