[发明专利]一种电信应用业务安全测试评估通用平台系统及其方法

说明书

技术领域

本发明涉及一种安全测试评估通用平台系统及其方法，尤其涉及一种电信应用业务安全测试评估通用平台系统及其方法，属于电信服务安全技术领域。

背景技术

通信作为社会的基础设施，其作用已经渗透到了国民经济和社会生活的各个方面，能产生巨大的社会效益。作为国家关键信息基础设施的重要组成部分，电信网在整个国民经济信息化进程中有着举足轻重的战略地位。电信网络从终端到核心网再到业务网在全面IP化和互联化的同时，安全方面也面临着更大的挑战。并且伴随着网络融合以及智能手机终端的大力普及，电信运营商为了满足不同层次的用户需求，不断地推出新业务和新服务，而业务、服务的增多往往意味着管理、安全等问题的增多。

随着电信网中提供的业务种类越来越多，且影响面越来越大。电信网中的主要资产已经不再是设备了，而是这些设备上所承载的业务。业务的附加价值已经远远超过了设备自身的购买价值了。因此应用业务的安全风险是电信网面临的最主要的安全风险，保障应用业务的安全性，是与电信运营商的切身利益密切相关的。保证应用业务的安全，不仅能减少安全风险带来的损失，更能增加用户使用业务时的信心，对行业的发展起到积极的推动作用。基于应用业务的安全测试评估，可以给电信网的管理者以更加清晰的业务视角，从而采取适当的控制措施和手段来保证网络的稳定性以及利润对风险的最优化。

发明内容

本发明的目的是，针对业务安全测试评估软件的缺乏，提供一种可全面检测受评业务支撑系统的安全性的电信应用业务安全测试评估通用平台系统。

本发明解决上述技术问题的技术方案如下：一种电信应用业务安全测试评估通用平台系统，包括平台管理模块、工具模块、检测任务控制模块、数据收集模块、数据存取模块、展示模块、还包括业务管理模块和分析控制模块；

所述平台管理模块用于接收用户控制输入的指令并根据所述指令调整平台系统；

所述业务管理模块用于接收业务数据并将业务数据发送至数据存取模块；

所述数据存取模块存储数据收集模块、分析控制模块和业务管理模块传输的数据，并按照分析控制模块和检测任务控制模块的需求，返回相应的数据至分析控制模块和检测任务控制模块；

所述分析控制模块用于工具模块或数据存取模块传输的数据，将分析出的检测策略传输至检测任务控制模块，并将分析结果传输至展示模块进行展示；

所述检测任务控制模块接收分析控制模块传输至的检测策略，并生成相应的任务，并将任务发送至工具模块；

所述数据收集模块接收工具模块传输至的数据，并将数据进行一定的格式转换后，根据是否需要实时分析，传输至分析控制模块或数据存取模块；所述工具模块为业务安全测试评估提供检测扫描工具，所述工具模块接收检测任务控制模块传输至的任务进行对应扫描并将结果数据发送至数据收集模块；

所述展示模块用于展示工具模块和分析控制模块传输至的数据。

本发明的有益效果是：本发明所述电信应用业务安全测试评估通用平台系统可以全面检测受评电信业务支撑系统的安全性，了解电信业务具体的安全问题；从而能有效的帮助业务开发人员及网络运营商评估其应用业务系统的安全性，并且能够辅助提出安全解决方案和实施防御措施。

在上述技术方案的基础上，本发明还可以做如下改进。

进一步，所述分析控制模块包括策略模块、漏洞分析控制模块、威胁分析控制模块、漏洞与威胁关系分析控制模块和资产分析控制模块；

所述策略模块调用数据存取层的数据进行分析产生相应的检测策略，并将所述检测策略发送至检测任务控制模块；

所述漏洞分析控制模块对传输至的漏洞信息进行危险等级评定并将漏洞信息及评定后的等级结果发送至漏洞与威胁关系分析控制模块和资产分析控制模块；

所述威胁分析控制模块对传输至的威胁事件信息进行严重程度等级评定并将威胁事件和评定后的等级结果发送至漏洞与威胁关系分析控制模块和资产分析控制模块；

所述漏洞与威胁关系分析控制模块对漏洞分析控制模块和威胁分析控制模块发送至的漏洞信息和威胁事件之间的关系按照预存的威胁事件利用漏洞难易程度信息进行分析并将分析结果发送至资产分析控制模块和展示模块；

所述资产分析控制模块接收漏洞分析控制模块、威胁分析控制模块以及漏洞与威胁关联分析控制模块传输的信息，并计算得出受评业务支撑系统中各资产的安全状态，对比等级评定标准得出业务的安全等级，并将业务安全状态信息发送至展示模块进行展示。