专利名称:一种信息安全管理平台的制作方法
技术领域:
本发明涉及信息安全技术,特别涉及一种信息安全管理平台。
背景技术:
随着信息技术的发展,信息安全问题也日益严重,所以信息安全和网络安全等技术已成为目前研究和发展的技术热点。目前业界基本存在两类信息安全技术,关联反应系统(CRS,Correlative Reacting System)和安全管理中心(SOC,Security Operation Centre)。这两种信息安全技术的实现原理简述如下一、CRS主要针对通信网络的接入层,用于对用户的接入和访问进行管理和控制,通过CRS内多个联动节点和/或多个CRS分系统进行联动分析和操作,对用户的接入和访问操作实施安全鉴别和控制,从而在接入层保证网络的信息安全。但是,该技术的缺点在于无法对网络核心管理层进行直接保护。
二、SOC主要是通过网络管理系统对网络安全事件及相关信息进行关联分析来得到针对网管系统的安全报告。SOC技术还停留半自动的网络安全模型上,也就是说其虽然能够实现网络安全事件的收集和关联分析,并向网络管理人员提供相关分析结果,但不能进一步提供具体的网络安全配置建议(比如建议系统升级的版本号、设备配置参数等),更不能在一定允许范围内自动对网络安全设备的配置进行更新,从而无法实现自动化的网络安全管理。因此,SOC的运行还需要大量的工作流程和人为监督来配合。
在这种背景下,基于信息安全的核心基础,通信行业提出了能够兼容现有网络结构的网络安全运营与管理平台的理论,该平台又被称为信息安全管理平台(ISMP,Information Security Management Platform)。所述信息安全管理平台用于对网络安全事件、网络安全警报、或安全知识等信息进行关联分析,以实现对网络各安全资产(Security Asset,或称Security Product)进行统一协调和管理,或为网络管理系统提供必要的信息安全措施建议。
虽然,目前国内外针对信息安全和网络信息安全的技术和规范已有很多,但这些标准都是针对信息安全进行的总体概述,抽象且晦涩,且没有提出具体的实施方案和架构设计,国内外也还没有针对通信网络安全运营及信息安全管理平台架构的相关专利。当前作为IT产业核心的电信网络正在朝多网融合、终端设备智能化、网络结构IP化、业务导向等方向发展,但同时信息安全问题及其造成的影响也在以更快的速度加巨,安全威胁逐渐从用户和终端侧向网络核心蔓延,原来认为安全的网络核心管理系统正逐渐面临着巨大的安全压力。因此迫切需要一个能够整合网络安全资源的安全运营及管理的信息安全管理平台,以便电信网络能够在该平台的基础上利用现有安全设备提升网络安全防护和预警能力。
发明内容
有鉴于此,本发明的主要目的在于提供一种信息安全管理平台,能够实现动态的网络信息安全管理。
为达到上述目的,本发明的技术方案是这样实现的本发明公开了一种信息安全管理平台,该平台包括安全基础域,用于监控网络的安全状态,产生并发送安全报告至安全管理域;安全管理域,用于从安全基础域接收安全报告,从安全信息域提取安全信息,根据该安全信息对接收到的安全报告进行分析产生网络安全告警和对应的安全配置建议;安全信息域,用于保存安全信息并输出至所述安全管理域。
其中,所述安全基础域包括与安全管理、监控、防护相关的安全资产。
其中,所述安全资产包括主机操作系统、流量监控设备、病毒检测设备、入侵检测设备和防火墙中的任一者或任意组合。
其中,所述网络安全告警和对应安全配置建议包括可能发生安全事故的安全事件、安全告警、网络安全资产配置方案和管理方案;所述安全信息包括安全通知、安全知识和安全策略;所述安全管理域包括安全事件管理实体,用于从安全信息域查询安全通知、安全知识和安全策略,从安全基础域周期性接收各种安全报告,并对来自安全基础域的所有安全报告进行分析得到可能发生安全事故的安全事件并报告至安全风险管理实体;安全风险管理实体,用于从安全信息域查询安全通知、安全知识和安全策略,从安全基础域接收安全审计产生的安全告警,从安全事件管理实体接收可能发生安全事故的安全事件报告,根据来自安全信息域的安全信息对网络的安全风险进行分析,产生网络安全风险报告或安全报警至控制中心;控制中心,用于对安全信息域和安全管理域进行控制和管理,直接或间接对安全基础域进行安全控制和管理;从安全风险管理实体接收网络安全风险报告或安全报警,并根据来自安全信息域的对应的安全策略产生网络安全资产的安全配置方案和安全管理措施;直接执行所产生的网络安全资产的安全配置方案和安全管理措施,或者将该网络安全资产的安全配置方案和安全管理措施提交到自身连接的外部网络管理系统,由该网络管理系统执行该网络安全资产的安全配置方案和安全管理措施。
其中,所述安全风险管理实体进一步用于根据预设的审计策略对所获取的安全事件和人为发起的安全行为进行审计,并根据审计结果判断是否进行安全告警。
其中,所述安全报告包括安全事件报告和/或设备安全状态报告。
其中,所述安全事件管理实体、安全风险管理实体和控制中心中的任一者或任意组合实现于同一物理实体之中;当所述安全事件管理实体、安全风险管理实体和控制中心分别实现于不同的物理实体之中时,所述安全事件管理实体为安全事件管理服务器,所述安全风险管理实体为安全风险管理服务器,所述控制中心为安全控制中心服务器。
其中,所述安全信息包括安全通知、安全策略和安全知识;所述安全信息域包括安全通知实体,用于保存安全通知并输出至所述安全管理域;安全策略实体,用于保存安全策略并输出至所述安全管理域;安全知识实体,用于保存安全知识并输出至所述安全管理域。
其中,所述安全通知实体进一步用于从外部接收新的安全通知;所述安全知识实体进一步用于从所述安全管理域接收新的安全知识。
其中,所述安全通知实体为安全通知数据库,所述安全策略实体为安全策略数据库,所述安全知识实体为安全知识数据库。
因此,本发明所提供的信息安全管理平台能实现动态灵活的信息安全管理,为网络提供安全措施建议,并能提供具体的安全配置建议,进而能使网络实现自动化的信息安全重配置。本发明为电信网络提供了能够进行安全事件关联分析的基础安全能力,使电信管理网具有对安全产品进行统一协调配置的能力,能为电信网进行资产风险评估并提供风险程度排序,从而实现自动化的网络安全任务管理,使原有的信息安全管理的半动态流程进一步电子化、高效化。
图1为本发明平台总体设计方案的逻辑结构示意图;图2为基于图1的总体设计方案,本发明平台一较佳实施例组成结构示意图。
具体实施例方式
下面结合附图及具体实施例对本发明再作进一步详细的说明。
本发明公开了一种信息安全管理平台,该平台主要包括三个层次安全基础域、安全管理域和安全信息域。下面对这三个域的基本功能加以描述。
一、安全基础域安全基础域作为本发明平台最底层的安全信息支撑层,用于实时监控网络的安全状态,为本发明平台中的安全管理域提供各种安全报告,该安全报告包括安全事件报告和设备安全状态报告。其中该安全基础域由各种安全资产构成,包括能够提供安全报告的各种安全设备、操作系统和客户端安全代理软件(这里,对于不能够主动提供安全报告的设备或主机系统可以安装此类客户端安全代理软件来实现安全报告的提交),同时还有存在于所有系统中的审计和告警模块。所谓安全事件指安全设备或系统所产生的各种安全行为,比如有病毒入侵、系统运行异常、登录管理系统等事件。
二、安全管理域安全管理域,用于从上述安全基础域接收各种安全报文和安全事件等安全报告,从安全信息域接收安全信息,参考该安全信息对安全报告进行安全事件管理(Security Events Management)、安全风险管理(Security RiskManagement),产生网络安全告警和对应的安全配置建议。所产生的网络安全告警和对应的安全配置建议可以包括可能发生安全事故的安全事件、安全告警、网络安全资产配置方案和管理方案;所述安全信息包括安全通知、安全知识和安全策略。安全管理域可以直接实施所产生的网络安全配置建议或为外部网络管理系统提供网络安全配置建议。
