一种基于信息的安全管理平台、系统及方法
【专利摘要】本发明公开了一种基于信息的安全管理平台、系统及方法,所述平台包括:数据采集模块,用于采集安全数据,将采集的所述安全数据发送至信息管理模块;信息管理模块,用于接收所述数据采集模块发送的所述安全数据,对所述安全数据进行处理,将处理后的安全数据存储至数据库;核心处理模块,用于对所述信息管理模块处理后的安全数据进行关联分析和风险计算,并根据关联分析和风险计算发出告警消息。根据本发明的一种基于信息的安全管理平台、系统及方法,采用分层设计,简化了平台的构建以及数据存储、传输的复杂性,还提高了平台的可维护性和可扩展性。
【专利说明】一种基于信息的安全管理平台、系统及方法
【技术领域】
[0001]本发明属于信息安全【技术领域】,具体涉及一种基于信息的安全管理平台、系统及方法。
【背景技术】
[0002]随着网络技术的不断发展和人们生活、工作对网络的依赖,信息安全格外重要。基于信息的安全管理的理论和技术也在不断发展。
[0003]为了不断应对新的安全挑战,网络信息的安全管理中先后出现了防火墙、UTM,Λ侵检测和防护系统、漏洞扫描系统、防病毒系统以及终端管理系统等安全设备。但是,各种安全设备是孤立的,无法相互关联和共享信息,这样形成了一个个“安全防御孤岛”,导致无法产生协同效应。更为严重地,这些复杂的IT资源及其安全设备在运行过程中产生大量的安全数据,例如安全日志和事件,在处理这些数量巨大、彼此割裂的安全信息时,要操作各种产品自身的控制台界面和告警窗口,一方面,导致安全管理的工作效率低下,同时还难以发现真正的安全隐患;另一方面,这样孤立的安全设备无法满足网络用户日益迫切的信息系统审计和内控要求、等级保护要求,以及不断增强的业务持续性需求。而安全管理(Security Operat1ns Center, S0C)平台为实现各种孤立的安全设备的协作提供了一个合作的平台。
[0004]现有技术中,SOC平台将资产管理模块、脆弱性管理模块、流量管理模块、关联分析模块和风险计算模块都设置在一个层面,致使在防护某个网络安全时,所有的模块都是针对整个网络,例如资产管理模块负责搜集和管理全网的资产信息,脆弱性模块负责搜集和管理全网所有资产的脆弱性信息,关联分析模块和风险计算模块则负责对全网安全事件进行处理。这样,每个模块都要参与预防和处理网络安全事件的整个过程,会导致在网络结构出现变化或需要扩展的时候,各个模块都需要进行相应的变化;另外,由于每个模块具有不同的重要性,如此笼统的设置增加了平台构建的复杂度,也降低了平台的可维护性和可扩展性。
【发明内容】
[0005]本发明的目的是提供一种基于信息的安全管理平台、系统及方法,将安全管理平台的重要部分(关联分析模块和风险计算模块)置于安全管理平台的核心处理层,与相对次要的部分(资产管理、脆弱性管理、流量管理等模块)分开,以简化平台的构建以及数据存储、传输的复杂性,提高平台的维护性和扩展性。
[0006]根据本发明的一个方面,提供一种基于信息的安全管理平台,所述平台包括:数据采集模块,用于采集安全数据,将采集的所述安全数据发送至信息管理模块;信息管理模块,与数据采集模块相连,用于接收所述数据采集模块发送的所述安全数据,对所述安全数据进行处理,将处理后的安全数据存储至数据库;核心处理模块,与信息管理模块相连,用于对所述信息管理模块处理后的安全数据进行关联分析和风险计算,并根据关联分析和风险计算发出告警消息。
[0007]其中,在本发明中,所述信息管理模块包括归一化处理子模块、过滤子模块、归并处理子模块和统计子模块;所述归一化处理子模块用于将所述数据采集模块发送的所述安全数据处理成相同格式的数据;所述过滤子模块用于对所述归一化处理子模块处理后的数据进行过滤,过滤掉无效数据;所述归并处理子模块用于对所述过滤子模块过滤后的数据进行归并处理,合并重复数据;所述统计子模块用于根据所述归并处理子模块处理后的数据,生成与所述数据相关的统计图表。
