CN104850797B - 设备安全管理方法及装置 - Google Patents
设备安全管理方法及装置 Download PDFInfo
- Publication number
- CN104850797B CN104850797B CN201510217652.5A CN201510217652A CN104850797B CN 104850797 B CN104850797 B CN 104850797B CN 201510217652 A CN201510217652 A CN 201510217652A CN 104850797 B CN104850797 B CN 104850797B
- Authority
- CN
- China
- Prior art keywords
- target device
- data storage
- data
- data value
- computation rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007726 management method Methods 0.000 title claims abstract description 110
- 238000003860 storage Methods 0.000 claims abstract description 18
- 238000004364 calculation method Methods 0.000 claims abstract description 15
- 238000013500 data storage Methods 0.000 claims description 218
- 238000001514 detection method Methods 0.000 claims description 87
- 230000007613 environmental effect Effects 0.000 claims description 58
- 238000000034 method Methods 0.000 claims description 42
- 230000001681 protective effect Effects 0.000 claims description 21
- 238000007689 inspection Methods 0.000 claims description 5
- 108010001267 Protein Subunits Proteins 0.000 claims description 3
- 238000000151 deposition Methods 0.000 claims description 3
- 230000008901 benefit Effects 0.000 claims description 2
- 230000002265 prevention Effects 0.000 claims description 2
- 238000012360 testing method Methods 0.000 claims description 2
- 230000009172 bursting Effects 0.000 claims 1
- 230000014759 maintenance of location Effects 0.000 claims 1
- 230000006870 function Effects 0.000 description 24
- 230000008569 process Effects 0.000 description 16
- 239000000047 product Substances 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 6
- 238000011156 evaluation Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 238000009826 distribution Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 239000012141 concentrate Substances 0.000 description 2
- 230000035945 sensitivity Effects 0.000 description 2
- 238000012163 sequencing technique Methods 0.000 description 2
- 239000013589 supplement Substances 0.000 description 2
- 230000004888 barrier function Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000001035 drying Methods 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000011158 quantitative evaluation Methods 0.000 description 1
- 238000013139 quantization Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 238000009781 safety test method Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种设备安全管理方法及装置,其中的一种设备安全管理装置包括:第一获取单元,用于获取数据价值计算规则;第二获取单元,用于获取目标设备的存储数据;第一计算单元,用于依据所述第一获取单元得到的数据价值计算规则计算所述第二获取单元得到的目标设备的存储数据的数据价值;第三获取单元,用于根据所述第一计算单元得到的所述数据价值获取对应的安全防护策略;安全管理单元,用于根据所述第三获取单元得到的安全防护策略对所述目标设备进行安全管理。本发明能够基于设备中数据的重要性提供与其匹配的安全防护策略。
Description
技术领域
本发明涉及信息安全领域,具体涉及一种设备安全管理方法及装置。
背景技术
随着科学技术的发展,信息技术已经成为提升企业生产效率所不可或缺的一环。但是与此同时,通过信息技术对企业发起的攻击、侵害企业利益的事件也层出不穷。在以往的事件中,侵入者往往通过企业中防护能力最薄弱,且最有入侵价值的一个实体终端为切入点,从而整体控制企业的信息系统,窃取企业有价值的数据。所以“低防护、高价值”的终端,是企业中存在风险最高的终端,也是安全产品需要重点保护的对象。
在目前,几乎所有的企业安全产品都是基于企业的组织结构的。例如,现有技术常会以企业部门架构为基准,分组地管理企业终端。在此前提之下,企业管理人员和安全产品往往假设高价值的终端都集中在某些部门之中,例如财务部门和研发部门。所以安全产品会为这些部门配置很高的安全执行标准,以重点保护这些部门终端的安全。而企业中的其他终端,往往不会受到企业管理人员和安全产品的重视。
然而实际上,企业组织结构不能完全决定终端价值的高低。首先,企业网络拓扑结构也是终端价值的一个重要评定因素,网络中关键的节点不一定集中在某一个或者某几个部门之中。其次,企业中终端的数据是在不断交换的,终端价值也会因为数据的传递而发生变化。所以,现有的企业信息安全管理手段不能适应企业网络的拓扑结构,也不能适应企业中的信息流动情况,容易导致原本“高价值”的终端未应用高保准的防护能力,或者“低价值”的终端在价值提升后未应用高保准的防护能力,从而对终端的风险造成错误的评估,为企业带来安全隐患。
发明内容
针对现有技术中的缺陷,本发明提供一种设备安全管理方法及装置,可以解决现有的企业信息安全管理手段的上述问题。
第一方面,本发明提供了一种设备安全管理装置,包括:
第一获取单元,用于获取数据价值计算规则;
第二获取单元,用于获取目标设备的存储数据;
第一计算单元,用于依据所述第一获取单元得到的数据价值计算规则计算所述第二获取单元得到的目标设备的存储数据的数据价值;
第三获取单元,用于根据所述第一计算单元得到的所述数据价值获取对应的安全防护策略;
安全管理单元,用于根据所述第三获取单元得到的安全防护策略对所述目标设备进行安全管理。
可选地,所述第一计算单元包括:
获取子单元,用于获取所述数据价值计算规则中的至少一个用于判断存储数据是否具有数据价值的敏感特征;
检测子单元,用于对所述第二获取单元得到的目标设备的存储数据进行检测,得到可以与所述获取子单元得到的敏感特征相匹配的存储数据;
计算子单元,用于依据所述第一获取单元得到的数据价值计算规则对所述检测子单元得到的存储数据进行计算,得到目标设备的存储数据的数据价值。
