一種安全配置優化的方法及裝置的製作方法

2023-12-07 04:30:31 1

專利名稱：一種安全配置優化的方法及裝置的製作方法
技術領域：
本發明涉及網 絡安全領域，尤其涉及一種安全配置優化的方法及裝置。
背景技術：
隨著網絡安全問題的日益突出，各企業根據業務需求、網絡環境建立了各自的安全配置規範，並依據安全配置規範對作業系統、資料庫、應用軟體和網絡設備進行系統配置，在系統配置過程中，通常僅考慮安全性的要求，忽略了使用的方便性。另一方面，也很難從眾多的配置項中找到既滿足安全性，又提高使用性的配置項組合。以一個簡單的例子說明。假設將一個系統的網線接口、通用串行總線(UniversalSerial Bus，USB)接口、光碟機、軟碟機四個配置項設置為禁用，配置後的系統與外界隔離，是非常安全的。但是，由於配置後的系統不能與外界發生任何的信息交互，導致該系統的使用性較低。

發明內容
本發明實施例提供一種安全配置優化的方法及裝置，用以解決現有技術中配置後的系統雖然可以滿足安全性的要求，但是使用性較低的問題。本發明實施例提供的一種安全配置優化的方法，包括優化裝置確定系統中包括的配置項；並根據預先設定的每個配置項對應的安全性權值，確定滿足指定條件的配置項組合，其中，滿足指定條件的配置項組合具體為所包含的每個配置項對應的安全性權值的和值大於設定安全閾值的配置項組合；以及根據預先設定的每個配置項對應的使用性損失權值，在確定的滿足指定條件的配置項組合中，選擇所包含的每個配置項對應的使用性損失權值的和值最小的配置項組合；所述優化裝置根據選擇出的配置項組合中包含的配置項，配置所述系統。本發明實施例提供的一種安全配置優化的裝置，包括配置項確定模塊，用於確定系統中包括的配置項；配置項組合確定模塊，用於根據預先設定的每個配置項對應的安全性權值，確定滿足指定條件的配置項組合，其中，滿足指定條件的配置項組合具體為所包含的每個配置項對應的安全性權值的和值大於設定安全與之的配置項組合；選擇模塊，用於根據預先設定的每個配置項對應的使用性損失權值，在確定的滿足指定條件的配置項組合中，選擇所包含的每個配置項對應的使用性損失權值的和值最小的配置項組合；優化模塊，用於根據選擇出的配置項組合中包含的配置項，配置所述系統。本發明實施例提供一種安全配置優化的方法及裝置，該方法根據系統中包括的每個配置項對應的安全性權值，確定所包含的每個配置項對應的安全性權值的和值大於設定安全閾值的配置項組合，根據每個配置相對應的使用性損失權值，在確定的配置項組合中，選擇所包含的每個配置相對應的使用性損失權值的和值最小的配置項組合，根據選擇出的配置項組合中包含的配置項配置該系統。通過上述方法，選擇出的配置項組合為既滿足系統的安全性要求，又對系統的使用性影響程度最低的配置項組合，因此根據選擇出的配置項組合配置系統，可以使配置後的系統在滿足安全性要求的同時，提高系統的使用性。


圖I為本發明實施例提供的安全配置優化的過程；圖2為本發明實施例提供的確定所包含的每個配置項對應的安全性權值的和值大於設定安全閾值，且，所包含的每個配置相對應的使用性損失權值的和值最小的配置項組合的過程；圖3為本發明實施例提供的第一種調整向量集合的過程；圖4為本發明實施例提供的第二種調整向量集合的過程；
圖5為本發明實施例提供的第三種調整向量集合的過程；圖6為本發明實施例提供的安全配置優化的詳細過程；圖7為本發明實施例提供的安全配置優化的裝置結構示意圖。
具體實施方式
由於現有技術中在配置系統中的配置項時，只考慮了配置項對系統安全性的影響，並未考慮配置項對系統使用性的影響，因此往往使配置後的系統雖然可以滿足安全性的要求，但使用性很低。本發明實施例旨在從系統包括的配置項中，選擇出在滿足系統安全性要求的前提下，使系統使用性的降低程度最小的一種配置項組合，則按照選擇出的配置項組合配置系統後，可以使配置後的系統在滿足安全性要求的前提下，儘量提高系統的使用性。下面結合說明書附圖，對本發明實施例進行詳細描述。圖I為本發明實施例提供的安全配置優化的過程，具體包括以下步驟SlOl :優化裝置確定系統中包括的配置項。