本發明實施例提供一種網絡安全防護方法及系統，其中方法包括：基于安全防護需求、融合分析結果、安全服務編排預案、威脅處置信息、安全態勢信息、威脅處置結果、編排執行結果、處置研判結果以及態勢研判結果中的至少一種，確定安全服務能力編排結果；將所述安全服務能力編排結果分解下發至安全管理與處置指揮單元，以供所述安全管理與處置指揮單元基于所述安全服務能力編排結果確定安全服務能力編排指令并下發至網絡安全對象。本發明實施例提供的方法及系統，使得網絡安全防護系統各組成單元互為一體、有機融合、相互協同、形成閉環，系統聯動性強，能夠按需配置防護資源和精準及時處置網絡威脅。

技術領域

本發明涉及網絡安全技術領域，具體涉及一種網絡安全防護方法及系統。

背景技術

隨著安全防護需求不斷變化和網絡攻擊技術不斷演進，安全防護技術也必須不斷迭代。為了有效地應對安全威脅，必須從宏觀全局上洞悉網絡的整體安全風險，并針對全局安全威脅和局部安全威脅，動態調配差異化的安全防護資源對威脅進行處置，避免威脅“躍出局部，延至全網”甚至導致網絡癱瘓的后果。

現有的網絡安全防護系統根據功能定位不同，可能包括軟件定義安全單元、安全態勢分析單元、威脅處置指揮單元等部分。其中，安全態勢分析單元從宏觀上評估并預測網絡安全風險；軟件定義安全單元通過軟件編程方式實現安全業務編排和管理；威脅處置指揮單元對威脅進行響應。但是，現有網絡安全防護系統中的各個單元相互獨立、各自為政、缺乏協同、未能形成閉環，不能成為有機整體，存在系統聯動性差的問題。此外，現有技術中的威脅處置效果驗證方式單一：由威脅處置指揮單元對威脅處置效果進行驗證，其驗證主體和驗證方式單一，不能保障效果驗證的準確性和客觀性，從而不能從根源上確保威脅處置措施的準確性。

例如，專利CN 109698819 A存在以下三方面問題：①威脅處置管理系統只能接收來自威脅檢測系統的具體威脅報警后才能進行威脅處置，無法根據安全態勢信息對設備進行調度；②威脅處置管理系統不能接受安全編排結果，只能實現與其所管轄設備的聯動；③僅由威脅處置管理系統對威脅處置效果進行單源驗證，其驗證主體單一，缺乏雙系統雙重驗證機制。該專利只能做到局部優化。

發明內容

本發明實施例提供一種網絡安全防護方法及系統，用以解決現有的網絡安全防護系統中各單元不能成為有機整體，系統聯動性差的問題。

第一方面，本發明實施例提供一種網絡安全防護方法，包括：

基于安全防護需求、融合分析結果、安全服務編排預案、威脅處置信息、安全態勢信息、威脅處置結果、編排執行結果、處置研判結果以及態勢研判結果中的至少一種，確定安全服務能力編排結果；

將所述安全服務能力編排結果分解下發至安全管理與處置指揮單元，以供所述安全管理與處置指揮單元基于所述安全服務能力編排結果確定安全服務能力編排指令并下發至網絡安全對象。

可選地，所述融合分析結果包含第一融合分析結果和/或第二融合分析結果；

其中，所述第一融合分析結果是安全態勢分析單元基于安全數據、所述威脅處置結果和所述處置研判結果中的至少一種確定的；

所述第二融合分析結果是所述安全管理與處置指揮單元基于威脅報警信息、威脅預警信息、所述安全服務能力編排結果、所述威脅處置結果和態勢綜合分析結果中的至少一種確定的；

所述態勢綜合分析結果是所述安全態勢分析單元基于所述安全數據和/或所述威脅處置結果確定的。

可選地，所述基于安全防護需求、融合分析結果、安全服務編排預案、威脅處置信息、安全態勢信息、威脅處置結果、編排執行結果、處置研判結果以及態勢研判結果中的至少一種，確定安全服務能力編排結果，之前還包括：

基于所述第一融合分析結果和所述第二融合分析結果，確定驗證結果。