【技术实现步骤摘要】
本申请涉及信息安全的,尤其是涉及一种用于信息系统的身份安全审计分析方法、系统及装置。
技术介绍
1、随着信息技术的发展,企业用户已经建立了完善的信息系统,信息系统中承载的信息越来越受到重视,同时信息系统中储存着诸如企业用户极其重要和敏感的信息,这些信息一旦被篡改或者泄露,会对企业或者社会造成一定的负面影响。随着企业信息化进程不断深入,企业的业务系统变得日益复杂,除了信息系统本身存在的风险外,例如内部人员的安全隐患、第三方维护人员的威胁、最高权限滥用风险、违规行为无法控制的风险、系统日志不能发现的安全隐患、系统崩溃带来审计结果的丢失等。信息系统还会面临其他攻击者的攻击。其他攻击者为了获取敏感数据,也会使用许多攻击手段,比如sql注入攻击、高级长期威胁(advanced persistent threat,apt)等。
2、虽然目前,从用户终端到应用服务器部署的防护措施众多,但是部署在应用服务器以后的防护措施较少。例如,在tcp/ip网络通信协议的应用层及以下部署较多的安全防护措施,但是在应用层以上的业务和数据层部署的安全防护措施不足。如何提高信息系统的安全审计能力是当前需要解决的问题。
技术实现思路
1、为了提高信息系统的安全审计能力,本申请提供了一种用于信息系统的身份安全审计分析方法、系统及装置。
2、在本申请的第一方面,提供了一种用于信息系统的身份安全审计分析方法。该方法包括:
3、获取用户的访问请求,访问请求包括访问时间、访问地址和访问内容;
4、根据访问时间、访问地址和访问内容,得到访问请求的风险信号;
5、根据风险信号,发出告警信号。
6、由以上技术方案可知,通过获取用户的访问请求,对访问请求的访问时间、访问地址和访问内容进行判断并发出对应的告警信号,降低安全审计分析的粒度,使得审计的内容覆盖信息系统更多的潜在风险,达到了提高信息系统的安全审计能力的效果。
7、在一种可能的实现方式中,根据访问时间、访问地址和访问内容,得到访问请求的风险信号,包括:
8、判断访问时间是否在预设访问时间内,得到时间判断结果;
9、判断访问地址是否在预设的访问白名单内,得到地址判断结果;
10、判断访问内容是否在预设的风险访问名单内,得到内容判断结果;
11、根据时间判断结果、地址判断结果和内容判断结果,得到访问请求的风险信号。
12、在一种可能的实现方式中,访问内容包括访问表名、访问列名和访问语句;
13、判断访问内容是否在预设的风险访问名单内,得到内容判断结果,包括:
14、判断访问表名是否在预设敏感表中,得到表判断结果;
15、判断访问列名是否在预设敏感列中,得到列判断结果;
16、判断访问语句是否存在预设风险语句中,得到语句判断结果;
17、根据表判断结果、列判断结果和语句判断结果,得到内容判断结果。
18、在一种可能的实现方式中,在获取用户的访问请求之前,方法还包括:
19、获取信息系统的配置数据、漏洞数据和口令数据;
20、根据配置数据,调整信息系统的配置;
21、根据漏洞数据,修复信息系统的漏洞;
22、根据口令数据,输出弱口令账号预警信息。
23、在一种可能的实现方式中,根据风险信号,发出告警信号之后,方法还包括:
24、获取信息系统的审计日志和目标查询语句;
25、根据目标查询语句在审计日志中得到目标内容,目标内容用于追溯问题根源。
26、在一种可能的实现方式中,信息系统的审计日志包括运维数据和应用数据,运维数据表示对信息系统进行运维过程中产生的数据,应用数据表示用户在信息系统中进行业务操作时产生的数据。
27、在一种可能的实现方式中,方法还包括:
28、获取报告模板,报告模板包括生成时间和生成内容;
29、根据生成内容在信息系统中搜索报告内容;
30、在生成时间,将报告内容添加至报告模板中,生成目标报告。
31、在本申请的第二方面,提供了一种用于信息系统的身份安全审计分析系统。该系统包括:
32、请求获取模块,用于获取用户的访问请求,访问请求包括访问时间、访问地址和访问内容;
33、风险确定模块,用于根据访问时间、访问地址和访问内容,得到访问请求的风险信号;
34、告警发出模块,用于根据风险信号,发出告警信号。
35、在本申请的第三方面,提供了一种用于信息系统的身份安全审计分析装置。该装置包括:存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现如以上所述的方法。
36、在本申请的第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如根据本申请的第一方面的方法。
37、综上所述,本申请包括至少一种有益技术效果:
38、通过获取用户的访问请求,对访问请求的访问时间、访问地址和访问内容进行判断并发出对应的告警信号,降低安全审计分析的粒度,使得审计的内容覆盖信息系统更多的潜在风险,达到了提高信息系统的安全审计能力的效果。
本文档来自技高网...【技术保护点】
1.一种用于信息系统的身份安全审计分析方法,其特征在于,包括:
2.根据权利要求1所述的用于信息系统的身份安全审计分析方法,其特征在于,所述根据所述访问时间、所述访问地址和所述访问内容,得到所述访问请求的风险信号,包括:
3.根据权利要求2所述的用于信息系统的身份安全审计分析方法,其特征在于,所述访问内容包括访问表名、访问列名和访问语句;
4.根据权利要求1所述的用于信息系统的身份安全审计分析方法,其特征在于,在所述获取用户的访问请求之前,所述方法还包括:
5.根据权利要求1所述的用于信息系统的身份安全审计分析方法,其特征在于,所述根据所述风险信号,发出告警信号之后,所述方法还包括:
6.根据权利要求5所述的用于信息系统的身份安全审计分析方法,其特征在于,所述信息系统的审计日志包括运维数据和应用数据,所述运维数据表示对所述信息系统进行运维过程中产生的数据,所述应用数据表示用户在所述信息系统中进行业务操作时产生的数据。
7.根据权利要求1所述的用于信息系统的身份安全审计分析方法,其特征在于,所述方法还包括:p>
8.一种用于信息系统的身份安全审计分析系统,其特征在于,包括:
9.一种用于信息系统的身份安全审计分析装置,其特征在于,包括存储器和处理器,所述存储器上存储有能够被处理器加载并执行如权利要求1至7中任一种所述方法的计算机程序。
10.一种计算机可读存储介质,其特征在于,存储有能够被处理器加载并执行如权利要求1至7中任一种所述方法的计算机程序。
...【技术特征摘要】
1.一种用于信息系统的身份安全审计分析方法,其特征在于,包括:
2.根据权利要求1所述的用于信息系统的身份安全审计分析方法,其特征在于,所述根据所述访问时间、所述访问地址和所述访问内容,得到所述访问请求的风险信号,包括:
3.根据权利要求2所述的用于信息系统的身份安全审计分析方法,其特征在于,所述访问内容包括访问表名、访问列名和访问语句;
4.根据权利要求1所述的用于信息系统的身份安全审计分析方法,其特征在于,在所述获取用户的访问请求之前,所述方法还包括:
5.根据权利要求1所述的用于信息系统的身份安全审计分析方法,其特征在于,所述根据所述风险信号,发出告警信号之后,所述方法还包括:
6.根据权利要求5所述的用于信息系...
【专利技术属性】
技术研发人员:钱立佩,王旭,孙逢宁,刘迎宾,乔梦宇,索良晨,王辉,
申请(专利权)人:北京建恒信安科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。