[发明专利]全程全网安全协同防御系统

说明书

【技术领域】

本发明涉及互联网与计算机网络安全技术领域，尤其涉及计算机网络安全一体化协同防御的网络协同防御安全系统。

【背景技术】

计算机网络的飞速发展，给人们的生产和生活带来极大的便利，使各行业和企业的信息化程度迅速提高。我们在得益于计算机网络迅速发展所带来的巨大机遇的同时，也不得不面临着各种网络安全问题的挑战：病毒，蠕虫，木马，恶意攻击，非授权接入，非法外联，垃圾邮件等。这些网络安全威胁不仅给个人的工作和生活带来很大的不便和损失，更给企业，对政府带来巨大的影响。

面对这些威胁，人们提出了多种防护措施：防火墙，防病毒，入侵检测，虚拟专用网，反垃圾邮件等。但这些网络安全系统在功能上孤立单一，大多只能对抗已知攻击，缺少对网络系统故障和人为操作失误等因素的处理。这种传统的网络安全系统是基于静态安全技术建立的被动防御模型，没有依据统一的安全防御策略对网络系统各个层面进行系统全面的防御，消极反应和事后修补完善外在附加，被动的防御，未能解决脆弱的本源问题，更无法应对具有多样、随机、隐蔽和传播等特点的攻击和破坏行为，而且安全系统自身的安全可靠没有保证。这种防御体制已不能适应当今复杂多变的网络环境安全需求。

现有计算机网络安全产品的多样化使得整个系统的相互协作与管理成为难点，设备管理、运行管理带来的管理成本与难度直接制约了安全防御体系的有效性。为了解决各种网络设备的协作和管理问题，近年来提出了统一威胁管理(Unified Treatment Management，UTM)的方式，将多种网络安全控制能力融合在一起，进行统一管理，实现防御一体化。该种防御方式为简化安全解决方案，规避设备兼容性问题提供了有效途径。但现今的解决方案要么是将独立的软件和硬件模块嵌入到一个系统或机箱中实现功能的堆砌，要么是对某一功能进行特殊的处理，不能做到从体系结构层面对网络各层进行有效整合和简化处理，UTM设备和系统并不成熟，且防御措施是“个人自扫门前雪”的孤立方式，即，只是在单点进行被动防御。事实表明，计算机网络的不安全因素在通常都不是孤立和分离的，而且越来越成群体化趋势，基于现有技术的计算机网络安全防御系统的孤立被动防御理念显然无法对群体性网络安全事件进行有效防御(如病毒扩散，分布式DDoS攻击等)，也不能从根本上解决网络安全问题。

【发明内容】

本发明提供一种全程全网安全协同防御系统，提出全局式网络一体化安全协同解决方案，实现全局性的网络一体化协同安全防御。

为了解决上述网络中单一安全功能或多功能单点安全防御等问题，本发明提供一种全程全网安全协同防御系统。这种全程全网安全协同防御系统，包括：

设置于计算机网络节点外端口的流量数据探测子系统，所述流量数据探测子系统捕捉预经过网络节点的数据流量；

设置于计算机网络的各网络节点的协同防御设备，所述协同防御设备内置安全功能组件、流量监控功能组件以及协同防控功能组件，所述的流量监控功能组件通知、接收、分析和处理流量数据探测子系统所获取的数据流量；所述的协同防控功能组件控制各协同防御设备之间的信息传递，生成或接收安全分析控制中心的策略及按策略实施安全管控；以及

安全分析控制中心，集中配置、监控和管理所管辖的多台协同防御设备，所述的安全分析控制中心内置数据中心，数据中心执行协同防御设备网关日志和流量信息的存储、分析和审计处理，协同防御设备将所整理的流量数据传输到安全分析控制中心的数据中心后，经安全分析控制中心统一辨别和分析，或提取各协同防御设备发现的具有共性的事件并报警，结合安全分析控制中心所预设的安全策略和网络资源进行统一分析后生成新的安全策略，分发给各协同防御设备，更新并实施安全策略。

所述协同管理设备内置可用于数据流量分析的流量监控功能组件和协同防御功能组件，可实施自主安全策略的生成及策略布控，并可将策略报送与域内其他协同防御设备并进行远程布控，从而实现协同防御设备自主管理和协同管理的双重机制。

所述协同防御管理系统基于服务器-代理的模式，安全分析控制中心通过部署在协同防御设备上的代理程序与协同防御设备进行安全通信，代理程序中的本地监控插件根据安全分析控制中心的指令，指示协同防御设备完成相应的协同策略管理动作。