CN109672663B - 一种安全威胁事件的闭环式网络安全监管方法及系统 - Google Patents
一种安全威胁事件的闭环式网络安全监管方法及系统 Download PDFInfo
- Publication number
- CN109672663B CN109672663B CN201811328573.1A CN201811328573A CN109672663B CN 109672663 B CN109672663 B CN 109672663B CN 201811328573 A CN201811328573 A CN 201811328573A CN 109672663 B CN109672663 B CN 109672663B
- Authority
- CN
- China
- Prior art keywords
- security
- event
- security threat
- threat event
- supervision
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Alarm Systems (AREA)
Abstract
本发明涉及一种安全威胁事件的闭环式网络安全监管方法及系统,安全检测模块发现安全威胁事件且需要通报时,设置对应状态标签码并记录,生成告警信息并发送至告警联系人,告警联系人处置、提交并修改事件状态标签码为待审核,由网络安全监管机构审核确认是否有效处置,若否则继续通知整改,对采用网络访问控制处置的事件定向跟踪,其他有效处置则流程完成。本发明结合网络安全特殊性,对安全威胁事件构建发现、通报、处置、跟踪管理的闭环,对安全威胁事件持续跟踪保证事件闭环处理、正确修复,过程数据可量化、可考核,有效量化下级监管机构的安全威胁事件现状和处理情况,增加网络安全监管的手段,不断提升网络安全监管的效率和辖区安全水平。
Description
技术领域
本发明涉及数字信息的传输,例如电报通信的技术领域,特别涉及一种安全威胁事件的闭环式网络安全监管方法及系统。
背景技术
信息化技术的应用已深刻影响、改变了人们的生产方式和生活方式,推动了社会各个方面的进步与发展,并在国民经济各个领域起着重要的推动和支撑作用。随着信息化应用水平的不断提高、范围的不断扩大,网络信息安全的问题日益突出,严重影响到国家安全、社会稳定、经济有序。国家层面也越来越重视这个问题,并于近几年出台了一系列的政策,要求各监管部门加强对行业和区域的网站安全问题管理工作。
现有的网络安全监管一般只关注于安全威胁的发现和通知,并没有对网络安全威胁进行跟踪管理,存在着网络安全威胁发现多、但区域网络安全水平一直未曾提高的问题,而2017年6月1日以来实施的《网络安全法》明确规范了上级网络安全主管机构对下级或管辖的辖区内的网络安全监管的责任和义务,任何单位的上级主管机构和国家网络安全主管机构,有义务和权力对下级单位机构的网络安全进行监管,保障网络安全,正常生产;对下级发生的安全威胁事件进行管理工作,督促下级进行问题的整改。
现有技术中,网络安全监管的技术主要停留在信息化建议的层面。如专利号为201611046258.0的发明专利“一种网络安全监管平台及方法”公开了一种平台,“实现了网络安全监管与检查的流程化与系统化;使网络安全检查的工作人员的检查工作走向信息化,提高了其工作效率;为网络安全监管的监管人员提供了监管网络安全的数据支撑,便于对网络安全数据的分析与应用,便于对网络安全状况进行宏观把控,确保整个网络体系的安全运行”,发明中构建的安全监管平台同时支持下发对区域内的网络信息系统进行威胁发现的功能;也就是说,该专利主要还是通过将之前的网络安全威胁能力与业务管理平台进行数据对接和汇总,方便管理和分析,本质上是把网络安全监管的线下流程部分转移到线上,其主要功能依旧是威胁的发现和通知,并非是一种切实可评估、量化的、能够提升区域网络安全能力的网络安全监管方法。
发明内容
为了解决现有技术中,网络安全监管手段单一,无法准确的监管到网络安全威胁事件的处置情况以及区域的网络安全处置能力,更不能掌握区域网络安全的综合水平能力,本发明提供一种优化的安全威胁事件的闭环式网络安全监管方法及系统,通过有机整合安全检测能力、区域网络安全人员、区域信息系统多个维度,不断发现安全威胁、协助督促区域对威胁整改,以此提高区域信息系统安全等级和区域内网络安全人员的安全水平,进而大幅度提升区域网络安全水平。
本发明所采用的技术方案是,一种安全威胁事件的闭环式网络安全监管方法,所述方法包括以下步骤:
步骤1:安全检测模块对用户网站进行安全检测;
步骤2:审核步骤1中检测到的安全威胁事件,根据安全威胁事件的等级,确认安全事件存在且需要进行通报至下级单位整改的,设置当前安全威胁事件的状态标签码为“待通报”,生成告警信息,进行下一步,否则,返回步骤1;
步骤3:根据告警信息查询预先录入的告警联系人,将告警信息发送至所述告警联系人,将安全威胁事件的状态标签码设置为“待处置”;
