技术摘要：
本发明涉及网络安全策略管理系统，包括：管理模块：对网络安全策略进行周期式管理和状态变更记录，以及网络安全策略下发；实施模块：网络安全策略的执行主体，接收并执行所述管理模块下发的网络安全策略；流量监测模块：根据预设的规则对网络流量进行监测；优化模块：  全部
背景技术：
随着计算机网络的不断发展，全球信息化进程日益加快。由于计算机网络的连接 方式的多样性、终端分布广、网络的开放和互联等特征，致使网络易遭受恶意攻击，所以网 络的安全是一个至关重要的问题。网络安全策略作为网络层的基础安全防护手段，对网络 中的信息起着保护作用。 在企业的信息化建设过程中，信息安全问题逐步凸显，通过划分不同的网络区域 进行隔离保护，在不同的网络区域之间甚至同个网络区域的不同网段之间需要进行网络访 问控制，这导致网络安全策略数量越来越多且难以有效整理，这可能造成防火墙或其他网 络安全设备出现性能瓶颈，从上层应用的角度，也难以清晰地描绘出不同业务应用之间的 调用关系，难以在出现问题时从网络调用关系上迅速地进行问题定位。
技术实现要素：
本发明提供了一种网络安全策略管理系统，以对网络安全策略进行分析、整理、优 化，缩减网络安全策略的数量，保证网络安全策略的有效性。 本发明的网络安全策略管理系统，包括： 管理模块：对每一条网络安全策略进行全生命周期式管理和状态变更记录，并负责网 络安全策略的下发； 实施模块：网络安全策略的执行主体，接收并执行所述管理模块下发的网络安全策略； 流量监测模块：根据预设规则对网络流量进行监测； 优化模块：接收流量监测模块的监测数据，同步管理模块当前生效的网络安全策略，并 且将接收到的流量监测模块的监测数据和当前的网络安全策略比对后，将相应的策略优化 数据反馈给管理模块。 本发明的网络安全策略管理系统是基于信息安全和业务区域的分布情况，先在管 理模块中生成网络安全策略的初始集合，并且根据实际的业务调用关系配置预设的网络安 全策略。再对初始集合中的每一条网络安全策略建立唯一索引并打上时间戳，由管理模块 下发至实施模块执行对应的网络安全策略。流量监测模块根据配置的预设规则对流量进行 监测，并把监测结果周期性地发送至优化模块。优化模块定期比对监测模块的监测结果和 当前的网络安全策略，并制定出网络安全策略优化的方案，管理模块根据优化方案和预设 的网络安全策略对网络安全策略进行优化调整并记录，并将调整后的策略重新下发至实施 模块进行执行。 进一步的，所述的实施模块为网络安全防护设备。 具体的一种形式为，所述的实施模块为网络防火墙设备。 可选的，所述的流量监测模块集中部署在核心网络交换设备处。 3 CN 111600912 A 说　明　书 2/5 页 根据具体的业务情况，所述的流量监测模块还可以分布式地部署在各区域的网络 交换设备处。 在此基础上，实施模块的数量与划分的网络区域数量相适应或者与使用场景相适 应。 本发明的网络安全策略管理系统，能够将网络安全策略以生命周期的方式进行集 中管理，通过管理模块跟踪记录每条策略从产生到消亡的整个生命周期，在策略发生变化 时即刻下发给对应的实施模块进行执行，并且通过流量监测模块的监测结果定期对当前的 网络策略进行优化调整。由此实现了对全网的网络安全策略进行集中地管理和配置，解决 了网络安全策略分散于各个安全设备无法有效管理的弊端。通过对网络流量进行实时监 控，有效提高了根据实际业务流量进行网络策略的优化的能力，避免了过多无效的网络安 全策略长期无法清理的问题，大幅度缩减了网络安全策略的数量，有效保证了网络安全策 略的有效性。 以下结合实施例的