基于可设定信息安全目标的获得性安全保障方法及系统

1.一种基于可设定信息安全目标的获得性安全保障方法，其特征在于，该方法根据基准安全目标和实际安全目标的符合性评估，自适应选择验证性、加固、预防性和抑制性安全渐进过程，从而实现业务应用与安全协同保障的任务，包括以下过程：
(a)预期安全渐进过程，根据目标网络设定重点保护范围及目标要素，包含机密性保护原则、和/或完整保护原则、和/或可用性保护原则，以产生基准安全目标模板和执行相应的安全策略；
(b)符合性安全渐进过程，根据从目标网络收集到的网络资产特征数据产生实际安全目标模板，所述实际安全目标模板用于评价基准安全目标模板的合理性、评估基准安全目标模板所对应的基础防护的合理性、并在执行监控与审计后完善所述基础防护；
(c)验证安全渐进过程，根据所述实际安全目标模板与资产运行状态，验证实际安全目标所执行的安全措施的有效性，并进行调整；
(d)加固安全渐进过程，针对目标网络所获取的运行状态的事件信息进行监控与审计，判断事件的可能路径后，调整其安全机制；
(e)预防安全渐进过程，针对目标网络所获取的资产运行状态、运行事件的信息进行按时间属性、空间或位置属性进行过滤、规则匹配和归一化管理，发现潜在安全事件，并进行威胁量化处理，确认对目标网络的机密性、完整性和可用性的影响分析，对影响超过阈值的事件，发布预警；
(f)抑制安全渐进过程，针对目标网络所获取的异常事件和所述的潜在安全事件，进行风险态势评估，对目标网络、目标资产的影响范围进一步判断后，就已经施加的安全措施进行分析，并执行抑制、转移和降低风险的一系列控制指令，和/或隔离被管控对象、和/或阻隔有害的网络访问、和/或过滤掉有害的数据包、和/或改变安全措施。
2.如权利要求1所述的基于可设定信息安全目标的获得性安全保障方法，其特征在于，还包括以下过程中的一个或多个：
(g)手动安全渐进过程，监视和预警目标网络的运行状况，对目标网络进行维护、远程配置；
(h)应急安全渐进过程，紧急情况下启动应急预案。
3.如权利要求1所述的基于可设定信息安全目标的获得性安全保障方法，其特征在于，还包含循环执行的下述步骤：
(i1)建立安全保障系统的基准量化安全目标，并进行符合性评估；
(i2)执行所选择的目标控制与安全策略；
(i3)对目标网络监控与对执行的控制措施进行符合性评估；
(i4)改进安全控制措施以达到基准安全目标。
4.如权利要求1所述的基于可设定信息安全目标的获得性安全保障方法，其特征在于，所述基准安全目标模板和实际安全标准模板，都至少包括：信息资产的特征信息及安全要素，物理层、网络层、系统层、应用层和管理层的特征向量，保护强度的要素，具体如下：
物理层的特征向量包括网络接口类型、MAC地址；网络层的特征向量包括IP地址、承载协议；系统层的特征向量包括操作系统信息、数据库信息；应用层的特征向量，包括服务信息；管理层的特征向量包括配置信息。
5.如权利要求1所述的基于可设定信息安全目标的获得性安全保障方法，其特征在于，所述运行事件、异常事件和安全事件，都至少包括主体、客体、时间、主体对客体影响属性，所述主体至少包括用户信息、服务信息、节点信息；所述客体至少包括用户信息、服务信息、节点信息和文件信息。
6.如权利要求1所述的基于可设定信息安全目标的获得性安全保障方法，其特征在于，所述威胁量化处理，用于对潜在的安全事件进行威胁，依据其特征信息，就主体、客体和操作三方面的要素，以及主体、客体资产的当前特征数据进行评估，判断事件的主体作用于客体的机密性、完整性和可用性的影响分析；综合量化后的影响度，判断出风险等级、和/或风险的危害程度。
7.如权利要求1所述的基于可设定信息安全目标的获得性安全保障方法，其特征在于，所述态势评估是对在时间窗内发生的安全事件进行综合量化度量，对目标网络、目标资产的影响进行度量，并确定抑制、转移和降低风险的一系列控制指令。
8.一种基于可设定信息安全目标的获得性安全保障系统，该系统包括相互通信连接的以下部件：
分布式网元管控系统、获得性安全保障系统以及安全工作站，其中：