步骤4:告警联系人接收告警信息,对安全威胁事件进行处置,并将处置信息和结果提交至上级监管单位进行审核,将安全威胁事件的状态标签码设置为“待审核”;
步骤5:上级监管单位审核下级提交的安全威胁事件的处置信息和结果,判断安全威胁事件是否已经有效处置,如是,将安全威胁事件的状态标签码设置为“已修复”,进行下一步,否则,重复步骤3;
步骤6:对若干安全事件进行定向安全跟踪,如果安全威胁事件重复出现,则返回步骤3,否则安全监管结束。
优选地,所述步骤1中,安全检测包括:
对网站进行周期性的安全漏洞和安全事件检测;
按照威胁事件类型,开展专题安全检测,排查网络监管区域内的任一应用系统的问题;
根据最新事件进行安全威胁检测。
优选地,所述步骤3中,告警信息通过短信和/或邮件和/或微信发送至告警联系人。
优选地,所述步骤6中,所述若干安全事件为状态标签码为“已修复”的安全威胁事件中修复方式为“开启网络访问控制”的安全事件。
优选地,所述步骤6中,修复完成后收集所有数据,汇总分析各下级单位的事件处置率、处置速度和处置能力,形成量化数据。
一种采用所述的安全威胁事件的闭环式网络安全监管方法的网络安全监管系统,所述系统包括:
一用于预先录入每个单位的联系人及联系人信息以便接收通知的联系人管理模块;
一用于对用户网站的安全问题进行检测的安全检测模块;
一用于在发现安全问题后根据联系人管理模块的联系人信息把告警信息发送给联系人的通知模块;
一用于提交处置、附件上传处置说明及更新事件状态标签码的反馈模块;
一用于实时跟踪反馈模块中事件状态标签码是否发生变化的跟踪模块。
优选地,所述联系人信息包括联系人的手机号和/或邮箱和/或微信。
本发明提供了一种优化的安全威胁事件的闭环式网络安全监管方法及系统,通过安全检测模块对用户网站进行安全检测,当发现安全威胁事件,且需要通报时,开始设置并且记录安全威胁事件的状态标签码,生成告警信息,将告警信息发送至预先录入的告警联系人,告警联系人根据收到的告警信息进行安全威胁事件处置并提交,同时修改事件状态标签码为待审核,对已经提交处置的安全威胁事件,由网络安全监管机构进行审核确认是否有效处置,未处置完成的返回步骤3继续下发通知整改,对于若干安全事件进行定向跟踪,保障事件被彻底处置,其他有效处置的情况,则流程完成。本发明结合了网络安全的特殊性,对安全威胁事件构建发现、通报、处置、跟踪管理的闭环,通过对安全威胁事件持续的跟踪,保证安全威胁事件闭环处理、正确修复,同时过程的数据可量化、可考核,根据流程中的数据,可以有效的量化下级监管机构的安全威胁事件现状和处理情况,以数据作为考核指标形成网络安全监管的抓手,不断提升网络安全监管的效率和辖区安全水平。
附图说明
图1为本发明的流程图。
具体实施方式
下面结合实施例对本发明做进一步的详细描述,但本发明的保护范围并不限于此。
本发明涉及一种安全威胁事件的闭环式网络安全监管方法,其中,安全威胁是指因网络区域内的信息系统或关键基础设施,包括网站或者系统存在的安全漏洞,有可能被不法分子(黑灰色产业链等)利用,对信息系统造成危害,响应区域内网络安全水平。
所述方法包括以下步骤。
步骤1:安全检测模块对用户网站进行安全检测。
所述步骤1中,安全检测包括:
对网站进行周期性的安全漏洞和安全事件检测;
按照威胁事件类型,开展专题安全检测,排查网络监管区域内的任一应用系统的问题;
根据最新事件进行安全威胁检测。
本发明中,步骤1将安全检测方法分为三个场景,有机地覆盖各种安全威胁事件爆发场景,通过三种检测场景,有效做到日常安全巡检、专项检测、突发事件检测,做到对区域网络安全的有效检测,为下一步工作打好基础。
本发明中,安全检测中,对网站进行周期性的安全漏洞和安全事件检测是为了及时发现网站的安全威胁。
本发明中,安全检测中,按照威胁事件类型,开展专题安全检测,常见场景排查网络监管区域内的某一应用系统的问题。
本发明中,安全检测中,根据最新事件进行安全威胁检测是指如以“微软最新公告的windows漏洞,对辖区内的安全状况进行筛选”的情况。
步骤2:审核步骤1中检测到的安全威胁事件,根据安全威胁事件的等级,确认安全事件存在且需要进行通报至下级单位整改的,设置当前安全威胁事件的状态标签码为“待通报”,生成告警信息,进行下一步,否则,返回步骤1。
步骤3:根据告警信息查询预先录入的告警联系人,将告警信息发送至所述告警联系人,将安全威胁事件的状态标签码设置为“待处置”。
所述步骤3中,告警信息通过短信和/或邮件和/或微信发送至告警联系人。
步骤4:告警联系人接收告警信息,对安全威胁事件进行处置,并将处置信息和结果提交至上级监管单位进行审核,将安全威胁事件的状态标签码设置为“待审核”。
本发明中,常用的处置手段包括修补漏洞、清除安全事件影响或开启网络的访问控制等。
本发明中,安全威胁事件的处置一般来说分为根据漏洞具体情况进行补丁升级、变更配置等处置方式,但实际场景中,存在着通过设置网络访问控制的方式规避安全威胁事件、进行临时解决的方案,对于这种处置方式,需要在步骤6中进行持续跟踪,保障安全威胁彻底解决。
