CN113411199A - 智能等保测评的安全测试方法及系统 - Google Patents
智能等保测评的安全测试方法及系统 Download PDFInfo
- Publication number
- CN113411199A CN113411199A CN202110493036.8A CN202110493036A CN113411199A CN 113411199 A CN113411199 A CN 113411199A CN 202110493036 A CN202110493036 A CN 202110493036A CN 113411199 A CN113411199 A CN 113411199A
- Authority
- CN
- China
- Prior art keywords
- test
- information
- testing
- security
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/04—Real-time or near real-time messaging, e.g. instant messaging [IM]
- H04L51/043—Real-time or near real-time messaging, e.g. instant messaging [IM] using or handling presence information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Abstract
本发明公开了智能等保测评的安全测试方法及系统,涉及网络安全技术领域。一种智能等保测评的安全测试方法,包括步骤:采集用户针对等保服务对象选择的安全测试事项信息;获取所述安全测试事项预设的测试设备信息,将所述测试设备作为待测端;将用户所在终端作为测试端,基于预先在该测试端建立的测试系统,获取该测试系统中与前述测试设备的类型匹配的测评脚本后,通过该测评脚本对前述测试设备进行测试。本发明简化了安全测试流程,提高了安全测试效率。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种智能等保测评的安全测试方法及系统。
背景技术
信息安全等级保护制度是我国在国民经济和社会信息化的发展过程中,保障和促进信息化建设健康发展的一项基本制度。等保测评(全称为信息系统安全等级保护测评)是参照国家制定的《信息系统安全等级保护测评要求》中的技术数据对信息系统使用的网络设备进行测评工作。随着等保2.0的到来,信息系统逐步向云上发展,等级保护基本要求也融入云计算、大数据、移动互联网、物联网等技术。
在等保2.0中主要在安全区域边界和安全计算环境中提到入侵防范要求,主要是对网络和主机的入侵行为进行监测。入侵防范技术作为一种积极主动地安全防护技术,提供了对外部攻击、内部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。安全区域边界中的入侵防范主要指在关键网络节点处对从外部或内部发起的网络攻击进行入侵防范,安全计算环境中的入侵防范主要指遵循安装程序、开放服务和终端接入的最小化原则,同时修补已知漏洞。在等保3级中,要求实现对新型网络攻击行为的分析,并要求检测到对重要节点进行入侵的行为。在等保4级中,对入侵防范的要求和等保3级基本保持一致。
传统的等保测评中,入侵防范的测评通常是以人力进行各种安全测试操作,需要专业人员现场测试和访谈,然后人工整理和计算测试得到的数据,编写等保测评报告。然而,现场测试和访谈方式需要耗费大量的人力、物力,且工作流程繁琐,通常需要人工根据测评项一项一项操作并采集测试数据。
如何结合等保测评的要求,提供一种操作简单、便利、自动化的安全测试方法是当前亟需解决的技术问题。
发明内容
本发明的目的是提供一种智能等保测评的安全测试方法及系统,本发明能够根据用户选择的安全测试事项信息,获取该安全测试事项预设的测试设备作为待测端,然后基于预先在用户所在终端建立的测试系统中的测评脚本对前述测试设备进行自动测试,本发明简化了安全测试流程,提高了安全测试效率。
为实现上述目标,本发明提供了如下技术方案:
一种智能等保测评的安全测试方法,包括步骤:
采集用户针对等保服务对象选择的安全测试事项信息;
获取所述安全测试事项预设的测试设备信息,将所述测试设备作为待测端;
将用户所在终端作为测试端,基于预先在该测试端建立的测试系统,获取该测试系统中与前述测试设备的类型匹配的测评脚本后,通过该测评脚本对前述测试设备进行测试。
进一步,所述安全测试事项为模拟攻击测试,在测试端的测试系统中,对应不同类型的测试设备设置有匹配的模拟攻击测评项目及其对应测评脚本。
进一步,所述模拟攻击测评项目包括DDOS攻击测试项目、木马攻击测试项目、蠕虫攻击测试项目和/或地址欺骗攻击测试项目。
