具体实施方式

下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。

另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部内容。在更加详细地讨论示例性实施例之前应当提到的是，一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作(或步骤)描述成顺序的处理，但是其中的许多操作可以被并行地、并发地或者同时实施。此外，各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止，但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。

实施例一

图1是本发明实施例一提供的一种信息安全监控系统的示意图，本实施例提供的信息安全监控系统可适用于对目标信息系统进行信息安全监控的情况，可以由软件和/或硬件的方式来实现，并一般可集成在计算机设备中。相应的，如图1所示，该信息安全监控系统，包括：风险识别模块110和安全防护模块120，风险识别模块110与安全防护模块120之间保持通信连接。

其中，风险识别模块110，用于获取目标信息系统中的风险关联信息，并将风险关联信息提供至安全防护模块120。安全防护模块120，用于根据风险关联信息进行防护参数配置，并在完成防护参数配置后对目标信息系统进行信息安全防护。

具体的，目标信息系统可以是需要进行信息安全管理的任意系统，例如可以包括企业内部使用的信息库或关键信息基础设施等。风险关联信息可以是与目标信息系统的信息安全情况相关的任意信息。防护参数配置可以是对安全防护模块120的工作参数进行配置的操作，安全防护模块120的工作参数可以限定安全防护模块120的具体功能与性能。信息安全防护可以是避免目标信息系统中的信息面临安全风险的操作。

相应的，通过风险识别模块110可以获取目标信息系统中的风险关联信息。可选的，风险关联信息可以包括但不限于目标信息系统中的信息资产、安全漏洞、口令和操作行为规律基线中的至少一项；对应的，风险识别模块110，具体可以用于对目标信息系统进行资产绘制、漏洞扫描、弱口令检测和基线管理中的至少一项。

其中，信息资产可以包括目标信息系统中的信息资源，资产绘制可以是对目标信息系统的信息资产进行统计并得到统计结果的操作。安全漏洞可以包括目标信息系统在安全策略上存在的缺陷的信息，漏洞扫描可以是对目标信息系统的安全策略缺陷进行检测的操作。口令可以是目标信息系统中的密码，弱口令检测可以是对于目标信息系统中容易被猜解的密码进行检测的操作。操作行为规律基线可以是安全状态的操作行为规律的配置，基线管理可以是根据操作行为规律基线对配置项进行管理的操作。

进一步的，通过风险识别模块110可以将获取到的风险关联信息提供至安全防护模块120，从而安全防护模块120可以根据风险关联信息确定目标信息系统的信息安全情况，并针对该信息安全情况进行防护参数配置。因此，完成所述防护参数配置后的安全防护模块120可以针对目标信息系统的信息安全情况进行信息安全防护。

可选的，信息安全防护可以包括但不限于身份与权限管理、VPN(Virtual PrivateNetwork，虚拟专用网络)、数据防泄漏、WAF(Web Application Firewall，网站应用防护系统)、防火墙、入侵检测、访问控制、负载均衡和EDR(Endpoint Detection and Response，端点检测与响应防护系统)终端安全防护中的至少一项。

其中，身份与权限管理可以包括对访问目标信息系统的用户进行身份注册或验证、和/或对用户的操作权限进行验证或修改等。VPN可以建立专用网络进行加密通信。数据防泄漏可以防止目标信息系统中的信息被非法获取。WAF可以通过执行针对HTTP/HTTPS(HyperText Transfer Protocol/Hyper Text Transfer Protocol over Secure SocketLayer，超文本传输协议/超文本传输安全协议)的安全策略为网站应用提供保护。防火墙可以在目标信息系统与外部网络之间提供安全网关，从而保护目标信息系统免受非法网络用户的侵入。入侵检测可以根据目标信息系统的若干关键点信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。访问控制可以按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用。负载均衡可以将目标信息系统的访问流量分发至多个服务器，以将负载分摊至多个服务器的操作单元运行。EDR终端安全防护可以监测对目标信息系统的操作是否超越安全基线。

