中小企業內網信息安全託管方法與系統的製作方法

2023-07-28 01:50:16 2

專利名稱：中小企業內網信息安全託管方法與系統的製作方法
技術領域：
本發明屬於一種安全託管方法與系統T背景技術：
在計算機技術和網絡技術不斷發展的今天，企業的日常經營已經離不開信息網絡，無 論是大企業集團、大型企業，還是中小型企業，甚至是剛起步的創業作坊，都有自己的內 部網絡。儘管網絡使收集市場信息、新技術以及遠程協作與交流變得更加便捷，為企業的 運營與發展帶來了便利。但是，網絡安全卻始終是企業管理的心腹大患。層出不窮的病毒、 越來越不可捉摸的黑客技術以及別有用心的內部僱員，始終在對企業的知識資產構成威 脅。減輕網絡威脅，讓網絡始終是企業發展的工具成了企業管理人員的現實選擇。
對於大企業集團和大型企業來說，因為其多年的技術積累、管控經驗以及財務實力，
有能力購買到最好的網絡安全產品，聘用有經驗的工程師來應對網 絡安全問題；但對於中 小企業來說，網絡安全問題尤為突出，因為依靠其現有的技術能力、有限的人力資源以及 有限的資金預算，是難以解決目前的信息安全問題。
就目前來說，中小企業的內網信息安全， 一般通過部署終端防病毒軟體，並在企業內 網與網際網路接口間部署傳統防火牆設備或UTM (即Unified Threat Management,統一威 脅管理)防火牆設備來應對，未設置信息安全員崗位。此模式下，會引入這些安全隱患 1)傳統型防火牆設備，只能對報文進行檢測，未對內容進行檢測，從而無法防止黑客的 攻擊，也無法阻止利用木馬遠程偷盜企業知識資產；2)部署UTM防火牆，可以提供防 病毒、簡單入侵檢測、VPN (即Virtual Private Network,虛擬專用網)、帶寬管理，比部 署傳統型防火牆在保護內網上有一定的提高，但是，UTM防火牆本身集成了太多的功能， 影響了其整體性能，同時，非專業的防病毒、簡單的入侵檢測，依然無法阻擋病毒與入侵 攻擊，甚至這些功能可能會成為弱點而被非法利用；3)終端防病毒軟體需要經常升級， 維護成本高，且需要人工檢査，以確保各終端均己升級。
部分中小企業會採購成套的內網安全管控系統，並設定信息安全員崗位，用於對內網 進行安全管控。此模式的優點是部署了專門工具軟體用於協助內網安全管理，安排了專 人從事安全管控，有利於提供內網安全性；但其缺點是採購管理系統，需要專項資金； 需要安排專門人員進行日常操作，以便使用該管理系統進行日常管控;需要預留員工薪酬。 此外，還需要後期投入，如升級費用、人員培訓費用等。更糟糕的是，內網安全管控系統 的研發廠家無法從已售出的產品中獲得更多的實際運營經驗，因為許多時候，企業內網安 全出現的問題，被企業內部的安全員所解決了，而其處理過程並不會知會生產廠家。由此 導致廠家無法有效地從用戶側獲得知識，進而提高其產品性能和知識共享。

發明內容
本發明在分析了上述中小企業內網安全管控方法與系統的缺陷和不足後，提出了一種 新的企業內網信息安全託管系統與方法。
本發明的核心思想是構造一個支持報文檢測和資產管控的安全託管系統，用於對企 業側重定向過來的報文進行檢測、以及對企業側通過VPN隧道提交的資產運行狀態數據 進行處理，並對各種異常事件進行單個事件分析、事件鏈分析和風險評估後，基於預設的 安全策略進行響應；本系統提供嚴格的身份認證與數據權限管控，企業級維護人員登錄到 系統後，能且僅能對其內網資產進行安全管控，能且僅能瀏覽與企業內網相關的安全運營 報表。
一種中小企業安全託管系統，包括資產安全管控模塊、報文檢測模塊、安全策略模塊、 終端安全管控模塊、主機安全管控模塊和網絡設備安全管控模塊；
所述資產安全管控模塊，與所述終端安全管控模塊、主機安全管控模塊、網絡設備安 全管控模塊、安全策略模塊和報文檢測模塊相連，用於依據上報的信息構建企業內網資產 運行安全快照、依據預設的安全策略處理安全事件、手工遠程管控內網資產並提供安全運 營報表；
所述報文檢測模塊，與所述資產安全管控模塊和安全策略模塊相連，用於依據所述安 全策略模塊預設的安全策略，處理所述企業的重定向報文，並提交安全事件到所述資產安 全管控模塊；
所述安全策略模塊，與所述資產安全管控模塊和報文檢測模塊相連，用於設定資產安 全基準、事件處理規則、事件響應策略、和應用層協議違規響應策略；
所述終端安全管控模塊，與所述資產安全管控模塊相連，用於收集所述企業內網終端 計算機的運行狀況數據與日誌數據，並提交到所述資產安全管控模塊；接收並處理所述資 產安全管控模塊的控制指令；
所述主機安全管控模塊，與所述資產安全管控模塊相連，用於收集所述企業內網主機 的運行狀況數據和日誌數據，並提交到所述資產安全管控模塊；接收並處理所述資產安全 管控模塊的控制指令；
所述網絡設備安全管控模塊，與所述資產安全管控模塊相連，用於收集並接收所述企 業內網中支持SNMP (即Simple Network Management Protocol,簡單網絡管理協議)協議 的網絡設備的運行狀況數據和SNMP Trap (即簡單網絡管理協議的自陷消息)數據，並 提交到所述資產安全管控模塊；接收所述資產安全管控模塊的控制指令，並轉化為SNMP 指令後，提交到目標網絡設備。
優選地，所述資產安全管控模塊，包括資產快照模塊、漏洞掃描模塊、安全事件管理 模塊、安全監控模塊和安全報表模塊；
所述資產快照模塊，接收所述終端安全管控模塊、所述主機安全管控模塊和所述網絡 設備安全管控模塊上報的數據，並依據上報的數據構建資產的安全運行快照；依據預設的資產安全基線，產生安全事件，並提交到所述安全事件管理模塊；接收所述安全監控模塊 下發的遠程控制消息，並中轉到所述終端安全管控模塊、所述主機安全管控模塊和所述網 絡設備安全管控模塊；
所述漏洞掃描模塊，用於遠程掃描所述企業內網活動信息資產的漏洞信息和網絡拓撲 信息，並將掃描結果提交到所述資產快照模塊；
所述安全事件管理模塊，接收所述資產快照模塊和所述報文檢測模塊提交的安全事 件，並依據預設的策略，自動響應，並通知預設的企業安全管理人員；將安全事件處理的 最終結果提交到所述安全報表模塊；
所述安全監控模塊，接收並展示所述安全事件管理模塊提交的安全告警；提交維護人 員的作業系統到所述資產快照模塊；
所述安全報表模塊，接收所述安全事件管理模塊提交的安全事件，並依據預設的報表 模板自動生成安全運營報表。
優選地，所述報文檢測模塊，包括應用層協議代理模塊、入侵檢測模塊、防病毒模塊 和安全事件客戶端模塊；
所述應用層協議代理模塊，接收所述企業提交的重定向報文，並將報文依次提交到所 述入侵檢測模塊和防病毒模塊，並將代理通過檢測的報文；提交本地安全事件到所述安全 事件客戶端模塊；
所述入侵檢測模塊，接收所述應用層協議代理模塊提交的報文，並基於本地預設規則 對報文進行入侵檢測，提交檢測結果到所述應用層協議代理模塊；提交本地安全事件到所 述安全事件客戶端模塊；
所述防病毒模塊，接收所述應用層協議代理模塊提交的報文，並基於本地預設規則對 報文進行病毒檢測，提交檢測結果到所述應用層協議代理模塊；提交本地安全事件到所述 安全事件客戶端模塊；
所述安全事件客戶端模塊，用於接收所述報文檢測模塊中其它模塊提交的本地安全事 件，並規整化為統一格式後，提交到所述資產安全管控模塊的所述安全事件管理模塊。
優選地，所述終端安全管控模塊、所述主機安全管控模塊和所述網絡設備安全管控模 塊，部署在所述企業的內網中，通過所述企業與所述中小企業安全託管系統間IPSecVPN
(即Internet Protocol Security Virtual Private Network,基於IPSec協議的VPN)隧道，
與所述資產安全管控模塊通信；所述通信消息的內容加密；
所述遠程掃描所述企業內網活動信息資產的漏洞信息和網絡拓撲信息，僅能通過所述 企業與所述中小企業安全託管系統間IPSec VPN隧道進行遠程掃描。
