專利名稱:一種基于安全運營的管理系統和方法
技術領域:
本發明涉及網絡安全領域,特別是指一種基于安全運營的管理系統和方法。
背景技術:
隨著企業信息化建設步伐的加快,企業根據自身的實際情況部署了能夠提供防病 毒、終端安全、資產管理、軟件分發、終端身份認證等安全服務的安全軟件和安全設備,形成 了安全運營系統,用于保證企業網絡的安全運行。同時,隨著多種不同安全軟件的部署,企 業網絡安全管理的復雜性和成本也在增加,如何在有限的安全管理成本下,將現有的安全 運營系統納入統一的管理平臺,實現對安全形勢的全局分析和動態監控已成為各級信息安 全運營系統維護部門面臨的主要問題。 目前,很多電信運營商都致力于安全運營領域,提出了針對安全設備的業務運營 平臺方案,并且在此基礎上,建立了安全運營支撐系統,以實現在安全運營業務上對安全設 備進行集中式管理。在此基礎上,企業可以租用安全設備以及安全運營支撐系統提供的安 全服務等功能,如此,在不需要太多成本投入的情況下,使企業網絡能夠安全運行。
但是,在安全運營系統中,當安全設備的安全策略下發時,因為安全策略只能發送 給相同或類似類型的安全設備,所以現有的安全運營系統在集中管理不同類型的安全設備 方面,只能局限于管理特定類型的安全設備,就達不到將各種類型的安全設備進行集中式 管理的效果,如此造成企業安全管理成本的上升,信息安全業務應用困難、部署困難,更談 不上運營商可以廣泛地開展安全設備運營業務。
發明內容
有鑒于此,本發明的主要目的在于提供一種基于安全運營的管理系統和方法,使 安全運營管理系統對多種類型的安全設備可以進行集中式管理。
為達到上述目的,本發明的技術方案是這樣實現的
本發明提供了一種基于安全運營的管理系統,該系統包括 安全運營模塊、策略匹配模塊、日志采集模塊、監控采集模塊和安全設備,所述安 全運營模塊與策略匹配模塊、日志采集模塊和監控采集模塊相連,所述安全設備與策略匹 配模塊、日志采集模塊和監控采集模塊相連,其中, 所述安全運營模塊,用于通過所述監控采集模塊對所述安全設備的狀態、告警信
息進行實時監控,并將所述狀態信息和處理告警信息的結果進行展示;通過所述日志采集
模塊對所述安全設備的安全日志進行分析,形成安全報表并集中展示;通過所述策略匹配
模塊將安全策略下發到所述安全設備,并展示所述安全策略執行的結果; 所述策略匹配模塊,用于接收所述安全運營模塊下發的安全策略,將所述安全策
略根據策略匹配規則進行組裝下發到所述安全設備,并將所述安全設備執行所述安全策略
的結果反饋給所述安全運營模塊; 所述日志采集模塊,用于接收所述安全設備上傳的安全日志,根據日志規則對所述安全日志進行分析,形成日志庫,并將所述日志庫上傳給所述安全運營模塊; 所述監控采集模塊,用于定時發送監控采集命令給所述安全設備,然后接收所述
安全設備上傳的狀態或告警信息,并將所述狀態或告警信息發送給所述安全運營模塊; 所述安全設備,用于接收所述策略匹配模塊下發的安全策略,并將所述安全策略
執行的結果反饋給所述策略匹配模塊;用于采集網絡中的安全日志,上傳給所述日志采集
模塊;用于依據所述監控采集模塊的監控采集命令,將狀態或告警信息上傳給所述監控采
集模塊。 其中,所述策略匹配模塊包括 策略分析子模塊,用于接收所述安全運營模塊下發的安全策略,并依據所述安全 策略對應的安全設備的型號到策略規則匹配庫中查找相應的匹配規則; 策略組裝子模塊,用于依據所述匹配規則對所述安全策略進行組裝,并將組裝后 的安全策略下發到所述安全設備; 數據傳輸子模塊,用于將所述安全設備執行安全策略的結果反饋給所述安全運營 模塊。 所述日志采集模塊包括 日志接收子模塊,用于接收所述安全設備上傳的安全日志; 日志分析子模塊,用于依據所述日志接收子模塊的安全日志中的設備信息到日志 規則庫中查找相應的日志規則,根據所述日志規則對所述安全日志進行分析,得到標準的 日志庫,并將所述日志庫上傳到所述安全運營模塊。 