[发明专利]一种软件定义网络安全的实施方法

说明书

本发明公开了一种软件定义网络安全的实施方法；实施的行为如下：定义网络；定义网络内安全域，将规划网段划分到安全域；定义设备，将设备接口划分到安全域，给设备接口分配地址；定义全网域间域内安全策略；完成安全定义后，根据定义的全网安全策略检查现有各设备配置策略的问题；对于现网中的安全配置问题提出修改建议，根据具体厂商的具体型号生成相应的配置配置，在人工确认后进行自动下发；对全网的域、设备、策略和问题进行统计；私有定义、检查、控制行为均在统一的软件平台上完成；通过这种规范软件定义网络安全的步骤和内容的方式，从全网角度定义网络安全策略，提升安全控制水平，减少安全运维人力成本。

技术领域

本发明涉及网络安全信息技术领域，特别是涉及信息技术网络的全网视角软件定义安全控制策略及其分析、管理和控制技术。

背景技术

当前网络安全在国家和各行各业中的地位越来越重要，现有信息网络中，需要在网络编辑使用防火墙、交换机、路由器等网络编辑设备，同时在设备中配置安全策略，使得希望通过的数据流能够通过，其它的数据流不能通过；现有这些安全的策略配置、分析、管理、控制均是在各个网络设备中分别完成，没有统一的全网视角，即使部分信息安全管理人员有全网意识，也没有相应的工具进行支撑；而现有网络的设备众多，人力配置对人力成本需求也巨大，而人的能力水平参差不齐，即使有好的顶层网络安全设计，大量能力不等的人的实施水平也不一定能保证各网络设备的安全配置和顶层安全设计的安全策略计划一致，最终导致各网络设备内部以及设备间的规则配置出现冗余、漏洞或矛盾等问题；对于这些问题的分析和查找也是更加消耗人力的事情，从而导致安全服务领域人力大量短缺。

发明内容

为了克服上述现有技术的不足，本发明提供了一种软件定义网络安全的实施方法，通过软件统一的全网视角定义安全策略，并规范实施行为进行网络安全策略的规划设计、分析、控制和统计，规定每个行为中需要定义的必要内容，分析现网设备中配置存在的问题，将统一的安全策略翻译成各类厂商的各类安全设备的配置指令，经人工确认后自动下发给各个设备，实现自动和半自动化的设计实施，保证实施水平，保证网络中众多网络设备的安全策略配置能和全网视角的顶层设计一致，从而减少错误，减少人力成本，提高安全运维效率。

本发明所采用的技术方案是：通过一种软件定义网络安全的实施方法，给出一种软件定义网络安全的步骤，主要步骤如下：先定义网络；再定义网络内的安全域，将网络地址段划分到安全域；再定义设备，将设备接口划分到各个已经定义好的安全域，给设备接口分配地址；再定义全网域间安全策略和域内安全策略；然后根据定义的安全策略检查现有各设备的配置的策略一致性，生成安全策略检查报表，报表内容包括问题策略和需新增策略；然后根据检查输出的报表进行安全策略控制，即对于问题策略进行修改，同时下发需新增的策略；最后对于全网策略的一致性检查和控制进行统计，生成安全策略分析报表；对于新增修改安全域或设备，需要新增或修改相关定义内容，并进行相应的检查和控制；以上到的定义、检查、控制行为均在一个统一的软件定义网络安全软件平台上完成，全新的定义过程需要按顺序进行，后续增量定义可以不按照顺序进行。

定义网络需要定义的内容主要包括网络名称、网络说明(用途、部署信息等) 等网络级信息；用于后续安全域划分网络归属用；一个网络可以有多个安全域。

定义网络内安全域需要定义的内容主要包括定义网络安全域名称、所属于的网络、包含的网段、网络安全域说明(用途、部署信息等)等安全域级信息；用于后续网络设备接口划分归属用；一个网络安全域可以包含多个网段地址和多个设备的多个接口。

定义设备需要定义的内容主要包含设备的名称、设备的类型和型号、设备所属于的网络、设备的远程访问需要信息(如SSH用户名、密码等)、设备的接口列表(可以通过配置自动获取)、接口地址、以及设备接口各自归属的网络安全域、日志服务器等设备级信息；用于生成网络安全策略和检查规则；一个设备的接口只能属于某个网络安全域。