[发明专利]一种积极的信息安全运维平台

摘要

本发明公开了一种积极的信息安全运维平台，它能够为各个企业的信息系统提供“一站式”的信息安全运维服务，其特点在于，包括安全运维数据采集模块、安全运维数据分析模块、安全运维业务模块和安全运维数据库模块。通过安全运维数据采集模块，既可以收集各个企业信息系统的安全信息、网管信息和业务信息，又可以修改路由器和交换机的配置以实现实时联动等。本发明解决了企业信息系统的运维问题。

主权项

一种积极的信息安全运维平台，其特征在于，包括安全运维数据采集模块、安全运维数据分析模块、安全运维业务模块和安全运维数据库模块；所述安全运维数据采集模块，包括安全信息采集子模块、网管信息采集子模块和业务信息采集子模块； 所述安全信息采集子模块，能够通过多种方式采集各个企业信息系统里的各类信息安全设备的发送过来的安全事件信息，收集的方式包括：（1）基于SNMP Trap和Syslog方式收集事件；（2）通过ODBC库接口获取设备在各种数据库中的有关安全信息；（3）通过OPSec接口接收事件；它将接收到的安全信息格式进行标准化之后，发送到所属企业的安全运维数据库；所述网管信息采集子模块，能够通过多种方式采集各个企业信息系统里的各类网络设备和安全设备发送过来的网管信息，收集的方式包括：（1）基于SNMP和MML方式收集网管信息；（2）通过ODBC数据库接口获取设备在各种数据库中的有关网管信息；（3）通过XML接口接收网管信息；它将接收到的网管信息进行标准化之后，发送到所属企业的安全运维数据库；所述业务信息采集子模块，能够通过多种方式采集各个企业信息系统里的各类网络设备和安全设备的发送过来的业务信息，收集的方式包括：（1）基于WebService方式收集业务信息；（2）通过ODBC数据库接口获取设备在各种数据库中的有关业务信息；（3）通过XML接口接收业务信息；它将接收到的业务信息进行标准化之后，发送到所属企业的安全运维数据库；所述安全运维数据分析模块，包括实时监控与事件处理子模块、统计分析子模块和关联分析子模块；所述实时监控与事件处理子模块，通过监控各个企业网络各种网络设备、安全设备和服务器日志信息，及时发现正在和已经发生的安全事件和设备告警，并采取措施，保证网络和业务系统的安全、可靠运行；所述统计分析子模块能够对各个企业网络流量进行分析以消除隐患，对用户使用业务情况进行统计以掌握用户的上网行为；所述关联分析子模块，分别分析各个企业安全运维事件，通过内置安全运维规则库，将原本孤立的实时事件进行纵向时间轴与历史事件比对和横向属性轴与其它事件比对，识别出威胁事件并生成告警信息；通过上述过程产生的告警信息通过XML格式进行安全运维信息标准化、规范化，告警信息集中存储于安全运维数据库中，能够满足容纳长时间信息存储的需求；所述安全运维业务模块，包括风险评估子模块、拓扑管理子模块、事件响应子模块和安全运维策略子模块；所述风险评估子模块，就是将企业信息系统安全风险分为五个等级，从低到高分别为：微风险、一般风险、中等风险、高风险和极高风险；利用风险评估的结果进行定损分析，并自动触发任务单和响应来降低资产风险，达到管理和控制风险的效果；所述拓扑管理子模块，可以（1）通过网络嗅探自动发现加入企业网络中的设备及其连接，获取各个企业最初的资产信息；（2）对网络拓扑进行监控，监控企业网络节点的运行状态；（3）识别企业网络新加入和退出的节点；（4）改变企业网络拓扑结构；所述事件响应子模块，通过各系统的联动、向第三方提供事件信息传递接口、输出任务工单的全部三种方式实现；对于确认的安全运维事件通过自动响应机制，一方面给出安全运维仪表盘显示、邮件、短信、微信的全部四种告警方式；另一方面，通过安全联动机制阻止攻击；各系统之间联动通过结合防火墙、入侵检测、防病毒系统、扫描器的综合信息，通过自动调整各企业的各安全设备的安全策略，以减弱或消除安全运维事件的影响；所述安全运维策略子模块，负责各个企业信息系统的安全策略，并进行配置管理，对各个企业信息系统的资产进行统一配置和策略统一下发，改变当前需要对每个设备分别下发策略所带来的管理负担，并进行不断的优化和调整；所述安全运维数据库模块，包括安全运维日志库和安全运维策略库；所述安全运维日志库，就是存储安全运维数据采集模块收集的安全日志、网管日志和业务日志，采用Oracle、SQLServer来实现；所述安全运维策略库，其主要功能是传递各类安全运维信息，同时，将处理的各类安全运维方法和方案收集起来，形成安全共享数据库，为培养高素质安全运维人才提供培训资源，所述数据库所存储的信息包括安全运维信息、风险评估信息、安全运维预警信息、安全运维策略和安全运维案例库。