步骤5:上级监管单位审核下级提交的安全威胁事件的处置信息和结果,判断安全威胁事件是否已经有效处置,如是,将安全威胁事件的状态标签码设置为“已修复”,进行下一步,否则,重复步骤3。
步骤6:对若干安全事件进行定向安全跟踪,如果安全威胁事件重复出现,则返回步骤3,否则安全监管结束。
所述步骤6中,所述若干安全事件为状态标签码为“已修复”的安全威胁事件中修复方式为“开启网络访问控制”的安全事件。
所述步骤6中,修复完成后收集所有数据,汇总分析各下级单位的事件处置率、处置速度和处置能力,形成量化数据。
本发明中,对状态标签码为“已修复”的安全威胁事件中修复方式为“开启网络访问控制”的安全事件进行定向安全跟踪是为了保障事件被彻底处置。
本发明中,基于整个安全事件流程中产生的数据,进行整理和分析,可以为监管决策做出量化支撑,为监管提供决策,进行考核排名,形成网络监管抓手。
本发明还涉及一种采用所述的安全威胁事件的闭环式网络安全监管方法的网络安全监管系统,所述系统包括以下模块。
一用于预先录入每个单位的联系人及联系人信息以便接收通知的联系人管理模块。
所述联系人信息包括联系人的手机号和/或邮箱。
一用于对用户网站的安全问题进行检测的安全检测模块。
一用于在发现安全问题后根据联系人管理模块的联系人信息把告警信息发送给联系人的通知模块。
一用于提交处置、附件上传处置说明及更新事件状态标签码的反馈模块;其中,反馈模块主要供下级单位在接收到告警信息后对问题进行处置及说明。
一用于实时跟踪反馈模块中事件状态标签码是否发生变化的跟踪模块。
本发明中,跟踪模块还特别被应用于实时跟踪通过“网络访问控制”处置的安全事件是否被有效处置,保障区域的网络安全。
本发明通过安全检测模块对用户网站进行安全检测,当发现安全威胁事件,且需要通报时,开始设置并且记录安全威胁事件的状态标签码,生成告警信息,将告警信息发送至预先录入的告警联系人,告警联系人根据收到的告警信息进行安全威胁事件处置并提交,同时修改事件状态标签码为待审核,对已经提交处置的安全威胁事件,由网络安全监管机构进行审核确认是否有效处置,未处置完成的返回步骤3继续下发通知整改,对于若干安全事件进行定向跟踪,保障事件被彻底处置,其他有效处置的情况,则流程完成。本发明结合了网络安全的特殊性,对安全威胁事件构建发现、通报、处置、跟踪管理的闭环,通过对安全威胁事件持续的跟踪,保证安全威胁事件闭环处理、正确修复,同时过程的数据可量化、可考核,根据流程中的数据,可以有效的量化下级监管机构的安全威胁事件现状和处理情况,以数据作为考核指标形成网络安全监管的抓手,不断提升网络安全监管的效率和辖区安全水平。
Claims (5)
1.一种安全威胁事件的闭环式网络安全监管方法,其特征在于:所述方法包括以下步骤:
步骤1:安全检测模块对用户网站进行安全检测;所述安全检测包括:
对网站进行周期性的安全漏洞和安全事件检测;
按照威胁事件类型,开展专题安全检测,排查网络监管区域内的任一应用系统的问题;
根据最新事件进行安全威胁检测;
步骤2:审核步骤1中检测到的安全威胁事件,根据安全威胁事件的等级,确认安全事件存在且需要进行通报至下级单位整改的,设置当前安全威胁事件的状态标签码为“待通报”,生成告警信息,进行下一步,否则,返回步骤1;
步骤3:根据告警信息查询预先录入的告警联系人,将告警信息发送至所述告警联系人,将安全威胁事件的状态标签码设置为“待处置”;
步骤4:告警联系人接收告警信息,对安全威胁事件进行处置,并将处置信息和结果提交至上级监管单位进行审核,将安全威胁事件的状态标签码设置为“待审核”;
步骤5:上级监管单位审核下级提交的安全威胁事件的处置信息和结果,判断安全威胁事件是否已经有效处置,如是,将安全威胁事件的状态标签码设置为“已修复”,进行下一步,否则,重复步骤3;
步骤6:对若干安全事件进行定向安全跟踪,所述若干安全事件为状态标签码为“已修复”的安全威胁事件中修复方式为“开启网络访问控制”的安全事件;如果安全威胁事件重复出现,则返回步骤3,否则安全监管结束。
2.根据权利要求1所述的一种安全威胁事件的闭环式网络安全监管方法,其特征在于:所述步骤3中,告警信息通过短信和/或邮件和/或微信发送至告警联系人。
3.根据权利要求1所述的一种安全威胁事件的闭环式网络安全监管方法,其特征在于:所述步骤6中,修复完成后收集所有数据,汇总分析各下级单位的事件处置率、处置速度和处置能力,形成量化数据。
4.一种采用权利要求1~3之一所述的安全威胁事件的闭环式网络安全监管方法的网络安全监管系统,其特征在于:所述系统包括:
一用于预先录入每个单位的联系人及联系人信息以便接收通知的联系人管理模块;
一用于对用户网站的安全问题进行检测的安全检测模块;
一用于在发现安全问题后根据联系人管理模块的联系人信息把告警信息发送给联系人的通知模块;
一用于提交处置、附件上传处置说明及更新事件状态标签码的反馈模块;
一用于实时跟踪反馈模块中事件状态标签码是否发生变化的跟踪模块。