所谓安全事件管理主要是通过采集、过滤、汇聚、关联分析等手段对来自安全基础域安全报告中记录的所有安全事件进行充分分析,并甄别其中可能发生安全事故(Security Accident)的安全事件,并对安全事件进行严重性排序,使网络能够优先获知和处理严重性级别较高的安全事件。
所谓安全风险评估及管理是本发明安全管理域的核心功能,能够对网络各环节存在或产生的安全风险(包括设备不稳定状态、操作系统OS漏洞、病毒感染状态、人为操作失误、或恶意破坏等)进行整体分析,从而产生有针对性的网络安全配置方案或发布改进的安全管理流程和措施,以从网络架构和运维流程上实现网络的信息安全管理目标。安全风险评估及管理的信息来源为安全事件管理实体提交的报告和系统审计机制发出的安全告警。
所谓安全审计和告警就是按照一定的审计策略对由安全设备产生的安全事件和人为发起的安全行为(比如管理员对系统进行安全属性配置操作、为操作系统打补丁、更新安全策略等)进行审计,并根据审计结果判断是否进行安全告警。
三、安全信息域安全信息域,用于保存安全管理域需要查询的安全信息,安全信息是指用于支持安全管理的资料信息和安全策略,安全管理域要对这些信息的获取、存储、更新、使用、发布等进行统一的管理和规范。该安全信息域可由一个或多个用于保存安全信息的数据库构成。
所谓安全信息主要分为三类安全通知(Security Notification)、安全策略(Security Policy)和安全知识(Security Knowledge)。其中,安全通知是指要向网络下发的各种与信息安全相关指令和通告,包括行政指令、网络病毒预警报告、操作系统漏洞及补丁通知;安全知识是指信息安全管理过程中积累的一些经验数据,包括安全攻击历史、威胁、系统漏洞、病毒等,该知识在系统启动前应该具备一定的积累;安全策略就是进行安全管理时所依据的规则、评价标准等信息。
上述的安全信息需要预先设置在安全信息域中的各个数据库中,也可在本发明信息安全管理平台运行起来之后不断更新数据库中保存的安全信息。此时,安全信息域要同时对外提供具有严格访问控制要求的更新操作接口,用于从外部或安全管理域接收新的安全信息以更新现存的安全信息。
下面结合附图对本发明平台的具体实现原理加以详述。
图1为本发明平台总体设计方案的逻辑结构示意图。如图1所示,该平台包括安全信息域、安全管理域和安全基础域。其中,安全信息域可以包括安全通知实体、安全知识实体和安全策略实体;安全管理域可以包括安全事件管理实体、安全风险管理实体和控制中心;安全基础域则可由与安全管理、监控、防护相关的安全资产构成。
在安全基础域中,安全资产用于监控网络的安全状态,生成各种安全报告,并发送至安全管理域。所述安全报告包括安全事件报告和/或设备安全状态报告。所述安全资产包括主机操作系统、流量监控设备、病毒检测设备、入侵检测设备和防火墙等中的任一者或任意组合。
在安全管理域中,安全事件管理实体和安全风险管理实体用于从安全基础域的安全资产中接收各种安全报告,从安全信息域获取安全通知、安全知识和安全策略等安全信息,并分别参考安全信息对接收到的安全报告进行安全事件管理和安全风险管理处理。
其中,安全事件管理实体主要负责对各种安全事件进行收集、筛选、关联分析、统计分析等,类似PC中的协处理器,负责为安全风险管理实体提供安全分析报告和案例数据,同时直接接受控制中心的管理和控制。该安全事件管理实体用于参考安全信息对来自安全基础域的安全报告进行充分分析,并甄别其中可能发生安全事故的安全事件,并对安全事件进行严重性排序并通过控制中心通知网络,使网络能优先获知和处理严重性级别较高的安全事件。
