设备安全管理方法及装置的制造方法

设备安全管理方法及装置的制造方法
【技术领域】
[0001]本发明涉及信息安全领域，具体涉及一种设备安全管理方法及装置。
【背景技术】
[0002]随着科学技术的发展，信息技术已经成为提升企业生产效率所不可或缺的一环。但是与此同时，通过信息技术对企业发起的攻击、侵害企业利益的事件也层出不穷。在以往的事件中，侵入者往往通过企业中防护能力最薄弱，且最有入侵价值的一个实体终端为切入点，从而整体控制企业的信息系统，窃取企业有价值的数据。所以“低防护、高价值”的终端，是企业中存在风险最高的终端，也是安全产品需要重点保护的对象。
[0003]在目前，几乎所有的企业安全产品都是基于企业的组织结构的。例如，现有技术常会以企业部门架构为基准，分组地管理企业终端。在此前提之下，企业管理人员和安全产品往往假设高价值的终端都集中在某些部门之中，例如财务部门和研发部门。所以安全产品会为这些部门配置很高的安全执行标准，以重点保护这些部门终端的安全。而企业中的其他终端，往往不会受到企业管理人员和安全产品的重视。
[0004]然而实际上，企业组织结构不能完全决定终端价值的高低。首先，企业网络拓扑结构也是终端价值的一个重要评定因素，网络中关键的节点不一定集中在某一个或者某几个部门之中。其次，企业中终端的数据是在不断交换的，终端价值也会因为数据的传递而发生变化。所以，现有的企业信息安全管理手段不能适应企业网络的拓扑结构，也不能适应企业中的信息流动情况，容易导致原本“高价值”的终端未应用高保准的防护能力，或者“低价值”的终端在价值提升后未应用高保准的防护能力，从而对终端的风险造成错误的评估，为企业带来安全隐患。

【发明内容】

[0005]针对现有技术中的缺陷，本发明提供一种设备安全管理方法及装置，可以解决现有的企业信息安全管理手段的上述问题。
[0006]第一方面，本发明提供了一种设备安全管理装置，包括:
[0007]第一获取单元，用于获取数据价值计算规则；
[0008]第二获取单元，用于获取目标设备的存储数据；
[0009]第一计算单元，用于依据所述第一获取单元得到的数据价值计算规则计算所述第二获取单元得到的目标设备的存储数据的数据价值；
[0010]第三获取单元，用于根据所述第一计算单元得到的所述数据价值获取对应的安全防护策略；
[0011]安全管理单元，用于根据所述第三获取单元得到的安全防护策略对所述目标设备进行安全管理。
[0012]可选地，所述第一计算单元包括:
[0013]获取子单元，用于获取所述数据价值计算规则中的至少一个用于判断存储数据是否具有数据价值的敏感特征；
[0014]检测子单元，用于对所述第二获取单元得到的目标设备的存储数据进行检测，得到可以与所述获取子单元得到的敏感特征相匹配的存储数据；
[0015]计算子单元，用于依据所述第一获取单元得到的数据价值计算规则对所述检测子单元得到的存储数据进行计算，得到目标设备的存储数据的数据价值。
[0016]可选地，所述检测子单元包括:
[0017]获取模块，用于获取预先设定的检测范围和/或所述数据价值计算规则中的检测范围；
[0018]检测模块，用于在获取模块得到的检测范围内对所述第二获取单元得到的目标设备的存储数据进行检测，得到可以与所述获取子单元得到的敏感特征相匹配的存储数据。
[0019]可选地，所述计算子单元包括:
[0020]获取模块，用于在所述第一获取单元得到的数据价值计算规则中获取至少一个存储数据分类的分类标准；
[0021]分类模块，用于依据所述获取模块得到的至少一个存储数据分类的分类标准对所述检测子单元得到的存储数据进行分类，得到分别属于至少一个存储数据分类的至少一个存储数据集合；
[0022]计算模块，用于依据所述第一获取单元得到的数据价值计算规则分别对所述分类模块得到的至少一个存储数据集合进行计算，得到目标设备的存储数据的数据价值。
[0023]可选地，所述计算模块包括:
[0024]获取子模块，用于获取对应于每一所述存储数据分类的数据价值权重；
[0025]计算子模块，用于将所述分类模块得到的属于任一存储数据分类的存储数据集合的数据量与所述获取子模块得到的该存储数据分类的数据价值权重相乘，并将对应于所有存储数据分类的乘积之和作为目标设备的存储数据的数据价值。
[0026]可选地，所述数据价值计算规则中的至少一个敏感特征包括:
[0027]存储数据包括任一所述数据价值计算规则中指定的敏感内容；
[0028]和/ 或，
[0029]存储数据包括任一所述数据价值计算规则中指定的敏感数据类型的数据；
[0030]和/ 或，
[0031 ] 存储数据的文件名位于所述数据价值计算规则中的文件名黑名单列表当中。
[0032]可选地，所述装置还包括:
[0033]第四获取单元，用于获取环境价值计算规则；
[0034]第二计算单元，用于依据所述第四获取单元得到的环境价值计算规则计算目标设备所在网络节点的环境价值。
[0035]第二方面，本发明还提供了一种设备安全管理装置，包括:
[0036]第一生成单元，用于生成数据价值计算规则；
[0037]第一发送单元，用于向目标设备发送所述第一生成单元得到的数据价值计算规贝1J，以使所述目标设备依据该数据价值计算规则计算目标设备的存储数据的数据价值，根据所述数据价值获取对应的安全防护策略，并根据所述安全防护策略对所述目标设备进行安全管理。
[0038]第三方面，本发明还提供了一种设备安全管理方法，包括:
[0039]获取数据价值计算规则；
[0040]获取目标设备的存储数据；
[0041]依据所述数据价值计算规则计算所述目标设备的存储数据的数据价值；
[0042]根据所述数据价值获取对应的安全防护策略；
[0043]根据所述安全防护策略对所述目标设备进行安全管理。
[0044]第四方面，本发明还提供了一种设备安全管理方法，包括:
[0045]生成数据价值计算规则；
[0046]向目标设备发送所述数据价值计算规则，以使所述目标设备依据该数据价值计算规则计算目标设备的存储数据的数据价值，根据所述数据价值获取对应的安全防护策略，并根据所述安全防护策略对所述目标设备进行安全管理。
[0047]由上述技术方案可知，本发明通过计算目标设备的存储数据的数据价值，并获取相应的安全防护策略来对目标设备进行安全管理。从而对于信息系统中的每一台终端设备，都可以通过适当的终端价值计算过程匹配相适应的安全防护策略，使得安全管理不再局限于企业中的特定部门，而每一台高价值的终端设备都可以应用高标准的防护能力。同时，随着信息的流动，终端价值的计算过程和安全防护策略也可以实时地进行更新，有效避免了由于信息流动带来的安全隐患。由此，本发明可以解决现有的企业信息安全管理手段不能适应企业网络的拓扑结构，也不能适应企业中的信息流动的问题。
[0048]进一步地，本发明可以基于终端价值的计算和安全防护策略的设置实现终端价值与防护能力的相互匹配，并不受限于企业职能部门组织结构的设置，还可以进行动态的实时更新，可以更有效地保护企业中有价值数据的安全性。
【附图说明】
[0049]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单的介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0050]图1是本发明一个实施例中一种设备安全管理装置的结构框图；
[0051]图2是本发明一个实施例中一种第一计算单元的结构框图；
[0052]图3是本发明一个实施例中一种计算子单元的结构框图；
[0053]图4是本发明另一个实施例中一种设备安全管理装置的结构框图；
[0054]图5是本发明一个实施例中一种设备安全管理方法的步骤流程示意图；
[0055]图6是本发明另一个实施例中一种设备安全管理方法的步骤流程示意图。
【具体实施方式】
[0056]为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0057]在本发明的描述中需要说明的是，术语“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。
[0058]图1是本发明一个实施例中一种设备安全管理装置的结构框图。参见图1，该装置包括:
[0059]第一获取单元11，用于获取数据价值计算规则；
[0060]第二获取单元12，用于获取目标设备的存储数据；
[0061]第一计算单元13，用于依据上述第一获取单元11得到的数据价值计算规则计算上述第二获取单元12得到的目标设备的存储数据的数据价值；
[0062]第三获取单元14，用于根据上述第一计算单元13得到的上述数据价值获取对应的安全防护策略；
[0063]安全管理单元15，用于根据上述第三获取单元14得到的安全防护策略对所述目标设备进行安全管理。
[0064]需要说明的是，上述设备安全管理装置指的是用于对目标设备(可以是任意形式的电子设备)的信息安全进行管理的装置，其中:
[0065]上述数据价值计算规则是第一获取单元11通过任意方式获取得到的，并主要用于评价存储在目标设备当中的存储数据的数据价值。对于目标设备中的任意一份存储数据，可以按照第一获取单元11得到的数据价值计算规则来计算其数据价值。当然，上述数据价值计算规则可以是预先根据对信息安全的安全需求来进行设定的，也可以来自于目标设备的上级管理设备，并可以在不同的应用场景下有着不同的形式，本发明对此不作限制。
[0066]由于第一计算单元13用于依据第一获取单元11得到的数据价值计算规则计算第二获取单元12得到的目标设备的存储数据的数据价值，因此第一获取单元11和第二获取单元12可以向第一计算单元13发送信息，而第一计算单元13可以接收来自第一获取单元11或第二获取单元12的信息，并可以在一些【具体实施方式】中具体化为第一获取单元11与第一计算单元13之间、以及第二获取单元12与第一计算单元13之间的连接关系。类似地，本文中对其他结构或部件的功能性限定也隐含了相应的接收或者发送功能，并可以在一些【具体实施方式】中具体化为相应的连接关系。
[0067]上述安全防护策略是第三获取单元14通过任意方式获取得到的，并主要用于对目标设备的安全管理进行指导。安全管理单元15可以根据安全防护策略对目标设备进行具体的安全管理。当然，安全防护策略可以是预先根据对信息安全不同等级的安全需求来进行设定的，也可以来自于目标