安全策略审计系统

产品介绍

安全策略审计系统一种网络设备安全策略审计优化系统，能够在复杂的网络环境下，根据配置文件检测当前网络设备的运行情况，详细梳理其安全防范策略，审计出其中存在的不安全的配置，去除冗余策略，合并相关策略、并能对配置错误的策略进行检测与提示。该系统为检测分析和了解系统当前的安全状况提供有力证据，能保证防火墙和路由器等网络设备正常、高效的工作，有效降低公司对维护难度与成本、提升设备性能、减少管理维护失误带来的安全隐患。系统效果图如下：

系统采用B/S架构开发，主要包括服务模块、采集模块、分析模块、报表模块、拓扑图模块。采集模块支持Telnet、SSH协议。支持在Windows7、Windows Server2008上通过虚拟化软件部署，提供部署所需要OS及软件镜像，使用简单方便。

主要功能

1、支持基于路由器设备的配置信息进行自动化分析；

2、支持路由器配置信息的自动提取以及审计策略的手工导入功能；

3、支持单个路由器和多个级路由器的配置安全审计，审计内容包括冲突策略、冗余策略、过度授权策略、策略的连通性、效率的优化分析以及多个级路由器配置信息的关联分析；

4、支持审计策略的人工定制接口，允许人工加入分析规则；

5、良好的插件机制，能够方便今后扩展检测功能；

6、提供良好的报表定制模式和报表模板。

产品规格

核心技术

本系统解决了系列问题，形成了特有的审计规则，并对以下核心技术取得了突破:

1、基于判定树的规则合并算法：

算法调用规则集中的每一条规则作为第一个参数，规则中的字段作为第二个参数，根节点作为第三个参数。递归确保一个规则能扩展到与新插入规则相关的所有分枝中。

2、智能化网络拓扑发现与策略采集技术:

自动发现网络拓扑中网元及安全设备，并对被测设备完成策略采集工作。

3、多源异构策略集归一化解析技术：

针对不同网元及安全设备，不同策略格式，不同命令语义，实现统一归一性处理和解析。

应用领域

路由器、防火墙等网络设备配置安全审计隶属于安全管理审计，所谓“三分技术七分管理”，现网中因管理漏洞造成的安全问题占据主要地位，因为路由器、防火墙等网络设备的使用者对网络访问的需求各不相同，管理手段单一甚至混乱，随着网络规模扩大人工管理难度激增。因而，要求能够对网络设备和安全设备的管理配置和策略进行梳理，分析其策略逻辑以及安全域连通性，使得路由器的配置策略安全可用。因此，本系统广泛应用于各行业各类信息系统：系统运维、网络管理、网络优化、安全检测、风险评估等。

应用案例

北邮基于自主知识产权的网络安全策略配置核查系统，目前已应用于华为网络设备配置安全审计工具，华为基于VRP平台的路由器设备的配置信息进行自动化分析、路由器/CX系列，天融信NGFW4000-UF系列、启明星辰3600D系列等网络设备,都取得了良好的应用效果，获得了用户好评。同时本系统的相关技术，也应用到中国电力科学研究院，针对国家电网下辖各信息系统进行策略审计，取得很好的应用效果。此外还可以应用到其他产品，比如网络安全管理平台，网络安全大数据展示平台等产品上。

公司

北京邮电大学

联系方式

固话：010-62283366

邮箱：zhuhongliang@bupt.edu.cn

地址：北京邮电大学网络空间安全学院新科研楼1210-4