[0008]其中,在本发明中,所述统计子模块生成的所述统计图表至少包括:资产统计图表、脆弱性统计图表、流量统计图表、入侵防护统计图表、展示列表和事件监视窗口统计图表。
[0009]其中,在本发明中,所述核心处理模块包括数据获取子模块、关联分析子模块和风险计算子模块;所述数据获取子模块用于从所述信息管理模块获取过滤和统计后的安全数据;所述关联分析子模块用于对所述数据获取子模块所获取的安全数据进行关联分析;所述风险计算子模块用于根据所述关联分析子模块的分析结果,计算出所述安全数据的风险值,并在计算出的风险值大于预设阈值时,产生并发送告警消息。
[0010]其中,在本发明中,还包括:界面展示模块,用于展示所述信息管理模块所统计的安全数据和所述核心处理模块所发出的告警消息。
[0011]根据本发明的另一个方面,提供一种基于信息的安全管理系统,所述系统包括:两个或两个以上数据采集模块,两个或两个以上信息管理模块,一个核心处理模块;其中,所述数所采集模块与信息管理模块的数量相同,且一一对应;数据采集模块,用于采集安全数据,将采集的所述安全数据发送至信息管理模块;信息管理模块,与相对应的数据采集模块相连,用于接收相对应的所述数据采集模块发送的所述安全数据,对所述安全数据进行处理,将处理后的安全数据存储至数据库;核心处理模块,与所有信息管理模块相连,用于对所有所述信息管理模块处理后的安全数据进行关联分析和风险计算,并根据关联分析和风险计算发出告警消息
[0012]根据本发明的再一个方面,提供一种基于信息的安全管理方法,所述方法包括:步骤SI,采集安全数据;步骤S2,对所述安全数据进行处理,并存储处理后的安全数据;步骤S3,读取存储的处理后的安全数据进行关联分析和风险计算,并根据关联分析和风险计算发出告警消息。
[0013]其中,在本发明中,所述步骤S2包括:步骤S21,将所述安全数据处理成相同格式的数据;步骤S22,对所述数据进行过滤,过滤掉无效数据;步骤S23,对过滤后的所述数据进行归并处理,合并重复数据;步骤S24,根据合并后的所述数据,生成与所述数据相关的统计图表。
[0014]其中,在本发明中,所述步骤S24包括:根据合并后的所述数据,生成与所述数据相关的资产统计图表、脆弱性统计图表、流量统计图表、入侵防护统计图表、展示列表和事件监视窗口统计图表。
[0015]其中,在本发明中,所述步骤S3包括:步骤S31,获取处理后的安全数据;步骤S32,对获取的所述安全数据进行关联分析;步骤S33,根据关联分析的结果,计算出所述安全数据的风险值,并在计算出的风险值大于预设阈值时,产生并发送告警消息。
[0016]根据本发明的一种基于信息的安全管理平台、系统及方法,采用分层设计,将安全管理平台的关联分析模块和风险计算模块置于安全管理平台的核心处理层,与资产管理、脆弱性管理以及流量管理等模块分开,实现将安全管理平台中的重要模块与非重要模块的区分设置,简化了平台的构建以及数据存储、传输的复杂性,还提高了平台的可维护性和可扩展性。
【专利附图】
【附图说明】
[0017]图1显示了现有技术中的安全管理平台的一实施例的原理图;
[0018]图2显示了本发明优选实施例的基于信息的安全管理平台的原理图;
[0019]图3显示了本发明优选实施例的基于信息的安全管理平台的结构示意图;
[0020]图4显示了本发明优选实施例的信息管理模块的结构示意图;
[0021]图5显示了本发明优选实施例的核心处理模块的结构示意图;
[0022]图6显示了本发明另一优选实施例的基于信息的安全管理平台的结构示意图;
