[发明专利]建立业务系统的安全基线的方法和装置

说明书

技术领域

本发明涉及信息系统安全的应用领域，具体的说，涉及一种在业务系统中建立安全基线的方法和装置。

背景技术

业务信息系统（简称业务系统）是以处理信息流为目的的人机一体化系统，由计算机硬件、网络、软件、信息资源、信息用户和规章制度组成。业务系统通常由应用服务器（集群）、数据服务器（集群），WEB服务器（集群）、客户端、网络设备、外围安全设备，以及在各种硬件上提供服务的各种应用程序（应用系统）组成。由于业务系统的重要性，如何保证业务系统的安全得到越来越多人的关注和研究。主要有以下几种解决方案：

（1）业务系统安全评估。基于系统风险评估的解决方案，对业务系统在入网前以及运行过程中进行安全风险评估，为运维人员提供安全管理维护的参考依据。通过对被评估业务系统进行层次化分解，建立面向业务的系统特征描述模型，将系统中涉及的各种因素（信息环境、信息载体和信息）进行抽象化地描述，并根据系统具体的业务流程进行层次量化分析，结合信息资产价值量的评价实现对系统可能存在的种种风险的评估。

（2）业务系统访问控制。通过分析业务系统的安全需求和组织特点，制定了企业业务系统RBAC方案，对角色划分、权限分配、会话管理、RBAC管理进行方案设计，解决系统的数据和资源的访问控制安全问题。基于角色的访问控制模型RBAC以及基于任务的访问控制模型的研究，是在对业务系统安全需求分析的基础上，构建了基于角色和任务的访问控制模型ETRBAC，提高了系统的安全访问控制能力。

（3）云计算安全。目前基于云计算的业务系统快速发展的背景前提下，研究云计算的安全问题，提出综合可信访问控制、密文检索和处理、数据存在和可使用证明、数据隐私保护、虚拟安全技术、云资源访问控制等技术的云安全解决方案。金松昌等针对目前的大数据业务系统发展现状及趋势，结合认证令牌算法,提出了一种保证数据安全系统设计方案。设计方案主要包括两方面数据安全部分和数据灾备部分。数据安全部分,用于保证系统数据层面的安全,主要包括数据访问控制、数据共享安全、错误检测和自动恢复等；数据灾备部分,用于应对突发的有破坏作用的自然灾害,保证系统的可靠运行,主要包括AvatarNode、远程数据远程备份、灾难检测和系统切换。

（4）内网一体化安全。内网一体化安全监控系统通对全网的各类网络设备、安全设备、主机、数据库、应用系统、桌面等实时、细粒度的运行监控，及时发现网络中的可用性故障和安全威胁，并进行故障定位和告警响应，确保重要业务信息系统的可用性和业务连续性。业务系统作为内网的一个重要组成部分，其安全也由内网一体化安全系统保护。一体化安全系统通过对业务系统所处的系统环境、网络访问控制、网站监控、漏洞保护等进行对业务系统的安全防护。

（5）强化终端安全。合理利用操作系统、web服务器、数据库系统所提供的安全设置，提供业务系统的安全性，以及利用应用程序的灵活性弥补操作系统、web服务器、数据库系统的安全漏洞，从而达到保证业务系统安全的方法。通过使用防火墙、杀毒软件、桌面安全工具等工具加强终端安全，防范终端受到来自外部的安全威胁。加强终端安全的另外一种方法就是以操作系统为基础，建立终端安全基线。终端安全基线以操作系统为基础，通过分析安全需求，在操作系统中强化某方面的安全配置，并形成安全配置的系列指导文件。终端安全基线的实施提高了内网终端安全配置的一致性和易维护性。

（6）其他解决方案。针对业务信息系统面临的安全威胁，制定包括法律、制度、规则、硬件、软件的信息系统安全模型，信息系统安全模型以保护业务活动为出发点,从安全角度对业务系统进行描述.通过分析业务系统及其安全的本质特征,给出了业务信息系统安全模型的基本要素及其相互关系之间的操作关系和安全约束，该模型不仅反映了业务系统资产之间的安全关系,还反映了以安全保密为重点的，通过密码算法、密钥管理、数据库安全保密、网络安全保密等实现信息系统数据安全。

然而，本领域技术人员仍然盼望出现一种新型的在业务系统中建立安全基线的方法和装置。

发明内容

为此，本发明的目的是要提供一种建立业务系统的安全基线的方法和装置，期待能够提高业务系统的安全和可靠运行性，特别适用于组织机构业务系统的统一安全监控和管理。

为了实现上述目的，本发明采用的技术方案如下：

本发明实施例提供了一种建立业务系统的安全基线的方法，包括以下步骤：

统计业务系统的安全因素，得到安全基线的内容；

根据所述安全基线的内容，对安全基线进行分类；