CN105391687A - 一种向中小企业提供信息安全运维服务的系统与方法 - Google Patents
一种向中小企业提供信息安全运维服务的系统与方法 Download PDFInfo
- Publication number
- CN105391687A CN105391687A CN201510669867.0A CN201510669867A CN105391687A CN 105391687 A CN105391687 A CN 105391687A CN 201510669867 A CN201510669867 A CN 201510669867A CN 105391687 A CN105391687 A CN 105391687A
- Authority
- CN
- China
- Prior art keywords
- module
- security
- event
- information
- assets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种面向中小企业提供信息安全运维服务的系统,包括安全运维数据采集模块、安全运维服务模块、安全运维支撑模块和安全策略模块;所述安全运维数据采集模块包括报文检测模块、终端安全管理模块、主机安全管理模块和网络设备安全管理模块,所述信息安全运维服务模块包括资产管理模块和业务管理模块,所述安全运维支撑模块包括企业用户管理、身份认证、授权计费、服务管理、终端管理和统计分析功能,所述安全策略模块包括安全基线数据、安全事件处理策略、入侵检测规则、安全事件上报规则和业务关联规则功能。
Description
技术领域
本发明涉及信息安全、网络管理和业务管理技术领域,尤其涉及到向广大中小型企业提供信息安全运维服务的系统与方法。
背景技术
在计算机技术和网络技术不断发展的今天,企业的日常经营已经离不开信息网络,无论是大型企业集团、大企业,还是中小型企业,甚至是刚起步的创业作坊,都有自己的信息网络。尽管信息网络使内部办公、收集市场信息、新技术和远程协作与交流变得更加便捷,为企业的运营与发展带来便利;但是,信息安全始终是企业的心腹大患。层出不穷的病毒、越来越不可捉摸的黑客技术和别有用心的内部雇员,始终在对企业的知识资产构成威胁。减轻企业网络威胁,让网络始终是企业发展的工具成了企业管理人员的现实选择。
对于大企业集团和大型企业来说,因为凭借自己多年的技术积累、管理经验和财务实力,有能力购买到最好的信息安全产品,聘用有经验的工程师来应对企业网络所面临的信息安全问题;但是,对于中小企业来说,信息安全尤为突出,因为依靠其现有的技术能力、有限的人力资源和有限的资金预算,是难以解决目前的企业信息网络安全问题的。
就目前来说,中小企业的信息网络安全,一般通过部署终端防病毒软件,并在企业信息网络与互联网接口之间部署传统防火墙设备或UTM(UnifiedThreatManagement,统一威胁管理)防火墙等设备来应对,未设置信息安全员岗位。此模式下,会引入这些信息安全隐患:(1)传统型防火墙设备,只能对报文进行检测,未对内容进行检测,从而无法防止黑客的攻击,也无法阻止利用木马远程偷盗企业知识资产;(2)部署UTM防火墙,可以提供防病毒、简单入侵检测、VPN(VirtualPrivateNetwork,虚拟专用网)、宽带管理,比部署传统型防火墙在保护企业信息网络上有一定的提高,但是,UTM防火墙本身集成了太多的功能,影响了其整体性能,同时,非专业的防病毒、简单入侵检测,依然无法阻挡病毒的入侵攻击,甚至这些功能可能会成为弱点而被非法利用;(3)终端防病毒软件需要经常升级,维护成本高,且需要人工检查,以确保各终端均已升级;(4)每天面对信息安全设备产生的大量安全事件日志。
部分中小企业会采购成套的企业信息网络安全管理系统,并设定信息安全员岗位,用于对企业信息网络进行安全管理。此模式的优点是:部署了专门工具软件用于协助企业信息网络安全管理,安排了专人从事安全管理,有利于提供企业信息网络安全性;但其缺点是:采购管理系统,需要专项资金;此外,还需要后期投入,如升级费用、人员培训费用等,更糟糕的是,企业信息网络安全管理系统的研发厂家无法从已售出的产品中获得更多的实际运用经验,因为许多时候,企业信息网络安全出现的问题,被企业内部的信息安全管理人员所解决了,而其处理过程并不会知会生产厂家,因此导致厂家无法有效地从企业用户側获得知识,进而提高其产品功能、性能和知识共享。
近几年,信息安全被得到了重视,安全设备厂商部署的安全产品在国内各行各业遍地开花。然而,现实情况是,真正将信息安全运维服务纳入整体框架体系的还是局限于电信、金融等大型企业。其它行业和政府部门的信息系统安全运维服务仅限于已经部署的安全系统所提供的有限的和静态的安全运维服务。由于日趋复杂的网络环境和层出不穷的攻击手段,信息安全的问题已经不能通过单纯的静态的信息安全设备来解决,另一方面,也没有OMC(OperationandMaintenanceCenter,操作维护中心)与网管、或者只有简单的静态的网管功能,设备之间也缺少联动;必须寻求专业化的信息安全运维服务。
为此,如何解决中小企业信息安全运维所面临的问题,以及设计出一款面向中小企业提供信息安全运维服务的系统,使得它对中小企业能够提供专业的、高效率的和低成本的信息安全运维服务,即成为尤其是信息安全管理设计上必须要解决的一个重要课题。
发明内容
本发明在分析了上述中小型企业信息安全管理方法与系统的缺陷和不足之后,提出了一种新的向广大中小型企业提供信息安全运维服务的系统与方法。
本发明的核心思想是:构造一个包括支持安全运维数据采集模块、安全运维服务模块、安全运维支撑模块和安全策略模块在内的信息安全运维服务系统。
一种中小企业信息安全运维服务系统,用于对各个企业側重定向过来的报文进行检测和对企业側通过VPN隧道提交的资产运行状态数据和业务运行状态数据进行处理,并对各种异常事件进行单个事件分析、事件链分析和风险评估之后,基于预设的安全策略进行响应;本系统提供严格的身份认证与数据权限管理,企业级维护人员登录到系统之后,能且仅能对其自己企业信息网络资产进行安全管理,能且仅能浏览与自己企业信息网络相关的安全运维报表。
所述安全运维数据采集模块包括报文检测模块、终端安全管理模块、主机安全管理模块和网络设备安全管理模块。
所述报文检测模块,与所述资产安全管理模块和安全策略模块相连接,用于依据所述安全策略模块预设的安全策略,处理所述企业的重定向报文,并提交安全事件到所述资产安全管理模块。
所述终端安全管理模块,与所述资产安全管理模块相连接,用于收集所述企业信息网络终端计算机的运行状况数据与日志数据,并提交到所述资产安全管理模块;接收并处理所述资产安全管理模块的控制指令。
所述主机安全管理模块,与所述资产安全管理模块相连接,用于收集所述企业信息网络主机的运行状况数据与日志数据,并提交到所述资产安全管理模块;接收并处理所述资产安全管理模块的控制指令。
所述网络设备安全管理模块,与所述资产安全管理模块相连接,用于收集所述企业信息网络中支持SNMP(SimpleNetworkManagementProtocol,简单网络管理协议)协议的网络设备的运行状况数据和SNMPTrap数据,并提交到所述资产安全管理模块;接收并处理所述资产安全管理模块的控制指令,并转化为SNMP指令之后,提交到目标网络设备。
所述信息安全运维服务模块包括资产安全管理模块、业务安全管理模块。
所述资产安全管理模块,与所述终端安全管理模块、主机安全管理模块、网络设备安全管理模块、安全策略模块和报文检测模块相连接,用于依据上报的信息构建企业信息网络资产运行安全快照、依据预设的安全策略处理安全事件、手工远程管理企业信息网络资产并提供安全运维报表。
所述业务安全管理模块,与所述终端安全管理模块、主机安全管理模块、网络设备安全管理模块和安全策略模块相连接,用于帮助用户更进一步了解业务的使用情况、从整个企业所有业务的全局监控或者单个业务的各关键环节进行实时监控、透明化的展现业务数据在网络中的真实路径和实时展示各路径上的业务流量及用户接入设备、帮助用户实现业务架构真实展现和业务各关键路径7X24小时监控。
所述安全策略模块,与所述资产安全管理模块、业务安全管理模块和报文检测模块相连接,用于设定资产安全基准、事件处理规划、业务安全关联规则、事件响应策略和应用层协议违规响应策略。
所述安全运维支撑模块,与所述资产安全管理模块、业务安全管理模块和报文检测模块相连接,用于提供企业用户的管理、身份认证、授权与计费、服务管理、终端管理和统计分析的功能。
优选地,所述资产安全管理模块,包括资产快照模块、漏洞扫描模块、安全事件管理模块、安全监控模块和安全报表模块。
所述资产快照模块,接收所述终端安全管理模块、所述主机安全管理模块和所述网络设备安全管理模块上报的数据,并依据上报的数据构建资产的安全运行快照;依据预设的资产安全基线,产生安全事件,并提交到所述安全事件管理模块;接收所述安全监控模块下发的远程控制消息,并中转到所述终端安全管理模块、所述主机安全管理模块和所述网络设备安全管理模块。
所述漏洞扫描模块,用于远程扫描所述企业信息网络活动信息资产的漏洞信息和网络拓扑信息,并将扫描结果提交到所述资产快照模块。
所述安全事件管理模块,接收所述资产快照模块和所述报文检测模块提交的安全事件,并依据预设的策略,自动地响应,并通知预设的企业安全管理人员;将安全事件处理的最终结果提交到所述安全报表模块。
所述安全监控模块,接收并展示所述安全事件管理模块提交的安全告警;提交维护人员的操作到所述资产快照模块。
所述安全报表模块,接收所述安全事件管理模块提交的安全事件,并依据预设的报表模板自动生成安全运维报表。
优选地,所述报文检测模块,包括应用层协议代理模块、入侵检测模块、防病毒模块和安全事件客户端模块。