进一步,还包括对应前述测试端和待测端设置的测试监测端,所述测试监测端用于对测试端、待测端以及测试端和待测端之间的通信链路进行监测,并根据测试端、待测端或通信链路上的监测信息判断是否存在安全威胁信息,判定存在时触发告警信息。
进一步,判断是否存在安全威胁信息的步骤包括,
获取需要收集的数据源类型,通过统一采集代理采集测试端和待测端上的上述类型的数据;
对前述采集的数据进行缓存后,通过前述统一采集代理进行范式化和打标签后形成预处理数据,将所述预处理数据按数据模型要求统一存储到非关系型大数据库集群;
通过测试监测端上的安全大数据分析平台,结合关联的威胁情报库对前述数据进行安全分析,判断是否存在非安全特征,在存在非安全特征时判定存在安全威胁信息。
进一步,判定存在安全威胁信息时,获取安全威胁信息的关键要素,并基于所述关键要素更新前述威胁情报库;所述关键要素包括可观测数据、攻击指标、安全事件、威胁主体、攻击目标、攻击方法和攻击时间规律。
进一步,每个安全测试事项还预设有测试联系人;在对测试设备进行测试时,生成用户与前述测试联系人的IM交互界面,通过前述IM交互界面建立用户与测试联系人的增强现实通话;在所述增强现实通话模式下,基于测试联系人客户端拍摄现场的实景图像数据,将所述实景图像融合包含设备指示信息的虚拟对象后生成增强现实指示图像输出。
进一步,基于前述等保服务对象,在IM工具中建立有与所述等保服务对象对应的联系人对象,对应所述联系人对象设置有测试控件,所述测试控件关联有测试界面以显示安全测试事项,对应每个安全测试事项预设有测试设备信息和测试联系人信息;采集用户针对等保服务对象选择的安全测试事项信息的步骤包括,
采集用户触发前述测试控件的操作信息;输出测试界面,所述测试界面中显示有与前述等保服务对象所属等保级别对应的安全测试事项列表;获取用户在安全测试事项列表中选择的安全测试事项信息。
进一步,所述设备指示信息为设备名称、编号和/或图形;获取目标安全测试事项对应的所有测试设备信息,在增强现实指示图像中对应着前述测试设备的现场设备图像输出包含前述设备指示信息的虚拟对象。
本发明还提供了一种智能等保测评的安全测试系统,包括通信连接的待测端和测试端;
所述待测端,用于接收测试端发送的测评脚本并运行该测评脚本;
所述测试端,用于采集用户针对等保服务对象选择的安全测试事项信息,所述安全测试事项与前述等保服务对象所属的等保级别匹配,获取所述安全测试事项预设的测试设备信息,将所述测试设备作为待测端;以及基于预先在该测试端建立的测试系统,获取该测试系统中与前述测试设备的类型匹配的测评脚本后,将该测评脚本发送至待测端上以进行测试。
本发明由于采用以上技术方案,与现有技术相比,作为举例,具有以下的优点和积极效果:能够根据用户选择的安全测试事项信息,获取该安全测试事项预设的测试设备作为待测端,然后基于预先在用户所在终端建立的测试系统中的测评脚本对前述测试设备进行自动测试,本发明简化了安全测试流程,提高了安全测试效率。
附图说明
图1为本发明实施例提供的智能等保测评的安全测试方法的流程图。
图2为本发明实施例提供的IM工具的联系人显示界面示例图。
图3为本发明实施例提供的测试界面的界面示例图。
图4是本发明实施例提供的系统的结构示意图。
附图标记说明:
IM工具主界面100,用户头像110,联系人列表120,联系人对象130,测试控件140;
测试界面200,主题栏210,客户名称显示栏220,安全测试事项显示栏230,测试事项列表240,安全测试事项241,测试设备控件241a,测试联系人控件241b;
系统400,待测端410,测试端420。
具体实施方式
以下结合附图和具体实施例对本发明公开的智能等保测评的安全测试方法及系统作进一步详细说明。应当注意的是,下述实施例中描述的技术特征或者技术特征的组合不应当被认为是孤立的,它们可以被相互组合从而达到更好的技术效果。在下述实施例的附图中,各附图所出现的相同标号代表相同的特征或者部件,可应用于不同实施例中。因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
需说明的是,本说明书所附图中所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定发明可实施的限定条件,任何结构的修饰、比例关系的改变或大小的调整,在不影响发明所能产生的功效及所能达成的目的下,均应落在发明所揭示的技术内容所能涵盖的范围内。本发明的优选实施方式的范围包括另外的实现,其中可以不按所述的或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
实施例
参见图1所示,为本发明实施例提供的一种智能等保测评的安全测试方法。所述方法包括如下步骤:
S100,采集用户针对等保服务对象选择的安全测试事项信息。
具体的,首先可以基于前述等保服务对象,在IM工具中建立有与所述等保服务对象对应的联系人对象,对应所述联系人对象设置有测试控件,所述测试控件关联有测试界面以显示安全测试事项。
