CN105791263A - 一种信息安全风险预警方法及管理系统 - Google Patents
一种信息安全风险预警方法及管理系统 Download PDFInfo
- Publication number
- CN105791263A CN105791263A CN201610010510.6A CN201610010510A CN105791263A CN 105791263 A CN105791263 A CN 105791263A CN 201610010510 A CN201610010510 A CN 201610010510A CN 105791263 A CN105791263 A CN 105791263A
- Authority
- CN
- China
- Prior art keywords
- risk
- warning
- information security
- threat
- manager
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种信息安全风险预警方法及管理系统,属于信息安全技术领域,本发明方法包含威胁检测、风险评估、形成风险预警等步骤。本发明信息安全风险预警管理系统结构简洁合理,自动化水平高;其中风险管理器使用的信息安全风险预警方法能够对采集器检测到的威胁进行风险评估及分级,并根据事先设定的阈值筛选出风险级别较高的威胁,从而使最终形成的风险预警更加精简而准确,便于管理员的处理,提高了信息安全风险预警管理系统的工作效率。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种信息安全风险预警方法及管理系统。
背景技术
随着计算机技术和互联网技术的发展,网络信息安全形势也发生了很大的变化,各种安全事件和安全威胁层出不穷,对威胁特别是未知威胁进行快速和精确的检测,及时形成安全风险预警,并根风险预警信息采取安全措施,是提高信息安全保障能力的重要内容之一。
构建风险预警管理系统必须解决三个问题:1)风险预警;2)产生预警后的管理流程;3)工作监管和绩效考核。在这三个问题中风险预警是关键环节。风险预警主要包括威胁检测和预警产生两个部分。
目前,在实际工作中,安全管理人员通常直接将采集器等设备检测到的威胁结果作为风险预警信息,并从攻击如何发生的角度给出威胁告警,从整体安全态势的角度描述当前系统中存在的脆弱性及威胁实时利用脆弱性的态势。
这种方式尽管对威胁发生的路径、对脆弱性的利用情况给出了详细的描述,但却存在如下问题:1)威胁与预警数量庞大,安全管理员难以抓住重点;2)直接根据威胁得到的预警级别信息与机构业务和信息系统特点无关,风险预警结果精确性不足,甚至可能是错误的。
发明内容
本发明要解决的技术问题是:针对上述现有技术的不足,提供一种信息安全风险预警方法及管理系统,该信息安全风险预警方法对采集器检测到的威胁进行风险评估以进行分级,并根据事先设定的阈值筛选出风险级别较高的威胁,从而使最终形成的风险预警更加精简,便于管理员的处理,提高了信息安全风险预警管理系统的工作效率。
为解决上述技术问题,本发明所采取的技术方案是:
一种信息安全风险预警方法,其包含如下步骤:
(1)使用采集器进行威胁检测,获得检测结果;
(2)使用风险评估方法计算检测结果中各威胁的影响程度,得到各威胁对应的风险级别;
(3)依据事先设定的阈值,形成风险预警,风险预警中仅包含风险级别超过阈值的威胁。
具体地,阈值分为高、中、低三档。
一种信息安全风险预警管理系统,其包括风险预警器、任务管理器和检测对比器,其中:
风险管理器包括用于进行威胁检测的采集器,并根据采集到的威胁按照如上所述的信息安全风险预警方法生成风险预警;
任务管理器用于将风险预警中的威胁作为任务派发给管理员,并接受管理员对威胁处理情况的反馈;
检测对比器用于对威胁进行重新检测,确认威胁是否被排除。
本技术方案中,采集器提供终端安全防护、网络风险的预警分、安全威胁阻断、各级安全设备的联动报警等的技术支撑,从而提高用户的威胁检测能力,降低防护成本。在平台的支持下,采集器共能够检测恶意软件、黑客攻击、信息泄漏、间谍软件、垃圾软件、未注册服务等6大类威胁,具体威胁400多种。对于每种具体威胁,采集器能够检测到的属性数据包括:威胁或告警编号、设备编号、主机名、IP地址、物理MAC地址、用户组、日志时间、威胁具体描述、威胁类型指针、通用告警程度、告警类型}。属性数据中涉及的主要对象包括地区、管理员、终端等,通过IP地址可以将这些对象的关键属性地区名称、主机名、IP地址、威胁类型指针、威胁描述、通用告警级别等关联起来。具体来说,采集器可以采用趋势科技生产的威胁风险系统TDA。
采用上述技术方案所产生的有益效果在于:本发明方法对采集器检测到的威胁进行风险评估以进行分级,并根据事先设定的阈值筛选出风险级别较高的威胁,从而使最终形成的风险预警更加精简,便于管理员的处理,提高了信息安全风险预警管理系统的工作效率。
具体实施方式
下面结合具体实施方式对本发明作进一步详细的说明。
实施例一:
一种信息安全风险预警管理系统,其包括风险预警器、任务管理器和检测对比器,其中:
风险管理器使用信息安全风险预警方法生成风险预警;
任务管理器用于将风险预警中的威胁作为任务派发给管理员,并接受管理员对威胁处理情况的反馈;
检测对比器用于对威胁进行重新检测,确认威胁是否被排除;
风险管理器生成生成风险预警的具体方法为:
(1)使用采集器进行威胁检测,获得检测结果;
(2)使用风险评估方法计算检测结果中各威胁的影响程度,得到各威胁对应的风险级别;
(3)依据事先设定的阈值,形成风险预警,风险预警中仅包含风险级别超过阈值的威胁;其中阈值分为高、中、低三档,从而使不同档的威胁具有不同的危险等级标记。
该信息安全风险预警管理系统的工作流程是:
1)利用采集器实现威胁的快速检测;
2)获取采集器的威胁检测结果,根据风险评估方法,估算威胁发生对IT资产的影响程度,得到风险级别,然后依据设定的风险级别阈值,形成风险预警;
