专利名称:一种电信应用业务安全测试评估通用平台系统及其方法
技术领域:
本发明涉及一种安全测试评估通用平台系统及其方法,尤其涉及一种电信应用业务安全测试评估通用平台系统及其方法,属于电信服务安全技术领域。
背景技术:
通信作为社会的基础设施,其作用已经渗透到了国民经济和社会生活的各个方面,能产生巨大的社会效益。作为国家关键信息基础设施的重要组成部分,电信网在整个国民经济信息化进程中有着举足轻重的战略地位。电信网络从终端到核心网再到业务网在全面IP化和互联化的同时,安全方面也面临着更大的挑战。并且伴随着网络融合以及智能手机终端的大力普及,电信运营商为了满足不同层次的用户需求,不断地推出新业务和新服务,而业务、服务的增多往往意味着管理、安全等问题的增多。随着电信网中提供的业务种类越来越多,且影响面越来越大。电信网中的主要资产已经不再是设备了,而是这些设备上所承载的业务。业务的附加价值已经远远超过了设备自身的购买价值了。因此应用业务的安全风险是电信网面临的最主要的安全风险,保障应用业务的安全性,是与电信运营商的切身利益密切相关的。保证应用业务的安全,不仅能减少安全风险带来的损失,更能增加用户使用业务时的信心,对行业的发展起到积极的推动作用。基于应用业务的安全测试评估,可以给电信网的管理者以更加清晰的业务视角,从而采取适当的控制措施和手段来保证网络的稳定性以及利润对风险的最优化。
发明内容
本发明的目的是,针对业务安全测试评估软件的缺乏,提供一种可全面检测受评业务支撑系统的安全性的电信应用业务安全测试评估通用平台系统。本发明解决上述技术问题的技术方案如下一种电信应用业务安全测试评估通用平台系统,包括平台管理模块、工具模块、检测任务控制模块、数据收集模块、数据存取模块、展示模块、还包括业务管理模块和分析控制模块;所述平台管理模块用于接收用户控制输入的指令并根据所述指令调整平台系所述业务管理模块用于接收业务数据并将业务数据发送至数据存取模块;所述数据存取模块存储数据收集模块、分析控制模块和业务管理模块传输的数据,并按照分析控制模块和检测任务控制模块的需求,返回相应的数据至分析控制模块和检测任务控制模块;所述分析控制模块用于工具模块或数据存取模块传输的数据,将分析出的检测策略传输至检测任务控制模块,并将分析结果传输至展示模块进行展示;所述检测任务控制模块接收分析控制模块传输至的检测策略,并生成相应的任务,并将任务发送至工具模块;所述数据收集模块接收工具模块传输至的数据,并将数据进行一定的格式转换后,根据是否需要实时分析,传输至分析控制模块或数据存取模块;所述工具模块为业务安全测试评估提供检测扫描工具,所述工具模块接收检测任务控制模块传输至的任务进行对应扫描并将结果数据发送至数据收集模块;所述展示模块用于展示工具模块和分析控制模块传输至的数据。本发明的有益效果是本发明所述电信应用业务安全测试评估通用平台系统可以全面检测受评电信业务支撑系统的安全性,了解电信业务具体的安全问题;从而能有效的帮助业务开发人员及网络运营商评估其应用业务系统的安全性,并且能够辅助提出安全解决方案和实施防御措施。在上述技术方案的基础上,本发明还可以做如下改进。进一步,所述分析控制模块包括策略模块、漏洞分析控制模块、威胁分析控制模块、漏洞与威胁关系分析控制模块和资产分析控制模块;所述策略模块调用数据存取层的数据进行分析产生相应的检测策略,并将所述检测策略发送至检测任务控制模块;所述漏洞分析控制模块对传输至的漏洞信息进行危险等级评定并将漏洞信息及评定后的等级结果发送至漏洞与威胁关系分析控制模块和资产分析控制模块;所述威胁分析控制模块对传输至的威胁事件信息进行严重程度等级评定并将威胁事件和评定后的等级结果发送至漏洞与威胁关系分析控制模块和资产分析控制模块;所述漏洞与威胁关系分析控制模块对漏洞分析控制模块和威胁分析控制模块发送至的漏洞信息和威胁事件之间的关系按照预存的威胁事件利用漏洞难易程度信息进行分析并将分析结果发送至资产分析控制模块和展示模块;所述资产分析控制模块接收漏洞分析控制模块、威胁分析控制模块以及漏洞与威胁关联分析控制模块传输的信息,并计算得出受评业务支撑系统中各资产的安全状态,对比等级评定标准得出业务的安全等级,并将业务安全状态信息发送至展示模块进行展示。进一步,所述漏洞与威胁关系分析控制模块利用两个评定因素,分别是威胁事件利用漏洞的难易程度以及威胁事件出现的概率来量化评估威胁事件的严重程度。进一步,所述资产分析控制模块对照模块内保存的已有的漏洞信息和威胁事件关系分析受评业务存在的漏洞与存在的威胁之间的关联关系以及受评业务支撑系统中各资产的重要程度权值,得出受评业务安全性的综合评判值。进一步,所述检测任务控制模块包括通信服务模块和任务管理模块,所述通信服务模块用于接收分析控制模块发送至的检测策略并发送至任务管理模块;所述任务管理模块接收检测策略并生成对应的任务,进一步将所述任务发送至工具模块;所述工具模块包括工具管理模块、根据检测任务控制模块传输至的任务收集脆弱性信息的漏洞扫描模块、检测业务具体面临威胁事件的威胁检测模块和业务支撑系统的网络拓扑发现模块;所述工具管理模块检测漏洞扫描模块、威胁检测模块和拓扑发现模块的实时工作状态及更新状态,所述漏洞扫描模块、威胁检测模块和网络拓扑发现模块将收集到的信息数据传输至数据转换模块;所述数据收集模块包括接口模块和数据转换模块,所述接口模块接收传输至的数据并将数据传输至数据转换模块;所述数据转换模块将传输至的信息数据进行格式转换后发送至数据存取模块,所述数据收集模块中的数据转换模块将收集到的数据转换成首部和内容数据两部分,所述首部包括原始数据的检测工具类型和内容数据部分的长度,所述内容数据为数据检测任务控制模块收集到的原始数据;所述数据存取模块包括存取单元和数据库,所述存取单元为所述数据库提供统一的数据库操作接口并将数据收集模块、分析控制模块、业务信息采集模块和业务安全属性配置模块传输至的数据存入数据库并根据分析控制模块和展示模块发送的调用指令将数据库内的数据发送至分析控制模块和展示模块;所述数据库用于存储通过所述数据库操作接口传输的数据;所述展示模块包括,以直观方式展示受评业务支撑系统网络拓扑结构的业务支撑系统网络拓扑展示模块;展示受评业务支撑系统资产信息的业务资产信息展示模块;对受评业务安全态势值进行汇总,以多视角多形式的方式展示受评业务安全态势的业务安全态势展示模块;展示漏洞信息危险性评定结果以及威胁事件严重程度评定结果的业务漏洞信息展示模块和业务威胁信息展示模块;展示受评业务漏洞信息与威胁事件之间关联关系的业务漏洞与威胁关联信息展示模块;所述网络拓扑展示模块、业务资产信息展示模块、业务漏洞信息展示模块和业务威胁信息展示模块通过数据存取模块接收工具模块预先存入数据库的数据;所述业务安全态势展示模块和业务漏洞与威胁关联信息展示模块通过数据存取模块接收分析控制模块预先存入数据库的数据。进一步,所述业务管理模块包括业务信息采集模块和业务安全属性配置模块,所述业务信息采集模块用于采集多种不同的业务数据并将数据发送至数据存取模块,所述业务数据包括业务名称、业务类型及支撑系统详细信息等数据;所述业务安全属性配置模块用于采集用户对于受评业务需要重点关注的安全检测项,并推荐对应的安全工具列表,将配置完的安全属性信息发送至数据存取模块进行存储。所有不同种类的业务,都可通过采集其业务数据与业务安全属性,生成对应的安全检测策略、规则以及检测任务,并由检测工具完成具体的检测任务,最后由分析控制模块根据扫描检测结果对业务进行安全等级评定的方式来得到任意业务的安全状况,因此本系统提出的面向业务的检测评估方法适用于所有种类的电信应用业务。进一步,所述工具管理模块用于对外屏蔽不同检测工具之间的差异,使检测工具以相同的方式将检测结果发送至数据转换模块。本发明的另一个目的是,针对业务安全测试评估方法的缺乏,提供一种可全面检测受评业务支撑系统的安全性的电信应用业务安全测试评估通用方法。本发明解决上述技术问题的技术方案如下一种电信应用业务安全测试评估通用方法,具体包括以下步骤步骤I :用户通过系统的平台管理模块登录,用户管理模块对其进行鉴权并返回结果;步骤2 :业务管理模块接收业务数据并存入数据存取模块;步骤3 :分析控制模块调用数据存取模块中的数据进行分析并生成对应的策略, 并将所述策略发送至任务控制模块;步骤4 :根据所述策略生成任务,并对任务进行分析和展示。进一步,所述步骤4进一步包括下列操作
步骤4. I :检测任务控制模块接收分析控制模块发送至的策略,并根据所述策略产生对应的任务,并将所述任务发送至工具模块;步骤4. 2 :所述工具模块接收任务控制模块发送的任务数据进行漏洞和威胁的扫描检测,以及拓扑检测,并将检测的结果经过转换后发送至数据收集模块;步骤4. 3 :数据收集模块接收到工具模块发送至的检测数据,数据转换子模块将收集到的数据转换成首部和内容数据两部分,所述首部包括原始数据的检测工具类型和内容数据部分的长度,所述内容数据为工具模块发送至的原始数据,所述数据转换模块将检测结果进行数据格式转换;步骤4. 4 :分析控制模块接收到数据收集模块发送至的漏洞及威胁检测信息,调用漏洞分析控制模块、威胁分析控制模块、漏洞与威胁关联分析控制模块以及资产分析控制模块,计算得出当前业务的安全状态;步骤4. 5 :展示模块调用数据存取模块和分析控制模块中的数据并进行相应的展
/Jn ο进一步,步骤4. 3包括以下两种情况根据任务策略判断是否即时执行,如果是即时执行,直接传送至分析控制模块进行下一步分析;如果不是即时执行,传送至数据存取模块,由数据存取模块存入数据库。所述电信网应用业务的测试评估方法是将受评业务的安全性当作其支撑系统中各资产安全性的综合评判;受评业务支撑系统中的资产主要是指各类设备,按照其承担的功能,可以分为核心的业务提供设备、控制设备以及传输设备;各类设备的安全性是指检测任务控制模块收集到的各设备的漏洞与威胁事件相互关系的综合评判值;若某设备存在m个漏洞,向量;T = (/I1 A2 A3 A4 ... /Im)代表根据CVSS量化
评估得出的该设备的漏洞严重程度权值向量,式中,Ai, i = l,2,3...m,AiG [1,3]代表第i个漏洞的严重程度权值;若此设备模块面临着η个威胁,矩阵Z
Xll Χ12
Xln
Xmn
代表该设备面临
Xml Xm2 *
的威胁利用存在的漏洞对设备造成危害的困难程度,式中,XU,I = 1,2,3. ..m,j = 1,2, 3. . . n, Xij e
表示威胁x」,j = I, 2, 3. . . η利用漏洞λ i7 i = 1,2, 3. . . m对此设备造成危害的的困难程度,其中xu从O增加到I,表示威胁Xj, j = 1,2,3. . . η利用漏洞Ai, i =1,2,3. . .m对设备造成危害的困难程度在增加;利用上述的设备漏洞严重程度向量Y和设备面临威胁利用漏洞造成危害的难易程度矩阵X,可由下式1-1得出该设备面临的威胁利用存在的漏洞对设备造成危害严重程度的综合评定值Q。
Xll Χ12
Xln
,0e(O,3]式 η
m\ Xm2 · · · Xmn一个受评业务的综合安全性是由该业务所有设备的安全性与设备的重要程度共
8同决定的,设该受评业务存在K个核心业务提供设备,核心业务提供设备的重要程度权值
向量为/c = (6ifi (Xi (X3 以4 ...攸欠以旧(0.8,1),/ = 1,2,3…尺
由式1-1可计算出此K个核心业务提供设备可能受到危害的严重程度综合评定值向量为 Qc(l, K)丨,i = 1,2,3. ..K;设该受评业务存在L个控制设备,控制设备重
要程度权值向量为A =(夕1β飞··· βι),βι& (0.6,0.8],/ = 1,2,3..X ^
式1-1可计算出此L个控制设备可能受到危害的严重程度综合评定值向量为Qt(l,L) I, Qt^ (0,3], i = 1,2,3...L;设该受评业务存在H个传输设备,传输设备重要程度权值向
量为L = (Z1 Z2 Z3 Z4 ···狀),#g (0.4,0.6],/= 1,2,3···//,由式 i-ι 可计算
出此L个控制设备可能受到危害的严重程度综合评定值向量为qs(i,h) ,Qs,e (0,3], i =1,2,3···H ;利用上述各类设备的重要程度向量以及该类设备可能受到危害的严重程度综合评定值,利用下式1-2可以计算出此受评业务支撑系统所有设备可能受到的危害严重程度的综合评定值R,即该受评业务的安全程度评判值。
权利要求
1.一种电信应用业务安全测试评估通用平台系统,其特征在于,包括平台管理模块、工具模块、检测任务控制模块、数据收集模块、数据存取模块、展示模块、还包括业务管理模块和分析控制模块;所述平台管理模块用于接收用户控制输入的指令并根据所述指令调整平台系统; 所述业务管理模块用于接收业务数据并将数据发送至数据存取模块;所述数据存取模块存储数据收集模块、分析控制模块和业务管理模块传输至的数据, 并按照分析控制模块和检测任务控制模块的需求,返回相应的数据至分析控制模块和检测任务控制模块;所述分析控制模块用于工具模块或数据存取模块传输的数据,将分析出的检测策略传输至检测任务控制模块,并将分析结果传输至展示模块进行展示;所述检测任务控制模块接收分析控制模块传输至的检测策略,并生成相应的任务,并将任务发送至工具模块;所述数据收集模块接收工具模块传输至的数据,并将数据进行一定的格式转换后,根据是否需要实时分析,传输至分析控制模块或数据存取模块;所述工具模块为业务安全测试评估提供检测扫描工具,所述工具模块接收检测任务控制模块传输至的任务进行对应扫描并将结果数据发送至数据收集模块;所述展示模块用于展示工具模块和分析控制模块传输至的数据。
2.根据权利要求I所述的测试评估通用平台系统,其特征在于,所述分析控制模块包括策略模块、漏洞分析控制模块、威胁分析控制模块、漏洞与威胁关系分析控制模块和资产分析控制模块;所述策略模块调用数据存取层的数据进行分析产生相应的检测策略,并将所述检测策略发送至检测任务控制模块;所述漏洞分析控制模块对传输至的漏洞信息进行危险等级评定并将漏洞信息及评定后的等级结果发送至漏洞与威胁关系分析控制模块和资产分析控制模块;所述威胁分析控制模块对传输至的威胁事件信息进行严重程度等级评定并将威胁事件和评定后的等级结果发送至漏洞与威胁关系分析控制模块和资产分析控制模块;所述漏洞与威胁关系分析控制模块对漏洞分析控制模块和威胁分析控制模块发送至的漏洞信息和威胁事件之间的关系按照预存的威胁事件利用漏洞难易程度信息进行分析并将分析结果发送至资产分析控制模块和展示模块;所述资产分析控制模块接收漏洞分析控制模块、威胁分析控制模块以及漏洞与威胁关联分析控制模块传输的信息,并计算得出受评业务支撑系统中各资产的安全状态,对比等级评定标准得出业务的安全等级,并将业务安全状态信息发送至展示模块进行展示。
3.根据权利要求2所述的测试评估通用平台系统,其特征在于,所述漏洞与威胁关系分析控制模块利用两个评定因素,分别是威胁事件利用漏洞的难易程度以及威胁事件出现的概率来量化评估威胁事件的严重程度。
4.根据权利要求3所述的测试评估通用平台系统,其特征在于,所述资产分析控制模块对照模块内保存的已有的漏洞信息和威胁事件关系分析受评业务存在的漏洞与存在的威胁之间的关联关系以及受评业务支撑系统中各资产的重要程度权值,得出受评业务安全性的综合评判值。
5.根据权利要求I所述的测试评估通用平台系统,其特征在于,所述检测任务控制模块包括通信服务模块和任务管理模块,所述通信服务模块用于接收分析控制模块发送至的检测策略并发送至任务管理模块;所述任务管理模块接收检测策略并生成对应的任务,进一步将所述任务发送至工具模块;所述数据收集模块包括接口模块和数据转换模块,所述接口模块接收传输至的数据并将数据传输至数据转换模块;所述数据转换模块将传输至的信息数据进行格式转换后发送至数据存取模块,所述数据收集模块中的数据转换模块将收集到的数据转换成首部和内容数据两部分,所述首部包括原始数据的检测工具类型和内容数据部分的长度,所述内容数据为数据检测任务控制模块收集到的原始数据;所述工具模块包括工具管理模块、根据任务控制模块传输至的任务收集脆弱性信息的漏洞扫描模块、检测业务具体模块面临威胁事件的威胁检测模块和业务支撑系统的网络拓扑发现模块;所述工具管理模块检测漏洞扫描模块、威胁检测模块和拓扑发现模块的实时工作状态及更新状态,所述漏洞扫描模块、威胁检测模块和网络拓扑发现模块将收集到的信息数据传输至数据收集模块;所述数据存取模块包括存取单元和数据库,所述存取单元为所述数据库提供统一的数据库操作接口并将数据收集模块、分析控制模块、业务信息采集模块和业务安全属性配置模块传输至的数据存入数据库并根据分析控制模块和展示模块发送的调用指令将数据库内的数据发送至分析控制模块和展示模块;所述数据库用于存储通过所述数据库操作接口传输的数据;所述展示模块包括,以直观方式展示受评业务支撑系统网络拓扑结构的业务支撑系统网络拓扑展示模块;展示受评业务支撑系统资产信息的业务资产信息展示模块;对受评业务安全态势值进行汇总,以多视角多形式的方式展示受评业务安全态势的业务安全态势展示模块;展示漏洞信息危险性评定结果以及威胁事件严重程度评定结果的业务漏洞信息展示模块和业务威胁信息展示模块;展示受评业务漏洞信息与威胁事件之间关联关系的业务漏洞与威胁关联信息展示模块;所述网络拓扑展示模块、业务资产信息展示模块、业务漏洞信息展示模块和业务威胁信息展示模块通过数据存取模块接收数据收集模块预先存入数据库的数据;所述业务安全态势展示模块和业务漏洞与威胁关联信息展示模块通过数据存取模块接收分析控制模块预先存入数据库的数据。
6.根据权利要求5所述的测试评估通用平台系统,其特征在于,所述业务管理模块包括业务信息采集模块和业务安全属性配置模块,所述业务信息采集模块用于采集多种不同的业务数据并将数据发送至数据存取模块;所述业务安全属性配置模块用于采集用户对于受评业务需要重点关注的安全检测项,并推荐对应的安全工具列表,将配置完的安全属性信息发送至数据存取模块进行存储。
7.根据权利要求I至6任一项所述的测试评估通用平台系统,其特征在于,所述工具管理模块用于对外屏蔽不同检测工具之间的差异,使检测工具以统一的接口将检测结果发送至数据转换模块。
8.一种电信应用业务安全测试评估通用方法,其特征在于,具体包括以下步骤步骤I :用户通过系统的平台管理模块登录,用户管理模块对其进行鉴权并返回结果;步骤2 :业务管理模块接收业务数据并存入数据存取模块;步骤3 :分析控制模块调用数据存取模块中的数据进行分析并生成对应的策略,并将所述策略发送至任务控制模块;步骤4 :根据所述策略生成任务,并对任务进行分析和展示。
9.根据权利要求8所述的测试评估通用方法,其特征在于,所述步骤4进一步包括下列操作步骤4. I :检测任务控制模块接收分析控制模块发送至的策略,并根据所述策略产生对应的任务,并将所述任务发送至工具模块;步骤4. 2 :所述工具模块接收任务控制模块发送的任务数据进行漏洞和威胁的扫描检测,以及拓扑检测,并将检测的结果经过转换后发送至数据收集模块;步骤4. 3 :数据收集模块接收到工具模块发送至的检测数据,数据转换子模块将收集到的数据转换成首部和内容数据两部分,所述首部包括原始数据的检测工具类型和内容数据部分的长度,所述内容数据为工具模块发送至的原始数据,所述数据转换模块将检测结果进行数据格式转换;步骤4. 4 :分析控制模块接收到数据收集模块发送至的漏洞及威胁检测信息,调用漏洞分析控制模块、威胁分析控制模块、漏洞与威胁关联分析控制模块以及资产分析控制模块,计算得出当前业务的安全状态;步骤4. 5 :展示模块调用数据存取模块和分析控制模块中的数据并进行相应的展示。
10.根据权利要求9所述的测试评估通用方法,其特征在于,步骤4.3包括以下两种情况根据任务策略判断是否即时执行,如果是即时执行,直接传送至分析控制模块进行下一步分析;如果不是即时执行,传送至数据存取模块,由数据存取模块存入数据库。
全文摘要
本发明涉及一种电信应用业务安全测试评估通用平台系统及其方法,其中一种电信应用业务安全测试评估通用平台系统,包括平台管理模块、工具模块、检测任务控制模块、数据收集模块、数据存取模块、展示模块、还包括业务管理模块和分析控制模块;所述平台管理模块用于管理平台系统运行时进行协调统一的支撑环境,包括用户管理、日志管理;所述业务管理模块用于接收业务数据录入、配置并将业务数据以指定格式发送至数据存取模块存储。本发明可客观地针对电信网中多种不同的应用业务进行安全测试与评估,能有效地帮助网络运营商以及SP等测试评估其所提供应用业务系统的安全性,从而辅助他们提出安全解决方案和实施防御措施。
文档编号H04L29/06GK102594607SQ201210065960
公开日2012年7月18日 申请日期2012年3月13日 优先权日2012年3月13日
发明者孙敬, 王娟, 管宁, 闫丹凤 申请人:北京邮电大学