所述IM(Instant Messaging)通信工具(即时通信工具,又称即时通讯工具),在本领域通常指具有即时通信功能的客户端。作为举例而非限制,所述即时通信工具可以是网络版应用,也可以是PC版应用或者手持终端APP应用。用户通过登录即时通信工具,建立了即时通信客户端与即时通信服务器之间的连接。即时通信工具通过用户终端显示屏向用户输出用户主界面。现有技术中,所述用户主界面可以显示即时通信服务器推送的联系人列表,该联系人列表中记录了好友(联系人对象)的头像、昵称、签名、在线状态、会话消息以及排序等好友信息等。若用户针对联系人列表中的某一联系人对象,触发了交互操作——常用的,比如点击触发对应的联系人头像——则会相应地生成IM交互界面。所述IM交互界面,用于展现历史交互信息、当前交互信息等。
本实施例中,基于网络安全等级保护的需求特定,对前述联系人应用的功能进行了改进,能够基于联系人应用建立与等保服务对象对应的联系人对象,该联系人对象显示在联系人列表中,用户触发该联系人对象的联系人头像后,能够与该等保服务对象设置的管理员进行即时通信交互(即建立用户与该等保服务对象的管理员的IM交互界面)。同时,对应该联系人对象还设置有测试控件,该测试控件作为该等保服务对象的测试界面的访问入口,触发后能够输出测试界面以显示安全测试事项。
对应测试界面的每个安全测试事项,还可以预设有测试设备信息和测试联系人信息。所述测试设备为与该安全测试事项相关的网络设备——比如安全测试事项针对的待测设备主机。所述测试联系人为与该安全测试事项相关的通信联系人——比如负责该安全测试事项的安全管理人员。
此时,采集用户针对等保服务对象选择的安全测试事项信息的步骤具体可以为:采集用户触发前述测试控件的操作信息;输出测试界面,所述测试界面中可以显示有与前述等保服务对象所属等保级别对应的安全测试事项列表,获取用户在安全测试事项列表中选择的安全测试事项信息。
S200,获取所述安全测试事项预设的测试设备信息,将所述测试设备作为待测端。
S300,将用户所在终端作为测试端,基于预先在该测试端建立的测试系统,获取该测试系统中与前述测试设备的类型匹配的测评脚本后,通过该测评脚本对前述测试设备进行测试。
本实施例中,所述安全测试事项优选为模拟攻击测试。在测试端的测试系统中,对应不同类型的测试设备设置有匹配的模拟攻击测评项目及其对应测评脚本。
上述测评脚本文件是通过脚本语言撰写而成,所述脚本语言是一种用来控制程序的编程语言,通常以ASCII的字符进行储存。脚本文件中可以包含一连串的基础函数,用以在实现相应的一连串操作,以便对测评项目进行测试。
所述模拟攻击测评项目具体可以包括DDOS攻击测试项目、木马攻击测试项目、蠕虫攻击测试项目和/或地址欺骗攻击测试项目。
下面以IM工具微信为例详细描述本实施例。
参见图2所示,用户通过用户终端启动IM工具,用户终端的显示屏上输出IM工具主界面100,主界面上显示有用户头像110,工具栏和该用户的联系人列表120。联系人列表中显示有用户的联系人对象,每个联系人均对应一个通信对象。每个联系人对象均对应有头像。
本实施例中,联系人列表120中的联系人对象包括对应着常规即时通信交互界面的普通联系人对象——比如联系人对象“张三”,和对应着等保联系人对象的联系人对象130——比如等保联系人对象“等级保护客户1”。可选的,在联系人列表120中对普通联系人对象和对应等保服务对象的联系人对象区别显示,作为举例而非限制,比如在对等保服务对象的联系人对象的头像上端设置区别标识——图2中示例了云朵标识,如此,便于用户辨识联系人列表中的普通联系人对象和对应等保服务对象的联系人对象。当然,根据需要,还可以采用其它字符或图形标识,在此不作为对本发明的限制。
作为举例而非限制,对应所述联系人对象130的联系人名称的后面设置有测试控件140。所述测试控件140被触发后,能够输出测试界面200,参见图3所示,所述测试界面200中可以显示有与前述等保服务对象所属等保级别对应的安全测试事项信息。
等保级别,一般可以分为五个级别,分别为第一级(用户自主保护级)、第二级(系统审计保护级)、第三级(安全标记保护级)、第四级(结构化保护级)和第五级(访问验证保护级),不同的级别对应有不同的事项信息。作为举例,比如等级保护客户1所属的等保级别为等保三级,则测试界面200中显示与等保三级测评要求相关的安全测试事项信息。
具体的,所述测试界面200可以包括主题栏210、客户名称显示栏220和安全测试事项显示栏230。
所述主题栏210,用于输出当前界面的任务主题信息,比如图3中的“等保测评-安全测试”。可选的,所述任务主题信息可以包括该等保服务对象所属等保级别“等保三级”。
所述客户名称显示栏220,用于输出等保服务对象的名称信息,包括但不限于昵称、编号等信息。
所述安全测试事项显示栏230用于输出与等保三级测评要求相关的安全测试事项信息。优选的,在安全测试事项显示栏230中以测试事项列表240的形式显示各个安全测试事项241的事项名称、事项编号和/或事项图标等信息。
