CN101399698A - 一种安全管理系统、装置和方法 - Google Patents
一种安全管理系统、装置和方法 Download PDFInfo
- Publication number
- CN101399698A CN101399698A CNA2007101627725A CN200710162772A CN101399698A CN 101399698 A CN101399698 A CN 101399698A CN A2007101627725 A CNA2007101627725 A CN A2007101627725A CN 200710162772 A CN200710162772 A CN 200710162772A CN 101399698 A CN101399698 A CN 101399698A
- Authority
- CN
- China
- Prior art keywords
- security
- module
- nsmf
- interface
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 26
- 230000002457 bidirectional effect Effects 0.000 claims abstract description 23
- 230000003993 interaction Effects 0.000 claims abstract description 15
- 238000007726 management method Methods 0.000 claims description 172
- 101000979909 Homo sapiens NMDA receptor synaptonuclear signaling and neuronal migration factor Proteins 0.000 claims description 36
- 102100024546 NMDA receptor synaptonuclear signaling and neuronal migration factor Human genes 0.000 claims description 36
- 230000008569 process Effects 0.000 claims description 16
- 238000010219 correlation analysis Methods 0.000 claims description 14
- 238000012502 risk assessment Methods 0.000 claims description 14
- 238000012545 processing Methods 0.000 claims description 11
- 230000008439 repair process Effects 0.000 claims description 8
- 238000011156 evaluation Methods 0.000 claims description 7
- 238000012098 association analyses Methods 0.000 claims description 5
- 238000012216 screening Methods 0.000 claims description 4
- 239000000284 extract Substances 0.000 claims description 3
- 230000000977 initiatory effect Effects 0.000 claims description 3
- 230000006870 function Effects 0.000 abstract description 75
- 238000010586 diagram Methods 0.000 description 12
- 230000000295 complement effect Effects 0.000 description 5
- 238000012550 audit Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000004927 fusion Effects 0.000 description 3
- 230000002776 aggregation Effects 0.000 description 2
- 238000004220 aggregation Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000003672 processing method Methods 0.000 description 2
- 239000000047 product Substances 0.000 description 2
- 238000012163 sequencing technique Methods 0.000 description 2
- 230000007480 spreading Effects 0.000 description 2
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 101150119040 Nsmf gene Proteins 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000002035 prolonged effect Effects 0.000 description 1
- 238000005067 remediation Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种安全管理系统,包括网络安全管理架构NSMF和网络管理系统NMS,所述NSMF通过双向接口与所述NMS和被管理对象进行信息交互,获取网络安全信息,并对所述被管理对象进行管理。本发明实施例在NSMF与被管理对象之间配置了双向接口,并为该双向接口设置了相应的功能,从而实现了智能化的配置管理,提高了安全管理系统的灵活性和适应性。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及一种安全管理的系统、装置和方法。
