CN113946822A - 安全风险监控方法、系统、计算机设备和存储介质 - Google Patents
安全风险监控方法、系统、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN113946822A CN113946822A CN202111185680.5A CN202111185680A CN113946822A CN 113946822 A CN113946822 A CN 113946822A CN 202111185680 A CN202111185680 A CN 202111185680A CN 113946822 A CN113946822 A CN 113946822A
- Authority
- CN
- China
- Prior art keywords
- risk
- security
- rule
- monitoring
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明属于计算机技术领域,具体提供一种安全风险监控方法、系统、计算机设备和存储介质,旨在解决风险监控项单一且无法闭环解决的问题。为此目的,本发明的方法包括:对危害数据安全的各类风险源进行数据采集;根据风险识别规则对采集的数据进行分析,识别出潜在风险;对识别出的潜在风险告警,并自动对接问题处理系统以创建工单,实现问题的追踪监控。应用本发明的方法,突破了现有各类安全监控工具监控项单一的问题,对发现的各类风险事件进行闭环跟踪管理,提升事件处置的时效性,大大提升整体安全防护水平。
Description
技术领域
本发明属于计算机技术领域,具体提供一种安全风险监控方法、系统、计算机设备和存储介质。
背景技术
目前互联网企业内部普遍存在代码泄露、数据泄露及黑客攻击的风险。因缺乏完备的安全防护及制度管控体系,员工安全意识薄弱,源码泄露事件防不胜防,对企业造成了不可挽回的损失;各类互联网威胁情报、0day漏洞与日俱增,不少对于企业应用来说都是致命的风险;企业内部安全建设会部署大量安全设备,但是缺乏足够的安全工程师来有效维护这些设备。基于此现状,各大知名安全厂商均推出各类安全风险监控系统,提前发现互联网及内部的安全风险,并预警修复,控制这类风险的影响面。然而,目前传统的安全风险监控系统还存在以下局限性:
1、风险监控项单一
目前市场上各类安全风险监控系统存在监控项单一的不足,基本上只能包含源代码外发、威胁情报、0day漏洞中的一种类型,覆盖不全。对于企业来说,需要采购多套工具才能覆盖完整,大大增加了企业安全建设成本。且在后续使用过程中,各类安全监控设备的数据和日志都是独立的,无法自动关联生成统一的报表,工具的日常维护效率低。
2、事件无有效闭环管理方式
各类安全风险监控系统通常只能发现安全事件,尚无自动化的方式去有效跟踪、闭环关联安全事件。企业内部使用时需要花费大量人力和时间去整理事件台账,通过线下方式去跟踪,效率低且跟踪成本高。
相应地,本领域需要一种新的方案来解决上述至少问题之一。
发明内容
本发明旨在解决上述技术问题,解决风险监控项单一且无法闭环解决的问题。
在第一方面,本发明提供一种安全风险监控方法,所述方法包括:
步骤102,对危害数据安全的各类风险源进行数据采集;
步骤104,根据风险识别规则对采集的数据进行分析,识别出潜在风险;
步骤106,对识别出的潜在风险告警,并自动对接问题处理系统以创建工单,实现问题的追踪监控。
在上述安全风险监控方法的一个实施方式中,所述风险源包括以下至少两种:源代码外发、互联网威胁情报、安全设备告警日志。
在上述安全风险监控方法的一个实施方式中,采集所述风险源的方式包括规则匹配采集;
规则匹配采集需提前配置好关键字索引规则,只有匹配该规则的原始数据才会入库保存。
在上述安全风险监控方法的一个实施方式中,所述风险识别规则包括:
对于源代码外发,根据设置的关键词对外发代码内容进行爬取,其中,关键词至少包括以下一种或多种:敏感email地址,敏感多级子域名,ssh key,物理机key,云平台key,硬编码的pwd,关键域名、敏感路径和敏感key的拼接,组织单位标识,关键数据库名-表格名-字段名-连接字符串,vpn配置字符串,smtp配置字符串;
对于互联网威胁情报,根据内部常用中间件0day、产品所属行业安全事件、黑客攻击情报制定过滤规则;
对于安全设备告警日志,根据风险级别、攻击影响面、利用成本,识别出相关的各类攻击事件,以及将各类安全设备的日志进行多维度集中统计,展示当前安全攻击事件的总体态势。
根据本发明的第二方面,还提供了一种安全风险监控系统,其特征在于,包括:
风险数据采集单元,对危害数据安全的各类风险源进行数据采集;
风险识别单元,根据风险识别规则对采集的数据进行分析,识别出潜在风险;
风险警告单元,对识别出的潜在风险告警,并自动对接问题处理系统以创建工单,实现问题的追踪监控。
在上述安全风险监控系统的一个实施方式中,所述风险源包括以下至少两种:源代码外发、互联网威胁情报、安全设备告警日志。
在上述安全风险监控系统的一个实施方式中,所述风险识别单元包括源码监控组件、舆情监控组件和安全设备日志汇聚组件:
所述源码监控组件根据设置的关键词对外发代码内容进行爬取,其中,关键词至少包括以下一种或多种:敏感email地址,敏感多级子域名,ssh key,物理机key,云平台key,硬编码的pwd,关键域名、敏感路径和敏感key的拼接,组织单位标识,关键数据库名-表格名-字段名-连接字符串,vpn配置字符串,smtp配置字符串;
所述舆情监控组件根据内部常用中间件0day、产品所属行业安全事件、黑客攻击情报制定过滤规则;
所述安全设备日志汇聚组件根据风险级别、攻击影响面、利用成本,识别出相关的各类攻击事件,以及将各类安全设备的日志进行多维度集中统计,展示当前安全攻击事件的总体态势。
在上述安全风险监控系统的一个实施方式中,所述风险数据采集单元采集所述风险源的方式包括规则匹配采集;
规则匹配采集需提前配置好关键字索引规则,只有匹配该规则的原始数据才会入库保存。
根据本发明的第三方面,还提供了一种计算机设备,包括处理器和存储装置,所述存储装置适于存储多条程序代码,其特征在于,所述程序代码适于由所述处理器加载并运行以执行上述任一技术方案中所述的安全风险监控方法。
根据本发明的第四方面,还提供了一种存储介质,所述存储介质适于存储多条程序代码,其特征在于,所述程序代码适于由处理器加载并运行以执行上述任一技术方案中所述的安全风险监控方法。
本发明实施例提供的安全风险监控方法和系统,通过采集各大互联网代码仓库样本及主流威胁平台数据,结合企业特点制定精准的策略,可及时发现各类源码泄露、0day漏洞的风险。针对所有监控的风险数据进行聚合、统计与分析,提供清晰、多维度的数据报表。
将各类安全事件自动推动至企业内部缺陷管理平台,并自动关联事件负责人,且事件状态与平台内部保持同步更新。
通过安全设备日志汇聚功能来提升安全运维的效率,将所有安全设备的日志全部整合到一个平台中,这样安全工程师只需运维该统一日志平台,即可监控到所有安全设备的告警日志,最大化发挥各类安全设备的价值,有效保障企业的安全防护能力。
附图说明
下面结合附图来描述本发明的优选实施方式,附图中:
图1是根据本发明的实施例的安全风险监控方法的主要步骤流程图。
图2是根据本发明的实施例的关于源代码外发的安全风险监控方法的流程图。
图3是根据本发明的实施例的关于互联网威胁情报的安全风险监控方法的流程图。
图4是根据本发明的实施例的关于安全设备告警日志的安全风险监控方法的流程图。
图5是根据本发明的实施例的安全风险监控系统的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图,对本发明实施例的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在介绍本发明实施例之前,先几个概念进行澄清:
互联网代码仓库:一个面向开源及私有软件项目的代码托管平台
IDS:依照所配置的安全策略,监控各类攻击行为,以保证网络系统资源的机密性、完整性和可用性
IPS:一类能够监视网络中数据传输行为的安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的数据传输行为缺陷管理平台:通过自动化平台对缺陷的整个生命周期进行有效的管理与控制
WAF:通过执行一系列针对HTTP/HTTPS的安全策略,专门为Web应用提供保护的一款产品
防火墙:依照特定的规则,允许或限制数据访问
