CN113780974A - 一种网络安全服务管控系统 - Google Patents
一种网络安全服务管控系统 Download PDFInfo
- Publication number
- CN113780974A CN113780974A CN202110907388.3A CN202110907388A CN113780974A CN 113780974 A CN113780974 A CN 113780974A CN 202110907388 A CN202110907388 A CN 202110907388A CN 113780974 A CN113780974 A CN 113780974A
- Authority
- CN
- China
- Prior art keywords
- module
- security service
- network security
- auditing
- service task
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
- G06Q10/103—Workflow collaboration or project management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/451—Execution arrangements for user interfaces
- G06F9/452—Remote windowing, e.g. X-Window System, desktop virtualisation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5061—Partitioning or combining of resources
- G06F9/5077—Logical partitioning of resources; Management or configuration of virtualized resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/20—Administration of product repair or maintenance
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/4557—Distribution of virtual machine instances; Migration and load balancing
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Strategic Management (AREA)
- General Engineering & Computer Science (AREA)
- Entrepreneurship & Innovation (AREA)
- Economics (AREA)
- Marketing (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Human Computer Interaction (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种网络安全服务管控系统,该网络安全服务管控系统通过活动策划授权模块、资源配置模块、业务模块、审计模块和成果模块的相互配合,可以实现自动根据目标网络安全服务任务,生成资源配置文件,并利用资源配置文件执行目标网络安全服务任务,以及对执行目标网络安全服务任务的过程进行审计监督,解决了现有技术中安全服务所需资源分散、运维复杂、风险管控策略不一致、自动化程度低等问题,提供统一的虚拟化操作界面及可控链路,实时审查和全面审计操作人员对网络安全服务在中的操作行为及流量,实现全程稳定规范与安全可控,有效检验安全服务成效,全面升级安全防御体系。
Description
技术领域
本申请涉及网络安全领域,尤其涉及一种网络安全服务管控系统。
背景技术
为发现/解决现实信息系统中存在的安全隐患,提升网络安全管理能力、安全服务能力,众多企业已经购置或租用相关的信息系统开展网络攻防演练等网络安全服务活动,但基本是以人力为主技术手段为辅的方式开展活动组织、运维保障、风险控制、事后评估等安全服务工作。然而,现有技术中人工手动进行网络安全服务管控的方式存在诸多问题,例如组织运维、风险管控需要靠人力,自动化程度低,且流程繁琐效率偏低,综合评估的技术支撑手段薄弱。
发明内容
本申请提供一种网络安全服务管控系统,以解决现有技术中网络安全服务管控中所需的资源分散、运维复杂、风险管控策略不一致、自动化程度低等问题。
第一方面,本申请提供了一种网络安全服务管控系统,其特征在于,所述系统包括:活动策划授权模块、资源配置模块、业务模块、审计模块和成果模块;
所述活动策划授权模块,用于根据目标网络安全服务任务,生成所述目标网络安全服务任务对应的资源配置文件;
所述资源配置模块,用于根据所述资源配置文件,确定目标虚拟机镜像以及各个目标虚拟镜像对应的资源;
所述业务模块,用于接收控制指令,并响应于所述控制指令,利用所述目标虚拟机镜像以及各个目标虚拟镜像对应的资源,执行所述目标网络安全服务任务;将执行所述目标网络安全服务任务的监控数据向所述审计模块发送;将执行所述目标网络安全服务任务的监控数据以及执行结果向所述成果模块发送;
所述审计模块,用于根据所述资源配置文件对应的审计策略,对所述执行所述目标网络安全服务任务的监控数据进行审计,得到审计结果;以及,将所述审计结果向所述成果模块发送;
所述成果模块,用于展示所述审计结果、所述执行所述目标网络安全服务任务的监控数据以及执行结果。
可选的,所述活动策划授权模块,具体用于响应于服务任务指令,确定所述服务任务指令对应的目标网络安全服务任务;获取所述资源配置模块的资源配置参数;根据根据所述目标网络安全服务任务和所述资源配置参数,生成所述目标网络安全服务任务对应的资源配置文件。
可选的,所述目标网络安全服务任务为以下网络安全服务任务中的一个服务任务:安全扫描服务任务、安全运维服务任务、代码审查服务任务、风险评估服务任务、渗透测试服务任务、应急响应服务任务。
可选的,所述资源配置模块,具体用于基于线程数最多优先调配策略和预期协调策略,根据所述资源配置文件,确定目标虚拟机镜像以及各个目标虚拟镜像对应的资源。
可选的,所述资源配置模块,包括:虚拟资源管理单元;所述虚拟资源管理单元,用于提供虚拟化环境,以及,根据资源要求指令对各个虚拟机进行扩容调配;其中,所述虚拟化环境包括操作环境、网络环境、工具环境。
可选的,所述资源配置模块,还用于根据所述资源配置文件,确定所述资源配置文件对应的审计策略;并将所述审计策略向所述审计模块发送。
可选的,所述审计模块,包括服务单元、审计单元和访问控制单元;
所述服务单元,用于接收控制指令,并响应于所述控制指令,利用所述目标虚拟机镜像以及各个目标虚拟镜像对应的资源,执行所述目标网络安全服务任务;将执行结果向所述成果模块发送;
所述审计单元,用于在所述服务单元执行所述目标网络安全服务任务的过程中,采集所述监控数据,以及将所述监控数据向所述审计模块和所述成果模块发送;
所述访问控制单元,用于接收所述审计模块发送的审计结果,以及根据所述审计结果,对各个目标虚拟镜像对应的资源进行调整或者对所述服务单元进行阻断。
可选的,所述审计模块,还用于将所述审计结果向所述访问控制单元发送。
可选的,所述审计模块,具体用于根据所述资源配置文件对应的审计策略,对所述执行所述目标网络安全服务任务的监控数据进行审计,得到违规行为以及所述违规行为对应的管控策略;将所述违规行为以及所述违规行为对应的管控策略作为审计结果;以及,将所述审计结果向所述成果模块发送。
可选的,所述成果模块,还用于接收所述活动策划授权模块发送的资源配置文件,以及展示所述资源配置文件。
由上述技术方案可以看出,本申请提供了一种网络安全服务管控系统,所述系统包括:活动策划授权模块、资源配置模块、业务模块、审计模块和成果模块;所述活动策划授权模块,用于根据目标网络安全服务任务,生成所述目标网络安全服务任务对应的资源配置文件;所述资源配置模块,用于根据所述资源配置文件,确定目标虚拟机镜像以及各个目标虚拟镜像对应的资源;所述业务模块,用于接收控制指令,并响应于所述控制指令,利用所述目标虚拟机镜像以及各个目标虚拟镜像对应的资源,执行所述目标网络安全服务任务;将执行所述目标网络安全服务任务的监控数据向所述审计模块发送;将执行所述目标网络安全服务任务的监控数据以及执行结果向所述成果模块发送;所述审计模块,用于根据所述资源配置文件对应的审计策略,对所述执行所述目标网络安全服务任务的监控数据进行审计,得到审计结果;以及,将所述审计结果向所述成果模块发送;所述成果模块,用于展示所述审计结果、所述执行所述目标网络安全服务任务的监控数据以及执行结果。可见,本实施例中通过活动策划授权模块、资源配置模块、业务模块、审计模块和成果模块的相互配合,可以实现自动根据目标网络安全服务任务,生成资源配置文件,并利用资源配置文件执行目标网络安全服务任务,以及对执行目标网络安全服务任务的过程进行审计监督。