(a)所述的安全工作站包含以下组成单元：
配置管理单元，用于配置预期安全目标及配置获得性安全保障系统、分布式网元管控系统和目标网络的运行参数；
监视与预警单元，用于对被监控节点的运行状况的进行监视，以拓扑方式展示全网的概况、发布告警和产生图表；
应急响应单元，用于产生并下发应急指令给获得性安全保障系统；
(b)所述的获得性安全保障系统包含以下组成单元：
安全目标量化处理单元，用于根据预期的安全目标，产生基准安全目标模板；根据从目标网络收集到的网络资产特征数据，产生实际安全目标模板；根据所述实际安全目标模板与基准安全目标模板的差异，判断目标网络施加的基础防护系统的合理性；
安全管理与策略执行单元，用于根据所述的安全目标模板，生成安全策略，所述安全策略包括安全措施及动态规则；
监控和审计单元，用于根据已获取的异常事件信息进行分析，判断出威胁源，包括IP地址、服务信息；并判断出已施加的安全措施是否失效；
安全风险与对策管理单元，用于根据审计结果，启动相应的纠正措施，调整已施加的安全机制、和/或安全措施、和/或抑制、转移和降低风险的一系列指令；
数据与事件处理单元，用于处理分布式网元管控系统上报的异常事件，以及信息资产特征数据；并从自身已有的事件流中挖掘出潜在的安全事件；获取资产的运行状态以及资产的特征信息；
风险分析评估单元，用于对异常事件和潜在的安全事件进行威胁识别和量化处理，以确定是否为风险；包含判断事件的主体作用于客体的机密性、完整性和可用性的影响分析和量化度量；已分析出的威胁事件进行风险识别和风险量化，并最终确定的风险等级、和/或风险的危害程度；
安全协同管理单元，用于接受风险分析评估单元下发的应急指令，接受安全工作站下发的应急指令，并将应急指令翻译成配置协议；和/或接受安全工作站的配置信息，翻译成配置协议，所述的配置协议用于改变安全工作站、和/或所管网元的配置属性的一系列指令；
(c)所述的分布式网元管控系统包含以下组成单元：
安全检测单元，用于采集目标网络的日志信息与原始数据包，并进行预处理，获取特征数据；和/或主动扫描目标网络的信息资产数据，获取信息资产特征数据；和/或检测目标网络的运行状态信息或流经自身的网络流进行检测，获取异常事件，进行数据预处理后，上报给获得性安全保障系统；和/或接受获得性安全保障系统的控制指令，有选择性地上报给获得性安全保障系统；
访问控制单元，用于接受获得性安全保障系统的访问控制指令，执行网络访问控制；和/或防止非授权使用者的访问；
安全响应单元，用于接受获得性安全保障系统的控制指令，和/或隔离被管控对象、和/或阻隔有害的网络访问、和/或过滤掉有害的数据包、和/或改变安全措施；
安全恢复单元，用于接受获得性安全保障系统的控制指令，强制启动应急恢复机制。
9.如权利要求8所述基于可设定信息安全目标的获得性安全保障系统，其特征在于，所述配置预期安全目标，可依据安全调查问卷所获取的结果，至少包括重点保护范围、目标要素及保护强度要素。
10.如权利要求8所述基于可设定信息安全目标的获得性安全保障系统，其特征在于，所述的数据预处理是指规整化基本数据，去冗余、时间校准、精度校准；并将规整后的基本数据分别处理，所述的特征数据，是具有固定格式的数据项，至少包括主体、客体、检测时间属性；所述的信息资产数据特征主要包含所在网元的系统信息、硬件信息、主要进程信息、网络连接、服务信息、数据共享信息。

基于可设定信息安全目标的获得性安全保障方法及系统\n技术领域\n[0001] 本发明涉及计算机网络及信息安全领域，尤其涉及一种基于可设定信息安全目标的获得性安全保障方法及系统。\n背景技术\n[0002] 计算机网络安全是信息安全领域的工作重点，其涉及到个人、企业以及国家的赖以工作和生活的信息环境的安全问题。针对计算机网络安全，人们倾向于部署安防产品：防火墙、防病毒服务器、入侵检测系统(IDS)、内容过滤系统等。但是，历史与现实的安全防护工作经验表明，及时支出高额费用、部署先进安全产品，计算机信息安全问题却依旧没有得到有效解决，甚至愈演愈烈。近年来，人们开始思考将信息安全作为一个系统工程来管理，以便将众多的防护产品联合起来，共同实现安全目标。因而安全运营中心(SOC)逐渐被人们所认识。\n[0003] 安全运营中心(SOC)基本核心是“发现问题、解决问题”。即利用一切技术手段去挖掘信息威胁迹象，并尽早抑制风险，消除或降低用户损失。在第二代SOC理念中，生产商们都以策略为中心的P2DR2模式为技术线路，构建自己的SOC产品，该产品只覆盖了D(检测)与R(反应)两个阶段；但是，基于P2DR2模式开发的SOC产品，未能体现“自动学习、持续改进”的质量要求。于是，又提出了“PDCA”的技术理念。基于该理念指导的SOC产品能具有“自动学习、自动积累、持续改进”的特性，从而能满足计算机网络安全领域的特征：威胁不多断变更、技术不断翻新、防护基于经验与预测。\n[0004] 目前，国内外许多公司都推出了各自的计算机网络安全解决方案。国内有启明星辰、绿盟科技、东软和天融信推出了自己的SOC产品或解决方案；国外有IV2-techologis的嵌入式SOCBox和ArcSight公司的ArcSight系列产品。各厂家的SOC产品各有专长，试图从自己对计算机网络信息安全的理解与从业经验上，推出能彻底解决网络安全的产品。但是，这些类型的产品，存在如下主要问题：\n[0005] 1.现有的SOC产品解决方案，在网络组网上，要么是基于现有的互联网基础，要么就是完全重建一张独立的安全管理网。基于现有互联网的安全网本身就是非安全的，因为互联网不安全，所以才要求建安全管理网。为了安全监控目的而搭建的安全网，其底层基础就不安全，其提供的安全服务也是不可信任的。而完全抛离现有互联网基础，重新铺设安全管理网能够实现安全网络本身的安全，并且能够有效实现业务网安全监控。但是，在现有网络的基础上，再完全新建一张网，属重复投资，收益有限；并且，新网铺设过大时，又会引入同互联网一样的安全问题。\n[0006] 2.现有的SOC产品解决方案，其技术理念都是基于第2代，即简单的检测与反应，而缺少自动学习、自动积累、持续改进的功能。\n[0007] 3.现有的SOC产品解决方案，其核心关注点上，关注的重点是防外，即都过分强调源自外来的“侵犯利用本地资产脆弱点，完成攻击，从而给企业、单位或个人造成损失”。而挺少关注源自本企业内部的侵犯，不考虑对内部设备与终端的准入限制。从而造成原有威胁得不到有效清理，对内部引起的新威胁防备乏力。\n[0008] 4.现有的SOC产品解决方案，其产品运营理念上，都是站在安全角度看待问题，而未融合考虑安全与业务融合问题，将安全产品本身又塑造成信息孤岛。安全产品的可扩展性、客户定制化、与现有业务服务协同、与其它同类产品协同上都非常差，给客户造成很大的运营负担。\n[0009] 5、现有的SOC产品解决方案，未将人的创造智能与机的模拟智能有效结合。目前的产品中，维护人员使用的安全工作流系统与防护产品的自我防护流程是两个独立的环，即工作流处理过程积累的经验与模式，未被机器引用；而产品内部针对安全威胁的处理过程，也未向维护人员展示。\n[0010] 由此可见，现在的计算机网络信息安全解决方案，都无法为企业或单位实现可运营、可管理、可维护、持续改进、有限人力参与的安全防护。\n发明内容\n[0011] 本发明要解决的技术问题在于，针对上述大规模、复杂性、开放性和分散化网络，采用常规的安全设备“堆砌”的防护策略难以有效地进行安全管理和安全防护的问题，提供一种基于可设定信息安全目标的获得性安全保障方法及系统。