缺陷管理平台:通过自动化平台对缺陷的整个生命周期进行有效的管理与控制。
首先阅读图1,图1是根据本发明的实施例的安全风险监控方法的主要步骤流程图。在本实施例中,安全风险监控方法包括以下步骤:
步骤102,对危害数据安全的各类风险源进行数据采集;
步骤104,根据风险识别规则对采集的数据进行分析,识别出潜在风险;
步骤106,对识别出的潜在风险告警,并自动对接问题处理系统以创建工单,实现问题的追踪监控。
在上述安全风险监控方法的一个实施方式中,所述风险源包括以下至少两种:源代码外发、互联网威胁情报、安全设备告警日志。
在上述安全风险监控方法的一个实施方式中,采集所述风险源的方式包括规则匹配采集;
规则匹配采集需提前配置好关键字索引规则,只有匹配该规则的原始数据才会入库保存。
在上述安全风险监控方法的一个实施方式中,所述风险识别规则包括:
对于源代码外发,根据设置的关键词对外发代码内容进行爬取,其中,关键词至少包括以下一种或多种:敏感email地址,敏感多级子域名,ssh key,物理机key,云平台key,硬编码的pwd,关键域名、敏感路径和敏感key的拼接,组织单位标识,关键数据库名-表格名-字段名-连接字符串,vpn配置字符串,smtp配置字符串;
对于互联网威胁情报,根据内部常用中间件0day、产品所属行业安全事件、黑客攻击情报制定过滤规则;
对于安全设备告警日志,根据风险级别、攻击影响面、利用成本,识别出相关的各类攻击事件,以及将各类安全设备的日志进行多维度集中统计,展示当前安全攻击事件的总体态势。
本发明的实施例的安全风险监控方法针对源代码外发、互联网威胁情报、安全设备告警日志进行有效管控,覆盖企业常见的内部及外部风险。具体这三类数据源简述如下:
源代码外发:源代码是企业的核心资产,内部研发人员因安全意识的欠缺,会有意或无意将源代码上传至互联网代码仓库(例如github、gitee),导致企业源代码泄露,造成不可挽回的损失。
互联网威胁情报:随着互联网的快速发展,每天都会新增各类威胁情报,例如中间件0day漏洞、APT攻击事件、前沿的蠕虫病毒等。企业如何在攻防对抗中取得先机,情报的及时获取非常关键,知己知彼才能百战不殆。本系统主要是针对各知名安全平台数据进行全量采集,为企业防护体系建设打好基础。
安全设备告警日志:企业在网络安全体系建设过程中,会在区域边界部署各类安全设备,例如IDS、IPS、WAF、防火墙等,这些设备会针对业务流量进行分析,识别出潜在的攻击事件并记录在syslog日志中。
风险数据采集:该系统主要针对上述三类数据源进行采集,并按照标准的数据格式入库。结合不同数据源的特点,采集方式包含全量采集、规则匹配采集两种。全量采集即将所有的原始数据不做任何删减,只做格式转换后入库;规则匹配采集需提前配置好关键字索引规则,只有匹配该规则的原始数据才会入库保存。
分析引擎:通过样本分析规则的制定,精准识别出潜在的风险,分析引擎的作用非常关键,既要保证覆盖率,又需控制误报率。该系统分析引擎结合了业务特性、top漏洞类型、实际利用成本等因素进行设计,并在部分场景中加入人工二次分析提升判断的准确率。
风险告警:该模块设计主要需考虑通知的时效性、告警内容的完整性。通过站内信、告警邮件两种方式发布预警,预警内容采用标准模板,保证信息的完整性与及时性,较好地辅助应急人员完成风险处置。
事件处置:经过分析引擎确认的安全事件,除发送预警通知至接口人外,系统会自动对接问题管理系统(例如jira、云道等)创建问题工单,并指派接口人来处置。通过企业内部的问题管理系统实现这类安全事件的闭环管理。
另外该系统dashbord页面将滚动展示最新20条源码泄露记录、最新20条威胁情报信息、最新20条安全事件日志。通过上述实时统计数据企业高层可清晰地了解到当前的安全攻防态势,并可作为后续相关决策的数据来源。
如图2所示,针对源代码外发的安全风险监控方法的处理流程包括:
步骤202,为针对目前主流的互联网源代码托管平台进行数据采集。分别为github和码云(gitee),因上述两个平台存在大量的开源项目。
