信息系统安全检测评估与处理系统的制作方法

1.本发明属于信息系统技术领域，尤其涉及信息系统安全检测评估与处理系统。


背景技术：

2.信息系统，是由计算机硬件、网络和通信设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。主要有五个基本功能，即对信息的输入、存储、处理、输出和控制。信息系统经历了简单的数据处理信息系统、孤立的业务管理信息系统、集成的智能信息系统三个发展阶段。
3.信息系统在快速发展过程中，为企业带来便利的同时，也逐渐暴露了安全的问题，因此需要对信息系统进行安全检测评估与处理，现有的信息系统安全检测评估与处理通常是针对信息系统中单个或局部的信息数据资产进行安全检测、评估和处理，而不能够根据信息系统中所有相关联的信息数据资产进行动态检测评估，不能够准确的实现安全威胁的定位与处理，导致无法彻底消除信息系统的安全威胁。


技术实现要素：

4.本发明实施例的目的在于提供信息系统安全检测评估与处理系统，旨在解决背景技术中提出的问题。
5.为实现上述目的，本发明实施例提供如下技术方案：
6.信息系统安全检测评估与处理系统，所述系统包括信息资产识别单元、安全图谱构建单元、安全追溯分析单元、弱点定位分析单元和安全处理检测单元，其中：
7.信息资产识别单元，用于对信息系统中的信息数据进行资产识别，标记所述信息系统中的多个信息数据资产，并从多个所述信息数据资产中标记多个重要信息资产和多个其他信息资产；
8.安全图谱构建单元，用于分析多个所述重要信息资产与多个所述其他信息资产之间的安全联系，构建多个所述重要信息资产与多个所述其他信息资产之间的安全联系图谱；
9.安全追溯分析单元，用于对多个所述重要信息资产进行安全分析，生成安全分析结果，根据所述安全分析结果和所述安全联系图谱，对多个所述其他信息资产进行追溯分析，生成追溯分析结果；
10.弱点定位分析单元，用于综合所述安全分析结果和所述追溯分析结果，进行弱点定位，确定存在安全弱点的信息数据资产，并对存在安全弱点的信息数据资产进行威胁分析，确定安全威胁类型；
11.安全处理检测单元，用于根据所述安全威胁类型，对存在安全弱点的信息数据资产进行安全处理，并在安全处理之后，根据所述安全联系图谱进行验证检测。
12.作为本发明实施例技术方案进一步的限定，所述信息资产识别单元具体包括：
13.信息资产识别模块，用于对信息系统中的信息数据进行资产识别，生成资产识别
结果；
14.数据资产标记模块，用于按照所述资产识别结果，标记所述信息系统中的多个信息数据资产；
15.资产分类标记模块，用于从多个所述信息数据资产中标记多个重要信息资产和多个其他信息资产。
16.作为本发明实施例技术方案进一步的限定，所述资产分类标记模块具体包括：
17.关联性分析子模块，用于对多个所述信息数据资产进行关联性分析，生成关联性分析结果；
18.重要资产标记子模块，用于按照所述关联性分析结果，标记多个互不关联的信息数据资产为重要信息资产；
19.其他资产标记子模块，用于将多个重要信息资产以外的多个信息数据资产标记为其他信息资产。
20.作为本发明实施例技术方案进一步的限定，所述安全图谱构建单元具体包括：
21.安全联系分析模块，用于按照所述关联性分析结果，对多个所述重要信息资产与多个所述其他信息资产之间的安全联系进行分析，得到多个安全联系分析结果；
22.安全图谱构建模块，用于根据多个所述安全联系分析结果，构建多个所述重要信息资产与多个所述其他信息资产之间的安全联系图谱。
23.作为本发明实施例技术方案进一步的限定，所述安全追溯分析单元具体包括：
24.安全分析模块，用于对多个所述重要信息资产进行安全分析，生成安全分析结果；
25.追溯分析模块，用于根据所述安全分析结果和所述安全联系图谱，对多个所述其他信息资产进行追溯分析，生成追溯分析结果。
26.作为本发明实施例技术方案进一步的限定，所述追溯分析模块具体包括：
27.路线建立子模块，用于根据所述安全分析结果和所述安全联系图谱，建立多个追溯路线；
28.追溯分析子模块，用于按照多个所述追溯路线对多个所述其他信息资产进行追溯分析，生成追溯分析结果。
29.作为本发明实施例技术方案进一步的限定，所述弱点定位分析单元具体包括：
30.弱点定位模块，用于综合所述安全分析结果和所述追溯分析结果，进行弱点定位，确定存在安全弱点的信息数据资产；
31.类型分析模块，用于对存在安全弱点的信息数据资产进行类型分析，确定信息数据类型；
32.威胁分析模块，用于按照所述信息数据类型，对存在安全弱点的信息数据资产进行威胁分析，确定安全威胁类型。
33.作为本发明实施例技术方案进一步的限定，所述弱点定位模块具体包括：
