一种安全管理系统、装置和方法制造方法及图纸

本发明专利技术公开了一种安全管理系统，包括网络安全管理架构ＮＳＭＦ和网络管理系统ＮＭＳ，所述ＮＳＭＦ通过双向接口与所述ＮＭＳ和被管理对象进行信息交互，获取网络安全信息，并对所述被管理对象进行管理。本发明专利技术实施例在ＮＳＭＦ与被管理对象之间配置了双向接口，并为该双向接口设置了相应的功能，从而实现了智能化的配置管理，提高了安全管理系统的灵活性和适应性。

【技术实现步骤摘要】

本专利技术涉及网络通信
，特别涉及一种安全管理的系统、装置和 方法。
技术介绍
随着电信网络向融合、智能化、多媒体化等方向的飞速发展，电信网络 的信息安全问题变得日益严重，虽然我国已经对信息安全和网络安全方面的 问题给予了高度的重视，并且也开始进行大力地研究和技术发展，目前在电信网络中已经部署了防火墙、IDS (Invade Detect System,入侵检测系统)、 IPS( Intrusion Prevention System,入侵防御系统)等安全产品并且有一定的SOC (Security Operation Center,安全管理中心)系统进4亍部署，但仍然不能很好 地解决电信网络中层出不穷、日益严重的问题，例如虽然能够检测出事件， 但是基本上都是依靠工单系统下派任务然后依靠人来完成安全产品或其他网 元的配置、脆弱性修复、补丁下发等配置管理操作，^v而延长了处理时间， 给攻击的扩散和蔓延留下了可乘之机，导致了更大的损失。现有的信息管理系统的基本架构如图l所示。信息管理系统通过在安全设 备中设定代理来收集安全信息，然后进行一定的关联分析，形成一定格式的 信息报表，以供管理员了解，作为管理员进行一定安全部署的参考信息。安 全信息管理系统主要是通过网管系统对网络安全事件及相关信息进行采集、 获取、关联分析，并给管理员提供一定的分析结果，以便使管理员能够进一 步分析出到对网络中现有安全问题的措施建议，再对网络进行相应处理和操 作。但是一方面由于没有设置面向网元的配置接口及其功能，另一方面该安 全信息管理系统是基于现有网管的工作流程和模式提出，运行还需要大量的 工作流程和人为监督来配合，从而4艮难实现职能化的配置、脆弱性修复、补丁下发等管理功能，处理效率低，补救时间长，为攻击的扩大影响留下了隐患。如图2所示，为现有的计算机网络的网络安全系统架构示意图。计算机网 络的网络安全系统是一种应用于计算机网络安全领域的网络安全系统，包括 网络安全管理中心、网络安全设备和适配器，适配器位于网络安全管理中心 与网络安全设备之间，网络安全管理中心与适配器之间采用网络协议通信， 适配器与网络安全设备之间采用网络安全设备的网络协议和对应端口进行通 信；由适配器实现与网络安全设备通信的网络协议，并转换数据4各式，对网 络安全设备的配置管理信息和安全信息进行初步处理，而网络安全管理中心 则集中管理适配器，对来自网络安全设备的安全信息进行进一步的处理和存 储。此方案是基于计算机系统的，而电信网络中的设备既包含一定数量的一 般计算机设备，还包括大量的不同于一般计算机的电信设备，况且电信网络 层次繁多、互联互通复杂，所以将计算机网络的网络安全系统架构直接应用 到电信网络中是有一定的局限性的。此外，该方案也没有设置面向网元的配 置接口及其功能，从而也很难实现智能化的配置管理，难以应对纷繁复杂的攻击。因此，现有技术的缺点是没有设置面向网元的配置接口及其功能，难 以实现智能化的配置管理，为攻击的扩大影响留下了隐患，难以应对纷繁复 杂的攻击。
技术实现思路
本专利技术实施例提供，以实现在安全管理 系统中设置面向被管理对象的配置接口及其功能，实现智能化的配置管理。为达到上述目的，本专利技术实施例一方面提供一种安全管理系统，包括网 络安全管理架构NSMF和网络管理系统NMS，所述NSMF通过双向4妄口与所 述NMS和被管理对象进行信息交互，获取网络安全信息，并对所述^皮管理对 象进行管理。另一方面，本专利技术实施例提供一种网络安全管理架构NSMF,包括事件管理功能EMF模块，用于通过所述双向接口获取所述被管理对象发生的安 全事件，对所述安全事件进行处理；脆弱性管理功能VMF模块，用于通过所 述双向接口对所述被管理对象的安全脆弱性进行扫描，并将所述被管理对象 安全脆弱性的扫描结果传送给风险管理功能RMF模块；风险管理功能RMF 模块，用于根据接收自所述EMF模块的安全事件和接收自所述VMF模块的 安全脆弱性的扫描结果进行安全风险评估，生成网络安全风险报告并上报； 管理中心功能MCF模块，用于对所述EMF模块、所述VMF模块和所述RMF 模块进行管理，对所述MCF模块的用户进行管理。再一方面，本专利技术实施例提供一种安全管理方法，包括以下步骤NSMF 通过双向接口获取被管理对象发生的安全事件，对所述安全事件进行处理； 所述NSMF通过所述双向接口对所述被管理对象的安全脆弱性进行扫描，将 所述被管理对象安全脆弱性的扫描结果上报；所述NSMF根据所述安全事件 和所述安全脆弱性的扫描结果对所述被管理对象进行安全风险评估。与现有t支术相比，本专利技术实施例具有以下优点本专利技术实施例在安全管 理系统中的NSMF与被管理对象之间配置了双向接口 ，并设置了该双向接口 的功能，在NSMF的各功能模块之间也配置了双向接口并设置了相应的功能， 从而实现了智能化的配置管理，提高了安全管理系统的灵活性和适应性。附图说明图1为现有技术信息管理系统架构示意图；图2为现有技术计算机网络的网络安全系统架构示意图；图3为本专利技术实施例安全管理系统架构示意图；图4为本专利技术实施例安全管理系统的NSMF架构示意图；图5为本专利技术实施例NSMF与NMS并列非互通关系示意图；图6为本专利技术实施例NSMF与NMS并列互通关系示意图；图7为本专利技术实施例NSMF与NMS附属关系示意图；图8为本专利技术实施例NSMF与NMS融合关系示意图9为本专利技术实施例NSMF与NMS被管关系示意图； 图10为本专利技术实施例安全管理方法的流程图。具体实施方式本专利技术实施例提供了一种安全管理系统，包括NSMF (Network Security Management Framework, 网络安全管理架构)、NMS (Network Management System,网络管理系统)和被管理对象，并且在NSMF与被管理对象，NSMF 与NMS以及NSMF的各功能模块之间都配置了双向接口并设置了相应的功能， 实现了对安全管理系统的智能化配置管理，提高了安全管理系统的灵活性和 适应性。本专利技术实施例将以被管理对象为资产为例进行说明。如图3所示，为本专利技术实施例安全管理系统架构示意图，本专利技术实施例的 安全管理系统以安全风险管理为核心，其中NSMF对外的接口包括NSMF与 安全关联数据库的互通的接口 、 NSMF从网元获取信息并对网元进行配置的接 口、 NSMF与NMS交互的接口 、 NSMF与其他系统之间的接口。该架构内的接 口包括控制中心与策略管理功能模块、风险管理功能^t块、事件管理功能 模块、脆弱性管理功能模块、资产管理功能模块之间交互的接口，以及风险 管理功能模块与事件管理功能模块、脆弱性管理功能模块之间交互的接口 。 从整个通信网络布局来看，NSMF是起安全管理作用的中控系统，与现有网络 中的NMS可以为并列非互通关系、并列互通关系、附属关系、融合关系或净皮 管关系等多种关系。现有网络中NMS对安全网元有着直接的管理关系，所以 为了不对现有网络产生冲击，本架构将保留这种管理关系。其中，NSMF负责完成以下功能> 乂人SNE ( Security Network Element,安全网元)和部分网元中获取网 络的安全信息，包括通过主本文档来自技高网...

【技术保护点】
一种安全管理系统，包括网络安全管理架构ＮＳＭＦ和网络管理系统ＮＭＳ，其特征在于，所述ＮＳＭＦ通过双向接口与所述ＮＭＳ和被管理对象进行信息交互，获取网络安全信息，并对所述被管理对象进行管理。

【技术特征摘要】
1、一种安全管理系统，包括网络安全管理架构NSMF和网络管理系统NMS，其特征在于，所述NSMF通过双向接口与所述NMS和被管理对象进行信息交互，获取网络安全信息，并对所述被管理对象进行管理。2、 如权利要求1所述安全管理系统，其特征在于，所述NSMF还用于对 所述被管理对象发生的安全事件进行处理。3、 如权利要求2所述安全管理系统，其特征在于，所述NSMF还用于对 所述被管理对象发生的安全事件进行处理包括所述NSMF对所述被管理对 象发生的安全事件进行筛选、关联分析和等级评估，并根据所述关联分析的 结果生成网络安全报警报告。4、 如权利要求2所述安全管理系统，其特征在于，所述NSMF还用于对 所述被管理对象发生的安全事件进行处理还包括所述NSMF对所述安全事 件进行严重性排序，将严重性级别较高的所述安全事件优先呈现给所述NMS 或用户。5、 如权利要求1所述安全管理系统，其特征在于，所述NSMF还用于对 所述被管理对象的安全脆弱性进行扫描，并根据所述安全脆弱性的严重程度 发出安全报警通知。6、 如权利要求2或5所述安全管理系统，其特征在于，所述NSMF还用 于根据所述被管理对象的安全事件和所述安全脆弱性的扫描结果对所述被管 理对象进行安全风险评估，生成网络安全风险报告。7、 如权利要求1所述安全管理系统，其特征在于，所述双向接口包括 第一接口，用于连接NSMF与被管理对象，NSMF通过所述第一接口对被管理对象的安全事件进行收集，对所述被管理对象进行安全配置；第二接口 ，用于连接NSMF与被管理对象，NSMF通过所述第二接口对 被管理对象的安全脆弱性进行收集，对所述^皮管理对象进行修复。8、 一种网络安全管理架构NSMF,其特征在于，包括事件管理功能EMF模块，用于通过所述双向接口获取所述被管理对象发 生的安全事件，对所述安全事件进行处理；脆弱性管理功能VMF模块，用于通过所述双向接口对所述被管理对象的 安全脆弱性进行扫描，并将所述被管理对象安全脆弱性的扫描结果传送给风险管理功能RMF模块；风险管理功能RMF模块，用于根据接收自所述EMF模块的安全事件和 接收自所述VMF模块的安全脆弱性的扫描结果进行安全风险评估，生成网络 安全风险报告并上报；管理中心功能MCF模块，用于对所述EMF模块、所述VMF模块和所述 RMF模块进行管理，对所述MCF模块的用户进行管理。9、 如权利要求8所述NSMF，其特征在于，所述EMF模块用于对所述 被管理对象发生的安全事件进行处理包括所述EMF模块对所述被管理对象 发生的安全事件进行筛选、关联分析和等级评估，并根据所述关联分析的结 果生成网络安全报警报告上报所述MCF模块。10、 如权利要求8所述NSMF,其特征在于，所述EMF模块用于对所述 被管理对象发生的安全事件进行处理还包括对所述被管理对象发生的安全 事件进行严重性排序，将严重性级别较高的所述安全事件通过所述MCF模块 优先呈现给所述NMS。11、 如权利要求8所述NSMF，其特征在于，所述MCF模块还用于接收 所述EMF模块上报的网络安全报警报告和所述RMF模块上报的网络安全风 险报告。12、 如权利要求8所述NSMF,其特征在于，还包括 策略管理功能PMF模块，用于通过与所述MCF模块的信息交互对安全策略进行集中管理，向所述EMF模块、所述VMF模块和所述RMF模块下发 安全策略，所述集中管理的范围包括网络安全基线库和网元安全策略库；资产管理功能Alvn^莫块，接受所述MCF模块的管理控制和配置，用于 对所述被管理对象的信息进行管理。13、 如权利要求8或11所述NSMF,其特征在于，还包括第三接口 ，用于连接所述MCF模块与所述RMF模块，所述MCF模块通 过所述第三接口接收所述RMF模块上...

【专利技术属性】
技术研发人员：黄海龙，刘冰，位继伟，辛阳，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：94[中国|深圳]