对应每个安全测试事项241可以设置有触发项,用户可以选择触发项来选择希望测试的安全测试事项。可选的,所述触发项为对应每个安全测试事项的触发按钮,将用户点击触发按钮的操作作为前述选择操作。
对应每个安全测试事项241的后方,还可以设置有测试设备控件241a和测试联系人控件241b。所述测试设备控件241a和测试联系人控件241b作为工具按钮,用户可以通过点击上述工具按钮以分别设置测试设备信息和测试联系人信息。
图3中的模拟攻击测评项目具体包括DDOS攻击测试项目、木马攻击测试项目、蠕虫攻击测试项目和地址欺骗攻击测试项目。
用户通过点击“DDOS攻击测试”(“DDOS攻击测试”属于一级测试事项“模拟攻击测试”中的从属测试事项)的图标按钮,则DDOS攻击测试作为被选择的目标测试项目,作为举例,比如该DDOS攻击测试预设的测试设备为设备1、设备2和设备3,则将设备1、设备2和设备3分别作为第一待测端、第二待测端和第三待测端,通过用户所在终端作为测试端,基于预先在该测试端建立的测试系统,获取该测试系统中与前述测试设备的类型匹配的测评脚本后,通过该测评脚本对前述测试设备分别进行测试。
具体的,所述测试系统中设置有测评脚本,所述测评脚本与测试设备的类型对应设置,不同类型的设备对应于不同的测评脚本。作为举例而非限制,所述网络设备的类型在大类上可分为:不同型号的路由器、交换机、防火墙等网络设备,进一步,还可以给予大类进行细分,比如根据网络设备的型号和使用系统进行小类划分。根据预设的测试设备信息中的设备类型信息(包括大类和/或小类信息),可以在测试系统的测评脚本数据库中获取匹配的测评脚本。
比如,前述设备1、设备2和设备3分别为路由器、交换机和防火墙,则可以从测试系统的测评脚本数据库中获取匹配的测评脚本——路由测评脚本、交换机测评脚本和防火墙测评脚本,通过上述测评脚本分别对对应类型的测试设备进行测试。
作为优选,对某个测试设备进行测试的具体步骤可以如下:根据测试设备信息,获取该设备的设备自身属性信息和设备登录信息;根据前述设备自身属性信息判断测试设备的类型,并按照测试设备的类型在测评脚本数据库获取对应的测评脚本;根据前述设备登录信息登录测试设备,将前述测评脚本在该网络设备上运行以获取测试数据。所述设备信息包括设备自身属性信息和设备登录信息。所述设备自身属性信息可以包括设备名称信息、设备图像信息、设备型号信息、设备使用年限信息以及维修历史信息等基本信息。所述设备登录信息为登录网络安全设备的身份核验信息,可以包括登录用户名和登录密码。
优选的,在获取测试系统信息之后以及进行测试之前,还可以包括步骤:获取前述用户的操作权限信息,所述操作权限信息包括该用户的测试系统访问权限信息和访问时段信息;根据前述操作权限信息判断该用户是否具有访问对应测试系统的权限且当前时间是否符合前述访问时段;判定均为是时,触发测试指令以对测试设备进行测试,否则触发结束测试指令。
本实施例的另一实施方式中,还包括对应前述测试端和待测端设置的测试监测端,所述测试监测端用于对测试端、待测端以及测试端和待测端之间的通信链路进行监测,并根据测试端、待测端或通信链路上的监测信息判断是否存在安全威胁信息,判定存在时触发告警信息。
优选的,判断是否存在安全威胁信息的步骤包括:获取需要收集的数据源类型,通过统一采集代理采集测试端和待测端上的上述类型的数据;对前述采集的数据进行缓存后,通过前述统一采集代理进行范式化和打标签后形成预处理数据,将所述预处理数据按数据模型要求统一存储到非关系型大数据库集群;通过测试监测端上的安全大数据分析平台,结合关联的威胁情报库对前述数据进行安全分析,判断是否存在非安全特征,在存在非安全特征时判定存在安全威胁信息。
所述数据源具体可以包括:DNS日志,WEB访问日志,安全设备(IPS、外部防火墙、WAF和APT)数据,PKI、VPN、4A、准入系统、上网行为审计、防病毒、终端流量、威胁情报、镜像流量原始数据包等数据信息。
所述的安全分析,作为举例而非限制,可以包括恶意域名的自动识别、安全告警的有效识别、敏感信息的泄露检测、网络流量检测、内部威胁情报的利用和办公电脑访问恶意IP自别识别等。
以恶意域名的自动识别为例,比如可以利用安全大数据分析平台收集的DNS日志与关联的威胁情报库(存储有不安全域名信息)进行比对,对匹配的恶意域名进行告警,并判定存在非安全特征。
以安全告警的有效识别指:利用安全大数据分析平台收集的IPS、外部防火墙、WAF、APT等,对通信双方的地址、端口、协议及数据包载荷特征,与关联的威胁情报库(存储有恶意特征信息)进行比对,对匹配的恶意特征进行告警,并判定存在非安全特征。
优选的,判定存在安全威胁信息时,获取安全威胁信息的关键要素,并基于所述关键要素更新前述威胁情报库。所述关键要素包括可观测数据、攻击指标、安全事件、威胁主体、攻击目标、攻击方法和攻击时间规律。
本实施例的另一实施方式中,由于安全测试事项还预设有测试联系人,在对测试设备进行测试时,还可以建立用户与前述测试联系人的IM交互,生成用户与前述测试联系人的IM交互界面,并通过前述IM交互界面建立用户与测试联系人的增强现实通话。在所述增强现实通话模式下,基于测试联系人客户端拍摄现场的实景图像数据,将所述实景图像融合包含设备指示信息的虚拟对象后生成增强现实指示图像输出。
