一种计算机网络信息安全事件处理方法,通过一个与计算机网络连接的安全监控审计系统实现。在安全监控审计系统中建立有人机合作事件处理平台,在该平台中设有多种网络处理工具,由人决定选择何种工具及采用何种操作策略执行该工具,由人与网络处理工具合作对信息安全事件进行分析和处理。本发明专利技术的计算机网络信息安全事件处理方法灵活全面,实用性高,代价低;可弥补传统安全模型的不足;可提高安全监控审计系统的应用价值。(*该技术在2023年保护过期,可自由使用*)
【技术实现步骤摘要】
本专利技术涉及一种计算机网络安全防范方法,尤其涉及一种。
技术介绍
随着信息技术的不断发展以及因特网的应用越来越广泛和深入,网络安全问题也日益突出,除了计算机病毒泛滥之外,人为的计算机误用或误操作及恶意的网络攻击都在一定程度上对企业正常的业务运作造成了不小的影响,有的甚至还导致了严重的系统破坏或巨大的经济损失。一般企业常用的安全防范技术有防毒、加密、认证和访问控制等方法。近两年来,安全监控审计系统也逐渐成为一种重要的安全防范技术。现有的安全监控审计系统的系统结构图如图1所示。该系统主要由传感器、分析器、数据库、控制台和响应器五个部件组成。传感器为检测部件,主要作用是获取数据并进行检测,可监控网络流量或计算机系统;分析器一般为系统处理中心或策略中心;数据库为数据存储部件;控制台为面向用户的管理介面;响应器为实现多种响应的部件。这种安全监控审计系统可以实现检测和响应两大功能,可对网络或主机系统进行实时的监控和审计,一旦发现误用或恶意行为便可作出及时响应,其中“响应”为系统的主要输出结果。常见的响应方式有控制台显示、邮件通知、阻断连接、手机/呼机短信息、SNMP陷阱信息、传真、声音或通过防火墙阻断等方式。这种安全监控审计系统在信息安全事件发生时只是及时通知到管理人员,而不采取进一步的措施;另外,那些自动防御的响应方式也都有一定的局限性,这是因为,一方面干扰者或入侵者的行为变化多端,另一方面网络环境都比较复杂,这就导致网络状况也有很大的不确定性,所以阻断连接方式并不十分有效;安全经常是模糊的,管理人员也因此会无所适从,或被一些误报警所误导,或被一些隐蔽行为所蒙蔽。总之,传统的信息安全事件处理方法在信息安全事件发生时,管理人员依然不能对实际情况有足够清晰的了解,仍然没有有效的手段对信息安全事件作出全面及时的处理。
技术实现思路
针对现有计算机网络信息安全防范中存在的问题,本专利技术提供一种基于人机合作的,当信息安全事件发生时,管理人员在收到报警通知后,可以及时、全面、深入地对事件作出分析和处理,可使管理人员对当前的事件状况有一个清晰完整的了解,并可借助多种有效手段遏止住误用行为或入侵行为的进一步发生,同时,管理人员也可以依据当前的安全状况制定出企业下一步需要实行的安全防范策略。本专利技术的目的是这样实现的一种,该方法基于一个与计算机网络连接的安全监控审计系统实现,审计系统包括分析器、传感器、数据库、控制台和响应器,其特点是,该方法至少包括以下步骤第一步,建立处理平台在安全监控审计系统中建立一个与分析器相连的人机合作事件处理平台;第二步,提供网络处理工具;向人机合作事件处理平台提供可将抽象信息作为输入参数的网络处理工具;第三步,获取并分析数据传感器监控计算机网络、主机系统,从计算机网络、主机系统中获取能反映其安全状态的原始数据,对其进行安全状态分析,并进行过滤及传输到分析器作进一步的处理;第四步,产生信息安全事件分析器分析计算机网络、主机系统的安全状态,产生信息安全事件,并将其送往数据库、控制台、响应器和人机合作事件处理平台;第五步,提取抽象信息人机合作事件处理平台从信息安全事件中提取关键的抽象信息;第六步,人机合作得到处理结果以所提取的抽象信息作为网络处理工具的输入参数,由操作者与网络处理工具合作对信息安全事件进行分析和处理,遏阻非法行为,完成对信息安全事件的处理。所述的网络处理工具包括网络系统扫描器、防火墙、远程访问工具、远程控制工具、反攻击工具、网络嗅探工具、脚本语言和基本网络诊断工具。所述的网络处理工具由安全监控审计系统自动激活。所述的抽象信息包括源地址、目标地址、源端口、目标端口、时间戳、事件类型。在所述的步骤六中,由操作者决定选择的工具类型及采用的操作策略执行该工具。本专利技术由于采用了以上技术方案,使其与现有技术相比,具有以下明显的优点和积极效果1、可弥补传统安全模型的不足传统安全模型为基于时间的安全模型(TBS/Time Based Security),强调在系统防护时间(Pt)大于系统检测时间(Dt)加系统响应时间(Rt)之和时为系统的可接受安全模型。即Pt>Dt+Rt。TBS模型属于较为理想化的模型。事实上,防护的不可靠、检测的不精确以及响应的不完全都会使系统在保持安全状态时失去平衡。本专利技术方法可以在一定程度上弥补TBS安全模型欠缺考虑人的因素的不足,可以通过人机合作的方式对各种安全事件及各种变化不定的安全状况作出最好的处理。2、可提高安全监控审计系统的应用价值安全监控审计系统主要为检测和响应类产品,由于目前系统还没有足够的精度、灵活度和功能范围,所以系统应用有一定的局限性。本专利技术的方法可为管理人员提供一个安全事件的综合处理平台,既可以对事件进行有效处理,也可以对安全状况进行深入的分析,为监控审计类产品提供更多的应用价值。3、基于人机合作的处理方式,灵活全面,实用性高,代价低本专利技术的方法提供了人机合作处理事件的方式,既可充分利用系统所提供的信息和工具资源,也充分利用了人的决策能动性,所以灵活、全面、实用性高,但代价却较低。附图说明图1为现有技术安全监控审计系统的系统结构示意图。图2为本专利技术的系统结构示意图。图3为本专利技术的流程示意图。具体实施例方式请参见图2,本专利技术一种,通过一个与计算机网络连接的安全监控审计系统实现,该系统包括分析器、传感器、数据库、控制台、响应器和人机合作事件处理平台,由处于中心位置的分析器分别与传感器、数据库、控制台、响应器和人机合作事件处理平台连接组成,在人机合作事件处理平台中设有多种网络处理工具。网络处理工具包括网络系统扫描器、防火墙、远程访问工具、远程控制工具、反攻击工具、网络嗅探工具、脚本语言和基本网络诊断工具等。请参见图3,本专利技术的通过图2所示的安全监控审计系统实现,它包括以下步骤第一步,建立处理平台在安全监控审计系统中建立一个与分析器相连的人机合作事件处理平台;第二步,提供网络处理工具;向人机合作事件处理平台提供可将抽象信息作为输入参数的包括网络系统扫描器、防火墙、远程访问工具、远程控制工具、反攻击工具、网络嗅探工具、脚本语言和基本网络诊断工具等网络处理工具,网络处理工具由安全监控审计系统自动激活。第三步,获取并分析数据传感器监控计算机网络、主机系统,从计算机网络、主机系统中获取能反映其安全状态的原始数据,对其进行安全状态分析,并进行过滤及传输到分析器作进一步的处理;第四步,产生信息安全事件分析器分析计算机网络、主机系统的安全状态,产生信息安全事件,并将其送往数据库、控制台、响应器和人机合作事件处理平台;第五步,提取抽象信息人机合作事件处理平台从信息安全事件中提取包括源地址、目标地址、源端口、目标端口、时间戳、事件类型等关键的抽象信息。第六步,人机合作得到处理结果以所提取的抽象信息作为网络处理工具的输入参数,由操作者决定选择何种工具及采用何种操作策略执行该工具并与网络处理工具合作对信息安全事件进行分析和处理,遏阻非法行为,完成对信息安全事件的处理。权利要求1.一种,该方法基于一个与计算机网络连接的安全监控审计系统实现,审计系统包括分析器、传感器、数据库、控制台和响应器,其特征在于该方法至少包括以下步骤第一步,建立处理平台在安全监控审计系统中建立一个与分析器相连的人本文档来自技高网...
【技术保护点】
一种计算机网络信息安全事件处理方法,该方法基于一个与计算机网络连接的安全监控审计系统实现,审计系统包括分析器、传感器、数据库、控制台和响应器,其特征在于:该方法至少包括以下步骤:第一步,建立处理平台在安全监控审计系统中建立一个与分析 器相连的人机合作事件处理平台;第二步,提供网络处理工具;向人机合作事件处理平台提供可将抽象信息作为输入参数的网络处理工具;第三步,获取并分析数据传感器监控计算机网络、主机系统,从计算机网络、主机系统中获取能反映其安全状态的原 始数据,对其进行安全状态分析,并进行过滤及传输到分析器作进一步的处理;第四步,产生信息安全事件分析器分析计算机网络、主机系统的安全状态,产生信息安全事件,并将其送往数据库、控制台、响应器和人机合作事件处理平台;第五步,提取抽象信 息人机合作事件处理平台从信息安全事件中提取关键的抽象信息;第六步,人机合作得到处理结果以所提取的抽象信息作为网络处理工具的输入参数,由操作者与网络处理工具合作对信息安全事件进行分析和处理,遏阻非法行为,完成对信息安全事件的处理。
【技术特征摘要】
【专利技术属性】
技术研发人员:金波,周晴杰,任群,
申请(专利权)人:上海金诺网络安全技术发展股份有限公司,
类型:发明
国别省市:31[中国|上海]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。