5.根据权利要求4所述的安全威胁事件的闭环式网络安全监管方法的网络安全监管系统,其特征在于:所述联系人信息包括联系人的手机号和/或邮箱和/或微信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811328573.1A CN109672663B (zh) | 2018-11-09 | 2018-11-09 | 一种安全威胁事件的闭环式网络安全监管方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811328573.1A CN109672663B (zh) | 2018-11-09 | 2018-11-09 | 一种安全威胁事件的闭环式网络安全监管方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109672663A CN109672663A (zh) | 2019-04-23 |
| CN109672663B true CN109672663B (zh) | 2022-03-25 |
Family
ID=66142069
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811328573.1A Active CN109672663B (zh) | 2018-11-09 | 2018-11-09 | 一种安全威胁事件的闭环式网络安全监管方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109672663B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110493188A (zh) * | 2019-07-12 | 2019-11-22 | 中国电子科技集团公司电子科学研究院 | 一种处理网络安全事件的方法、相关装置及存储介质 |
| CN110830299A (zh) * | 2019-11-08 | 2020-02-21 | 国家计算机网络与信息安全管理中心 | 网络安全事件处置方法和系统 |
| CN112019509B (zh) * | 2020-07-28 | 2022-12-20 | 杭州安恒信息技术股份有限公司 | 基于状态机的信息安全通报预警的方法、系统和电子装置 |
| CN112073437B (zh) * | 2020-10-09 | 2023-12-19 | 腾讯科技(深圳)有限公司 | 多维度的安全威胁事件分析方法、装置、设备及存储介质 |
| CN112383411B (zh) * | 2020-10-22 | 2022-11-15 | 杭州安恒信息安全技术有限公司 | 网络安全预警通报方法、电子装置和存储介质 |
| CN112583791B (zh) * | 2020-11-16 | 2022-08-23 | 浙江乾冠信息安全研究院有限公司 | 一种网络安全预警管理平台和方法 |
| CN112564982A (zh) * | 2020-12-23 | 2021-03-26 | 中国交通信息科技集团有限公司 | 安全风险自动通报方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105791263A (zh) * | 2016-01-08 | 2016-07-20 | 国家电网公司 | 一种信息安全风险预警方法及管理系统 |
| CN106411578A (zh) * | 2016-09-12 | 2017-02-15 | 国网山东省电力公司电力科学研究院 | 一种适应于电力行业的网站监控系统及方法 |
| CN107547526A (zh) * | 2017-08-17 | 2018-01-05 | 北京奇安信科技有限公司 | 一种云地结合的数据处理方法及装置 |
| CN108683681A (zh) * | 2018-06-01 | 2018-10-19 | 杭州安恒信息技术股份有限公司 | 一种基于流量策略的智能家居入侵检测方法及装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9699205B2 (en) * | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
| CN108494727A (zh) * | 2018-02-06 | 2018-09-04 | 成都清华永新网络科技有限公司 | 一种用于网络安全管理的安全事件闭环处理方法 |
| CN108712425A (zh) * | 2018-05-21 | 2018-10-26 | 南京南瑞集团公司 | 一种面向工业控制系统网络安全威胁事件的分析监管方法 |
-
2018
- 2018-11-09 CN CN201811328573.1A patent/CN109672663B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105791263A (zh) * | 2016-01-08 | 2016-07-20 | 国家电网公司 | 一种信息安全风险预警方法及管理系统 |
