[发明专利]一种安全策略适配框架及其方法

说明书

本发明实施方式公开了一种安全策略适配框架及其方法。该方法包括：预存目标对象的安全信息以及策略转换的安全信息；扫描目标对象，以获取目标对象的安全信息；对目标对象的原始策略进行词法和语法分析，并进行策略语义转换，进一步采用基于策略转换的安全信息的策略组装技术将经过策略语义转换后的策略转换为适合多个目标对象的可执行安全策略规则；根据目标对象的安全信息，将适合目标对象的可执行安全策略规则下发给目标对象实施执行。通过上述方式，本发明能够用自然语言描述的通用安全策略转换为目标对象中可执行的安全策略规则，具有较强的通用性，支持多种异构安全设备的安全策略集中统一管理。

技术领域

本发明实施方式涉及信息安全技术领域，特别是涉及一种安全策略适配框架及其方法。

背景技术

随着云计算和大数据时代的到来，云计算和大数据安全问题逐渐成为现代信息安全所要解决的主要问题。解决云计算和大数据安全问题的有效途径之一即是安全管理，而安全策略管理是实现安全管理的重要手段，它是安全管理的核心，通过安全策略的集中统一的配置和管理能实现系统、安全设备等安全机制的高效管理，提高系统、安全设备的运行效率。

然而，安全策略管理的现状是，在诸如云计算环境这样的大规模分布式环境中，随着安全设备越来越多、应用访问越来越广、结构越来越复杂，对高效管理复杂多样的安全设备提出近乎苛刻的要求。这些种类繁多的安全软件和设备，其各自的安全管理接口都不开放，即使开放所要求的格式、数据类型也千差万别，无法实现安全策略的集中而统一的自适应部署和管理；由于当前没有制定统一的策略标准和策略描述规范，各个厂商提供的安全设备都具有自己独立的一套策略定义和描述规范，造成兼容性较差，互操作性不强，接口不规范。要实现真正意义上的与厂商无关的策略管理，必须制定一种各厂商都能接受的统一策略规范描述标准和协议。作为策略的一大分支，安全策略在继承策略基本特征的基础上，赋予了新的内涵。同时，安全策略也存在着不同的表达方式和适用的范围，即策略层次。策略层次的不同影响着策略的转换效果，高层抽象策略通常以自然语言的形式存在，描述的是系统安全需求和安全管理目标，必须转换为较低层次的策略才能实施执行。

80年代起，英国皇家学院分布式系统管理小组的领袖人物Morris Sloman最先推广策略概念，并开展与策略相关课题的研究。随后，IETF、DMTF等国际标准组织、国外学术机构和知名网络设备厂商也对策略管理的相关问题展开研究，产生了一些实现策略管理解决方案的思路和技术。但这些解决方案往往局限于特定企业的产品，因为没有推出基于策略、策略描述、策略管理的标准，兼容性较差。

鉴于上述情况，IETF等推出了基于策略管理的标准体系结构以及多种不同的策略描述规范如贝尔实验室的PDL策略描述语言、英国皇家学院的PONDER策略描述语言、OASIS的xACML通用访问控制策略语言和执行授权策略框架，但仍然缺乏通用的语言规范标准。国内对这方面的研究相对较少，或多或少都有些缺陷，不能满足现有的策略管理要求

发明内容

本发明实施方式主要解决的技术问题是提供一种安全策略适配框架及其方法。能够用自然语言描述的通用安全策略转换为目标对象中可执行的安全策略规则，具有较强的通用性，支持多种异构安全设备的安全策略集中统一管理。

为解决上述技术问题，本发明实施方式采用的一个技术方案是：提供一种安全策略适配方法，方法包括：预存目标对象的安全信息以及策略转换的安全信息；扫描所述目标对象，以获取所述目标对象的安全信息；对所述目标对象的原始策略进行词法和语法分析，并进行策略语义转换，进一步采用基于所述策略转换的安全信息的策略组装技术将经过策略语义转换后的策略转换为适合多个目标对象的可执行安全策略规则；根据所述目标对象的安全信息，将适合所述目标对象的可执行安全策略规则下发给所述目标对象实施执行。

其中，目标对象的安全信息包括所述目标对象的设备类型、系统软件、业务软件类型及系统补丁信息、可能存在的漏洞及安全风险、已部署的安全策略及安全要求。