步骤203,由于样本量非常大,所以需制定精准的筛选规则来获取与企业相关的样本代码,提升采集样本的准确性,目前所制定的规则主要覆盖敏感email地址、敏感多级子域名、ssh key、物理机key、云平台key、硬编码的pwd、关键域名+敏感路径+敏感key的拼接、组织单位标识、关键数据库名-表格名-字段名-连接字符串、vpn配置字符串、smtp配置字符串等共计11类关键词。系统将定时使用规则对github及gitee的内容进行爬取,符合规则的样本代码将入库。
步骤204,在系统采集到匹配规则的源码样本后,为有效控制误报率,提升事件处置效率,会针对样本进行二次判断,主要从源码样本实际的影响范围、与产线环境配置是否相关、是否为真实的产品源码等方面综合评估。二次判断完成后,确认源码样本是否涉密,并修改样本标记。
步骤205,当识别到涉密样本后,即发送预警通知到对应项目接口人,接口人协助排查定位该事件的责任人,要求责任人尽快下架github或gitee上的涉密项目,并依据企业相关规章制度给予通报批评及其他处罚。同时整个处置过程均通过企业问题管理系统(例如jira、云道等)跟踪,保障该类源码泄露事件的及时处置,所有的处置均有详细记录。
如图3所示,图3是根据本发明的实施例的关于互联网威胁情报的安全风险监控方法的流程图。
步骤302,针对主流的互联网公开威胁情报平台进行数据采集,该组件数据源已覆盖30+威胁情报平台,可保证数据来源的完整性,后续也可动态对接新的威胁情报平台,持续补充完善数据源。在数据采集过程中,将依据漏洞CVE编号对数据进行去重,避免同类问题重复入库。另外数据采集时间与并发数可配置,存量数据会提前导入数据库,后续增量数据更新周期管理员可结合实际情况调整,可按小时、天、周等时段来设置更新周期,保证系统中数据源的实时性,因每天各平台新增,另外采集并发数可依据服务器实际性能进行配置,保证整个应用的可靠运行。
步骤303,制定过滤规则,针对每天获取的威胁情报进行分析,识别出与企业相关的风险。规则主要围绕企业内常用中间件0day、产品所属行业安全事件、黑产攻击情报等来制定,每项规则需指定对应的接口人。管理员在维护过程中,可动态调整规则内容,持续提升发现有效威胁情报的能力。
步骤304,识别到与检测规则匹配的威胁情报后,将发送预警通知给对应的接口人处置。预警通知方式可配置,例如短信、邮件等。预警内容需包含事件背景、影响范围、修复建议等。接口人收到通知后,需第一时间协调项目组分析事件成因,并迅速响应制定解决方案修复。同时该事件的处置过程均通过企业问题管理系统(例如jira、云道等)跟踪,保障事件响应的时效性。
如图4所示,图4是根据本发明的实施例的关于安全设备告警日志的安全风险监控方法的流程图。
步骤402,将企业内各类安全设备的告警日志进行汇聚整合。一般来说,安全设备的告警日志均会输出到syslog中,通过标准协议对接每台安全设备的syslog数据,实现日志的全量采集。考虑到不同企业设备规模有差异,最终的日志量大小区别较大,所以采集周期可动态配置,满足各类企业的实际需求。采集后的日志数据进行统一格式化处理后即可入库,作为后续安全分析的样本日志。
步骤403,将针对汇聚的所有日志进行真实安全风险分析,管理员结合企业业务特性制定监控规则,主要覆盖风险级别、攻击影响面、利用成本等方面,精准识别与企业相关的各类攻击事件。另外该系统包含事件统计报表功能,将各类安全设备(例如IDS、IPS、WAF、防火墙等)的日志进行多维度的集中统计,展示当前安全攻击事件的总体态势,管理员可参照及时调整防御方案。
步骤404,当匹配识别到风险事件后,将第一时间进行预警通知,通知方式包含多种方式,例如电话、短信、邮件等,保证负责人可及时接收到。攻击事件处置由企业安全管理员主导,推动应急响应小组来加固修复,应急响应小组成员应包含系统管理员、网络管理员、数据库管理员、应用管理员等角色,该组织各成员协同合作,及时规避该安全事件的影响面。同时该事件的处置过程均通过企业问题管理系统(例如jira、云道等)跟踪,实现攻击事件的闭环管理。
除了对企业用户上传至互联网的源代码进行监控外,还可针对企业内部源码仓库(例如自建的gitlab、svn)等进行安全管控与审计,并在研发终端上部署agent进行监控,阻断各类源码非法泄露的操作。
通过实时监测各大互联网代码托管平台,及30多家知名安全网站的信息,通过规则分析与企业的关联性,及时将此类风险舆情推送给系统管理员进行处置。另外将企业内部的安全设备(如IDS/IPS/WAF/安全审计设备等)的日志与流量进行汇聚,制定规则过滤其中存在攻击行为的日志与流量,并进行自动化分析及风险预警通知。通过对互联网安全风险及内部安全设备的实时监控及分析,有效提升企业的安全防护能力。
