CN110708316A - 针对企业网络安全运营管理的方法以及系统架构 - Google Patents
针对企业网络安全运营管理的方法以及系统架构 Download PDFInfo
- Publication number
- CN110708316A CN110708316A CN201910956585.7A CN201910956585A CN110708316A CN 110708316 A CN110708316 A CN 110708316A CN 201910956585 A CN201910956585 A CN 201910956585A CN 110708316 A CN110708316 A CN 110708316A
- Authority
- CN
- China
- Prior art keywords
- data
- safety
- security
- perception
- operation management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请提供了一种针对企业网络安全运营管理的方法以及系统架构,涉及网络安全技术领域,包括:将从多个资产设备采集的多种结构的安全数据基于预先定义的数据治理准则,进行数据预处理,得到标准结构的安全数据;基于所述标准结构的安全数据,进行安全态势感知,得到感知结果;根据所述感知结果,生成控制策略,并基于所述控制策略控制所述资产设备,解决了网络安全运营管理的效率较低的技术问题。
Description
技术领域
本申请涉及网络安全技术领域,尤其是涉及一种针对企业网络安全运营管理的方法以及系统架构。
背景技术
随着企业信息化的不断深入,信息网络承载的业务越来越多,安全防护设备也很多样,安全架构日趋复杂,各种类型的安全设备、安全数据越来越多。
因此,面对种类繁多的安全设备和安全数据,企业难以执行高效统一的企业网络安全防护工作,导致网络安全运营管理的效率较低。
发明内容
本发明的目的在于提供一种针对企业网络安全运营管理的方法以及系统架构,以解决网络安全运营管理的效率较低的技术问题。
第一方面,本申请实施例提供了一种针对企业网络安全运营管理的方法,应用于计算机设备,所述方法包括:
将从多个资产设备采集的多种结构的安全数据基于预先定义的数据治理准则,进行数据预处理,得到标准结构的安全数据;
基于所述标准结构的安全数据,进行安全态势感知,得到感知结果;
根据所述感知结果,生成控制策略,并基于所述控制策略控制所述资产设备。
在一个可能的实现中,所述预先定义的数据治理准则包括下述任意一项或多项:
数据清理准则;数据集成准则;数据转换准则;数据约简准则;
所述标准结构的安全数据包括下述任意一项或多项:
形成网络和安全数据;情报信息;安全事件;管理数据。
在一个可能的实现中,基于所述标准结构的安全数据,进行安全态势感知,得到感知结果的步骤,包括:
基于所述标准结构的安全数据,进行关联分析、场景化分析以及威胁情报分析,得到感知结果。
在一个可能的实现中,所述控制策略包括下述任意一项或多项:
安全监测、通报预警、安全检查、等级保护、分析研判、应急处置、追踪溯源、资产管理和风险感知。
在一个可能的实现中,还包括:
根据所述感知结果,从攻击威胁、受保护对象、安全事件的维度进行数据的整合和展示。
第二方面,提供了一种针对企业网络安全运营管理的系统架构,应用于计算机设备,所述系统架构包括:
数据采集器,用于采集多个资产设备采集的多种结构的安全数据;
安全大数据资源池,用于将从多个资产设备采集的多种结构的安全数据基于预先定义的数据治理准则,进行数据预处理,得到标准结构的安全数据;
安全态势感知系统,用于基于所述标准结构的安全数据,进行安全态势感知,得到感知结果;
安全运营管理系统,用于根据所述感知结果,生成控制策略,并基于所述控制策略控制所述资产设备。
在一个可能的实现中,所述数据采集器的数据采集接口包括多种采集方式,多种所述采集方式至少包括:对于本地型日志,支持Syslog、SNMP Trap和ODBC/JDBC采集方式;对于网络型日志,支持流量镜像采集方式;
所述数据采集器在采集传输过程中使用安全传输协议进行数据传输。
在一个可能的实现中,所述安全态势感知系统具体用于:
基于所述标准结构的安全数据,进行关联分析、场景化分析以及威胁情报分析,得到感知结果。
在一个可能的实现中,还包括:
安全控制系统,用于通过联动接口与防护设备联动进行安全事件处置;
安全审计系统,用于对所述安全控制系统的行为进行审计操作。
第三方面,本申请实施例又提供了一种计算机可读存储介质,所述计算机可读存储介质存储有机器可运行指令,所述计算机可运行指令在被处理器调用和运行时,所述计算机可运行指令促使所述处理器运行上述的第一方面所述方法。
本申请实施例带来了以下有益效果:本申请实施例提供的一种针对企业网络安全运营管理的方法以及系统架构。首先,将从多个资产设备采集的多种结构的安全数据,基于预先定义的数据治理准则,进行数据预处理,从而得到标准结构的安全数据,便能够基于该标准结构的安全数据,进行有效的安全态势感知进而得到感知结果,再根据该感知结果生成控制策略,并基于该控制策略控制资产设备,本方案中,由于先将从多个不同资产设备采集的多种结构的安全数据,基于预先定义的数据治理准则,进行数据预处理,从而使这些不同的资产设备能够得到统一有效的控制,因此,面对多种类型的资产设备和多种结构的安全数据,通过基于预先定义的数据治理准则进行数据预处理,也能够使这些不同类型的资产设备得到统一有效的控制,便于企业执行高效统一的企业网络安全防护工作,以提高网络安全运营管理的效率。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1出了本申请实施例提供的一种针对企业网络安全运营管理的方法的流程示意图;
图2示出了本申请实施例提供的网络安全运营管理架构模型的示意图;
图3示出了企业安全运营管理平台整体框架模型的示意图;
图4出了提供了一种针对企业网络安全运营管理的系统架构的结构示意图;
图5出了本申请实施例提供的一种计算机设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合附图对本申请的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例中所提到的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括其他没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
在本申请的描述中,除非另有说明,“至少一个”的含义是指一个或一个以上。
下面将详细描述本申请的各个方面的特征和示例性实施例。在下面的详细描述中,提出了许多具体细节,以便提供对本申请的全面理解。但是,对于本领域技术人员来说很明显的是,本申请可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本申请的示例来提供对本申请的更好的理解。本申请决不限于下面所提出的任何具体配置和算法,而是在不脱离本申请的精神的前提下覆盖了元素、部件和算法的任何修改、替换和改进。在附图和下面的描述中,没有示出公知的结构和技术,以便避免对本申请造成不必要的模糊。
目前,随着企业信息化建设的扩大,安全架构日趋复杂,各种类型的安全设备、安全数据越来越多,企业自身的安全运维压力不断加大,另一方面,以高级持续性威胁(Advanced Persistent Threat,APT)为代表的新型威胁,内控与合规的深入,也在不断影响企业的网络安全。面对网络攻击日益多样化、复杂化、专业化的趋势,导致企业在网络安全攻防中始终处于被动的形势。
传统的安全运营中心(SOC)平台因缺乏大数据存储与分析挖掘能力,以及没有丰富的威胁情报做支撑,以致经常误报频发,使用户疲于应付,但真正的威胁却难以发现。
随着企业信息化的不断深入,信息网络承载的业务越来越多,安全防护设备也很多样,安全架构日趋复杂,各种类型的安全设备、安全数据越来越多。面对种类繁多的安全设备和安全数据,企业难以执行高效统一的企业网络安全防护工作,导致网络安全运营管理的效率较低。
基于此,本申请实施例提供的一种针对企业网络安全运营管理的方法以及系统架构,可以解决现有技术中存在的网络安全运营管理的效率较低的技术问题。
为便于对本实施例进行理解,首先对本申请实施例所公开的一种针对企业网络安全运营管理的方法以及系统架构进行详细介绍。
图1为本申请实施例提供的一种针对企业网络安全运营管理的方法的流程示意图。其中,该方法应用于计算机设备,如图1所示,该方法包括:
S110,将从多个资产设备采集的多种结构的安全数据基于预先定义的数据治理准则,进行数据预处理,得到标准结构的安全数据。
安全运营(SOC)作为一个复杂的实时响应系统,是人员、流程和技术的有机结合体。它可以协助管理人员进行事件分析、风险分析、预警管理和应急响应处理。但SOC都是针对“安全事件”的管理和分析的工具,会产生大量的告警数据。但是在特殊客户场景下,很多告警都是无效的。并且对当前企业来说安全的投入难点实际往往不在安全产品的购买,往往是缺少有高级安全经验的人。企业想要能够使用更好SOC很困难,需要拥有大批具备高级安全经验的人,投入也是很大。
S120,基于标准结构的安全数据,进行安全态势感知,得到感知结果。
