CN107508817B

CN107508817B - 一种企事业单位内源威胁网络安全防御设备

Info

Publication number: CN107508817B
Application number: CN201710784489.XA
Authority: CN
Inventors: 李春强; 于磊; 丘国伟
Original assignee: Beijing Jingwei Xinan Technology Co ltd
Current assignee: Beijing Jingwei Xinan Technology Co ltd
Priority date: 2017-09-04
Filing date: 2017-09-04
Publication date: 2020-05-05
Anticipated expiration: 2037-09-04
Also published as: CN107508817A

Abstract

本发明描述了一种针对企事业单位内源威胁的网络安全防御设备。本发明面向来自于企事业单位内部的网络安全威胁，通过基于内源威胁的风险评估、风险缓解、威胁监测、威胁响应技术，从而实现对企事业单位内源威胁的系统防御效果。

Description

一种企事业单位内源威胁网络安全防御设备

技术领域

本发明涉及一种网络安全防御设备，尤其涉及一种针对来企事业单位内部的网络安全威胁的防御设备。

背景技术

内源威胁区别于外源威胁，攻击者来自于企事业单位内部设备或用户，检测困难危害性大。随着企业信息安全机制的建立建全，单纯想从外部渗透进入目标系统的攻击门槛不断提高；内源威胁逐渐增多，并且开始在各大安全报告中崭露头角，引起了国外研究者的高度重视。遗憾的是，国内此类事件曝光率极低，研究重视不够，因此缺乏行之有效的防范措施。

发明内容

本发明目的在于提供一种企事业单位内源威胁网络安全防御设备。本发明面向来自于企事业单位内部的网络安全威胁，通过基于内源威胁的风险评估、风险缓解、威胁监测、威胁响应技术，从而实现对企事业单位内源威胁的系统防御效果。

本发明的技术方案如下：

一种企事业单位内源威胁网络安全防御设备，其包括：

A、内源威胁预测模块：包括内部设备安全风险评估子模块、内源攻击风险评估子模块、失泄密风险评估子模块和窃密攻击风险评估子模块。

B、内源威胁预防模块：包括基于设备漏洞的风险缓解子模块、基于内源攻击技术的风险缓解子模块、失泄密安全风险缓解子模块和基于安全设备联动的风险缓解子模块。

C、内源威胁监测模块：包括基于内部安全风险实时监测子模块、内源攻击实时监测子模块、失泄密实时监测子模块和窃密攻击实时监测子模块。

D、内源威胁响应模块：包括内源攻击取证子模块、内源攻击溯源子模块、内源攻击反制子模块、响应效能反馈子模块。

所述方法，其中A中，内源攻击风险评估子模块是评估来自于内部的网络攻击方式在当前内部网络环境发生的可能性及危害大小，失泄密风险评估子模块是评估当前内部网络环境中存在的失泄密行为的可能性及危害大小，窃密攻击风险评估子模块是评估在当前内部网络环境中发生窃密攻击行为的可能性及危害大小。

所述方法，其中B中，各风险缓解子模块主要是通过设备配置等操作来消除或减少该风险的依赖条件，进而增大该风险触发难度。

所述方法，其中C中，内源攻击实时监测主要是通过设备监测信息、设备日志、蜜罐等方式对内源攻击行为进行基于行为而非特征的监测。

本发明所提供的一种企事业单位内源威胁网络安全防御设备，直接接入企事业单位内部网络即可应用，对网络改动小，故障风险低，功能完善，能够系统防御已知和未知内源威胁。

附图说明

图1为本发明的结构简图。

具体实施方式

以下结合附图，将对本发明的较佳实施例进行较为详细的说明。

如图1所示，本发明主要包括针对内源威胁的预测、预防、监测、响应等模块。

各模块之间相互联动，预测模块的输出是预防模块的输入，预防模块的输出作用于监测模块，监测模块的输出与响应模块的输入，响应模块的输出作用于预测模块。

本发明实现的具体步骤如下:步骤A对内源威胁进行预测，包括内部设备安全风险评估子模块、内源攻击风险评估子模块、失泄密风险评估子模块和窃密攻击风险评估子模块等；

步骤B对内源威胁进行预防，包括基于设备漏洞的风险缓解子模块、基于内源攻击技术的风险缓解子模块、失泄密安全风险缓解子模块和基于安全设备联动的风险缓解子模块等；

步骤C对内源威胁进行监测，包括基于内部安全风险实时监测子模块、内源攻击实时监测子模块、失泄密实时监测子模块和窃密攻击实时监测子模块等；

步骤D对内源威胁进行响应：包括内源攻击取证子模块、内源攻击溯源子模块、内源攻击反制子模块和响应效能反馈子模块等。

在步骤D中，响应效能反馈子模块是针对特定内源威胁的取证、溯源、反制等结果信息进行反馈，用于改进预测模块；应当理解的是，上述针对具体实施方式的描述较为详细，不能因此而认为是对本发明专利保护范围的限制，本发明的专利保护范围应以所附权利要求为准。

Claims

1.一种企事业单位内源威胁网络安全防御设备，其特征在于：

A、内源威胁预测模块：包括内部设备安全风险评估子模块、内源攻击风险评估子模块、失泄密风险评估子模块和窃密攻击风险评估子模块；

B、内源威胁预防模块：包括基于设备漏洞的风险缓解子模块、基于内源攻击技术的风险缓解子模块、失泄密安全风险缓解子模块和基于安全设备联动的风险缓解子模块；

模块B中，各风险缓解子模块主要是通过设备配置操作来消除或减少该风险的依赖条件，进而增大该风险触发难度；

C、内源威胁监测模块：包括基于内部安全风险实时监测子模块、内源攻击实时监测子模块、失泄密实时监测子模块和窃密攻击实时监测子模块；

模块C中，内源攻击实时监测主要是通过设备监测信息、设备日志、蜜罐对内源攻击行为进行基于行为而非特征的监测；

D、内源威胁响应模块：包括内源攻击取证子模块、内源攻击溯源子模块、内源攻击反制子模块和响应效能反馈子模块；

模块D中，响应效能反馈子模块是针对特定内源威助的取证、溯源、反制结果信息进行反馈，用于改进预测模块。

2.权利要求1所述的一种企事业单位内源威胁网络安全防御设备，其特征在于：其中模块A中，内源攻击风险评估子模块是评估来自于内部的网络攻击方式在当前内部网络环境发生的可能性及危害大小，失泄密风险评估子模块是评估当前内部网络环境中存在的失泄密行为的可能性及危害大小，窃密攻击风险评估子模块是评估在当前内部网络环境中发生窃密攻击行为的可能性及危害大小。