\n[0012] 本发明解决技术问题所采用的技术方案是：构造一种基于可设定信息安全目标的获得性安全保障方法，包括以下过程：\n[0013] (a)预期安全渐进过程，根据目标网络设定重点保护范围及目标要素以产生基准安全目标模板和执行相应的安全策略；\n[0014] (b)符合性安全渐进过程，根据从目标网络收集到的网络资产特征数据产生实际安全目标模板，所述实际安全目标模板用于评价基准安全目标模板的合理性、评估基准安全目标模板所对应的基础防护的合理性、并在执行监控与审计后完善所述基础防护；\n[0015] (c)验证安全渐进过程，根据所述实际安全目标模板与资产运行状态，验证实际安全目标所执行的安全措施的有效性，并进行调整；\n[0016] (d)加固安全渐进过程，针对目标网络所获取的运行状态的事件信息进行监控与审计，判断事件的可能路径后，调整其安全机制；\n[0017] (e)预防安全渐进过程，针对目标网络所获取的资产运行状态、运行事件的信息进行按时间属性、空间或位置属性进行过滤、规则匹配和归一化管理，发现潜在安全事件，并进行威胁量化处理，确认对目标网络的机密性、完整性和可用性的影响分析，对影响超过阈值的事件，发布预警；\n[0018] (f)抑制安全渐进过程，针对目标网络所获取的异常事件和所述的潜在安全事件，进行风险态势评估，对目标网络、目标资产的影响范围进一步判断后，就已经施加的安全措施进行分析，并执行抑制、转移和降低风险的一系列控制指令，和/或隔离被管控对象、和/或阻隔有害的网络访问、和/或过滤掉有害的数据包、和/或改变安全措施。\n[0019] 在本发明所述的一种基于可设定信息安全目标的获得性安全保障方法中，还包括以下过程中的一个或多个：\n[0020] (g)手动安全渐进过程，监视和预警目标网络的运行状况，对目标网络进行维护、远程配置。\n[0021] (h)应急安全渐进过程，紧急情况下启动应急预案。\n[0022] 在本发明所述的一种基于可设定信息安全目标的获得性安全保障方法中，还包含循环执行的下述步骤：\n[0023] (i1)建立安全保障系统的基准量化安全目标，并进行符合性评估；\n[0024] (i2)执行所选择的目标控制与安全策略；\n[0025] (i3)对目标网络监控与对执行的控制措施进行符合性评估；\n[0026] (i4)改进安全控制措施以达到基准安全目标。\n[0027] 在本发明所述的一种基于可设定信息安全目标的获得性安全保障方法中，所述基准安全目标模板和实际安全标准模板，都至少包括：信息资产的特征信息及安全要素，物理层、网络层、系统层、应用层和管理层的特征向量，保护强度的要素，具体如下：\n[0028] 物理层的特征向量包括网络接口类型、MAC地址；网络层的特征向量包括IP地址、承载协议；系统层的特征向量包括操作系统信息、数据库信息；应用层的特征向量，包括服务信息；管理层的特征向量包括配置信息。\n[0029] 在本发明所述的一种基于可设定信息安全目标的获得性安全保障方法中，所述运行事件、异常事件和安全事件，都至少包括主体、客体、时间、主体对客体影响属性，所述主体至少包括用户信息、服务信息、节点信息；所述客体至少包括用户信息、服务信息、节点信息和文件信息。\n[0030] 在本发明所述的一种基于可设定信息安全目标的获得性安全保障方法中，所述威胁量化处理，用于对潜在的安全事件进行威胁，依据其特征信息，就主体、客体和操作三方面的要素，以及主体、客体资产的当前特征数据进行评估，判断事件的主体作用于客体的机密性、完整性和可用性的影响分析；综合量化后的影响度，判断出风险等级、和/或风险的危害程度。\n[0031] 在本发明所述的一种基于可设定信息安全目标的获得性安全保障方法中，所述态势评估是对在时间窗内发生的安全事件进行综合量化度量，对目标网络、目标资产的影响进行度量，并确定抑制、转移和降低风险的一系列控制指令。\n[0032] 本发明还提供一种基于可设定信息安全目标的获得性安全保障系统，该系统包括相互通信连接的以下部件：\n[0033] 分布式网元管控系统、获得性安全保障系统以及安全工作站，其中：\n[0034] (a)所述的安全工作站包含以下组成单元：\n[0035] 配置管理单元，用于配置预期安全目标及配置获得性安全保障系统、分布式网元管控系统和目标网络的运行参数；\n[0036] 监视与预警单元，用于对被监控节点的运行状况的进行监视，以拓扑方式展示全网的概况、发布告警和产生图表；\n[0037] 应急响应单元，用于产生并下发应急指令给获得性安全保障系统；\n[0038] (b)所述的获得性安全保障系统包含以下组成单元：\n[0039] 安全目标量化处理单元，用于根据预期的安全目标，产生基准安全目标模板；根据从目标网络收集到的网络资产特征数据，产生实际安全目标模板；根据所述实际安全目标模板与基准安全目标模板的差异，判断目标网络施加的基础防护系统的合理性；\n[0040] 安全管理与策略执行单元，用于根据所述的安全目标模板，生成安全策略，所述安全策略包括安全措施及动态规则；\n[0041] 监控和审计单元，用于根据已获取的异常事件信息进行分析，判断出威胁源，包括IP地址、服务信息；并判断出已施加的安全措施是否失效；\n[0042] 安全风险与对策管理单元，用于根据审计结果，启动相应的纠正措施，调整已施加的安全机制、和/或安全措施、和/或抑制、转移和降低风险的一系列指令；\n[0043] 数据与事件处理单元，用于处理分布式网元管控系统上报的异常事件，以及信息资产特征数据；并从自身已有的事件流中挖掘出潜在的安全事件；获取资产的运行状态以及资产的特征信息；\n[0044] 风险分析评估单元，用于对异常事件和潜在的安全事件进行威胁识别和量化处理，以确定是否为风险；包含判断事件的主体作用于客体的机密性、完整性和可用性的影响分析和量化度量；已分析出的威胁事件进行风险识别和风险量化，并最终确定的风险等级、和/或风险的危害程度；\n[0045] 安全协同管理单元，用于接受风险分析评估单元下发的应急指令，接受安全工作站下发的应急指令，并将应急指令翻译成配置协议；和/或接受安全工作站的配置信息，翻译成配置协议，所述的配置协议用于改变安全工作站、和/或所管网元的配置属性的一系列指令；\n[0046] (c)所述的分布式网元管控系统包含以下组成单元：\n[0047] 安全检测单元，用于采集目标网络的日志信息与原始数据包，并进行预处理，获取特征数据；和/或主动扫描目标网络的信息资产数据，获取信息资产特征数据；和/或检测目标网络的运行状态信息或流经自身的网络流进行检测，获取异常事件，进行数据预处理后，上报给获得性安全保障系统；和/或接受获得性安全保障系统的控制指令，有选择性地上报给获得性安全保障系统；\n[0048] 访问控制单元，用于接受获得性安全保障系统的访问控制指令，执行网络访问控制；和/或防止非授权使用者的访问；\n[0049] 安全响应单元，用于接受获得性安全保障系统的控制指令，和/或隔离被管控对象、和/或阻隔有害的网络访问、和/或过滤掉有害的数据包、和/或改变安全措施；\n[0050] 安全恢复单元，用于接受获得性安全保障系统的控制指令，强制启动应急恢复机制。\n[0051] 在本发明所述一种基于可设定信息安全目标的获得性安全保障系统中，所述配置预期安全目标，可依据安全调查问卷所获取的结果，至少包括重点保护范围、目标要素及保护强度要素。\n[0052] 在本发明所述一种基于可设定信息安全目标的获得性安全保障系统中，所述的数据预处理是指规整化基本数据，去冗余、时间校准、精度校准；并将规整后的基本数据分别处理，所述的特征数据，是具有固定格式的数据项，至少包括主体、客体、检测时间属性；所述的信息资产数据特征主要包含所在网元的系统信息、硬件信息、主要进程信息、网络连接、服务信息、数据共享信息。\n[0053] 本发明的一种基于可设定信息安全目标的获得性安全保障系统及方法中，安全管理平面与业务平面相对独立，安全控制平面与业务平面共享汇集平面，直接利用现有业务的传输骨干网，避免资源竞争；并通过设定重点保护范围及目标要素形成基准安全目标与实际安全目标进行符合性评估，自适应选择验证性、加固、预防性和抑制性安全渐进过程，通过对业务平面的日志、运行状态和信息资产的采集与预处理、数据管理、事件管理等，获得多角度、多层次的细腻信息和数据，并通过量化威胁分析、量化的风险分析和综合态势分析，细致、刻画了网络拓扑、资产分布、威胁分析与风险分布，以及相应的和安全策略和安全措施分布和部署，全方位地展示整个网络的运行态势，提高了安全管理的有效性和透明度，避免大量的虚警信息，通过应急预案的有限人工参与、和/或安全控制平面的自动执行，提高了安全防护的效率和准确性，提高了业务平面的可管理性、可维护性和安全服务的可持续化。\n附图说明\n[0054] 下面将结合附图及实施例对本发明作进一步说明，附图中：\n[0055] 图1是本发明获得性安全保障系统的应用架构图；\n[0056] 图2是本发明获得性安全保障系统的结构框图；\n[0057] 图3是本发明获得性安全保障方法实施例的流程图。\n具体实施方式\n[0058] 如图1所示，是基于可设定信息安全目标的获得性安全保障系统应用架构图，该系统由安全管理平面、安全控制平面、汇聚平面和业务平面四个平面组成，其中业务平面由基础网10、数据承载网11和业务承载网12组成。基础网可以是公网及专用网，包含ISDN、移动网、虚拟专用网和智能网；数据/业务承载网11、12可以是密级的数据/业务系统、敏感非密级的数据/业务系统和数据/公共无密级的业务系统；汇聚平面13包含业务平面和安全控制平面的汇聚，主要通过骨干网，最佳路由选择，完成业务平面和安全控制平面的各种信息的汇聚。\n[0059] 安全控制平面是一个分布式网元管控系统(SecMS)14，该系统接收汇聚平面传递的各种信息数据，并进行分类、过滤等处理，区分各种流信息(至少包含业务流、事件流)，并上报安全管理平面；该安全控制平面还在收到来自安全管理平面的各种安全控制信息向下进行分发，其中来自安全管理平面的安全控制信息由两部分组成，一部分直接来自安全工作站(SecWS)16，另一部分来自获得性安全保障系统(SecOS)15。\n[0060] 安全管理平面由两个部分组成，一是安全工作站(SecWS)16，二是获得性安全保障系统(SecOS)15。该平面负责整个系统的安全管理与控制，通过接收安全控制平面上报的各种事件信息，与被管理系统进行交互；通过安全工作站与用户和安全管理员进行交互，该平面通过获得性安全保障系统完成各种安全管理与控制的相关计算，并接收安全工作站的实时指令和配置信息，并向安全控制平面发起各种安全控制策略。\n[0061] 其中，直接连接目标网络的分布式网元管控系统(SecMS)14、获得性安全保障系统(SecOS)15以及对可操控的安全工作站(SecWS)16，各系统间相互通信和协同管理，共同构成安全防护网。\n[0062] 如图2所示，是本发明基于可设定信息安全目标的获得性安全保障系统的实例结构框图，该系统包括SecMS_14、SecOS_15以及SecWS_16三大系统。\n[0063] 其中，SecMS_14系统是直接连接目标网络，属于最边缘系统。该系统用于从目标网络获取得原始数据，以及将其它系统下发的控制指令作用到目标网络的节点上，SecMS_14由安全检测单元141、访问控制单元142、安全响应单元143和安全恢复单元144组成。\n[0064] 安全检测单元141用于从目标网络节点上采集到目志以及原始数据包，并进行预处理，获取特征数据；或主动扫描目标网络的信息资产数据，获取信息资产特征数据；或检测目标网络的运行状态信息(或流经自身的网络流进行检测)，获取异常事件，进行数据预处理后，上报给SecOS_15。\n[0065] 其中数据预处理是规整化基本数据，去冗余、时间校准和精度校准；并将规整后的基本数据分别处理；特征数据是具有固定格式的数据项，至少包括主体、客体、检测时间等属性；信息资产数据特征主要包含所在网元的系统信息、硬件信息、主要进程信息、网络连接、服务信息、数据共享信息等。\n[0066] 其中异常事件统一规整为安全事件，安全事件包括主体、客体、检测时间、操作类型、威胁类型、频率、次数、威胁等级等属性。主体的属性包括：网络接口、服务属性(服务名称、端口、服务类型、服务附加属性集)，节点属性(节点编号、节点所属安全域、节点地址集合)，用户属性(用户类别、用户ID、用户IP)，进程属性(进程ID、进程名称、进程参数)；客体的属性包括了主体的所有属性外，还包括文件属性(文件类型、文件名)，操作信息(读、写、调用)，威胁等级信息(高危、中高危、中中危、中低危、低危和提示)。\n[0067] 其中主动扫描是对目标节点或网络发起不同方式的扫描，对扫描结果进行处理后，提取出被监控节点或网络中信息资产的数据，包括主机IP、操作系统(类型、版本)，开放端口、开放服务、运行状态等属性。并对资产数据进行规整。\n[0068] 访问控制单元142用于接受SecOS_15的访问控制指令，执行网络访问控制；和/或防止非授权使用者的访问等，\n[0069] 安全响应单元143用于接受SecOS_15的控制指令，和/或隔离被管控对象、和/或阻隔有害的网络访问、和/或过滤掉有害的数据包、和/或改变安全措施等。\n[0070] 安全恢复单元144用于接受SecOS_15的控制指令，强制启动应急恢复机制(如双机切换)。\n[0071] 分布式网元管控系统(SecMS)14还包含安全认证单元(图中未示出)，用于接收目标网络节点的认证指令，并将该指令转换为内部认证协议，上报给SecOS_16子系统，从而实现目标网络节点与安全网节点间认证。认证指令是由本发明所述系统所约定的消息指令，包括客户端IP、客户端编号、服务端编号等。只有认证成功的节点，才能被本系统所管控。\n[0072] 负责对SecMS上报的事件、预处理后的特征数据以及资产数据进行处理，挖掘出风险；并对来自SecWS的控制指令与配置指令进行处理，转发到安全控制台(SecMS)16上，[0073] 其中，获得性安全保障系统(SecOS)15是核心系统，根据可设定的预期安全目标产生基准安全目标和实际安全目标进行符合性评估，自适应选择和执行验证性、加固、预防性和抑制性安全渐进步骤，从而实现业务应用与安全协同保障的任务，其中，SecOS_15由安全目标量化(Plan)处理单元151、安全管理与策略(Do)152、执行单元监控和审计(Check)单元153、安全风险与对策管理(ACT)单元154、数据与事件处理单元155、风险分析评估单元156和安全协同管理单元157组成。\n[0074] 安全目标量化(Plan)处理单元151，用于根据预期的安全目标，产生基准安全目标模板；根据从目标网络收集到的网络资产特征数据，产生实际安全目标模板。根据所述实际安全目标模板与基准安全目标模板的差异，判断目标网络施加的基础防护系统的合理性。\n[0075] 安全管理与策略(Do)执行单元152，用于根据所述的安全目标模板，生成安全策略，所述安全策略包括安全措施(如检测、防护等)及动态规则。\n[0076] 监控和审计(Check)单元153，用于根据已获取的异常事件信息进行分析，判断出威胁源，包括IP地址、服务信息等；并判断出已施加的安全措施是否失效。\n[0077] 安全风险与对策管理(ACT)单元154，用于根据审计结果，启动相应的纠正措施，调整已施加的安全机制、和/或安全措施、和/或抑制、转移和降低风险的一系列指令。\n[0078] 数据与事件处理单元155，用于处理SecMS_14上报的异常事件，以及信息资产特征数据；并从自身已有的事件流中挖掘出潜在的安全事件；获取资产的运行状态以及资产的特征信息；\n[0079] 风险分析评估单元156，用于对异常事件和潜在的安全事件进行威胁识别和量化处理，以确定是否为风险；包含判断事件的主体作用于客体的机密性(如信息泄露)、完整性(如业务流程和/或数据是否被篡改)和可用性(如业务流程是否被中断)的影响分析和量化度量。对已分析出的威胁事件进行风险识别和风险量化，并最终确定的风险等级、和/或风险的危害程度。\n[0080] 安全协同管理单元157，用于接受风险分析评估单元下发的应急指令，接受SecWS下发的应急指令，并将应急指令翻译成配置协议；和/或接受SecWS的配置信息，翻译成配置协议，所述的配置协议用于改变SecMS_14、和/或所管网元的配置属性的一系列指令。\n[0081] 安全控制台(SecWS)16是设定预期安全目标、安全配置和维护管理终端，为用户提供交互界面，由监视预警单元161，应急响应单元162，和配置管理单元163组成。\n[0082] 监视预警单元161，用于对被监控节点的运行状况的进行监视，以拓扑方式展示全网的概况、发布告警和产生图表，为用户提供简单的过滤、查询与定制操作菜单。\n[0083] 应急响应单元162，针对SecOS_15上报的安全告警，和/或安全事件特征属性，产生应急指令；用户通过此单元的操作界面，直接给SecOS_15下发应急指令。\n[0084] 配置管理单元163，作为用户参与最多的操作界面，提供完整的操作入口，以供用户进行配置管理操作，所述配置管理操作由拓扑图导航，用户点击拓扑图上的任意节点后，自动提供操作此节点的界面，用户的操作指令，最终转换为内部的配置协议，并下发到SecOS15上。\n[0085] 如图3所示，是本发明可设定信息安全目标的获得性安全保障方法实施例的流程图，该方法包括以下步骤：\n[0086] 1.预期(PDCA)安全渐进过程的步骤如下：\n[0087] 步骤A1：通过安全工作站SecWS16设定预期的安全目标，传给SecOS_15；\n[0088] 步骤A2：SecOS_15根据预期的安全目标产生基准安全目标模板，并生成相应的安全策略和控制指令，发给SecMS_15执行。\n[0089] 2.符合性(PDCA)安全渐进过程的步骤如下：\n[0090] 步骤B1：SecOS_15收到SecMS_14上报的目标网络的资产特征数据。\n[0091] 步骤B2：SecOS_15根据目标网络的资产特征数据生成实际安全目标模板。\n[0092] 步骤B3：比较基准安全目标与实际安全目标的差异，评估基准安全目标模板所对应的基础防护的合理性，执行监控与审计后，并根据调整后相应的安全策略和控制指令，发给SecMS_15执行。\n[0093] 3.验证(PDCA)安全渐进过程的步骤如下：\n[0094] 步骤C1：SecOS_15收到SecMS_14上报的目标网络的资产运行状态数据。\n[0095] 步骤C2：SecOS_15根据目标网络的资产运行状态生成实际安全目标模板。\n[0096] 步骤C3：验证实际安全目标所执行的安全措施的有效性，执行监控与审计后，并根据调整后相应的控制指令，发给SecMS_15执行。\n[0097] 4.加固(PDCA)安全渐进过程的步骤如下：\n[0098] 步骤D1：SecOS_15收到SecMS_14上报的事件信息。\n[0099] 步骤D2：SecOS_15执行监控与审计后，并将调整后的相应控制指令，发给SecMS_15执行。\n[0100] 5.预防性(PDCA)安全渐进过程的步骤如下：\n[0101] 步骤E1：SecOS_15根据从SecMS_14已上报的资产运行状态数据和事件信息进行本地分析，判断出潜在安全事件，并进行威胁量化处理，最后产生预警信息。\n[0102] 步骤E2：SecOS_15将预警信息上报给SecWS_14。\n[0103] 6.抑制性(PDCA)安全渐进过程的步骤如下：\n[0104] 步骤F1：SecOS_15根据从SecMS_14已上报的异常事件和已判断出的潜在安全事件进行风险态势评估。\n[0105] 步骤F2：SecOS_15将依据态势评估的结果转化成控制命令，下发给SecMS_16。\n[0106] 7.手动(PCA)安全渐进过程的步骤如下：\n[0107] 步骤G1：用户根据SecWS_14上的安全预警信息手动产生配置命令，并下发给SecOS_15。\n[0108] 该步骤还可以为G1：用户在SecWS_14上直接启动应急预案。\n[0109] 8.应急(PA)安全渐进过程的步骤如下：\n[0110] 步骤H1：SecWS_14依据收到的预警自动启动应急预案，转化成控制指令，下发给SecOS_15。\n[0111] 以上步骤还包含安全认证步骤，所在安全管理域内的资产实体10、11、12、13都是通过注册在获得性安全保障系统(SecOS)15中，所有的实体都必须通过获得性安全保障系统(SecOS)15的强制访问控制，只有通过认证为合法的操作才允许执行。\n[0112] 以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。