一種信息安全管理平臺的製作方法
2023-04-27 14:44:51 1
專利名稱:一種信息安全管理平臺的製作方法
技術領域:
本發明涉及信息安全技術,特別涉及一種信息安全管理平臺。
背景技術:
隨著信息技術的發展,信息安全問題也日益嚴重,所以信息安全和網絡安全等技術已成為目前研究和發展的技術熱點。目前業界基本存在兩類信息安全技術,關聯反應系統(CRS,Correlative Reacting System)和安全管理中心(SOC,Security Operation Centre)。這兩種信息安全技術的實現原理簡述如下一、CRS主要針對通信網絡的接入層,用於對用戶的接入和訪問進行管理和控制,通過CRS內多個聯動節點和/或多個CRS分系統進行聯動分析和操作,對用戶的接入和訪問操作實施安全鑑別和控制,從而在接入層保證網絡的信息安全。但是,該技術的缺點在於無法對網絡核心管理層進行直接保護。
二、SOC主要是通過網絡管理系統對網絡安全事件及相關信息進行關聯分析來得到針對網管系統的安全報告。SOC技術還停留半自動的網絡安全模型上,也就是說其雖然能夠實現網絡安全事件的收集和關聯分析,並向網絡管理人員提供相關分析結果,但不能進一步提供具體的網絡安全配置建議(比如建議系統升級的版本號、設備配置參數等),更不能在一定允許範圍內自動對網絡安全設備的配置進行更新,從而無法實現自動化的網絡安全管理。因此,SOC的運行還需要大量的工作流程和人為監督來配合。
在這種背景下,基於信息安全的核心基礎,通信行業提出了能夠兼容現有網絡結構的網絡安全運營與管理平臺的理論,該平臺又被稱為信息安全管理平臺(ISMP,Information Security Management Platform)。所述信息安全管理平臺用於對網絡安全事件、網絡安全警報、或安全知識等信息進行關聯分析,以實現對網絡各安全資產(Security Asset,或稱Security Product)進行統一協調和管理,或為網絡管理系統提供必要的信息安全措施建議。
雖然,目前國內外針對信息安全和網絡信息安全的技術和規範已有很多,但這些標準都是針對信息安全進行的總體概述,抽象且晦澀,且沒有提出具體的實施方案和架構設計,國內外也還沒有針對通信網絡安全運營及信息安全管理平臺架構的相關專利。當前作為IT產業核心的電信網絡正在朝多網融合、終端設備智能化、網絡結構IP化、業務導向等方向發展,但同時信息安全問題及其造成的影響也在以更快的速度加巨,安全威脅逐漸從用戶和終端側向網絡核心蔓延,原來認為安全的網絡核心管理系統正逐漸面臨著巨大的安全壓力。因此迫切需要一個能夠整合網絡安全資源的安全運營及管理的信息安全管理平臺,以便電信網絡能夠在該平臺的基礎上利用現有安全設備提升網絡安全防護和預警能力。
發明內容
有鑑於此,本發明的主要目的在於提供一種信息安全管理平臺,能夠實現動態的網絡信息安全管理。
為達到上述目的,本發明的技術方案是這樣實現的本發明公開了一種信息安全管理平臺,該平臺包括安全基礎域,用於監控網絡的安全狀態,產生並發送安全報告至安全管理域;安全管理域,用於從安全基礎域接收安全報告,從安全信息域提取安全信息,根據該安全信息對接收到的安全報告進行分析產生網絡安全告警和對應的安全配置建議;安全信息域,用於保存安全信息並輸出至所述安全管理域。
其中,所述安全基礎域包括與安全管理、監控、防護相關的安全資產。
其中,所述安全資產包括主機作業系統、流量監控設備、病毒檢測設備、入侵檢測設備和防火牆中的任一者或任意組合。
其中,所述網絡安全告警和對應安全配置建議包括可能發生安全事故的安全事件、安全告警、網絡安全資產配置方案和管理方案;所述安全信息包括安全通知、安全知識和安全策略;所述安全管理域包括安全事件管理實體,用於從安全信息域查詢安全通知、安全知識和安全策略,從安全基礎域周期性接收各種安全報告,並對來自安全基礎域的所有安全報告進行分析得到可能發生安全事故的安全事件並報告至安全風險管理實體;安全風險管理實體,用於從安全信息域查詢安全通知、安全知識和安全策略,從安全基礎域接收安全審計產生的安全告警,從安全事件管理實體接收可能發生安全事故的安全事件報告,根據來自安全信息域的安全信息對網絡的安全風險進行分析,產生網絡安全風險報告或安全報警至控制中心;控制中心,用於對安全信息域和安全管理域進行控制和管理,直接或間接對安全基礎域進行安全控制和管理;從安全風險管理實體接收網絡安全風險報告或安全報警,並根據來自安全信息域的對應的安全策略產生網絡安全資產的安全配置方案和安全管理措施;直接執行所產生的網絡安全資產的安全配置方案和安全管理措施,或者將該網絡安全資產的安全配置方案和安全管理措施提交到自身連接的外部網絡管理系統,由該網絡管理系統執行該網絡安全資產的安全配置方案和安全管理措施。
其中,所述安全風險管理實體進一步用於根據預設的審計策略對所獲取的安全事件和人為發起的安全行為進行審計,並根據審計結果判斷是否進行安全告警。
其中,所述安全報告包括安全事件報告和/或設備安全狀態報告。
其中,所述安全事件管理實體、安全風險管理實體和控制中心中的任一者或任意組合實現於同一物理實體之中;當所述安全事件管理實體、安全風險管理實體和控制中心分別實現於不同的物理實體之中時,所述安全事件管理實體為安全事件管理伺服器,所述安全風險管理實體為安全風險管理伺服器,所述控制中心為安全控制中心伺服器。
其中,所述安全信息包括安全通知、安全策略和安全知識;所述安全信息域包括安全通知實體,用於保存安全通知並輸出至所述安全管理域;安全策略實體,用於保存安全策略並輸出至所述安全管理域;安全知識實體,用於保存安全知識並輸出至所述安全管理域。
其中,所述安全通知實體進一步用於從外部接收新的安全通知;所述安全知識實體進一步用於從所述安全管理域接收新的安全知識。
其中,所述安全通知實體為安全通知資料庫,所述安全策略實體為安全策略資料庫,所述安全知識實體為安全知識資料庫。
因此,本發明所提供的信息安全管理平臺能實現動態靈活的信息安全管理,為網絡提供安全措施建議,並能提供具體的安全配置建議,進而能使網絡實現自動化的信息安全重配置。本發明為電信網絡提供了能夠進行安全事件關聯分析的基礎安全能力,使電信管理網具有對安全產品進行統一協調配置的能力,能為電信網進行資產風險評估並提供風險程度排序,從而實現自動化的網絡安全任務管理,使原有的信息安全管理的半動態流程進一步電子化、高效化。
圖1為本發明平臺總體設計方案的邏輯結構示意圖;圖2為基於圖1的總體設計方案,本發明平臺一較佳實施例組成結構示意圖。
具體實施例方式
下面結合附圖及具體實施例對本發明再作進一步詳細的說明。
本發明公開了一種信息安全管理平臺,該平臺主要包括三個層次安全基礎域、安全管理域和安全信息域。下面對這三個域的基本功能加以描述。
一、安全基礎域安全基礎域作為本發明平臺最底層的安全信息支撐層,用於實時監控網絡的安全狀態,為本發明平臺中的安全管理域提供各種安全報告,該安全報告包括安全事件報告和設備安全狀態報告。其中該安全基礎域由各種安全資產構成,包括能夠提供安全報告的各種安全設備、作業系統和客戶端安全代理軟體(這裡,對於不能夠主動提供安全報告的設備或主機系統可以安裝此類客戶端安全代理軟體來實現安全報告的提交),同時還有存在於所有系統中的審計和告警模塊。所謂安全事件指安全設備或系統所產生的各種安全行為,比如有病毒入侵、系統運行異常、登錄管理系統等事件。
二、安全管理域安全管理域,用於從上述安全基礎域接收各種安全報文和安全事件等安全報告,從安全信息域接收安全信息,參考該安全信息對安全報告進行安全事件管理(Security Events Management)、安全風險管理(Security RiskManagement),產生網絡安全告警和對應的安全配置建議。所產生的網絡安全告警和對應的安全配置建議可以包括可能發生安全事故的安全事件、安全告警、網絡安全資產配置方案和管理方案;所述安全信息包括安全通知、安全知識和安全策略。安全管理域可以直接實施所產生的網絡安全配置建議或為外部網絡管理系統提供網絡安全配置建議。
