[发明专利]一种信息安全风险预警方法及管理系统

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种信息安全风险预警方法及管理系统。

背景技术

随着计算机技术和互联网技术的发展，网络信息安全形势也发生了很大的变化，各种安全事件和安全威胁层出不穷，对威胁特别是未知威胁进行快速和精确的检测，及时形成安全风险预警，并根风险预警信息采取安全措施，是提高信息安全保障能力的重要内容之一。

构建风险预警管理系统必须解决三个问题：1）风险预警；2）产生预警后的管理流程；3）工作监管和绩效考核。在这三个问题中风险预警是关键环节。风险预警主要包括威胁检测和预警产生两个部分。

目前，在实际工作中，安全管理人员通常直接将采集器等设备检测到的威胁结果作为风险预警信息，并从攻击如何发生的角度给出威胁告警，从整体安全态势的角度描述当前系统中存在的脆弱性及威胁实时利用脆弱性的态势。

这种方式尽管对威胁发生的路径、对脆弱性的利用情况给出了详细的描述，但却存在如下问题：1）威胁与预警数量庞大，安全管理员难以抓住重点；2）直接根据威胁得到的预警级别信息与机构业务和信息系统特点无关，风险预警结果精确性不足，甚至可能是错误的。

发明内容

本发明要解决的技术问题是：针对上述现有技术的不足，提供一种信息安全风险预警方法及管理系统，该信息安全风险预警方法对采集器检测到的威胁进行风险评估以进行分级，并根据事先设定的阈值筛选出风险级别较高的威胁，从而使最终形成的风险预警更加精简，便于管理员的处理，提高了信息安全风险预警管理系统的工作效率。

为解决上述技术问题，本发明所采取的技术方案是：

一种信息安全风险预警方法，其包含如下步骤：

（1）使用采集器进行威胁检测，获得检测结果；

（2）使用风险评估方法计算检测结果中各威胁的影响程度，得到各威胁对应的风险级别；

（3）依据事先设定的阈值，形成风险预警，风险预警中仅包含风险级别超过阈值的威胁。

具体地，阈值分为高、中、低三档。

一种信息安全风险预警管理系统，其包括风险预警器、任务管理器和检测对比器，其中：

风险管理器包括用于进行威胁检测的采集器，并根据采集到的威胁按照如上所述的信息安全风险预警方法生成风险预警；

任务管理器用于将风险预警中的威胁作为任务派发给管理员，并接受管理员对威胁处理情况的反馈；

检测对比器用于对威胁进行重新检测，确认威胁是否被排除。

本技术方案中，采集器提供终端安全防护、网络风险的预警分、安全威胁阻断、各级安全设备的联动报警等的技术支撑，从而提高用户的威胁检测能力，降低防护成本。在平台的支持下，采集器共能够检测恶意软件、黑客攻击、信息泄漏、间谍软件、垃圾软件、未注册服务等6大类威胁，具体威胁400多种。对于每种具体威胁，采集器能够检测到的属性数据包括：威胁或告警编号、设备编号、主机名、IP地址、物理MAC地址、用户组、日志时间、威胁具体描述、威胁类型指针、通用告警程度、告警类型}。属性数据中涉及的主要对象包括地区、管理员、终端等，通过IP地址可以将这些对象的关键属性地区名称、主机名、IP地址、威胁类型指针、威胁描述、通用告警级别等关联起来。具体来说，采集器可以采用趋势科技生产的威胁风险系统TDA。

采用上述技术方案所产生的有益效果在于：本发明方法对采集器检测到的威胁进行风险评估以进行分级，并根据事先设定的阈值筛选出风险级别较高的威胁，从而使最终形成的风险预警更加精简，便于管理员的处理，提高了信息安全风险预警管理系统的工作效率。

具体实施方式

下面结合具体实施方式对本发明作进一步详细的说明。

实施例一：

一种信息安全风险预警管理系统，其包括风险预警器、任务管理器和检测对比器，其中：

风险管理器使用信息安全风险预警方法生成风险预警；

任务管理器用于将风险预警中的威胁作为任务派发给管理员，并接受管理员对威胁处理情况的反馈；

检测对比器用于对威胁进行重新检测，确认威胁是否被排除；

风险管理器生成生成风险预警的具体方法为：

（1）使用采集器进行威胁检测，获得检测结果；

（2）使用风险评估方法计算检测结果中各威胁的影响程度，得到各威胁对应的风险级别；