一种保护数据业务安全的方法和系统

1.一种保护数据业务安全的系统，其特征在于，包括：数据业务系统和业务安全系统；
所述业务安全系统包括安全代理子系统、安全中心和维护子系统；所述安全代理子系统包含在数据业务系统中；
所述安全代理子系统，用于收集数据业务系统的安全信息，并发送至所述安全中心；其中，所述安全信息为系统信息和/或保护数据信息；
所述安全中心，用于根据接收到的所述安全信息检测到安全事件发生时，向所述维护子系统发出告警信息；判断没有发生安全事件时，保存接收的系统信息和/或保护数据信息；
所述维护子系统，用于配置保护数据可修改，且配置保护数据的修改范围；还用于收到告警信息后，进行告警；
其中，所述安全事件检测规则为以下规则之一或其组合：将收集的保护数据信息与安全中心备份的数据进行对比，检测数据是否发生修改；统计保护数据信息的变更是否超过预配置的修改范围；统计所述系统信息是否在正常配置的范围内。
2.如权利要求1所述的系统，其特征在于，
所述安全中心包括安全分析模块，用于接收所述系统信息和/或所述保护数据信息，并检测安全事件；
所述安全中心包括数据冗余模块，用于在安全分析模块判断没有发生安全事件时，保存接收的系统信息和/或保护数据信息；
所述维护子系统包括配置模块，用于向所述安全分析模块提供安全事件检测规则；还用于配置保护数据可修改，且配置保护数据的修改范围；
所述安全事件检测规则为以下规则之一或其组合：将收集的保护数据信息与所述数据冗余模块中备份的数据进行对比，检测数据是否发生修改；统计保护数据信息的变更是否超过预配置的修改范围；统计所述系统信息是否在正常配置的范围内。
3.如权利要求2所述的系统，其特征在于，
所述安全代理子系统包括本地数据冗余模块，用于对所述安全代理子系统收集到的所述数据业务系统的系统信息和/或所述保护数据信息进行备份；
所述安全中心还包括数据恢复模块，用于在所述安全分析模块检测到安全事件发生时，根据本地数据冗余模块的备份数据在安全代理子系统恢复；或根据数据冗余模块的备份数据在安全中心恢复；或先根据本地数据冗余模块的备份数据在安全代理子系统恢复，再根据数据冗余模块的备份数据在安全中心恢复。
4.如权利要求3所述的系统，其特征在于，
所述配置模块，还用于向所述安全代理子系统提供数据收集规则；
所述安全代理子系统包括系统安全代理，用于根据所述收集规则收集数据业务系统的系统信息；所述系统信息包括至少以下信息之一：操作系统信息，运行进程信息，内存信息；
所述安全代理子系统包括数据安全代理，用于根据所述收集规则收集数据业务系统的保护数据信息；所述保护数据信息包括至少以下信息之一：业务程序、配置文件、数据库获取保护数据信息。
5.如权利要求4所述的系统，其特征在于，
所述安全中心还包括日志模块，与安全分析模块和数据恢复模块相连，用于记录数据操作过程的安全日志。
6.一种保护数据业务安全的方法，其特征在于，
安全代理子系统收集数据业务系统的安全信息，并发送至安全中心；其中，所述安全信息为系统信息和/或保护数据信息；
安全中心根据接收到的所述安全信息检测到安全事件发生时，向维护子系统发出告警信息；判断没有发生安全事件时，保存接收的系统信息和/或保护数据信息；
维护子系统配置保护数据可修改，且配置保护数据的修改范围；收到告警信息后，进行告警；
其中，所述安全事件检测规则为以下规则之一或其组合：将收集的保护数据信息与安全中心备份的数据进行对比，检测数据是否发生修改；统计保护数据信息的变更是否超过预配置的修改范围；统计所述系统信息是否在正常配置的范围内。
7.如权利要求6所述的方法，其特征在于，
所述安全中心的安全分析模块接收所述系统信息和/或所述保护数据信息，并检测安全事件；
所述安全中心的数据冗余模块在安全分析模块判断没有发生安全事件时，保存接收的系统信息和/或保护数据信息；
所述维护子系统的配置模块向所述安全分析模块提供安全事件检测规则；还用于配置保护数据可修改，且配置保护数据的修改范围；
所述安全事件检测规则为以下规则之一或其组合：将收集的保护数据信息与所述数据冗余模块中备份的数据进行对比，检测数据是否发生修改；统计保护数据信息的变更是否超过预配置的修改范围；统计所述系统信息是否在正常配置的范围内。
8.如权利要求7所述的方法，其特征在于，
所述安全代理子系统的本地数据冗余模块，对所述安全代理子系统收集到的所述数据业务系统的系统信息和/或所述保护数据信息进行备份；
所述安全中心的数据恢复模块，在所述安全分析模块检测到安全事件发生时，根据本地数据冗余模块的备份数据在安全代理子系统恢复；或根据数据冗余模块的备份数据在安全中心恢复；或先根据本地数据冗余模块的备份数据在安全代理子系统恢复，再根据数据冗余模块的备份数据在安全中心恢复。
9.如权利要求8所述的方法，其特征在于，
所述维护子系统向所述安全代理子系统提供数据收集规则；
所述安全代理子系统根据所述收集规则收集数据业务系统的系统信息和/或保护数据信息；所述系统信息包括至少以下信息之一：操作系统信息，运行进程信息，内存信息；
所述保护数据信息包括至少以下信息之一：业务程序、配置文件、数据库获取保护数据信息。
10.如权利要求6所述的方法，其特征在于，
所述安全中心记录数据操作过程的安全日志。
11.如权利要求6所述的方法，其特征在于，
所述安全中心根据所述维护子系统的配置定时检测是否有安全事件发生。

一种保护数据业务安全的方法和系统\n技术领域\n[0001] 本发明涉及移动通讯领域，尤其涉及一种保护数据业务安全的方法和系统。\n背景技术\n[0002] 目前，移动数据业务增长迅速，并且核心网逐步向IP(Internet Protocol，互联网协议)化的方向演进。与此同时，数据业务系统自身的安全漏洞随时面临来自互联网的各种安全威胁，给网络与业务系统的安全运行带来了重大隐患。存在的安全隐患主要有如下几种情况：\n[0003] 1、发生来自互联网的入侵事件，业务主机被植入木马程序，导致用户数据被窃取；\n[0004] 2、发生来自互联网的入侵事件，业务配置文件被更改，导致业务异常，并删除了入侵的系统日志。\n[0005] 现有技术中主要通过安装防火墙和杀毒软件，进行数据安全保护，但是存在如下缺陷：\n[0006] 1、病毒程序更新换代速度很快，防火墙和杀毒软件对于新病毒程序的防护存在时间差；\n[0007] 2、防火墙和杀毒软件不能防止由于信息丢失，察觉通过正常途径的非法操作；\n[0008] 3、防火墙和杀毒软件只能进行安全防护，在发生互联网安全事件时不能迅速恢复业务运行。\n[0009] 综上所述，在现有技术条件下，数据业务系统难以迅速察觉发生来自互联网的入侵事件；并在发生互联网安全事件后，难以迅速恢复业务正常运行。\n发明内容\n[0010] 本发明要解决的技术问题是提供一种数据业务系统安全方法，对业务关键数据进行保护，在关键数据发生非法修改时，能快速检测到安全事件的发生，在安全事件发生后，能快速恢复关键数据，从而恢复业务运行，提高系统的安全性。\n[0011] 为了解决上述问题，本发明提供了一种保护数据业务安全的系统，包括：数据业务系统和业务安全系统；所述业务安全系统包括安全代理子系统、安全中心和维护子系统；\n所述安全代理子系统包含在数据业务系统中；\n[0012] 所述安全代理子系统，用于收集数据业务系统的安全信息，并发送至所述安全中心；所述安全中心，用于根据接收到的所述安全信息检测到安全事件发生时，向所述维护子系统发出告警信息；所述维护子系统，用于收到告警信息后，进行告警。\n[0013] 进一步地，所述安全信息为系统信息和/或保护数据信息。\n[0014] 进一步地，所述安全中心包括安全分析模块242，用于接收所述系统信息和/或所述保护数据信息，并检测安全事件；所述安全中心包括数据冗余模块241，用于在安全分析模块242判断没有发生安全事件时，保存接收的系统信息和/或保护数据信息；所述维护子系统包括配置模块281，用于向所述安全分析模块242提供安全事件检测规则；还用于配置保护数据可修改，且配置保护数据的修改范围；所述安全事件检测规则为以下规则之一或其组合：将收集的保护数据信息与所述数据冗余模块241中备份的数据进行对比，检测数据是否发生修改；统计保护数据信息的变更是否超过预配置的修改范围；统计所述系统信息是否在正常配置的范围内。\n[0015] 进一步地，所述安全代理子系统包括本地数据冗余模块223，用于对所述安全代理子系统收集到的所述数据业务系统的系统信息和/或所述保护数据信息进行备份；所述安全中心还包括数据恢复模块243，用于在所述安全分析模块242检测到安全事件发生时，根据本地数据冗余模块223的备份数据在安全代理子系统恢复；或根据数据冗余模块241的备份数据在安全中心恢复；或先根据本地数据冗余模块223的备份数据在安全代理子系统恢复，再根据数据冗余模块241的备份数据在安全中心恢复。\n[0016] 进一步地，所述配置模块281，还用于向所述安全代理子系统提供数据收集规则；\n所述安全代理子系统包括系统安全代理221，用于根据所述收集原则收集数据业务系统的系统信息；所述系统信息包括至少以下信息之一：操作系统信息，运行进程信息，内存信息；所述安全代理子系统包括数据安全代理222，用于根据所述收集原则收集数据业务系统的保护数据信息；所述保护数据信息包括至少以下信息之一：业务程序、配置文件、数据库获取保护数据信息。\n[0017] 进一步地，所述安全中心还包括日志模块244，与安全分析模块242和数据恢复模块243相连，用于记录数据操作过程的安全日志。\n[0018] 本发明还提供了一种保护数据业务安全的方法，安全代理子系统收集数据业务系统的安全信息，并发送至所述安全中心；安全中心根据接收到的所述安全信息检测到安全事件发生时，向维护子系统发出告警信息；维护子系统，用于收到告警信息后，进行告警。\n[0019] 进一步地，所述安全信息为系统信息和/或保护数据信息。\n[0020] 进一步地，所述安全中心的安全分析模块242接收所述系统信息和/或所述保护数据信息，并检测安全事件；所述安全中心的数据冗余模块241在安全分析模块242判断没有发生安全事件时，保存接收的系统信息和/或保护数据信息；所述维护子系统的配置模块281向所述安全分析模块242提供安全事件检测规则；还用于配置保护数据可修改，且配置保护数据的修改范围；所述安全事件检测规则为以下规则之一或其组合：将收集的保护数据信息与所述数据冗余模块241中备份的数据进行对比，检测数据是否发生修改；统计保护数据信息的变更是否超过预配置的修改范围；统计所述系统信息是否在正常配置的范围内。\n[0021] 进一步地，所述安全代理子系统的本地数据冗余模块223，对所述安全代理子系统收集到的所述数据业务系统的系统信息和/或所述保护数据信息进行备份；所述安全中心的数据恢复模块243，在所述安全分析模块242检测到安全事件发生时，根据本地数据冗余模块223的备份数据在安全代理子系统恢复；或根据数据冗余模块241的备份数据在安全中心恢复；或先根据本地数据冗余模块223的备份数据在安全代理子系统恢复，再根据数据冗余模块241的备份数据在安全中心恢复。\n[0022] 进一步地，所述维护子系统向所述安全代理子系统提供数据收集规则；所述安全代理子系统根据所述收集原则收集数据业务系统的系统信息和/或保护数据信息；所述系统信息包括至少以下信息之一：操作系统信息，运行进程信息，内存信息；所述保护数据信息包括至少以下信息之一：业务程序、配置文件、数据库获取保护数据信息。\n[0023] 进一步地，所述安全中心记录数据操作过程的安全日志。\n[0024] 进一步地，所述安全中心根据所述维护子系统的配置定时检测是否有安全事件发生。\n[0025] 与现有技术相比较，本发明的数据业务系统安全方法，对业务关键数据进行保护，并辅助系统监测，在关键数据发生非法修改时，能快速检测到安全事件的发生。在安全事件发生后，利用冗余备份数据，能快速恢复关键数据，从而恢复业务运行，提高了系统的安全性。\n附图说明\n[0026] 图1是本发明的保护数据业务安全的系统的结构图；\n[0027] 图2是本发明的业务安全系统的结构图；\n[0028] 图3是本发明的保护数据业务安全的方法流程图。\n具体实施方式\n[0029] 本发明的数据业务系统安全方法中，对业务关键数据进行备份，并辅助系统监测，在检测到关键数据发生非法修改时，快速检测到安全事件的发生，并根据备份数据恢复关键数据，使业务尽快恢复正常运行，提高系统的安全性。\n[0030] 如图1所示，本发明中保护数据业务安全的系统包括数据业务系统和业务安全系统200。业务安全系统200包括安全代理子系统220、安全中心240、数据子系统260、维护子系统280，此四个组成部分通过以太网相连，且安全代理子系统220包含在数据业务系统中。\n[0031] 图2中业务安全系统200的组成部分具体功能如下所示：\n[0032] 安全代理子系统220，用于根据维护子系统280的配置，收集数据业务系统的系统信息和/或保护数据信息，并发送到安全中心240；对本地数据进行冗余备份；维护数据业务系统本地数据安全；\n[0033] 安全代理子系统220具体包括系统安全代理221、数据安全代理222、本地数据冗余模块223和本地数据安全模块224；\n[0034] 系统安全代理221，根据配置模块281配置的数据收集规则，收集数据业务系统的系统信息(如操作系统信息，运行进程信息，内存信息等)，并发送到安全中心240；\n[0035] 数据安全代理222，根据配置模块281配置的数据收集规则，收集数据业务系统的保护数据信息(如业务程序、配置文件、数据库获取保护数据信息)，并发送到安全中心\n240；\n[0036] 本地数据冗余模块223，根据配置，对本地数据进行冗余备份，以备恢复；所述本地数据包括系统信息和/或保护数据信息；\n[0037] 本地数据安全模块224，维护数据业务系统本地数据安全。\n[0038] 安全中心240，从系统安全代理221收集数据业务系统的系统信息，从数据安全代理222收集数据业务系统的保护数据信息，并保存，监测业务系统的运行，在监测到异常情况发生时，发出告警通知，并提供数据恢复；\n[0039] 安全中心240具体包括：数据冗余模块241、安全分析模块242、数据恢复模块\n243、日志模块244；\n[0040] 数据冗余模块241，从系统安全代理221收集数据业务系统的系统信息，从数据安全代理222收集数据业务系统的保护数据信息，在安全分析模块242判断没有发生安全事件时，保存收集的系统信息和保护数据信息，并将系统信息和保护数据信息保存数据到数据子系统260；\n[0041] 安全分析模块242，对数据冗余模块241收集的系统信息和保护数据信息进行安全分析，检测是否发生安全事件(即互联网的入侵事件等)，在发生安全事件时，通知维护子系统280，向告警模块282发送告警信息，或者通知数据恢复模块243进行数据恢复；\n[0042] 所述安全检测规则为以下规则之一：将收集的保护数据与备份数据进行对比，检测数据是否发生修改；统计保护数据信息的变更是否超过预配置的修改范围；统计收集的系统信息，是否在正常配置的范围内。\n[0043] 数据恢复模块243，接受安全分析模块242指示，进行数据恢复；根据配置模块281指示的数据进行恢复；\n[0044] 数据恢复模块243进行数据恢复时，在本地备份的数据，根据数据安全代理222的冗余数据在本地恢复，具有方便快捷的特点，但安全性不高；在异地备份的数据，根据数据冗余模块241的冗余数据在安全中心恢复，操作较复杂，但安全性高；有些数据在数据安全代理222和数据冗余模块241均有备份，则在安全中心统一调度下，先根据数据安全代理\n222的冗余数据在本地恢复，再根据数据冗余模块241的冗余数据在安全中心恢复。\n[0045] 日志模块244，与安全分析模块242和数据恢复模块243相连，记录数据操作过程的安全日志，便于管理员查询。\n[0046] 数据子系统260，用于保存数据冗余模块241收集的数据业务系统的系统信息和保护数据信息、以及安全处理相关数据(如日志信息和中间处理数据等)。\n[0047] 维护子系统280，与业务安全系统200其他模块相连，用于对业务安全系统200进行维护并提供其他辅助功能，所述辅助功能包括配置功能、告警功能；\n[0048] 维护子系统280具体包括：配置模块281和告警模块282；\n[0049] 配置模块281，向系统安全代理221和数据安全代理222提供数据收集规则(可以是定时收集，也可以根据业务情况动态调整；系统信息和“保护数据信息”的收集规则相同)；向安全分析模块242提供安全事件检测规则；向系统安全代理221、数据安全代理\n222、数据安全代理222和数据恢复模块243提供保护数据信息(即需要收集和备份的数据类型，如配置文件，数据库，内存数据等；需要恢复的数据类型；数据恢复的手段)；向安全中心240指示保护数据(方便安全中心了解系统组织，从系统层面监控，例如，数据业务系统包括那些模块，那些进程是合法的，那些文件是合法的，等等)；提供数据业务系统拓扑信息和系统内模块信息，方便安全中心判断是否发生了安全事件。\n[0050] 上述安全检测规则可以是：配置保护数据可修改，且配置保护数据的修改范围；\n将收集的保护数据与备份数据进行对比，检测数据是否发生修改；统计保护数据信息的变更是否超过预配置的修改范围；统计收集的系统信息，是否在配置模块281配置的范围内等。\n[0051] 告警模块282，接受安全分析模块242的告警信息，显示告警，发送告警信息给管理员。\n[0052] 上述保护数据信息，指业务安全系统需要监控并加以保护的关键数据，如配置数据，用户数据等，对这些数据进行备份，并监控数据，监测是否发生非法操作，在检测到发生非法操作时告警或自动进行数据恢复。根据配置，保护数据可以由安全代理子系统在本地进行保护，也可以由安全中心进行保护。\n[0053] 如图3所示，本发明中保护数据业务安全的方法具体包括以下步骤：\n[0054] 步骤301，安全中心240设置循环定时器；\n[0055] 步骤302，定时器到达，安全中心240收集数据，并调用安全分析模块242对数据进行分析；\n[0056] 安全分析模块242从系统安全代理221处收集数据业务系统的系统信息，从数据安全代理222处收集数据业务系统的保护数据信息。\n[0057] 步骤303，安全分析模块242判断是否发生安全事件，如果是，执行下一步；否则，转到步骤307；\n[0058] 所述安全检测规则为以下规则之一：将收集的保护数据与数据冗余模块241的备份数据进行对比，检测数据是否发生修改；统计保护数据信息的变更是否超过预配置的修改范围；统计收集的系统信息，是否在正常配置的范围内。\n[0059] 步骤304，安全分析模块242向告警模块282发送告警通知，告警模块282进行告警；\n[0060] 告警模块282还记录告警信息，并根据配置信息，通知管理员。\n[0061] 步骤305，安全分析模块242判断是否需要恢复数据，如果是，执行下一步，否则转到步骤307；\n[0062] 步骤306，数据恢复模块243进行数据恢复。\n[0063] 数据恢复模块243进行数据恢复时，在本地备份的数据，根据数据安全代理222的冗余数据在本地恢复，具有方便快捷的特点，但安全性不高；在异地备份的数据，根据数据冗余模块241的冗余数据在安全中心恢复，操作较复杂，但安全性高；有些数据在数据安全代理222和数据冗余模块241均有备份，则在安全中心统一调度下，先根据数据安全代理\n222的冗余数据在本地恢复，再根据数据冗余模块241的冗余数据在安全中心恢复。\n[0064] 恢复数据的方法包括：文件覆盖，数据同步，数据库数据恢复等。\n[0065] 步骤307，日志模块244记录日志信息。\n[0066] 日志模块244还根据配置信息，生成安全统计信息。\n[0067] 在上述方法中，系统安全代理221和数据安全代理222根据配置模块281配置的数据收集规则(例如定时收集)，分别收集数据业务系统的系统信息和保护数据信息，并发送到安全中心240；本地数据冗余模块223，根据配置，对系统信息和保护数据信息进行冗余备份，以备恢复；数据冗余模块241，从系统安全代理221收集数据业务系统的系统信息，从数据安全代理222收集数据业务系统的保护数据信息；进行备份。在上述方法执行过程中，本地数据冗余模块223和数据冗余模块241对系统信息和保护数据信息的备份，根据配置模块281配置执行(如定时执行)。\n[0068] 综上所述，本发明的方法，对业务关键数据进行保护，并辅助系统监测，在关键数据发生非法修改时，能快速检测到安全事件的发生。在安全事件发生后，利用冗余备份数据，能快速恢复关键数据，从而恢复业务运行，提高了系统的安全性。\n[0069] 以上详细说明了本发明的工作原理，但这只是为了便于理解而举的一个形象化的实施例，并不构成对本发明保护范围的限定。在不背离本发明精神及其实质的情况下，本领域技术人员当可根据本发明做出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。