所述应用层协议代理模块,接收所述企业提交的重定向报文,并将报文依次提交到所述入侵检测模块和防病毒模块,并将代理通过检测的报文;提交本地安全事件到所述安全事件客户端模块。
所述入侵检测模块,接收所述应用层协议代理模块提交报文,基于本地预设规则对报文进行入侵检测,提交检测结果到所述应用层协议代理模块,提交本地安全事件到安全事件客户端模块。
所述防病毒模块,接收所述应用层协议代理模块提交的报文,并基于本地预设规则对报文进行病毒检测,提交检测结果到所述应用层协议代理模块;提交本地安全事件到所述安全事件客户端模块。
所述安全事件客户端模块,用于接收所述报文检测模块中其它模块提交的本地安全事件,并规整化为统一格式之后,提交到所述资产安全管理模块的所述安全事件管理模块。
优选地,所述终端安全管理模块,所述主机安全管理模块和所述网络设备安全管理模块,部署在所述企业信息网络中,通过所述企业与所述中小企业安全运维服务系统之间IPSecVPN(InternetProtocolSecurityVirtualPrivateNetwork,基于IPSec协议的VPN)隧道,与所述资产安全管理模块通信,所述通信消息的内容加密。
所述远程扫描所述企业信息网络活动信息资产的漏洞信息和网络拓扑信息,仅能通过所述企业与所述中小企业安全运维服务系统之间IPSecVPN隧道进行远程扫描。
优选地,所述企业的维护人员,仅能浏览与所述自己企业信息网络资产相关的安全运维报表;仅能对所述自己企业信息网络进行远程扫描,仅能浏览和控制所述自己企业信息网络资产与业务。
所述企业的维护人员,只能通过所述自己企业与所述中小企业安全运维服务系统之间IPSecVPN隧道访问所述中小企业安全运维服务系统;所述IPSecVPN隧道,只能由所述企业主动创建。
本发明还提供了一种中小企业信息网络安全运维服务的方法,其核心是:首先,企业与信息安全运维服务提供商签约,租用其文件空间与报文检测流量容量;其次,在企业信息网络与公网相连接的边界网关设备上,将预设的应用层协议报文重定向到信息安全运维服务提供商的报文检测服务器;再其次,在所述边界上,建立与信息安全运维服务提供商的IPSecVPN隧道,通过此隧道下载并安装客户端模块到企业信息网络资产上;最后,通过信息安全运维服务提供商的中小企业信息网络安全运维服务系统对本企业的信息网络资产和业务进行安全管控。
一种中小企业信息网络安全运维服务的方法,其中企业向信息安全运维服务提供商租借用于重定向的带宽和用于保存报文检测和报表的文件空间,还包括:
(1)在企业信息网络的终端和主机上分别提供信息安全运维服务提供商所提供的终端安全管理功能和主机安全管理功能;在至少一台主机上提供信息安全运维服务提供商所提供的网络设备安全管理功能,并管控所有支持SNMP协议的网络设备。
(2)在出口边界设备上,将预设协议的报文重定向到信息安全运维服务提供商所提供的报文检测系统。
(3)建立到信息安全运维服务提供商的IPSecVPN隧道,登录到信息安全运维服务提供商网络中的中小企业信息网络安全运维服务系统,并通过此隧道对步骤(1)中所述的终端安全管理功能、主机安全管理功能和网络设备安全管理功能进行安全控制。
优选地,信息安全运维服务提供商的报文检测系统对企业的重定向报文进行防攻击、防病毒检测之后,并通过应用层协议代理中转合法报文;所述重定向报文的带宽仅能使用所述租借带宽的容量;以及
信息安全运维服务提供商所述的企业网络信息安全运维服务系统对企业信息网络所述的终端安全管理功能、主机安全管理功能和网络设备安全管理功能上报的日志事件信息和运行状况信息进行分析,并基于预设安全基准进行响应。
优选地,所述应用层协议代理,包括SMTP代理、POP3代理、HTTP代理、MSN通信代理和透传代理,分别用于往来邮件内容检查、URL过滤、MSN通信内容检查和透传报文;可疑的邮件内容和附件,以及MSN通信报文摘要信息,均以文件形式保存在所述租借文件空间中。
优选地,所述的终端安全管理功能、主机安全管理功能和网络设备安全管理功能可定制上报到所述信息安全运维服务提供商的所述中小企业网络信息安全运维服务系统的信息条目种类与内容;所述中小企业网络信息安全运维服务系统仅允许企业级维护人员查看本企业的网络资产和业务运行安全状况;所述中小企业网络信息安全运维服务系统向所述企业提供安全运行报表,包括日报、周报、月报、季报和年报。
优选地,所述信息安全运维服务提供商所述的中小企业网络信息安全运维服务系统可通过所述步骤(3)所建立的VPN隧道,远程扫描企业网络资产和业务的漏洞信息、网络和业务的拓扑信息;以及所述信息安全运维服务提供商所述的中小企业网络信息安全运维服务系统在发现信息安全风险之后,及时通知所述企业预设的安全管理人员。
本发明提供了一种企业信息系统安全运维服务的方法,企业无需要采购新的成套的信息安全管理设备,也无需设置企业信息系统安全管理员,但能够依赖信息安全运维服务提供商提供的现有产品与服务,即可获得专业的安全运维服务,不但降低了企业的信息安全运维成本,同时,也提高了企业信息系统的安全性。
本发明所提供的的中小企业信息安全运维服务系统中,企业网络信息资产与信息安全运维服务提供商的信息安全运维服务系统之间的信息交互,全通过企业与信息安全运维服务提供商之间的IPSecVPN隧道承载,保证了信息私密性;企业用户可以定制需要上报的运行事件;同时,企业到信息安全运维服务提供商之间的VPN隧道由企业主动维护,增强了企业用户的自主性。
本发明提供的中小企业信息安全运维服务系统中,企业用户仅能通过其与信息安全运维服务提供商之间的VPN隧道登录到安全运维服务系统,且仅能浏览与控制其相应的企业网络资产和业务,进一步保护了企业隐私信息。
本发明提供的中小企业安全运维服务系统中,可对企业重定向的报文进行防病毒和入侵检测,实现了企业与公网之间报文内容实时检测,能对邮件、及时通信、互联网访问进行有效管控。
附图说明
图1为本发明所述的中小企业网络信息安全运维服务系统功能框图;
图2为本发明所述的中小企业网络信息安全运维服务方法流程图;
图3为本发明所述的中小企业网络信息安全运维服务方法的事件处理流程图;
具体实施方式
下面是根据附图和实例对本发明的进一步详细说明:
如图1所示,为本发明所述中小企业信息系统网络信息安全运维服务系统功能图。它包括安全运维数据采集模块、安全运维服务模块、安全策略模块和安全运维支撑模块。
安全运维数据采集模块包括报文检测模块、终端安全管理模块、主机安全管理模块和网络设备管理模块。
安全运维服务模块包括资产安全管理模块和业务安全管理模块。
其中,终端安全管理模块、主机安全管理模块、网络设备管理模块供中小企业用户下载,并安装在企业信息系统网络的终端、主机和PC服务器上,用于收集宿主终端、主机和受控网络设备的运行状态数据,以及接收源自资产安全管理模块的控制命令。
资产安全管理模块、报文检测模块、安全策略模块和身份认证模块部署在信息安全运维服务提供商受保护机房内。
资产安全管理模块内部包含资产快照模块、安全事件管理模块、安全报表模块、安全监控模块和漏洞扫描模块。
资产快照模块,部署在企业网络的终端安全管理模块、主机安全管理模块、网络设备管理模块相连接,用于接收并处理这些模块提交注册消息和心跳消息;同时,将控制命令下发到这些模块。资产安全管理模块利用注册消息和心跳消息构建企业网络资产的运行状况安全快照,并对快照中偏离了预设安全基准的属性示警并构造安全事件,同时,依据符合日志信息过滤条件的日志信息构建安全事件,并将事件提交到安全事件管理模块;资产快照模块同时与漏洞扫描模块和安全监控模块相连接,接收并处理漏洞扫描模块提交的漏洞信息和拓扑信息;接收并处理安全监控模块提交的控制命令。
安全事件管理模块,与资产快照模块、报文检测模块、安全监控模块和安全报表模块相连接,用于对源自资产快照模块提交的事件、报文检测模块提交的安全事件进行处理,包括单个事件处理、事件链处理和风险评估处理;同时,依据安全策略模块的响应策略,将事件以及响应命令提交到安全监控模块,将所有经处理之后的事件提交到安全报表模块。
安全报表模块,与安全事件管理模块相连接,用于接收安全事件管理模块提交的事件,并依据预设的报表模板生成报表;该模块提供用户操作界面,以便操作员定义、修改、删除报表模板。可以设置为使企业级用户仅能管理自己信息系统网络资产和业务的安全运营报表。
安全监控模块,与安全事件管理模块和资产快照模块相连接。用于接收安全事件管理模块提交的事件数据和自动响应命令,并将事件数据以声光示警,同时,依据响应命令指示,将事件数据以Email或MSN或QQ通知到企业管理人员;或者,依据响应命令指示,将命令提交到资产快照模块,由后者将命令发送到正确的执行体。
漏洞扫描模块,与资产快照模块相连接,用于扫描指定目标设备和/或目标网段内的漏洞信息、操作系统指纹信息和网络拓扑信息,并将扫描到的信息提交到资产快照模块。
报文检测模块,与资产安全管理模块、安全策略模块和安全运维支撑模块相连接,用于接收并处理中小企业边界网关设备提交的重定向报文,将重定向报文经入侵检测处理、防病毒处理之后,通过应用层协议代理透明中转;在检测异常之后,产生安全事件,并提交到资产安全管理模块;报文检测中产生的日志文件保存在企业用户租用的文件空间中。
报文检测模块内部包括应用层协议代理模块、入侵检测模块、防病毒模块和安全事件客户端。
应用层协议代理模块,与安全事件客户端、防病毒模块和入侵检测模块相连接,用于接收并处理企业边界网关设备提交的重定向报文,针对源自企业提交的重定向报文,将经过入侵检测模块和防病毒模块之后,由不同的应用层协议代理透明中转报文;针对源自互联网应用的返回报文,经过入侵检测模块和防病毒模块之后,才下发到企业的边界网关设备。合法的边界网关设备需配置到此模块。该模块针对出入报文进行检测,自动丢弃源地址或目的地址均未登记的报文,本模块内部集成了SMTP协议代理、POP3协议代理、HTTP协议代理、MSN协议代理、QQ协议代理和不区分协议代理,分别用于处理邮件、WEB页面浏览、及时通信和透明中转报文。各协议代理在运行时发现异常时,会创建相应的安全事件,并提交到安全事件客户端模块。应用层协议代理模块针对报文流量统计信息以安全事件的方式提交到安全事件客户端模块。