本发明实施方案突破了现有各类安全监控工具监控项单一,且无法结合企业实际情况进行规则的自定义配置的不足,并对监控结果进行自动化分析,生成动态趋势图,便于企业管理者快速识别当前安全防护的短板,并制定优化策略。通过对接企业内部缺陷管理平台,对发现的各类风险事件进行闭环跟踪管理,提升事件处置的时效性,大大提升企业整体安全防护水平。
图5是根据本发明的实施例的安全风险监控系统的示意图。
如图5所示,根据本发明的实施例的安全风险监控系统,包括:
风险数据采集单元502,对危害数据安全的各类风险源进行数据采集;
风险识别单元504,根据风险识别规则对采集的数据进行分析,识别出潜在风险;
风险警告单元506,对识别出的潜在风险告警,并自动对接问题处理系统以创建工单,实现问题的追踪监控。
在上述安全风险监控系统的一个实施方式中,所述风险源包括以下至少两种:源代码外发、互联网威胁情报、安全设备告警日志。
在上述安全风险监控系统的一个实施方式中,所述风险识别单元504包括源码监控组件、舆情监控组件和安全设备日志汇聚组件:
所述源码监控组件根据设置的关键词对外发代码内容进行爬取,其中,关键词至少包括以下一种或多种:敏感email地址,敏感多级子域名,ssh key,物理机key,云平台key,硬编码的pwd,关键域名、敏感路径和敏感key的拼接,组织单位标识,关键数据库名-表格名-字段名-连接字符串,vpn配置字符串,smtp配置字符串;
所述舆情监控组件根据内部常用中间件0day、产品所属行业安全事件、黑客攻击情报制定过滤规则;
所述安全设备日志汇聚组件根据风险级别、攻击影响面、利用成本,识别出相关的各类攻击事件,以及将各类安全设备的日志进行多维度集中统计,展示当前安全攻击事件的总体态势。
在上述安全风险监控系统的一个实施方式中,所述风险数据采集单元采集所述风险源的方式包括规则匹配采集;
规则匹配采集需提前配置好关键字索引规则,只有匹配该规则的原始数据才会入库保存。
根据本发明的实施例的一种计算机设备,包括处理器和存储装置,所述存储装置适于存储多条程序代码,所述程序代码适于由所述处理器加载并运行以执行上述任一项所述的安全风险监控方法。
进一步,本发明还提供了一种计算机设备,该计算机设备包括处理器和存储装置,存储装置可以被配置成存储并执行上述方法实施例的安全风险监控方法的程序,处理器可以被配置成用于执行存储装置中的程序,该程序包括但不限于执行上述方法实施例的安全风险监控方法的程序。为了便于说明,仅示出了与本发明实施例相关的部分,具体技术细节未揭示的,请参照本发明实施例方法部分。该数据处理设备可以是包括各种电子设备形成的控制装置设备。
进一步,本发明还提供了一种存储介质,该存储介质可以被配置成存储执行上述方法实施例的安全风险监控方法的程序,该程序可以由处理器加载并运行来实现上述安全风险监控方法。为了便于说明,仅示出了与本发明实施例相关的部分,具体技术细节未揭示的,请参照本发明实施例方法部分。该存储介质可以是包括各种电子设备形成的存储装置设备,可选地,本发明实施例中存储介质是非暂时性的计算机可读存储介质。
本领域技术人员应该能够意识到,结合本文中所公开的实施例描述的各示例的方法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明电子硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以电子硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等序数词仅用于区别类似的对象,而不是用于描述或表示特定的顺序或先后次序。应该理解这样使用的数据在适当的情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
至此,已经结合附图所示的优选实施方式描述了本发明的技术方案,但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术特征作出等同的更改或替换,这些更改或替换之后的技术方案都将落入本发明的保护范围之内。