所述監控采集模塊還用于將所述安全設備自動上傳的設備信息上傳給所述安全 運營模塊。 所述安全運營模塊還用于負責對系統進行分權分域的集中式管理,負責安全業務 的注冊與注銷,及安全設備的實地部署;將用戶輸入的設備信息與所述安全設備自動上傳 的設備信息進行核對;對安全運營業務的運營數據進行統計,并將所述運營數據提供給用 戶。 本發明還提供了一種基于安全運營的管理方法,該方法包括 安全運營模塊將安全策略下發給策略匹配模塊,策略匹配模塊將所述安全策略根 據策略匹配規則進行組裝,下發給安全設備;所述安全設備執行所述組裝后的安全策略,并 將執行結果反饋給所述策略匹配模塊;所述策略匹配模塊將所述執行結果返回安全運營模 塊,并展示所述執行結果; 安全設備將采集的網絡中的安全日志上傳給日志采集模塊;所述日志采集模塊根 據日志規則對所述安全日志進行分析,形成標準的日志庫,并將所述日志庫上傳給所述安 全運營模塊;所述安全運營模塊對所述日志庫進行分析,形成安全報表并集中展示;
監控采集模塊定時向所述安全設備發送監控采集命令,所述安全設備依據所述監
控采集命令將狀態、告警信息上傳給所述監控采集模塊,并反饋給安全運營模塊;所述安全 運營模塊將所述安全設備的狀態信息進行展示,對所述告警信息進行處理,并將處理結果
進行展示。 其中,在所述安全運營模塊下發安全策略及所述監控采集模塊向所述安全設備發 送監控采集命令之前,該方法還包括
5
在所述安全運營模塊上對系統進行分權分域的設置;進行安全業務的注冊并對安 全設備進行實地的部署;之后,安全設備通過監控采集模塊自動上傳設備信息,安全運營模 塊將用戶輸入的設備信息與安全設備自動上傳的設備信息進行核對。
在所述安全設備上傳安全日志之前,該方法還包括對所述安全設備下發初始化 的安全策略,所述安全設備根據所述初始化的安全策略主動上傳安全日志。
所述安全運營模塊展示安全策略執行結果、展示日志庫及將所述安全設備的狀態 信息和告警處理結果進行展示之后,該方法還包括 所述安全運營模塊對安全運營業務的運營數據進行統計,并將所述運營數據提供 給用戶; 依據用戶需求在所述安全運營模塊中對安全業務進行注銷。 本發明建立了一個比較規范且完善的對安全運營進行管理的系統,該系統擁有一 個非常龐大的安全策略的策略規則匹配庫,該策略規則匹配庫中針對不同類型的安全設備 設置了相應的策略匹配規則,如此該系統可以在安全策略下發過程中對不同類型的安全設 備進行批量配置,達到對安全設備進行集中式管理的效果,且能同時對多種安全設備進行 管理;該系統還擁有日志采集和監控采集等功能,如此可以實時地對安全設備的狀態進行 監控,及時地獲得有關安全業務運營的數據;由于對安全設備的管理比較方便,所以降低了 對整個系統的管理成本,同時也可以更好的開展安全業務。
圖1為本發明基于安全運營的管理系統的結構關系示意圖;
圖2為本發明基于安全運用的管理方法的流程示意圖。
具體實施例方式
下面結合附圖和具體實施例對本發明的技術方案進一步詳細闡述。
圖1所示為本發明基于安全運營的管理系統的結構關系示意圖。該系統包括安
全運營模塊10、策略匹配模塊20、日志采集模塊30、監控采集模塊40和安全設備50,安全
運營模塊10分別與策略匹配模塊20、日志采集模塊30和監控采集模塊40相連,安全設備
50分別與策略匹配模塊20、日志采集模塊30和監控采集模塊40相連,其中, 安全運營模塊10,用于通過監控采集模塊40對安全設備50的狀態、告警信息進行
實時監控,并將狀態信息和處理告警信息的結果進行展示;通過日志采集模塊30對安全設
備50的安全日志進行分析,形成安全報表并集中展示;通過策略匹配模塊20將安全策略下
發到安全設備50,并展示安全策略執行的結果。 安全運營模塊還用于負責對系統進行分權分域的集中式管理,負責安全業務的注 冊與注銷,及安全設備的實地部署;將用戶輸入的設備信息與安全設備自動上傳的設備信 息進行核對;對安全運營業務的運營數據進行統計,并提供給用戶。 安全運營模塊10的一個重要的作用是對整個系統的業務進行分權分域的集中式 管理,即對用戶進行權限和管理范圍的分配,當用戶登錄到系統時,對用戶能夠使用哪些業 務功能的權限、能夠操作哪些業務數據的權限等進行分配。用戶使用安全運營管理系統時, 首先需要在系統中進行注冊,同時需要在客戶側部署安全設備,即根據客戶的要求,在系統中為客戶選擇需要的安全設備及對應的安全業務功能,然后對安全設備進行實地部署,完 成安全業務注冊。 安全運營模塊10中存有安全設備50通過監控采集模塊40自動上傳的設備序列 號、型號、IP地址等信息,序列號用來唯一標識一臺安全設備,IP地址用來說明該安全設備 當前的位置。當用戶登錄到系統需要使用安全業務功能時,首先需要輸入安全設備的設備 信息,如IP地址和型號,系統會將用戶輸入的設備信息進行核對,確認該信息是否與系統 中存儲的安全設備自動上傳的設備信息一致,如果不一致則用戶需重新輸入設備信息。
完成安全業務注冊后,整個安全運營的管理需要通過安全運營模塊10和其他幾 個模塊的共同協作來完成。具體的工作原理將通過下面幾個模塊來說明。
策略匹配模塊20,用于接收安全運營模塊10下發的安全策略,將安全策略根據策 略匹配規則進行組裝下發到安全設備50,并將安全設備50執行安全策略的結果反饋給安 全運營模塊10。 安全設備50依據安全運營模塊10下發的安全策略來執行相應的安全業務功能, 例如安全運營模塊下發的安全策略為網頁過濾,則安全設備50依據該策略在客戶側的網 絡中進行相應的網頁過濾業務,以此來保證客戶所訪問的網頁的安全性。如果安全設備50 對安全策略的執行成功,那么安全設備50發送相應的策略執行成功的消息給安全運營模 塊IO ;如果安全策略的執行沒有成功,那么安全運營模塊10會將結果顯示給用戶,用戶可 根據需要選擇再次下發安全策略。
策略匹配模塊20包括 策略分析子模塊21,用于接收安全運營模塊10下發的安全策略,并依據安全策略 對應的安全設備的型號到策略規則匹配庫中查找相應的匹配規則。 當用戶需要下發安全策略給安全設備50時,首先需要在安全運營模塊10上選擇 該業務,填寫所需的安全設備的型號和IP地址,這里可以同時選擇多個不同類型的安全設 備,還需要填寫安全策略的相關信息,如需要下發安全策略的具體內容。用戶確定所填選 的安全策略信息后,如確定所填寫的安全設備的設備信息與系統所存儲的設備信息是否一 致,安全策略的內容是否符合用戶的要求等,可以依據策略規則匹配庫中的規則,將安全策 略按照策略大類、策略小類、動作等進行解析,策略大類可以設置業務、系統等,策略小類可 以設置為網頁過濾、防病毒等,動作可以設置為阻斷、清除等。 策略分析子模塊21包含一個策略規則匹配庫,其中的策略匹配規則首先依據安
全設備型號的不同進行分類,每個類型的安全設備對應的匹配規則內容包括策略大類的
內容及其對應的規則、策略小類的內容及其對應的規則、動作的內容及其對應的規則等。 然后,安全運營模塊10將安全策略和安全設備的型號和IP地址以數據包的形式
發送給策略匹配模塊20。策略分析子模塊21接收到數據包后,對其進行解析,依據安全設
備的型號在策略規則匹配庫中查找該類型的安全設備對應的匹配規則。 策略組裝子模塊22,用于依據策略分析子模塊21得到的匹配規則對安全策略進
行組裝,并將組裝后的安全策略下發到安全設備50。 查找到匹配規則后,將安全策略組裝成安全設備50識別的安全策略,然后依據IP 地址下發給安全設備50。 數據傳輸子模塊23,用于將安全設備50執行安全策略的結果反饋給安全運營模塊10。 下面通過一個具體的例子來說明安全策略下發的流程。 如用戶選擇下發網頁過濾的安全策略,具體為阻斷名為www. abc. com的網址,具 體實施過程如下 用戶在安全運營模塊10的平臺上選擇需要將安全策略下發到的安全設備50,并 填寫相應安全設備的型號和IP地址,然后選擇"網頁過濾"項,填寫需要過濾的網頁名稱, 如www. abc. com。用戶確定所填選的信息后,安全運營模塊10依據用戶選擇的安全策略將 策略大類設置為業務,策略小類設置為網頁過濾,動作設置為阻斷。然后將策略大類、 策略小類、動作、網頁名和安全設備的型號、IP地址打包,下發到策略匹配模塊20。
策略匹配模塊20中的策略分析子模塊21接收到數據包后,對其進行解析。根據數 據包中安全設備的型號在策略規則匹配庫中查找該類型安全設備對應的匹配規則,例如, 在策略規則匹配庫中,該類型的安全設備所對應的匹配規則為策略大類為業務,對應的規 則是config ;策略小類為網頁過濾,對應的規則是web flter ;動作為阻斷,對應的規則是 block。 策略組裝子模塊22根據查找到的匹配規則將安全策略重新組裝,即組裝成命令 config web filter set www.abc.com block。依據匹配規則重新組裝的安全策略是該匹 配規則對應的安全設備所能識別的。然后,將重新組裝后的安全策略依據數據包中相應的 安全設備的IP地址下發到安全設備。 安全設備50接收到安全策略后并執行,將執行結果返回策略匹配模塊20,然后數
據傳輸子模塊23將執行結果返回安全運營模塊10,如執行成功則返回0K。 最后,安全運營模塊10展示執行結果,如策略執行成功,則該安全策略下發的流
程結束。 日志采集模塊30,用于接收安全設備50產生的安全日志,根據日志規則對所述安 全日志進行分析,形成日志庫,并將日志庫上傳給安全運營模塊10。 安全設備50完成在安全運營模塊10的業務注冊后,首先執行安全運營模塊下發 的初始化安全策略,該安全策略的功能是對安全設備進行初始化。安全設備50進行初始化 后,根據初始化的安全策略收集網絡中的安全日志,主動上傳給日志采集模塊30。安全日志 中包含采集該安全日志的安全設備的序列號、型號和IP地址等信息。
日志接收子模塊31,用于接收安全設備50上傳的安全日志。 日志分析子模塊32,用于依據日志接收子模塊31得到的安全日志中的設備信息 到日志規則庫中查找相應的日志規則,根據日志規則對安全日志進行分析,得到標準的日 志庫,并將日志庫上傳到安全運營模塊10。 日志分析子模塊32依據安全日志中的安全設備的型號,在其所包含的日志規則 庫中找到相應的日志規則,依據日志規則對安全日志進行分析,形成標準的日志庫。如安全 設備為防火墻的安全日志中logtype = 1的日志,其在日志規則庫中對應的標準字段為攻 擊類型;安全設備為統一威脅管理(UTM, UnifiedThreat Management)的安全日志中type =attack的日志,其在日志規則庫中對應的字段為攻擊類型。這樣可以把不同安全設備上 傳的不同的安全日志數據,依據日志規則進行分析,形成標準的日志庫。
然后將標準的日志庫上傳給安全運營模塊10進行統一的分析,如根據用戶需求
8提取所需的日志,展示給用戶。 監控采集模塊40,用于定時發送監控采集命令給安全設備50,然后接收安全設備 50上傳的狀態信息或告警信息,并將狀態信息或告警信息發送給安全運營模塊10。
監控采集模塊40的作用是采集安全設備50的狀態、告警信息上傳給安全運營模 塊IO,對安全設備50進行狀態監控和告警信息監控。監控采集模塊40每隔一定的時間, 如10分鐘,就對在系統中注冊的安全設備50發送一次監控采集命令,然后安全設備50將 狀態、告警信息上傳給監控采集模塊40。 其中,狀態信息包括CPU占用率、內存占用率、設備的連通狀態等;告警信息包括 告警ID號、告警級別、告警描述等。 監控采集模塊40將安全設備50的狀態、告警信息上傳給安全運用模塊10。安全 運用模塊10將安全設備的狀態信息進行展示,并對告警信息進行處理后將處理結果展示 給用戶。 需要指出的是,安全設備50需要通過監控采集模塊40主動向安全運營模塊10上 傳設備信息,包括設備的序列號、IP地址等信息,其中設備序列號用來唯一表示一臺安全設 備,IP地址用來表示該設備當前的位置。
安全設備50,用于接收策略匹配模塊20下發的安全策略,并將安全策略執行的結
果反饋給策略匹配模塊20 ;用于采集網絡中的安全日志,上傳給日志采集模塊30 ;用于依
據監控采集模塊40的監控采集命令,將狀態或告警信息上傳給監控采集模塊40。 安全設備50部署在客戶側的網絡中,主要負責采集網絡中的安全事件,如攻擊等
與安全及網絡數據流量有關的數據,并將這些數據反饋給安全運營模塊10。比較常用的安
全設備如防火墻、UTM等。 另外,通過安全運營模塊10與其他模塊的協同合作,將整個系統的安全運營數據 進行統計,通過安全運營模塊10提供給用戶,即運營商,這些數據可以作為對使用安全業 務的客戶進行收費的依據。安全運營數據包括安全設備的安全日志、使用安全策略的相關 數據等。 當客戶不需要再使用安全業務時,可以通過安全運營模塊IO來對安全業務進行 注銷,取消其在使用安全業務之初所選的安全設備和安全業務功能。
圖2所示為本發明基于安全運用的管理方法的流程示意圖。
步驟IOI,在安全運營模塊上對系統進行分權分域的設置。 安全運營模塊的一個重要的作用是對整個系統的業務進行分權分域的集中式管
理,即對用戶進行權限和管理范圍的分配,當用戶登錄到系統時,對用戶能夠使用哪些業務
功能的權限、能夠操作哪些業務數據的權限等進行分配。 步驟102,進行安全業務的注冊和安全設備的實地部署。 用戶使用安全運營管理系統時,首先需要在系統中進行注冊,同時需要在客戶側 部署安全設備,即根據客戶的要求,在系統中為客戶選擇需要的安全設備及對應的安全業 務功能,然后對安全設備進行實地部署,完成安全業務注冊。
步驟103,安全設備自動上傳設備信息。 安全設備通過監控采集模塊自動上傳自身的設備信息,包括設備型號、序列號、IP 地址等信息,序列號用來唯一標識一臺安全設備,IP地址用來說明該安全設備當前的位置。
9
步驟104,用戶在安全運營模塊上輸入設備信息。 當用戶要使用安全業務時,在安全運營模塊上填寫所需安全設備的設備信息,包 括設備型號和IP地址。 步驟105,用戶輸入的設備信息是否正確。 安全運營模塊依據存儲的安全設備的設備信息對用戶填寫的設備信息進行核對, 確認該信息是否與系統中存儲的安全設備自動上傳的設備信息一致,如果一致則分別執行 步驟106、步驟112和步驟117 ;如果不一致,則執行步驟104,重新填寫設備信息。
步驟106,安全運營模塊將安全策略下發給策略匹配模塊。 用戶在安全運營模塊上選擇或填寫所需的安全策略的內容,然后下發給策略匹配 模塊。 步驟107,將安全策略根據策略匹配規則組裝,下發給安全設備。 策略匹配模塊將安全策略依據策略規則匹配庫中的策略匹配規則進行組裝,成為
安全設備能夠識別的安全策略,然后下發給安全設備。 步驟108,安全設備執行組裝后的安全策略。 安全設備接收到策略匹配模塊下發的安全策略后,執行安全策略,如下發的為過
濾某個網頁的安全策略,那么安全設備在客戶側的網絡中正對該網頁進行過濾。 步驟109,將執行結果反饋給策略匹配模塊。 安全設備執行安全策略后,將執行結果反饋給策略匹配模塊,如執行成功則返回 0K。 步驟IIO,策略匹配模塊將執行結果返回安全運營模塊。
步驟111 ,安全運營模塊展示執行結果。 策略匹配模塊接收到安全策略執行結果后,將其發送給安全運營模塊;安全運營
模塊將執行結果進行展示,如執行安全策略的狀態為0K。如果安全策略的執行結果為失
敗,則用戶可以根據需要再次下發安全策略。
步驟112,對安全設備下發初始化的安全策略。 步驟113,安全設備根據初始化的安全策略將采集的網絡中的安全日志上傳給日 志采集模塊。 需要指出的是,初始化的安全策略只有在安全設備第一次被使用時才進行下發,
之后安全設備按照該安全策略采集網絡中的安全日志,并主動上傳給日志采集模塊。安全
日志中包含了有關網絡安全時間的信息和安全設備的信息,如設備型號等。 步驟114,日志采集模塊根據日志規則對安全日志進行分析,形成標準的日志庫。日志采集模塊依據安全日志中的安全設備的型號,在其所包含的日志規則庫中找
到相應的日志規則,依據日志規則對安全日志進行分析,形成標準的日志庫。如安全設備為
防火墻的安全日志中logtype = 1的日志,其在日志規則庫中對應的標準字段為攻擊類型;
安全設備為UTM的安全日志中type = attack的日志,其在日志規則庫中對應的字段為攻
擊類型。這樣可以把不同安全設備上傳的不同的安全日志數據,依據日志規則進行分析,形
成標準的日志庫。 步驟115,將日志庫上傳給安全運營模塊。 步驟116,安全運營模塊對日志庫進行分析,形成安全報表并集中展示。
安全運營模塊對日志采集模塊上傳的日志庫進行分析,形成安全報表,然后根據 用戶需要將相應的安全日志進行展示。 步驟117,監控采集模塊定時向安全設備發送監控采集命令。 監控采集模塊每隔一定的時間,如10分鐘,就對在系統中注冊的安全設備發送一
次監控采集命令,然后安全設備將狀態、告警信息上傳給監控采集模塊。狀態信息包括CPU
占用率、內存占用率、設備的連通狀態等;告警信息包括告警ID號、告警級別、告警描述等。 步驟118,安全設備依據監控采集命令將狀態、告警信息上傳給監控采集模塊。 步驟119,監控采集模塊將采集到的信息上傳給安全運營模塊。 步驟120,安全運營模塊將安全設備的狀態信息進行展示,對告警信息進行處理,
并將處理結果進行展示。 步驟121,安全運營模塊對安全運營業務的運營數據進行統計,將運營數據提供給 用戶。 通過安全運營模塊與其他模塊的協同合作,將整個系統的安全運營數據進行統
計,通過安全運營模塊提供給用戶,即運營商,這些數據可以作為對使用安全業務的客戶進
行收費的依據。安全運營數據如包括安全設備的安全日志、使用安全策略的相關數據等。 步驟122,依據用戶需求在安全運營模塊中對安全業務進行注銷。 當客戶不需要再使用安全業務時,可以通過安全運營模塊來對安全業務進行注
銷,取消其在使用安全業務之初所選的安全設備和安全業務功能。 以上所述,僅為本發明的較佳實施例而已,并非用于限定本發明的保護范圍。
權利要求
一種基于安全運營的管理系統,其特征在于,該系統包括安全運營模塊、策略匹配模塊、日志采集模塊、監控采集模塊和安全設備,所述安全運營模塊與策略匹配模塊、日志采集模塊和監控采集模塊相連,所述安全設備與策略匹配模塊、日志采集模塊和監控采集模塊相連,其中,所述安全運營模塊,用于通過所述監控采集模塊對所述安全設備的狀態、告警信息進行實時監控,并將所述狀態信息和處理告警信息的結果進行展示;通過所述日志采集模塊對所述安全設備的安全日志進行分析,形成安全報表并集中展示;通過所述策略匹配模塊將安全策略下發到所述安全設備,并展示所述安全策略執行的結果;所述策略匹配模塊,用于接收所述安全運營模塊下發的安全策略,將所述安全策略根據策略匹配規則進行組裝下發到所述安全設備,并將所述安全設備執行所述安全策略的結果反饋給所述安全運營模塊;所述日志采集模塊,用于接收所述安全設備上傳的安全日志,根據日志規則對所述安全日志進行分析,形成日志庫,并將所述日志庫上傳給所述安全運營模塊;所述監控采集模塊,用于定時發送監控采集命令給所述安全設備,然后接收所述安全設備上傳的狀態或告警信息,并將所述狀態或告警信息發送給所述安全運營模塊;所述安全設備,用于接收所述策略匹配模塊下發的安全策略,并將所述安全策略執行的結果反饋給所述策略匹配模塊;用于采集網絡中的安全日志,上傳給所述日志采集模塊;用于依據所述監控采集模塊的監控采集命令,將狀態或告警信息上傳給所述監控采集模塊。
2. 根據權利要求1所述基于安全運營的管理系統,其特征在于,所述策略匹配模塊包括策略分析子模塊,用于接收所述安全運營模塊下發的安全策略,并依據所述安全策略 對應的安全設備的型號到策略規則匹配庫中查找相應的匹配規則;策略組裝子模塊,用于依據所述匹配規則對所述安全策略進行組裝,并將組裝后的安 全策略下發到所述安全設備;數據傳輸子模塊,用于將所述安全設備執行安全策略的結果反饋給所述安全運營模塊。
3. 根據權利要求1所述基于安全運營的管理系統,其特征在于,所述日志采集模塊包括日志接收子模塊,用于接收所述安全設備上傳的安全日志;日志分析子模塊,用于依據所述日志接收子模塊的安全日志中的設備信息到日志規則 庫中查找相應的日志規則,根據所述日志規則對所述安全日志進行分析,得到標準的日志 庫,并將所述日志庫上傳到所述安全運營模塊。
4. 根據權利要求1至3任意一項所述基于安全運營的管理系統,其特征在于,所述監控 采集模塊還用于將所述安全設備自動上傳的設備信息上傳給所述安全運營模塊。
5. 根據權利要求4所述基于安全運營的管理系統,其特征在于,所述安全運營模塊還 用于負責對系統進行分權分域的集中式管理,負責安全業務的注冊與注銷,及安全設備的 實地部署;將用戶輸入的設備信息與所述安全設備自動上傳的設備信息進行核對;對安全 運營業務的運營數據進行統計,并將所述運營數據提供給用戶。
6. —種基于安全運營的管理方法,其特征在于,該方法包括安全運營模塊將安全策略下發給策略匹配模塊,策略匹配模塊將所述安全策略根據策 略匹配規則進行組裝,下發給安全設備;所述安全設備執行所述組裝后的安全策略,并將執 行結果反饋給所述策略匹配模塊;所述策略匹配模塊將所述執行結果返回安全運營模塊, 并展示所述執行結果;安全設備將采集的網絡中的安全日志上傳給日志采集模塊;所述日志采集模塊根據日 志規則對所述安全日志進行分析,形成標準的日志庫,并將所述日志庫上傳給所述安全運 營模塊;所述安全運營模塊對所述日志庫進行分析,形成安全報表并集中展示;監控采集模塊定時向所述安全設備發送監控采集命令,所述安全設備依據所述監控采 集命令將狀態、告警信息上傳給所述監控采集模塊,并反饋給安全運營模塊;所述安全運營 模塊將所述安全設備的狀態信息進行展示,對所述告警信息進行處理,并將處理結果進行 展示。
7. 根據權利要求6所述基于安全運營的管理方法,其特征在于,在所述安全運營模塊 下發安全策略及所述監控采集模塊向所述安全設備發送監控采集命令之前,該方法還包 括在所述安全運營模塊上對系統進行分權分域的設置;進行安全業務的注冊并對安全設 備進行實地的部署;之后,安全設備通過監控采集模塊自動上傳設備信息,安全運營模塊將 用戶輸入的設備信息與安全設備自動上傳的設備信息進行核對。
8. 根據權利要求6所述基于安全運營的管理方法,其特征在于,所述安全設備上傳安 全日志之前,該方法還包括對所述安全設備下發初始化的安全策略,所述安全設備根據所 述初始化的安全策略主動上傳安全日志。
9. 根據權利要求6至8中任意一項所述基于安全運營的管理方法,其特征在于,所述安 全運營模塊展示安全策略執行結果、展示日志庫及將所述安全設備的狀態信息和告警處理 結果進行展示之后,該方法還包括所述安全運營模塊對安全運營業務的運營數據進行統計,并將所述運營數據提供給用戶;依據用戶需求在所述安全運營模塊中對安全業務進行注銷。
全文摘要
本發明公開了一種基于安全運營的管理系統,該系統包括安全運營模塊、策略匹配模塊、日志采集模塊、監控采集模塊和安全設備,安全運營模塊與策略匹配模塊、日志采集模塊和監控采集模塊相連,安全設備與策略匹配模塊、日志采集模塊和監控采集模塊相連;本發明還公開了一種基于安全運營的管理方法,基于本發明的系統和方法,可以實現對安全運營進行系統的管理。
文檔編號H04L12/26GK101753371SQ200810239590
公開日2010年6月23日 申請日期2008年12月15日 優先權日2008年12月15日
發明者彭小龍, 郭勇 申請人:中興通訊股份有限公司