[0023]图7显示了本发明优选实施例的基于信息的安全管理系统的结构示意图;
[0024]图8显示了本发明优选实施例的基于信息的安全管理方法的流程图;
[0025]图9显示了图8中步骤S2的子流程图;
[0026]图10显示了图8中步骤S3的子流程图。
【具体实施方式】
[0027]为使本发明的目的、技术方案和优点更加清楚明了,下面结合【具体实施方式】并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
[0028]图1显示了现有技术中的安全管理平台的一实施例的原理图。
[0029]如图1所示,现有技术中,安全管理平台将资产管理模块、脆弱性管理模块、流量管理模块、关联分析模块和风险计算模块都设置在一个层面,由于每个模块具有不同的重要性,例如,关联分析模块和风险计算模块属于安全管理平台最为核心的模块,而资产管理模块、脆弱性管理模块以及流量管理模块相对最为核心的模块来说所起到的作用会小些,如果笼统地将所有的模块设置在一个层面,会增加平台构建的复杂度,也会降低平台的维护性和扩展性。
[0030]图2显示了本发明优选实施例的基于信息的安全管理平台的原理图。
[0031]如图2所示,本发明中,与现有技术不同的是,按照模块功能大小的差异将安全管理平台中重要模块与非重要模块区分设置,例如,将安全管理平台的关联分析模块和风险计算模块置于安全管理平台的核心处理层,与资产管理、脆弱性管理以及流量管理等非核心模块分开,采用这种分层设计,简化了平台的构建以及数据存储、传输的复杂性,还提高了平台的维护性和扩展性。
[0032]图3显示了本发明优选实施例的基于信息的安全管理平台的结构示意图。
[0033]下面结合图3,说明本发明的基于信息的安全管理平台的优选实施例的结构。
[0034]在本优选实施例中,该平台包括以下部件:数据采集模块1、信息管理模块2以及核心处理模块3。
[0035]数据采集模块1,用于采集安全数据,将采集的所述安全数据发送至信息管理模块
2。数据采集模块I实时采集安全数据,并将所采集到的数据实时发送至信息管理模块2。这里的安全数据,可由代理服务器及各种安全设备产生。其中,Agent及各种安全设备产生的安全数据至少包括Agent、防火墙、路由器/交换机、IPS设备、漏洞扫描设备、防病毒设备、流量管理设备和终端检测设备,这些设备所产生的安全数据至少包括安全告警数据、日志数据和流量数据。
[0036]信息管理模块2,与数据采集模块I相连,用于接收所述数据采集模块I发送的所述安全数据,对所述安全数据进行处理,将处理后的安全数据存储至数据库。信息管理模块2对从数据采集模块I收集上来的安全数据进行处理并根据核心处理模块3的需要为其提供相应的数据。
[0037]其中,信息管理模块2的结构如图4所示,包括归一化处理子模块21、过滤子模块22、归并处理子模块23和统计子模块24。
[0038]归一化处理子模块21,用于将所述数据采集模块I发送的所述安全数据处理成相同格式的数据。具体来说,归一化处理子模块21接收数据采集模块I从Agent、防火墙、路由器/交换机、IPS设备、漏洞扫描设备、防病毒设备、流量管理设备以及终端检测设备等设备上采集的安全告警数据、日志数据以及流量数据等安全数据,对这些数据进行归一化处理,即将从各种设备收集的多种类型的日志、告警和流量信息归一化为相同格式的数据信息,并将归一化处理后的安全数据发送至过滤子模块22。
[0039]过滤子模块22,用于对所述归一化处理子模块21处理后的数据进行过滤,过滤掉无效数据。具体来说,过滤子模块22接收归一化处理子模块21发送的经过归一化处理的安全数据,对该安全数据进行过滤,过滤掉噪音数据和管理员设定的不期望的数据,并将过滤后的安全数据发送至归并处理子模块23。
