[发明专利]网络安全应急响应方法及响应系统

权利要求书

1.一种网络安全应急响应方法，其特征在于，包括以下步骤：

获取原始事件信息；

根据原始事件的需要，设置至少一个安全响应节点，安全响应节点具有杀毒、补丁更新、隔离、资产管理或消息通知功能；各安全响应节点并行或串行执行其功能；各安全响应节点的输入包括执行对象和执行参数，其输出包括状态码和执行结果；

对原始事件信息进行格式化处理，得到结构化输入数据；

将得到的结构化输入数据作为安全响应节点的输入，当各安全响应节点串行执行相应功能时，上一级安全响应节点的输出作为当前安全响应节点的输入，用于启动当前安全响应节点，以使各安全响应节点按照预设的顺序顺次执行，自动化地完成安全事件响应；

所述安全响应节点设置有四个，各所述安全响应节点对应设置有杀毒软件、补丁管理服务器、防火墙和资产管理系统；

各所述安全响应节点串行执行各自功能时，对原始事件信息进行格式化处理，得到杀毒软件、补丁管理服务器、防火墙和资产管理系统安全响应节点的结构化输入数据；杀毒软件安全响应节点的输出用于启动补丁管理服务器安全响应节点，补丁管理服务器安全响应节点的输出用于启动防火墙安全响应节点，防火墙安全响应节点的输出用于启动资产管理系统安全响应节点。

2.根据权利要求1所述的网络安全应急响应方法，其特征在于，所述各安全响应节点的输入包括执行对象和执行参数，其输出包括状态码和执行结果。

3.根据权利要求1所述的网络安全应急响应方法，其特征在于，各所述安全响应节点并行执行各自功能时，对原始事件信息进行格式化处理，得到杀毒软件、补丁管理服务器、防火墙和资产管理系统安全响应节点的结构化输入数据；将各安全响应节点的结构化输入数据分别输入各个安全响应节点，各安全响应节点并行执行。

4.根据权利要求1所述的网络安全应急响应方法，其特征在于，所述资产管理系统安全响应节点的结构化输出数据作为短信网关的输入，由所述短信网关向资产所有人发送提醒信息。

5.一种网络安全应急响应系统，其特征在于，包括应急响应服务器以及与所述应急响应服务器连接的杀毒软件、补丁管理服务器、防火墙、资产管理系统和短信网关；

所述应急响应服务器用于接收原始事件信息并对原始事件信息进行格式化；根据原始事件的需要，所述应急响应服务器将格式化得到的结构化输入数据发送给所述杀毒软件、补丁管理服务器、防火墙或资产管理系统；所述杀毒软件、补丁管理服务器、防火墙或资产管理系统并行或串行执行各自的功能；

当所述杀毒软件、补丁管理服务器、防火墙和资产管理系统串行执行各自的功能时，所述杀毒软件、补丁管理服务器、防火墙和资产管理系统作为安全响应节点，相邻上一安全响应节点输出数据后，当前安全响应节点开始执行；安全响应节点通过各自的输出响应连接成自动化的应急响应流程；各安全响应节点的输入包括执行对象和执行参数，其输出包括状态码和执行结果。

6.根据权利要求5所述的网络安全应急响应系统，其特征在于，当所述杀毒软件、补丁管理服务器、防火墙或资产管理系统并行执行各自的功能时，所述杀毒软件根据输入的终端信息和动作内容进行杀毒，执行完毕，输出完成杀毒或查杀失败后结束；所述补丁管理服务器根据输入的终端信息和动作内容进行补丁更新，执行完毕，输出完成更新或更新失败后结束；所述防火墙根据输入的终端信息和动作内容进行隔离，执行完毕，输出完成隔离或隔离失败后结束；所述资产管理系统根据输入的终端信息和动作内容查收资产所有人，输出资产所有人的姓名和电话号码；短信网关根据输入的电话号码和动作内容向资产所有人发送短信通知。