背景技术
随着电信网络向融合、智能化、多媒体化等方向的飞速发展,电信网络的信息安全问题变得日益严重,虽然我国已经对信息安全和网络安全方面的问题给予了高度的重视,并且也开始进行大力地研究和技术发展,目前在电信网络中已经部署了防火墙、IDS(Invade Detect System,入侵检测系统)、IPS(Intrusion Prevention System,入侵防御系统)等安全产品并且有一定的SOC(Security Operation Center,安全管理中心)系统进行部署,但仍然不能很好地解决电信网络中层出不穷、日益严重的问题,例如:虽然能够检测出事件,但是基本上都是依靠工单系统下派任务然后依靠人来完成安全产品或其他网元的配置、脆弱性修复、补丁下发等配置管理操作,从而延长了处理时间,给攻击的扩散和蔓延留下了可乘之机,导致了更大的损失。
现有的信息管理系统的基本架构如图1所示。信息管理系统通过在安全设备中设定代理来收集安全信息,然后进行一定的关联分析,形成一定格式的信息报表,以供管理员了解,作为管理员进行一定安全部署的参考信息。安全信息管理系统主要是通过网管系统对网络安全事件及相关信息进行采集、获取、关联分析,并给管理员提供一定的分析结果,以便使管理员能够进一步分析出到对网络中现有安全问题的措施建议,再对网络进行相应处理和操作。但是一方面由于没有设置面向网元的配置接口及其功能,另一方面该安全信息管理系统是基于现有网管的工作流程和模式提出,运行还需要大量的工作流程和人为监督来配合,从而很难实现职能化的配置、脆弱性修复、补丁下发等管理功能,处理效率低,补救时间长,为攻击的扩大影响留下了隐患。
如图2所示,为现有的计算机网络的网络安全系统架构示意图。计算机网络的网络安全系统是一种应用于计算机网络安全领域的网络安全系统,包括网络安全管理中心、网络安全设备和适配器,适配器位于网络安全管理中心与网络安全设备之间,网络安全管理中心与适配器之间采用网络协议通信,适配器与网络安全设备之间采用网络安全设备的网络协议和对应端口进行通信;由适配器实现与网络安全设备通信的网络协议,并转换数据格式,对网络安全设备的配置管理信息和安全信息进行初步处理,而网络安全管理中心则集中管理适配器,对来自网络安全设备的安全信息进行进一步的处理和存储。此方案是基于计算机系统的,而电信网络中的设备既包含一定数量的一般计算机设备,还包括大量的不同于一般计算机的电信设备,况且电信网络层次繁多、互联互通复杂,所以将计算机网络的网络安全系统架构直接应用到电信网络中是有一定的局限性的。此外,该方案也没有设置面向网元的配置接口及其功能,从而也很难实现智能化的配置管理,难以应对纷繁复杂的攻击。
因此,现有技术的缺点是:没有设置面向网元的配置接口及其功能,难以实现智能化的配置管理,为攻击的扩大影响留下了隐患,难以应对纷繁复杂的攻击。
发明内容
本发明实施例提供一种安全管理系统、装置和方法,以实现在安全管理系统中设置面向被管理对象的配置接口及其功能,实现智能化的配置管理。
为达到上述目的,本发明实施例一方面提供一种安全管理系统,包括网络安全管理架构NSMF和网络管理系统NMS,所述NSMF通过双向接口与所述NMS和被管理对象进行信息交互,获取网络安全信息,并对所述被管理对象进行管理。
另一方面,本发明实施例提供一种网络安全管理架构NSMF,包括:事件管理功能EMF模块,用于通过所述双向接口获取所述被管理对象发生的安全事件,对所述安全事件进行处理;脆弱性管理功能VMF模块,用于通过所述双向接口对所述被管理对象的安全脆弱性进行扫描,并将所述被管理对象安全脆弱性的扫描结果传送给风险管理功能RMF模块;风险管理功能RMF模块,用于根据接收自所述EMF模块的安全事件和接收自所述VMF模块的安全脆弱性的扫描结果进行安全风险评估,生成网络安全风险报告并上报;管理中心功能MCF模块,用于对所述EMF模块、所述VMF模块和所述RMF模块进行管理,对所述MCF模块的用户进行管理。
再一方面,本发明实施例提供一种安全管理方法,包括以下步骤:NSMF通过双向接口获取被管理对象发生的安全事件,对所述安全事件进行处理;所述NSMF通过所述双向接口对所述被管理对象的安全脆弱性进行扫描,将所述被管理对象安全脆弱性的扫描结果上报;所述NSMF根据所述安全事件和所述安全脆弱性的扫描结果对所述被管理对象进行安全风险评估。
与现有技术相比,本发明实施例具有以下优点:本发明实施例在安全管理系统中的NSMF与被管理对象之间配置了双向接口,并设置了该双向接口的功能,在NSMF的各功能模块之间也配置了双向接口并设置了相应的功能,从而实现了智能化的配置管理,提高了安全管理系统的灵活性和适应性。
附图说明
图1为现有技术信息管理系统架构示意图;
图2为现有技术计算机网络的网络安全系统架构示意图;
图3为本发明实施例安全管理系统架构示意图;
图4为本发明实施例安全管理系统的NSMF架构示意图;
图5为本发明实施例NSMF与NMS并列非互通关系示意图;
图6为本发明实施例NSMF与NMS并列互通关系示意图;
图7为本发明实施例NSMF与NMS附属关系示意图;
图8为本发明实施例NSMF与NMS融合关系示意图;
图9为本发明实施例NSMF与NMS被管关系示意图;
图10为本发明实施例安全管理方法的流程图。
具体实施方式
本发明实施例提供了一种安全管理系统,包括NSMF(Network SecurityManagement Framework,网络安全管理架构)、NMS(Network ManagementSystem,网络管理系统)和被管理对象,并且在NSMF与被管理对象,NSMF与NMS以及NSMF的各功能模块之间都配置了双向接口并设置了相应的功能,实现了对安全管理系统的智能化配置管理,提高了安全管理系统的灵活性和适应性。本发明实施例将以被管理对象为资产为例进行说明。