3)将风险预警信息传递给任务管理器,任务管理器产生处理工单,并将该工单分派给地市安全管理员,督促安全管理员依据威胁处理的安全事件管理流程处理分派的任务;
4)对于任务处理结果,检测对比器通过两种方式进行确认,一种是根据采集器再次检测结果进行比对确认,另外一种是通过回访调查确认;
5)任务管理器根据任务处理过程和结果,结合设定的绩效指标,形成各市局的威胁处理绩效报表,供管理层、安全管理员及普通用户查询。管理层定期根据绩效报表,对任务管理器、各市局以及采集器的部署使用等提出改进指导。
该信息安全风险预警管理系统结构简洁合理,自动化水平高;其中风险管理器使用的信息安全风险预警方法能够对采集器检测到的威胁进行风险评估及分级,并根据事先设定的阈值筛选出风险级别较高的威胁,从而使最终形成的风险预警更加精简而高效,便于管理员的处理,提高了信息安全风险预警管理系统的工作效率。
需要指出的是,以上具体实施方式只是本专利实现方案的具体个例,没有也不可能覆盖本专利的所有实现方式,因此不能视作对本专利保护范围的限定;凡是与以上案例属于相同构思的实现方案,均在本专利的保护范围之内。
Claims (3)
1.一种信息安全风险预警方法,其特征在于:包含如下步骤:
(1)使用采集器进行威胁检测,获得检测结果;
(2)使用风险评估方法计算检测结果中各威胁的影响程度,得到各威胁对应的风险级别;
(3)依据事先设定的阈值,形成风险预警,风险预警中仅包含风险级别超过阈值的威胁。
2.根据权利要求1所述的信息安全风险预警方法,其特征在于:所述阈值分为高、中、低三档。
3.一种信息安全风险预警管理系统,其特征在于:包括风险预警器、任务管理器和检测对比器,其中:
风险管理器包括用于进行威胁检测的采集器,并根据采集到的威胁按照如权利要求1所述的信息安全风险预警方法生成风险预警;
任务管理器用于将风险预警中的威胁作为任务派发给管理员,并接受管理员对威胁处理情况的反馈;
检测对比器用于对威胁进行重新检测,确认威胁是否被排除。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610010510.6A CN105791263A (zh) | 2016-01-08 | 2016-01-08 | 一种信息安全风险预警方法及管理系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610010510.6A CN105791263A (zh) | 2016-01-08 | 2016-01-08 | 一种信息安全风险预警方法及管理系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105791263A true CN105791263A (zh) | 2016-07-20 |
Family
ID=56390100
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610010510.6A Pending CN105791263A (zh) | 2016-01-08 | 2016-01-08 | 一种信息安全风险预警方法及管理系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105791263A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107770374A (zh) * | 2017-10-13 | 2018-03-06 | 杭州安恒信息技术有限公司 | 一种用于安全监管的通报预警移动app应用系统 |
CN109672663A (zh) * | 2018-11-09 | 2019-04-23 | 杭州安恒信息技术股份有限公司 | 一种安全威胁事件的闭环式网络安全监管方法及系统 |
CN112583791A (zh) * | 2020-11-16 | 2021-03-30 | 浙江乾冠信息安全研究院有限公司 | 一种网络安全预警管理平台和方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN201974854U (zh) * | 2011-03-24 | 2011-09-14 | 国网电力科学研究院 | 用于电力二次系统的信息安全风险测量装置 |
CN103166794A (zh) * | 2013-02-22 | 2013-06-19 | 中国人民解放军91655部队 | 一种具有一体化安全管控功能的信息安全管理方法 |
US20140137257A1 (en) * | 2012-11-12 | 2014-05-15 | Board Of Regents, The University Of Texas System | System, Method and Apparatus for Assessing a Risk of One or More Assets Within an Operational Technology Infrastructure |
CN103856371A (zh) * | 2014-02-28 | 2014-06-11 | 中国人民解放军91655部队 | 一种用于信息系统的安全防护方法 |
US20140380488A1 (en) * | 2011-10-14 | 2014-12-25 | Albeado, Inc. | Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security |
CN104852816A (zh) * | 2015-04-22 | 2015-08-19 | 国网四川省电力公司电力科学研究院 | 一种ids智能告警方法 |
-
2016
- 2016-01-08 CN CN201610010510.6A patent/CN105791263A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN201974854U (zh) * | 2011-03-24 | 2011-09-14 | 国网电力科学研究院 | 用于电力二次系统的信息安全风险测量装置 |
