本發(fā)明提供了面向分布式訪問控制策略的配置弱點分析方法和系統(tǒng)。本發(fā)明通過對分布在不同網(wǎng)絡(luò)設(shè)備上的網(wǎng)絡(luò)地址服務(wù)信息、數(shù)據(jù)流動策略和訪問控制策略信息進(jìn)行廣泛收集的基礎(chǔ)上，通過對網(wǎng)絡(luò)安全目標(biāo)、網(wǎng)絡(luò)數(shù)據(jù)流動拓?fù)鋱D和訪問控制策略進(jìn)行形式化定義，基于語義形式化定義構(gòu)建目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)數(shù)據(jù)流動拓?fù)鋱D；利用面向分布式訪問控制策略的配置弱點分析方法，發(fā)現(xiàn)分布在不同設(shè)備上的訪問控制策略中存在的配置弱點，從而達(dá)到發(fā)現(xiàn)網(wǎng)絡(luò)配置中存在的安全弱點，提升網(wǎng)絡(luò)安全防護(hù)能力的目的。

技術(shù)領(lǐng)域

本發(fā)明涉及通信網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體設(shè)計一種基于語義形式化描述的分布式訪問控制策略弱點分析方法。

背景技術(shù)

隨著網(wǎng)絡(luò)技術(shù)和信息化技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)空間已經(jīng)成為繼“陸海空天”之后的第五大戰(zhàn)略空間，網(wǎng)絡(luò)空間安全已經(jīng)成為保障國計民生的重要支撐，越來越受到廣泛的重視。

隨著網(wǎng)絡(luò)安全防護(hù)技術(shù)的不斷發(fā)展，安全訪問控制技術(shù)做為安全防護(hù)的基本保證，被廣泛使用在網(wǎng)絡(luò)上的交換機(jī)、路由器、防火墻、負(fù)載均衡設(shè)備等不同的網(wǎng)絡(luò)設(shè)備或安全設(shè)備上，這些設(shè)備可以以VLAN隔離、路由隔離、基于IP地址的訪問控制策略、基于URL的訪問控制策略等多種形式，來實現(xiàn)對網(wǎng)絡(luò)的安全隔離，共同維護(hù)網(wǎng)絡(luò)整體的安全目標(biāo)。

日常的網(wǎng)絡(luò)安全管理工作，實際上是一項十分復(fù)雜繁瑣的工作，其中一項重要的工作，就是根據(jù)網(wǎng)絡(luò)的整體安全目標(biāo)和整體安全目標(biāo)，生成于分布在各個安全設(shè)備上的訪問控制策略，在傳統(tǒng)方式中，這些訪問控制策略一般獨立生成，相互之間缺乏協(xié)同，致使由于安全策略制定不合理，而使得網(wǎng)絡(luò)安全整體安全目標(biāo)無法得到保障。

發(fā)明內(nèi)容

本發(fā)明旨在針對目前分布在各個安全設(shè)備上的訪問控制策略一般獨立生成，相互之間缺乏協(xié)同，致使由于安全策略制定不合理，而使得網(wǎng)絡(luò)安全整體安全目標(biāo)無法得到保障的技術(shù)問題，提供一種

面向分布式訪問控制策略的配置弱點分析方法和系統(tǒng)。

本發(fā)明采用以下技術(shù)方案。

一方面，本發(fā)明提供面向分布式訪問控制策略的配置弱點分析方法，包括以下步驟：

從底層的網(wǎng)絡(luò)設(shè)備上獲得到網(wǎng)絡(luò)配置；對獲得到的網(wǎng)絡(luò)設(shè)備配置進(jìn)行解析，得到網(wǎng)絡(luò)地址服務(wù)信息、數(shù)據(jù)流動策略和訪問控制策略信息，并對其進(jìn)行形式化描述，包括對IP地址、IP地址區(qū)間、端口號、端口號區(qū)間、協(xié)議以及選項的形式化定義、對區(qū)間的運(yùn)算定義、訪問控制規(guī)則的形式化定義以及網(wǎng)絡(luò)安全目標(biāo)形式化定義；

基于語義形式化定義構(gòu)建目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)數(shù)據(jù)流動拓?fù)鋱D；

利用分布式訪問控制策略弱點分析算法，得到可能的安全配置弱點。

進(jìn)一步地，所述IP地址區(qū)間被定義為二元組ip₁,ip₂，其中ip₁,ip₂∈IPADDR且ip₁ip₂，IPADDR為IP地址的集合，在IP地址集合IPADDR上定義五個二元關(guān)系“”、“＝”、“”、“≥”和“≤”，分別表示兩個IP地址的大小關(guān)系，如果一個以點分十進(jìn)制表示的IP地址ip₁，，在去掉“.”后形成的數(shù)字大于另一個以點分十進(jìn)制表示的IP地址ip₂在去掉“.”后形成的數(shù)字，則有ip₁ip₂，如果兩個數(shù)字相等，則認(rèn)為ip₁＝ip₂，如果前者小于后者，則有ip₁ip₂。在端口號集合PORT上，同樣定義五個二元關(guān)系“”、“＝”、“”、“≥”和“≤”，分別表示兩個端口號對應(yīng)整數(shù)的大小關(guān)系，端口號區(qū)間被定義為二元組(p₁,p₂)，其中p₁,p₂∈PORT且且p₁≤p₂。