管理信息安全规范库的方法和装置与流程

文档序号：12376554阅读：218来源：国知局

本发明涉及通信领域，尤其涉及一种管理信息安全规范库的方法和装置。

背景技术：

网络安全性正受到越来越普遍的关注，一方面因为网络入侵事件经常发生，另一方面由于网络安全性技术的大量涌现。如何利用网络安全性技术保护企业网络系统的安全成为大家所关心的问题。网络的安全性不是单纯的技术问题，它和系统的管理维护制度等方面密切相关。整个网络系统的安全性不仅依赖于安全可靠的网络操作、应用系统和网络设备的安全性，还依赖制定完整的安全策略。

完整的网络系统安全策略涵盖的内容很多，例如反病毒、备份、内容过滤、防火墙、端点加密、反恶意软件工具等技术控制手段应当在安全策略中涉及到对这些技术的控制，并应当描述如何实施这些控制来保护单位的资源。问题是一些企业存在对安全管理不重视或者网络安全管理员自身安全领域相关知识匮乏，导致整个企业安全策略不完善，存在可能被黑客利用的漏洞，严重威胁到企业网络安全。

现有的技术多为对配置的核查与改进，缺乏对策略规范库的管理，因此如何管理现有安全策略规范库是亟待解决的问题。

技术实现要素：

本发明提供一种管理信息安全规范库的方法和装置，要解决的技术问题是如何实现对信息安全规范库的管理。

为解决上述技术问题，本发明提供了如下技术方案：

一种管理信息安全规范库的方法，包括：利用信息安全规范库中的第一规范和第二规范对相同的配置信息进行核查，得到第一核查结果和第二核查结果；对比所述第一核查结果和第二核查结果，得到比较结果；根据所述比较结果，确定所述第一规范和第二规范的差异信息；根据所述差异信息，输出对所述信息安全规范库中的所述第一规范和所述第二规范的管理信息。

其中，所述根据所述比较结果，确定所述第一规范和第二规范的差异信息，包括：

根据所述比较结果，获取所述配置信息分别在所述第一规范和第二规范中不遵从的核查条目；

根据得到的核查条目，得到所述第一规范和第二规范的差异信息。

其中，所述根据得到的核查条目，得到所述第一规范和第二规范的差异信息之后，所述方法还包括：

利用预先存储的评估模板，对所述核查条件进行评估，确定所述配置信息对不遵从所述核查条目时造成不同遵从程度的原因；

根据得到的原因，查找所述原因对应的建议信息；

输出所述建议信息。

其中，根据所述比较结果，确定所述第一规范和第二规范的差异信息之后，所述方法还包括：

通知将接收到的核查条目更新到所述信息安全规范库的模板中；或者，

通知对所述信息安全规范库的模板中已有的核查条目进行删除操作；或者，

通知对所述信息安全规范库中已有的核查条目进行修改操作。

其中，所述配置信息为预先存储的配置信息或者随机采集得到的配置信息。

一种管理信息安全规范库的装置，包括：核查模块，用于利用信息安全规范库中的第一规范和第二规范对相同的配置信息进行核查，得到第一核查结果和第二核查结果；对比模块，用于对比所述第一核查结果和第二核查结果，得到比较结果；第一确定模块，用于根据所述比较结果，确定所述第一规范和第二规范的差异信息；第一输出模块，用于根据所述差异信息，输出对所述信息安全规范库中的所述第一规范和所述第二规范的管理信息。

其中，所述第一确定模块包括：

获取单元，用于根据所述比较结果，获取所述配置信息分别在所述第一规范和第二规范中不遵从的核查条目；

确定单元，用于根据得到的核查条目，得到所述第一规范和第二规范的差异信息。

其中，所述装置还包括：

第二确定模块，用于利用预先存储的评估模板，对所述核查条件进行评估，确定所述配置信息对不遵从所述核查条目时造成不同遵从程度的原因；

查找模块，用于根据得到的原因，查找所述原因对应的建议信息；

第二输出模块，用于输出所述建议信息。

其中，所述装置还包括：

通知模块，用于通知将接收到的核查条目更新到所述信息安全规范库的模板中；或者，通知对所述信息安全规范库的模板中已有的核查条目进行删除操作；或者，通知对所述信息安全规范库中已有的核查条目进行修改操作。

其中，所述配置信息为预先存储的配置信息或者随机采集得到的配置信息。

本发明提供的实施例，利用第一规范和第二规范对相同的配置信息进行核查，得到第一核查结果和第二核查结果，并对比第一核查结果和第二核查结果，得到比较结果，再根据所述比较结果，确定所述第一规范和第二规范的差异信息，根据所述差异信息，输出对所述信息安全规范库中的所述第一规范和所述第二规范的管理信息，方便用户获知规范之间的差异，为日后进一步完善规范提供了依据。

附图说明

图1为本发明提供的管理信息安全规范库的方法的流程图；

图2为本发明实施例一提供的管理信息安全规范库的方法的流程图；

图3为本发明实施例二提供的管理信息安全规范库的方法的流程图；

图4为本发明实施例三提供的管理信息安全规范库的方法的流程图；

图5为本发明提供的管理信息安全规范库的装置的结构图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图及具体实施例对本发明作进一步的详细描述。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

图1为本发明提供的管理信息安全规范库的方法的流程图。图1所示方法包括：

步骤101、利用信息安全规范库中的第一规范和第二规范对相同的配置信息进行核查，得到第一核查结果和第二核查结果；

步骤102、对比所述第一核查结果和第二核查结果，得到比较结果；

步骤103、根据所述比较结果，确定所述第一规范和第二规范的差异信息；

步骤104、根据所述差异信息，输出对所述信息安全规范库中的所述第一规范和所述第二规范的管理信息。

本发明提供的方法，利用第一规范和第二规范对相同的配置信息进行核查，得到第一核查结果和第二核查结果，并对比第一核查结果和第二核查结果，得到比较结果，再根据所述比较结果，确定所述第一规范和第二规范的差异信息，根据所述差异信息，输出对所述信息安全规范库中的所述第一规范和所述第二规范的管理信息，方便用户获知规范之间的差异，为日后进一步完善规范提供了依据。

在实际应用中，信息测量规划库库包含各种丰富的知识规范库，既包含标准规范库，例如各种风险库、合规库、基线库等，也包含用户自定义的规范库，例如安全管理策略库等，这些核查库和核查条目可以从不同维度为设备、装置或系统提供不同需求的核查。

上文所说的配置信息为设备、装置或系统的配置信息。配置可以通过例如配置命令远程采集设备、装置或系统获取，或者从设备、装置或系统的维护管理设备上获取，或者本地构建或生成设备、装置或系统的配置信息文件。

可以为配置信息选择多个不同的信息安全策略库，进行配置核查。例如，为配置选择两种不同的规范进行配置核查。将配置中的配置信息，根据规范1中的配置核查条目进行核查，依据配置核查条目检测相关配置信息的遵从程度，生成配置核查结果。同样，将配置中的配置信息，根据规范2中的配置核查条目进行核查，依据配置核查条目检测相关配置信息的遵从程度，生成配置核查结果。

将上述配置核查结果进行对比，比较同一配置信息针对两种不同规范的遵从程度。例如，不同规范包含的配置核查条目可能会不同，因此同一配置信息对不同规范的核查有不同的遵从程度，安全策略管控设备可以分析造成不同遵从程度的原因，找出不同规范间的差异，例如，不遵从条目间是否存在范围太宽，某些条目对应内容是否有更高风险、是否存在更大漏洞等，展示给用户参考决策。可选地，支持根据实际网络安全需求将核查条目更新到规范库模版中，这里的规范库模版既可以是标准规范模版，也可以是自定义的规范模版。从而完善规范库功能。

下面对本发明提供的方法作进一步说明：

实施例一

图2为本发明实施例一提供的管理信息安全规范库的方法的流程图。在此实施例中，策略管控设备不仅可以对核查对比分析给出合理建议，同时还支持配置的变更，如图2所示：

为配置选择多个不同的知识库，进行配置核查。例如，为配置选择两种不同的规范进行配置核查，这里选择核查用的规范模版既可以包含需要改进更新的模版，也可以不包含。将配置中的配置信息，根据规范1中的配置核查条目进行核查，依据配置核查条目检测相关配置信息的遵从程度，生成配置核查结果。同样，将配置中的配置信息，根据规范2中的配置核查条目进行核查，依据配置核查条目检测相关配置信息的遵从程度，生成配置核查结果。

将上述配置核查结果进行对比，比较同一配置信息针对两种不同规范的遵从程度。具体来说，根据所述比较结果，获取所述配置信息分别在所述第一规范和第二规范中不遵从的核查条目；根据得到的核查条目，得到所述第一规范和第二规范的差异信息。例如，不同规范包含的配置核查条目可能会不同，因此同一配置信息对不同规范的核查会有不同的遵从程度，可以将不遵从条目整理展示。安全策略管控设备评估分析功能是根据评估模版对不遵从条目分析造成不同遵从程度的原因，找出不同规范间的差异，例如，不遵从条目间是否存在范围太宽，某些条目对应内容是否有更高风险、是否存在更大漏洞等，展示给用户参考决策。

进一步的，利用预先存储的评估模板，对所述核查条件进行评估，确定所述配置信息对不遵从所述核查条目时造成不同遵从程度的原因；根据得到的原因，查找所述原因对应的建议信息；输出所述建议信息。

其中，建议信息可以是预先存储的，在确定原因后，通过查找对应建议信息，并将查找到的建议信息输出给用户，为用户进一步完善信息安全规范库提供了帮助。

可选地，支持规范库的改进。例如，可以根据实际网络安全需求，将上述存在更高风险的核查条目更新到规范库模版中，或者删除规范库模版中不必要的核查条目，当然还可以对规划库模块中核查条目进行变更。具体说明如下：

1)本地给策略管控设备发送更新规范库请求。例如，要添加核查条目到规范库中，可以给策略管控设备发送一个添加规范库条目的请求，请求内容包含：添加操作码+要操作的规范库ID+添加条目序号+添加的具体条目内容；要修改原规范中条目，可以给策略管控设备发送一个修改规范库条目的请求，请求内容包含：修改操作码+要操作的规范库ID+修改的条目序号+修改的具体条目内容；同样要删除原规范中条目，可以给策略管控设备发送一个删除规范库条目的请求，请求内容包含：删除操作码+要操作的规范库ID+删除的条目序号(该序号为唯一标识号)。

2)接收并响应变更请求。例如，策略管控设备对收到的请求进行解析，得到内容是需要添加条目到某规范库中，策略管控设备会调用该规范库并执行添加操作。这里需要改进的规范库模版既可以是标准规范模版，也可以是自定义的规范模版。

可选地，支持配置变更功能。例如，对于上述核查结果为不遵从的配置项，安全策略管控设备根据核查结果中的建议，支持对配置的变更，可以是添加、修改、删除配置等。将变更后的配置信息下发，例如可以本地构建配置文件下发到设备、装置或系统上，也可以直接远程设备、装置或系统，下发配置命令，使其变更为符合核查条目的配置信息。

本发明实施例一提供的方法，利用第一规范和第二规范对相同的配置信息进行核查，得到第一核查结果和第二核查结果，并对比第一核查结果和第二核查结果，得到比较结果，再根据所述比较结果，确定所述第一规范和第二规范的差异信息，根据所述差异信息，输出对所述信息安全规范库中的所述第一规范和所述第二规范的管理信息，方便用户获知规范之间的差异，为日后进一步完善规范提供了依据；通过确定第一规范和第二规范之间的差异，根据该差异提出建议信息，方便用户进一步完善规范，另外，通过对配置信息的变更，可以有效提高配置信息的准确性。

实施例二

图3为本发明实施例二提供的管理信息安全规范库的方法的流程图。在此实施例中，策略管控设备可以支持通过采集的配置进行核查对比分析的方法，如图3所示：

图3中采集的配置为设备、装置或系统的配置信息。例如，可以通过配置命令远程登录设备、装置或系统采集获取，或者从设备、装置或系统的维护管理设备上获取。

将上述配置核查结果进行对比，比较同一配置信息针对两种不同规范的遵从程度。例如，不同规范包含的配置核查条目可能会不同，因此同一配置信息对不同规范的核查会有不同的遵从程度，可以将不遵从条目整理展示。安全策略管控设备评估分析功能是根据评估模版对不遵从条目分析造成不同遵从程度的原因，找出不同规范间的差异，例如，不遵从条目间是否存在范围太宽，某些条目对应内容是否有更高风险、是否存在更大漏洞等，展示给用户参考决策。

可选地，支持规范库的改进。例如，可以根据实际网络安全需求，将上述存在更高风险的核查条目更新到规范库模版中，或者删除规范库模版中不必要的核查条目，当然还可以对规划库模块中核查条目进行变更。步骤可以如下：

1)给策略管控设备发送更新规范库请求。例如，要添加核查条目到规范库中，可以给策略管控设备发送一个添加规范库条目的请求，请求内容包含：添加操作码+要操作的规范库ID+添加条目序号+添加的具体条目内容；要修改原规范中条目，可以给策略管控设备发送一个修改规范库条目的请求，请求内容包含：修改操作码+要操作的规范库ID+修改的条目序号+修改的具体条目内容；同样要删除原规范中条目，可以给策略管控设备发送一个删除规范库条目的请求，请求内容包含：删除操作码+要操作的规范库ID+删除的条目序号(该序号为唯一标识号)。

本发明实施例二提供的方法，利用第一规范和第二规范对相同的配置信息进行核查，得到第一核查结果和第二核查结果，并对比第一核查结果和第二核查结果，得到比较结果，再根据所述比较结果，确定所述第一规范和第二规范的差异信息，根据所述差异信息，输出对所述信息安全规范库中的所述第一规范和所述第二规范的管理信息，方便用户获知规范之间的差异，为日后进一步完善规范提供了依据；通过确定第一规范和第二规范之间的差异，根据该差异提出建议信息，方便用户进一步完善规范，另外，通过对配置信息的变更，可以有效提高配置信息的准确性；利用采集得到的配置信息进行核查，提高了数据的随机性，为后续获取管理数据提供了帮助。

实施例三

图4为本发明实施例三提供的管理信息安全规范库的方法的流程图。在此实施例中，策略管控设备可以支持通过计划配置进行核查对比分析，从而增强安全策略规范的方法，如图4所示：

图4中的配置信息为设备、装置或系统的配置信息文件。例如，可以通过本地构建或生成设备、装置或系统的计划配置信息文件。

本发明实施例三提供的方法，利用第一规范和第二规范对相同的配置信息进行核查，得到第一核查结果和第二核查结果，并对比第一核查结果和第二核查结果，得到比较结果，再根据所述比较结果，确定所述第一规范和第二规范的差异信息，根据所述差异信息，输出对所述信息安全规范库中的所述第一规范和所述第二规范的管理信息，方便用户获知规范之间的差异，为日后进一步完善规范提供了依据；通过确定第一规范和第二规范之间的差异，根据该差异提出建议信息，方便用户进一步完善规范，另外，通过对配置信息的变更，可以有效提高配置信息的准确性；通过预先存储的配置信息进行检测，减少了配置数据的采集流程，减少了前期的准备时间，提高了处理速度。

图5为本发明提供的管理信息安全规范库的装置的结构图。图5所示装置包括：

核查模块501，用于利用信息安全规范库中的第一规范和第二规范对相同的配置信息进行核查，得到第一核查结果和第二核查结果；

对比模块502，用于对比所述第一核查结果和第二核查结果，得到比较结果；

第一确定模块503，用于根据所述比较结果，确定所述第一规范和第二规范的差异信息；

第一输出模块504，用于根据所述差异信息，输出对所述信息安全规范库中的所述第一规范和所述第二规范的管理信息。

其中，所述第一确定模块包括：

获取单元，用于根据所述比较结果，获取所述配置信息分别在所述第一规范和第二规范中不遵从的核查条目；

确定单元，用于根据得到的核查条目，得到所述第一规范和第二规范的差异信息。

可选的，所述装置还包括：

第二确定模块，用于利用预先存储的评估模板，对所述核查条件进行评估，确定所述配置信息对不遵从所述核查条目时造成不同遵从程度的原因；

查找模块，用于根据得到的原因，查找所述原因对应的建议信息；

第二输出模块，用于输出所述建议信息。

可选的，所述装置还包括：

可选的，所述配置信息为预先存储的配置信息或者随机采集得到的配置信息。

本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程序流程来实现，所述计算机程序可以存储于一计算机可读存储介质中，所述计算机程序在相应的硬件平台上(如系统、设备、装置、器件等)执行，在执行时，包括方法实施例的步骤之一或其组合。

可选地，上述实施例的全部或部分步骤也可以使用集成电路来实现，这些步骤可以被分别制作成一个个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

上述实施例中的各装置/功能模块/功能单元可以采用通用的计算装置来实现，它们可以集中在单个的计算装置上，也可以分布在多个计算装置所组成的网络上。

上述实施例中的各装置/功能模块/功能单元以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。上述提到的计算机可读取存储介质可以是只读存储器，磁盘或光盘等。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求所述的保护范围为准。

完整全部详细技术资料下载

当前第1页1 2 3

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：滕志猛;蒋璐峥;沈岷;严为;周娜;霍玉臻;
技术所有人：中兴通讯股份有限公司;
我是此专利的发明人

上一篇：一种方便清洗的美耐皿碗具的制作方法与工艺
上一篇：一种胶柔混合印刷机的制作方法与工艺

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。