其中,态势感知是以安全大数据为基础,对能够引起网络态势发生变化的要素进行获取、理解、评估、呈现以及对未来发展趋势预测的一个过程,是从全局视角提升对安全威胁的发现识别、理解分析、响应处置的一种能力。
需要说明的是,态势感知平台以安全大数据为基础,贯穿安全风险监控、分析、响应和预测的全过程。具备持续监控能力,能够及时发现各种攻击威胁与异常流量;具备威胁调查分析及可视化能力,可以对威胁相关的影响范围、攻击路径、目的、手段进行快速判别,从而支撑有效的安全决策和响应;能够建立安全预警机制,来完善风险控制、应急响应和整体防护水平,从而改变当前“黑客主动攻击、企业被动防御”的被动局面。
S130,根据感知结果,生成控制策略,并基于控制策略控制资产设备。
图2示出了本申请实施例提供的网络安全运营管理架构模型。如图2所示,通过本实施例提供的方法,构建了基于数据采集、数据存储、态势感知、安全管理、安全控制及审计功能于一体的网络安全运营管理架构体系。
对于现有技术而言,面对当前SOC平台及态势感知平台在企业网络安全应用的不断深入,其缺点及局限性也在不断被放大。SOC目前的工作更多的是事后响应,甚至很难做到实时的检测;且缺乏大数据、机器学习等核心技术作支撑,难以应对当前及未来网络安全防护及运营的需求和挑战。
本实施例中,将从多个资产设备采集的多种结构的安全数据基于预先定义的数据治理准则,进行数据预处理,得到标准结构的安全数据,能够实现分层解耦、开放融合的网络安全运营管理平台建设方式,达到融合数据采集、数据存储、态势感知、安全管理、安全控制及审计功能于一体的网络安全运营管理架构体系,并采用分层解耦、开放融合设计理念,构建企业全网安全防护核心,形成具备安全防御、安全检查、安全监测、安全事件分析、安全事件处置、安全审计一体化安全运营能力。
在一些实施例中,步骤S110中的预先定义的数据治理准则包括下述任意一项或多项:数据清理准则;数据集成准则;数据转换准则;数据约简准则。步骤S110中的标准结构的安全数据包括下述任意一项或多项:形成网络和安全数据;情报信息;安全事件;管理数据。
通过构建一套网络安全运营管理体系,能够便于安全运营人员直观地监测企业各类信息系统的安全状况以及快速地响应处置各类安全事件,并能够对安全运营全过程进行审计。
本申请实施例提供的方法充分利用更多的安全数据进行分析检测,对基础架构安全、应用安全、数据安全乃至业务安全中面临的各类高级威胁做出判定和响应,以支撑业务持续稳定、安全运行。
在一些实施例中,上述步骤S120可以包括如下步骤:
步骤a,基于标准结构的安全数据,进行关联分析、场景化分析以及威胁情报分析,得到感知结果。
需要说明的是,安全数据是可以来自不同的厂商的,而通过步骤a,能够在更长时间和更广系统范围内检索安全数据的关联关系,根据不同的线索将其串联在一起。通过将软件不同的功能模块分层设计以及串联分析,实现分层解耦,便于开发、维护和管理。
在一些实施例中,步骤S130中的控制策略包括下述任意一项或多项:
安全监测、通报预警、安全检查、等级保护、分析研判、应急处置、追踪溯源、资产管理和风险感知。
通过从数据采集、数据存储、威胁感知、安全管理、安全控制及运维审计全方位设计整个体系框架,实现安全运营过程的流程化,提升企业安全运营能力。
利用本申请实施例提供的方法构建的安全运营管理平台,能够以数据和情报驱动,采用自适应安全架构来进行环境和态势感知,通过自动化或半自动化工具、流程和策略来对抗新一代威胁。
因此,企业安全体系能够切换到以监控和响应为核心,通过持续监测,及时响应来减轻和限制攻击造成的损失。
本实施例中,该方法还可以包括以下步骤:
步骤b,根据感知结果,从攻击威胁、受保护对象、安全事件的维度进行数据的整合和展示。
例如,如图3所示,在企业安全运营管理平台整体框架模型中,能够实现网络中多源异构海量安全数据信息的集中收集、处理、分析、呈现等流程,通过可视化手段感知全网安全态势及重要安全威胁。同时形成检测与响应的联动,针对不同等级的安全事件和不同资产,将响应流程细化并进行规范化管理,并对安全运营全过程进行审计,以保证网络安全。
再者,本申请实施例提供的方法可以应用于中大型企业的网络安全运营管理平台建设,提供一整套层次分明、功能完善、面向未来的先进架构模型及设计理念,协助企业用户构建符合当前以及应对未来的网络安全运营管理体系。
图4提供了一种针对企业网络安全运营管理的系统架构的结构示意图。该系统架构应用于计算机设备,如图4所示,针对企业网络安全运营管理的系统架构400包括:
数据采集器401,用于采集多个资产设备采集的多种结构的安全数据。数据采集器能够采集相关的安全数据,上传至安全数据资源池。具体的,数据采集器通过被动接收和主动采集两种方式,实现全网日志数据、流量数据、漏洞数据、情报数据、资产数据等进行综合采集。
