技術領域

本發明屬于信息安全技術領域，具體涉及一種基于信息的安全管理平臺、系統及方法。

背景技術

隨著網絡技術的不斷發展和人們生活、工作對網絡的依賴，信息安全格外重要。基于信息的安全管理的理論和技術也在不斷發展。

為了不斷應對新的安全挑戰，網絡信息的安全管理中先后出現了防火墻、UTM、入侵檢測和防護系統、漏洞掃描系統、防病毒系統以及終端管理系統等安全設備。但是，各種安全設備是孤立的，無法相互關聯和共享信息，這樣形成了一個個“安全防御孤島”，導致無法產生協同效應。更為嚴重地，這些復雜的IT資源及其安全設備在運行過程中產生大量的安全數據，例如安全日志和事件，在處理這些數量巨大、彼此割裂的安全信息時，要操作各種產品自身的控制臺界面和告警窗口，一方面，導致安全管理的工作效率低下，同時還難以發現真正的安全隱患；另一方面，這樣孤立的安全設備無法滿足網絡用戶日益迫切的信息系統審計和內控要求、等級保護要求，以及不斷增強的業務持續性需求。而安全管理(Security?Operations?Center，SOC)平臺為實現各種孤立的安全設備的協作提供了一個合作的平臺。

現有技術中，SOC平臺將資產管理模塊、脆弱性管理模塊、流量管理模塊、關聯分析模塊和風險計算模塊都設置在一個層面，致使在防護某個網絡安全時，所有的模塊都是針對整個網絡，例如資產管理模塊負責搜集和管理全網的資產信息，脆弱性模塊負責搜集和管理全網所有資產的脆弱性信息，關聯分析模塊和風險計算模塊則負責對全網安全事件進行處理。這樣，每個模塊都要參與預防和處理網絡安全事件的整個過程，會導致在網絡結構出現變化或需要擴展的時候，各個模塊都需要進行相應的變化；另外，由于每個模塊具有不同的重要性，如此籠統的設置增加了平臺構建的復雜度，也降低了平臺的可維護性和可擴展性。

發明內容

本發明的目的是提供一種基于信息的安全管理平臺、系統及方法，將安全管理平臺的重要部分(關聯分析模塊和風險計算模塊)置于安全管理平臺的核心處理層，與相對次要的部分(資產管理、脆弱性管理、流量管理等模塊)分開，以簡化平臺的構建以及數據存儲、傳輸的復雜性，提高平臺的維護性和擴展性。

根據本發明的一個方面，提供一種基于信息的安全管理平臺,所述平臺包括：數據采集模塊，用于采集安全數據，將采集的所述安全數據發送至信息管理模塊；信息管理模塊，與數據采集模塊相連，用于接收所述數據采集模塊發送的所述安全數據，對所述安全數據進行處理，將處理后的安全數據存儲至數據庫；核心處理模塊，與信息管理模塊相連，用于對所述信息管理模塊處理后的安全數據進行關聯分析和風險計算，并根據關聯分析和風險計算發出告警消息。

其中，在本發明中，所述信息管理模塊包括歸一化處理子模塊、過濾子模塊、歸并處理子模塊和統計子模塊；所述歸一化處理子模塊用于將所述數據采集模塊發送的所述安全數據處理成相同格式的數據；所述過濾子模塊用于對所述歸一化處理子模塊處理后的數據進行過濾，過濾掉無效數據；所述歸并處理子模塊用于對所述過濾子模塊過濾后的數據進行歸并處理，合并重復數據；所述統計子模塊用于根據所述歸并處理子模塊處理后的數據，生成與所述數據相關的統計圖表。

其中，在本發明中，所述統計子模塊生成的所述統計圖表至少包括：資產統計圖表、脆弱性統計圖表、流量統計圖表、入侵防護統計圖表、展示列表和事件監視窗口統計圖表。

其中，在本發明中，所述核心處理模塊包括數據獲取子模塊、關聯分析子模塊和風險計算子模塊；所述數據獲取子模塊用于從所述信息管理模塊獲取過濾和統計后的安全數據；所述關聯分析子模塊用于對所述數據獲取子模塊所獲取的安全數據進行關聯分析；所述風險計算子模塊用于根據所述關聯分析子模塊的分析結果，計算出所述安全數據的風險值，并在計算出的風險值大于預設閾值時，產生并發送告警消息。

其中，在本發明中，還包括：界面展示模塊，用于展示所述信息管理模塊所統計的安全數據和所述核心處理模塊所發出的告警消息。