34.弱点定位子模块，用于综合所述安全分析结果和所述追溯分析结果，进行弱点定位，生成弱点定位结果；
35.弱点判断子模块，用于按照所述弱点定位结果，判断是否存在安全弱点；
36.弱点确定子模块，用于在存在安全弱点时，确定对应的信息数据资产。
37.作为本发明实施例技术方案进一步的限定，所述安全处理检测单元具体包括：
38.处理分析模块，用于根据所述安全威胁类型，生成威胁处理数据；
39.安全处理模块，用于按照所述威胁处理数据，对存在安全弱点的信息数据资产进行安全处理；
40.验证检测模块，用于在安全处理之后，根据所述安全联系图谱进行验证检测。
41.作为本发明实施例技术方案进一步的限定，所述验证检测模块具体包括：
42.信号生成子模块，用于在安全处理之后，生成完成处理信号；
43.验证生成子模块，用于按照所述完成处理信号，生成验证检测数据；
44.验证检测子模块，用于按照所述验证检测数据和所述安全联系图谱，进行验证检测。
45.与现有技术相比，本发明的有益效果是：
46.本发明实施例提供的信息系统安全检测评估与处理系统，包括：信息资产识别单元，用于进行资产识别；安全图谱构建单元，用于构建安全联系图谱；安全追溯分析单元，用于进行安全分析和追溯分析；弱点定位分析单元，用于进行弱点定位和威胁分析；安全处理检测单元，用于进行安全处理和验证检测。能够进行信息资产识别和安全图谱构建，建立多个重要信息资产与多个其他信息资产之间的安全动态联系，按照安全联系图谱进行弱点定位和威胁分析，确定安全威胁的源头，进而能够进行准确的安全处理与验证检测，从而实现对信息系统安全威胁的彻底消除。
附图说明
47.为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例。
48.图1示出了本发明实施例提供的系统的应用架构图。
49.图2示出了本发明实施例提供的系统中信息资产识别单元的结构框图。
50.图3示出了本发明实施例提供的系统中资产分类标记模块的结构框图。
51.图4示出了本发明实施例提供的系统中安全图谱构建单元的结构框图。
52.图5示出了本发明实施例提供的系统中安全追溯分析单元的结构框图。
53.图6示出了本发明实施例提供的系统中追溯分析模块的结构框图。
54.图7示出了本发明实施例提供的系统中弱点定位分析单元的结构框图。
55.图8示出了本发明实施例提供的系统中弱点定位模块的结构框图。
56.图9示出了本发明实施例提供的系统中安全处理检测单元的结构框图。
57.图10示出了本发明实施例提供的系统中验证检测模块的结构框图。
具体实施方式
58.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
59.可以理解的是，现有技术中，信息系统安全检测评估与处理通常是针对信息系统中单个或局部的信息数据资产进行安全检测、评估和处理，而不能够根据信息系统中所有
相关联的信息数据资产进行动态检测评估，不能够准确的实现安全威胁的定位与处理，导致无法彻底消除信息系统的安全威胁。
60.为解决上述问题，本发明实施例提供的信息系统安全检测评估与处理系统，包括：信息资产识别单元，用于进行资产识别；安全图谱构建单元，用于构建安全联系图谱；安全追溯分析单元，用于进行安全分析和追溯分析；弱点定位分析单元，用于进行弱点定位和威胁分析；安全处理检测单元，用于进行安全处理和验证检测。能够进行信息资产识别和安全图谱构建，建立多个重要信息资产与多个其他信息资产之间的安全动态联系，按照安全联系图谱进行弱点定位和威胁分析，确定安全威胁的源头，进而能够进行准确的安全处理与验证检测，从而实现对信息系统安全威胁的彻底消除。
61.图1示出了本发明实施例提供的系统的应用架构图。
62.具体的，信息系统安全检测评估与处理系统，包括：
63.信息资产识别单元101，用于对信息系统中的信息数据进行资产识别，标记所述信息系统中的多个信息数据资产，并从多个所述信息数据资产中标记多个重要信息资产和多个其他信息资产。
64.在本发明实施例中，信息资产识别单元101通过对信息系统中的信息数据进行资产识别，生成资产识别结果，按照资产识别结果，对信息系统中的信息数据进行标记，得到多个信息数据资产，进而对多个信息数据资产进行关联性分析，生成关联性分析结果，按照关联性分析结果，从多个信息数据资产中筛选互不关联的多个信息数据资产，将这多个互不关联的信息数据资产标记为重要信息资产，将多个重要信息资产之外的多个信息数据资产标记为其他信息资产。
65.可以理解的是，信息数据资产包括生产数据、客户资料数据、财务数据、oa数据等，是信息系统中对企业或组织有价值的信息数据。
66.具体的，图2示出了本发明实施例提供的系统中信息资产识别单元101的结构框图。
67.其中，在本发明提供的优选实施方式中，所述信息资产识别单元101具体包括：
68.信息资产识别模块1011，用于对信息系统中的信息数据进行资产识别，生成资产识别结果。
69.数据资产标记模块1012，用于按照所述资产识别结果，标记所述信息系统中的多个信息数据资产。
70.资产分类标记模块1013，用于从多个所述信息数据资产中标记多个重要信息资产和多个其他信息资产。
71.具体的，图3示出了本发明实施例提供的系统中资产分类标记模块1013的结构框图。
72.其中，在本发明提供的优选实施方式中，所述资产分类标记模块1013具体包括：
73.关联性分析子模块10131，用于对多个所述信息数据资产进行关联性分析，生成关联性分析结果。
74.重要资产标记子模块10132，用于按照所述关联性分析结果，标记多个互不关联的信息数据资产为重要信息资产。
75.其他资产标记子模块10133，用于将多个重要信息资产以外的多个信息数据资产
标记为其他信息资产。
76.进一步的，所述信息系统安全检测评估与处理系统还包括：
77.安全图谱构建单元102，用于分析多个所述重要信息资产与多个所述其他信息资产之间的安全联系，构建多个所述重要信息资产与多个所述其他信息资产之间的安全联系图谱。
78.在本发明实施例中，安全图谱构建单元102按照关联性分析结果，将多个其他信息资产按照多个对应的重要信息资产进行分类，生成信息资产分类结果，进而按照信息资产分类结果，对多个重要信息资产与对应的多个其他信息资产之间的安全联系进行分析，得到多个与重要信息资产相关的安全联系分析结果，进而根据多个安全联系分析结果，构建多个重要信息资产与对应的多个其他信息资产之间安全联系的安全联系图谱。
79.可以理解的是，在安全联系图谱中，标注了重要信息资产与其他信息资产之间、其他信息资产与其他信息资产之间的安全联系，并对各个信息资产之间的安全联系进行评价，在具有安全联系的信息资产之间，创建了相应的安全联系值，安全联系值越大，安全联系越紧密。
80.具体的，图4示出了本发明实施例提供的系统中安全图谱构建单元102的结构框图。
81.其中，在本发明提供的优选实施方式中，所述安全图谱构建单元102具体包括：
82.安全联系分析模块1021，用于按照所述关联性分析结果，对多个所述重要信息资产与多个所述其他信息资产之间的安全联系进行分析，得到多个安全联系分析结果。
83.安全图谱构建模块1022，用于根据多个所述安全联系分析结果，构建多个所述重要信息资产与多个所述其他信息资产之间的安全联系图谱。
84.进一步的，所述信息系统安全检测评估与处理系统还包括：
85.安全追溯分析单元103，用于对多个所述重要信息资产进行安全分析，生成安全分析结果，根据所述安全分析结果和所述安全联系图谱，对多个所述其他信息资产进行追溯分析，生成追溯分析结果。
86.在本发明实施例中，安全追溯分析单元103对多个重要信息资产进行安全分析，生成安全分析结果，按照安全分析结果，判断是否存在具有安全威胁的重要信息资产，对于存在安全威胁的重要信息资产，则综合安全分析结果和安全联系图谱，建立按照重要信息资产对多个其他信息资产进行追溯分析的多个追溯路线，进而按照多个追溯路线对多个其他信息资产进行追溯分析，生成追溯分析结果。
87.具体的，图5示出了本发明实施例提供的系统中安全追溯分析单元103的结构框图。
88.其中，在本发明提供的优选实施方式中，所述安全追溯分析单元103具体包括：
89.安全分析模块1031，用于对多个所述重要信息资产进行安全分析，生成安全分析结果。
90.追溯分析模块1032，用于根据所述安全分析结果和所述安全联系图谱，对多个所述其他信息资产进行追溯分析，生成追溯分析结果。
91.具体的，图6示出了本发明实施例提供的系统中追溯分析模块1032的结构框图。
92.其中，在本发明提供的优选实施方式中，所述追溯分析模块1032具体包括：
93.路线建立子模块10321，用于根据所述安全分析结果和所述安全联系图谱，建立多个追溯路线。
94.追溯分析子模块10322，用于按照多个所述追溯路线对多个所述其他信息资产进行追溯分析，生成追溯分析结果。
95.进一步的，所述信息系统安全检测评估与处理系统还包括：
96.弱点定位分析单元104，用于综合所述安全分析结果和所述追溯分析结果，进行弱点定位，确定存在安全弱点的信息数据资产，并对存在安全弱点的信息数据资产进行威胁分析，确定安全威胁类型。
97.在本发明实施例中，弱点定位分析单元104通过综合安全分析结果和追溯分析结果，在存在安全威胁的重要信息资产对应的多个其他信息资产中进行弱点定位，生成弱点定位结果，根据弱点定位结果，判断多个对应的其他信息资产中是否存在安全弱点，在存在安全弱点时，确定对应的信息数据资产，进而对存在安全弱点的信息数据资产进行类型分析，确定信息数据类型，按照信息数据类型，生成相应的威胁分析方案，通过按照相应的威胁分析方案，对存在安全弱点的信息数据资产进行威胁分析，确定安全威胁类型。
98.具体的，图7示出了本发明实施例提供的系统中弱点定位分析单元104的结构框图。
99.其中，在本发明提供的优选实施方式中，所述弱点定位分析单元104具体包括：
100.弱点定位模块1041，用于综合所述安全分析结果和所述追溯分析结果，进行弱点定位，确定存在安全弱点的信息数据资产。
101.具体的，图8示出了本发明实施例提供的系统中弱点定位模块1041的结构框图。
102.其中，在本发明提供的优选实施方式中，所述弱点定位模块1041具体包括：
103.弱点定位子模块10411，用于综合所述安全分析结果和所述追溯分析结果，进行弱点定位，生成弱点定位结果。
104.弱点判断子模块10412，用于按照所述弱点定位结果，判断是否存在安全弱点。
105.弱点确定子模块10413，用于在存在安全弱点时，确定对应的信息数据资产。
106.进一步的，所述弱点定位分析单元104还包括：
107.类型分析模块1042，用于对存在安全弱点的信息数据资产进行类型分析，确定信息数据类型。
108.威胁分析模块1043，用于按照所述信息数据类型，对存在安全弱点的信息数据资产进行威胁分析，确定安全威胁类型。
109.进一步的，所述信息系统安全检测评估与处理系统还包括：
110.安全处理检测单元105，用于根据所述安全威胁类型，对存在安全弱点的信息数据资产进行安全处理，并在安全处理之后，根据所述安全联系图谱进行验证检测。
111.在本发明实施例中，安全处理检测单元105按照安全威胁类型，生成对应的威胁处理数据，进而按照威胁处理数据，对存在安全弱点的信息数据资产进行安全处理，并在完成对威胁的安全处理之后，生成完成处理信号，按照完成处理信号，生成验证检测数据，进而按照验证检测数据和安全联系图谱，进行威胁是否被消除的验证检测。
112.具体的，图9示出了本发明实施例提供的系统中安全处理检测单元105的结构框图。
113.其中，在本发明提供的优选实施方式中，所述安全处理检测单元105具体包括：
114.处理分析模块1051，用于根据所述安全威胁类型，生成威胁处理数据。
115.安全处理模块1052，用于按照所述威胁处理数据，对存在安全弱点的信息数据资产进行安全处理。
116.验证检测模块1053，用于在安全处理之后，根据所述安全联系图谱进行验证检测。
117.具体的，图10示出了本发明实施例提供的系统中验证检测模块1053的结构框图。
118.其中，在本发明提供的优选实施方式中，所述验证检测模块1053具体包括：
119.信号生成子模块10531，用于在安全处理之后，生成完成处理信号。
120.验证生成子模块10532，用于按照所述完成处理信号，生成验证检测数据。
121.验证检测子模块10533，用于按照所述验证检测数据和所述安全联系图谱，进行验证检测。
122.综上所述，本发明实施例提供的信息系统安全检测评估与处理系统，包括：信息资产识别单元，用于进行资产识别；安全图谱构建单元，用于构建安全联系图谱；安全追溯分析单元，用于进行安全分析和追溯分析；弱点定位分析单元，用于进行弱点定位和威胁分析；安全处理检测单元，用于进行安全处理和验证检测。能够进行信息资产识别和安全图谱构建，建立多个重要信息资产与多个其他信息资产之间的安全动态联系，按照安全联系图谱进行弱点定位和威胁分析，确定安全威胁的源头，进而能够进行准确的安全处理与验证检测，从而实现对信息系统安全威胁的彻底消除。
123.应该理解的是，虽然本发明各实施例的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，各实施例中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
124.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一非易失性计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
125.以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
126.以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并
不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。
127.以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。