安全态势感知系统和方法与流程

本发明涉及计算机信息安全技术领域，尤其是涉及一种安全态势感知系统和方法。

背景技术：

随着科技的进步，人们的生活越来越和网络分不开，人们在登录不同网站或者电子邮箱时，都具有不同的用户名和密码，而且，在网站或者电子邮箱中通常记载着个人和企业的信息，这些个人和企业的信息不应该被公众所知，所以，如果这些个人和企业的信息被盗取，将会给个人和企业带来很大的麻烦，所以，密码安全无论是对个人还是对企业都是非常重要的。

而且，网络安全法的出台，安全态势感知也成为网络安全的热点。密码安全态势感知做信息安全中重要组成部门，现有技术中，密码安全态势报告通常只采集局部的数据进行汇总，由于局部地域和外部环境的不同，所以可信度不高且缺少全面性。而且生成密码安全态势报告的数据来源不严谨，导致生成的密码安全态势不真实，且数据难以回溯，不利于明晰安全责任。

技术实现要素：

有鉴于此，本发明的目的在于提供安全态势感知系统和方法，将生成密码安全态势报告的密码数据的获取来源，进行接入身份认证，只采集通过接入身份认证的设备的密码数据，这样能够提高密码数据的真实性，同时，利用关于密码的大数据中基于系统用户角色的不同生成不同的密码安全态势报告，增强了密码安全态势报告的可信度，且有助于实现科学决策，提升决策效率和针对性。

第一方面，本发明实施例提供了一种安全态势感知系统，包括：接入认证模块，用于将具有密码的设备进行接入身份认证；数据采集模块，所述数据采集模块与所述接入认证模块相连，用于采集通过接入身份认证的所述具有密码的设备的密码数据；决策管理模块，所述决策管理模块与所述数据采集模块相连，用于根据所述密码数据，基于系统用户角色的不同生成不同的密码安全态势报告；数据展示模块，所述数据展示模块与所述决策管理模块相连，用于展示所述密码安全态势报告。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，所述决策管理模块，包括：监测子模块，用于监测密码数据的变化情况；异常行为分析子模块，用于对密码数据进行分析并挖掘信息以辅助发现安全风险事件；安全事件追踪子模块，用于对安全事件进行追踪，确定安全事件的攻击路径以为用户采取防范措施提供依据；评分子模块，用于对密码数据的业务应用安全情况进行风险分析和评估。

结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，其中，所述监测子模块还用于回溯攻击历史，对安全事件预测。

结合第一方面，本发明实施例提供了第一方面的第三种可能的实施方式，其中，所述数据展示模块还用于展示密码资源信息、安全应急响应信息、安全防御体系、业务系统密码应用信息、安全趋势、网络拓扑、安全评分情况。

结合第一方面，本发明实施例提供了第一方面的第四种可能的实施方式，其中，所述数据展示模块还用于采用驾驶舱的方式展示多维度的密码数据的仪表盘。

结合第一方面，本发明实施例提供了第一方面的第五种可能的实施方式，其中，还包括：采集数据来源分析模块，所述采集数据来源分析模块与所述数据采集模块相连，用于对采集的密码数据进行分析汇总、统计、管理。

结合第一方面，本发明实施例提供了第一方面的第六种可能的实施方式，其中，还包括：数据中心模块，所述数据中心模块与所述接入认证模块、数据采集模块、决策管理模块、数据展示模块相连，包括：数据建模管理子模块，知识库管理子模块，密码资源管理子模块，密码应用数据管理子模块。

结合第一方面，本发明实施例提供了第一方面的第七种可能的实施方式，其中，所述接入认证模块具体用于根据安全等级进行认证。

结合第一方面，本发明实施例提供了第一方面的第八种可能的实施方式，其中，还包括：系统管理模块，用于对用户、角色、模板、权限、日志、审计、配置、远程监控、安全通信、密码资源。

第二方面，本发明实施例还提供一种安全态势感知方法，包括：将具有密码的设备进行接入身份认证；采集通过接入认证的所述具有密码的设备的密码数据；根据所述密码数据，基于系统用户角色的不同生成不同的密码安全态势报告；展示所述密码安全态势报告。

本发明实施例带来了以下有益效果：将生成密码安全态势报告的密码数据的获取来源，进行接入身份认证，只采集通过接入身份认证的设备的密码数据，这样能够提高密码数据的真实性，同时，利用关于密码的大数据中基于系统用户角色的不同生成不同的密码安全态势报告，增强了密码安全态势报告的可信度。

本发明的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一个实施例提供的安全态势感知系统的结构图；

图2为本发明另一个实施例提供的安全态势感知系统的结构图；

图3为本发明一个实施例提供的安全态势感知系统的组成部分示意图；

图4为本发明一个实施例提供的安全态势感知方法的流程图。

图标：

100-安全态势感知系统；110-接入认证模块；120-数据采集模块；130-决策管理模块；140-数据展示模块；131-监测子模块；132-异常行为分析子模块；133-安全事件追踪子模块；134-评分子模块。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