所謂安全事件管理主要是通過採集、過濾、匯聚、關聯分析等手段對來自安全基礎域安全報告中記錄的所有安全事件進行充分分析,並甄別其中可能發生安全事故(Security Accident)的安全事件,並對安全事件進行嚴重性排序,使網絡能夠優先獲知和處理嚴重性級別較高的安全事件。
所謂安全風險評估及管理是本發明安全管理域的核心功能,能夠對網絡各環節存在或產生的安全風險(包括設備不穩定狀態、作業系統OS漏洞、病毒感染狀態、人為操作失誤、或惡意破壞等)進行整體分析,從而產生有針對性的網絡安全配置方案或發布改進的安全管理流程和措施,以從網絡架構和運維流程上實現網絡的信息安全管理目標。安全風險評估及管理的信息來源為安全事件管理實體提交的報告和系統審計機制發出的安全告警。
所謂安全審計和告警就是按照一定的審計策略對由安全設備產生的安全事件和人為發起的安全行為(比如管理員對系統進行安全屬性配置操作、為作業系統打補丁、更新安全策略等)進行審計,並根據審計結果判斷是否進行安全告警。
三、安全信息域安全信息域,用於保存安全管理域需要查詢的安全信息,安全信息是指用於支持安全管理的資料信息和安全策略,安全管理域要對這些信息的獲取、存儲、更新、使用、發布等進行統一的管理和規範。該安全信息域可由一個或多個用於保存安全信息的資料庫構成。
所謂安全信息主要分為三類安全通知(Security Notification)、安全策略(Security Policy)和安全知識(Security Knowledge)。其中,安全通知是指要向網絡下發的各種與信息安全相關指令和通告,包括行政指令、網絡病毒預警報告、作業系統漏洞及補丁通知;安全知識是指信息安全管理過程中積累的一些經驗數據,包括安全攻擊歷史、威脅、系統漏洞、病毒等,該知識在系統啟動前應該具備一定的積累;安全策略就是進行安全管理時所依據的規則、評價標準等信息。
上述的安全信息需要預先設置在安全信息域中的各個資料庫中,也可在本發明信息安全管理平臺運行起來之後不斷更新資料庫中保存的安全信息。此時,安全信息域要同時對外提供具有嚴格訪問控制要求的更新操作接口,用於從外部或安全管理域接收新的安全信息以更新現存的安全信息。
下面結合附圖對本發明平臺的具體實現原理加以詳述。
圖1為本發明平臺總體設計方案的邏輯結構示意圖。如圖1所示,該平臺包括安全信息域、安全管理域和安全基礎域。其中,安全信息域可以包括安全通知實體、安全知識實體和安全策略實體;安全管理域可以包括安全事件管理實體、安全風險管理實體和控制中心;安全基礎域則可由與安全管理、監控、防護相關的安全資產構成。
在安全基礎域中,安全資產用於監控網絡的安全狀態,生成各種安全報告,並發送至安全管理域。所述安全報告包括安全事件報告和/或設備安全狀態報告。所述安全資產包括主機作業系統、流量監控設備、病毒檢測設備、入侵檢測設備和防火牆等中的任一者或任意組合。
在安全管理域中,安全事件管理實體和安全風險管理實體用於從安全基礎域的安全資產中接收各種安全報告,從安全信息域獲取安全通知、安全知識和安全策略等安全信息,並分別參考安全信息對接收到的安全報告進行安全事件管理和安全風險管理處理。
其中,安全事件管理實體主要負責對各種安全事件進行收集、篩選、關聯分析、統計分析等,類似PC中的協處理器,負責為安全風險管理實體提供安全分析報告和案例數據,同時直接接受控制中心的管理和控制。該安全事件管理實體用於參考安全信息對來自安全基礎域的安全報告進行充分分析,並甄別其中可能發生安全事故的安全事件,並對安全事件進行嚴重性排序並通過控制中心通知網絡,使網絡能優先獲知和處理嚴重性級別較高的安全事件。
安全風險管理實體用於進行風險評估、風險記錄、風險告警等工作,也類似PC中的協處理器,其主要接收審計告警、安全事件管理實體上傳的報告和控制中心下傳的控制指令,通過對前兩類數據的收集和整理,並參考來自安全信息域的安全信息,根據評估模型進行風險評估,根據評估結果的重要程度不進行操作、或向控制中心報警、或更新安全知識庫。
控制中心(Control Centre),連接安全基礎域的安全資產和安全信息域,連接安全事件管理實體和安全風險管理實體,作為整個信息安全管理平臺的主控臺用於對安全管理域中安全事件管理實體和安全風險管理實體的各種處理進行總體控制,向管理員用戶提供交互界面,主要負責所有的伺服器和資料庫的性能和運行管理,以及與該平臺相關的安全設備的配置和更新,負責信息安全管理平臺與外部系統交互時的訪問控制。該控制中心根據從安全風險管理實體得到的網絡風險報告或報警,依據相關安全策略,自動組合出有針對性的網絡安全資產的安全配置方案或已改進的安全管理流程/措施,直接執行該資產的安全配置方案或已改進的安全管理流程/措施或通過向網絡管理系統(NMS)發布該資產的安全配置方案或已改進的安全管理流程/措施以間接實現對網絡安全的管理和控制。
這裡,所述安全事件管理實體,用於從安全信息域查詢安全通知、安全知識和安全策略,從安全基礎域周期性接收各種安全報告,並對來自安全基礎域的所有安全報告進行分析得到可能發生安全事故的安全事件並報告至安全風險管理實體;所述安全風險管理實體,用於從安全信息域查詢安全通知、安全知識和安全策略,從安全基礎域接收安全審計產生的安全告警,從安全事件管理實體接收可能發生安全事故的安全事件報告,根據來自安全信息域的安全信息對網絡的安全風險進行分析,產生網絡安全風險報告或安全報警至控制中心;所述控制中心,用於對安全信息域和安全管理域進行控制和管理,直接或間接對安全基礎域進行安全控制和管理;從安全風險管理實體接收網絡安全風險報告或安全報警,並根據來自安全信息域的對應的安全策略產生網絡安全資產的安全配置方案和安全管理措施;直接執行所產生的網絡安全資產的安全配置方案和安全管理措施,或者將該網絡安全資產的安全配置方案和安全管理措施提交到自身連接的外部網絡管理系統,由該網絡管理系統執行該網絡安全資產的安全配置方案和安全管理措施。該安全風險管理實體還可進一步用於根據預設的審計策略對所獲取的安全事件和人為發起的安全行為進行審計,並根據審計結果判斷是否進行安全告警。
其中,安全管理域內的三種實體為邏輯上相互獨立的三個實體,在物理上,這三種實體中的任一者或任意組合可以實現於一個物理實體之中,本發明對此並不進行限定。
在安全信息域中,安全通知實體、安全知識實體和安全策略實體分別用於保存安全通知、安全知識和安全策略,並接收安全管理域中各實體的查詢,分別輸出自身保存的安全通知、安全知識和安全策略至安全管理域的實體中。這裡,安全通知實體、安全知識實體和安全策略實體可在物理上實現為相互獨立的三個資料庫。
圖2為基於圖1的總體設計方案,本發明平臺一較佳實施例組成結構示意圖。本實施例中,如圖2所示,該平臺的組成結構如下所述在安全基礎域中,安全資產由多種安全設備和客戶端安全代理軟體構成,包括流量監控設備、病毒檢測設備、入侵檢測設備、作業系統設備和防火牆等等。圖2所示的流量監控設備、病毒檢測設備、入侵檢測設備、作業系統設備和防火牆等安全資產分別通過安全基礎域與安全管理域之間的域通道將自身監控到安全事件、安全狀態和安全審計結果報告至安全管理域中的安全事件管理伺服器和安全風險管理伺服器。
這裡,本發明所述安全資產指網絡中所有能夠提供網絡安全狀態信息的設備、作業系統和客戶端安全代理軟體,並不限於圖2所示的這幾種設備和軟體,凡是能提供網絡安全狀態信息的物理或邏輯實體均屬本發明安全資產的範疇。
在安全信息域中,安全策略資料庫、安全知識資料庫和安全通知資料庫分別用於保存各自對應的安全策略、安全知識和安全通知,並接受安全管理域中各實體的查詢請求,分別通過安全信息域與安全管理域之間的域通道輸出安全策略、安全知識和安全通知至安全管理域。
其中,安全策略資料庫中的安全策略要預先配置在該資料庫中;進一步的,在本發明平臺運行之後,可以通過手動的方式對該安全策略資料庫進行更新。安全知識資料庫中保存的各種安全知識也要預先進行配置;進一步的,在本發明平臺運行之後,可以手動的方式對該安全知識資料庫進行更新,也可由安全事件管理伺服器和安全風險管理伺服器對該安全知識資料庫進行更新,比如安全事件管理伺服器在檢測到某程序屬病毒程序,可將該病毒程序的信息加入該安全知識資料庫,或者由於之前的某次安全攻擊發現下屬某安全產品(或作業系統)出現後門或發現新的缺陷,則可將該信息記入知識庫。安全通知資料庫中的安全通知預先配置在該資料庫中;進一步的,在本發明平臺運行之後,該安全通知資料庫能以各種方式實現網絡安全通知信息、補丁和病毒庫等安全通知信息的及時更新,比如可以手動的方式對該安全通知資料庫進行更新,也還可通過安全控制中心伺服器連接外部的Internet或其他專有網絡,從中獲取新的安全通知信息。
在安全管理域中,安全事件管理實體、安全風險管理實體和控制中心分別實現於不同的物理實體之中,分別為安全事件管理伺服器、安全風險管理伺服器和安全控制中心伺服器。在這三者之間,實線代表數據流連接,而虛線代表控制流連接。
其中,安全事件管理伺服器與安全風險管理伺服器之間為實線的數據流連接,用於交互可能發生安全事故的安全事件、以及網絡安全配置方案和改進的安全管理流程/措施。安全事件管理伺服器和安全風險管理伺服器還分別通過安全管理域與安全信息域之間的域通道以實線的數據流連接從安全信息域提取安全信息,以供自己參考。安全事件管理伺服器和安全風險管理伺服器還分別通過安全管理域與安全基礎域之間的域通道以實線的數據流連接從安全基礎域中接收安全報告。安全控制中心伺服器與安全事件管理伺服器、安全風險管理伺服器以及安全信息域和安全基礎域之間具有虛線的控制流連接,用於控制和管理安全事件管理伺服器、安全風險管理伺服器以及安全信息域,並在必要時對網絡中與該平臺相關的安全設備進行配置和更新。該安全控制中心伺服器還可進一步與外部的網絡管理系統連接,以使網絡管理系統能依據接收到的各種信息及時採取對應措施來保證網絡信息安全。
這裡,安全事件管理伺服器和安全風險管理伺服器從安全信息域提取安全信息的方式有多種可在初始化時從安全策略資料庫、安全知識資料庫、安全通知資料庫下載安全策略、安全知識和安全通知到本地;也可在運行過程中根據管理需要從安全策略資料庫、安全知識資料庫、安全通知資料庫查詢對應的安全策略、安全知識和安全通知;或者,首先在初始化時從安全策略資料庫、安全知識資料庫、安全通知資料庫下載安全策略、安全知識和安全通知到本地,並在運行過程中根據管理需要從安全策略資料庫、安全知識資料庫、安全通知資料庫隨時下載更新本地的安全策略、安全知識和安全通知。
綜上所述,本發明所提出的信息安全管理平臺能夠實現動態、靈活的網絡信息安全管理,本方案能夠為電信網絡提供可以進行安全事件關聯分析的基礎安全能力,使電信管理網具有了能夠對安全產品進行統一協調配置的能力,能為電信網進行資產風險評估並提供風險程度排序,能實現自動化的網絡安全任務管理,使原有半動態的信息安全管理流程更加電子化、高效化。另外,本發明方案還提供了安全信息的更新機制,從而使該平臺的安全分析能力能夠不斷按需求進行提升。本發明提出了一種全新的信息安全管理構架,該構架能為實現網絡信息安全的自動化管理提供良好基礎。
以上所述僅為本發明的較佳實施例而已,並非用於限定本發明的保護範圍。凡在本發明的精神和原則之內所作的任何修改、等同替換、改進等,均包含在本發明的保護範圍內。
權利要求
1.一種信息安全管理平臺,其特徵在於,該平臺包括安全基礎域,用於監控網絡的安全狀態,產生並發送安全報告至安全管理域;安全管理域,用於從安全基礎域接收安全報告,從安全信息域提取安全信息,根據該安全信息對接收到的安全報告進行分析產生網絡安全告警和對應的安全配置建議;安全信息域,用於保存安全信息並輸出至所述安全管理域。
2.根據權利要求1所述的平臺,其特徵在於,所述安全基礎域包括與安全管理、監控、防護相關的安全資產。
3.根據權利要求2所述的平臺,其特徵在於,所述安全資產包括主機作業系統、流量監控設備、病毒檢測設備、入侵檢測設備和防火牆中的任一者或任意組合。
4.根據權利要求1所述的平臺,其特徵在於,所述網絡安全告警和對應安全配置建議包括可能發生安全事故的安全事件、安全告警、網絡安全資產配置方案和管理方案;所述安全信息包括安全通知、安全知識和安全策略;所述安全管理域包括安全事件管理實體,用於從安全信息域查詢安全通知、安全知識和安全策略,從安全基礎域周期性接收各種安全報告,並對來自安全基礎域的所有安全報告進行分析得到可能發生安全事故的安全事件並報告至安全風險管理實體;安全風險管理實體,用於從安全信息域查詢安全通知、安全知識和安全策略,從安全基礎域接收安全審計產生的安全告警,從安全事件管理實體接收可能發生安全事故的安全事件報告,根據來自安全信息域的安全信息對網絡的安全風險進行分析,產生網絡安全風險報告或安全報警至控制中心;控制中心,用於對安全信息域和安全管理域進行控制和管理,直接或間接對安全基礎域進行安全控制和管理;從安全風險管理實體接收網絡安全風險報告或安全報警,並根據來自安全信息域的對應的安全策略產生網絡安全資產的安全配置方案和安全管理措施;直接執行所產生的網絡安全資產的安全配置方案和安全管理措施,或者將該網絡安全資產的安全配置方案和安全管理措施提交到自身連接的外部網絡管理系統,由該網絡管理系統執行該網絡安全資產的安全配置方案和安全管理措施。
5.根據權利要求4所述的平臺,其特徵在於,所述安全風險管理實體進一步用於根據預設的審計策略對所獲取的安全事件和人為發起的安全行為進行審計,並根據審計結果判斷是否進行安全告警。
6.根據權利要求4所述的平臺,其特徵在於,所述安全報告包括安全事件報告和/或設備安全狀態報告。
7.根據權利要求4至6任一項所述的平臺,其特徵在於,所述安全事件管理實體、安全風險管理實體和控制中心中的任一者或任意組合實現於同一物理實體之中;當所述安全事件管理實體、安全風險管理實體和控制中心分別實現於不同的物理實體之中時,所述安全事件管理實體為安全事件管理伺服器,所述安全風險管理實體為安全風險管理伺服器,所述控制中心為安全控制中心伺服器。
8.根據權利要求1所述的平臺,其特徵在於,所述安全信息包括安全通知、安全策略和安全知識;所述安全信息域包括安全通知實體,用於保存安全通知並輸出至所述安全管理域;安全策略實體,用於保存安全策略並輸出至所述安全管理域;安全知識實體,用於保存安全知識並輸出至所述安全管理域。
9.根據權利要求8所述的平臺,其特徵在於,所述安全通知實體進一步用於從外部接收新的安全通知;所述安全知識實體進一步用於從所述安全管理域接收新的安全知識。
10.根據權利要求8或9所述的平臺,其特徵在於,所述安全通知實體為安全通知資料庫,所述安全策略實體為安全策略資料庫,所述安全知識實體為安全知識資料庫。
全文摘要
本發明公開了一種信息安全管理平臺,該平臺包括安全基礎域,用於監控網絡的安全狀態,產生並發送安全報告至安全管理域;安全管理域,用於從安全基礎域接收安全報告,從安全信息域提取安全信息,根據該相關安全信息對接收到的安全報告進行分析得到網絡安全告警和網絡安全配置建議;安全信息域,用於保存安全信息並輸出至所述安全管理域。應用本發明能實現動態的網絡信息安全自動管理。
文檔編號H04L12/26GK101056198SQ20061007444
公開日2007年10月17日 申請日期2006年4月10日 優先權日2006年4月10日
發明者周智, 鄭志彬, 李 昊 申請人:華為技術有限公司