[发明专利]基于软件定义的多组件协同防护方法及装置

说明书

本发明实施例涉及一种基于软件定义的多组件协同防护方法及装置，包括：采集系统中全部硬件设备的设备信息，并基于所述全部硬件设备的设备信息和预设规则建立硬件设备信任数据库；基于所述硬件设备信任数据库对工作过程中的全部硬件设备进行持续监测和权限评估；基于权限评估结果为每个硬件设备进行资源调度。由此，基于软件定义网络的思想，研究网络安全组件间的协同安全防护技术，以支持安全能力的可扩展性和可协作性，由软件定义安全多组件协同防护系统为核心，提供可灵活定义的多组件协同安全防护能力。

技术领域

本发明实施例涉及操作系统安全防护领域，尤其涉及一种基于软件定义的多组件协同防护方法及装置。

背景技术

软件定义网络(Software Defined Network，SDN)是一种新型网络架构，其中心思想是将传统设备的控制平面与数据平面分离，允许控制平面的控制器具有控制逻辑化和可编程性，通过统一的通信协议，独立、灵活地配置网络和部署新协议。SDN的数据平面仅需通过控制平面下发的流表进行匹配，执行简单的数据转发功能，因此，SDN交换机并不需要复杂的结构，以便于统一规格参数。另外，控制层与数据层采用统一接口，有利于规范控制平面下发流表和数据平面的规则执行过程。因此，SDN技术有效降低了网络运维成本，并且为新型互联网体系结构研究提供了新的方向。

传统网络安全架构通过专业网络安全设备来进行网络安全服务的工作。随着网络业务的迅猛发展，传统网络安全架构面临许多问题，主要体现在如下两个方面：首先，网络安全专用设备接口难以统一、造价昂贵、部署不够灵活；其次，网络安全设备与网络拓扑结构耦合时扩展性较差、性能受到限制、安全链路架构较为单一。

发明内容

鉴于此，为解决上述技术问题或部分技术问题，本发明实施例提供一种基于软件定义的多组件协同防护方法及装置。

第一方面，本发明实施例提供一种基于软件定义的多组件协同防护方法，包括：

采集系统中全部硬件设备的设备信息，并基于所述全部硬件设备的设备信息和预设规则建立硬件设备信任数据库；

基于所述硬件设备信任数据库对工作过程中的全部硬件设备进行持续监测和权限评估；

基于权限评估结果为每个硬件设备进行资源调度。

在一个可能的实施方式中，所述方法还包括：

标记全部硬件设备在未接入系统时均为未注册设备；

当任意未注册设备首次接入系统后，采集所述任意未注册设备的设备信息，以及基于所述设备信息对所述任意未注册设备进行注册，并建立所述任意未注册设备的设备指纹信息；

基于注册后的硬件设备的接入系统操作以及注册后的硬件设备的设备指纹信息建立硬件设备信任数据库。

在一个可能的实施方式中，所述方法还包括：

当任意注册后的硬件设备首次接入系统后，查询其对应的设备指纹信息并对进行初次身份认证；

身份认证通过后为所述任意注册后的硬件设备分配对应等级的数据处理权限，其中，所述数据处理权限分为多个等级；

基于所述任意注册后的硬件设备分配到的数据处理权限建立硬件设备信任数据库。

在一个可能的实施方式中，所述方法还包括：

持续获取接入硬件设备的终端信息；

基于所述终端信息对所述接入硬件设备进行风险评估，得到评估结果；

基于所述评估结果动态调整所述接入硬件设备的数据处理权限。

在一个可能的实施方式中，所述方法还包：