本发明属于网络安全技术领域,更具体地,涉及一种网络安全事件应急处理方法。
背景技术:
网络安全事件应急处理方法的重点在于对将网络系统作为一个整体,对其安全状况及未来趋势的分析把握,从而建立完善的安全事件报警、处置、监控与监管机制,确保安全事件能够得到即时的、正确的响应处理,以将由于网络安全问题带来的风险和损失降到最低限度。
随着网络规模和复杂性不断增大,网络的攻击技术不断革新,新型攻击工具大量涌现,传统的网络安全技术显得力不从心,网络入侵不可避免,网络安全问题越发严峻。单凭一种或几种安全技术很难应对复杂的安全问题,网络安全人员的关注点也从单个安全问题的解决,发展到研究整个网络的安全状态及其变化趋势。
由于环境因素、系统软件自身漏洞、人为因素等均可诱发网络安全事件,若没有一套完整的安全事件应急处理机制,则会在缺乏统一化的安全事件统一监测和一键处置工具的情况下导致安全事件处置效率低下;非安全专业维护和监控人员识别分析安全事件能力的有限,应急响应速度有待提升;传报流程过长,且主要通过电话邮件等方式逐级传报,耗时比较长。
技术实现要素:
为此,需要提供一种能够对网络安全事件及时响应的网络安全事件应急处理机制,确保安全事件能够得到即时的、正确的响应处理。
为实现上述目的,本发明提供了如下技术方案:
网络安全事件应急处理方法,包括,
1.一种网络安全应急处理方法,其特征在于:
网络安全通报预警系统,将来自国家主管机构、系统厂商、第三方组织、安全厂商、上级单位等包括病毒、漏洞、安全通告在内的外部预警以及来自集团总部及其二级分支的内部预警的信息进行整合形成预警发布内容、采用技术手段、预警发布方式、预警发布结果等四个模块
大数据安全事件应急处理平台,通过各组件互通互联形成完善的应急处理流程;安全事件应急处置流程,对网络安全产生威胁的各种内外部要素进行应急处置
网络安全监督管理,通过安全制度体系、安全策略体系、绩效评估指标体系,形成企业安全管理的kpi抓手、通过绩效评估指标体系,展示企业横向与纵向的安全态势指标、完成日常安全考核工作的管理
2.进一步,所述网络安全通报预警四个模块包括:
预警发布内容:安全检测、监测的研判结果,包括攻击信息、日志信息、故障信息、状态信息、性能指标分析结果、检查报告
采用技术手段包括,信息筛选、数据分类、分析结果、告警处理结果、行业排名、区域排名
预警发布方式包括,大屏展示、信息滚动播放、邮件通知、短信通知、运维平台、应急处置平台
预警发布结果,利用邮件短信发送告警信息,并提供解决方案,达到流程追溯、取证记录和事件管理的目的
3.进一步,所述大数据安全事件应急处理平台架构包括:
a.数据采集flume
cloudera提供的一个高可用的、高可靠的、分布式的海量日志采集聚合和传输的系统。flume支持在日志系统中定制各类数据发送方,用于收集数据。同时,flume支持对数据进行简单处理,并写入各种数据接受方(具有可定制性)。flume用作前置采集服务,采集各类日志或事件,根据情况可以是侵入式或非侵入式方式采集;
b.数据预处理队列kafka
一种高吞吐量的分布式发布订阅消息系统它可以处理消费者规模网站中的所有动作流数据,kafka充当实时的消息队列,通过此模块,可以完成与数据源的解耦,并且有效的平衡峰值时后台处理的能力;
c.解析转换工具etl
一般需要自行开发etl工具从kafka中接收数据,并且根据配置的解析规则和字段补全规则,完成数据的解析。最终将解析的数据存入elasticsearch中
以便后续进行短周期的展示和统计分析。同时可以旁
路一份数据留存到hdfs文件系统上,以便长周期的留存和离线分析;
d.流计算框架sparkstreaming
