【技术实现步骤摘要】
本专利技术涉及信息安全,具体而言,涉及一种信息系统中暴露面信息的获取方法及装置。
技术介绍
1、网络安全防线构筑通常遵循“暴露面分析-风险分析-布防设计”的思路,首先分析暴露面,然后分析暴露面所面临的风险,最后针对风险设计布防措施。网络安全防护工作中最怕出现的就是防线覆盖不全,存在不设防的路径。因此,暴露面分析极为关键,全面的暴露面分析可以指导构建防护严密的防线,暴露面分析的缺漏将导致防线出现空白,给系统带来极大的网络安全风险。
2、针对上述相关技术中对信息系统暴露面的排查不够全面,容易存在缺漏导致防线出现空白、造成网络安全风险的问题,目前尚未提出有效的解决方案。
技术实现思路
1、本专利技术实施例提供了一种信息系统中暴露面信息的获取方法及装置,以至少解决相关技术中对信息系统暴露面的排查不够全面,容易存在缺漏导致防线出现空白、造成网络安全风险的技术问题。
2、根据本专利技术实施例的一个方面,提供了一种信息系统中暴露面信息的获取方法,包括:确定信息系统中需分析暴露面的子系统为目标子系统,其中,所述暴露面为攻击所述信息系统的攻击路径入口;确定所述目标子系统的资产,其中,所述资产为所述目标子系统运行所需的资源;对所述资产的设备接口、供应链、所述资产所处的物理环境及所述目标子系统的系统全生命周期依次进行递归式排查处理,以从多个维度确定所述目标子系统的暴露面信息;将多个所述目标子系统的所述暴露面信息进行整合,得到所述信息系统的目标暴露面信息。
3、可选地,
4、可选地,对所述资产的供应链进行递归式排查处理,以确定所述目标子系统的暴露面信息,包括:获取所述供应链的供应信息,其中,所述供应信息至少包括以下之一:供应设备、供应商、供应服务;基于所述供应信息确定所述供应设备的第二设备信息、所述供应商的详细信息及所述供应服务的服务信息为所述目标子系统中对所述供应链进行所述递归式排查处理得到的第二暴露面信息,其中,所述第二暴露面信息属于所述暴露面信息。
5、可选地,对所述资产的物理环境依次进行递归式排查处理,以确定所述目标子系统的暴露面信息,包括:确定所述信息系统所处所述物理环境的地址信息、水电供应信息、设备电磁辐射信息及目标对象和/或物理设备的进出信息为所述目标子系统中对所述物理环境进行所述递归式排查处理得到的第三暴露面信息,其中,所述进出信息为所述目标对象或物理设备进入和/或离开所述物理环境的记录信息,所述第三暴露面信息属于所述暴露面信息。
6、可选地,对所述目标子系统的系统全生命周期依次进行递归式排查处理,以确定所述目标子系统的暴露面信息,包括:获取所述目标子系统的所述系统全生命周期,其中,所述系统全生命周期为所述目标子系统在设计、开发、测试、部署、运行和维护阶段产生的所有数据;确定所述系统全生命周期中的文档信息、运维数据信息及退役设备的第三设备信息为所述目标子系统中对所述系统全生命周期进行所述递归式排查处理得到的第四暴露面信息,其中,所述退役设备为所述目标子系统中废弃的设备,所述第四暴露面信息属于所述暴露面信息。
7、可选地,对所述资产的设备接口、供应链、所述资产所处的物理环境及所述目标子系统的系统全生命周期依次进行递归式排查处理,以从多个维度确定所述目标子系统的暴露面信息,包括:将所述第一暴露面信息、所述第二暴露面信息、所述第三暴露面信息及所述第四暴露面信息进行整合,得到所述目标子系统的所述暴露面信息。
8、可选地,在将多个所述目标子系统的所述暴露面信息进行整合,得到所述信息系统的目标暴露面信息之后,该信息系统中暴露面信息的获取方法还包括:基于所述目标暴露面信息生成对所述信息系统进行布防的路径布防策略,其中,所述路径布防策略用于拦截所述信息系统受到的攻击行为;按照所述路径布防策略对所信息系统的布防路径进行布防。
9、根据本专利技术实施例的另一方面,还提供了一种信息系统中暴露面信息的获取装置,包括:第一确定单元,用于确定信息系统中需分析暴露面的子系统为目标子系统,其中,所述暴露面为攻击所述信息系统的攻击路径入口;第二确定单元,用于确定所述目标子系统的资产,其中,所述资产为所述目标子系统运行所需的资源;第三确定单元,用于对所述资产的设备接口、供应链、所述资产所处的物理环境及所述目标子系统的系统全生命周期依次进行递归式排查处理,以从多个维度确定所述目标子系统的暴露面信息;获取单元,用于将多个所述目标子系统的所述暴露面信息进行整合,得到所述信息系统的目标暴露面信息。
10、可选地,所述第三确定单元,包括:第一获取模块,用于获取所述设备接口的接口类型;在根据所述接口类型确定所述设备接口为网络接口时,获取所述网络接口的网络连接关系;第二获取模块,用于基于所述网络连接关系确定与所述网络接口直接连接和/或间接连接的网络设备为暴露设备;第一确定模块,用于确定所述暴露设备的设备信息和所述暴露设备所承载的网络业务信息为所述网络接口的网络接口暴露面信息;第二确定模块,用于在根据所述接口类型确定所述设备接口为硬件接口时,确定与所述硬件接口存在交互关系的第一设备信息和目标对象信息为所述硬件接口的硬件接口暴露面信息,其中,所述第一设备信息为与所述硬件接口存在所述交互关系的设备的信息;第三确定模块,用于确定所述网络接口暴露面信息和所述硬件接口暴露面信息为所述目标子系统中对所述设备接口进行所述递归式排查处理得到的第一暴露面信息,其中,所述第一暴露面信息属于所述暴露面信息。
11、可选地,所述第三确定单元,包括:第三获取模块,用于获取所述供应链的供应信息,其中,所述供应信息至少包括以下之一:供应设备、供应商、供应服务;第四确定模块,用于基于所述供应信息确定所述供应设备的第二设备信息、所述供应商的详细信息及所述供应服务的服务信息为所述目标子系统中对所述供应链进行所述递归式排查处理得到的第二暴露面信息,其中,所述第二暴露面信息属于所述暴露面信息。
12、可选地,所述第三确定单元,包括:第五确定模块,用于确定所述信息系统所处所述物理环境的地址信息、水电供应信息、设备电磁辐射信息及目标对象和/或物理设备的进本文档来自技高网...
【技术保护点】
1.一种信息系统中暴露面信息的获取方法,其特征在于,包括:
2.根据权利要求1所述的信息系统中暴露面信息的获取方法,其特征在于,对所述资产的设备接口进行递归式排查处理,以确定所述目标子系统的暴露面信息,包括:
3.根据权利要求2所述的信息系统中暴露面信息的获取方法,其特征在于,对所述资产的供应链进行递归式排查处理,以确定所述目标子系统的暴露面信息,包括:
4.根据权利要求3所述的信息系统中暴露面信息的获取方法,其特征在于,对所述资产所处的物理环境依次进行递归式排查处理,以确定所述目标子系统的暴露面信息,包括:
5.根据权利要求4所述的信息系统中暴露面信息的获取方法,其特征在于,对目标子系统的系统全生命周期依次进行递归式排查处理,以确定所述目标子系统的暴露面信息,包括:
6.根据权利要求5所述的信息系统中暴露面信息的获取方法,其特征在于,对所述资产的设备接口、供应链、所述资产所处的物理环境及所述目标子系统的系统全生命周期依次进行递归式排查处理,以从多个维度确定所述目标子系统的暴露面信息,包括:
7.根据权利要求
8.一种信息系统中暴露面信息的获取装置,其特征在于,包括:
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的程序,其中,所述程序执行权利要求1至7中任意一项所述的信息系统中暴露面信息的获取方法。
10.一种计算机程序产品,包括计算机指令,其特征在于,所述计算机指令被处理器执行时执行权利要求1至7中任意一项所述的信息系统中暴露面信息的获取方法。
...【技术特征摘要】
1.一种信息系统中暴露面信息的获取方法,其特征在于,包括:
2.根据权利要求1所述的信息系统中暴露面信息的获取方法,其特征在于,对所述资产的设备接口进行递归式排查处理,以确定所述目标子系统的暴露面信息,包括:
3.根据权利要求2所述的信息系统中暴露面信息的获取方法,其特征在于,对所述资产的供应链进行递归式排查处理,以确定所述目标子系统的暴露面信息,包括:
4.根据权利要求3所述的信息系统中暴露面信息的获取方法,其特征在于,对所述资产所处的物理环境依次进行递归式排查处理,以确定所述目标子系统的暴露面信息,包括:
5.根据权利要求4所述的信息系统中暴露面信息的获取方法,其特征在于,对目标子系统的系统全生命周期依次进行递归式排查处理,以确定所述目标子系统的暴露面信息,包括:
6.根据权利要求5所述的信息系统中暴...
【专利技术属性】
技术研发人员:杨祎巍,梁志宏,洪超,杜金燃,
申请(专利权)人:南方电网科学研究院有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。