(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111425680.8 (22)申请日 2021.11.26 (71)申请人 国网四川省电力公司信息通信公司 地址 610000 四川省成 都市高新区蜀绣西 路366号2层、 4层、 5层、 8层 (72)发明人 黄昆　杨旭东　吕磊　陈龙　许珂　 黄林　杨茜　 (74)专利代理 机构 成都行之专利代理事务所 (普通合伙) 51220 代理人 张杨 (51)Int.Cl. G06F 21/57(2013.01) G06Q 10/10(2012.01) G06F 9/451(2018.01) H04L 9/40(2022.01) (54)发明名称 一种企业网络安全域可视化管理与策略审 计系统及方法 (57)摘要 本发明涉及企业网络安全技术领域， 公开了 一种企业网络安全域可视化管理与策略审计系 统， 包括网络安全域可视化管 理模块与策略审计 模块， 其中： 所述网络安全域可视化管理模块用 于绘制源IP地址至目标IP地址的访问路径图并 将所述访问路径图进行展示； 所述策略审计模块 用于定制通过防火墙的策略的白名单规则， 以确 保每一条策略的合规性， 本发明还公开了一种企 业网络安全域可视化管理与策略审计的方法。 本 发明基于源IP、 目的IP的访 问路径展示， 辅助防 火墙运维人员策略配置、 网络连通性排查、 监测 人员溯源分析工作， 提升防火墙运维、 监测溯源 分析的直观性与便捷性。 权利要求书2页 说明书4页 附图3页 CN 114021155 A 2022.02.08 CN 114021155 A 1.一种企业网络安全域可视化管理与策略审计系统， 其特征在于， 包括网络安全域可 视化管理模块与策略审计模块， 其中： 所述网络安全域可视化管理模块用于绘制源IP地址至目标IP地址的访 问路径图并将 所述访问路径图进行展示； 所述策略审计模块用于定制通过防火墙的策略的白名单规则， 以确保每一条策略的合 规性。 2.根据权利要求1所述的一种企业网络安全域可视化管理与策略审计系统， 其特征在 于， 所述网络安全域可视化管理模块包括 安全域绘制模块以及 访问路径绘制模块， 其中： 所述安全域绘制模块用于绘制安全域分布图， 以详细展示基于安全域划分的网络安全 拓扑结构； 所述访问路径绘制模块用于在所述安全分布图中绘制源IP至目标IP的访问路径图， 将 源IP至目标IP的访问路径可视化展示在所述 安全域分布图中。 3.根据权利要求1所述的一种企业网络安全域可视化管理与策略审计系统， 其特征在 于， 所述策略审计模块包括 业务策略模块、 运维策略模块和数据传输策略模块， 其中： 所述业务策略模块 为业务系统向公司内部、 外 部用户提供服 务所制定的策略； 所述运维策略模块为公司内部运维人员远程运维管理数据中心服务器、 数据口和中间 件所制定的策略； 所述数据传输策略模块为对同一个业务系统、 不同业务系统之间的数据接口交互所制 定的策略。 4.根据权利要求3所述的一种企业网络安全域可视化管理与策略审计系统， 其特征在 于， 所述业务策略模块的源IP地址包括公司内部服务器的IP地址和外部用户端口的IP地 址； 所述业务策略模块的目标IP地址为业务系统服务器的IP地址， 所述业务策略模块的目 的端口包括但不限于80 /443业务端口。 5.根据权利要求3所述的一种企业网络安全域可视化管理与策略审计系统， 其特征在 于， 所述运维策略模块的源IP地址为公司内部的运维终端的IP地址； 所述运维策略模块的 目标IP地址为公司内部的服务器的IP地址， 所述运维策略模块的目的端口包括但不限于 22/3306运维端口。 6.根据权利要求3所述的一种企业网络安全域可视化管理与策略审计系统， 其特征在 于， 所述数据传输策 略模块的源IP地址和目标IP地址均为公司内部的服务器的IP地址， 所 述数据传输策略模块的目的端口为 规定的数据交 互端口组。 7.根据权利要求3所述的一种企业网络安全域可视化管理与策略审计系统， 其特征在 于， 所述业务策略模块包括内部业务策略子模块、 公众开放业务策 略子模块、 API业务策 略 子模块。 8.根据权利要求3所述的一种企业网络安全域可视化管理与策略审计系统， 其特征在 于， 所述运维策略模块包括主机运维策略子模块、 数据库运维策略子模块、 中间件/组件运 维策略子模块。 9.根据权利要求3所述的一种企业网络安全域可视化管理与策略审计系统， 其特征在 于， 所述数据传输策略子模块包括业务转 发类策略子模块、 数据操作类策略子模块、 业务系 统之间交 互策略子模块。权　利　要　求　书 1/2 页 2 CN 114021155 A 210.一种基于权利要求1 ‑9任一所述的一种企业网络安全域可视化管理与策略审计系 统的可视化管理与策略审计方法， 其特 征在于， 包括如下步骤： 步骤1、 获取交换机和路由器的配置信 息， 通过所述配置信 息给防火墙配置安全域信 息 以绘制安全域分布图； 步骤2、 在所述 安全域分布图上配置源IP地址 至目标IP地址的访问路径图； 步骤3、 制定通过所述防火墙的策略的白名单规则， 所述白名单规则包括源IP地址、 目 标IP地址、 目的端口以及端口协议。权　利　要　求　书 2/2 页 3 CN 114021155 A 3