应用层协议代理模块,中转报文时,利用令牌桶进行流量控制,源自同一个合法企业的报文,共用一个桶,超过流量阀值的报文,均被直接丢弃。
入侵检测模块,与应用层协议代理模块相连接,接收应用层协议代理模块提交的报文,并进行入侵检测处理,本模块结束源自安全策略模块提交的检测规则,对报文进行全局检测,检测出攻击时,产生安全事件,提交到安全事件客户端模块;同时,请求应用层协议代理模块中断当前异常报文所关联的会话。
防病毒模块,与应用层协议代理模块相连接,接收应用层协议代理模块提交的报文,并进行防病毒处理;防病毒处理的结果保存为日志事件,内部集成的日志挖掘功能会定期检测日志内容,发现病毒之后,产生安全事件,并提交安全事件客户端模块;同时,请求应用层协议代理模块中断当前异常报文所关联的会话。
安全事件客户端模块,与应用层协议代理模块、入侵检测模块和防病毒模块相连接,用于接收这些模块提交的安全事件,并进行格式检查之后,提交到资产安全管理模块的安全事件管理模块上,由后者对安全事件进行处理。本模块接收安全策略模块的控制,只上报策略所指定的安全事件。缺省时,上报所有安全事件。
安全策略模块,与资产安全管理模块和报文检测模块相连接,用于维护人员配置不同安全基线、安全事件处理策略、入侵检测规则、安全事件上报和业务关联规则等。将安全基线数据和安全事件处理策略数据提交到资产安全管理模块;将入侵检测规则、安全事件上报规则数据提交到报文检测模块。本发明所述系统级管理员设定的策略,对所有企业级用户可见;而企业级用户设定的策略,仅对该企业的其它管理员可见,各企业级用户必须启用已选定的策略,缺省时,所有策略均未启用。
终端安全管理模块,与资产安全管理模块的资产快照模块、安全运维服务模块和安全运维支撑模块相连接,用于上报Windows终端的运行状况,同时,接收资产快照模块的控制命令,实现企业信息系统网络终端的资产安全管控。利用启动之后采集到硬件信息,邻居信息和软件信息构造认证报文,向资产快照模块申请注册;同时,利用运行中定期采集到硬件信息、邻居信息、软件信息和挖掘到的日志信息构造心跳报文,向资产快照模块汇报运行情况。可选地,终端安全管理模块向安全运维支撑模块不定期发起身份认证,只有身份认证通过之后,终端安全管理模块才进入正常工作状态,否则,会锁定终端,导致终端不可用。
主机安全管理模块,与资产管理模块的资产快照模块、安全运维服务模块和安全运维支撑模块相连接,用于上报主机的运行状况,同时,接收资产快照模块的控制命令,实现企业网络主机类的资产安全管控。本模块首先向安全运维支撑模块发起身份认证请求,身份认证通过之后,才向资产快照模块注册和上报心跳消息。注册消息包括采集到的硬件设备和软件信息;心跳信息包括定期采集到的硬件信息、软件信息和过滤出的日志信息。主机安全管理模块允许管理人员对注册消息和心跳消息的内容进行定制,以便屏蔽部分进程与服务信息。
网络设备管理模块,与资产管理模块的资产快照模块、安全运维服务模块和安全运维支撑模块相连接,用于上报所管辖内的各网络设备的运行状况,同时,接收资产快照模块的控制命令,转化为标准SNMP命令之后,提交到目标网络设备,实现对目标设备的安全管控。本模块可以管控多个支持SNMP协议的网络设备。本模块在启动之后,立即向安全运维支撑模块申请身份认证,验证通过之后,采集本模块的宿主机器的硬件信息和软件信息,并以这些信息为基础,构造注册报文,向资产快照模块注册;同时,依据预设的顺序与时间频率,采集各个网络设备的运行状态数据,并上报到资产快照模块,该资产快照模块将以此类状态数据构建网络设备的运行状态快照,接收网络设备的SNMPTrap消息,并格式化之后保存到缓存区,该缓存区的信息将定期提交到资产快照模块。
所述安全运维支撑模块,与终端安全管理模块、主机安全管理模块、网络设备安全管理模块、资产安全管理模块、业务安全管理和报文检测模块相连接,部署在中小企业信息安全运维服务系统側,提供企业用户管理、身份认证、授权与计费、服务管理、终端管理和统计分析的功能,用于对系统中的各模块进行身份认证;同时,对企业管理员登录到本发明所述系统时,进行用户身份验证,本模块缺省地采用PKI机制的X509数字证书节点双向认证方式对节点进行身份认证;采用X509数字证书用户单向认证方式对用户身份进行验证;身份认证成功之后,本模块请求防火墙系统放开客户端到本发明所述系统服务之间的通信链路;定期检测节点和用户的在线状态,发现不在线之后,立即请求防火墙系统关闭客户端到本发明所述系统服务之间的通信链路。
所述业务安全管理模块,与资产安全管理模块、安全策略模块和安全运维支撑模块相连接,用于帮助用户更进一步了解业务的使用情况、从整个企业所有业务的全局监控或者单个业务的各关键环节进行实时监控、透明化的展现业务数据在网络中的真实路径和实时展示各路径上的业务流量及用户接入设备、帮助用户实现业务架构真实展现和业务各关键路径7X24小时监控;它部署在中小企业信息安全运维服务系统側。
如图2所示,为本发明所述的中小企业信息系统网络信息安全运维服务的方法流程图
步骤C1,安装企业信息系统网络管理软件,包括从信息安全运维服务提供商的服务网络下载Windows终端安全管理软件、UNIX主机安全管理软件、Linux主机管理软件、Windows主机管理软件、网络设备安全管理软件,并分别安装到终端计算机、主机以及空闲计算机上。
在执行本步骤之前,企业必须与信息安全运维服务提供商签订协议,就租借重定向报文流量检测用带宽容量以及保存安全报表、安全检测日志用的文件空间容量达成一致,并获得信息安全运维服务提供商为其分配的VPN客户端接入用户名/密码,信息安全运维服务系统管理员用户/密码,以及通用的VPN服务器IP地址、信息安全运维服务系统IP地址等。
企业用户在获得上述接入信息之后,首先利用VPN客户端用户名/密码,成功建立到信息安全运维服务提供商网络的IPSecVPN之后,通过此VPN隧道访问信息安全运维服务系统,并从其WEB站点上下载终端安全管理软件、主机安全管理软件和网元安全管理软件。
所述终端安全管理软件,即本发明所述中小企业网络信息安全运维服务系统中的终端安全管理模块,仅支持Windows类终端安全管控,内部包括软件白名单管控、文件防护管控、用户上网行为管控、安全操作日志检索、以及资产安全管控功能。在安装时,自动生成本地软件白名单、白名单管控与文件防护功能模块为驱动程序,随操作系统自动加载;白名单内容与文件管控的目标文件均自动上报到信息安全运维服务系统上,以便企业维护员通过该安全管理系统控制其企业网络中的Windows终端;文件防护管控自动保护白名单驱动、白名单文件不受非授权进程访问,即终端用户不能访问这些文件。终端安全管理软件启动时,会主动上报资产信息,包括硬件信息,例如,CPU、内存、硬盘、监视器、网络适配器、显卡等在Windows的“设备管理器”中列表的硬件资产信息;用户信息,包括用户与群组信息;访问信息,包括服务名、状态、进程号、描述、可执行文件长文件名等;活动端口,包括端口号、协议;活动连接,包括本地IP、本地端口、对方IP、对方端口、协议;共享目录信息;网络配置信息;邻居信息,包括MAC(MediaAccessControl,介质访问控制)地址、IP地址、活动进程信息,包括进程名、进程IP、进程关联模块信息;启动组信息,包括注册表项名称和带绝对路径的可执行文件名;内核模块信息,包括短文件名、长文件名;所有这些信息,通过WMI(Windows管理接口)或Windows内核函数获取,并提交信息安全运维服务提供商侧的中小企业信息系统网络信息安全运维服务系统,该系统将以终端安全管理软件提交的数据,重建资产运行快照;同时,在该系统上,除了硬件资产之外,企业维护员可以对软件资产进行管控,包括关闭服务、结束进程、关闭连接、关闭共享等。终端安全管理软件以管理员身份运行。
所述终端安全管理软件,在运行过程中,定期向信息安全运维服务提供商侧的中小企业网络信息安全运维服务系统汇报心跳信息,该心跳信息中除了包含启动时上报信息所包含的内容项之外,还包括从运行日志中检索出的日志,包括时间、操作事件ID、事件描述等,并将其转化为统一的日志事件格式,包括探测器(终端安全管理软件)、事件标志(操作事件ID)、时间(操作事件时间)、源IP(终端IP或从日志条目中过滤而来的源IP)、源端口(any或从日志条目中过滤而来的源端口)、目标IP(终端IP或从日志条目中过滤而来的目标IP)、目标端口(any或从日志条目中过滤而来的目标端口)、事件内容(事件描述)。日志检索采用LUA正则表达式,对需要关注的每个事件,定义一个不同的LUA正则表达式。
所述主机安全管理软件,即本发明所述中小企业网络信息安全运维服务系统中的主机安全管理模块,包括Windows主机安全管控、Linux主机安全管控、Unix主机安全管控共3大类。这类软件需要首先在信息安全运维服务提供商的中小企业网络信息安全运维服务系统上为其颁发数字证书,否则,此类软件与所述中小企业网络信息安全运维服务系统之间不启用X509节点认证。主机安全管理软件启动时,会将本地运行环境信息上报到中小企业网络信息安全运维服务系统;同时,通过所述中小企业网络信息安全运维服务系统,可以对运行环境信息进行控制,包括强行终止进程、清理磁盘文件、关闭活动连接、强制用户下线、重启服务等。这里所述运行环境信息,包括负载信息,内含磁盘容量及负载、内存容量及负载、CPU容量及负载、网络容量及负载;活动端口信息,内含端口号、进程号;活动进程信息,内含CPU消耗、执行命令名、启动用户名、关联的模块名(长文件名以及SOCKET)等;活动用户信息,内含用户名、终端名、IP地址、上线时间等;活动连接信息,内含本地IP、本地端口、远程IP、远程端口和活动状态;安全操作日志信息,内含时间、用户名、IP地址、结果描述等;所有信息,均采用API函数而非SHELL命令采集。
所述主机安全管理软件,在正常运行过程中,还定期上报主机的状况信息,该信息中除了启动时上报信息中的内容项外,还包括从运行日志中通过字符串比较匹配的日志条目信息,内含时间、操作结果、操作内容的描述;并将其转化为统一的日志事件格式,包括探测器(主机安全管控软件)、事件标志(依据匹配的关键字找到的事件ID)、时间(操作事件时间)、源IP(主机IP或从日志信息中过滤而来的源IP)、源端口(any或从日志信息中过滤而来的源端口)、目标IP(终端IP或从日志信息中过滤而来的目标IP)、目标端口(any或从日志信息中过滤而来的目标端口)、事件内容(操作结果与操作内容的并集)。日志事件检索也是采用LUA(即LUA语言)正则表达式提取内容。
所述网元安全管理软件,也就是网络设备安全管理软件,即本发明所述中小企业信息系统网络信息安全运维服务系统中的网络设备安全管理模块,用于管控企业的网络设备,包括路由器、交换机和防火墙等支持SNMP协议的设备。该网元安全管控软件独立部署在至少一台主机上,用以能管控不同子网段的网络设备。网元安全管理软件同前边的终端安全管理软件、主机安全管理软件相比较,一套网元安全管控软件可以管控多个网络设备。网元安全管理软件通过SNMP协议采集受监控设备的运行状态数据,内嵌了主流厂商,如华为、H3C、思科、D-LINK公司公开的MIB库。同时,接收设备的SNMPTrap消息。在配置受管控网络设备的IP地址时,只能配置其管理口的IP地址;网元安全管理软件同时支持CLI(CommandLineInterface,命令行接口)命令采集设备的运行状态数据;但启用CLI方式时,必须配置受管控设备的厂家、设备型号,因为CLI命令行是与不同厂家不同型号的设备紧耦合的。
所述网元安全管理软件启动之后,自身向所述中小企业信息系统网络信息安全运维服务系统发送状态消息,该消息同所述终端安全管理软件上报的资产信息内容一致;在随后的运行中,会基于预设的频率间隔,采集各受控网络设备的运行数据,如网络吞吐量、CPU负载、内存负载等,同时,将当前时间间隔之内该设备的SNMPTrap消息,解析成固定格式的事件数据,包括探测器(网元安全管理软件)、事件标志(依据SNMPTrap消息内容检索事件标识表所得)、时间(事件时间)、源IP(网元IP或从SNMPTrap内容中过滤而来的源IP)、源端口(any或从SNMPTrap内容中过滤而来的源端口)、目标IP(网元IP或从SNMPTrap内容中过滤而来的目标IP)、目标端口(any或从SNMPTrap内容中过滤而来的目标端口)、事件内容(SNMPTrap转化成的字符串),上报到所述中小企业网络信息安全运维服务系统的操作界面,管理员可以手工提取指定网络设备的业务数据,如路由表、生成树以及规则等。同时,可指定是否对设备的配置信息进行完整性验证。网元安全管理软件将定期采集指定了完整性验证的网络设备的配置数据,并进行比较,发现变更时,将立即创建日志事件,其缓存到日志事件队列中,所述日志事件队列由多个子队列组成,所有子队列的头节点为受控设备的IP地址标识。
同时,所述网元安全管理软件内嵌了syslog(syslog协议)服务功能,只要开启了该功能,可以将支持syslog协议的设备的syslog日志强制上传到该网元安全管理软件所在的宿主主机上;一旦开启了syslog服务功能,则日志解析功能自动开启。进一步地,所述网元安全管理软件同时还集成了TFTP(TrivialFileTransferProtocol,简单文件传输协议)服务功能,一旦开启了TFTP服务,则可以要求支持TFTP协议的设备将本地日志上传到网元安全管理软件宿主机上,该功能依据预设的过滤规则(即LUA正则表达式),从所述上传的日志条目中过滤内容,一旦过滤到了内容,则构造日志事件,包括探测器(网元安全管控软件)、事件标志(依据日志条目内容所匹配的过滤条件而定)、时间(日志发生时间)、源IP(日志来源机器的IP)、源端口(any或从日志内容中过滤而来的源端口)、目标IP(日志来源机器的IP或从日志内容中过滤而来的目标IP)、目标端口(any或从日志内容中过滤而来的目标端口)、事件内容(日志描述),并缓存到日志事件队列中,所述网元安全管理软件会以恒定间隔读取队列中的内容,并上报到所述中小企业信息安全运维服务系统上,并清空缓冲区内容;转存的文件在发现所述中小企业信息安全运维服务系统可达时,将立即上传。
步骤C2,重定向外出报文到报文检测服务系统;企业管理员在内网与公网之间的边界设备上,将预定的应用层协议报文重定向到所述中小企业信息安全运维服务系统的报文检测服务系统,由该系统对重定向的报文进行检测。
所述报文检测服务系统,即本发明所述中小企业信息安全运维服务系统中的报文检测服务系统,由该系统对重定向的报文进行检测。
如果边界设备支持按协议重定向,如应用级网关设备,可以将指定协议(或不区分协议)的报文重定向到报文检测服务系统;如果所有边界网关均不支持报文重定向,则需要首先建立报文到报文检测服务系统的VPN隧道,该隧道采用IPoverIP(IP封装IP)方式封装报文,然后通过此隧道外发所有报文;利用VPN隧道传送外发报文,可能在报文流量大时,会影响性能。因此,需要依据实际情况,建多条隧道,同时,重新规划企业内部拓扑结构,通过设置不同的路由关系,在企业内网主动分流到不同的隧道。
企业提交的重定向报文的流量,不能超过其租借的流量容量。信息安全运维服务提供商側的报文检测系统,通过令牌桶机制限制中转流量,如果超过了租借的流量容量,则直接丢弃超过容量的报文。
位于信息安全运维服务提供商机房的报文检测系统收到重定向报文之后,首先会对源端和/或目的端进行验证,只处理源端或目的端IP已注册的报文。其它报文将直接丢弃,然后将报文依次提交到内部不同应用层协议代理模块。
应用层协议代理包括STMP协议代理、POP3协议代理、HTTP协议代理、MSN协议代理、QQ协议代理和不区分协议代理。分别用于网络邮件管控、基于网页的访问管控、及时通信管控和未分协议的简单管控。缺省时,应用层协议报文提交到相应的应用层协议代理上,但是,企业管理员可以指定报文检测系统只单独处理部分协议,如HTTP协议报文,而其它协议都提交到不区分协议代理。
SMTP协议代理和POP3协议代理采用相似的处理机制,首先基于协议解码获得邮件内容,然后对外出邮件,基于关键字进行过滤,如果过滤到信息,则邮件内容写入租用的报文空间;如果过滤到核心机密级的内容,则保存内容到文件空间,同时,产生告警信息,并不中转此邮件;针对邮件中的附件,简单地保存到文件空间,以便人工审计,附件内容不进行解码;最后透传报文。
HTTP协议代理首先记录协议域消息,然后基于预设的URL黑名单,直接丢弃报文;然后基于预设的时间段与客户端关系策略,直接丢弃违规访问;并最终透传HTTP报文,所以头域信息以XML文件格式,依据时间段,保存到文件空间上。
MSN协议代理和QQ代理采用类似的处理机制:记录源端的IP地址,并更新其在线时间与消息发送频率;可选地,将谈话内容以及往来附件保存到文件空间;最后透传报文,因为MSN和QQ的谈话内容均是加密的,缺省是不保存谈话信息。
不区分协议代理只简单记录源端IP、源端端口、协议、目标IP、目标端口和报文长度信息,并透明中转报文。
应用层协议代理在处理往来报文之前,先进行入侵检测和防病毒处理。报文首先提交到入侵检测模块,该模块自身为NIDS(NetworkIntrusionDetectionSystem,网络入侵检测系统),可对报文基于已知规则的入侵检测处理。入侵检测模块检测到确定的攻击特征之后,直接通知应用层协议代理模块关闭与之关联的会话,并产生告警事件;如果检测到攻击特征但不确定时,则只产生告警事件。报文随后会提交到防病毒模块,该模块自身为防病毒系统,内嵌的处理模块会实时采集防病毒系统的运行日志(利用正则表达式提取内容),发现病毒时,同样会产生告警事件,并要求应用层协议代理模块关闭与之关联的活动会话。
报文检测系统内产生的告警,通过其内部的安全事件客户端模块提交到资产管理模块。安全事件客户端模块首先检查其它模块提交的事件格式是否正确,然后添加上提交时间属性之后,通过有名管道或网络接口提交到资产管理模块。事件的属性包括探测器(具体模块标识)、事件标志(具体事件标识)、时间(事件时间)、源IP(探测器依据具体事件来填写,事件的源IP地址)、源端口(any或具体端口)、目标IP(探测器依据具体事件来填写,缺省首选目标IP地址,无目标IP地址时为源IP地址)、目标端口(any或具体端口)、事件内容(由探测器依据具体情况来填写事件内容)。
报文检测模块所用IDS(IntrusionDetectionSystem,入侵检测系统)策略,可以由企业维护人员通过安全策略模块设置。保存的文件处理策略,以及上报的安全事件策略都是由企业维护人员设置的。信息安全运维服务提供商可以通过安全策略模块设定对所有企业均适用的此类策略;但企业的维护人员可以对这类策略进行控制,如不启用。各企业自行设定的策略只对该企业的重定向报文有效。
步骤C3:企业信息网络安全管控,企业管理人员可以通过VPN隧道登录到信息安全运维服务提供商的信息安全运维服务系统,对其企业网络进行安全管控。
企业管理人员首先建立到信息安全运维服务系统的IPSecVPN隧道,然后检测安装在企业网络终端安全管理软件、主机安全管理软件和网络设备安全管理软件的日志,确定此类软件能够通过该IPSecVPN隧道提交报文到信息安全运维服务系统,即在日志中未出现“等待服务器端响应超时”或“数据发送失败”类似的提示。缺省地,该IPSecVPN隧道是一直存在的。
企业管理人员保存有身份信息的硬件装置,如USBKey,连接到计算机,并通过浏览器访问信息安全运维服务系统,在“认证方式”中,选择“USBKey”,并输入企业编号、企业密码、管理名和密码。
信息安全运维服务系统的Web插件会以当前的企业编号、企业密码、管理名和密码以及随机数为基准值,利用MD5算法计算其HASH(即哈希)值之后,调用USBKey的签名接口,对HASH值进行签名;并以基准值、签名之后的HASH值为内容,构造认证报文,并调用USBKey的加密接口,对认证报文内容加密;最后将加密之后的认证报文发送到信息安全运维服务系统的安全运维支撑模块进行身份认证。在USBKey上,集成了PKI(PublicKeyInfrastructure,公钥基础设施)支持芯片,该芯片内保存了用户身份的私钥和信息安全运维服务系统的公钥数据,签字与加密均在芯片上进行,外界无法导出私钥数据。USBKey可以采用市场上现成的PKI支持芯片即可实现此功能。
信息安全运维服务系统的安全运维支撑模块需要进行身份认证,在收到用户认证报文之后,首先以自身公钥解密报文内容,并提取到企业编号和用户名之后,检索数据表,以获取该用户的公钥数据,并用获得的公钥数据解签,得到原始HASH值,同时,利用MD5(MessageDigestAlgorithm5,信息摘要算法5)算法,计算出认证报文的HASH值;只有原始HASH值和计算HASH值一致时,才确认身份成功,并生成动态配置规则,要求防火墙放开该用户对信息安全运维服务系统内部报文的报文通道。报文中的密码,本身为通过MD5之后的计算值,保存在数据库中的密码,同样是MD5的计算值。
企业管理人员成功登录到信息安全运维服务系统之后,可对其企业IT资产进行安全管控,包括浏览拓扑图、查看资产安全状态、查看安全事件、查看内部员工上网行为及业务使用情况、修改白名单、关闭进程与服务、强制用户下线、漏洞扫描、拓扑扫描、业务架构扫描、设定各类策略、打补丁和重启系统等。管理人员也可以对自己租用的文件空间中保存的文件进行处理,包括检索、浏览、删除和下载;管理人员也可以在安全服务报表窗口查看由信息安全运维服务系统提供的安全报表,同时,在未超过报表类型定额数时,还可以定义自己的报表,并指定报表权限和发送策略。
信息安全运维服务系统的资产安全管理模块接收并处理企业网络中的终端安全管理模块、主机安全管理模块、网络设备管理模块注册报文、心跳报文和事件报文,接收并处理报文检测模块提交的事件;接收并处理操作用户的控制操作。
源自终端安全管理模块、主机安全管理模块、网络设备管理模块的报文,提交到资产快照模块之后,该模块针对每个注册报文,首先测试该IP地址与MAC地址信息确定的资产是否已存在;如果是新资产,则依据IP地址与MAC地址构建一个新资产,并以新资产为当前资产;否则,以检索到的资产为当前资产;然后,利用注册报文中的硬件信息,填充当前资产的硬件属性,以用户信息填充当前资产的用户信息属性;以服务信息填充当前资产的服务属性;以活动连接信息填充当前资产的活动连接属性;以网络配置信息填充当前资产的网络配置属性;以活动进程信息填充当前资产的活动进程属性;以启动组信息填充当前资产的启动组属性;以内核模块信息填充当前资产的内核模块属性;以邻居信息更新当前资产与邻居资产之间的连接关系属性,并重绘资产之间的连接线;邻居信息同样用来发现新资产,如果由邻居信息(IP、MAC地址)确定的资产不存在,则表示发现了一个新资产节点。
利用注册信息构造资产的运行快照时,可立即发现资产内部的变更信息,包括属性内容增加、修改和被删除,同时,还可以通过比较属性的当前值与安全基准值的差距,对偏离发出告警。告警事件包括探测器(资产快照模块)、事件标志(依据实际情况生成,可为硬件变更、软件变更、违反基线或发现新资产)、时间(当前时间)、源IP(资产的实际IP地址)、源端口(NULL)、目标IP(NULL)、目标端口(NULL)、事件内容(具体描述)、资产标识(当前资产的内部标识)、接收时间(当前时间)、可信度(10)、处理标志(1)和处理策略(NULL)。
同样地,资产快照模块针对终端安全管理模块、主机安全管理模块、网络设备管理模块提交的心跳报文,除了同进行注册报文一样地处理之外,对心跳报文中的日志事件条目,进行单独处理,包括:首先构造内部事件,并从日志事件的探测器、事件标志、时间、IP地址、端口、事件内容的属性直接拷贝到新构造的内部事件的相应域,同时,为内部事件附加上资产标识(当前资产的内部标识)、接收时间(当前时间)、可信度(0)、处理标志(0)和处理策略(NULL);然后依据预设的与该资产相关的日志敏感字过滤条件,对当前新构造的内部事件进行过滤;如果符合过滤条件,则依据过滤条件更新可信度和处理标志。缺省地,如果可信度大于5,则处理标志直接修改为1,用于提示该事件已经确信为异常事件,后边的模块会加快对此类事件的处理。最后,将新构造的事件的编号保存到资产相应的日志事件列表中,提示,如果可信度大于5,则该事件标识显示为红色,提醒维护人员注意。
资产快照模块所产生的告警事件,或内部事件,会提交到安全事件管理模块。安全事件管理模块对源自资产快照模块、报文检测模块提交的各类事件,进行统一处理。
同时,资产快照模块接收漏洞扫描模块的扫描结果,并利用扫描所获得的漏洞数据,更新当前资产的漏洞列表;利用扫描获得网络节点数据以及链路数据,更新节点以及节点之间的连接信息,同时,更新拓扑图。一旦发现了新的节点或连接关系,则立即构造告警事件,同时,以特殊颜色展示新节点和连接,以警示维护人员。资产快照模块接收来自维护人员在安全监控模块上发起的控制命令,如强制用户下线、关闭进程或服务、提取文件等,并通过与对应目标资产之间的现有的活动通道,下发到终端安全管理模块、和/或主机安全管理模块、和/或网络设备管理模块上。
漏洞扫描模块中集成了漏洞扫描功能模块,如Nessus工具;集成了端口扫描功能,如Nmap工具;集成了操作系统指纹识别,如P0F工具;集成了链路层发现功能,如CDP(CiscoDiscoveryProtocol,思科发现协议)和SNMPMIB(SimpleNetworkManagementProtocolManagementInformationBase,SNMP管理信息库)库;集成了IP子网扫描功能,以及其它功能,如ARPWatch工具、私通外网检查工具等。可以对指定目标、指定网络进行远程扫描,以便发现漏洞和网络拓扑。维护人员成功地登录到信息安全运维服务系统之后,可使用此模块的功能对自己的企业网络扫描。
信息安全运维服务系统允许授权的信息安全运维服务提供商级的查看预设企业的所有信息,包括拓扑图、安全策略,以及安全报表;但是,不允许访问企业所租用的文件空间中的文件。此类文件仅允许企业级操作员访问。
企业信息网络安全管控中,针对各类事件的处理是本步骤的核心,通过对各类事件进行安全分析之后,计算出安全风险,从而指导维护人员正确地对本企业信息网络进行安全管控。事件的处理流程如图3所示。
步骤:C31:事件预处理。预处理主要用于事件数据检测以及事件处理规则检索,以及加快事件处理。
安全事件管理模块针对源自资产快照模块已标准化的内部事件,直接写入本地事件缓存池,而对源自报文检测模块提交的事件,在该事件之后附加资产标识(依据事件的IP地址查找到的内部标识)、接收时间(当前时间)、可信度(0)、处理标志(0)和处理策略(NULL),再写入本地事件缓存池。
针对事件池中的每条事件,首先测试资产标识是否为空,如果为空,则填写该事件的处理策略为(NULL),则不进行任何处理;否则,依据事件的探测器属性和事件标识属性为条件,在事件处理策略中,检索相应的处理策略。当处理策略存在多条时,选择最高优先级的策略为处理策略;如果最高优先级相同,则生效时间最新的策略为处理策略,处理策略包括策略编号、策略名称、探测标识、事件标识、生成时间、生效时间、优先级别、处理标志等属性。其中处理标识包括单事件处理标志、事件链处理标志和风险评估处理标志。处理策略的优先级别将附加在事件数据的后边,表示为该事件的优先级,所述优先级为0~5级,5级为最高级。
在本发明中,所有的事件都是由探测器产生并上报的,因此,可以控制事件的类型(即事件标识),从而可以为所有事件类型设定处理策略。处理策略由本发明所述系统启动时初始化,授权的企业维护人员可以修改此类策略,以符合自己企业的现状。
步骤C32:事件独立处理。事件独立处理是对单个事件进行分析。
如果事件处理策略的单事件处理标志为真,则需要对当前事件进行独立分析,主要漏洞关联分析和资产关联分析。
漏洞关联分析是将事件与资产上的漏洞列表进行关联,如果关联成功,则提高该事件的可信度,否则,事件独立处理结束。资产关联分析是在漏洞关联分析之后,确认了事件与漏洞的关联时,再将漏洞的触发条件与资产的实际运行状况相比较,以验证该漏洞能否触发,从而进一步提高事件的可信度(关联成功)或降低可信度(关联失败)以消除虚告警。漏洞关联分析与资产关联分析仅处理事件标志为0的事件。
漏洞关联分析描述如下:在预设的漏洞与事件关联表中,检索出当前事件标识所关联的所有漏洞标识(此关系表手工维护,对每一个系统支持的新事件、新漏洞,都需要增加漏洞、事件关系);然后比较目标资产(事件的资产标识属性确定)上的漏洞列表是否与检索出来的漏洞集合存在交集,如果不为空,则关联成功,事件的可信度提高到5;否则,事件的可信度保持不变,并结束事件独立处理。
资产关联分析描述如下:在漏洞关联分析中所确定的漏洞交集中,针对每个漏洞,从漏洞基础信息表(该表手工维护,用于保存漏洞的基本信息,包括漏洞编号、名称、操作系统及其版本、应用及其版本、端口、协议、后果等)检索出操作系统及其版本、应用及其版本、端口和协议,并组成集合A:首先,测试目标资产(由事件的资产标识所确定)的操作系统及其版本是否包含在集合A所确定的操作系统及其版本中;如果是,则事件的可信度增1,否则,如果不匹配,则事件的可信度置0,并结束资产关联;测试资产目标资产上的关系对<活动端口、协议>是否与集合A中的<端口、协议>有交集;如果有,则事件的可信度保持不变;否则,端口与协议不匹配,事件的可信度置0,并结束资产关联;最后,测试目标资产上的应用及其版本是否与集合A所确定的应用及其版本相匹配,如果匹配,则事件的可信度置10;否则,事件的可信度置0。