[0040]归并处理子模块23,用于对所述过滤子模块22过滤后的数据进行归并处理,合并重复数据。具体来说,归并处理子模块23接收过滤子模块22发送的经过过滤的安全数据,对该安全数据进行归并处理,即将从各种设备收集的多种类型的日志、告警和流量信息等数据中重复的数据进行合并,合并大量重复的数据,经过归并处理的数据会存储在数据库,待核心处理模块3需要时,随时调用。
[0041]统计子模块24,用于根据所述归并处理子模块23处理后的数据,生成与所述数据相关的统计图表。经过归一化处理子模块21、过滤子模块22和归并处理子模块23对由数据采集模块I收集的安全数据的处理,安全数据的数据量大为减小,减轻了数据库的存储压力,简化了数据从信息管理模块2到核心处理模块3的传输,还减少了数据在上层处理的时间,同时也提高了核心处理模块3的处理速率和准确性。此时,统计子模块24会根据经过归一化处理子模块21、过滤子模块22和归并处理子模块23处理后的安全数据,实时生成与该安全数据相关的统计图表,该统计图表至少包括资产统计图表、脆弱性统计图表、流量统计图表、入侵防护统计图表、展不列表(TopN列表,即排名前N位的展不列表,N —般取前十位)和事件监视窗口统计图表。
[0042]核心处理模块3,与信息管理模块2相连,用于对所述信息管理模块2处理后的安全数据进行关联分析和风险计算,并根据关联分析和风险计算发出告警消息。核心处理模块3对信息管理模块2处理后的安全数据进行关联分析算法,通过安全数据的资产重要性、漏洞、安全告警、优先级等数据,计算出基于资产的风险值,判断此风险值下是否产生告警,并根据需要生成报表。
[0043]其中,核心处理模块3的结构如图5所示,包括数据获取子模块31、关联分析子模块32和风险计算子模块33。
[0044]数据获取子模块31,用于从所述信息管理模块2获取过滤和统计后的安全数据。数据获取子模块31从数据库获取信息管理模块2存放的安全数据,并将所获取的安全数据发送至关联分析子模块32,由关联分析子模块32对该安全数据进行关联分析。
[0045]关联分析子模块32,用于对所述数据获取子模块31所获取的安全数据进行关联分析。关联分析子模块32对该安全数据的资产重要性、漏洞、安全告警、优先级等数据进行分析,并将分析结果发送至风险计算子模块33。
[0046]风险计算子模块33,用于根据所述关联分析子模块32的分析结果,计算出所述安全数据的风险值,并在计算出的风险值大于预设阈值时,产生并发送告警消息。其中,风险值计算公式为:风险值=事件可靠性*事件优先级*资产重要性/25,事件可靠性取值范围为0-10,优先级为0-5,资产重要性为0-5,风险值计算结果为0-10,系统默认当风险值大于预设阈值O时产生告警,但是此预设阈值可以由管理员手动设置为0-10的任意数值。根据关联分析子模块32的分析结果,风险计算子模块33将计算出的风险值与预设阈值进行比较,判断风险值是否大于预设阈值,并根据判断结果决定是否发送告警消息。具体来说,当风险计算子模块33计算出的风险值大于预设阈值时,表明对应的安全数据存在风险,应及时向管理员发送告警消息;当风险计算子模块33计算出的风险值小于或者等于预设阈值时,表明对应的安全数据是安全的,无需发出告警消息。
[0047]如图6所示,本发明的基于信息的安全管理平台的另一优选实施例的结构还包括界面展示模块4,该界面展示模块4用于展示所述信息管理模块2所统计的安全数据和所述核心处理模块3所发出的告警消息,通过界面展示模块4能够实时查看安全管理平台的每一个模块的处理进程。
[0048]下面结合图7,说明本发明的基于信息的安全管理系统的优选实施例的结构。
