一種具有一體化安全管控功能的信息安全管理方法

2023-10-23 00:29:57

專利名稱：一種具有一體化安全管控功能的信息安全管理方法
技術領域：
本發明涉及一種管理方法，尤其是一種具有一體化安全管控功能的信息安全管理方法。
背景技術：
經過十多年的信息與網絡安全建設，大部分企業和組織已經從安全的局部建設進入到了整體優化階段。當前的客戶更加關注全網的整體安全，強調從業務信息系統安全風險的角度，而非單一安全威脅和防禦機制的角度去更加主動地管理安全。而要做好安全管理工作，就需要一套相應的安全管理體系。在這個體系中除了組織保障和流程保障，很重要的一點就是技術保障。安全管理平臺就是一套配合企業和組織建設安全管理體系的技術支撐平臺。目前，安全管理平臺的需求主要源於客戶管理層和執行層不同角色人員對於安全管理工作的切身需要。對於管理層而言，高層領導、各業務主管領導和IT安全主管領導等都需要從各自的角度出發，對全網或相關業務信息系統的整體安全運行狀況有一個直觀的了解、清晰的掌控，能夠獲悉當前的安全態勢、攻擊分布、防護缺陷，掌握安全防禦體系建設的水平和安全管理能力建設的水平。對於執行層而言，安全經理、安全管理員、運維工程師、安全分析員、應急響應人員等也都需要從各自的角度出發，通過單一的管理界面，對網絡和業務信息系統實施有計劃地、持續地監視、檢測、審計、分析、評估、預警、響應和報告，並能夠實現相互之間的協同工作。隨著國家等級保護制度實施力度的不斷加強，各行業內控與合規要求的不斷增強，以及越來越多的企業和組織投入到信息安全管理體系(Information SecurityManagement Sys tem,簡稱ISMS)的建設之中，客戶管理層更加需要一個安全管理技術支撐平臺來協助符合和體現等級保護及內控合規的相關具體要求，將等級保護和信息安全管理體系落到實處。而客戶執行層也希望有一個安全管理平臺幫助他們進行等級保護和信息安全管理體系建設過程中理順工作流程、提升工作效率。

發明內容
本發明提供了一種具有強大的一體化安全管控功能的信息安全管理方法。實現本發明目的的一種具有一體化安全管控功能的信息安全管理方法，包括:(I)資產管理:對網絡中的管理對象資產進行管理，除基本資產信息外，提供靈活的資產分類功能，實現對資產的分類管理；(2)網絡拓撲管理:自動發現和識別IT硬體資產(例如網絡設備、安全設備、主機)，還能自動發現和識別軟體資產(例如資料庫、中間件)，並識別這些軟硬體資產之間的連接關係或包含關係，還能自動描繪出網絡及服務拓撲(3)性能監控:包括性能信息採集、性能信息轉發、IT系統性能及可能性監控分析和性能信息採集管理；(4)安全事件管理:包括日誌採集、日誌範式化與分類、日誌過濾與合併、日誌轉發、關聯分析、日誌實時監視、日誌統計分析、日誌查詢、日誌存儲、日誌採集器管理和日誌代理；(5)流量行為監視:系統通過採集網絡中的流量日誌，能夠對全網的流量行為進行多維度透視分析，並可視化展示；(6)流量異常檢測:基於動態周期性基線和動態非周期性基線的異常行為檢測；(7)脆弱性管理:導入資產的弱點信息，並計算資產/安全域/業務系統的脆弱性值；(8)風險評估:通過內置的風險計算模型，綜合考慮資產的價值、脆弱性和威脅，定期自動地計算出資產、安全域和業務系統的風險值，並刻畫出資產、安全域和業務系統隨時間變化的風險變化曲線；(9)安全態勢分析:通過對收集到的一段時間內的海量安全事件的源和目的IP位址進行熵值計算，得到這些安全事件源目的IP聚合度的變化幅度，以此來刻畫這段時間內這些安全事件所屬安全域或者業務系統的整體安全狀態，並預測下一步的整體安全走勢；(10)安全管理關鍵指標分析:通過對一組表徵某個安全域或者業務系統安全管理建設水平的層次化指標的計算，得到該安全域或者業務系統的安全管理建設水平評級，以此來表明該安全域或業務系統的信息安全管理體系的建設成熟度；(11)告警管理:通過性能監控的監控指標閥值，或者安全事件的關聯規則設置告警，包括告警觸發條件和告警響應動作；(12)工單管理:通過告警自動派發工單或用戶手工派發工單，指定的工單處理人在接收到工單後可以記錄工單的流轉信息和狀態信息，管理員可以查看所有的工單及其流轉的全過程；(13)報表管理:對報表進行編輯管理；(14)知識管理:內置了大量的安全知識，允許用戶在系統使用過程中不斷豐富和完善；用戶可以對所有的知識點進行基於關鍵字的全文檢索；(15)級聯管理:允許上級管理中心對下級管理中心的節點進行集中管理和展示，上級管理中心可以訪問下級管理中心；(16)用戶管理:對用戶可以訪問的資源進行細緻的權限劃分，具備安全可靠的分級及分類用戶管理功能，支持用戶的身份認證、授權、用戶口令修改等功能，不同的操作員具有不同的功能操作權限；(17)系統管理:對自身配置進行管理，包括自身安全配置、系統運行參數配置和審計資源配置。本發明的一種具有一體化安全管控功能的信息安全管理方法的有益效果如下:1、本發明的一種具有一體化安全管控功能的信息安全管理方法，提供了強大的一體化安全管控功能平臺，為不用層級的用戶提供了多視角、多層次的管理視圖；支持對大部分主流IT軟硬體資產的監控；對於各種監控對象都能進行全方位細粒度的監控，具有豐富的監控指標。管理員可以通過豐富的可視化圖表查看監控指標信息；可以對監控指標設置告警閥值；可以將監控指標的數據保存起來，並進行歷史分析。2、以客戶的業務信息系統安全為保障目標，從監控、審計、風險、運維四個維度對全網的整體安全進行集中化的管理與運維，為用戶建立起了一個可視、可查、可度量與可持續的安全管理新平臺。3、對於日常安全運維而言，核心的工作內容就是對IT網絡及重要業務系統進行持續監測，確保網絡、主機、應用、業務、重要信息和人員資產的安全。更具體地說，就是要持續監測並識別針對網絡、主機、應用、業務、重要信息和人員資產性能故障、非法訪問控制、非法或不當操作、惡意代碼、攻擊入侵、違規與信息洩露行為。4、客戶能夠統一收集來自網絡中IT資產的運行信息和日誌信息，通過分析這些數據，識別各類性能故障、非法訪問控制、不當操作、惡意代碼、攻擊入侵，以及違規與信息洩露等行為，協助客戶安全運維人員進行安全監視、審計追蹤、調查取證、應急處置、生成各類報表報告，成為客戶日常安全運維的有力工具。
具體實施例方式本發明的一種具有一體化安全管控功能的信息安全管理方法，包括:(I)資產管理:對網絡中的管理對象資產進行管理，除基本資產信息外，提供靈活的資產分類功能，實現對資產的分類管理；系統提供基於拓撲的資產視圖，可以按圖形化拓撲模式顯示資產，並可編輯資產之間的網絡連接關係，通過資產視圖可直接查看該資產的狀態、事件及告警信息。藉助網絡拓撲自動發現功能，系統能夠自動發現和識別資產。(2)網絡拓撲管理:自動發現和識別IT硬體資產(例如網絡設備、安全設備、主機)，還能自動發現和識別軟體資產(例如資料庫、中間件)，並識別這些軟硬體資產之間的連接關係或包含關係，還能自動描繪出網絡及服務拓撲圖；通過網絡及服務拓撲圖，管理員可以對全網的資產進行可視化的監控。拓撲圖具備動態更新能力，能夠實時地顯示資產的運行狀態和安全狀態，能夠方便地連結到其他功能豐旲塊。系統還提供了機房機架視圖，將客戶資產設備根據實際機架擺放可視化地展示出設備的物理擺放。管理員透過機架視圖可以清楚地知道每個資產的位置。機架視圖也具備動態更新能力，能夠實時地顯示資產的運行狀態和安全狀態，並能夠方便地實現與網絡及服務拓撲視圖的雙向切換。(3)性能監控:包括性能信息採集、性能信息轉發、IT系統性能及可能性監控分析和性能信息採集管理。(4)安全事件管理:包括日誌採集、日誌範式化與分類、日誌過濾與合併、日誌轉發、關聯分析、日誌實時監視、日誌統計分析、日誌查詢、日誌存儲、日誌採集器管理和日誌代理。(5)流量行為監視:系統通過採集網絡中的流量日誌，能夠對全網的流量行為進行多維度透視分析，並可視化展示；(6)流量異常檢測:基於動態周期性基線和動態非周期性基線的異常行為檢測；例如蠕蟲爆發、多種協議的泛洪攻擊、DDoS攻擊，等等。
(7)脆弱性管理:導入資產的弱點信息，並計算資產/安全域/業務系統的脆弱性值；(8)風險評估:通過內置的風險計算模型，綜合考慮資產的價值、脆弱性和威脅，定期自動地計算出資產、安全域和業務系統的風險值，並刻畫出資產、安全域和業務系統隨時間變化的風險變化曲線；(9)安全態勢分析:通過對收集到的一段時間內的海量安全事件的源和目的IP位址進行熵值計算，得到這些安全事件源目的IP聚合度的變化幅度，以此來刻畫這段時間內這些安全事件所屬安全域或者業務系統的整體安全狀態，並預測下一步的整體安全走勢；(10)安全管理關鍵指標分析:通過對一組表徵某個安全域或者業務系統安全管理建設水平的層次化指標的計算，得到該安全域或者業務系統的安全管理建設水平評級，以此來表明該安全域或業務系統的信息安全管理體系的建設成熟度；(11)告警管理:通過性能監控的監控指標閥值，或者安全事件的關聯規則設置告警，包括告警觸發條件和告警響應動作。所述告警響應動作支持事件屬性重定義、彈出提示框、發送郵件、發送SNMP Trap、發送簡訊、執行命令腳本、設備聯動、發送飛鴿傳書、發送MSN、發送Syslog等方式。(12)工單管理:通過告警自動派發工單或用戶手工派發工單，指定的工單處理人在接收到工單後可以記錄工單的流轉信息和狀態信息，管理員可以查看所有的工單及其流轉的全過程；(13)報表管理:對報表進行編輯管理；(14)知識管理:內置了大量的安全知識，允許用戶在系統使用過程中不斷豐富和完善；用戶可以對所有的知識點進行基於關鍵字的全文檢索；(15)級聯管理:允許上級管理中心對下級管理中心的節點進行集中管理和展示，上級管理中心可以訪問下級管理中心；(16)用戶管理:對用戶可以訪問的資源進行細緻的權限劃分，具備安全可靠的分級及分類用戶管理功能，支持用戶的身份認證、授權、用戶口令修改等功能，不同的操作員具有不同的功能操作權限；(17)系統管理:對自身配置進行管理，包括自身安全配置、系統運行參數配置和審計資源配置。本發明的一種具有一體化安全管控功能的信息安全管理方法的有益效果如下:1、本發明的一種具有一體化安全管控功能的信息安全管理方法，提供了強大的一體化安全管控功能平臺，為不用層級的用戶提供了多視角、多層次的管理視圖；支持對大部分主流IT軟硬體資產的監控；對於各種監控對象都能進行全方位細粒度的監控，具有豐富的監控指標。管理員可以通過豐富的可視化圖表查看監控指標信息；可以對監控指標設置告警閥值；可以將監控指標的數據保存起來，並進行歷史分析。2、以客戶的業務信息系統安全為保障目標，從監控、審計、風險、運維四個維度對全網的整體安全進行集中化的管理與運維，為用戶建立起了一個可視、可查、可度量與可持續的安全管理新平臺。3、對於日常安全運維而言，核心的工作內容就是對IT網絡及重要業務系統進行持續監測，確保網絡、主機、應用、業務、重要信息和人員資產的安全。更具體地說，就是要持續監測並識別針對網絡、主機、應用、業務、重要信息和人員資產性能故障、非法訪問控制、非法或不當操作、惡意代碼、攻擊入侵、違規與信息洩露行為。4、客戶能夠統一收集來自網絡中IT資產的運行信息和日誌信息，通過分析這些數據，識別各類性能故障、非法訪問控制、不當操作、惡意代碼、攻擊入侵，以及違規與信息洩露等行為，協助客戶安全運維人員進行安全監視、審計追蹤、調查取證、應急處置、生成各類報表報告，成為客戶日常安全運維的有力工具。實施例1本實施例的本發明的一種具有一體化安全管控功能的信息安全管理方法，包括如下部分:1、資產管理系統提供資產管理功能，可以對網絡中的管理對象資產進行管理。除基本資產信息外，系統提供靈活的資產分類功能，實現對資產的分類管理。系統提供基於拓撲的資產視圖，可以按圖形化拓撲模式顯示資產，並可編輯資產之間的網絡連接關係，通過資產視圖可直接查看該資產的狀態、事件及告警信息。藉助網絡拓撲自動發現功能，系統能夠自動發現和識別資產。2、網絡拓撲管理系統具備創新性的網絡及拓撲自動發現引擎，不僅能夠自動發現和識別IT硬體資產(例如網絡設備、安全設備、主機)，還能自動發現和識別軟體資產(例如資料庫、中間件)，並識別這些軟硬體資產之間的連接關係或包含關係，還能自動描繪出網絡及服務拓撲圖。通過網絡及服務拓撲圖，管理員可以對全網的資產進行可視化的監控。拓撲圖具備動態更新能力，能夠實時地顯示資產的運行狀態和安全狀態，能夠方便地連結到其他功能豐旲塊。系統還提供了機房機架視圖，將客戶資產設備根據實際機架擺放可視化地展示出設備的物理擺放。管理員透過機架視圖可以清楚地知道每個資產的位置。機架視圖也具備動態更新能力，能夠實時地顯示資產的運行狀態和安全狀態，並能夠方便地實現與網絡及服務拓撲視圖的雙向切換。3、性能監控性能信息採集系統能夠主動地、周期性地採集各種不同廠商的安全設備、網絡設備、主機、作業系統、以及各種應用系統的性能與可用性信息，採樣周期、採集參數都可以獨立配置。系統支持通過SNMP、TELNET、SSH、SSH2、ODBC、JMX、協議仿真等方式對IT資產進行性能與可用性信息的採集。管理中心內置性能信息採集，也提供獨立安裝的性能信息採集器。性能信息轉發管理中心或者性能採集器都具備性能信息轉發功能，可以將收集到的性能信息轉發給指定的管理中心，或者第三方系統。通過性能信息轉發功能，可以實現性能採集器的分布式部署以及系統級聯部署。系統支持性能數據的加密壓縮轉發。IT系統性能與可用性監控分析系統對於各種監控對象都能進行全方位細粒度的監控，具有豐富的監控指標。管理員可以通過豐富的可視化圖表查看監控指標信息；可以對監控指標設置告警閥值；可以將監控指標的數據保存起來，並進行歷史分析。系統提供各種性能監控指標的對比分析，如某段時間(小時、天、周、月)內某個資產的不同監控指標的對比分析、不同資產的相同監控指標對比分析，等等，並能夠將分析的結果以折線圖和柱狀圖的形式進行直觀展現。性能採集器管理系統能夠對所有外接的性能採集器進行統一管理。用戶可以對性能採集器進行登記、註銷，進行性能採集參數的配置，設定監控任務、配置信息存儲轉發的參數。4、安全事件管理日誌採集系統能夠採集各種不同廠商的安全設備、網絡設備、主機、作業系統、以及各種應用系統產生的日誌，通過 Syslog、SNMP Trap、FTP、OPSEC LEA、NETBI OS、ODBC、WM1、She 11 腳本、VIP、Web Service等協議進行採集。用戶僅需安裝部署審計中心，無需另裝採集器，即可實現對日誌的採集工作。系統也支持通過日誌採集器和日誌代理的方式採集日誌，完全取決於用戶的實際需要。日誌範式化與分類對於所有採集上來的日誌，系統自動進行範式化處理，將各種廠商各種類型的日誌格式轉換成系統統一的格式。系統提供的範式化欄位包括日誌接收時間、日誌產生時間、日誌持續時間、用戶名稱、源地址、源MAC地址、源埠、操作、目的地址、目的MAC地址、目的埠、日誌的事件名稱、摘要、等級、原始等級、原始類型、網絡協議、網絡應用協議、設備地址、設備名稱、設備類型等。在進行日誌範式化的時候，系統對日誌進行了信息補齊，加入了日誌類型欄位，對日誌進行自動分類，為後續日誌審計提供了便利條件。與此同時，系統將原始日誌都原封不同的保存了下來，以備調查取證之用。日誌過濾與歸併系統可以對採集到的日誌進行基於策略的過濾和歸併，提升日誌審計的效率。通過過濾操作，可以剔除掉無用的日誌信息，降低日誌噪音。通過歸併操作，可以把短時間內滿足一定條件的多條日誌合併成一條日誌，減少日誌的存儲量。日誌過濾和合併策略可以用戶自定義，系統默認不進行過濾和合併。日誌轉發管理中心或者日誌採集器都具備日誌轉發功能，可以將收集到的日誌轉發給指定的管理中心，或者第三方系統。通過日誌轉發功能，可以實現日誌採集器的分布式部署以及系統級聯部署。日誌支持無條件轉發，也支持基於過濾規則的轉發。系統支持加密壓縮轉發，支持定時轉發，支持斷點續傳。關聯分析系統具備事件關聯分析功能。通過關聯分析規則，系統能夠對符合關聯規則條件的日誌產生告警。系統提供了可視化的規則編輯器，用戶可以定義基於邏輯表達式和統計條件的關聯規則，所有日誌欄位都可參與關聯。
規則的邏輯表達式支持等於、不等於、大於、小於、不大於、不小於、位於......之
間、屬於、包含、FollowBy等運算符和關鍵字。規則支持統計計數功能，並可以指定在統計時的固定和變動的事件屬性，可以關聯出達到一定統計規則的事件。規則支持外部引用，可以引用地址資源、埠資源、時間資源、過濾器、資產分類屬性。系統支持單事件關聯和多事件關聯。通過單事件關聯，系統可以對符合單一規則的事件流進行規則匹配；通過多事件關聯，系統可以對符合多個規則(稱作組合規則)的事件流進行複雜事件規則匹配。日誌實時監視系統提供了實時審計視圖，審計員可以根據內置或者自定義的實時監視策略，從日誌的任意維度實時觀測安全事件的走向，並可以進行事件調查、鑽取，並進行事件行為分析和來源定位。審計員可以實時監視防火牆、IDS、防病毒、網絡設備、主機和應用的高危安全事件；可以實時監視各個部門、各個安全域、各個業務系統的重點安全事件；可以實時監視全網的違規登錄事件、配置變更事件、針對關鍵伺服器的入侵攻擊事件；等等。對於實時監視中的日誌，用戶可以進行追蹤調查，進行源目標IP位址世界地圖定位，並可以以圖形化的方式展示日誌之間的行為關係。日誌統計分析系統提供了統計視圖，審計員可以根據內置或者自定義的統計策略，從日誌的多個維度實時進行安全事件統計分析，並以柱圖、餅圖、堆積圖等形式進行可視化的展示。審計員可以查看一段時間內的主機流量排行、主機登錄失敗次數排行、活躍病毒排行、網絡設備故障排行、最多訪問用戶排行等等。日誌查詢系統提供日誌的查詢功能，便於從海量數據中獲取有用的日誌信息。用戶可自定義查詢策略，基於日誌時間、名稱、地址、埠、類型等各種條件進行組合查詢，並可導出查詢結果。系統還提供快速查詢和模糊查詢功能。日誌存儲系統將收集來的日誌統一安全存儲和備份。系統支持TB級的海量數據加密存儲，滿足合規與內控條款的相關需求。系統支持數據的自動或手動備份，備份數據可手工恢復，用作日誌回查。日誌採集器管理系統能夠對所有外接的日誌採集器進行統一管理。用戶可以對日誌採集器進行登記、註銷，進行日誌採集參數的配置，設定範式化、過濾、歸併、轉發的參數。日誌代理如果管理中心無法通過遠程方式主動或者被動地採集日誌，那麼系統提供了一個日誌代理軟體包。用戶可以在被管理對象上安裝日誌代理，採集到日誌後，發送給管理中心。5、流量行為監視系統通過採集網絡中的流量日誌，能夠對全網的流量行為進行多維度透視分析，並可視化展示。系統能夠對全網流量進行多維度分析，實時展示網絡中各應用分布情況；能夠實時分析網絡中的熱點應用，為流量優化和網絡優化提供數據依據；能夠透視網絡帶寬佔用情況，了解關鍵業務的性能，幫助保持關鍵業務的帶寬和連續性。6、流量異常檢測系統採集到流量日誌信息後，進行了基於流量行為的建模和分析，實現了基於動態周期性基線和動態非周期性基線的異常行為檢測，能夠幫助客戶識別流量敏感的異常行為檢測，例如蠕蟲爆發、多種協議的泛洪攻擊、DDoS攻擊，等等。7、脆弱性管理系統具有脆弱性管理功能，能夠導入資產的弱點信息，並計算資產/安全域/業務系統的脆弱性值。系統能夠通過多種方式展示資產/安全域/業務系統的弱點信息，支持時間趨勢分析和橫向對比分析。8、風險評估系統通過內置的風險計算模型，綜合考慮資產的價值、脆弱性和威脅，能夠定期自動地計算出資產、安全域和業務系統的風險值，並刻畫出資產、安全域和業務系統隨時間變化的風險變化曲線。系統還能以圖表的形式可視化地顯示每個資產、安全域或業務系統風險的關鍵因素，便於管理人員理解風險的具體含義。9、安全態勢分析系統具備安全態勢分析功能，包括安全整體狀態的計算和安全整體發展趨勢的預測。系統通過對收集到的一段時間內的海量安全事件的源和目的IP位址進行熵值計算，得到這些安全事件源目的IP聚合度的變化幅度，以此來刻畫這段時間內這些安全事件所屬安全域或者業務系統的整體安全狀態，並預測下一步的整體安全走勢。系統能夠可視化的展示隨時間變化的安全態勢曲線，並能夠通過曲線下鑽到影響網絡安全整體狀態的關鍵安全事件，實現從宏觀到微觀的聚焦。10、安全管理關鍵指標分析系統通過對一組表徵某個安全域或者業務系統安全管理建設水平的層次化指標的計算，得到該安全域或者業務系統的安全管理建設水平評級，以此來表明該安全域或業務系統的信息安全管理體系的建設成熟度。系統將表徵安全管理建設水平的這套層次化指標稱作關鍵管理指標，每個指標項都建立了一個針對某類安全事件的度量標準。系統能夠可視化的展示出每個安全域或業務系統隨時間變化的安全管理評估曲線，並能夠進行環比分析，以及跨安全域或業務系統的同比分析。對於每個關鍵管理指標都支持指標項的下鑽，實現從宏觀到微觀的聚焦。11、告警管理系統的告警功能包括告警設置和告警管理兩個部分。用戶可以通過性能監控的監控指標閥值，或者安全事件的關聯規則設置告警，包括告警觸發條件和告警響應動作。系統的告警響應動作支持事件屬性重定義、彈出提示框、發送郵件、發送SNMP Trap、發送簡訊、執行命令腳本、設備聯動、發送飛鴿傳書、發送MSN、發送Sys log等方式。告警管理則包括對告警信息的查看、處理和統計分析。系統提供快捷的告警響應處理流程，可記錄告警信息的處理過程和處理結果，並能夠與工單管理模塊聯動。12、工單管理工單即任務單，是安排安全管理運維人員解決或者完成某項任務的指令，包含有工作內容描述，完成該項工作的人，以及工單的流轉和完成狀態等。系統支持通過告警自動派發工單，也支持用戶手工派發工單。指定的工單處理人在接收到工單後可以記錄工單的流轉信息和狀態信息。管理員可以查看所有的工單及其流轉的全過程。13、報表管理系統內置了豐富的報表模板，包括統計報表、明細報表、綜合審計報告，審計人員可以根據需要生成不同的報表。系統內置報表生成調度器，可以定時自動生成日報、周報、月報、季報、年報，並支持以郵件等方式自動投遞，支持以HF、Excel、Word等格式導出，支持列印。系統還內置了一套報表編輯器，用戶可以自行設計報表，包括報表的頁面版式、統計內容、顯示風格等。14、知識管理系統提供開放的知識管理功能，內置了大量的安全知識，同時也允許用戶在系統使用過程中不斷豐富和完善。用戶可以對所有的知識點進行基於關鍵字的全文檢索，操作界面類似百度搜索或者Google搜索。系統預先建立的知識包括:重要文檔庫、案例庫、漏洞庫、事件庫、日誌字典表，等
坐寸ο15、級聯管理系統支持多層的級聯管理模式，適用於大型企業多分支機構的集中管控，或者集團管控。系統的級聯管理模塊允許上級管理中心對下級管理中心的節點進行集中管理和展示，上級管理中心可以訪問下級管理中心。16、用戶管理系統提供三權分立的設計，內置系統管理員、用戶管理員和審計管理員。系統提供用戶集中管理的功能，對用戶可以訪問的資源進行細緻的權限劃分，具備安全可靠的分級及分類用戶管理功能，支持用戶的身份認證、授權、用戶口令修改等功能。不同的操作員具有功能操作權限。17、系統管理系統具有豐富的自身配置管理功能，包括自身安全配置、系統運行參數配置、審計資源配置等。系統具有系統自身運行監控與告警、系統日誌記錄等功能。上面所述的實施例僅僅是對本發明的優選實施方式進行描述，並非對本發明的範圍進行限定，在不脫離本發明設計精神前提下，本領域普通工程技術人員對本發明技術方案做出的各種變形和改進，均應落入本發明的權利要求書確定的保護範圍內。
權利要求
1.一種具有一體化安全管控功能的信息安全管理方法，包括: (1)資產管理:對網絡中的管理對象資產進行管理，除基本資產信息外，提供靈活的資產分類功能，實現對資產的分類管理； (2)網絡拓撲管理:自動發現和識別IT硬體資產(例如網絡設備、安全設備、主機)，還能自動發現和識別軟體資產(例如資料庫、中間件)，並識別這些軟硬體資產之間的連接關係或包含關係，還能自動描繪出網絡及服務拓撲圖； (3)性能監控:包括性能信息採集、性能信息轉發、IT系統性能及可能性監控分析和性能信息採集管理； (4)安全事件管理:包括日誌採集、日誌範式化與分類、日誌過濾與合併、日誌轉發、關聯分析、日誌實時監視、日誌統計分析、日誌查詢、日誌存儲、日誌採集器管理和日誌代理； (5)流量行為監視:系統通過採集網絡中的流量日誌，能夠對全網的流量行為進行多維度透視分析，並可視化展示； (6)流量異常檢測:基於動態周期性基線和動態非周期性基線的異常行為檢測； (7)脆弱性管理:導入資產的弱點信息，並計算資產/安全域/業務系統的脆弱性值； (8)風險評估:通過內置的風險計算模型，綜合考慮資產的價值、脆弱性和威脅，定期自動地計算出資產、安全域和業務系統的風險值，並刻畫出資產、安全域和業務系統隨時間變化的風險變化曲線； (9)安全態勢分析:通過對收集到的一段時間內的海量安全事件的源和目的IP位址進行熵值計算，得到這些安全事件源目的IP聚合度的變化幅度，以此來刻畫這段時間內這些安全事件所屬安全域或者業務系統的整體安全狀態，並預測下一步的整體安全走勢； (10)安全管理關鍵指標分析:通過對一組表徵某個安全域或者業務系統安全管理建設水平的層次化指標的計算，得到該安全域或者業務系統的安全管理建設水平評級，以此來表明該安全域或業務系統的信息安全管理體系的建設成熟度； (11)告警管理:通過性能監控的監控指標閥值，或者安全事件的關聯規則設置告警，包括告警觸發條件和告警響應動作； (12)工單管理:通過告警自動派發工單或用戶手工派發工單，指定的工單處理人在接收到工單後可以記錄工單的流轉信息和狀態信息，管理員可以查看所有的工單及其流轉的全過程； (13)報表管理:對報表進行編輯管理； (14)知識管理:內置了大量的安全知識，允許用戶在系統使用過程中不斷豐富和完善；用戶可以對所有的知識點進行基於關鍵字的全文檢索； (15)級聯管理:允許上級管理中心對下級管理中心的節點進行集中管理和展示，上級管理中心可以訪問下級管理中心； (16)用戶管理:對用戶可以訪問的資源進行細緻的權限劃分，具備安全可靠的分級及分類用戶管理功能，支持用戶的身份認證、授權、用戶口令修改等功能，不同的操作員具有不同的功能操作權限； (17)系統管理:對自身配置進行管理，包括自身安全配置、系統運行參數配置和審計資源配置。
全文摘要
本發明提供了一種具有強大的一體化安全管控功能的信息安全管理方法，包括(1)資產管理；(2)網絡拓撲管理；(3)性能監控；(4)安全事件管理；(5)流量行為監視；(6)流量異常檢測；(7)脆弱性管理；(8)風險評估；(9)安全態勢分析；(10)安全管理關鍵指標分析；(11)告警管理；(12)工單管理；(13)報表管理；(14)知識管理；(15)級聯管理；(16)用戶管理；(17)系統管理。本發明的一種具有一體化安全管控功能的信息安全管理方法，提供了強大的一體化安全管控功能平臺，為不用層級的用戶提供了多視角、多層次的管理視圖；支持對大部分主流IT軟硬體資產的監控；對於各種監控對象都能進行全方位細粒度的監控，具有豐富的監控指標。
文檔編號H04L12/24GK103166794SQ201310056349
公開日2013年6月19日 申請日期2013年2月22日 優先權日2013年2月22日
發明者劉福強, 李玉東, 劉鵬, 廉新科, 苑青 申請人:中國人民解放軍91655部隊