安全风险的闭环处置方法、装置及存储介质制造方法及图纸

本发明专利技术涉及云安全领域，提出一种安全风险的闭环处置方法、装置及计算机可读存储介质，该方法包括：对操作日志数据包中的操作日志进行内容分析，并对所述操作日志中短时异常、长期规律性操作进行实时监控，对可疑操作日志进行违规确认，提取出所述违规操作日志中的违规操作行为及其操作账号，判定所述操作账号信息执行操作日志的风险违规级别，并根据违规级别调用信息安全执行程序对所述操作日志中的操作行为进行核实确认。

【技术实现步骤摘要】
安全风险的闭环处置方法、装置及存储介质
本专利技术涉及平台安全领域，尤其涉及一种安全风险的闭环处置方法、装置及计算机可读存储介质。
技术介绍
目前各项业务系统繁多，现有的监控机制只是针对单个系统、单个操作行为做监控，而无法监控用户跨多个业务系统的综合操作行为，而现有的监控规则也基本是从操作时间、频率来进行判断，对长时间低频率的数据爬取，有规律的机器外挂行为，以及内外勾结进行数据泄露行为等很难进行发掘和监控。对于触发监控规则的告警，需要再次通过日志进行人工判断，然后再到风控系统进行账号拉黑或冻结处置，风险行为的监控→告警→处置的整个响应时间延迟较长(平均需一个小时)，人工干预较多。现有的风控系统一般只能在登录验证环节进行控制，且目前的处置机制缺少联动闭环机制，拉黑账号后，风控系统无法及时杀掉风险账号的会话，若账号一直没有登出系统，就无法及时阻止其违规风险行为，且因为各个环节需要沟通不同单位、部门进行落实，处置效率极低。因此，亟须一种基于多业务系统安全风险的闭环处置方法，以减少人工干预，大大提高风险违规行为发现能力，减少人工和时间成本，有效且及时发现和遏制信息安全风险。
技术实现思路
本专利技术提供一种安全风险的闭环处置方法、电子装置及计算机可读存储介质，其主要目的在于通过创建日志平台对操作日志进行统一汇总，形成操作日志数据包，对操作日志数据包中的操作日志进行内容分析，并对操作日志中短时异常、长期规律性操作进行实时监控，在监控过程中若出现可疑操作，则通过邮件、HTTP等方式进行实时告警，并将告警信息及可疑操作日志同步到作业平台，进而解析违规操作日志，提取出所述违规操作日志中的违规操作行为及其操作账号，判定操作账号信息执行操作日志的风险违规级别，并根据违规级别调用信息安全执行程序对所述操作日志中的操作行为进行核实确认以减少人工干预，大大提高风险违规行为发现能力，减少人工和时间成本，有效且及时发现和遏制信息安全风险。为实现上述目的，本专利技术提供的方法，应用于电子装置，所述安全风险的闭环处置方法包括：S110：安全闭环系统创建日志平台，所述日志平台用于将操作日志统一汇总为操作日志数据包，并对所述操作日志数据包中的操作日志进行内容分析，对所述操作日志中短时异常、长期规律性操作进行监控；以及，在所述监控过程中若出现可疑操作，则发出实时告警，并将告警信息及可疑操作日志同步到作业平台；S120：根据预设的违规标准对所接收到的告警信息及可疑操作日志进行违规确认，将确认违规的操作日志上传至自动化处置单元，自动生成对所述确认违规的操作日志的检查通知，并将所述检查通知发送到调查问责控件；S130：使用SPL高级查询语言进行日志检视以解析所述违规操作日志，提取出所述违规操作日志中的违规操作行为及其操作账号，根据预设的违规操作处理规则对所述违规操作日志的操作账号进行自动化处置处理，并将所述操作账号的信息及操作账号处置结果同步到调查问责控件；S140：根据所述检查通知及所述操作账号处置结果，确定所述操作账号信息执行操作日志的风险违规级别，并根据违规级别调用信息安全执行程序对所述操作日志中的违规操作行为进行核实确认。