安全风险管理实体用于进行风险评估、风险记录、风险告警等工作,也类似PC中的协处理器,其主要接收审计告警、安全事件管理实体上传的报告和控制中心下传的控制指令,通过对前两类数据的收集和整理,并参考来自安全信息域的安全信息,根据评估模型进行风险评估,根据评估结果的重要程度不进行操作、或向控制中心报警、或更新安全知识库。
控制中心(Control Centre),连接安全基础域的安全资产和安全信息域,连接安全事件管理实体和安全风险管理实体,作为整个信息安全管理平台的主控台用于对安全管理域中安全事件管理实体和安全风险管理实体的各种处理进行总体控制,向管理员用户提供交互界面,主要负责所有的服务器和数据库的性能和运行管理,以及与该平台相关的安全设备的配置和更新,负责信息安全管理平台与外部系统交互时的访问控制。该控制中心根据从安全风险管理实体得到的网络风险报告或报警,依据相关安全策略,自动组合出有针对性的网络安全资产的安全配置方案或已改进的安全管理流程/措施,直接执行该资产的安全配置方案或已改进的安全管理流程/措施或通过向网络管理系统(NMS)发布该资产的安全配置方案或已改进的安全管理流程/措施以间接实现对网络安全的管理和控制。
这里,所述安全事件管理实体,用于从安全信息域查询安全通知、安全知识和安全策略,从安全基础域周期性接收各种安全报告,并对来自安全基础域的所有安全报告进行分析得到可能发生安全事故的安全事件并报告至安全风险管理实体;所述安全风险管理实体,用于从安全信息域查询安全通知、安全知识和安全策略,从安全基础域接收安全审计产生的安全告警,从安全事件管理实体接收可能发生安全事故的安全事件报告,根据来自安全信息域的安全信息对网络的安全风险进行分析,产生网络安全风险报告或安全报警至控制中心;所述控制中心,用于对安全信息域和安全管理域进行控制和管理,直接或间接对安全基础域进行安全控制和管理;从安全风险管理实体接收网络安全风险报告或安全报警,并根据来自安全信息域的对应的安全策略产生网络安全资产的安全配置方案和安全管理措施;直接执行所产生的网络安全资产的安全配置方案和安全管理措施,或者将该网络安全资产的安全配置方案和安全管理措施提交到自身连接的外部网络管理系统,由该网络管理系统执行该网络安全资产的安全配置方案和安全管理措施。该安全风险管理实体还可进一步用于根据预设的审计策略对所获取的安全事件和人为发起的安全行为进行审计,并根据审计结果判断是否进行安全告警。
其中,安全管理域内的三种实体为逻辑上相互独立的三个实体,在物理上,这三种实体中的任一者或任意组合可以实现于一个物理实体之中,本发明对此并不进行限定。
在安全信息域中,安全通知实体、安全知识实体和安全策略实体分别用于保存安全通知、安全知识和安全策略,并接收安全管理域中各实体的查询,分别输出自身保存的安全通知、安全知识和安全策略至安全管理域的实体中。这里,安全通知实体、安全知识实体和安全策略实体可在物理上实现为相互独立的三个数据库。
图2为基于图1的总体设计方案,本发明平台一较佳实施例组成结构示意图。本实施例中,如图2所示,该平台的组成结构如下所述在安全基础域中,安全资产由多种安全设备和客户端安全代理软件构成,包括流量监控设备、病毒检测设备、入侵检测设备、操作系统设备和防火墙等等。图2所示的流量监控设备、病毒检测设备、入侵检测设备、操作系统设备和防火墙等安全资产分别通过安全基础域与安全管理域之间的域通道将自身监控到安全事件、安全状态和安全审计结果报告至安全管理域中的安全事件管理服务器和安全风险管理服务器。
这里,本发明所述安全资产指网络中所有能够提供网络安全状态信息的设备、操作系统和客户端安全代理软件,并不限于图2所示的这几种设备和软件,凡是能提供网络安全状态信息的物理或逻辑实体均属本发明安全资产的范畴。
在安全信息域中,安全策略数据库、安全知识数据库和安全通知数据库分别用于保存各自对应的安全策略、安全知识和安全通知,并接受安全管理域中各实体的查询请求,分别通过安全信息域与安全管理域之间的域通道输出安全策略、安全知识和安全通知至安全管理域。
其中,安全策略数据库中的安全策略要预先配置在该数据库中;进一步的,在本发明平台运行之后,可以通过手动的方式对该安全策略数据库进行更新。安全知识数据库中保存的各种安全知识也要预先进行配置;进一步的,在本发明平台运行之后,可以手动的方式对该安全知识数据库进行更新,也可由安全事件管理服务器和安全风险管理服务器对该安全知识数据库进行更新,比如安全事件管理服务器在检测到某程序属病毒程序,可将该病毒程序的信息加入该安全知识数据库,或者由于之前的某次安全攻击发现下属某安全产品(或操作系统)出现后门或发现新的缺陷,则可将该信息记入知识库。安全通知数据库中的安全通知预先配置在该数据库中;进一步的,在本发明平台运行之后,该安全通知数据库能以各种方式实现网络安全通知信息、补丁和病毒库等安全通知信息的及时更新,比如可以手动的方式对该安全通知数据库进行更新,也还可通过安全控制中心服务器连接外部的Internet或其他专有网络,从中获取新的安全通知信息。
在安全管理域中,安全事件管理实体、安全风险管理实体和控制中心分别实现于不同的物理实体之中,分别为安全事件管理服务器、安全风险管理服务器和安全控制中心服务器。在这三者之间,实线代表数据流连接,而虚线代表控制流连接。
其中,安全事件管理服务器与安全风险管理服务器之间为实线的数据流连接,用于交互可能发生安全事故的安全事件、以及网络安全配置方案和改进的安全管理流程/措施。安全事件管理服务器和安全风险管理服务器还分别通过安全管理域与安全信息域之间的域通道以实线的数据流连接从安全信息域提取安全信息,以供自己参考。安全事件管理服务器和安全风险管理服务器还分别通过安全管理域与安全基础域之间的域通道以实线的数据流连接从安全基础域中接收安全报告。安全控制中心服务器与安全事件管理服务器、安全风险管理服务器以及安全信息域和安全基础域之间具有虚线的控制流连接,用于控制和管理安全事件管理服务器、安全风险管理服务器以及安全信息域,并在必要时对网络中与该平台相关的安全设备进行配置和更新。该安全控制中心服务器还可进一步与外部的网络管理系统连接,以使网络管理系统能依据接收到的各种信息及时采取对应措施来保证网络信息安全。
这里,安全事件管理服务器和安全风险管理服务器从安全信息域提取安全信息的方式有多种可在初始化时从安全策略数据库、安全知识数据库、安全通知数据库下载安全策略、安全知识和安全通知到本地;也可在运行过程中根据管理需要从安全策略数据库、安全知识数据库、安全通知数据库查询对应的安全策略、安全知识和安全通知;或者,首先在初始化时从安全策略数据库、安全知识数据库、安全通知数据库下载安全策略、安全知识和安全通知到本地,并在运行过程中根据管理需要从安全策略数据库、安全知识数据库、安全通知数据库随时下载更新本地的安全策略、安全知识和安全通知。
综上所述,本发明所提出的信息安全管理平台能够实现动态、灵活的网络信息安全管理,本方案能够为电信网络提供可以进行安全事件关联分析的基础安全能力,使电信管理网具有了能够对安全产品进行统一协调配置的能力,能为电信网进行资产风险评估并提供风险程度排序,能实现自动化的网络安全任务管理,使原有半动态的信息安全管理流程更加电子化、高效化。另外,本发明方案还提供了安全信息的更新机制,从而使该平台的安全分析能力能够不断按需求进行提升。本发明提出了一种全新的信息安全管理构架,该构架能为实现网络信息安全的自动化管理提供良好基础。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
权利要求
1.一种信息安全管理平台,其特征在于,该平台包括安全基础域,用于监控网络的安全状态,产生并发送安全报告至安全管理域;安全管理域,用于从安全基础域接收安全报告,从安全信息域提取安全信息,根据该安全信息对接收到的安全报告进行分析产生网络安全告警和对应的安全配置建议;安全信息域,用于保存安全信息并输出至所述安全管理域。
2.根据权利要求1所述的平台,其特征在于,所述安全基础域包括与安全管理、监控、防护相关的安全资产。
3.根据权利要求2所述的平台,其特征在于,所述安全资产包括主机操作系统、流量监控设备、病毒检测设备、入侵检测设备和防火墙中的任一者或任意组合。
4.根据权利要求1所述的平台,其特征在于,所述网络安全告警和对应安全配置建议包括可能发生安全事故的安全事件、安全告警、网络安全资产配置方案和管理方案;所述安全信息包括安全通知、安全知识和安全策略;所述安全管理域包括安全事件管理实体,用于从安全信息域查询安全通知、安全知识和安全策略,从安全基础域周期性接收各种安全报告,并对来自安全基础域的所有安全报告进行分析得到可能发生安全事故的安全事件并报告至安全风险管理实体;安全风险管理实体,用于从安全信息域查询安全通知、安全知识和安全策略,从安全基础域接收安全审计产生的安全告警,从安全事件管理实体接收可能发生安全事故的安全事件报告,根据来自安全信息域的安全信息对网络的安全风险进行分析,产生网络安全风险报告或安全报警至控制中心;控制中心,用于对安全信息域和安全管理域进行控制和管理,直接或间接对安全基础域进行安全控制和管理;从安全风险管理实体接收网络安全风险报告或安全报警,并根据来自安全信息域的对应的安全策略产生网络安全资产的安全配置方案和安全管理措施;直接执行所产生的网络安全资产的安全配置方案和安全管理措施,或者将该网络安全资产的安全配置方案和安全管理措施提交到自身连接的外部网络管理系统,由该网络管理系统执行该网络安全资产的安全配置方案和安全管理措施。
5.根据权利要求4所述的平台,其特征在于,所述安全风险管理实体进一步用于根据预设的审计策略对所获取的安全事件和人为发起的安全行为进行审计,并根据审计结果判断是否进行安全告警。
6.根据权利要求4所述的平台,其特征在于,所述安全报告包括安全事件报告和/或设备安全状态报告。
7.根据权利要求4至6任一项所述的平台,其特征在于,所述安全事件管理实体、安全风险管理实体和控制中心中的任一者或任意组合实现于同一物理实体之中;当所述安全事件管理实体、安全风险管理实体和控制中心分别实现于不同的物理实体之中时,所述安全事件管理实体为安全事件管理服务器,所述安全风险管理实体为安全风险管理服务器,所述控制中心为安全控制中心服务器。
8.根据权利要求1所述的平台,其特征在于,所述安全信息包括安全通知、安全策略和安全知识;所述安全信息域包括安全通知实体,用于保存安全通知并输出至所述安全管理域;安全策略实体,用于保存安全策略并输出至所述安全管理域;安全知识实体,用于保存安全知识并输出至所述安全管理域。
9.根据权利要求8所述的平台,其特征在于,所述安全通知实体进一步用于从外部接收新的安全通知;所述安全知识实体进一步用于从所述安全管理域接收新的安全知识。
10.根据权利要求8或9所述的平台,其特征在于,所述安全通知实体为安全通知数据库,所述安全策略实体为安全策略数据库,所述安全知识实体为安全知识数据库。
全文摘要
本发明公开了一种信息安全管理平台,该平台包括安全基础域,用于监控网络的安全状态,产生并发送安全报告至安全管理域;安全管理域,用于从安全基础域接收安全报告,从安全信息域提取安全信息,根据该相关安全信息对接收到的安全报告进行分析得到网络安全告警和网络安全配置建议;安全信息域,用于保存安全信息并输出至所述安全管理域。应用本发明能实现动态的网络信息安全自动管理。
文档编号H04L12/26GK101056198SQ20061007444
公开日2007年10月17日 申请日期2006年4月10日 优先权日2006年4月10日
发明者周智, 郑志彬, 李 昊 申请人:华为技术有限公司