如图3所示,为本发明实施例安全管理系统架构示意图,本发明实施例的安全管理系统以安全风险管理为核心,其中NSMF对外的接口包括:NSMF与安全关联数据库的互通的接口、NSMF从网元获取信息并对网元进行配置的接口、NSMF与NMS交互的接口、NSMF与其他系统之间的接口。该架构内的接口包括:控制中心与策略管理功能模块、风险管理功能模块、事件管理功能模块、脆弱性管理功能模块、资产管理功能模块之间交互的接口,以及风险管理功能模块与事件管理功能模块、脆弱性管理功能模块之间交互的接口。从整个通信网络布局来看,NSMF是起安全管理作用的中控系统,与现有网络中的NMS可以为并列非互通关系、并列互通关系、附属关系、融合关系或被管关系等多种关系。现有网络中NMS对安全网元有着直接的管理关系,所以为了不对现有网络产生冲击,本架构将保留这种管理关系。
其中,NSMF负责完成以下功能:
对SNE、网元群组1和安全相关数据库进行管理、控制、配置。
具有日志和审计的功能。
其中,SNE为电信网络中的安全网元,如防火墙、IDS、IPS、安全代理等安全防护实体。
其中,NE为网元,指电信网络中的各类用于传输、交换、业务应用的网元,如主机或其管理系统、路由器或其管理系统、交换机、应用服务器、数据库、各类网关。在这里,将电信网络中网元分成两部分,其中群组1是指可以同时或受NMS和NSMF中一方管理、控制的网元;群组2是指只受NMS管理、控制的网元。
其中,NMS为现有电信网络中存在的网络管理系统。
其中,其他信息系统指电信网络中其他能够向NSMF提供安全信息或需要NSMF向其提供安全信息的信息系统,可以是路由器管理系统、运营商的工单系统、EOMS(Entriprise Operation Manager System,企业操作管理系统)等信息系统。
如图4所示,为本发明实施例安全管理系统的NSMF架构示意图,下面对NSMF的主要功能实体的功能进行描述:
1、NSMF中各模块的功能
(a)MCF模块的功能:
i.对内部功能模块进行管理、控制、配置;
ii.向用户提供良好的管理界面,对MCF的用户的帐号、权限、访问进行控制和管理,负责进行用户的鉴权和管理操作交互、接收网络安全风险报告和网络安全告警报告,向网络管理员(或网管中心)转发等;
iii.进行用户管理、访问控制、安全审计等工作。负责系统对外部访问(包括因特网和办公网、网管网的访问)和外部接入系统的集中访问控制;
iv.具有一定的集成数据库功能,管理和维护资产信息库及安全知识库,可以根据预设策略直接补充或通过管理员人工完善;
v.管理NSMF系统日志及安全风险管理模块上报的网络安全日志;
vi.与NMS等信息系统进行信息交互,如从NMS获取关于安全网元的信息、向其他系统发送告警信息;
vii.MCF模块包括安全相关数据库,可以与安全相关数据库进行信息交换,包括从安全相关数据库获取类似事件处理方法、脆弱性库等安全知识,同时也可以对安全相关数据库中的内容进行更新。该安全相关数据库为NSMF在运行中需要依照或参考的知识库,其中包括安全事件的处理方法、CVE(Common Vulnerabilities and Exposures,公共漏洞和暴露)、安全基线、用于配置的策略;其初始化、创新、更新、修改、补充、消除等程序由NSMF的MCF模块来负责完成。
(b)RMF模块的功能:
i.RMF模块是本架构的核心功能,其输入包含安全事件信息和安全脆弱性信息两个方面。
ii.风险管理模块主要进行对筛选出的安全事件报告、网络和系统安全脆弱性进行收集,并参考资产信息和网络安全组织策略(安全基线)进行安全风险的评估,最后产生安全风险评估报告提交给管理系统,安全风险报告中应该包括可能导致该风险的所有安全事件和安全脆弱性清单,以及可能产生的安全风险等级。
(c)PMF模块的功能:
i.NSMF支持对整个系统的安全策略的存储保护、配置管理、访问控制和集中下发等管理功能。在运营中,安全策略管理功能模块通过第八接口来传输信息进而来完成对安全策略的集中管理,主要包括根据组织策略采取一套完整的、特殊的机制来进行存储保护、配置管理、访问控制等管理。安全策略的集中下发在NSMF内部主要面向信息安全事件管理、信息安全风险评估及管理、网络安全脆弱性扫描等系统,在NSMF外部可以根据网络实际配置状况进行设定。安全策略集中管理的范围包括网络安全基线库和网元安全策略库。网络安全基线库是保证系统内(也可以根据实际情况扩充到整个电信网络中)设备、系统、服务最低安全水平的安全策略数据库,它可以被用来配置、衡量、检验设备、系统、服务的安全水平。网元安全策略库是对系统内(也可以根据实际情况扩充到整个电信网络中)设备、系统、服务进行有区别化的、针对化的配置、下发的安全策略数据。
(d)AMF模块的功能:AMF模块负责对被管理对象的信息进行管理,由于现有网管系统一般已有资产管理功能,因此此模块也可以考虑实现在NSMF内部或NMS内部。
(e)EMF模块的功能:
i.网络系统中根据安全事件的类型和审计结果进行不同的操作,如产生安全事件报告和日志记录等,安全事件管理模块主要是通过采集、过滤、汇聚、关联分析等手段对安全事件报告提交和日志记载的事件内容进行分析并甑别其中可能产生安全事故的安全事件信息,并对安全事件进行严重性排序,使网络安全管理系统或管理员能够优先呈现和处理严重性级别较高的安全事件,这一过程中包含日志审计的功能。
ii.NSMF支持结合其他安全信息对各种信息安全事件进行关联分析。当信息安全事件筛选模块将处理后的报告传送给信息安全事件关联分析模块后,信息安全事件关联分析模块便按照既定策略对其进行汇聚、关联分析、严重性排序等一系列分析与处理操作,挖掘出隐藏在各个相关事件中的信息,并将使真正具备威胁的安全事件并报告给上层管理结构,以降低系统全面安全控制所需耗费的资源,提高工作效率。同时,信息安全事件关联分析模块也将处理结果通过安全风险评估及管理服务器传送给控制中心,也可能通过控制中心传输给NMS;信息安全事件关联分析模块的处理结果也将通过安全风险评估及管理服务器传送给安全日志库,以便为控制中心的审计提供基础信息。
(f)VMF模块的功能:VMF模块负责对被管理对象的脆弱性进行收集、分析、修复、管理。其中,被管理对象指电信网络中的受NSMF控制和管理的各类用于传输、交换、业务应用的网元是对受NSMF控制和管理网元的具体化表示。
i.NSMF支持对电信网络的资产进行安全脆弱性扫描。