[0049]如图7所示,在本发明优选实施例中,基于信息的安全管理系统包括η个数据采集模块并顺序编号为1-1、2_1、3-1至η-1,η个信息管理模块并顺序编号为1_2、2_2、3_2至η-2,一个核心处理模块3 ;其中,所述数所采集模块1-1至η-1与信息管理模块1_2至η_2一一对应,即数据采集模块1-1对应信息管理模块2-1,数据采集模块η-1对应信息管理模块η-2。其中,数据采集模块1-1至η-1用于采集安全数据,将采集的所述安全数据发送至相对应的信息管理模块1-2至η-2 ;信息管理模块1-2至η-2用于接收相对应的所述数据采集模块1-1至η-1发送的所述安全数据,对所述安全数据进行处理,将处理后的安全数据存储至数据库;核心处理模块3,与η个信息管理模块相连,用于对所有所述信息管理模块1-2至η-2处理后的安全数据进行关联分析和风险计算,并根据关联分析和风险计算发出告警消息。具体来说,将各个数据采集模块1-1至η-1采集到的数据分别发送到其对应的信息管理模块1-2至η-2管理,而将各个信息管理模块1-2至η-2的数据都放入同一个核心管理模块3进行关联分析和风险计算的处理,符合告警条件的则产生告警。该管理系统可以根据需要统一进行关联分析设定和风险阈值设定,无需对单个安全管理平台分别配置,简化了管理操作。
[0050]本实施例中的管理系统可对多个安全管理平台进行统一集中管理,相对减小了单个安全管理平台的负荷和管理员的操作,有助于提高单管理平台的使用率和有效性,增强了安全管理平台对网络拓扑变化的适应性。
[0051]下面结合图8,说明本发明的基于信息的安全管理方法的优选实施例的流程。
[0052]在本发明优选实施例中,该方法包括:
[0053]步骤SI,采集安全数据。
[0054]具体来说,在步骤SI中,数据采集模块I实时采集安全数据,并将所采集到的数据实时发送至信息管理模块2。这里的安全数据,可由代理服务器及各种安全设备产生。其中,Agent及各种安全设备产生的安全数据至少包括Agent、防火墙、路由器/交换机、IPS设备、漏洞扫描设备、防病毒设备、流量管理设备和终端检测设备,这些设备所产生的安全数据至少包括安全告警数据、日志数据和流量数据。
[0055]步骤S2,对所述安全数据进行处理,并存储处理后的安全数据。
[0056]在步骤SI中,信息管理模块2接收所述数据采集模块I发送的所述安全数据,对所述安全数据进行处理,将处理后的安全数据存储至数据库。信息管理模块2对从数据采集模块I收集上来的安全数据进行处理并根据核心处理模块3的需要为其提供相应的数据。
[0057]具体来说,步骤S2如图9所示,包括以下子步骤:
[0058]步骤S21,将所述安全数据处理成相同格式的数据。具体地,归一化处理子模块21接收数据采集模块I从Agent、防火墙、路由器/交换机、IPS设备、漏洞扫描设备、防病毒设备、流量管理设备以及终端检测设备等设备上采集的安全告警数据、日志数据以及流量数据等安全数据,对这些数据进行归一化处理,即将从各种设备收集的多种类型的日志、告警和流量信息归一化为相同格式的数据信息,并将归一化处理后的安全数据发送至过滤子模块22。
[0059]步骤S22,对所述数据进行过滤,过滤掉无效数据。具体地,过滤子模块22接收归一化处理子模块21发送的经过归一化处理的安全数据,对该安全数据进行过滤,过滤掉噪音数据和管理员设定的不期望的数据,并将过滤后的安全数据发送至归并处理子模块23。
[0060]步骤S23,对过滤后的所述数据进行归并处理,合并重复数据。具体地,归并处理子模块23接收过滤子模块22发送的经过过滤的安全数据,对该安全数据进行归并处理,即将从各种设备收集的多种类型的日志、告警和流量信息等数据中重复的数据进行合并,合并大量重复的数据,经过归并处理的数据会存储在数据库,待核心处理模块需要时,随时调用。
