[发明专利]通用网络安全管理系统及其管理方法

权利要求书

1.一种通用网络安全管理系统，包括：

外围设备，包括现有网络环境中各种网络基础设施；

安全代理终端，向安全管理中心提供所在外围设备的实时信息，并为所在外围 设备提供安全服务；

安全管理中心，提供配置安全代理终端、采集安全事件、处理安全事件、查询 安全事件、发送响应命令功能；

终端管理设备，为管理人员提供远程登陆到安全管理中心的功能；

数据库组件，包括探测器模块数据库、安全事件数据库和响应策略数据库，探 测器模块数据库中存储有用于安装在探测器上的功能模块；安全事件库中存储有不 同类型的安全事件定义，用于确认核心功能组件输入信息的威胁性；响应策略库中 存储有针对各种安全事件的处理策略，并根据核心功能组件的输入信息返回相应处 理策略；

核心功能组件，包括探测器管理组件、安全事件采集组件、安全事件查询组件 和策略生成组件；该探测器管理组件从探测器模块数据库中选择与安全代理终端匹 配的功能模块加载到安全代理终端，该安全事件采集组件对功能模块返回的安全事 件进行分析和过滤，将结果写入安全事件数据库，同时调用策略生成组件在响应策 略数据库查询该结果，并发送响应策略数据库返回的处理策略给安全代理终端，该 安全事件查询组件为网络安全管理员提供安全事件数据库进行查询历史安全事件的 接口；

所述的安全管理中心包括：接口组件、数据库组件、核心功能组件和用户接口 组件，该核心功能组件从接口组件接收安全代理终端的状态信息，传输给数据库组 件查询出相应处理策略，通过接口组件发送给安全代理终端，并通过用户接口组件 以浏览器/服务器模式为网络安全管理人员提供操作接口；该安全代理终端安装在外 围设备上，与安全管理中心相连接；安全管理中心通过基于XML的安全通信协议 与多个安全代理终端进行信息交互；终端管理设备通过远程登陆对安全管理中心进 行管理操作。

2.根据权利要求1所述通用网络安全管理系统，其特征在于：安全代理终端包 括：探测器、响应组件和接口组件，该探测器接收外围设备中的各种安全事件，通 过接口组件发送给安全管理中心处理，响应组件则把从接口组件接收到的具体操作 指令发送给外围设备。

3.根据权利要求1所述通用网络安全管理系统，其特征在于：所述的基于XML 的通信协议包括：从安全管理中心到安全代理终端的探测器配置命令的信息交互、 从安全代理终端到安全管理中心的安全事件消息的信息交互和从安全管理中心到安 全代理终端的响应命令的信息交互。

4.根据权利要求1所述通用网络安全管理系统，其特征在于：所述的外围设备 通过探测器和响应组件与终端安全插件相连，包括个人计算机、各类服务器、以及 组建网络的交换机、路由器和防火墙网络基础设施。

5.根据权利要求1所述通用网络安全管理系统，其特征在于：所述的终端管理 设备通过用户接口组件与安全管理中心相连，为网络安全管理人员提供远程登陆到 安全管理中心的功能。

6.一种通用网络安全管理方法，包括：

A.网络安全管理初始化步骤：

(A1)网络管理员在终端管理设备上通过网页浏览器连接到安全管理中心，在 数据库中选取匹配不同外围设备的功能模块和安全策略；

(A2)安全管理中心将相应的功能模块和安全策略远程加载到各外围设备的安 全代理终端上，使其具备特定的功能；

B.已知安全威胁管理步骤：

(B1)当外围设备出现异常时，首先由部署在该设备上的探测器对异常进行初 步分析，并由事先加载在探测器里的功能模块产生安全事件，发送到安全管理中心；

(B2)安全管理中心收到安全事件后，综合其他安全代理终端发来的相关信息， 判断产生异常的原因，根据响应策略库的设置，生成响应命令发送到安全代理终端， 同时向管理员发出警报并提供安全事件数据库中的记录；

(B3)安全代理终端收到响应命后，如果异常的原因为网络外部攻击，则配置 各个相关外围设备及时阻断攻击；如果异常的原因为网络内部人员违规操作，则及 时向内网用户发出警告并阻断违规行为；如果异常的原因为网络设备本身漏洞问题， 则自动从相关服务器下载补丁文件及时修复漏洞；

C.未知安全管理步骤：

(C1)当有新的安全威胁出现时，各安全代理终端中的探测器收集相关信息发 送到安全管理中心；

(C2)安全管理中心综合分析收到的信息，提取主要特征发送给网络管理员， 网络管理员根据该特征编写针对该威胁的功能模块和处理策略；

(C3)安全管理中心在数据库中添加该功能模块和处理策略，并远程安装在各 安全代理终端的探测器和响应组件上。