[发明专利]用于安全策略配置的编排方法、系统、装置及存储介质

说明书

本发明涉及用于安全策略配置的编排方法、安全业务控制系统、安全业务控制装置及计算机可读存储介质。其中，将针对变更的业务设置的安全策略表按照目的地址和安全功能类别分解成一个以上的最小化单位策略，按照安全功能类别对一个以上的最小化单位策略进行归类，生成与一个以上的安全功能类别的每一个分别对应的最小化单位策略组，针对一个以上的安全功能类别的每一个，确定与变更的业务对应且与该安全功能类别对应的一个以上的安全设备，针对一个以上的安全设备的每一个，利用与该安全功能类别对应的最小化单位策略组，更新针对该安全设备设置的安全策略表。由此，能够降低安全策略变更的复杂度，提高安全防御边界的编排的灵活度和准确度。

技术领域

本发明涉及安全控制领域，特别涉及用于安全策略配置的编排方法、安全业务控制系统、安全业务控制装置及计算机可读存储介质。

背景技术

随着第五代移动通信技术(简称5G)的发展，允许承载的网络容量进一步增加、设备连接能力进一步提高，能够实现更多的业务发展，从而对业务的安全策略部署提出了更高的要求。

特别地，在5G技术环境下，为了支持差异化业务的服务指标而引入了切片特性，要求在不同网络切片之间进行隔离的同时实现灵活的调度控制。然而，上述网络切片的网络常常采用云化方式承载，导致5G网络与传统网络存在很大的差异。其中，一个差异在于网络虚拟化的实现，由于以用户和业务作为颗粒度划分网络边界，所以难以界定虚拟化的隔离边界；另一个差异在于5G要求支持按需服务的动态业务特性，因此业务指标随时可能变化，进一步地，由于业务指标的变化，业务的安全服务的支持设备、容量和安全策略都有可能对应地变化，从而导致安全防御边界和安全控制措施不断发生变化，为此要求更高效且更精准地划分安全防御边界和安全策略编排。

发明内容

在下文中给出了关于本公开的简要概述，以便提供关于本公开的一些方面的基本理解。但是，应当理解，这个概述并不是关于本公开的穷举性概述。它并不是意图用来确定本公开的关键性部分或重要部分，也不是意图用来限定本公开的范围。其目的仅仅是以简化的形式给出关于本公开的某些概念，以此作为稍后给出的更详细描述的前序。

本发明的发明人注意到，在现有技术中，由于安全隔离和边界防御由VLAN、防火墙实施，所以安全机制分散，针对不同业务的控制细粒度不足，缺乏统一的安全策略配置的编排机制，所以难以适应根据5G业务动态变化和安全需求变化面灵活变更的服务需求。

本发明的目的在于提供一种能够降低安全策略配置变更的复杂度并且提高安全防御边界的编排的灵活度和准确度的、用于安全策略配置的编排方法、安全业务控制系统、安全业务控制装置及计算机可读存储介质。