一種安全能力聚合系統的制作方法
【技術領域】
[0001]本發明公開一種安全能力聚合系統,屬于終端管理技術領域。
【背景技術】
[0002]網絡安全涉及網絡邊界安全及網絡內部風險,常規安全防御理念往往局限在網關級別、網絡邊界,在防護設備的嚴密監控下,來自網絡外部的安全威脅大大減小,相反,來自網絡內部計算機終端的安全威脅往往被管理人員忽視。而在云計算時代,越來越多的應用、數據被存放到服務器/數據中心,服務器/數據中心的終端安全日益重要,但服務器/數據中心的終端涉及面廣、專業性強、時效性強,由單一廠商提供的安全套件,無法應對各種各樣的安全挑戰。本發明提出了一種安全能力聚合系統,是開放的、聚合的安全能力組件架構,主要通過安全能力組件池、安全管理平臺、安全引擎平臺、安全消息總線四個模塊,實現安全組件的統一管理和安全能力的聚合。基于安全能力聚合系統,能夠快速的實現安全能力組件的開發、部署、運維和升級,大大提高了整體安全解決方案的價值。
[0003]安全能力組件,指提供一種或多種安全能力的軟件模塊、軟件服務,由于安全軟件專業性強、時效性強等特點,但安全軟件提供商往往不能提供全功能的安全軟件套件。
【發明內容】
[0004]本發明提供一種安全能力聚合系統,能夠快速的實現安全能力組件的開發、部署、運維和升級,大大提高了整體安全解決方案的價值。
[0005]本發明提出的具體方案是:
一種安全能力聚合系統,設置安全能力組件池、安全管理平臺、安全消息總線、安全引擎平臺,
安全能力組件池,為系統提供安全能力組件的集中管理;
安全管理平臺,負責集中管理各種安全能力組件使用的策略,并對安全引擎進行管理; 安全消息總線,負責安全管理平臺與安全引擎平臺的通信連接;
安全引擎平臺,運行在客戶端OS層,負責管理安全能力組件的運行狀態;
下發命令給安全能力組件池將安全能力組件下發至安全管理平臺,安全管理平臺根據下發的安全能力組件通過安全消息總線將使用策略下發至安全引擎平臺,安全引擎平臺將使用策略通過再傳遞到對應的安全能力組件,由安全能力組件執行具體功能。
[0006]所述安全引擎平臺將OS關鍵信息事件傳遞給安全能力組件池,安全能力組件池下發組件給安全管理平臺,安全管理平臺下發相應的安全能力組件使用策略,安全引擎平臺將使用策略通過再傳遞到對應的安全能力組件,由安全能力組件執行具體功能。
[0007]安全能力組件執行具體功能時產生日志,通過安全引擎發送給安全消息總線,安全管理平臺收集安全能力組件產生的日志并存儲。
[0008]安全管理平臺對日志進行交叉關聯分析,標記安全威脅事件并存儲。
[0009]安全引擎平臺形成資產管理列表,提供給安全管理平臺,用于其對安全引擎進行管理。
[0010]一種安全能力聚合方法,利用所述的系統,下發命令給安全能力組件池將安全能力組件下發至安全管理平臺,安全管理平臺根據下發的安全能力組件通過安全消息總線將使用策略下發至安全引擎平臺,安全引擎平臺將使用策略再傳遞到對應的安全能力組件,由安全能力組件執行具體功能。
[0011]本發明的有益之處是:
本發明的系統,主要包括安全能力組件池、安全管理平臺、安全引擎平臺、安全消息總線四個模塊,是開放的、聚合的安全能力組件架構,通過下發命令給安全能力組件池將安全能力組件下發至安全管理平臺,安全管理平臺根據下發的安全能力組件通過安全消息總線將使用策略下發至安全引擎平臺,安全引擎平臺將使用策略再傳遞到對應的安全能力組件,由安全能力組件執行具體功能;
實現安全組件的統一管理和安全能力的聚合。基于安全能力聚合系統,能夠快速的實現安全能力組件的開發、部署、運維和升級,大大提高了整體安全解決方案的價值。
【附圖說明】
[0012]圖1本發明系統架構示意圖。
【具體實施方式】
[0013]一種安全能力聚合系統,設置安全能力組件池、安全管理平臺、安全消息總線、安全引擎平臺,
安全能力組件池,為系統提供安全能力組件的集中管理;
安全管理平臺,負責集中管理各種安全能力組件使用的策略,并對安全引擎進行管理; 安全消息總線,負責安全管理平臺與安全引擎平臺的通信連接;
安全引擎平臺,運行在客戶端OS層,負責管理安全能力組件的運行狀態;
下發命令給安全能力組件池將安全能力組件下發至安全管理平臺,安全管理平臺根據下發的安全能力組件通過安全消息總線將使用策略下發至安全引擎平臺,安全引擎平臺將使用策略再傳遞到對應的安全能力組件,由安全能力組件執行具體功能。
[0014]根據上述系統及
【發明內容】
,結合附圖對本發明做進一步說明。
[0015]一種安全能力聚合系統,設置安全能力組件池、安全管理平臺、安全消息總線、安全引擎平臺,
安全能力組件池,為系統提供安全能力組件的集中管理;其中具體實施中包括基本組件,如HIPS組件,AV組件,應用控制組件;
安全能力組件管理主要指發布管理,即提供組件上傳、注冊和發布、卸載功能,統一維護安全能力組件,為系統提供安全能力組件的集中管理視圖;還有升級管理,即安全能力組件的版本,新版本的升級和灰替度換,老版本的回退等;
安全管理平臺,負責集中管理各種安全能力組件使用的策略,并對安全引擎進行管理;其中可由安全引擎平臺形成資產管理列表,提供給安全管理平臺,用于對安全引擎進行管理,即形成資產管理;
安全管理平臺主要進行策略管理,即集中管理各種安全能力組件使用的策略,并通過安全消息總線向安全引擎下發策略,最終各安全能力策略通過安全引擎傳遞到對應的安全能力組件,由安全能力組件執行具體功能;
此外,安全能力組件執行具體功能時產生日志,通過安全引擎發送給安全消息總線,安全管理平臺收集安全能力組件產生的日志,并可對日志進行交叉關聯分析,標記安全威脅事件并存儲,為方便查看,可形成日志報表;
安全消息總線,負責安全管理平臺與安全引擎平臺的通信連接;繼傳遞安全管理平臺下發給安全引擎平臺的消息,包括:安全能力組件包、安全策略等;又由安全引擎平臺上送給安全管理平臺的消息,包括:上述運行日志等;
安全引擎平臺,運行在客戶端OS層,負責管理安全能力組件的運行狀態;
安全引擎平臺可通過深入OS內核層的各種接口、鉤子,獲取OS內核訪問的事件,并形成事件鏈管理,由安全管理平臺獲取安全能力組件,維護組件運行狀態,并將安全能力組件的各個接口納入安全引擎平臺的事件鏈管理;
過程為:安全引擎平臺將OS關鍵信息事件傳遞給安全能力組件池,安全能力組件池下發組件給安全管理平臺,安全管理平臺下發相應的安全能力組件使用策略,安全引擎平臺將使用策略通過再傳遞到對應的安全能力組件,由安全能力組件執行具體功能。
[0016]利用上述系統,本發明還提供一種安全能力聚合方法,下發命令給安全能力組件池將安全能力組件下發至安全管理平臺,安全管理平臺根據下發的安全能力組件通過安全消息總線將使用策略下發至安全引擎平臺,安全引擎平臺將使用策略再傳遞到對應的安全能力組件,由安全能力組件執行具體功能;
比如下發殺毒命令給安全能力組件池,則安全能力組件池將關于殺毒的安全能力組件下發至安全管理平臺,安全管理平臺提供這些安全能力組件的使用策略,具體的使用策略布置如何殺毒,殺毒的時間間隔等等,安全管理平臺將使用策略下發至安全引擎平臺,安全引擎平臺將使用策略再傳遞到對應的安全能力組件,由安全能力組件執行具體功能,并產生日志。
【主權項】
1.一種安全能力聚合系統,其特征是設置安全能力組件池、安全管理平臺、安全消息總線、安全引擎平臺, 安全能力組件池,為系統提供安全能力組件的集中管理; 安全管理平臺,負責集中管理各種安全能力組件使用的策略,并對安全引擎進行管理; 安全消息總線,負責安全管理平臺與安全引擎平臺的通信連接; 安全引擎平臺,運行在客戶端OS層,負責管理安全能力組件的運行狀態; 下發命令給安全能力組件池將安全能力組件下發至安全管理平臺,安全管理平臺根據下發的安全能力組件通過安全消息總線將使用策略下發至安全引擎平臺,安全引擎平臺將使用策略再傳遞到對應的安全能力組件,由安全能力組件執行具體功能。2.根據權利要求1所述的系統,其特征是所述安全引擎平臺將OS關鍵信息事件傳遞給安全能力組件池,安全能力組件池下發組件給安全管理平臺,安全管理平臺下發相應的安全能力組件使用策略,安全引擎平臺將使用策略通過再傳遞到對應的安全能力組件,由安全能力組件執行具體功能。3.根據權利要求1或2所述的系統,其特征是安全能力組件執行具體功能時產生日志,通過安全引擎發送給安全消息總線,安全管理平臺收集安全能力組件產生的日志并存儲。4.根據權利要求3所述的系統,其特征是安全管理平臺對日志進行交叉關聯分析,標記安全威脅事件并存儲。5.根據權利要求1或4所述的系統,其特征是安全引擎平臺形成資產管理列表,提供給安全管理平臺,用于其對安全引擎進行管理。6.—種安全能力聚合方法,其特征是利用權利要求1-5任一項所述的系統,下發命令給安全能力組件池將安全能力組件下發至安全管理平臺,安全管理平臺根據下發的安全能力組件通過安全消息總線將使用策略下發至安全引擎平臺,安全引擎平臺將使用策略再傳遞到對應的安全能力組件,由安全能力組件執行具體功能。
【專利摘要】本發明公開一種安全能力聚合系統,屬于終端管理技術領域;本發明包括安全能力組件池、安全管理平臺、安全引擎平臺、安全消息總線四個模塊,通過下發命令給安全能力組件池將安全能力組件下發至安全管理平臺,安全管理平臺根據下發的安全能力組件通過安全消息總線將使用策略下發至安全引擎平臺,安全引擎平臺將使用策略通過再傳遞到對應的安全能力組件,由安全能力組件執行具體功能;實現安全組件的統一管理和安全能力的聚合。基于安全能力聚合系統,能夠快速的實現安全能力組件的開發、部署、運維和升級,大大提高了整體安全解決方案的價值。
【IPC分類】G06F9/48
【公開號】CN105550030
【申請號】CN201610057996
【發明人】劉萌
【申請人】浪潮電子信息產業股份有限公司
【公開日】2016年5月4日
【申請日】2016年1月28日