安全大数据资源池402,用于将从多个资产设备采集的多种结构的安全数据基于预先定义的数据治理准则,进行数据预处理,得到标准结构的安全数据。安全数据资源池能够对接收的安全数据进行清晰和存储,负责为安全态势感知系统调度分析资源,在数据资源池中对相关安全数据进行分析。具体的,数据资源池提供大数据接入、处理、存储、计算等共性基础设施。针对结构化数据及非结构化数据实现数据集中存储、管理与维护,能够为高级威胁分析系统和安全运营管理系统提供有效的数据支撑。首先将采集的多源异构数据实现标准化的接入,包括标准化的数据接口和数据抽取、清洗及装载;然后根据数据治理准则,完成数据清理、数据集成、数据转换和数据约简以提高数据质量,使数据更适合数据挖掘算法的需要;形成网络和安全数据、情报信息、安全事件、管理数据等类型数据资源为上层平台服务。
安全态势感知系统403,用于基于标准结构的安全数据,进行安全态势感知,得到感知结果。安全态势感知系统能够对相关的安全数据进行分析,并将结果送入安全数据资源池。具体的,安全态势感知系统通过统一的计算引擎管理器,根据计算的场景、数据类型和数据规模调用实时或者离线计算引擎。利用大数据技术对标准化处理后的安全数据进行更为深入细致的分析和挖掘。按照网络安全管理、运维相关的数据逻辑和应用逻辑要求,做有针对性的处理分析,为数据业务模块提供数据来源。再者,数据挖掘分析需要依赖关联分析、场景化分析、威胁情报分析的思路,依托大数据的分析处理能力,可以在更长时间和更广系统范围内检索安全数据的关联关系,根据不同的线索将其串联在一起。在数据分析过程中,需要立足网络安全监测环境和管理目标,综合考虑安全事件的发生原因、过程表现、引发后果等多种因素。
安全运营管理系统404,用于根据感知结果,生成控制策略,并基于控制策略控制资产设备。安全运营管理系统能够对相关的安全事件进行处置和管理,并对下级下达管理任务。具体的,安全运营管理系统主要提供安全监测、通报预警、安全检查、等级保护、分析研判、应急处置、追踪溯源、资产管理、风险感知等应用模块。
此外,可视化屏幕能够基于大数据技术综合掌握企业网络中各类安全要素信息后,首先实现安全态势的综合呈现,综合的态势呈现应该从攻击威胁、受保护对象、安全事件等各维度进行数据的整合和展示。其中攻击威胁可从攻击的来源、攻击手段、攻击过程、攻击效果等方面来集中呈现攻击威胁态势。在关注攻击威胁的同时还应从网络区域以及受保护对象的角度呈现当前网络及系统的安全状态,至少可呈现各网络区域、各类型的业务系统以及所指定的重要资产的安全状态信息。呈现的效果应当合理采用各类可视化的展现效果,包括热度地图、饼图、柱图、趋势图等形式,增加数据的可读性以及直观度。
在一些实施例中,数据采集器的数据采集接口包括多种采集方式,多种采集方式至少包括:对于本地型日志,支持Syslog、SNMP Trap和ODBC/JDBC采集方式;对于网络型日志,支持流量镜像采集方式;数据采集器在采集传输过程中使用安全传输协议进行数据传输。
需要说明的是,由于态势感知产品需要从多种数据源进行数据采集,并与多个其他安全产品和系统进行联动,存在较多需要定义的数据接口,目前各产品厂商、各平台建设单位各自为政,缺乏统一的数据接口。态势感知平台也缺乏数据标准规范、平台接口规范等,核心算法及分析模型的难以集各方面的优势。
本实施例中,采用“分层解耦、开放融合”设计思路,数据采集层、数据存储层、态势感知层、安全管理层均对外提供通用接口结合SDK,如基于大数据的数据存储层封装的SDK开放接口支持HDFS读写、Kafka读写、索引读写的接口访问。态势感知层通过SDK访问平台的在线数据和离线的历史数据进行分析,安全运营管理系统通过SDK访问索引中的安全事件、安全漏洞、告警日志等数据进行态势呈现、安全监测和溯源取证。对外提供API接口便于快速整合其它安全厂商业务系统。
由于安全数据来自不同厂家、不同类型的设备和系统,因此存在多种异构数据源,数据采集接口需要提供多种采集方式进行适配。对于本地型日志,能够支持Syslog、SNMPTrap、ODBC/JDBC方等方式。该网络型日志支持流量镜像等方式,同时,在采集传输过程中应使用安全传输协议,以保证数据的机密性和完整性,避免因网络安全监测导致新的安全隐患。
在一些实施例中,安全态势感知系统具体用于:基于标准结构的安全数据,进行关联分析、场景化分析以及威胁情报分析,得到感知结果。
安全数据是可以来自不同的厂商的,而通过步骤a,能够在更长时间和更广系统范围内检索安全数据的关联关系,根据不同的线索将其串联在一起。通过将软件不同的功能模块分层设计以及串联分析,实现分层解耦,便于开发、维护和管理。
在一些实施例中,上述系统架构还包括:安全控制系统和安全审计系统。
其中,安全控制系统用于通过联动接口与防护设备联动进行安全事件处置。安全控制系统能够接收安全管理系统发出的处置命令,对安全设备发出指令。具体的,支持与现有安全防护设备的联动接口。当态势感知系统及安全运营管理系统识别发现的各类风险隐患、攻击事件触发相关处置指令,通过联动接口与防护设备联动进行安全事件处置,实现对安全事件的自动化阻断。
安全审计系统用于对安全控制系统的行为进行审计操作。审计系统能够对相关安全系统的行为进行审计操作。具体的,安全审计系统基于日志审计、业务系统安全域的增强性审计、用户行为审计等方式构建体系化审计模型。
本实施例中,以“分层解耦、开放融合”为建设思路,平台包括数据采集系统、安全数据资源池、安全态势感知系统、安全管理系统、安全控制系统及审计系统六个系统,系统全部以解耦方式进行设计,组成安全运营管理中心。
通过基于数据采集、数据存储、态势感知、安全管理、安全控制及审计功能于一体的网络安全运营管理架构体系,能够融合数据采集、数据存储、态势感知、安全管理、安全控制及审计功能于一体的网络安全运营管理架构体系,以提升网络安全运营管理的效率。
本申请实施例提供的针对企业网络安全运营管理的系统架构,与上述实施例提供的针对企业网络安全运营管理的方法具有相同的技术特征,所以也能解决相同的技术问题,达到相同的技术效果。
本申请实施例提供的一种计算机设备,如图5所示,计算机设备5包括存储器51、处理器52,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述实施例提供的方法的步骤。
参见图5,计算机设备还包括:总线53和通信接口54,处理器52、通信接口54和存储器51通过总线53连接;处理器52用于执行存储器51中存储的可执行模块,例如计算机程序。
其中,存储器51可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口54(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线53可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器51用于存储程序,所述处理器52在接收到执行指令后,执行所述程序,前述本申请任一实施例揭示的过程定义的装置所执行的方法可以应用于处理器52中,或者由处理器52实现。
处理器52可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器52中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器52可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器51,处理器52读取存储器51中的信息,结合其硬件完成上述方法的步骤。
对应于上述针对企业网络安全运营管理的方法,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行上述针对企业网络安全运营管理的方法的步骤。
本申请实施例所提供的针对企业网络安全运营管理的装置可以为设备上的特定硬件或者安装于设备上的软件或固件等。本申请实施例所提供的装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,前述描述的系统、装置和单元的具体工作过程,均可以参考上述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请提供的实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述移动控制方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释,此外,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (10)
1.一种针对企业网络安全运营管理的方法,应用于计算机设备,其特征在于,所述方法包括:
将从多个资产设备采集的多种结构的安全数据基于预先定义的数据治理准则,进行数据预处理,得到标准结构的安全数据;
基于所述标准结构的安全数据,进行安全态势感知,得到感知结果;
根据所述感知结果,生成控制策略,并基于所述控制策略控制所述资产设备。
2.根据权利要求1所述的方法,其特征在于,所述预先定义的数据治理准则包括下述任意一项或多项:
数据清理准则;数据集成准则;数据转换准则;数据约简准则;
所述标准结构的安全数据包括下述任意一项或多项:
形成网络和安全数据;情报信息;安全事件;管理数据。
3.根据权利要求1所述的方法,其特征在于,基于所述标准结构的安全数据,进行安全态势感知,得到感知结果的步骤,包括:
基于所述标准结构的安全数据,进行关联分析、场景化分析以及威胁情报分析,得到感知结果。
4.根据权利要求1所述的方法,其特征在于,所述控制策略包括下述任意一项或多项:
安全监测、通报预警、安全检查、等级保护、分析研判、应急处置、追踪溯源、资产管理和风险感知。
5.根据权利要求1所述的方法,其特征在于,还包括:
根据所述感知结果,从攻击威胁、受保护对象、安全事件的维度进行数据的整合和展示。
6.一种针对企业网络安全运营管理的系统架构,应用于计算机设备,其特征在于,所述系统架构包括:
数据采集器,用于采集多个资产设备采集的多种结构的安全数据;
安全大数据资源池,用于将从多个资产设备采集的多种结构的安全数据基于预先定义的数据治理准则,进行数据预处理,得到标准结构的安全数据;
安全态势感知系统,用于基于所述标准结构的安全数据,进行安全态势感知,得到感知结果;
安全运营管理系统,用于根据所述感知结果,生成控制策略,并基于所述控制策略控制所述资产设备。
7.根据权利要求6所述的系统架构,其特征在于,所述数据采集器的数据采集接口包括多种采集方式,多种所述采集方式至少包括:对于本地型日志,支持Syslog、SNMP Trap和ODBC/JDBC采集方式;对于网络型日志,支持流量镜像采集方式;
所述数据采集器在采集传输过程中使用安全传输协议进行数据传输。
8.根据权利要求6所述的系统架构,其特征在于,所述安全态势感知系统具体用于:
基于所述标准结构的安全数据,进行关联分析、场景化分析以及威胁情报分析,得到感知结果。
9.根据权利要求6所述的系统架构,其特征在于,还包括:
安全控制系统,用于通过联动接口与防护设备联动进行安全事件处置;
安全审计系统,用于对所述安全控制系统的行为进行审计操作。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有机器可运行指令,所述计算机可运行指令在被处理器调用和运行时,所述计算机可运行指令促使所述处理器运行所述权利要求1至5任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910956585.7A CN110708316A (zh) | 2019-10-09 | 2019-10-09 | 针对企业网络安全运营管理的方法以及系统架构 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910956585.7A CN110708316A (zh) | 2019-10-09 | 2019-10-09 | 针对企业网络安全运营管理的方法以及系统架构 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110708316A true CN110708316A (zh) | 2020-01-17 |
Family
ID=69198987
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910956585.7A Pending CN110708316A (zh) | 2019-10-09 | 2019-10-09 | 针对企业网络安全运营管理的方法以及系统架构 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110708316A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112036577A (zh) * | 2020-08-20 | 2020-12-04 | 第四范式(北京)技术有限公司 | 基于数据形式的应用机器学习的方法、装置和电子设备 |
| CN112134785A (zh) * | 2020-09-14 | 2020-12-25 | 上海纽盾科技股份有限公司 | 网络安全等级保护中的信息处理方法、客户端及系统 |
| CN112291232A (zh) * | 2020-10-27 | 2021-01-29 | 中国联合网络通信有限公司深圳市分公司 | 一种基于租户的安全能力和安全服务链管理平台 |
| CN113328996A (zh) * | 2021-05-08 | 2021-08-31 | 中国电子科技集团公司第三十研究所 | 一种基于目标感知的安全策略智能配置方法 |
| CN113872950A (zh) * | 2021-09-18 | 2021-12-31 | 恒安嘉新(北京)科技股份公司 | 一种汽车安全分析方法、装置、电子设备及存储介质 |
| CN114090374A (zh) * | 2021-11-08 | 2022-02-25 | 北京许继电气有限公司 | 网络安全运营管理平台 |
| CN115225344A (zh) * | 2022-06-28 | 2022-10-21 | 广东润联信息技术有限公司 | 网络信息安全处理方法、装置、计算机设备及存储介质 |
| CN116153160A (zh) * | 2023-02-21 | 2023-05-23 | 北京基于未来教育科技有限公司 | 一种电信企业运营管理模拟对抗教学平台 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104901838A (zh) * | 2015-06-23 | 2015-09-09 | 中国电建集团成都勘测设计研究院有限公司 | 企业网络安全事件管理系统及其方法 |
| CN105553957A (zh) * | 2015-12-09 | 2016-05-04 | 国家电网公司 | 基于大数据的网络安全态势感知预警方法和系统 |
| CN107995162A (zh) * | 2017-10-27 | 2018-05-04 | 深信服科技股份有限公司 | 网络安全感知系统、方法及可读存储介质 |
| CN108833397A (zh) * | 2018-06-08 | 2018-11-16 | 武汉思普崚技术有限公司 | 一种基于网络安全的大数据安全分析平台系统 |
| CN108848069A (zh) * | 2018-05-29 | 2018-11-20 | 深圳智达机械技术有限公司 | 一种基于大数据的电力网络信息安全主动防御系统 |
| US20190052664A1 (en) * | 2017-08-08 | 2019-02-14 | American International Group, Inc. | System and method for assessing cybersecurity risk of computer network |
-
2019
- 2019-10-09 CN CN201910956585.7A patent/CN110708316A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104901838A (zh) * | 2015-06-23 | 2015-09-09 | 中国电建集团成都勘测设计研究院有限公司 | 企业网络安全事件管理系统及其方法 |
| CN105553957A (zh) * | 2015-12-09 | 2016-05-04 | 国家电网公司 | 基于大数据的网络安全态势感知预警方法和系统 |
| US20190052664A1 (en) * | 2017-08-08 | 2019-02-14 | American International Group, Inc. | System and method for assessing cybersecurity risk of computer network |
| CN107995162A (zh) * | 2017-10-27 | 2018-05-04 | 深信服科技股份有限公司 | 网络安全感知系统、方法及可读存储介质 |
| CN108848069A (zh) * | 2018-05-29 | 2018-11-20 | 深圳智达机械技术有限公司 | 一种基于大数据的电力网络信息安全主动防御系统 |
| CN108833397A (zh) * | 2018-06-08 | 2018-11-16 | 武汉思普崚技术有限公司 | 一种基于网络安全的大数据安全分析平台系统 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112036577A (zh) * | 2020-08-20 | 2020-12-04 | 第四范式(北京)技术有限公司 | 基于数据形式的应用机器学习的方法、装置和电子设备 |
| CN112036577B (zh) * | 2020-08-20 | 2024-02-20 | 第四范式(北京)技术有限公司 | 基于数据形式的应用机器学习的方法、装置和电子设备 |
| CN112134785A (zh) * | 2020-09-14 | 2020-12-25 | 上海纽盾科技股份有限公司 | 网络安全等级保护中的信息处理方法、客户端及系统 |
| CN112291232A (zh) * | 2020-10-27 | 2021-01-29 | 中国联合网络通信有限公司深圳市分公司 | 一种基于租户的安全能力和安全服务链管理平台 |
| CN113328996A (zh) * | 2021-05-08 | 2021-08-31 | 中国电子科技集团公司第三十研究所 | 一种基于目标感知的安全策略智能配置方法 |
| CN113872950A (zh) * | 2021-09-18 | 2021-12-31 | 恒安嘉新(北京)科技股份公司 | 一种汽车安全分析方法、装置、电子设备及存储介质 |
| CN113872950B (zh) * | 2021-09-18 | 2024-06-07 | 恒安嘉新(北京)科技股份公司 | 一种汽车安全分析方法、装置、电子设备及存储介质 |
| CN114090374A (zh) * | 2021-11-08 | 2022-02-25 | 北京许继电气有限公司 | 网络安全运营管理平台 |
| CN114090374B (zh) * | 2021-11-08 | 2024-05-28 | 北京许继电气有限公司 | 网络安全运营管理平台 |
| CN115225344A (zh) * | 2022-06-28 | 2022-10-21 | 广东润联信息技术有限公司 | 网络信息安全处理方法、装置、计算机设备及存储介质 |
| CN115225344B (zh) * | 2022-06-28 | 2024-05-14 | 华润智算科技(广东)有限公司 | 网络信息安全处理方法、装置、计算机设备及存储介质 |
| CN116153160A (zh) * | 2023-02-21 | 2023-05-23 | 北京基于未来教育科技有限公司 | 一种电信企业运营管理模拟对抗教学平台 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110708316A (zh) | 针对企业网络安全运营管理的方法以及系统架构 | |
| CN104509034A (zh) | 模式合并以识别恶意行为 | |
| US20120311562A1 (en) | Extendable event processing | |
| CN108763957A (zh) | 一种数据库的安全审计系统、方法及服务器 | |
| CN102929773B (zh) | 信息采集方法和装置 | |
| CN102739802A (zh) | 面向业务应用的it集中运维分析系统 | |
| CN112153047B (zh) | 一种基于区块链的网络安全运维及防御方法及系统 | |
| CN109947616A (zh) | 一种基于OpenStack技术的云操作系统的自动化监控运维系统 | |
| CN113051147A (zh) | 一种数据库集群的监控方法、装置、系统、以及设备 | |
| US11201802B2 (en) | Systems and methods for providing infrastructure metrics | |
| CN107733712A (zh) | 云计算系统中服务资源的监控方法和装置 | |
| CN110705726A (zh) | 工业设备的运维审计方法、系统和装置 | |
| CN113242267A (zh) | 一种基于类脑计算的态势感知方法 | |
| CN107566172B (zh) | 一种基于存储系统的主动式管理方法及系统 | |
| CN113824682A (zh) | 一种模块化的scada安全态势感知系统架构 | |
| CN108959923B (zh) | 综合安全感知方法、装置、计算机设备和存储介质 | |
| CN110347694A (zh) | 一种基于物联网的设备监控方法、装置及系统 | |
| CN114493203A (zh) | 一种安全编排及自动化响应的方法和装置 | |
| CN117375985A (zh) | 安全风险指数的确定方法及装置、存储介质、电子装置 | |
| CN111813637A (zh) | 信息显示方法、装置和系统、存储介质和电子装置 | |
| CN110049015B (zh) | 网络安全态势感知系统 | |
| CN112596984B (zh) | 业务弱隔离环境下的数据安全态势感知系统 | |
| CN114240013A (zh) | 一种面向关键信息基础设施的防务指挥方法及系统 | |
| CN106027306A (zh) | 一种资源监控方法及装置 | |
| CN112968796A (zh) | 网络安全态势感知方法、装置及计算机设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200117 |
|
| RJ01 | Rejection of invention patent application after publication |