步骤C33:事件链处理。事件链处理主要用于将当前待分析的事件与已知的事件链规则进行匹配,从而挖掘出新事件。
如果事件处理策略的事件链处理策略为真,则需要对当前事件进行事件链关联分析。事件链关联分析主要用于基于已知事件链上的前导事件,推导出新的事件,从而提前预报,警示维护采取措施。
事件链处理的内部处理流程描述如下:
步骤1:基于经验积累的、网络公开的,以及第三方工具的事件链规则,构造适合本发明推理用的事件链规则。本发明中,事件链总有一个入口事件,即根事件,该事件是事件链中的首个事件;根事件之下有多个分支,各分支可导致不同的新事件。因此,事件链总是组织成树型结构。此树型结构不是一颗标准的树,因为可能存在环,即不同的前导事件,可能会推导出同一个事件。
规则属性包括:新事件标识、新事件描述、新事件可信度、待分析事件的事件标识、待分析事件的探测器、时间间隔、统计值、待分析事件的源IP、待分析事件的源端口、待分析事件的目标IP、待分析事件的目标端口、源IP规则、源端口规则、目标IP规则、目标端口规则、层次、子节点指针等属性。
步骤2:测试当前事件是否从属于当前已活动事件链后续事件;将当前事件与缓存区中所有活动的事件链规则树上的所有活动规则比较,如果匹配,则事件链处理结束,并产生新事件;同时,将当前事件的源IP、源端口、目标IP和目标端口内容保存到规则的待分析事件的源IP、待分析事件的源端口、待分析事件的目标IP和待分析事件的目标端口中;且修改当前事件链规则的活动规则链,将当前匹配规则的所有子节点插入到活动规则链中;将当前匹配规则从活动规则链中删除;否则,转步骤3。
进行活动规则匹配时,首先验证当前事件的探测器和事件标志是否被某个活动规则所要求的探测器和事件标志集所包含。如果包含,则顶层匹配成功;然后,依据规则的底层匹配约束(源IP规则、源端口规则、目标IP规则、目标端口规则)的内容,将当前事件的源IP、源端口、目标IP和目标端口与底层匹配约束所指示的事件链上已有事件的相应属性进行比较,如果比较结果为真,才是事件与规则匹配成功。
所产生的新事件,其事件标识、事件内容和可信度来自规则所定义的新事件标识、新事件描述和事件可信度,探测器(安全事件管理模块)、时间(当前事件)之外,其它属性直接拷贝当前事件的相应属性内容,新事件写入事件池,以便对该事件进行分析。
缓存区中的事件链规则树,会在活动规则链为空,或存活时间失效之后,被自动清除掉。
步骤3:测试当前事件是否属于事件链的入口事件。将当前事件与系统所有的预设的事件链规则进行比较,如果匹配成功,则当前事件为特定事件链的根事件,将当前匹配的事件链规则库拷贝到缓冲区中。同时,将当前事件的源IP、源端口、目标IP和目标端口的内容保存到事件链规则树上根规则的待分析事件的源IP、待分析事件的源端口、待分析事件的目标IP和待分析事件的目标端口中,且将根规则的所有子节点插入活动规则链中。
事件与根规则比较时,只简单比较事件的探测器和事件标识是否被规则的探测器和标识所包含;一旦包含,则认为匹配成功,且不再与尚未比较过的其它事件链的根规则比较。所有规则链的根规则必须互斥,否则,排在后边的规则链将无法触发。
步骤C34:事件风险评估。计算当前事件的风险值和风险等级。
如果待处理事件的处理策略的风险评估标志为真,则需要对该事件进行风险评估操作。
首先,检测事件的可信度和附加优先级,如果任意一项为零,则当前事件的风险值为零;否则,通过事件的资产标识属性,从资产价值表(该表手工维护,用于保存资产的业务价值,业务价值由0~5等级,5级最高)之后,利用客体风险=可信度×优先级×资产价值等级/10,计算出事件的客体风险(即目标设备),如果事件的源IP与目标IP不一致,则利用源IP属性获取资产标识(即主体资产标识)后,再利用该资产标识从资产价值表中获得资产的价值之后,利用主体风险=可信度×优先级×资产价值等级/10,计算出事件的主体风险(即源设备),并以主体风险、客体风险中的大者为当前事件的风险值。
其次,更新事件主体和事件客体的风险等级,如果事件的风险值大于零,则为该事件产生流水号,将上一步计算出的客体风险值,利用事件客体所对应的资产上预设的风险值与风险等级映射关系,计算出客体风险值所对应的客体风险等级,并将当前事件流水号、风险等级,插入当前事件的资产标识属性所确定的资产的风险列表中。同时,更新该资产的风险等级统计数;将上一步计算出的主体风险值、利用上一步检索到的主体资产标识检索到相应资产上风险值与风险等级映射关系,计算出主体风险值所对应的主体风险等级,并将当前事件流水号、风险等级,插入主体资产标识所确定的资产的风险列表中,同时,更新该资产的风险等级统计数。
进一步地,只有资产的风险等级统计数发生了变更,则自动变更该资产所在子网风险等级统计数。
C35:示警并自动响应处理。依据预设的响应策略,示警维护人员,并自动响应。
安全事件管理模块依据安全策略模块设定的响应策略,对风险大于阀值的事件告警,并自动响应。所述阀值由维护人员设定,事件的风险值是0~25,缺省时,告警阀值为5。
安全策略模块设定的响应策略,包括策略号、生效标志、生效开始时间、生效结束时间、内部执行标志、外部执行标志、正则表达式和命令等属性。其中,正则表达式用于从事件中提取内容,如源IP、目标IP,命令是具体地可执行指令,由安全监控模块解释。命令中的占位符由正则表达式提取的内容填充。命令可以简单为示警、发送Email或发送及时消息,也可以是SHELL命令、SNMP指令。
通过以事件中事件标识属性值为条件,检索策略与事件关联表(该表手工维护,用于将策略与事件关联,每增加了信息事件标识,如果需要自动响应,则需要为该事件配置策略;每增加了新策略,则需要指派到事件之后,该策略才能被执行),即可检索到对应的安全策略,从而可针对系统所支持的事件进行准确响应。
安全事件管理模块将事件数据,包括事件标识、事件内容、源IP、源端口、目标IP和目标端口、发生时间,以及对应策略的具体命令,提交到安全监控模块。
安全监控模块依据响应策略的具体命令进行自动响应,包括事件展示、声音告警,将事件数据发送到预设的企业管理员邮箱,或通过GSMModem(仅支持GSM的猫)给预设的企业管理员发送短信,或将命令打包成接口消息包,提交到资产快照模块,由后者通过当前活动信道,发送到正确的终端安全管理模块、和/或主机安全管理模块、和/或网络设备管理模块上,指导后者执行命令。
安全监控模块同样接收操作员的手工控制,在手工控制面板上,收集操作员选定的控制参数以及输入的值之后,构造成标准接口消息包,并提交到资产快照模块。
步骤C36:安全报表处理。对经安全事件管理模块处理的事件,自动进行统计与汇总处理。
安全事件管理模块最终将处理过的事件,附加上事件流水之后,提交到安全报表模块。安全报表模块将对事件进行集中处理,包括按照事件标识统计、按照探测器统计、按照IP统计、按照目标IP统计等。
此外,安全报表模块对来自报文检测模块提交的安全事件中包括了源IP、源端口、协议、目标IP和目标端口和报文长度信息的事件,将进一步处理其事件的内容,利用这些生成统计报表,包括协议分布报表、IP分布报表、TOPN报表等,所有报表,缺省均提供日报、周报、月报、季报和年报等。
所有报表模板的自动属性为真的报表,其报表文件生成之后,也保存到企业所租用的文件空间之中。
以上所述仅为本发明的较佳实施例,并非用来限定本发明的实施范围;凡是依本发明所作的等效变化与修改,都被视为本发明的专利范围所涵盖。
Claims (6)
1.本发明提供了一种向中小企业提供信息安全运维服务的系统与方法,其特点在于,包括:安全运维数据采集模块、安全运维服务模块、安全运维支撑模块和安全策略模块。
2.如权利要求1所述一种向中小企业提供信息安全运维服务的系统与方法,其特点在于,安全运维数据采集模块,包括报文检测模块、终端安全管理模块、主机安全管理模块和网络设备安全管理模块。
3.如权利要求1所述一种向中小企业提供信息安全运维服务的系统与方法,其特点在于,安全运维服务模块,包括资产安全管理模块和业务安全管理模块。
4.如权利要求1所述一种向中小企业提供信息安全运维服务的系统与方法,其特点在于,所述企业的维护人员,仅能浏览与所述企业网络资产和业务相关的安全运维报表;仅能对所述企业信息网络进行远程扫描,仅能浏览和控制所述企业网络的资产和业务。
5.如权利要求2所述一种向中小企业提供信息安全运维服务的系统与方法,其特点在于,所述报文检测模块,包括应用层协议代理模块、入侵检测模块、防病毒模块和安全事件客户端模块。
6.如权利要求3所述一种向中小企业提供信息安全运维服务的系统与方法,其特点在于,资产安全管理模块,包括资产快照模块、漏洞扫描模块、安全事件管理模块、安全监控模块和安全报表模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510669867.0A CN105391687A (zh) | 2015-10-13 | 2015-10-13 | 一种向中小企业提供信息安全运维服务的系统与方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510669867.0A CN105391687A (zh) | 2015-10-13 | 2015-10-13 | 一种向中小企业提供信息安全运维服务的系统与方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105391687A true CN105391687A (zh) | 2016-03-09 |
Family
ID=55423524
