CN115374445A - 基于跨网场景的终端系统安全评估方法、装置及系统 - Google Patents

基于跨网场景的终端系统安全评估方法、装置及系统 Download PDF

Info

Publication number
CN115374445A
CN115374445A CN202210343684.XA CN202210343684A CN115374445A CN 115374445 A CN115374445 A CN 115374445A CN 202210343684 A CN202210343684 A CN 202210343684A CN 115374445 A CN115374445 A CN 115374445A
Authority
CN
China
Prior art keywords
strategy
terminal
client
target
policy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210343684.XA
Other languages
English (en)
Other versions
CN115374445B (zh
Inventor
李广恺
刘季平
彭成维
刘科栋
贾东征
薛春晖
李艺涛
段荣昌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National Computer Network and Information Security Management Center
Original Assignee
National Computer Network and Information Security Management Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National Computer Network and Information Security Management Center filed Critical National Computer Network and Information Security Management Center
Priority to CN202210343684.XA priority Critical patent/CN115374445B/zh
Publication of CN115374445A publication Critical patent/CN115374445A/zh
Application granted granted Critical
Publication of CN115374445B publication Critical patent/CN115374445B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请涉及一种基于跨网场景的终端系统安全评估方法、装置及系统,涉及网络安全技术领域,该基于跨网场景的终端系统安全评估方法包括:获取客户端发送的心跳数据和策略请求,基于心跳数据,针对策略请求向客户端发送目标策略,依据客户端反馈的策略执行信息,生成动态控制策略,其中,策略执行信息包含客户端依据目标策略生成的终端安全检查结果信息,将动态控制策略发送给客户端,以触发客户端依据动态控制策略控制目标终端的传输数据。可见,本申请解决了现有技术中由于缺少对网络内终端的安全评估而影响现网安全的问题。