在本發明實施例中，優化裝置首先確定系統中包括哪些配置項。S102:根據預先設定的每個配置項對應的安全性權值，確定滿足指定條件的配置項組合。其中，滿足指定條件的配置項組合具體為所包含的每個配置項對應的安全性權值的和值大於設定安全閾值的配置項組合。對於不同的系統來說，不同的系統所要求的安全性不同，而對於同一個系統來說，同一個系統在不同的環境下所要求的安全性也不同。因此在實際應用中，通常針對不同的系統和不同的環境設定不同的安全基線，用來對相應環境下相應系統的安全性進行評估。具體的，安全基線中設定了系統中每個配置項對應的安全性權值，在通過安全基線對系統的安全性進行評估時，如果系統中配置的各配置項對應的安全性權值的和值大於該安全基線中的設定安全閾值，則說明該系統滿足該安全基線規定的安全性要求，否則，說明該系統不滿足該安全基線規定的安全性要求。其中，對於系統中的同一個配置項而言，該同一個配置項在不同的安全基線中所對應的安全性權值可能不同，安全性權值越大，說明該配置項可以提高該系統的安全性的程度越高，安全性權值越小，說明該配置項可以提高該系統的安全性的程度越低。在本發明實施例中，優化裝置根據當前的安全基線，確定當前的安全基線中設定的該系統中每個配置項對應的安全性權值，根據確定的每個配置項對應的安全性權值，確定所包含的每個配置相對應的安全性權值的和值大於設定安全閾值的配置項組合，也即確定可以使該系統滿足當前的安全基線規定的安全性要求的配置項組合。例如,該系統中包括三個配置項配置項I、配置項2、配置項3,根據當前的安全基線，配置項I對應的安全性權值為3，配置項2對應的安全性權值為2，配置項3對應的安全性權值為5。假設當前的安全基線中設定安全閾值為6，則由於包含配置項I和配置項3的配置項組合中，配置項I對應的安全性權值3和配置項3對應的安全性權值5的和值為8，大於 設定安全閾值6，因此包含配置項I和配置項3的配置項組合可以使系統滿足當前的安全基線規定的安全性要求，從而包含配置項I和配置項3的配置項組合為滿足指定條件的配置項組合。相應的,包含配置項2和配置項3的配置項組合、包含配置項I、配置項2和配置項3的配置項組合也是滿足指定條件的組合。對於包含配置項I和配置項2的配置項組合，由於該配置項組合中配置項I對應的安全性權值3與配置項2對應的安全性權值2的和值為5，小於設定安全閾值6，因此包含配置項I和配置項2的配置項組合不是滿足指定條件的配置項組合。S103:根據預先設定的每個配置項對應的使用性損失權值，在確定的滿足指定條件的配置項組合中，選擇所包含的每個配置項對應的使用性損失權值的和值最小的配置項組合。在本發明實施例中，可以針對該系統中包含的每個配置項，預先設定每個配置項對應的使用性損失權值。對於一個配置項而言，該配置項對應的使用性損失權值即為該配置項對系統的使用性降低的程度的量化值，使用性損失權值越大，說明該配置項對系統的使用性降低的程度越大，使用性損失權值越小，說明該配置項對系統的使用性降低的程度越小。為了保證在滿足系統安全性要求的前提下，儘量提高系統的使用性，本發明實施例在上述步驟S102中確定的滿足指定條件的配置項組合中，選擇出包含的每個配置項對應的使用性損失權值的和值最小的配置項組合，因此選擇出的配置項組合可以使系統滿足安全性的要求，並且對系統的使用性降低的程度最低。繼續沿用上例，假設預先設置的配置項I對應的使用性損失權值為3，配置項2對應的使用性損失權值為4，配置項3對應的使用性損失權值為3，則包含配置項I和配置項3的配置項組合中每個配置項對應的使用性損失權值為6，包含配置項2和配置項3的配置項組合中每個配置項對應的使用性損失權值為7，包含配置項I、配置項2和配置項3的配置項組合中每個配置項對應的使用性損失權值的和值為10。因此，選擇出的配置項組合即為包含配置項I和配置項3的配置項組合。S104 :優化裝置根據選擇出的配置項組合中包含的配置項，配置該系統。也即，優化裝置為該系統配置選擇出的配置項中所包含的每個配置項。
