一種基于信息的安全管理平臺(tái)�、系統(tǒng)及方法
【專利摘要】本發(fā)明公開(kāi)了一種基于信息的安全管理平臺(tái)���、系統(tǒng)及方法,所述平臺(tái)包括:數(shù)據(jù)采集模塊�,用于采集安全數(shù)據(jù)���,將采集的所述安全數(shù)據(jù)發(fā)送至信息管理模塊����;信息管理模塊���,用于接收所述數(shù)據(jù)采集模塊發(fā)送的所述安全數(shù)據(jù)�����,對(duì)所述安全數(shù)據(jù)進(jìn)行處理����,將處理后的安全數(shù)據(jù)存儲(chǔ)至數(shù)據(jù)庫(kù);核心處理模塊��,用于對(duì)所述信息管理模塊處理后的安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析和風(fēng)險(xiǎn)計(jì)算�����,并根據(jù)關(guān)聯(lián)分析和風(fēng)險(xiǎn)計(jì)算發(fā)出告警消息�。根據(jù)本發(fā)明的一種基于信息的安全管理平臺(tái)、系統(tǒng)及方法�,采用分層設(shè)計(jì),簡(jiǎn)化了平臺(tái)的構(gòu)建以及數(shù)據(jù)存儲(chǔ)���、傳輸?shù)膹?fù)雜性��,還提高了平臺(tái)的可維護(hù)性和可擴(kuò)展性���。
【專利說(shuō)明】一種基于信息的安全管理平臺(tái)、系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于信息安全【技術(shù)領(lǐng)域】���,具體涉及一種基于信息的安全管理平臺(tái)�、系統(tǒng)及方法�。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和人們生活、工作對(duì)網(wǎng)絡(luò)的依賴��,信息安全格外重要?��;谛畔⒌陌踩芾淼睦碚摵图夹g(shù)也在不斷發(fā)展�����。
[0003]為了不斷應(yīng)對(duì)新的安全挑戰(zhàn)��,網(wǎng)絡(luò)信息的安全管理中先后出現(xiàn)了防火墻��、UTM,Λ侵檢測(cè)和防護(hù)系統(tǒng)、漏洞掃描系統(tǒng)���、防病毒系統(tǒng)以及終端管理系統(tǒng)等安全設(shè)備���。但是,各種安全設(shè)備是孤立的���,無(wú)法相互關(guān)聯(lián)和共享信息�����,這樣形成了一個(gè)個(gè)“安全防御孤島”�����,導(dǎo)致無(wú)法產(chǎn)生協(xié)同效應(yīng)���。更為嚴(yán)重地����,這些復(fù)雜的IT資源及其安全設(shè)備在運(yùn)行過(guò)程中產(chǎn)生大量的安全數(shù)據(jù)���,例如安全日志和事件����,在處理這些數(shù)量巨大���、彼此割裂的安全信息時(shí)���,要操作各種產(chǎn)品自身的控制臺(tái)界面和告警窗口,一方面��,導(dǎo)致安全管理的工作效率低下����,同時(shí)還難以發(fā)現(xiàn)真正的安全隱患���;另一方面,這樣孤立的安全設(shè)備無(wú)法滿足網(wǎng)絡(luò)用戶日益迫切的信息系統(tǒng)審計(jì)和內(nèi)控要求���、等級(jí)保護(hù)要求��,以及不斷增強(qiáng)的業(yè)務(wù)持續(xù)性需求��。而安全管理(Security Operat1ns Center, S0C)平臺(tái)為實(shí)現(xiàn)各種孤立的安全設(shè)備的協(xié)作提供了一個(gè)合作的平臺(tái)�����。
[0004]現(xiàn)有技術(shù)中�����,SOC平臺(tái)將資產(chǎn)管理模塊、脆弱性管理模塊�、流量管理模塊、關(guān)聯(lián)分析模塊和風(fēng)險(xiǎn)計(jì)算模塊都設(shè)置在一個(gè)層面���,致使在防護(hù)某個(gè)網(wǎng)絡(luò)安全時(shí)�,所有的模塊都是針對(duì)整個(gè)網(wǎng)絡(luò)�����,例如資產(chǎn)管理模塊負(fù)責(zé)搜集和管理全網(wǎng)的資產(chǎn)信息,脆弱性模塊負(fù)責(zé)搜集和管理全網(wǎng)所有資產(chǎn)的脆弱性信息��,關(guān)聯(lián)分析模塊和風(fēng)險(xiǎn)計(jì)算模塊則負(fù)責(zé)對(duì)全網(wǎng)安全事件進(jìn)行處理�����。這樣��,每個(gè)模塊都要參與預(yù)防和處理網(wǎng)絡(luò)安全事件的整個(gè)過(guò)程���,會(huì)導(dǎo)致在網(wǎng)絡(luò)結(jié)構(gòu)出現(xiàn)變化或需要擴(kuò)展的時(shí)候�����,各個(gè)模塊都需要進(jìn)行相應(yīng)的變化�����;另外���,由于每個(gè)模塊具有不同的重要性,如此籠統(tǒng)的設(shè)置增加了平臺(tái)構(gòu)建的復(fù)雜度,也降低了平臺(tái)的可維護(hù)性和可擴(kuò)展性�����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的目的是提供一種基于信息的安全管理平臺(tái)���、系統(tǒng)及方法�,將安全管理平臺(tái)的重要部分(關(guān)聯(lián)分析模塊和風(fēng)險(xiǎn)計(jì)算模塊)置于安全管理平臺(tái)的核心處理層��,與相對(duì)次要的部分(資產(chǎn)管理�、脆弱性管理、流量管理等模塊)分開(kāi)�����,以簡(jiǎn)化平臺(tái)的構(gòu)建以及數(shù)據(jù)存儲(chǔ)��、傳輸?shù)膹?fù)雜性�,提高平臺(tái)的維護(hù)性和擴(kuò)展性。
[0006]根據(jù)本發(fā)明的一個(gè)方面���,提供一種基于信息的安全管理平臺(tái),所述平臺(tái)包括:數(shù)據(jù)采集模塊���,用于采集安全數(shù)據(jù)����,將采集的所述安全數(shù)據(jù)發(fā)送至信息管理模塊;信息管理模塊�����,與數(shù)據(jù)采集模塊相連���,用于接收所述數(shù)據(jù)采集模塊發(fā)送的所述安全數(shù)據(jù)���,對(duì)所述安全數(shù)據(jù)進(jìn)行處理,將處理后的安全數(shù)據(jù)存儲(chǔ)至數(shù)據(jù)庫(kù)��;核心處理模塊����,與信息管理模塊相連,用于對(duì)所述信息管理模塊處理后的安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析和風(fēng)險(xiǎn)計(jì)算��,并根據(jù)關(guān)聯(lián)分析和風(fēng)險(xiǎn)計(jì)算發(fā)出告警消息����。
[0007]其中��,在本發(fā)明中���,所述信息管理模塊包括歸一化處理子模塊、過(guò)濾子模塊����、歸并處理子模塊和統(tǒng)計(jì)子模塊;所述歸一化處理子模塊用于將所述數(shù)據(jù)采集模塊發(fā)送的所述安全數(shù)據(jù)處理成相同格式的數(shù)據(jù)��;所述過(guò)濾子模塊用于對(duì)所述歸一化處理子模塊處理后的數(shù)據(jù)進(jìn)行過(guò)濾�,過(guò)濾掉無(wú)效數(shù)據(jù);所述歸并處理子模塊用于對(duì)所述過(guò)濾子模塊過(guò)濾后的數(shù)據(jù)進(jìn)行歸并處理����,合并重復(fù)數(shù)據(jù);所述統(tǒng)計(jì)子模塊用于根據(jù)所述歸并處理子模塊處理后的數(shù)據(jù)�����,生成與所述數(shù)據(jù)相關(guān)的統(tǒng)計(jì)圖表�。
[0008]其中,在本發(fā)明中���,所述統(tǒng)計(jì)子模塊生成的所述統(tǒng)計(jì)圖表至少包括:資產(chǎn)統(tǒng)計(jì)圖表、脆弱性統(tǒng)計(jì)圖表、流量統(tǒng)計(jì)圖表�、入侵防護(hù)統(tǒng)計(jì)圖表、展示列表和事件監(jiān)視窗口統(tǒng)計(jì)圖表��。
[0009]其中��,在本發(fā)明中��,所述核心處理模塊包括數(shù)據(jù)獲取子模塊���、關(guān)聯(lián)分析子模塊和風(fēng)險(xiǎn)計(jì)算子模塊�;所述數(shù)據(jù)獲取子模塊用于從所述信息管理模塊獲取過(guò)濾和統(tǒng)計(jì)后的安全數(shù)據(jù)�;所述關(guān)聯(lián)分析子模塊用于對(duì)所述數(shù)據(jù)獲取子模塊所獲取的安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析;所述風(fēng)險(xiǎn)計(jì)算子模塊用于根據(jù)所述關(guān)聯(lián)分析子模塊的分析結(jié)果��,計(jì)算出所述安全數(shù)據(jù)的風(fēng)險(xiǎn)值����,并在計(jì)算出的風(fēng)險(xiǎn)值大于預(yù)設(shè)閾值時(shí),產(chǎn)生并發(fā)送告警消息�。
[0010]其中,在本發(fā)明中�����,還包括:界面展示模塊,用于展示所述信息管理模塊所統(tǒng)計(jì)的安全數(shù)據(jù)和所述核心處理模塊所發(fā)出的告警消息�����。
[0011]根據(jù)本發(fā)明的另一個(gè)方面�����,提供一種基于信息的安全管理系統(tǒng)�����,所述系統(tǒng)包括:兩個(gè)或兩個(gè)以上數(shù)據(jù)采集模塊�,兩個(gè)或兩個(gè)以上信息管理模塊,一個(gè)核心處理模塊����;其中,所述數(shù)所采集模塊與信息管理模塊的數(shù)量相同����,且一一對(duì)應(yīng);數(shù)據(jù)采集模塊��,用于采集安全數(shù)據(jù)���,將采集的所述安全數(shù)據(jù)發(fā)送至信息管理模塊��;信息管理模塊�����,與相對(duì)應(yīng)的數(shù)據(jù)采集模塊相連��,用于接收相對(duì)應(yīng)的所述數(shù)據(jù)采集模塊發(fā)送的所述安全數(shù)據(jù)�,對(duì)所述安全數(shù)據(jù)進(jìn)行處理��,將處理后的安全數(shù)據(jù)存儲(chǔ)至數(shù)據(jù)庫(kù)�����;核心處理模塊�,與所有信息管理模塊相連,用于對(duì)所有所述信息管理模塊處理后的安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析和風(fēng)險(xiǎn)計(jì)算����,并根據(jù)關(guān)聯(lián)分析和風(fēng)險(xiǎn)計(jì)算發(fā)出告警消息
[0012]根據(jù)本發(fā)明的再一個(gè)方面,提供一種基于信息的安全管理方法���,所述方法包括:步驟SI����,采集安全數(shù)據(jù);步驟S2����,對(duì)所述安全數(shù)據(jù)進(jìn)行處理,并存儲(chǔ)處理后的安全數(shù)據(jù)��;步驟S3,讀取存儲(chǔ)的處理后的安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析和風(fēng)險(xiǎn)計(jì)算,并根據(jù)關(guān)聯(lián)分析和風(fēng)險(xiǎn)計(jì)算發(fā)出告警消息�����。
[0013]其中��,在本發(fā)明中�,所述步驟S2包括:步驟S21����,將所述安全數(shù)據(jù)處理成相同格式的數(shù)據(jù);步驟S22��,對(duì)所述數(shù)據(jù)進(jìn)行過(guò)濾���,過(guò)濾掉無(wú)效數(shù)據(jù)��;步驟S23���,對(duì)過(guò)濾后的所述數(shù)據(jù)進(jìn)行歸并處理�����,合并重復(fù)數(shù)據(jù);步驟S24����,根據(jù)合并后的所述數(shù)據(jù),生成與所述數(shù)據(jù)相關(guān)的統(tǒng)計(jì)圖表�����。
[0014]其中�,在本發(fā)明中,所述步驟S24包括:根據(jù)合并后的所述數(shù)據(jù)�����,生成與所述數(shù)據(jù)相關(guān)的資產(chǎn)統(tǒng)計(jì)圖表����、脆弱性統(tǒng)計(jì)圖表����、流量統(tǒng)計(jì)圖表�、入侵防護(hù)統(tǒng)計(jì)圖表、展示列表和事件監(jiān)視窗口統(tǒng)計(jì)圖表��。
[0015]其中�����,在本發(fā)明中����,所述步驟S3包括:步驟S31,獲取處理后的安全數(shù)據(jù)�;步驟S32,對(duì)獲取的所述安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析�����;步驟S33�,根據(jù)關(guān)聯(lián)分析的結(jié)果,計(jì)算出所述安全數(shù)據(jù)的風(fēng)險(xiǎn)值��,并在計(jì)算出的風(fēng)險(xiǎn)值大于預(yù)設(shè)閾值時(shí),產(chǎn)生并發(fā)送告警消息����。
[0016]根據(jù)本發(fā)明的一種基于信息的安全管理平臺(tái)、系統(tǒng)及方法�,采用分層設(shè)計(jì),將安全管理平臺(tái)的關(guān)聯(lián)分析模塊和風(fēng)險(xiǎn)計(jì)算模塊置于安全管理平臺(tái)的核心處理層�,與資產(chǎn)管理、脆弱性管理以及流量管理等模塊分開(kāi)����,實(shí)現(xiàn)將安全管理平臺(tái)中的重要模塊與非重要模塊的區(qū)分設(shè)置,簡(jiǎn)化了平臺(tái)的構(gòu)建以及數(shù)據(jù)存儲(chǔ)�����、傳輸?shù)膹?fù)雜性�,還提高了平臺(tái)的可維護(hù)性和可擴(kuò)展性����。
【專利附圖】
【附圖說(shuō)明】
[0017]圖1顯示了現(xiàn)有技術(shù)中的安全管理平臺(tái)的一實(shí)施例的原理圖;
[0018]圖2顯示了本發(fā)明優(yōu)選實(shí)施例的基于信息的安全管理平臺(tái)的原理圖����;
[0019]圖3顯示了本發(fā)明優(yōu)選實(shí)施例的基于信息的安全管理平臺(tái)的結(jié)構(gòu)示意圖;
[0020]圖4顯示了本發(fā)明優(yōu)選實(shí)施例的信息管理模塊的結(jié)構(gòu)示意圖;
[0021]圖5顯示了本發(fā)明優(yōu)選實(shí)施例的核心處理模塊的結(jié)構(gòu)示意圖����;
[0022]圖6顯示了本發(fā)明另一優(yōu)選實(shí)施例的基于信息的安全管理平臺(tái)的結(jié)構(gòu)示意圖;
[0023]圖7顯示了本發(fā)明優(yōu)選實(shí)施例的基于信息的安全管理系統(tǒng)的結(jié)構(gòu)示意圖����;
[0024]圖8顯示了本發(fā)明優(yōu)選實(shí)施例的基于信息的安全管理方法的流程圖;
[0025]圖9顯示了圖8中步驟S2的子流程圖�����;
[0026]圖10顯示了圖8中步驟S3的子流程圖����。
【具體實(shí)施方式】
[0027]為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明了����,下面結(jié)合【具體實(shí)施方式】并參照附圖,對(duì)本發(fā)明進(jìn)一步詳細(xì)說(shuō)明�。應(yīng)該理解,這些描述只是示例性的�����,而并非要限制本發(fā)明的范圍。此外����,在以下說(shuō)明中,省略了對(duì)公知結(jié)構(gòu)和技術(shù)的描述��,以避免不必要地混淆本發(fā)明的概念��。
[0028]圖1顯示了現(xiàn)有技術(shù)中的安全管理平臺(tái)的一實(shí)施例的原理圖���。
[0029]如圖1所示��,現(xiàn)有技術(shù)中����,安全管理平臺(tái)將資產(chǎn)管理模塊����、脆弱性管理模塊�、流量管理模塊、關(guān)聯(lián)分析模塊和風(fēng)險(xiǎn)計(jì)算模塊都設(shè)置在一個(gè)層面�,由于每個(gè)模塊具有不同的重要性,例如���,關(guān)聯(lián)分析模塊和風(fēng)險(xiǎn)計(jì)算模塊屬于安全管理平臺(tái)最為核心的模塊����,而資產(chǎn)管理模塊、脆弱性管理模塊以及流量管理模塊相對(duì)最為核心的模塊來(lái)說(shuō)所起到的作用會(huì)小些��,如果籠統(tǒng)地將所有的模塊設(shè)置在一個(gè)層面�,會(huì)增加平臺(tái)構(gòu)建的復(fù)雜度,也會(huì)降低平臺(tái)的維護(hù)性和擴(kuò)展性����。
[0030]圖2顯示了本發(fā)明優(yōu)選實(shí)施例的基于信息的安全管理平臺(tái)的原理圖。
[0031]如圖2所示�,本發(fā)明中,與現(xiàn)有技術(shù)不同的是�����,按照模塊功能大小的差異將安全管理平臺(tái)中重要模塊與非重要模塊區(qū)分設(shè)置�,例如,將安全管理平臺(tái)的關(guān)聯(lián)分析模塊和風(fēng)險(xiǎn)計(jì)算模塊置于安全管理平臺(tái)的核心處理層���,與資產(chǎn)管理����、脆弱性管理以及流量管理等非核心模塊分開(kāi),采用這種分層設(shè)計(jì)���,簡(jiǎn)化了平臺(tái)的構(gòu)建以及數(shù)據(jù)存儲(chǔ)�����、傳輸?shù)膹?fù)雜性�����,還提高了平臺(tái)的維護(hù)性和擴(kuò)展性���。
[0032]圖3顯示了本發(fā)明優(yōu)選實(shí)施例的基于信息的安全管理平臺(tái)的結(jié)構(gòu)示意圖。
[0033]下面結(jié)合圖3�����,說(shuō)明本發(fā)明的基于信息的安全管理平臺(tái)的優(yōu)選實(shí)施例的結(jié)構(gòu)��。
[0034]在本優(yōu)選實(shí)施例中����,該平臺(tái)包括以下部件:數(shù)據(jù)采集模塊1��、信息管理模塊2以及核心處理模塊3。
[0035]數(shù)據(jù)采集模塊1���,用于采集安全數(shù)據(jù)����,將采集的所述安全數(shù)據(jù)發(fā)送至信息管理模塊
2��。數(shù)據(jù)采集模塊I實(shí)時(shí)采集安全數(shù)據(jù)���,并將所采集到的數(shù)據(jù)實(shí)時(shí)發(fā)送至信息管理模塊2��。這里的安全數(shù)據(jù)�,可由代理服務(wù)器及各種安全設(shè)備產(chǎn)生�����。其中�����,Agent及各種安全設(shè)備產(chǎn)生的安全數(shù)據(jù)至少包括Agent�����、防火墻、路由器/交換機(jī)��、IPS設(shè)備�、漏洞掃描設(shè)備、防病毒設(shè)備����、流量管理設(shè)備和終端檢測(cè)設(shè)備,這些設(shè)備所產(chǎn)生的安全數(shù)據(jù)至少包括安全告警數(shù)據(jù)�、日志數(shù)據(jù)和流量數(shù)據(jù)。
[0036]信息管理模塊2����,與數(shù)據(jù)采集模塊I相連,用于接收所述數(shù)據(jù)采集模塊I發(fā)送的所述安全數(shù)據(jù)��,對(duì)所述安全數(shù)據(jù)進(jìn)行處理���,將處理后的安全數(shù)據(jù)存儲(chǔ)至數(shù)據(jù)庫(kù)�。信息管理模塊2對(duì)從數(shù)據(jù)采集模塊I收集上來(lái)的安全數(shù)據(jù)進(jìn)行處理并根據(jù)核心處理模塊3的需要為其提供相應(yīng)的數(shù)據(jù)�����。
[0037]其中,信息管理模塊2的結(jié)構(gòu)如圖4所示����,包括歸一化處理子模塊21�、過(guò)濾子模塊22、歸并處理子模塊23和統(tǒng)計(jì)子模塊24�。
[0038]歸一化處理子模塊21,用于將所述數(shù)據(jù)采集模塊I發(fā)送的所述安全數(shù)據(jù)處理成相同格式的數(shù)據(jù)����。具體來(lái)說(shuō),歸一化處理子模塊21接收數(shù)據(jù)采集模塊I從Agent��、防火墻�����、路由器/交換機(jī)��、IPS設(shè)備�����、漏洞掃描設(shè)備���、防病毒設(shè)備�、流量管理設(shè)備以及終端檢測(cè)設(shè)備等設(shè)備上采集的安全告警數(shù)據(jù)、日志數(shù)據(jù)以及流量數(shù)據(jù)等安全數(shù)據(jù)����,對(duì)這些數(shù)據(jù)進(jìn)行歸一化處理,即將從各種設(shè)備收集的多種類型的日志�����、告警和流量信息歸一化為相同格式的數(shù)據(jù)信息���,并將歸一化處理后的安全數(shù)據(jù)發(fā)送至過(guò)濾子模塊22�����。
[0039]過(guò)濾子模塊22�,用于對(duì)所述歸一化處理子模塊21處理后的數(shù)據(jù)進(jìn)行過(guò)濾,過(guò)濾掉無(wú)效數(shù)據(jù)。具體來(lái)說(shuō)��,過(guò)濾子模塊22接收歸一化處理子模塊21發(fā)送的經(jīng)過(guò)歸一化處理的安全數(shù)據(jù)�,對(duì)該安全數(shù)據(jù)進(jìn)行過(guò)濾,過(guò)濾掉噪音數(shù)據(jù)和管理員設(shè)定的不期望的數(shù)據(jù)�����,并將過(guò)濾后的安全數(shù)據(jù)發(fā)送至歸并處理子模塊23�。
[0040]歸并處理子模塊23,用于對(duì)所述過(guò)濾子模塊22過(guò)濾后的數(shù)據(jù)進(jìn)行歸并處理���,合并重復(fù)數(shù)據(jù)。具體來(lái)說(shuō),歸并處理子模塊23接收過(guò)濾子模塊22發(fā)送的經(jīng)過(guò)過(guò)濾的安全數(shù)據(jù)���,對(duì)該安全數(shù)據(jù)進(jìn)行歸并處理��,即將從各種設(shè)備收集的多種類型的日志、告警和流量信息等數(shù)據(jù)中重復(fù)的數(shù)據(jù)進(jìn)行合并�����,合并大量重復(fù)的數(shù)據(jù)�����,經(jīng)過(guò)歸并處理的數(shù)據(jù)會(huì)存儲(chǔ)在數(shù)據(jù)庫(kù)��,待核心處理模塊3需要時(shí),隨時(shí)調(diào)用�。
[0041]統(tǒng)計(jì)子模塊24,用于根據(jù)所述歸并處理子模塊23處理后的數(shù)據(jù)�����,生成與所述數(shù)據(jù)相關(guān)的統(tǒng)計(jì)圖表�。經(jīng)過(guò)歸一化處理子模塊21���、過(guò)濾子模塊22和歸并處理子模塊23對(duì)由數(shù)據(jù)采集模塊I收集的安全數(shù)據(jù)的處理,安全數(shù)據(jù)的數(shù)據(jù)量大為減小����,減輕了數(shù)據(jù)庫(kù)的存儲(chǔ)壓力�����,簡(jiǎn)化了數(shù)據(jù)從信息管理模塊2到核心處理模塊3的傳輸��,還減少了數(shù)據(jù)在上層處理的時(shí)間����,同時(shí)也提高了核心處理模塊3的處理速率和準(zhǔn)確性。此時(shí)�,統(tǒng)計(jì)子模塊24會(huì)根據(jù)經(jīng)過(guò)歸一化處理子模塊21����、過(guò)濾子模塊22和歸并處理子模塊23處理后的安全數(shù)據(jù)�,實(shí)時(shí)生成與該安全數(shù)據(jù)相關(guān)的統(tǒng)計(jì)圖表,該統(tǒng)計(jì)圖表至少包括資產(chǎn)統(tǒng)計(jì)圖表�、脆弱性統(tǒng)計(jì)圖表���、流量統(tǒng)計(jì)圖表���、入侵防護(hù)統(tǒng)計(jì)圖表、展不列表(TopN列表��,即排名前N位的展不列表,N —般取前十位)和事件監(jiān)視窗口統(tǒng)計(jì)圖表�����。
[0042]核心處理模塊3�,與信息管理模塊2相連,用于對(duì)所述信息管理模塊2處理后的安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析和風(fēng)險(xiǎn)計(jì)算����,并根據(jù)關(guān)聯(lián)分析和風(fēng)險(xiǎn)計(jì)算發(fā)出告警消息。核心處理模塊3對(duì)信息管理模塊2處理后的安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析算法�,通過(guò)安全數(shù)據(jù)的資產(chǎn)重要性、漏洞���、安全告警、優(yōu)先級(jí)等數(shù)據(jù)�����,計(jì)算出基于資產(chǎn)的風(fēng)險(xiǎn)值��,判斷此風(fēng)險(xiǎn)值下是否產(chǎn)生告警,并根據(jù)需要生成報(bào)表�����。
[0043]其中��,核心處理模塊3的結(jié)構(gòu)如圖5所示����,包括數(shù)據(jù)獲取子模塊31、關(guān)聯(lián)分析子模塊32和風(fēng)險(xiǎn)計(jì)算子模塊33�。
[0044]數(shù)據(jù)獲取子模塊31,用于從所述信息管理模塊2獲取過(guò)濾和統(tǒng)計(jì)后的安全數(shù)據(jù)�。數(shù)據(jù)獲取子模塊31從數(shù)據(jù)庫(kù)獲取信息管理模塊2存放的安全數(shù)據(jù),并將所獲取的安全數(shù)據(jù)發(fā)送至關(guān)聯(lián)分析子模塊32��,由關(guān)聯(lián)分析子模塊32對(duì)該安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析�。
[0045]關(guān)聯(lián)分析子模塊32�����,用于對(duì)所述數(shù)據(jù)獲取子模塊31所獲取的安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析����。關(guān)聯(lián)分析子模塊32對(duì)該安全數(shù)據(jù)的資產(chǎn)重要性�、漏洞���、安全告警���、優(yōu)先級(jí)等數(shù)據(jù)進(jìn)行分析�,并將分析結(jié)果發(fā)送至風(fēng)險(xiǎn)計(jì)算子模塊33。
[0046]風(fēng)險(xiǎn)計(jì)算子模塊33�,用于根據(jù)所述關(guān)聯(lián)分析子模塊32的分析結(jié)果���,計(jì)算出所述安全數(shù)據(jù)的風(fēng)險(xiǎn)值����,并在計(jì)算出的風(fēng)險(xiǎn)值大于預(yù)設(shè)閾值時(shí)����,產(chǎn)生并發(fā)送告警消息�����。其中��,風(fēng)險(xiǎn)值計(jì)算公式為:風(fēng)險(xiǎn)值=事件可靠性*事件優(yōu)先級(jí)*資產(chǎn)重要性/25���,事件可靠性取值范圍為0-10,優(yōu)先級(jí)為0-5�,資產(chǎn)重要性為0-5,風(fēng)險(xiǎn)值計(jì)算結(jié)果為0-10���,系統(tǒng)默認(rèn)當(dāng)風(fēng)險(xiǎn)值大于預(yù)設(shè)閾值O時(shí)產(chǎn)生告警�,但是此預(yù)設(shè)閾值可以由管理員手動(dòng)設(shè)置為0-10的任意數(shù)值��。根據(jù)關(guān)聯(lián)分析子模塊32的分析結(jié)果����,風(fēng)險(xiǎn)計(jì)算子模塊33將計(jì)算出的風(fēng)險(xiǎn)值與預(yù)設(shè)閾值進(jìn)行比較,判斷風(fēng)險(xiǎn)值是否大于預(yù)設(shè)閾值�,并根據(jù)判斷結(jié)果決定是否發(fā)送告警消息。具體來(lái)說(shuō)���,當(dāng)風(fēng)險(xiǎn)計(jì)算子模塊33計(jì)算出的風(fēng)險(xiǎn)值大于預(yù)設(shè)閾值時(shí)���,表明對(duì)應(yīng)的安全數(shù)據(jù)存在風(fēng)險(xiǎn),應(yīng)及時(shí)向管理員發(fā)送告警消息����;當(dāng)風(fēng)險(xiǎn)計(jì)算子模塊33計(jì)算出的風(fēng)險(xiǎn)值小于或者等于預(yù)設(shè)閾值時(shí),表明對(duì)應(yīng)的安全數(shù)據(jù)是安全的��,無(wú)需發(fā)出告警消息���。
[0047]如圖6所示���,本發(fā)明的基于信息的安全管理平臺(tái)的另一優(yōu)選實(shí)施例的結(jié)構(gòu)還包括界面展示模塊4,該界面展示模塊4用于展示所述信息管理模塊2所統(tǒng)計(jì)的安全數(shù)據(jù)和所述核心處理模塊3所發(fā)出的告警消息��,通過(guò)界面展示模塊4能夠?qū)崟r(shí)查看安全管理平臺(tái)的每一個(gè)模塊的處理進(jìn)程��。
[0048]下面結(jié)合圖7�����,說(shuō)明本發(fā)明的基于信息的安全管理系統(tǒng)的優(yōu)選實(shí)施例的結(jié)構(gòu)��。
[0049]如圖7所示,在本發(fā)明優(yōu)選實(shí)施例中����,基于信息的安全管理系統(tǒng)包括η個(gè)數(shù)據(jù)采集模塊并順序編號(hào)為1-1、2_1�����、3-1至η-1��,η個(gè)信息管理模塊并順序編號(hào)為1_2�、2_2、3_2至η-2����,一個(gè)核心處理模塊3 ;其中,所述數(shù)所采集模塊1-1至η-1與信息管理模塊1_2至η_2一一對(duì)應(yīng)�,即數(shù)據(jù)采集模塊1-1對(duì)應(yīng)信息管理模塊2-1,數(shù)據(jù)采集模塊η-1對(duì)應(yīng)信息管理模塊η-2�����。其中���,數(shù)據(jù)采集模塊1-1至η-1用于采集安全數(shù)據(jù)�����,將采集的所述安全數(shù)據(jù)發(fā)送至相對(duì)應(yīng)的信息管理模塊1-2至η-2 ;信息管理模塊1-2至η-2用于接收相對(duì)應(yīng)的所述數(shù)據(jù)采集模塊1-1至η-1發(fā)送的所述安全數(shù)據(jù)���,對(duì)所述安全數(shù)據(jù)進(jìn)行處理����,將處理后的安全數(shù)據(jù)存儲(chǔ)至數(shù)據(jù)庫(kù)�����;核心處理模塊3�,與η個(gè)信息管理模塊相連��,用于對(duì)所有所述信息管理模塊1-2至η-2處理后的安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析和風(fēng)險(xiǎn)計(jì)算��,并根據(jù)關(guān)聯(lián)分析和風(fēng)險(xiǎn)計(jì)算發(fā)出告警消息�。具體來(lái)說(shuō),將各個(gè)數(shù)據(jù)采集模塊1-1至η-1采集到的數(shù)據(jù)分別發(fā)送到其對(duì)應(yīng)的信息管理模塊1-2至η-2管理����,而將各個(gè)信息管理模塊1-2至η-2的數(shù)據(jù)都放入同一個(gè)核心管理模塊3進(jìn)行關(guān)聯(lián)分析和風(fēng)險(xiǎn)計(jì)算的處理,符合告警條件的則產(chǎn)生告警����。該管理系統(tǒng)可以根據(jù)需要統(tǒng)一進(jìn)行關(guān)聯(lián)分析設(shè)定和風(fēng)險(xiǎn)閾值設(shè)定����,無(wú)需對(duì)單個(gè)安全管理平臺(tái)分別配置��,簡(jiǎn)化了管理操作��。
[0050]本實(shí)施例中的管理系統(tǒng)可對(duì)多個(gè)安全管理平臺(tái)進(jìn)行統(tǒng)一集中管理�,相對(duì)減小了單個(gè)安全管理平臺(tái)的負(fù)荷和管理員的操作,有助于提高單管理平臺(tái)的使用率和有效性��,增強(qiáng)了安全管理平臺(tái)對(duì)網(wǎng)絡(luò)拓?fù)渥兓倪m應(yīng)性�����。
[0051]下面結(jié)合圖8�����,說(shuō)明本發(fā)明的基于信息的安全管理方法的優(yōu)選實(shí)施例的流程����。
[0052]在本發(fā)明優(yōu)選實(shí)施例中,該方法包括:
[0053]步驟SI,采集安全數(shù)據(jù)�。
[0054]具體來(lái)說(shuō),在步驟SI中����,數(shù)據(jù)采集模塊I實(shí)時(shí)采集安全數(shù)據(jù),并將所采集到的數(shù)據(jù)實(shí)時(shí)發(fā)送至信息管理模塊2�。這里的安全數(shù)據(jù),可由代理服務(wù)器及各種安全設(shè)備產(chǎn)生�����。其中�����,Agent及各種安全設(shè)備產(chǎn)生的安全數(shù)據(jù)至少包括Agent���、防火墻、路由器/交換機(jī)�����、IPS設(shè)備����、漏洞掃描設(shè)備���、防病毒設(shè)備、流量管理設(shè)備和終端檢測(cè)設(shè)備��,這些設(shè)備所產(chǎn)生的安全數(shù)據(jù)至少包括安全告警數(shù)據(jù)�、日志數(shù)據(jù)和流量數(shù)據(jù)。
[0055]步驟S2�,對(duì)所述安全數(shù)據(jù)進(jìn)行處理,并存儲(chǔ)處理后的安全數(shù)據(jù)�����。
[0056]在步驟SI中����,信息管理模塊2接收所述數(shù)據(jù)采集模塊I發(fā)送的所述安全數(shù)據(jù),對(duì)所述安全數(shù)據(jù)進(jìn)行處理�����,將處理后的安全數(shù)據(jù)存儲(chǔ)至數(shù)據(jù)庫(kù)��。信息管理模塊2對(duì)從數(shù)據(jù)采集模塊I收集上來(lái)的安全數(shù)據(jù)進(jìn)行處理并根據(jù)核心處理模塊3的需要為其提供相應(yīng)的數(shù)據(jù)����。
[0057]具體來(lái)說(shuō)����,步驟S2如圖9所示�����,包括以下子步驟:
[0058]步驟S21���,將所述安全數(shù)據(jù)處理成相同格式的數(shù)據(jù)���。具體地,歸一化處理子模塊21接收數(shù)據(jù)采集模塊I從Agent����、防火墻���、路由器/交換機(jī)���、IPS設(shè)備、漏洞掃描設(shè)備���、防病毒設(shè)備�、流量管理設(shè)備以及終端檢測(cè)設(shè)備等設(shè)備上采集的安全告警數(shù)據(jù)、日志數(shù)據(jù)以及流量數(shù)據(jù)等安全數(shù)據(jù)�����,對(duì)這些數(shù)據(jù)進(jìn)行歸一化處理�,即將從各種設(shè)備收集的多種類型的日志、告警和流量信息歸一化為相同格式的數(shù)據(jù)信息�,并將歸一化處理后的安全數(shù)據(jù)發(fā)送至過(guò)濾子模塊22。
[0059]步驟S22���,對(duì)所述數(shù)據(jù)進(jìn)行過(guò)濾��,過(guò)濾掉無(wú)效數(shù)據(jù)�。具體地�,過(guò)濾子模塊22接收歸一化處理子模塊21發(fā)送的經(jīng)過(guò)歸一化處理的安全數(shù)據(jù),對(duì)該安全數(shù)據(jù)進(jìn)行過(guò)濾����,過(guò)濾掉噪音數(shù)據(jù)和管理員設(shè)定的不期望的數(shù)據(jù),并將過(guò)濾后的安全數(shù)據(jù)發(fā)送至歸并處理子模塊23����。
[0060]步驟S23�����,對(duì)過(guò)濾后的所述數(shù)據(jù)進(jìn)行歸并處理�,合并重復(fù)數(shù)據(jù)��。具體地��,歸并處理子模塊23接收過(guò)濾子模塊22發(fā)送的經(jīng)過(guò)過(guò)濾的安全數(shù)據(jù)�,對(duì)該安全數(shù)據(jù)進(jìn)行歸并處理,即將從各種設(shè)備收集的多種類型的日志��、告警和流量信息等數(shù)據(jù)中重復(fù)的數(shù)據(jù)進(jìn)行合并��,合并大量重復(fù)的數(shù)據(jù)��,經(jīng)過(guò)歸并處理的數(shù)據(jù)會(huì)存儲(chǔ)在數(shù)據(jù)庫(kù)���,待核心處理模塊需要時(shí)����,隨時(shí)調(diào)用����。
[0061]步驟S24,根據(jù)合并后的所述數(shù)據(jù)�����,生成與所述數(shù)據(jù)相關(guān)的統(tǒng)計(jì)圖表���。經(jīng)過(guò)歸一化處理子模塊21�����、過(guò)濾子模塊22和歸并處理子模塊23對(duì)由數(shù)據(jù)采集模塊I收集的安全數(shù)據(jù)的處理����,安全數(shù)據(jù)的數(shù)據(jù)量大為減小���,減輕了數(shù)據(jù)庫(kù)的存儲(chǔ)壓力�����,簡(jiǎn)化了數(shù)據(jù)從信息管理模塊2到核心處理模塊3的傳輸�,還減少了數(shù)據(jù)在上層處理的時(shí)間���,同時(shí)也提高了核心處理模塊3的處理速率和準(zhǔn)確性�����。此時(shí)�,統(tǒng)計(jì)子模塊24會(huì)根據(jù)經(jīng)過(guò)歸一化處理子模塊21、過(guò)濾子模塊22和歸并處理子模塊23處理后的安全數(shù)據(jù)���,實(shí)時(shí)生成與該安全數(shù)據(jù)相關(guān)的統(tǒng)計(jì)圖表�����,該統(tǒng)計(jì)圖表至少包括資產(chǎn)統(tǒng)計(jì)圖表�、脆弱性統(tǒng)計(jì)圖表��、流量統(tǒng)計(jì)圖表�、入侵防護(hù)統(tǒng)計(jì)圖表、展示列表(TopN列表�,即排名前N位的展示列表,N—般取前十位)和事件監(jiān)視窗口統(tǒng)計(jì)圖表�����。
[0062]步驟S3��,讀取存儲(chǔ)的處理后的安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析和風(fēng)險(xiǎn)計(jì)算����,并根據(jù)關(guān)聯(lián)分析和風(fēng)險(xiǎn)計(jì)算發(fā)出告警消息。
[0063]在步驟S3中��,核心處理模塊3對(duì)信息管理模塊2處理后的安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析算法���,通過(guò)安全數(shù)據(jù)的資產(chǎn)重要性����、漏洞��、安全告警���、優(yōu)先級(jí)等數(shù)據(jù)����,計(jì)算出基于資產(chǎn)的風(fēng)險(xiǎn)值��,判斷此風(fēng)險(xiǎn)值下是否產(chǎn)生告警����,并根據(jù)需要生成報(bào)表。
[0064]具體來(lái)說(shuō)��,步驟S3如圖10所示,包括以下子步驟:
[0065]步驟S31�����,獲取處理后的安全數(shù)據(jù)���。具體地���,數(shù)據(jù)獲取子模塊31從數(shù)據(jù)庫(kù)獲取信息管理模塊2存放的安全數(shù)據(jù),并將所獲取的安全數(shù)據(jù)發(fā)送至關(guān)聯(lián)分析子模塊32�����,由關(guān)聯(lián)分析子模塊32對(duì)該安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析����。
[0066]步驟S32,對(duì)獲取的所述安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析����。具體地,關(guān)聯(lián)分析子模塊32對(duì)該安全數(shù)據(jù)的資產(chǎn)重要性���、漏洞���、安全告警�����、優(yōu)先級(jí)等數(shù)據(jù)進(jìn)行分析,并將分析結(jié)果發(fā)送至風(fēng)險(xiǎn)計(jì)算子模塊33�。
[0067]步驟S33,根據(jù)關(guān)聯(lián)分析的結(jié)果�����,計(jì)算出所述安全數(shù)據(jù)的風(fēng)險(xiǎn)值�����,并在計(jì)算出的風(fēng)險(xiǎn)值大于預(yù)設(shè)閾值時(shí)�,產(chǎn)生并發(fā)送告警消息。其中����,風(fēng)險(xiǎn)值計(jì)算公式為:風(fēng)險(xiǎn)值=事件可靠性*事件優(yōu)先級(jí)*資產(chǎn)重要性/25,事件可靠性取值范圍為0-10�����,優(yōu)先級(jí)為0-5,資產(chǎn)重要性為0-5�,風(fēng)險(xiǎn)值計(jì)算結(jié)果為0-10,系統(tǒng)默認(rèn)當(dāng)風(fēng)險(xiǎn)值大于預(yù)設(shè)閾值O時(shí)產(chǎn)生告警���,但是此預(yù)設(shè)閾值可以由管理員手動(dòng)設(shè)置為0-10的任意數(shù)值�。具體地����,風(fēng)險(xiǎn)計(jì)算子模塊33將計(jì)算出的風(fēng)險(xiǎn)值與預(yù)設(shè)閾值進(jìn)行比較,判斷風(fēng)險(xiǎn)值是否大于預(yù)設(shè)閾值�,并根據(jù)判斷結(jié)果決定是否發(fā)送告警消息。當(dāng)風(fēng)險(xiǎn)計(jì)算子模塊33計(jì)算出的風(fēng)險(xiǎn)值大于預(yù)設(shè)閾值時(shí)����,表明對(duì)應(yīng)的安全數(shù)據(jù)存在風(fēng)險(xiǎn),應(yīng)及時(shí)向管理員發(fā)送告警消息�;當(dāng)風(fēng)險(xiǎn)計(jì)算子模塊33計(jì)算出的風(fēng)險(xiǎn)值小于或者等于預(yù)設(shè)閾值時(shí),表明對(duì)應(yīng)的安全數(shù)據(jù)是安全的���,無(wú)需發(fā)出告警消息�����。
[0068]如上所述����,根據(jù)本發(fā)明的一種基于信息的安全管理平臺(tái)、系統(tǒng)及方法����,采用分層設(shè)計(jì),將安全管理平臺(tái)的關(guān)聯(lián)分析模塊和風(fēng)險(xiǎn)計(jì)算模塊置于安全管理平臺(tái)的核心處理層��,與資產(chǎn)管理����、脆弱性管理以及流量管理等模塊分開(kāi)��,實(shí)現(xiàn)將安全管理平臺(tái)中的重要模塊與非重要模塊的區(qū)分設(shè)置�,簡(jiǎn)化了平臺(tái)的構(gòu)建以及數(shù)據(jù)存儲(chǔ)、傳輸?shù)膹?fù)雜性��,還提高了平臺(tái)的可維護(hù)性和可擴(kuò)展性�����。
[0069]應(yīng)當(dāng)理解的是����,本發(fā)明的上述【具體實(shí)施方式】?jī)H僅用于示例性說(shuō)明或解釋本發(fā)明的原理�,而不構(gòu)成對(duì)本發(fā)明的限制�。因此,在不偏離本發(fā)明的精神和范圍的情況下所做的任何修改�、等同替換、改進(jìn)等��,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)���。此外��,本發(fā)明所附權(quán)利要求旨在涵蓋落入所附權(quán)利要求范圍和邊界�、或者這種范圍和邊界的等同形式內(nèi)的全部變化和修改例���。
【權(quán)利要求】
1.一種基于信息的安全管理平臺(tái)�����,其特征在于���,所述平臺(tái)包括: 數(shù)據(jù)采集模塊(I),用于采集安全數(shù)據(jù)���,將采集的所述安全數(shù)據(jù)發(fā)送至信息管理模塊(2)��; 信息管理模塊(2)����,與數(shù)據(jù)采集模塊(I)相連,用于接收所述數(shù)據(jù)采集模塊(I)發(fā)送的所述安全數(shù)據(jù)��,對(duì)所述安全數(shù)據(jù)進(jìn)行處理�����,將處理后的安全數(shù)據(jù)存儲(chǔ)至數(shù)據(jù)庫(kù)�; 核心處理模塊(3)�,與信息管理模塊(2)相連,用于對(duì)所述信息管理模塊(2)處理后的安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析和風(fēng)險(xiǎn)計(jì)算���,并根據(jù)關(guān)聯(lián)分析和風(fēng)險(xiǎn)計(jì)算發(fā)出告警消息�。
2.根據(jù)權(quán)利要求1所述的平臺(tái)����,其特征在于,所述信息管理模塊(2)包括歸一化處理子模塊(21)��、過(guò)濾子模塊(22)、歸并處理子模塊(23)和統(tǒng)計(jì)子模塊(24);其中��, 所述歸一化處理子模塊(21)用于將所述數(shù)據(jù)采集模塊(I)發(fā)送的所述安全數(shù)據(jù)處理成相同格式的數(shù)據(jù)�����; 所述過(guò)濾子模塊(22)用于對(duì)所述歸一化處理子模塊(21)處理后的數(shù)據(jù)進(jìn)行過(guò)濾��,過(guò)濾掉無(wú)效數(shù)據(jù)�; 所述歸并處理子模塊(23)用于對(duì)所述過(guò)濾子模塊(22)過(guò)濾后的數(shù)據(jù)進(jìn)行歸并處理,合并重復(fù)數(shù)據(jù)�����; 所述統(tǒng)計(jì)子模塊(24)用于根據(jù)所述歸并處理子模塊(24)處理后的數(shù)據(jù)�����,生成與所述數(shù)據(jù)相關(guān)的統(tǒng)計(jì)圖表����。
3.根據(jù)權(quán)利要求2所述的平臺(tái),其特征在于�����,所述統(tǒng)計(jì)子模塊(24)生成的所述統(tǒng)計(jì)圖表至少包括: 資產(chǎn)統(tǒng)計(jì)圖表、脆弱性統(tǒng)計(jì)圖表���、流量統(tǒng)計(jì)圖表���、入侵防護(hù)統(tǒng)計(jì)圖表、展示列表和事件監(jiān)視窗口統(tǒng)計(jì)圖表�����。
4.根據(jù)權(quán)利要求1所述的平臺(tái)��,其特征在于��,所述核心處理模塊(3)包括數(shù)據(jù)獲取子模塊(31)���、關(guān)聯(lián)分析子模塊(32)和風(fēng)險(xiǎn)計(jì)算子模塊(33);其中, 所述數(shù)據(jù)獲取子模塊(31)用于從所述信息管理模塊(2)獲取過(guò)濾和統(tǒng)計(jì)后的安全數(shù)據(jù)����; 所述關(guān)聯(lián)分析子模塊(32)用于對(duì)所述數(shù)據(jù)獲取子模塊(31)所獲取的安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析; 所述風(fēng)險(xiǎn)計(jì)算子模塊(33)用于根據(jù)所述關(guān)聯(lián)分析子模塊(32)的分析結(jié)果�����,計(jì)算出所述安全數(shù)據(jù)的風(fēng)險(xiǎn)值,并在計(jì)算出的風(fēng)險(xiǎn)值大于預(yù)設(shè)閾值時(shí)����,產(chǎn)生并發(fā)送告警消息。
5.根據(jù)權(quán)利要求1所述的平臺(tái)����,其特征在于,還包括: 界面展示模塊(4)�,用于展示所述信息管理模塊(2)所統(tǒng)計(jì)的安全數(shù)據(jù)和所述核心處理模塊(3)所發(fā)出的告警消息。
6.一種基于信息的安全管理系統(tǒng)�,其特征在于,所述系統(tǒng)包括:兩個(gè)或兩個(gè)以上數(shù)據(jù)采集模塊�,兩個(gè)或兩個(gè)以上信息管理模塊,一個(gè)核心處理模塊�����;其中��,所述數(shù)所采集模塊與信息管理模塊的數(shù)量相同��,且一一對(duì)應(yīng)�����;其中, 數(shù)據(jù)采集模塊�,用于采集安全數(shù)據(jù),將采集的所述安全數(shù)據(jù)發(fā)送至信息管理模塊���;信息管理模塊��,與相對(duì)的數(shù)據(jù)采集模塊相連�,用于接收相對(duì)應(yīng)的所述數(shù)據(jù)采集模塊發(fā)送的所述安全數(shù)據(jù)�,對(duì)所述安全數(shù)據(jù)進(jìn)行處理,將處理后的安全數(shù)據(jù)存儲(chǔ)至數(shù)據(jù)庫(kù)�; 核心處理模塊,與所有信息管理模塊相連���,用于對(duì)所有所述信息管理模塊處理后的安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析和風(fēng)險(xiǎn)計(jì)算�����,并根據(jù)關(guān)聯(lián)分析和風(fēng)險(xiǎn)計(jì)算發(fā)出告警消息�����。
7.一種基于信息的安全管理方法,其特征在于����,所述方法包括: 步驟SI��,采集安全數(shù)據(jù)��; 步驟S2���,對(duì)所述安全數(shù)據(jù)進(jìn)行處理,并存儲(chǔ)處理后的安全數(shù)據(jù)�����; 步驟S3��,讀取存儲(chǔ)的處理后的安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析和風(fēng)險(xiǎn)計(jì)算��,并根據(jù)關(guān)聯(lián)分析和風(fēng)險(xiǎn)計(jì)算發(fā)出告警消息����。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于�����,所述步驟S2包括: 步驟S21,將所述安全數(shù)據(jù)處理成相同格式的數(shù)據(jù)��; 步驟S22���,對(duì)所述數(shù)據(jù)進(jìn)行過(guò)濾���,過(guò)濾掉無(wú)效數(shù)據(jù); 步驟S23���,對(duì)過(guò)濾后的所述數(shù)據(jù)進(jìn)行歸并處理�����,合并重復(fù)數(shù)據(jù)�; 步驟S24�����,根據(jù)合并后的所述數(shù)據(jù)����,生成與所述數(shù)據(jù)相關(guān)的統(tǒng)計(jì)圖表。
9.根據(jù)權(quán)利要求8所述的方法�,其特征在于�����,所述步驟S24包括: 根據(jù)合并后的所述數(shù)據(jù),生成與所述數(shù)據(jù)相關(guān)的資產(chǎn)統(tǒng)計(jì)圖表���、脆弱性統(tǒng)計(jì)圖表����、流量統(tǒng)計(jì)圖表�����、入侵防 護(hù)統(tǒng)計(jì)圖表���、展示列表和事件監(jiān)視窗口統(tǒng)計(jì)圖表�。
10.根據(jù)權(quán)利要求7所述的方法���,其特征在于�����,所述步驟S3包括: 步驟S31����,獲取處理后的安全數(shù)據(jù); 步驟S32�,對(duì)獲取的所述安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析; 步驟S33�����,根據(jù)關(guān)聯(lián)分析的結(jié)果�����,計(jì)算出所述安全數(shù)據(jù)的風(fēng)險(xiǎn)值��,并在計(jì)算出的風(fēng)險(xiǎn)值大于預(yù)設(shè)閾值時(shí)��,產(chǎn)生并發(fā)送告警消息��。
【文檔編號(hào)】H04L12/24GK104079430SQ201410252108
【公開(kāi)日】2014年10月1日 申請(qǐng)日期:2014年6月9日 優(yōu)先權(quán)日:2014年6月9日
【發(fā)明者】馬興婕, 劉仙鳳 申請(qǐng)人:漢柏科技有限公司