Claims (10)
1.一种安全风险监控方法,其特征在于,包括如下步骤:
步骤102,对危害数据安全的各类风险源进行数据采集;
步骤104,根据风险识别规则对采集的数据进行分析,识别出潜在风险;
步骤106,对识别出的潜在风险告警,并自动对接问题处理系统以创建工单,实现问题的追踪监控。
2.根据权利要求1所述的方法,其特征在于,所述风险源包括以下至少两种:源代码外发、互联网威胁情报、安全设备告警日志。
3.根据权利要求1所述的方法,其特征在于,采集所述风险源的方式包括规则匹配采集;
规则匹配采集需提前配置好关键字索引规则,只有匹配该规则的原始数据才会入库保存。
4.根据权利要求1所述的方法,其特征在于,所述风险识别规则包括:
对于源代码外发,根据设置的关键词对外发代码内容进行爬取,其中,关键词至少包括以下一种或多种:敏感email地址,敏感多级子域名,ssh key,物理机key,云平台key,硬编码的pwd,关键域名、敏感路径和敏感key的拼接,组织单位标识,关键数据库名-表格名-字段名-连接字符串,vpn配置字符串,smtp配置字符串;
对于互联网威胁情报,根据内部常用中间件Oday、产品所属行业安全事件、黑客攻击情报制定过滤规则;
对于安全设备告警日志,根据风险级别、攻击影响面、利用成本,识别出相关的各类攻击事件,以及将各类安全设备的日志进行多维度集中统计,展示当前安全攻击事件的总体态势。
5.一种安全风险监控系统,其特征在于,包括:
风险数据采集单元,对危害数据安全的各类风险源进行数据采集;
风险识别单元,根据风险识别规则对采集的数据进行分析,识别出潜在风险;
风险警告单元,对识别出的潜在风险告警,并自动对接问题处理系统以创建工单,实现问题的追踪监控。
6.根据权利要求5所述的安全风险监控系统,其特征在于,所述风险源包括以下至少两种:源代码外发、互联网威胁情报、安全设备告警日志。
7.根据权利要求5所述的安全风险监控系统,其特征在于,所述风险识别单元包括源码监控组件、舆情监控组件和安全设备日志汇聚组件:
所述源码监控组件根据设置的关键词对外发代码内容进行爬取,其中,关键词至少包括以下一种或多种:敏感email地址,敏感多级子域名,ssh key,物理机key,云平台key,硬编码的pwd,关键域名、敏感路径和敏感key的拼接,组织单位标识,关键数据库名-表格名-字段名-连接字符串,vpn配置字符串,smtp配置字符串;
所述舆情监控组件根据内部常用中间件Oday、产品所属行业安全事件、黑客攻击情报制定过滤规则;
所述安全设备日志汇聚组件根据风险级别、攻击影响面、利用成本,识别出相关的各类攻击事件,以及将各类安全设备的日志进行多维度集中统计,展示当前安全攻击事件的总体态势。
8.根据权利要求5所述的安全风险监控系统,其特征在于,所述风险数据采集单元采集所述风险源的方式包括规则匹配采集;
规则匹配采集需提前配置好关键字索引规则,只有匹配该规则的原始数据才会入库保存。
9.一种计算机设备,包括处理器和存储装置,所述存储装置适于存储多条程序代码,其特征在于,所述程序代码适于由所述处理器加载并运行以执行权利要求1至4中任一项所述的安全风险监控方法。
10.一种存储介质,所述存储介质适于存储多条程序代码,其特征在于,所述程序代码适于由处理器加载并运行以执行权利要求1至4中任一项所述的安全风险监控方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111185680.5A CN113946822A (zh) | 2021-10-15 | 2021-10-15 | 安全风险监控方法、系统、计算机设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111185680.5A CN113946822A (zh) | 2021-10-15 | 2021-10-15 | 安全风险监控方法、系统、计算机设备和存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113946822A true CN113946822A (zh) | 2022-01-18 |
Family
ID=79330079
