[发明专利]一种积极的信息安全运维平台

说明书

技术领域

本发明涉及信息安全、网络管理和业务管理技术领域，尤其涉及到一种信息安全运维平台的实现方法。

背景技术

目前，很多企业的信息系统都配备了数量较多的信息安全设备、网络设备等IT设备，另一方面，企业信息系统的运营面临着专业性不强、效率不高等困境。业界尚无一款信息安全运维平台来解决各个企业信息系统所面临的问题，并为这些企业提供“一站式”的安全运维服务。

发明内容

有鉴于此，本发明提供了一种积极的信息安全运维平台的设计方法。

本发明解决上述问题的技术方案是：

所述信息安全运维平台包括安全运维数据采集模块、安全运维数据分析模块、安全运维业务模块和安全运维数据库模块。

所述安全运维数据采集模块包括安全信息采集子模块、网管信息采集子模块和业务信息采集子模块。

所述安全信息采集子模块能够通过多种方式采集各个企业信息系统里的各类信息安全设备的发送过来的安全事件信息。收集的方式包括以下几种：（1）基于SNMP Trap和Syslog方式收集事件；（2）通过ODBC库接口获取设备在各种数据库中的有关安全信息；

（3）通过OPSec接口接收事件。它将接收到的安全信息格式进行标准化之后，发送到所属企业的安全运维数据库，例如，如图1中的企业1的安全运维数据库。

所述网管信息采集子模块能够通过多种方式采集各个企业信息系统里的各类网络设备和安全设备发送过来的网管信息。收集的方式包括以下几种：（1）基于SNMP和MML方式收集网管信息（也可以修改设备配置）；（2）通过ODBC数据库接口获取设备在各种数据库中的有关网管信息；（3）通过XML接口接收网管信息。它将接收到的网管信息进行标准化之后，发生到所属企业的安全运维数据库，例如，如图1中的企业2的安全运维数据库。

所述业务信息采集子模块能够通过多种方式采集各个企业信息系统里的各类网络设备和安全设备的发送过来的业务信息。收集的方式包括以下几种：（1）基于WebService方式收集业务信息；（2）通过ODBC数据库接口获取设备在各种数据库中的有关业务信息；

（3）通过XML接口接收业务信息。它将接收到的业务信息进行标准化之后，发生到所属企业的安全运维数据库，例如，如图1中的企业N的安全运维数据库。

所述安全运维数据分析模块包括实时监控与事件处理子模块、统计分析子模块和事件关联与告警关联子模块。

所述实时监控与事件处理子模块通过监控各个企业网络各种网络设备、安全设备和服务器等日志信息，及时发现正在和已经发生的安全事件和设备告警，并采取措施，保证网络和业务系统的安全、可靠运行。

所述统计分析子模块能够对各个企业网络流量进行分析以消除隐患等、对用户使用业务情况等进行统计以掌握用户的上网行为。

所述关联分析子模块分别分析各个企业安全运维事件，通过内置安全运维规则库，将原本孤立的实时事件进行纵向时间轴与历史事件比对和横向属性轴与其它事件比对，识别出威胁事件；通过上述过程产生的告警信息通过XML格式进行安全运维信息标准化、规范化，告警信息集中存储于安全运维数据库中，能够满足容纳长时间信息存储的需求。

所述安全运维业务模块包括风险评估子模块、拓扑管理子模块、事件响应子模块和安全运维策略子模块。

所述风险评估子模块就是将企业信息系统安全风险分为五个等级，从低到高分别为：微风险、一般风险、中等风险、高风险和极高风险；利用风险评估的结果进行定损分析，并自动触发任务单和响应来降低资产风险，达到管理和控制风险的效果。

所述拓扑管理子模块可以（1）通过网络嗅探自动发现加入企业网络中的设备及其连接，获取各个企业最初的资产信息；（2）对网络拓扑进行监控，监控企业网络节点的运行状态；（3）识别企业网络新加入和退出的节点；（4）改变企业网络拓扑结构。

所述事件响应子模块通过各系统的联动、向第三方提供事件信息传递接口、输出任务工单等方式实现；对于确认的安全运维事件可以通过自动响应机制，一方面给出如安全运维仪表盘显示、邮件、短信等多种告警方式，另一方面，通过安全联动机制，如路由器远程控制、交换机远程控制等阻止攻击；各系统之间联动通过结合防火墙、入侵检测、防病毒系统、扫描器的综合信息，通过自动调整各企业的各安全设备的安全策略，以减弱或消除安全运维事件的影响。