[0061]步骤S24,根据合并后的所述数据,生成与所述数据相关的统计图表。经过归一化处理子模块21、过滤子模块22和归并处理子模块23对由数据采集模块I收集的安全数据的处理,安全数据的数据量大为减小,减轻了数据库的存储压力,简化了数据从信息管理模块2到核心处理模块3的传输,还减少了数据在上层处理的时间,同时也提高了核心处理模块3的处理速率和准确性。此时,统计子模块24会根据经过归一化处理子模块21、过滤子模块22和归并处理子模块23处理后的安全数据,实时生成与该安全数据相关的统计图表,该统计图表至少包括资产统计图表、脆弱性统计图表、流量统计图表、入侵防护统计图表、展示列表(TopN列表,即排名前N位的展示列表,N—般取前十位)和事件监视窗口统计图表。
[0062]步骤S3,读取存储的处理后的安全数据进行关联分析和风险计算,并根据关联分析和风险计算发出告警消息。
[0063]在步骤S3中,核心处理模块3对信息管理模块2处理后的安全数据进行关联分析算法,通过安全数据的资产重要性、漏洞、安全告警、优先级等数据,计算出基于资产的风险值,判断此风险值下是否产生告警,并根据需要生成报表。
[0064]具体来说,步骤S3如图10所示,包括以下子步骤:
[0065]步骤S31,获取处理后的安全数据。具体地,数据获取子模块31从数据库获取信息管理模块2存放的安全数据,并将所获取的安全数据发送至关联分析子模块32,由关联分析子模块32对该安全数据进行关联分析。
[0066]步骤S32,对获取的所述安全数据进行关联分析。具体地,关联分析子模块32对该安全数据的资产重要性、漏洞、安全告警、优先级等数据进行分析,并将分析结果发送至风险计算子模块33。
[0067]步骤S33,根据关联分析的结果,计算出所述安全数据的风险值,并在计算出的风险值大于预设阈值时,产生并发送告警消息。其中,风险值计算公式为:风险值=事件可靠性*事件优先级*资产重要性/25,事件可靠性取值范围为0-10,优先级为0-5,资产重要性为0-5,风险值计算结果为0-10,系统默认当风险值大于预设阈值O时产生告警,但是此预设阈值可以由管理员手动设置为0-10的任意数值。具体地,风险计算子模块33将计算出的风险值与预设阈值进行比较,判断风险值是否大于预设阈值,并根据判断结果决定是否发送告警消息。当风险计算子模块33计算出的风险值大于预设阈值时,表明对应的安全数据存在风险,应及时向管理员发送告警消息;当风险计算子模块33计算出的风险值小于或者等于预设阈值时,表明对应的安全数据是安全的,无需发出告警消息。
[0068]如上所述,根据本发明的一种基于信息的安全管理平台、系统及方法,采用分层设计,将安全管理平台的关联分析模块和风险计算模块置于安全管理平台的核心处理层,与资产管理、脆弱性管理以及流量管理等模块分开,实现将安全管理平台中的重要模块与非重要模块的区分设置,简化了平台的构建以及数据存储、传输的复杂性,还提高了平台的可维护性和可扩展性。
[0069]应当理解的是,本发明的上述【具体实施方式】仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
【权利要求】
1.一种基于信息的安全管理平台,其特征在于,所述平台包括: 数据采集模块(I),用于采集安全数据,将采集的所述安全数据发送至信息管理模块(2); 信息管理模块(2),与数据采集模块(I)相连,用于接收所述数据采集模块(I)发送的所述安全数据,对所述安全数据进行处理,将处理后的安全数据存储至数据库; 核心处理模块(3),与信息管理模块(2)相连,用于对所述信息管理模块(2)处理后的安全数据进行关联分析和风险计算,并根据关联分析和风险计算发出告警消息。
2.根据权利要求1所述的平台,其特征在于,所述信息管理模块(2)包括归一化处理子模块(21)、过滤子模块(22)、归并处理子模块(23)和统计子模块(24);其中, 所述归一化处理子模块(21)用于将所述数据采集模块(I)发送的所述安全数据处理成相同格式的数据; 所述过滤子模块(22)用于对所述归一化处理子模块(21)处理后的数据进行过滤,过滤掉无效数据; 所述归并处理子模块(23)用于对所述过滤子模块(22)过滤后的数据进行归并处理,合并重复数据; 所述统计子模块(24)用于根据所述归并处理子模块(24)处理后的数据,生成与所述数据相关的统计图表。
3.根据权利要求2所述的平台,其特征在于,所述统计子模块(24)生成的所述统计图表至少包括: 资产统计图表、脆弱性统计图表、流量统计图表、入侵防护统计图表、展示列表和事件监视窗口统计图表。
4.根据权利要求1所述的平台,其特征在于,所述核心处理模块(3)包括数据获取子模块(31)、关联分析子模块(32)和风险计算子模块(33);其中, 所述数据获取子模块(31)用于从所述信息管理模块(2)获取过滤和统计后的安全数据; 所述关联分析子模块(32)用于对所述数据获取子模块(31)所获取的安全数据进行关联分析; 所述风险计算子模块(33)用于根据所述关联分析子模块(32)的分析结果,计算出所述安全数据的风险值,并在计算出的风险值大于预设阈值时,产生并发送告警消息。
5.根据权利要求1所述的平台,其特征在于,还包括: 界面展示模块(4),用于展示所述信息管理模块(2)所统计的安全数据和所述核心处理模块(3)所发出的告警消息。
6.一种基于信息的安全管理系统,其特征在于,所述系统包括:两个或两个以上数据采集模块,两个或两个以上信息管理模块,一个核心处理模块;其中,所述数所采集模块与信息管理模块的数量相同,且一一对应;其中, 数据采集模块,用于采集安全数据,将采集的所述安全数据发送至信息管理模块;信息管理模块,与相对的数据采集模块相连,用于接收相对应的所述数据采集模块发送的所述安全数据,对所述安全数据进行处理,将处理后的安全数据存储至数据库; 核心处理模块,与所有信息管理模块相连,用于对所有所述信息管理模块处理后的安全数据进行关联分析和风险计算,并根据关联分析和风险计算发出告警消息。
7.一种基于信息的安全管理方法,其特征在于,所述方法包括: 步骤SI,采集安全数据; 步骤S2,对所述安全数据进行处理,并存储处理后的安全数据; 步骤S3,读取存储的处理后的安全数据进行关联分析和风险计算,并根据关联分析和风险计算发出告警消息。
8.根据权利要求7所述的方法,其特征在于,所述步骤S2包括: 步骤S21,将所述安全数据处理成相同格式的数据; 步骤S22,对所述数据进行过滤,过滤掉无效数据; 步骤S23,对过滤后的所述数据进行归并处理,合并重复数据; 步骤S24,根据合并后的所述数据,生成与所述数据相关的统计图表。
9.根据权利要求8所述的方法,其特征在于,所述步骤S24包括: 根据合并后的所述数据,生成与所述数据相关的资产统计图表、脆弱性统计图表、流量统计图表、入侵防 护统计图表、展示列表和事件监视窗口统计图表。
10.根据权利要求7所述的方法,其特征在于,所述步骤S3包括: 步骤S31,获取处理后的安全数据; 步骤S32,对获取的所述安全数据进行关联分析; 步骤S33,根据关联分析的结果,计算出所述安全数据的风险值,并在计算出的风险值大于预设阈值时,产生并发送告警消息。
【文档编号】H04L12/24GK104079430SQ201410252108
【公开日】2014年10月1日 申请日期:2014年6月9日 优先权日:2014年6月9日
【发明者】马兴婕, 刘仙凤 申请人:汉柏科技有限公司