这样,本申请提供了自动执行目标网络安全服务任务的业务流程配套的技术和资源支撑;实现所需资源的统一管控,实现认证策略、审计策略、控制策略,最后结合安全服务的业务流程进行自动化编排,从而本申请不需要和现有技术一样,需要人工手动进行网络安全服务管控,避免出现由于人工操作过程中的操作失误所导致的管控精确度低下、效率低下、成本高的问题,进而实现了网络安全服务管控的自动化,提高了网络安全服务管控的精确度和效率,以及降低了网络安全服务管控的成本。可以理解的是,本申请通过活动策划授权模块、资源配置模块、业务模块、审计模块和成果模块,解决了现有技术中安全服务所需资源分散、运维复杂、风险管控策略不一致、自动化程度低等问题,提供统一的虚拟化操作界面及可控链路,实时审查和全面审计操作人员对网络安全服务在中的操作行为及流量,实现全程稳定规范与安全可控,有效检验安全服务成效,全面升级安全防御体系。
上述的非惯用的优选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
为了更清楚地说明本申请实施例或现有的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请提供的一种网络安全服务管控系统的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合具体实施例及相应的附图对本申请的技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
下面结合附图,详细说明本申请的各种非限制性实施方式。
参见图1,示出了本申请实施例中的一种网络安全服务管控系统,该网络安全服务管控系统的硬件架构基础,可以包括硬件资源间的逻辑架构、软件资源间的逻辑架构、软硬件资源间的层次逻辑架构等。网络安全服务管控系统的软件模块架构可以包括主要功能模块的定义、各主要模块形成数据的定义、各主要模块间的不同数据的流向等。网络安全服务管控系统可以部署在通用X86服务器,或者其他支持虚拟机化技术的硬件(如intel CPU);系统部署可以是弹性的,可以是单台到几百台,硬件资源间的逻辑架构关系可以采用行业内通用的虚拟化技术。软件资源间的逻辑架构以及软硬件资源的层次架构也可以采用行业内通用的虚拟化技术,对此,在本申请中不做限定。
所述系统可以包括:活动策划授权模块、资源配置模块、业务模块、审计模块和成果模块。接下来,分别介绍上述模块在本实施例中所起到的作用。
所述活动策划授权模块,可以用于根据目标网络安全服务任务,生成所述目标网络安全服务任务对应的资源配置文件。在本实施例中,所述目标网络安全服务任务可以为以下网络安全服务任务中的一个服务任务:安全扫描服务任务、安全运维服务任务、代码审查服务任务、风险评估服务任务、渗透测试服务任务、应急响应服务任务。
在一种实现方式中,所述活动策划授权模块,可以响应于服务任务指令,确定所述服务任务指令对应的目标网络安全服务任务。在本实施例中,活动策划授权模块可以用于谋划和管理安全服务,例如活动策划授权模块可以提供参与人员/组织的注册/认证/授权,活动策划授权模块还可以提供目标网络安全服务任务所需的业务资源。在一种实现方式中,活动策划授权模块可以包括:活动单元和人员管理单元;其中,活动单元可以包括安全服务的基本属性信息,如单位、活动类型、时间段、人员类型、所需的资源以及图标可视化展示;人员管理单元可以包括组织人员认证方式、账号密码、服务技能等基本属性内容,以及目标网络安全服务任务所需的资源、人员的类型、级别、授权的访问内容、操作工具、所需的虚拟资源、网络IP地址和带宽、审计策略、访问控制策略。可以理解的是,用户可以通过活动策划授权模块输入服务任务指令,该服务任务指令可以包括目标网络安全服务任务,以及目标网络安全服务任务对应的基本属性信息和人员管理信息。
所述活动策划授权模块用于获取所述资源配置模块的资源配置参数;根据根据所述目标网络安全服务任务和所述资源配置参数,生成所述目标网络安全服务任务对应的资源配置文件。可以理解的是,由于每种服务任务需要的虚拟机资源不同;比如安全扫描服务任务对网络带宽资源有较高要求,配置安全扫描服务任务时需要侧重调整带宽限额;代码审查服务任务对计算资源有较高要求,配置该代码审查服务任务时要提供更高的CPU、内存资源;安全运维服务任务对操作工具有较高要求,需要配置共用的网络存储,以便安装各种工具软件和办公软件,系统采用推荐配置模型,提供基线标准。因此,活动策划授权模块可以自动读取资源配置模块的资源配置参数,以便活动策划授权模块可以根据目标网络安全服务任务的数量计算资源分配,并可以显示当前硬件配置规格条件下,可同时开展的活动数量。也就是说,活动策划授权模块可以针对目标网络安全服务任务制定与其对应的安全管控策略,并保障活动的进行,以及形成资源配置文件,接着,活动策划授权模块可以并将资源配置文件(比如活动策划内容、授权信息)发送给业务模块、审计模块和资源配置模块。
可以理解的是,所述活动策划授权模块可以用于实现以下功能:可以针对服务对象的粒度划分模型;根据管理对象的粒度划分模型;根据服务对象和管理对象间的需求分配模型或策略;针对服务对象和管理对象,配置相应的手段或专用工具。所述活动策划授权模块可以设定一项网络安全服务活动所需的资源、数量、审计力度、管控措施,同时,可以利用RBAC3模型进行人员/组织/角色和所需分配资源的分配。
在一种实现方式中,活动策划授权模块可以定义活动(即目标网络安全服务任务)的类型、资源类型、审计要求;资源配置模块可以根据上述要求进行资源分配,并反馈给活动策划授权模块资源实时监控情况。
所述资源配置模块,用于根据所述资源配置文件,确定目标虚拟机镜像以及各个目标虚拟镜像对应的资源。可以理解的是,源配置模块是为完成目标网络安全服务任务需要分配的各种资源,其中,用于计算、存储、通信的工具软件,可以统称为资源;资源配置模块可以包括各种虚拟机镜像/操作系统或工具软件,并且资源配置模块可以根据资源配置文件对各种虚拟机镜像/操作系统或工具软件进行分配。
在一种实现方式中,资源配置模块可以用于对安全服务(即目标网络安全服务任务)所需的资源进行生成、调配、控制,提供安全人员/组织开展活动所需的虚拟化环境,提供虚拟化操作环境、操作系统、安全服务软件、办公软件、编译软件等,提供所需的网络访问链路,以及,可以将授权和统一审计策略要求发给业务模块、审计模块,并实时同步给活动策划授权模块和成果模块。
所述资源配置模块,具体用于基于线程数最多优先调配策略和预期协调策略,根据所述资源配置文件,确定目标虚拟机镜像以及各个目标虚拟镜像对应的资源。可以理解的是,资源配置模块可以根据活动策划授权模块发送的资源配置文件进行资源的优先分配,例如可以按照线程数最多优先调配策略和预期协调策略进行组合,其中,按照线程数最多优先调配策略为根据当前空余的虚拟机资源最多进行优先分配,其中,空余的资源可以理解为CPU线程、内存占用较少的资源,预期协调策略可以为根据当前活动资源预期进行安排,并进行一定基数的浮动保留,以避免资源不足导致的活动无法开展情况发生。资源配置模块可以分配给相应的虚拟机镜像/操作系统相应的资源,并启动该虚拟机镜像,以解决虚拟机镜像在不同物理硬件上的拷贝和迁移问题。
在一种实现方式中,所述资源配置模块,包括:虚拟资源管理单元。所述虚拟资源管理单元,可以用于提供虚拟化环境,以及,根据资源要求指令对各个虚拟机进行扩容调配;其中,所述虚拟化环境可以包括操作环境、网络环境、工具环境。
在一种实现方式中,所述资源配置模块,还可以用于根据所述资源配置文件,确定所述资源配置文件对应的审计策略;并将所述审计策略向所述审计模块发送。
需要说明的是,所述资源配置模块包括资源配置策略(或模型)。资源配置策略(或模型)可以包括各类型资源的配置权重、配置顺序、各类资源动态配置的策略或规则。这样,资源配置模块便可以利用资源配置策略,根据所述资源配置文件,确定目标虚拟机镜像以及各个目标虚拟镜像对应的资源。
所述业务模块,可以用于接收控制指令,并响应于所述控制指令,利用所述目标虚拟机镜像以及各个目标虚拟镜像对应的资源,执行所述目标网络安全服务任务。
所述业务模块,还可以用于将执行所述目标网络安全服务任务的监控数据向所述审计模块发送;将执行所述目标网络安全服务任务的监控数据以及执行结果向所述成果模块发送。其中,执行所述目标网络安全服务任务的监控数据可以理解为在执行目标网络安全服务任务的过程中所产生的操作记录,例如,执行所述目标网络安全服务任务的监控数据可以包括web操作记录、虚拟机操作记录、文件操作记录、命令操作记录、网络流量,以及对虚拟机操作的全过程记录。
可以理解的是,业务模块,可以用于对开展安全服务的人员进行web访问控制、可视化界面交互控制、虚拟化环境命令操作控制,并将所有控制过程实时向审计模块同步,并反馈给资源配置模块,以便可以资源配置模块可以对安全服务人员的非法命令/网络资源访问进行限制。
业务模块可以提供开展网络安全服务的虚拟化操作环境、操作系统、安全服务软件、办公软件、编译软件等,提供所需的网络访问链路;开展各项安全服务。业务模块为提供各项网络安全服务的直接载体,是执行所述目标网络安全服务任务的核心组成部分。
在一种实现方式中,所述审计模块可以包括服务单元、审计单元和访问控制单元。
所述服务单元,可以用于接收控制指令,并响应于所述控制指令,利用所述目标虚拟机镜像以及各个目标虚拟镜像对应的资源,执行所述目标网络安全服务任务;将执行结果向所述成果模块发送。可以理解的是,服务单元是用于提供虚拟化资源访问、交互的单元。
所述审计单元,可以用于在所述服务单元执行所述目标网络安全服务任务的过程中,采集所述监控数据,以及将所述监控数据向所述审计模块和所述成果模块发送。可以理解的是,审计单元是用于将监控到的行为操作记录(例如web操作记录、虚拟机操作记录、文件操作记录、命令操作记录、网络流量,以及对虚拟机操作的全过程记录)发送给审计模块,以便审计模块进行安全审计。
所述访问控制单元,可以用于接收所述审计模块发送的审计结果,以及根据所述审计结果,对各个目标虚拟镜像对应的资源进行调整或者对所述服务单元进行阻断。可以理解的是,在一种实现方式中,访问控制单元可以接收对开展安全服务的人员进行web访问控制、可视化界面交互控制、虚拟化环境命令操作控制,并可以实时将所接收到的数据向审计模块同步,并向资源配置模块反馈,以及对安全服务人员的非法命令/网络资源访问进行限制,并同时接收审计模块的管控措施。
可以理解的是,业务模块受资源配置模块控制和接收资源分配,同时可以向资源配置模块反馈分配情况,以汇报实时资源使用情况,也可以根据资源使用率情况反馈资源配置模块进行重新调配;同时,可以根据接收到的审计策略要求,向审计模块发送审计数据和接收审计模块的管控措施。
所述审计模块,用于根据所述资源配置文件对应的审计策略,对所述执行所述目标网络安全服务任务的监控数据进行审计,得到审计结果;以及,将所述审计结果向所述成果模块发送。在一种实现方式中,所述审计模块,还用于将所述审计结果向所述访问控制单元发送。
所述审计模块,具体用于根据所述资源配置文件对应的审计策略,对所述执行所述目标网络安全服务任务的监控数据进行审计,得到违规行为以及所述违规行为对应的管控策略;将所述违规行为以及所述违规行为对应的管控策略作为审计结果;以及,将所述审计结果向所述成果模块发送。
需要强调的是,审计模块可以包括各种虚拟机镜像/操作系统、各种审计功能软件和配置以及访问控制策略。审计模块受资源配置模块控制和接收资源分配,同时可以向资源配置模块反馈分配情况,汇报实时资源使用情况,并且可接收业务模块的审计数据,以及可以根据审计策略要求,对违规行为采取预定的管控策略,并将该管控策略下发给业务模块。
审计模块,可以用于对开展安全服务的人员的操作进行全流程的监控审计,并对web操作记录、虚拟机操作记录、文件操作记录、命令操作记录、网络流量等进行审计,以及对虚拟机操作进行全过程的录像及审计;另外,还可以通过对关键操作、命令、文件、流量包的审计,并将审计结果反馈给业务模块;在一种实现方式中,审计模块还可以向业务模块发出告警,以便可以引发业务模块的阻断操作。
可以理解的是,审计模块和业务模块中的审计单元、访问控制单元进行联动,一方面采集各种数据,实施审计策略,另外将审计结果,如有违规行为,触发预定的告警,下发指令,进行访问控制和网络访问限制。
在一种实现方式中,审计模块可以包括审计工具、流量审计单元、录像审计单元和日志数据审计单元。
审计工具可以用于采用事件驱动的系统钩子,截获相应的消息,并通过消息的防守传送给审计模块,捕获命令行输入以及特殊工具消息;
流量审计单元可以用于采用虚拟网卡数据包捕获及转发功能,发送到审计模块,审计模块进行初步的五元组数据分析,如有特殊访问数据包,进行详细的截获和分析。
录像审计单元可以用于采用基于VNC的录屏技术,在提供web服务的同时进行实时/抽样的录屏。
日志数据审计单元可以具有大数据平台技术所提供的多种数据源的数据接入方式、数据的海量分布式存储(GB\TB\PB级别)、可靠的数据副本备份机制、强大快速的基于内存的Spark计算处理引擎、提供多维分析计算、分布式关联分析引擎、快速检索查询、以及强大的扩展性和解耦合性等功能,其中,对于大数据量、大吞吐量等情况均能很好的进行解决,例如可以触发规则采用分布式分关联析引擎Esper进行处理。
所述成果模块,用于展示所述审计结果、所述执行所述目标网络安全服务任务的监控数据以及执行结果。在一种实现方式中,所述成果模块,还可以用于接收所述活动策划授权模块发送的资源配置文件,以及展示所述资源配置文件。所述成果模块,还可以用于采集活动策划授权模块、资源配置模块、业务模块、审计模块的数据,进行全局性的指挥调度及控制,实现全生命周期和全局的掌控。
由上述技术方案可以看出,本申请提供了一种网络安全服务管控系统,所述系统包括:活动策划授权模块、资源配置模块、业务模块、审计模块和成果模块;所述活动策划授权模块,用于根据目标网络安全服务任务,生成所述目标网络安全服务任务对应的资源配置文件;所述资源配置模块,用于根据所述资源配置文件,确定目标虚拟机镜像以及各个目标虚拟镜像对应的资源;所述业务模块,用于接收控制指令,并响应于所述控制指令,利用所述目标虚拟机镜像以及各个目标虚拟镜像对应的资源,执行所述目标网络安全服务任务;将执行所述目标网络安全服务任务的监控数据向所述审计模块发送;将执行所述目标网络安全服务任务的监控数据以及执行结果向所述成果模块发送;所述审计模块,用于根据所述资源配置文件对应的审计策略,对所述执行所述目标网络安全服务任务的监控数据进行审计,得到审计结果;以及,将所述审计结果向所述成果模块发送;所述成果模块,用于展示所述审计结果、所述执行所述目标网络安全服务任务的监控数据以及执行结果。可见,本实施例中通过活动策划授权模块、资源配置模块、业务模块、审计模块和成果模块的相互配合,可以实现自动根据目标网络安全服务任务,生成资源配置文件,并利用资源配置文件执行目标网络安全服务任务,以及对执行目标网络安全服务任务的过程进行审计监督。这样,本申请提供了自动执行目标网络安全服务任务的业务流程配套的技术和资源支撑;实现所需资源的统一管控,实现认证策略、审计策略、控制策略,最后结合安全服务的业务流程进行自动化编排,从而本申请不需要和现有技术一样,需要人工手动进行网络安全服务管控,避免出现由于人工操作过程中的操作失误所导致的管控精确度低下、效率低下、成本高的问题,进而实现了网络安全服务管控的自动化,提高了网络安全服务管控的精确度和效率,以及降低了网络安全服务管控的成本。可以理解的是,本是申请通过活动策划授权模块、资源配置模块、业务模块、审计模块和成果模块,解决了现有技术中安全服务所需资源分散、运维复杂、风险管控策略不一致、自动化程度低等问题,提供统一的虚拟化操作界面及可控链路,实时审查和全面审计操作人员对网络安全服务在中的操作行为及流量,实现全程稳定规范与安全可控,有效检验安全服务成效,全面升级安全防御体系。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。以上所描述的设备及系统实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述,仅为本较佳的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。
Claims (10)
1.一种网络安全服务管控系统,其特征在于,所述系统包括:活动策划授权模块、资源配置模块、业务模块、审计模块和成果模块;
所述活动策划授权模块,用于根据目标网络安全服务任务,生成所述目标网络安全服务任务对应的资源配置文件;
所述资源配置模块,用于根据所述资源配置文件,确定目标虚拟机镜像以及各个目标虚拟镜像对应的资源;
所述业务模块,用于接收控制指令,并响应于所述控制指令,利用所述目标虚拟机镜像以及各个目标虚拟镜像对应的资源,执行所述目标网络安全服务任务;将执行所述目标网络安全服务任务的监控数据向所述审计模块发送;将执行所述目标网络安全服务任务的监控数据以及执行结果向所述成果模块发送;
所述审计模块,用于根据所述资源配置文件对应的审计策略,对所述执行所述目标网络安全服务任务的监控数据进行审计,得到审计结果;以及,将所述审计结果向所述成果模块发送;
所述成果模块,用于展示所述审计结果、所述执行所述目标网络安全服务任务的监控数据以及执行结果。
2.根据权利要求1所述的系统,其特征在于,所述活动策划授权模块,具体用于响应于服务任务指令,确定所述服务任务指令对应的目标网络安全服务任务;获取所述资源配置模块的资源配置参数;根据根据所述目标网络安全服务任务和所述资源配置参数,生成所述目标网络安全服务任务对应的资源配置文件。
3.根据权利要求2所述的系统,其特征在于,所述目标网络安全服务任务为以下网络安全服务任务中的一个服务任务:安全扫描服务任务、安全运维服务任务、代码审查服务任务、风险评估服务任务、渗透测试服务任务、应急响应服务任务。
4.根据权利要求1所述的系统,其特征在于,所述资源配置模块,具体用于基于线程数最多优先调配策略和预期协调策略,根据所述资源配置文件,确定目标虚拟机镜像以及各个目标虚拟镜像对应的资源。
5.根据权利要求4所述的系统,其特征在于,所述资源配置模块,包括:虚拟资源管理单元;所述虚拟资源管理单元,用于提供虚拟化环境,以及,根据资源要求指令对各个虚拟机进行扩容调配;其中,所述虚拟化环境包括操作环境、网络环境、工具环境。
6.根据权利要求4所述的系统,其特征在于,所述资源配置模块,还用于根据所述资源配置文件,确定所述资源配置文件对应的审计策略;并将所述审计策略向所述审计模块发送。
7.根据权利要求1所述的系统,其特征在于,所述审计模块,包括服务单元、审计单元和访问控制单元;
所述服务单元,用于接收控制指令,并响应于所述控制指令,利用所述目标虚拟机镜像以及各个目标虚拟镜像对应的资源,执行所述目标网络安全服务任务;将执行结果向所述成果模块发送;
所述审计单元,用于在所述服务单元执行所述目标网络安全服务任务的过程中,采集所述监控数据,以及将所述监控数据向所述审计模块和所述成果模块发送;
所述访问控制单元,用于接收所述审计模块发送的审计结果,以及根据所述审计结果,对各个目标虚拟镜像对应的资源进行调整或者对所述服务单元进行阻断。
8.根据权利要求7所述的系统,其特征在于,所述审计模块,还用于将所述审计结果向所述访问控制单元发送。
9.根据权利要求1-8中任一所述的系统,其特征在于,所述审计模块,具体用于根据所述资源配置文件对应的审计策略,对所述执行所述目标网络安全服务任务的监控数据进行审计,得到违规行为以及所述违规行为对应的管控策略;将所述违规行为以及所述违规行为对应的管控策略作为审计结果;以及,将所述审计结果向所述成果模块发送。
10.根据权利要求1-8中任一所述的系统,其特征在于,所述成果模块,还用于接收所述活动策划授权模块发送的资源配置文件,以及展示所述资源配置文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110907388.3A CN113780974A (zh) | 2021-08-09 | 2021-08-09 | 一种网络安全服务管控系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110907388.3A CN113780974A (zh) | 2021-08-09 | 2021-08-09 | 一种网络安全服务管控系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113780974A true CN113780974A (zh) | 2021-12-10 |
Family
ID=78837060
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110907388.3A Pending CN113780974A (zh) | 2021-08-09 | 2021-08-09 | 一种网络安全服务管控系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113780974A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117692230A (zh) * | 2023-12-18 | 2024-03-12 | 永信至诚科技集团股份有限公司 | 网络攻防演练的信息共享方法、系统、电子设备和介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106375384A (zh) * | 2016-08-28 | 2017-02-01 | 北京瑞和云图科技有限公司 | 一种虚拟网络环境中镜像网络流量的管理系统和控制方法 |
| CN108965289A (zh) * | 2018-07-10 | 2018-12-07 | 北京明朝万达科技股份有限公司 | 一种网络安全协同防护方法和系统 |
| CN112019330A (zh) * | 2020-08-04 | 2020-12-01 | 广东省科技基础条件平台中心 | 一种基于联盟链的内网安全审计数据的存储方法及系统 |
| CN112671772A (zh) * | 2020-12-24 | 2021-04-16 | 国网冀北电力有限公司信息通信分公司 | 网络安全服务系统及方法 |
-
2021
- 2021-08-09 CN CN202110907388.3A patent/CN113780974A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106375384A (zh) * | 2016-08-28 | 2017-02-01 | 北京瑞和云图科技有限公司 | 一种虚拟网络环境中镜像网络流量的管理系统和控制方法 |
| CN108965289A (zh) * | 2018-07-10 | 2018-12-07 | 北京明朝万达科技股份有限公司 | 一种网络安全协同防护方法和系统 |
| CN112019330A (zh) * | 2020-08-04 | 2020-12-01 | 广东省科技基础条件平台中心 | 一种基于联盟链的内网安全审计数据的存储方法及系统 |
| CN112671772A (zh) * | 2020-12-24 | 2021-04-16 | 国网冀北电力有限公司信息通信分公司 | 网络安全服务系统及方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117692230A (zh) * | 2023-12-18 | 2024-03-12 | 永信至诚科技集团股份有限公司 | 网络攻防演练的信息共享方法、系统、电子设备和介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10178031B2 (en) | Tracing with a workload distributor | |
| US11550630B2 (en) | Monitoring and automatic scaling of data volumes | |
| US9207969B2 (en) | Parallel tracing for performance and detail | |
| US9626526B2 (en) | Trusted public infrastructure grid cloud | |
| US10203974B2 (en) | Probe insertion via background virtual machine | |
| JP6849672B2 (ja) | アプリケーションのセキュリティ及びリスクの評価及び試験のためのシステム及び方法 | |
| US10810050B2 (en) | Virtual systems management | |
| EP3149591B1 (en) | Tracking application deployment errors via cloud logs | |
| US20140025572A1 (en) | Tracing as a Service | |
| WO2014116290A1 (en) | Obfuscating trace data | |
| Barker et al. | Cloud services brokerage: A survey and research roadmap | |
| CN112766672A (zh) | 一种基于全面评估的网络安全保障方法及系统 | |
| CN108683559A (zh) | 一种云计算平台测试方法 | |
| CN113780974A (zh) | 一种网络安全服务管控系统 | |
| KR20210041295A (ko) | 클라우드 컴퓨팅 환경에서 가상화 자원 분배 시스템 | |
| US20150188787A1 (en) | Integrated solution for application data layer coverage discovery and gap analysis | |
| CN117234660A (zh) | 基于Docker容器技术的微服务架构下的软件部署及运维的方法 | |
| Metsch et al. | Apex lake: a framework for enabling smart orchestration | |
| Dell | ||
| CN114527962A (zh) | 流程自动化处理装置、方法及计算设备 | |
| WO2021096346A1 (en) | A computer-implemented system for management of container logs and its method thereof | |
| von Laszewski et al. | Design of an accounting and metric-basedcloud-shifting and cloud-seeding framework for federatedclouds and bare-metal environments | |
| CN114546598B (zh) | 一种容器内进程、文件和网络访问控制方法 | |
| von Laszewski et al. | Design of a dynamic provisioning system for a federated cloud and bare-metal environment | |
| Fernandes | A security event processing platform |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211210 |