本發明公開一種資產自動防護的方法及裝置，其中，該方法包括：錄入資產配置表，得到資產信息以及所屬業務系統信息；將掃描器對資產的掃描結果和業務系統進行關聯，確定業務系統下所有資產的暴露面；根據資產的暴露面和訪問路徑得到資產的訪問關系；根據業務系統的訪問基線和業務系統下的資產信息，得到所有資產的訪問基線；將資產的訪問關系與對應的訪問基線進行比對，得到比對結果；根據比對結果進行安全決策和安全實施。該方法及裝置將資產和安全設備結合，提高了資產和安全設備的管理效率；通過掃描技術和訪問路徑，對資產自動防護，提高系統的安全性。

技術領域

本發明涉及資產管理領域，尤其是一種資產自動防護的方法及裝置。

背景技術

企業中的資產和安全設備一般都是分開管理的，運維人員不了解資產信息，對安全設備的安全策略，只敢新增，不敢刪除。安全策略的數量與日俱增，而新增策略可能覆蓋歷史策略，使得策略之間存在無效、沖突、冗余等異常關系，導致資產防護失效。另外，當資產發生變動時，運維人員基本上靠人工運維，無法及時更新安全策略，會導致資產防護不及時，容易受到外部攻擊。

發明內容

為解決上述的問題，本發明提供一種資產自動防護的方法及裝置，使用掃描技術和訪問路徑對資產進行自動防護，增加了資產的安全性。

為實現上述目的，本發明采用下述技術方案：

在本發明一實施例中，提出了一種資產自動防護的方法，該方法包括：

錄入資產配置表，得到資產信息以及所屬業務系統信息；

將掃描器對資產的掃描結果和業務系統進行關聯，確定業務系統下所有資產的暴露面；

根據資產的暴露面和訪問路徑得到資產的訪問關系；

根據業務系統的訪問基線和業務系統下的資產信息，得到所有資產的訪問基線；

將資產的訪問關系與對應的訪問基線進行比對，得到比對結果；

根據比對結果進行安全決策和安全實施。

進一步地，資產信息包括資產IP地址、資產MAC地址、資產ID號、資產操作系統、資產上部署的應用和端口暴露面。

進一步地，資產的訪問路徑通過資產上的安全組信息以及安全設備上的安全策略得到。

進一步地，將掃描器對資產的掃描結果和業務系統進行關聯，確定業務系統下所有資產的暴露面，包括：

根據掃描得到的資產的IP、MAC地址、端口暴露面和應用信息，到資產配置表中檢索資產；

如果檢索到資產，則將該資產和業務系統進行關聯，并記錄該資產的暴露面；

如果檢索不到資產，則將該資產信息發給資產管理員，由資產管理員去確認該資產所屬業務系統，并重新錄入資產配置表。

進一步地，比對結果包括一致和不一致，其中不一致包括安全策略的地址過于寬松、端口過于寬松、地址過窄和端口過窄。

進一步地，安全實施包括變更安全策略、調整安全組規則和關閉暴露端口。

進一步地，根據比對結果進行安全決策和安全實施，包括：

當地址過于寬松時，則調整安全設備上的安全策略或者安全組規則；

當端口過于寬松時，則關閉資產上寬松的端口或者調整安全設備的安全策略或者調整安全組規則；

當地址過窄或者端口過窄時，則發送告警信息給運維人員，運維人員再進行安全實施，包括：開放資產端口、增加安全設備的安全策略和增加安全組規則。

在本發明一實施例中，還提出了一種資產自動防護的裝置，該裝置包括：