設(shè)備安全管理方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全領(lǐng)域,具體涉及一種設(shè)備安全管理方法及裝置�。
【背景技術(shù)】
[0002]隨著科學(xué)技術(shù)的發(fā)展�,信息技術(shù)已經(jīng)成為提升企業(yè)生產(chǎn)效率所不可或缺的一環(huán)��。但是與此同時����,通過信息技術(shù)對企業(yè)發(fā)起的攻擊、侵害企業(yè)利益的事件也層出不窮���。在以往的事件中���,侵入者往往通過企業(yè)中防護能力最薄弱,且最有入侵價值的一個實體終端為切入點����,從而整體控制企業(yè)的信息系統(tǒng),竊取企業(yè)有價值的數(shù)據(jù)����。所以“低防護、高價值”的終端�����,是企業(yè)中存在風(fēng)險最高的終端�,也是安全產(chǎn)品需要重點保護的對象�。
[0003]在目前��,幾乎所有的企業(yè)安全產(chǎn)品都是基于企業(yè)的組織結(jié)構(gòu)的���。例如�,現(xiàn)有技術(shù)常會以企業(yè)部門架構(gòu)為基準(zhǔn)��,分組地管理企業(yè)終端�。在此前提之下,企業(yè)管理人員和安全產(chǎn)品往往假設(shè)高價值的終端都集中在某些部門之中�,例如財務(wù)部門和研發(fā)部門。所以安全產(chǎn)品會為這些部門配置很高的安全執(zhí)行標(biāo)準(zhǔn)�����,以重點保護這些部門終端的安全��。而企業(yè)中的其他終端����,往往不會受到企業(yè)管理人員和安全產(chǎn)品的重視��。
[0004]然而實際上��,企業(yè)組織結(jié)構(gòu)不能完全決定終端價值的高低。首先��,企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)也是終端價值的一個重要評定因素���,網(wǎng)絡(luò)中關(guān)鍵的節(jié)點不一定集中在某一個或者某幾個部門之中�。其次�,企業(yè)中終端的數(shù)據(jù)是在不斷交換的,終端價值也會因為數(shù)據(jù)的傳遞而發(fā)生變化���。所以���,現(xiàn)有的企業(yè)信息安全管理手段不能適應(yīng)企業(yè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),也不能適應(yīng)企業(yè)中的信息流動情況���,容易導(dǎo)致原本“高價值”的終端未應(yīng)用高保準(zhǔn)的防護能力�����,或者“低價值”的終端在價值提升后未應(yīng)用高保準(zhǔn)的防護能力�,從而對終端的風(fēng)險造成錯誤的評估��,為企業(yè)帶來安全隱患。
【發(fā)明內(nèi)容】
[0005]針對現(xiàn)有技術(shù)中的缺陷�,本發(fā)明提供一種設(shè)備安全管理方法及裝置,可以解決現(xiàn)有的企業(yè)信息安全管理手段的上述問題��。
[0006]第一方面�����,本發(fā)明提供了一種設(shè)備安全管理裝置���,包括:
[0007]第一獲取單元��,用于獲取數(shù)據(jù)價值計算規(guī)則�;
[0008]第二獲取單元����,用于獲取目標(biāo)設(shè)備的存儲數(shù)據(jù);
[0009]第一計算單元�,用于依據(jù)所述第一獲取單元得到的數(shù)據(jù)價值計算規(guī)則計算所述第二獲取單元得到的目標(biāo)設(shè)備的存儲數(shù)據(jù)的數(shù)據(jù)價值;
[0010]第三獲取單元�,用于根據(jù)所述第一計算單元得到的所述數(shù)據(jù)價值獲取對應(yīng)的安全防護策略;
[0011]安全管理單元����,用于根據(jù)所述第三獲取單元得到的安全防護策略對所述目標(biāo)設(shè)備進行安全管理��。
[0012]可選地,所述第一計算單元包括:
[0013]獲取子單元���,用于獲取所述數(shù)據(jù)價值計算規(guī)則中的至少一個用于判斷存儲數(shù)據(jù)是否具有數(shù)據(jù)價值的敏感特征���;
[0014]檢測子單元,用于對所述第二獲取單元得到的目標(biāo)設(shè)備的存儲數(shù)據(jù)進行檢測�,得到可以與所述獲取子單元得到的敏感特征相匹配的存儲數(shù)據(jù);
[0015]計算子單元���,用于依據(jù)所述第一獲取單元得到的數(shù)據(jù)價值計算規(guī)則對所述檢測子單元得到的存儲數(shù)據(jù)進行計算�����,得到目標(biāo)設(shè)備的存儲數(shù)據(jù)的數(shù)據(jù)價值�����。
[0016]可選地�����,所述檢測子單元包括:
[0017]獲取模塊�����,用于獲取預(yù)先設(shè)定的檢測范圍和/或所述數(shù)據(jù)價值計算規(guī)則中的檢測范圍��;
[0018]檢測模塊�,用于在獲取模塊得到的檢測范圍內(nèi)對所述第二獲取單元得到的目標(biāo)設(shè)備的存儲數(shù)據(jù)進行檢測,得到可以與所述獲取子單元得到的敏感特征相匹配的存儲數(shù)據(jù)��。
[0019]可選地�,所述計算子單元包括:
[0020]獲取模塊,用于在所述第一獲取單元得到的數(shù)據(jù)價值計算規(guī)則中獲取至少一個存儲數(shù)據(jù)分類的分類標(biāo)準(zhǔn)�;
[0021]分類模塊,用于依據(jù)所述獲取模塊得到的至少一個存儲數(shù)據(jù)分類的分類標(biāo)準(zhǔn)對所述檢測子單元得到的存儲數(shù)據(jù)進行分類�,得到分別屬于至少一個存儲數(shù)據(jù)分類的至少一個存儲數(shù)據(jù)集合;
[0022]計算模塊�,用于依據(jù)所述第一獲取單元得到的數(shù)據(jù)價值計算規(guī)則分別對所述分類模塊得到的至少一個存儲數(shù)據(jù)集合進行計算,得到目標(biāo)設(shè)備的存儲數(shù)據(jù)的數(shù)據(jù)價值�����。
[0023]可選地�����,所述計算模塊包括:
[0024]獲取子模塊�����,用于獲取對應(yīng)于每一所述存儲數(shù)據(jù)分類的數(shù)據(jù)價值權(quán)重;
[0025]計算子模塊��,用于將所述分類模塊得到的屬于任一存儲數(shù)據(jù)分類的存儲數(shù)據(jù)集合的數(shù)據(jù)量與所述獲取子模塊得到的該存儲數(shù)據(jù)分類的數(shù)據(jù)價值權(quán)重相乘���,并將對應(yīng)于所有存儲數(shù)據(jù)分類的乘積之和作為目標(biāo)設(shè)備的存儲數(shù)據(jù)的數(shù)據(jù)價值。
[0026]可選地�����,所述數(shù)據(jù)價值計算規(guī)則中的至少一個敏感特征包括:
[0027]存儲數(shù)據(jù)包括任一所述數(shù)據(jù)價值計算規(guī)則中指定的敏感內(nèi)容��;
[0028]和/ 或��,
[0029]存儲數(shù)據(jù)包括任一所述數(shù)據(jù)價值計算規(guī)則中指定的敏感數(shù)據(jù)類型的數(shù)據(jù)�����;
[0030]和/ 或��,
[0031 ] 存儲數(shù)據(jù)的文件名位于所述數(shù)據(jù)價值計算規(guī)則中的文件名黑名單列表當(dāng)中�����。
[0032]可選地,所述裝置還包括:
[0033]第四獲取單元��,用于獲取環(huán)境價值計算規(guī)則�;
[0034]第二計算單元,用于依據(jù)所述第四獲取單元得到的環(huán)境價值計算規(guī)則計算目標(biāo)設(shè)備所在網(wǎng)絡(luò)節(jié)點的環(huán)境價值�。
[0035]第二方面,本發(fā)明還提供了一種設(shè)備安全管理裝置���,包括:
[0036]第一生成單元�����,用于生成數(shù)據(jù)價值計算規(guī)則�����;
[0037]第一發(fā)送單元�,用于向目標(biāo)設(shè)備發(fā)送所述第一生成單元得到的數(shù)據(jù)價值計算規(guī)貝1J���,以使所述目標(biāo)設(shè)備依據(jù)該數(shù)據(jù)價值計算規(guī)則計算目標(biāo)設(shè)備的存儲數(shù)據(jù)的數(shù)據(jù)價值����,根據(jù)所述數(shù)據(jù)價值獲取對應(yīng)的安全防護策略����,并根據(jù)所述安全防護策略對所述目標(biāo)設(shè)備進行安全管理����。
[0038]第三方面�����,本發(fā)明還提供了一種設(shè)備安全管理方法�����,包括:
[0039]獲取數(shù)據(jù)價值計算規(guī)則�;
[0040]獲取目標(biāo)設(shè)備的存儲數(shù)據(jù)�;
[0041]依據(jù)所述數(shù)據(jù)價值計算規(guī)則計算所述目標(biāo)設(shè)備的存儲數(shù)據(jù)的數(shù)據(jù)價值;
[0042]根據(jù)所述數(shù)據(jù)價值獲取對應(yīng)的安全防護策略�����;
[0043]根據(jù)所述安全防護策略對所述目標(biāo)設(shè)備進行安全管理�����。
[0044]第四方面����,本發(fā)明還提供了一種設(shè)備安全管理方法�����,包括:
[0045]生成數(shù)據(jù)價值計算規(guī)則��;
[0046]向目標(biāo)設(shè)備發(fā)送所述數(shù)據(jù)價值計算規(guī)則���,以使所述目標(biāo)設(shè)備依據(jù)該數(shù)據(jù)價值計算規(guī)則計算目標(biāo)設(shè)備的存儲數(shù)據(jù)的數(shù)據(jù)價值,根據(jù)所述數(shù)據(jù)價值獲取對應(yīng)的安全防護策略��,并根據(jù)所述安全防護策略對所述目標(biāo)設(shè)備進行安全管理���。
[0047]由上述技術(shù)方案可知�����,本發(fā)明通過計算目標(biāo)設(shè)備的存儲數(shù)據(jù)的數(shù)據(jù)價值����,并獲取相應(yīng)的安全防護策略來對目標(biāo)設(shè)備進行安全管理���。從而對于信息系統(tǒng)中的每一臺終端設(shè)備��,都可以通過適當(dāng)?shù)慕K端價值計算過程匹配相適應(yīng)的安全防護策略���,使得安全管理不再局限于企業(yè)中的特定部門����,而每一臺高價值的終端設(shè)備都可以應(yīng)用高標(biāo)準(zhǔn)的防護能力�。同時,隨著信息的流動�����,終端價值的計算過程和安全防護策略也可以實時地進行更新����,有效避免了由于信息流動帶來的安全隱患����。由此,本發(fā)明可以解決現(xiàn)有的企業(yè)信息安全管理手段不能適應(yīng)企業(yè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)�,也不能適應(yīng)企業(yè)中的信息流動的問題。
[0048]進一步地��,本發(fā)明可以基于終端價值的計算和安全防護策略的設(shè)置實現(xiàn)終端價值與防護能力的相互匹配,并不受限于企業(yè)職能部門組織結(jié)構(gòu)的設(shè)置����,還可以進行動態(tài)的實時更新,可以更有效地保護企業(yè)中有價值數(shù)據(jù)的安全性���。
【附圖說明】
[0049]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案��,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單的介紹�����,顯而易見地���,下面描述中的附圖是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講�,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖���。
[0050]圖1是本發(fā)明一個實施例中一種設(shè)備安全管理裝置的結(jié)構(gòu)框圖��;
[0051]圖2是本發(fā)明一個實施例中一種第一計算單元的結(jié)構(gòu)框圖�����;
[0052]圖3是本發(fā)明一個實施例中一種計算子單元的結(jié)構(gòu)框圖����;
[0053]圖4是本發(fā)明另一個實施例中一種設(shè)備安全管理裝置的結(jié)構(gòu)框圖;
[0054]圖5是本發(fā)明一個實施例中一種設(shè)備安全管理方法的步驟流程示意圖��;
[0055]圖6是本發(fā)明另一個實施例中一種設(shè)備安全管理方法的步驟流程示意圖�����。
【具體實施方式】
[0056]為使本發(fā)明實施例的目的��、技術(shù)方案和優(yōu)點更加清楚����,下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚�����、完整地描述���,顯然,所描述的實施例是本發(fā)明一部分實施例����,而不是全部的實施例��?��;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例�,都屬于本發(fā)明保護的范圍。
[0057]在本發(fā)明的描述中需要說明的是�,術(shù)語“上”、“下”等指示的方位或位置關(guān)系為基于附圖所示的方位或位置關(guān)系��,僅是為了便于描述本發(fā)明和簡化描述�����,而不是指示或暗示所指的裝置或元件必須具有特定的方位�、以特定的方位構(gòu)造和操作,因此不能理解為對本發(fā)明的限制���。除非另有明確的規(guī)定和限定���,術(shù)語“安裝”、“相連”����、“連接”應(yīng)做廣義理解�,例如��,可以是固定連接�����,也可以是可拆卸連接���,或一體地連接���;可以是機械連接,也可以是電連接�����;可以是直接相連���,也可以通過中間媒介間接相連�,可以是兩個元件內(nèi)部的連通��。對于本領(lǐng)域的普通技術(shù)人員而言�����,可以根據(jù)具體情況理解上述術(shù)語在本發(fā)明中的具體含義�����。
[0058]圖1是本發(fā)明一個實施例中一種設(shè)備安全管理裝置的結(jié)構(gòu)框圖�。參見圖1,該裝置包括:
[0059]第一獲取單元11�����,用于獲取數(shù)據(jù)價值計算規(guī)則�����;
[0060]第二獲取單元12����,用于獲取目標(biāo)設(shè)備的存儲數(shù)據(jù);
[0061]第一計算單元13����,用于依據(jù)上述第一獲取單元11得到的數(shù)據(jù)價值計算規(guī)則計算上述第二獲取單元12得到的目標(biāo)設(shè)備的存儲數(shù)據(jù)的數(shù)據(jù)價值;
[0062]第三獲取單元14����,用于根據(jù)上述第一計算單元13得到的上述數(shù)據(jù)價值獲取對應(yīng)的安全防護策略�����;
[0063]安全管理單元15�,用于根據(jù)上述第三獲取單元14得到的安全防護策略對所述目標(biāo)設(shè)備進行安全管理����。
[0064]需要說明的是,上述設(shè)備安全管理裝置指的是用于對目標(biāo)設(shè)備(可以是任意形式的電子設(shè)備)的信息安全進行管理的裝置��,其中:
[0065]上述數(shù)據(jù)價值計算規(guī)則是第一獲取單元11通過任意方式獲取得到的��,并主要用于評價存儲在目標(biāo)設(shè)備當(dāng)中的存儲數(shù)據(jù)的數(shù)據(jù)價值��。對于目標(biāo)設(shè)備中的任意一份存儲數(shù)據(jù)��,可以按照第一獲取單元11得到的數(shù)據(jù)價值計算規(guī)則來計算其數(shù)據(jù)價值����。當(dāng)然,上述數(shù)據(jù)價值計算規(guī)則可以是預(yù)先根據(jù)對信息安全的安全需求來進行設(shè)定的����,也可以來自于目標(biāo)設(shè)備的上級管理設(shè)備���,并可以在不同的應(yīng)用場景下有著不同的形式����,本發(fā)明對此不作限制。
[0066]由于第一計算單元13用于依據(jù)第一獲取單元11得到的數(shù)據(jù)價值計算規(guī)則計算第二獲取單元12得到的目標(biāo)設(shè)備的存儲數(shù)據(jù)的數(shù)據(jù)價值����,因此第一獲取單元11和第二獲取單元12可以向第一計算單元13發(fā)送信息,而第一計算單元13可以接收來自第一獲取單元11或第二獲取單元12的信息��,并可以在一些【具體實施方式】中具體化為第一獲取單元11與第一計算單元13之間��、以及第二獲取單元12與第一計算單元13之間的連接關(guān)系���。類似地�,本文中對其他結(jié)構(gòu)或部件的功能性限定也隱含了相應(yīng)的接收或者發(fā)送功能�,并可以在一些【具體實施方式】中具體化為相應(yīng)的連接關(guān)系。
[0067]上述安全防護策略是第三獲取單元14通過任意方式獲取得到的����,并主要用于對目標(biāo)設(shè)備的安全管理進行指導(dǎo)。安全管理單元15可以根據(jù)安全防護策略對目標(biāo)設(shè)備進行具體的安全管理�����。當(dāng)然,安全防護策略可以是預(yù)先根據(jù)對信息安全不同等級的安全需求來進行設(shè)定的����,也可以來自于目標(biāo)