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111185680.5A Pending CN113946822A (zh) | 2021-10-15 | 2021-10-15 | 安全风险监控方法、系统、计算机设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113946822A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114928502A (zh) * | 2022-07-19 | 2022-08-19 | 杭州安恒信息技术股份有限公司 | 一种针对0day漏洞的信息处理方法、装置、设备及介质 |
-
2021
- 2021-10-15 CN CN202111185680.5A patent/CN113946822A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114928502A (zh) * | 2022-07-19 | 2022-08-19 | 杭州安恒信息技术股份有限公司 | 一种针对0day漏洞的信息处理方法、装置、设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108933791B (zh) | 一种基于电力信息网安全防护策略智能优化方法及装置 | |
van der Knijff | Control systems/SCADA forensics, what's the difference? | |
CN109714187A (zh) | 基于机器学习的日志分析方法、装置、设备及存储介质 | |
CN107231267B (zh) | 一种通讯网络巡检的方法、装置及巡检客户端 | |
CN108763957A (zh) | 一种数据库的安全审计系统、方法及服务器 | |
CN115150589A (zh) | 一种用于煤矿企业的视频监控运维管理系统 | |
CN112905548B (zh) | 一种安全审计系统及方法 | |
EP2936772B1 (en) | Network security management | |
CN112416872A (zh) | 一种基于大数据的云平台日志管理系统 | |
CN110971464A (zh) | 一种适合灾备中心的运维自动化系统 | |
CN114329498A (zh) | 一种数据中心运维安全管控方法及装置 | |
CN113709170A (zh) | 资产安全运营系统、方法和装置 | |
CN115941317A (zh) | 一种网络安全综合分析及态势感知平台 | |
CN114125083B (zh) | 工业网络分布式数据采集方法、装置、电子设备及介质 | |
CN117422434A (zh) | 一种智慧运维调度平台 | |
CN113946822A (zh) | 安全风险监控方法、系统、计算机设备和存储介质 | |
CN117240594B (zh) | 一种多维度网络安全运维防护管理系统及方法 | |
CN117670033A (zh) | 一种安全检查方法、系统、电子设备及存储介质 | |
CN113162897A (zh) | 一种工业控制网络安全过滤系统及方法 | |
CN117914511A (zh) | 一种基于数据交换、日志分析的安全审计系统 | |
KR101973728B1 (ko) | 통합 보안 이상징후 모니터링 시스템 | |
CN112615812A (zh) | 一种信息网络统一漏洞多维度安全情报收集分析管理系统 | |
KR102267411B1 (ko) | 컴플라이언스를 이용한 데이터 보안 관리 시스템 | |
US20210306370A1 (en) | Interface security in business applications | |
Xu et al. | High Quality and Efficiency Operation and Maintenance |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |