安全系统以及安全防护方法与流程

1.本发明涉及网络与信息安全领域，特别涉及用于云网系统的安全系统以及安全防护方法。


背景技术：

2.当前，正在以建立新一代云网运营体系和推进企业数字化转型为目标，打破网络与it的传统职能壁垒，突破网络分段管理模式和it系统“烟囱式”架构，按照云、网、系统深度融合方式建立领先的生产运营和管理体系，实现全集团“一张网、一朵云、一个系统、一套流程”，打造运营商云网融合核心竞争力。
3.为保障上述云网一体化正常运行，防范对网络系统、基础平台、企业信息化系统、企业数据及数据平台的攻击、侵入、干扰、破坏和非法使用，保障系统存储、传输、处理信息的完整性、保密性、可用性，需要实施云网一体化安全分域分级的安全策略管理。
4.作为现有的数据安全技术，有一种基于区块链的跨领域共享数据安全决策方法，图1示出实现该共享数据安全决策方法的模块图。该方法包括：共享数据提供方101通过安全策略执行点102拟定安全策略，发布共享数据，并上报策略信息到安全策略管理点109；共享数据使用方107通过安全策略执行点106向安全策略决策点108发起数据访问决策请求；安全策略决策点108响应决策请求，从安全策略管理点109获取共享数据安全策略，基于安全策略结合区块链共识机制进行策略决策，反馈决策结果给安全策略执行点106；使用方安全策略执行点106根据决策结果对共享数据访问请求进行允许或拒绝处理。该方法简化了跨领域权限系统设计和实现的复杂性，保证策略决策的权威性和可靠性，可支撑共享数据权限的跨域验证和管控。但是该方法不适用于多层结构的云网系统。


技术实现要素：

5.有鉴于此，本发明的目的在于提供一种安全系统以及安全防护方法，用于对多层结构的云网系统进行安全防护。
6.根据本发明的一个方面，提供一种安全系统，用于对多层结构的云网系统进行安全防护，
7.所述安全系统包括安全策略管理单元、安全策略区块链、安全策略规则库、多层安全策略确定单元、多层安全防护装置，其中，
8.所述多层云网安全防护装置中的各层安全防护装置各自包括本层的安全组件，
9.所述安全策略规则库保存有所述云网系统的各层的网络参数和安全策略参数以及层间映射关系，
10.所述安全策略管理单元配置保护变更对象的安全等级，并将所述保护变更对象的安全等级和所述保护变更对象的容量发送给所述安全策略区块链，
11.所述安全策略区块链将从所述安全策略管理单元接收到的所述保护变更对象的安全等级和所述保护变更对象的容量通过区块链分别发布到所述多层安全策略确定单元
中的各层安全策略确定单元，
12.所述各层安全策略确定单元各自接收所述安全策略区块链发布的所述保护变更对象的安全等级和所述保护变更对象的容量，调用所述安全策略规则库中的网络参数、安全策略参数和层间映射关系，确定本层安全策略，其中，在确定本层安全策略时，基于所述保护变更对象的容量、现有防护区域以及层间映射关系来更新本层的防护区域，基于所述保护变更对象的安全等级和现有防护区域的安全等级来更新本层的安全等级，
13.所述各层安全策略确定单元各自查询与更新后的本层的安全等级相匹配的本层的安全组件，并向相应层的安全防护装置发送与更新后的本层的安全等级相匹配的本层的安全组件相关信息和更新后的本层的防护区域，
14.所述各层安全防护装置各自利用与更新后的本层的安全等级相匹配的本层的安全组件对更新后的本层的防护区域进行安全防护。
15.根据本发明的另一个方面，本发明提供一种安全防护方法，用于对多层结构的云网系统进行安全防护，所述安全防护方法包括：
16.安全策略管理单元配置保护变更对象的安全等级，并将所述保护变更对象的安全等级和所述保护变更对象的容量经由安全策略区块链发布到各层安全策略确定单元；
17.各层安全策略确定单元各自基于所述保护变更对象的容量、现有防护区域以及层间映射关系来更新本层的防护区域，基于所述保护变更对象的安全等级和现有防护区域的安全等级来更新本层的安全等级；
18.各层安全策略确定单元各自查询与更新后的本层的安全等级相匹配的本层的安全组件，并向相应层的安全防护装置发送与更新后的本层的安全等级相匹配的本层的安全组件相关信息和更新后的本层的防护区域；
19.各层安全防护装置各自利用与更新后的本层的安全等级相匹配的本层的安全组件对更新后的本层的防护区域进行安全防护。
20.本发明提供的安全系统和安全防护方法适用于多层结构的云网系统，能够实现“网随云动，云随数动”的安全防护联动，调用不同层间的层间映射关系，自动划分出新的特定安全区域边界和安全等级，适用于云网融合业务一体化安全运营场景。
附图说明
21.图1示出实现现有的共享数据安全决策方法的模块图。
22.图2示出本发明实施方式的安全系统的结构图。
23.图3是本发明实施方式的用于多层结构的云网系统的安全防护方法的流程图。
24.图4是本发明实施方式的安全防护装置中的各层安全组件及其安全防护能力说明图。
具体实施方式
25.下面结合附图详细说明用于实施本发明的具体实施方式。
26.本发明实施方式的安全系统和安全防护方法用于对多层结构的云网系统进行安全防护。多层结构的云网系统从上到下例如包括数据层、应用层、云层、网络层、终端层。本发明实施方式的安全系统和安全防护方法能够实现云网系统的安全策略分层联动，可实现“网随云动、云随数动”的安全防护联动。
27.图2示出本发明实施方式的安全系统的结构图。如图2所示，本发明实施方式的安全系统包括：安全策略管理单元s1、安全策略区块链s2、安全策略确定单元s31、安全策略规则库s32、安全防护装置s4。
28.其中，安全策略确定单元s31和安全防护装置s4可根据云网系统的多层结构，相应地分为多层。在本发明实施方式中，云网系统从上到下包括数据层、应用层、云层、网络层、终端层，因此，安全策略确定单元s31相应地包括数据层安全策略确定单元s311、应用层安全策略确定单元s312、云层安全策略确定单元s313、网络层安全策略确定单元s314、终端层安全策略确定单元s315，安全防护装置s4相应地包括数据层安全防护装置s41、应用层安全防护装置s42、云层安全防护装置s43、网络层安全防护装置s44、终端层安全防护装置s45。但是，安全策略确定单元s31也可以不分为各层安全策略确定单元s311～s315，只要能够实现各层的安全策略的更新，就可以由一个安全策略确定单元s31分别对各层分别进行安全策略的更新。不管是由各层安全策略确定单元s311～s315分别各自进行本层的安全策略的更新，还是由安全策略确定单元s31对各层分别进行安全策略的更新，其操作是相同的，在本实施方式中，说明安全策略确定单元s31分为各层安全策略确定单元s311～s315来实现的实施方式。另外，安全防护装置s4也可以部分为各层安全防护装置s41～s45，只要能够实现各层的安全防护，就可以由一个安全防护装置s4分别对各层进行安全防护。不管是由各层安全防护装置s41～s45分别各自进行本层的安全防护，还是由安全防护装置s4对各层分别进行安全防护，其操作是相同的，在本实施方式中，说明安全防护装置s4分为各层安全防护装置s41～s45来实现的实施方式。
29.安全策略规则库(s32)中保存有所述云网系统的各层的网络参数和安全策略参数以及层间映射关系。网络参数可以包括初始网络参数和当前网络参数，安全策略参数可以包括初始安全策略参数和当前安全策略参数。层间映射关系表示相邻层之间的网络设备的关联关系。利用该层间映射关系，在上一层防护区域的安全策略变化时，能够联动地使下一层的相关联的防护区域的安全策略发生变化。
30.当保护对象变更时，安全策略管理单元s1配置保护变更对象的安全等级，并将该保护变更对象的安全等级和该保护变更对象的容量发送给安全策略区块链s2。其中，保护对象的变更可以包括保护对象的增加和保护对象的减少。在本文中，将“要增加的保护对象”和“要减少的保护对象”总称为“保护变更对象”。
31.安全策略区块链s2将从安全策略管理单元s1接收到的保护变更对象的安全等级和保护变更对象的容量通过区块链分别发布到安全策略确定单元s31中的各层安全策略确定单元s311～s315。
32.各层安全策略确定单元s311～s315各自接收安全策略区块链s2发布的保护变更对象的安全等级和保护变更对象的容量，调用安全策略规则库s32中的各层的网络参数和安全策略参数以及层间映射关系，确定本层安全策略。其中，各层安全策略确定单元s311～s315各自在确定本层安全策略时，基于保护变更对象的容量、现有防护区域以及层间映射关系来更新本层的防护区域，基于保护变更对象的安全等级和现有防护区域的安全等级来更新本层的安全等级。
33.作为用于更新本层的防护区域的实施例，各层安全策略确定单元s311～s315各自
在基于保护变更对象的容量、现有防护区域以及层间映射关系来更新本层的防护区域时，根据保护变更对象的容量和现有防护区域确定最小的防护区域作为更新后的防护区域。当保护变更对象为要增加的保护对象的情况下，将该要增加的保护对象和现有防护区域相加得到的防护区域作为更新后的防护区域。当保护变更对象为要减少的保护对象的情况下，将从现有防护区域中删除该要减少的保护对象之后得到的防护区域作为更新后的防护区域。
34.作为用于更新本层的安全等级的实施例，各层安全策略确定单元s311～s315各自在基于保护变更对象的安全等级和现有防护区域的安全等级来更新本层的安全等级时，需要根据保护变更对象的种类来分为如下几个情况进行更新。
35.情况1，当保护变更对象是要增加的保护对象的情况下，各层安全策略确定单元s311～s315各自将保护变更对象的安全等级和现有防护区域的安全等级中的最高安全等级作为更新后的安全等级。
36.情况2，当所述保护变更对象是要减少的保护对象的情况下，所述各层安全策略确定单元s311～s315各自保留从现有防护区域减去所述要减少的保护对象之后的防护区域的安全等级。
37.情况3，当所述保护变更对象是要减少的保护对象的情况下，所述各层安全策略确定单元s311～s315各自在从现有防护区域减去所述要减少的保护对象之后不存在要保护的防护区域时，将本层的安全等级恢复为初始的安全等级。
38.各层安全策略确定单元s311～s315各自更新本层的安全等级和本层的防护区域之后，各自查询与更新后的本层的安全等级相匹配的本层的安全组件，并向安全防护装置s4中的相应层的安全防护装置发送与更新后的本层的安全等级相匹配的本层的安全组件相关信息和更新后的本层的防护区域。
39.图4是安全防护装置中的各层的安全组件及其安全防护能力说明图。各层安全策略确定单元s311～s315各自可根据图4所示的安全组件及其安全防护能力，查询与更新后的本层的安全等级相匹配的本层的安全组件。
40.各层安全防护装置s41～s45各自利用与更新后的本层的安全等级相匹配的本层的安全组件对更新后的本层的防护区域进行安全防护。
41.如果本层的安全等级更新后比原来变高，则安全防护装置s4中的各层安全防护装置s41～s45各自对与更新后的本层的防护区域相关的网络设备分别加载与更新后的本层的安全等级相匹配的安全组件，以对本层的防护区域进行安全防护。
42.如果本层的安全等级更新后比原来变低，则安全防护装置s4中的各层安全防护装置s41～s45各自从与更新后的本层的防护区域相关的网络设备分别卸载相应的安全组件。但这种情况一般发生在该层不再存在防护对象的情况，该情况下将该层的网络设备的安全策略恢复成初始安全策略即可。
43.通过本发明实施方式提供的安全系统，能够实现“网随云动，云随数动”的安全防护联动，调用不同层间的层间映射关系，自动划分出新的特定安全区域边界和安全等级。
44.在本发明另一实施方式中，安全策略管理单元s1在配置安全策略时，安全策略的配置不限于配置保护变更对象的安全等级，还可以设置各种安全参数，例如，对主体subject、客体object进行统一安全标记se_token、安全区域边界范围zone_defense，对主
体进行授权，配置可信验证策略等。此安全策略可表示为：
45.security_police{se_token(sujects,objects),zone_defense}
46.安全策略规则库s32中保存的层间映射关系可表示为(zone0,zone1,zone2
…
)。
47.假设本层的当前安全策略表示为sp0{st(subj0，obj0),zone0}，保护变更对象的安全策略表示为δsp{st(subj，obj),zone}，则更新后的安全策略可表示为：
