CN112866219B - 一种安全管控方法及系统 - Google Patents
一种安全管控方法及系统 Download PDFInfo
- Publication number
- CN112866219B CN112866219B CN202110021877.9A CN202110021877A CN112866219B CN 112866219 B CN112866219 B CN 112866219B CN 202110021877 A CN202110021877 A CN 202110021877A CN 112866219 B CN112866219 B CN 112866219B
- Authority
- CN
- China
- Prior art keywords
- security
- safety
- management
- control platform
- control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种安全管控方法及系统,包括:S1、分布式部署的多个不同的安全部件采集业务的状态和日志信息,并上报安全管理与控制平台;S2、所述安全管理与控制平台基于私有安全管理控制协议与所述安全部件进行通信,接收所述安全部件上报的所述业务的状态和所述日志信息;S3、所述安全管理与控制平台对所述业务的状态和所述日志信息进行分析,并基于分析结果进行自动化闭环安全管控。本发明的由安全管理与控制平台对各安全部件上报的业务的状态和日志信息进行集中分析,下发安全策略,以便所述安全部件执行所述安全策略,从而完成自动化的闭环安全管控,能够满足业务并发性、实时性和业务数据机密性、完整性、高可用性的要求。
Description
技术领域
本发明涉及网络信息安全技术领域,更具体地说,涉及一种安全管控方法及系统。
背景技术
目前,在异质异构的网络通信环境下,全国铁路客票系统的组成日趋复杂,特别是在春运或者节假日等高峰时期,铁路客票系统会面临不同用户访问的高并发性;按照现有要求,客票运输组织要求单张售票的时间一般不超过规定的时间,使得铁路客票系统需要具有极高的实时性;并且,由于铁路售票需要实名制的规定,需要开放互联网等多种便捷的售票方式,因此铁路客票系统也会面临日趋严峻的网络安全威胁。
针对全国铁路客票系统类大型复杂的异质异构系统,现有一般采用防火墙、防病毒、入侵检测等安全技术对网络进行保护,但是现有技术体系往往以独立的安全设备提供各自的安全策略,安全机制单独起作用,缺乏一个有效的管理机制对不同类型的安全设备和安全机制进行协同和联动控制,以致于在实际的大型复杂业务应用系统中难以发挥整体安全管控的作用,提供整体安全保障能力。
现有安全管控系统存在以下缺陷:
(1)现有安全管控系统的不同功能和设备都相对独立,往往形成信息孤岛,难以形成实质性的安全防护能力,不能满足复杂业务的安全防护需要;
(2)现有安全管控系统多采用基于人的管理运维方式,缺少安全措施的自动化协同联动机制;
(3)随着信息化的发展,应用系统不断趋于大型和复杂化,对安全保障系统的事件分析、处理等提出了极高的计算性能要求,目前的现有安全管控系统较少具有全面检测、分析和响应的能力。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供一种能满足业务的并发性、实时性以及数据机密性、完整性、高可用性的安全管控方法及系统。
本发明解决其技术问题所采用的技术方案是:构造一种安全管控方法,包括:
S1、分布式部署的多个不同的安全部件采集业务的状态和日志信息,并上报安全管理与控制平台;
S2、所述安全管理与控制平台基于私有安全管理控制协议与所述安全部件进行通信,接收所述安全部件上报的所述业务的状态和所述日志信息;
S3、所述安全管理与控制平台对所述业务的状态和所述日志信息进行分析,并基于分析结果进行自动化闭环安全管控。
在本发明所述的安全管控方法中,所述步骤S3进一步包括:
S31、所述安全管理与控制平台基于预先构建的安全基线对集中收集的所述安全部件上报的所述业务的状态和所述日志信息进行检测,所述安全基线为根据威胁情报的集中分析和安全事件风险评估所获得的安全基线标准;
S32、所述安全管理与控制平台根据检测结果生成安全策略,并下发给所述安全部件,以便所述安全部件执行所述安全策略;
S33、所述安全管理与控制平台根据所述安全策略的执行情况进行系统的风险降级和恢复处理。
在本发明所述的安全管控方法中,所述步骤S32进一步包括:
S321、所述安全管理与控制平台根据所述检测结果区分不同性质的响应行为,形成资源分配方案;
S322、所述安全管理与控制平台基于所述资源分配方案生成安全策略,并将所述安全策略分发到所述安全部件;
S323、所述安全部件按照所述安全策略自动进行相应的处理。
在本发明所述的安全管控方法中,所述步骤S33进一步包括:
S331、所述安全管理与控制平台基于预设规则进行自适应处理以执行系统的风险降级;
S332、所述安全管理与控制平台基于启动应急备份与恢复机制,对关键业务及数据进行恢复重建。
在本发明所述的安全管控方法中,所述安全管理与控制平台基于预设规则进行自适应处理以执行系统的风险降级包括:基于时间资源(T)的约束条件对执行风险降级的安全任务计算、安全检测任务、安全响应任务和安全检测任务动态分配时隙,以便所述安全计算任务、所述安全响应任务和所述安全检测任务在自己的时隙内完成计算。
在本发明所述的安全管控方法中,所述时间资源(T)的约束条件为:
T(安全计算任务)=T(安全检测任务)+T(安全响应任务);
T(安全计算任务)<T(业务)<预设值;
T(安全检测任务)<T(网络连接);
T(安全响应任务)<T(网络连接)。
在本发明所述的安全管控方法中,所述安全管理与控制平台基于预设规则进行自适应处理以执行系统的风险降级包括:对所述安全部件的物理运行状况及承载其上的安全计算任务进行实时监控,基于空间资源的约束条件对所述安全计算任务所需的物理资源进行动态切分,以便所述安全计算任务在自己的空间内完成计算。
本发明解决其技术问题采用的另一技术方案是,构造一种安全管控系统,包括多个安全部件和管理所述安全部件的安全管理与控制平台,其中,所述安全部件为分布式部署的多个不同的安全部件,所述安全管理与控制平台上存储计算机程序,所述计算机程序被所述安全管理与控制平台上的处理器执行时实现上述的安全管控方法。
在本发明所述的安全管控系统中,所述安全部件包括网络管控器、核心管控器、主机管控器,主机安全代理模块、安全通信模块和防火墙,所述安全管理与控制平台包括安全管理模块、安全监控与审计模块、配置管理模块、态势感知模块、持续化安全演进模块和安全管理控制通信组件,所述安全部件和所述安全管理与控制平台通过安全管理控制通信组件通信。
实施本发明的安全管控方法和系统,具有以下有益效果:采用集散式管理思想,通过分布式部署多个不同的安全部件,由安全管理与控制平台对各个安全部件上报的业务的状态和日志信息进行集中分析,基于分析结果对安全部件下发安全策略,以便各个安全部件执行所述安全策略,并根据所述安全策略的执行情况进行系统的风险降级和恢复处理,从而完成自动化的闭环安全管控,能够满足业务的并发性、实时性以及数据机密性、完整性、高可用性的要求。进一步地,通过安全管理与控制平台分别从时间和空间的维度对计算任务所需的资源进行自适应分配,保证风险的防护能够在得到足够资源的条件下顺利进行,为实现自动化闭环安全管控提供保障。更进一步的,通过基于PKI体系提供的安全基础(数据的安全交互),以及类脑计算提供的强大计算性能(资源的有效分配),能适应大型分布式系统的整体安全检测、评估和管理控制,具有实质性的安全防护能力,满足了复杂业务的安全防护需要。再进一步地提高了安全管理与控制平台对事件的分析、处理能力,解决了现有安全系统独立作用难以发挥整体安全效果,以及计算性能难以满足实际安全管理与控制需要等问题。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是本发明的安全管控方法的第一优选实施例的流程图;
图2示出了根据本发明的优选实施例的所述安全管理与控制平台进行自动化闭环安全管控的控制流程图;
图3示出了根据本发明的优选实施例的时间资源(T)的约束条件的原理图;
图4示出了根据本发明的优选实施例的空间资源的约束条件的原理图;
图5是本发明的安全管控系统的第一优选实施例的原理框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明采用集散式管理思想,及私有安全管理控制协议,基于PKI体系和类脑计算的支撑,通过在安全管理中心部署安全管理与控制平台,由安全管理与控制平台对分布式部署的网络管控器、主机管控器、核心管控器、主机安全代理、防火墙、安全通信模块等安全部件进行集中管理,接收上述安全部件的上报信息,经过安全分析处理,生成安全策略,下发到各安全部件自动化执行,联动控制各安全部件对安全事件进行处置和阻断,降低安全事件的风险到可接受程度。达到分布式部署、集中管控、自动化、智能化安全管控的目的,满足复杂业务系统的高可靠高效率持续化安全运营的需要。
图1是本发明的安全管控方法的第一优选实施例的流程图。如图1所示,在步骤S1中,基于私有安全管理控制协议的安全通信系统,采用集散式管控模式布式部署多个安全部件,并在安全管理中心构建管理所述安全部件的安全管理与控制平台。在本发明的优选实施例中,所述安全部件可以包括例如网络管控器、核心管控器、主机管控器,主机安全代理模块、安全通信模块和防火墙等。所述防火墙可以进一步包括可管控防火墙、可管控应用防火墙(云)等等。
优选地,所述网络管控器可以用于根据网络设备的安全基准配置,对网络设备的配置、端口状态、流量、运行状态进行监测比对,比对不一致则发送安全事件,实时监控网络中终端的接入,对非认证终端的接入,进行阻断,并产生告警上报,防止非法内联。
所述核心管控器用于负责核心业务域和访问数据库安全监控和审计,包含用户操作记录、业务应用、监控过程等安全状况。优选地,所述核心管控器可以采用针对于协议解析的监控系统,采用旁路侦听的方式,捕获到整个网络的数据包,用于一些大型数据库系统如Sybase,采用TDS协议来传输数据。核心管控器负责核心业务域和访问数据库安全监控和审计,包含用户操作记录、业务应用、监控过程等安全状况,通过解析用户与数据库服务器之间的交互数据,记录所有用户在不同时间段对核心数据库的操作,对日后的数据恢复以及定位非法操作提供详细资料。
所述主机管控器用于根据管理的主机类型,将安全管理与控制平台下发的安全策略进行实例化,实现对主机进行分散控制。根据主机的安全基准配置,对主机的用户、配置文件、进程、服务、接口进行监测比对,比对不一致则发送安全事件。
所述安全通信模块可以作为网络的边界设备,用于对网络中的数据自动进行无感知的数据加密和解密,提供密钥的产生、安全管理、数据包的加密运算和解密运算服务。提供多密算法,对数据进行加签加密,保证传输数据的机密性、真实性、不可抵赖性;完成可信路径设置完整性,保证传输路径安全和传输数据内容安全,支持国密标准,结合后台服务形成完整的系统,能应用于各种安全通讯场景。
所述可管控防火墙具有分区划域、边界防护和访问控制功能;可以用于根据系统管理者设定的安全规则在内部网络和不可信任的外界之间构成一道安全屏障。通过安全、高效的内核,实施完善的安全性设置和传输控制,防止潜在的入侵破坏。所述可管控防火墙可以集内容过滤功能、入侵防护功能、防病毒功能、VPN功能、流量管控功能、用户管理功能、角色认证功能等安全技术于一身,全面支持QoS、高可用性(HA)、日志审计等功能。实现入侵检测与病毒防护,帮助用户实时掌握整体网络信息安全态势,并对爆发的网络信息安全事件进行及时预警及应急处置。
所述可管控应用防火墙(云)可以在防火墙的基础上,进一步增加入侵检测、防病毒引擎,应用识别与控制、WEB应用防护等功能。支持云化部署,形成防火云。
所述主机安全代理模块用于对主机用户的身份进行认证和授权,状态采集和数据上报等功能。
对应地,所述安全管理与控制平台可以进一步包括安全管理模块、安全监控与审计模块、配置管理模块、态势感知模块、持续化安全演进模块。
优选地,所述安全管理模块具有标记管理、授权管理、安全域管理、安全基线管理、策略管理、监控管理和响应管理等功能。
所述配置管理模块用于对被管控的对象(安全部件、网络设备等)进行统一的集中配置和管理,具有用户管理、资产管理、拓扑管理和升级管理等功能。优选地,在本发明的优选实施例中,当本发明的安全管控方法应用于铁路客票系统时,其可以主要以可视化图形界面、形象直观的方式向最终用户提供管理、监控铁路客票安全系统运行情况的办法,提供安全管理、系统管理操作界面,供用户配置管理安全部件,例如防火墙(云)规则的下发,防火墙(云)黑、白名单的下发。所述配置管理模块还可以进一步用于支持系统自动扫描,发现在线运行的安全部件,对安全部件的节点进行状态监控;提供对用户的管理,对身份卡进行身份认证和授权操作,被授权为高级管理员的用户,有权限管理系统的拓扑图,可对部中心和地区中心进行初始化操作,在拓扑图中创建安全部件节点等。
所述安全监控与审计模块具有安全事件监控、安全状态监控与符合性检查、安全审计策略管理、风险管理等功能。其可以用于对各安全部件的运行情况进行安全审计以及风险分析,对部件进行责任审计和应急恢复。
所述态势感知模块具有资产安全、风险、攻击、威胁态势感知功能,其用于采集安全部件,例如网络管控器、核心管控器、主机管控器上报的多种数据,涉及第三方产生、处理、传输、存储的各种威胁数据等,对物理、网络、系统、应用等ISO体系结构全要素信息的数据融合、数据清洗、数据挖掘、特征提取、动态响应与预测、机器学习,从数据中自动学习、建模、分析形成规律,并利用规律对网络空间进行网络态势评估、网络威胁评估和网络态势预测,进而对网络空间安全状况的可视、可知、可管、可控、可溯和可预警,从而构建了多层次、多角度、多粒度、完整详尽的且基于人、机、物等资源客体、时空范围、关联关系等要素的安全态势感知平台。
所述持续化安全演进模块具有安全编排、治理和恢复功能。用于将安全应用组织起来,根据攻击者的行为灵活调用相应的安全策略,进而快速、稳定、一致地准备好安全应对能力;对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
在本发明的进一步的优选实施例中,随着业务系统的大型化和复杂化发展,安全管理与控制平台的日志分析和事件处理复杂度不断提升,为了满足实时安全防护,及时阻断网络攻击行为,所述安全管理与控制平台需要类脑计算系统提供强大的计算能力支撑,因此所述安全管理与控制平台可以进一步包括类脑计算模块。所述安全管理与控制平台主要基于PKI体系提供密码等安全基础服务,其中包含的类脑计算模块提供的强大计算能力支撑,PKI体系基于国家密码算法,提供安全系统需要的各种密码服务、安全认证等功能。
在本发明的优选实施例中,由于业务系统的工作流程和流程状态数量和转换的复杂性,达到实时检测和过滤效果,并不干扰系统业务的进行,需要大算力平台的支撑。因此,在该优选实施例中,所述安全管理与控制平台包括类脑计算模块,该类脑计算模块采用计算、存储、通信一体化的并行计算超立方体架构体系。基于无自反馈的稳定Hopfield神经网络结构实现基础并行类脑神经元计算单元,在定制化操作系统、SDN全交换网络、大数据弹性存储网络的支撑下,实现全网格化的去中心化先进计算体系,具有超级的计算能力,支撑计算节点和资源的弹性伸缩,方便部署和安装。为海量用户的多个操作序列状态记录跟踪经过分析匹配构建成操作树提供大计算力。
在本发明的进一步的优选实施例中,所述安全管理与控制平台可以进一步包括安全管理控制通信组件。所述安全管理控制通信组件基于私有安全协议,提供安全管理与控制平台与各安全部件的数据交换与转换标准,支持分布式自动化安全协同联动控制。
所述安全部件和所述安全管理与控制平台通过安全管理控制通信组件通信。
在步骤S1中,分布式部署的多个不同的安全部件采集业务的状态和日志信息,并上报安全管理与控制平台。在本发明的优选实施例中,分布式部署的多个不同的安全部件根据轮询机制或安全管理控制平台配置的采集周期及指令,对各自管理的网络交换机、路由器,业务计算环境主机、服务器、数据库等对象进行状态和日志信息数据的采集。
优选地,采集的信息包括但不限于各个安全部件的操作系统、日志、软硬件配置、漏洞、脆弱性、安全标记,状态、性能、用户角色权限、操作、应用工作流、服务链、攻击链等。
在步骤S2中,所述安全管理与控制平台基于私有安全管理控制协议与所述安全部件进行通信,接收所述安全部件上报的所述业务的状态和所述日志信息。在本步骤中,安全管理与控制平台通过安全管理控制通信组件基于私有安全管理控制协议与各安全部件进行通信,通过打造一个安全通道接收安全部件上报的上述信息。
在步骤S3中,所述安全管理与控制平台对所述业务的状态和所述日志信息进行分析,并基于分析结果进行自动化闭环安全管控。优选地,所述安全管理与控制平台基于PDRR管控模型构建一个自动化闭环安全管控流程,将被管理对象系统(即多个安全部件)置于P(规划)、D(检测)、R(响应)、R(恢复)的整体安全管控策略之中,通过植入“内生性”免疫数据库和“获得性”免疫数据库,在信息融合的多层次决策支持理论下构筑可信、可管、可控的智能化安全防线。
图2示出了根据本发明的优选实施例的所述安全管理与控制平台进行自动化闭环安全管控的控制流程图。如图2所示,所述安全管理与控制平台进行自动化闭环安全管控包括以下阶段步骤。
1.P(规划)阶段,在规划阶段中,所述安全管理与控制平台预先构建安全基线。在本发明的优选实施例中,在规划阶段中主要开展业务基线定义,关注人、系统组件、环境交互等全网要素,将资产分布集、功能权限集、操作行为集、漏洞库、病毒库、攻击库,以及安全目标、安全要求、安全策略、安全模型纳入保护规划中;通过进行威胁情报的集中分析以及基于安全控制要求对评估对象开展细粒度多维度的风险评估,获取威胁的特征以及安全控制标准,进而构建一道安全防护的基线标准。
2.D(检测)阶段,在检测阶段中,所述安全管理与控制平台基于所述安全基线对集中收集的所述安全部件上报的所述业务的状态和所述日志信息进行检测。优选地,在本发明的优选实施例中,在检测阶段中,主要针对上述所采集的信息开展全息要素检测,通过面向身份权限、域名端口、报文协议、编码格式和数据流量等要素,基于安全防护的基线标准开展业务流程、漏洞脆弱、攻击威胁等主被动相结合的数据融合决策,实现威胁情报分析;面向等级化定义的信息资产和系统服务,开展一致性响应检测,支持机密性保护,即上下行全面内容检测。
3.R(响应)阶段,在响应阶段中,所述安全管理与控制平台根据检测结果对所述安全部件生成安全策略,并下发给所述安全部件,以便所述安全部件执行所述安全策略。优选地,在本发明的优选实施例中,在响应阶段中,根据业务的请求行为判断哪些业务是安全的,哪些业务对系统来说是有风险的,从而将针对上述检测结果所采取的对应的安全措施划分为不同性质的响应行为,然后根据不同性质的响应行为形成更为有效的资源分配方案,基于所述资源分配方案,利用马尔科夫决策过程,生成安全策略,分发到各安全部件,由安全部件按照安全策略自动的对各自管理的对象进行相应的处理。这些处理可以进一步包括放行正常行为、锁死异常行为,或者侧引可疑行为,支持在应用、核心、边界、汇聚等各层次的安全管控。
4.R(恢复)阶段,在恢复阶段中,所述安全管理与控制平台根据所述安全策略的执行情况进行系统的风险降级和恢复处理。优选地,在本发明的优选实施例中,在恢复阶段中,安全管理与控制平台根据上述安全策略的执行情况联动控制各安全部件进行风险的承受转化,执行风险降级,以及重新启动等措施,包括利用计算资源、网络资源、存储资源的弹性调度与扩展,启动应急备份与恢复机制,对文件、数据库、操作系统等关键业务系统及数据进行恢复重建,将系统恢复至正常状态,即实现全局负载优和系统秒级恢复。
在本发明的进一步的优选实施例中,所述风险降级过程由安全管理与控制平台从时间或者空间的维度,在类脑计算模块提供的强大算力的基础上进行自适应处理。图3示出了根据本发明的优选实施例的时间资源(T)的约束条件原理图。
如图3所示,时间资源(T)的约束条件可以是基于时分控制模型采用基于时隙分配的异步化任务调节控制模式,构建多时间约束条件下的安全任务计算体系,其实质在于将提供给整个安全任务计算的时间柔性分成若干时隙,并自适应地动态分配给安全计算、安全检测与安全响应等计算任务使用,每一个计算任务在自己的时隙内完成计算。本模式能够根据安全计算耗时情况按需分配时隙,而并非固定时隙分配加载。在本发明的优选实施例中,安全计算尤其是指客票的安全计算。
在时间(T)的约束条件中,安全计算任务主要由安全检测任务和安全响应任务构成,将安全检测任务和安全响应任务的时间耗时控制在网络连接的时长范围内,并且所有的安全计算任务的执行时间需要保持在整个业务(例如客票业务)规定的范围内,即预设值(例如4秒)内完成。上述时间资源(T)的约束条件如下:
T(安全计算任务)=T(安全检测任务)+T(安全响应任务);
T(安全计算任务)<T(营业业务)<预设值(4S);
T(安全检测任务)<T(网络连接);
T(安全响应任务)<T(网络连接);
在建立的时间资源(T)的约束条件基础上,通过求解约束满足方法获得优化的时间时隙规划方案,然后基于优化的时间时隙规划方案实现计算任务对时间切片复用的分配。
图4示出了根据本发明的优选实施例的空间资源的约束条件的原理图。如图4所示,所述空间资源的约束条件可以是基于空分控制模型采用基于资源复用的可定义软件调度控制模式,构建多资源约束条件下的安全计算体系,其实质在于对安全部件的物理运行状况,及承载其上的安全计算任务进行实时监测,并根据任务的负载特征采用不同的计算模式,对物理资源做细颗粒度的动态切分,实现相应虚拟资源的弹性规划与重构。本模式能够增强物理资源在负载消耗与疲劳逼近过程中极致化算力的能力。
图5是本发明的安全管控系统的第一优选实施例的原理框图。如图5所示,所述集散式安全管控系统,包括多个安全部件100和管理所述安全部件100的安全管理与控制平台200,其中,所述安全部件100包括网络管控器110、核心管控器120、主机管控器130,主机安全代理模块140、防火墙150和安全通信模块160。所述安全管理与控制平台包括安全管理模块210、安全监控与审计模块220、配置管理模块230、态势感知模块240、持续化安全演进模块250、安全管理控制通信组件260和类脑计算模块270。优选的,所述安全部件100和所述安全管理与控制平台200可以通过安全管理控制通信组件260通信。所述安全管理与控制平台200上存储计算机程序,所述计算机程序被所述安全管理与控制平台200上的处理器执行时实现所述的安全管控方法。
本领域技术人员知悉,上述安全管控系统可以基于图1所示的安全管控方法中的教导构建。基于本发明的教导,本领域技术人员能够实现上述安全管控系统,在此就不再累述了。
因此,本发明可以通过硬件、软件或者软、硬件结合来实现。本发明可以在至少一个计算机系统中以集中方式实现,或者由分布在几个互连的计算机系统中的不同部分以分散方式实现。任何可以实现本发明方法的计算机系统或其它设备都是可适用的。常用软硬件的结合可以是安装有计算机程序的通用计算机系统,通过安装和执行程序控制计算机系统,使其按本发明方法运行。
本发明还可以通过计算机程序产品进行实施,程序包含能够实现本发明方法的全部特征,当其安装到计算机系统中时,可以实现本发明的方法。本文件中的计算机程序所指的是:可以采用任何程序语言、代码或符号编写的一组指令的任何表达式,该指令组使系统具有信息处理能力,以直接实现特定功能,或在进行下述一个或两个步骤之后实现特定功能:a)转换成其它语言、编码或符号;b)以不同的格式再现。
虽然本发明是通过具体实施例进行说明的,本领域技术人员应当明白,在不脱离本发明范围的情况下,还可以对本发明进行各种变换及等同替代。另外,针对特定情形或材料,可以对本发明做各种修改,而不脱离本发明的范围。因此,本发明不局限于所公开的具体实施例,而应当包括落入本发明权利要求范围内的全部实施方式。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种安全管控方法,其特征在于,包括:
S1、分布式部署的多个不同的安全部件采集业务的状态和日志信息,并上报安全管理与控制平台;
S2、所述安全管理与控制平台基于私有安全管理控制协议与所述安全部件进行通信,接收所述安全部件上报的所述业务的状态和所述日志信息;
S3、所述安全管理与控制平台对所述业务的状态和所述日志信息进行分析,基于分析结果进行自动化闭环安全管控;
所述步骤S3进一步包括:
S31、所述安全管理与控制平台基于预先构建的安全基线对集中收集的所述安全部件上报的所述业务的状态和所述日志信息进行检测,所述安全基线为根据威胁情报的集中分析和安全事件风险评估所获得的安全基线标准;
S32、所述安全管理与控制平台根据检测结果生成安全策略,并下发给所述安全部件,以便所述安全部件执行所述安全策略;
S33、所述安全管理与控制平台根据所述安全策略的执行情况进行系统的风险降级和恢复处理;
所述步骤S32进一步包括:
S321、所述安全管理与控制平台根据所述检测结果区分不同性质的响应行为,形成资源分配方案;
S322、所述安全管理与控制平台基于所述资源分配方案生成安全策略,并将所述安全策略分发到所述安全部件;
S323、所述安全部件按照所述安全策略自动进行相应的处理。
2.根据权利要求1所述的安全管控方法,其特征在于,所述步骤S33进一步包括:
S331、所述安全管理与控制平台基于预设规则进行自适应处理以执行系统的风险降级;
S332、所述安全管理与控制平台基于启动应急备份与恢复机制,对关键业务及数据进行恢复重建。
3.根据权利要求2所述的安全管控方法,其特征在于,所述安全管理与控制平台基于预设规则进行自适应处理以执行系统的风险降级包括:基于时间资源(T)的约束条件对执行风险降级的安全计算任务、安全响应任务和安全检测任务动态分配时隙,以便所述安全计算任务、所述安全响应任务和所述安全检测任务在自己的时隙内完成计算。
4.根据权利要求3所述的安全管控方法,其特征在于,所述时间资源(T)的约束条件为:
T(安全计算任务)= T(安全检测任务)+ T(安全响应任务);
T(安全计算任务)< T(业务)<预设值;
T(安全检测任务)< T(网络连接);
T(安全响应任务)< T(网络连接)。
5.根据权利要求2所述的安全管控方法,其特征在于,所述安全管理与控制平台基于预设规则进行自适应处理以执行系统的风险降级包括:对所述安全部件的物理运行状况及承载其上的安全计算任务进行实时监控,基于空间资源的约束条件对所述安全计算任务所需的物理资源进行动态切分,以便所述安全计算任务在自己的空间内完成计算。
6.一种安全管控系统,其特征在于,包括多个安全部件和管理所述安全部件的安全管理与控制平台,其中,所述安全部件为分布式部署的多个不同的安全部件,所述安全管理与控制平台上存储计算机程序,所述计算机程序被所述安全管理与控制平台上的处理器执行时实现根据权利要求1-5中任意一项权利要求所述的安全管控方法。
7.根据权利要求6所述的安全管控系统,其特征在于,所述安全部件包括网络管控器、核心管控器、主机管控器、主机安全代理模块、安全通信模块和防火墙,所述安全管理与控制平台包括安全管理模块、安全监控与审计模块、配置管理模块、态势感知模块、持续化安全演进模块和安全管理控制通信组件,所述安全部件和所述安全管理与控制平台通过所述安全管理控制通信组件通信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110021877.9A CN112866219B (zh) | 2021-01-07 | 2021-01-07 | 一种安全管控方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110021877.9A CN112866219B (zh) | 2021-01-07 | 2021-01-07 | 一种安全管控方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112866219A CN112866219A (zh) | 2021-05-28 |
| CN112866219B true CN112866219B (zh) | 2022-08-23 |
Family
ID=76005244
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110021877.9A Active CN112866219B (zh) | 2021-01-07 | 2021-01-07 | 一种安全管控方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112866219B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113254936A (zh) * | 2021-07-12 | 2021-08-13 | 深圳市永达电子信息股份有限公司 | 一种基于类脑计算的终端安全管理与控制平台 |
| CN113240116B (zh) * | 2021-07-12 | 2021-11-19 | 深圳市永达电子信息股份有限公司 | 基于类脑平台的智慧防火云系统 |
| CN113645244A (zh) * | 2021-08-12 | 2021-11-12 | 江苏亨通工控安全研究院有限公司 | 安全监管平台及其监管方法 |
| CN114666170B (zh) * | 2022-05-25 | 2022-10-28 | 深圳市永达电子信息股份有限公司 | 分层分级的安全集散管控方法和系统 |
| CN115221538B (zh) * | 2022-06-24 | 2024-01-26 | 西安宝博企业管理服务有限公司 | 适用于财务数据的加密方法及系统 |
| CN115361189A (zh) * | 2022-08-12 | 2022-11-18 | 华能澜沧江水电股份有限公司 | 一种基于分布式防火墙安全策略智能管理的方法及系统 |
| CN115664846B (zh) * | 2022-12-08 | 2023-07-04 | 深圳市永达电子信息股份有限公司 | 一种网络安全管控系统及方法 |
| CN116074113B (zh) * | 2023-03-06 | 2023-08-15 | 成都市以太节点科技有限公司 | 基于业务流程约束的安全防护方法、装置及存储介质 |
| CN116633664B (zh) * | 2023-06-20 | 2023-11-03 | 广东网安科技有限公司 | 一种用于网络安全监测的评估系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015003551A1 (zh) * | 2013-07-09 | 2015-01-15 | 中兴通讯股份有限公司 | 网络测试方法及其数据采集方法、网络测试装置及系统 |
| CN109525593A (zh) * | 2018-12-20 | 2019-03-26 | 中科曙光国际信息产业有限公司 | 一种对hadoop大数据平台集中安全管控系统及方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100346610C (zh) * | 2004-11-01 | 2007-10-31 | 沈明峰 | 基于安全策略的网络安全管理系统和方法 |
| CN104901838B (zh) * | 2015-06-23 | 2018-04-20 | 中国电建集团成都勘测设计研究院有限公司 | 企业网络安全事件管理系统及其方法 |
| AU2017201850B2 (en) * | 2016-03-21 | 2020-10-29 | Vireshwar K. ADHAR | Method and system for digital privacy management |
| CN105915535B (zh) * | 2016-05-24 | 2017-10-31 | 北京朋创天地科技有限公司 | 一种基于用户身份的虚拟化资源访问控制方法 |
| CN108494727A (zh) * | 2018-02-06 | 2018-09-04 | 成都清华永新网络科技有限公司 | 一种用于网络安全管理的安全事件闭环处理方法 |
| CN212259006U (zh) * | 2020-07-15 | 2020-12-29 | 中创为(成都)量子通信技术有限公司 | 一种网络安全管理设备 |
-
2021
- 2021-01-07 CN CN202110021877.9A patent/CN112866219B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015003551A1 (zh) * | 2013-07-09 | 2015-01-15 | 中兴通讯股份有限公司 | 网络测试方法及其数据采集方法、网络测试装置及系统 |
| CN109525593A (zh) * | 2018-12-20 | 2019-03-26 | 中科曙光国际信息产业有限公司 | 一种对hadoop大数据平台集中安全管控系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112866219A (zh) | 2021-05-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112866219B (zh) | 一种安全管控方法及系统 | |
| CN112769825B (zh) | 一种网络安全保障方法、系统以及计算机存储介质 | |
| CN109587174B (zh) | 用于网络防护的协同防御方法和系统 | |
| CN112766672A (zh) | 一种基于全面评估的网络安全保障方法及系统 | |
| Stakhanova et al. | A taxonomy of intrusion response systems | |
| US11930010B2 (en) | Access control system and method | |
| US20070266433A1 (en) | System and Method for Securing Information in a Virtual Computing Environment | |
| CN112887268B (zh) | 一种基于全面检测和识别的网络安全保障方法及系统 | |
| Ficco et al. | Intrusion detection in cloud computing | |
| Vieira et al. | Autonomic intrusion detection and response using big data | |
| CN110033174A (zh) | 一种工业信息安全保障体系建设方法 | |
| Lakhno et al. | Development of the intelligent decision-making support system to manage cyber protection at the object of informatization | |
| Toumi et al. | Cooperative trust framework for cloud computing based on mobile agents | |
| Wang et al. | A centralized HIDS framework for private cloud | |
| CN113645213A (zh) | 一种基于vpn技术的多终端网络管理监控系统 | |
| Hasan et al. | Artificial intelligence empowered cyber threat detection and protection for power utilities | |
| CN115314286A (zh) | 一种安全保障系统 | |
| He et al. | A policy management framework for self-protection of pervasive systems | |
| Ficco et al. | Intrusion tolerance in cloud applications: The mOSAIC approach | |
| US20180183818A1 (en) | Real-time application state monitoring, white list profile instantiation, behavioral detection and automatic cyber attack defense (bushido) | |
| CN112866220B (zh) | 一种基于cia状态机的安全管控方法及系统 | |
| He et al. | Applying component-based design to self-protection of ubiquitous systems | |
| Filman et al. | Communicating security agents | |
| Compastié et al. | Towards a software-defined security framework for supporting distributed cloud | |
| D’Antonio et al. | Increasing security and protection through infrastructure resilience: the INSPIRE project |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |