專利名稱:中小企業(yè)內(nèi)網(wǎng)信息安全托管方法與系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于一種安全托管方法與系統(tǒng)T背景技術(shù):
在計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)不斷發(fā)展的今天,企業(yè)的日常經(jīng)營(yíng)已經(jīng)離不開(kāi)信息網(wǎng)絡(luò),無(wú) 論是大企業(yè)集團(tuán)、大型企業(yè),還是中小型企業(yè),甚至是剛起步的創(chuàng)業(yè)作坊,都有自己的內(nèi) 部網(wǎng)絡(luò)。盡管網(wǎng)絡(luò)使收集市場(chǎng)信息、新技術(shù)以及遠(yuǎn)程協(xié)作與交流變得更加便捷,為企業(yè)的 運(yùn)營(yíng)與發(fā)展帶來(lái)了便利。但是,網(wǎng)絡(luò)安全卻始終是企業(yè)管理的心腹大患。層出不窮的病毒、 越來(lái)越不可捉摸的黑客技術(shù)以及別有用心的內(nèi)部雇員,始終在對(duì)企業(yè)的知識(shí)資產(chǎn)構(gòu)成威 脅。減輕網(wǎng)絡(luò)威脅,讓網(wǎng)絡(luò)始終是企業(yè)發(fā)展的工具成了企業(yè)管理人員的現(xiàn)實(shí)選擇。
對(duì)于大企業(yè)集團(tuán)和大型企業(yè)來(lái)說(shuō),因?yàn)槠涠嗄甑募夹g(shù)積累、管控經(jīng)驗(yàn)以及財(cái)務(wù)實(shí)力,
有能力購(gòu)買到最好的網(wǎng)絡(luò)安全產(chǎn)品,聘用有經(jīng)驗(yàn)的工程師來(lái)應(yīng)對(duì)網(wǎng) 絡(luò)安全問(wèn)題;但對(duì)于中 小企業(yè)來(lái)說(shuō),網(wǎng)絡(luò)安全問(wèn)題尤為突出,因?yàn)橐揽科洮F(xiàn)有的技術(shù)能力、有限的人力資源以及 有限的資金預(yù)算,是難以解決目前的信息安全問(wèn)題。
就目前來(lái)說(shuō),中小企業(yè)的內(nèi)網(wǎng)信息安全, 一般通過(guò)部署終端防病毒軟件,并在企業(yè)內(nèi) 網(wǎng)與互聯(lián)網(wǎng)接口間部署傳統(tǒng)防火墻設(shè)備或UTM (即Unified Threat Management,統(tǒng)一威 脅管理)防火墻設(shè)備來(lái)應(yīng)對(duì),未設(shè)置信息安全員崗位。此模式下,會(huì)引入這些安全隱患 1)傳統(tǒng)型防火墻設(shè)備,只能對(duì)報(bào)文進(jìn)行檢測(cè),未對(duì)內(nèi)容進(jìn)行檢測(cè),從而無(wú)法防止黑客的 攻擊,也無(wú)法阻止利用木馬遠(yuǎn)程偷盜企業(yè)知識(shí)資產(chǎn);2)部署UTM防火墻,可以提供防 病毒、簡(jiǎn)單入侵檢測(cè)、VPN (即Virtual Private Network,虛擬專用網(wǎng))、帶寬管理,比部 署傳統(tǒng)型防火墻在保護(hù)內(nèi)網(wǎng)上有一定的提高,但是,UTM防火墻本身集成了太多的功能, 影響了其整體性能,同時(shí),非專業(yè)的防病毒、簡(jiǎn)單的入侵檢測(cè),依然無(wú)法阻擋病毒與入侵 攻擊,甚至這些功能可能會(huì)成為弱點(diǎn)而被非法利用;3)終端防病毒軟件需要經(jīng)常升級(jí), 維護(hù)成本高,且需要人工檢査,以確保各終端均己升級(jí)。
部分中小企業(yè)會(huì)采購(gòu)成套的內(nèi)網(wǎng)安全管控系統(tǒng),并設(shè)定信息安全員崗位,用于對(duì)內(nèi)網(wǎng) 進(jìn)行安全管控。此模式的優(yōu)點(diǎn)是部署了專門工具軟件用于協(xié)助內(nèi)網(wǎng)安全管理,安排了專 人從事安全管控,有利于提供內(nèi)網(wǎng)安全性;但其缺點(diǎn)是采購(gòu)管理系統(tǒng),需要專項(xiàng)資金; 需要安排專門人員進(jìn)行日常操作,以便使用該管理系統(tǒng)進(jìn)行日常管控;需要預(yù)留員工薪酬。 此外,還需要后期投入,如升級(jí)費(fèi)用、人員培訓(xùn)費(fèi)用等。更糟糕的是,內(nèi)網(wǎng)安全管控系統(tǒng) 的研發(fā)廠家無(wú)法從已售出的產(chǎn)品中獲得更多的實(shí)際運(yùn)營(yíng)經(jīng)驗(yàn),因?yàn)樵S多時(shí)候,企業(yè)內(nèi)網(wǎng)安 全出現(xiàn)的問(wèn)題,被企業(yè)內(nèi)部的安全員所解決了,而其處理過(guò)程并不會(huì)知會(huì)生產(chǎn)廠家。由此 導(dǎo)致廠家無(wú)法有效地從用戶側(cè)獲得知識(shí),進(jìn)而提高其產(chǎn)品性能和知識(shí)共享。
發(fā)明內(nèi)容
本發(fā)明在分析了上述中小企業(yè)內(nèi)網(wǎng)安全管控方法與系統(tǒng)的缺陷和不足后,提出了一種 新的企業(yè)內(nèi)網(wǎng)信息安全托管系統(tǒng)與方法。
本發(fā)明的核心思想是構(gòu)造一個(gè)支持報(bào)文檢測(cè)和資產(chǎn)管控的安全托管系統(tǒng),用于對(duì)企 業(yè)側(cè)重定向過(guò)來(lái)的報(bào)文進(jìn)行檢測(cè)、以及對(duì)企業(yè)側(cè)通過(guò)VPN隧道提交的資產(chǎn)運(yùn)行狀態(tài)數(shù)據(jù) 進(jìn)行處理,并對(duì)各種異常事件進(jìn)行單個(gè)事件分析、事件鏈分析和風(fēng)險(xiǎn)評(píng)估后,基于預(yù)設(shè)的 安全策略進(jìn)行響應(yīng);本系統(tǒng)提供嚴(yán)格的身份認(rèn)證與數(shù)據(jù)權(quán)限管控,企業(yè)級(jí)維護(hù)人員登錄到 系統(tǒng)后,能且僅能對(duì)其內(nèi)網(wǎng)資產(chǎn)進(jìn)行安全管控,能且僅能瀏覽與企業(yè)內(nèi)網(wǎng)相關(guān)的安全運(yùn)營(yíng) 報(bào)表。
一種中小企業(yè)安全托管系統(tǒng),包括資產(chǎn)安全管控模塊、報(bào)文檢測(cè)模塊、安全策略模塊、 終端安全管控模塊、主機(jī)安全管控模塊和網(wǎng)絡(luò)設(shè)備安全管控模塊;
所述資產(chǎn)安全管控模塊,與所述終端安全管控模塊、主機(jī)安全管控模塊、網(wǎng)絡(luò)設(shè)備安 全管控模塊、安全策略模塊和報(bào)文檢測(cè)模塊相連,用于依據(jù)上報(bào)的信息構(gòu)建企業(yè)內(nèi)網(wǎng)資產(chǎn) 運(yùn)行安全快照、依據(jù)預(yù)設(shè)的安全策略處理安全事件、手工遠(yuǎn)程管控內(nèi)網(wǎng)資產(chǎn)并提供安全運(yùn) 營(yíng)報(bào)表;
所述報(bào)文檢測(cè)模塊,與所述資產(chǎn)安全管控模塊和安全策略模塊相連,用于依據(jù)所述安 全策略模塊預(yù)設(shè)的安全策略,處理所述企業(yè)的重定向報(bào)文,并提交安全事件到所述資產(chǎn)安 全管控模塊;
所述安全策略模塊,與所述資產(chǎn)安全管控模塊和報(bào)文檢測(cè)模塊相連,用于設(shè)定資產(chǎn)安 全基準(zhǔn)、事件處理規(guī)則、事件響應(yīng)策略、和應(yīng)用層協(xié)議違規(guī)響應(yīng)策略;
所述終端安全管控模塊,與所述資產(chǎn)安全管控模塊相連,用于收集所述企業(yè)內(nèi)網(wǎng)終端 計(jì)算機(jī)的運(yùn)行狀況數(shù)據(jù)與日志數(shù)據(jù),并提交到所述資產(chǎn)安全管控模塊;接收并處理所述資 產(chǎn)安全管控模塊的控制指令;
所述主機(jī)安全管控模塊,與所述資產(chǎn)安全管控模塊相連,用于收集所述企業(yè)內(nèi)網(wǎng)主機(jī) 的運(yùn)行狀況數(shù)據(jù)和日志數(shù)據(jù),并提交到所述資產(chǎn)安全管控模塊;接收并處理所述資產(chǎn)安全 管控模塊的控制指令;
所述網(wǎng)絡(luò)設(shè)備安全管控模塊,與所述資產(chǎn)安全管控模塊相連,用于收集并接收所述企 業(yè)內(nèi)網(wǎng)中支持SNMP (即Simple Network Management Protocol,簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)協(xié)議 的網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況數(shù)據(jù)和SNMP Trap (即簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議的自陷消息)數(shù)據(jù),并 提交到所述資產(chǎn)安全管控模塊;接收所述資產(chǎn)安全管控模塊的控制指令,并轉(zhuǎn)化為SNMP 指令后,提交到目標(biāo)網(wǎng)絡(luò)設(shè)備。
優(yōu)選地,所述資產(chǎn)安全管控模塊,包括資產(chǎn)快照模塊、漏洞掃描模塊、安全事件管理 模塊、安全監(jiān)控模塊和安全報(bào)表模塊;
所述資產(chǎn)快照模塊,接收所述終端安全管控模塊、所述主機(jī)安全管控模塊和所述網(wǎng)絡(luò) 設(shè)備安全管控模塊上報(bào)的數(shù)據(jù),并依據(jù)上報(bào)的數(shù)據(jù)構(gòu)建資產(chǎn)的安全運(yùn)行快照;依據(jù)預(yù)設(shè)的資產(chǎn)安全基線,產(chǎn)生安全事件,并提交到所述安全事件管理模塊;接收所述安全監(jiān)控模塊 下發(fā)的遠(yuǎn)程控制消息,并中轉(zhuǎn)到所述終端安全管控模塊、所述主機(jī)安全管控模塊和所述網(wǎng) 絡(luò)設(shè)備安全管控模塊;
所述漏洞掃描模塊,用于遠(yuǎn)程掃描所述企業(yè)內(nèi)網(wǎng)活動(dòng)信息資產(chǎn)的漏洞信息和網(wǎng)絡(luò)拓?fù)?信息,并將掃描結(jié)果提交到所述資產(chǎn)快照模塊;
所述安全事件管理模塊,接收所述資產(chǎn)快照模塊和所述報(bào)文檢測(cè)模塊提交的安全事 件,并依據(jù)預(yù)設(shè)的策略,自動(dòng)響應(yīng),并通知預(yù)設(shè)的企業(yè)安全管理人員;將安全事件處理的 最終結(jié)果提交到所述安全報(bào)表模塊;
所述安全監(jiān)控模塊,接收并展示所述安全事件管理模塊提交的安全告警;提交維護(hù)人 員的操作系統(tǒng)到所述資產(chǎn)快照模塊;
所述安全報(bào)表模塊,接收所述安全事件管理模塊提交的安全事件,并依據(jù)預(yù)設(shè)的報(bào)表 模板自動(dòng)生成安全運(yùn)營(yíng)報(bào)表。
優(yōu)選地,所述報(bào)文檢測(cè)模塊,包括應(yīng)用層協(xié)議代理模塊、入侵檢測(cè)模塊、防病毒模塊 和安全事件客戶端模塊;
所述應(yīng)用層協(xié)議代理模塊,接收所述企業(yè)提交的重定向報(bào)文,并將報(bào)文依次提交到所 述入侵檢測(cè)模塊和防病毒模塊,并將代理通過(guò)檢測(cè)的報(bào)文;提交本地安全事件到所述安全 事件客戶端模塊;
所述入侵檢測(cè)模塊,接收所述應(yīng)用層協(xié)議代理模塊提交的報(bào)文,并基于本地預(yù)設(shè)規(guī)則 對(duì)報(bào)文進(jìn)行入侵檢測(cè),提交檢測(cè)結(jié)果到所述應(yīng)用層協(xié)議代理模塊;提交本地安全事件到所 述安全事件客戶端模塊;
所述防病毒模塊,接收所述應(yīng)用層協(xié)議代理模塊提交的報(bào)文,并基于本地預(yù)設(shè)規(guī)則對(duì) 報(bào)文進(jìn)行病毒檢測(cè),提交檢測(cè)結(jié)果到所述應(yīng)用層協(xié)議代理模塊;提交本地安全事件到所述 安全事件客戶端模塊;
所述安全事件客戶端模塊,用于接收所述報(bào)文檢測(cè)模塊中其它模塊提交的本地安全事 件,并規(guī)整化為統(tǒng)一格式后,提交到所述資產(chǎn)安全管控模塊的所述安全事件管理模塊。
優(yōu)選地,所述終端安全管控模塊、所述主機(jī)安全管控模塊和所述網(wǎng)絡(luò)設(shè)備安全管控模 塊,部署在所述企業(yè)的內(nèi)網(wǎng)中,通過(guò)所述企業(yè)與所述中小企業(yè)安全托管系統(tǒng)間IPSecVPN
(即Internet Protocol Security Virtual Private Network,基于IPSec協(xié)議的VPN)隧道,
與所述資產(chǎn)安全管控模塊通信;所述通信消息的內(nèi)容加密;