US20140380488A1 (en) * | 2011-10-14 | 2014-12-25 | Albeado, Inc. | Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security |
US20140137257A1 (en) * | 2012-11-12 | 2014-05-15 | Board Of Regents, The University Of Texas System | System, Method and Apparatus for Assessing a Risk of One or More Assets Within an Operational Technology Infrastructure |
CN103166794A (zh) * | 2013-02-22 | 2013-06-19 | 中国人民解放军91655部队 | 一种具有一体化安全管控功能的信息安全管理方法 |
CN103856371A (zh) * | 2014-02-28 | 2014-06-11 | 中国人民解放军91655部队 | 一种用于信息系统的安全防护方法 |
CN104852816A (zh) * | 2015-04-22 | 2015-08-19 | 国网四川省电力公司电力科学研究院 | 一种ids智能告警方法 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107770374A (zh) * | 2017-10-13 | 2018-03-06 | 杭州安恒信息技术有限公司 | 一种用于安全监管的通报预警移动app应用系统 |
CN109672663A (zh) * | 2018-11-09 | 2019-04-23 | 杭州安恒信息技术股份有限公司 | 一种安全威胁事件的闭环式网络安全监管方法及系统 |
CN109672663B (zh) * | 2018-11-09 | 2022-03-25 | 杭州安恒信息技术股份有限公司 | 一种安全威胁事件的闭环式网络安全监管方法及系统 |
CN112583791A (zh) * | 2020-11-16 | 2021-03-30 | 浙江乾冠信息安全研究院有限公司 | 一种网络安全预警管理平台和方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105264861B (zh) | 用于检测多阶段事件的方法和设备 | |
CN108696473B (zh) | 攻击路径还原方法及装置 | |
CN110535702B (zh) | 一种告警信息处理方法及装置 | |
US20180234445A1 (en) | Characterizing Behavior Anomaly Analysis Performance Based On Threat Intelligence | |
KR100955281B1 (ko) | 위협 관리를 위한 보안 위험도 평가 방법 | |
Lee et al. | Open source intelligence base cyber threat inspection framework for critical infrastructures | |
CN102790706B (zh) | 海量事件安全分析方法及装置 | |
CN112637159A (zh) | 一种基于主动探测技术的网络资产扫描方法、装置及设备 | |
CN106506556A (zh) | 一种网络流量异常检测方法及装置 | |
CN107566390B (zh) | 一种基于威胁情报的工业控制系统网络安全性分析系统及方法 | |
Metcalf et al. | Blacklist ecosystem analysis: Spanning jan 2012 to jun 2014 | |
CN107733693B (zh) | 基于安全事件统计的网络安全运维能力评估方法及系统 | |
CN110933083B (zh) | 一种基于分词与攻击匹配的漏洞等级评估装置及其方法 | |
CN105376193A (zh) | 安全事件的智能关联分析方法与装置 | |
CN105791263A (zh) | 一种信息安全风险预警方法及管理系统 | |
CN112131571B (zh) | 威胁溯源方法及相关设备 | |
KR101444250B1 (ko) | 개인정보 접근감시 시스템 및 그 방법 | |
CN109313541A (zh) | 用于显示和比较攻击遥测资源的用户界面 | |
CN115499185A (zh) | 一种电力监控系统网络安全客体异常行为分析方法及系统 | |
CN112596984A (zh) | 业务弱隔离环境下的数据安全态势感知系统 | |
Song et al. | A comprehensive approach to detect unknown attacks via intrusion detection alerts | |
CN113824736B (zh) | 一种资产风险处置方法、装置、设备及存储介质 | |
Yan et al. | Detect and identify DDoS attacks from flash crowd based on self-similarity and Renyi entropy | |
Zhou et al. | Data Inspecting and Denoising Method for Data‐Driven Stochastic Subspace Identification | |
KR20210062255A (ko) | 기탐지된 악성파일의 IoC를 이용한 악성의심파일의 TTPs를 추출하는 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160720 |