(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211134574.9 (22)申请日 2022.09.19 (71)申请人 北京威努特技 术有限公司 地址 100085 北京市海淀区上地 三街9号F 座9层907 (72)发明人 张明远　石凌志　 (51)Int.Cl. H04L 43/08(2022.01) H04L 9/40(2022.01) H04L 41/0631(2022.01) (54)发明名称 一种网络架构合规性的自动检查方法与装 置 (57)摘要 本发明公开一种网络架构合规性的自动检 查方法与装置。 所述装置包括统一安全管理平台 USM、 监控审计平台SMA和工业防火墙TEG； 统一安 全管理平台， 用于接收监控各审计平台上报的流 量数据， 自动或被动发现现场资产， 接收现场网 络设备发送的设备状态信息， 获取工业防火墙上 报的交换机设备带宽控制配置； 监控审计平台， 旁路在现场所有交换机， 上报流量信息到USM； 工 业防火墙， 支持路由功能， 上报带宽控制配置信 息。 本发明通过提供一种通过等级保护检查知识 库， 自动检测现场区域或资产是否满足安全通讯 网络等保要求。 权利要求书3页 说明书9页 附图6页 CN 115514675 A 2022.12.23 CN 115514675 A 1.一种网络架构合规性的自动检查装置， 其特征在于， 包括统一安全管理平台USM、 监 控审计平台SMA和 工业防火墙TEG； 统一安全管理平 台， 用于接收监控各审计平 台上报的流 量数据， 自动或被动发现现场资产， 接收现场网络 设备发送的设备状态信息， 获取工业防火 墙上报的交换机 设备带宽控制配置； 监控审 计平台， 旁路在现场所有交换机， 上报流量信息 到USM； 工业防火墙， 支持路由功能， 上报带宽控制配置信息 。 2.如权利要求1所述的一种网络架构合规性的自动检查装置， 其特征在于， 在部署的 USM中配置区域管理， 通过IP范围划分 网络区域， 通过USM的资产发现功能， 发现各网络区域 的资产信息； 各网络区域中包括一个或多个网络 设备， 网络 设备向US M上报设备运行状态信 息。 3.如权利要求2所述的一种网络架构合规性的自动检查装置， 其特征在于， 网络设备向 USM上报的设备运行状态信息， 包括CPU使用率、 内存使用率、 硬盘使用率、 流量大小、 带宽控 制规则信息。 4.一种网络架构合 规性的自动检查方法， 其特 征在于， 包括： 评估网络设备业 务处理能力是否满足业 务高峰期项； 评估按照业 务服务的重要程度分配带宽保障重要业 务项； 评估保证网络各个部分带宽满足业 务高峰期需要 项； 评估应划分不同网络区域各网络区域分配地址项； 评估避免重要网络区域部署在边界处， 重要 网络区域与其他网络区域之间应采取可靠 的技术隔离手段项； 评估应提供通信线路、 关键网络设备和关键计算设备的硬件冗余， 保证系统的可用性 项； 计算区域 等保评分。 5.如权利要求4所述的一种网络架构合规性的自动检查方法， 其特征在于， 评估 网络设 备业务处理能力， 具体包括如下子步骤： 步骤S11、 登录USM， 配置资产运行状态阈值； 步骤S12、 对比网络设备， 上报设备运行状态信息； 步骤S13、 判断是否超过资产运行状态阈值， 如果超过， 则产生预警， 如果不超过， 则执 行步骤S14； 步骤S14、 判断区域下资产是否存在告警， 如果存在， 则不符合该项， 如果不存在， 则执 行步骤S15； 步骤S15、 判断当前 区域是否存在子区域， 如果存在， 则执行步骤S16， 如果不存在， 则确 定符合该项； 步骤S16、 判断子区域是否符合该项， 如果符合， 则确定符合该项， 如果不符合， 则确定 不符合该项。 6.如权利要求4所述的一种网络架构合规性的自动检查方法， 其特征在于， 评估按照业 务服务的重要程度分配带宽保障重要业 务项， 具体包括如下子步骤： 步骤S21、 登录USM， 配置资产业 务价值； 步骤S22、 获取宽带控制信息； 步骤S23、 判断不同设备上报同一设备带宽信息是否相同， 如果相同， 则执行步骤S24，权　利　要　求　书 1/3 页 2 CN 115514675 A 2如果不相同， 则产生预警； 步骤S24、 判断宽带信息是否与资产业务价值匹配， 如果匹配， 则执行步骤S25， 如果不 匹配， 则不符合该项； 步骤S25、 判断当前 区域是否存在子区域， 如果存在， 则执行步骤S26， 如果不存在， 则确 定符合该项； 步骤S26、 判断子区域是否符合该项， 如果符合， 则确定符合该项， 如果不符合， 则确定 不符合该项。 7.如权利要求4所述的一种网络架构合规性的自动检查方法， 其特征在于， 评估保证网 络各个部分带宽满足业 务高峰期需要 项， 具体包括如下子步骤： 步骤S31、 获取三个区域的流 量信息； 步骤S32、 获取资产对应的带宽控制信息； 步骤S33、 判断流量是否违反带宽控制信息， 如果违反， 则产生告警， 如果不违反则执行 步骤S34； 步骤S34、 判断区域下资产是否存在告警， 如果存在， 则不符合该项， 如果不存在， 则执 行步骤S3 5； 步骤S35、 判断当前 区域是否存在子区域， 如果存在， 则执行步骤S36， 如果不存在， 则确 定符合该项； 步骤S36、 判断子区域是否符合该项， 如果符合， 则确定符合该项， 如果不符合， 则确定 不符合该项。 8.如权利要求4所述的一种网络架构合规性的自动检查方法， 其特征在于， 评估避免重 要网络区域部署在边界处， 重要网络区域与其他网络区域之间应采取可靠的技术隔离手段 项， 具体包括如下子步骤： 步骤S41、 设置等保要求； 步骤S42、 获取各 区域流量数据， 判断是否存在跨区通讯， 如果存在， 则执行步骤S43， 如 果不存在， 则执 行步骤S4 4； 步骤S43、 判断是否同根TEG进行通讯， 如果是， 则执 行步骤S4 4， 否则不符合此项； 步骤S44、 判断当前 区域是否存在子区域， 如果存在， 则执行步骤S45， 如果不存在， 则确 定符合该项； 步骤S45、 判断子区域是否符合该项， 如果符合， 则确定符合该项， 如果不符合， 则确定 不符合该项。 9.如权利要求4所述的一种网络架构合规性的自动检查方法， 其特征在于， 评估应提供 通信线路、 关键网络 设备和关键计算设备的硬件冗余， 保证系统的可用性项， 具体包括如下 子步骤： 步骤S51、 设置等保要求； 步骤S52、 通过USM已确认资产页面配置选择资产对应的硬件冗余资产进行绑定， 通过 获取的流量信息确定资产与硬件冗余资产是否有流量通讯并确定资产是否存活， 如果都没 有配置硬件冗余资产则都不符合应提供通信线路、 关键网络设备和关键计算设备的硬件冗 余， 保证系统的可用性项。 10.一种计算机存 储介质， 其特 征在于， 包括： 至少一个存 储器和至少一个处 理器；权　利　要　求　书 2/3 页 3 CN 115514675 A 3