Description

基于跨网场景的终端系统安全评估方法、装置及系统
技术领域
本申请涉及网络安全技术领域,尤其涉及一种基于跨网场景的终端系统安全评估方法、装置及系统。
背景技术
随着数字化转型的逐步深入,核心数据资产的保护越发重要。伴随着跨网络数据交互场景的增多,由其引发的安全事件也呈上升趋势。传统方案主要是采用跨网络隔离的数据保护手段。如可以在跨网络数据交互场景中应用跨网隔离技术,以将有害信息、网络威胁、漏洞攻击等网络安全威胁隔离开,保障数据在可信网络内进行安全交互。然而目前针对跨网络数据交互场景下缺少对网络内终端的安全评估,不具备实际的网络防护接入的管理动作。
现有的解决方案主要是在终端设备部署客户端软件,通过客户端软件对终端设备的系统安全进行评估,得到评估结果,进而确定终端设备是否处于安全状态。然而,现有的评估方式过于单一,无法对终端设备进行有效评估,且无法依据评估结果对终端设备进行访问控制,也无法对隐藏较深的攻击或威胁进行评估,评估结果的准确性较低。可见,现有的终端系统的安全评估方法无法在终端设备出现风险时进行有效的访问控制,存在数据泄露的问题。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本申请提供一种基于跨网场景的终端系统安全评估方法、装置及系统。
第一方面,本申请提供了一种基于跨网场景的终端系统安全评估方法,其特征在于,所述方法应用于控制端,包括:
获取客户端发送的心跳数据和策略请求;
基于所述心跳数据,针对所述策略请求向所述客户端发送目标策略;
依据所述客户端反馈的策略执行信息,生成动态控制策略,其中,所述策略执行信息包含所述客户端依据所述目标策略生成的终端安全检查结果信息;
将所述动态控制策略发送给所述客户端,以触发所述客户端依据所述动态控制策略控制目标终端的传输数据。
可选的,所述基于所述心跳数据,针对所述策略请求向所述客户端发送目标策略,包括:
基于所述心跳数据,确定所述客户端为目标客户端;
针对所述目标客户端,获取预设配置信息对应的定制策略;
将所述定制策略作为所述目标策略,发送给所述客户端。
可选的,所述依据所述客户端反馈的策略执行信息,生成动态控制策略,包括:
接收所述客户端反馈的策略执行信息;
从所述策略执行信息提取所述终端安全检查结果信息;
确定所述终端安全检查结果信息中所包含的终端威胁类型,并从所述终端安全检查结果信息中提取所述终端威胁类型对应的检测结果参数;
针对每一终端威胁类型,依据所述终端威胁类型对应预设的量化权重信息,对所述检测结果参数进行量化处理,得到量化指标信息;
依据所述量化指标信息,生成所述目标终端对应的动态控制策略。
可选的,所述终端威胁类型包含:基线威胁类型、漏洞威胁类型和/或情报威胁类型,所述依据所述量化指标信息,生成所述目标终端对应的动态控制策略,包括:
依据所述基线威胁类型对应的量化指标信息、所述漏洞威胁类型对应的量化指标信息以及所述情报威胁类型对应的量化指标信息进行加权处理,得到目标态势量化结果;
依据所述目标态势量化结果和预设的量化总权重信息进行评估处理,得到量化评估结果;
基于所述量化评估结果,生成所述目标终端对应的动态控制策略。
可选的,所述将所述动态控制策略发送给所述客户端之后,还包括:
获取策略调整信息;
依据所述策略调整信息对所述定制策略进行更新,得到更新后的定制策略;
基于所述心态数据,将所述更新后的定制策略作为所述目标策略,发送给所述客户端。
第二方面,本申请还提供了一种基于跨网场景的终端系统安全评估方法,其特征在于,所述方法应用于客户端,包括:
向控制端发送心跳数据和策略请求,所述控制端用于基于所述心跳数据和所述策略请求发送目标策略;
接收所述目标策略,并依据所述目标策略对所述目标终端进行安全检测,得到终端安全检查结果信息;
基于所述终端安全检查结果信息,生成策略执行信息,并向所述控制端发送策略执行信息;
接收所述控制端发送的动态控制策略,所述动态控制策略为所述控制端依据所述策略执行信息生成的策略;
依据所述动态控制策略,控制目标终端的传输数据。
第三方面,本申请提供一种基于跨网场景的终端系统安全评估装置,其特征在于,包括:第一获取模块、目标策略发送模块、动态控制策略生成模块以及动态控制策略发送模块;
其中,所述第一获取模块,用于获取客户端发送的心跳数据和策略请求;
所述目标策略发送模块,用于基于所述心跳数据,针对所述策略请求向所述客户端发送目标策略;
所述动态控制策略生成模块,用于依据所述客户端反馈的策略执行信息,生成动态控制策略,其中,所述策略执行信息包含所述客户端依据所述目标策略生成的终端安全检查结果信息;
所述动态控制策略发送模块,用于将所述动态控制策略发送给所述客户端,以触发所述客户端依据所述动态控制策略控制目标终端的传输数据。
第四方面,本申请还提供了一种基于跨网场景的终端系统安全评估装置,其特征在于,包括:发送模块、终端安全检查结果信息生成模块、策略执行信息生成模块、动态控制策略接收模块以及控制模块;
其中,所述发送模块,用于向控制端发送心跳数据和策略请求,所述控制端用于基于所述心跳数据和所述策略请求发送目标策略;
所述终端安全检查结果信息生成模块,用于接收所述目标策略,并依据所述目标策略对所述目标终端进行安全检测,得到终端安全检查结果信息;
所述策略执行信息生成模块,用于基于所述终端安全检查结果信息,生成策略执行信息,并向所述控制端发送策略执行信息;
所述动态控制策略接收模块,用于接收所述控制端发送的动态控制策略,所述动态控制策略为所述控制端依据所述策略执行信息生成的策略;
所述控制模块,用于依据所述动态控制策略,控制目标终端的传输数据。
第五方面,本申请提供了一种基于跨网场景的终端系统安全评估系统,
其特征在于,包括:客户端和控制端;
其中,所述客户端用于向所述控制端发送的心跳数据和策略请求;
所述控制端,用于接收所述控制端发送的心跳数据和策略请求;基于所述心跳数据,针对所述策略请求向所述客户端发送目标策略;接收所述客户端反馈的策略执行信息,依据所述客户端反馈的策略执行信息,生成动态控制策略,其中,所述策略执行信息包含所述客户端依据所述目标策略生成的终端安全检查结果信息;将所述动态控制策略发送给所述客户端,以触发所述客户端依据所述动态控制策略控制目标终端的传输数据。
综上,本申请实施例通过获取客户端发送的心跳数据和策略请求,基于心跳数据,针对策略请求向客户端发送目标策略,依据客户端反馈的策略执行信息,生成动态控制策略,其中,策略执行信息包含客户端依据目标策略生成的终端安全检查结果信息,将动态控制策略发送给客户端,以触发客户端依据动态控制策略控制目标终端的传输数据,可见,本申请解决了现有技术中由于缺少对网络内终端的安全评估而影响现网安全的问题,能够在终端设备出现风险时进行有效的访问控制,从而保证数据的安全性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种基于跨网场景的终端系统安全评估方法控制端侧的步骤流程示意图;
图2为本申请可选实施例提供的一种终端系统的基于跨网场景的终端系统安全评估方法控制端侧的步骤流程示意图;
图3为本申请提供的一种环境基线检查策略配置图;
图4为本申请提供的一种软件基线的检查策略配置图;
图5为本申请提供的一种配置基线的检查策略配置图;
图6为本申请可选实施例提供的一种终端系统的基于跨网场景的终端系统安全评估方法客户端侧的步骤流程示意图;
图7为本申请实施例提供的一种基于跨网场景的终端系统安全评估装置的结构框图;
图8为本申请又一实施例提供的一种基于跨网场景的终端系统安全评估装置的结构框图;
图9为本申请实施例提供的一种基于跨网场景的终端系统安全评估系统的结构框图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
在具体实现中,现有的终端评分机制多以模块的形式集成于互联网公司开发的终端安全软件中,然而现有的终端评分机制仅适用于互联网访问场景,无法适用于跨网访问场景。随着跨网信息交互的场景在信息化社会中逐渐被广泛应用,在实际应用中跨网信息交互往往面临网络架构变化更加频繁、使用人员数量增多、承载业务种类增多以及数据敏感复杂程度不统一的状况,且相较于互联网访问场景,跨网访问场景的属性特殊,如对终端系统安全要求更高、安全管理策略复杂以及评分维度也更多样化等。
此外,现有的终端评分机制也不具备控制终端访问的能力,评分结果只能作为参考,在确定终端存在风险的情况下,无法主动对风险评分不满足信任条件的终端进行访问控制,终端依然能够进行网络访问及数据交互,安全风险依然存在,当终端进行网络访问及数据交互时,无法对终端的网络访问、文件传输等操作内容进行知识库碰撞,对于隐藏较深的攻击或威胁评分准确率较低,其中,最紧迫的核心问题就是数据安全性能问题、内部网络安全保护问题,只有数据和网络安全得到保障,信息系统才能得到持续稳定发挥作用。
为保障跨网场景中的数据及网络安全,本申请提供了一种基于跨网场景的终端系统安全评估量化模型,从基线检查、漏洞扫描以及威胁态势三个量化维度对终端系统安全做全面细致的评估,如根据跨网场景的属性,结合基线检查、漏洞扫描以及威胁态势三个方面中每个项目的用途、使用频率、以及重要程度等进行量化评估,得出所有项目在本评估量化模型中的权重比,进而得到评估结果,将评估后的得分回传至控制中心,使得控制中心可以基于评分结果,结合控制中心的管控能力,能够对终端在跨网环境中从网络接入、数据交互以及操作行为等的对终端设备进行全面实时监管,不仅解决了现有的终端系统的安全评估方法无法在终端设备出现风险时进行有效的访问控制的问题,还解决了现有的终端系统的安全评估方案在跨网场景中缺少具有针对性的终端信任评分机制问题,能有效增强跨网隔离环境下数据交互的安全性及可控性,从而实现对终端跨网访问行为的管控,使得跨网数据交互的安全性能够得到实时保护,极大地降低来自于内部的网络威胁,保障威胁隐患不在内网扩散直至威胁风险被处理完毕。