繼續沿用上例，為該系統配置配置項I和配置項3。配置後的系統既可以滿足當前安全基線規定的安全性要求，又可以儘量提高系統的使用性。在上述過程中，優化裝置先根據系統中包括的每個配置項對應的安全性權值，確定所包含的每個配置項對應的安全性權值的和值大於設定安全閾值的配置項組合，再根據每個配置相對應的使用性損失權值，在確定的配置項組合中，選擇所包含的每個配置相對應的使用性損失權值的和值最小的配置項組合，選擇出的配置項組合為既滿足系統的安全性要求，又對系統的使用性影響程度最低的配置項組合，因此根據選擇出的配置項組合配置系統，可以使配置後的系統在滿足安全性要求的同時，提高系統的使用性。考慮到實際應用中一個系統中包括的配置項的數量會很龐大，在數量龐大的配置項中確定出所包含的每個配置項對應的安全性權值的和值大於設定安全閾值，且，所包含 的每個配置相對應的使用性損失權值的和值最小的配置項組合的效率會很低，而且也需要很大的計算量，因此本發明實施例中採用遺傳算法確定所包含的每個配置項對應的安全性權值的和值大於設定安全閾值，且，所包含的每個配置相對應的使用性損失權值的和值最小的配置項組合，如圖2所示。圖2為本發明實施例提供的確定所包含的每個配置項對應的安全性權值的和值大於設定安全閾值，且，所包含的每個配置相對應的使用性損失權值的和值最小的配置項組合的過程，具體包括以下步驟S201 :確定設定數量的滿足指定條件的配置項組合。該步驟對應圖I所示的步驟S102，也即在圖I所示的步驟S102中，優化裝置根據預先設定的每個配置項對應的安全性權值，確定滿足指定條件的配置項組合時，確定設定數量的滿足指定條件的配置項組合。其中，該設定數量可以根據需要進行設定。例如，該系統中包括η個配置項，根據預先為這η個配置項設定的安全性權值，可以確定出的所有所包含的每個配置項對應的安全性權值的和值大於設定安全閾值的配置項組合的數量可能是很龐大的，也即可以確定出的所有滿足指定條件的配置項組合的數量可能是很龐大的，因此先只確定設定數量的滿足指定條件的配置項組合。假設該設定數量為100，則先確定100個滿足指定條件的配置項組合。當然，確定的該設定數量的滿足指定條件的配置項組合各不相同。S202:針對確定的滿足指定條件的配置項組合，採用設定的方法生成該配置項組合對應的向量。其中，採用設定的方法生成該配置項組合對應的向量具體為生成包含的每個元素與該系統中包括的每個配置項一一對應的向量，針對生成的向量中的每個元素，如果該元素對應的配置項包含在該配置項組合中，則將該元素的值置為第一數值，如果該元素對應的配置項未包含在該配置項組合中，則將該元素的值置為第二數值。其中，該第一數值和第二數值均可以根據需要設定，只要保證第一數值和第二數值不同即可。該步驟是圖I所示的步驟S102和步驟S103之間插入的步驟，主要是將確定出的滿足指定條件的配置項組合以向量進行表示，以便於後續選擇出使系統的使用性降低的程度最低的配置項組合。繼續沿用上例，由於該系統中包括η個配置項，因此生成向量[X^X2, X3,......，xn],
其中該向量中的第一個元素X1與這η個配置項中的第I個配置項對應，第二個元素X2與這η個配置項中的第2個配置項對應，以此類推，第η個元素Xn與這η個配置項中的第η個配
置項對應。假設將第一數值設定為1，第二數值設定為0，針對確定出的100個滿足指定條件的配置項組合中的某個配置項組合，如果該配置項組合包括這η個配置項中的第I個配置項、第3個配置項和第η個配置項，則將生成的上述向量中的第I個元素、第3個元素和第
η個元素的值置為1，其他元素的值置為O,得到向量[1,0，I, O, O,......，I],該向量即為該配
置項對應的向量。相應的，採用上述方法分別生成這100個滿足指定條件的配置項組合對應的向量，共生成了 100個向量。S203 :以生成的各配置項組合對應的向量構成向量集合。繼續沿用上例，針對確定的100個滿足指定條件的配置項組合，將生成的第I個配置項組合對應的向量記為X1，第2個配置項組合對應的向量記為X2,以此類推，第100個
配置項組合對應的向量記為X1CICI,則生成的這100個向量構成的向量集合為(X1, X2, X3,......