所述遠(yuǎn)程掃描所述企業(yè)內(nèi)網(wǎng)活動(dòng)信息資產(chǎn)的漏洞信息和網(wǎng)絡(luò)拓?fù)湫畔?,僅能通過(guò)所述 企業(yè)與所述中小企業(yè)安全托管系統(tǒng)間IPSec VPN隧道進(jìn)行遠(yuǎn)程掃描。
優(yōu)選地,所述企業(yè)的維護(hù)人員,僅能瀏覽與所述企業(yè)內(nèi)網(wǎng)資產(chǎn)相關(guān)的安全運(yùn)營(yíng)報(bào)表; 僅能對(duì)所述企業(yè)內(nèi)網(wǎng)進(jìn)行遠(yuǎn)程掃描;僅能瀏覽和控制所述企業(yè)內(nèi)網(wǎng)資產(chǎn);所述企業(yè)的維護(hù)人員,只能通過(guò)所述企業(yè)與所述中小企業(yè)安全托管系統(tǒng)間IPSec VPN 隧道訪問(wèn)所述中小企業(yè)安全托管系統(tǒng);所述IPSec VPN隧道,只能由所述企業(yè)主動(dòng)創(chuàng)建。
本發(fā)明還提供了一種中小企業(yè)內(nèi)網(wǎng)信息安全托管方法,其核心是首先,企業(yè)與安全 服務(wù)提供商簽約,租用其文件空間與報(bào)文檢測(cè)流量容量;其次,在企業(yè)內(nèi)網(wǎng)與公網(wǎng)相連的 邊界網(wǎng)關(guān)設(shè)備上,將預(yù)設(shè)的應(yīng)用層協(xié)議報(bào)文重定向到安全服務(wù)提供商的報(bào)文檢測(cè)服務(wù)器; 再其次,在所述邊界上,建立與安全服務(wù)提供商間的IPSec VPN隧道,通過(guò)此隧道下載 并安裝客戶端模塊到內(nèi)網(wǎng)資產(chǎn)上;最后,通過(guò)安全服務(wù)提供商的中小企業(yè)內(nèi)網(wǎng)信息安全系 統(tǒng)對(duì)本企業(yè)的內(nèi)網(wǎng)資產(chǎn)進(jìn)行安全管控。
一種中小企業(yè)內(nèi)網(wǎng)信息安全托管方法,其中企業(yè)向安全服務(wù)提供商租借用于重定向報(bào) 文的帶寬,和用于保存報(bào)文檢測(cè)日志和報(bào)表的文件空間,還包括
(a) 在內(nèi)網(wǎng)終端和主機(jī)上分別提供安全服務(wù)提供商所提供的終端安全管控功能和主 機(jī)安全管控功能;在至少一臺(tái)主機(jī)上提供安全服務(wù)提供商所提供的網(wǎng)絡(luò)設(shè)備安全管控功 能,并管控所有支持SNMP協(xié)議的網(wǎng)絡(luò)設(shè)備;
(b) 在出口邊界設(shè)備上,將預(yù)設(shè)協(xié)議的報(bào)文重定向到安全服務(wù)提供商所提供的報(bào)文 檢測(cè)系統(tǒng);
(c) 建立到安全服務(wù)提供商的IPSecVPN隧道,登錄到位于安全服務(wù)提供商網(wǎng)絡(luò)中 的中小企業(yè)內(nèi)網(wǎng)信息安全托管系統(tǒng),并通過(guò)此隧道對(duì)步驟(a)中的所述終端安全管控功 能、主機(jī)安全管控功能和網(wǎng)絡(luò)設(shè)備安全管控功能進(jìn)行安全控制。
優(yōu)選地,安全服務(wù)提供商的報(bào)文檢測(cè)系統(tǒng)對(duì)企業(yè)的重定向報(bào)文進(jìn)行防攻擊、防病毒檢 測(cè)后,并通過(guò)應(yīng)用層協(xié)議代理中轉(zhuǎn)合法報(bào)文;所述重定向報(bào)文的帶寬僅能使用所述租借帶 寬的容量;以及,
安全服務(wù)提供商的所述中小企業(yè)內(nèi)網(wǎng)信息安全系統(tǒng)對(duì)企業(yè)內(nèi)網(wǎng)的所述終端安全管 控功能、主機(jī)安全管控功能和網(wǎng)絡(luò)設(shè)備安全管控功能上報(bào)的日志事件信息和運(yùn)行狀況信息 進(jìn)行分析,并基于預(yù)設(shè)安全基準(zhǔn)進(jìn)行響應(yīng)。
優(yōu)選地,所述應(yīng)用層協(xié)議代理,包括SMTP代理、POP3代理、HTTP代理、MSN通 信代理和透?jìng)鞔?,分別用于往來(lái)郵件內(nèi)容檢査、URL過(guò)濾、MSN通信內(nèi)容檢査和透?jìng)?報(bào)文;可疑的郵件內(nèi)容和附件,以及MSN通信報(bào)文摘要信息,均以文件形式保存在所述 租借文件空間中。
優(yōu)選地,所述終端安全管控功能、主機(jī)安全管控功能和網(wǎng)絡(luò)設(shè)備安全管控功能可定制 上報(bào)到所述安全服務(wù)提供商的所述中小企業(yè)內(nèi)網(wǎng)信息安全系統(tǒng)的信息條目種類與內(nèi)容;所 述中小企業(yè)內(nèi)網(wǎng)信息安全系統(tǒng)僅允許企業(yè)級(jí)維護(hù)人員査看本企業(yè)的內(nèi)網(wǎng)資產(chǎn)運(yùn)行安全狀
況;所述中小企業(yè)內(nèi)網(wǎng)信息安全系統(tǒng)向所述企業(yè)提供安全運(yùn)行報(bào)表,包括日?qǐng)?bào)、周報(bào)、月 報(bào)、季報(bào)和年報(bào)。
優(yōu)選地,所述安全服務(wù)提供商的所述中小企業(yè)內(nèi)網(wǎng)信息安全系統(tǒng)可通過(guò)所述步驟(c) 所建立的VPN隧道,遠(yuǎn)程掃描內(nèi)網(wǎng)資產(chǎn)的漏洞信息和網(wǎng)絡(luò)拓?fù)湫畔?;以及?br>
8所述安全服務(wù)提供商的所述中小企業(yè)內(nèi)網(wǎng)信息安全系統(tǒng)在發(fā)現(xiàn)安全風(fēng)險(xiǎn)后,及時(shí)通知 所述企業(yè)預(yù)設(shè)的安全管理人員。
本發(fā)明提供了一種企業(yè)內(nèi)網(wǎng)信息安全托管方法,企業(yè)無(wú)需采購(gòu)新的成套的安全管控設(shè) 備、也無(wú)需設(shè)置企業(yè)內(nèi)網(wǎng)安全管理員,但能依賴安全服務(wù)運(yùn)營(yíng)商提供的現(xiàn)有的產(chǎn)品與服務(wù), 即可獲得專業(yè)的安全服務(wù)。不但降低了企業(yè)的安全維護(hù)成本,同時(shí),也提高了企業(yè)的內(nèi)網(wǎng) 安全性。
本發(fā)明提供所提供的中小企業(yè)安全托管系統(tǒng)中,企業(yè)內(nèi)網(wǎng)信息資產(chǎn)與安全服務(wù)提供商 的安全托管系統(tǒng)間的信息交互,全通過(guò)企業(yè)與安全服務(wù)提供商間的IPSec VPN隧道承載, 保證了信息私密性;企業(yè)用戶可以定制需要上報(bào)的運(yùn)行事件;同時(shí),企業(yè)到安全服務(wù)提供 商間的VPN隧道由企業(yè)主動(dòng)維護(hù),增強(qiáng)了企業(yè)用戶的自主性;
本發(fā)明提供所提供的中小企業(yè)安全托管系統(tǒng)中,企業(yè)用戶僅能通過(guò)其與安全服務(wù)提供 商間的VPN隧道登錄到安全托管系統(tǒng),且僅能瀏覽與控制其相應(yīng)的內(nèi)網(wǎng)資產(chǎn),進(jìn)一步保 護(hù)了企業(yè)隱私信息。
本發(fā)明提供所提供的中小企業(yè)安全托管系統(tǒng)中,可對(duì)企業(yè)重定向的報(bào)文進(jìn)行防病毒和 入侵檢測(cè),實(shí)現(xiàn)了企業(yè)與公網(wǎng)間報(bào)文內(nèi)容實(shí)時(shí)檢測(cè),能對(duì)郵件、及時(shí)通信、互聯(lián)網(wǎng)訪問(wèn)進(jìn) 行有效管控。
圖1為本發(fā)明所述中小企業(yè)內(nèi)網(wǎng)信息安全托管系統(tǒng)功能框圖
圖2為本發(fā)明所述中小企業(yè)內(nèi)網(wǎng)信息安全托管方法流程圖
圖3為本發(fā)明所述中小企業(yè)內(nèi)網(wǎng)信息安全托管方法中的事件處理流程圖
具體實(shí)施例方式
如圖1所示,為本發(fā)明所述中小企業(yè)內(nèi)網(wǎng)信息安全托管系統(tǒng)功能框圖,包括資產(chǎn)管控 模塊M0、報(bào)文檢測(cè)模塊M1、安全策略模塊M2、終端安全管控模塊M3、主機(jī)安全管控 模塊M4、網(wǎng)絡(luò)設(shè)備安全管控模塊M5和身份認(rèn)證模塊M6。
其中,終端安全管控模塊M3、主機(jī)安全管控模塊M4和網(wǎng)絡(luò)設(shè)備安全管控模塊M5 供中小企業(yè)用戶下載,并安裝在企業(yè)的內(nèi)網(wǎng)的終端、主機(jī)和PC服務(wù)器上,用于收集宿主 終端、主機(jī)以及受控網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)數(shù)據(jù),以及接收源自資產(chǎn)管控模塊MO的控制命 令。
資產(chǎn)管控模塊M0、報(bào)文檢測(cè)模塊M1、安全策略模塊M2和身份認(rèn)證模塊M6部署 在安全服務(wù)提供商受保護(hù)機(jī)房?jī)?nèi)。位于企業(yè)內(nèi)網(wǎng)的模塊與位于安全服務(wù)提供商側(cè)的模塊通過(guò)IPSec VPN (基于IPSec協(xié) 議的VPN)隧道通信,以實(shí)現(xiàn)運(yùn)行狀態(tài)監(jiān)控和安全管控。
資產(chǎn)管控模塊M0,用于本發(fā)明所述中小企業(yè)內(nèi)網(wǎng)信息安全托管系統(tǒng)中的企業(yè)內(nèi)網(wǎng)資 產(chǎn)安全管控,自身可以封裝為獨(dú)立服務(wù),以支持企業(yè)用戶對(duì)其內(nèi)網(wǎng)資產(chǎn)進(jìn)行管控。接收并 處理終端安全管控模塊M3、主機(jī)安全管控模塊M4和網(wǎng)絡(luò)設(shè)備安全管控模塊M5提交的 注冊(cè)報(bào)文和心跳報(bào)文;依據(jù)安全策略模塊M2配置的響應(yīng)策略,自動(dòng)生成響應(yīng)指令,并下 發(fā)到終端安全管控模塊M3、和/或主機(jī)安全管控模塊M4、和/或網(wǎng)絡(luò)設(shè)備安全管控模塊 M5;接收維護(hù)人員的配置指令,并下發(fā)到終端安全管控模塊M3、和/或主機(jī)安全管控模 塊M4、和/或網(wǎng)絡(luò)設(shè)備安全管控模塊M5;接收并處理報(bào)文檢測(cè)模塊M1提交的安全事件 數(shù)據(jù);接收安全策略模塊M2的響應(yīng)策略和安全基準(zhǔn)數(shù)據(jù)。
資產(chǎn)管控模塊M0內(nèi)部包括資產(chǎn)快照模塊MOl、安全事件管理模塊M02、安全報(bào)表 模塊M03、安全監(jiān)控模塊M04和露從掃描模塊M05。
資產(chǎn)快照模塊MOl,與部署在企業(yè)內(nèi)網(wǎng)的終端管控模塊M3、主機(jī)安全管控模塊M4 和網(wǎng)絡(luò)設(shè)備安全管控模塊相連,用于接收并處理這些模塊提交注冊(cè)消息和心跳消息;同時(shí), 將控制命令下發(fā)到這些模塊。資產(chǎn)快照模塊MOl利用注冊(cè)消息和心跳消息構(gòu)建內(nèi)網(wǎng)資產(chǎn) 的運(yùn)行狀況安全快照,并對(duì)快照中偏離了預(yù)設(shè)安全基準(zhǔn)的屬性示警并構(gòu)造安全事件,同時(shí), 依據(jù)符合日志信息過(guò)濾條件的日志數(shù)據(jù)構(gòu)建安全事件,并將事件提交到安全事件管理模塊 M02;資產(chǎn)快照模塊MOl同時(shí)與漏洞掃描模塊M05和安全監(jiān)控模塊M04相連,接收并 處理漏洞掃描模塊M05提交漏洞信息、拓?fù)湫畔⒑筒僮飨到y(tǒng)指紋信息;接收并處理安全 監(jiān)控模塊M04提交的控制命令。
安全事件管理模塊M02,與資產(chǎn)快照模塊MOl、報(bào)文檢測(cè)模塊Ml、安全監(jiān)控模塊 M04和安全報(bào)表模塊M03相連,用于對(duì)源自安全資產(chǎn)快照模塊MOl提交的事件、報(bào)文檢 測(cè)模塊M1提交的安全事件進(jìn)行處理,包括單個(gè)事件處理、事件鏈處理和風(fēng)險(xiǎn)評(píng)估處理; 同時(shí),依據(jù)安全策略模塊M2的響應(yīng)策略,將事件以及響應(yīng)命令提交到安全監(jiān)控模塊M04, 將所有經(jīng)處理后的事件提交到安全報(bào)表模塊M03。
安全報(bào)表模塊M03,與安全事件管理模塊M02相連,用于接收安全事件管理模塊 M02提交的事件,并依據(jù)預(yù)設(shè)的報(bào)表模板生成報(bào)表;該模塊提供用戶操作界面,以便操 作員定義、修改、刪除報(bào)表模板。可以設(shè)置為令企業(yè)級(jí)用戶僅能管理自己內(nèi)網(wǎng)資產(chǎn)的安全 運(yùn)營(yíng)報(bào)表。
安全監(jiān)控模塊M04,與安全事件管理模塊M02和資產(chǎn)快照模塊M01相連,用于接收 安全事件管理模塊M02提交的事件數(shù)據(jù)和自動(dòng)響應(yīng)命令,并將事件數(shù)據(jù)以聲光示警,同 時(shí),依據(jù)響應(yīng)命令指示,將事件數(shù)據(jù)以Email、或MSN、或QQ通知到企業(yè)管理人;或者, 依據(jù)響應(yīng)命令指示,將命令提交到資產(chǎn)快照模塊MOl,由后者將命令發(fā)送到正確的執(zhí)行 體。
漏洞掃描模塊M05,與資產(chǎn)快照模塊M01相連,用于掃描指定目標(biāo)設(shè)備、和/或目標(biāo) 網(wǎng)段內(nèi)的漏洞信息、操作系統(tǒng)指紋信息和網(wǎng)絡(luò)拓?fù)湫畔?,并將掃描到的信息提交到資產(chǎn)快 照模塊MOl。
報(bào)文檢測(cè)模塊M1,與資產(chǎn)管控模塊M0和安全策略模塊M2相連,用于接收并處理中小企業(yè)邊界網(wǎng)關(guān)設(shè)備提交的重定向報(bào)文。將重定向報(bào)文經(jīng)入侵檢測(cè)處理、防病毒處理后,通過(guò)應(yīng)用層協(xié)議代理透明中轉(zhuǎn);在檢測(cè)到異常后,產(chǎn)生安全事件,并提交到資產(chǎn)管控模塊M0;報(bào)文檢測(cè)中產(chǎn)生的日志文件保存在企業(yè)用戶租用的文件空間中。
報(bào)文檢測(cè)模塊M1內(nèi)部包括應(yīng)用層協(xié)議代理模塊Mll、入侵檢測(cè)模塊M12、防病毒模塊M13和安全事件客戶端模塊M14。
應(yīng)用層協(xié)議代理模塊Mll,與安全事件客戶端模塊M14、防病毒模塊M13和入侵檢測(cè)模塊M12相連,用于接收并處理企業(yè)邊界網(wǎng)關(guān)設(shè)備提交的重定向報(bào)文。針對(duì)源自企業(yè)提交的重定向報(bào)文,將過(guò)入侵檢測(cè)處理、防病毒處理后,由不同的應(yīng)用層協(xié)議代理透明中轉(zhuǎn)報(bào)文;針對(duì)源自互聯(lián)網(wǎng)應(yīng)用的返回報(bào)文,經(jīng)過(guò)入侵檢測(cè)和防病毒處理后,才下發(fā)到企業(yè)的邊界網(wǎng)關(guān)設(shè)備。合法的邊界網(wǎng)關(guān)設(shè)備需配置到此模塊,該模塊針對(duì)出入報(bào)文進(jìn)行檢測(cè),自動(dòng)丟棄源地址或目的地址均未登記的報(bào)文。本模塊內(nèi)部集成了SMTP協(xié)議代理、P0P3協(xié)議代理、HTTP協(xié)議代理、MSN代理、QQ代理和不區(qū)分協(xié)議代理,分別用于處理郵件、WEB頁(yè)面瀏覽、及時(shí)通信和透明中轉(zhuǎn)報(bào)文。各協(xié)議代理在運(yùn)行時(shí)發(fā)現(xiàn)異常時(shí),會(huì)創(chuàng)建相應(yīng)的安全事件,并提交到安全事件客戶端模塊M14;應(yīng)用層協(xié)議代理模塊針對(duì)報(bào)文流量統(tǒng)計(jì)信息以安全事件的方式提交到安全事件客戶端模塊M14。
應(yīng)用層協(xié)議代理模塊Mll,中轉(zhuǎn)報(bào)文時(shí),利用令牌桶進(jìn)行流量控制,源自同一個(gè)合法企業(yè)的報(bào)文,共用一個(gè)桶。超過(guò)流量閾值的報(bào)文,將被直接丟棄。
入侵檢測(cè)模塊M12,與應(yīng)用層協(xié)議代理模塊Mil相連,接收應(yīng)用層協(xié)議代理模塊Mil提交的報(bào)文,并進(jìn)行入侵檢測(cè)處理。本模塊結(jié)束源自安全策略模塊M2提交的檢測(cè)規(guī)則,對(duì)報(bào)文進(jìn)行全局檢測(cè)。檢測(cè)出攻擊時(shí),產(chǎn)生安全事件,提交到安全事件客戶端模塊M14;同時(shí),請(qǐng)求應(yīng)用層協(xié)議代理模塊Mll中斷當(dāng)前異常報(bào)文所關(guān)聯(lián)的會(huì)話。
防病毒模塊M13,與應(yīng)用層協(xié)議代理模塊M11相連,接收應(yīng)用層協(xié)議代理模塊Mll提交的報(bào)文,并進(jìn)行防病毒處理;防病毒處理的結(jié)果保存為日志文件,內(nèi)部集成的日志挖掘功能會(huì)定期檢測(cè)日志內(nèi)容,發(fā)現(xiàn)病毒后,產(chǎn)生安全事件,并提交安全事件客戶端模塊M14;同時(shí),請(qǐng)求應(yīng)用層協(xié)議代理模塊M11中斷當(dāng)前異常報(bào)文所關(guān)聯(lián)的會(huì)話。
安全事件客戶端模塊M14,與應(yīng)用層協(xié)議代理模塊Mll、入侵檢測(cè)模塊M12和防病毒模塊M13相連,用于接收這些模塊提交的安全事件,并進(jìn)行格式檢查后,提交到資產(chǎn)管控模塊M0的安全事件管理模塊M02上,由后者對(duì)安全事件進(jìn)行處理。本模塊接收安全策略模塊M2的控制,只上報(bào)策略所指定的安全事件。缺省時(shí),上報(bào)所有安全事件。
安全策略模塊M2,與資產(chǎn)管控模塊M0和報(bào)文檢測(cè)模塊M1相連,用于維護(hù)人員配置不同安全基線、安全事件處理策略、入侵檢測(cè)規(guī)則、安全事件上報(bào)等。將安全基線數(shù)據(jù)和安全事件處理策略數(shù)據(jù)提交到資產(chǎn)管控模塊MO;將入侵檢測(cè)規(guī)則、安全事件上報(bào)規(guī)則數(shù)據(jù)提交到報(bào)文檢測(cè)模塊M1。本發(fā)明所述系統(tǒng)級(jí)管理員設(shè)定的策略,對(duì)所有企業(yè)級(jí)用戶可見(jiàn);而企業(yè)級(jí)用戶設(shè)定的策略,僅對(duì)該企業(yè)的其它管理員可見(jiàn)。各企業(yè)級(jí)用戶必須啟用己選定的策略,缺省時(shí),所有策略均未啟用。
終端安全管控模塊M3,與資產(chǎn)管控模塊M0的資產(chǎn)快照模塊M01和身份認(rèn)證模塊M6相連,用于上報(bào)Windows終端的運(yùn)行狀況,同時(shí),接收資產(chǎn)快照模塊M01的控制命令,實(shí)現(xiàn)企業(yè)內(nèi)網(wǎng)終端資產(chǎn)安全管控。利用啟動(dòng)后采集到硬件信息、鄰居信息和軟件信息構(gòu)造認(rèn)證報(bào)文,向資產(chǎn)快照模塊MOl申請(qǐng)注冊(cè);同時(shí),利用運(yùn)行中定期采集到硬件信息、鄰居信息、軟件信息和挖掘到的日志信息構(gòu)造心跳報(bào)文,向資產(chǎn)快照模塊MOl匯報(bào)運(yùn)行狀況??蛇x地,終端安全管控模塊M3向身份認(rèn)證模塊M6不定期發(fā)起身份認(rèn)證,只有身份認(rèn)證通過(guò)后,終端安全管控模塊M3才進(jìn)入正常工作態(tài),否則,會(huì)鎖定終端,導(dǎo)致終端不可用。
主機(jī)安全管控模塊M4,與資產(chǎn)管控模塊M0的資產(chǎn)快照模塊M01和身份認(rèn)證模塊M6相連,用于上報(bào)主機(jī)的運(yùn)行狀況,同時(shí),接收資產(chǎn)快照模塊M01的控制命令,實(shí)現(xiàn)企業(yè)內(nèi)網(wǎng)主機(jī)類資產(chǎn)安全管控。本模塊首先向身份認(rèn)證模塊M6發(fā)起身份認(rèn)證請(qǐng)求,身份驗(yàn)證互通過(guò)后,才向資產(chǎn)快照模塊M01注冊(cè)和上報(bào)心跳信息。注冊(cè)信息包括采集到的硬件設(shè)備和軟件信息;心跳信息包括定期采集到的硬件信息、軟件信息和過(guò)濾出的日志信息。主機(jī)安全管控模塊M4允許管理人員對(duì)注冊(cè)消息和心跳信息的內(nèi)容進(jìn)行定制,以便屏蔽部分進(jìn)程與服務(wù)信息。
網(wǎng)絡(luò)設(shè)備安全管控模塊M5,與資產(chǎn)管控模塊M0的資產(chǎn)快照模塊M01和身份認(rèn)證模塊M6相連,用于上報(bào)所轄管的各網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況,同時(shí),接收資產(chǎn)快照模塊M01的控制命令,轉(zhuǎn)化為標(biāo)準(zhǔn)SNMP命令后,提交到目標(biāo)網(wǎng)絡(luò)設(shè)備,實(shí)現(xiàn)對(duì)目標(biāo)設(shè)備的安全管控。本模塊可以管控多個(gè)支持SNMP協(xié)議的網(wǎng)絡(luò)設(shè)備。本模塊在啟動(dòng)后,立即向身份認(rèn)證模塊M6申請(qǐng)身份驗(yàn)證,驗(yàn)證通過(guò)后,采集本模塊的宿主機(jī)器的硬件信息和軟件信息,并以這些信息為基礎(chǔ),構(gòu)造注冊(cè)報(bào)文,向資產(chǎn)快照模塊MOl注冊(cè);同時(shí),依據(jù)預(yù)設(shè)的順序與時(shí)間頻率,采集各網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)數(shù)據(jù),并上報(bào)到資產(chǎn)快照模塊MOl,該資產(chǎn)快照模塊MOl將以此類狀態(tài)數(shù)據(jù)構(gòu)建網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)快照;接收網(wǎng)絡(luò)設(shè)備的SNMPTrap (簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議自陷)消息,并格式化后保存到緩存區(qū),該緩存區(qū)的信息將定期提交到資產(chǎn)快照模塊MOl。
身份認(rèn)證模塊M6,與終端安全管控模塊M3、主機(jī)安全管控模塊M4和網(wǎng)絡(luò)設(shè)備安全管控模塊M5相連,用于對(duì)部署在企業(yè)內(nèi)網(wǎng)的各模塊進(jìn)行節(jié)點(diǎn)身份驗(yàn)證;同時(shí),對(duì)企業(yè)管理員登錄到本發(fā)明所述系統(tǒng)時(shí),進(jìn)行用戶身份驗(yàn)證。本模塊缺省地采用PKI機(jī)制的X509數(shù)字證書(shū)節(jié)點(diǎn)雙向認(rèn)證方式對(duì)節(jié)點(diǎn)進(jìn)行身份認(rèn)證;采用X 509數(shù)字證書(shū)用戶單向認(rèn)證方式對(duì)用戶身份進(jìn)行驗(yàn)證。身份認(rèn)證成功后,本模塊請(qǐng)求防火墻系統(tǒng)放開(kāi)客戶端到本發(fā)明所述系統(tǒng)服務(wù)間的通信通路;定期檢測(cè)節(jié)點(diǎn)和用戶的在線狀態(tài),發(fā)現(xiàn)不足線后,立即請(qǐng)求墻防火墻系統(tǒng)關(guān)閉客戶端到本發(fā)明所述系統(tǒng)服務(wù)間的通信通路。
如圖2所示,為本發(fā)明所述中小企業(yè)內(nèi)網(wǎng)信息安全托管方法流程圖,包括如下步驟
步驟S1:安裝內(nèi)網(wǎng)安全管控軟件,包括從安全服務(wù)提供商的服務(wù)網(wǎng)絡(luò)下載Windows終端安全管控軟件、Linux主機(jī)安全管控軟件、Unix主機(jī)安全管控軟件、Windows主機(jī)安全管控軟件、網(wǎng)絡(luò)設(shè)備安全管控軟件,并分別安裝到終端計(jì)算機(jī)、主機(jī)以及空閑計(jì)算機(jī)上。
在執(zhí)行本步驟前,企業(yè)必須與安全服務(wù)提供商簽訂協(xié)議,就租借重定向報(bào)文流量檢測(cè)用帶寬容量以及保存安全報(bào)表、安全檢査日志用的文件空間容量達(dá)成一致,并獲得安全服務(wù)提供商為其分配的VPN客戶端接入用用戶名/密碼,安全托管系統(tǒng)管理員用戶/密碼;以及通用的VPN服務(wù)器IP地址、安全托管系統(tǒng)IP地址等。
企業(yè)用戶在獲得上述接入信息后,首先利用VPN客戶端用戶名/密碼,成功建立到安全服務(wù)提供商網(wǎng)絡(luò)的IPSecVPN后,通過(guò)此VPN隧道訪問(wèn)安全托管系統(tǒng),并從其Web站點(diǎn)上下載終端安全管控軟件、主機(jī)安全管控軟件和網(wǎng)元安全管控軟件。
所述終端安全管控軟件,即本發(fā)明所述中小企業(yè)內(nèi)網(wǎng)信息安全托管系統(tǒng)中的終端安全管控模塊M3,僅支持Windows類終端安全管控,內(nèi)部包括軟件白名單管控、文件防護(hù)管控、安全操作日志檢索、以及資產(chǎn)管控功能。在安裝時(shí),自動(dòng)生成本地軟件白名單,白名單管控與文件防護(hù)功能模塊為驅(qū)動(dòng)程序,隨操作系統(tǒng)自動(dòng)加載;白名單內(nèi)容與文件管控的目標(biāo)文件均自動(dòng)上報(bào)到安全托管系統(tǒng)上,以便企業(yè)維護(hù)員通過(guò)該安全管控系統(tǒng)集中控制其內(nèi)網(wǎng)中的Windows終端;文件防護(hù)管控自動(dòng)保護(hù)白名單驅(qū)動(dòng)、白名單文件不受非授權(quán)進(jìn)程訪問(wèn),即終端用戶不能訪問(wèn)這些文件。終端安全管控軟件啟動(dòng)時(shí),會(huì)主動(dòng)上報(bào)資產(chǎn)信息,包括硬件信息,如CPU、內(nèi)存、硬盤、監(jiān)視器、網(wǎng)絡(luò)適配器、顯卡等在Windows的"設(shè)備管理器"中列表的硬件資產(chǎn)信息;用戶信息,包括用戶與群組信息;服務(wù)信息,包括服務(wù)名、狀態(tài)、進(jìn)程號(hào)、描述、可執(zhí)行文件長(zhǎng)文件名等;活動(dòng)端口,包括端口號(hào)、協(xié)議;活動(dòng)連接,包括本地IP、本地端口、對(duì)方IP、對(duì)方端口、協(xié)議;共享目錄信息;網(wǎng)絡(luò)配置信息;鄰居信息,包括MAC (即Media Access Control,介質(zhì)訪問(wèn)控制)地址、IP地址;活動(dòng)進(jìn)程信息,包括進(jìn)程名、進(jìn)程IP、進(jìn)程關(guān)聯(lián)模塊信息;啟動(dòng)組信息,包括注冊(cè)表項(xiàng)、名稱和帶絕對(duì)路徑的可執(zhí)行文件名;內(nèi)核模塊信息,包括短文件名、長(zhǎng)文件名;所有這些信息,通過(guò)WMI (即Windows管理接口)或windows內(nèi)核函數(shù)獲取,并提交安全服務(wù)提供商側(cè)的中小企業(yè)內(nèi)網(wǎng)信息安全托管系統(tǒng),該系統(tǒng)將以終端安全管控軟件提交的數(shù)據(jù),重建資產(chǎn)運(yùn)行快照;同時(shí),在該系統(tǒng)上,除了硬件資產(chǎn)外,企業(yè)維護(hù)員可以對(duì)軟件資產(chǎn)進(jìn)行管控,包括關(guān)閉服務(wù)、結(jié)束進(jìn)程、關(guān)閉連接、關(guān)閉共享等。終端安全管控軟件需要以管理員身份運(yùn)行。
所述終端安全管控軟件,在運(yùn)行過(guò)程中,定期向安全服務(wù)提供商的中小企業(yè)內(nèi)網(wǎng)信息安全托管系統(tǒng)匯報(bào)心跳信息,該心跳信息中除了包含啟動(dòng)時(shí)上報(bào)信息所包含的內(nèi)容項(xiàng)外,還包括從運(yùn)行日志中檢索出的日志,包括時(shí)間、操作系統(tǒng)事件ID、事件描述等,并將其轉(zhuǎn)化為統(tǒng)一的日志事件格式,包括探測(cè)器(終端安全管控軟件)、事件標(biāo)志(操作系統(tǒng)事件ID)、時(shí)間(操作系統(tǒng)事件時(shí)間)、源IP (終端IP或從日志條目中過(guò)濾而來(lái)的源IP)、源端口 (ANY或從日志條目中過(guò)濾而來(lái)的源端口)、目標(biāo)IP (終端IP或從日志條目中過(guò)濾而來(lái)的目標(biāo)IP)、目標(biāo)端口 (ANY或從日志條目中過(guò)濾而來(lái)的目標(biāo)端口)、事件內(nèi)容(事件描述)。日志檢索采用LUA正則表達(dá)式,對(duì)需要關(guān)注的每個(gè)事件,定義一個(gè)不同的LUA正則表達(dá)式。
所述主機(jī)安全管控軟件,即本發(fā)明所述中小企業(yè)內(nèi)網(wǎng)信息安全托管系統(tǒng)中的主機(jī)安全管控模塊M4,包括Windows主機(jī)安全管控、Linux主機(jī)安全管控和Unix主機(jī)安全管控共3大類。這類軟件需要首先在安全服務(wù)提供商的中小企業(yè)內(nèi)網(wǎng)信息安全托管系統(tǒng)上為其頒發(fā)數(shù)字證書(shū),否則,此類軟件與所述中小企業(yè)內(nèi)網(wǎng)信息安全托管系統(tǒng)間不啟用X509節(jié)點(diǎn)認(rèn)證。主機(jī)安全管控軟件啟動(dòng)時(shí),會(huì)將本地運(yùn)行環(huán)境信息上報(bào)到所述中小企業(yè)內(nèi)網(wǎng)信息安全托管系統(tǒng);同時(shí),通過(guò)所述中小企業(yè)內(nèi)網(wǎng)信息安全托管系統(tǒng),可以對(duì)運(yùn)行環(huán)境信息進(jìn)行控制,包括強(qiáng)制終止進(jìn)程、清理磁盤文件、關(guān)閉活動(dòng)連接、強(qiáng)制用戶下線、重啟服務(wù)等。這里所述的運(yùn)行環(huán)境信息,包括負(fù)載信息,內(nèi)含磁盤容量以及負(fù)載、內(nèi)存容量以及負(fù)責(zé)、CPU容量以及負(fù)載、網(wǎng)絡(luò)容量以及負(fù)載;活動(dòng)端口信息,內(nèi)含端口號(hào)、進(jìn)程號(hào);活動(dòng)進(jìn)程信息,內(nèi)含CPU消耗、內(nèi)存消耗、執(zhí)行命令名、啟動(dòng)用戶名、關(guān)聯(lián)的模塊名(長(zhǎng)文件名以及SOCKET)等;活動(dòng)用戶信息,內(nèi)含用戶名、終端名、IP地址、上線時(shí)間等;活動(dòng)連接信息,內(nèi)含本地IP、本地端口、遠(yuǎn)端IP、遠(yuǎn)端端口和活動(dòng)狀態(tài);安全操作日志信息,內(nèi)含時(shí)間、用戶名、IP地址、結(jié)果描述等;所有信息,均采用API函數(shù)而非SHELL命令采集。
所述主機(jī)安全管控軟件,在正常運(yùn)行中,還定期上報(bào)主機(jī)的狀況信息,該信息中除了啟動(dòng)時(shí)上報(bào)信息中的內(nèi)容項(xiàng)外,還包括從安全操作日志、操作系統(tǒng)運(yùn)行日志中通過(guò)字符串比較匹配的日志條目信息,內(nèi)含時(shí)間、操作結(jié)果、操作內(nèi)容的描述;并將其轉(zhuǎn)化為統(tǒng)一的日志事件格式,包括探測(cè)器(主機(jī)安全管控軟件)、事件標(biāo)志(依據(jù)匹配的關(guān)鍵字找到的事件ID)、時(shí)間(操作系統(tǒng)事件時(shí)間)、源IP (主機(jī)IP或從日志信息中過(guò)濾而來(lái)的源IP)、源端口 (ANY或從日志信息中過(guò)濾而來(lái)的源端口)、目標(biāo)IP (主機(jī)IP或從日志信息中過(guò)濾而來(lái)的目標(biāo)IP)、目標(biāo)端口 (ANY或從日志信息中過(guò)濾而來(lái)的目標(biāo)端口)、事件內(nèi)容(操作結(jié)果與操作內(nèi)容的并集)。日志事件采集也是利用LUA (即LUA語(yǔ)言)正則表達(dá)式提取內(nèi)容。
所述網(wǎng)元安全管控軟件,也就是網(wǎng)絡(luò)設(shè)備安全管控軟件,即本發(fā)明所述中小企業(yè)內(nèi)網(wǎng)信息安全托管系統(tǒng)中的網(wǎng)絡(luò)設(shè)備安全管控模塊M5,用于管控企業(yè)內(nèi)網(wǎng)的網(wǎng)絡(luò)設(shè)備,包括路由器、交換機(jī)和防火墻等支持SNMP協(xié)議的設(shè)備。該網(wǎng)元安全管控軟件獨(dú)立部署在至少一臺(tái)主機(jī)上,用以能管控不同子網(wǎng)段的網(wǎng)絡(luò)設(shè)備。網(wǎng)元安全管控軟件同前邊的終端安全管控軟件、主機(jī)安全管控軟件相比, 一套網(wǎng)元安全管控軟件可以管控多個(gè)網(wǎng)絡(luò)設(shè)備。網(wǎng)元安全管控軟件通過(guò)SNMP協(xié)議采集受監(jiān)控設(shè)備的運(yùn)行狀況數(shù)據(jù),內(nèi)嵌了主流廠商,如華為、H3C、思科、D-Link公司已公開(kāi)的MIB庫(kù)。同時(shí),接收設(shè)備的SNMPTrap消息。在配置受管控網(wǎng)絡(luò)設(shè)備的IP地址時(shí),只能配置其管理口的IP地址;網(wǎng)元安全管控軟件同時(shí)支持CLI (即Command Line Interface,命令行接口 )命令采集設(shè)備的運(yùn)行狀態(tài)數(shù)據(jù);但啟用CLI方式時(shí),必須配置受管控設(shè)備的廠家、設(shè)備型號(hào),因?yàn)镃LI命令是與不同廠家不同型號(hào)的設(shè)備緊耦合的。
所述網(wǎng)元安全管控軟件啟動(dòng)后,自身向所述中小企業(yè)內(nèi)網(wǎng)信息安全托管系統(tǒng)發(fā)送狀態(tài)消息,該消息同所述終端安全管控軟件上報(bào)的資產(chǎn)信息內(nèi)容一致;在隨后的運(yùn)行中,會(huì)基于預(yù)設(shè)的頻率間隔,采集各受控網(wǎng)絡(luò)設(shè)備的運(yùn)行數(shù)據(jù),如網(wǎng)絡(luò)吞吐量、CPU負(fù)載、內(nèi)存負(fù)載等,同時(shí),將當(dāng)前時(shí)間界隔內(nèi)該設(shè)備的SNMPTrap消息,解析成固定格式的事件數(shù)據(jù),包括探測(cè)器(網(wǎng)元安全管控軟件)、事件標(biāo)志(依據(jù)SNMPTrap消息內(nèi)容檢索事件標(biāo)識(shí)表所得)、時(shí)間(事件時(shí)間)、源IP (網(wǎng)元IP或從SNMP Trap內(nèi)容中過(guò)濾而來(lái)的源IP)、源端口 (ANY或從Trap內(nèi)容中過(guò)濾而來(lái)的源端口)、目標(biāo)IP (網(wǎng)元IP或從SNMP Trap內(nèi)容中過(guò)濾而來(lái)的目標(biāo)IP)、目標(biāo)端口 (ANY或從SNMP Trap內(nèi)容中過(guò)濾而來(lái)的目標(biāo)端口)、事件內(nèi)容(SNMP Trap轉(zhuǎn)化成的字符串),上報(bào)到所述中小企業(yè)內(nèi)網(wǎng)信息安全托管系統(tǒng)。通過(guò)中小企業(yè)內(nèi)網(wǎng)信息安全托管系統(tǒng)的操作界面,管理員可以手工提取指定網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)級(jí)數(shù)據(jù),如路由表、生成樹(shù)以及規(guī)則等。同時(shí),可指定是否對(duì)設(shè)備的配置信息進(jìn)行完整性驗(yàn)證,網(wǎng)元安全管控軟件將定期采集指定了完整性驗(yàn)證的網(wǎng)絡(luò)設(shè)備的配置數(shù)據(jù),并進(jìn)行比較,發(fā)現(xiàn)變更時(shí),將立即創(chuàng)建日志事件,其緩存到日志事件隊(duì)列中。所述日志事件隊(duì)列由多個(gè)子隊(duì)列組成,所有子隊(duì)列的頭節(jié)點(diǎn)為受管控設(shè)備的IP地址標(biāo)識(shí)。
同時(shí),所述網(wǎng)元安全管控軟件內(nèi)嵌了 syslog (即syslog協(xié)議)服務(wù)功能,只要開(kāi)啟了該功能,可以將支持syslog協(xié)議的設(shè)備的syslog日志強(qiáng)制上傳到該網(wǎng)元安全管控軟件所在的宿主機(jī)上; 一旦開(kāi)啟了 syslog服務(wù)功能,則日志解析功能自動(dòng)開(kāi)啟。進(jìn)一步地,所述網(wǎng)元安全管控軟件同時(shí)還集成了 TFTP (即Trivial File Transfer Protocol,簡(jiǎn)單文件傳輸協(xié)議)服務(wù)功能, 一旦開(kāi)啟本TFTP服務(wù),則可以要求支持TFTP協(xié)議的設(shè)備將本地日志上傳到本網(wǎng)元安全管控軟件所在的宿主機(jī)上。該功能依據(jù)預(yù)設(shè)的過(guò)濾規(guī)則(即LUA正則
14表達(dá)式),從所述上傳的日志條目中過(guò)濾內(nèi)容, 一旦過(guò)濾到了內(nèi)容,則構(gòu)造日志事件,包括探測(cè)器(網(wǎng)元安全管控軟件)、事件標(biāo)志(依據(jù)日志條目?jī)?nèi)容所匹配的過(guò)濾條件而定)、時(shí)間(日志發(fā)生時(shí)間)、源IP (日志來(lái)源機(jī)器的IP)、源端口 (ANY或從日志內(nèi)容中過(guò)濾而來(lái)的源端口)、目標(biāo)IP (日志來(lái)源機(jī)器的IP或從日志內(nèi)容中過(guò)濾而來(lái)的目標(biāo)IP)、目標(biāo)端口 (ANY或從日志內(nèi)容中過(guò)濾而來(lái)的目標(biāo)端口)、事件內(nèi)容(日志描述),并緩存到日志事件隊(duì)列中,所述網(wǎng)元安全管控軟件會(huì)以恒定間隔讀取該隊(duì)列中的內(nèi)容,并上報(bào)到所述中小企業(yè)內(nèi)網(wǎng)信息安全托管系統(tǒng)上。只有上報(bào)成功,才將緩存區(qū)中的日志事件條目清除;一旦緩存區(qū)滿,則轉(zhuǎn)存到本地文件,并清空緩存區(qū)內(nèi)容;轉(zhuǎn)存的文件在發(fā)現(xiàn)所述中小企業(yè)內(nèi)網(wǎng)信息安全托管系統(tǒng)可達(dá)時(shí),將立即上傳。
步驟S2:重定向外出報(bào)文到報(bào)文檢測(cè)服務(wù)系統(tǒng);企業(yè)管理員在其內(nèi)網(wǎng)與公網(wǎng)間的邊界設(shè)備上,將預(yù)定的應(yīng)用層協(xié)議報(bào)文重定向到所述中小企業(yè)內(nèi)網(wǎng)信息安全托管系統(tǒng)的報(bào)文檢測(cè)服務(wù)系統(tǒng),由該系統(tǒng)對(duì)重定向的報(bào)文進(jìn)行檢測(cè)。
所述報(bào)文檢測(cè)服務(wù)系統(tǒng),即本發(fā)明所述中小企業(yè)內(nèi)網(wǎng)信息安全托管系統(tǒng)中的報(bào)文檢測(cè)模塊M1,該模塊可以獨(dú)立部署,從而對(duì)外表現(xiàn)為獨(dú)立為報(bào)文檢測(cè)服務(wù)系統(tǒng)。
如果邊界設(shè)備支持按協(xié)議重定向,如應(yīng)用級(jí)網(wǎng)關(guān)設(shè)備,可以將指定協(xié)議(或不區(qū)分協(xié)議)的報(bào)文重定向到報(bào)文檢測(cè)服務(wù)系統(tǒng);如果所有邊界設(shè)備均不支持報(bào)文重定向,則需要首先建立到報(bào)文檢測(cè)服務(wù)系統(tǒng)的VPN隧道,該隧道采用IP-over-IP (即IP封裝IP)方式封裝報(bào)文,然后通過(guò)此隧道外發(fā)所有報(bào)文;利用VPN隧道傳送外發(fā)報(bào)文時(shí),可能在報(bào)文流量大時(shí),會(huì)影響性能,因此,需要依據(jù)實(shí)際情況,建多條隧道,同時(shí),重新規(guī)劃企業(yè)內(nèi)部拓?fù)浣Y(jié)構(gòu),通過(guò)設(shè)置不同的路由關(guān)系,在內(nèi)網(wǎng)主動(dòng)分流到不同隧道。
企業(yè)提交的重定向報(bào)文的流量,不能超過(guò)其租借的流量容量。安全服務(wù)提供商側(cè)的報(bào)文檢測(cè)系統(tǒng),通過(guò)令牌桶機(jī)制限制中轉(zhuǎn)流量,如果超過(guò)了租借的流量容量,則直接丟棄超過(guò)容量的報(bào)文。
位于安全服務(wù)提供商機(jī)房的報(bào)文檢測(cè)系統(tǒng)收到重定向報(bào)文后,首先會(huì)對(duì)源端,和/或目的端進(jìn)行驗(yàn)證,只處理源端或目的端IP已注冊(cè)的報(bào)文,其它報(bào)文將直接丟棄;然后將報(bào)文依據(jù)依次提交到內(nèi)部不同應(yīng)用層協(xié)議代理模塊Mll。
應(yīng)用層協(xié)議代理包括SMTP協(xié)議代理、POP3協(xié)議代理、HTTP協(xié)議代理、MSN代理、QQ代理和不區(qū)分協(xié)議代理,分別用于網(wǎng)絡(luò)郵件管控、基于網(wǎng)頁(yè)的訪問(wèn)管控、及時(shí)通信管控和未分協(xié)議的簡(jiǎn)單管控。缺省時(shí),應(yīng)用層協(xié)議報(bào)文會(huì)提交到相應(yīng)的應(yīng)用層協(xié)議代理上,但是企業(yè)管理員可以指定報(bào)文檢測(cè)系統(tǒng)只單獨(dú)處理部分協(xié)議,如HTTP協(xié)議,而其它協(xié)議都提交到不區(qū)分協(xié)議代理。
SMTP協(xié)議代理和P0P3協(xié)議代理采用相似的處理機(jī)制首先基于協(xié)議解碼活動(dòng)郵件內(nèi)容,然后對(duì)外出郵件,基于關(guān)鍵字進(jìn)行過(guò)濾,如果過(guò)濾到信息,則 郵件內(nèi)容寫(xiě)入租用的文件空間;如果過(guò)濾到核心機(jī)密級(jí)的內(nèi)容,則保存內(nèi)容到文件空間,同時(shí),產(chǎn)生告警信息,并不中轉(zhuǎn)此郵件;針對(duì)郵件中的附件,簡(jiǎn)單地保存到文件空間,以便人工審計(jì),附件內(nèi)容不進(jìn)行解碼;最后透?jìng)鲌?bào)文。
HTTP協(xié)議代理首先記錄協(xié)議頭域信息;然后基于預(yù)設(shè)的URL黒名單,直接丟棄報(bào)文;然后基于預(yù)設(shè)的時(shí)間段與客戶段關(guān)系策略,直接丟棄違規(guī)訪問(wèn);并最終透?jìng)鱄TTP報(bào)文。所有頭域信息以XML文件格式,依據(jù)時(shí)間段,保存到文件空間上。
MSN代理和QQ代理采用類似的處理機(jī)制記錄源端的IP地址、并更新其在線時(shí)間與消息發(fā)送頻率;可選地,將談話[^容以及往來(lái)附件保存到文件空間;最后透?jìng)鲌?bào)文。因?yàn)镸SN和QQ的談話內(nèi)容均是加密的,缺省是不保存談話信息。
不區(qū)分協(xié)議代理只簡(jiǎn)單記錄源端IP、源端端口、協(xié)議、目標(biāo)IP、目標(biāo)端口和報(bào)文長(zhǎng)度信息,并透明中轉(zhuǎn)報(bào)文;
應(yīng)用層協(xié)議代理在處理往來(lái)報(bào)文前,先進(jìn)行入侵檢測(cè)和防病毒處理。報(bào)文首先提交到入侵檢測(cè)模塊M12,該模塊自身為NIDS (即Network Intrusion Detection System,網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)),可對(duì)報(bào)文基于已知規(guī)則的入侵檢測(cè)處理。入侵檢測(cè)模塊M12檢測(cè)到確定的攻擊特征后,直接通知應(yīng)用層協(xié)議代理模塊M11關(guān)閉與之關(guān)聯(lián)的會(huì)話,并產(chǎn)生告警事件;如果檢測(cè)到攻擊特征但不確定時(shí),則只產(chǎn)生告警事件;報(bào)文隨后會(huì)提交到防病毒模塊M13,該模塊自身為防病毒系統(tǒng),內(nèi)嵌的處理模塊會(huì)實(shí)時(shí)采集防病毒系統(tǒng)的運(yùn)行日志(利用正則表達(dá)式提取內(nèi)容),發(fā)現(xiàn)病毒時(shí),同樣會(huì)產(chǎn)生告警,并要求應(yīng)用層協(xié)議代理模塊Mil關(guān)閉與之關(guān)聯(lián)的活動(dòng)會(huì)話。
報(bào)文檢測(cè)系統(tǒng)內(nèi)產(chǎn)生的告警,通過(guò)其內(nèi)部的安全事件客戶端模塊M14提交到資產(chǎn)管理模塊M0。安全事件客戶端模塊M14首先檢査其它模塊提交的事件格式是否正確,然后添加上提交時(shí)間屬性后,通過(guò)有名管道或網(wǎng)絡(luò)接口提交到資產(chǎn)管理模塊MO。事件的屬性包括探測(cè)器(具體模塊標(biāo)識(shí))、事件標(biāo)志(具體事件標(biāo)識(shí))、時(shí)間(事件時(shí)間)、源IP (探測(cè)器依據(jù)具體事件填寫(xiě),事件的源IP地址)、源端口 (ANY或具體端口)、目標(biāo)IP (探測(cè)器依據(jù)具體事件填寫(xiě),缺省首選目標(biāo)IP地址,無(wú)目標(biāo)IP地址時(shí)為源IP地址)、目標(biāo)端口(ANY或具體端口)、事件內(nèi)容(由探測(cè)器依據(jù)實(shí)際情況填寫(xiě)的事件內(nèi)容)。
報(bào)文檢測(cè)系統(tǒng)模塊Ml所用的IDS (即Intrusion Detection System,入侵檢測(cè)系統(tǒng))策略,可以由企業(yè)維護(hù)人員通過(guò)安全策略模塊M2設(shè)置;保存的文件處理策略,以及上報(bào)的安全事件策略都是由企業(yè)維護(hù)人員設(shè)定的,安全服務(wù)提供商可以通過(guò)安全策略模塊M2設(shè)定對(duì)所有企業(yè)均適用的此類策略,但企業(yè)的維護(hù)人員可以對(duì)這類策略進(jìn)行控制,如不啟用。各企業(yè)自行設(shè)定的策略只對(duì)該企業(yè)的重定向報(bào)文檢測(cè)有效。
步驟S3:內(nèi)網(wǎng)安全管控,企業(yè)管理人員可通過(guò)VPN隧道登錄到安全服務(wù)提供商的企業(yè)內(nèi)容信息安全托管系統(tǒng),對(duì)其內(nèi)網(wǎng)IT資產(chǎn)進(jìn)行安全管控。
企業(yè)管理人員首先建立到安全托管系統(tǒng)的IPSec VPN隧道,然后檢測(cè)安裝在內(nèi)網(wǎng)的終端安全管控軟件、主機(jī)安全管控軟件和網(wǎng)絡(luò)設(shè)備安全管控軟件的日志,確定此類軟件能通過(guò)該的IPSec VPN隧道提交報(bào)文到安全托管系統(tǒng),即在日志中未出現(xiàn)"等待服務(wù)端響應(yīng)超時(shí)"或"數(shù)據(jù)發(fā)送失敗"類提示。缺省地,該IPSec VPN隧道是一直存在的。
企業(yè)管理人員將保存有身份信息的硬件裝置,如USB KEY,連接到計(jì)算機(jī),并通過(guò)瀏覽器訪問(wèn)安全托管系統(tǒng),在"認(rèn)證方式"中選擇"USBKEY",并輸入企業(yè)編號(hào)、企業(yè)密碼、管理員名和密碼;
安全托管系統(tǒng)上的Web插件會(huì)以當(dāng)前的企業(yè)編號(hào)、企業(yè)密碼、管理員名和密碼以及隨機(jī)數(shù)為基準(zhǔn)值,利用MD5算法計(jì)算其HASH (即哈希)值后,調(diào)用USBKEY的簽名
16接口,對(duì)HASH值進(jìn)行簽名;并以基準(zhǔn)值、簽名后的HASH值為內(nèi)容,構(gòu)造認(rèn)證報(bào)文, 并調(diào)用USBKEY的加密接口,對(duì)認(rèn)證報(bào)文內(nèi)容加密;最后將加密后的認(rèn)證報(bào)文發(fā)送到安 全托管系統(tǒng)的身份認(rèn)證模塊M6。在USB KEY上,集成了 PKI(即Public Key Infrastructure, 公鑰基礎(chǔ)設(shè)施)支持芯片,該芯片內(nèi)保存了用戶身份的私鑰和安全托管系統(tǒng)的公鑰數(shù)據(jù), 簽字與加密均在片上進(jìn)行,外界無(wú)法導(dǎo)出私鑰數(shù)據(jù)。USB KEY可以采用市場(chǎng)上現(xiàn)成的PKI 支持芯片即可實(shí)現(xiàn)此功能。
安全托管系統(tǒng)的身份驗(yàn)證功能模塊M6在收到用戶認(rèn)證報(bào)文后,首先以自身公鑰解密 報(bào)文內(nèi)容,并提取到企業(yè)編號(hào)和用戶名后,檢索數(shù)據(jù)表,以獲取該用戶的公鑰數(shù)據(jù);并用 獲得的公鑰數(shù)據(jù)解簽,得到原始HASH值;同時(shí),利用MD5 (艮卩Message Digest Algorithm 5,信息摘要算法5 )算法,計(jì)算認(rèn)證報(bào)文內(nèi)容的HASH值,只有原始HASH值與計(jì)算 HASH值一致時(shí),才確認(rèn)身份成功;并生成動(dòng)態(tài)配置規(guī)則,要求防火墻放開(kāi)該用戶對(duì)安全 托管系統(tǒng)內(nèi)部服務(wù)的報(bào)文通路。報(bào)文中的密碼,本身為通過(guò)MD5后的計(jì)算值,保存在數(shù) 據(jù)庫(kù)中的密碼,同樣是MD5計(jì)算值。
企業(yè)管理人員成功登錄到系統(tǒng)后,可對(duì)其內(nèi)部網(wǎng)絡(luò)的IT資產(chǎn)進(jìn)行管控,包括瀏覽拓 撲圖、査看資產(chǎn)安全狀態(tài)、査看安全事件、修改白名單、關(guān)閉進(jìn)程和服務(wù)、強(qiáng)制用戶下線、 漏洞掃描、拓?fù)鋻呙?、設(shè)定各類策略、打補(bǔ)丁以及重啟系統(tǒng)等。管理人員還可以對(duì)自己租 用文件空間中保存的文件進(jìn)行處理,包括檢索、瀏覽、刪除和下載;管理人員還可以在安 全報(bào)表服務(wù)窗査看由安全托管系統(tǒng)提供的安全報(bào)表,同時(shí),在未超過(guò)報(bào)表類型定額數(shù)時(shí), 還可以定義自己的報(bào)表,并指定報(bào)表權(quán)限以及發(fā)送策略。
安全托管系統(tǒng)的資產(chǎn)安全管控模塊M0接收并處理企業(yè)內(nèi)網(wǎng)中終端安全管控模塊 M3、主機(jī)安全管控模塊M4和網(wǎng)絡(luò)設(shè)備安全管控模塊M5的注冊(cè)報(bào)文、心跳報(bào)文以及事 件報(bào)文;接收并處理報(bào)文檢測(cè)模塊M1提交的事件;接收并處理操作用戶的控制操作。
源自終端安全管控模塊M3、主機(jī)安全管控模塊M4和網(wǎng)絡(luò)設(shè)備安全管控模塊M5的 報(bào)文,提交到資產(chǎn)快照模塊M01后,該模塊針對(duì)每個(gè)注冊(cè)報(bào)文,首先測(cè)試該IP地址與 MAC (即Media Access Control,介質(zhì)訪問(wèn)控制)地址信息確定的資產(chǎn)是否己存在,如果 是新資產(chǎn),則依據(jù)其IP地址和MAC地址構(gòu)建一個(gè)新資產(chǎn),并以新資產(chǎn)為當(dāng)前資產(chǎn);否 則,以檢索到的資產(chǎn)為當(dāng)前資產(chǎn);然后,利用注冊(cè)報(bào)文中的硬件信息,填充當(dāng)前資產(chǎn)的硬 件屬性;以用戶信息填充當(dāng)前資產(chǎn)的用戶信息屬性;以服務(wù)信息填充當(dāng)前資產(chǎn)的服務(wù)屬性; 以活動(dòng)連接信息填充當(dāng)前資產(chǎn)的活動(dòng)連接屬性;以網(wǎng)絡(luò)配置信息填充當(dāng)前資產(chǎn)的網(wǎng)絡(luò)配置 屬性;以活動(dòng)進(jìn)程信息填充當(dāng)前資產(chǎn)的活動(dòng)進(jìn)程屬性;以啟動(dòng)組信息填充當(dāng)前資產(chǎn)的啟動(dòng) 組屬性;以內(nèi)核模塊信息填充當(dāng)前資產(chǎn)的內(nèi)核模塊屬性;以鄰居信息更新當(dāng)前資產(chǎn)與鄰居 資產(chǎn)間的連接關(guān)系屬性,并重繪資產(chǎn)間的連接線;鄰居信息同樣用來(lái)發(fā)現(xiàn)新資產(chǎn),如果由 鄰居信息(IP、 MAC地址)確定的資產(chǎn)不存在,則表示發(fā)現(xiàn)了一個(gè)新資產(chǎn)節(jié)點(diǎn)。
利用注冊(cè)信息構(gòu)造資產(chǎn)的運(yùn)行快照時(shí),可立即發(fā)現(xiàn)資產(chǎn)內(nèi)部變更信息,包括屬性內(nèi)容 增加、修改和被刪除,同時(shí),還可以通過(guò)比較屬性的當(dāng)前值與安全基準(zhǔn)間的差距,對(duì)偏離 發(fā)出告警。告警事件包括探測(cè)器(資產(chǎn)快照模塊)、事件標(biāo)志(依據(jù)實(shí)際情況生長(zhǎng),可為 硬件變更、軟件變更、違反基線或發(fā)現(xiàn)新資產(chǎn))、時(shí)間(當(dāng)前時(shí)間)、源IP地址(資產(chǎn)的 實(shí)際IP地址)、源端口 (NULL)、目標(biāo)IP (NULL)、目標(biāo)端口 (NULL)、事件內(nèi)容(具 體描述)、資產(chǎn)標(biāo)識(shí)(當(dāng)前資產(chǎn)的內(nèi)部標(biāo)識(shí))、接收時(shí)間(當(dāng)前時(shí)間)、可信度(10)、處理 標(biāo)志(1)和處理策略(NULL)。同樣地,資產(chǎn)快照模塊MOl針對(duì)終端安全管控模塊M3、主機(jī)安全管控模塊M4和網(wǎng) 絡(luò)設(shè)備安全管控模塊M5提交的心跳報(bào)文,除了同進(jìn)行注冊(cè)報(bào)文一樣地處理外,對(duì)心跳報(bào) 文中的日志事件條目,進(jìn)行單獨(dú)處理,包括首先構(gòu)造內(nèi)部事件,并從日志事件的探測(cè)器、 事件標(biāo)志、時(shí)間、IP地址、端口、事件內(nèi)容的屬性直接拷貝到新構(gòu)造的內(nèi)部事件的相應(yīng) 域,同時(shí),為內(nèi)部事件附加上資產(chǎn)標(biāo)識(shí)(當(dāng)前資產(chǎn)的內(nèi)部標(biāo)識(shí))、接收時(shí)間(當(dāng)前時(shí)間)、 可信度(0)、處理標(biāo)志(0)和處理策略(NULL);然后,依據(jù)預(yù)設(shè)的與該資產(chǎn)相關(guān)的日 志敏感字過(guò)濾條件,對(duì)當(dāng)前新構(gòu)造的內(nèi)部事件進(jìn)行過(guò)濾,如果符合過(guò)濾條件,則依據(jù)過(guò)濾 條件更新可信度和處理標(biāo)志。缺省地,如果可信度大于5,則處理標(biāo)志直接修改為l,用 于提示該事件已經(jīng)確信為異常事件,后邊的模塊會(huì)加快對(duì)此類事件的處理。最后,將新構(gòu) 造的事件的編號(hào)保存到資產(chǎn)相應(yīng)的日志事件列表中,同時(shí),如果可信度大于5,則該事件 標(biāo)識(shí)顯示為紅色,提醒維護(hù)人員注意。
資產(chǎn)快照模塊M01所產(chǎn)生告警事件,或內(nèi)部事件,會(huì)提交到安全事件管理模塊M02。 安全事件管理模塊M02對(duì)源自資產(chǎn)快照模塊M01 、報(bào)文檢測(cè)模塊Ml提交的各類事件, 進(jìn)行統(tǒng)一處理。
同時(shí),資產(chǎn)快照模塊M01接收漏洞掃描模塊M05的掃描結(jié)果,并利用掃描所獲得的 漏洞數(shù)據(jù),更新當(dāng)前資產(chǎn)的漏洞列表;利用掃描獲得的網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)據(jù)以及鏈路數(shù)據(jù),更新 節(jié)點(diǎn)以及節(jié)點(diǎn)間連接信息,同時(shí),更新拓?fù)鋱D。 一旦發(fā)現(xiàn)了新的節(jié)點(diǎn)或連接關(guān)系,則立即 構(gòu)造告警事件,同時(shí),以特殊顏色展示新節(jié)點(diǎn)和連接,以警示維護(hù)人員。資產(chǎn)快照模塊 M01接收來(lái)自維護(hù)人員在安全管控模塊M04上的發(fā)起的控制指令,如強(qiáng)制用戶下線、關(guān) 閉進(jìn)程或服務(wù)、提取文件等,并通過(guò)與對(duì)應(yīng)目標(biāo)資產(chǎn)間現(xiàn)有的活動(dòng)通道,下發(fā)到終端安全 管控模塊M3、和/或主機(jī)安全管控模塊M4、和/或網(wǎng)絡(luò)設(shè)備安全管控模塊M5上。
漏洞掃描模塊M05中集成了漏洞掃描功能模塊,如Nessus工具;集成了端口掃描功 能,如Nmap工具;集成了操作系統(tǒng)指紋識(shí)別,如POf工具;集成了鏈路層發(fā)現(xiàn)功能,如 CDP (即Cisco Discovery Protocol,思科發(fā)現(xiàn)協(xié)議)和SNMPMIB (即SNMP Management Information Base, SNMP管理信息)庫(kù);集成了 IP子網(wǎng)掃描功能;以及其它功能,如 ARPWatch工具、私通外網(wǎng)檢查工具等??梢詫?duì)指定目標(biāo)、指定網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程掃描,以便 發(fā)現(xiàn)漏洞以及網(wǎng)絡(luò)拓?fù)洹>S護(hù)人員成功登錄到安全托管系統(tǒng)后,可使用此模塊的功能對(duì)自 己的內(nèi)網(wǎng)進(jìn)行掃描。
安全托管系統(tǒng)允許授權(quán)的安全服務(wù)提供商級(jí)的維護(hù)人員査看預(yù)設(shè)企業(yè)的所有信息,包 括拓?fù)鋱D、安全策略、以及安全報(bào)表;但是,不允許訪問(wèn)企業(yè)所租用文件空間中的文件。 此類文件僅允許企業(yè)級(jí)操作員訪問(wèn)。
內(nèi)網(wǎng)安全管控中,針對(duì)各類事件的處理是本步驟的核心,通過(guò)對(duì)各類事件進(jìn)行安全分 析后,計(jì)算出安全風(fēng)險(xiǎn),從而指導(dǎo)維護(hù)人員正確地對(duì)內(nèi)網(wǎng)進(jìn)行安全管控。事件的處理流程 圖如圖3所示,包括
步驟S31:事件預(yù)處理。預(yù)處理主要用于事件數(shù)據(jù)檢測(cè)以及事件處理規(guī)則檢索,以加
快事件處理。
安全事件管理模塊M02針對(duì)源自資產(chǎn)快照模塊M01的己標(biāo)準(zhǔn)化的內(nèi)部事件,直接寫(xiě) 入本地事件緩存池,而對(duì)源自報(bào)文檢測(cè)模塊Ml提交的事件,在該事件后附加資產(chǎn)標(biāo)識(shí)(依 據(jù)事件的IP地址査找到的內(nèi)部標(biāo)識(shí))、接收時(shí)間(當(dāng)前時(shí)間)、可信度(0)、處理標(biāo)志(0)
18和處理策略(NULL)后,再寫(xiě)入本;&事件緩存池。
針對(duì)事件池中的每條事件,首先測(cè)試資產(chǎn)標(biāo)識(shí)是否為空,如果為空,則填寫(xiě)該事件的 處理策略為(NULL),即不進(jìn)行任何處理;否則,依據(jù)事件的探測(cè)器屬性和事件標(biāo)識(shí)屬 性為條件,在事件處理策略中檢索相應(yīng)的處理策略。當(dāng)處理策略存在多條時(shí),選擇最高優(yōu) 先級(jí)的策略為處理策略;如果最高優(yōu)先級(jí)相同,則生效時(shí)間最新的策略為處理策略。處理 策略包括策略編號(hào)、策略名稱、探測(cè)標(biāo)識(shí)、事件標(biāo)識(shí)、生成時(shí)間、生效時(shí)間、優(yōu)先級(jí)別、 處理標(biāo)志等屬性。其中處理標(biāo)識(shí)包括單事件處理標(biāo)志、事件鏈處理標(biāo)志和風(fēng)險(xiǎn)評(píng)估標(biāo)志。 處理策略的優(yōu)先級(jí)將附加在事件數(shù)據(jù)的后邊,表示為該事件的優(yōu)先級(jí)。所述優(yōu)先級(jí)為0 5級(jí),5級(jí)為最高級(jí)。
在本發(fā)明中,所有的事件都是由探測(cè)器產(chǎn)生并上報(bào)的,因此,可以控制事件的類型(即 事件標(biāo)識(shí)),從而,可以為所有事件類型設(shè)定處理策略。處理策略由本發(fā)明所述系統(tǒng)啟動(dòng) 時(shí)初始化,授權(quán)的企業(yè)維護(hù)人員可以修改此類策略,以符合自己企業(yè)的現(xiàn)狀。
步驟S32:事件獨(dú)立處理。事件獨(dú)立處理是對(duì)單個(gè)事件進(jìn)行分析。
如果事件處理策略的單事件處理標(biāo)志為真,則需要對(duì)當(dāng)前事件進(jìn)行獨(dú)立分析,主要是 漏洞關(guān)聯(lián)分析和資產(chǎn)關(guān)聯(lián)分析。
漏洞關(guān)聯(lián)分析是將事件與資產(chǎn)上的漏洞列表進(jìn)行關(guān)聯(lián),如果關(guān)聯(lián)成功,則提高該事件 的可信度。否則,事件獨(dú)立處理結(jié)束。資產(chǎn)關(guān)聯(lián)分析是在漏洞關(guān)聯(lián)分析后,確認(rèn)了事件與 漏洞關(guān)聯(lián)時(shí),再將漏洞的觸發(fā)條件與資產(chǎn)的實(shí)際運(yùn)行狀況相比較,以驗(yàn)證該漏洞能否觸發(fā), 從而進(jìn)一步提高事件的可信度(關(guān)聯(lián)成功)或降低可信度(關(guān)聯(lián)失敗)以消除虛警告。漏 洞關(guān)聯(lián)分析與資產(chǎn)管理分析僅處理事件標(biāo)志為0的事件。
漏洞關(guān)聯(lián)分析描述如下在預(yù)設(shè)的漏洞與事件關(guān)聯(lián)表中,檢索出當(dāng)前事件標(biāo)識(shí)所關(guān)聯(lián)
的所有漏洞標(biāo)識(shí)(此關(guān)系表手工維護(hù),對(duì)每一個(gè)系統(tǒng)支持的新事件、新漏洞,都需要增加
漏洞、事件關(guān)系);然后比較目標(biāo)資產(chǎn)(事件的資產(chǎn)標(biāo)識(shí)屬性確定)上的漏洞列表是否與 檢索出來(lái)的漏洞集合存在交集,如果不為空,則關(guān)聯(lián)成功,事件的可信度提高到5;否則,
事件的可信度保持不變,并結(jié)束事件獨(dú)立處理。
資產(chǎn)關(guān)聯(lián)分析描述如下在漏洞關(guān)聯(lián)分析中所確定的漏洞交集中,針對(duì)每個(gè)漏洞,從 漏洞基礎(chǔ)信息表(該表手工維護(hù),用于保存漏洞的基本信息,包括漏洞編號(hào)、名稱、操作 系統(tǒng)及其版本、應(yīng)用及其版本、端口、協(xié)議、后果等)檢索出操作系統(tǒng)及其版本、應(yīng)用及 其版本、端口和協(xié)議,并組成集合A;首先,測(cè)試目標(biāo)資產(chǎn)(由事件的資產(chǎn)標(biāo)識(shí)所確定) 的操作系統(tǒng)及其版本是否包含在集合A所確定的操作系統(tǒng)及其版本中,如果是,則事件 的可信度增l,如果不匹配,則事件可信度置O,并結(jié)束資產(chǎn)關(guān)聯(lián);其次,測(cè)試目標(biāo)資產(chǎn) 上關(guān)系對(duì)<活動(dòng)端口、協(xié)議〉是否與集合A中的〈端口、協(xié)議>有交集,如果有,則事件的 可信度不變,否則,端口與協(xié)議不匹配,事件可信度置O,并結(jié)束資產(chǎn)關(guān)聯(lián);最后,測(cè)試 目標(biāo)資產(chǎn)上的應(yīng)用及其版本是否與集合A所確定的應(yīng)用及其版本相匹配,如果匹配,則
事件的可信度置io,否則,可信度置o。
步驟S33:事件鏈處理。事件鏈處理主要用于將當(dāng)前待分析事件與己知的事件鏈規(guī)則
進(jìn)行匹配,從而挖掘出新事件。如果事件處理策略的事件鏈處理標(biāo)志為真,則需要對(duì)當(dāng)前事件進(jìn)行事件鏈關(guān)聯(lián)分析。 事件鏈關(guān)聯(lián)分析主要用于基于己知事件鏈上的前導(dǎo)事件,推導(dǎo)出新的事件,從而提前預(yù)報(bào), 警示維護(hù)人員采取措施。
事件鏈處理的內(nèi)部處理流程描述如下
步驟l:基于經(jīng)驗(yàn)積累的、網(wǎng)絡(luò)公開(kāi)的、以及第三方工具的事件鏈規(guī)則,構(gòu)造適合本 發(fā)明推理用的事件鏈規(guī)則。本發(fā)明中,事件鏈總有一個(gè)入口事仵,即根事件,該事件是事 件鏈中的首個(gè)事件;根事件下有多個(gè)分支,各分支可導(dǎo)致不同的新事件。因此,事件鏈總 是組織成樹(shù)型結(jié)構(gòu)。此樹(shù)型結(jié)構(gòu)不是一棵標(biāo)準(zhǔn)的樹(shù),因?yàn)榭赡艽嬖诃h(huán),即不同的前導(dǎo)事件 可能會(huì)推導(dǎo)出同一個(gè)事件。
規(guī)則屬性包括新事件標(biāo)識(shí)、新事件描述、新事件可信度、待分析事件的事件標(biāo)識(shí)、 待分析事件的探測(cè)器、時(shí)間間隔、統(tǒng)計(jì)值、待分析事件的源IP、待分析事件的源端口、 待分析事件的目標(biāo)IP、待分析事件的目標(biāo)端口、源IP規(guī)則、源端口規(guī)則、目標(biāo)IP規(guī)則、 目標(biāo)端口規(guī)則、層次、子節(jié)點(diǎn)指針等屬性。
步驟2:測(cè)試當(dāng)前事件是否從屬于當(dāng)前己活動(dòng)事件鏈的后續(xù)事件;將當(dāng)前事件與緩存 區(qū)中所有活動(dòng)的事件鏈規(guī)則樹(shù)上的所有活動(dòng)規(guī)則比較,如果匹配,則事件鏈處理結(jié)束,并 產(chǎn)生新事件;同時(shí),將當(dāng)前事件的源IP、源端口、目標(biāo)IP和目標(biāo)端口的內(nèi)容保存到規(guī)則 的待分析事件的源IP、待分析事件的源端口、待分析事件的目標(biāo)IP、待分析事件的目標(biāo) 端口中;且修改當(dāng)前事件鏈規(guī)則的活動(dòng)規(guī)則鏈,將當(dāng)前匹配規(guī)則的所有子節(jié)點(diǎn)插入活動(dòng)規(guī) 則鏈中,將當(dāng)前匹配規(guī)則從活動(dòng)規(guī)則鏈中刪除。否則,轉(zhuǎn)步驟3。
進(jìn)行活動(dòng)規(guī)則匹配時(shí),首先驗(yàn)證當(dāng)前事件的探測(cè)器和事件標(biāo)志是否被某個(gè)活動(dòng)規(guī)則所 要求的探測(cè)器和事件標(biāo)志集所包含,如果包含,則頂層匹配成功;然后,依據(jù)規(guī)則的底層 匹配約束(源IP規(guī)則、源端口規(guī)則、目標(biāo)IP規(guī)則、目標(biāo)端口規(guī)則)的內(nèi)容,將當(dāng)前事件 的源IP、源端口、目標(biāo)IP和目標(biāo)端口與底層匹配約束所指示的事件鏈上己有事件的相應(yīng) 屬性進(jìn)行比較,如果比較結(jié)果為真,才是事件與規(guī)則匹配成功。
所產(chǎn)生的新事件,其事件標(biāo)識(shí)、事件內(nèi)容和可信度來(lái)自規(guī)則所定義的新事件標(biāo)識(shí)、新 事件描述和信事件可信度,探測(cè)器(安全事件管理模塊)、時(shí)間(當(dāng)前時(shí)間)夕卜,其它屬 性直接拷貝當(dāng)前事件的相應(yīng)屬性內(nèi)容;新事件寫(xiě)入事件池,以便對(duì)該事件進(jìn)行分析。
緩存區(qū)中的事件鏈規(guī)則樹(shù),會(huì)在活動(dòng)規(guī)則鏈為空,或存活時(shí)間失效后,被自動(dòng)清除掉。
步驟3:測(cè)試當(dāng)前事件是否屬于事件鏈的入口事件。將當(dāng)前事件與系統(tǒng)所有的預(yù)設(shè)的 事件鏈規(guī)則的根規(guī)則進(jìn)行比較,如果匹配成功,則當(dāng)前事件為特定事件鏈的根事件,將當(dāng) 前匹配的事件鏈規(guī)則樹(shù)拷貝到緩存區(qū)中,同時(shí),將當(dāng)前事件的源IP、源端口、目標(biāo)IP和 目標(biāo)端口的內(nèi)容保存到事件鏈規(guī)則樹(shù)上根規(guī)則的待分析事件的源IP、待分析事件的源端 口、待分析事件的目標(biāo)IP、待分析事件的目標(biāo)端口中;且將根規(guī)則的所有子節(jié)點(diǎn)插入活 動(dòng)規(guī)則鏈中。
事件與根規(guī)則比較時(shí),只簡(jiǎn)單比較事件的探測(cè)器和事件標(biāo)識(shí)是否被規(guī)則的探測(cè)器和標(biāo) 識(shí)所包含, 一旦包含,則認(rèn)為匹配成功,且不再與尚未比較過(guò)的其它事件鏈的根規(guī)則比較。 所有規(guī)則鏈的根規(guī)則必須互斥,否則,排在后邊的規(guī)則鏈將無(wú)法觸發(fā)。步驟S34:事件風(fēng)險(xiǎn)評(píng)估。計(jì)算當(dāng)前事件的風(fēng)險(xiǎn)值和風(fēng)險(xiǎn)等級(jí)。
如果待處理事件的處理策略的風(fēng)險(xiǎn)評(píng)估標(biāo)志為真,則需要對(duì)該事件進(jìn)行風(fēng)險(xiǎn)評(píng)估操作。
首先,檢測(cè)事件的可信度和附加的優(yōu)先級(jí),如果任意一項(xiàng)零,則當(dāng)前事件的風(fēng)險(xiǎn)值為 0;否則,通過(guò)事件的資產(chǎn)標(biāo)識(shí)屬性,從資產(chǎn)價(jià)值表(該表手工維護(hù),用于保存資產(chǎn)的業(yè) 務(wù)價(jià)值,業(yè)務(wù)價(jià)值由0 5等級(jí),5級(jí)最高)后,利用客體風(fēng)險(xiǎn)二可信度X優(yōu)先級(jí)X資產(chǎn) 價(jià)值等級(jí)/10,計(jì)算出事件的客體風(fēng)險(xiǎn)(即目標(biāo)設(shè)備);如果事件的源IP與目標(biāo)IP不一致, 則利用源IP屬性獲得資產(chǎn)標(biāo)識(shí)(即主體資產(chǎn)標(biāo)識(shí))后,再利用該資產(chǎn)標(biāo)識(shí)從資產(chǎn)價(jià)值表 中獲得該資產(chǎn)的價(jià)值后,利用主體風(fēng)險(xiǎn)-可信度X優(yōu)先級(jí)X資產(chǎn)價(jià)值等級(jí)/10,計(jì)算出事 件的主體風(fēng)險(xiǎn)(即源設(shè)備)。并以客體風(fēng)險(xiǎn)、主體風(fēng)險(xiǎn)中的大者為當(dāng)前事件的風(fēng)險(xiǎn)值;
其次,更新事件主體和事件客體的風(fēng)險(xiǎn)等級(jí);如果事件的風(fēng)險(xiǎn)值大于O,則為該事件 產(chǎn)生流水號(hào),將上一步計(jì)算出的客體風(fēng)險(xiǎn)值,利用事件客體所對(duì)應(yīng)資產(chǎn)上預(yù)設(shè)的風(fēng)險(xiǎn)值與 風(fēng)險(xiǎn)等級(jí)映射關(guān)系,計(jì)算出客體風(fēng)險(xiǎn)值所對(duì)應(yīng)的風(fēng)險(xiǎn)等級(jí),并將當(dāng)前事件流水號(hào)、風(fēng)險(xiǎn)等 級(jí),插入當(dāng)前事件的資產(chǎn)標(biāo)識(shí)屬性所確定的資產(chǎn)的風(fēng)險(xiǎn)列表中,同時(shí)更新該資產(chǎn)的風(fēng)險(xiǎn)等 級(jí)統(tǒng)計(jì)數(shù);將上一步計(jì)算出的主體風(fēng)險(xiǎn)值、利用上一步檢索到的主體資產(chǎn)標(biāo)識(shí)檢索到相應(yīng) 資產(chǎn)上的風(fēng)險(xiǎn)值與風(fēng)險(xiǎn)等級(jí)映射關(guān)系,計(jì)算出主體風(fēng)險(xiǎn)值所對(duì)應(yīng)的風(fēng)險(xiǎn)等級(jí),并將當(dāng)前事 件流水號(hào)、風(fēng)險(xiǎn)等級(jí),插入主體資產(chǎn)標(biāo)識(shí)所確定的資產(chǎn)的風(fēng)險(xiǎn)列表中,同時(shí)更新該資產(chǎn)的 風(fēng)險(xiǎn)等級(jí)統(tǒng)計(jì)數(shù)。
進(jìn)一步地,只要資產(chǎn)的風(fēng)險(xiǎn)等級(jí)統(tǒng)計(jì)數(shù)發(fā)生了變更,則自動(dòng)更新該資產(chǎn)所在子網(wǎng)的風(fēng) 險(xiǎn)等級(jí)統(tǒng)計(jì)數(shù)。
步驟S35:示警并自動(dòng)響應(yīng)處理。依據(jù)預(yù)設(shè)的響應(yīng)策略,示警維護(hù)人員,并自動(dòng)響應(yīng)。
安全事件管理模塊M02依據(jù)安全策略模塊M2設(shè)定的響應(yīng)策略,對(duì)風(fēng)險(xiǎn)值大于閾值 的事件告警,并自動(dòng)響應(yīng)。所述閾值由維護(hù)人員設(shè)定,事件的風(fēng)險(xiǎn)值是0 25,缺省時(shí), 告警閾值為5。
安全策略模塊M2設(shè)定的響應(yīng)策略,包括策略號(hào)、生效標(biāo)志、生效開(kāi)始時(shí)間、生效結(jié) 束時(shí)間、內(nèi)部執(zhí)行標(biāo)志、外部執(zhí)行標(biāo)志、正則表達(dá)式和命令等屬性。其中,正則表達(dá)式用 于從事件中提取內(nèi)容,如源IP、目標(biāo)IP;命令是具體的可執(zhí)行指令,由安全監(jiān)控模塊M04 解釋。命令中的占位符由正則表達(dá)式提取的內(nèi)容填充。命令可以簡(jiǎn)單為示警、發(fā)送Email 或發(fā)送及時(shí)消息;也可以是Shell命令、SNMP指令等。
通過(guò)以事件中事件標(biāo)識(shí)屬性值為條件,檢索策略與事件關(guān)聯(lián)表(該表手工維護(hù),用于 將策略和事件關(guān)聯(lián),每增加了新事件標(biāo)識(shí),如果需要自動(dòng)響應(yīng),則需要為該事件配置策略; 每增加了新策略,則需要指派到事件后,該策略才可能被執(zhí)行),即可檢索到對(duì)應(yīng)的安全 策略,從而可針對(duì)系統(tǒng)所支持的事件進(jìn)行準(zhǔn)確響應(yīng)。
安全事件管理模塊M02將事件數(shù)據(jù),包括事件標(biāo)識(shí)、事件內(nèi)容、源IP、源端口、目 標(biāo)IP、目標(biāo)端口、發(fā)生時(shí)間,以及響應(yīng)策略的具體命令,提交安全監(jiān)控模塊M04。
安全監(jiān)控模塊M04依據(jù)響應(yīng)策略的具體命令進(jìn)行自動(dòng)響應(yīng),包括事件展示、聲音告警;將事件數(shù)據(jù)發(fā)送到預(yù)設(shè)的企業(yè)管理員郵箱;或利用GSMModem(即支持GSM的貓) 給預(yù)設(shè)的企業(yè)管理員移動(dòng)手機(jī)號(hào)發(fā)送短信;或?qū)⒚畲虬山涌谙?,提交到資產(chǎn)快照 模塊MOl,由后者通過(guò)當(dāng)前活動(dòng)信道,發(fā)送到正確的終端安全管控模塊M3、和/或主機(jī) 安全管控模塊M4、和/或網(wǎng)絡(luò)設(shè)備安全管控模塊M5,指導(dǎo)后者執(zhí)行命令。
安全監(jiān)控模塊M04同樣接收操作員的手工控制,在控制面板上,收集操作員選定的 控制參數(shù)以及輸入的值后,構(gòu)造成標(biāo)準(zhǔn)接口消息包,并提交到資產(chǎn)快照模塊MOl。
步驟S36:安全報(bào)表處理。對(duì)經(jīng)安全事件管理模塊M02處理后的事件,自動(dòng)進(jìn)行統(tǒng) 計(jì)與匯總處理。
安全事件管理模塊M02最終將處理過(guò)的事件,附加上事件流水號(hào)后,提交到安全報(bào) 表模塊M03;安全報(bào)表模塊M03將對(duì)事件進(jìn)行集中處理,包括按事件標(biāo)識(shí)統(tǒng)計(jì)、按探測(cè) 器統(tǒng)計(jì)、按源IP統(tǒng)計(jì)、按目標(biāo)IP統(tǒng)計(jì)等。
此外,安全報(bào)表模塊M03對(duì)來(lái)自報(bào)文檢測(cè)模塊Ml提交的安全事件中包括了源IP、 源端口、協(xié)議、目標(biāo)IP、目標(biāo)端口和報(bào)文長(zhǎng)度信息的事件,將進(jìn)一步處理其事件內(nèi)容, 利用這些生成統(tǒng)計(jì)報(bào)表,包括協(xié)議分布報(bào)表、IP分布報(bào)表、TOPN報(bào)表等。所有報(bào)表,缺 省均提供日?qǐng)?bào)、周報(bào)、月報(bào)、季報(bào)和年報(bào)。
所有報(bào)表模板的自動(dòng)屬性為真的報(bào)表,其報(bào)表文件生成后,將保存到企業(yè)所租借的文 件空間。
權(quán)利要求
1.一種中小企業(yè)內(nèi)網(wǎng)信息安全托管方法,其中企業(yè)向安全服務(wù)提供商租借用于重定向報(bào)文的帶寬,和用于保存報(bào)文檢測(cè)日志和報(bào)表的文件空間,其特征在于,還包括(a)在內(nèi)網(wǎng)終端和主機(jī)上分別提供安全服務(wù)提供商所提供的終端安全管控功能和主機(jī)安全管控功能;在至少一臺(tái)主機(jī)上提供安全服務(wù)提供商所提供的網(wǎng)絡(luò)設(shè)備安全管控功能,并管控所有支持SNMP協(xié)議的網(wǎng)絡(luò)設(shè)備;(b)在出口邊界設(shè)備上,將預(yù)設(shè)協(xié)議的報(bào)文重定向到安全服務(wù)提供商所提供的報(bào)文檢測(cè)系統(tǒng);(c)建立到安全服務(wù)提供商的IPSec VPN隧道,登錄到位于安全服務(wù)提供商網(wǎng)絡(luò)中的中小企業(yè)內(nèi)網(wǎng)信息安全托管系統(tǒng),并通過(guò)此隧道對(duì)步驟(a)中的所述終端安全管控功能、主機(jī)安全管控功能和網(wǎng)絡(luò)設(shè)備安全管控功能進(jìn)行安全控制。
2. 如權(quán)利要求1所述一種中小企業(yè)內(nèi)網(wǎng)信息安全托管方法,其特征在于,安全服務(wù)提供 商的報(bào)文檢測(cè)系統(tǒng)對(duì)企業(yè)的重定向報(bào)文進(jìn)行防攻擊、防病毒檢測(cè)后,并通過(guò)應(yīng)用層協(xié)議代 理中轉(zhuǎn)合法報(bào)文;所述重定向報(bào)文的帶寬僅能使用所述租借帶寬的容量;以及,安全服務(wù)提供商的所述中小企業(yè)內(nèi)網(wǎng)信息安全系統(tǒng)對(duì)企業(yè)內(nèi)網(wǎng)的所述終端安全管控 功能、主機(jī)安全管控功能和網(wǎng)絡(luò)設(shè)備安全管控功能上報(bào)的日志事件信息和運(yùn)行狀況信息進(jìn) 行分析,并基于預(yù)設(shè)安全基準(zhǔn)進(jìn)行響應(yīng)。
3. 如權(quán)利要求1所述一種中小企業(yè)內(nèi)網(wǎng)信息安全托管方法,其特征在于,所述應(yīng)用層協(xié) 議代理,包括SMTP代理、POP3代理、HTTP代理、MSN通信代理和透?jìng)鞔?,分別用 于往來(lái)郵件內(nèi)容檢查、URL過(guò)濾、MSN通信內(nèi)容檢査和透?jìng)鲌?bào)文;可疑的郵件內(nèi)容和附 件,以及MSN通信報(bào)文摘要信息,均以文件形式保存在所述租借文件空間中。
4. 如權(quán)利要求1所述一種中小企業(yè)內(nèi)網(wǎng)信息安全托管方法,其特征在于,所述終端安全 管控功能、主機(jī)安全管控功能和網(wǎng)絡(luò)設(shè)備安全管控功能可定制上報(bào)到所述安全服務(wù)提供商 的所述中小企業(yè)內(nèi)網(wǎng)信息安全系統(tǒng)的信息條目種類與內(nèi)容;所述中小企業(yè)內(nèi)網(wǎng)信息安全系 統(tǒng)僅允許企業(yè)級(jí)維護(hù)人員査看本企業(yè)的內(nèi)網(wǎng)資產(chǎn)運(yùn)行安全狀況;所述中小企業(yè)內(nèi)網(wǎng)信息安 全系統(tǒng)向所述企業(yè)提供安全運(yùn)行報(bào)表,包括日?qǐng)?bào)、周報(bào)、月報(bào)、季報(bào)和年報(bào)。
5. 如權(quán)利要求1所述一種中小企業(yè)內(nèi)網(wǎng)信息安全托管方法,其特征在于,所述安全服務(wù) 提供商的所述中小企業(yè)內(nèi)網(wǎng)信息安全系統(tǒng)可通過(guò)所述步驟(c)所建立的VPN隧道,遠(yuǎn)程 掃描內(nèi)網(wǎng)資產(chǎn)的漏洞信息和網(wǎng)絡(luò)拓?fù)湫畔?;以及,所述安全服?wù)提供商的所述中小企業(yè)內(nèi)網(wǎng)信息安全系統(tǒng)在發(fā)現(xiàn)安全風(fēng)險(xiǎn)后,及時(shí)通知 所述企業(yè)預(yù)設(shè)的安全管理人員。
6. —種中小企業(yè)安全托管系統(tǒng),其特征在于,包括資產(chǎn)安全管控模塊、報(bào)文檢測(cè)模塊、 安全策略模塊、終端安全管控模塊、主機(jī)安全管控模塊和網(wǎng)絡(luò)設(shè)備安全管控模塊;所述資產(chǎn)安全管控模塊,與所述終端安全管控模塊、主機(jī)安全管控模塊、網(wǎng)絡(luò)設(shè)備安 全管控模塊、安全策略模塊和報(bào)文檢測(cè)模塊相連,用于依據(jù)上報(bào)的信息構(gòu)建企業(yè)內(nèi)網(wǎng)資產(chǎn) 運(yùn)行安全快照、依據(jù)預(yù)設(shè)的安全策略處理安全事件、手工遠(yuǎn)程管控內(nèi)網(wǎng)資產(chǎn)并提供安全運(yùn) 對(duì)艮氣所k報(bào)文檢測(cè)模塊,與所述資產(chǎn)安全管控模塊和安全策略模塊相連,用于依據(jù)所述安 全策略模塊預(yù)設(shè)的安全策略,處理所述企業(yè)的重定向報(bào)文,并提交安全事件到所述資產(chǎn)安全管控模塊;所述安全策略模塊,與所述資產(chǎn)安全管控模塊和報(bào)文檢測(cè)模塊相連,用于設(shè)定資產(chǎn)安 全基準(zhǔn)、事件處理規(guī)則、事件響應(yīng)策略、和應(yīng)用層協(xié)議違規(guī)響應(yīng)策略;以及,所述終端安全管控模塊,與所述資產(chǎn)安全管控模塊相連,用于收集所述企業(yè)內(nèi)網(wǎng)終端 計(jì)算機(jī)的運(yùn)行狀況數(shù)據(jù)與日志數(shù)據(jù),并提交到所述資產(chǎn)安全管控模塊;接收并處理所述資 產(chǎn)安全管控模塊的控制指令;所述主機(jī)安全管控模塊,與所述資產(chǎn)安全管控模塊相連,用于收集所述企業(yè)內(nèi)網(wǎng)主機(jī) 的運(yùn)行狀況數(shù)據(jù)和日志數(shù)據(jù),并提交到所述資產(chǎn)安全管控模塊;接收并處理所述資產(chǎn)安全 管控模塊的控制指令;以及,所述網(wǎng)絡(luò)設(shè)備安全管控模塊,與所述資產(chǎn)安全管控模塊相連,用于收集并接收所述企 業(yè)內(nèi)網(wǎng)中支持SNMP協(xié)議的網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況數(shù)據(jù)和SNMP Trap數(shù)據(jù),并提交到所述 資產(chǎn)安全管控模塊;接收所述資產(chǎn)安全管控模塊的控制指令,并轉(zhuǎn)化為SNMP指令后, 提交到目標(biāo)網(wǎng)絡(luò)設(shè)備。
7. 如權(quán)利要求6所述一種中小企業(yè)安全托管系統(tǒng),其特征在于,所述資產(chǎn)安全管控模塊, 包括資產(chǎn)快照模塊、漏洞掃描模塊、安全事件管理模塊、安全監(jiān)控模塊和安全報(bào)表模塊;所述資產(chǎn)快照模塊,接收所述終端安全管控模塊、所述主機(jī)安全管控模塊和所述網(wǎng)絡(luò) 設(shè)備安全管控模塊上報(bào)的數(shù)據(jù),并依據(jù)上報(bào)的數(shù)據(jù)構(gòu)建資產(chǎn)的安全運(yùn)行快照;依據(jù)預(yù)設(shè)的 資產(chǎn)安全基線,產(chǎn)生安全事件,并提交到所述安全事件管理模塊;接收所述安全監(jiān)控模塊 下發(fā)的遠(yuǎn)程控制消息,并中轉(zhuǎn)到所述終端安全管控模塊、所述主機(jī)安全管控模塊和所述網(wǎng) 絡(luò)設(shè)備安全管控模塊;所述漏洞掃描模塊,用于遠(yuǎn)程掃描所述企業(yè)內(nèi)網(wǎng)活動(dòng)信息資產(chǎn)的漏洞信息和網(wǎng)絡(luò)拓?fù)?信息,并將掃描結(jié)果提交到所述資產(chǎn)快照模塊;所述安全事件管理模塊,接收所述資產(chǎn)快照模塊和所述報(bào)文檢測(cè)模塊提交的安全事 件,并依據(jù)預(yù)設(shè)的策略,自動(dòng)響應(yīng),并通知預(yù)設(shè)的企業(yè)安全管理人員;將安全事件處理的 最終結(jié)果提交到所述安全報(bào)表模塊;所述安全監(jiān)控模塊,接收并展示所述安全事件管理模塊提交的安全告警;提交維護(hù)人 員的操作系統(tǒng)到所述資產(chǎn)快照模塊;以及,所述安全報(bào)表模塊,接收所述安全事件管理模塊提交的安全事件,并依據(jù)預(yù)設(shè)的報(bào)表 模板自動(dòng)生成安全運(yùn)營(yíng)報(bào)表。
8. 如權(quán)利要求6所述一種中小企業(yè)安全托管系統(tǒng),其特征在于,所述報(bào)文檢測(cè)模塊,包 括應(yīng)用層協(xié)議代理模塊、入侵檢測(cè)模塊、防病毒模塊和安全事件客戶端模塊;所述應(yīng)用層協(xié)議代理模塊,接收所述企業(yè)提交的重定向報(bào)文,并將報(bào)文依次提交到所述入侵檢測(cè)模塊和防病毒模塊,并將代理通過(guò)檢測(cè)的報(bào)文;提交本地安全事件到所述安全 事件客戶端模塊;所述入侵檢測(cè)模塊,接收所述應(yīng)用層協(xié)議代理模塊提交的報(bào)文,并基于本地預(yù)設(shè)規(guī)則 對(duì)報(bào)文進(jìn)行入侵檢測(cè),提交檢測(cè)結(jié)果到所述應(yīng)用層協(xié)議代理模塊;提交本地安全事件到所 述安全事件客戶端模塊;所述防病毒模塊,接收所述應(yīng)用層協(xié)議代理模塊提交的報(bào)文,并基于本地預(yù)設(shè)規(guī)則對(duì) 報(bào)文進(jìn)行病毒檢測(cè),提交檢測(cè)結(jié)果到所述應(yīng)用層協(xié)議代理模塊;提交本地安全事件到所述 安全事件客戶端模塊;以及,所述安全事件客戶端模塊,用于接收所述報(bào)文檢測(cè)模塊中其它模塊提交的本地安全事 件,并規(guī)整化為統(tǒng)一格式后,提交到所述資產(chǎn)安全管控模塊的所述安全事件管理模塊。
9. 如權(quán)利要求6所述一種中小企業(yè)安全托管系統(tǒng),其特征在于,所述終端安全管控模塊、 所述主機(jī)安全管控模塊和所述網(wǎng)絡(luò)設(shè)備安全管控模塊,部署在所述企業(yè)的內(nèi)網(wǎng)中,通過(guò)所 述企業(yè)與所述中小企業(yè)安全托管系統(tǒng)間IPSec VPN隧道,與所述資產(chǎn)安全管控模塊通信; 所述通信消息的內(nèi)容加密;以及,所述遠(yuǎn)程掃描所述企業(yè)內(nèi)網(wǎng)活動(dòng)信息資產(chǎn)的漏洞信息和網(wǎng)絡(luò)拓?fù)湫畔?,僅能通過(guò)所述 企業(yè)與所述中小企業(yè)安全托管系統(tǒng)間IPSec VPN隧道進(jìn)行遠(yuǎn)程掃描。
10.如權(quán)利要求6所述一種中小企業(yè)安全托管系統(tǒng),其特征在于,所述企業(yè)的維護(hù)人員, 僅能瀏覽與所述企業(yè)內(nèi)網(wǎng)資產(chǎn)相關(guān)的安全運(yùn)營(yíng)報(bào)表;僅能對(duì)所述企業(yè)內(nèi)網(wǎng)進(jìn)行遠(yuǎn)程掃描; 僅能瀏覽和控制所述企業(yè)內(nèi)網(wǎng)資產(chǎn);所述企業(yè)的維護(hù)人員,只能通過(guò)所述企業(yè)與所述中小企業(yè)安全托管系統(tǒng)間IPSec VPN 隧道訪問(wèn)所述中小企業(yè)安全托管系統(tǒng);所述IPSec VPN隧道,只能由所述企業(yè)主動(dòng)創(chuàng)建; 以及,所述安全托管系統(tǒng)允許授權(quán)的安全服務(wù)提供商級(jí)的維護(hù)人員査看預(yù)設(shè)企業(yè)的所有信 息,但無(wú)權(quán)訪問(wèn)所述文件空間中的文件。
全文摘要
本發(fā)明公開(kāi)了一種中小企業(yè)內(nèi)網(wǎng)信息安全托管方法,其中企業(yè)向安全服務(wù)提供商租借用于重定向報(bào)文的帶寬,和用于保存報(bào)文檢測(cè)日志和報(bào)表的文件空間,還包括在內(nèi)網(wǎng)終端和主機(jī)上分別提供安全服務(wù)提供商所提供的終端安全管控功能和主機(jī)安全管控功能;在至少一臺(tái)主機(jī)上提供安全服務(wù)提供商所提供的網(wǎng)絡(luò)設(shè)備安全管控功能,并管控所有支持SNMP協(xié)議的網(wǎng)絡(luò)設(shè)備;在出口邊界設(shè)備上,將預(yù)設(shè)協(xié)議的報(bào)文重定向到安全服務(wù)提供商所提供的報(bào)文檢測(cè)系統(tǒng);以及建立到安全服務(wù)提供商的IPSec VPN隧道,登錄到位于安全服務(wù)提供商網(wǎng)絡(luò)中的中小企業(yè)內(nèi)網(wǎng)信息安全托管系統(tǒng),并通過(guò)此隧道對(duì)所述終端安全管控、主機(jī)安全管控和網(wǎng)絡(luò)設(shè)備安全管控功能進(jìn)行控制的步驟。
文檔編號(hào)H04L29/06GK101635730SQ20091016972
公開(kāi)日2010年1月27日 申請(qǐng)日期2009年8月28日 優(yōu)先權(quán)日2009年8月28日
發(fā)明者伍立華, 周文柱, 張知之, 戚建淮, 飛 陳 申請(qǐng)人:深圳市永達(dá)電子股份有限公司