一种系统安全监测方法、装置、存储介质及电子设备与流程

1.本申请涉及信息安全领域，具体而言，涉及一种系统安全监测方法、装置、存储介质及电子设备。


背景技术：

2.随着社会的发展和科学的进步，互联网被广泛地应用到各行各业。互联网的重要组成部分就包括由服务器和客户端组成的各种信息系统。信息系统的安全性直接会影响互联网用户的信息的安全性。所以需要对信息系统中的终端进行等级保护安全检查。
3.等级保护安全检查是信息安全工作的重要环节，网安和行业监管部门需要遵循等级保护有关法规政策，定期对备案单位的信息系统进行安全合规检查。传统的定期上门对被监测单位进行安全检查的方式，耗时耗力不方便，不能满足网络安全监管工作的最新要求，也无法动态掌握辖区内重要信息系统和网站的最新安全状况。


技术实现要素：

4.本申请的目的在于提供一种系统安全监测方法、装置、存储介质及电子设备，以至少部分改善上述问题。
5.为了实现上述目的，本申请实施例采用的技术方案如下：
6.第一方面，本申请实施例提供一种系统安全监测方法，所述方法包括：
7.依据任务工单向目标终端发送监测请求，其中，所述任务工单包括至少一项监测项目，所述监测项目为漏洞探测项目、系统信息获取项目或配置信息获取项目，监测请求包含对应的监测项目的特征标识；
8.获取所述目标终端反馈的监测结果，其中，不同的监测结果分别对应不同的监测项目，监测结果包含对应的监测项目的特征标识；
9.当监测结果为异常状态时，判断监测结果对应的监测项目是否为例外项目；
10.若否，则生成告警要点，将所述告警要点传输给与所述监测结果对应的客户端，其中，所述告警要点包括为异常状态的监测结果和对应的监测项目。
11.第二方面，本申请实施例提供一种系统安全监测装置，所述装置包括：
12.监测中心模块，用于依据任务工单向目标终端发送监测请求，其中，所述任务工单包括至少一项监测项目，所述监测项目为漏洞探测项目、系统信息获取项目或配置信息获取项目，监测请求包含对应的监测项目的特征标识；
13.所述监测中心模块还用于获取所述目标终端反馈的监测结果，其中，不同的监测结果分别对应不同的监测项目，监测结果包含对应的监测项目的特征标识；
14.所述监测中心模块还用于当监测结果为异常状态时，判断监测结果对应的监测项目是否为例外项目；
15.若否，告警中心模块用于生成告警要点，将所述告警要点传输给与所述监测结果对应的客户端，其中，所述告警要点包括为异常状态的监测结果和对应的监测项目。
16.第三方面，本申请实施例提供一种存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述的方法。
17.第四方面，本申请实施例提供一种电子设备，所述电子设备包括：处理器和存储器，所述存储器用于存储一个或多个程序；当所述一个或多个程序被所述处理器执行时，实现上述的方法。
18.相对于现有技术，本申请实施例所提供的一种系统安全监测方法、装置、存储介质及电子设备中，依据任务工单向目标终端发送监测请求，其中，任务工单包括至少一项监测项目，监测项目为漏洞探测项目、系统信息获取项目或配置信息获取项目，监测请求包含对应的监测项目的特征标识；获取目标终端反馈的监测结果，其中，不同的监测结果分别对应不同的监测项目，监测结果包含对应的监测项目的特征标识；当监测结果为异常状态时，判断监测结果对应的监测项目是否为例外项目；若否，则生成告警要点，将告警要点传输给与监测结果对应的客户端。通过向对应的客户端推送告警要点，提醒客户端的使用者或管理者注意为异常状态的监测结果和对应的监测项目，及时进行维护，从而避免出现安全事故。
19.为使本申请的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。
附图说明
20.为了更清楚地说明本申请实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它相关的附图。
21.图1为本申请实施例提供的电子设备的结构示意图；
22.图2为本申请实施例提供的系统安全监测方法的流程示意图；
23.图3为本申请实施例提供的s105的子步骤示意图；
24.图4为本申请实施例提供的系统安全监测方法的流程示意图之一；
25.图5为本申请实施例提供的系统安全监测方法的流程示意图之一；
26.图6为本申请实施例提供的系统安全监测装置的模块示意图。
27.图中：10
‑
处理器；11
‑
存储器；12
‑
总线；13
‑
通信接口；201
‑
监测中心模块；202
‑
告警中心模块。
具体实施方式
28.为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
29.因此，以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。
30.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本申请的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
31.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
32.在本申请的描述中，需要说明的是，术语“上”、“下”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，或者是该申请产品使用时惯常摆放的方位或位置关系，仅是为了便于描述本申请和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本申请的限制。
33.在本申请的描述中，还需要说明的是，除非另有明确的规定和限定，术语“设置”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本申请中的具体含义。
34.下面结合附图，对本申请的一些实施方式作详细说明。在不冲突的情况下，下述的实施例及实施例中的特征可以相互组合。
35.本申请实施例中的等级保护检查和监测系统为一个可以对等保对象安全等级保护合规性进行测试、评估和监测的系统。等级保护测评是经相关部门认证的具有资质的测评机构，依据国家信息安全等级保护规范规定，受有关单位委托，按照有关管理规范和技术标准，对信息系统安全等级保护状况进行检测评估的活动。等级保护对象为等级保护检查和监测系统要进行检查和评估的目标，可以是一个服务器、一个网络设备、一个业务系统等形态。等级保护检查知识库包括等级保护检查的标准和依据，内部根据等级保护级别不同、技术和管理方向不同，分为多个级别、多种门类的检查项目。
36.本申请实施例提供了一种电子设备，可以是服务器设备或系统云。请参照图1，电子设备的结构示意图。电子设备包括处理器10、存储器11、总线12。处理器10、存储器11通过总线12连接，处理器10用于执行存储器11中存储的可执行模块，例如计算机程序。
37.处理器10可以是一种集成电路芯片，具有信号的处理能力。在实现过程中，系统安全监测方法的各步骤可以通过处理器10中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器10可以是通用处理器，包括中央处理器(central processing unit，简称cpu)、网络处理器(network processor，简称np)等；还可以是数字信号处理器(digital signal processor，简称dsp)、专用集成电路(application specific integrated circuit，简称asic)、现场可编程门阵列(field－programmable gate array，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
38.存储器11可能包含高速随机存取存储器(ram：random access memory)，也可能还
包括非不稳定的存储器(non
‑
volatile memory)，例如至少一个磁盘存储器。
39.总线12可以是isa(industry standard architecture)总线、pci(peripheral component interconnect)总线或eisa(extended industry standard architecture)总线等。图1中仅用一个双向箭头表示，但并不表示仅有一根总线12或一种类型的总线12。
40.存储器11用于存储程序，例如系统安全监测装置对应的程序。系统安全监测装置包括至少一个可以软件或固件(firmware)的形式存储于存储器11中或固化在电子设备的操作系统(operating system，os)中的软件功能模块。处理器10在接收到执行指令后，执行所述程序以实现系统安全监测方法。
41.可能地，本申请实施例提供的电子设备还包括通信接口13。通信接口13通过总线与处理器10连接。电子设备可以通过通信接口13与其他终端，例如客户端，进行通讯。
42.应当理解的是，图1所示的结构仅为电子设备的部分的结构示意图，电子设备还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
43.本发明实施例提供的一种系统安全监测方法，可以但不限于应用于图1所示的电子设备，具体的流程，请参考图2：
44.s104，依据任务工单向目标终端发送监测请求。
45.其中，任务工单包括至少一项监测项目，监测项目为漏洞探测项目、系统信息获取项目或配置信息获取项目，监测请求包含对应的监测项目的特征标识。
46.可选地，目标终端可以为前文所述的等级保护对象。监测项目的特征标识可以为名称或序号。
47.s105，获取目标终端反馈的监测结果。
48.其中，不同的监测结果分别对应不同的监测项目，监测结果包含对应的监测项目的特征标识。
49.可选地，监测结果包含对应的监测项目所需要监测的数据信息或属性信息。通过向目标终端发送监测请求，获取对应的监测项目所需要监测的数据信息或属性信息，从而完成对目标终端中的所有资产的常规监测。
50.s106，当监测结果为异常状态时，判断监测结果对应的监测项目是否为例外项目。若是，则执行s108；若否，则执行s107。
51.具体地，当监测结果为异常状态时，且监测结果对应的监测项目为非例外项目时，表征该监测项目需要被正常告警，此时执行s107。反之，当监测结果对应的监测项目为例外项目时，则执行s108。
52.s107，生成告警要点，将告警要点传输给与监测结果对应的客户端。
53.其中，告警要点包括为异常状态的监测结果和对应的监测项目。
54.可选地，通过向对应的客户端推送告警要点，提醒客户端的使用者或管理者注意为异常状态的监测结果和对应的监测项目，及时进行维护，从而避免出现安全事故。
55.s108，忽略异常状态。
56.可选地，当监测结果对应的监测项目为例外项目时，其可能不具备对系统安全运行的影响，该监测结果对于的异常状态不需要处理，为了避免对用户造成干扰，此时忽略该异常状态。
57.综上所述，本申请实施例提供的系统安全监测方法中，依据任务工单向目标终端发送监测请求，其中，任务工单包括至少一项监测项目，监测项目为漏洞探测项目、系统信息获取项目或配置信息获取项目，监测请求包含对应的监测项目的特征标识；获取目标终端反馈的监测结果，其中，不同的监测结果分别对应不同的监测项目，监测结果包含对应的监测项目的特征标识；当监测结果为异常状态时，判断监测结果对应的监测项目是否为例外项目；若否，则生成告警要点，将告警要点传输给与监测结果对应的客户端。通过向对应的客户端推送告警要点，提醒客户端的使用者或管理者注意为异常状态的监测结果和对应的监测项目，及时进行维护，从而避免出现安全事故。
58.可选地，对于目标终端如何生成监测结果，本申请实施例还提供了一种可能的实现方式，请参考下文。
59.目标终端在接收到监测请求时，获取监测请求中包含的对应的监测项目的特征标识。通过本地代理(agent)程序获取与特征标识匹配的监测工具，目标终端运行该监测工具，从而获取监测结果。
60.可选地，目标终端的本地代理(agent)程序依据特征标识向电子设备发送监测工具获取请求，电子设备向目标终端反馈与特征标识对应的监测工具。
61.可选地，在生成告警要点后，关于告警要点的存储，本申请实施例还提供了一种可能的实现方式，请参考下文。
62.当告警中心模块收到来监测中心模块的异常提醒时，生成告警要点，将详细的告警要点与结果存储，并通过要点所属信息系统、所属单位和所属检查计划监测任务等进行分组查询聚合，将其展示在对应的用户界面。当收到非首次告警时，会更新原有告警要点的最新告警时间。
63.在图2的基础上，关于s105中的内容，本申请实施例还提供了一种可能的实现方式，请参考图3，s105包括：
64.s105
‑
1，获取目标终端反馈的数据消息。
65.可选地，对数据消息进行解析为标准的xml格式，从而便于提取其中的检查数据。解析后的数据满足知识库入参的数据格式。
66.s105
‑
2，提取数据消息中的特征标识。
67.s105
‑
3，依据特征标识匹配对应的转换关系。
68.可选地，由于有十余种监测工具，每一种工具返回的监测数据格式都是不同的，为了便于后续的统一处理，需要将监测数据与等级保护检查知识库中相应的条目进行比对，确定转换关系，转化成可以表示是否符合等级保护检查要求的统一的、唯一的值。
69.s105
‑
4，依据转换关系将数据消息转换为监测结果。
70.可选地，通过对是否符合等级保护检查要求进行识别和转换就可以确定等保对象相应的监测项目是否符合要求，若不符合要求，则为异常状态，若符合要求，则为非异常状态。
71.在图2的基础上，对于如何设置例外项目，本申请实施例还提供了一种可能的实现方式，请参图4，系统安全监测方法还包括：
72.s102，接收客户端传输的例外项目设置指令。
73.其中，例外项目设置指令包括第一例外特征标识。
74.s103，将特征标识为第一例外特征标识的监测项目标记为例外项目。
75.s109，接收客户端传输的例外项目取消指令。
76.其中，例外项目取消指令包括第二例外特征标识；
77.s110，将特征标识为第二例外特征标识的监测项目标记为非例外项目。
78.可选地，s109可以在s103之后任意时间内执行。图4中示出的在s108之后执行s109只是一种可能的实现方式，并不以此作为限定。
79.在图2的基础上，关于如何获取任务工单，本申请实施例还提供了一种可能的实现方式，请参考图5，系统安全监测方法还包括：
80.s101，接收客户端传输的任务工单。
81.其中，任务工单包括监测周期。
82.s104包括：
83.s104
‑
1，每隔监测周期依据任务工单向目标终端发送监测请求。
84.可选地，在接收到客户端传输的任务工单后，提取监测周期，通过计划任务(cron)表达式转换成计算机识别的监测周期。
85.本申请实施例提供的系统安全监测方法中，可以实现每日、每周、每月等周期性自动对等保对象进行监测的目的，实时将安全告警要点推送给用户，便于用户根据监测结果发现和解决问题。通过在线实时监测，有效提升检查效率，扭转当前的安全检查变为事件发生后补漏的被动局面，提前采取预防措施。
86.请参阅图6，图6为本申请实施例提供的一种系统安全监测装置，可选的，该系统安全监测装置被应用于上文所述的电子设备。
87.系统安全监测装置包括：监测中心模块201和告警中心模块202。
88.监测中心模块201，用于依据任务工单向目标终端发送监测请求，其中，任务工单包括至少一项监测项目，监测项目为漏洞探测项目、系统信息获取项目或配置信息获取项目，监测请求包含对应的监测项目的特征标识。
89.监测中心模块201还用于获取目标终端反馈的监测结果，其中，不同的监测结果分别对应不同的监测项目，监测结果包含对应的监测项目的特征标识。
90.监测中心模块201还用于当监测结果为异常状态时，判断监测结果对应的监测项目是否为例外项目。
91.可选地，监测中心模块201可以执行上述的s104至s106。
92.若否，告警中心模块202用于生成告警要点，将告警要点传输给与监测结果对应的客户端，其中，告警要点包括为异常状态的监测结果和对应的监测项目。可选地，告警中心模块202可以执行上述的s107和s108。
93.可选地，监测中心模块201还用于获取目标终端反馈的数据消息；提取数据消息中的特征标识；依据特征标识匹配对应的转换关系；依据转换关系将数据消息转换为监测结果。监测中心模块201可以执行上述的s104
‑
1至s104
‑
4。
94.需要说明的是，本实施例所提供的系统安全监测装置，其可以执行上述方法流程实施例所示的方法流程，以实现对应的技术效果。为简要描述，本实施例部分未提及之处，可参考上述的实施例中相应内容。
95.本发明实施例还提供了一种存储介质，该存储介质存储有计算机指令、程序，该计
算机指令、程序在被读取并运行时执行上述实施例的系统安全监测方法。该存储介质可以包括内存、闪存、寄存器或者其结合等。
96.下面提供一种电子设备，可以是服务器设备或系统云，该系电子设备如图1所示，可以实现上述的系统安全监测方法；具体的，该电子设备包括：处理器10，存储器11、总线12。处理器10可以是cpu。存储器11用于存储一个或多个程序，当一个或多个程序被处理器10执行时，执行上述实施例的系统安全监测方法。
97.在本申请所提供的实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
98.另外，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
99.所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read
‑
only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
100.以上所述仅为本申请的优选实施例而已，并不用于限制本申请，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。
101.对于本领域技术人员而言，显然本申请不限于上述示范性实施例的细节，而且在不背离本申请的精神或基本特征的情况下，能够以其它的具体形式实现本申请。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本申请的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。