CN113225334A - 终端安全管理方法、装置、电子设备及存储介质 - Google Patents

终端安全管理方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN113225334A
CN113225334A CN202110487709.9A CN202110487709A CN113225334A CN 113225334 A CN113225334 A CN 113225334A CN 202110487709 A CN202110487709 A CN 202110487709A CN 113225334 A CN113225334 A CN 113225334A
Authority
CN
China
Prior art keywords
terminal
server
security management
terminals
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110487709.9A
Other languages
English (en)
Other versions
CN113225334B (zh
Inventor
王贵智
祝萍
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
ICBC Technology Co Ltd
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
ICBC Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC, ICBC Technology Co Ltd filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202110487709.9A priority Critical patent/CN113225334B/zh
Publication of CN113225334A publication Critical patent/CN113225334A/zh
Application granted granted Critical
Publication of CN113225334B publication Critical patent/CN113225334B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • G06F9/44505Configuring for program initiating, e.g. using registry, configuration files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Human Resources & Organizations (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Economics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Marketing (AREA)
  • General Business, Economics & Management (AREA)
  • Game Theory and Decision Science (AREA)
  • Educational Administration (AREA)
  • Development Economics (AREA)
  • Computer And Data Communications (AREA)

Abstract

本公开提供一种终端安全管理方法,包括:获取各终端的历史访问日志数据;根据所述历史访问日志数据分析终端之间的访问关系;在一终端被攻击的情况下,发送被攻击的信号至与该终端具备访问关系的其他终端,以使其他终端执行策略进行主动防御。进一步地,该方法还包括配置链式服务端,其中,所述链式服务端包括至少两台服务器,每台服务器上均储存有所有终端对应的策略及配置信息;监测每一台服务器的运行状况,在其中一台服务器不可用的情况下,切换至其他服务器接管与该服务器通信的终端。本公开还提供一种终端安全管理装置、电子设备及存储介质。