优选地，所述日志平台通过采集器对业务系统的日志进行采集，将采集到的日志输入到日志云的kafka形成操作日志，所述操作日志中的数据经过ESAPI的处理后统一汇总为操作日志数据包；所述日志平台基于J2EE技术体系，采用微服务架构；所述操作日志携带操作行为及操作账号的相关信息，包括：员工操作日志、终端操作日志、堡垒机和数据库的审计日志；其中，所述员工操作日志包括：出单、查询客户信息、核保、理赔；所述终端操作日志包括；邮件外发、大文件上传。优选地，对所述操作日志中短时异常、长期规律性操作进行监控的过程中，包括：利用所述操作日志中的数据，结合AI建立准实时、轻量级的监控规则；根据所述监控规则判断所述操作日志中是否出现可疑操作；所述告警规则包括：若同一用户一小时内访问敏感链接次数大于阈值，则通过日志平台自动发送邮件或通过HTTP方式进行告警；告警内容可自定义，包括异常用户账号、访问的敏感链接、访问次数。优选地，所述作业平台通过接口形式对接所述日志平台、自动化处置单元及调查问责控件。优选地，对所接收到的告警信息及可疑操作日志进行违规确认，将确认违规的操作日志上传至自动化处置单元过程包括：所述作业平台对应所接收到的告警信息及可疑操作日志生成作业任务；所述作业任务包括：对告警进行分析，对于确认存在风险违规的操作日志，作业平台通过openapi形式，自动将处置的操作日志信息发送给自动化处置单元，由所述自动化处置单元实施账号冻结或拉黑操作。优选地，提取出所述违规操作日志中的违规操作行为及其操作账号，将所述违规操作日志的操作账号进行自动化处置处理的过程包括：通过接口方式将所述违规操作账号及告警详情同步到风控插件，所述风控插件用于设置风控规则，对所述违规操作日志中的操作行为进行自动冻结，对所述可疑操作账号进行拉黑处置。优选地，设置风控规则包括：对设置账号高频操作、多IP访问、外挂程序、非工作时间异常操作等行为进行监控。优选地，根据违规级别调用信息安全执行程序对所述操作日志中的操作行为进行核实确认的过程包括：所述信息安全执行程序对所述操作日志中的操作行为进行核实确认；其中，对于核实确认所述操作账号存在违规行为、信息泄露的，由所述信息安全执行程序对所述操作账号使用人进行量级问责和处罚，并将问责和处罚结果录入到法律合规平台，所述法律合规平台在接收到问责和处罚结果后，根据所述问责和处罚结果通知相关惩处部门以便对所述操作账号使用人进行处罚。为实现上述目的，本专利技术还提供一种电子装置，该装置包括：存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现权前述的安全风险的闭环处置方法中的步骤。此外，为实现上述目的，本专利技术还提供一种计算机可读存储介质，所述计算机可读存储介质中存储有安全风险的闭环处置程序，所述安全风险的闭环处置程序被处理器执行时，实现前述的安全风险的闭环处置方法的步骤。本专利技术提出的安全风险的闭环处置方法、电子装置及计算机可读存储介质，其中通过创建日志平台对操作日志进行统一汇总，形成操作日志数据包，对操作日志数据包中的操作日志进行内容分析，并对操作日志中短时异常、长期规律性操作进行实时监控，在监控过程中若出现可疑操作，则通过邮件、HTTP等方式进行实时告警，并将告警信息及可疑操作日志同步到作业平台，进而解析违规操作日志，提取出所述违规操作日志中的违规操作行为及其操作账号，判定操作账号信息执行操作日志的风险违规级别，并根据违规级别调用信息安全执行程序对所述操作日志中的操作行为进行核实确认以减少人工干预，大大提高风险违规行为发现能力，减少人工和时间成本，有效且及时发现和遏制信息安全风险。附图说本文档来自技高网...

【技术保护点】
1.一种安全风险的闭环处置方法，应用于电子装置，其特征在于，所述方法包括：/nS110：安全闭环系统创建日志平台，所述日志平台将操作日志统一汇总为操作日志数据包，并对所述操作日志数据包中的操作日志进行内容分析，对所述操作日志中短时异常、长期规律性操作进行监控；以及，在所述监控过程中若出现可疑操作，则发出实时告警，并将告警信息及可疑操作日志同步到作业平台；/nS120：根据预设的违规标准对所接收到的告警信息及可疑操作日志进行违规确认，将确认违规的操作日志上传至自动化处置单元，自动生成对所述确认违规的操作日志的检查通知，并将所述检查通知发送到调查问责控件；/nS130：使用SPL高级查询语言进行日志检视以解析所述违规操作日志，提取出所述违规操作日志中的违规操作行为及其操作账号，根据预设的违规操作处理规则对所述违规操作日志的操作账号进行自动化处置处理，并将所述操作账号的信息及操作账号处置结果同步到调查问责控件；/nS140：根据所述检查通知及所述操作账号处置结果，确定所述操作账号信息执行操作日志的风险违规级别，并根据违规级别调用信息安全执行程序对所述操作日志中的违规操作行为进行核实确认。/n

【技术特征摘要】
1.一种安全风险的闭环处置方法，应用于电子装置，其特征在于，所述方法包括：
S110：安全闭环系统创建日志平台，所述日志平台将操作日志统一汇总为操作日志数据包，并对所述操作日志数据包中的操作日志进行内容分析，对所述操作日志中短时异常、长期规律性操作进行监控；以及，在所述监控过程中若出现可疑操作，则发出实时告警，并将告警信息及可疑操作日志同步到作业平台；
S120：根据预设的违规标准对所接收到的告警信息及可疑操作日志进行违规确认，将确认违规的操作日志上传至自动化处置单元，自动生成对所述确认违规的操作日志的检查通知，并将所述检查通知发送到调查问责控件；
S130：使用SPL高级查询语言进行日志检视以解析所述违规操作日志，提取出所述违规操作日志中的违规操作行为及其操作账号，根据预设的违规操作处理规则对所述违规操作日志的操作账号进行自动化处置处理，并将所述操作账号的信息及操作账号处置结果同步到调查问责控件；
S140：根据所述检查通知及所述操作账号处置结果，确定所述操作账号信息执行操作日志的风险违规级别，并根据违规级别调用信息安全执行程序对所述操作日志中的违规操作行为进行核实确认。


2.根据权利要求1所述的安全风险的闭环处置方法，其特征在于，所述日志平台通过采集器对业务系统的日志进行采集，将采集到的日志输入到日志云的kafka形成操作日志，所述操作日志中的数据经过ESAPI的处理后统一汇总为操作日志数据包；
所述日志平台基于J2EE技术体系，采用微服务架构；
所述操作日志携带操作行为及操作账号的相关信息，包括：员工操作日志、终端操作日志、堡垒机和数据库的审计日志；其中，
所述员工操作日志包括：出单、查询客户信息、核保、理赔；
所述终端操作日志包括；邮件外发、大文件上传。


3.根据权利要求1所述的安全风险的闭环处置方法，其特征在于，对所述操作日志中短时异常、长期规律性操作进行监控的过程中，包括：
利用所述操作日志中的数据，结合AI建立准实时、轻量级的监控规则；
根据所述监控规则判断所述操作日志中是否出现可疑操作；
所述告警规则包括：若同一用户一小时内访问敏感链接次数大于阈值，则通过日志平台自动发送邮件或通过HTTP方式进行告警；
告警内容可自定义，包括异常用户账号、访问的敏感链接、访问次数。


4.根据权利要求1所...

【专利技术属性】
技术研发人员：卿哲嘉，
申请(专利权)人：中国平安财产保险股份有限公司，
类型：发明
国别省市：广东;44