本申请涉及信息安全领域,公开了一种智能化的安全事件闭环处置系统及其方法。该智能化的安全事件闭环处置系统,包括:安全防护和监测模块,安全监控中心,事件分析和响应中心,用户告警及通知端,以及人机交互界面。通过一套完整的技术架构将安全事件发生——告警——处置和记录——关闭——总结有效结合起来并形成闭环,将传统松散的安全事件处置和管理模式统一化和智能化,将事件的处置与管理以程序架构的形式整合到企业整体安全框架中。实现安全事件的智能化处理和全流程闭合管控,减轻安全人员的管理成本,提升安全事件的处置效率和质量,并为信息安全工作在企业中的价值提供可量化的评价指标。
Intelligent closed-loop disposal system of security events and its method
【技术实现步骤摘要】
智能化的安全事件闭环处置系统及其方法
本申请涉及信息安全领域,特别涉及一种智能化的安全事件闭环处置技术。
技术介绍
在很多企业或组织内部,安全人员在收到来自各安全设备或监控中心的告警后,通常需要自身经验判断或采信监控告警内容来人工分析安全事件,然后通过企业内通讯工具或电话等方式联系到相关业务或运维人员协同处置,这样从线上获取安全告警信息,再进行线下流转处置的方式,不仅效率不高,而且事件信息的完整性、沟通记录的准确性都难以保障,容易出现事件处置程序混乱、以及未闭环即无人跟进等状况。针对上述问题,现有技术中主要有以下两种解决方案:a.无智能化解决方案,主要通过线下沟通方式,参考一些最佳流程实践,以(临时)事件处置小组的形式进行信息传达和过程记录,处置过程以文档文件的形式分散于小组不同成员手中,最后由安全人员进行手动汇总和上报。b.有部分智能化解决方案,即整个事件分析和响应过程,有部分通过自动化程序实现,如事件记录、内容展示等,通过线上发现的原始告警信息经线下分析后再人工提交到线上,仅作为一个内容管理平台来使用,未紧密结合到企业整体的安全监控架构中,无法做到事件的自动关联和流转,且可能存在相关人员学习和使用成本较高的情况。从上面的介绍可以看出,现有的技术方案均存在不同程度的安全事件处置和管理流转缺陷,不能通过一套完整的技术架构将安全事件发生——告警——处置和记录——关闭——总结有效结合起来并形成闭环,使得制定的各项事件处置预案浮于纸面,也就不能为企业提供完整有效的安全态势反馈。在当前互联网、物联网、工控网络日益发达的趋势下,过去基于线上告警、线下处置和记录的传统安全事件处置方式,已明显不能适应技术发展的需要。因此,目前亟需一种自动化逻辑关联和规则分析的事件分析和响应平台,从而减轻安全人员的管理成本,提升安全事件的处置效率,形成事件处置闭环,并为信息安全工作在企业中的价值提供明显的量化指标。
技术实现思路
本申请的目的在于提供一种智能化的安全事件闭环处置系统及其方法,通过一套完整的技术架构将安全事件发生——告警——处置和记录——关闭——总结有效结合起来并形成闭环,减轻安全人员的管理成本,提升安全事件的处置效率,并为信息安全工作在企业中的价值提供明显的量化指标。为解决上述技术问题,本专利技术的实施方式公开了一种智能化的安全事件闭环处置系统,包括:安全防护和监测模块,安全监控中心,事件分析和响应中心,用户告警及通知端,以及人机交互界面;所述安全防护和监测模块,用于监控和感知安全状况,发现安全事件,并将安全事件的原始数据发送到所述安全监控中心;所述安全监控中心,用于对所述原始数据进行数据格式化处理和规则引擎分析,过滤误报的安全事件,并将判断为真实的安全事件的数据发送到所述事件分析和响应中心;所述事件分析和响应中心,用于对所述安全监控中心传来的安全事件进行分类和分级,并创建和管理安全事件的处置流程、状态、处置记录及标签信息;所述用户告警及通知端,用于接收来自所述事件分析和响应中心的告警消息和流程消息通知;所述人机交互界面作为所述事件分析和响应中心的用户访问入口,与所述事件分析和响应中心连接。本专利技术的实施方式还公开了一种智能化的安全事件闭环处置方法,用于上述智能化的安全事件闭环处置系统,所述方法包括以下步骤:发现安全事件,并上报该安全事件的原始数据;对原始数据进行数据格式化处理和规则引擎分析,过滤误报的安全事件,并判断出真实的安全事件;对真实的安全事件进行分类和分级,并创建和管理安全事件的处置流程、状态、处置记录及标签信息,同时将安全事件告警至事件响应人员;响应人员在线上进行事件处理、流程流转和记录,直到安全事件问题修复。本专利技术实施方式与现有技术相比,主要区别及其效果在于:通过一套完整的技术架构将安全事件发生——告警——处置和记录——关闭——总结有效结合起来并形成闭环,为企业提供完整有效的安全态势反馈。提供一种自动化逻辑关联和规则分析的事件分析和响应平台,减轻安全人员的管理成本,提升安全事件的处置效率,形成事件处置闭环,并为信息安全工作在企业中的价值提供明显的量化指标。将传统松散的安全事件的处置和管理模式进行统一化和智能化,将事件的处置与管理以程序架构的方式整合到企业整体安全框架中,实现安全事件的智能化处理和全流程闭合管控,降低人工处置成本,提升安全运营效率,最终实现企业安全防护水平的提升。本申请的说明书中记载了大量的技术特征,分布在各个技术方案中,如果要罗列出本申请所有可能的技术特征的组合(即技术方案)的话,会使得说明书过于冗长。为了避免这个问题,本申请上述
技术实现思路
中公开的各个技术特征、在下文各个实施方式和例子中公开的各技术特征、以及附图中公开的各个技术特征,都可以自由地互相组合,从而构成各种新的技术方案(这些技术方案均因视为在本说明书中已经记载),除非这种技术特征的组合在技术上是不可行的。例如,在一个例子中公开了特征A+B+C,在另一个例子中公开了特征A+B+D+E,而特征C和D是起到相同作用的等同技术手段,技术上只要择一使用即可,不可能同时采用,特征E技术上可以与特征C相组合,则,A+B+C+D的方案因技术不可行而应当不被视为已经记载,而A+B+C+E的方案应当视为已经被记载。附图说明图1是根据本申请第一实施方式的一种智能化的安全事件闭环处置系统的结构示意图;图2是根据本申请第一实施方式的一种事件分析和响应中心的结构示意图;图3是根据本申请第二实施方式的一种智能化的安全事件闭环处置方法的流程示意图;图4是根据本申请第二实施方式的一种智能化的安全事件闭环处置方法的逻辑流程图。具体实施方式在以下的叙述中,为了使读者更好地理解本申请而提出了许多技术细节。但是,本领域的普通技术人员可以理解,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请所要求保护的技术方案。为使本专利技术的目的、技术方案和优点更加清楚,下面将结合附图对本专利技术的实施方式作进一步地详细描述。本专利技术第一实施方式涉及一种智能化的安全事件闭环处置系统。图1是该智能化的安全事件闭环处置系统的结构示意图。在当前互联网、物联网、工控网络日益发达的趋势下,提供一种自动化逻辑关联和规则分析的事件分析和响应平台,形成安全事件处置闭环。其中,物联网,是指把各样物品通过某种通讯协议将其接入互联网,实现人类远程访问和操作需求的一种网络概念。工控网络,即工业控制网络,由于其业务特殊性,常各自独立地形成庞大的内部私有网络群,用于对接各工业控制设备或系统,与互联网逻辑隔离或物理隔离。智能化,是指在网络、大数据、规则引擎、人工智能等技术的共同作用下,普通计算机程序承担部分或全部人工思考或逻辑分析的属性。安全事件,是指由于自然或人为,以及软硬件本身缺陷或故障等的原因,导致信息泄露、系统受损、数据丢失、网络缓慢本文档来自技高网...
【技术保护点】
1.一种智能化的安全事件闭环处置系统,其特征在于,包括:安全防护和监测模块,安全监控中心,事件分析和响应中心,用户告警及通知端,以及人机交互界面;/n所述安全防护和监测模块,用于监控和感知安全状况,发现安全事件,并将安全事件的原始数据发送到所述安全监控中心;/n所述安全监控中心,用于对所述原始数据进行数据格式化处理和规则引擎分析,过滤误报的安全事件,并将判断为真实的安全事件的数据发送到所述事件分析和响应中心;/n所述事件分析和响应中心,用于对所述安全监控中心传来的安全事件进行分类和分级,并创建和管理安全事件的处置流程、状态、处置记录及标签信息;/n所述用户告警及通知端,用于接收来自所述事件分析和响应中心的告警消息和流程消息通知;/n所述人机交互界面作为所述事件分析和响应中心的用户访问入口,与所述事件分析和响应中心连接。/n
【技术特征摘要】
1.一种智能化的安全事件闭环处置系统,其特征在于,包括:安全防护和监测模块,安全监控中心,事件分析和响应中心,用户告警及通知端,以及人机交互界面;
所述安全防护和监测模块,用于监控和感知安全状况,发现安全事件,并将安全事件的原始数据发送到所述安全监控中心;
所述安全监控中心,用于对所述原始数据进行数据格式化处理和规则引擎分析,过滤误报的安全事件,并将判断为真实的安全事件的数据发送到所述事件分析和响应中心;
所述事件分析和响应中心,用于对所述安全监控中心传来的安全事件进行分类和分级,并创建和管理安全事件的处置流程、状态、处置记录及标签信息;
所述用户告警及通知端,用于接收来自所述事件分析和响应中心的告警消息和流程消息通知;
所述人机交互界面作为所述事件分析和响应中心的用户访问入口,与所述事件分析和响应中心连接。
2.如权利要求1所述的智能化的安全事件闭环处置系统,其特征在于,所述事件分析和响应中心包括:事态分析模块,事件管理模块,以及告警和通知模块;
所述事态分析模块,包含事件分类和事件分级规则引擎,通过对所述安全监控中心传来的安全监控数据进行自动化分析,对安全事件进行分类和分级;
所述事件管理模块,用于在所述事态分析模块确认安全事件的分类和分级后,创建和管理安全事件的处置流程、状态、处置记录及标签信息;
所述告警和通知模块,用于向所述用户告警及通知端发送告警消息和流程消息通知。
3.如权利要求2所述的智能化的安全事件闭环处置系统,其特征在于,所述事件分析和响应中心还包括:数据分析模块,以及报表模块;
所述数据分析模块,用于将当前发生的安全事件与历史事件进行关联;
所述报表模块,用于对历史安全事件进行统计和分析,并根据需要实现图表展现。
4.如权利要求3所述的智能化的安全事件闭环处置系统,其特征在于,所述事件分析和响应中心还包括:管理控制台,以及存储模块;
所述管理控制台:用于管理员对各模块进行配置和维护;
所述存储模块,用于存储各模块产生的临时和永久数据,根据不同的读写需求,配备不同的数据库系统。
【专利技术属性】
技术研发人员:于皓然,
申请(专利权)人:千寻位置网络有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。