Description

终端安全管理方法、装置、电子设备及存储介质
技术领域
本公开涉及信息安全风险管理领域,具体涉及一种终端安全管理方法、装置、电子设备及存储介质。
背景技术
信息安全风险管理是伴随信息技术发展而不断发展的挑战之一,其中,终端安全管理是信息安全管理风险中复杂性、多样性、变化性等最为突出的领域。现有技术中,企业在进行终端安全管理规划时,往往因缺少参照和整体视角,要么造成管控不足、存在风险死角,要么造成管控过度、造成效率低下和资源浪费。随着物联网、移动互联网、人工智能等技术的发展,终端形态呈现智能化、多样化的发展趋势,终端安全管理难度进一步加剧。
公开内容
有鉴于此,本公开提供一方面提供一种终端安全管理方法,包括:获取各终端的历史访问日志数据;根据所述历史访问日志数据分析终端之间的访问关系;在一终端被攻击的情况下,发送被攻击的信号至与该终端具备访问关系的其他终端,以使其他终端执行策略进行主动防御。
根据本公开的实施例,所述终端安全管理方法还包括:配置链式服务端,其中,所述链式服务端包括至少两台服务器,每台服务器上均储存有所有终端对应的策略及配置信息;监测每一台服务器的运行状况,在其中一台服务器不可用的情况下,切换至其他服务器接管与该服务器通信的终端。
根据本公开的实施例,其中,所述根据所述历史访问日志数据分析终端之间的访问关系包括:部署独立于终端之外的数据分析服务器;通过所述数据分析服务器对所述历史访问日志数据进行分析,以得到所述访问关系。
根据本公开的实施例,其中,在所述终端配置agent,通过所述agent发送被攻击的信号以及执行预先配置的策略进行主动防御。
根据本公开的实施例,其中,所述执行预先配置的策略进行主动防御包括:在其他终端接收到被攻击终端发送的被攻击的信号时,更新其他终端的策略,执行更新的策略进行主动防御。
根据本公开的实施例,其中,所述执行预先配置的策略进行主动防御包括:执行所述策略,以使终端进行自我隔离或者访问限制。
根据本公开的实施例,所述方法还包括:同步所述访问关系至与所述访问关系相关的终端以及所述链式服务端。
根据本公开的实施例,所述方法还包括:在一终端被攻击的情况下,发送被攻击的信号至所述链式服务端,以使所述链式服务端响应于所述指令,对攻击行为进行排查。
本公开另一方面提供一种终端安全管理装置,包括:获取模块,用于获取各终端的历史访问日志数据;分析模块,用于根据所述历史访问日志数据分析终端之间的访问关系;发送模块,用于在一终端被攻击的情况下,发送被攻击的信号至与该终端具备访问关系的其他终端,以使其他终端执行策略进行主动防御。
根据本公开的实施例,所述终端安全管理装置还包括:第一配置模块,用于配置链式服务端,其中,所述链式服务端包括至少两台服务器,每台服务器上均储存有所有终端对应的策略及配置信息;监测模块,用于监测每一台服务器的运行状况,在其中一台服务器不可用的情况下,切换至其他服务器接管与该服务器通信的终端。
根据本公开的实施例,其中,所述分析模块包括:部署单元,用于部署独立于终端之外的数据分析服务器;分析单元,用于通过所述数据分析服务器对所述历史访问日志数据进行分析,以得到所述访问关系。
根据本公开的实施例,所述终端安全管理装置还包括:第二配置模块,用于在所述终端配置agent,通过所述agent发送被攻击的信号以及执行预先配置的策略进行主动防御。
根据本公开的实施例,其中,所述执行预先配置的策略进行主动防御包括:在其他终端接收到被攻击终端发送的被攻击的信号时,更新其他终端的策略,执行更新的策略进行主动防御。
根据本公开的实施例,其中,所述执行预先配置的策略进行主动防御包括:执行所述策略,以使终端进行自我隔离或者访问限制。
根据本公开的实施例,所述装置还包括:同步模块,用于同步所述访问关系至与所述访问关系相关的终端以及所述链式服务端。
根据本公开的实施例,所述发送模块还用于在一终端被攻击的情况下,发送被攻击的信号至所述链式服务端,以使所述链式服务端响应于所述指令,对攻击行为进行排查。
本公开的另一个方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如上所述的方法。
本公开的另一方面提供了一种计算机可读存储介质,存储有计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
本公开的另一方面提供了一种计算机程序,所述计算机程序包括计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
附图说明
图1示意性示出了根据本公开实施例的终端安全管理方法及装置的系统架构100;
图2示意性示出了根据本公开实施例的终端安全管理方法的流程图;
图3示意性示出了根据本公开另一实施例的终端安全管理方法的流程图;
图4示意性示出了根据本公开实施例的链式服务端的结构框图;
图5示意性示出了根据本公开实施例的终端之间的访问关系分析方法的流程图;
图6示意性示出了根据本公开实施例的终端与数据分析服务器之间的关系图;
图7示意性示出了根据本公开一实施例的执行预先配置的策略进行主动防御方法的流程图;
图8示意性示出了根据本公开又一实施例的终端安全管理方法的流程图;
图9示意性示出了根据本公开一实施例的终端安全管理装置的框图;
图10示意性示出了根据本公开又一实施例的终端安全管理装置的框图;
图11示意性示出了根据本公开又一实施例的终端安全管理装置的框图;
图12示意性示出了根据本公开一实施例的分析模块的结构框图;
图13示意性示出了根据本公开实施例的适于实现上文描述的方法的电子设备的框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
附图中示出了一些方框图和/或流程图。应理解,方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外,本公开的技术可以采取存储有指令的计算机可读存储介质上的计算机程序产品的形式,该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。
本公开的实施例提供一种终端安全管理方法,包括:获取各终端的历史访问日志数据。根据历史访问日志数据分析终端之间的访问关系。在一终端被攻击的情况下,发送被攻击的信号至与该终端具备访问关系的其他终端,以使其他终端执行策略进行主动防御。
图1示意性示出了根据本公开实施例的终端安全管理方法及装置的系统架构100。需要注意的是,图1所示仅为可以应用本公开实施例的系统架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
如图1所示,根据该实施例的系统架构100可以包括终端101、102、103,网络104及服务器105、106。网络104用于在终端101、102、103和服务器105之间提供通信链路。
终端101、102、103是人和机器交互的接口,其具有两个基本功能:向主机输入信息和向外部输出信息。终端可以是PC机、笔记本、手机、平板电脑,也可以是ATM机等。当用户通过终端101、102、103进行业务访问时,会产生日志数据,这些历史访问日志数据隐含的包含了终端之间以及终端与服务器之间的访问关系。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。服务器105可以是能够通过从终端101、102、103获取历史访问的日志数据,并对历史访问日志数据进行分析及挖掘的服务器。服务器106可以是实现对终端101、102、103进行管理及策略分发的服务器。根据本公开实施例,在终端安全管理过程中,服务器105通过网络104获取终端101、102、103上的历史访问日志数据,并对历史访问日志数据进行分析,得到终端101、102、103之间的访问关系,并将该访问关系同步至终端101、102、103及服务器106,在终端101、102、103中一终端被攻击的情况下,发送被攻击的信号至与该终端具备访问关系的其他终端,以使其他终端执行服务器106分发的策略进行主动防御。例如,终端101与终端102之间具备访问关系(例如存在网络连接),当终端101受到攻击时,会发送被攻击的信号至终端102,终端102在接收到指令后,执行服务器106发送的策略,启动主动防御,进行自我隔离或者访问限制,避免进一步被入侵。
需要说明的是,本公开实施例所提供的终端安全管理方法可以由服务器105、106执行。相应地,本公开实施例所提供的终端安全管理装置可以设置于服务器105、106中。或者,本公开实施例所提供的终端安全管理方法也可以由不同于服务器105、106且能够与终端101、102、103和/或服务器105、106通信的服务器或服务器集群执行。相应地,本公开实施例所提供的终端安全管理装置也可以设置于不同于服务器105、106且能够与终端101、102、103和/或服务器105、106通信的服务器或服务器集群中。或者,本公开实施例所提供的电子设备也可以部分由服务器105、106执行,部分由终端101、102、103执行。相应的,本公开实施例所提供的终端安全管理装置也可以部分设置于服务器105、106中,部分设置于终端101、102、103中。
应该理解,图1中的终端、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端、网络和服务器。
本公开实施例提供的终端安全管理方法,可以应用于金融服务信息安全领域,信息安全的三要素可以包括机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。机密性指只有授权用户可以获取信息。完整性指信息在输入和传输的过程中,不被非法授权修改和破坏,保证数据的一致性。可用性指保证合法用户对信息和资源的使用不会被不正当地拒绝。
以银行为例,为了便于银行用户进行相关业务的快速办理,除了可以通过柜台办理业务外,还通过设置多台自动柜员机作为终端,以使用户通过自动柜员机办理相关业务,其中,多台自动柜员机与服务器通信连接,各自动柜员机之间存在网络连接。
目前,终端的安全管理技术和能力可分为三个级别。第一级别是终端可管理的,即企业面向公司所有终端部署基本的终端识别软件,实现终端资产可管理、活动可被发现,这种级别主要是通过在终端部署agent完成一些常规信息的收集。第二级别是终端可控制,即企业在终端安全管理领域配置统一的访问策略,具备了信息防泄漏、防入侵的安全保护能力,具备了较好的终端安全防护能力,即在终端服务器server和各个终端agent之间有一些相互的信息交换和事件响应,对于感染病毒或被入侵的终端,服务器可以发送指令实现终端的下线。第三级别是终端可信任,即在第二级别配置统一策略的基础上,根据使用场景对终端进行分组,对终端管控策略进行差异化配置。每类终端的使用场景不同,获得的可信范围也不同,此种级别的管理方法,按照不同的信任水平赋予不同的权限策略,最终实现了在网终端的全部都在其对应的可信任范围授权内获得入围活动能力。较第二级的典型差别在于实现安全策略的动态管理。
而采用上述三种级别的终端的安全管理技术对多台自动柜员机进行安全管理过程中,至少存在缺陷:多台自动柜员是基于中心化管理,多台自动柜员机的管理、策略的分发,都是基于终端服务器这个中心完成,但中心被攻击或不可用时,导致整体终端管理系统的瘫痪。并且,当多台自动柜员机感染病毒或被入侵时,只能通过让该多台自动柜员机下线的方式,防止该多台自动柜员机进一步被入侵,但是由于多台自动柜员机和其他多台自动柜员机之间存在网络连接,难以防止入侵进一步扩散,不具备主动防御功能,一旦其中一台自动柜员机感染病毒或被外部攻击,可能导致其他多台自动柜员机也被感染或攻击,导致大量客户信息泄露,进而导致财产损失。
采用本公开实施例提供的终端安全管理方法,可以至少部分解决上述缺陷。
应当理解是,本公开实施例提供的终端安全管理方法不仅限于应用于金融服务技术领域,上述描述只是示例性的,对于其涉及终端安全的领域,例如电子商务领域等,都可以应用本公开实施例的终端安全管理方法进行风险管理。
图2示意性示出了根据本公开实施例的终端安全管理方法的流程图。
如图2所示,该终端安全管理方法例如可以包括操作S201~S203。
在操作S201,获取各终端的历史访问日志数据。
在操作S202,根据历史访问日志数据分析终端之间的访问关系。
在操作S203,在一终端被攻击的情况下,发送被攻击的信号至与该终端具备访问关系的其他终端,以使其他终端执行策略进行主动防御。
根据本公开实施例提供的终端安全管理方法,在一终端被攻击的情况下,可及时将被攻击的信号发送至与该终端具备访问关系的其他终端,以使其他终端执行策略进行主动防御,即使终端之间存在网络连接,但是其他未被攻击的终端具备了主动防御机制,可防止其他终端被进一步入侵,提升了整个终端系统的安全性。并且,由于基于历史访问日志数据分析获取各终端之间的访问关系,而非人为定义,避免人为配置带来错误,获取的访问关系更加准确,以保证将被攻击的信号发送至所有与被攻击的终端具备访问关系的其他终端,确保所有与被攻击的终端具备访问关系的其他终端均启动主动防御。
下面结合具体的附图对上述终端安全管理方法进行进一步说明。
图3示意性示出了根据本公开另一实施例的终端安全管理方法的流程图。
如图3所示,该终端安全管理方法除包括操作S201~S203外,还可以包括操作S301~S302。
在操作S301,配置链式服务端,其中,链式服务端包括至少两台服务器,每台服务器上均储存有所有终端对应的策略及配置信息。
本公开实施例中,为了解决单一中心服务器被入侵或宕机导致整体终端管理系统不可用的问题,配置了链式服务端。
图4示意性示出了根据本公开实施例的链式服务端的结构框图。
如图4所示,链式服务端包括至少两台服务器,在本公开一具体示例中,选择三台服务器构成环形链式服务器,每台服务器负责对应终端。例如,serve1负责终端Terminal_11、Terminal_12、Terminal1n,serve2负责终端Terminal_21、Terminal_22、Terminal2n,serve3负责终端Terminal_31、Terminal_32、Terminal3n。serve1、serve2、serve3的具体功能差别不大,均可以实现策略的分发、终端的上线、下线管理,serve1、serve2、serve3均储存有所有终端Terminal_11、Terminal_12、Terminal1n、Terminal_21、Terminal_22、Terminal2n、Terminal_31、Terminal_32、Terminal3n对应的策略及配置信息。
在操作S302,监测每一台服务器的运行状况,在其中一台服务器不可用的情况下,切换其他服务器接管与该服务器通信的终端。
本公开实施例中,当监测到serve1发生故障而不可用时,其对应的终端Terminal_11、Terminal_12、Terminal1n将会无法进行正常的业务访问,而由于serve2及serve3上均保留有终端Terminal_11、Terminal_12、Terminal1n全部的策略和配置,此时,可以选择serve2接管serve1负责的所有终端Terminal_11、Terminal_12、Terminal1n,以使得终端Terminal_11、Terminal_12、Terminal1n能够进行正常的业务访问。还可以选择serve3接管serve1负责的所有终端Terminal_11、Terminal_12、Terminal1n,以使得终端Terminal_11、Terminal_12、Terminal1n能够进行正常的业务访问。还可以选择serve2接管serve1负责的部分终端(例如终端Terminal_11、…Terminal_1i),选择serve3接管serve1负责的部分终端(例如终端Terminal_1j、…Terminal_1n,j=i+1)。即使serve1被入侵或宕机,也不会影响终端Terminal_11、Terminal_12、Terminal1n的正常业务访问。
根据本公开实施例提供的终端安全管理方法,通过配置链式服务段架构,并在每一台服务器上均保留所有终端全部的策略和配置,即使其中部分服务器被入侵或者宕机,其他服务器可以即使接管该故障服务器负责的所有终端,使得这些终端能够进行正常的业务访问,避免因中心服务器不可用,影响整个终端管理系统的可用性,提升终端管理系统的稳定性和高可用性。
图5示意性示出了根据本公开实施例的终端之间的访问关系分析方法的流程图。
如图5所示,该访问关系分析方法例如可以包括操作S501~S502。
在操作S501,部署独立于终端之外的数据分析服务器。
本公开实施例中,在分析访问关系的过程中,需要将所有终端日志收集到一起,进行数据分析,挖掘终端中间的访问关系,最终形成密切相邻终端相邻节点配置。数据分析服务器输入是所有终端日志,输出是策略集,该过程数据计算量较大。为了减少每个终端的计算负载,可以通过单独部署一台数据分析服务器进行日志数据分析。
图6示意性示出了根据本公开实施例的终端与数据分析服务器之间的关系图。
如图6所示,数据分析服务器独立部署于终端之外,用于对所有终端日志进行分析,进而获取终端之间的访问关系,并将该访问关系同步至服务端及对应的终端。而终端在收到入侵时,及时进行自我下线并发送被攻击的信号至当前安全的终端。
在操作S502,通过数据分析服务器对历史访问日志数据进行分析,以得到访问关系。
请继续参阅图4及图6,例如,通过日志分析发现,Terminal_12和Terminal_32、Terminal1n之间存在网络访问关系,则可以定义如下相邻节点配置:
close_node_1:Terminal_12,Terminal_32
close_node_2:Terminal_12,Terminal_1n。
在本公开一实施例中,不必如将分析得到的访问关系(相邻节点配置)同步到所有终端,可以同步访问关系至与访问关系相关的终端以及链式服务端,以减少其他终端的负载。例如,在Terminal_12和Terminal_32、Terminal1n之间存在网络访问关系时,将对应的相邻节点配置同步至服务端及Terminal_12和Terminal_32、Terminal1n即可,不必同步到Terminal_11、Terminal_31等其他终端。
根据本公开实施例提供的终端安全管理方法,通过部署独立于终端之外的数据分析服务器进行历史访问日志数据的分析,可减少每个终端的计算负载。并且,只需同步访问关系至与访问关系相关的终端以及链式服务端,以进一步减少其他终端的负载。
图7示意性示出了根据本公开一实施例的执行预先配置的策略进行主动防御方法的流程图。
如图7所示,该方法例如可以包括操作S701~操作S702。
在操作S701,在终端配置agent。
本公开实施例中,在终端配置agent可以具备以下功能:负责接收服务器指令、执行服务器下发的策略。负责记录密切访问相邻节点配置。当自身感染病毒或被外部入侵时,发送被攻击的信号到密切相邻终端。
在操作S702,通过agent发送被攻击的信号以及执行预先配置的策略进行主动防御。
请继续参阅图4,例如,当终端Terminal_12被入侵时,很有可能接下来通过网络连接,入侵扩散至终端Terminal_32、Terminal1n。此时,立即下线终端Terminal_12,同时Terminal_12配置的agent发送被攻击的信号至终端Terminal_32、Terminal1n,终端Terminal1n上配置的agent根据serve1分发的策略启动主动防御,终端Terminal_32上配置的agent根据serve3分发的策略启动主动防御,降低信任级别,进行终端进行自我隔离或者访问限制,遏制入侵的扩散。
在本公开一实施例中,有可能各终端对应的策略在变,先前配置的策略可能不适用于当前终端所处的网络环境,此时,在其他终端接收到被攻击终端发送的被攻击的信号时,可以更新其他终端的策略,执行更新的策略进行主动防御,进而保证策略的准确性。
根据本公开实施例提供的执行预先配置的策略进行主动防御方法,由于在终端配置agent进行策略的执行,而通过部署独立于终端之外的数据分析服务器进行日志数据的分析,不需要在终端层面增加太多计算负载,即可以实现终端主动防御功能。
图8示意性示出了根据本公开又一实施例的终端安全管理方法的流程图。
如图8所示,该方法除包括上述所示操作外,还可以包括操作S801。
在操作S801,在一终端被攻击的情况下,发送被攻击的信号至链式服务端,以使链式服务端响应于信号,对攻击行为进行排查。
本公开实施例中,不仅通过客户端之间的访问关系及时启动相关终端的主动防御功能,并且,将发送被攻击的信号至链式服务端,以使链式服务端响应于所指令,对攻击行为进行全局排查,以进一步保证终端的安全性。