XiocJ。S204 :採用公式€=1- ■確定該向量集合中每個向量對應的適應性係數。
M其中，Fi為該向量集合中第i個向量對應的適應性係數，U1為第i個向量中所有數值為第一數值的元素對應的配置項的使用性損失權值的和值，M為該系統中包括的每個配置項的使用性損失權值的和值。繼續沿用上例,確定該系統中包括的每個配置項對應的使用性損失權值的和值M,針對向量集合氏，X2，X3,……XltJ中的第i個向量Xi，確定該向量Xi中所有數值為I的元素對應的配置項的使用性損失權值的和值Ui，也即，確定該向量Xi對應的配置項組合中包含的每個配置項對應的使用性損失權值的和值Ui，確定Ui與M的比值，確定I與該比值的差值，將該差值作為該向量Xi的適應性係數。S205 :確定該向量集合中適應性係數最大的向量為備選向量。繼續沿用上例，確定了向量集合{Xi，X2，X3，……XltltJ中每個向量的適應性係數後，假設向量集合{Xi，X2，X3，……X·}中第j個向量Xj的適應性係數最大，則將該第j個向量Xj確定為備選向量。S206 :調整該向量集合中的一個或幾個向量,得到調整後的向量集合。在本發明實施例中，可以採用任何方法對該向量集合中的一個或幾個向量進行調整，例如將某個向量(或者某幾個向量)中的一個或幾個值為第一數值的元素調整為第二數值，或者值為第二數值的元素調整為第一數值等等。調整某個向量或某幾個向量，將得到的調整後的向量與該向量集合中的其他向量構成的向量集合作為得到的調整後的向量集合。S207 :將調整後的向量集合中適應性係數最大的向量重新確定為備選向量。繼續沿用上例，假設對向量集合{m……XltltJ中的第I個向量X1進行了調整，得到向量F i，對第2個向量X2也進行了調整，得到向量X' 2，則將調整後的向量Γ 和X' 2，以及該向量集合中的其他向量X3、X4、……Xltltl構成的向量集合{X' i，X' 2, X3, X4……XltlJ作為得到的調整後的向量集合。按照與上述步驟S204基本相同的方法確定調整後的向量X' 1和)('2的適應性係數，假設得到的調整後的向量集合{X' uXr 2,X3,X4……XltlJ中適應性係數最大的向量是Γ 2，則將Γ 2重新確定為備選向量。S208 :判斷重新確定的備選向量的適應性係數與上一次確定的備選向量的適應性係數的差值是否在設定範圍內，若是，則執行步驟S209，否則執行步驟S210。由於本發明實施例中向量集合中每個向量對應的配置項組合都是滿足指定條件的配置項組合，也即所包含的每個配置項對應的安全性權值的和值大於設定安全閾值的配置項組合，而其中適應性係數最大的向量對應的配置項組合就是所包含的每個配置項對應的使用性損失權值的和值最小的配置項組合，因此，步驟S205中確定的備選向量對應的配置項組合就是在確定的設定數量的滿足指定條件的配置項組合中，所包含的每個配置項對 應的使用性損失權值的和值最小的配置項組合。但是由於可以確定出的滿足指定條件的配置項組合的數量很龐大，步驟S205中確定出的備選向量對應的配置項組合只是在設定數量的滿足指定條件的配置項組合中，所包含的每個配置項對應的使用性損失權值的和值最小的配置項組合，因此還要通過步驟S206對向量進行調整，通過步驟S207重新確定備選向量，並通過步驟S208，判斷重新確定的備選向量的適應性係數與上一次確定的備選向量的適應性係數的差值是否在設定範圍內，該設定範圍可以設定為(0，W)，其中w可以為任何大於O的正數。較佳的，w可以設定為大於O且較小的正數。也即，判斷重新確定的備選向量對應的配置項組合使系統的使用性降低的程度是否明顯低於上一次確定的備選向量對應的配置項組合使系統的使用性降低的程度。S209 :將重新確定的備選向量對應的配置項組合確定為選擇出的配置項組合。也即，如果重新確定的備選向量對應的配置項組合使系統的使用性降低的程度低於上一次確定的備選向量對應的配置項組合使系統的使用性降低的程度，但比較接近，則認為即使再調整向量集合，得到的適應性係數最大的向量對應的配置項組合，也不會再進一步降低使系統的使用性降低的程度了，因此將該重新確定的備選向量對應的配置項組合確定為選擇出的配置項組合。