一种远程应急响应系统及其响应方法技术方案

本发明专利技术涉及网络信息安全领域，尤其涉及一种远程应急响应系统及其响应方法。本发明专利技术提供的远程应急响应系统及其响应方法通过客户端自动扫描存在安全问题的终端，并向其自动推送应急代理，应急代理自动安装到存在安全问题的终端中并采集终端信息，客户端向云端应急中心发送包含应急代理采集的终端信息的应急服务请求，云端应急中心再对请求中的终端信息进行自动安全分析和专家人工分析，并将得出的应急分析结果发送出去。本发明专利技术实现了远程的快速自动化应急，提高了应急处理效率，解决了现有应急响应方式自动化处理能力不足，效率低下的问题。

【技术实现步骤摘要】

本专利技术涉及网络信息安全领域，尤其涉及一种远程应急响应系统及其响应方法。
技术介绍
网络应急响应是在网络和系统出现紧急情况时的行动，通常需要安全专家通过现场或远程方式针对网络、设备或系统进行检查分析，在分析出安全问题后进行相应处理(如配置安全策略、优化注册表、删除进程等)，对企业内网设备和系统来说，在远程方式下还需要先通过VPN等方式接入内网。在上述传统应急响应方式下，通过安全专家人工检查与分析判断，自动化处理能力不足，效率较低，时效性难以保证；现场方式还存在成本较高的问题。
技术实现思路
鉴于现有技术中存在的上述缺陷，本专利技术所要解决的技术问题是，提供一种远程应急响应系统及其响应方法，以解决现有应急响应方式自动化处理能力不足、效率低下的问题。本专利技术是通过如下技术方案来实现的：一种远程应急响应系统，包括客户端、应急代理和云端应急中心；所述客户端包括终端管理单元和应急服务单元，所述应急代理包括信息收集单元，所述云端应急中心包括应急响应单元、安全分析单元和专家分析单元；所述终端管理单元用于对所述客户端所管理的所有终端进行扫描，以发现存在安全问题的终端；所述应急服务单元用于向所述存在安全问题的终端推送所述应急代理，以将所述应急代理自动安装到所述存在安全问题的终端中，同时，接收该应急代理的信息收集单元收集的所述存在安全问题的终端的信息，并在接收到所述存在安全问题的终端的信息后向所述云端应急中心发送应急服务请求；所述应急服务请求中包含所述存在安全问题的终端的信息以及所需的应急服务，所述应急服务包括应急分析，所述应急服务请求中还设定了应急分析结果的发送方式；所述应急响应单元用于接收所述应急服务请求，并将所述应急服务请求中包含的所述存在安全问题的终端的信息发送给所述安全分析单元与专家分析单元；所述安全分析单元用于对所述存在安全问题的终端的信息进行安全问题分析，并生成分析结果，并将所述分析结果发送到所述应急响应单元；所述专家分析单元用于提供界面以显示所述存在安全问题的终端的信息供人工分析和录入人工输入的分析结果，并将所述人工输入的分析结果发送到所述应急响应单元；所述应急响应单元将从所述安全分析单元和专家分析单元接收到的分析结果以所述发送方式发送出去。进一步地，所述客户端安装于内网中，对所述内网中的所有终端进行管理。进一步地，所述应急服务还包括应急处理，所述应急代理还包括应急处理单元；所述应急响应单元还用于通过所述应急服务单元连接所述应急处理单元，并通过所述应急处理单元对该应急处理单元所属的应急代理所安装于的终端进行应急处理。进一步地，所述应急处理包括关闭可疑端口、删除可疑用户、关闭可疑进程、修改可疑注册表项。进一步地，所述应急响应单元与所述应急处理单元之间的连接方式为远程桌面连接或SSH连接。一种远程应急响应系统的响应方法，所述远程应急响应系统包括客户端、应急代理和云端应急中心；所述客户端包括终端管理单元和应急服务单元，所述应急代理包括信息收集单元，所述云端应急中心包括应急响应单元、安全分析单元和专家分析单元；所述响应方法包括如下步骤：步骤A：所述终端管理单元对所述客户端所管理的所有终端进行扫描，以发现存在安全问题的终端；步骤B：所述应急服务单元向所述存在安全问题的终端推送所述应急代理，以将所述应急代理自动安装到所述存在安全问题的终端中；步骤C：所述应急代理的信息收集单元收集所述存在安全问题的终端的信息，并将所述存在安全问题的终端的信息发送给所述应急服务单元；步骤D：所述应急服务单元在接收到所述存在安全问题的终端的信息后向所述云端应急中心发送应急服务请求；所述应急服务请求中包含所述存在安全问题的终端的信息以及所需的应急服务，所述应急服务包括应急分析，所述应急服务请求中还设定了应急分析结果的发送方式；步骤E：所述应急响应单元接收所述应急服务请求，并将所述应急服务请求中包含的所述存在安全问题的终端的信息发送给所述安全分析单元与专家分析单元；步骤F：所述安全分析单元对所述存在安全问题的终端的信息进行安全问题分析，并生成分析结果，并将所述分析结果发送到所述应急响应单元；同时，所述专家分析单元提供界面以显示所述存在安全问题的终端的信息供人工分析和录入人工输入的分析结果，并将所述人工输入的分析结果发送到所述应急响应单元；步骤G：所述应急响应单元将从所述安全分析单元和专家分析单元接收到的分析结果以所述发送方式发送出去。进一步地，所述客户端安装于内网中，对所述内网中的所有终端进行管理。进一步地，所述应急服务还包括应急处理，所述应急代理还包括应急处理单元；所述应急响应单元还用于通过所述应急服务单元连接所述应急处理单元，并通过所述应急处理单元对该应急处理单元所属的应急代理所安装于的终端进行应急处理。进一步地，所述应急处理包括关闭可疑端口、删除可疑用户、关闭可疑进程、修改可疑注册表项。进一步地，所述应急响应单元与所述应急处理单元之间的连接方式为远程桌面连接或SSH连接。与现有技术相比，本专利技术提供的远程应急响应系统及其响应方法通过客户端自动扫描存在安全问题的终端，并向其自动推送应急代理，应急代理自动安装到存在安全问题的终端中并采集终端信息，客户端向云端应急中心发送包含应急代理采集的终端信息的应急服务请求，云端应急中心再对请求中的终端信息进行自动安全分析和专家人工分析，并将得出的应急分析结果发送出去。本专利技术实现了远程的快速自动化应急，提高了应急处理效率，解决了现有应急响应方式自动化处理能力不足，效率低下的问题。附图说明图1：本专利技术实施例提供的远程应急响应系统的结构示意图；图2：本专利技术实另一实施例提供的远程应急响应系统的响应方法流程示意图。具体实施方式下面将结合本专利技术实施例中附图，对本专利技术实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本专利技术实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本专利技术的实施例的详细描述并非旨在限制要求保护的本专利技术的范围，而是仅仅表示本专利技术的选定实施例。基于本专利技术的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。如图1所示，本专利技术实施例提供了一种远程应急响应系统，包括客户端1、应急代理2和云端应急中心3。其中：客户端1包括终端管理单元102和应急服务单元101。应急代理2包括信息收集单元201。云端应急中心3包括应急响应单元301、安全分析单元302和专家分析单元303。客户端1安装在有应急服务需求的网络中，对网络中的所有终端进行统一管理。具体来说，客户端1可以是安装于内网中，对内网中的所有终端进行管理，内网中的各终端均有自己的内网地址，在安装客户端1的服务器上应设置双网卡，其中一个网卡接内网地址，另一个网卡接公网地址，其中公网地址可被云端应急中心3访问到。终端管理单元102用于对客户端1所管理的所有终端进行扫描，以发现存在安全问题的终端。应急服务单元101用于向存在安全问题的终端推送应急代理2，以将应急代理2自动安装到存在安全问题的终端中，同时，接收该应急代理2的信息收集单元201收集的存在安全问题的终端的信息，并在接收到存在安全问题的终端的信息后向云本文档来自技高网...

【技术保护点】
一种远程应急响应系统，其特征在于，包括客户端、应急代理和云端应急中心；所述客户端包括终端管理单元和应急服务单元，所述应急代理包括信息收集单元，所述云端应急中心包括应急响应单元、安全分析单元和专家分析单元；所述终端管理单元用于对所述客户端所管理的所有终端进行扫描，以发现存在安全问题的终端；所述应急服务单元用于向所述存在安全问题的终端推送所述应急代理，以将所述应急代理自动安装到所述存在安全问题的终端中，同时，接收该应急代理的信息收集单元收集的所述存在安全问题的终端的信息，并在接收到所述存在安全问题的终端的信息后向所述云端应急中心发送应急服务请求；所述应急服务请求中包含所述存在安全问题的终端的信息以及所需的应急服务，所述应急服务包括应急分析，所述应急服务请求中还设定了应急分析结果的发送方式；所述应急响应单元用于接收所述应急服务请求，并将所述应急服务请求中包含的所述存在安全问题的终端的信息发送给所述安全分析单元与专家分析单元；所述安全分析单元用于对所述存在安全问题的终端的信息进行安全问题分析，并生成分析结果，并将所述分析结果发送到所述应急响应单元；所述专家分析单元用于提供界面以显示所述存在安全问题的终端的信息供人工分析和录入人工输入的分析结果，并将所述人工输入的分析结果发送到所述应急响应单元；所述应急响应单元将从所述安全分析单元和专家分析单元接收到的分析结果以所述发送方式发送出去。...

【技术特征摘要】
1.一种远程应急响应系统，其特征在于，包括客户端、应急代理和云端应急中心；所述客户端包括终端管理单元和应急服务单元，所述应急代理包括信息收集单元，所述云端应急中心包括应急响应单元、安全分析单元和专家分析单元；所述终端管理单元用于对所述客户端所管理的所有终端进行扫描，以发现存在安全问题的终端；所述应急服务单元用于向所述存在安全问题的终端推送所述应急代理，以将所述应急代理自动安装到所述存在安全问题的终端中，同时，接收该应急代理的信息收集单元收集的所述存在安全问题的终端的信息，并在接收到所述存在安全问题的终端的信息后向所述云端应急中心发送应急服务请求；所述应急服务请求中包含所述存在安全问题的终端的信息以及所需的应急服务，所述应急服务包括应急分析，所述应急服务请求中还设定了应急分析结果的发送方式；所述应急响应单元用于接收所述应急服务请求，并将所述应急服务请求中包含的所述存在安全问题的终端的信息发送给所述安全分析单元与专家分析单元；所述安全分析单元用于对所述存在安全问题的终端的信息进行安全问题分析，并生成分析结果，并将所述分析结果发送到所述应急响应单元；所述专家分析单元用于提供界面以显示所述存在安全问题的终端的信息供人工分析和录入人工输入的分析结果，并将所述人工输入的分析结果发送到所述应急响应单元；所述应急响应单元将从所述安全分析单元和专家分析单元接收到的分析结果以所述发送方式发送出去。2.如权利要求1所述的远程应急响应系统，其特征在于，所述客户端安装于内网中，对所述内网中的所有终端进行管理。3.如权利要求1所述的远程应急响应系统，其特征在于，所述应急服务还包括应急处理，所述应急代理还包括应急处理单元；所述应急响应单元还用于通过所述应急服务单元连接所述应急处理单元，并通过所述应急处理单元对该应急处理单元所属的应急代理所安装于的终端进行应急处理。4.如权利要求3所述的远程应急响应系统，其特征在于，所述应急处理包括关闭可疑端口、删除可疑用户、关闭可疑进程、修改可疑注册表项。5.如权利要求3所述的远程应急响应系统，其特征在于，所述应急响应单元与所述应急处理单元之间的连接方式为远程桌面连接或SSH连接。6.一种远程应急响应系统的响应方法，所述远程应急响应系统包括客户...

【专利技术属性】
技术研发人员：郭亮，
申请(专利权)人：北京数字观星科技有限公司，
类型：发明
国别省市：北京;11