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510669867.0A Pending CN105391687A (zh) | 2015-10-13 | 2015-10-13 | 一种向中小企业提供信息安全运维服务的系统与方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105391687A (zh) |
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106656987A (zh) * | 2016-11-03 | 2017-05-10 | 郑州理工职业学院 | 一种计算机信息安全管理系统 |
| CN106789232A (zh) * | 2016-12-16 | 2017-05-31 | 武汉奥浦信息技术有限公司 | 一种高效的信息流程化的处理控制系统 |
| CN106803138A (zh) * | 2015-11-26 | 2017-06-06 | 北京奥鹏远程教育中心有限公司 | 一种运维服务子系统 |
| CN107295010A (zh) * | 2017-08-02 | 2017-10-24 | 杭州谷逸网络科技有限公司 | 一种企业网络安全管理云服务平台系统及其实现方法 |
| CN107483419A (zh) * | 2017-07-28 | 2017-12-15 | 深圳市优克联新技术有限公司 | 服务器认证接入终端的方法、装置、系统、服务器及计算机可读存储介质 |
| CN107547228A (zh) * | 2016-06-29 | 2018-01-05 | 南京联成科技发展股份有限公司 | 一种基于大数据的安全运维管理平台的实现架构 |
| CN108134763A (zh) * | 2016-12-01 | 2018-06-08 | 南宁富桂精密工业有限公司 | 攻击应对方法及系统 |
| CN108737425A (zh) * | 2018-05-24 | 2018-11-02 | 北京凌云信安科技有限公司 | 基于多引擎漏洞扫描关联分析的脆弱性管理系统 |
| CN108876228A (zh) * | 2018-09-28 | 2018-11-23 | 苏州朗动网络科技有限公司 | 企业风险的监控方法、装置、计算机设备及存储介质 |
| CN108881278A (zh) * | 2018-07-10 | 2018-11-23 | 江苏满运软件科技有限公司 | 风险评估方法及系统 |
| CN109472139A (zh) * | 2017-12-25 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种防御勒索病毒对主机文档二次加密的方法及系统 |
| CN109861972A (zh) * | 2018-12-21 | 2019-06-07 | 陕西商洛发电有限公司 | 一种工业信息控制一体化平台的安全架构系统 |
| CN109995794A (zh) * | 2019-04-15 | 2019-07-09 | 深信服科技股份有限公司 | 一种安全防护系统、方法、设备及存储介质 |
| CN110620682A (zh) * | 2019-08-26 | 2019-12-27 | 奇安信科技集团股份有限公司 | 资源信息的获取方法及装置、存储介质、终端 |
| CN110650151A (zh) * | 2019-10-10 | 2020-01-03 | 青海大学 | 一种计算机网络安全远程监控装置 |
| CN110708340A (zh) * | 2019-11-07 | 2020-01-17 | 深圳市高德信通信股份有限公司 | 一种企业专用网络安全监管系统 |
| CN111510428A (zh) * | 2020-03-09 | 2020-08-07 | 联通(广东)产业互联网有限公司 | 安全资源运维平台系统及管控方法 |
| CN112333669A (zh) * | 2020-12-01 | 2021-02-05 | 杭州都市高速公路有限公司 | 车路协同路侧基站系统的安全检查方法、装置和电子设备 |
| CN112395619A (zh) * | 2020-11-18 | 2021-02-23 | 中国信息安全测评中心 | 一种漏洞扫描方法及装置 |
| CN112615842A (zh) * | 2020-12-11 | 2021-04-06 | 黑龙江亿林网络股份有限公司 | 基于大数据平台的网络安全实施系统及方法 |
| CN114143033A (zh) * | 2021-11-01 | 2022-03-04 | 北京银盾泰安网络科技有限公司 | 一种云平台用户管理和运维集成系统 |
| CN114338407A (zh) * | 2022-03-09 | 2022-04-12 | 深圳市蔚壹科技有限公司 | 一种用于企业信息安全的运维管理方法 |
| CN114915535A (zh) * | 2021-12-14 | 2022-08-16 | 天翼数字生活科技有限公司 | 一种基于PaaS服务的智能化赋能平台终端运维管理实现方法 |
| CN116647653A (zh) * | 2023-07-27 | 2023-08-25 | 广州竞远安全技术股份有限公司 | 基于视频日志关联检索的安全运维操作监控系统及方法 |
| CN116760648A (zh) * | 2023-08-22 | 2023-09-15 | 上海金电网安科技有限公司 | 安全服务方法、装置、电子设备及存储介质 |
-
2015
- 2015-10-13 CN CN201510669867.0A patent/CN105391687A/zh active Pending
Cited By (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106803138A (zh) * | 2015-11-26 | 2017-06-06 | 北京奥鹏远程教育中心有限公司 | 一种运维服务子系统 |
| CN107547228A (zh) * | 2016-06-29 | 2018-01-05 | 南京联成科技发展股份有限公司 | 一种基于大数据的安全运维管理平台的实现架构 |
| CN107547228B (zh) * | 2016-06-29 | 2021-01-05 | 南京联成科技发展股份有限公司 | 一种基于大数据的安全运维管理平台的实现架构 |
| CN106656987A (zh) * | 2016-11-03 | 2017-05-10 | 郑州理工职业学院 | 一种计算机信息安全管理系统 |
| CN108134763A (zh) * | 2016-12-01 | 2018-06-08 | 南宁富桂精密工业有限公司 | 攻击应对方法及系统 |
| CN106789232B (zh) * | 2016-12-16 | 2019-12-06 | 武汉奥浦信息技术有限公司 | 一种高效的信息流程化的处理控制系统 |
| CN106789232A (zh) * | 2016-12-16 | 2017-05-31 | 武汉奥浦信息技术有限公司 | 一种高效的信息流程化的处理控制系统 |
| CN107483419A (zh) * | 2017-07-28 | 2017-12-15 | 深圳市优克联新技术有限公司 | 服务器认证接入终端的方法、装置、系统、服务器及计算机可读存储介质 |
| CN107295010A (zh) * | 2017-08-02 | 2017-10-24 | 杭州谷逸网络科技有限公司 | 一种企业网络安全管理云服务平台系统及其实现方法 |
| CN109472139A (zh) * | 2017-12-25 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种防御勒索病毒对主机文档二次加密的方法及系统 |
| CN109472139B (zh) * | 2017-12-25 | 2022-04-19 | 北京安天网络安全技术有限公司 | 一种防御勒索病毒对主机文档二次加密的方法及系统 |
| CN108737425B (zh) * | 2018-05-24 | 2021-06-08 | 北京凌云信安科技有限公司 | 基于多引擎漏洞扫描关联分析的脆弱性管理系统 |
| CN108737425A (zh) * | 2018-05-24 | 2018-11-02 | 北京凌云信安科技有限公司 | 基于多引擎漏洞扫描关联分析的脆弱性管理系统 |
| CN108881278A (zh) * | 2018-07-10 | 2018-11-23 | 江苏满运软件科技有限公司 | 风险评估方法及系统 |
| CN108876228A (zh) * | 2018-09-28 | 2018-11-23 | 苏州朗动网络科技有限公司 | 企业风险的监控方法、装置、计算机设备及存储介质 |
| CN108876228B (zh) * | 2018-09-28 | 2021-06-18 | 企查查科技有限公司 | 企业风险的监控方法、装置、计算机设备及存储介质 |
| CN109861972A (zh) * | 2018-12-21 | 2019-06-07 | 陕西商洛发电有限公司 | 一种工业信息控制一体化平台的安全架构系统 |
| CN109861972B (zh) * | 2018-12-21 | 2022-09-09 | 陕西商洛发电有限公司 | 一种工业信息控制一体化平台的安全架构系统 |
| CN109995794A (zh) * | 2019-04-15 | 2019-07-09 | 深信服科技股份有限公司 | 一种安全防护系统、方法、设备及存储介质 |
| CN110620682A (zh) * | 2019-08-26 | 2019-12-27 | 奇安信科技集团股份有限公司 | 资源信息的获取方法及装置、存储介质、终端 |
| CN110620682B (zh) * | 2019-08-26 | 2023-01-06 | 奇安信科技集团股份有限公司 | 资源信息的获取方法及装置、存储介质、终端 |
| CN110650151A (zh) * | 2019-10-10 | 2020-01-03 | 青海大学 | 一种计算机网络安全远程监控装置 |
| CN110708340A (zh) * | 2019-11-07 | 2020-01-17 | 深圳市高德信通信股份有限公司 | 一种企业专用网络安全监管系统 |
| CN111510428A (zh) * | 2020-03-09 | 2020-08-07 | 联通(广东)产业互联网有限公司 | 安全资源运维平台系统及管控方法 |
| CN112395619A (zh) * | 2020-11-18 | 2021-02-23 | 中国信息安全测评中心 | 一种漏洞扫描方法及装置 |
| CN112333669A (zh) * | 2020-12-01 | 2021-02-05 | 杭州都市高速公路有限公司 | 车路协同路侧基站系统的安全检查方法、装置和电子设备 |
| CN112615842A (zh) * | 2020-12-11 | 2021-04-06 | 黑龙江亿林网络股份有限公司 | 基于大数据平台的网络安全实施系统及方法 |
| CN114143033A (zh) * | 2021-11-01 | 2022-03-04 | 北京银盾泰安网络科技有限公司 | 一种云平台用户管理和运维集成系统 |
| CN114915535A (zh) * | 2021-12-14 | 2022-08-16 | 天翼数字生活科技有限公司 | 一种基于PaaS服务的智能化赋能平台终端运维管理实现方法 |
| CN114338407A (zh) * | 2022-03-09 | 2022-04-12 | 深圳市蔚壹科技有限公司 | 一种用于企业信息安全的运维管理方法 |
| CN116647653A (zh) * | 2023-07-27 | 2023-08-25 | 广州竞远安全技术股份有限公司 | 基于视频日志关联检索的安全运维操作监控系统及方法 |
| CN116647653B (zh) * | 2023-07-27 | 2023-10-13 | 广州竞远安全技术股份有限公司 | 基于视频日志关联检索的安全运维操作监控系统及方法 |
| CN116760648A (zh) * | 2023-08-22 | 2023-09-15 | 上海金电网安科技有限公司 | 安全服务方法、装置、电子设备及存储介质 |
| CN116760648B (zh) * | 2023-08-22 | 2023-11-17 | 上海金电网安科技有限公司 | 安全服务方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105391687A (zh) | 一种向中小企业提供信息安全运维服务的系统与方法 | |
| CN101635730B (zh) | 中小企业内网信息安全托管方法与系统 | |
| CN101610264B (zh) | 一种防火墙系统、安全服务平台及防火墙系统的管理方法 | |
| Burger et al. | Taxonomy model for cyber threat intelligence information exchange technologies | |
| US8561175B2 (en) | System and method for automated policy audit and remediation management | |
| US7627891B2 (en) | Network audit and policy assurance system | |
| Kent et al. | Guide to Computer Security Log Management:. | |
| CN112765245A (zh) | 一种电子政务大数据处理平台 | |
| US20070192867A1 (en) | Security appliances | |
| US20020078382A1 (en) | Scalable system for monitoring network system and components and methodology therefore | |
| US20050160286A1 (en) | Method and apparatus for real-time security verification of on-line services | |
| CN101438255A (zh) | 基于应用层消息检查的网络和应用攻击保护 | |
| Safford et al. | The TAMU security package: An ongoing response to internet intruders in an academic environment | |
| CN103413083A (zh) | 单机安全防护系统 | |
| Kent et al. | Sp 800-92. guide to computer security log management | |
| KR100933986B1 (ko) | 네트워크 공격의 통합 시그니처 관리 및 분배 시스템 및방법 | |
| Allan | Intrusion Detection Systems (IDSs): Perspective | |
| Helmer | Intelligent multi-agent system for intrusion detection and countermeasures | |
| Hajdarevic | Cyber Security Audit in Business Environments | |
| Cheoin-Gu | Scenario-based Log Dataset for Combating the Insider Threat | |
| Ahonen | Constructing network security monitoring systems | |
| LaPadula et al. | Compendium of anomaly detection and reaction tools and projects | |
| LaPadula | MP 99B0000018R1 | |
| LaPadula | CyberSecurity Monitoring Tools and Projects | |
| LaPadula et al. | CyberSecurity Monitoring Tools and Projects: A Compendium of Commercial and Government Tools and Government Research Projects |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 210012, Nanjing high tech Zone, Jiangsu, Nanjing Software Park, No. 99 unity Road, Eagle building, block A, 14 floor Applicant after: Nanjing Liancheng science and technology development Limited by Share Ltd Address before: A small road in Yuhuatai District of Nanjing City, Jiangsu province 210012 Building No. 158 building a new ideal Applicant before: NANJING LIANCHENG TECHNOLOGY DEVELOPMENT CO., LTD. |
|
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 210000 14F, building A, Eagle building, 99 solidarity Road, Nanjing Software Park, Nanjing hi tech Zone, Jiangsu Applicant after: Nanjing Liancheng science and technology development Limited by Share Ltd Address before: 210012, Nanjing high tech Zone, Jiangsu, Nanjing Software Park, No. 99 unity Road, Eagle building, block A, 14 floor Applicant before: Nanjing Liancheng science and technology development Limited by Share Ltd |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160309 |