在後續的步驟中，則根據選擇出的該配置項組合所包含的配置項，配置該系統。S210 :繼續對調整後的向量集合進行調整，並返回步驟S207。也即，如果重新確定的備選向量對應的配置項組合使系統的使用性降低的程度明顯低於上一次確定的備選向量對應的配置項組合使系統的使用性降低的程度，或者，重新確定的備選向量對應的配置項組合使系統的使用性降低的程度明顯高於上一次確定的備選向量對應的配置項組合使系統的使用性降低的程度，則需要再次調整向量集合，重新得到的適應性係數最大的向量對應的配置項組合，因此繼續對調整後的向量集合進行調整，直至重新確定的備選向量的適應性係數與上一次確定的備選向量的適應性係數的差值在設定範圍內為止。上述步驟S203飛210對應圖I所示的步驟S103，也即在確定出的滿足指定條件的配置項組合中，選擇出所包含的每個配置項對應的使用性損失權值的和值最小的配置項集
口 ο另外，針對圖2所示的步驟S206中對向量集合進行調整的方法，本發明實施例提供了以下三種較佳的調整方法，如圖3、圖4、圖5所示。第一種交叉調整，如圖3所示。圖3為本發明實施例提供的第一種調整向量集合的過程，具體包括以下步驟S301 :在該向量集合中隨機選擇兩個向量。繼續沿用上例，優化裝置在向量集合(X1, X2, X3,……XltltJ中隨機選擇兩個向量，假設選擇的兩個向量為向量X1和向量X2。S302 :將選擇的兩個向量中隨機數量的相同位置上的元素相互調換，得到調整後的兩個向量。繼續沿用上例,假設向量X1 為[Xui, Xi2, Xu3,......,Xun],向量 X2 為[x2,I，X2,2，χ2,
3，......，x2，n]，其中，這兩個向量中的每個元素為I或O。將這兩個向量中隨機數量的相同位
置上的元素相互調換為假設隨機數量為3個，則可以將向量X1中的前3個元素與向量X2中相同位置的元素進行調換，也即，調整後的向量X' I為[X2,I，Xy，X2,3，Xi,4，Xi,5，......，Xi，J,
調整後的向裡 X 2 為[Xl，I，Xl，2，xI, 3，X2，4，X2，5，......，X2，rJ。S303 :確定調整後的兩個向量分別對應的配置項組合。繼續沿用上例，分別確定調整後的向量X' i和向量X' 2對應的配置項組合。S304:判斷調整後的兩個向量分別對應的配置項組合是否均滿足指定條件，若是，則執行步驟S305，否則執行步驟S306。也即，針對調整後的兩個向量，判斷調整後的向量對應的配置項組合中所包含的每個配置項對應的安全性權值的和值是否大於設定安全閾值。這是因為後續仍然要從調整後的向量集合中確定出備選向量，因此要保證調整後的向量集合中的每個向量對應的配置項組合仍然都是滿足指定條件的配置項組合。S305 :將調整後的兩個向量與該向量集合中的其他向量構成的向量集合確定為得到的調整後的向量集合。如果調整後的兩個向量分別對應的配置項組合均滿足指定條件，則交叉調整成功，將調整後的兩個向量與該向量集合中的其他向量構成的向量集合確定為得到的調整後的向量集合。S306 :在該向量集合中重新選擇兩個向量，返回步驟S302。如果調整後的兩個向量分別對應的配置項組合中至少一個不滿足指定條件，則交叉調整失敗，在該向量集合中重新選擇兩個向量進行調整，直至調整後的兩個向量分別對應的配置項組合均滿足指定條件為止。第二種、變異調整，如圖4所示。圖4為本發明實施例提供的第二種調整向量集合的過程，具體包括以下步驟S401 :在該向量集合中隨機選擇一個向量，並在選擇的向量中隨機選擇一個元素，執行步驟S402或S403。繼續沿用上例，優化裝置在向量集合(X1, X2, X3,……XltltJ中隨機選擇一個向量，假
設選擇的一個向量為向量X2 = [x2,i, X2,2 X2,3 ......，X2，n]，則在選擇的向量X2中隨機選擇
一個元素，假設選擇的元素為X2il，則當選擇的該元素X2il的值為I (第一數值)時，執行步驟S402，當選擇的該元素X2il的值為O (第二數值)時，執行步驟S403。S402:當選擇的元素的值為第一數值時，根據預先為該選擇的元素對應的配置項設置的由第一數值變為第二數值的概率，以該概率將選擇的元素的值由第一數值調整為第二數值，執行步驟S404。