为便于对本申请实施例的理解,下面将结合附图以及具体实施例做进一步的解释说明,实施例并不构成对本申请实施例的限定。
图1为本申请实施例提供的一种基于跨网场景的终端系统安全评估方法控制端侧的步骤流程示意图。在具体实现中,本申请实施例提供的基于跨网场景的终端系统安全评估方法可以应用于控制端,使得控制端可以依据客户端发送的策略执行信息,生成动态控制策略,从而通过动态控制策略,触发客户端依据动态控制策略控制目标终端的传输数据。如图1所示,本申请提供的基于跨网场景的终端系统安全评估方法具体可以包括如下步骤:
步骤110,获取客户端发送的心跳数据和策略请求。
具体的,策略请求可以包含终端设备参数信息等,如可以包含终端设备的系统版本信息等,控制端可以接收客户端发送的心跳数据,确定客户端是否处于存活状态,即连接状态。若客户端处于存活状态,则可以接收客户端发送的策略请求;若客户端未处于连接状态,则可以不接受客户端发送的策略请求。
在本申请一个可选实施例中,客户端可以是安装在终端设备的安全软件等,当终端设备需要进行跨网信息交互时,客户端可以向控制端发送心跳数据和策略请求,以使控制端可以接收心跳数据和策略请求吗,进而依据策略请求确定客户端对应的目标策略,即执行步骤120。
步骤120,基于所述心跳数据,针对所述策略请求向所述客户端发送目标策略。
具体的,可以根据不同终端设备的安全评估需求预设多种策略方案,以作为终端设备对应的定制策略,在客户端处于连接状态时,依据客户端发送的策略请求,确定终端设备对应的定制策略,从而可以将该定制策略确定为目标策略,发送给客户端。
在具体实现中,本申请实施例提供的策略可以包含基线检查策略、漏洞扫描策略以及威胁情报策略等,每一种检查策略可以包含对应的检查方法和检查内容等,如基线检查策略可以包含环境安全检查、软件安全检查以及配置安全检查等,本申请实施例对此不作限制。
例如,可以根据终端设备的操作系统确定策略方案,操作系统可以包含Linux和Windows等,本申请对此不作限制。具体而言,控制端可以依据策略请求中包含的终端设备参数信息确定终端设备的操作系统,从而可以依据该操作系统,确定客户端对应的定制策略,以作为目标策略,发送给客户端,解决了传统评分维度对于跨网信息交互环境过于单一、无法有效对终端进行权威性的系统安全评估的问题,使得评分维度更加多样化,评分准确度更高。
步骤130,依据所述客户端反馈的策略执行信息,生成动态控制策略。
其中,所述策略执行信息包含所述客户端依据所述目标策略生成的终端安全检查结果信息。
具体的,客户端接收到目标策略后,可以依据目标策略,对终端设备进行全面检查,得到目标策略对应的检查结果,以作为终端安全检查结果信息,并可以基于终端安全检查结果信息生成策略执行信息,发送给控制端。控制端接收到客户端反馈的策略执行信息后,可以依据策略执行信息生成动态控制策略。具体而言,控制端可以依据终端安全检查结果信息进行量化评估,得到量化评估分数,并可以将该量化评估分数与预设的分数阈值进行比较,依据比较结果生成终端设备对应的评估结果,并可以依据评估结果生成动态控制策略。例如,若终端设备对应的评估分数小于预设的分数阈值,则可以生成终端设备对应的风险评估结果,并可以依据风险评估结果,生成禁止信息交互策略,该禁止信息交互策略可以作为动态控制策略,用于禁止终端设备进行跨网信息交互等;若终端设备对应的评估分数不小于预设的分数阈值,则可以生成终端设备对应的安全评估结果,并可以依据安全评估结果,生成安全信息交互策略,该安全信息交互策略可以作为动态控制策略,用于允许终端设备进行跨网信息安全交互,实现依据评估结果生成动态控制策略。
步骤140,将所述动态控制策略发送给所述客户端,以触发所述客户端依据所述动态控制策略控制目标终端的传输数据。
具体的,目标终端可以是安装客户端的终端设备,传输数据可以是需要进行跨网信息交互的相关数据,如可以包含数据报文等,本申请实施例对此不作限制。控制端生成动态控制策略后,可以将该动态控制策略发送给客户端,客户端接收到动态控制策略后,可以对终端设备的传输数据进行相应的控制,包括拒绝转发终端设备的传输数据以及转发终端设备的传输数据等,本申请实施例对此不做具体限制。
在本申请中一个可选实施方式中,若确定终端设备存在风险,则控制端还可以依据客户端反馈的策略执行信息,确定终端设备的安全加固信息,并可以将安全加固信息发送给客户端,客户端接收到安全加固信息后,可以向目标用户反馈相应的安全加固信息,使得目标用户可以依据该安全加固信息进行相应的安全加固操作,并可以通过客户端向控制端发起策略请求,重新进行策略检查,得到策略执行信息,并向控制端发送策略执行信息,使得控制端可以重新进行安全评估,并在终端设备对应的评估结果为安全评估结果的情况下,允许终端设备进行跨网信息交互,实现了对终端设备的风险管控,对于存在风险的终端设备,控制端将及时阻止其网络接入,保障威胁隐患不在内网扩散直至威胁风险被处理完毕。
可见,本申请实施例通过获取客户端发送的心跳数据和策略请求,以基于心跳数据,针对策略请求向客户端发送目标策略,随后依据客户端反馈的策略执行信息生成动态控制策略,并将动态控制策略发送给客户端,以触发客户端依据动态控制策略控制目标终端的传输数据,实现了对目标终端的风险管控,对于存在风险的终端设备,能及时阻止其网络接入,保障威胁隐患不在内网扩散直至威胁风险被处理完毕,解决了现有技术中由于缺少对网络内终端的安全评估而影响现网安全的问题,在终端设备出现风险时,能够进行有效的访问控制,从而保证数据的安全性。
参照图2,示出了本申请可选实施例提供的一种基于跨网场景的终端系统安全评估方法控制端侧的步骤流程图。具体的,本申请可选实施例提供的终端系统的基于跨网场景的终端系统安全评估方法具体可以包括如下步骤:
步骤210,获取客户端发送的心跳数据和策略请求。
在具体实现中,客户端可以主动与控制端发起连接请求,与控制端建立连接,该连接请求可以包含客户端的消息队列等连接信息,连接信息可以用于向控制端声明自己的消息队列,以便在后续处理中可以通过消息队列接收控制端下发的目标策略等。
步骤220,基于所述心跳数据,确定所述客户端为目标客户端。
在本申请一个可选实施方式中,当客户端第一次发送心跳数据时,控制端可以将客户端确定为目标客户端,但此时控制端可以不依据心跳数据向目标客户端发送目标策略,当接收到客户端发送的策略请求后,控制端可以获取终端设备对应的目标策略,并发送给目标客户端,从而保证接入的客户端是可信赖的,防止数据泄露。
步骤230,针对所述目标客户端和所述策略请求,获取预设配置信息对应的定制策略。
在具体实现中,当控制端接收到目标客户端发送的心跳数据和策略请求时,可以针对目标客户端和目标客户端发送的策略请求,依据策略请求包含的终端设备参数信息,确定终端设备对应的预设配置信息,从而可以依据预设配置信息,获取该配置信息对应的定制策略。
作为本申请的一个示例,可以根据不同的终端设备及终端设备对应的操作系统设定不同的定制策略。例如,在终端设备对应的操作系统为Windows系统的情况下,可以将基线检查策略、漏洞扫描策略以及威胁情报策略等作为预设的策略方案,生成该策略方案对应的预设配置信息,并可以对基线检查策略对应的基线检查配置进行相应的设置,如可以为基线检查策略对应的策略名称进行设置,并可以设置基线检查配置对应的检查时间和检查方式等,本示例对此不作限制。其中,检查方式可以包含定时检查、间隔检查以及一次性检查等;检查时间可以设置为每分钟执行一次检查,即客户端每分钟可以对终端设备进行一次基线检查,本示例对此不作限制。
此外,本示例还可以对基线检查配置的评分模型进行设置,如可以在基线检查策略包含环境基线检查、软件基线检查以及配置基线检查的情况下,分别设置环境基线检查、软件基线检查以及配置基线检查对应的权重比。具体而言,参照图3,环境基线检查具体可以包含防火墙检查、远程桌面检查、补丁检查、共享检查、屏保检查、密码检查以及系统端口检查等,本示例对此不作限制。在具体实现中,可以对通过策略开关确定是否开启该项检查。
在实际处理,本示例还可以分别为防火墙检查、远程桌面检查、补丁检查、共享检查、屏保检查、密码检查以及系统端口检查等设置对应的检查方式,如密码检查可以包含对弱密码的检查、对密码复杂度的检查、对密码长度的检查、对密码使用期限的检查以及对密码最长使用期限的检查,共享检查可以包含对目录共享、打印机共享以及IPC共享的检查,并可以对屏保检查进行相应的设置,如设置屏保恢复时是否显示登录界面和屏保等待时间等。参照图4,软件基线检查可以包括中间件软件、数据库软件、防病毒软件以及其它软件的检查等,本示例对此不做具体限制,可以分别为中间件软件、数据库软件、防病毒软件以及其它软件设置相应的软件列表,该软件列表可以是要求终端设备安装的软件,其检查方式可以是要求终端设备安装软件列表中的其中一个软件或要求终端设备必须安装软件列表中所有软件。参照图5,配置基线检查可以包含关键注册表检查和关键文件/目录检查等,其中,关键注册表检查方式可以是检查注册表项、键、值是否存在或匹配,关键文件/目录检查方式可以是检查目录/文件是否存在以及检查文件哈希值/数字签名是否匹配等。
进一步而言,本示例中漏洞扫描策略可以是对终端设备的设备端口进行扫描;威胁情报策略可以是获取终端设备的网络IP地址、终端设备各文件MD5值以及终端设备的域名,以便后续可以将IP地址、文件MD5值以及域名分别与威胁情报库进行比对,得到比对结果。
此外,在终端设备对应的操作系统为Linux系统的情况下,预设的策略方案可以参照上述Windows系统的预设策略方案,需要说明的是,在Linux系统下,环境基线检查可以包含防火墙检查、共享检查、密码检查和系统端口检查等,配置基线检查可以包含关键文件/目录检查等,本申请示例对此不做具体限制。
步骤240,将所述定制策略作为所述目标策略,发送给所述客户端。
在具体实现中,可以将目标策略包含的策略内容依次发送至客户端的消息队列中,也可以将目标策略包含的策略内容进行打包,一次性发送至客户端的消息队列中,客户端接收到目标策略后可以策略内容,运行检测程序对终端进行全面检查,得到终端安全检查结果信息,并可以基于终端安全检查结果生成策略执行信息,发送给控制端,即执行步骤250。
步骤250,依据所述客户端反馈的策略执行信息,生成动态控制策略。
其中,所述策略执行信息包含所述客户端依据所述目标策略生成的终端安全检查结果信息。
在本申请一个可选实施例中,上述依据所述客户端反馈的策略执行信息,生成动态控制策略。具体可以包括以下子步骤:
子步骤2501,接收所述客户端反馈的策略执行信息。
子步骤2502,从所述策略执行信息提取所述终端安全检查结果信息。
在具体实现中,控制端接收到客户端反馈的策略执行信息后,可以从策略执行信息中提取终端安全检查结果信息,以便后续可以依据终端安全检查结果信息,得到量化结果。
子步骤2503,确定所述终端安全检查结果信息中所包含的终端威胁类型,并从所述终端安全检查结果信息中提取所述终端威胁类型对应的检测结果参数。
具体的,终端安全检查结果信息可以包含一种或多种终端威胁类型,检测结果参数可以包含终端威胁类型对应的检测结果。具体而言,可以基于每一种终端威胁类型对应的检测结果参数进行量化,得到每种终端威胁类型对应的量化数值,该量化数值可以位于0-100之间,本申请实施例对此不作限制。在后续处理中,可以基于依据终端威胁类型对应的量化数值,结合终端威胁类型对应预设的量化权重信息进行量化处理,得到量化指标信息。
在具体实现中,目标策略包含基线检查策略、漏洞扫描策略以及威胁情报策略的情况下,客户端可以依据目标策略对终端设备进行安全检查,得到基线检查策略对应的基线检测结果参数、漏洞扫描策略对应的漏洞扫描检测结果参数以及威胁情报策略对应的威胁情报检测结果参数,并可以将基线检测结果参数作为基线威胁类型对应的检测结果参数,将漏洞扫描检测结果参数作为漏洞威胁类型对应的检测结果参数,将威胁情报检测结果参数作为情报威胁类型对应的检测结果参数。
子步骤2504,针对每一终端威胁类型,依据所述终端威胁类型对应预设的量化权重信息,对所述检测结果参数进行量化处理,得到量化指标信息。
具体的,量化权重信息可以是终端威胁类型对应的量化权重,可以依据实际评估需求为每一种终端威胁类型预设一个量化权重,从而可以根据终端威胁类型对应的量化权重,结合终端威胁类型对应的量化数值进行量化处理,得到每一种终端威胁类型对应的量化指标信息。
子步骤2505,依据所述量化指标信息,生成所述目标终端对应的动态控制策略。
可选的,上述终端威胁类型包含:基线威胁类型、漏洞威胁类型和/或情报威胁类型的情况下,本申请实施例中,所述依据所述量化指标信息,生成所述目标终端对应的动态控制策略,包括:依据所述基线威胁类型对应的量化指标信息、所述漏洞威胁类型对应的量化指标信息以及所述情报威胁类型对应的量化指标信息进行加权处理,得到目标态势量化结果;依据所述目标态势量化结果和预设的量化总权重信息进行评估处理,得到量化评估结果;基于所述量化评估结果,生成所述目标终端对应的动态控制策略。具体而言,控制端可以依据接收到的基线威胁类型对应的检测结果参数、漏洞威胁类型对应的检测结果参数以及情报威胁类型对应的检测结果参数,进行量化处理,得到基线威胁类型对应的量化数值、漏洞威胁类型对应的量化数值以及情报威胁类型对应的量化数值,结合各终端威胁类型对应的量化权重进行量化处理,得到各终端威胁类型对应的量化指标信息,基于各终端威胁类型对应的量化指标信息进行加权处理得到目标态势量化结果,从而可以依据目标态势量化结果和预设的量化总权重信息进行评估处理,得到量化评估结果,进而可以基于量化评估结果,生成目标终端对应的动态控制策略
例如,可以将基线威胁类型对应的量化数值与基线威胁类型对应的量化权重进行相乘计算,得到基线威胁类型对应的量化指标信息,将漏洞威胁类型对应的量化数值与漏洞威胁类型对应的量化权重进行相乘计算,得到漏洞威胁类型对应的量化指标信息,将情报威胁类型对应的量化数值与情报威胁类型对应的量化权重信息进行相乘计算,得到漏洞威胁类型对应的量化指标信息,并可以依据基线威胁类型对应的量化指标信息、漏洞威胁类型对应的量化指标信息以及情报威胁类型对应的量化指标信息进行加权处理,得到目标态势量化结果。随后可以将基线威胁类型对应的量化权重、漏洞威胁类型对应的量化权重以及情报威胁类型对应的量化权重进行相加计算,得到量化总权重信息,进而可以依据目标态势量化结果和量化总权重信息进行量化评估处理,得到威胁态势量化值,以作为量化评估结果。
作为本申请的一个示例,在终端设备的操作系统为Windows的情况下,客户端可以依据接收到的目标策略对终端设备进行安全检查,得到基线威胁类型检测结果参数、漏洞威胁类型检测结果参数以及情报威胁类型检测结果参数。其中,基线威胁类型检测结果参数可以通过客户端对终端设备执行基线检查策略得到;漏洞威胁类型检测结果参数可以通过客户端依据漏洞扫描库对终端设备的设备端口执行漏洞扫描策略得到;情报威胁类型检测结果参数可以通过客户端对终端设备的威胁情报态势执行威胁情报策略得到。
具体而言,基线威胁类型检测结果参数可以包含环境基线检测结果参数、软件基线检测结果参数以及配置基线检测结果参数等,环境基线检测结果参数可以由环境基线检查得到,软件基线检测结果参数可以由软件基线检查得到,配置基线检测结果参数可以由配置基线检查得到,可以分别为环境基线检查、软件基线检查以及配置基线检查分别预设不同的权重或分数值,并保持总分数值为100,即基线威胁类型对应的量化数值最高为100,当然也可以根据实际需求设置其它分数值,本申请对此不作限制。如在环境基线检查的权重为30,软件基线检查的权重为40,配置基线检查的权重为30的情况下,环境基线检测结果参数可以包含防火墙检测结果参数、远程桌面检测结果参数、补丁检测结果参数、共享检测结果参数、屏保检测结果参数、密码检测结果参数以及系统端口检测结果参数。防火墙检测结果参数可以由客户端对终端设备进行防火墙检查得到,如可以是客户端检查终端设备的防火墙是否开启,以在终端设备的防火墙为开启的状态下,确定防火墙检查结果合规,并可以将防火墙检查结果确定为防火墙检测结果参数;远程桌面检测结果参数可以由客户端对终端设备进行远程桌面检查得到,如可以是客户端检查终端设备的远程桌面是否关闭,以在终端设备的远程桌面为关闭的状态下,确定远程桌面检查结果合规,并可以将远程桌面检查结果确定为远程桌面检测结果参数;补丁检测结果参数可以由客户端对终端设备进行补丁检查得到,如可以是客户端检查终端设备的补丁库中的补丁是否为最新版本等,得到补丁检查结果,并可以将补丁检查结果确定为补丁检测结果参数;共享检测结果参数可以由客户端对终端设备进行共享检查得到,如可以是检查终端设备的目录共享、打印共享以及IPC共享是否关闭,以在终端设备的目录共享、打印共享以及IPC共享为关闭的状态下,确定共享检查结果合规,并可以将共享检查结果确定为远程桌面检测结果参数;屏保检测结果参数可以由客户端对终端设备进行屏保检查得到,可以将屏保检查结果确定为屏保检测结果参数;密码检测结果参数可以由客户端对终端设备进行密码检查得到,如可以是检查终端设备的密码的规则和是否存在弱密码账户等,得到密码检查结果,并可以将密码检查结果确定为密码检测结果参数;系统端口检测结果参数可以由客户端对终端设备进行系统端口检查得到,如可以根据预设的风险端口检查规则对终端设备的风险端口进行规则检查,得到系统端口检查结果,并可以将系统端口检查结果确定为系统端口检测结果参数。在确定防火墙检测结果参数、远程桌面检测结果参数、补丁检测结果参数、共享检测结果参数、屏保检测结果参数、密码检测结果参数以及系统端口检测结果参数后,可以获取每一项检查对应预设的权重,进而得到该项检查的量化数值。如防火墙检查对应的权重可以是
Figure BDA0003575608050000121
远程桌面检查对应的权重可以是
Figure BDA0003575608050000122
补丁检查对应的权重可以是
Figure BDA0003575608050000123
共享检查对应的权重可以是
Figure BDA0003575608050000124
屏保检查对应的权重可以是
Figure BDA0003575608050000125
密码检查对应的权重可以是
Figure BDA0003575608050000126
以及系统端口检查对应的权重可以是
Figure BDA0003575608050000131
本示例对此不做具体限制,随后可以将防火墙检查对应的权重、远程桌面检查对应的权重、补丁检查对应的权重、共享检查对应的权重、屏保检查对应的权重、密码检查对应的权重以及系统端口检查对应的权重分别与环境基线检查的权重值30相乘,得到每一项检查结果对应的分数值,并可以将多项检查结果的分数值相加,得到环境基线检查的实际得分。需要说明的是,由于防火墙检查、共享检查、系统端口检查、用户密码检查等在跨网环境中较为重要,当这些检查中的某一项不合格时,则环境基线检查实际得分为0。