| CN106411578A (zh) * | 2016-09-12 | 2017-02-15 | 国网山东省电力公司电力科学研究院 | 一种适应于电力行业的网站监控系统及方法 |
| CN107547526A (zh) * | 2017-08-17 | 2018-01-05 | 北京奇安信科技有限公司 | 一种云地结合的数据处理方法及装置 |
| CN108683681A (zh) * | 2018-06-01 | 2018-10-19 | 杭州安恒信息技术股份有限公司 | 一种基于流量策略的智能家居入侵检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109672663A (zh) | 2019-04-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109672663B (zh) | 一种安全威胁事件的闭环式网络安全监管方法及系统 | |
| Lee et al. | An effective security measures for nuclear power plant using big data analysis approach | |
| US20120284790A1 (en) | Live service anomaly detection system for providing cyber protection for the electric grid | |
| CN102881125B (zh) | 基于多信息融合集中处理平台的报警监控系统 | |
| CN104778414B (zh) | 一种漏洞管理系统及方法 | |
| CN106599713A (zh) | 一种基于大数据的数据库脱敏系统及方法 | |
| US20050065807A1 (en) | Systems and methods for optimizing business processes, complying with regulations, and identifying threat and vulnerabilty risks for an enterprise | |
| CN101321084A (zh) | 在计算机环境中利用关联规则挖掘为计算实体产生配置规则的方法和装置 | |
| US20190036935A1 (en) | Automated certification based on role | |
| Jaatun et al. | A framework for incident response management in the petroleum industry | |
| CN104509034A (zh) | 模式合并以识别恶意行为 | |
| CN111598574A (zh) | 面向智能服务交易的监管方法及监管接口 | |
| CN109495485B (zh) | 支持强制访问控制的全双工防火墙防护方法 | |
| CN117769706A (zh) | 在网络中自动检测和解析网络安全的网络风险治理系统及方法 | |
| Ma et al. | A blockchain-based risk and information system control framework | |
| CN108021485A (zh) | 应用程序运行状态的监控方法及装置 | |
| CN111935189B (zh) | 工控终端策略控制系统及工控终端策略控制方法 | |
| CN116155531A (zh) | 一种基于soar的网络设备安全管理的方法、装置及电子设备 | |
| US8868983B1 (en) | Systems and methods for monitoring and acting on logged system messages | |
| CN113709170A (zh) | 资产安全运营系统、方法和装置 | |
| US20230396640A1 (en) | Security event management system and associated method | |
| CN113162897A (zh) | 一种工业控制网络安全过滤系统及方法 | |
| KR101973728B1 (ko) | 통합 보안 이상징후 모니터링 시스템 | |
| KR100448019B1 (ko) | 통신망을 통해 경보 변수 정보 전송하는 시스템 및 그운영방법 | |
| Anderson et al. | Insider attack and real-time data mining of user behavior |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |