【技术实现步骤摘要】
安全风险的闭环处置方法、装置及存储介质
本专利技术涉及平台安全领域,尤其涉及一种安全风险的闭环处置方法、装置及计算机可读存储介质。
技术介绍
目前各项业务系统繁多,现有的监控机制只是针对单个系统、单个操作行为做监控,而无法监控用户跨多个业务系统的综合操作行为,而现有的监控规则也基本是从操作时间、频率来进行判断,对长时间低频率的数据爬取,有规律的机器外挂行为,以及内外勾结进行数据泄露行为等很难进行发掘和监控。对于触发监控规则的告警,需要再次通过日志进行人工判断,然后再到风控系统进行账号拉黑或冻结处置,风险行为的监控→告警→处置的整个响应时间延迟较长(平均需一个小时),人工干预较多。现有的风控系统一般只能在登录验证环节进行控制,且目前的处置机制缺少联动闭环机制,拉黑账号后,风控系统无法及时杀掉风险账号的会话,若账号一直没有登出系统,就无法及时阻止其违规风险行为,且因为各个环节需要沟通不同单位、部门进行落实,处置效率极低。因此,亟须一种基于多业务系统安全风险的闭环处置方法,以减少人工干预,大大提高风险违规行为发现能力,减少人工和时间成本,有效且及时发现和遏制信息安全风险。
技术实现思路
本专利技术提供一种安全风险的闭环处置方法、电子装置及计算机可读存储介质,其主要目的在于通过创建日志平台对操作日志进行统一汇总,形成操作日志数据包,对操作日志数据包中的操作日志进行内容分析,并对操作日志中短时异常、长期规律性操作进行实时监控,在监控过程中若出现可疑操作,则通过邮件、HTTP等方式进行 ...
【技术保护点】
1.一种安全风险的闭环处置方法,应用于电子装置,其特征在于,所述方法包括:/nS110:安全闭环系统创建日志平台,所述日志平台将操作日志统一汇总为操作日志数据包,并对所述操作日志数据包中的操作日志进行内容分析,对所述操作日志中短时异常、长期规律性操作进行监控;以及,在所述监控过程中若出现可疑操作,则发出实时告警,并将告警信息及可疑操作日志同步到作业平台;/nS120:根据预设的违规标准对所接收到的告警信息及可疑操作日志进行违规确认,将确认违规的操作日志上传至自动化处置单元,自动生成对所述确认违规的操作日志的检查通知,并将所述检查通知发送到调查问责控件;/nS130:使用SPL高级查询语言进行日志检视以解析所述违规操作日志,提取出所述违规操作日志中的违规操作行为及其操作账号,根据预设的违规操作处理规则对所述违规操作日志的操作账号进行自动化处置处理,并将所述操作账号的信息及操作账号处置结果同步到调查问责控件;/nS140:根据所述检查通知及所述操作账号处置结果,确定所述操作账号信息执行操作日志的风险违规级别,并根据违规级别调用信息安全执行程序对所述操作日志中的违规操作行为进行核实确认。/n
【技术特征摘要】
1.一种安全风险的闭环处置方法,应用于电子装置,其特征在于,所述方法包括:
S110:安全闭环系统创建日志平台,所述日志平台将操作日志统一汇总为操作日志数据包,并对所述操作日志数据包中的操作日志进行内容分析,对所述操作日志中短时异常、长期规律性操作进行监控;以及,在所述监控过程中若出现可疑操作,则发出实时告警,并将告警信息及可疑操作日志同步到作业平台;
S120:根据预设的违规标准对所接收到的告警信息及可疑操作日志进行违规确认,将确认违规的操作日志上传至自动化处置单元,自动生成对所述确认违规的操作日志的检查通知,并将所述检查通知发送到调查问责控件;
S130:使用SPL高级查询语言进行日志检视以解析所述违规操作日志,提取出所述违规操作日志中的违规操作行为及其操作账号,根据预设的违规操作处理规则对所述违规操作日志的操作账号进行自动化处置处理,并将所述操作账号的信息及操作账号处置结果同步到调查问责控件;
S140:根据所述检查通知及所述操作账号处置结果,确定所述操作账号信息执行操作日志的风险违规级别,并根据违规级别调用信息安全执行程序对所述操作日志中的违规操作行为进行核实确认。
2.根据权利要求1所述的安全风险的闭环处置方法,其特征在于,所述日志平台通过采集器对业务系统的日志进行采集,将采集到的日志输入到日志云的kafka形成操作日志,所述操作日志中的数据经过ESAPI的处理后统一汇总为操作日志数据包;
所述日志平台基于J2EE技术体系,采用微服务架构;
所述操作日志携带操作行为及操作账号的相关信息,包括:员工操作日志、终端操作日志、堡垒机和数据库的审计日志;其中,
所述员工操作日志包括:出单、查询客户信息、核保、理赔;
所述终端操作日志包括;邮件外发、大文件上传。
3.根据权利要求1所述的安全风险的闭环处置方法,其特征在于,对所述操作日志中短时异常、长期规律性操作进行监控的过程中,包括:
利用所述操作日志中的数据,结合AI建立准实时、轻量级的监控规则;
根据所述监控规则判断所述操作日志中是否出现可疑操作;
所述告警规则包括:若同一用户一小时内访问敏感链接次数大于阈值,则通过日志平台自动发送邮件或通过HTTP方式进行告警;
告警内容可自定义,包括异常用户账号、访问的敏感链接、访问次数。
4.根据权利要求1所...
【专利技术属性】
技术研发人员:卿哲嘉,
申请(专利权)人:中国平安财产保险股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。