[发明专利]一种安全配置优化的方法及装置

说明书

技术领域

本发明涉及网络安全领域，尤其涉及一种安全配置优化的方法及装置。

背景技术

随着网络安全问题的日益突出，各企业根据业务需求、网络环境建立了各自的安全配置规范，并依据安全配置规范对操作系统、数据库、应用软件和网络设备进行系统配置，在系统配置过程中，通常仅考虑安全性的要求，忽略了使用的方便性。另一方面，也很难从众多的配置项中找到既满足安全性，又提高使用性的配置项组合。

以一个简单的例子说明。假设将一个系统的网线接口、通用串行总线（Universal Serial Bus，USB）接口、光驱、软驱四个配置项设置为禁用，配置后的系统与外界隔离，是非常安全的。但是，由于配置后的系统不能与外界发生任何的信息交互，导致该系统的使用性较低。

发明内容

本发明实施例提供一种安全配置优化的方法及装置，用以解决现有技术中配置后的系统虽然可以满足安全性的要求，但是使用性较低的问题。

本发明实施例提供的一种安全配置优化的方法，包括：

优化装置确定系统中包括的配置项；并

根据预先设定的每个配置项对应的安全性权值，确定满足指定条件的配置项组合，其中，满足指定条件的配置项组合具体为：所包含的每个配置项对应的安全性权值的和值大于设定安全阈值的配置项组合；以及

根据预先设定的每个配置项对应的使用性损失权值，在确定的满足指定条件的配置项组合中，选择所包含的每个配置项对应的使用性损失权值的和值最小的配置项组合；

所述优化装置根据选择出的配置项组合中包含的配置项，配置所述系统。

本发明实施例提供的一种安全配置优化的装置，包括：

配置项确定模块，用于确定系统中包括的配置项；

配置项组合确定模块，用于根据预先设定的每个配置项对应的安全性权值，确定满足指定条件的配置项组合，其中，满足指定条件的配置项组合具体为：所包含的每个配置项对应的安全性权值的和值大于设定安全与之的配置项组合；

选择模块，用于根据预先设定的每个配置项对应的使用性损失权值，在确定的满足指定条件的配置项组合中，选择所包含的每个配置项对应的使用性损失权值的和值最小的配置项组合；

优化模块，用于根据选择出的配置项组合中包含的配置项，配置所述系统。

本发明实施例提供一种安全配置优化的方法及装置，该方法根据系统中包括的每个配置项对应的安全性权值，确定所包含的每个配置项对应的安全性权值的和值大于设定安全阈值的配置项组合，根据每个配置相对应的使用性损失权值，在确定的配置项组合中，选择所包含的每个配置相对应的使用性损失权值的和值最小的配置项组合，根据选择出的配置项组合中包含的配置项配置该系统。通过上述方法，选择出的配置项组合为既满足系统的安全性要求，又对系统的使用性影响程度最低的配置项组合，因此根据选择出的配置项组合配置系统，可以使配置后的系统在满足安全性要求的同时，提高系统的使用性。

附图说明

图1为本发明实施例提供的安全配置优化的过程；

图2为本发明实施例提供的确定所包含的每个配置项对应的安全性权值的和值大于设定安全阈值，且，所包含的每个配置相对应的使用性损失权值的和值最小的配置项组合的过程；

图3为本发明实施例提供的第一种调整向量集合的过程；

图4为本发明实施例提供的第二种调整向量集合的过程；

图5为本发明实施例提供的第三种调整向量集合的过程；

图6为本发明实施例提供的安全配置优化的详细过程；

图7为本发明实施例提供的安全配置优化的装置结构示意图。

具体实施方式

由于现有技术中在配置系统中的配置项时，只考虑了配置项对系统安全性的影响，并未考虑配置项对系统使用性的影响，因此往往使配置后的系统虽然可以满足安全性的要求，但使用性很低。本发明实施例旨在从系统包括的配置项中，选择出在满足系统安全性要求的前提下，使系统使用性的降低程度最小的一种配置项组合，则按照选择出的配置项组合配置系统后，可以使配置后的系统在满足安全性要求的前提下，尽量提高系统的使用性。

下面结合说明书附图，对本发明实施例进行详细描述。

图1为本发明实施例提供的安全配置优化的过程，具体包括以下步骤：

S101：优化装置确定系统中包括的配置项。

在本发明实施例中，优化装置首先确定系统中包括哪些配置项。