ii.在运行中,安全扫描服务一般由人工启动、配置、执行,也可以让系统根据预先配置好的策略模型自动对电信网络资产进行定期安全扫描。扫描的范围将根据网络结构和具体实施情况而定;扫描结果将通过第七接口传送给信息风险管理模块,由其结合资产信息库和安全知识库中的信息对安全扫描结果进行综合评估,将评估后的安全扫描报告传送给控制中心,并被送到安全日志库进行存储和管理,同时可能会根据安全脆弱性的严重程度发出相应的安全告警通知给控制中心。
2、安全管理系统中的接口的功能
本发明实施例中的接口是一种调用函数,NSMF通过这些接口完成与被管理对象、NMS、其他信息系统和其他NSMF的信息交互,NSMF内部的各功能模块之间也通过接口完成信息交互、管理和配置等功能。
(a)NSMF与被管理对象的第一接口和第二接口的功能:
第一接口,例如:Ieo接口是NSMF对被管理对象的诸如安全事件报告、日志信息各种信息进行收集并对网元设备进行安全配置的接口。第二接口例如:Ivo接口是NSMF对被管理对象的安全脆弱性信息进行采集并进行修复、恢复等操作的接口。
(b)第三接口的功能:
第三接口,例如:Imr接口是MCF模块和RMF模块之间的接口,用于下发安全风险管理指令和接收RMF上报的安全报告信息,因此该接口也有需要定义的API(Application Programming Interface,应用编程接口)供MCF使用。RMF与PMF不同,后者是一个类似数据库管理服务器的实体,而RMF是一个具备一定管理功能的中间实体,负责对VMF和EMF上报的中间信息进行处理再上报给MCF,因此该接口上传输的管理命令一般是发送给RMF,RMF在根据需要进行处理或者命令转发,而RMF回送的报告则可能包含各种格式的内容,如数据表、图形等,所以在实际使用时需要在该接口上设定能够满足传输这些信息内容需求的协议。
(c)第四接口的功能:
第四接口,例如Ime接口是EMF和MCF之间的接口,MCF通过此接口对EMF进行策略配置、管理等操作,并从此接口获取EMF上报的各类安全事件报告。
(d)第五接口的功能:
第五接口,例如Imv接口是VMF和MCF之间的接口,MCF通过此接口对VMF进行策略配置、管理等操作,并从此接口获取VMF上报的各类脆弱性信息报告。
(e)第六接口的功能:
第六接口,例如:Ier接口是RMF和EMF之间的接口,RMF通过这一接口向EMF发送请求信息、管理信息等信息,EMF向RMF发送安全事件关联分析的结果,如安全告警报告和安全日志等。
(f)第七接口的功能:
第七接口,例如:Ivr接口,是RMF和VMF之间的接口,VMF通过该接口向RMF发送扫描结果,如脆弱性信息列表和相关报告等。
(g)第八接口的功能:
第八接口,例如:Imp接口是MCF模块和PMF模块之间的接口,通过这个接口NSMF可以对集中安全策略库和安全基线库进行更新、维护、备份、访问控制等管理活动,也可以提取该库中的安全策略用于集中下发和配置,也可以通过该接口提取安全基线用于安全审计。
(h)第九接口的功能:
第九接口,例如:Ima接口是AMF和MCF之间的接口,MCF通过此接口对AMF进行初始化、更新、查询、配置、管理等操作。
(i)NSMF与NMS的Imn接口的功能:
Imn接口是NSMF和NMS系统之间的信息交互接口,NSMF通过该接口从NMS中获取管理数据,如资产信息等,也可以通过该接口向NMS管理员发送安全管理信息数据,如安全状态报告、风险评估报告等,NMS管理员可以通过该接口启动或监控NSMF提供的安全管理功能,如安全缺陷扫描等。
(j)两个NSMF之间的Imm接口的功能:
Imm接口是两个NSMF之间信息交互的接口。可用于在两个NSMF之间互通预警信息、安全联动信息、资产信息等信息。
(k)NSMF与其他系统之间的Imo接口的功能:
因在NSMF运营中,NSMF可能会与路由器管理系统、运营商的工单系统、EOMS等信息系统进行互通,以相这些系统提供必要的安全信息,或者从这些系统获取安全信息。所以需要Imo来支持和完成NSMF与其他系统之间的信息交互。
本发明实施例中,NSMF与现有电信网络中的NMS之间可以有以下关系:
(1)并列非互通关系:即NSMF与现有电信网络中网管系统NMS之间不进行信息互通,彼此都对网元管理系统进行管理,只不过职能划分不同,二者对网元管理系统进行管理的职能不存在交集,彼此间的职能是互补的,二者的职能构成了管理完备集合,如图5所示。NSMF只针对被管对象的安全管理方面进行管理,现有电信网络中网管系统NMS对被管对象的故障、性能、帐号、计费等方面进行管理。此外,考虑到实际应用中,可能需要保护具有重要影响或具有重大价值的网元,因此,NSMF可能会与某个或某些网元进行互联,在图5中用虚线进行了标识。
(2)并列互通关系:即NSMF与现有电信网络中网管系统NMS之间可以进行信息互通,彼此都对网元管理系统进行管理,只不过职能划分不同,二者对网元管理系统进行管理的职能可能存在交集,但更多的职能是互补的,二者的职能构成了管理完备集合,如图6所示。NSMF侧重于对被管对象的安全管理方面进行管理,现有电信网络中网管系统NMS侧重于对被管对象的故障、性能、帐号、计费等方面进行管理。此外,考虑到实际应用中,可能需要保护具有重要影响或具有重大价值的网元,因此,NSMF可能会与某个或某些网元进行互联,在图6中用虚线进行了标识。
(3)附属关系:即NSMF只与NMS互联,而不与网元管理系统、网元具有连接关系,如图7所示。NSMF从属于现有电信网络中网管系统NMS,二者之间需要进行信息互通,NSMF的管理是通过NMS来间接实现的。但它们的职能划分不同,二者对网元管理系统进行管理的职能可能存在交集,但更多的职能是互补的,二者的职能构成了管理完备集合。NSMF侧重于对被管对象的安全管理方面进行管理,现有电信网络中网管系统NMS侧重于对被管对象的故障、性能、帐号、计费等方面进行管理。
(4)融合关系:即把NSMF与现有电信网络中网管系统NMS进行集成或组合,或者通过在现有网管系统上进行改进的方式来实现,使它们成为一个网络管理联合体,如图8所示。NSMF与现有电信网络中网管系统NMS之间可以进行信息互通,彼此都对网元管理系统进行管理,只不过职能划分不同,二者对网元管理系统进行管理的职能可能存在交集,但更多的职能是互补的,二者的职能构成了管理完备集合。NSMF侧重于对被管对象的安全管理方面进行管理,现有电信网络中网管系统NMS侧重于对被管对象的故障、性能、帐号、计费等方面进行管理。此外,考虑到实际应用中,可能需要保护具有重要影响或具有重大价值的网元,因此,NSMF可能会与某个或某些网元进行互联,在图8中用虚线进行了标识。
