(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211170155.0 (22)申请日 2022.09.22 (71)申请人 北京威努特技 术有限公司 地址 100085 北京市海淀区上地 三街9号F 座9层907 (72)发明人 石凌志　 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种网络安全策略下发和撤回的方法 (57)摘要 本发明公开一种网络安全策略下发和撤回 的方法， 涉及网络安全管理领域。 所述方法包括： 管理中心为每一台设备或一个终端软件都建立 安全策略基线， 配置安全策略， 若与安全知识库 的知识比对不符合安全要求， 则不允许下发； 如 果检查策略配置有错， 则马上返回错误信息， 自 动停止策略的批量下发， 并记录安全知识库； 管 理中心支持自动或手动进行分批分模块下发策 略， 并进行实时验证； 若安全策略未生效则暂停 策略批量下发， 对发生变化或更改的策略， 与安 全策略历史基线进行对比， 建立新的基线或撤回 改变恢复为历史基线。 本发明能够有效减少策略 下发错误带来的负面影响， 减少恢复工时， 并且 能够尽快撤回错误的策略， 恢复之前的策略配 置， 减少损失。 权利要求书2页 说明书6页 附图1页 CN 115550019 A 2022.12.30 CN 115550019 A 1.一种网络安全策略下发和撤回的方法， 其特 征在于， 包括： 管理中心为每一台设备或一个终端软件都建立安全策略基线， 基线包含了该设备或终 端软件的所有安全策略； 在进 行策略下发时， 配置安全策略模板， 与安全知识库的知识进 行 比对， 如果 不符合安全要求， 则不允许 下发此类安全策略； 策略下发时， 如果设备或终端软件检查策略配置有错， 无法正常生效， 则马上向管理中 心返回错 误信息； 管理中心自动停止策略的批量下发， 并记录安全知识库； 对于大批设备或终端软件的策略下发， 管理中心支持自动或手动进行分批分模块下发 策略， 并根据上报的安全 事件进行实时验证； 若安全策略未生效或影响实际业务， 则暂停策略批量下发， 对发生变化或更改的策略， 与安全策略历史基线 进行对比， 建立 新的基线或撤回改变恢复为历史基线。 2.如权利要求1所述的一种网络安全策略下发和撤回的方法， 其特征在于， 若某项安全 策略的特殊配置会引起 业务系统异常， 则将其作为 一条安全知识 记录在安全知识库中。 3.如权利要求1所述的一种网络安全策略下发和撤回的方法， 其特征在于， 若策略可以 正常下发， 但策略配置出错无法正常生效， 则将其作为 一条安全知识 记录在安全知识库中。 4.如权利要求1所述的一种网络安全策略下发和撤回的方法， 其特征在于， 管理中心进 行分批分模块下发策略， 并根据上报的安全 事件进行实时验证， 具体包括： 管理中心自动或手动选择小批量的同类设备， 先逐个分模块下发策略， 然后观察策略 的执行效果； 管理中心实时接收安全设备或终端软件上报的安全事件、 策略命中情况， 接收业务系 统上报的业务系统运行情况及异常事件， 根据接 收的这些信息判断安全策略是否生效、 是 否影响了实际业 务； 如果产生业务异常事件， 确定安全策略配置有误， 则第 一时间撤回安全策略， 恢 复原来 的策略基线， 并产生告警通知管理员； 如果产生了大量的网络安全事件， 则产生告警 暂停批 量下发， 由管理员进行告警确认， 确定策略是否正常， 如果确认正常， 再批量下发给其他设 备或软件， 否则停止下发任务， 已下发的策略进行撤回。 5.如权利要求4所述的一种网络安全策略下发和撤回的方法， 其特征在于， 业务异常事 件包括CPU超标、 内存超标、 业务中断、 进程挂死； 网络事件内容包括主机IP地址， 根据IP地 址、 端口、 进程信息， 确定对应关联的安全策略。 6.如权利要求1所述的一种网络安全策略下发和撤回的方法， 其特征在于， 检查策略下 发任务的状态， 如果没有停止则自动停止； 还没有下发的策略， 直接停止不再下发； 已经下 发成功的策略， 准备 策略撤回。 7.如权利要求1所述的一种网络安全策略下发和撤回的方法， 其特征在于， 逐个设备检 查策略历史基线； 历史基线包含全套安全策略， 与基线进行对比， 分析发生改变的策略模 块， 从基线中获取相关策略， 重新建立下发任务启动下发。 8.如权利要求7所述的一种网络安全策略下发和撤回的方法， 其特征在于， 记录策略下 发和撤销历史及具体原因， 写入安全知识库。 9.如权利要求1所述的一种网络安全策略下发和撤回的方法， 其特征在于， 策略下发完 成后， 若运行发生产生 误报或影响业 务系统， 则回退到历史基线。 10.一种计算机存 储介质， 其特 征在于， 包括： 至少一个存 储器和至少一个处 理器；权　利　要　求　书 1/2 页 2 CN 115550019 A 2存储器用于存 储一个或多个程序指令； 处理器， 用于运行一个或多个程序指令， 用以执行如权利要求3 ‑9任一项所述的一种网 络安全策略下发和撤回的方法。权　利　要　求　书 2/2 页 3 CN 115550019 A 3