具体的,所述IM交互界面可以包括对话的联系人对象名称,交互信息显示栏,交互信息输入栏和工具栏。所述交互信息显示栏用于显示聊天信息。所述信息输入栏用于采集用户的聊天信息。所述工具栏显示有常用的语音聊天控件、表情图标控件,以及更多工具选项,作为举例,用户触发更多工具选项后可以输出控件显示栏,所述控件显示栏显示有用户可以使用的应用控件——比如相册控件、拍摄控件、视频通话控件、语音通话控件、位置控件、收藏控件等。本实施例中,所述即时通信交互界面具有AR(增强现实)通话功能,此时在控件显示栏还输出有AR通话控件。
通过前述IM交互界面建立用户与测试联系人的增强现实通话的方式,可以是采集到用户触发前述AR通话控件的操作消息时,建立用户与测试联系人的增强现实通话。也可以是在生成前述即时通信交互界面的同时直接建立用户与测试联系人的增强现实通话。建立增强现实通话后,显示结构输出增强现实通话界面。
所述包含设备指示信息的虚拟对象,可以是文字内容和/或图形内容。优选的,所述设备指示信息为设备名称、编号和/或图形;获取目标安全测试事项对应的所有测试设备信息,在增强现实指示图像中对应着前述测试设备的现场设备图像输出包含前述设备指示信息的虚拟对象。
优选的,当测试设备为多个时,获取正在测试的当前测试设备信息,并在所述增强现实指示图像中用第二虚拟对象标识前述当前测试设备。所述第二虚拟对象标识可以为标识框和/或标识文字。
本实施例中,获取正在测试的当前测试设备信息的具体步骤优选为:获取增强现实通话过程中的语音信息;识别前述语音信息,获取前述语音信息对应的讨论内容;将前述讨论内容中包含的设备名称和/或编号信息作为当前测试设备信息。
本实施例的另一实施方式中,还可以分析前述讨论内容中用户方的评价倾向性,基于该评价倾向性获取对应的评价项信息,将前述评价项信息作为当前测试设备的测试辅助信息存储到预设的存储路径中——比如指定文件夹中,以便用户后期根据需要查看、管理和维护。
所述评价倾向性可以包括肯定性评价、中立性评价和否定性评价类型,对应不同类型的评价倾向性设置有不同的评价项信息。如此,可以快速地得到用户对安全测试项目的结论(评价项信息即为结论)或部分结论(评价项信息为结论的一部分)。
作为举例而限制,比如在增强现实通话过程中,采集并识别了用户的语音信息:“你们的DDOS攻击测试结果很好呀,都是低风险,达到等保三级的入侵防范要求了。”,上述文字信息中包含的评价倾向性为肯定性评价。于是,基于该评价倾向性,获取对应的评价项信息:低风险,无需整改。
本实施例的另一实施方式中,还可以在增强现实指示图像中输出包含导航增强信息的第三虚拟对象。所述导航增强信息可以为导航地图、导航指引标识和导航指引文字中的一种或多种,对应每个现场处理事项设置有导航路线。对于目标现场处理事项,在增强现实导航图像中通过导航地图、导航指引标识和/或导航指引文字输出目标现场处理事项对应的目标导航路线以进行指示。
本发明的另一实施例,还提供了一种智能等保测评的安全测试系统。
所述系统400包括通信连接的待测端410和测试端420,待测端410可以为多个。
所述待测端410,用于接收测试端发送的测评脚本并运行该测评脚本。
所述测试端420,用于采集用户针对等保服务对象选择的安全测试事项信息,所述安全测试事项与前述等保服务对象所属的等保级别匹配,获取所述安全测试事项预设的测试设备信息,将所述测试设备作为待测端;以及基于预先在该测试端建立的测试系统,获取该测试系统中与前述测试设备的类型匹配的测评脚本后,将该测评脚本发送至待测端上以进行测试。
本实施例中,所述系统400还可以包括对应前述测试端和待测端设置的测试监测端。
所述测试监测端用于对测试端、待测端以及测试端和待测端之间的通信链路进行监测,并根据测试端、待测端或通信链路上的监测信息判断是否存在安全威胁信息,判定存在时触发告警信息。
具体的,所述测试监测端可以被配置为:获取需要收集的数据源类型,通过统一采集代理采集测试端和待测端上的上述类型的数据;
对前述采集的数据进行缓存后,通过前述统一采集代理进行范式化和打标签后形成预处理数据,将所述预处理数据按数据模型要求统一存储到非关系型大数据库集群;通过测试监测端上的安全大数据分析平台,结合关联的威胁情报库对前述数据进行安全分析,判断是否存在非安全特征,在存在非安全特征时判定存在安全威胁信息。
优选的,在判定存在安全威胁信息时,获取安全威胁信息的关键要素,并基于所述关键要素更新前述威胁情报库;所述关键要素包括可观测数据、攻击指标、安全事件、威胁主体、攻击目标、攻击方法和攻击时间规律。
其它技术特征参考在前实施例,在此不再赘述。