48.sp＝δsp sp0＝{maxst(subj0 subj,obj0 obj),minzone}
49.从上述表示可看出，在对安全策略进行更新时，根据保护对象的容量确定最小防护区域minzone，根据保护对象的最高等级确定安全防护等级maxst。
50.下面说明基于本发明实施方式的安全系统更新安全等级和安全防护区域的具体实施例。
51.假设现有云网系统的初始网络参数和初始安全策略参数如下：
52.云c1的可用存储空间为500gb，相应的网络边界为n1、n2，初始安全等级设为2级；云c2的可用存储空间为2000gb，相应的网络边界为n3、n4，初始安全等级设为2级。
53.假设现有云网系统的当前网络参数和安全策略参数如下：
54.云c1的已使用存储空间为400gb，剩余的可用存储空间为100gb，相应的网络边界为n1、n2，安全等级设为2级；云c2的存储空间未使用，剩余的可用存储空间为2000gb，相应的网络边界为n3、n4，安全等级设为2级。
55.在本实施例中，说明新增150gb数据的保护对象的情况。安全策略管理单元s1将该新增150gb数据的保护对象的安全等级设为3级，并将新增保护对象的安全等级和新增保护对象的容量发送给安全策略区块链s2，安全策略区块链s2通过区块链将新增保护对象的安全等级(3级)和新增保护对象的容量(150gb)分别分发到数据层安全策略确定单元s311、应用层安全策略确定单元s312、云层安全策略确定单元s313、网络层安全策略确定单元s314、终端层安全策略确定单元s315。
56.首先，数据层安全策略确定单元s311将数据层需要保护的防护区域更新为400gb(现有防护区域) 150gb(新增保护对象)＝550gb(更新后的防护区域)，将更新后的防护区域的安全等级更新为3级。
57.其次，应用层安全策略确定单元s312继承数据层的安全策略，将应用层的防护区域的安全等级更新为3级，更新应用层的防护区域。
58.接着，云层安全策略确定单元s313将云c1的防护区域更新为500gb(其中，400gb是原有的防护区域，100gb是新增的防护区域)，将其安全等级更新为3级，将云c2的防护区域更新为50gb，将其安全等级更新为3级。
59.然后，网络层安全策略确定单元s314将云c1的网络边界n1、n2的安全等级更新为3级，将云c2的网络边界n3、n4的安全等级更新为3级。
60.最后，终端层安全策略确定单元s315将终端接入的安全等级更新为3级。
61.如上所述，安全策略确定单元s31中的各层安全策略确定单元各自更新本层的防护区域和安全等级。
62.在上述实施例中，说明了下层的安全等级与上层的安全等级相同的例子，但也可以将下层的安全等级设为高于上层的安全等级。
63.下面接着说明在上述实施例中新增150gb的保护对象而更新了安全策略之后，又
要减少100gb的保护对象的情况。安全策略管理单元s1将该要减少的100gb数据的保护对象的安全等级设为3级，并将该要减少的保护对象的安全等级和要减少的保护对象的容量发送给安全策略区块链s2，安全策略区块链s2通过区块链将该要减少的保护对象的安全等级(3级)和该要减少的保护对象的容量(100gb)分别分发到数据层安全策略确定单元s311、应用层安全策略确定单元s312、云层安全策略确定单元s313、网络层安全策略确定单元s314、终端层安全策略确定单元s315。
64.首先，数据层安全策略确定单元s311将数据层需要保护的防护区域更新为550gb(现有防护区域)－100gb(要减少的保护对象)＝450gb(更新后的防护区域)，将更新后的防护区域的安全等级保留为3级。
65.其次，应用层安全策略确定单元s312继承数据层的安全策略，将应用层的防护区域的安全等级更新为3级，更新应用层的防护区域。
66.接着，云层安全策略确定单元s313将云c1的防护区域更新为450gb(其中，500gb是云c1的原有的防护区域，从此减去50gb的要减少的防护区域而得到450gb的防护区域)，将更新后的防护区域的安全等级保留为3级，将云c2的防护区域更新为0gb(其中，50gb是云c2的原有的防护区域，从此减去50gb的要减少的防护区域而得到0gb的防护区域，即不存在防护区域)，将该云c2的安全等级恢复为初始的安全等级即2级。
67.然后，网络层安全策略确定单元s314将云c1的网络边界n1、n2的安全等级保留为3级，将云c2的网络边界n3、n4的安全等级更新为2级。
68.最后，终端层安全策略确定单元s315将终端接入的安全等级更新为3级。
69.如上所述，安全策略确定单元s31中的各层安全策略确定单元s311～s315各自更新本层的防护区域和安全等级。
70.图3是本发明实施方式的用于多层结构的云网系统的安全防护方法的流程图。如图3所示，本发明实施方式的安全防护方法包括如下步骤：
71.步骤301，安全策略管理单元s1配置保护变更对象的安全等级，并将所述保护变更对象的安全等级和所述保护变更对象的容量发送给安全策略区块链s2。
72.步骤302，安全策略区块链s2通过区块链将所述保护变更对象的安全等级和所述保护变更对象的容量发布到各层安全策略确定单元s31。
73.步骤303，各层安全策略确定单元s311～s315各自基于所述保护变更对象的容量、现有防护区域以及层间映射关系来更新本层的防护区域，基于所述保护变更对象的安全等级和现有防护区域的安全等级来更新本层的安全等级。
74.当所述保护变更对象是要增加的保护对象的情况下，各层安全策略确定单元s311～s315各自将所述要增加的保护对象和现有防护区域相加得到的防护区域作为更新后的防护区域；当所述保护变更对象是要减少的保护对象的情况下，各层安全策略确定单元s311～s315各自将从现有防护区域减去所述要减少的保护对象之后得到的防护区域作为更新后的防护区域。
75.当所述保护变更对象是要增加的保护对象的情况下，各层安全策略确定单元s311～s315各自将保护变更对象的安全等级和现有防护区域的安全等级中的最高安全等级作为更新后的安全等级；当所述保护变更对象是要减少的保护对象的情况下，各层安全策略确定单元s311～s315各自保留从现有防护区域减去所述要减少的保护对象之后的防护区
域的安全等级；当所述保护变更对象是要减少的保护对象的情况下，各层安全策略确定单元s311～s315各自在从现有防护区域减去所述要减少的保护对象之后不存在要保护的防护区域时，将本层的安全等级恢复为初始的安全等级。在此，下一层的安全策略确定单元更新后的安全等级高于或者等于上一层的安全策略确定单元更新后的安全等级即可。
76.在本实施方式中，各层安全策略确定单元s311～s315的执行顺序是，先从最上层的数据层安全策略确定单元s311开始更新数据层的防护区域和安全等级，然后由应用层安全策略确定单元s312更新应用层，接着是云层安全策略确定单元s313、网络层安全策略确定单元s314，最后是最下层的终端层安全策略确定单元s315更新终端层。
77.步骤304，各层安全策略确定单元s311～s315各自查询与更新后的本层的安全等级相匹配的本层的安全组件，并向相应层的安全防护装置发送与更新后的本层的安全等级相匹配的本层的安全组件相关信息和更新后的本层的防护区域。
78.步骤305，各层安全防护装置s41～s45各自利用与更新后的本层的安全等级相匹配的本层的安全组件对更新后的本层的防护区域进行安全防护。当各层的安全等级更新后比原来提高时，各层安全防护装置s41～s45各自对与更新后的本层的防护区域相关的网络设备分别加载与更新后的本层的安全等级相匹配的安全组件来对更新后的本层的防护区域进行安全防护。
79.本发明实施方式的安全防护方法中的更详细的操作可参照图2所示的安全系统中的各单元、装置的操作，在此省略详细说明。
80.通过本发明实施方式提供的安全防护方法，能够实现“网随云动，云随数动”的安全防护联动，调用不同层间的层间映射关系，自动划分出新的特定安全区域边界和安全等级。
81.以上已经描述了本发明的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择，旨在最好地解释各实施例的原理、实际应用或对市场技术的技术改进，或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。