进一步而言,本示例中的软件基线检测结果参数可以包含中间件软件检测结果参数、数据库软件检测结果参数、防病毒软件检测结果参数以及其它软件检测结果参数,其中,中间件软件检测结果参数可以由客户端对终端设备进行中间件软件检查得到,如可以是获取终端设备安装的软件、版本号,将软件、版本号等与中间件软件列表进行比对,可以在中间件软件列表中有一个软件已被终端设备安装的情况下,确定中间件软件检查结果为合规,也可以在中间件软件列表中所有软件都被终端设备安装的情况下,确定中间件软件检查结果为合规,并可以将中间件软件检查结果确定为中间件软件检测结果参数;数据库软件检测结果参数可以由客户端对终端设备进行数据库软件检查得到,其检查方式参照上述中间件软件检查方式即可,不同的是数据库软件检查比对的软件列表为数据库软件列表;防病毒软件检测结果参数可以由客户端对终端设备进行防病毒软件检查得到,其检查方式参照上述中间件软件检查方式即可,不同的是防病毒软件检查比对的软件列表为防病毒软件列表;其它软件检测结果参数可以由客户端对终端设备进行其它软件检查得到,其检查方式参照上述中间件软件检查方式即可,不同的是其它软件的检查比对的软件列表为其它软件列表。在确定中间件软件检测结果参数、数据库软件检测结果参数、防病毒软件检测结果参数以及其它软件检测结果参数后,可以获取每一项检查对应预设的权重,进而得到该项检查的量化数值。如中间件软件检查对应的权重可以是
Figure BDA0003575608050000132
数据库软件检查对应的权重可以是
Figure BDA0003575608050000133
防病毒软件检查对应的权重可以是
Figure BDA0003575608050000134
其它软件检查对应的权重可以是
Figure BDA0003575608050000135
随后可以将中间件软件检查对应的权重、数据库软件检查对应的权重、防病毒软件检查对应的权重以及其它软件检查对应的权重分别与软件基线检查的权重值40相乘,得到每一项检查结果对应的分数值,并可以将多项检查结果的分数值相加,得到软件基线检查的实际得分。需要说明的是,中间件软件检查、数据库软件检查以及防病毒软件检查中有某一项不合格,则软件基线检查的实际得分为0。
进一步的,本示例中的配置基线检测结果参数可以包含关键注册表检测结果参数和关键文件/目录检测结果参数,其中,关键注册表检测结果参数可以由客户端对终端设备进行关键注册表检查得到,如可以是检查终端设备的注册表项、键值与预设的注册表列表进行比对,确定预设的注册表列表中包含的注册表在终端设备中是否存在、或注册表的键值是否与终端设备匹配,以在预设的注册表列表中包含的注册表在终端设备中存在且注册表键值匹配的情况下,确定关键注册表检查结果为合规,并可以将关键注册表检查结果确定为关键注册表检测结果参数;关键文件/目录检测结果参数可以由客户端对终端设备进行关键文件/目录检查得到,如可以将终端设备中各目录/文件、文件的哈希值以及文件的数值签名等与预设的路径列表进行比对,确定预设的路径列表中包含的目录/文件在终端设备是否存在、或文件的哈希值/数字签名是否与终端设备匹配,以在预设的路径列表中包含目录/文件在终端设备中存在且文件哈希值/数字签名匹配的情况下,确定关键文件/目录检查结果为合规,并可以将关键文件/目录检查结果确定为关键文件/目录检测结果参数。在确定关键注册表检测结果参数和关键文件/目录检测结果参数后,可以获取每一项检查对应预设的权重,进而得到该项检查的量化数值。如关键注册表检查对应的权重可以是
Figure BDA0003575608050000141
关键文件/目录检查对应的权重可以是
Figure BDA0003575608050000142
随后可以将关键注册表检查对应的权重和关键文件/目录检查对应的权重分别与配置基线检查的权重值30相乘,得到每一项检查结果对应的分数值,并可以将多项检查结果的分数值相加,得到配置基线检查的实际得分。需要说明的是,关键注册表检查和关键文件/目录检查中有某一项不合格,则配置基线检查的实际得分为0。
在实际处理中,本示例在确定环境基线检查的实际得分、软件基线检查的实际得分以及配置基线检查的实际得分之后,可以将环境基线检查的实际得分、软件基线检查的实际得分以及配置基线检查的实际得分相加,得到基线威胁类型对应的量化数值。
此外,本示例中的漏洞扫描检测结果参数可以由客户端依据漏洞扫描库对终端设备的设备端口进行漏洞扫描得到,控制端可以依据漏洞扫描检测结果参数进行量化,得到漏洞威胁类型对应的量化数值,通过对终端设备的设备端口进行漏洞扫描,解决现有的评估方法不会对诸如外部存储设备、U盘以及光盘等输入输出设备进行检测的问题。具体而言,对终端设备上扫描出来的每一个漏洞,都可以从两个方面衡量:一是终端设备上所存在漏洞能够被利用的难易程度;二是这些漏洞若被利用,对终端设备的机密性、完整性和可用性造成的破坏程度。在本申请实施例中,可以使用通用漏洞评分系统(CommonVulnerability Scoring System,CVSS)解决上述两个问题。按照CVSS标准分值之获取对应关系,通过使用CVSS评分系统,在计算某个漏洞的基础(Base)分值时,将攻击途径、攻击复杂度、认证机制以及影响程度(包含机密性、完整性和可用性等)几个因素相乘,得到了一个漏洞的Base分值,进而在该漏洞Base分值上考虑生命周期、环境因素后得到一个综合值,又称CVSS分数值,该分数值的取值范围为1-10。在得到主机上所有漏洞的综合分值后,可以通过一种基于概率模型的量化方案,针对每个漏洞对应的CVSS分数值,得到该漏洞对应的脆弱概率值,随后可以基于多个漏洞对应的脆弱概率值进行计算,得到漏洞威胁类型对应的量化数值。需要说明的是,脆弱概率值的物理意义可以为:终端设备上因存在某个漏洞,导致该终端设备的安全性受到影响的概率。
例如,可以通过公式:
Figure BDA0003575608050000151
得到单个漏洞i的脆弱概率值Pi,其中,Spi为漏洞i的CVSS分值四舍五入后的整数,该分数可以由漏扫模块直接得出,其取值范围为0~10。若终端设备上包含n个漏洞,则对于该终端设备上的所有漏洞的总体脆弱概率值,可以认为是:攻击者利用任意一个漏洞,对终端设备进行攻击,造成终端设备的机密性(Confidentiality)、完整性(Integrity)以及可用性(Availability)受到破坏的概率,因此可以通过公式:
Figure BDA0003575608050000152
计算得到漏洞威胁类型对应的量化数值V。需要说明的是,由于Spi的取值范围为0~10的整数,为了避免当某台主机上出现了一个漏洞为10的漏洞时,整个主机的脆弱性被量化为1,经过多次实验发现,一个评分为10的漏洞的脆弱性比两个评分为9的漏洞高,比三个评分为9的漏洞低,因此可以将Spi为10的漏洞的脆弱概率值Pi设为0.8,因此漏洞i的脆弱概率值Pi的取值范围为0.001~0.8,漏洞威胁类型对应的量化数值V的取值范围为0~100。
进一步的,本示例中的情报威胁类型对应的检测结果参数可以由客户端对终端设备的威胁情报态势进行检查得到,威胁情报态势检查可以包含互联网协议地址(InternetProtocol Address,IP)检查、文件信息摘要(Message-Digest Algorithm,MD5)值检查以及域名检查,如可以将终端设备的IP地址、终端设备各文件的MD5值以及终端设备的域名与威胁情报库中包含的IP地址、文件MD5值以及域名进行比对,从而根据比对结果确定情报威胁类型对应的检测结果参数。具体而言,可以分别为IP地址检查、文件MD5检查以及域名检查设定一个权重值,该权重值可以根据实际评估需求进行设定,本申请对此不作限制。例如,在跨网信息交互的环境下,内网环境中来源于IP地址的威胁较少,来源于文件数据的威胁较大,而域名威胁在内网环境中几乎没有,因此在内网环境中,IP地址检查的权重值可以为
Figure BDA0003575608050000161
文件MD5检查的权重值可以为
Figure BDA0003575608050000162
域名检查的权重可以为
Figure BDA0003575608050000163
控制端可以将情报威胁类型对应的检测结果参数中包含的IP地址检查结果、文件MD5检查结果以及域名检查结果分别与威胁情报库中包含的IP地址、文件MD5值以及域名进行比对,若某一项检查不存在威胁情报碰撞命中,即该检查结果与威胁情报库不匹配,则该项检查的分数值为100分,若某一项检查存在威胁情报碰撞命中,该检查结果与威胁情报库相匹配,则该项检查的分数值为0分,随后可以将每一项检查对应的权重值与对应的分数值相乘,得到每一项检查对应的量化结果,并可以将每一项检查对应的量化结果相加,得到情报威胁类型对应的量化数值TI,通过增加的威胁情报库,对时效性较高的风险信息例如危险IP地址、域名及文件MD5值等进行检测,并及时对威胁情报库进行更新,解决了现有的评分方法由于检测结果缺乏撞库的系统性考虑,以及未针对终端设备所存储或传输的文件的MD5值进行检查而导致系统漏洞无法准确识别,进而导致检测结果准确性不高的问题,降低了网络安全风险。
作为本申请的一个示例,完成终端设备各维度的威胁量化后,可基于加权平均方式计算一个时间窗口内的单个资产威胁态势。具体而言,在确定基线威胁类型对应的量化数值、漏洞威胁类型对应的量化数值以及情报威胁类型对应的量化数值后,可以通过如下公式计算威胁态势量化值:
Figure BDA0003575608050000171
其中,T可以是威胁态势量化值,Wb可以是基线威胁类型对应的量化权重,Wv可以是漏洞威胁类型对应的量化权重,Wti可以是情报威胁类型对应的量化权重,B可以是基线威胁类型对应的量化数值,V可以是漏洞威胁类型对应的量化数值,TI可以是情报威胁类型对应的量化数值。需要说明的是,威胁态势量化值数值越高,则终端设备的威胁越小,由于各威胁类型对全网整体威胁态势的重要程度可能不同,因此可定义各威胁类型所占权重,权重可以根据不同业务和安全防护需要进行自由配置,即可以根据实际需求设置Wb、Wv以及Wti,优选的,本申请实施例中Wb数值可以是8、Wv数值可以是7,Wti数值可以是6,本示例对此不做具体限制。
步骤260,将所述动态控制策略发送给所述客户端,以触发所述客户端依据所述动态控制策略控制目标终端的传输数据。
在实际处理中,可以预设一个标准分数值,若终端设备的威胁态势量化值数值低于标准分数值,则可以确定终端设备存在风险,可以生成禁止信息交互策略,该禁止信息交互策略可以用于禁止终端设备进行跨网信息交互,控制端还可以向客户端发送安全加固信息,客户端接收到安全加固信息后,可以向用户反馈相应的安全加固信息,使得用户可以依据该安全加固信息进行相应的安全加固操作,并重新进行安全评估。
步骤270,获取策略调整信息。
具体的,当管理员对客户端对应的定制策略进行更改时,更改后的定制策略可以作为策略调整信息,控制端可以实时获取策略调整信息,以根据策略调整信息,确定客户端对应的定制策略是否发生更改,可以在更改的情况下,对客户端对应的定制策略进行更新,即执行步骤280。
步骤280,依据所述策略调整信息对所述定制策略进行更新,得到更新后的定制策略。
具体的,可以依据策略调整信息,确定客户端对应的定制策略的更新内容,从而可以根据更新内容对定制策略进行更新,得到更新后的定制策略。
步骤290,基于所述心态数据,将所述更新后的定制策略作为所述目标策略,发送给所述客户端。
在实际处理中,可以依据心跳数据确定客户端是否处于连接状态,可以在客户端处于连接状态下,将更新后的定制策略作为目标策略,发送给客户端。
在具体实现中,控制端的分配给对应的客户端的定制策略发生变化调整时,控制端在执行目标策略下发客户端时,直接将更新后的定制策略作为目标策略发给对应客户端的消息队列上,客户端通过监听消息队列,在接收到更新的目标策略后,依据更新后的目标策略进行策略执行,得到更新后的目标策略对应的终端安全检查结果信息,并发送给控制端,控制端接收到更新后的目标策略对应的终端安全检查结果信息后,可以重新对终端设备进行评估,实现了对终端进行权威性的系统安全进行有效评估。
综上,本申请实施例通过获取客户端发送的心跳数据和策略请求,基于心跳数据,针对策略请求向客户端发送目标策略,依据客户端反馈的策略执行信息,生成动态控制策略,将动态控制策略发送给客户端,以触发客户端依据动态控制策略控制目标终端的传输数据,实现了对目标终端的风险管控,对于存在风险的终端设备,能及时阻止其接入网络,保障威胁隐患不在内网扩散直至威胁风险被处理完毕,解决了现有技术中由于缺少对网络内终端的安全评估而影响现网安全的问题,在终端设备出现风险时,能够进行有效的访问控制,从而保证数据的安全性。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请实施例并不受所描述的动作顺序的限制,因为依据本申请实施例,某些步骤可以采用其他顺序或者同时进行。
参照图6,示出了本申请可选实施例提供的一种基于跨网场景的终端系统安全评估方法客户端侧的步骤流程图。具体的,本申请可选实施例提供的基于跨网场景的终端系统安全评估方法具体可以包括如下步骤:
步骤610,向控制端发送心跳数据和策略请求,所述控制端用于基于所述心跳数据和所述策略请求发送目标策略。
在具体实现中,客户端可以以软件的形式安装在终端设备上,当终端设备需要进行跨网信息交互时,可以通过客户端向控制端发起连接请求,以建立与控制端的连接,并可以向控制端声明自己的消息队列,随后客户端可以向控制端发送心跳数据和策略请求,使得控制端可以依据客户端发送的心跳数据确定客户端处于连接状态,并可以在客户端处于连接状态下,确定客户端对应的定制,依据定制策略生成目标策略,发送给客户端的消息队列。
步骤620,接收所述目标策略,并依据所述目标策略对所述目标终端进行安全检测,得到终端安全检查结果信息。
具体而言,客户端可以实时检查消息队列,当检查到控制端发送的目标策略后,可以从消息队列中接收控制端发送的目标策略,从而可以根据目标策略,通过执行检测程序对终端设备进行全面检查,得到目标策略中每一种策略对应的策略检查结果,依据每一种策略的策略检查结果,生成终端安全检查结果信息。
在本申请一个可选实施例中,所述依据所述目标策略对所述目标终端进行安全检测,得到终端安全检查结果信息,具体可以包括以下子步骤:
子步骤6201,接收所述目标策略,所述目标策略包含至少一个终端威胁类型对应的检测策略。
具体的,终端威胁类型可以包含基线威胁类型、漏洞威胁类型以及情报威胁类型,基线威胁类型对应的检测策略可以是基线检查策略,漏洞威胁类型对应的检测策略可以是漏洞扫描策略,情报威胁类型对应的检测策略可以是威胁情报策略。
在具体实现中,控制端可以根据终端设备的实际评估需求,确定将一种或多种终端威胁类型对应的检测策略作为目标策略。
子步骤6202,依据每一个终端威胁类型对应的检测类型,通过终端检测程序对目标终端进行安全检测,得到每个终端威胁类型对应的检测结果参数。
子步骤6203,依据检测结果参数,生成终端安全检查结果。
在具体实现中,控制端可以将目标策略包含的多个检测策略依次发送至客户端对应的消息队列中,使得客户端可以依次接收消息队列中的每一个终端威胁类型对应的检测策略,并通过终端检测程序对目标终端设备进行安全检查,得到每个终端威胁类型对应的检测结果参数,如在目标策略包含基线检查策略、漏洞扫描策略以及威胁情报策略的情况下,客户端可以通过终端检测程序依次对目标终端设备进行基线检查、漏洞扫描检查以及威胁情报检查,并可以生成基线威胁类型对应的检测结果参数、漏洞威胁类型对应的检测结果参数以及情报威胁类型对应的检测结果参数,从而可以依据基线威胁类型对应的检测结果参数、漏洞威胁类型对应的检测结果参数以及情报威胁类型对应的检测结果参数,生成终端安全检查结果;当然,客户端也可以是将目标策略包含的多个检测策略一次性打包发送至客户端对应的消息队列中,使得客户端可以通过检测程序对终端设备进行全面检查,本申请实施例对此不做具体限制。
步骤630,基于所述终端安全检查结果信息,生成策略执行信息,并向所述控制端发送策略执行信息。
具体的,客户端可以基于终端安全检查结果信息,生成策略执行信息,并将策略执行信息发送给控制端,触发控制端依据接收到的策略执行信息进行安全评估。
在具体实现中,控制端向客户端发送目标策略后,客户端可以每分钟向控制端发送心跳数据,保持与控制端的连接。
步骤640,接收所述控制端发送的动态控制策略,所述动态控制策略为所述控制端依据所述策略执行信息生成的策略。
步骤650,依据所述动态控制策略,控制目标终端的传输数据。
在具体实现中,若动态控制策略为禁止信息交互策略,则客户端可以依据接收到的控制端发送的动态控制策略,禁止目标终端设备进行传输数据,如禁止目标终端设备进行跨网信息交互;若动态控制策略为安全信息交互策略,则客户端可以依据接收到的控制端发送的动态控制策略,允许目标终端设备进行传输数据,如可以是将目标终端设备进行跨网信息交互的数据进行转发至目标服务器等,本申请实施例对此不做具体限制。通过动态控制策略实现对终端设备进行风险管控,防止风险跨网蔓延,保证网络安全。
综上,本申请实施例通过向控制端发送心跳数据和策略请求,触发控制端基于心跳数据和策略请求发送目标策略,接收控制端发送的目标策略,并依据目标策略对目标终端进行安全检测,得到终端安全检查结果信息,基于终端安全检查结果信息,生成策略执行信息,并向控制端发送策略执行信息,接收控制端发送的动态控制策略,动态控制策略为控制端依据策略执行信息生成的策略,依据动态控制策略,控制目标终端的传输数据,解决了现有技术中由于缺少对网络内终端的安全评估而影响现网安全的问题,在终端设备出现风险时,能够进行有效的访问控制,从而保证数据的安全性。
在具体实现中,可以利用本申请实施例提供的基于跨网场景的终端系统安全评估方法实现一个基于跨网场景的终端系统安全评估系统,使得该安全评估系统可以基于策略执行信息对终端设备进行安全评估,并基于安全评估结果生成动态控制策略,从而在终端设备出现风险时,对终端设备进行有效的风险管控,即实现了一个具备访问控制能力的安全评估系统,保证了数据安全。
进一步而言,如图7所示,本申请实施例还提供了一种基于跨网场景的终端系统安全评估装置700,包括:第一获取模块710、目标策略发送模块720、动态控制策略生成模块730以及动态控制策略发送模块740;
其中,所述第一获取模块,用于获取客户端发送的心跳数据和策略请求;
所述目标策略发送模块,用于基于所述心跳数据,针对所述策略请求向所述客户端发送目标策略;
所述动态控制策略生成模块,用于依据所述客户端反馈的策略执行信息,生成动态控制策略,其中,所述策略执行信息包含所述客户端依据所述目标策略生成的终端安全检查结果信息;
所述动态控制策略发送模块,用于将所述动态控制策略发送给所述客户端,以触发所述客户端依据所述动态控制策略控制目标终端的传输数据。
可选的,所述目标策略发送模块包括:目标客户端确定子模块、定制策略获取子模块、目标策略发送子模块;
所述目标客户端确定子模块,用于基于所述心跳数据,确定所述客户端为目标客户端;
所述定制策略获取子模块,用于针对所述目标客户端,获取预设配置信息对应的定制策略;
所述目标策略发送子模块,用于将所述定制策略作为所述目标策略,发送给所述客户端。
可选的,所述动态控制策略生成模块,包括:
策略执行信息接收子模块,用于接收所述客户端反馈的策略执行信息;
终端安全检查结果信息提取子模块,用于从所述策略执行信息提取所述终端安全检查结果信息;
检测结果参数提取子模块,用于确定所述终端安全检查结果信息中所包含的终端威胁类型,并从所述终端安全检查结果信息中提取所述终端威胁类型对应的检测结果参数;
量化指标信息确定子模块,用于针对每一终端威胁类型,依据所述终端威胁类型对应预设的量化权重信息,对所述检测结果参数进行量化处理,得到量化指标信息;
动态控制策略生成子模块,用于依据所述量化指标信息,生成所述目标终端对应的动态控制策略。
可选的,所述终端威胁类型包含:基线威胁类型、漏洞威胁类型和/或情报威胁类型,动态控制策略生成子模块,包括:
目标态势量化结果确定单元,用于依据所述基线威胁类型对应的量化指标信息、所述漏洞威胁类型对应的量化指标信息以及所述情报威胁类型对应的量化指标信息进行加权处理,得到目标态势量化结果;
量化评估结果确定单元,用于依据所述目标态势量化结果和预设的量化总权重信息进行评估处理,得到量化评估结果;
动态控制策略生成单元,用于基于所述量化评估结果,生成所述目标终端对应的动态控制策略。
可选的,所述基于跨网场景的终端系统安全评估装置,还包括:策略调整信息获取模块、定制策略更新模块以及定制策略发送模块;
其中,所述策略调整信息获取模块,用于获取策略调整信息;
所述定制策略更新模块,用于依据所述策略调整信息对所述定制策略进行更新,得到更新后的定制策略;
所述定制策略发送模块,用于基于所述心态数据,将所述更新后的定制策略作为所述目标策略,发送给所述客户端。
进一步的,如图8所示,本申请实施例还提供了一种基于跨网场景的终端系统安全评估装置800,包括:发送模块810、终端安全检查结果信息生成模块820、策略执行信息生成模块830、动态控制策略接收模块840以及控制模块850;
其中,所述发送模块810,用于向控制端发送心跳数据和策略请求,所述控制端用于基于所述心跳数据和所述策略请求发送目标策略;
所述终端安全检查结果信息生成模块820,用于接收所述目标策略,并依据所述目标策略对所述目标终端进行安全检测,得到终端安全检查结果信息;
所述策略执行信息生成模块830,用于基于所述终端安全检查结果信息,生成策略执行信息,并向所述控制端发送策略执行信息;
所述动态控制策略接收模块840,用于接收所述控制端发送的动态控制策略,所述动态控制策略为所述控制端依据所述策略执行信息生成的策略;
所述控制模块850,用于依据所述动态控制策略,控制目标终端的传输数据。
可选的,所述终端安全检查结果信息生成模块,包括:
目标策略接收子模块,用于接收所述目标策略,所述目标策略包含至少一个终端威胁类型对应的检测策略;
检测结果参数生成子模块,用于依据每一个终端威胁类型对应的检测类型,通过终端检测程序对目标终端进行安全检测,得到每个终端威胁类型对应的检测结果参数;
终端安全检查结果生成子模块,用于依据检测结果参数,生成终端安全检查结果。
进一步的,如图9所示本申请实施例提供了一种基于跨网场景的终端系统安全评估系统,其特征在于,包括:客户端910和控制端920;
其中,所述客户端用于向所述控制端发送的心跳数据和策略请求;
所述控制端用于依据接收所述控制端发送的心跳数据和策略请求,并基于所述心跳数据,针对所述策略请求向所述客户端发送目标策略,接收所述客户端反馈的策略执行信息,依据所述客户端反馈的策略执行信息,生成动态控制策略,将所述动态控制策略发送给所述客户端,以触发所述客户端依据所述动态控制策略控制目标终端的传输数据,其中,所述策略执行信息包含所述客户端依据所述目标策略生成的终端安全检查结果信息。
需要说明的是,本申请实施例提供的基于跨网场景的终端系统安全评估系统可执行本申请任意实施例所提供的基于跨网场景的终端系统安全评估系统方法,具备执行方法相应的功能和有益效果。
在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本申请的具体实施方式,使本领域技术人员能够理解或实现本申请。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种基于跨网场景的终端系统安全评估方法,其特征在于,所述方法应用于控制端,包括:
获取客户端发送的心跳数据和策略请求;
基于所述心跳数据,针对所述策略请求向所述客户端发送目标策略;
依据所述客户端反馈的策略执行信息,生成动态控制策略,其中,所述策略执行信息包含所述客户端依据所述目标策略生成的终端安全检查结果信息;
将所述动态控制策略发送给所述客户端,以触发所述客户端依据所述动态控制策略控制目标终端的传输数据。
2.根据权利要求1所述的方法,其特征在于,所述基于所述心跳数据,针对所述策略请求向所述客户端发送目标策略,包括:
基于所述心跳数据,确定所述客户端为目标客户端;
针对所述目标客户端和所述策略请求,获取预设配置信息对应的定制策略;
将所述定制策略作为所述目标策略,发送给所述客户端。
3.根据权利要求1所述的方法,其特征在于,所述依据所述客户端反馈的策略执行信息,生成动态控制策略,包括:
接收所述客户端反馈的策略执行信息;
从所述策略执行信息提取所述终端安全检查结果信息;
确定所述终端安全检查结果信息中所包含的终端威胁类型,并从所述终端安全检查结果信息中提取所述终端威胁类型对应的检测结果参数;
针对每一终端威胁类型,依据所述终端威胁类型对应预设的量化权重信息,对所述检测结果参数进行量化处理,得到量化指标信息;
依据所述量化指标信息,生成所述目标终端对应的动态控制策略。
4.根据权利要求3所述的方法,其特征在于,所述终端威胁类型包含:基线威胁类型、漏洞威胁类型和/或情报威胁类型,所述依据所述量化指标信息,生成所述目标终端对应的动态控制策略,包括:
依据所述基线威胁类型对应的量化指标信息、所述漏洞威胁类型对应的量化指标信息以及所述情报威胁类型对应的量化指标信息进行加权处理,得到目标态势量化结果;
依据所述目标态势量化结果和预设的量化总权重信息进行评估处理,得到量化评估结果;
基于所述量化评估结果,生成所述目标终端对应的动态控制策略。
5.根据权利要求2所述的方法,其特征在于,所述将所述动态控制策略发送给所述客户端之后,还包括:
获取策略调整信息;
依据所述策略调整信息对所述定制策略进行更新,得到更新后的定制策略;
基于所述心态数据,将所述更新后的定制策略作为所述目标策略,发送给所述客户端。
6.一种基于跨网场景的终端系统安全评估方法,其特征在于,所述方法应用于客户端,包括:
向控制端发送心跳数据和策略请求,所述控制端用于基于所述心跳数据和所述策略请求发送目标策略;
接收所述目标策略,并依据所述目标策略对所述目标终端进行安全检测,得到终端安全检查结果信息;
基于所述终端安全检查结果信息,生成策略执行信息,并向所述控制端发送策略执行信息;
接收所述控制端发送的动态控制策略,所述动态控制策略为所述控制端依据所述策略执行信息生成的策略;
依据所述动态控制策略,控制目标终端的传输数据。
7.根据权利要求5所述的方法,其特征在于,所述依据所述目标策略对所述目标终端进行安全检测,得到终端安全检查结果信息,包括:
接收所述目标策略,所述目标策略包含至少一个终端威胁类型对应的检测策略;
依据每一个终端威胁类型对应的检测类型,通过终端检测程序对目标终端进行安全检测,得到每个终端威胁类型对应的检测结果参数;
依据检测结果参数,生成终端安全检查结果。
8.一种基于跨网场景的终端系统安全评估装置,其特征在于,包括:第一获取模块、目标策略发送模块、动态控制策略生成模块以及动态控制策略发送模块;
其中,所述第一获取模块,用于获取客户端发送的心跳数据和策略请求;
所述目标策略发送模块,用于基于所述心跳数据,针对所述策略请求向所述客户端发送目标策略;
所述动态控制策略生成模块,用于依据所述客户端反馈的策略执行信息,生成动态控制策略,其中,所述策略执行信息包含所述客户端依据所述目标策略生成的终端安全检查结果信息;
所述动态控制策略发送模块,用于将所述动态控制策略发送给所述客户端,以触发所述客户端依据所述动态控制策略控制目标终端的传输数据。
9.一种基于跨网场景的终端系统安全评估装置,其特征在于,包括:发送模块、终端安全检查结果信息生成模块、策略执行信息生成模块、动态控制策略接收模块以及控制模块;
其中,所述发送模块,用于向控制端发送心跳数据和策略请求,所述控制端用于基于所述心跳数据和所述策略请求发送目标策略;
所述终端安全检查结果信息生成模块,用于接收所述目标策略,并依据所述目标策略对所述目标终端进行安全检测,得到终端安全检查结果信息;
所述策略执行信息生成模块,用于基于所述终端安全检查结果信息,生成策略执行信息,并向所述控制端发送策略执行信息;
所述动态控制策略接收模块,用于接收所述控制端发送的动态控制策略,所述动态控制策略为所述控制端依据所述策略执行信息生成的策略;
所述控制模块,用于依据所述动态控制策略,控制目标终端的传输数据。
10.一种基于跨网场景的终端系统安全评估系统,其特征在于,包括:客户端和控制端;
其中,所述客户端用于向所述控制端发送的心跳数据和策略请求;
所述控制端,用于接收所述控制端发送的心跳数据和策略请求;基于所述心跳数据,针对所述策略请求向所述客户端发送目标策略;接收所述客户端反馈的策略执行信息,依据所述客户端反馈的策略执行信息,生成动态控制策略,其中,所述策略执行信息包含所述客户端依据所述目标策略生成的终端安全检查结果信息;将所述动态控制策略发送给所述客户端,以触发所述客户端依据所述动态控制策略控制目标终端的传输数据。
CN202210343684.XA 2022-03-31 2022-03-31 基于跨网场景的终端系统安全评估方法、装置及系统 Active CN115374445B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210343684.XA CN115374445B (zh) 2022-03-31 2022-03-31 基于跨网场景的终端系统安全评估方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210343684.XA CN115374445B (zh) 2022-03-31 2022-03-31 基于跨网场景的终端系统安全评估方法、装置及系统

Publications (2)

Publication Number Publication Date
CN115374445A true CN115374445A (zh) 2022-11-22
CN115374445B CN115374445B (zh) 2024-03-08

Family

ID=84060849

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210343684.XA Active CN115374445B (zh) 2022-03-31 2022-03-31 基于跨网场景的终端系统安全评估方法、装置及系统

Country Status (1)

Country Link
CN (1) CN115374445B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030177389A1 (en) * 2002-03-06 2003-09-18 Zone Labs, Inc. System and methodology for security policy arbitration
CN1835452A (zh) * 2005-03-17 2006-09-20 联想(北京)有限公司 一种计算机网络策略管理系统及策略管理方法
CN102413011A (zh) * 2011-11-18 2012-04-11 奇智软件(北京)有限公司 一种局域网安全评估的方法和系统
US20140137257A1 (en) * 2012-11-12 2014-05-15 Board Of Regents, The University Of Texas System System, Method and Apparatus for Assessing a Risk of One or More Assets Within an Operational Technology Infrastructure
US20180343277A1 (en) * 2017-05-25 2018-11-29 Check Point Software Technologies Ltd. Elastic policy tuning based upon crowd and cyber threat intelligence
CN111176755A (zh) * 2019-12-25 2020-05-19 哈尔滨安天科技集团股份有限公司 云上安全的策略配置方法、系统、电子设备及存储介质
CN114077742A (zh) * 2021-11-02 2022-02-22 清华大学 软件漏洞智能挖掘方法和装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030177389A1 (en) * 2002-03-06 2003-09-18 Zone Labs, Inc. System and methodology for security policy arbitration
CN1835452A (zh) * 2005-03-17 2006-09-20 联想(北京)有限公司 一种计算机网络策略管理系统及策略管理方法
CN102413011A (zh) * 2011-11-18 2012-04-11 奇智软件(北京)有限公司 一种局域网安全评估的方法和系统
US20140137257A1 (en) * 2012-11-12 2014-05-15 Board Of Regents, The University Of Texas System System, Method and Apparatus for Assessing a Risk of One or More Assets Within an Operational Technology Infrastructure
US20180343277A1 (en) * 2017-05-25 2018-11-29 Check Point Software Technologies Ltd. Elastic policy tuning based upon crowd and cyber threat intelligence
CN111176755A (zh) * 2019-12-25 2020-05-19 哈尔滨安天科技集团股份有限公司 云上安全的策略配置方法、系统、电子设备及存储介质
CN114077742A (zh) * 2021-11-02 2022-02-22 清华大学 软件漏洞智能挖掘方法和装置

Also Published As

Publication number Publication date
CN115374445B (zh) 2024-03-08

Similar Documents

Publication Publication Date Title
US11343280B2 (en) System and method for identifying and controlling polymorphic malware
US10095866B2 (en) System and method for threat risk scoring of security threats
US7779468B1 (en) Intrusion detection and vulnerability assessment system, method and computer program product
Foo et al. ADEPTS: Adaptive intrusion response using attack graphs in an e-commerce environment
US9117075B1 (en) Early malware detection by cross-referencing host data
US8001606B1 (en) Malware detection using a white list
US9774616B2 (en) Threat evaluation system and method
US9065826B2 (en) Identifying application reputation based on resource accesses
US8561190B2 (en) System and method of opportunistically protecting a computer from malware
KR101669694B1 (ko) 네트워크 자원들에 대한 건강 기반 액세스
CN111193719A (zh) 一种网络入侵防护系统
US8726391B1 (en) Scheduling malware signature updates in relation to threat awareness and environmental safety
US20070289018A1 (en) Resource indicator trap doors for detecting and stopping malware propagation
CA3017936A1 (en) System and method for reverse command shell detection
CN108369541B (zh) 用于安全威胁的威胁风险评分的系统和方法
Varadharajan et al. Counteracting security attacks in virtual machines in the cloud using property based attestation
CN106209907B (zh) 一种检测恶意攻击的方法及装置
US8862730B1 (en) Enabling NAC reassessment based on fingerprint change
KR102189361B1 (ko) 엔드포인트에 기반한 관리형 탐지 및 대응 시스템과 방법
LeMay et al. The common misuse scoring system (CMSS): Metrics for software feature misuse vulnerabilities
Torkura et al. Csbauditor: Proactive security risk analysis for cloud storage broker systems
Le et al. A threat computation model using a Markov Chain and common vulnerability scoring system and its application to cloud security
CN115374445B (zh) 基于跨网场景的终端系统安全评估方法、装置及系统
WO2021015941A1 (en) Inline malware detection
Tupakula et al. Dynamic state-based security architecture for detecting security attacks in virtual machines

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant