计算机网络信息安全事件处理方法

文档序号:6448045阅读:615来源:国知局
专利名称:计算机网络信息安全事件处理方法
技术领域
本发明涉及一种计算机网络安全防范方法,尤其涉及一种计算机网络信息安全事件处理方法。
背景技术
随着信息技术的不断发展以及因特网的应用越来越广泛和深入,网络安全问题也日益突出,除了计算机病毒泛滥之外,人为的计算机误用或误操作及恶意的网络攻击都在一定程度上对企业正常的业务运作造成了不小的影响,有的甚至还导致了严重的系统破坏或巨大的经济损失。一般企业常用的安全防范技术有防毒、加密、认证和访问控制等方法。近两年来,安全监控审计系统也逐渐成为一种重要的安全防范技术。现有的安全监控审计系统的系统结构图如图1所示。该系统主要由传感器、分析器、数据库、控制台和响应器五个部件组成。传感器为检测部件,主要作用是获取数据并进行检测,可监控网络流量或计算机系统;分析器一般为系统处理中心或策略中心;数据库为数据存储部件;控制台为面向用户的管理介面;响应器为实现多种响应的部件。这种安全监控审计系统可以实现检测和响应两大功能,可对网络或主机系统进行实时的监控和审计,一旦发现误用或恶意行为便可作出及时响应,其中“响应”为系统的主要输出结果。常见的响应方式有控制台显示、邮件通知、阻断连接、手机/呼机短信息、SNMP陷阱信息、传真、声音或通过防火墙阻断等方式。这种安全监控审计系统在信息安全事件发生时只是及时通知到管理人员,而不采取进一步的措施;另外,那些自动防御的响应方式也都有一定的局限性,这是因为,一方面干扰者或入侵者的行为变化多端,另一方面网络环境都比较复杂,这就导致网络状况也有很大的不确定性,所以阻断连接方式并不十分有效;安全经常是模糊的,管理人员也因此会无所适从,或被一些误报警所误导,或被一些隐蔽行为所蒙蔽。总之,传统的信息安全事件处理方法在信息安全事件发生时,管理人员依然不能对实际情况有足够清晰的了解,仍然没有有效的手段对信息安全事件作出全面及时的处理。

发明内容
针对现有计算机网络信息安全防范中存在的问题,本发明提供一种基于人机合作的计算机网络信息安全事件处理方法,当信息安全事件发生时,管理人员在收到报警通知后,可以及时、全面、深入地对事件作出分析和处理,可使管理人员对当前的事件状况有一个清晰完整的了解,并可借助多种有效手段遏止住误用行为或入侵行为的进一步发生,同时,管理人员也可以依据当前的安全状况制定出企业下一步需要实行的安全防范策略。
本发明的目的是这样实现的一种计算机网络信息安全事件处理方法,该方法基于一个与计算机网络连接的安全监控审计系统实现,审计系统包括分析器、传感器、数据库、控制台和响应器,其特点是,该方法至少包括以下步骤第一步,建立处理平台在安全监控审计系统中建立一个与分析器相连的人机合作事件处理平台;第二步,提供网络处理工具;向人机合作事件处理平台提供可将抽象信息作为输入参数的网络处理工具;第三步,获取并分析数据传感器监控计算机网络、主机系统,从计算机网络、主机系统中获取能反映其安全状态的原始数据,对其进行安全状态分析,并进行过滤及传输到分析器作进一步的处理;第四步,产生信息安全事件分析器分析计算机网络、主机系统的安全状态,产生信息安全事件,并将其送往数据库、控制台、响应器和人机合作事件处理平台;第五步,提取抽象信息人机合作事件处理平台从信息安全事件中提取关键的抽象信息;第六步,人机合作得到处理结果以所提取的抽象信息作为网络处理工具的输入参数,由操作者与网络处理工具合作对信息安全事件进行分析和处理,遏阻非法行为,完成对信息安全事件的处理。
所述的网络处理工具包括网络系统扫描器、防火墙、远程访问工具、远程控制工具、反攻击工具、网络嗅探工具、脚本语言和基本网络诊断工具。
所述的网络处理工具由安全监控审计系统自动激活。
所述的抽象信息包括源地址、目标地址、源端口、目标端口、时间戳、事件类型。
在所述的步骤六中,由操作者决定选择的工具类型及采用的操作策略执行该工具。
本发明由于采用了以上技术方案,使其与现有技术相比,具有以下明显的优点和积极效果1、可弥补传统安全模型的不足传统安全模型为基于时间的安全模型(TBS/Time Based Security),强调在系统防护时间(Pt)大于系统检测时间(Dt)加系统响应时间(Rt)之和时为系统的可接受安全模型。即Pt>Dt+Rt。TBS模型属于较为理想化的模型。事实上,防护的不可靠、检测的不精确以及响应的不完全都会使系统在保持安全状态时失去平衡。本发明方法可以在一定程度上弥补TBS安全模型欠缺考虑人的因素的不足,可以通过人机合作的方式对各种安全事件及各种变化不定的安全状况作出最好的处理。
2、可提高安全监控审计系统的应用价值安全监控审计系统主要为检测和响应类产品,由于目前系统还没有足够的精度、灵活度和功能范围,所以系统应用有一定的局限性。本发明的方法可为管理人员提供一个安全事件的综合处理平台,既可以对事件进行有效处理,也可以对安全状况进行深入的分析,为监控审计类产品提供更多的应用价值。
3、基于人机合作的处理方式,灵活全面,实用性高,代价低本发明的方法提供了人机合作处理事件的方式,既可充分利用系统所提供的信息和工具资源,也充分利用了人的决策能动性,所以灵活、全面、实用性高,但代价却较低。


图1为现有技术安全监控审计系统的系统结构示意图。
图2为本发明计算机网络信息安全事件处理方法的系统结构示意图。
图3为本发明计算机网络信息安全事件处理方法的流程示意图。
具体实施例方式
请参见图2,本发明一种计算机网络信息安全事件处理方法,通过一个与计算机网络连接的安全监控审计系统实现,该系统包括分析器、传感器、数据库、控制台、响应器和人机合作事件处理平台,由处于中心位置的分析器分别与传感器、数据库、控制台、响应器和人机合作事件处理平台连接组成,在人机合作事件处理平台中设有多种网络处理工具。网络处理工具包括网络系统扫描器、防火墙、远程访问工具、远程控制工具、反攻击工具、网络嗅探工具、脚本语言和基本网络诊断工具等。
请参见图3,本发明的计算机网络信息安全事件处理方法通过图2所示的安全监控审计系统实现,它包括以下步骤第一步,建立处理平台在安全监控审计系统中建立一个与分析器相连的人机合作事件处理平台;第二步,提供网络处理工具;向人机合作事件处理平台提供可将抽象信息作为输入参数的包括网络系统扫描器、防火墙、远程访问工具、远程控制工具、反攻击工具、网络嗅探工具、脚本语言和基本网络诊断工具等网络处理工具,网络处理工具由安全监控审计系统自动激活。
第三步,获取并分析数据传感器监控计算机网络、主机系统,从计算机网络、主机系统中获取能反映其安全状态的原始数据,对其进行安全状态分析,并进行过滤及传输到分析器作进一步的处理;第四步,产生信息安全事件分析器分析计算机网络、主机系统的安全状态,产生信息安全事件,并将其送往数据库、控制台、响应器和人机合作事件处理平台;第五步,提取抽象信息人机合作事件处理平台从信息安全事件中提取包括源地址、目标地址、源端口、目标端口、时间戳、事件类型等关键的抽象信息。
第六步,人机合作得到处理结果以所提取的抽象信息作为网络处理工具的输入参数,由操作者决定选择何种工具及采用何种操作策略执行该工具并与网络处理工具合作对信息安全事件进行分析和处理,遏阻非法行为,完成对信息安全事件的处理。
权利要求
1.一种计算机网络信息安全事件处理方法,该方法基于一个与计算机网络连接的安全监控审计系统实现,审计系统包括分析器、传感器、数据库、控制台和响应器,其特征在于该方法至少包括以下步骤第一步,建立处理平台在安全监控审计系统中建立一个与分析器相连的人机合作事件处理平台;第二步,提供网络处理工具;向人机合作事件处理平台提供可将抽象信息作为输入参数的网络处理工具;第三步,获取并分析数据传感器监控计算机网络、主机系统,从计算机网络、主机系统中获取能反映其安全状态的原始数据,对其进行安全状态分析,并进行过滤及传输到分析器作进一步的处理;第四步,产生信息安全事件分析器分析计算机网络、主机系统的安全状态,产生信息安全事件,并将其送往数据库、控制台、响应器和人机合作事件处理平台;第五步,提取抽象信息人机合作事件处理平台从信息安全事件中提取关键的抽象信息;第六步,人机合作得到处理结果以所提取的抽象信息作为网络处理工具的输入参数,由操作者与网络处理工具合作对信息安全事件进行分析和处理,遏阻非法行为,完成对信息安全事件的处理。
2.根据权利要求1所述的计算机网络信息安全事件处理方法,其特征在于所述的网络处理工具包括网络系统扫描器、防火墙、远程访问工具、远程控制工具、反攻击工具、网络嗅探工具、脚本语言和基本网络诊断工具。
3.根据权利要求1或2所述的计算机网络信息安全事件处理方法,其特征在于所述的网络处理工具由安全监控审计系统自动激活。
4.根据权利要求1所述的计算机网络信息安全事件处理方法,其特征在于所述的抽象信息包括源地址、目标地址、源端口、目标端口、时间戳、事件类型。
5.根据权利要求1所述的计算机网络信息安全事件处理方法,其特征在于在所述的步骤六中,由操作者决定选择的工具类型及采用的操作策略执行该工具。
全文摘要
一种计算机网络信息安全事件处理方法,通过一个与计算机网络连接的安全监控审计系统实现。在安全监控审计系统中建立有人机合作事件处理平台,在该平台中设有多种网络处理工具,由人决定选择何种工具及采用何种操作策略执行该工具,由人与网络处理工具合作对信息安全事件进行分析和处理。本发明的计算机网络信息安全事件处理方法灵活全面,实用性高,代价低;可弥补传统安全模型的不足;可提高安全监控审计系统的应用价值。
文档编号G06F11/30GK1447263SQ0311583
公开日2003年10月8日 申请日期2003年3月17日 优先权日2003年3月17日
发明者金波, 周晴杰, 任群 申请人:上海金诺网络安全技术发展股份有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1