多信息安全软件的信息安全管理系统的制作方法

1.本发明涉及一种端点安全(endpoint security)系统，特别是涉及一种多信息安全软件的信息安全管理系统。


背景技术：

2.由于信息安全(information security)是企业成功以及持续营运的基础，信息安全考虑在企业中越来越受到重视。而对应于信息安全所涉及到的诸多环节，信息安全软件也越来越多种选择，例如：防毒、资产管理(asset management)。此外，企业在考虑信息安全的情况下，可能还会购买不同公司所开发的信息安全软件。各个种类的信息安全软件会有所属的第三方信息安全管理控制台(management console)，以便于一并管理。
3.随着信息安全软件的种类布署越多的情况下，可能衍生出问题。因为不同的信息安全软件只会各自提供自身的相关信息，而存在有信息统合的议题。
4.举例而言，一般信息安全软件的更新会修补先前版本的漏洞，因此，将端点装置(endpoint)所安装的信息安全软件保持在最新版本能降低攻击成功的可能性。然而，因为信息没有统合于一处，管理者需一一在多个第三方信息安全管理控制台中确认所有的端点装置各自安装的信息安全软件是否为最新版本，而造成管理者管理上的麻烦。如有长久未更新的信息安全软件，不论是归因于端点装置的用户疏于更新，还是开发公司停止产品的支持，皆会对信息安全带来重大的威胁。


技术实现要素：

5.因此，本发明的目的即在提供一种多信息安全软件的信息安全管理系统，能将多个端点装置所安装的多种信息安全软件的信息统合于一处，以利于管理者进行管理。
6.本发明为解决现有技术的问题所采用的技术手段为提供一种多信息安全软件的信息安全管理系统，为应用于具有多数个端点装置的网络环境中，各个该端点装置安装有至少一个种类的信息安全软件，而在多数个该端点装置安装有多数个种类的该信息安全软件，一个种类的该信息安全软件为受一个第三方信息安全管理控制台所管理控制，该端点装置信息连接于所安装的该信息安全软件对应的该第三方信息安全管理控制台，该多信息安全软件的信息安全管理系统包含：一数据收集模块，经配置而自多数个该第三方信息安全管理控制台中的一第三方软件数据库收集信息安全数据库信息，该信息安全数据库信息包括该信息连接于第三方信息安全管理控制台的该端点装置的端点装置地址信息及信息安全软件信息；一整合分析模块，连接于该数据收集模块，将该信息安全数据库信息予以整合而建立一整合管理名单，该整合管理名单包括该端点装置地址信息及该信息安全软件信息；一规范检查模块，连接于该整合分析模块，对于该整合管理名单中的各个该端点装置的该信息安全软件信息检查是否符合设定的一信息安全政策规范，而建立一违规名单，该违规名单包括不符该信息安全政策规范的该端点装置的该端点装置地址信息；以及一网络阻断模块，连接于该规范检查模块，依据该违规名单中的该端点装置地址信息而对于对应的
该端点装置阻断网络。
7.在本发明的一实施例中为提供一种多信息安全软件的信息安全管理系统，该违规名单包括一违规时间信息，该网络阻断模块依据该违规时间信息的违规时间长度而以对应的阻断网络模式对于对应的该端点装置阻断网络。
8.在本发明的一实施例中为提供一种多信息安全软件的信息安全管理系统，该阻断网络模式包括永久阻断以及干扰式阻断。
9.在本发明的一实施例中为提供一种多信息安全软件的信息安全管理系统，该规范检查模块对于该整合管理名单中的各个该端点装置定时检查是否符合设定的该信息安全政策规范。
10.在本发明的一实施例中为提供一种多信息安全软件的信息安全管理系统，该网络阻断模块对于该端点装置阻断网络的一阻断时间，小于该网络阻断模块对于该违规名单中的该端点装置的一定时阻挡检查的一阻挡检查间隔。
11.在本发明的一实施例中为提供一种多信息安全软件的信息安全管理系统，该端点装置地址信息为ip地址及/或mac地址。
12.在本发明的一实施例中为提供一种多信息安全软件的信息安全管理系统，该信息安全软件信息包含信息安全软件版本信息，该规范检查模块对于该信息安全软件版本信息检查是否符合该信息安全政策规范。
13.经由本发明的多信息安全软件的信息安全管理系统所采用的技术手段，通过多信息安全软件的信息安全管理系统整多个第三方信息安全管理控制台的该信息安全数据库信息，而能一并检测所有的端点装置是否符合所设定的信息安全政策规范。因此，管理者无须在多个第三方信息安全管理控制台上一一检查各个端点装置是否符合所设定的信息安全政策规范。再者，在有特定端点装置不符合信息安全政策规范时，网络阻断模块会对于该端点装置阻断网络，以使信息安全较脆落的环节免于受外来的威胁，进而提升多个端点装置整体的安全性。
附图说明
14.图1为显示根据本发明的一实施例的多信息安全软件的信息安全管理系统的方块示意图。
15.图2为显示根据本发明的实施例的多信息安全软件的信息安全管理系统所应用的网络环境的示意图。
16.图3为显示根据本发明的实施例的多信息安全软件的信息安全管理系统于运作时的流程示意图。
17.图4为显示根据本发明的实施例的多信息安全软件的信息安全管理系统的规范检查模块检查各个端点装置的流程示意图。
18.图5为显示根据本发明的实施例的多信息安全软件的信息安全管理系统的网络阻断模块执行网络阻挡的流程示意图。
19.附图标记
20.100
ꢀꢀꢀ
多信息安全软件的信息安全管理系统
[0021]1ꢀꢀꢀꢀꢀ
数据收集模块
[0022]2ꢀꢀꢀꢀꢀ
整合分析模块
[0023]3ꢀꢀꢀꢀꢀ
规范检查模块
[0024]4ꢀꢀꢀꢀꢀ
网络阻断模块
[0025]
c1
ꢀꢀꢀꢀ
第三方信息安全管理控制台
[0026]
c2
ꢀꢀꢀꢀ
第三方信息安全管理控制台
[0027]
c3
ꢀꢀꢀꢀ
第三方信息安全管理控制台
[0028]
d1
ꢀꢀꢀꢀ
第三方软件数据库
[0029]
d2
ꢀꢀꢀꢀ
第三方软件数据库
[0030]
d3
ꢀꢀꢀꢀ
第三方软件数据库
[0031]
e1
ꢀꢀꢀꢀ
端点装置
[0032]
e2
ꢀꢀꢀꢀ
端点装置
[0033]
e3
ꢀꢀꢀꢀ
端点装置
[0034]nꢀꢀꢀꢀꢀ
网络设备
具体实施方式
[0035]
以下根据图1至图5，而说明本发明的实施方式。该说明并非为限制本发明的实施方式，而为本发明的实施例的一种。
[0036]
如图1所示，依据本发明的一实施例的一多信息安全软件的信息安全管理系统100包含：一数据收集模块1、一整合分析模块2、一规范检查模块3以及一网络阻断模块4。
[0037]
如图1及图2所示，多信息安全软件的信息安全管理系统100为应用于具有多数个端点装置e1、e2、e3的网络环境中，各个端点装置e1、e2、e3分别安装有至少一个种类的信息安全软件，而在多数个端点装置e1、e2、e3安装有多数个种类的信息安全软件。其中，网络环境为企业内部网络。信息安全软件可以是指具有防毒、防火墙、资产管理、电子邮件安全防护、入侵检测(intrusion detection)、身分与存取管理(identity and access management)
……
等功能的软件，或者是包含前述的多个功能的软件包。
[0038]
一个第三方信息安全管理控制台管理控制一个种类的信息安全软件。在本实施例中，如图2所示，共有三个第三方信息安全管理控制台c1、c2、c3，分别控制端点装置e1、e2、e3所安装的三种信息安全软件。第三方信息安全管理控制台c1管理第一套信息安全软件。第三方信息安全管理控制台c2管理第二套信息安全软件。第三方信息安全管理控制台c3管理第三套信息安全软件。
[0039]
各个端点装置e1、e2、e3信息连接于所安装的信息安全软件对应的第三方信息安全管理控制台c1、c2、c3。举例而言，如图1所示，端点装置e1安装有第一套及第三套信息安全软件，而连接于第三方信息安全管理控制台c1、c3。端点装置e2安装有第一套、第二套及第三套信息安全软件，而连接于第三方信息安全管理控制台c1、c2、c3。端点装置e3安装有第一套及第二套信息安全软件，而连接于第三方信息安全管理控制台c1、c2。因此，第三方信息安全管理控制台c1能接收到端点装置e1、e2的端点装置地址信息及信息安全软件信息。第三方信息安全管理控制台c2能接收到端点装置e2、e3的端点装置地址信息及信息安全软件信息。第三方信息安全管理控制台c3能接收到端点装置e1、e2、e3的端点装置地址信息及信息安全软件信息。第三方信息安全管理控制台c1、c2、c3将接收到的端点装置地址信
息及信息安全软件信息存入各自的第三方软件数据库d1、d2、d3中。
[0040]
如图1及图3所示，数据收集模块1为信息连接于所有的第三方信息安全管理控制台c1、c2、c3，而自第三方信息安全管理控制台c1、c2、c3中的第三方软件数据库d1、d2、d3收集信息安全数据库信息。信息安全数据库信息包括信息连接于第三方信息安全管理控制台的端点装置的端点装置地址信息及信息安全软件信息。在本实施例中，如图3所示，数据收集模块1为定时存取第三方信息安全管理控制台c1、c2、c3，而收集端点装置地址信息及信息安全数据库信息。
[0041]
如图1及图3所示，数据收集模块1所收集到的端点装置地址信息为依据来源的第三方信息安全管理控制台c1、c2、c3，而非必然统一为ip地址、mac地址或二者皆有。举例而言，来自第三方信息安全管理控制台c1的端点装置地址信息为端点装置e1、e2的ip地址。来自第三方信息安全管理控制台c2、c3的端点装置地址信息为端点装置e1、e2、e3的mac地址。
[0042]
整合分析模块2连接于数据收集模块1，将信息安全数据库信息予以整合而建立一整合管理名单，整合管理名单包括端点装置地址信息及信息安全软件信息。详细而言，整合分析模块2依据ip地址及mac地址的对应关系表，而将数据收集模块1所收集到的端点装置地址信息进行整合，使得对应到同一个端点装置e1、e2、e3的多笔信息安全数据库信息合并成一笔信息。因此，管理者无须一一到多个第三方信息安全管理控制台e1、e2、e3上检查各个端点装置e1、e2、e3的三种信息安全软件是否都符合所设定的信息安全政策规范。
[0043]
在本实施例中，整合管理名单的端点装置地址信息为ip地址及mac地址的组合。而在其他实施例中，整合管理名单的端点装置地址信息也可统一为ip地址或统一为mac地址。
[0044]
在整合管理名单中，每一个端点装置e1、e2、e3皆有对应的信息安全软件信息。信息安全软件信息可以包含信息安全软件名称信息、信息安全软件版本信息、病毒特征版本信息、授权信息等的信息。信息安全数据库信息的数据字段会依加入第三方软件数据库而动态增加。
[0045]
除此之外，整合管理名单也可以包含计算机名称信息，以协助端点装置地址信息的整合及协助管理者进行辨识端点装置e1、e2、e3。
[0046]
如图1及图2所示，依据本发明的实施例的多信息安全软件的信息安全管理系统100，规范检查模块3连接于整合分析模块2。规范检查模块3定时检查整合管理名单中的各个端点装置的信息安全软件信息是否符合设定的一信息安全政策规范(information securitypolicy)，而建立一违规名单。违规名单包括不符信息安全政策规范的端点装置的端点装置地址信息。
[0047]
信息安全政策规范为对于信息安全软件信息的政策规范。举例而言，信息安全政策规范规定信息安全软件版本信息须为最新版本，规范检查模块3会检查各个端点装置e1、e2、e3的任一信息安全软件的信息安全软件版本信息是否为最新版本，在特定的端点装置的信息安全软件不是最新版本时，将违规的端点装置所对应的端点装置地址信息加入违规名单。
[0048]
在本实施例中，违规名单还包括违规时间信息，如第4图所示，违规时间信息的违规时间长度分成三个区间：7天以下、7天至30天、超过30天。规范检查模块3将在违规7天以下的端点装置的安全等级设为灰色；将违规7天至30天的端点装置的安全等级设为橘色；将违规超过30天的端点装置的安全等级设为红色，以利于管理者进行管理。当然，在其他实施
例中，违规时间分界的长度及数量不限于此，或者是也可以没有分界。
[0049]
如图1及图5所示，依据本发明的实施例的多信息安全软件的信息安全管理系统100，网络阻断模块4连接于规范检查模块3。网络阻断模块4依据违规名单中的端点装置地址信息而对于对应的端点装置阻断网络。在本实施例中，网络阻断模块4的网络阻挡检查为定时执行，网络阻断模块4依据违规时间信息的违规时间长度而以对应的阻断网络模式对于违规的端点装置阻断网络。而在其他实施例中，网络阻断模块4也可以是依据其他的违规严重程度(例如病毒特征版本信息不符比信息安全软件版本信息不符严重)或其他条件，而以对应的阻断网络模式对于违规的端点装置阻断网络。或者是无关于任何条件(例如违规时间长度)，网络阻断模块4以单一种阻断网络模式而立即对于违规的端点装置阻断网络。网络阻断模块4的网络阻挡检查也可以是在违规名单新增违规的端点装置所对应的端点装置地址信息时立即执行。
[0050]
在本实施例中，阻断网络模式包括永久阻断以及干扰式阻断。其中，永久阻断是网络阻断模块4持续阻断网络，直到管理者解除，或是在端点装置e1、e2、e3的信息安全软件信息符合信息安全政策规范时由多信息安全软件之信息安全管理系统100解除。干扰式阻断则是由网络阻断模块4对于违规名单中的端点装置阻断网络的一阻断时间，阻断时间小于网络阻断模块4对于违规名单中的端点装置的定时阻挡检查的阻挡检查间隔，使得违规的端点装置间歇地中断网络，以提醒及促使端点装置的用户排除违规情况。而在阻断网络模式仅有一种的实施例中，阻断网络模式可为永久阻断或干扰式阻断的其中一种。
[0051]
如图5所示，违规名单中的端点装置的违规时间长度为30天以下(安全等级为橘色或灰色)者，采用干扰式阻断；违规时间长度为超过30天(安全等级为红色)者，采用永久阻断。通过先采用干扰式阻断而后采用永久阻断的方式，能给予违规的端点装置的用户足够时间排除违规情况。
[0052]
如图1所示，网络阻断模块4连接于网络设备n。网络设备n可以是路由器、防火墙或交换器。网络阻断模块4控制网络设备n以使得违规的端点装置的网络阻断。举例而言，端点装置e1为违规，网络阻断模块4阻断端点装置e1的网络的方式可以是阻断连外网络而仅能连接企业内部网络，以避免外部针对端点装置e1之漏洞的攻击，进而提升端点装置e1、e2、e3整体的安全性。当然，网络阻断模块4阻断网络的方式也可以是阻断所有网络、除了白名单的设备以外阻断联机
……
等，皆有提升端点装置e1、e2、e3整体的安全性的效果。
[0053]
以上的叙述以及说明仅为本发明的较佳实施例的说明，对于此项技术具有本领域技术人员当可依据以上所界定的保护范围以及上述的说明而作其他的修改，只是这些修改仍应是为本发明的发明精神而在本发明的保护范围中。