可选地,所述检测子单元包括:
获取模块,用于获取预先设定的检测范围和/或所述数据价值计算规则中的检测范围;
检测模块,用于在获取模块得到的检测范围内对所述第二获取单元得到的目标设备的存储数据进行检测,得到可以与所述获取子单元得到的敏感特征相匹配的存储数据。
可选地,所述计算子单元包括:
获取模块,用于在所述第一获取单元得到的数据价值计算规则中获取至少一个存储数据分类的分类标准;
分类模块,用于依据所述获取模块得到的至少一个存储数据分类的分类标准对所述检测子单元得到的存储数据进行分类,得到分别属于至少一个存储数据分类的至少一个存储数据集合;
计算模块,用于依据所述第一获取单元得到的数据价值计算规则分别对所述分类模块得到的至少一个存储数据集合进行计算,得到目标设备的存储数据的数据价值。
可选地,所述计算模块包括:
获取子模块,用于获取对应于每一所述存储数据分类的数据价值权重;
计算子模块,用于将所述分类模块得到的属于任一存储数据分类的存储数据集合的数据量与所述获取子模块得到的该存储数据分类的数据价值权重相乘,并将对应于所有存储数据分类的乘积之和作为目标设备的存储数据的数据价值。
可选地,所述数据价值计算规则中的至少一个敏感特征包括:
存储数据包括任一所述数据价值计算规则中指定的敏感内容;
和/或,
存储数据包括任一所述数据价值计算规则中指定的敏感数据类型的数据;
和/或,
存储数据的文件名位于所述数据价值计算规则中的文件名黑名单列表当中。
可选地,所述装置还包括:
第四获取单元,用于获取环境价值计算规则;
第二计算单元,用于依据所述第四获取单元得到的环境价值计算规则计算目标设备所在网络节点的环境价值。
第二方面,本发明还提供了一种设备安全管理装置,包括:
第一生成单元,用于生成数据价值计算规则;
第一发送单元,用于向目标设备发送所述第一生成单元得到的数据价值计算规则,以使所述目标设备依据该数据价值计算规则计算目标设备的存储数据的数据价值,根据所述数据价值获取对应的安全防护策略,并根据所述安全防护策略对所述目标设备进行安全管理。
第三方面,本发明还提供了一种设备安全管理方法,包括:
获取数据价值计算规则;
获取目标设备的存储数据;
依据所述数据价值计算规则计算所述目标设备的存储数据的数据价值;
根据所述数据价值获取对应的安全防护策略;
根据所述安全防护策略对所述目标设备进行安全管理。
第四方面,本发明还提供了一种设备安全管理方法,包括:
生成数据价值计算规则;
向目标设备发送所述数据价值计算规则,以使所述目标设备依据该数据价值计算规则计算目标设备的存储数据的数据价值,根据所述数据价值获取对应的安全防护策略,并根据所述安全防护策略对所述目标设备进行安全管理。
由上述技术方案可知,本发明通过计算目标设备的存储数据的数据价值,并获取相应的安全防护策略来对目标设备进行安全管理。从而对于信息系统中的每一台终端设备,都可以通过适当的终端价值计算过程匹配相适应的安全防护策略,使得安全管理不再局限于企业中的特定部门,而每一台高价值的终端设备都可以应用高标准的防护能力。同时,随着信息的流动,终端价值的计算过程和安全防护策略也可以实时地进行更新,有效避免了由于信息流动带来的安全隐患。由此,本发明可以解决现有的企业信息安全管理手段不能适应企业网络的拓扑结构,也不能适应企业中的信息流动的问题。
进一步地,本发明可以基于终端价值的计算和安全防护策略的设置实现终端价值与防护能力的相互匹配,并不受限于企业职能部门组织结构的设置,还可以进行动态的实时更新,可以更有效地保护企业中有价值数据的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单的介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例中一种设备安全管理装置的结构框图;
图2是本发明一个实施例中一种第一计算单元的结构框图;
图3是本发明一个实施例中一种计算子单元的结构框图;
图4是本发明另一个实施例中一种设备安全管理装置的结构框图;
图5是本发明一个实施例中一种设备安全管理方法的步骤流程示意图;
图6是本发明另一个实施例中一种设备安全管理方法的步骤流程示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中需要说明的是,术语“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
图1是本发明一个实施例中一种设备安全管理装置的结构框图。参见图1,该装置包括:
第一获取单元11,用于获取数据价值计算规则;
第二获取单元12,用于获取目标设备的存储数据;
第一计算单元13,用于依据上述第一获取单元11得到的数据价值计算规则计算上述第二获取单元12得到的目标设备的存储数据的数据价值;
第三获取单元14,用于根据上述第一计算单元13得到的上述数据价值获取对应的安全防护策略;
安全管理单元15,用于根据上述第三获取单元14得到的安全防护策略对所述目标设备进行安全管理。
需要说明的是,上述设备安全管理装置指的是用于对目标设备(可以是任意形式的电子设备)的信息安全进行管理的装置,其中:
上述数据价值计算规则是第一获取单元11通过任意方式获取得到的,并主要用于评价存储在目标设备当中的存储数据的数据价值。对于目标设备中的任意一份存储数据,可以按照第一获取单元11得到的数据价值计算规则来计算其数据价值。当然,上述数据价值计算规则可以是预先根据对信息安全的安全需求来进行设定的,也可以来自于目标设备的上级管理设备,并可以在不同的应用场景下有着不同的形式,本发明对此不作限制。
由于第一计算单元13用于依据第一获取单元11得到的数据价值计算规则计算第二获取单元12得到的目标设备的存储数据的数据价值,因此第一获取单元11和第二获取单元12可以向第一计算单元13发送信息,而第一计算单元13可以接收来自第一获取单元11或第二获取单元12的信息,并可以在一些具体实施方式中具体化为第一获取单元11与第一计算单元13之间、以及第二获取单元12与第一计算单元13之间的连接关系。类似地,本文中对其他结构或部件的功能性限定也隐含了相应的接收或者发送功能,并可以在一些具体实施方式中具体化为相应的连接关系。
上述安全防护策略是第三获取单元14通过任意方式获取得到的,并主要用于对目标设备的安全管理进行指导。安全管理单元15可以根据安全防护策略对目标设备进行具体的安全管理。当然,安全防护策略可以是预先根据对信息安全不同等级的安全需求来进行设定的,也可以来自于目标设备的上级管理设备,并可以在不同的应用场景下有着不同的形式,本发明对此不作限制。
由此可见,本发明实施例通过计算目标设备的存储数据的数据价值,并获取相应的安全防护策略来对目标设备进行安全管理。从而对于信息系统中的每一台终端设备,都可以通过适当的终端价值计算过程匹配相适应的安全防护策略,使得安全管理不再局限于企业中的特定部门,而每一台高价值的终端设备都可以应用高标准的防护能力。同时,随着信息的流动,终端价值的计算过程和安全防护策略也可以实时地进行更新,有效避免了由于信息流动带来的安全隐患。由此,本发明实施例可以解决现有的企业信息安全管理手段不能适应企业网络的拓扑结构,也不能适应企业中的信息流动的问题。
进一步地,本发明实施例可以基于终端价值的计算和安全防护策略的设置实现终端价值与防护能力的相互匹配,并不受限于企业职能部门组织结构的设置,还可以进行动态的实时更新,可以更有效地保护企业中有价值数据的安全性。
为了更清楚地说明本发明实施例的技术方案,下面以一种基于一定结构的数据价值计算方式为例,具体展示上述第一计算单元13的可选实施方式。
图2是本发明一个实施例中一种第一计算单元的结构框图。参见图2,上述第一计算单元13包括:
获取子单元131,用于获取上述数据价值计算规则中的至少一个用于判断存储数据是否具有数据价值的敏感特征;
检测子单元132,用于对上述第二获取单元12得到的目标设备的存储数据进行检测,得到可以与上述获取子单元131得到的敏感特征相匹配的存储数据;
计算子单元133,用于依据上述第一获取单元11得到的数据价值计算规则对上述检测子单元132得到的存储数据进行计算,得到目标设备的存储数据的数据价值。
需要说明的是,上述用于判断存储数据是否具有数据价值的敏感特征指的是有数据价值的存储数据在某一个方面或某几个方面上所具有(或者不具有)的特征。更具体地,上述至少一个用于判断存储数据是否具有数据价值的敏感特征可以包括下述的一类或多类:
第一,存储数据包括任一上述数据价值计算规则中指定的敏感内容。举例来说,存储数据在任意位置以任意格式出现了如“绝密”、“商密”或“内部资料”一类的字符串(敏感内容可以包括的内容),则可以视为该存储数据具有数据价值。具体地,可以通过例如指定关键词的搜索的方式来检测具有该类敏感特征的存储数据。当然,在具体的应用中也可以根据具体的安全需求设置其他的敏感内容加入到数据价值计算规则中。
第二,存储数据包括任一上述数据价值计算规则中指定的敏感数据类型的数据。举例来说,敏感数据类型可以包括如“银行卡号”或“身份证号”一类的数字组合,从而包括这些数字组合的存储数据可以视为具有数据价值的存储数据。具体地,可以通过例如指定关键词的模糊搜索的方式来检测具有该类敏感特征的存储数据。当然,在具体的应用中也可以根据具体的安全需求设置其他的敏感数据类型加入到数据价值计算规则中。
第三,存储数据的文件名位于上述数据价值计算规则中的文件名黑名单列表当中。举例来说,文件名黑名单列表中可以包括与财务报表、内部资料和个人信息等一类有数据价值的文件对应的文件名,从而可以直接通过指定文件名的搜索来检测具有该类敏感特征的存储数据。当然,在具体的应用中也可以根据具体的安全需求设置数据价值计算规则中的文件名黑名单列表。
应理解的是,本发明实施例对具有数据价值的存储数据的筛选方式可以不仅限于上述几种。而基于数据价值计算规则中至少一个敏感特征的设置,检测子单元132可以检测得到与每一敏感特征对应的存储数据,从而计算子单元133可以对这些存储数据计算目标设备的存储数据的数据价值。可以看出,敏感特征的引入有利于数据价值的量化,还便于具有数据价值的存储数据的分类管理(与不同敏感特征对应的存储数据可以被划分为不同的类别而分别进行处理)。
在一些应用场景下,目标设备的存储数据可能会非常庞大,而具有数据价值的存储数据所在的路径可能会很集中,因而对目标设备中的所有存储数据一一进行检测是不必要的。在此情况下,可以使上述检测子单元132包括下述未在附图中示出的结构:
获取模块1321,用于获取预先设定的检测范围和/或上述数据价值计算规则中的检测范围;
检测模块1322,用于在获取模块1321得到的检测范围内对上述第二获取单元12得到的目标设备的存储数据进行检测,得到可以与上述获取子单元131得到的敏感特征相匹配的存储数据。
需要说明的是,上述检测范围可以是根据具体的安全需求预先设置的,也可以包含在数据价值计算规则中,还可以是两者一定方式下的结合,本发明对此不做限制。具体地,上述检测范围指的是在目标设备中进行存储数据检测操作的范围。举例来说,检测范围可以指定有限个存储路径,也可以在全部存储路径中排除有限个存储路径。同时,可以在检测范围内指定检测的文件类型,比如文档、表格、数据库、多媒体等等。由此,检测范围的引入可以有效缩小检测的数据量,有利于检测效率的提高。
另一方面,图3是本发明一个实施例中一种计算子单元的结构框图。参见图3,在上述任意一种第一计算单元的结构当中,上述计算子单元133可以包括:
获取模块1331,用于在上述第一获取单元11得到的数据价值计算规则中获取至少一个存储数据分类的分类标准;
分类模块1332,用于依据上述获取模块1331得到的至少一个存储数据分类的分类标准对上述检测子单元132得到的存储数据进行分类,得到分别属于至少一个存储数据分类的至少一个存储数据集合;
计算模块1333,用于依据上述第一获取单元11得到的数据价值计算规则分别对上述分类模块1332得到的至少一个存储数据集合进行计算,得到目标设备的存储数据的数据价值。
需要说明的是,上述分类标准指的是数据价值计算规则中包括的对存储数据基于数据价值大小进行分类的执行标准。举例来说,对应于第一存储数据分类,数据价值计算规则包括第一匹配规则、第二匹配规则和第三匹配规则;而对应于第二存储数据分类,数据价值计算规则包括第四匹配规则。在进行分类时,可以先将一份存储数据与第四匹配规则进行比较,若匹配成功则将该存储数据加入至第二存储数据分类的存储数据集合。若匹配不成功,则继续将该存储数据分别与第一、第二、第三匹配规则进行比较,并在该存储数据可以与第一、第二、第三匹配规则中的任意一个匹配成功时将其加入至第一存储数据分类的存储数据集合。最后,在该存储数据不能与任意一个匹配规则匹配成功时,将该存储数据加入至第三存储数据分类的存储数据集合。参照上例,分类模块1332可以依照数据价值计算规则给出的至少一个存储数据分类和任意数量的匹配规则来对检测子单元132得到的存储数据进行分类,从而得到分别属于不同存储数据分类的至少一个存储数据集合。从而,计算模块1333可以对不同的存储数据集合进行分类处理,并得到整合后的目标设备的存储数据的数据价值计算结果。
可以看出,上述方式可以按照数据价值的大小对有数据价值的存储数据进行归类,从而可以简化数据价值的计算流程,并使得计算结果更能体现目标设备的终端价值的大小。
作为一种数据价值计算方式的示例,上述计算模块1333可以包括附图中未示出的下述结构:
获取子模块13331,用于获取对应于每一上述存储数据分类的数据价值权重;
计算子模块13332,用于将上述分类模块1332得到的属于任一存储数据分类的存储数据集合的数据量(可以是存储数据的份数、占用空间大小或者总字符数等等,本发明对此不做限制)与上述获取子模块13331得到的该存储数据分类的数据价值权重相乘,并将对应于所有存储数据分类的乘积之和作为目标设备的存储数据的数据价值。
举例来说,在第一存储数据分类的存储数据集合中包括29份存储数据、第二存储数据分类的存储数据集合中包括138份存储数据、第二存储数据分类的存储数据集合中包括258份存储数据的情况下,获取子模块13331可以获取到第一存储数据分类的数据价值权重为0.8、第二存储数据分类的数据价值权重为0.4、第三存储数据分类的数据价值权重为0.1,从而计算子模块13332计算得到的目标设备的存储数据的数据价值就等于29×0.8+138×0.4+258×0.1=23.2+55.2+25.8=104.2。当然,这一数值仅在对目标设备的比对中具有相对意义。基于此,存储数据集合的数据量以及上述数据价值权重的引入可以简化数据价值的计算过程,同时可以使计算得到的数据价值对该目标设备的终端价值有足够的代表性。
为了更清楚地说明本发明实施例的技术方案,下面以一种引入环境价值计算规则的设备安全管理装置为例,具体展示上述任意一种设备安全管理装置的可选实施方式。
在上述任意一种设备安全管理装置的基础之上,可以使该装置还包括附图中未示出的下述结构:
第四获取单元16,用于获取环境价值计算规则;
第二计算单元17,用于依据上述第四获取单元16得到的环境价值计算规则计算目标设备所在网络节点的环境价值。
需要说明的是,上述环境价值计算规则是第四获取单元16通过任意方式获取得到的,并主要用于评价目标设备所在网络节点的环境价值。对于处于任意网络节点的目标设备,可以按照第四获取单元16得到的环境价值计算规则来计算其环境价值。当然,上述环境价值计算规则可以是预先根据目标设备所在的网络拓扑结构来进行设定的,也可以来自于目标设备的上级管理设备,并可以在不同的应用场景下有着不同的形式,本发明对此不作限制。
举例来说,第二计算单元17可以包括未在附图中示出的下述结构:
获取子单元171,用于获取目标设备所在网络节点的位置和/或目标设备所在网络节点的职能;
计算子单元172,用于依据上述第四获取单元16得到的环境价值规则对上述获取子单171元得到的目标设备所在网络节点的位置和/或目标设备所在网络节点的职能进行计算,得到目标设备所在网络节点的环境价值。
基于此,上述目标设备的环境价值可以由目标设备所在网络节点的位置和/或目标设备所在网络节点的职能来确定。比如,一个设备所在网络节点的位置使得该设备可以对很多若干个其他设备发出控制指令,和/或,该设备在网络节点的职能包括对若干个其他设备进行控制,那么可以理解的是入侵该设备可以获取对若干个其他设备的控制权,拥有级别很高的操作权限,因而该设备具有很高的环境价值。再比如,位于广域网中的目标设备与位于企业内网中的目标设备通常具有不同的环境价值,而可以为互联网用户提供网络服务的目标设备与为企业内部用户提供内网文件传输服务的目标设备通常具有不同的环境价值。可以看出,基于网络节点的职能和/或位置来计算环境价值,可以对网络拓扑结构方面的终端价值具有很高的代表性。
可以理解的是,环境价值的引入可以从另一个角度上反映目标设备的终端价值,可以作为上述数据价值的补充或者替代。具体来说,在上述任意一种设备安全管理装置的基础之上,上述第三获取单元14可以包括附图中未示出的下述结构:
第一获取子单元141,用于获取目标设备的密级评定规则;
比较子单元142,用于将上述第一获取子单元141得到的密级评定规则与上述第一计算单元13得到的数据价值和/或上述第二计算单元17得到的环境价值进行比较,得到目标设备所属的保密等级;
第二获取子单元143,用于根据上述比较子单元142得到的目标设备所属的保密等级获取对应的安全防护策略。
需要说明的是,上述密级评定规则是第一获取子单元141通过任意方式获取得到的,并主要用于根据上述数据价值和/或上述环境价值评价目标设备的保密等级。对于已知数据价值和/或环境价值的目标设备,可以根据该密级评定规则来获取其保密等级。当然,上述密级评定规则可以是预先根据所存储数据的保密需求来进行设定的,也可以来自于目标设备的上级管理设备,并可以在不同的应用场景下有着不同的形式,本发明对此不作限制。
以仅考虑数据价值的例子来说,密级评定规则中可以规定数据价值小于等于30的目标设备属于低保密等级,数据价值介于30与80之间的目标设备属于中保密等级,而数据价值大于等于80的目标设备属于高保密等级。从而,比较子单元142可以通过比较得到上述数据价值为104.2的目标设备属于高保密等级。当然,对于仅考虑环境价值的情况,也可以通过类似方式进行密级评定;而对于考虑数据价值和环境价值的情况,可以通过加权的方式计算目标设备的终端价值,再基于终端价值进行类似的密级评定。密级评定规则的引入可以通过恰当的方式区分不同目标设备的保密等级(并可与文字资料的实际保密等级建立联系),从而可以对不同保密等级的目标设备分别进行安全管理,从而有利于提高安全管理效率。
可以看出,安全防护策略的获取可以结合环境价值可以与数据价值来进行,使得上述设备安全管理装置对企业的网络拓扑结构具有更强的适应性,可以使各个目标设备安全防护策略的设置与目标设备的终端价值相互匹配,有利于企业中安全防护资源的合理分配。
基于上述任意一种设备安全管理装置,上述安全管理单元15可以依照第三获取单元14得到的安全防护策略对目标设备进行多方面的安全管理。举例来说,上述安全管理单元15可以具体包括附图中未示出的下述结构:
获取子单元151,用于获取上述第三获取单元14得到的安全防护策略中至少一组相互对应的配置项目与配置目标;
检测子单元152,用于检测目标设备在上述获取子单元151得到的任一配置项目上的设置是否满足对应的配置目标,得到目标设备的安全检测结果。
可以理解的是,此时安全防护策略中包括有至少一组相互对应的配置项目与配置目标,而这些配置项目与配置目标显然是与目标设备的终端价值相适应的,因而对于不同终端价值的目标设备,安全防护策略可以包括不同的配置项目,并可以针对同一配置项目有着不同的配置目标。
举例来说,对应于一个目标设备的安全防护策略中包含有两个配置项目:“涉密文件是否加密”以及“涉密文件的密码长度”,而对应于配置项目“涉密文件是否加密”,配置目标为“是”,对应于配置项目“涉密文件的密码长度”,配置目标为“7个字符”。从而,检测子单元152可以对目标设备进行检测,具体包括对每一份涉密文件进行是否加密的检查,以及对涉密文件进行密码长度是否小于7个字符的检查。可以理解,安全检测结果会包括对于每一个涉密文件是否加密,以及密码长度是否小于7个字符的信息。
可以看出,检测子单元152得到的安全检测结果包括了目标设备在每一个配置项目上的设置是否满足配置条件的信息,基于这些信息,可以对目标设备进行多种多样的安全管理。
为了更清楚的说明本发明实施例的技术方案,下面给出几种基于特定结构对目标设备进行安全管理的具体实施方式。需要说明的是,在本发明的任一实施例都可以同时采用这几种方式中的任意多种。
第一,上述安全管理单元15可以还包括附图中未示出的修复子单元153,该修复子单元153用于根据上述检测子单元152得到的目标设备的安全检测结果对目标设备的设置进行修复。举例来说,对于某些未加密的涉密文件,修复子单元153可以提示用户进行加密,或者直接进行随机加密并将密码反馈给用户。
第二,上述安全管理单元15可以还包括附图中未示出的发送子单元154,该发送子单元154用于将上述检测子单元152得到的目标设备的安全检测结果发送至目标设备的上级管理设备。举例来说,为了方便企业内部的安全管理,可以使每一下级终端设备都按照上述流程得到安全检测结果,并通过自身的发送子单元154将安全检测结果发送至一上级管理设备进行汇总,从而使得该上级管理设备可以获取到每一下级终端设备的安全状况,便于对所有的下级终端设备进行相应的安全管理操作,并有利于企业内部安全防护资源的合理分配。当然,基于该发送子单元154,任何设备都可以通过接收安全检测结果来获取目标设备的安全状况。
第三,上述安全管理单元还可以包括附图中未示出的计算子单元155,该计算子单元155用于获取防护能力计算规则,并依据上述防护能力计算规则以及上述检测子单元152得到的目标设备的安全检测结果计算目标设备的安全防护能力。其中,上述防护能力计算规则是计算子单元155通过任意方式获取得到的,并主要用于根据目标设备的安全检测结果计算该目标设备的安全防护能力。基于任一目标设备的安全检测结果,计算子单元155可以根据该防护能力计算规则来计算该目标设备的安全防护能力。当然,上述防护能力计算规则可以是参照一定的安全防护标准来进行预先设定的,也可以来自于目标设备的上级管理设备,并可以在不同的应用场景下有着不同的形式,本发明对此不作限制。基于此,可以基于同一标准完成对目标设备的安全防护能力的定性或定量评价,有利于建立终端价值与安全防护能力之间,以及安全防护能力与安全防护策略之间的一一对应关系。
此外,安全管理单元15还可以进行的安全管理操作包括:将数据价值、环境价值、保密等级、防护能力中的任意一个或多个向用户显示;在发现严重安全防护漏洞时向用户或上级管理设备发出警报;引导用户提升目标设备的安全防护能力;依照目标设备的保密等级向用户提供相应的保密规定或保密培训资料等等。
另外,在上述任意一种设备安全管理装置的基础之上,可以还包括附图未示出的下述结构:
分析单元18,用于分析上述第一计算单元13得到的上述数据价值,得到上述第二获取单元12得到的目标设备的存储数据中数据价值所占比例大于一预定值的存储数据;
提示单元19,用于提示目标设备的用户对上述分析单元18得到的存储数据进行加密。
举例来说,分析单元18可以依照数据价值的计算结果来分析目标设备的存储数据中数据价值所占比例大于5%的所有存储数据,从而提示单元19可以提示目标设备的用户对这部分存储数据进行加密。这一处理相当于引导用户去降低目标设备的终端价值,当然降低目标设备终端价值的手段可以不限于此(比如对数据的加密包括文件压缩加密、磁盘加密、文件夹加密或者移入保密安全存储区等)。基于此,设备安全管理装置可以基于数据价值的计算结果引导用户对目标设备的存储数据进行降低终端价值的安全管理,进一步保障有价值数据的安全。
在本发明的一个实施例中,上述任意一种的设备安全管理装置具体为一种终端设备,该终端设备同时可以作为上述任意一种设备安全管理装置的目标设备,也可以作为对目标设备进行安全管理的终端设备。具体来说,本发明实施例所提供的终端设备可以是如个人计算机(如台式机、笔记本电脑、平板电脑、一体机)、智能手机、电子书、智能电视、数码相框、智能导航仪等任意一种包括存储介质和处理器的设备。由于该终端设备包括上述任意一种设备安全管理装置,因而可以解决相同的技术问题,取得相应的技术效果。
基于同样的发明构思,本发明实施例提供了另一种设备安全管理装置。图4是本发明另一个实施例中一种设备安全管理装置的结构框图。参见图4,该设备安全管理装置包括:
第一生成单元41,用于生成数据价值计算规则;
第一发送单元42,用于向目标设备发送所述第一生成单元41得到的数据价值计算规则,以使所述目标设备依据该数据价值计算规则计算目标设备的存储数据的数据价值,根据所述数据价值获取对应的安全防护策略,并根据所述安全防护策略对所述目标设备进行安全管理。
可以看出,该设备安全管理装置可以对应于任意一种包括上述第一获取单元11、第二获取单元12、第一计算单元13、第三获取单元14和安全管理单元15的设备安全管理装置,通过生成和发送上述数据价值计算规则,实现对目标设备的安全管理。
同样地,本发明实施例通过计算目标设备的存储数据的数据价值,并获取相应的安全防护策略来对目标设备进行安全管理。从而对于信息系统中的每一台终端设备,都可以通过适当的终端价值计算过程匹配相适应的安全防护策略,使得安全管理不再局限于企业中的特定部门,而每一台高价值的终端设备都可以应用高标准的防护能力。同时,随着信息的流动,终端价值的计算过程和安全防护策略也可以实时地进行更新,有效避免了由于信息流动带来的安全隐患。由此,本发明实施例可以解决现有的企业信息安全管理手段不能适应企业网络的拓扑结构,也不能适应企业中的信息流动的问题。
进一步地,本发明实施例可以基于终端价值的计算和安全防护策略的设置实现终端价值与防护能力的相互匹配,并不受限于企业职能部门组织结构的设置,还可以进行动态的实时更新,可以更有效地保护企业中有价值数据的安全性。
对应于上述任意一种涉及环境价值计算规则的设备安全管理装置,本发明实施例的设备安全管理装置还可以包括未在附图中示出的下述结构:
第二生成单元43,用于生成环境价值计算规则;
第二发送单元44,用于向目标设备发送所述第二生成单元43得到的环境价值计算规则,以使所述目标设备依据所述环境价值计算规则计算目标设备所在网络节点的环境价值。
可以看出,环境价值的引入可以从另一个角度上反映目标设备的终端价值,可以作为上述数据价值的补充或者替代。从而,安全防护策略的获取可以结合环境价值可以与数据价值来进行,使得上述设备安全管理装置对企业的网络拓扑结构具有更强的适应性,可以使各个目标设备安全防护策略的设置与目标设备的终端价值相互匹配,有利于企业中安全防护资源的合理分配。
对应于上述任意一种涉及密级评定规则的设备安全管理装置,本发明实施例的设备安全管理装置还可以包括未在附图中示出的下述结构:
第三生成单元45,用于生成密级评定规则;
第三发送单元46,用于向目标设备发送所述第三生成单元45得到的密级评定规则,以使目标设备将所述密级评定规则与所述目标设备的存储数据的数据价值和/或所述目标设备所在网络节点的环境价值,得到目标设备所属的保密等级,并根据所述目标设备所属的保密等级获取对应的安全防护策略。
基于此,密级评定规则的引入可以通过恰当的方式区分不同目标设备的保密等级(并可与文字资料的实际保密等级建立联系),从而可以对不同保密等级的目标设备分别进行安全管理,从而有利于提高安全管理效率。
对应于上述任意一种涉及安全检测结果的设备安全管理装置,本发明实施例的设备安全管理装置还可以包括未在附图中示出的下述结构:
接收单元47,用于接收来自目标设备的安全检测结果,所述安全检测结果为目标设备获取所述安全防护策略中至少一组相互对应的配置项目与配置目标,并检测目标设备在所述获取模块得到的任一配置项目上的设置是否满足对应的配置目标后得到的目标设备的安全检测结果。
基于此,该设备安全管理装置可以获取到每一目标设备的安全状况,便于对所有的目标设备进行相应的安全管理操作,并有利于企业内部安全防护资源的合理分配。
在本发明的一个实施例中,上述任意一种包括第一生成单元41和第一发送单元42的设备安全管理装置可以是服务器,当然,该服务器还可以包括任意一种上述包括第一获取单元11、第二获取单元12、第一计算单元13、第三获取单元14和安全管理单元15的设备安全管理装置。基于此,该服务器可以利用设备安全管理装置对自身进行安全管理,也可以对网络中的终端设备提供安全管理服务。
基于同样的发明构思,本发明实施例提供一种设备安全管理方法。图5是本发明一个实施例中一种设备安全管理方法的步骤流程示意图,参见图5,该方法包括:
步骤501:获取数据价值计算规则;
步骤502:获取目标设备的存储数据;
步骤503:依据所述数据价值计算规则计算所述目标设备的存储数据的数据价值;
步骤504:根据所述数据价值获取对应的安全防护策略;
步骤505:根据所述安全防护策略对所述目标设备进行安全管理。
需要说明的是,步骤501与步骤502不存在必然的先后顺序,因此执行顺序可以相互交换。此外,上述步骤501至步骤505可以分别对应于上述第一获取单元11、第二获取单元12、第一计算单元13、第三获取单元14和安全管理单元15的功能,在此不在赘述。
上述步骤流程中,数据价值计算规则可以包括至少一个用于判断存储数据是否具有数据价值的敏感特征,而步骤503:依据所述数据价值计算规则计算所述目标设备的存储数据的数据价值,可以具体包括未在附图中示出的下述步骤:
步骤5031:获取所述数据价值计算规则中的至少一个敏感特征;
步骤5032:对所述目标设备的存储数据进行检测,得到可以与所述敏感特征相匹配的存储数据;
步骤5033:依据所述数据价值计算规则对所述可以与所述敏感特征相匹配的存储数据进行计算,得到目标设备的存储数据的数据价值。
可以看出,上述步骤5031至步骤5033可以分别对应于上述获取子单元131、检测子单元132和计算子单元133的功能,在此不在赘述。
进一步地,步骤5032:对所述目标设备的存储数据进行检测,得到可以与所述敏感特征相匹配的存储数据,可以具体包括未在附图中示出的下述步骤:
步骤50321:获取预先设定的检测范围和/或所述数据价值计算规则中的检测范围;
步骤50322:在获取到的检测范围内对所述目标设备的存储数据进行检测,得到可以与所述敏感特征相匹配的存储数据。
可以看出,上述步骤50321与步骤50322可以分别对应于上述获取模块1321和检测模块1322的功能,在此不在赘述。
同时,上述步骤5033:依据所述数据价值计算规则对所述可以与所述敏感特征相匹配的存储数据进行计算,得到目标设备的存储数据的数据价值,也可以包括未在附图中示出的下述步骤:
步骤50331:在所述数据价值计算规则中获取至少一个存储数据分类的分类标准;
步骤50332:依据所述至少一个存储数据分类的分类标准对所述可以与所述敏感特征相匹配的存储数据进行分类,得到分别属于至少一个存储数据分类的至少一个存储数据集合;
步骤50333:依据所述数据价值计算规则分别对所述至少一个存储数据集合进行计算,得到目标设备的存储数据的数据价值。
可以看出,上述步骤50331至步骤50333可以分别对应于获取模块1331、分类模块1332和计算模块1333的功能,在此不在赘述。
进一步地,步骤50333:依据所述数据价值计算规则分别对所述至少一个存储数据集合进行计算,得到目标设备的存储数据的数据价值,可以具体包括未在附图中示出的下述步骤:
步骤503331:获取对应于每一所述存储数据分类的数据价值权重;
步骤503332:将属于任一存储数据分类的存储数据集合的数据量与该存储数据分类的数据价值权重相乘,并将对应于所有存储数据分类的乘积之和作为目标设备的存储数据的数据价值。
可以看出,上述步骤503331与步骤503332可以分别对应于获取子模块13331和计算子模块13332的功能,在此不在赘述。
在上述任意一种设备安全管理方法中,数据价值计算规则中的至少一个敏感特征可以包括下述的任意一种或多种:第一,存储数据包括任一所述数据价值计算规则中指定的敏感内容;第二,存储数据包括任一所述数据价值计算规则中指定的敏感数据类型的数据;第三,存储数据的文件名位于所述数据价值计算规则中的文件名黑名单列表当中。其中,敏感特征可以与上述任意一种设备安全管理装置中所述的敏感特征保持一致。
另一方面,上述任意一种设备安全管理方法还可以包括图中未示出的下述步骤:
步骤506:获取环境价值计算规则;
步骤507:依据所述环境价值计算规则计算目标设备所在网络节点的环境价值。
需要说明的是,步骤506至步骤507与步骤501至步骤505的执行顺序没有必然联系,因此可以任意设置。优选地使步骤506与步骤507执行在步骤504之前。可以看出,上述步骤506与步骤507可以分别对应于第四获取单元16和第二计算单元17的功能,在此不在赘述。
进一步地,步骤507:依据所述环境价值计算规则计算目标设备所在网络节点的环境价值,可以具体包括未在附图中示出的下述步骤:
步骤5071:获取目标设备所在网络节点的位置和/或目标设备所在网络节点的职能;
步骤5072:依据所述环境价值规则对所述目标设备所在网络节点的位置和/或所述目标设备所在网络节点的职能进行计算,得到目标设备所在网络节点的环境价值。
可以看出,上述步骤5071与步骤5072可以分别对应于获取子单元171和计算子单元172的功能,在此不在赘述。
相对应的,上述步骤504:根据所述数据价值获取对应的安全防护策略,可以具体包括未在附图中示出的下述步骤:
步骤5041:获取目标设备的密级评定规则;
步骤5042:将所述密级评定规则与所述目标设备的存储数据的数据价值和/或所述目标设备所在网络节点的环境价值进行比较,得到目标设备所属的保密等级;
步骤5043:根据所述目标设备所属的保密等级获取对应的安全防护策略。
可以看出,上述步骤5041至步骤5043可以分别对应于第一获取子单元141、比较子单元142和第二获取子单元143的功能,在此不在赘述。
在上述任意一种设备安全管理方法的基础之上,步骤505:根据所述安全防护策略对所述目标设备进行安全管理,可以具体包括未在附图中示出的下述步骤:
步骤5051:获取所述安全防护策略中至少一组相互对应的配置项目与配置目标;
步骤5052:检测目标设备在任一所述配置项目上的设置是否满足对应的配置目标,得到目标设备的安全检测结果。
可以看出,上述步骤5051至步骤5052可以分别对应于获取子单元151和检测子单元152的功能,在此不在赘述。
进一步地,步骤505:根据所述安全防护策略对所述目标设备进行安全管理,可以还包括未在附图中示出的下述步骤中的任意一个或多个(顺序不分先后):
步骤5053:根据所述安全检测结果对目标设备的设置进行修复;
步骤5054:将所述安全检测结果发送至目标设备的上级管理设备。
步骤5055:获取防护能力计算规则,并依据所述防护能力计算规则以及所述安全检测结果计算目标设备的安全防护能力。
可以看出,上述步骤5053、步骤5054步骤5055可以分别对应于修复子单元153、发送子单元154和计算子单元155的功能,在此不在赘述。
在上述任意一种设备安全管理方法的基础之上,可以还包括下述未在附图中示出的步骤:
步骤508:分析所述数据价值,得到所述目标设备的存储数据中所占比例大于一预定值的存储数据;
步骤509:提示目标设备的用户对所述目标设备的存储数据中所占比例大于一预定值的存储数据进行加密。
需要说明的是,步骤508与步骤509可以执行在步骤503之后的任意流程中。可以看出,上述步骤508、步骤509可以分别对应于分析单元18和提示单元19的功能,在此不在赘述。
基于同样的发明构思,本发明实施例提供了一种设备安全管理方法。图6是本发明另一个实施例中一种设备安全管理方法的步骤流程示意图,参见图6,该方法包括:
步骤601:生成数据价值计算规则;
步骤602:向目标设备发送所述数据价值计算规则,以使所述目标设备依据该数据价值计算规则计算目标设备的存储数据的数据价值,根据所述数据价值获取对应的安全防护策略,并根据所述安全防护策略对所述目标设备进行安全管理。
可以看出,上述步骤601和步骤602可以分别对应于第一生成单元41和第一发送单元42的功能,在此不在赘述。
进一步地,该方法还可以包括附图未示出的下述步骤:
步骤603:生成环境价值计算规则;
步骤604:向目标设备发送所述环境价值计算规则,以使所述目标设备依据所述环境价值计算规则计算目标设备所在网络节点的环境价值。
可以看出,上述步骤603和步骤604可以分别对应于第二生成单元43和第二发送单元44的功能,在此不在赘述。
同时,该方法还可以包括附图未示出的下述步骤:
步骤605:生成密级评定规则;
步骤606:向目标设备发送所述密级评定规则,以使目标设备将所述密级评定规则与所述目标设备的存储数据的数据价值和/或所述目标设备所在网络节点的环境价值,得到目标设备所属的保密等级,并根据所述目标设备所属的保密等级获取对应的安全防护策略。
可以看出,上述步骤605和步骤606可以分别对应于第三生成单元45和第三发送单元46的功能,在此不在赘述。
另外,该方法还可以包括附图未示出的下述步骤:
步骤607:接收来自目标设备的安全检测结果,所述安全检测结果为目标设备获取所述安全防护策略中至少一组相互对应的配置项目与配置目标,并检测目标设备在所述获取模块得到的任一配置项目上的设置是否满足对应的配置目标后得到的目标设备的安全检测结果。
可以看出,上述步骤607可以分别对应于上述接收单元47的功能,在此不在赘述。需要说明的是,上述方法在步骤601和步骤602的基础之上,可以包括步骤603-604、步骤605-606和步骤607这三种流程中的任意一种或多种;而且,这三种流程与步骤601-602的流程可以以任意的先后顺序执行,本发明对此不做限制。
本发明的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释呈反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在于该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是互相排斥之处,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的一种设备安全管理装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。
Claims (30)
1.一种设备安全管理装置,其特征在于,包括:
第一获取单元,用于获取数据价值计算规则;
第二获取单元,用于获取目标设备的存储数据;
第一计算单元,用于依据所述第一获取单元得到的数据价值计算规则计算所述第二获取单元得到的目标设备的存储数据的数据价值;
第三获取单元,用于根据所述第一计算单元得到的所述数据价值获取对应的安全防护策略;
安全管理单元,用于根据所述第三获取单元得到的安全防护策略对所述目标设备进行安全管理;
第四获取单元,用于获取环境价值计算规则;
第二计算单元,用于依据所述第四获取单元得到的环境价值计算规则计算目标设备所在网络节点的环境价值;
所述第二计算单元包括:
获取子单元,用于获取目标设备所在网络节点的位置和/或目标设备所在网络节点的职能;
计算子单元,用于依据所述第四获取单元得到的环境价值规则对所述获取子单元得到的目标设备所在网络节点的位置和/或目标设备所在网络节点的职能进行计算,得到目标设备所在网络节点的环境价值。
2.根据权利要求1所述的装置,其特征在于,所述第一计算单元包括:
获取子单元,用于获取所述数据价值计算规则中的至少一个用于判断存储数据是否具有数据价值的敏感特征;
检测子单元,用于对所述第二获取单元得到的目标设备的存储数据进行检测,得到可以与所述获取子单元得到的敏感特征相匹配的存储数据;
计算子单元,用于依据所述第一获取单元得到的数据价值计算规则对所述检测子单元得到的存储数据进行计算,得到目标设备的存储数据的数据价值。
3.根据权利要求2所述的装置,其特征在于,所述检测子单元包括:
获取模块,用于获取预先设定的检测范围和/或所述数据价值计算规则中的检测范围;
检测模块,用于在获取模块得到的检测范围内对所述第二获取单元得到的目标设备的存储数据进行检测,得到可以与所述获取子单元得到的敏感特征相匹配的存储数据。
4.根据权利要求2或3所述的装置,其特征在于,所述计算子单元包括:
获取模块,用于在所述第一获取单元得到的数据价值计算规则中获取至少一个存储数据分类的分类标准;
分类模块,用于依据所述获取模块得到的至少一个存储数据分类的分类标准对所述检测子单元得到的存储数据进行分类,得到分别属于至少一个存储数据分类的至少一个存储数据集合;
计算模块,用于依据所述第一获取单元得到的数据价值计算规则分别对所述分类模块得到的至少一个存储数据集合进行计算,得到目标设备的存储数据的数据价值。
5.根据权利要求4所述的装置,其特征在于,所述计算模块包括:
获取子模块,用于获取对应于每一所述存储数据分类的数据价值权重;
计算子模块,用于将所述分类模块得到的属于任一存储数据分类的存储数据集合的数据量与所述获取子模块得到的该存储数据分类的数据价值权重相乘,并将对应于所有存储数据分类的乘积之和作为目标设备的存储数据的数据价值。
6.根据权利要求2、3或5所述的装置,其特征在于,所述数据价值计算规则中的至少一个敏感特征包括:
存储数据包括任一所述数据价值计算规则中指定的敏感内容;
和/或,
存储数据包括任一所述数据价值计算规则中指定的敏感数据类型的数据;
和/或,
存储数据的文件名位于所述数据价值计算规则中的文件名黑名单列表当中。
7.根据权利要求1所述的装置,其特征在于,所述第三获取单元包括:
第一获取子单元,用于获取目标设备的密级评定规则;
比较子单元,用于将所述第一获取子单元得到的密级评定规则与所述第一计算单元得到的数据价值和/或所述第二计算单元得到的环境价值进行比较,得到目标设备所属的保密等级;
第二获取子单元,用于根据所述比较子单元得到的目标设备所属的保密等级获取对应的安全防护策略。
8.根据权利要求1、2、3、5或7所述的装置,其特征在于,所述安全管理单元包括:
获取子单元,用于获取所述第三获取单元得到的安全防护策略中至少一组相互对应的配置项目与配置目标;
检测子单元,用于检测目标设备在所述获取子单元得到的任一配置项目上的设置是否满足对应的配置目标,得到目标设备的安全检测结果。
9.根据权利要求8所述的装置,其特征在于,所述安全管理单元还包括:
修复子单元,用于根据所述检测子单元得到的目标设备的安全检测结果对目标设备的设置进行修复。
10.根据权利要求8所述的装置,其特征在于,所述安全管理单元还包括:
发送子单元,用于将所述检测子单元得到的目标设备的安全检测结果发送至目标设备的上级管理设备。
11.根据权利要求9或10所述的装置,其特征在于,所述安全管理单元还包括:
计算子单元,用于获取防护能力计算规则,并依据所述防护能力计算规则以及所述检测子单元得到的目标设备的安全检测结果计算目标设备的安全防护能力。
12.根据权利要求1、2、3、5、7、9或10所述的装置,其特征在于,所述装置还包括:
分析单元,用于分析所述第一计算单元得到的所述数据价值,得到所述第二获取单元得到的目标设备的存储数据中数据价值所占比例大于一预定值的存储数据;
提示单元,用于提示目标设备的用户对所述分析单元得到的存储数据进行加密。
13.一种设备安全管理装置,其特征在于,包括:
第一生成单元,用于生成数据价值计算规则;
第一发送单元,用于向目标设备发送所述第一生成单元得到的数据价值计算规则,以使所述目标设备依据该数据价值计算规则计算目标设备的存储数据的数据价值,根据所述数据价值获取对应的安全防护策略,并根据所述安全防护策略对所述目标设备进行安全管理;
接收单元,用于接收来自目标设备的安全检测结果,所述安全检测结果为目标设备获取所述安全防护策略中至少一组相互对应的配置项目与配置目标,并检测目标设备在所述获取模块得到的任一配置项目上的设置是否满足对应的配置目标后得到的目标设备的安全检测结果。
14.根据权利要求13所述的装置,其特征在于,所述装置还包括:
第二生成单元,用于生成环境价值计算规则;
第二发送单元,用于向目标设备发送所述第二生成单元得到的环境价值计算规则,以使所述目标设备依据所述环境价值计算规则计算目标设备所在网络节点的环境价值。
15.根据权利要求14所述的装置,其特征在于,所述装置还包括:
第三生成单元,用于生成密级评定规则;
第三发送单元,用于向目标设备发送所述第三生成单元得到的密级评定规则,以使目标设备将所述密级评定规则与所述目标设备的存储数据的数据价值和/或所述目标设备所在网络节点的环境价值,得到目标设备所属的保密等级,并根据所述目标设备所属的保密等级获取对应的安全防护策略。
16.一种设备安全管理方法,其特征在于,包括:
获取数据价值计算规则;
获取目标设备的存储数据;
依据所述数据价值计算规则计算所述目标设备的存储数据的数据价值;
根据所述数据价值获取对应的安全防护策略;
根据所述安全防护策略对所述目标设备进行安全管理;
获取环境价值计算规则;
获取目标设备所在网络节点的位置和/或目标设备所在网络节点的职能;
依据所述环境价值规则对所述目标设备所在网络节点的位置和/或所述目标设备所在网络节点的职能进行计算,得到目标设备所在网络节点的环境价值。
17.根据权利要求16所述的方法,其特征在于,所述数据价值计算规则包括至少一个用于判断存储数据是否具有数据价值的敏感特征;所述依据所述数据价值计算规则计算所述目标设备的存储数据的数据价值,包括:
获取所述数据价值计算规则中的至少一个敏感特征;
对所述目标设备的存储数据进行检测,得到可以与所述敏感特征相匹配的存储数据;
依据所述数据价值计算规则对所述可以与所述敏感特征相匹配的存储数据进行计算,得到目标设备的存储数据的数据价值。
18.根据权利要求17所述的方法,其特征在于,所述对所述目标设备的存储数据进行检测,得到可以与所述敏感特征相匹配的存储数据,包括:
获取预先设定的检测范围和/或所述数据价值计算规则中的检测范围;
在获取到的检测范围内对所述目标设备的存储数据进行检测,得到可以与所述敏感特征相匹配的存储数据。
19.根据权利要求17或18所述的方法,其特征在于,所述依据所述数据价值计算规则对所述可以与所述敏感特征相匹配的存储数据进行计算,得到目标设备的存储数据的数据价值,包括:
在所述数据价值计算规则中获取至少一个存储数据分类的分类标准;
依据所述至少一个存储数据分类的分类标准对所述可以与所述敏感特征相匹配的存储数据进行分类,得到分别属于至少一个存储数据分类的至少一个存储数据集合;
依据所述数据价值计算规则分别对所述至少一个存储数据集合进行计算,得到目标设备的存储数据的数据价值。
20.根据权利要求19所述的方法,其特征在于,所述依据所述数据价值计算规则分别对所述至少一个存储数据集合进行计算,得到目标设备的存储数据的数据价值,包括:
获取对应于每一所述存储数据分类的数据价值权重;
将属于任一存储数据分类的存储数据集合的数据量与该存储数据分类的数据价值权重相乘,并将对应于所有存储数据分类的乘积之和作为目标设备的存储数据的数据价值。
21.根据权利要求17、18或20所述的方法,其特征在于,所述数据价值计算规则中的至少一个敏感特征包括:
存储数据包括任一所述数据价值计算规则中指定的敏感内容;
和/或,
存储数据包括任一所述数据价值计算规则中指定的敏感数据类型的数据;
和/或,
存储数据的文件名位于所述数据价值计算规则中的文件名黑名单列表当中。
22.根据权利要求16所述的方法,其特征在于,所述根据所述数据价值获取对应的安全防护策略,包括:
获取目标设备的密级评定规则;
将所述密级评定规则与所述目标设备的存储数据的数据价值和/或所述目标设备所在网络节点的环境价值进行比较,得到目标设备所属的保密等级;
根据所述目标设备所属的保密等级获取对应的安全防护策略。
23.根据权利要求16、17、18或20所述的方法,其特征在于,所述根据所述安全防护策略对所述目标设备进行安全管理,包括:
获取所述安全防护策略中至少一组相互对应的配置项目与配置目标;
检测目标设备在任一所述配置项目上的设置是否满足对应的配置目标,得到目标设备的安全检测结果。
24.根据权利要求23所述的方法,其特征在于,所述根据所述安全防护策略对所述目标设备进行安全管理,还包括:
根据所述安全检测结果对目标设备的设置进行修复。
25.根据权利要求23所述的方法,其特征在于,所述根据所述安全防护策略对所述目标设备进行安全管理,还包括:
将所述安全检测结果发送至目标设备的上级管理设备。
26.根据权利要求23所述的方法,其特征在于,所述根据所述安全防护策略对所述目标设备进行安全管理,还包括:
获取防护能力计算规则,并依据所述防护能力计算规则以及所述安全检测结果计算目标设备的安全防护能力。
27.根据权利要求16、17、18、20、22、24、25或26所述的方法,其特征在于,还包括:
分析所述数据价值,得到所述目标设备的存储数据中所占比例大于一预定值的存储数据;
提示目标设备的用户对所述目标设备的存储数据中所占比例大于一预定值的存储数据进行加密。
28.一种设备安全管理方法,其特征在于,包括:
生成数据价值计算规则;
向目标设备发送所述数据价值计算规则,以使所述目标设备依据该数据价值计算规则计算目标设备的存储数据的数据价值,根据所述数据价值获取对应的安全防护策略,并根据所述安全防护策略对所述目标设备进行安全管理;
接收来自目标设备的安全检测结果,所述安全检测结果为目标设备获取所述安全防护策略中至少一组相互对应的配置项目与配置目标,并检测目标设备在所述获取模块得到的任一配置项目上的设置是否满足对应的配置目标后得到的目标设备的安全检测结果。
29.根据权利要求28所述的方法,其特征在于,还包括:
生成环境价值计算规则;
向目标设备发送所述环境价值计算规则,以使所述目标设备依据所述环境价值计算规则计算目标设备所在网络节点的环境价值。
30.根据权利要求29所述的方法,其特征在于,还包括:
生成密级评定规则;
向目标设备发送所述密级评定规则,以使目标设备将所述密级评定规则与所述目标设备的存储数据的数据价值和/或所述目标设备所在网络节点的环境价值,得到目标设备所属的保密等级,并根据所述目标设备所属的保密等级获取对应的安全防护策略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510217652.5A CN104850797B (zh) | 2015-04-30 | 2015-04-30 | 设备安全管理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510217652.5A CN104850797B (zh) | 2015-04-30 | 2015-04-30 | 设备安全管理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104850797A CN104850797A (zh) | 2015-08-19 |
| CN104850797B true CN104850797B (zh) | 2017-04-19 |
Family
ID=53850434
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510217652.5A Active CN104850797B (zh) | 2015-04-30 | 2015-04-30 | 设备安全管理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104850797B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107315953B (zh) * | 2016-04-26 | 2020-06-02 | 中芯国际集成电路制造(天津)有限公司 | 设备安全检测系统及检测方法 |
| CN106302453A (zh) * | 2016-08-15 | 2017-01-04 | 北京奇虎科技有限公司 | 数据的处理方法、装置及系统 |
| CN106657104B (zh) * | 2016-12-30 | 2019-09-06 | 杭州迪普科技股份有限公司 | 一种防护策略的匹配方法及装置 |
| CN107426173B (zh) * | 2017-06-06 | 2021-01-29 | 北京鸿享技术服务有限公司 | 文件防护方法及装置 |
| CN111737102A (zh) * | 2020-08-21 | 2020-10-02 | 北京志翔科技股份有限公司 | 一种安全预警方法及计算机可读存储介质 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101674302A (zh) * | 2009-09-25 | 2010-03-17 | 联想网御科技(北京)有限公司 | 对信息系统进行安全性识别的方法及装置 |
| EP2715601A1 (en) * | 2011-06-01 | 2014-04-09 | Security First Corp. | Systems and methods for secure distributed storage |
| CN103577766A (zh) * | 2012-08-09 | 2014-02-12 | 董靖 | 电子文档的安全管理方法和系统 |
| CN104346565B (zh) * | 2013-07-30 | 2017-10-10 | 北京神州泰岳软件股份有限公司 | 一种漏洞扫描方法及系统 |
| CN104092668B (zh) * | 2014-06-23 | 2017-08-08 | 北京航空航天大学 | 一种可重构网络安全服务构造方法 |
-
2015
- 2015-04-30 CN CN201510217652.5A patent/CN104850797B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN104850797A (zh) | 2015-08-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104850797B (zh) | 设备安全管理方法及装置 | |
| US11308435B2 (en) | Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques | |
| US10599870B2 (en) | Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques | |
| US10452864B2 (en) | Data processing systems for webform crawling to map processing activities and related methods | |
| US20200220901A1 (en) | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods | |
| AU2017250108B2 (en) | Method and apparatus for reducing security risk in a networked computer system architecture | |
| CN105206114B (zh) | 飞行控制、许可、安全维护方法和装置、服务器、飞行器 | |
| US11244071B2 (en) | Data processing systems for use in automatically generating, populating, and submitting data subject access requests | |
| US9008617B2 (en) | Layered graphical event mapping | |
| US10713366B2 (en) | Systems and methods for automated threat model generation from third party diagram files | |
| US10984112B2 (en) | Systems and methods for automated threat modeling of an existing computing environment | |
| CN105243252B (zh) | 一种账户风险评估的方法及装置 | |
| US11159559B2 (en) | Systems and methods for importing diagrams for automated threat modeling | |
| US11228620B2 (en) | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods | |
| CN105099983B (zh) | 授权方法、权限设置方法及装置 | |
| US11070593B2 (en) | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods | |
| US20200314147A1 (en) | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods | |
| US11336697B2 (en) | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods | |
| CN108292377A (zh) | 管理技术处理数据 | |
| CN108259441A (zh) | 一种防止url访问绕行的方法及装置 | |
| US20220237538A1 (en) | Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques | |
| Tang | The implementation of Deming's system model to improve security management: A case study | |
| US20200410130A1 (en) | Data processing systems for webform crawling to map processing activities and related methods | |
| CN117556429B (zh) | 公共安全视频图像系统的安全防护能力评价方法和系统 | |
| CN113052579B (zh) | 一种移动支付平台的支付方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20161205 Address after: 100015 Chaoyang District Road, Jiuxianqiao, No. 10, building No. 3, floor 15, floor 17, 1701-26, Applicant after: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. Address before: 100088 Beijing city Xicheng District xinjiekouwai Street 28, block D room 112 (Desheng Park) Applicant before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Applicant before: Qizhi software (Beijing) Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Patentee after: Qianxin Technology Group Co.,Ltd. Address before: 100015 15, 17 floor 1701-26, 3 building, 10 Jiuxianqiao Road, Chaoyang District, Beijing. Patentee before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
| CP03 | Change of name, title or address | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210106 Address after: 100044 2nd floor, building 1, yard 26, Xizhimenwai South Road, Xicheng District, Beijing Patentee after: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. Patentee after: Qianxin Technology Group Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Patentee before: Qianxin Technology Group Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100044 2nd floor, building 1, yard 26, Xizhimenwai South Road, Xicheng District, Beijing Patentee after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Patentee after: Qianxin Technology Group Co.,Ltd. Address before: 100044 2nd floor, building 1, yard 26, Xizhimenwai South Road, Xicheng District, Beijing Patentee before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. Patentee before: Qianxin Technology Group Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder |