系统安全健康度判定方法及装置制造方法

系统安全健康度判定方法及装置制造方法
【专利摘要】本发明实施例公开了一种系统安全健康度判定方法及装置，属于安全领域。其中所述方法包括：获得待测信息系统所对应的基线配置文件，并获取待测信息系统的待检测数据，基线配置文件中存储至少一条基线；将待检测数据与基线配置文件中的至少一条基线进行匹配，以得到每个待检测数据与至少一条基线的匹配情况；根据每个待检测数据与至少一条基线的匹配情况得到信息系统的安全健康度。本发明通过采用自动判定系统的安全健康度来度量系统安全性的方式，从而能够快速、方便、准确、全面地得到系统的安全健康度。
【专利说明】系统安全健康度判定方法及装置

【技术领域】
[0001] 本发明涉及安全【技术领域】，特别涉及一种系统安全健康度判定方法及装置。

【背景技术】
[0002] 随着数据业务的高速增长和信息系统(例如数据信息中心系统、企业办公系统等） 网络结构复杂度急剧增加，信息系统产生的数据量越来越大，信息系统内干扰的问题也日 益突出。因此，急需一种系统安全健康度判定方法即对信息系统的安全健康程度进行评估 的方法，来评估信息系统是否安全，是否需要进行优化，以指导信息系统安全优化工作有 序、高效的开展。因为信息系统是否健康、安全将直接影响整个信息系统的运行质量，通过 对信息系统安全健康度进行评估，在保证信息系统网络正常工作的同时，可以寻求信息系 统网络运行的最佳状态，优化信息系统网络性能。
[0003] 目前，对系统安全健康度的判定方法，主要通过维护管理人员人工进行监测，依据 维护管理人员的个人经验进行判断。也就是说，维护管理人员获取网络设备运行的一些技 术指标，依据个人工作经验判断技术指标是否合理来确认系统健康度。技术指标较好，信息 系统网络没有出现故障，认为健康度高，反之，健康度就低。
[0004] 由上述可见，现有的通过人工方式来判定系统安全健康度的方法，很难获取系统 运行的各种数据，难以反映系统实际的健康度，监控质量较低，同时随着系统网络复杂度的 增加，维护管理人员也很难处理众多指标的海量数据，处理数据效率低，不能适应信息系统 网络运行环境的变化，判定信息系统健康度的效率较低，进一步地，获取的信息系统数据的 技术指标依据维护管理人员的个人经验进行分析判断，缺乏科学的决策，不同的维护管理 人员对同一信息系统的安全健康度可能得出截然相反的结论，不利于信息系统网络的维护 管理。总之，采用现有的方式，得到的系统安全健康度不准确和不全面、并且效率较低。


【发明内容】

[0005] 本发明提供一种系统安全健康度判定方法及装置，以解决现有的系统安全健康度 判定方法得到的安全健康度不准确和不全面等问题。
[0006] 具体地，本发明实施例提供了一种系统安全健康度判定方法，所述系统安全健康 度判定方法，包括：获得待测信息系统所对应的基线配置文件，并获取待测信息系统的待检 测数据，基线配置文件中存储至少一条基线；将待检测数据与基线配置文件中的至少一条 基线进行匹配，以得到每个待检测数据与至少一条基线的匹配情况；根据每个待检测数据 与至少一条基线的匹配情况得到信息系统的安全健康度。
[0007] 另外，本发明实施例提供了一种系统安全健康度判定装置，所述系统安全健康度 判定装置，包括：数据获取模块、匹配模块以及计算模块，数据获取模块，用于获得待测信息 系统所对应的基线配置文件，并获取待测信息系统的待检测数据，基线配置文件中存储至 少一条基线；匹配模块，用于将待检测数据与基线配置文件中的至少一条基线进行匹配，以 得到每个待检测数据与至少一条基线的匹配情况；计算模块，用于根据每个待检测数据与 至少一条基线的匹配情况得到信息系统的安全健康度。
[0008] 本发明实施例提供的技术方案带来的有益效果是：
[0009] 通过将待检测数据与基线配置文件中的至少一条基线进行匹配，以得到每个待检 测数据与至少一条基线的匹配情况，再根据匹配情况得到信息系统的安全健康度。解决了 现有的系统安全健康度判定方法得到的安全健康度不准确和不全面等问题，采用自动判定 系统的安全健康度来度量系统安全性的方式，能够为系统得出一个可以量化的安全指标， 从而能够快速、方便、准确、全面地得到系统的安全健康度，可以用于产品决策，指导信息系 统的安全建设，提高安全建设的效率，降低安全成本，避免盲目安全建设带来的成本浪费 等。
[0010] 上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段， 而可依照说明书的内容予以实施，并且为了让本发明的上述和其他目的、特征和优点能够 更明显易懂，以下特举较佳实施例，并配合附图，详细说明如下。

【专利附图】

【附图说明】
[0011] 图1是本发明一个实施例提供的系统安全健康度判定方法的作业流程图；
[0012] 图2A是本发明另一个实施例提供的系统安全健康度判定方法的作业流程图；
[0013] 图2B是得到信息系统的安全健康度的方法的流程图；
[0014] 图3是本发明一个实施例提供的系统安全健康度判定装置的主要架构框图；
[0015] 图4是本发明另一个实施例提供的系统安全健康度判定装置的主要架构框图；
[0016] 图5是一种终端的结构框图。

【具体实施方式】
[0017] 为更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效，以下结合 附图及较佳实施例，对依据本发明提出的系统安全健康度判定方法及装置其具体实施方 式、结构、特征及功效，详细说明如后。
[0018] 有关本发明的前述及其他技术内容、特点及功效，在以下配合参考图式的较佳实 施例详细说明中将可清楚的呈现。通过【具体实施方式】的说明，当可对本发明为达成预定目 的所采取的技术手段及功效得以更加深入且具体的了解，然而所附图式仅是提供参考与说 明之用，并非用来对本发明加以限制。
[0019] 第一实施例
[0020] 请参考图1，其示出了本发明一个实施例提供的系统安全健康度判定方法的作业 流程图。该方法可以由系统安全健康度判定装置所执行的系统安全健康度判定过程；所述 系统安全健康度判定方法，可包括以下步骤101-105 :
[0021] 步骤101，获得待测信息系统所对应的基线配置文件，并获取待测信息系统的待检 测数据，基线配置文件中存储至少一条基线。
[0022] 信息系统可以包括数据中心系统、企业办公系统等一切信息系统。基线可以为容 易导致信息系统不安全或给信息系统造成危害的约定规则，例如基线可以为帐号不允许存 在弱密码、帐号的使用时间不大于3个月的有效期、信息系统不允许开放高危端口等。
[0023] 待测信息系统的待检测数据可以为待测信息系统的任意待检测数据，例如可以为 密码、账号和信息系统所开放的端口信息等。
[0024] 步骤103,将待检测数据与基线配置文件中的至少一条基线进行匹配，以得到每个 待检测数据与至少一条基线的匹配情况。
[0025] 每个待检测数据与所有基线的匹配情况即每个待检测数据是否符合基线。举例说 明，若其中一条待检测数据为密码123456,基线配置文件中的一条基线为密码不能为弱密 码，而待检测密码为123456符合弱密码的范畴，则认为待检测数据符合这条基线，即待检 测数据与这条基线相匹配。
[0026] 步骤105,根据每个待检测数据与至少一条基线的匹配情况得到信息系统的安全 健康度。
[0027] 可以预先将所有基线按照造成信息系统危害的严重程度划分为不同的类型，例如 第一类型的基线、第二类型的基线、…、第n类型的基线等。匹配情况可以包括所有待检测 数据符合各个类型的基线的个数。
[0028] 综上所述，本实施例提供的系统安全健康度判定方法，通过将待检测数据与基线 配置文件中的至少一条基线进行匹配，以得到每个待检测数据与至少一条基线的匹配情 况，再根据匹配情况得到信息系统的安全健康度。解决了现有的系统安全健康度判定方法 得到的安全健康度不准确和不全面等问题，采用自动判定系统的安全健康度来度量系统安 全性的方式，能够为系统得出一个可以量化的安全指标，从而能够快速、方便、准确、全面地 得到系统的安全健康度，可以用于产品决策，指导信息系统的安全建设，提高安全建设的效 率，降低安全成本，避免盲目安全建设带来的成本浪费等。
[0029] 第二实施例
[0030] 请参考图2A，其示出了本发明另一个实施例提供的系统安全健康度判定方法的作 业流程图。图2A是在图1的基础上改进而来的。该方法可以由系统安全健康度判定装置 所执行的系统安全健康度判定过程；系统安全健康度判定装置可以为终端、服务器等设备， 所述系统安全健康度判定方法，可包括以下步骤201-209 :
[0031] 步骤201，预先设定每个信息系统与基线配置文件的对应关系，基线配置文件中存 储至少一条基线。
[0032] 信息系统可以包括数据中心系统、企业办公系统等一切信息系统。基线可以为容 易导致信息系统不安全或给信息系统造成危害的约定规则，例如基线可以为帐号不允许存 在弱密码、帐号的使用时间不大于3个月的有效期、信息系统不允许开放高危端口等。
[0033] 每个信息系统与基线配置文件的对应关系即为每个信息系统设置一个基线配置 文件，基线配置文件中存储多条基线。例如信息系统A对应基线配置文件A1，信息系统B对 应基线配置文件B1等。具体地，例如针对账号管理信息系统可以设定一个基线配置文件， 其中此基线配置文件中存储的基线之一可以为帐号不允许存在弱密码，弱密码即容易被破 译的密码，多为简单的数字组合、帐号相同的数字组合、键盘上的临近键或常见姓名等，例 如"123456"、"abcl23"、"Michael"等。可以理解的是，每个信息系统与基线配置文件的对 应关系可以根据实际需要随时进行调整。
[0034] 步骤203,根据对应关系获得待测信息系统所对应的基线配置文件，并获取待测信 息系统的待检测数据。
[0035] 待测信息系统的待检测数据可以为待测信息系统的任意待检测数据，例如可以为 密码、账号和信息系统所开放的端口信息等。
[0036] 可以通过信息系统中的各个终端发送待检测数据给系统安全健康度判定装置进 行检测，也可以是系统安全健康度判定装置自动从信息系统中的各终端获取待检测数据。 例如若预先设定的对应关系为信息系统A对应基线配置文件A1，若待测信息系统为A，则根 据对应关系可以得到待测信息系统A的基线配置文件为A1。
[0037] 步骤205,将待检测数据与基线配置文件中的至少一条基线进行匹配，以得到每个 待检测数据与至少一条基线的匹配情况。
[0038] 每个待检测数据与所有基线的匹配情况即每个待检测数据是否符合基线。举例说 明，若其中一条待检测数据为密码123456,基线配置文件中的一条基线为密码不能为弱密 码，而待检测密码为123456符合弱密码的范畴，则认为待检测数据符合这条基线，即待检 测数据与这条基线相匹配。
[0039] 步骤207,根据每个待检测数据与至少一条基线的匹配情况得到信息系统的安全 健康度。
[0040] 可以预先将所有基线按照造成信息系统危害的严重程度划分为不同的类型，例如 第一类型的基线、第二类型的基线、…、第n类型的基线等。匹配情况可以包括所有待检测 数据符合各个类型的基线的个数。
[0041] 根据每个待检测数据与至少一条基线的匹配情况得到信息系统的安全健康度的 方法将在图2B中作详细说明。
[0042] 步骤209,将得到的信息系统的安全健康度发送给信息系统。
[0043] 系统安全健康度判定装置可以将得到的系统的安全健康度发送给信息系统的各 终端，以供终端进行查看。
[0044] 综上所述，本实施例提供的系统安全健康度判定方法，还通过预先设定每个信息 系统与基线配置文件的对应关系，还可以将得到的信息系统的安全健康度发送给信息系 统。从而可以便于根据实际需要随时调整每个信息系统与基线配置文件的对应关系，灵活 性高，方便用户实施对安全健康度进行判定的方法。并且通过发送安全健康度给信息系统， 可以方便信息系统随时进行查看其安全健康度信息。
[0045] 请参考图2B，其示出了图2A中步骤207得到信息系统的安全健康度的方法的流程 图。所述得到信息系统的安全健康度的方法，可包括以下步骤211-215 :
[0046] 步骤211，预先将所有基线按照造成信息系统危害的严重程度划分为不同的类型， 并设置各个类型的基线所对应的分数，匹配情况包括所有待检测数据符合各个类型的基线 的个数。
[0047] 基线造成信息系统危害的严重程度可以预先进行设定。所有基线可以按照造成信 息系统危害的严重程度划分为n种类型（n为大于等于1的整数)，如表1所示，可以根据造 成信息系统危害的严重程度的大小设定基线包括5种类型(分别为基线标识B1到B5共5 种类型）：致命类基线(第一类型的基线)、高级类基线(第二类型的基线)、中级类基线(第三 类型的基线)、低级类基线(第四类型的基线)、提示类基线(第五类型的基线)，其中致命类基 线造成信息系统危害的严重程度最大，其最不安全(例如致命类基线可能导致信息系统崩 溃)，高级类基线次之，依次类推。表1中各个类型的基线所对应的分数也可以实际情况而 预先进行设定。
[0048] 表1基线的类型及分数
[0049]

【权利要求】
1. 一种系统安全健康度判定方法，其特征在于，所述系统安全健康度判定方法包括： 获得待测信息系统所对应的基线配置文件，并获取所述待测信息系统的待检测数据， 所述基线配置文件中存储至少一条基线； 将所述待检测数据与所述基线配置文件中的所述至少一条基线进行匹配，以得到每个 待检测数据与所述至少一条基线的匹配情况； 根据所述每个待检测数据与所述至少一条基线的匹配情况得到信息系统的安全健康 度。
2. 根据权利要求1所述的系统安全健康度判定方法，其特征在于，获得待测信息系统 所对应的基线配置文件之前，还包括： 预先设定每个信息系统与基线配置文件的对应关系； 根据所述对应关系获得待测信息系统所对应的基线配置文件。
3. 根据权利要求1所述的系统安全健康度判定方法，其特征在于，所述基线为导致信 息系统不安全或给信息系统造成危害的约定规则。
4. 根据权利要求1所述的系统安全健康度判定方法，其特征在于，根据所述每个待检 测数据与所述至少一条基线的匹配情况得到所述信息系统的安全健康度，包括： 预先将所有基线按照造成信息系统危害的严重程度划分为不同的类型，并设置各个类 型的基线所对应的分数，所述匹配情况包括所有待检测数据符合各个类型的基线的个数； 根据所有待检测数据符合各个类型的基线的个数及各个类型的基线所对应的分数得 到健康度计算公式； 根据所述健康度计算公式得到所述信息系统的安全健康度。
5. 根据权利要求4所述的系统安全健康度判定方法，其特征在于，若所有基线按照造 成信息系统危害的严重程度划分为n种类型（n为大于等于1的整数)，则所述健康度计算 公式为：
其中，Bn (n为大于等于1的整数）为不同类型的基线标识。
6. 根据权利要求5所述的系统安全健康度判定方法，其特征在于，所述健康度计算公 式中m的取值按照如下情况进行设定： 若所有待检测数据中存在不符合第一类型的基线的待检测数据时，则设定m=l ; 若所有待检测数据均符合第一类型的基线，而不符合第二类型的基线时，则设定m=2 ; 若所有待检测数据仅符合第一类型的基线或第二类型的基线时，则设定m=5 ; 其中，所述第一类型的基线造成信息系统危害的严重程度大于所述第二类型的基线造 成信息系统危害的严重程度。
7. 根据权利要求1所述的系统安全健康度判定方法，其特征在于，根据所述每个待检 测数据与所述至少一条基线的匹配情况得到信息系统的安全健康度之后，还包括： 将得到的所述信息系统的安全健康度发送给所述信息系统。
8. -种系统安全健康度判定装置，其特征在于，所述系统安全健康度判定装置，包括： 数据获取模块，用于获得待测信息系统所对应的基线配置文件，并获取所述待测信息 系统的待检测数据，所述基线配置文件中存储至少一条基线； 匹配模块，用于将所述待检测数据与所述基线配置文件中的所述至少一条基线进行匹 配，以得到每个待检测数据与所述至少一条基线的匹配情况； 计算模块，用于根据所述每个待检测数据与所述至少一条基线的匹配情况得到信息系 统的安全健康度。
9. 根据权利要求8所述的系统安全健康度判定装置，其特征在于，所述系统安全健康 度判定装置，还包括： 设定模块，用于预先设定每个信息系统与基线配置文件的对应关系； 其中，所述数据获取模块，还用于根据所述对应关系获得待测信息系统所对应的基线 配置文件。
10. 根据权利要求8所述的系统安全健康度判定装置，其特征在于，所述基线为导致信 息系统不安全或给信息系统造成危害的约定规则。
11. 根据权利要求8所述的系统安全健康度判定装置，其特征在于，所述计算模块，包 括： 设置模块，用于预先将所有基线按照造成信息系统危害的严重程度划分为不同的类 型，并设置各个类型的基线所对应的分数，所述匹配情况包括所有待检测数据符合各个类 型的基线的个数； 确定模块，用于根据所有待检测数据符合各个类型的基线的个数及各个类型的基线所 对应的分数得到健康度计算公式； 健康度判定模块，用于根据所述健康度计算公式得到所述信息系统的安全健康度。
12. 根据权利要求11所述的系统安全健康度判定装置，其特征在于，若所有基线按照 造成信息系统危害的严重程度划分为n种类型（n为大于等于1的整数)，则所述确定模块 得到的所述健康度计算公式为：
其中，Bn (n为大于等于1的整数）为不同类型的基线标识。
13. 根据权利要求12所述的系统安全健康度判定装置，其特征在于，所述确定模块，还 用于将所述健康度计算公式中m的取值按照如下情况进行设定： 若所有待检测数据中存在不符合第一类型的基线的待检测数据时，则设定m=l ; 若所有待检测数据均符合第一类型的基线，而不符合第二类型的基线时，则设定m=2 ; 若所有待检测数据仅符合第一类型的基线或第二类型的基线时，则设定m=5 ; 其中，所述第一类型的基线造成信息系统危害的严重程度大于所述第二类型的基线造 成信息系统危害的严重程度。
14. 根据权利要求8所述的系统安全健康度判定装置，其特征在于，所述系统安全健康 度判定装置，还包括： 发送模块，用于将得到的所述信息系统的安全健康度发送给所述信息系统。
【文档编号】H04L12/24GK104348655SQ201310342173
【公开日】2015年2月11日 申请日期:2013年8月7日 优先权日:2013年8月7日
【发明者】周斌, 徐东山, 付山阳 申请人:腾讯科技（深圳）有限公司