優選地，所述企業的維護人員，僅能瀏覽與所述企業內網資產相關的安全運營報表； 僅能對所述企業內網進行遠程掃描；僅能瀏覽和控制所述企業內網資產；所述企業的維護人員，只能通過所述企業與所述中小企業安全託管系統間IPSec VPN 隧道訪問所述中小企業安全託管系統；所述IPSec VPN隧道，只能由所述企業主動創建。
本發明還提供了一種中小企業內網信息安全託管方法，其核心是首先，企業與安全 服務提供商籤約，租用其文件空間與報文檢測流量容量；其次，在企業內網與公網相連的 邊界網關設備上，將預設的應用層協議報文重定向到安全服務提供商的報文檢測伺服器； 再其次，在所述邊界上，建立與安全服務提供商間的IPSec VPN隧道，通過此隧道下載 並安裝客戶端模塊到內網資產上；最後，通過安全服務提供商的中小企業內網信息安全系 統對本企業的內網資產進行安全管控。
一種中小企業內網信息安全託管方法,其中企業向安全服務提供商租借用於重定向報 文的帶寬，和用於保存報文檢測日誌和報表的文件空間，還包括
(a) 在內網終端和主機上分別提供安全服務提供商所提供的終端安全管控功能和主 機安全管控功能；在至少一臺主機上提供安全服務提供商所提供的網絡設備安全管控功 能，並管控所有支持SNMP協議的網絡設備；
(b) 在出口邊界設備上，將預設協議的報文重定向到安全服務提供商所提供的報文 檢測系統；
(c) 建立到安全服務提供商的IPSecVPN隧道，登錄到位於安全服務提供商網絡中 的中小企業內網信息安全託管系統，並通過此隧道對步驟(a)中的所述終端安全管控功 能、主機安全管控功能和網絡設備安全管控功能進行安全控制。
優選地，安全服務提供商的報文檢測系統對企業的重定向報文進行防攻擊、防病毒檢 測後，並通過應用層協議代理中轉合法報文；所述重定向報文的帶寬僅能使用所述租借帶 寬的容量；以及，
安全服務提供商的所述中小企業內網信息安全系統對企業內網的所述終端安全管 控功能、主機安全管控功能和網絡設備安全管控功能上報的日誌事件信息和運行狀況信息 進行分析，並基於預設安全基準進行響應。
優選地，所述應用層協議代理，包括SMTP代理、POP3代理、HTTP代理、MSN通 信代理和透傳代理，分別用於往來郵件內容檢査、URL過濾、MSN通信內容檢査和透傳 報文；可疑的郵件內容和附件，以及MSN通信報文摘要信息，均以文件形式保存在所述 租借文件空間中。
優選地，所述終端安全管控功能、主機安全管控功能和網絡設備安全管控功能可定製 上報到所述安全服務提供商的所述中小企業內網信息安全系統的信息條目種類與內容;所 述中小企業內網信息安全系統僅允許企業級維護人員査看本企業的內網資產運行安全狀
況；所述中小企業內網信息安全系統向所述企業提供安全運行報表，包括日報、周報、月 報、季報和年報。
優選地，所述安全服務提供商的所述中小企業內網信息安全系統可通過所述步驟(c) 所建立的VPN隧道，遠程掃描內網資產的漏洞信息和網絡拓撲信息；以及，
8所述安全服務提供商的所述中小企業內網信息安全系統在發現安全風險後，及時通知 所述企業預設的安全管理人員。
本發明提供了一種企業內網信息安全託管方法，企業無需採購新的成套的安全管控設 備、也無需設置企業內網安全管理員，但能依賴安全服務運營商提供的現有的產品與服務， 即可獲得專業的安全服務。不但降低了企業的安全維護成本，同時，也提高了企業的內網 安全性。
本發明提供所提供的中小企業安全託管系統中，企業內網信息資產與安全服務提供商 的安全託管系統間的信息交互，全通過企業與安全服務提供商間的IPSec VPN隧道承載， 保證了信息私密性；企業用戶可以定製需要上報的運行事件；同時，企業到安全服務提供 商間的VPN隧道由企業主動維護，增強了企業用戶的自主性；
本發明提供所提供的中小企業安全託管系統中，企業用戶僅能通過其與安全服務提供 商間的VPN隧道登錄到安全託管系統，且僅能瀏覽與控制其相應的內網資產，進一步保 護了企業隱私信息。
本發明提供所提供的中小企業安全託管系統中，可對企業重定向的報文進行防病毒和 入侵檢測，實現了企業與公網間報文內容實時檢測，能對郵件、及時通信、網際網路訪問進 行有效管控。


圖1為本發明所述中小企業內網信息安全託管系統功能框圖
圖2為本發明所述中小企業內網信息安全託管方法流程圖
圖3為本發明所述中小企業內網信息安全託管方法中的事件處理流程圖
具體實施例方式
如圖1所示，為本發明所述中小企業內網信息安全託管系統功能框圖，包括資產管控 模塊M0、報文檢測模塊M1、安全策略模塊M2、終端安全管控模塊M3、主機安全管控 模塊M4、網絡設備安全管控模塊M5和身份認證模塊M6。
其中，終端安全管控模塊M3、主機安全管控模塊M4和網絡設備安全管控模塊M5 供中小企業用戶下載，並安裝在企業的內網的終端、主機和PC伺服器上，用於收集宿主 終端、主機以及受控網絡設備的運行狀態數據，以及接收源自資產管控模塊MO的控制命 令。
資產管控模塊M0、報文檢測模塊M1、安全策略模塊M2和身份認證模塊M6部署 在安全服務提供商受保護機房內。位於企業內網的模塊與位於安全服務提供商側的模塊通過IPSec VPN (基於IPSec協 議的VPN)隧道通信，以實現運行狀態監控和安全管控。
資產管控模塊M0，用於本發明所述中小企業內網信息安全託管系統中的企業內網資 產安全管控，自身可以封裝為獨立服務，以支持企業用戶對其內網資產進行管控。接收並 處理終端安全管控模塊M3、主機安全管控模塊M4和網絡設備安全管控模塊M5提交的 註冊報文和心跳報文；依據安全策略模塊M2配置的響應策略，自動生成響應指令，並下 發到終端安全管控模塊M3、和/或主機安全管控模塊M4、和/或網絡設備安全管控模塊 M5;接收維護人員的配置指令，並下發到終端安全管控模塊M3、和/或主機安全管控模 塊M4、和/或網絡設備安全管控模塊M5;接收並處理報文檢測模塊M1提交的安全事件 數據；接收安全策略模塊M2的響應策略和安全基準數據。
資產管控模塊M0內部包括資產快照模塊MOl、安全事件管理模塊M02、安全報表 模塊M03、安全監控模塊M04和露從掃描模塊M05。
資產快照模塊MOl，與部署在企業內網的終端管控模塊M3、主機安全管控模塊M4 和網絡設備安全管控模塊相連，用於接收並處理這些模塊提交註冊消息和心跳消息；同時， 將控制命令下發到這些模塊。資產快照模塊MOl利用註冊消息和心跳消息構建內網資產 的運行狀況安全快照,並對快照中偏離了預設安全基準的屬性示警並構造安全事件,同時， 依據符合日誌信息過濾條件的日誌數據構建安全事件，並將事件提交到安全事件管理模塊 M02;資產快照模塊MOl同時與漏洞掃描模塊M05和安全監控模塊M04相連，接收並 處理漏洞掃描模塊M05提交漏洞信息、拓撲信息和作業系統指紋信息；接收並處理安全 監控模塊M04提交的控制命令。
安全事件管理模塊M02,與資產快照模塊MOl、報文檢測模塊Ml、安全監控模塊 M04和安全報表模塊M03相連，用於對源自安全資產快照模塊MOl提交的事件、報文檢 測模塊M1提交的安全事件進行處理，包括單個事件處理、事件鏈處理和風險評估處理； 同時，依據安全策略模塊M2的響應策略，將事件以及響應命令提交到安全監控模塊M04， 將所有經處理後的事件提交到安全報表模塊M03。
安全報表模塊M03，與安全事件管理模塊M02相連，用於接收安全事件管理模塊 M02提交的事件，並依據預設的報表模板生成報表；該模塊提供用戶操作界面，以便操 作員定義、修改、刪除報表模板。可以設置為令企業級用戶僅能管理自己內網資產的安全 運營報表。
安全監控模塊M04，與安全事件管理模塊M02和資產快照模塊M01相連，用於接收 安全事件管理模塊M02提交的事件數據和自動響應命令，並將事件數據以聲光示警，同 時，依據響應命令指示，將事件數據以Email、或MSN、或QQ通知到企業管理人；或者， 依據響應命令指示，將命令提交到資產快照模塊MOl，由後者將命令發送到正確的執行 體。