可以实现微批处理,目标是很方便的建立可扩展、容错的流应用,支持java、scala和python,和spark无缝集成。sparkstreaming可以读取数据hdfs,
flume,kafka,twitter和zeromq,也可以读取自定
义数据;
e.流计算spark
一个高速、通用大数据计算处理引擎。拥有hadoopmapreduce所具有的优点,但不同的是job的中间输出结果可以保存在内存中,从而不再需要读写
hdfs,通过spark可以进行长周期的离线建模和t 1的事件分析。
f.分布式文件系统hdfs
hadoopdistributedfilesystem,简称hdfs,是一个分布式文件系统。hdfs是一个高度容错性的系统,hdfs能提供高吞吐量的数据访问。可以将原始的事件/日志保存一份到hdfs上,以供未来进行
长周期的执行;
g.实时搜索引擎elasticsearch
es是一个基于lucene的搜索服务器。它提供了一个分布式、支持多用户的全文搜索引擎,基于restfulweb接口。es用于保存解析及丰富化后的事件/日志信息,分析模型的分析结果,以供平台进行展现,溯源和关联;
4.进一步,所述安全事件应急处理流程包括:
a.安全事件登记b.处置任务下发c.制定/接收任务d.生成采集工具
e.现场数据采集f.采集数据导入g.采集数据分析h.攻击事件回溯
i.生成调查报告j.调查结果接收k.安全事件分析
5.进一步,所述网络安全监督管理体系通过政企内部组织架构、岗责体系、安全制度在内的安全制度体系逐层细化形成安全策略体系,在合规性平台进行展示后形成绩效评价指标体系(包括安全态势指标和合规性检查指标)。
网络安全通报预警系统采用机器学习的技术对海量日志进行学习和识别,通过分析日志语法结构和聚类算法,自动化对日志进行聚类合并,形成一个个包含相似数据内容的日志集,并可以根据日志集内日志数量的大小进行排序,以便安全分析人员查看和分析。
该体系能够对定级的信息系统的安全计算环境、安全区域边界、安全通信网络的安全信息、态势要素进行采集、存储、分析、响应和处置,并提供等级保护工作管理功能,实现信息系统的等级保护定级、备案、测评和整改等工作的电子化、标准化和流程化,提高安全管理人员的等保管理工作的效率。安全管理人员对等保管理过程中的相关信息进行可视化展示。
附图说明
图1为网络安全通报预警系统
图2为大数据安全事件应急处理平台架构
图3为网络安全事件应急处理流程图
图4为网络安全事件监督管理体系
具体实施方式
为详细说明技术方案的技术内容、构造特征、所实现目的及效果,以下结合具体实施例并配合附图详予说明
图1为网络安全通报预警系统。通过网络安全通报预警系统将来自国家主管机构、系统厂商、第三方组织、安全厂商、上级单位等包括病毒、漏洞、安全通告在内的外部预警以及来自集团总部及其二级分支的内部预警进行整合,形成预警发布内容、采用技术手段、预警发布方式、预警发布结果。其中:
预警发布内容:安全检测、监测的研判结果,包括攻击信息、日志信息、故障信息、状态信息、性能指标分析结果、检查报告
采用技术手段包括,信息筛选、数据分类、分析结果、告警处理结果、行业排名、区域排名
预警发布方式包括,大屏展示、信息滚动播放、邮件通知、短信通知、运维平台、应急处置平台
预警发布结果,利用邮件短信发送告警信息,并提供解决方案,达到流程追溯、取证记录和事件管理的目的
图2为大数据安全事件应急处理平台架构,其中轻度汇总数据可保存一年;环境数据中包含资产库等;重度汇总是指对告警数据进行了统计分析后的数据汇总;
参阅图3所示,为安全事件应急处理流程,参阅图4所示,为安全监督管理体系。
安全事件应急处理流程包括以下步骤:
a.安全事件登记b.处置任务下发c.制定/接收任务d.生成采集工具
e.现场数据采集f.采集数据导入g.采集数据分析h.攻击事件回溯
i.生成调查报告j.调查结果接收k.安全事件分析
网络安全监督管理体系通过政企内部组织架构、岗责体系、安全制度在内的安全制度体系逐层细化形成安全策略体系,在合规性平台进行展示后形成绩效评价指标体系(包括安全态势指标和合规性检查指标)。
以上所述的具体实施方式,对本发明的目的、技术方案和发明内容进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
1.一种网络安全事件应急处理方法,其特征在于:
网络安全通报预警系统,将包括病毒、漏洞、安全通告在内的外部预警以及来自集团总部及其二级分支的内部预警的信息进行整合形成预警发布内容、采用技术手段、预警发布方式、预警发布结果四个模块,系统支持安全监测预警和信息通报,通过接口上报和下发安全信息;
大数据安全事件应急处理平台,通过平台组件间互联互通形成完善的应急处理流程安全事件应急处置流程,对网络安全产生威胁的各种内外部要素进行应急处置网络安全监督管理,通过安全制度体系、安全策略体系、绩效评估指标体系,形成企业安全管理的kpi抓手、通过绩效评估指标体系,展示企业横向与纵向的安全态势指标、完成日常安全考核工作的管理。
2.如权利要求1所述的网络安全事件应急处理方法,其特征在于,四个模块包括:
预警发布内容:安全检测、监测的研判结果,包括攻击信息、日志信息、故障信息、状态信息、性能指标分析结果、检查报告
采用技术手段包括,信息筛选、数据分类、分析结果、告警处理结果、行业排名、区域排名
预警发布方式包括,大屏展示、信息滚动播放、邮件通知、短信通知、运维平台、应急处置平台
预警发布结果,利用邮件短信发送告警信息,并提供解决方案,达到流程追溯、取证记录和事件管理的目的。
3.如权利要求1所述的网络安全事件应急处理方法,其特征在于,大数据安全事件应急处理平台包括:
a.数据采集flume
cloudera提供分布式的海量日志采集聚合和传输的系统;flume支持在日志系统中定制各类数据发送方,用于收集数据;flume用作前置采集服务,采集各类日志或事件;
b.数据预处理队列kafka;
c.解析转换工具etl
etl工具从kafka中接收数据,并且根据配置的解析规则和字段补全规则,完成数据的解析;最终将解析的数据存入elasticsearch中以便后续进行短周期的展示和统计分析;同时旁路一份数据留存到hdfs文件系统上,以便长周期的留存和离线分析;
d.流计算框架sparkstreaming
e.流计算spark
f.分布式文件系统hdfs
将原始的事件/日志保存一份到hdfs上,以供未来进行长周期的执行;
g.实时搜索引擎elasticsearch。
4.如权利要求1所述的网络安全应急处理方法,其特征在于:所述安全事件应急处理流程包括:
a.安全事件登记b.处置任务下发c.制定/接收任务d.生成采集工具
e.现场数据采集f.采集数据导入g.采集数据分析h.攻击事件回溯
i.生成调查报告j.调查结果接收k.安全事件分析。
5.如权利要求1所述的网络安全应急处理方法,其特征在于:所述网络安全监督管理体系通过政企内部组织架构、岗责体系、安全制度在内的安全制度体系逐层细化形成安全策略体系,在平台进行展示后形成绩效评价指标体系。
6.如权利要求1所述的网络安全应急处理方法,其特征在于:其特征在于:
网络安全通报预警系统采用机器学习的技术对海量日志进行学习和识别,通过分析日志语法结构和聚类算法,自动化对日志进行聚类合并,形成一个个包含相似数据内容的日志集,并根据日志集内日志数量的大小进行排序,以便安全分析人员查看和分析。
技术总结