在本發明實施例中，可以預先針對系統中包括的每個配置項，設定配置項對應的元素由第一數值變為第二數值的概率。繼續沿用上例，可以預先設定系統中包括的η個配置項分別對應的X1, X2, X3,……，xn這η個元素由I (第一數值)變為O (第二數值)的概率。具體的，對於某個配置項來說，如果該配置項可以較大的提升系統的安全性，又可以使系統的使用性降低的程度較小，則設定該配置項對應的元素由I變為O的概率較小,例如為O. I。反之,如果該配置項對系統的安全性提升的較小，但是卻會使系統的使用性降低的程度較大，則設定該配置項對應的元素由I變為O的概率較大，例如為O. 9。當選擇的該元素X2il的值為I (第一數值)時，假設預先設定的該元素x2,i由I變為O的概率為O. 9，則以O. 9的概率將該元素X2il的值由I調整為O。S403:當選擇的元素的值為第二數值時，根據預先為該選擇的元素對應的配置項設置的由第二數值變為第一數值的概率，以該概率將選擇的元素的值由第二數值調整為第一數值，執行步驟S404。 在本發明實施例中，可以預先針對系統中包括的每個配置項，設定配置項對應的元素由第二數值變為第一數值的概率。繼續沿用上例，可以預先設定系統中包括的η個配置項分別對應的X1, X2, X3,……，xn這η個元素由O (第二數值)變為I (第一數值)的概率。具體的，對於某個配置項來說，如果該配置項可以較大的提升系統的安全性，又可以使系統的使用性降低的程度較小，則設定該配置項對應的元素由O變為I的概率較大，例如為O. 9。反之，如果該配置項對系統的安全性提升的較小，但是卻會使系統的使用性降低的程度較大，則設定該配置項對應的元素由O變為I的概率較小,例如為O. I。當選擇的該元素X2il的值為O (第二數值)時，假設預先設定的該元素X2,i由O變為I的概率為O. 9，則以O. 9的概率將該元素X2il的值由O調整為I。S404:判斷調整後的向量對應的配置項組合是否滿足指定條件，若是，則執行步驟S405，否則返回步驟S401。同樣的，為了保證調整後的向量集合中的每個向量對應的配置項組合仍然都是滿足指定條件的配置項組合，因此要判斷調整後的向量對應的配置項組合中所包含的每個配置項對應的安全性權值的和值是否大於設定安全閾值。若大於，則調整後的向量對應的配置項組合滿足指定條件，將調整後的向量與該向量集合中的其他向量構成的向量集合確定為得到的調整後的向量集合，也即執行步驟S405。若不大於，則重新在該向量集合中隨機選擇一個向量進行調整，直至調整後的向量對應的配置項組合滿足指定條件為止。S405:將調整後的向量與該向量集合中的其他向量構成的向量集合確定為得到的調整後的向量集合。第三種、選擇調整，如圖5所示。圖5為本發明實施例提供的第三種調整向量集合的過程，具體包括以下步驟S501 :根據該向量集合中的每個向量對應的適應性係數，採用公式# = f確
/=I定每個向量的選擇概率，其中，Pi為該向量集合中第i個向量的選擇概率，N為所述設定數量。繼續沿用上例，對於向量集合(X1, X2，X3,……XltlJ中的第i個向量Xi,由於之前已
經採用公式
權利要求
1.一種安全配置優化的方法，其特徵在於，包括 優化裝置確定系統中包括的配置項；並 根據預先設定的每個配置項對應的安全性權值，確定滿足指定條件的配置項組合，其中，滿足指定條件的配置項組合具體為所包含的每個配置項對應的安全性權值的和值大於設定安全閾值的配置項組合；以及 根據預先設定的每個配置項對應的使用性損失權值，在確定的滿足指定條件的配置項組合中，選擇所包含的每個配置項對應的使用性損失權值的和值最小的配置項組合；所述優化裝置根據選擇出的配置項組合中包含的配置項，配置所述系統。
2.如權利要求I所述的方法，其特徵在於，確定滿足指定條件的配置項組合，具體包括 確定設定數量的滿足指定條件的配置項組合； 在確定的滿足指定條件的配置項組合中，選擇所包含的每個配置項對應的使用性損失權值的和值最小的配置項組合之前，所述方法還包括 針對確定的滿足指定條件的配置項組合，採用設定的方法生成該配置項組合對應的向量，其中，採用設定的方法生成該配置項組合對應的向量具體為生成包含的每個元素與所述系統中包括的每個配置項--對應的向量，針對生成的向量中的每個元素，如果該元素對應的配置項包含在該配置項組合中，則將該元素的值置為第一數值，如果該元素對應的配置項未包含在該配置項組合中，則將該元素的值置為第二數值； 在確定的滿足指定條件的配置項組合中，選擇所包含的每個配置項對應的使用性損失權值的和值最小的配置項組合，具體包括 以生成的各配置項組合對應的向量構成向量集合； 採用公式/ -1- 確定所述向量集合中每個向量對應的適應性係數，其中，Fi為所述 M向量集合中第i個向量對應的適應性係數，U1為第i個向量中所有數值為所述第一數值的元素對應的配置項的使用性損失權值的和值，M為所述系統中包括的每個配置項的使用性損失權值的和值； 確定所述向量集合中適應性係數最大的向量為備選向量； 調整所述向量集合中的一個或幾個向量，得到調整後的向量集合，將調整後的向量集合中適應性係數最大的向量重新確定為備選向量； 判斷重新確定的備選向量的適應性係數與上一次確定的備選向量的適應性係數的差值是否在設定範圍內，若是，則將重新確定的備選向量對應的配置項組合確定為選擇出的配置項組合，否則，繼續對調整後的向量集合進行調整，直至重新確定的備選向量的適應性係數與上一次確定的備選向量的適應性係數的差值在設定範圍內為止。
3.如權利要求2所述的方法，其特徵在於，調整所述向量集合中的一個或幾個向量，得到調整後的向量集合，具體包括 在所述向量集合中隨機選擇兩個向量； 將選擇的兩個向量中隨機數量的相同位置上的元素相互調換，得到調整後的兩個向量; 確定調整後的兩個向量分別對應的配置項組合，判斷調整後的兩個向量分別對應的配置項組合是否均滿足指定條件，若是，則將調整後的兩個向量與所述向量集合中的其他向量構成的向量集合確定為得到的調整後的向量集合，否則，在所述向量集合中重新選擇兩個向量進行調整，直至調整後的兩個向量分別對應的配置項組合均滿足指定條件為止。
4.如權利要求2所述的方法，其特徵在於，調整所述向量集合中的一個或幾個向量，得到調整後的向量集合，具體包括 在所述向量集合中隨機選擇一個向量，並在選擇的向量中隨機選擇一個元素； 當選擇的元素的值為第一數值時，根據預先為該選擇的元素對應的配置項設置的由第一數值變為第二數值的概率，以該概率將選擇的元素的值由第一數值調整為第二數值；當選擇的元素的值為第二數值時，根據預先為該選擇的元素對應的配置項設置的由第二數值變為第一數值的概率，以該概率將選擇的元素的值由第二數值調整為第一數值；判斷調整後的向量對應的配置項組合是否滿足指定條件，若是，則將調整後的向量與所述向量集合中的其他向量構成的向量集合確定為得到的調整後的向量集合，否則，在所述向量集合中重新選擇一個向量進行調整，直至調整後的向量對應的配置項組合滿足指定條件為止。
5.如權利要求2所述的方法，其特徵在於，調整所述向量集合中的一個或幾個向量，得到調整後的向量集合，具體包括 根據所述向量集合中的每個向量對應的適應性係數，採用公式€=A/ 巧確定每個向量的選擇概率，其中，Pi為所述向量集合中第i個向量的選擇概率，N為所述設定數量； 針對所述向量集合中的每個向量執行確定該向量的選擇概率與所述設定數量的乘積，對確定的乘積進行四捨五入取整，將得到的取整值作為該向量的複製數量，並複製該向量，複製該向量的數量為該向量的複製數量； 以複製的各向量構成的向量集合作為得到的調整後的向量集合。
6.如權利要求2所述的方法，其特徵在於，判斷重新確定的備選向量的適應性係數與上一次確定的備選向量的適應性係數的差值是否在設定範圍內之前，所述方法還包括 確定調整所述向量集合的次數已經超過設定次數。
7.一種安全配置優化的裝置，其特徵在於，包括 配置項確定模塊，用於確定系統中包括的配置項； 配置項組合確定模塊，用於根據預先設定的每個配置項對應的安全性權值，確定滿足指定條件的配置項組合，其中，滿足指定條件的配置項組合具體為所包含的每個配置項對應的安全性權值的和值大於設定安全與之的配置項組合； 選擇模塊，用於根據預先設定的每個配置項對應的使用性損失權值，在確定的滿足指定條件的配置項組合中，選擇所包含的每個配置項對應的使用性損失權值的和值最小的配置項組合； 優化模塊，用於根據選擇出的配置項組合中包含的配置項，配置所述系統。
8.如權利要求7所述的裝置，其特徵在於，所述配置項組合確定模塊具體用於，確定設定數量的滿足指定條件的配置項組合； 所述裝置還包括 向量確定模塊，用於針對確定的滿足指定條件的配置項組合，採用設定的方法生成該配置項組合對應的向量，其中，採用設定的方法生成該配置項組合對應的向量具體為生成包含的每個元素與所述系統中包括的每個配置項--對應的向量，針對生成的向量中的每個元素，如果該元素對應的配置項包含在該配置項組合中，則將該元素的值置為第一數值，如果該元素對應的配置項未包含在該配置項組合中，則將該元素的值置為第二數值；所述選擇模塊具體用於，以生成的各配置項組合對應的向量構成向量集合；採用公式
9.如權利要求8所述的裝置，其特徵在於，所述選擇模塊具體包括 第一調整單元，用於在所述向量集合中隨機選擇兩個向量；將選擇的兩個向量中相同位置上的元素相互調換，得到調整後的兩個向量；確定調整後的兩個向量分別對應的配置項組合，判斷調整後的兩個向量分別對應的配置項組合是否均滿足指定條件，若是，則將調整後的兩個向量與所述向量集合中的其他向量構成的向量集合確定為得到的調整後的向量集合，否則，在所述向量集合中重新選擇兩個向量進行調整，直至調整後的兩個向量分別對應的配置項組合均滿足指定條件為止。
10.如權利要求8所述的裝置，其特徵在於，所述選擇模塊具體包括 第二調整單元，用於在所述向量集合中隨機選擇一個向量，並在選擇的向量中隨機選擇一個元素；當選擇的元素的值為第一數值時，根據預先為該選擇的元素對應的配置項設置的由第一數值變為第二數值的概率，以該概率將選擇的元素的值由第一數值調整為第二數值；當選擇的元素的值為第二數值時，根據預先為該選擇的元素對應的配置項設置的由第二數值變為第一數值的概率，以該概率將選擇的元素的值由第二數值調整為第一數值；判斷調整後的向量對應的配置項組合是否滿足指定條件，若是，則將調整後的向量與所述向量集合中的其他向量構成的向量集合確定為得到的調整後的向量集合，否則，在所述向量集合中重新選擇一個向量進行調整，直至調整後的向量對應的配置項組合滿足指定條件為止。
11.如權利要求8所述的裝置，其特徵在於，所述選擇模塊具體包括 第三調整單元，用於根據所述向量集合中的每個向量對應的適應性係數，採用公式確定每個向量的選擇概率，其中，Pi為所述向量集合中第i個向量的選擇概率， i=lN為所述設定數量；針對所述向量集合中的每個向量執行確定該向量的選擇概率與所述設定數量的乘積，對確定的乘積進行四捨五入取整，將得到的取整值作為該向量的複製數量，並複製該向量，複製該向量的數量為該向量的複製數量；以複製的各向量構成的向量集合作為得到的調整後的向量集合。
12.如權利要求8所述的裝置，其特徵在於，所述選擇模塊還用於，在判斷重新確定的備選向量的適應性係數與上一次確定的備選向量的適應性係數的差值是否在設定為範圍之前，確定調整所述向量集合的次數已經超過設定次數。
全文摘要
本發明公開了一種安全配置優化的方法及裝置，用以解決現有技術中配置後的系統使用性較低的問題。該方法根據系統中包括的每個配置項對應的安全性權值，確定所包含的每個配置項對應的安全性權值的和值大於設定安全閾值的配置項組合，根據每個配置相對應的使用性損失權值，在確定的配置項組合中，選擇所包含的每個配置相對應的使用性損失權值的和值最小的配置項組合，根據選擇出的配置項組合中包含的配置項配置該系統。通過上述方法，選擇出的配置項組合為既滿足系統的安全性要求，又對系統的使用性影響程度最低的配置項組合，因此根據選擇出的配置項組合配置系統，可以使配置後的系統在滿足安全性要求的同時，提高系統的使用性。
文檔編號H04L29/06GK102710641SQ201210177620
公開日2012年10月3日 申請日期2012年5月31日 優先權日2012年5月31日
發明者劉丹 申請人:北京神州綠盟信息安全科技股份有限公司