(5)被管关系:即NSMF与NMS、网元管理系统、网元都具有连接关系。在这里,NSMF被看作是NMS的一个特殊的被管理对象,处于被管理地位。NSMF与现有电信网络中网管系统NMS二者之间需要进行信息互通。它们的职能划分不同,二者对网元管理系统进行管理的职能可能存在交集,但更多的职能是互补的,二者的职能构成了管理完备集合。NSMF侧重于对被管对象的安全管理方面进行管理,现有电信网络中网管系统NMS侧重于对被管对象的故障、性能、帐号、计费等方面进行管理。此外,考虑到实际应用中,可能需要保护具有重要影响或具有重大价值的网元,因此,NSMF可能会与某个或某些网元进行互联,在图9中用虚线进行了标识。
如图10所示,为本发明实施例安全管理方法的流程图,该安全管理方法用于本发明实施例的安全管理系统,具体包括以下步骤:
步骤S1001,NSMF通过双向接口获取被管理对象发生的安全事件,并对该安全事件进行处理。NSMF通过主动发起获取请求或命令的方式得到反馈、通过在被管理对象上设置代理向该NSMF汇报的方式或通过被管理对象的管理人员汇报的方式获取被管理对象发生的安全事件。然后,NSMF对被管理对象发生的安全事件进行实时地筛选、关联分析和等级评估,根据关联分析的结果生成网络安全报警报告,并将该网络安全报警报告上报,然后对安全事件进行严重性排序,并将严重性级别较高的安全事件优先呈现给NMS或用户。该双向接口为第一接口,例如:Ieo接口。
步骤S1002,NSMF通过双向接口对被管理对象的安全脆弱性进行扫描。然后,NSMF对被管理对象的安全脆弱性进行分析、修复和管理,并将该被管理对象安全脆弱性的扫描结果上报。该双向接口为第二接口,例如:Ivo接口。NSMF调用自身配置的安全策略对被管理对象的安全脆弱性进行扫描、分析、修复和管理。
步骤S1003,NSMF根据安全事件和安全脆弱性的扫描结果对被管理对象进行安全风险评估。在评估完成之后,NSMF生成网络安全风险报告并将该网络安全风险报告上报,并根据安全脆弱性的严重程度发出安全告警通知。NSMF调用自身配置的安全策略,和/或通过调用NMS的安全策略进行安全风险评估。
本发明实施例提供了一种安全管理的系统、装置和方法,为电信网络提供了一个可以实现信息安全管理的架构方案,该方案以安全风险管理为核心,提供了资产管理、安全策略管理、安全事件管理和安全脆弱性管理之间的关系,为ISMS(Information Security Management Systems,信息安全管理系统)在通信网络的实现提供了可扩展的功能架构,同时还提供了定义了明确功能的接口,使得该架构具备了很强的灵活性和适应性。本发明实施例使得管理者能够通过安全管理系统对电信网络中的被管理对象具有进行统一协调配置的能力,为操作人员提供了简单便捷的操作管理模式。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (23)
1、一种安全管理系统,包括网络安全管理架构NSMF和网络管理系统NMS,其特征在于,所述NSMF通过双向接口与所述NMS和被管理对象进行信息交互,获取网络安全信息,并对所述被管理对象进行管理。
2、如权利要求1所述安全管理系统,其特征在于,所述NSMF还用于对所述被管理对象发生的安全事件进行处理。
3、如权利要求2所述安全管理系统,其特征在于,所述NSMF还用于对所述被管理对象发生的安全事件进行处理包括:所述NSMF对所述被管理对象发生的安全事件进行筛选、关联分析和等级评估,并根据所述关联分析的结果生成网络安全报警报告。
4、如权利要求2所述安全管理系统,其特征在于,所述NSMF还用于对所述被管理对象发生的安全事件进行处理还包括:所述NSMF对所述安全事件进行严重性排序,将严重性级别较高的所述安全事件优先呈现给所述NMS或用户。
5、如权利要求1所述安全管理系统,其特征在于,所述NSMF还用于对所述被管理对象的安全脆弱性进行扫描,并根据所述安全脆弱性的严重程度发出安全报警通知。
6、如权利要求2或5所述安全管理系统,其特征在于,所述NSMF还用于根据所述被管理对象的安全事件和所述安全脆弱性的扫描结果对所述被管理对象进行安全风险评估,生成网络安全风险报告。
7、如权利要求1所述安全管理系统,其特征在于,所述双向接口包括:
第一接口,用于连接NSMF与被管理对象,NSMF通过所述第一接口对被管理对象的安全事件进行收集,对所述被管理对象进行安全配置;
第二接口,用于连接NSMF与被管理对象,NSMF通过所述第二接口对被管理对象的安全脆弱性进行收集,对所述被管理对象进行修复。
8、一种网络安全管理架构NSMF,其特征在于,包括:
事件管理功能EMF模块,用于通过所述双向接口获取所述被管理对象发生的安全事件,对所述安全事件进行处理;
脆弱性管理功能VMF模块,用于通过所述双向接口对所述被管理对象的安全脆弱性进行扫描,并将所述被管理对象安全脆弱性的扫描结果传送给风险管理功能RMF模块;
风险管理功能RMF模块,用于根据接收自所述EMF模块的安全事件和接收自所述VMF模块的安全脆弱性的扫描结果进行安全风险评估,生成网络安全风险报告并上报;
管理中心功能MCF模块,用于对所述EMF模块、所述VMF模块和所述RMF模块进行管理,对所述MCF模块的用户进行管理。
9、如权利要求8所述NSMF,其特征在于,所述EMF模块用于对所述被管理对象发生的安全事件进行处理包括:所述EMF模块对所述被管理对象发生的安全事件进行筛选、关联分析和等级评估,并根据所述关联分析的结果生成网络安全报警报告上报所述MCF模块。
10、如权利要求8所述NSMF,其特征在于,所述EMF模块用于对所述被管理对象发生的安全事件进行处理还包括:对所述被管理对象发生的安全事件进行严重性排序,将严重性级别较高的所述安全事件通过所述MCF模块优先呈现给所述NMS。
11、如权利要求8所述NSMF,其特征在于,所述MCF模块还用于接收所述EMF模块上报的网络安全报警报告和所述RMF模块上报的网络安全风险报告。