漏洞掃描模塊M05，與資產快照模塊M01相連，用於掃描指定目標設備、和/或目標 網段內的漏洞信息、作業系統指紋信息和網絡拓撲信息，並將掃描到的信息提交到資產快 照模塊MOl。
報文檢測模塊M1，與資產管控模塊M0和安全策略模塊M2相連，用於接收並處理中小企業邊界網關設備提交的重定向報文。將重定向報文經入侵檢測處理、防病毒處理後，通過應用層協議代理透明中轉；在檢測到異常後，產生安全事件，並提交到資產管控模塊M0;報文檢測中產生的日誌文件保存在企業用戶租用的文件空間中。
報文檢測模塊M1內部包括應用層協議代理模塊Mll、入侵檢測模塊M12、防病毒模塊M13和安全事件客戶端模塊M14。
應用層協議代理模塊Mll，與安全事件客戶端模塊M14、防病毒模塊M13和入侵檢測模塊M12相連，用於接收並處理企業邊界網關設備提交的重定向報文。針對源自企業提交的重定向報文，將過入侵檢測處理、防病毒處理後，由不同的應用層協議代理透明中轉報文；針對源自網際網路應用的返回報文，經過入侵檢測和防病毒處理後，才下發到企業的邊界網關設備。合法的邊界網關設備需配置到此模塊，該模塊針對出入報文進行檢測，自動丟棄源地址或目的地址均未登記的報文。本模塊內部集成了SMTP協議代理、P0P3協議代理、HTTP協議代理、MSN代理、QQ代理和不區分協議代理，分別用於處理郵件、WEB頁面瀏覽、及時通信和透明中轉報文。各協議代理在運行時發現異常時，會創建相應的安全事件，並提交到安全事件客戶端模塊M14;應用層協議代理模塊針對報文流量統計信息以安全事件的方式提交到安全事件客戶端模塊M14。
應用層協議代理模塊Mll，中轉報文時，利用令牌桶進行流量控制，源自同一個合法企業的報文，共用一個桶。超過流量閾值的報文，將被直接丟棄。
入侵檢測模塊M12，與應用層協議代理模塊Mil相連，接收應用層協議代理模塊Mil提交的報文，並進行入侵檢測處理。本模塊結束源自安全策略模塊M2提交的檢測規則，對報文進行全局檢測。檢測出攻擊時，產生安全事件，提交到安全事件客戶端模塊M14;同時，請求應用層協議代理模塊Mll中斷當前異常報文所關聯的會話。
防病毒模塊M13，與應用層協議代理模塊M11相連，接收應用層協議代理模塊Mll提交的報文，並進行防病毒處理；防病毒處理的結果保存為日誌文件，內部集成的日誌挖掘功能會定期檢測日誌內容，發現病毒後，產生安全事件，並提交安全事件客戶端模塊M14;同時，請求應用層協議代理模塊M11中斷當前異常報文所關聯的會話。
安全事件客戶端模塊M14，與應用層協議代理模塊Mll、入侵檢測模塊M12和防病毒模塊M13相連，用於接收這些模塊提交的安全事件，並進行格式檢查後，提交到資產管控模塊M0的安全事件管理模塊M02上，由後者對安全事件進行處理。本模塊接收安全策略模塊M2的控制，只上報策略所指定的安全事件。預設時，上報所有安全事件。
安全策略模塊M2，與資產管控模塊M0和報文檢測模塊M1相連，用於維護人員配置不同安全基線、安全事件處理策略、入侵檢測規則、安全事件上報等。將安全基線數據和安全事件處理策略數據提交到資產管控模塊MO;將入侵檢測規則、安全事件上報規則數據提交到報文檢測模塊M1。本發明所述系統級管理員設定的策略，對所有企業級用戶可見；而企業級用戶設定的策略，僅對該企業的其它管理員可見。各企業級用戶必須啟用己選定的策略，預設時，所有策略均未啟用。
終端安全管控模塊M3，與資產管控模塊M0的資產快照模塊M01和身份認證模塊M6相連，用於上報Windows終端的運行狀況，同時，接收資產快照模塊M01的控制命令，實現企業內網終端資產安全管控。利用啟動後採集到硬體信息、鄰居信息和軟體信息構造認證報文，向資產快照模塊MOl申請註冊；同時，利用運行中定期採集到硬體信息、鄰居信息、軟體信息和挖掘到的日誌信息構造心跳報文，向資產快照模塊MOl匯報運行狀況。可選地，終端安全管控模塊M3向身份認證模塊M6不定期發起身份認證，只有身份認證通過後，終端安全管控模塊M3才進入正常工作態，否則，會鎖定終端，導致終端不可用。
主機安全管控模塊M4，與資產管控模塊M0的資產快照模塊M01和身份認證模塊M6相連，用於上報主機的運行狀況，同時，接收資產快照模塊M01的控制命令，實現企業內網主機類資產安全管控。本模塊首先向身份認證模塊M6發起身份認證請求，身份驗證互通過後，才向資產快照模塊M01註冊和上報心跳信息。註冊信息包括採集到的硬體設備和軟體信息;心跳信息包括定期採集到的硬體信息、軟體信息和過濾出的日誌信息。主機安全管控模塊M4允許管理人員對註冊消息和心跳信息的內容進行定製，以便屏蔽部分進程與服務信息。
網絡設備安全管控模塊M5，與資產管控模塊M0的資產快照模塊M01和身份認證模塊M6相連，用於上報所轄管的各網絡設備的運行狀況，同時，接收資產快照模塊M01的控制命令，轉化為標準SNMP命令後，提交到目標網絡設備，實現對目標設備的安全管控。本模塊可以管控多個支持SNMP協議的網絡設備。本模塊在啟動後，立即向身份認證模塊M6申請身份驗證，驗證通過後，採集本模塊的宿主機器的硬體信息和軟體信息，並以這些信息為基礎，構造註冊報文，向資產快照模塊MOl註冊；同時，依據預設的順序與時間頻率，採集各網絡設備的運行狀態數據，並上報到資產快照模塊MOl，該資產快照模塊MOl將以此類狀態數據構建網絡設備的運行狀態快照；接收網絡設備的SNMPTrap (簡單網絡管理協議自陷)消息，並格式化後保存到緩存區，該緩存區的信息將定期提交到資產快照模塊MOl。
身份認證模塊M6，與終端安全管控模塊M3、主機安全管控模塊M4和網絡設備安全管控模塊M5相連，用於對部署在企業內網的各模塊進行節點身份驗證；同時，對企業管理員登錄到本發明所述系統時，進行用戶身份驗證。本模塊預設地採用PKI機制的X509數字證書節點雙向認證方式對節點進行身份認證;採用X 509數字證書用戶單向認證方式對用戶身份進行驗證。身份認證成功後，本模塊請求防火牆系統放開客戶端到本發明所述系統服務間的通信通路；定期檢測節點和用戶的在線狀態，發現不足線後，立即請求牆防火牆系統關閉客戶端到本發明所述系統服務間的通信通路。
如圖2所示，為本發明所述中小企業內網信息安全託管方法流程圖，包括如下步驟
步驟S1:安裝內網安全管控軟體，包括從安全服務提供商的服務網絡下載Windows終端安全管控軟體、Linux主機安全管控軟體、Unix主機安全管控軟體、Windows主機安全管控軟體、網絡設備安全管控軟體，並分別安裝到終端計算機、主機以及空閒計算機上。
在執行本步驟前，企業必須與安全服務提供商籤訂協議，就租借重定向報文流量檢測用帶寬容量以及保存安全報表、安全檢査日誌用的文件空間容量達成一致，並獲得安全服務提供商為其分配的VPN客戶端接入用用戶名/密碼，安全託管系統管理員用戶/密碼；以及通用的VPN伺服器IP位址、安全託管系統IP位址等。
企業用戶在獲得上述接入信息後，首先利用VPN客戶端用戶名/密碼，成功建立到安全服務提供商網絡的IPSecVPN後，通過此VPN隧道訪問安全託管系統，並從其Web站點上下載終端安全管控軟體、主機安全管控軟體和網元安全管控軟體。
所述終端安全管控軟體，即本發明所述中小企業內網信息安全託管系統中的終端安全管控模塊M3，僅支持Windows類終端安全管控，內部包括軟體白名單管控、文件防護管控、安全操作日誌檢索、以及資產管控功能。在安裝時，自動生成本地軟體白名單，白名單管控與文件防護功能模塊為驅動程序，隨作業系統自動加載；白名單內容與文件管控的目標文件均自動上報到安全託管系統上，以便企業維護員通過該安全管控系統集中控制其內網中的Windows終端；文件防護管控自動保護白名單驅動、白名單文件不受非授權進程訪問，即終端用戶不能訪問這些文件。終端安全管控軟體啟動時，會主動上報資產信息，包括硬體信息，如CPU、內存、硬碟、監視器、網絡適配器、顯卡等在Windows的"設備管理器"中列表的硬體資產信息；用戶信息，包括用戶與群組信息；服務信息，包括服務名、狀態、進程號、描述、可執行文件長文件名等；活動埠，包括埠號、協議；活動連接，包括本地IP、本地埠、對方IP、對方埠、協議；共享目錄信息；網絡配置信息；鄰居信息，包括MAC (即Media Access Control,介質訪問控制)地址、IP位址；活動進程信息，包括進程名、進程IP、進程關聯模塊信息；啟動組信息，包括註冊表項、名稱和帶絕對路徑的可執行文件名；內核模塊信息，包括短文件名、長文件名；所有這些信息，通過WMI (即Windows管理接口)或windows內核函數獲取，並提交安全服務提供商側的中小企業內網信息安全託管系統，該系統將以終端安全管控軟體提交的數據，重建資產運行快照；同時，在該系統上，除了硬體資產外，企業維護員可以對軟體資產進行管控，包括關閉服務、結束進程、關閉連接、關閉共享等。終端安全管控軟體需要以管理員身份運行。
所述終端安全管控軟體，在運行過程中，定期向安全服務提供商的中小企業內網信息安全託管系統匯報心跳信息，該心跳信息中除了包含啟動時上報信息所包含的內容項外，還包括從運行日誌中檢索出的日誌，包括時間、作業系統事件ID、事件描述等，並將其轉化為統一的日誌事件格式，包括探測器(終端安全管控軟體)、事件標誌(作業系統事件ID)、時間(作業系統事件時間)、源IP (終端IP或從日誌條目中過濾而來的源IP)、源埠 (ANY或從日誌條目中過濾而來的源埠)、目標IP (終端IP或從日誌條目中過濾而來的目標IP)、目標埠 (ANY或從日誌條目中過濾而來的目標埠)、事件內容(事件描述)。日誌檢索採用LUA正則表達式，對需要關注的每個事件，定義一個不同的LUA正則表達式。
所述主機安全管控軟體，即本發明所述中小企業內網信息安全託管系統中的主機安全管控模塊M4，包括Windows主機安全管控、Linux主機安全管控和Unix主機安全管控共3大類。這類軟體需要首先在安全服務提供商的中小企業內網信息安全託管系統上為其頒發數字證書，否則，此類軟體與所述中小企業內網信息安全託管系統間不啟用X509節點認證。主機安全管控軟體啟動時，會將本地運行環境信息上報到所述中小企業內網信息安全託管系統；同時，通過所述中小企業內網信息安全託管系統，可以對運行環境信息進行控制，包括強制終止進程、清理磁碟文件、關閉活動連接、強制用戶下線、重啟服務等。這裡所述的運行環境信息，包括負載信息，內含磁碟容量以及負載、內存容量以及負責、CPU容量以及負載、網絡容量以及負載；活動埠信息，內含埠號、進程號；活動進程信息，內含CPU消耗、內存消耗、執行命令名、啟動用戶名、關聯的模塊名(長文件名以及SOCKET)等；活動用戶信息，內含用戶名、終端名、IP位址、上線時間等；活動連接信息，內含本地IP、本地埠、遠端IP、遠端埠和活動狀態；安全操作日誌信息，內含時間、用戶名、IP位址、結果描述等；所有信息，均採用API函數而非SHELL命令採集。
所述主機安全管控軟體，在正常運行中，還定期上報主機的狀況信息，該信息中除了啟動時上報信息中的內容項外，還包括從安全操作日誌、作業系統運行日誌中通過字符串比較匹配的日誌條目信息，內含時間、操作結果、操作內容的描述；並將其轉化為統一的日誌事件格式，包括探測器(主機安全管控軟體)、事件標誌(依據匹配的關鍵字找到的事件ID)、時間(作業系統事件時間)、源IP (主機IP或從日誌信息中過濾而來的源IP)、源埠 (ANY或從日誌信息中過濾而來的源埠)、目標IP (主機IP或從日誌信息中過濾而來的目標IP)、目標埠 (ANY或從日誌信息中過濾而來的目標埠)、事件內容(操作結果與操作內容的併集)。日誌事件採集也是利用LUA (即LUA語言)正則表達式提取內容。
所述網元安全管控軟體，也就是網絡設備安全管控軟體，即本發明所述中小企業內網信息安全託管系統中的網絡設備安全管控模塊M5，用於管控企業內網的網絡設備，包括路由器、交換機和防火牆等支持SNMP協議的設備。該網元安全管控軟體獨立部署在至少一臺主機上，用以能管控不同子網段的網絡設備。網元安全管控軟體同前邊的終端安全管控軟體、主機安全管控軟體相比， 一套網元安全管控軟體可以管控多個網絡設備。網元安全管控軟體通過SNMP協議採集受監控設備的運行狀況數據，內嵌了主流廠商，如華為、H3C、思科、D-Link公司已公開的MIB庫。同時，接收設備的SNMPTrap消息。在配置受管控網絡設備的IP位址時，只能配置其管理口的IP位址；網元安全管控軟體同時支持CLI (即Command Line Interface,命令行接口 )命令採集設備的運行狀態數據；但啟用CLI方式時，必須配置受管控設備的廠家、設備型號，因為CLI命令是與不同廠家不同型號的設備緊耦合的。
所述網元安全管控軟體啟動後，自身向所述中小企業內網信息安全託管系統發送狀態消息，該消息同所述終端安全管控軟體上報的資產信息內容一致；在隨後的運行中，會基於預設的頻率間隔，採集各受控網絡設備的運行數據，如網絡吞吐量、CPU負載、內存負載等，同時，將當前時間界隔內該設備的SNMPTrap消息，解析成固定格式的事件數據，包括探測器(網元安全管控軟體)、事件標誌(依據SNMPTrap消息內容檢索事件標識表所得)、時間(事件時間)、源IP (網元IP或從SNMP Trap內容中過濾而來的源IP)、源埠 (ANY或從Trap內容中過濾而來的源埠)、目標IP (網元IP或從SNMP Trap內容中過濾而來的目標IP)、目標埠 (ANY或從SNMP Trap內容中過濾而來的目標埠)、事件內容(SNMP Trap轉化成的字符串)，上報到所述中小企業內網信息安全託管系統。通過中小企業內網信息安全託管系統的操作界面，管理員可以手工提取指定網絡設備的業務級數據，如路由表、生成樹以及規則等。同時，可指定是否對設備的配置信息進行完整性驗證，網元安全管控軟體將定期採集指定了完整性驗證的網絡設備的配置數據，並進行比較，發現變更時，將立即創建日誌事件，其緩存到日誌事件隊列中。所述日誌事件隊列由多個子隊列組成，所有子隊列的頭節點為受管控設備的IP位址標識。
同時，所述網元安全管控軟體內嵌了 syslog (即syslog協議)服務功能，只要開啟了該功能，可以將支持syslog協議的設備的syslog日誌強制上傳到該網元安全管控軟體所在的宿主機上； 一旦開啟了 syslog服務功能，則日誌解析功能自動開啟。進一步地，所述網元安全管控軟體同時還集成了 TFTP (即Trivial File Transfer Protocol,簡單文件傳輸協議)服務功能， 一旦開啟本TFTP服務，則可以要求支持TFTP協議的設備將本地日誌上傳到本網元安全管控軟體所在的宿主機上。該功能依據預設的過濾規則(即LUA正則
14表達式)，從所述上傳的日誌條目中過濾內容， 一旦過濾到了內容，則構造日誌事件，包括探測器(網元安全管控軟體)、事件標誌(依據日誌條目內容所匹配的過濾條件而定)、時間(日誌發生時間)、源IP (日誌來源機器的IP)、源埠 (ANY或從日誌內容中過濾而來的源埠)、目標IP (日誌來源機器的IP或從日誌內容中過濾而來的目標IP)、目標埠 (ANY或從日誌內容中過濾而來的目標埠)、事件內容(日誌描述)，並緩存到日誌事件隊列中，所述網元安全管控軟體會以恆定間隔讀取該隊列中的內容，並上報到所述中小企業內網信息安全託管系統上。只有上報成功，才將緩存區中的日誌事件條目清除;一旦緩存區滿，則轉存到本地文件，並清空緩存區內容；轉存的文件在發現所述中小企業內網信息安全託管系統可達時，將立即上傳。
步驟S2:重定向外出報文到報文檢測服務系統；企業管理員在其內網與公網間的邊界設備上，將預定的應用層協議報文重定向到所述中小企業內網信息安全託管系統的報文檢測服務系統，由該系統對重定向的報文進行檢測。
所述報文檢測服務系統，即本發明所述中小企業內網信息安全託管系統中的報文檢測模塊M1，該模塊可以獨立部署，從而對外表現為獨立為報文檢測服務系統。
如果邊界設備支持按協議重定向，如應用級網關設備，可以將指定協議(或不區分協議)的報文重定向到報文檢測服務系統；如果所有邊界設備均不支持報文重定向，則需要首先建立到報文檢測服務系統的VPN隧道，該隧道採用IP-over-IP (即IP封裝IP)方式封裝報文，然後通過此隧道外發所有報文；利用VPN隧道傳送外發報文時，可能在報文流量大時，會影響性能，因此，需要依據實際情況，建多條隧道，同時，重新規劃企業內部拓撲結構，通過設置不同的路由關係，在內網主動分流到不同隧道。
企業提交的重定向報文的流量，不能超過其租借的流量容量。安全服務提供商側的報文檢測系統，通過令牌桶機制限制中轉流量，如果超過了租借的流量容量，則直接丟棄超過容量的報文。
位於安全服務提供商機房的報文檢測系統收到重定向報文後，首先會對源端，和/或目的端進行驗證，只處理源端或目的端IP已註冊的報文，其它報文將直接丟棄；然後將報文依據依次提交到內部不同應用層協議代理模塊Mll。
應用層協議代理包括SMTP協議代理、POP3協議代理、HTTP協議代理、MSN代理、QQ代理和不區分協議代理，分別用於網絡郵件管控、基於網頁的訪問管控、及時通信管控和未分協議的簡單管控。預設時，應用層協議報文會提交到相應的應用層協議代理上，但是企業管理員可以指定報文檢測系統只單獨處理部分協議，如HTTP協議，而其它協議都提交到不區分協議代理。
SMTP協議代理和P0P3協議代理採用相似的處理機制首先基於協議解碼活動郵件內容，然後對外出郵件，基於關鍵字進行過濾，如果過濾到信息，則 郵件內容寫入租用的文件空間；如果過濾到核心機密級的內容，則保存內容到文件空間，同時，產生告警信息，並不中轉此郵件；針對郵件中的附件，簡單地保存到文件空間，以便人工審計，附件內容不進行解碼；最後透傳報文。
HTTP協議代理首先記錄協議頭域信息；然後基於預設的URL黒名單，直接丟棄報文；然後基於預設的時間段與客戶段關係策略，直接丟棄違規訪問；並最終透傳HTTP報文。所有頭域信息以XML文件格式，依據時間段，保存到文件空間上。
MSN代理和QQ代理採用類似的處理機制記錄源端的IP位址、並更新其在線時間與消息發送頻率；可選地，將談話[^容以及往來附件保存到文件空間；最後透傳報文。因為MSN和QQ的談話內容均是加密的，預設是不保存談話信息。
不區分協議代理只簡單記錄源端IP、源端埠、協議、目標IP、目標埠和報文長度信息，並透明中轉報文；
應用層協議代理在處理往來報文前，先進行入侵檢測和防病毒處理。報文首先提交到入侵檢測模塊M12，該模塊自身為NIDS (即Network Intrusion Detection System,網絡入侵檢測系統)，可對報文基於已知規則的入侵檢測處理。入侵檢測模塊M12檢測到確定的攻擊特徵後，直接通知應用層協議代理模塊M11關閉與之關聯的會話，並產生告警事件；如果檢測到攻擊特徵但不確定時，則只產生告警事件；報文隨後會提交到防病毒模塊M13，該模塊自身為防病毒系統，內嵌的處理模塊會實時採集防病毒系統的運行日誌(利用正則表達式提取內容)，發現病毒時，同樣會產生告警，並要求應用層協議代理模塊Mil關閉與之關聯的活動會話。
報文檢測系統內產生的告警，通過其內部的安全事件客戶端模塊M14提交到資產管理模塊M0。安全事件客戶端模塊M14首先檢査其它模塊提交的事件格式是否正確，然後添加上提交時間屬性後，通過有名管道或網絡接口提交到資產管理模塊MO。事件的屬性包括探測器(具體模塊標識)、事件標誌(具體事件標識)、時間(事件時間)、源IP (探測器依據具體事件填寫，事件的源IP位址)、源埠 (ANY或具體埠)、目標IP (探測器依據具體事件填寫，預設首選目標IP位址，無目標IP位址時為源IP位址)、目標埠(ANY或具體埠)、事件內容(由探測器依據實際情況填寫的事件內容)。
報文檢測系統模塊Ml所用的IDS (即Intrusion Detection System,入侵檢測系統)策略，可以由企業維護人員通過安全策略模塊M2設置；保存的文件處理策略，以及上報的安全事件策略都是由企業維護人員設定的，安全服務提供商可以通過安全策略模塊M2設定對所有企業均適用的此類策略，但企業的維護人員可以對這類策略進行控制，如不啟用。各企業自行設定的策略只對該企業的重定向報文檢測有效。
步驟S3:內網安全管控，企業管理人員可通過VPN隧道登錄到安全服務提供商的企業內容信息安全託管系統，對其內網IT資產進行安全管控。
企業管理人員首先建立到安全託管系統的IPSec VPN隧道，然後檢測安裝在內網的終端安全管控軟體、主機安全管控軟體和網絡設備安全管控軟體的日誌，確定此類軟體能通過該的IPSec VPN隧道提交報文到安全託管系統，即在日誌中未出現"等待服務端響應超時"或"數據發送失敗"類提示。預設地，該IPSec VPN隧道是一直存在的。
企業管理人員將保存有身份信息的硬體裝置，如USB KEY,連接到計算機，並通過瀏覽器訪問安全託管系統，在"認證方式"中選擇"USBKEY"，並輸入企業編號、企業密碼、管理員名和密碼；
安全託管系統上的Web插件會以當前的企業編號、企業密碼、管理員名和密碼以及隨機數為基準值，利用MD5算法計算其HASH (即哈希)值後，調用USBKEY的籤名
16接口，對HASH值進行籤名；並以基準值、籤名後的HASH值為內容，構造認證報文， 並調用USBKEY的加密接口，對認證報文內容加密；最後將加密後的認證報文發送到安 全託管系統的身份認證模塊M6。在USB KEY上，集成了 PKI(即Public Key Infrastructure, 公鑰基礎設施)支持晶片，該晶片內保存了用戶身份的私鑰和安全託管系統的公鑰數據， 籤字與加密均在片上進行，外界無法導出私鑰數據。USB KEY可以採用市場上現成的PKI 支持晶片即可實現此功能。
安全託管系統的身份驗證功能模塊M6在收到用戶認證報文後，首先以自身公鑰解密 報文內容，並提取到企業編號和用戶名後，檢索數據表，以獲取該用戶的公鑰數據；並用 獲得的公鑰數據解籤，得到原始HASH值；同時，利用MD5 (艮卩Message Digest Algorithm 5，信息摘要算法5 )算法，計算認證報文內容的HASH值，只有原始HASH值與計算 HASH值一致時，才確認身份成功；並生成動態配置規則，要求防火牆放開該用戶對安全 託管系統內部服務的報文通路。報文中的密碼，本身為通過MD5後的計算值，保存在數 據庫中的密碼，同樣是MD5計算值。
企業管理人員成功登錄到系統後，可對其內部網絡的IT資產進行管控，包括瀏覽拓 撲圖、査看資產安全狀態、査看安全事件、修改白名單、關閉進程和服務、強制用戶下線、 漏洞掃描、拓撲掃描、設定各類策略、打補丁以及重啟系統等。管理人員還可以對自己租 用文件空間中保存的文件進行處理，包括檢索、瀏覽、刪除和下載；管理人員還可以在安 全報表服務窗査看由安全託管系統提供的安全報表，同時，在未超過報表類型定額數時， 還可以定義自己的報表，並指定報表權限以及發送策略。
安全託管系統的資產安全管控模塊M0接收並處理企業內網中終端安全管控模塊 M3、主機安全管控模塊M4和網絡設備安全管控模塊M5的註冊報文、心跳報文以及事 件報文；接收並處理報文檢測模塊M1提交的事件；接收並處理操作用戶的控制操作。
源自終端安全管控模塊M3、主機安全管控模塊M4和網絡設備安全管控模塊M5的 報文，提交到資產快照模塊M01後，該模塊針對每個註冊報文，首先測試該IP位址與 MAC (即Media Access Control,介質訪問控制)地址信息確定的資產是否己存在，如果 是新資產，則依據其IP位址和MAC地址構建一個新資產，並以新資產為當前資產；否 則，以檢索到的資產為當前資產；然後，利用註冊報文中的硬體信息，填充當前資產的硬 件屬性;以用戶信息填充當前資產的用戶信息屬性;以服務信息填充當前資產的服務屬性； 以活動連接信息填充當前資產的活動連接屬性；以網絡配置信息填充當前資產的網絡配置 屬性；以活動進程信息填充當前資產的活動進程屬性；以啟動組信息填充當前資產的啟動 組屬性；以內核模塊信息填充當前資產的內核模塊屬性；以鄰居信息更新當前資產與鄰居 資產間的連接關係屬性，並重繪資產間的連接線；鄰居信息同樣用來發現新資產，如果由 鄰居信息(IP、 MAC地址)確定的資產不存在，則表示發現了一個新資產節點。
利用註冊信息構造資產的運行快照時，可立即發現資產內部變更信息，包括屬性內容 增加、修改和被刪除，同時，還可以通過比較屬性的當前值與安全基準間的差距，對偏離 發出告警。告警事件包括探測器(資產快照模塊)、事件標誌(依據實際情況生長，可為 硬體變更、軟體變更、違反基線或發現新資產)、時間(當前時間)、源IP位址(資產的 實際IP位址)、源埠 (NULL)、目標IP (NULL)、目標埠 (NULL)、事件內容(具 體描述)、資產標識(當前資產的內部標識)、接收時間(當前時間)、可信度(10)、處理 標誌(1)和處理策略(NULL)。同樣地，資產快照模塊MOl針對終端安全管控模塊M3、主機安全管控模塊M4和網 絡設備安全管控模塊M5提交的心跳報文，除了同進行註冊報文一樣地處理外，對心跳報 文中的日誌事件條目，進行單獨處理，包括首先構造內部事件，並從日誌事件的探測器、 事件標誌、時間、IP位址、埠、事件內容的屬性直接拷貝到新構造的內部事件的相應 域，同時，為內部事件附加上資產標識(當前資產的內部標識)、接收時間(當前時間)、 可信度(0)、處理標誌(0)和處理策略(NULL);然後，依據預設的與該資產相關的日 志敏感字過濾條件，對當前新構造的內部事件進行過濾，如果符合過濾條件，則依據過濾 條件更新可信度和處理標誌。預設地，如果可信度大於5，則處理標誌直接修改為l，用 於提示該事件已經確信為異常事件，後邊的模塊會加快對此類事件的處理。最後，將新構 造的事件的編號保存到資產相應的日誌事件列表中，同時，如果可信度大於5，則該事件 標識顯示為紅色，提醒維護人員注意。
資產快照模塊M01所產生告警事件，或內部事件，會提交到安全事件管理模塊M02。 安全事件管理模塊M02對源自資產快照模塊M01 、報文檢測模塊Ml提交的各類事件， 進行統一處理。
同時，資產快照模塊M01接收漏洞掃描模塊M05的掃描結果，並利用掃描所獲得的 漏洞數據，更新當前資產的漏洞列表；利用掃描獲得的網絡節點數據以及鏈路數據，更新 節點以及節點間連接信息，同時，更新拓撲圖。 一旦發現了新的節點或連接關係，則立即 構造告警事件，同時，以特殊顏色展示新節點和連接，以警示維護人員。資產快照模塊 M01接收來自維護人員在安全管控模塊M04上的發起的控制指令，如強制用戶下線、關 閉進程或服務、提取文件等，並通過與對應目標資產間現有的活動通道，下發到終端安全 管控模塊M3、和/或主機安全管控模塊M4、和/或網絡設備安全管控模塊M5上。
漏洞掃描模塊M05中集成了漏洞掃描功能模塊，如Nessus工具；集成了埠掃描功 能，如Nmap工具；集成了作業系統指紋識別，如POf工具；集成了鏈路層發現功能，如 CDP (即Cisco Discovery Protocol,思科發現協議)和SNMPMIB (即SNMP Management Information Base, SNMP管理信息)庫；集成了 IP子網掃描功能；以及其它功能，如 ARPWatch工具、私通外網檢查工具等。可以對指定目標、指定網絡進行遠程掃描，以便 發現漏洞以及網絡拓撲。維護人員成功登錄到安全託管系統後，可使用此模塊的功能對自 己的內網進行掃描。
安全託管系統允許授權的安全服務提供商級的維護人員査看預設企業的所有信息，包 括拓撲圖、安全策略、以及安全報表；但是，不允許訪問企業所租用文件空間中的文件。 此類文件僅允許企業級操作員訪問。
內網安全管控中，針對各類事件的處理是本步驟的核心，通過對各類事件進行安全分 析後，計算出安全風險，從而指導維護人員正確地對內網進行安全管控。事件的處理流程 圖如圖3所示，包括
步驟S31:事件預處理。預處理主要用於事件數據檢測以及事件處理規則檢索，以加
快事件處理。
安全事件管理模塊M02針對源自資產快照模塊M01的己標準化的內部事件，直接寫 入本地事件緩存池，而對源自報文檢測模塊Ml提交的事件，在該事件後附加資產標識(依 據事件的IP位址査找到的內部標識)、接收時間(當前時間)、可信度(0)、處理標誌(0)
18和處理策略(NULL)後，再寫入本;&事件緩存池。
針對事件池中的每條事件，首先測試資產標識是否為空，如果為空，則填寫該事件的 處理策略為(NULL),即不進行任何處理；否則，依據事件的探測器屬性和事件標識屬 性為條件，在事件處理策略中檢索相應的處理策略。當處理策略存在多條時，選擇最高優 先級的策略為處理策略；如果最高優先級相同，則生效時間最新的策略為處理策略。處理 策略包括策略編號、策略名稱、探測標識、事件標識、生成時間、生效時間、優先級別、 處理標誌等屬性。其中處理標識包括單事件處理標誌、事件鏈處理標誌和風險評估標誌。 處理策略的優先級將附加在事件數據的後邊，表示為該事件的優先級。所述優先級為0 5級，5級為最高級。
在本發明中，所有的事件都是由探測器產生並上報的，因此，可以控制事件的類型(即 事件標識)，從而，可以為所有事件類型設定處理策略。處理策略由本發明所述系統啟動 時初始化，授權的企業維護人員可以修改此類策略，以符合自己企業的現狀。
步驟S32:事件獨立處理。事件獨立處理是對單個事件進行分析。
如果事件處理策略的單事件處理標誌為真，則需要對當前事件進行獨立分析，主要是 漏洞關聯分析和資產關聯分析。
漏洞關聯分析是將事件與資產上的漏洞列表進行關聯，如果關聯成功，則提高該事件 的可信度。否則，事件獨立處理結束。資產關聯分析是在漏洞關聯分析後，確認了事件與 漏洞關聯時,再將漏洞的觸發條件與資產的實際運行狀況相比較，以驗證該漏洞能否觸發， 從而進一步提高事件的可信度(關聯成功)或降低可信度(關聯失敗)以消除虛警告。漏 洞關聯分析與資產管理分析僅處理事件標誌為0的事件。
漏洞關聯分析描述如下在預設的漏洞與事件關聯表中，檢索出當前事件標識所關聯
的所有漏洞標識(此關係表手工維護，對每一個系統支持的新事件、新漏洞，都需要增加
漏洞、事件關係)；然後比較目標資產(事件的資產標識屬性確定)上的漏洞列表是否與 檢索出來的漏洞集合存在交集，如果不為空，則關聯成功，事件的可信度提高到5;否則，
事件的可信度保持不變，並結束事件獨立處理。
資產關聯分析描述如下在漏洞關聯分析中所確定的漏洞交集中，針對每個漏洞，從 漏洞基礎信息表(該表手工維護，用於保存漏洞的基本信息，包括漏洞編號、名稱、操作 系統及其版本、應用及其版本、埠、協議、後果等)檢索出作業系統及其版本、應用及 其版本、埠和協議，並組成集合A;首先，測試目標資產(由事件的資產標識所確定) 的作業系統及其版本是否包含在集合A所確定的作業系統及其版本中，如果是，則事件 的可信度增l，如果不匹配，則事件可信度置O，並結束資產關聯；其次，測試目標資產 上關係對有交集，如果有，則事件的 可信度不變，否則，埠與協議不匹配，事件可信度置O，並結束資產關聯；最後，測試 目標資產上的應用及其版本是否與集合A所確定的應用及其版本相匹配，如果匹配，則
事件的可信度置io，否則，可信度置o。
步驟S33:事件鏈處理。事件鏈處理主要用於將當前待分析事件與己知的事件鏈規則
進行匹配，從而挖掘出新事件。如果事件處理策略的事件鏈處理標誌為真，則需要對當前事件進行事件鏈關聯分析。 事件鏈關聯分析主要用於基於己知事件鏈上的前導事件，推導出新的事件，從而提前預報， 警示維護人員採取措施。
事件鏈處理的內部處理流程描述如下
步驟l:基於經驗積累的、網絡公開的、以及第三方工具的事件鏈規則，構造適合本 發明推理用的事件鏈規則。本發明中，事件鏈總有一個入口事仵，即根事件，該事件是事 件鏈中的首個事件；根事件下有多個分支，各分支可導致不同的新事件。因此，事件鏈總 是組織成樹型結構。此樹型結構不是一棵標準的樹，因為可能存在環，即不同的前導事件 可能會推導出同一個事件。
規則屬性包括新事件標識、新事件描述、新事件可信度、待分析事件的事件標識、 待分析事件的探測器、時間間隔、統計值、待分析事件的源IP、待分析事件的源埠、 待分析事件的目標IP、待分析事件的目標埠、源IP規則、源埠規則、目標IP規則、 目標埠規則、層次、子節點指針等屬性。
步驟2:測試當前事件是否從屬於當前己活動事件鏈的後續事件；將當前事件與緩存 區中所有活動的事件鏈規則樹上的所有活動規則比較，如果匹配，則事件鏈處理結束，並 產生新事件；同時，將當前事件的源IP、源埠、目標IP和目標埠的內容保存到規則 的待分析事件的源IP、待分析事件的源埠、待分析事件的目標IP、待分析事件的目標 埠中；且修改當前事件鏈規則的活動規則鏈，將當前匹配規則的所有子節點插入活動規 則鏈中，將當前匹配規則從活動規則鏈中刪除。否則，轉步驟3。
進行活動規則匹配時,首先驗證當前事件的探測器和事件標誌是否被某個活動規則所 要求的探測器和事件標誌集所包含，如果包含，則頂層匹配成功；然後，依據規則的底層 匹配約束(源IP規則、源埠規則、目標IP規則、目標埠規則)的內容，將當前事件 的源IP、源埠、目標IP和目標埠與底層匹配約束所指示的事件鏈上己有事件的相應 屬性進行比較，如果比較結果為真，才是事件與規則匹配成功。
所產生的新事件，其事件標識、事件內容和可信度來自規則所定義的新事件標識、新 事件描述和信事件可信度，探測器(安全事件管理模塊)、時間(當前時間)夕卜，其它屬 性直接拷貝當前事件的相應屬性內容；新事件寫入事件池，以便對該事件進行分析。
緩存區中的事件鏈規則樹，會在活動規則鏈為空，或存活時間失效後，被自動清除掉。
步驟3:測試當前事件是否屬於事件鏈的入口事件。將當前事件與系統所有的預設的 事件鏈規則的根規則進行比較，如果匹配成功，則當前事件為特定事件鏈的根事件，將當 前匹配的事件鏈規則樹拷貝到緩存區中，同時，將當前事件的源IP、源埠、目標IP和 目標埠的內容保存到事件鏈規則樹上根規則的待分析事件的源IP、待分析事件的源端 口、待分析事件的目標IP、待分析事件的目標埠中；且將根規則的所有子節點插入活 動規則鏈中。
事件與根規則比較時，只簡單比較事件的探測器和事件標識是否被規則的探測器和標 識所包含， 一旦包含，則認為匹配成功，且不再與尚未比較過的其它事件鏈的根規則比較。 所有規則鏈的根規則必須互斥，否則，排在後邊的規則鏈將無法觸發。步驟S34:事件風險評估。計算當前事件的風險值和風險等級。
如果待處理事件的處理策略的風險評估標誌為真，則需要對該事件進行風險評估操作。
首先，檢測事件的可信度和附加的優先級，如果任意一項零，則當前事件的風險值為 0;否則，通過事件的資產標識屬性，從資產價值表(該表手工維護，用於保存資產的業 務價值，業務價值由0 5等級，5級最高)後，利用客體風險二可信度X優先級X資產 價值等級/10，計算出事件的客體風險(即目標設備)；如果事件的源IP與目標IP不一致， 則利用源IP屬性獲得資產標識(即主體資產標識)後，再利用該資產標識從資產價值表 中獲得該資產的價值後，利用主體風險-可信度X優先級X資產價值等級/10,計算出事 件的主體風險(即源設備)。並以客體風險、主體風險中的大者為當前事件的風險值；
其次，更新事件主體和事件客體的風險等級；如果事件的風險值大於O，則為該事件 產生流水號，將上一步計算出的客體風險值，利用事件客體所對應資產上預設的風險值與 風險等級映射關係，計算出客體風險值所對應的風險等級，並將當前事件流水號、風險等 級，插入當前事件的資產標識屬性所確定的資產的風險列表中，同時更新該資產的風險等 級統計數；將上一步計算出的主體風險值、利用上一步檢索到的主體資產標識檢索到相應 資產上的風險值與風險等級映射關係，計算出主體風險值所對應的風險等級，並將當前事 件流水號、風險等級，插入主體資產標識所確定的資產的風險列表中，同時更新該資產的 風險等級統計數。
進一步地，只要資產的風險等級統計數發生了變更，則自動更新該資產所在子網的風 險等級統計數。
步驟S35:示警並自動響應處理。依據預設的響應策略，示警維護人員，並自動響應。
安全事件管理模塊M02依據安全策略模塊M2設定的響應策略，對風險值大於閾值 的事件告警，並自動響應。所述閾值由維護人員設定，事件的風險值是0 25，預設時， 告警閾值為5。
安全策略模塊M2設定的響應策略，包括策略號、生效標誌、生效開始時間、生效結 束時間、內部執行標誌、外部執行標誌、正則表達式和命令等屬性。其中，正則表達式用 於從事件中提取內容，如源IP、目標IP;命令是具體的可執行指令，由安全監控模塊M04 解釋。命令中的佔位符由正則表達式提取的內容填充。命令可以簡單為示警、發送Email 或發送及時消息；也可以是Shell命令、SNMP指令等。
通過以事件中事件標識屬性值為條件，檢索策略與事件關聯表(該表手工維護，用於 將策略和事件關聯，每增加了新事件標識，如果需要自動響應，則需要為該事件配置策略； 每增加了新策略，則需要指派到事件後，該策略才可能被執行)，即可檢索到對應的安全 策略，從而可針對系統所支持的事件進行準確響應。
安全事件管理模塊M02將事件數據，包括事件標識、事件內容、源IP、源埠、目 標IP、目標埠、發生時間，以及響應策略的具體命令，提交安全監控模塊M04。
安全監控模塊M04依據響應策略的具體命令進行自動響應，包括事件展示、聲音告警；將事件數據發送到預設的企業管理員郵箱；或利用GSMModem(即支持GSM的貓) 給預設的企業管理員移動手機號發送簡訊；或將命令打包成接口消息包，提交到資產快照 模塊MOl，由後者通過當前活動信道，發送到正確的終端安全管控模塊M3、和/或主機 安全管控模塊M4、和/或網絡設備安全管控模塊M5，指導後者執行命令。
安全監控模塊M04同樣接收操作員的手工控制，在控制面板上，收集操作員選定的 控制參數以及輸入的值後，構造成標準接口消息包，並提交到資產快照模塊MOl。
步驟S36:安全報表處理。對經安全事件管理模塊M02處理後的事件，自動進行統 計與匯總處理。
安全事件管理模塊M02最終將處理過的事件，附加上事件流水號後，提交到安全報 表模塊M03;安全報表模塊M03將對事件進行集中處理，包括按事件標識統計、按探測 器統計、按源IP統計、按目標IP統計等。
此外，安全報表模塊M03對來自報文檢測模塊Ml提交的安全事件中包括了源IP、 源埠、協議、目標IP、目標埠和報文長度信息的事件，將進一步處理其事件內容， 利用這些生成統計報表，包括協議分布報表、IP分布報表、TOPN報表等。所有報表，缺 省均提供日報、周報、月報、季報和年報。
所有報表模板的自動屬性為真的報表，其報表文件生成後，將保存到企業所租借的文 件空間。
權利要求
1.一種中小企業內網信息安全託管方法，其中企業向安全服務提供商租借用於重定向報文的帶寬，和用於保存報文檢測日誌和報表的文件空間，其特徵在於，還包括(a)在內網終端和主機上分別提供安全服務提供商所提供的終端安全管控功能和主機安全管控功能；在至少一臺主機上提供安全服務提供商所提供的網絡設備安全管控功能，並管控所有支持SNMP協議的網絡設備；(b)在出口邊界設備上，將預設協議的報文重定向到安全服務提供商所提供的報文檢測系統；(c)建立到安全服務提供商的IPSec VPN隧道，登錄到位於安全服務提供商網絡中的中小企業內網信息安全託管系統，並通過此隧道對步驟(a)中的所述終端安全管控功能、主機安全管控功能和網絡設備安全管控功能進行安全控制。
2. 如權利要求1所述一種中小企業內網信息安全託管方法，其特徵在於，安全服務提供 商的報文檢測系統對企業的重定向報文進行防攻擊、防病毒檢測後，並通過應用層協議代 理中轉合法報文；所述重定向報文的帶寬僅能使用所述租借帶寬的容量；以及，安全服務提供商的所述中小企業內網信息安全系統對企業內網的所述終端安全管控 功能、主機安全管控功能和網絡設備安全管控功能上報的日誌事件信息和運行狀況信息進 行分析，並基於預設安全基準進行響應。
3. 如權利要求1所述一種中小企業內網信息安全託管方法，其特徵在於，所述應用層協 議代理，包括SMTP代理、POP3代理、HTTP代理、MSN通信代理和透傳代理，分別用 於往來郵件內容檢查、URL過濾、MSN通信內容檢査和透傳報文；可疑的郵件內容和附 件，以及MSN通信報文摘要信息，均以文件形式保存在所述租借文件空間中。
4. 如權利要求1所述一種中小企業內網信息安全託管方法，其特徵在於，所述終端安全 管控功能、主機安全管控功能和網絡設備安全管控功能可定製上報到所述安全服務提供商 的所述中小企業內網信息安全系統的信息條目種類與內容;所述中小企業內網信息安全系 統僅允許企業級維護人員査看本企業的內網資產運行安全狀況;所述中小企業內網信息安 全系統向所述企業提供安全運行報表，包括日報、周報、月報、季報和年報。
5. 如權利要求1所述一種中小企業內網信息安全託管方法，其特徵在於，所述安全服務 提供商的所述中小企業內網信息安全系統可通過所述步驟(c)所建立的VPN隧道，遠程 掃描內網資產的漏洞信息和網絡拓撲信息；以及，所述安全服務提供商的所述中小企業內網信息安全系統在發現安全風險後，及時通知 所述企業預設的安全管理人員。
6. —種中小企業安全託管系統，其特徵在於，包括資產安全管控模塊、報文檢測模塊、 安全策略模塊、終端安全管控模塊、主機安全管控模塊和網絡設備安全管控模塊；所述資產安全管控模塊，與所述終端安全管控模塊、主機安全管控模塊、網絡設備安 全管控模塊、安全策略模塊和報文檢測模塊相連，用於依據上報的信息構建企業內網資產 運行安全快照、依據預設的安全策略處理安全事件、手工遠程管控內網資產並提供安全運 對艮氣所k報文檢測模塊，與所述資產安全管控模塊和安全策略模塊相連，用於依據所述安 全策略模塊預設的安全策略，處理所述企業的重定向報文，並提交安全事件到所述資產安全管控模塊；所述安全策略模塊，與所述資產安全管控模塊和報文檢測模塊相連，用於設定資產安 全基準、事件處理規則、事件響應策略、和應用層協議違規響應策略；以及，所述終端安全管控模塊，與所述資產安全管控模塊相連，用於收集所述企業內網終端 計算機的運行狀況數據與日誌數據，並提交到所述資產安全管控模塊；接收並處理所述資 產安全管控模塊的控制指令；所述主機安全管控模塊，與所述資產安全管控模塊相連，用於收集所述企業內網主機 的運行狀況數據和日誌數據，並提交到所述資產安全管控模塊；接收並處理所述資產安全 管控模塊的控制指令；以及，所述網絡設備安全管控模塊，與所述資產安全管控模塊相連，用於收集並接收所述企 業內網中支持SNMP協議的網絡設備的運行狀況數據和SNMP Trap數據，並提交到所述 資產安全管控模塊；接收所述資產安全管控模塊的控制指令，並轉化為SNMP指令後， 提交到目標網絡設備。
7. 如權利要求6所述一種中小企業安全託管系統，其特徵在於，所述資產安全管控模塊， 包括資產快照模塊、漏洞掃描模塊、安全事件管理模塊、安全監控模塊和安全報表模塊;所述資產快照模塊，接收所述終端安全管控模塊、所述主機安全管控模塊和所述網絡 設備安全管控模塊上報的數據，並依據上報的數據構建資產的安全運行快照；依據預設的 資產安全基線，產生安全事件，並提交到所述安全事件管理模塊；接收所述安全監控模塊 下發的遠程控制消息，並中轉到所述終端安全管控模塊、所述主機安全管控模塊和所述網 絡設備安全管控模塊；所述漏洞掃描模塊，用於遠程掃描所述企業內網活動信息資產的漏洞信息和網絡拓撲 信息，並將掃描結果提交到所述資產快照模塊；所述安全事件管理模塊，接收所述資產快照模塊和所述報文檢測模塊提交的安全事 件，並依據預設的策略，自動響應，並通知預設的企業安全管理人員；將安全事件處理的 最終結果提交到所述安全報表模塊；所述安全監控模塊，接收並展示所述安全事件管理模塊提交的安全告警；提交維護人 員的作業系統到所述資產快照模塊；以及，所述安全報表模塊，接收所述安全事件管理模塊提交的安全事件，並依據預設的報表 模板自動生成安全運營報表。
8. 如權利要求6所述一種中小企業安全託管系統，其特徵在於，所述報文檢測模塊，包 括應用層協議代理模塊、入侵檢測模塊、防病毒模塊和安全事件客戶端模塊；所述應用層協議代理模塊，接收所述企業提交的重定向報文，並將報文依次提交到所述入侵檢測模塊和防病毒模塊，並將代理通過檢測的報文；提交本地安全事件到所述安全 事件客戶端模塊；所述入侵檢測模塊，接收所述應用層協議代理模塊提交的報文，並基於本地預設規則 對報文進行入侵檢測，提交檢測結果到所述應用層協議代理模塊；提交本地安全事件到所 述安全事件客戶端模塊；所述防病毒模塊，接收所述應用層協議代理模塊提交的報文，並基於本地預設規則對 報文進行病毒檢測，提交檢測結果到所述應用層協議代理模塊；提交本地安全事件到所述 安全事件客戶端模塊；以及，所述安全事件客戶端模塊，用於接收所述報文檢測模塊中其它模塊提交的本地安全事 件，並規整化為統一格式後，提交到所述資產安全管控模塊的所述安全事件管理模塊。
9. 如權利要求6所述一種中小企業安全託管系統，其特徵在於，所述終端安全管控模塊、 所述主機安全管控模塊和所述網絡設備安全管控模塊，部署在所述企業的內網中，通過所 述企業與所述中小企業安全託管系統間IPSec VPN隧道，與所述資產安全管控模塊通信； 所述通信消息的內容加密；以及，所述遠程掃描所述企業內網活動信息資產的漏洞信息和網絡拓撲信息，僅能通過所述 企業與所述中小企業安全託管系統間IPSec VPN隧道進行遠程掃描。
10.如權利要求6所述一種中小企業安全託管系統，其特徵在於，所述企業的維護人員， 僅能瀏覽與所述企業內網資產相關的安全運營報表；僅能對所述企業內網進行遠程掃描； 僅能瀏覽和控制所述企業內網資產；所述企業的維護人員，只能通過所述企業與所述中小企業安全託管系統間IPSec VPN 隧道訪問所述中小企業安全託管系統；所述IPSec VPN隧道，只能由所述企業主動創建； 以及，所述安全託管系統允許授權的安全服務提供商級的維護人員査看預設企業的所有信 息，但無權訪問所述文件空間中的文件。
全文摘要
本發明公開了一種中小企業內網信息安全託管方法，其中企業向安全服務提供商租借用於重定向報文的帶寬，和用於保存報文檢測日誌和報表的文件空間，還包括在內網終端和主機上分別提供安全服務提供商所提供的終端安全管控功能和主機安全管控功能；在至少一臺主機上提供安全服務提供商所提供的網絡設備安全管控功能，並管控所有支持SNMP協議的網絡設備；在出口邊界設備上，將預設協議的報文重定向到安全服務提供商所提供的報文檢測系統；以及建立到安全服務提供商的IPSec VPN隧道，登錄到位於安全服務提供商網絡中的中小企業內網信息安全託管系統，並通過此隧道對所述終端安全管控、主機安全管控和網絡設備安全管控功能進行控制的步驟。
文檔編號H04L29/06GK101635730SQ20091016972
公開日2010年1月27日 申請日期2009年8月28日 優先權日2009年8月28日
發明者伍立華, 周文柱, 張知之, 戚建淮, 飛 陳 申請人:深圳市永達電子股份有限公司