需要说明的是,对应增强现实信息,可以设置有增强现实服务器,所述增强现实服务器可以进行专用数据库建立,专用数据库建立指由POI信息和从拍摄的具有实际的地理特征(地貌、建筑物、道路等)的真实图像抽取的特征点的结合形成的信息数据库。比如可以包括增强现实信息数据库、真实图像数据库以及POI数据库,对应于增强现实服务器的服务器储存单元设置。这里,增强现实信息数据库可以用于储存特征点、GPS坐标、POI信息以及其他相关信息中的一种或多种,并与商业报告系统、门户网站、广告内容DB交互;真实图像数据库可以储存实际的街道图像以及与所述图像匹配的 GPS坐标;POI数据库用于储存POI信息。
在上面的描述中,本发明的公开内容并不旨在将其自身限于这些方面。而是,在本公开内容的目标保护范围内,各组件可以以任意数目选择性地且操作性地进行合并。另外,像“包括”、“囊括”以及“具有”的术语应当默认被解释为包括性的或开放性的,而不是排他性的或封闭性,除非其被明确限定为相反的含义。所有技术、科技或其他方面的术语都符合本领域技术人员所理解的含义,除非其被限定为相反的含义。在词典里找到的公共术语应当在相关技术文档的背景下不被太理想化或太不实际地解释,除非本公开内容明确将其限定成那样。本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰,均属于权利要求书的保护范围。
Claims (10)
1.一种智能等保测评的安全测试方法,其特征在于包括步骤:
采集用户针对等保服务对象选择的安全测试事项信息;
获取所述安全测试事项预设的测试设备信息,将所述测试设备作为待测端;
将用户所在终端作为测试端,基于预先在该测试端建立的测试系统,获取该测试系统中与前述测试设备的类型匹配的测评脚本后,通过该测评脚本对前述测试设备进行测试。
2.根据权利要求1所述的方法,其特征在于:所述安全测试事项为模拟攻击测试,在测试端的测试系统中,对应不同类型的测试设备设置有匹配的模拟攻击测评项目及其对应测评脚本。
3.根据权利要求2所述的方法,其特征在于:所述模拟攻击测评项目包括DDOS攻击测试项目、木马攻击测试项目、蠕虫攻击测试项目和/或地址欺骗攻击测试项目。
4.根据权利要求2所述的方法,其特征在于:还包括对应前述测试端和待测端设置的测试监测端,所述测试监测端用于对测试端、待测端以及测试端和待测端之间的通信链路进行监测,并根据测试端、待测端或通信链路上的监测信息判断是否存在安全威胁信息,判定存在时触发告警信息。
5.根据权利要求4所述的方法,其特征在于:判断是否存在安全威胁信息的步骤包括,
获取需要收集的数据源类型,通过统一采集代理采集测试端和待测端上的上述类型的数据;
对前述采集的数据进行缓存后,通过前述统一采集代理进行范式化和打标签后形成预处理数据,将所述预处理数据按数据模型要求统一存储到非关系型大数据库集群;
通过测试监测端上的安全大数据分析平台,结合关联的威胁情报库对前述数据进行安全分析,判断是否存在非安全特征,在存在非安全特征时判定存在安全威胁信息。
6.根据权利要求5所述的方法,其特征在于:判定存在安全威胁信息时,获取安全威胁信息的关键要素,并基于所述关键要素更新前述威胁情报库;所述关键要素包括可观测数据、攻击指标、安全事件、威胁主体、攻击目标、攻击方法和攻击时间规律。
7.根据权利要求1所述的方法,其特征在于:每个安全测试事项还预设有测试联系人;在对测试设备进行测试时,生成用户与前述测试联系人的IM交互界面,通过前述IM交互界面建立用户与测试联系人的增强现实通话;在所述增强现实通话模式下,基于测试联系人客户端拍摄现场的实景图像数据,将所述实景图像融合包含设备指示信息的虚拟对象后生成增强现实指示图像输出。
8.根据权利要求7所述的方法,其特征在于:基于前述等保服务对象,在IM工具中建立有与所述等保服务对象对应的联系人对象,对应所述联系人对象设置有测试控件,所述测试控件关联有测试界面以显示安全测试事项,对应每个安全测试事项预设有测试设备信息和测试联系人信息;采集用户针对等保服务对象选择的安全测试事项信息的步骤包括,
采集用户触发前述测试控件的操作信息;输出测试界面,所述测试界面中显示有与前述等保服务对象所属等保级别对应的安全测试事项列表;获取用户在安全测试事项列表中选择的安全测试事项信息。
9.根据权利要求7所述的方法,其特征在于:所述设备指示信息为设备名称、编号和/或图形;获取目标安全测试事项对应的所有测试设备信息,在增强现实指示图像中对应着前述测试设备的现场设备图像输出包含前述设备指示信息的虚拟对象。
10.一种智能等保测评的安全测试系统,包括通信连接的待测端和测试端,其特征在于:
所述待测端,用于接收测试端发送的测评脚本并运行该测评脚本;
所述测试端,用于采集用户针对等保服务对象选择的安全测试事项信息,所述安全测试事项与前述等保服务对象所属的等保级别匹配,获取所述安全测试事项预设的测试设备信息,将所述测试设备作为待测端;以及基于预先在该测试端建立的测试系统,获取该测试系统中与前述测试设备的类型匹配的测评脚本后,将该测评脚本发送至待测端上以进行测试。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110493036.8A CN113411199A (zh) | 2021-05-07 | 2021-05-07 | 智能等保测评的安全测试方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110493036.8A CN113411199A (zh) | 2021-05-07 | 2021-05-07 | 智能等保测评的安全测试方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113411199A true CN113411199A (zh) | 2021-09-17 |
Family
ID=77678053
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110493036.8A Pending CN113411199A (zh) | 2021-05-07 | 2021-05-07 | 智能等保测评的安全测试方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113411199A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114124516A (zh) * | 2021-11-19 | 2022-03-01 | 上海纽盾科技股份有限公司 | 态势感知预测方法、装置及系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104506388A (zh) * | 2014-12-26 | 2015-04-08 | 成都致云科技有限公司 | 一种与ar技术结合的idc监控方法及系统 |
| CN110149327A (zh) * | 2019-05-20 | 2019-08-20 | 中国南方电网有限责任公司 | 网络安全威胁的告警方法、装置、计算机设备和存储介质 |
| US20200204572A1 (en) * | 2018-12-19 | 2020-06-25 | Abnormal Security Corporation | Threat detection platforms for detecting, characterizing, and remediating email-based threats in real time |
| CN111800395A (zh) * | 2020-06-18 | 2020-10-20 | 云南电网有限责任公司信息中心 | 一种威胁情报防御方法和系统 |
| CN111970166A (zh) * | 2020-07-31 | 2020-11-20 | 南京南瑞继保电气有限公司 | 一种测试方法、装置、设备、系统及计算机可读存储介质 |
| CN112134785A (zh) * | 2020-09-14 | 2020-12-25 | 上海纽盾科技股份有限公司 | 网络安全等级保护中的信息处理方法、客户端及系统 |
| CN112152871A (zh) * | 2020-08-14 | 2020-12-29 | 上海纽盾科技股份有限公司 | 网络安全设备的人工智能测试方法、装置及系统 |
| CN112152838A (zh) * | 2020-08-14 | 2020-12-29 | 上海纽盾科技股份有限公司 | 网络安全设备的智能监管方法、装置及系统 |
-
2021
- 2021-05-07 CN CN202110493036.8A patent/CN113411199A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104506388A (zh) * | 2014-12-26 | 2015-04-08 | 成都致云科技有限公司 | 一种与ar技术结合的idc监控方法及系统 |
| US20200204572A1 (en) * | 2018-12-19 | 2020-06-25 | Abnormal Security Corporation | Threat detection platforms for detecting, characterizing, and remediating email-based threats in real time |
| CN110149327A (zh) * | 2019-05-20 | 2019-08-20 | 中国南方电网有限责任公司 | 网络安全威胁的告警方法、装置、计算机设备和存储介质 |
| CN111800395A (zh) * | 2020-06-18 | 2020-10-20 | 云南电网有限责任公司信息中心 | 一种威胁情报防御方法和系统 |
| CN111970166A (zh) * | 2020-07-31 | 2020-11-20 | 南京南瑞继保电气有限公司 | 一种测试方法、装置、设备、系统及计算机可读存储介质 |
| CN112152871A (zh) * | 2020-08-14 | 2020-12-29 | 上海纽盾科技股份有限公司 | 网络安全设备的人工智能测试方法、装置及系统 |
| CN112152838A (zh) * | 2020-08-14 | 2020-12-29 | 上海纽盾科技股份有限公司 | 网络安全设备的智能监管方法、装置及系统 |
| CN112134785A (zh) * | 2020-09-14 | 2020-12-25 | 上海纽盾科技股份有限公司 | 网络安全等级保护中的信息处理方法、客户端及系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114124516A (zh) * | 2021-11-19 | 2022-03-01 | 上海纽盾科技股份有限公司 | 态势感知预测方法、装置及系统 |
| CN114124516B (zh) * | 2021-11-19 | 2023-08-22 | 上海纽盾科技股份有限公司 | 态势感知预测方法、装置及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112995196B (zh) | 网络安全等级保护中态势感知信息的处理方法及系统 | |
| US11916944B2 (en) | Network anomaly detection and profiling | |
| CN111800395A (zh) | 一种威胁情报防御方法和系统 | |
| CN111654489B (zh) | 一种网络安全态势感知方法、装置、设备及存储介质 | |
| CN111934976A (zh) | 基于即时通讯的网络安全监控方法、客户端及系统 | |
| CN112152871B (zh) | 网络安全设备的人工智能测试方法、装置及系统 | |
| CN112905548B (zh) | 一种安全审计系统及方法 | |
| CN110213236B (zh) | 确定业务安全风险的方法、电子设备及计算机存储介质 | |
| CN109344624A (zh) | 基于云端协作的渗透测试方法、平台、设备及存储介质 | |
| CN112152838A (zh) | 网络安全设备的智能监管方法、装置及系统 | |
| CN112131057A (zh) | 网络安全设备的ai测试方法、客户端及系统 | |
| CN112487208A (zh) | 一种网络安全数据关联分析方法、装置、设备及存储介质 | |
| CN111181978A (zh) | 异常网络流量的检测方法、装置、电子设备及存储介质 | |
| CN107566401A (zh) | 虚拟化环境的防护方法及装置 | |
| CN111859374A (zh) | 社会工程学攻击事件的检测方法、装置以及系统 | |
| CN113411199A (zh) | 智能等保测评的安全测试方法及系统 | |
| CN113411298B (zh) | 结合增强现实的安全测试方法及装置 | |
| CN111988322B (zh) | 一种攻击事件展示系统 | |
| CN112801359A (zh) | 工业互联网安全态势预测方法、装置、电子设备及介质 | |
| CN113411227A (zh) | 基于ar辅助的网络设备测试方法及装置 | |
| CN116015881B (zh) | 渗透测试方法、装置、设备及存储介质 | |
| CN109639494B (zh) | 接口信息的统计方法、装置、服务器及存储介质 | |
| CN110460620A (zh) | 网站防御方法、装置、设备及存储介质 | |
| Li et al. | The research on network security visualization key technology | |
| CN114866434A (zh) | 网络资产的安全评估方法及应用 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 200441 11th floor, No.2, Lane 99, Changjiang South Road, Baoshan District, Shanghai Applicant after: SHANGHAI NIUDUN TECHNOLOGY Co.,Ltd. Address before: Floor 11, building A5, Lane 1688, Guoquan North Road, Yangpu District, Shanghai, 200433 Applicant before: SHANGHAI NIUDUN TECHNOLOGY Co.,Ltd. |
|
| CB02 | Change of applicant information |