在本发明的一个可选实施例中，基于网络功能虚拟化NFV技术，旁路部署于所述目标信息系统的通用设备的主流量出入口，并实现模块间通信连接。

具体的，NFV(Network Functions Virtualization，网络功能虚拟化)技术，可以将许多类型的网络设备，例如可以包括路由器、防火墙、网关等，构建为一个数据中心网络，通过借用虚拟化技术虚拟化形成虚拟机，然后将业务部署到虚拟机上。旁路部署仅对流量进行统计、扫描或者记录，并不对流量进行转发，同时，网络流量也不会受到旁路部署的系统的影响。目标信息系统的通用设备可以是目标信息系统中与各设备均保持通信连接的设备，例如可以是X86架构的服务器。主流量出入口可以是在通用设备进行通信时主要的流量交互接口，例如可以是与核心交换机连接的接口。

相应的，可以基于NFV技术在通用设备中虚拟化创建信息安全监控系统的各模块，可以包括风险识别模块110、安全防护模块120或其他任意系统中集成的模块，并基于NFV技术，根据安全管理业务流程建立模块之间的通信连接，最终旁路部署到主流量出入口，以使信息安全监控系统的各模块对目标信息系统进行安全管理业务。

示例性的，图2为本发明实施例提供的一种信息安全监控系统部署方式的示意图。如图2所示，在一个具体的例子中，目标信息系统为关键信息基础设施，包括运维区设备、办公区设备和数据中心设备，并通过核心交换机连接到互联网。关键信息基础设施防护装置则可以部署在通用设备上，通过旁路部署的方式与核心交换机联动进行对数据中心的安全防护。示例性的，当发生安全事件时，下发指令给核心交换机进行IP(Internet Protocol，互联网协议)地址的封堵，进行对应的安全防护。

可选的，可以在通用设备上安装KVM(Kernel-based Virtual Machine，基于内核的虚拟机)虚拟化平台管理软件，虚拟出信息安全监控系统的全部安全服务模块，并通过NFV技术，完成业务流程编排，实现模块之间的通信连接，最后，将系统旁路部署到目标信息系统的主流量出入口。

上述实施方式将信息安全监控系统进行虚拟化实现，无需依赖专用的硬件设备，从而节约硬件资源、简化硬件网络架构，同时可以实现快速部署，方便安全管理功能的拓展，提升系统兼容性。

本发明实施例提供了一种信息安全监控系统，通过在信息安全监控系统中部署风险识别模块和安全防护模块，通过风险识别模块获取目标信息系统中的风险关联信息，并根据风险关联信息进行安全防护模块的防护参数配置，通过完成防护参数配置后的安全防护模块对目标信息系统进行信息安全防护，实现信息安全监控系统针对目标信息系统的个性化、集成式部署以及灵活更新与扩展，提升其稳定性和运营维护便捷性。

实施例二

图3为本发明实施例二提供的一种信息安全监控系统的示意图。如图3所示，在上述实施例的基础上，本实施例对信息安全监控系统的内部架构进行拓展，将信息安全监控系统的进一步拓展为包括：风险识别模块210、安全防护模块220、安全监测模块230和响应恢复模块240。

其中，安全监测模块230与响应恢复模块240保持通信连接。安全监测模块230，用于监测所述目标信息系统中发生的信息风险事件。响应恢复模块240，用于对所述信息风险事件进行响应恢复处理。

具体的，信息风险事件可以是目标信息系统中发生的导致信息面临丢失、泄露或被篡改等风险的事件。响应恢复处理可以是针对信息风险事件中的可疑终端进行治理并对目标信息系统的信息安全环境进行恢复的操作。

相应的，安全监测模块230可以对目标信息系统中的行为进行实时监测，从而可以在发生信息风险事件时唤起响应恢复模块240，从而通过响应恢复模块240对信息风险事件进行响应恢复处理，以减少信息风险事件对目标信息系统造成的损失。

可选的，安全监测模块230监测所述目标信息系统中发生的信息风险事件，具体可以包括但不限于：对目标信息系统进行病毒防范、攻击诱捕、明文监测、部署堡垒机和网页防篡改中的至少一种。

其中，病毒防范可以是对入侵目标信息系统的任意网络病毒进行实时监测。攻击诱捕可以通过伪装引诱潜在的系统攻击者发起攻击，从而收集攻击者画像便于后期溯源。明文监测可以是对通信流量数据中的明文信息进行的实时监测。堡垒机可以监控和记录运维人员对目标信息系统网络内的服务器、网络设备、安全设备和数据库等设备的操作行为，以便集中报警、及时处理及审计定责。网页防篡改可以防止Web网页被非法篡改。

在本发明的一个可选实施例中，安全监测模块230，具体可以用于：对所述目标信息系统的核心流量进行实时解析，得到流量解析结果；在根据所述流量解析结果确定发生所述信息风险事件的情况下，对所述信息风险事件进行溯源，并将溯源结果提供至响应恢复模块240；响应恢复模块240，具体可以用于：根据所述溯源结果，向所述目标信息系统发送封堵指令。

其中，核心流量可以是对目标信息系统中的信息资源进行任意操作所产生的流量。实时解析可以是根据核心流量确定对目标信息系统中的信息资源的操作内容的操作。流量解析结果可以包括对目标信息系统中的信息资源的操作内容。对信息风险事件进行溯源可以是确定信息风险事件的执行者的操作。溯源结果可以包括对信息风险事件的执行者进行标识的信息。封堵指令可以是用于控制目标信息系统对IP地址的访问权限进行限制的操作。

相应的，安全监测模块230可以实时采集目标信息系统的目标信息系统的核心流量，并对采集到的核心流量进行实时解析，得到流量解析结果。当根据流量解析结果，确定核心流量中包括任意信息风险事件所产生的流量时，可以确定发生了该信息风险事件，从而安全监测模块230可以获取该信息风险事件的执行者的标识信息，例如可以是通过攻击诱捕得到的该执行者的IP地址，得到溯源结果并提供至响应恢复模块240。

进一步的，响应恢复模块240可以根据安全监测模块230提供的溯源结果，向目标信息系统发送封堵指令，以使目标信息系统将信息风险事件的执行者的IP地址进行封堵，避免该执行者继续访问目标信息系统，导致信息面临风险。

在本发明的一个可选实施例中，安全监测模块230，还可以用于：对监测到的所述信息风险事件进行审计。

其中，对信息风险事件进行审计可以是收集信息风险事件的相关信息并进行记录的操作。

相应的，安全监测模块230在监测到信息风险事件后，可以获取信息风险事件的相关信息，例如可以包括信息风险事件的执行者的相关信息、涉及到的信息资产的相关信息、以及其对应的原始流量等，将获取到的信息进行记录，例如可以是存储为安全监测日志，从而可以记录目标信息系统中发生的信息风险事件，以供工作人员进行统计复盘或制定相关的安全策略等。

在本发明的一个可选实施例中，所述系统还可以包括统一接口模块，可以用于将所述信息风险事件的审计结果上报至所述目标信息系统对应的监管单位系统。

其中，信息风险事件的审计结果可以是对信息风险事件的相关信息进行记录而生成的信息。监管单位系统可以是目标信息系统的运维方所使用的系统。

相应的，得到信息风险事件的审计结果，可以通过统一接口模块上报至目标信息系统对应的监管单位系统，以使目标信息系统运维方的工作人员可以通过监管单位系统获取审计结果中的信息风险事件相关信息，从而得知目标信息系统的信息安全情况。

可选的，统一接口模块可以与所述监管单位系统的API(ApplicationProgramming Interface，应用程序编程接口)保持通信连接，从而通过API接口将信息风险事件的审计结果上报至所述监管单位系统。

上述实施方式通过部署统一接口模块，实现信息安全监控系统与目标信息系统运维方的数据联动，便于运维方实时获取信息安全情况。

在本发明的一个可选实施例中，所述系统还可以包括交互门户模块，可以用于接收合法登录用户输入的交互管理信息，并根据所述交互管理信息对所述信息安全监控系统进行管理信息配置。

其中，合法登录用户可以是具有对目标信息系统进行信息安全监控的权限的用户。交互管理信息可以是用户输入的针对目标信心系统，对信息安全监控系统的工作参数进行配置的信息。管理信息配置可以是对信息安全监控系统的工作参数进行配置的操作。

相应的，交互门户模块可以与用户进行信息交互，合法登录用户可以根据需要确定交互管理信息，并输入至交互门户模块。交互门户模块接收到交互管理信息，则可以根据交互管理信息对系统进行管理信息配置，以使信息安全监控系统可以满足合法登录用户的信息安全管理需求。

在本发明的一个可选实施例中，所述系统还可以包括内部管理模块；所述交互门户模块与所述内部管理模块保持通信连接，还用于接收登录请求用户输入的权限认证信息，并将所述权限认证信息提供至所述内部管理模块；所述内部管理模块，用于对所述权限认证信息进行登录权限认证，并在确定所述权限认证信息通过所述登录权限认证的情况下，确定所述登录请求用户为所述合法登录用户。

其中，登录请求用户可以是请求登录至信息安全监控系统的用户。权限认证信息可以是用于标识登录请求用户的身份的信息。登陆权限认证可以是判断权限认证信息标识的用户是否具有对目标信息系统进行信息安全监控的权限的操作。

相应的，需要登录信息安全监控系统的用户可以通过交互门户模块输入其权限认证信息，从而通过交互门户模块将权限认证信息提供至内部管理模块进行登录权限认证。内部管理模块可以根据其中预先部署的权限管理策略，对权限认证信息进行登录权限认证。若确定权限认证信息通过登录权限认证，则可以确定登录请求用户为合法登录用户。

在本发明的一个可选实施例中，所述交互门户模块与安全监测模块230保持通信连接，还用于对安全监测模块230监测到的所述信息风险事件进行展示。

相应的，安全检测模块在监测到信息风险事件时，可以将信息风险事件的相关信息提供至交互门户模块，则基于交互门户模块与用户之间的信息交互，交互门户模块可以将信息风险事件的相关信息展示给用户，以使用户可以直观得知目标信息系统中发生的信息风险时间。

可选的，交互门户模块还可以与安全防护模块220保持通信连接，并对安全防护模块220进行信息安全防护的相关信息进行展示。

可选的，交互门户模块可以是展示给用户的页面。

示例性的，图4为本发明实施例提供的一种交互门户模块的示意图。如图4所示，交互门户模块可以是一个具有用户交互功能的页面，其上展示有目标信息系统的信息安全情况的相关信息。

示例性的，图5为本发明实施例提供的一种信息安全监控系统的示意图。如图5所示，在一个具体的例子中，所述系统包括：风险识别模块，主要包括资产绘制、漏洞扫描、弱口令监测、基线管理等功能；安全防护模块，主要包括身份与权限管理、VPN、数据防泄漏、WAF、防火墙、入侵检测、访问控制、负载均衡、EDR终端安全防护；安全监测模块，主要包括日志审计、病毒防范、攻击诱捕、明文监测、堡垒机、网页防篡改；响应恢复模块，主要包括应急响应、威胁情报、备份恢复；统一接口模块，主要完成与关键信息基础设施主管单位的进行API接口信息报送和指令下达；交互门户模块，主要包括实现对风险识别、安全防护、安全监测、响应恢复各个组件的统一配置和数据监测；内部管理模块，主要包括认证、权限以及自身操作记录审计的管理。

相应的，目标信息系统可以是关键信息基础设施，首先，可以在其通用设备上，通常是X86架构的服务器，安装KVM虚拟化平台管理软件，并虚拟出所有前述部分的安全服务组建，以NFV的方式进行管理，从而通过网络虚拟化技术，完成业务流程编排，实现安全组件之间的网络连接，并将设备旁路到关键信息基础设施单位的主流量出入口。进一步的，完成内部管理的认证权限登录后，在交互门户对全部的网络安全组建进行管理，完成各个组件的配置和设置。继而采用风险识别类组件，完成关键信息基础设施单位的电子资产情况、各电子资产的漏洞情况、是否存在弱口令、以及操作的行为规律基线。此后，对安全防护类组件进行配置，主要配置VPN登录、身份认证权限系统、WAF、负载均衡等参数设置。配置好各组件后，实时监测流经关键信息基础设施核心设备的流量，并对流量进行解析。当发现病毒、数据泄露等攻击事件时，通过交互门户进行统一展示，并对攻击方与核心交换机联动对源IP进行封堵，并进行事件响应和恢复，减少攻击损失。此外，上述所有的安全行为，可以通过安全监测组件进行溯源和审计，并对发生的安全事件和处置信息通过统一接口上报监管单位。

本发明实施例提供了一种信息安全监控系统，通过在信息安全监控系统中部署风险识别模块和安全防护模块，通过风险识别模块获取目标信息系统中的风险关联信息，并根据风险关联信息进行安全防护模块的防护参数配置，通过完成防护参数配置后的安全防护模块对目标信息系统进行信息安全防护，实现信息安全监控系统针对目标信息系统的个性化、集成式部署以及灵活更新与扩展，提升其稳定性和运营维护便捷性。

实施例三

图6为本发明实施例三提供的一种信息安全监控方法的流程图，本实施例可适用于对目标信息系统进行信息安全监控的情况，该方法可以由本发明实施例提供的信息安全监控系统来执行，该系统可以由软件和/或硬件的方式来实现。在本发明实施例的一个可选实施方式中，该系统基于网络功能虚拟化NFV技术，旁路部署于所述目标信息系统的通用设备的主流量出入口，并实现模块间通信连接。

相应的，如图6所示，该方法包括如下操作：。

S310、通过风险识别模块获取目标信息系统中的风险关联信息，并将所述风险关联信息提供至安全防护模块。

S320、通过所述安全防护模块根据所述风险关联信息进行防护参数配置，并在完成所述防护参数配置后对所述目标信息系统进行信息安全防护。

在本发明实施例的一个可选实施方式中，所述方法还可以包括：通过安全监测模块监测所述目标信息系统中发生的信息风险事件；通过响应恢复模块对所述信息风险事件进行响应恢复处理。

在本发明实施例的一个可选实施方式中，所述监测所述目标信息系统中发生的信息风险事件，可以包括：对所述目标信息系统的核心流量进行实时解析，得到流量解析结果；在根据所述流量解析结果确定发生所述信息风险事件的情况下，对所述信息风险事件进行溯源，并将溯源结果提供至所述响应恢复模块；所述对所述信息风险事件进行响应恢复处理，可以包括：根据所述溯源结果，向所述目标信息系统发送封堵指令。

在本发明实施例的一个可选实施方式中，所述方法还可以包括：通过所述安全监测模块对监测到的所述信息风险事件进行审计。

在本发明实施例的一个可选实施方式中，所述方法还可以包括：通过统一接口模块将所述信息风险事件的审计结果上报至所述目标信息系统对应的监管单位系统。

在本发明实施例的一个可选实施方式中，所述方法还可以包括：通过交互门户模块接收合法登录用户输入的交互管理信息，并根据所述交互管理信息对所述信息安全监控系统进行管理信息配置。

在本发明实施例的一个可选实施方式中，所述方法还可以包括：通过所述交互门户模块接收登录请求用户输入的权限认证信息，并将所述权限认证信息提供至内部管理模块；通过所述内部管理模块对所述权限认证信息进行登录权限认证，并在确定所述权限认证信息通过所述登录权限认证的情况下，确定所述登录请求用户为所述合法登录用户。

在本发明实施例的一个可选实施方式中，所述方法还可以包括：通过所述交互门户模块对所述安全监测模块监测到的所述信息风险事件进行展示。

本发明实施例提供了一种信息安全监控方法，通过在信息安全监控系统中部署风险识别模块和安全防护模块，通过风险识别模块获取目标信息系统中的风险关联信息，并根据风险关联信息进行安全防护模块的防护参数配置，通过完成防护参数配置后的安全防护模块对目标信息系统进行信息安全防护，实现信息安全监控系统针对目标信息系统的个性化、集成式部署以及灵活更新与扩展，提升其稳定性和运营维护便捷性。

实施例四

图7为本发明实施例四提供的一种计算机设备的结构示意图。图7示出了适于用来实现本发明实施方式的示例性计算机设备12的框图。图7显示的计算机设备12仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。可选的，该计算机设备可以是所述目标信息系统的服务器设备，或可以集成到所述目标信息系统的服务器设备中的任意计算机设备。

如图7所示，计算机设备12以通用计算设备的形式表现。计算机设备12的组件可以包括但不限于：一个或者多个处理器16，存储器28，连接不同系统组件(包括存储器28和处理器16)的总线18。

总线18表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器，外围总线，图形加速端口，处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说，这些体系结构包括但不限于工业标准体系结构(ISA)总线，微通道体系结构(MAC)总线，增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。

计算机设备12典型地包括多种计算机系统可读介质。这些介质可以是任何能够被计算机设备12访问的可用介质，包括易失性和非易失性介质，可移动的和不可移动的介质。

存储器28可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(RAM)30和/或高速缓存存储器32。计算机设备12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例，存储系统34可以用于读写不可移动的、非易失性磁介质(图7未显示，通常称为“硬盘驱动器”)。尽管图7中未示出，可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器，以及对可移动非易失性光盘(例如CD-ROM，DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下，每个驱动器可以通过一个或者多个数据介质接口与总线18相连。存储器28可以包括至少一个程序产品，该程序产品具有一组(例如至少一个)程序模块，这些程序模块被配置以执行本发明各实施例的功能。

具有一组(至少一个)程序模块42的程序/实用工具40，可以存储在例如存储器28中，这样的程序模块42包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本发明所描述的实施例中的功能和/或方法。

计算机设备12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信，还可与一个或者多个使得用户能与该计算机设备12交互的设备通信，和/或与使得该计算机设备12能与一个或多个其它计算设备进行通信的任何设备(例如网卡，调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口22进行。并且，计算机设备12还可以通过网络适配器20与一个或者多个网络(例如局域网(LAN)，广域网(WAN)和/或公共网络，例如因特网)通信。如图所示，网络适配器20通过总线18与计算机设备12的其它模块通信。应当明白，尽管图7中未示出，可以结合计算机设备12使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。

处理器16通过运行存储在存储器28中的程序，从而执行各种功能应用以及数据处理，实现本发明实施例所提供的信息安全监控系统，包括：风险识别模块和安全防护模块，所述风险识别模块与所述安全防护模块之间保持通信连接；其中：所述风险识别模块，用于获取目标信息系统中的风险关联信息，并将所述风险关联信息提供至所述安全防护模块；所述安全防护模块，用于根据所述风险关联信息进行防护参数配置，并在完成所述防护参数配置后对所述目标信息系统进行信息安全防护。

实施例五

本发明实施例五提供了一种计算机可读存储介质，其上存储有计算机程序，该程序实现本发明实施例所提供的信息安全监控系统，包括：风险识别模块和安全防护模块，所述风险识别模块与所述安全防护模块之间保持通信连接；其中：所述风险识别模块，用于获取目标信息系统中的风险关联信息，并将所述风险关联信息提供至所述安全防护模块；所述安全防护模块，用于根据所述风险关联信息进行防护参数配置，并在完成所述防护参数配置后对所述目标信息系统进行信息安全防护。

可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、电线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言，诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或计算机设备上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络，包括局域网(LAN)或广域网(WAN)，连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。