本發(fā)明公開了一種防病毒管理系統(tǒng)及方法，防病毒管理系統(tǒng)包括：搜索引擎、SOC和防病毒數(shù)據(jù)庫(kù)服務(wù)器；多個(gè)防病毒數(shù)據(jù)庫(kù)服務(wù)器布置于不同的區(qū)域，防病毒數(shù)據(jù)庫(kù)服務(wù)器用于獲取所在區(qū)域內(nèi)的網(wǎng)絡(luò)設(shè)備的病毒告警日志；病毒告警日志包括告警信息；搜索引擎用于拉取各個(gè)區(qū)域的防病毒數(shù)據(jù)庫(kù)服務(wù)器中的病毒告警日志；SOC用于根據(jù)告警信息對(duì)病毒告警日志進(jìn)行報(bào)警等級(jí)劃分。本發(fā)明統(tǒng)一大型企業(yè)生產(chǎn)、測(cè)試、IT等各環(huán)境區(qū)域和分公司防病毒日志告警響應(yīng)平臺(tái)，自動(dòng)化分析海量告警日志，為運(yùn)維安全人員提供便捷、快速、準(zhǔn)確的高危病毒事件處理平臺(tái)，解決以往防病毒系統(tǒng)分散，防病毒日志繁多，無(wú)法快速檢測(cè)高危病毒事件，防病毒告警日志發(fā)現(xiàn)滯后的問(wèn)題。

技術(shù)領(lǐng)域

本發(fā)明涉及信息安全技術(shù)領(lǐng)域，特別涉及一種針對(duì)大型企業(yè)的基于SOC(SecurityOperation Center，綜合性安全運(yùn)營(yíng)中心)管理的防病毒管理系統(tǒng)及方法。

背景技術(shù)

為了確保企業(yè)內(nèi)部的網(wǎng)絡(luò)信息安全，一般會(huì)在企業(yè)內(nèi)部服務(wù)器、辦公電腦、虛擬終端設(shè)備等網(wǎng)絡(luò)設(shè)備上安裝防病毒和漏洞修復(fù)等安全管理軟件，且各個(gè)網(wǎng)絡(luò)設(shè)備上的安全管理軟件相互獨(dú)立。大型企業(yè)由于其辦公設(shè)備數(shù)量龐大，量以萬(wàn)級(jí)甚至十萬(wàn)級(jí)，且企業(yè)的分公司、下屬機(jī)構(gòu)繁多，辦公設(shè)備布置較分散，致使企業(yè)內(nèi)部的防病毒告警日志數(shù)量龐大，防病毒系統(tǒng)部署分散，企業(yè)安全人員日常需維護(hù)多套防病毒系統(tǒng)。

由于現(xiàn)有技術(shù)中缺乏針對(duì)大型企業(yè)的有效的防病毒管理系統(tǒng)，病毒告警日志需要人工核查。人工核查效率低，無(wú)法快速檢測(cè)高危病毒事件，致使病毒告警日志滯后，無(wú)法第一時(shí)間發(fā)現(xiàn)嚴(yán)重病毒威脅事件，企業(yè)的信息安全存在隱患。

發(fā)明內(nèi)容

本發(fā)明要解決的技術(shù)問(wèn)題是為了克服現(xiàn)有技術(shù)中缺乏針對(duì)大型企業(yè)的有效的防病毒管理系統(tǒng)，致使病毒告警日志滯后，無(wú)法第一時(shí)間發(fā)現(xiàn)嚴(yán)重病毒威脅事件的缺陷，提供一種防病毒管理系統(tǒng)及方法。

本發(fā)明是通過(guò)下述技術(shù)方案來(lái)解決上述技術(shù)問(wèn)題：

一種防病毒管理系統(tǒng)，用于對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行防病毒管理，所述防病毒管理系統(tǒng)包括：搜索引擎、SOC和多個(gè)防病毒數(shù)據(jù)庫(kù)服務(wù)器；

所述多個(gè)防病毒數(shù)據(jù)庫(kù)服務(wù)器布置于不同的區(qū)域，所述防病毒數(shù)據(jù)庫(kù)服務(wù)器用于獲取所在區(qū)域內(nèi)的網(wǎng)絡(luò)設(shè)備的病毒告警日志；

所述病毒告警日志包括告警信息；

所述搜索引擎用于拉取各個(gè)區(qū)域的防病毒數(shù)據(jù)庫(kù)服務(wù)器中的所述病毒告警日志；

所述SOC用于根據(jù)所述告警信息對(duì)所述病毒告警日志進(jìn)行報(bào)警等級(jí)劃分。

較佳地，所述搜索引擎還用于為每個(gè)病毒告警日志設(shè)置標(biāo)簽；

所述SOC則根據(jù)所述標(biāo)簽和所述告警信息對(duì)所述病毒告警日志進(jìn)行報(bào)警等級(jí)劃分；

所述標(biāo)簽包括防病毒數(shù)據(jù)庫(kù)服務(wù)器的位置信息。

較佳地，所述報(bào)警等級(jí)包括高危等級(jí)和嚴(yán)重等級(jí)；

所述SOC還用于根據(jù)目標(biāo)告警信息生成報(bào)警信息，并通過(guò)郵件和/或短信的方式提示報(bào)警信息；

所述目標(biāo)告警信息為被劃分為高危等級(jí)或嚴(yán)重等級(jí)的病毒告警日志包含的告警信息。

較佳地，所述告警信息包括以下字段中的至少一種：

網(wǎng)絡(luò)設(shè)備的名稱、網(wǎng)絡(luò)設(shè)備的IP地址、網(wǎng)絡(luò)設(shè)備的用戶賬號(hào)、病毒名稱、感染病毒值、威脅處理結(jié)果描述、病毒日志上傳防病毒數(shù)據(jù)庫(kù)服務(wù)器時(shí)間、病毒查殺時(shí)間、查殺病毒文件、查殺進(jìn)程名稱和查殺狀態(tài)。

較佳地，所述SOC還用于在病毒告警日志的感染病毒值大于病毒閾值或病毒告警日志被劃分為高危等級(jí)或嚴(yán)重等級(jí)時(shí)，生成設(shè)備斷網(wǎng)請(qǐng)求，并在接收到設(shè)備斷網(wǎng)指令時(shí)斷開目標(biāo)網(wǎng)絡(luò)設(shè)備與其他網(wǎng)絡(luò)設(shè)備的通信連接；

或，所述防病毒管理系統(tǒng)還包括交換機(jī)接口；