12、如权利要求8所述NSMF,其特征在于,还包括:
策略管理功能PMF模块,用于通过与所述MCF模块的信息交互对安全策略进行集中管理,向所述EMF模块、所述VMF模块和所述RMF模块下发安全策略,所述集中管理的范围包括网络安全基线库和网元安全策略库;
资产管理功能AMF模块,接受所述MCF模块的管理控制和配置,用于对所述被管理对象的信息进行管理。
13、如权利要求8或11所述NSMF,其特征在于,还包括:
第三接口,用于连接所述MCF模块与所述RMF模块,所述MCF模块通过所述第三接口接收所述RMF模块上报的所述网络安全风险报告,通过所述第三接口对所述RMF模块进行管理,向所述RMF模块下发安全策略;
第四接口,用于连接所述MCF模块与所述EMF模块信息交互,所述MCF模块通过所述第四接口接收所述EMF模块上报的所述网络安全报警报告,并通过所述第四接口对所述EMF模块进行管理,向所述EMF模块下发安全策略;
第五接口,用于连接所述MCF模块与所述VMF模块,所述MCF模块通过所述第五接口接收所述VMF模块上报的所述被管理对象的安全脆弱性,并通过所述第五接口对所述VMF模块进行管理,向所述VMF模块下发安全策略。
14、如权利要求8所述NSMF,其特征在于,还包括:
第六接口,用于连接所述RMF模块与所述EMF模块,所述RMF模块通过所述第六接口向所述EMF模块发送请求信息和管理信息,所述EMF模块通过所述第六接口向所述RMF模块发送所述被管理对象的安全事件关联分析的结果;
第七接口,用于连接所述RMF模块与所述VMF模块,所述VMF模块通过所述第七接口向所述RMF模块发送所述被管理对象安全脆弱性的扫描结果。
15、如权利要求12所述NSMF,其特征在于,还包括:
第八接口,用于连接所述MCF模块与所述PMF模块,所述MCF模块通过所述第八接口对所述PMF模块的网元安全策略库和安全基线库进行管理,以及通过所述第八接口提取所述网元安全策略库和安全基线库中的安全策略进行集中下发;
第九接口,用于连接所述MCF模块与所述AMF模块,所述MCF模块通过所述第九接口对所述AMF模块进行设置和管理。
16、一种安全管理方法,其特征在于,包括以下步骤:
NSMF通过双向接口获取被管理对象发生的安全事件,对所述安全事件进行处理;
所述NSMF通过所述双向接口对所述被管理对象的安全脆弱性进行扫描,将所述被管理对象安全脆弱性的扫描结果上报;
所述NSMF根据所述安全事件和所述安全脆弱性的扫描结果对所述被管理对象进行安全风险评估。
17、如权利要求16所述安全管理方法,其特征在于,所述NSMF通过双向接口获取被管理对象发生的安全事件包括:通过主动发起获取请求或命令的方式得到反馈;或者,
通过在所述被管理对象上设置代理向所述NSMF汇报的方式或通过所述被管理对象的管理人员汇报的方式获取被管理对象发生的安全事件。
18、如权利要求16所述安全管理方法,其特征在于,所述NSMF对所述安全事件进行处理包括:所述NSMF对所述安全事件进行筛选、关联分析和等级评估,根据所述关联分析的结果生成网络安全报警报告,并将所述网络安全报警报告上报。
19、如权利要求18所述安全管理方法,其特征在于,所述NSMF对所述安全事件进行处理还包括:所述NSMF对所述安全事件进行严重性排序,将严重性级别较高的所述安全事件优先呈现给所述NMS或用户。
20、如权利要求18所述安全管理方法,其特征在于,在所述NSMF根据所述安全事件和所述安全脆弱性的扫描结果对所述被管理对象进行安全风险评估之后,还包括:生成网络安全风险报告并将所述网络安全风险报告上报,根据所述安全脆弱性的严重程度发出安全告警通知。
21、如权利要求16所述安全管理方法,其特征在于,所述NSMF通过所述双向接口对所述被管理对象的安全脆弱性进行扫描包括:所述NSMF根据安全策略对所述被管理对象的安全脆弱性进行扫描、分析、修复和管理。
22、如权利要求21所述安全管理方法,其特征在于,所述NSMF根据所述安全事件和所述安全脆弱性的扫描结果对所述被管理对象进行安全风险评估包括:所述NSMF根据所述安全策略,和/或通过调用的所述NMS的安全策略进行安全风险评估。
23、如权利要求16所述安全管理方法,其特征在于,所述双向接口包括第一接口和第二接口。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101627725A CN101399698A (zh) | 2007-09-30 | 2007-09-30 | 一种安全管理系统、装置和方法 |
| PCT/CN2008/072535 WO2009046667A1 (fr) | 2007-09-30 | 2008-09-25 | Système, dispositif et procédé de gestion de sécurité |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101627725A CN101399698A (zh) | 2007-09-30 | 2007-09-30 | 一种安全管理系统、装置和方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101399698A true CN101399698A (zh) | 2009-04-01 |
Family
ID=40517977
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007101627725A Pending CN101399698A (zh) | 2007-09-30 | 2007-09-30 | 一种安全管理系统、装置和方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101399698A (zh) |
| WO (1) | WO2009046667A1 (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101873231A (zh) * | 2010-07-06 | 2010-10-27 | 联想网御科技(北京)有限公司 | 一种网络入侵特征配置方法及系统 |
| CN101719914B (zh) * | 2009-11-10 | 2012-09-05 | 中国科学院计算技术研究所 | 一种安全事件源集成系统及其实现方法 |
| CN103929502A (zh) * | 2014-05-09 | 2014-07-16 | 成都国腾实业集团有限公司 | 基于虚拟机自省技术的云平台安全监控系统及方法 |
| CN104346574A (zh) * | 2014-10-23 | 2015-02-11 | 武汉大学 | 基于配置规范的主机安全配置漏洞自动修复方法及系统 |
| CN106055984A (zh) * | 2016-05-27 | 2016-10-26 | 浪潮电子信息产业股份有限公司 | 一种应用于安全基线软件的分级管理方法 |
| CN106372512A (zh) * | 2016-08-25 | 2017-02-01 | 浪潮电子信息产业股份有限公司 | 一种任务式的安全基线执行方法 |
| CN107181726A (zh) * | 2016-03-11 | 2017-09-19 | 中兴通讯股份有限公司 | 网络威胁事件评估方法及装置 |
| CN109120448A (zh) * | 2018-08-24 | 2019-01-01 | 武汉思普崚技术有限公司 | 一种告警方法及系统 |
| CN109413642A (zh) * | 2018-11-22 | 2019-03-01 | 中邮科通信技术股份有限公司 | 终端安全检测与监测体系化方法 |
| CN110832827A (zh) * | 2017-07-05 | 2020-02-21 | 华为技术有限公司 | 网络切片方法及系统 |
| CN111898841A (zh) * | 2019-05-06 | 2020-11-06 | 中国信息通信研究院 | 一种智慧城市跨系统交互接口的评估方法 |
| CN112487418A (zh) * | 2020-11-30 | 2021-03-12 | 扬州大自然网络信息有限公司 | 一种应对计算机网络信息安全事件处理方法 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101789948B (zh) * | 2010-02-21 | 2013-03-20 | 浪潮通信信息系统有限公司 | 分层式移动互联网安全监控与防护系统 |
| CN103178988B (zh) * | 2013-02-06 | 2016-08-03 | 中电长城网际系统应用有限公司 | 一种性能优化的虚拟化资源的监控方法和系统 |
| CN103227798B (zh) * | 2013-04-23 | 2016-09-14 | 西安电子科技大学 | 一种免疫网络系统 |
| CN104219193B (zh) * | 2013-05-29 | 2017-08-08 | 中国电信股份有限公司 | 安全事件关联分析方法及系统 |
| CN103414585A (zh) * | 2013-08-01 | 2013-11-27 | 华南师范大学 | 建立业务系统的安全基线的方法和装置 |
| CN104580087A (zh) * | 2013-10-21 | 2015-04-29 | 宁夏新航信息科技有限公司 | 一种免疫网络系统 |
| CN113596075A (zh) * | 2021-06-08 | 2021-11-02 | 国电南瑞南京控制系统有限公司 | 一种多能互补综合能源服务系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100358326C (zh) * | 2004-06-04 | 2007-12-26 | 西安电子科技大学 | 宽带无线ip网络安全体系结构及实现安全的方法 |
| US20060047800A1 (en) * | 2004-08-24 | 2006-03-02 | Panduit Corporation | Systems and methods for network management |
| CN100346610C (zh) * | 2004-11-01 | 2007-10-31 | 沈明峰 | 基于安全策略的网络安全管理系统和方法 |
| CN101174973A (zh) * | 2006-10-31 | 2008-05-07 | 华为技术有限公司 | 一种网络安全管理构架 |
-
2007
- 2007-09-30 CN CNA2007101627725A patent/CN101399698A/zh active Pending
-
2008
- 2008-09-25 WO PCT/CN2008/072535 patent/WO2009046667A1/zh active Application Filing
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101719914B (zh) * | 2009-11-10 | 2012-09-05 | 中国科学院计算技术研究所 | 一种安全事件源集成系统及其实现方法 |
| CN101873231B (zh) * | 2010-07-06 | 2012-07-04 | 北京网御星云信息技术有限公司 | 一种网络入侵特征配置方法及系统 |
| CN101873231A (zh) * | 2010-07-06 | 2010-10-27 | 联想网御科技(北京)有限公司 | 一种网络入侵特征配置方法及系统 |
| CN103929502B (zh) * | 2014-05-09 | 2018-01-19 | 成都国腾实业集团有限公司 | 基于虚拟机自省技术的云平台安全监控系统及方法 |
| CN103929502A (zh) * | 2014-05-09 | 2014-07-16 | 成都国腾实业集团有限公司 | 基于虚拟机自省技术的云平台安全监控系统及方法 |
| CN104346574A (zh) * | 2014-10-23 | 2015-02-11 | 武汉大学 | 基于配置规范的主机安全配置漏洞自动修复方法及系统 |
| CN107181726A (zh) * | 2016-03-11 | 2017-09-19 | 中兴通讯股份有限公司 | 网络威胁事件评估方法及装置 |
| CN106055984A (zh) * | 2016-05-27 | 2016-10-26 | 浪潮电子信息产业股份有限公司 | 一种应用于安全基线软件的分级管理方法 |
| CN106372512A (zh) * | 2016-08-25 | 2017-02-01 | 浪潮电子信息产业股份有限公司 | 一种任务式的安全基线执行方法 |
| CN110832827A (zh) * | 2017-07-05 | 2020-02-21 | 华为技术有限公司 | 网络切片方法及系统 |
| US11039321B2 (en) | 2017-07-05 | 2021-06-15 | Huawei Technologies Co., Ltd. | Methods and systems for network slicing |
| CN110832827B (zh) * | 2017-07-05 | 2021-07-09 | 华为技术有限公司 | 网络切片方法及系统 |
| CN109120448A (zh) * | 2018-08-24 | 2019-01-01 | 武汉思普崚技术有限公司 | 一种告警方法及系统 |
| CN109413642A (zh) * | 2018-11-22 | 2019-03-01 | 中邮科通信技术股份有限公司 | 终端安全检测与监测体系化方法 |
| CN109413642B (zh) * | 2018-11-22 | 2022-02-18 | 中邮科通信技术股份有限公司 | 终端安全检测与监测体系化方法 |
| CN111898841A (zh) * | 2019-05-06 | 2020-11-06 | 中国信息通信研究院 | 一种智慧城市跨系统交互接口的评估方法 |
| CN112487418A (zh) * | 2020-11-30 | 2021-03-12 | 扬州大自然网络信息有限公司 | 一种应对计算机网络信息安全事件处理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009046667A1 (fr) | 2009-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101399698A (zh) | 一种安全管理系统、装置和方法 | |
| CN102111440B (zh) | 一种支持动态交互的实时信息安全服务方法及系统 | |
| US11575736B2 (en) | System and method for providing data and application continuity in a computer system | |
| US8661062B1 (en) | Managing analysis of activity data | |
| US10250624B2 (en) | Method and device for robust detection, analytics, and filtering of data/information exchange with connected user devices in a gateway-connected user-space | |
| CN103166777A (zh) | 一种设备远程运维操作方法和装置 | |
| CN104700024B (zh) | 一种Unix类主机用户操作指令审计的方法和系统 | |
| US10296182B2 (en) | Managed access graphical user interface | |
| CN112039868A (zh) | 防火墙策略验证方法、装置、设备及存储介质 | |
| CN113794276A (zh) | 一种基于人工智能的配电网终端安全行为监测系统及方法 | |
| CN104702603A (zh) | 面向移动互联网的多视角安全审计系统 | |
| CN114553537A (zh) | 一种面向工业互联网的异常流量监测方法和系统 | |
| CN116228195B (zh) | 适用于工单的数据处理方法、装置、设备及存储介质 | |
| Takahashi et al. | 3-5 cybersecurity information exchange techniques: Cybersecurity information ontology and cybex | |
| CN105656724A (zh) | 一种服务器的监控方法及系统 | |
| TWI670953B (zh) | 異常監控系統及異常監控方法 | |
| Žitnik et al. | Operations Wisdom Logging | |
| CN114070830B (zh) | 互联网代理单臂部署架构、及互联网代理异地部署系统 | |
| CN117155597A (zh) | 基于数据安全监管实现渗透测试处理的系统 | |
| Rader | Operations support systems for mission critical public safety communication networks | |
| CN112766712A (zh) | 一种海洋应急调度方法、系统及电子设备 | |
| CN114666093A (zh) | 系统安全管控方法和装置、存储介质及电子设备 | |
| CN114201760A (zh) | 漏洞信息管理系统 | |
| Kontogiannis | Security logs analysis (big data) using Arcsight SIEM tool | |
| Bowling | How to perform an internal security review |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20090401 |