目前，网络安全法的出台，安全态势感知也成为网络安全的热点。密码安全态势感知做信息安全中重要组成部门，现有技术中，密码安全态势报告通常只采集局部的数据进行汇总，由于局部地域和外部环境等等的不同，所以可信度不高。而且生成密码安全态势报告的数据来源不严谨，导致生成的密码安全态势不真实，基于此，本发明实施例提供的一种安全态势感知系统和方法，将生成密码安全态势报告的密码数据的获取来源，进行接入身份认证，只采集通过接入身份认证的设备的密码数据，这样能够提高密码数据的真实性，同时，利用关于密码的大数据中基于系统用户角色的不同生成不同的密码安全态势报告，增强了密码安全态势报告的可信度，且有助于实现科学决策，提升决策效率和针对性。

为便于对本实施例进行理解，首先对本发明实施例所公开的一种安全态势感知系统100进行详细介绍，参见图1所示，包括：接入认证模块110、数据采集模块120、决策管理模块130、数据展示模块140。

其中，接入认证模块110用于将具有密码的设备进行接入身份认证。数据采集模块120与接入认证模块110相连，用于采集通过接入身份认证的具有密码的设备的密码数据。决策管理模块130与数据采集模块120相连，用于根据密码数据，基于系统用户角色的不同生成不同的密码安全态势报告。数据展示模块140与决策管理模块130相连，用于展示密码安全态势报告。

其中，具有密码的设备为密码设备、应用密码技术的设备、应用密码技术的系统等等。例如：安装有密码芯片、数字证书、密码卡等等的设备或者系统。

具体来说，数据采集模块120：采用通信技术，采集具有密码的设备其中，密码数据包括：加解密运算数据、签名验签数据、数字证书使用数据、密码设备性能数据、密码应用数据、业务系统中密码相关交互数据、安全设备与密码类产品间交互数据、时间戳应用数据、数字信封应用数据、电子签名应用数据、电子印章应用数据等密码数据。其中，数据采集模块120可以为各类采集传感器、插件或者控件。

其中，密码安全态势报告，是一定时间内对整个安全环境因素的获取，理解和对未来短期的预测报告。它通过态势要素获取，获得必要的数据，然后通过数据分析进行态势理解，进而实现对未来一段时间内的态势预测。

在一些实施例中，接入认证模块110具体用于根据安全等级进行认证。

具体来说，采用密码技术对所有接入安全态势感知系统100的具有密码的设备进行接入身份认证，其中，可以采用传统的认证方式，可以采用还可以安全等级进行认证方式。传统的认证方式可以有用户输入口令或者密码等，用户所拥有的印章或者智能卡等等，用户的生物特性，例如指纹、声音、视网膜、签字、笔迹等等。对于安全等级进行认证，将不同的设备分成不同的安全等级，即：一级、二级、三级等等，等级越高认证越严格。例如：第二等级，首先进行用户登录，即用户名和密码，然后进行身份证验证。

结合图2所示，决策管理模块130，包括：监测子模块131、异常行为分析子模块132、安全事件追踪子模块133、评分子模块134。

其中，监测子模块131用于监测密码数据的变化情况。异常行为分析子模块132用于对密码数据进行分析并挖掘信息以辅助发现安全风险事件。安全事件追踪子模块133用于对安全事件进行追踪，确定安全事件的攻击路径以为用户采取防范措施提供依据。评分子模块134用于对密码数据的业务应用安全情况进行风险分析和评估。

其中，密码安全态势报告可以将监测子模块131得到的结果、异常行为分析子模块132得到的结果、安全事件追踪子模块133得到的结果、评分子模块134得到的结果至少一个作为密码安全态势报告的内容。

具体来说：监测子模块131监测密码数据变化情况。异常行为分析子模块132，在根据各种安全异构数据、日志，提供安全数据搜索引擎的基础上，充分利用大数据分析的模型算法、机器学习、关联分析、基线等，从海量数据中自动挖掘出有价值的信息，可以帮助发现安全风险。举例：根据各种安全异构数据、日志训练一个分类器，用于根据数据走向分出安全事件，起到预测即将发生的安全事件的作用，将监测的密码数据输入到这个分类器中，如果符合，则说明正在监测的密码数据即将发生安全事件，就可以将这个安全事件报告给用户，提醒用户提前防备。同时，可以对安全事件提供处理建议说明，并对告警事件进行分析和全文检索。其中，异常行为可以包括：系统端到端的通讯异常、可疑身份、数据异样。安全事件追踪子模块133，在发现安全事件后，通过智能分析对任一给定的安全事件进行追踪溯源，确定安全事件的攻击路径，为采取有效防范措施提供科学决策依据。其中，智能分析主要基于正常运行数据的积累，建立监测参数与参数间的关联度，如正相关、负相关、无相关，还有就是运行基线，正常运行状态的数据波动。安全事件主要是发现与正常情况不一样的地方。评分子模块134用于采用评级评分方式对业务应用安全情况进行风险分析和评估。

在一些实施例中，监测子模块131还用于回溯攻击历史，对安全事件预测。具体来说，回溯攻击历史，发现潜在的入侵和高隐蔽性攻击，预测即将发生的安全事件。

在一些实施例中，数据展示模块140还用于展示密码资源信息、安全应急响应信息、安全防御体系、业务系统密码应用信息、安全趋势、网络拓扑、安全评分情况。

在一些实施例中，数据展示模块140还用于采用驾驶舱的方式展示多维度的密码数据的仪表盘。

采用“驾驶舱”方式，能够聚焦密码应用安全空间的关键安全要素，构建多维度的安全数据仪表盘，涵盖安全监控的重点环节，反映密码应用实时运行及安全状态，将数据真实、形象、直观的呈现给使用者并及时了解安全状态。

在一些实施例中，还包括：采集数据来源分析模块，采集数据来源分析模块与数据采集模块120相连，用于对采集的密码数据进行分析汇总、统计、管理。

具体来说，采集数据来源分析模块对具有密码的设备进行分类汇总、统计、管理，数据来源主要有服务器密码机、时间戳服务器、签名验证服务器、密码卡、数字证书管理CA系统，数字证书注册管理息系统、移动终端。

在一些实施例中，还包括：数据中心模块，数据中心模块与接入认证模块110、数据采集模块120、决策管理模块130、数据展示模块140相连，包括：数据建模管理子模块，知识库管理子模块，密码资源管理子模块，密码应用数据管理子模块。

具体来说，数据中心模块，即为该系统100的数据库，为接入认证模块110、数据采集模块120、决策管理模块130、数据展示模块140提供支持，达到数据资源的共享。例如：数据中心模块为接入认证模块110提供认证的技术支持，数据中心模块可以存储数据采集模块120采集的密码数据，数据中心模块可以为决策管理模块130提供数据支持、数据中心模块可以存储数据展示模块140的结果，以便用户能够查看以往展示结果。

结合图3所示，数据中心模块与数据采集模块120通过传输层进行数据传输，传输的方法包括：物理传输网络和无线传输网络。

其中，数据建模管理子模块用于建立该系统100的模型，知识库管理子模块用于管理密码学、密码学有关的知识以及历史数据，其中历史数据至少包括历史经验教训，密码资源管理子模块用于管理数据采集模块120采集到的数据，例如：进行分类、分区、分角色的管理，密码应用数据管理子模块用于管理密码应用数据，即数据采集模块120采集到的密码数据中关于密码应用数据的管理的模块。

在一些实施例中，还包括：系统管理模块，用于对用户、角色、模板、权限、日志、审计、配置、远程监控、安全通信、密码资源。

具体来说，系统管理模块与决策管理模块130相连，结合图3所示，用户可以根据自己身份的不同，请求决策管理模块130得到不同的密码安全态势报告，其中，用户包括：操作人员、维护人员、各级领导、政府职能部门等等。

结合图3所示，本发明的一个实施例的系统100的工作原理为：数据采集模块120的采集层可以分布于不同基础设施层中，然后，数据采集模块120通过传输层将数据存储于数据中心模块中，用户将用户请求发送至决策管理模块130中，决策管理模块130从数据中心模块调取用户所需要的相关历史数据，根据相关历史数据，按照用户的具体要求，生成关于历史数据的密码安全态势报告，然后将这个密码安全态势报告传输至数据展示模块140，将密码安全态势报告展示出来，以便用户能够清楚地看到。

或者，用户将用户请求发送至决策管理模块130中，决策管理模块130根据密码数据，按照用户的具体要求，采集相应的密码设备的密码数据，生成密码安全态势报告，然后将这个密码安全态势报告传输至数据展示模块140，将密码安全态势报告展示出来。举例：某公司想要看自己公司的密码安全态势报告，则，某公司向系统100发送请求，然后布置在该公司的各类传感器中采集该公司的数据，然后根据该数据生成实时的密码安全态势报告，然后将这个密码安全态势报告传输至数据展示模块140，将密码安全态势报告展示出来。

参见图4所示，安全态势感知方法，包括：

S210：将具有密码的设备进行接入身份认证。

S220：采集通过接入认证的具有密码的设备的密码数据。

S230：根据密码数据，基于系统用户角色的不同生成不同的密码安全态势报告。

S240：展示密码安全态势报告。

本发明实施例所提供的方法，其实现原理及产生的技术效果和前述系统实施例相同，为简要描述，方法实施例部分未提及之处，可参考前述系统实施例中相应内容。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。

在这里示出和描述的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制，因此，示例性实施例的其他示例可以具有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本发明实施例的描述中，除非另有明确的规定和限定，术语“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。