CN111814152A - 一种安全评估方法、装置、电子设备及介质 - Google Patents
一种安全评估方法、装置、电子设备及介质 Download PDFInfo
- Publication number
- CN111814152A CN111814152A CN202010658825.8A CN202010658825A CN111814152A CN 111814152 A CN111814152 A CN 111814152A CN 202010658825 A CN202010658825 A CN 202010658825A CN 111814152 A CN111814152 A CN 111814152A
- Authority
- CN
- China
- Prior art keywords
- security
- baseline
- target
- safety
- rule strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请提供了一种安全评估方法、装置、电子设备及介质,其中,该方法包括:获取待评估的目标项目的安全评估请求,所述安全评估请求中携带有目标项目信息;基于预先配置的基线规则策略集合中的各个基线规则策略与项目信息集合中的各个项目信息之间的映射关系,确定与所述目标项目信息匹配的目标基线规则策略;基于预先配置的基线规则策略集合中的各个基线规则策略与安全基线集合中的各个安全基线的映射关系,确定与所述目标基线规则策略匹配的目标安全基线。本申请可以较为全面地覆盖目标项目所存在的安全问题和解决方案,从而可以降低安全风险的可能。
Description
技术领域
本申请涉及安全评估技术领域,具体而言,涉及一种安全评估方法、装置、电子设备及介质。
背景技术
“安全基线”是业务项目的最小安全保证。一般来说,不满足最基本的安全需求,也就无法承受由此带来的安全风险。
目前,在新的项目上线之前,都会由安全工程师进行安全评估。在安全评估的过程中,首先研发人员介绍具体的业务流程和场景、技术实现的完整架构,好帮助安全工程师理解业务流程和技术架构,同时将系统的设计文档和技术代码提交给安全工程师进行安全评估,研发人员与安全工程师进行反复沟通;然后安全工程师依靠自身的安全知识和对业务的理解,发现业务流程、技术架构和代码中存在的安全问题,并提出针对问题的解决方案,即提出“安全基线”;最后研发人员按照安全工程师提出的“安全基线”来实现和整改以缓解新项目上线后可能面临的安全风险。
但是,安全工程师在进行安全评估时仅依靠个人能力和经验,假如安全工程师评估经验不足则会引发安全风险的可能。即使是两个经验都很丰富的安全工程师,由于每个人的理解和认知不一样,同一个项目也很难保障覆盖到所有的安全问题,会存在遗漏问题,从而引发安全风险的可能。
发明内容
有鉴于此,本申请的目的在于提供一种安全评估方法、装置、电子设备及介质,可以较为全面地覆盖目标项目所存在的安全问题和解决方案,从而可以降低安全风险的可能。
第一方面,本申请实施例提供一种安全评估方法,包括:
获取待评估的目标项目的安全评估请求,所述安全评估请求中携带有目标项目信息;
基于预先配置的基线规则策略集合中的各个基线规则策略与项目信息集合中的各个项目信息之间的映射关系,确定与所述目标项目信息匹配的目标基线规则策略;
基于预先配置的基线规则策略集合中的各个基线规则策略与安全基线集合中的各个安全基线的映射关系,确定与所述目标基线规则策略匹配的目标安全基线。
在一种可能的实施方式中,所述项目信息包括:项目类型、数据等级、用户类型、访问方式类型和调用方类型中每种类型参数下的一种子类型。
在一种可能的实施方式中,所述安全基线包括目标项目的安全问题和用于解决该安全问题的解决方案。
在一种可能的实施方式中,所述项目信息与基线规则策略为多对多的映射关系,所述基线规则策略与安全基线为一对多的映射关系。
在一种可能的实施方式中,所述方法还包括:
获取应用安全行业关于安全基线的规范和/或安全知识库;
基于所述应用安全行业关于安全基线的规范和/或安全知识库,生成所述安全基线集合。
在一种可能的实施方式中,所述方法还包括:将所述目标安全基线以在线HTML形式进行展示。
在一种可能的实施方式中,所述方法还包括:
在安全评估请求操作界面中显示项目信息的每种类型参数选项和用于提交用户选择的至少一个参数选项的提交控件;
响应于对所述提交控件的触发操作,生成待评估的目标项目的安全评估请求。
在一种可能的实施方式中,所述方法还包括:
提供目标项目的安全评估的注册登录界面;
对用户在所述注册登录界面输入的注册登录信息进行验证;
若验证通过,则跳转到所述安全评估请求操作界面。
第二方面,本申请实施例提供一种安全评估装置,包括:
请求获取模块,用于获取待评估的目标项目的安全评估请求,所述安全评估请求中携带有目标项目信息;
策略确定模块,用于基于预先配置的基线规则策略集合中的各个基线规则策略与项目信息集合中的各个项目信息之间的映射关系,确定与所述目标项目信息匹配的目标基线规则策略;
基线确定模块,用于基于预先配置的基线规则策略集合中的各个基线规则策略与安全基线集合中的各个安全基线的映射关系,确定与所述目标基线规则策略匹配的目标安全基线。
在一种可能的实施方式中,所述项目信息包括:项目类型、数据等级、用户类型、访问方式类型和调用方类型中每种类型参数下的一种子类型。
在一种可能的实施方式中,所述安全基线包括目标项目的安全问题和用于解决该安全问题的解决方案。
在一种可能的实施方式中,所述项目信息与基线规则策略为多对多的映射关系,所述基线规则策略与安全基线为一对多的映射关系。
在一种可能的实施方式中,所述装置还包括基线生成模块,所述基线生成模块包括:
获取单元,用于获取应用安全行业关于安全基线的规范和/或安全知识库;
生成单元,用于基于所述应用安全行业关于安全基线的规范和/或安全知识库,生成所述安全基线集合。
在一种可能的实施方式中,所述装置还包括:基线展示模块,用于将所述目标安全基线以在线HTML形式进行展示。
在一种可能的实施方式中,所述装置还包括请求生成模块,所述请求生成模块包括:
显示单元,用于在安全评估请求操作界面中显示项目信息的每种类型参数选项和用于提交用户选择的至少一个参数选项的提交控件;
响应单元,用于响应于对所述提交控件的触发操作,生成待评估的目标项目的安全评估请求。
在一种可能的实施方式中,所述装置还包括注册登录模块,所述注册登录模块包括:
提供单元,用于提供目标项目的安全评估的注册登录界面;
验证单元,用于对用户在所述注册登录界面输入的注册登录信息进行验证;
跳转单元,用于若验证通过,则跳转到所述安全评估请求操作界面。
第三方面,本申请实施例提供一种电子设备,包括:处理器、存储介质和总线,所述存储介质存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储介质之间通过总线通信,所述处理器执行所述机器可读指令,以执行第一方面,或第一方面任一可能的实施方式中所述方法的步骤。
第四方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行第一方面,或第一方面中任一可能的实施方式中所述方法的步骤。
本申请实施例提供一种安全评估方法,首先获取待评估的目标项目的安全评估请求,所述安全评估请求中携带有目标项目信息;然后基于预先配置的基线规则策略集合中的各个基线规则策略与项目信息集合中的各个项目信息之间的映射关系,确定与所述目标项目信息匹配的目标基线规则策略;最后基于预先配置的基线规则策略集合中的各个基线规则策略与安全基线集合中的各个安全基线的映射关系,确定与所述目标基线规则策略匹配的目标安全基线。由于预先配置了基线规则策略集合中的各个基线规则策略与项目信息集合中的各个项目信息之间的映射关系,以及基线规则策略集合中的各个基线规则策略与安全基线集合中的各个安全基线的映射关系,可以较为全面地覆盖目标项目所存在的安全问题和解决方案,从而可以降低安全风险的可能。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本申请实施例提供的一种网约车项目的安全评估方法的流程图;
图2示出了本申请实施例提供的基线规则匹配示意图;
图3示出了本申请实施例提供的一种Mis系统的安全评估方法的流程图;
图4示出了本申请实施例提供的目标基线的示意图;
图5示出了本申请实施例提供的一种网约车项目的安全评估装置的结构示意图;
图6示出了本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,应当理解,本申请中附图仅起到说明和描述的目的,并不用于限定本申请的保护范围。另外,应当理解,示意性的附图并未按实物比例绘制。本申请中使用的流程图示出了根据本申请的一些实施例实现的操作。应该理解,流程图的操作可以不按顺序实现,没有逻辑的上下文关系的步骤可以反转顺序或者同时实施。此外,本领域技术人员在本申请内容的指引下,可以向流程图添加一个或多个其他操作,也可以从流程图中移除一个或多个操作。
另外,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,本申请实施例中将会用到术语“包括”,用于指出其后所声明的特征的存在,但并不排除增加其它的特征。
传统方案中,在新的项目上线之前,都会由安全工程师进行安全评估。在安全评估的过程中,首先研发人员介绍具体的业务流程和场景、技术实现的完整架构,好帮助安全工程师理解业务流程和技术架构,同时将系统的设计文档和技术代码提交给安全工程师进行安全评估,研发人员与安全工程师进行反复沟通;然后安全工程师依靠自身的安全知识和对业务的理解,发现业务流程、技术架构和代码中存在的安全问题,并提出针对问题的解决方案,即提出“安全基线”;最后研发人员按照安全工程师提出的“安全基线”来实现和整改以缓解新的项目上线后可能面临的安全风险。但是,安全工程师在进行安全评估时仅依靠个人能力和经验,假如安全工程师评估经验不足则会引发安全风险的可能。即使是两个经验都很丰富的安全工程师,由于每个人的理解和认知不一样,同一个项目也很难保障覆盖到所有的安全问题,会存在遗漏问题,从而引发安全风险的可能。基于此,本申请提供一种安全评估方法、装置、电子设备及介质。
首先对本申请实施例提供的一种安全评估方法进行详细说明。
请参照图1,为本申请实施例提供的一种安全评估方法的流程图。如图1所示,可以包括以下步骤:
步骤S101、获取待评估的目标项目的安全评估请求,所述安全评估请求中携带有目标项目信息;
步骤S102、基于预先配置的基线规则策略集合中的各个基线规则策略与项目信息集合中的各个项目信息之间的映射关系,确定与所述目标项目信息匹配的目标基线规则策略;
步骤S103、基于预先配置的基线规则策略集合中的各个基线规则策略与安全基线集合中的各个安全基线的映射关系,确定与所述目标基线规则策略匹配的目标安全基线。
安全基线是一个业务系统的最小安全保证,即该业务系统最基本需要满足的安全需求,构造业务系统安全基线是系统安全工程的首要步骤,同时也是进行安全评估、发现和解决业务系统安全问题的先决条件。安全基线的使用范围非常广泛,主要包括新业务系统的上线安全检查、第三方入网安全检查、合规性安全检查(上级检查)、日常运维检查/评估等。通过对目标系统展开合规化安全检查,找出不符合的项目并选择和实施安全措施来控制安全风险。
安全基线可分为三个方面:(1)系统存在的安全漏洞;(2)系统配置的脆弱性;(3)系统状态的监控。业务系统的安全基线由以上三个方面必须满足的最小要求组成。具体来说,安全基线三个组成部分的内容分别为:
(1)系统存在的安全漏洞:漏洞通常是由于软件或协议等系统自身存在缺陷引起的安全风险,一般包括了登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况处置错误等,反映了系统自身的安全脆弱性。漏洞信息一般基于相应的国际标准,如CVE(Common Vulnerabilities&Exposures)。
(2)系统配置的脆弱性:通常都是由于人为操作的疏忽造成,主要包括了账号、口令、授权、日志、IP通信等方面内容,反映了系统自身的安全脆弱性。
(3)系统状态的监控:包含系统端口状态、进程、账号以及重要文件变化的监控等。这些内容反映了业务系统当前所处环境的安全状况,有助于了解业务运行的动态情况。由于系统状态基线随着业务应用的不同而不同,必须和具体的业务应用相关联。
业务系统的安全基线建立起来后,可以形成针对不同系统的详细漏洞要求、配置要求和状态要求的检查项,为标准化和自动化的技术安全操作提供可操作和可执行的标准。
在步骤S101中,待评估的目标项目可以为出行平台上的项目,可以为网约车项目,也可以为非网约车项目,例如外卖项目等等。
安全评估请求中携带有目标项目信息,所述目标项目信息可以包括:项目类型、数据等级、用户类型、访问方式类型和调用方类型中每种类型参数下的一种子类型。在具体实施中,可以预先配置项目信息的类型参数及相应的子类型。项目信息的类别的确定过程如下:将主要业务线的主要业务场景进行分类,从不同场景类别中提取出相同的信息特点,把信息特点作为项目信息,项目信息下再细分子类别。
在一种可能的实施方式中,还提供了安全评估请求操作界面,以供用户便捷地进行操作。安全评估请求的生成过程如下:在安全评估请求操作界面中显示项目信息的每种类型参数选项和用于提交用户选择的至少一个参数选项的提交控件;响应于对所述提交控件的触发操作,生成待评估的目标项目的安全评估请求。
在一种可能的实施方式中,还提供了目标项目的安全评估的注册登录界面;对用户在所述注册登录界面输入的注册登录信息进行验证;若验证通过,则跳转到所述安全评估请求操作界面。目标项目的安全评估的注册登录界面指的是,用于注册账号密码的界面,以及需要提供帐号密码验证的界面,有控制用户权限、记录用户行为,保护操作安全的作用。注册登录界面可以包括两类:软件登录界面和网站系统登录界面。本实施例不作具体限定,采用软件登录界面或者网站系统登录界面都可以。具体地,注册登录信息可以包括员工工号、姓名、部门名称、项目名称、联系方式等等。由于待评估的目标项目还未上线,通过验证注册登录信息可以防止目标项目信息泄密。
在步骤S102中,预先配置基线规则策略集合中的各个基线规则策略与项目信息集合中的各个项目信息之间的映射关系。在本实施例中,如图2所示,所述项目信息与基线规则策略为多对多的映射关系。每条项目信息包括项目类型、数据等级、用户类型、访问方式类型和调用方类型这五种参数选项,五种参数选项对应多条基线规则策略,五种参数选项所选中的子类别不同则对应的基线规则策略不同。在具体实施中,基于预先配置的该映射关系,查询目标项目信息所匹配的目标基线规则策略。基线规则策略的匹配逻辑由经验丰富的安全工程师或安全专家提前设置。
在步骤S103中,安全基线包括目标项目的安全问题和用于解决该安全问题的解决方案。安全基线集合是基于获取到的应用安全行业关于安全基线的规范和/或安全知识库生成的,可以全面覆盖目标项目的安全问题和解决方案。其中,应用安全行业关于安全基线的规范可以基于Web(World WideWeb,全球广域网)应用安全、应用安全行业标准获得。安全知识库可以基于应用安全业界最佳实践、安全专家建议和应用安全历史经验总结获得。
预先配置基线规则策略集合中的各个基线规则策略与安全基线集合中的各个安全基线的映射关系。在本实施例中,如图2所示,所述基线规则策略与安全基线为一对多的映射关系,也就是每条基线规则策略对应多个安全基线。在具体实施中,基于预先配置的该映射关系,查询目标基线规则策略所匹配的目标安全基线。
在一种可能的实施方式中,将所述目标安全基线以在线HTML(Hyper Text MarkupLanguage,超级文本标记语言)形式进行展示。需要说明的是,本实施例以在线HTML形式展示目标安全基线为例仅用于教导本领域技术人员如何实施本发明,本发明不限于此,还可以采用其他形式展示目标安全基线。
待评估的目标项目可以为出行平台上的项目,可以为网约车项目,也可以为非网约车项目,例如外卖项目等等。下面以目标项目为Mis系统为例,对上述安全评估方法进行详细说明。
其中,Mis(Management Information System,管理信息系统)系统,主要指的是进行日常事务操作的系统,例如给加盟商提供采购管理的Mis系统。这种系统主要用于管理需要的记录,并对记录数据进行相关处理,将处理的信息及时反映给管理者的一套网络管理系统。
传统的Mis系统的核心是CS(Client/Server,客户端/服务器)架构,而基于Web的Mis系统的核心是BS(Browser/Server,浏览器/服务器)架构。BS架构比起CS架构有着很大的优越性,传统的Mis系统依赖于专门的操作环境,这意味着操作者的活动空间受到极大限制;而BS架构则不需要专门的操作环境,在任何地方,只要能上网,就能够操作Mis系统,这其中的优劣差别是不言而喻的。
请参照图3,为本申请实施例提供的一种Mis系统的安全评估方法的流程图。如图3所示,可以包括以下步骤:
步骤S301、提供目标项目的安全评估的注册登录界面;
步骤S302、对用户在所述注册登录界面输入的注册登录信息进行验证;
步骤S303、判断验证是否通过,若是则转入步骤S304,若否则转入步骤S310;
步骤S304、跳转到安全评估请求操作界面,所述安全评估请求操作界面显示有项目类型、数据等级、用户类型、访问方式和调用方类型的参数选项和用于提交用户选择的这五种参数选项的提交控件;
步骤S305、响应于对所述提交控件的触发操作,生成待评估的目标项目的安全评估请求;
步骤S306、获取待评估的Mis系统的安全评估请求,所述安全评估请求中携带有Mis系统的项目信息;
步骤S307、基于预先配置的基线规则策略集合中的各个基线规则策略与项目信息集合中的各个项目信息之间的映射关系,确定与所述Mis系统的项目信息匹配的目标基线规则策略;
步骤S308、基于预先配置的基线规则策略集合中的各个基线规则策略与安全基线集合中的各个安全基线的映射关系,确定与所述目标基线规则策略匹配的目标安全基线;
步骤S309、将所述目标安全基线以在线HTML形式进行展示;
步骤S310、结束。
下面对上述步骤进行具体说明。
在步骤S301中,目标项目的安全评估的注册登录界面指的是,用于注册账号密码的界面,以及需要提供帐号密码验证的界面,有控制用户权限、记录用户行为,保护操作安全的作用。注册登录界面可以包括两类:软件登录界面和网站系统登录界面。本实施例不作具体限定,采用软件登录界面或者网站系统登录界面都可以。
在步骤S302中,注册登录信息可以包括员工工号、姓名、部门名称、项目名称、联系方式等等。由于待评估的目标项目还未上线,通过验证注册登录信息可以防止目标项目信息泄密。
在步骤S304中,安全评估请求操作界面显示有项目类型、数据等级、用户类型、访问方式和调用方类型这五种参数选项和用于提交用户选择的这五种参数选项的提交控件。为了确定参数选项,可以预先配置项目信息的类型参数及相应的子类型。具体地,项目信息的类别的确定过程如下:将主要业务线的主要业务场景进行分类,从不同场景类别中提取出相同的信息特点,把信息特点作为项目信息,项目信息下再细分子类别。在本实施例中,项目类型选择Mis系统,数据等级选择C3,用户类型选择合作伙伴,访问方式类型选择外网访问,调用方类型选择前端页面。本实施例不限于此,还可以选择其他子类型。
在步骤S307中,基线规则策略的匹配逻辑由经验丰富的安全工程师或安全专家提前设置。所述项目信息与基线规则策略为多对多的映射关系。每条项目信息包括项目类型、数据等级、用户类型、访问方式类型和调用方类型这五种参数选项,五种参数选项对应多条基线规则策略。在具体实施中,基于预先配置的该映射关系,查询目标项目信息所匹配的目标基线规则策略。
在步骤S308中,所述安全基线包括目标项目的安全问题和用于解决该安全问题的解决方案。安全基线集合是基于获取到的应用安全行业关于安全基线的规范和/或安全知识库生成的,可以全面覆盖目标项目的安全问题和解决方案。其中,应用安全行业关于安全基线的规范可以基于Web应用安全、应用安全行业标准获得。安全知识库可以基于应用安全业界最佳实践、安全专家建议和应用安全历史经验总结获得。
预先配置基线规则策略集合中的各个基线规则策略与安全基线集合中的各个安全基线的映射关系。在本实施例中,所述基线规则策略与安全基线为一对多的映射关系,也就是每条基线规则策略对应多个安全基线。在具体实施中,基于预先配置的该映射关系,查询目标基线规则策略所匹配的目标安全基线。
在本实施例中,输出如图4所示的5条目标基线,点击链接可以查看每条基线对应的具体安全问题和解决方案。
作为示例,5条目标基线分别为:
1.1.1-c,内部系统接SSO;
1.1.3-a,MIS系统及内部敏感系统需要接入安全部的审计日志;
1.1.4-i,禁止接口返回用户手机号、邮箱、地址等不必要的敏感信息;
1.1.6-a,对用户输入进行非法字符过滤,对URL(Uniform Resource Locator,统一资源定位符)、文件路径、文件上传等参数的合法性进行白名单校验;
1.1.7-a,禁止使用存在已知漏洞的第三方组件版本,优先使用最新版本。
其中,SSO(SingleSignOn,单点登录),就是通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。这种方式减少了由登录产生的时间消耗,辅助了用户管理。
需要说明的是,基线编号不具有实际意义,是按照预设规则设置的,在具体实施中还可以按照其他规则设置基线编号。
在步骤S309中,将所述目标安全基线以在线HTML形式进行展示。需要说明的是,本实施例以在线HTML形式展示目标安全基线为例仅用于教导本领域技术人员如何实施本发明,本发明不限于此,还可以采用其他形式展示目标安全基线。
本申请实施例提供一种安全评估方法,首先获取待评估的目标项目的安全评估请求,所述安全评估请求中携带有目标项目信息;然后基于预先配置的基线规则策略集合中的各个基线规则策略与项目信息集合中的各个项目信息之间的映射关系,确定与所述目标项目信息匹配的目标基线规则策略;最后基于预先配置的基线规则策略集合中的各个基线规则策略与安全基线集合中的各个安全基线的映射关系,确定与所述目标基线规则策略匹配的目标安全基线。由于预先配置了基线规则策略集合中的各个基线规则策略与项目信息集合中的各个项目信息之间的映射关系,以及基线规则策略集合中的各个基线规则策略与安全基线集合中的各个安全基线的映射关系,一方面可以实现自动化完成目标项目的安全评估的目的,另一方面可以较为全面地覆盖目标项目所存在的安全问题和解决方案,从而可以降低安全风险的可能。
基于相同的技术构思,本申请实施例还提供一种安全评估装置、电子设备、以及计算机存储介质等,具体可参见以下实施例。
请参照图5,为本申请实施例提供的一种安全评估装置的结构示意图。如图5所示,所述装置可以包括:
请求获取模块501,用于获取待评估的目标项目的安全评估请求,所述安全评估请求中携带有目标项目信息;
策略确定模块502,用于基于预先配置的基线规则策略集合中的各个基线规则策略与项目信息集合中的各个项目信息之间的映射关系,确定与所述目标项目信息匹配的目标基线规则策略;
基线确定模块503,用于基于预先配置的基线规则策略集合中的各个基线规则策略与安全基线集合中的各个安全基线的映射关系,确定与所述目标基线规则策略匹配的目标安全基线。
在一种可能的实施方式中,所述项目信息包括:项目类型、数据等级、用户类型、访问方式类型和调用方类型中每种类型参数下的一种子类型。
在一种可能的实施方式中,所述安全基线包括目标项目的安全问题和用于解决该安全问题的解决方案。
在一种可能的实施方式中,所述项目信息与基线规则策略为多对多的映射关系,所述基线规则策略与安全基线为一对多的映射关系。
在一种可能的实施方式中,所述装置还包括基线生成模块504,所述基线生成模块504包括:
获取单元,用于获取应用安全行业关于安全基线的规范和/或安全知识库;
生成单元,用于基于所述应用安全行业关于安全基线的规范和/或安全知识库,生成所述安全基线集合。
在一种可能的实施方式中,所述装置还包括:基线展示模块505,用于将所述目标安全基线以在线HTML形式进行展示。
在一种可能的实施方式中,所述装置还包括请求生成模块506,所述请求生成模块506包括:
显示单元,用于在安全评估请求操作界面中显示项目信息的每种类型参数选项和用于提交用户选择的至少一个参数选项的提交控件;
响应单元,用于响应于对所述提交控件的触发操作,生成待评估的目标项目的安全评估请求。
在一种可能的实施方式中,所述装置还包括注册登录模块507,所述注册登录模块507包括:
提供单元,用于提供目标项目的安全评估的注册登录界面;
验证单元,用于对用户在所述注册登录界面输入的注册登录信息进行验证;
跳转单元,用于若验证通过,则跳转到所述安全评估请求操作界面。
本申请实施例公开了一种电子设备,如图6所示,包括:处理器601、存储器602和总线603,所述存储器602存储有所述处理器601可执行的机器可读指令,当电子设备运行时,所述处理器601与所述存储器602之间通过总线603通信。所述机器可读指令被所述处理器601执行时执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
本申请实施例所提供的安全评估方法的计算机程序产品,包括存储了处理器可执行的非易失的程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考方法实施例中的对应过程,本申请中不再赘述。在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (18)
1.一种安全评估方法,其特征在于,包括:
获取待评估的目标项目的安全评估请求,所述安全评估请求中携带有目标项目信息;
基于预先配置的基线规则策略集合中的各个基线规则策略与项目信息集合中的各个项目信息之间的映射关系,确定与所述目标项目信息匹配的目标基线规则策略;
基于预先配置的基线规则策略集合中的各个基线规则策略与安全基线集合中的各个安全基线的映射关系,确定与所述目标基线规则策略匹配的目标安全基线。
2.根据权利要求1所述的方法,其特征在于,所述项目信息包括:项目类型、数据等级、用户类型、访问方式类型和调用方类型中每种类型参数下的一种子类型。
3.根据权利要求1所述的方法,其特征在于,所述安全基线包括目标项目的安全问题和用于解决该安全问题的解决方案。
4.根据权利要求1所述的方法,其特征在于,所述项目信息与基线规则策略为多对多的映射关系,所述基线规则策略与安全基线为一对多的映射关系。
5.根据权利要求1所述的方法,其特征在于,还包括:
获取应用安全行业关于安全基线的规范和/或安全知识库;
基于所述应用安全行业关于安全基线的规范和/或安全知识库,生成所述安全基线集合。
6.根据权利要求1所述的方法,其特征在于,还包括:
将所述目标安全基线以在线HTML形式进行展示。
7.根据权利要求2所述的方法,其特征在于,还包括:
在安全评估请求操作界面中显示项目信息的每种类型参数选项和用于提交用户选择的至少一个参数选项的提交控件;
响应于对所述提交控件的触发操作,生成待评估的目标项目的安全评估请求。
8.根据权利要求7所述的方法,其特征在于,还包括:
提供目标项目的安全评估的注册登录界面;
对用户在所述注册登录界面输入的注册登录信息进行验证;
若验证通过,则跳转到所述安全评估请求操作界面。
9.一种安全评估装置,其特征在于,包括:
请求获取模块,用于获取待评估的目标项目的安全评估请求,所述安全评估请求中携带有目标项目信息;
策略确定模块,用于基于预先配置的基线规则策略集合中的各个基线规则策略与项目信息集合中的各个项目信息之间的映射关系,确定与所述目标项目信息匹配的目标基线规则策略;
基线确定模块,用于基于预先配置的基线规则策略集合中的各个基线规则策略与安全基线集合中的各个安全基线的映射关系,确定与所述目标基线规则策略匹配的目标安全基线。
10.根据权利要求9所述的装置,其特征在于,所述项目信息包括:项目类型、数据等级、用户类型、访问方式类型和调用方类型中每种类型参数下的一种子类型。
11.根据权利要求9所述的装置,其特征在于,所述安全基线包括目标项目的安全问题和用于解决该安全问题的解决方案。
12.根据权利要求9所述的装置,其特征在于,所述项目信息与基线规则策略为多对多的映射关系,所述基线规则策略与安全基线为一对多的映射关系。
13.根据权利要求9所述的装置,其特征在于,还包括基线生成模块,所述基线生成模块包括:
获取单元,用于获取应用安全行业关于安全基线的规范和/或安全知识库;
生成单元,用于基于所述应用安全行业关于安全基线的规范和/或安全知识库,生成所述安全基线集合。
14.根据权利要求9所述的装置,其特征在于,还包括:
基线展示模块,用于将所述目标安全基线以在线HTML形式进行展示。
15.根据权利要求10所述的装置,其特征在于,还包括请求生成模块,所述请求生成模块包括:
显示单元,用于在安全评估请求操作界面中显示项目信息的每种类型参数选项和用于提交用户选择的至少一个参数选项的提交控件;
响应单元,用于响应于对所述提交控件的触发操作,生成待评估的目标项目的安全评估请求。
16.根据权利要求15所述的装置,其特征在于,还包括注册登录模块,所述注册登录模块包括:
提供单元,用于提供目标项目的安全评估的注册登录界面;
验证单元,用于对用户在所述注册登录界面输入的注册登录信息进行验证;
跳转单元,用于若验证通过,则跳转到所述安全评估请求操作界面。
17.一种电子设备,其特征在于,包括:处理器、存储介质和总线,所述存储介质存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储介质之间通过总线通信,所述处理器执行所述机器可读指令,以执行如权利要求1至8任一所述方法的步骤。
18.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如权利要求1至8任一所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010658825.8A CN111814152A (zh) | 2020-07-09 | 2020-07-09 | 一种安全评估方法、装置、电子设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010658825.8A CN111814152A (zh) | 2020-07-09 | 2020-07-09 | 一种安全评估方法、装置、电子设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111814152A true CN111814152A (zh) | 2020-10-23 |
Family
ID=72842225
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010658825.8A Pending CN111814152A (zh) | 2020-07-09 | 2020-07-09 | 一种安全评估方法、装置、电子设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111814152A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112818307A (zh) * | 2021-02-25 | 2021-05-18 | 深信服科技股份有限公司 | 用户操作处理方法、系统、设备及计算机可读存储介质 |
| CN113037766A (zh) * | 2021-03-23 | 2021-06-25 | 中通服创发科技有限责任公司 | 多场景下的资产安全健康度综合评估方法 |
| CN113806825A (zh) * | 2021-09-23 | 2021-12-17 | 北京天融信网络安全技术有限公司 | 一种校验方法、装置、存储介质和电子设备 |
| CN114629690A (zh) * | 2022-02-24 | 2022-06-14 | 广东电网有限责任公司 | 设备安全基线合规检测方法、装置和计算机设备 |
| CN115146206A (zh) * | 2022-08-04 | 2022-10-04 | 北京美迪康信息咨询有限公司 | 学术会议网站注册配置方法、系统、智能终端及存储介质 |
| CN115859900A (zh) * | 2022-12-02 | 2023-03-28 | 浙江凌骁能源科技有限公司 | 确定加热膜布线的方法、装置、计算机设备和存储介质 |
| CN116074113A (zh) * | 2023-03-06 | 2023-05-05 | 成都市以太节点科技有限公司 | 基于业务流程约束的安全防护方法、装置及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103414585A (zh) * | 2013-08-01 | 2013-11-27 | 华南师范大学 | 建立业务系统的安全基线的方法和装置 |
| EP2757498A1 (en) * | 2013-01-16 | 2014-07-23 | ABB Research Ltd. | Security agent for an endpoint device of a control system |
| CN105740723A (zh) * | 2016-01-28 | 2016-07-06 | 浪潮电子信息产业股份有限公司 | 一种安全基线的管理方法与系统 |
| CN107679692A (zh) * | 2017-09-02 | 2018-02-09 | 深圳供电局有限公司 | 一种安全基线管理系统及方法 |
| CN108881278A (zh) * | 2018-07-10 | 2018-11-23 | 江苏满运软件科技有限公司 | 风险评估方法及系统 |
| CN109460400A (zh) * | 2018-12-12 | 2019-03-12 | 国网江苏省电力有限公司南京供电分公司 | 一种电力监控系统安全基线库的建立系统及方法 |
-
2020
- 2020-07-09 CN CN202010658825.8A patent/CN111814152A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2757498A1 (en) * | 2013-01-16 | 2014-07-23 | ABB Research Ltd. | Security agent for an endpoint device of a control system |
| CN103414585A (zh) * | 2013-08-01 | 2013-11-27 | 华南师范大学 | 建立业务系统的安全基线的方法和装置 |
| CN105740723A (zh) * | 2016-01-28 | 2016-07-06 | 浪潮电子信息产业股份有限公司 | 一种安全基线的管理方法与系统 |
| CN107679692A (zh) * | 2017-09-02 | 2018-02-09 | 深圳供电局有限公司 | 一种安全基线管理系统及方法 |
| CN108881278A (zh) * | 2018-07-10 | 2018-11-23 | 江苏满运软件科技有限公司 | 风险评估方法及系统 |
| CN109460400A (zh) * | 2018-12-12 | 2019-03-12 | 国网江苏省电力有限公司南京供电分公司 | 一种电力监控系统安全基线库的建立系统及方法 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112818307A (zh) * | 2021-02-25 | 2021-05-18 | 深信服科技股份有限公司 | 用户操作处理方法、系统、设备及计算机可读存储介质 |
| CN112818307B (zh) * | 2021-02-25 | 2024-05-28 | 深信服科技股份有限公司 | 用户操作处理方法、系统、设备及计算机可读存储介质 |
| CN113037766A (zh) * | 2021-03-23 | 2021-06-25 | 中通服创发科技有限责任公司 | 多场景下的资产安全健康度综合评估方法 |
| CN113806825A (zh) * | 2021-09-23 | 2021-12-17 | 北京天融信网络安全技术有限公司 | 一种校验方法、装置、存储介质和电子设备 |
| CN113806825B (zh) * | 2021-09-23 | 2023-07-04 | 北京天融信网络安全技术有限公司 | 一种校验方法、装置、存储介质和电子设备 |
| CN114629690A (zh) * | 2022-02-24 | 2022-06-14 | 广东电网有限责任公司 | 设备安全基线合规检测方法、装置和计算机设备 |
| CN114629690B (zh) * | 2022-02-24 | 2023-12-29 | 广东电网有限责任公司 | 设备安全基线合规检测方法、装置和计算机设备 |
| CN115146206A (zh) * | 2022-08-04 | 2022-10-04 | 北京美迪康信息咨询有限公司 | 学术会议网站注册配置方法、系统、智能终端及存储介质 |
| CN115859900A (zh) * | 2022-12-02 | 2023-03-28 | 浙江凌骁能源科技有限公司 | 确定加热膜布线的方法、装置、计算机设备和存储介质 |
| CN116074113A (zh) * | 2023-03-06 | 2023-05-05 | 成都市以太节点科技有限公司 | 基于业务流程约束的安全防护方法、装置及存储介质 |
| CN116074113B (zh) * | 2023-03-06 | 2023-08-15 | 成都市以太节点科技有限公司 | 基于业务流程约束的安全防护方法、装置及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111814152A (zh) | 一种安全评估方法、装置、电子设备及介质 | |
| US11627054B1 (en) | Methods and systems to manage data objects in a cloud computing environment | |
| US10467426B1 (en) | Methods and systems to manage data objects in a cloud computing environment | |
| US10462148B2 (en) | Dynamic data masking for mainframe application | |
| CN111416811B (zh) | 越权漏洞检测方法、系统、设备及存储介质 | |
| JP5789390B2 (ja) | 業務情報防護装置および業務情報防護方法、並びにプログラム | |
| US9712536B2 (en) | Access control device, access control method, and program | |
| US20120110058A1 (en) | Management system and information processing method for computer system | |
| CN108830070A (zh) | 无人参与且安全的设备授权 | |
| US11196734B2 (en) | Safe logon | |
| US7930727B1 (en) | System and method for measuring and enforcing security policy compliance for software during the development process of the software | |
| JP5936798B2 (ja) | ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法 | |
| Beissel | Cybersecurity investments: Decision support under economic aspects | |
| CN114444131A (zh) | 文档审核方法及计算机存储介质 | |
| JP5952466B2 (ja) | 業務情報防護装置および業務情報防護方法、並びにプログラム | |
| CN112118241B (zh) | 审计渗透测试方法、测试节点服务器、管理服务器及系统 | |
| JP2006079251A (ja) | コマンド実行制御システムおよび制御方法、ならびにそのプログラム | |
| KR102592711B1 (ko) | 전자문서 관리 시스템에서의 전자문서 데이터 제공방법 및 장치 | |
| Boyens et al. | Validating the Integrity of Computing Devices | |
| Srivratanakul et al. | Writing effective security abuse cases | |
| JP4417819B2 (ja) | 情報処理装置、責務判定方法、責務判定プログラム及び記録媒体 | |
| Kozakura et al. | Threat Analysis Method and Smart Contract Verification to Improve Reliability of Blockchain | |
| JP2016173851A (ja) | 業務情報防護装置および業務情報防護方法、並びにプログラム | |
| Eismont | A Software Security Assessment using OWASP's Application Security Verification Standard: Results and Experiences from Assessing the DHIS2 Open-Source Platform | |
| JP2017068384A (ja) | 個人情報保護営業支援システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201023 |
|
| RJ01 | Rejection of invention patent application after publication |