综上所述,本公开实施例提供的终端安全管理方法,基于历史访问日志分析得到的终端时间的访问关系,在一终端被攻击的情况下,发送被攻击的信号至与该终端具备访问关系的其他终端,以使其他终端执行策略进行主动防御,使得终端具备一定程度上的主动防御机制,提升了终端安全。通过设置环形链式服务器架构,每台服务器上均储存有所有终端对应的策略及配置信息,在一服务器不可用时,切换其他服务器接管与该服务器通信的终端,避免因中心服务器不可用,影响整个终端管理系统的可用性,提升终端管理系统的稳定性和高可用性。通过部署独立于终端之外的数据分析服务器进行历史访问日志数据的分析,通过在终端配置agent执行服务器下发的策略以进行主动防御,从而将数据分析和策略执行分离,不需要在终端层面增加太多计算负载,即可以实现终端主动防御功能。
图9示意性示出了根据本公开一实施例的终端安全管理装置的框图。
如图9所示,终端安全管理装置900例如可以包括获取模块910、分析模块920以及发送模块930。
获取模块910,用于获取各终端的历史访问日志数据。
分析模块920,用于根据历史访问日志数据分析终端之间的访问关系。
发送模块930,用于在一终端被攻击的情况下,发送被攻击的信号至与该终端具备访问关系的其他终端,以使其他终端执行策略进行主动防御。其中,主动防御例如可以包括终端进行自我隔离或者访问限制。
作为本公开一可选实施例,发送模块930还可以用于在一终端被攻击的情况下,发送被攻击的信号至所述链式服务端,以使链式服务端响应于所述指令,对攻击行为进行排查。
作为一个可选地实施例,其他终端执行策略进行主动防御的过程中,在其他终端接收到被攻击终端发送的被攻击的信号时,更新其他终端的策略,执行更新的策略进行主动防御。
图10示意性示出了根据本公开又一实施例的终端安全管理装置的框图。
如图10所示,终端安全管理装置900例如还可以包括第一配置模块940、监测模块950。
第一配置模块940,用于配置链式服务端,其中,服务端包括至少两台服务器,每台服务器上均储存有所有终端对应的策略及配置信息。
监测模块950,用于监测每一台服务器的运行状况,在其中一台服务器不可用的情况下,切换至其他服务器接管与该服务器通信的终端。
图11示意性示出了根据本公开又一实施例的终端安全管理装置的框图。
如图11所示,终端安全管理装置900例如还可以包括第二配置模块960、同步模块970。
第二配置模块960,用于在终端配置agent,通过agent发送被攻击的信号以及执行预先配置的策略进行主动防御。
同步模块970,用于同步访问关系至与访问关系相关的终端以及链式服务端。
图12示意性示出了根据本公开一实施例的分析模块的结构框图。
如图12所示,分析模块920例如可以包括部署单元921及分析单元922。
部署单元921,用于部署独立于终端之外的数据分析服务器。
分析单元922,用于通过数据分析服务器对历史访问日志数据进行分析,以得到访问关系。
根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
例如,获取模块910、分析模块920、发送模块930、第一配置模块940、监测模块950、第二配置模块960及同步模块970中的任意多个可以合并在一个模块/单元/子单元中实现,或者其中的任意一个模块/单元/子单元可以被拆分成多个模块/单元/子单元。或者,这些模块/单元/子单元中的一个或多个模块/单元/子单元的至少部分功能可以与其他模块/单元/子单元的至少部分功能相结合,并在一个模块/单元/子单元中实现。根据本公开的实施例,获取模块910、分析模块920、发送模块930、第一配置模块940、监测模块950、第二配置模块960及同步模块970中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,获取模块910、分析模块920、发送模块930、第一配置模块940、监测模块950、第二配置模块960及同步模块970中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
需要说明的是,本公开的实施例中终端安全管理装置部分与本公开的实施例中终端安全管理方法部分是相对应的,其具体实施细节及带来的技术效果也是相同的,在此不再赘述。
图13示意性示出了根据本公开实施例的适于实现上文描述的方法的电子设备的框图。图13示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图13所示,根据本公开实施例的电子设备1300包括处理器1301,其可以根据存储在只读存储器(ROM)1302中的程序或者从存储部分1308加载到随机访问存储器(RAM)1303中的程序而执行各种适当的动作和处理。处理器1301例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器1301还可以包括用于缓存用途的板载存储器。处理器1301可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 1303中,存储有电子设备1300操作所需的各种程序和数据。处理器1301、ROM 1302以及RAM1303通过总线1304彼此相连。处理器1301通过执行ROM 1302和/或RAM1303中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM 1302和RAM 1303以外的一个或多个存储器中。处理器1301也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,电子设备1300还可以包括输入/输出(I/O)接口1305,输入/输出(I/O)接口1305也连接至总线1304。电子设备1300还可以包括连接至I/O接口1305的以下部件中的一项或多项:包括键盘、鼠标等的输入部分1306;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1307;包括硬盘等的存储部分1308;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1309。通信部分1309经由诸如因特网的网络执行通信处理。驱动器1310也根据需要连接至I/O接口1305。可拆卸介质1311,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1310上,以便于从其上读出的计算机程序根据需要被安装入存储部分1308。
根据本公开的实施例,根据本公开实施例的方法流程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分1309从网络上被下载和安装,和/或从可拆卸介质1311被安装。在该计算机程序被处理器1301执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质。例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM1302和/或RAM 1303和/或ROM 1302和RAM 1303以外的一个或多个存储器。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。

Claims (18)

1.一种终端安全管理方法,包括:
获取各终端的历史访问日志数据;
根据所述历史访问日志数据分析终端之间的访问关系;
在一终端被攻击的情况下,发送被攻击的信号至与该终端具备访问关系的其他终端,以使其他终端执行策略进行主动防御。
2.根据权利要求1所述的终端安全管理方法,所述终端安全管理方法还包括:
配置链式服务端,其中,所述链式服务端包括至少两台服务器,每台服务器上均储存有所有终端对应的策略及配置信息;
监测每一台服务器的运行状况,在其中一台服务器不可用的情况下,切换至其他服务器接管与该服务器通信的终端。
3.根据权利要求1或2所述的终端安全管理方法,其中,所述根据所述历史访问日志数据分析终端之间的访问关系包括:
部署独立于终端之外的数据分析服务器;
通过所述数据分析服务器对所述历史访问日志数据进行分析,以得到所述访问关系。
4.根据权利要求3所述的终端安全管理方法,其中,在所述终端配置agent,通过所述agent发送被攻击的信号以及执行预先配置的策略进行主动防御。
5.根据权利要求1或2所述的终端安全管理方法,其中,所述执行预先配置的策略进行主动防御包括:
在其他终端接收到被攻击终端发送的被攻击的信号时,更新其他终端的策略,执行更新的策略进行主动防御。
6.根据权利要求1或2所述的终端安全管理方法,其中,所述执行预先配置的策略进行主动防御包括:
执行所述策略,以使终端进行自我隔离或者访问限制。
7.根据权利要求2所述的终端安全管理方法,所述方法还包括:
同步所述访问关系至与所述访问关系相关的终端以及所述链式服务端。
8.根据权利要求2所述的终端安全管理方法,所述方法还包括:
在一终端被攻击的情况下,发送被攻击的信号至所述链式服务端,以使所述链式服务端响应于所述指令,对攻击行为进行排查。
9.一种终端安全管理装置,包括:
获取模块,用于获取各终端的历史访问日志数据;
分析模块,用于根据所述历史访问日志数据分析终端之间的访问关系;
发送模块,用于在一终端被攻击的情况下,发送被攻击的信号至与该终端具备访问关系的其他终端,以使其他终端执行策略进行主动防御。
10.根据权利要求9所述的终端安全管理装置,所述终端安全管理装置还包括:
第一配置模块,用于配置链式服务端,其中,所述链式服务端包括至少两台服务器,每台服务器上均储存有所有终端对应的策略及配置信息;
监测模块,用于监测每一台服务器的运行状况,在其中一台服务器不可用的情况下,切换至其他服务器接管与该服务器通信的终端。
11.根据权利要求9或10所述的终端安全管理装置,其中,所述分析模块包括:
部署单元,用于部署独立于终端之外的数据分析服务器;
分析单元,用于通过所述数据分析服务器对所述历史访问日志数据进行分析,以得到所述访问关系。
12.根据权利要求11所述的终端安全管理装置,所述终端安全管理装置还包括:
第二配置模块,用于在所述终端配置agent,通过所述agent发送被攻击的信号以及执行预先配置的策略进行主动防御。
13.根据权利要求9或10所述的终端安全管理装置,其中,所述执行预先配置的策略进行主动防御包括:
在其他终端接收到被攻击终端发送的被攻击的信号时,更新其他终端的策略,执行更新的策略进行主动防御。
14.根据权利要求9或10所述的终端安全管理装置,其中,所述执行预先配置的策略进行主动防御包括:
执行所述策略,以使终端进行自我隔离或者访问限制。
15.根据权利要求10所述的终端安全管理装置,所述装置还包括:
同步模块,用于同步所述访问关系至与所述访问关系相关的终端以及所述链式服务端。
16.根据权利要求10所述的终端安全管理装置,所述发送模块还用于在一终端被攻击的情况下,发送被攻击的信号至所述链式服务端,以使所述链式服务端响应于所述指令,对攻击行为进行排查。
17.一种电子设备,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至8中任一项所述的方法。
18.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器实现权利要求1至8中任一项所述的方法。
CN202110487709.9A 2021-04-30 2021-04-30 终端安全管理方法、装置、电子设备及存储介质 Active CN113225334B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110487709.9A CN113225334B (zh) 2021-04-30 2021-04-30 终端安全管理方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110487709.9A CN113225334B (zh) 2021-04-30 2021-04-30 终端安全管理方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN113225334A true CN113225334A (zh) 2021-08-06
CN113225334B CN113225334B (zh) 2023-04-07

Family

ID=77090825

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110487709.9A Active CN113225334B (zh) 2021-04-30 2021-04-30 终端安全管理方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN113225334B (zh)

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103384212A (zh) * 2013-07-24 2013-11-06 佳都新太科技股份有限公司 一种通信应用系统双机高可用方案及其实现
CN104468632A (zh) * 2014-12-31 2015-03-25 北京奇虎科技有限公司 防御漏洞攻击的方法、设备及系统
US20160269377A1 (en) * 2015-03-13 2016-09-15 Ssh Communications Security Oyj Access relationships in a computer system
CN106411562A (zh) * 2016-06-17 2017-02-15 全球能源互联网研究院 一种电力信息网络安全联动防御方法及系统
CN106534174A (zh) * 2016-12-07 2017-03-22 北京奇虎科技有限公司 一种敏感数据的云防护方法、装置及系统
CN106656975A (zh) * 2016-10-18 2017-05-10 新华三技术有限公司 一种攻击防御方法及装置
CN106961450A (zh) * 2017-05-24 2017-07-18 深信服科技股份有限公司 安全防御方法、终端、云端服务器以及安全防御系统
WO2018076368A1 (zh) * 2016-10-31 2018-05-03 美的智慧家居科技有限公司 局域网内设备的安全操控方法、系统及其设备
US20180159878A1 (en) * 2016-12-01 2018-06-07 Institute For Information Industry Attacking node detection apparatus, method, and non-transitory computer readable storage medium thereof
CN109167795A (zh) * 2018-09-27 2019-01-08 深信服科技股份有限公司 一种安全防御系统及方法
CN109995736A (zh) * 2017-12-31 2019-07-09 中国移动通信集团四川有限公司 检测威胁攻击的方法、装置、设备和存储介质
CN111416810A (zh) * 2020-03-16 2020-07-14 北京计算机技术及应用研究所 一种基于群体智能的多个安全组件协同响应方法
CN111756747A (zh) * 2020-06-25 2020-10-09 深圳市幻一科技有限公司 一种防火墙网络安全联控方法及其系统

