本发明涉及计算机,具体而言,涉及一种商用密码应用合规性评估方法及装置。
背景技术:
1、《中华人民共和国密码法》明确规定,关键信息基础设施须使用商用密码进行保护,并开展商用密码应用安全性评估。目前,我国商用密码产业化发展较快,在技术创新、产品供给、制度建设等方面取得了突出进展,但大部分建设中和运行中的信息系统存在诸多的商用密码应用不规范的问题:
2、(1)商用密码“应用未用”:我国网络的整体安全防护能力仍然十分脆弱,大量网络数据、网络设备、信息系统处于“裸奔”状态,没有使用密码技术保护;
3、(2)商用密码应用不规范:部分单位重信息化建设、轻信息安全保护,信息系统密码使用不规范、不正确,在密钥管理、密码系统运行维护等方面存在风险;
4、(3)商用密码应用不安全:在电子政务、电子商务、金融、移动互联网领域,现有大量信息系统仍然在使用md5、sha-1、rsa-512、rsa-1024、数据加密标准(data encryptionstandard,des)等已被警示有安全风险的商用密码算法。
技术实现思路
1、鉴于此,本发明提出了一种商用密码应用合规性评估方法及装置,旨在解决现有商用密码应用不规范的问题。
2、第一方面,本发明实施例提供了一种商用密码应用合规性评估方法,包括:获取录入数据和流量数据;将所述录入数据和流量数据发送至消息列队;从所述消息列队中取出日志数据,并根据所述日志数据,得到被监测信息系统的基本信息和密评信息;对所述基本信息和密评信息进行合规性评估,得到并输出评估结果。
3、进一步地,所述流量数据采用如下方式得到:利用日志采集工具采集被监测信息系统的流量数据。
4、进一步地,所述获取录入数据和流量数据之后,还包括:将所述录入数据和流量数据发送至搜索服务器。
5、进一步地,对所述基本信息和密评信息进行合规性评估,得到并输出评估结果,包括:对于可量化的合规性评估规则,根据预设量化规则,对所述基本信息和密评信息进行评估,得到可量化评估结果,以及对于不可量化的合规性评估规则,采用预先构建及训练得到的智能模型对所述基本信息和密评信息进行评估,得到不可量化评估结果。
6、进一步地,对于可量化的合规性评估规则,根据预设量化规则,对所述基本信息和密评信息进行评估,得到可量化评估结果,包括:对于可量化的合规性评估规则,判断所述基本信息和密评信息是否符合预设量化规则,并将判断结果作为可量化评估结果。
7、进一步地,所述智能模型包括卷积神经网络和循环神经网络。
8、进一步地,该商用密码应用合规性评估方法,还包括:对于所述评估结果中不合规的内容,发出告警信息。
9、进一步地,该商用密码应用合规性评估方法,还包括:反馈所述评估结果中误报的不合规的内容,以用于修正所述预设量化规则和/或所述智能模型。
10、第二方面,本发明实施例还提供了一种商用密码应用合规性评估装置,包括:获取单元,用于获取录入数据和流量数据;发送单元,用于将所述录入数据和流量数据发送至消息列队;处理单元,用于从所述消息列队中取出日志数据,并根据所述日志数据,得到被监测信息系统的基本信息和密评信息;评估单元,用于对所述基本信息和密评信息进行合规性评估,得到并输出评估结果。
11、进一步地,流量数据采用如下方式得到:利用日志采集工具采集被监测信息系统的流量数据。
12、进一步地,发送单元,还用于:将录入数据和流量数据发送至搜索服务器。
13、进一步地,评估单元,还用于:对于可量化的合规性评估规则,根据预设量化规则,对基本信息和密评信息进行评估,得到可量化评估结果,以及对于不可量化的合规性评估规则,采用预先构建及训练得到的智能模型对基本信息和密评信息进行评估,得到不可量化评估结果。
14、进一步地,对于可量化的合规性评估规则,根据预设量化规则,对基本信息和密评信息进行评估,得到可量化评估结果,包括:对于可量化的合规性评估规则,判断基本信息和密评信息是否符合预设量化规则,并将判断结果作为可量化评估结果。
15、进一步地,智能模型包括卷积神经网络和循环神经网络。
16、进一步地,该商用密码应用合规性评估装置,还包括:告警单元,用于对于评估结果中不合规的内容,发出告警信息。
17、进一步地,该商用密码应用合规性评估装置,还包括:反馈单元,用于反馈评估结果中误报的不合规的内容,以用于修正预设量化规则和/或智能模型。
18、第三方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时,实现上述各实施例提供的商用密码应用合规性评估方法。
19、第四方面,本发明实施例还提供了一种电子设备,包括:处理器;用于存储所述处理器可执行指令的存储器;所述处理器,用于从所述存储器中读取所述可执行指令,并执行所述指令以实现上述各实施例提供的商用密码应用合规性评估方法。
20、本发明实施例提供的商用密码应用合规性评估方法及装置,通过将录入数据和流量数据发送至消息列队,从消息列队中取出日志数据,并根据日志数据,得到被监测信息系统的基本信息和密评信息,以及对基本信息和密评信息进行合规性评估,可以实现实时准确地对商用密码应用合规性评估,基于评估结果,一方面可及时通知信息系统运营方进行纠正,另一方面确保密码相关部门对辖区内信息系统关于商用密码应用的总体情况的掌握,从而方便商用密码监管工作的开展。
21、本发明一些实施例提供的商用密码应用合规性评估方法及装置,基于多agent模式,即“多探针+平台”的模式,进行商用密码应用监测,具备良好的模块性,易于扩展,设计灵活简单等特点;同时也融入消息队列、缓存、日志搜索引擎等主流技术,保证系统整体的实时性、高性能和高可用;并且,从密码算法实现的正确性、密钥的完整性、产品功能正确性、传输协议安全性、产品资质情况、密码使用情况等多个角度出发,全方位开展商用密码应用合规性评估,并引入误报库,通过用户对检测结果的反馈,不断优化合规性评估规则,确保评估结果的客观性、准确性。
1.一种商用密码应用合规性评估方法,其特征在于,包括:
2.根据权利要求1所述的商用密码应用合规性评估方法,其特征在于,所述流量数据采用如下方式得到:
3.根据权利要求1所述的商用密码应用合规性评估方法,其特征在于,所述获取录入数据和流量数据之后,还包括:
4.根据权利要求1所述的商用密码应用合规性评估方法,其特征在于,对所述基本信息和密评信息进行合规性评估,得到并输出评估结果,包括:
5.根据权利要求4所述的商用密码应用合规性评估方法,其特征在于,对于可量化的合规性评估规则,根据预设量化规则,对所述基本信息和密评信息进行评估,得到可量化评估结果,包括:
6.根据权利要求4所述的商用密码应用合规性评估方法,其特征在于,所述智能模型包括卷积神经网络和循环神经网络。
7.根据权利要求1所述的商用密码应用合规性评估方法,其特征在于,还包括:
8.根据权利要求4所述的商用密码应用合规性评估方法,其特征在于,还包括:
9.一种商用密码应用合规性评估装置,其特征在于,包括:
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时,实现权利要求1-8任一所述的商用密码应用合规性评估方法。