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103384212A (zh) * 2013-07-24 2013-11-06 佳都新太科技股份有限公司 一种通信应用系统双机高可用方案及其实现
CN104468632A (zh) * 2014-12-31 2015-03-25 北京奇虎科技有限公司 防御漏洞攻击的方法、设备及系统
US20160269377A1 (en) * 2015-03-13 2016-09-15 Ssh Communications Security Oyj Access relationships in a computer system
CN106411562A (zh) * 2016-06-17 2017-02-15 全球能源互联网研究院 一种电力信息网络安全联动防御方法及系统
CN106656975A (zh) * 2016-10-18 2017-05-10 新华三技术有限公司 一种攻击防御方法及装置
WO2018076368A1 (zh) * 2016-10-31 2018-05-03 美的智慧家居科技有限公司 局域网内设备的安全操控方法、系统及其设备
US20180159878A1 (en) * 2016-12-01 2018-06-07 Institute For Information Industry Attacking node detection apparatus, method, and non-transitory computer readable storage medium thereof
CN106534174A (zh) * 2016-12-07 2017-03-22 北京奇虎科技有限公司 一种敏感数据的云防护方法、装置及系统
CN106961450A (zh) * 2017-05-24 2017-07-18 深信服科技股份有限公司 安全防御方法、终端、云端服务器以及安全防御系统
CN109995736A (zh) * 2017-12-31 2019-07-09 中国移动通信集团四川有限公司 检测威胁攻击的方法、装置、设备和存储介质
CN109167795A (zh) * 2018-09-27 2019-01-08 深信服科技股份有限公司 一种安全防御系统及方法
CN111416810A (zh) * 2020-03-16 2020-07-14 北京计算机技术及应用研究所 一种基于群体智能的多个安全组件协同响应方法
CN111756747A (zh) * 2020-06-25 2020-10-09 深圳市幻一科技有限公司 一种防火墙网络安全联控方法及其系统

Also Published As

Publication number Publication date
CN113225334B (zh) 2023-04-07

Similar Documents

Publication Publication Date Title
US10055247B2 (en) Method and system for enabling self-monitoring virtual assets to correlate external events with characteristic patterns associated with the virtual assets
US10050997B2 (en) Method and system for secure delivery of information to computing environments
US9742794B2 (en) Method and apparatus for automating threat model generation and pattern identification
US9888025B2 (en) Method and system for providing an efficient asset management and verification service
AU2015296801B2 (en) Method and system for correlating self-reporting virtual asset data with external events to generate an external event identification database
US11240271B2 (en) Distributed detection of security threats in a remote network management platform
US9596251B2 (en) Method and system for providing security aware applications
Bodeau et al. Cyber resiliency engineering aid–the updated cyber resiliency engineering framework and guidance on applying cyber resiliency techniques
JP7185077B2 (ja) rootレベルアクセス攻撃を防止する方法および測定可能なSLAセキュリティおよびコンプライアンスプラットフォーム
US20180368007A1 (en) Security orchestration and network immune system deployment framework
US11411984B2 (en) Replacing a potentially threatening virtual asset
US11294700B2 (en) Method and system for enabling self-monitoring virtual assets to correlate external events with characteristic patterns associated with the virtual assets
CN113225334B (zh) 终端安全管理方法、装置、电子设备及存储介质
US10698752B2 (en) Preventing unauthorized access to secure enterprise information systems using a multi-intercept system
Michaud Malicious use of omg data distribution service (dds) in real-time mission critical distributed systems
CN109992351A (zh) 虚拟主机程序安全控制方法、装置、设备和介质
US11316884B2 (en) Software defined network white box infection detection and isolation
US20240106855A1 (en) Security telemetry from non-enterprise providers to shutdown compromised software defined wide area network sites
Moriarty The End Point
Xu et al. Network Security Policy Automation
KR20220123904A (ko) 이중 네트워크 구조를 갖는 차량 및 그의 운용 방법
Attak et al. Enhanced IoT security through orchestrated policy enforcement gateways

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant