[发明专利]企业网络安全事件管理系统及其方法

说明书

技术领域

本发明涉及网络安全，特别涉及企业网络安全事件管理及预测。

背景技术

随着企业信息化不断深入，计算机网络在企业内部起着越来越重要的作用。但由于互连性、开放性等特征，使得计算机网络极易成为恶意攻击的目标和载体。企业网络安全也越来越受到重视，为此，很多企业根据实际情况选择不同厂家的各类安全设备，构建符合自身特点的安全体系。在实际使用过程中，网络中部署的各类安全设备都会产生大量的安全事件和日志记录，但由于各类安全产品往往由不同的厂商提供，各类设备的数据格式存储各有不同，导致各个安全设备的安全事件信息和安全日志信息的关联性缺失，使得网络管理人员无法从这些孤岛数据中发现真正的安全威胁。

发明内容

本发明所要解决的技术问题，就是提供一种企业网络安全事件管理系统及其方法以实现对网络安全设备产生的网络信息安全事件和日志记录进行有效的采集和分析处理，基于分析结果实现对安全设备联动防御策略的生成和管理，实现对网络安全态势的评估和预测，以发现网络潜在安全问题并及时预警，避免网络安全设备的孤岛防御问题。。

本发明解决所述技术问题，采用的技术方案是，企业网络安全事件管理系统，包括安全设备，还包括安全事件数据采集模块、安全事件数据标准化模块、安全事件态势评估和预测模块、安全设备管理联动防御策略生成模块、状态保护模块及系统管理模块；所述安全设备分别与安全事件数据采集模块及状态保护模块连接，所述安全事件数据采集模块与安全事件数据标准化模块连接，安全事件数据标准化模块分别与状态保护模块、安全事件态势评估和预测模块及安全设备管理联动防御策略生成模块连接，安全事件态势评估与安全设备管理联动防御策略生成模块连接，安全设备管理联动防御策略生成模块与系统管理模块连接，系统管理模块与状态管理模块连接；

所述系统管理模块，用于实现系统的用户账户管理及系统日志管理功能；

所述安全事件数据采集模块，用于对企业网络中的安全设备产生的安全事件信息进行自动采集；

所述安全事件数据标准化模块，用于根据标准化数据模型对采集到的安全事件信息进行格式化；

所述安全事件态势评估和预测模块，用于对格式化安全事件信息进行分析得到网络信息安全态势，同时对网络安全趋势进行预测；

所述安全设备管理联动防御策略生成模块，用于结合网络信息安全态势及预测的网络安全趋势对各安全设备部署的安全应用策略进行关联分析，生成联动防御策略；

所述状态保护模块，用于存储安全设备在不同工作状态下的配置文件，当安全设备需要恢复某一工作状态时，系统从状态保护模块中调用该状态下的配置文件。

具体的，还包括预警模块，所述预警模块分别与安全事件态势评估和预测模块及安全设备管理联动防御策略生成模块连接；

所述预警模块，用于根据安全事件态势评估和预测模块预测的网络安全趋势及安全设备管理联动防御策略生成模块提供的防御策略进行预警提醒。

进一步的，还包括GUI交互界面模块，GUI交互界面模块分别与系统管理模块及预警模块连接，所述GUI交互界面模块基于B/S架构；

所述GUI交互界面模块，用于进行系统工作状态信息展示及用户操作交互。

具体的，所述各类型安全设备产生的安全事件信息的格式标准模型为一个15元组，具体如下：

devId：安全设备Id标识，由系统管理员统一配置，入库类型为Int；

devName：安全设备名称，由系统管理员统一配置，入库类型为String；

devManufacture：安全设备厂商，由系统管理员统一配置，入库类型为String；

devVersion：安全设备版本号，由系统管理员统一配置，入库类型为String；

devClassify：安全设备详细分类，由系统管理员统一配置，入库类型为String；

alertName：报警事件名称，由各类安全设备独立生成，入库类型为String；

eventURL：报警事件涉及的URL信息，入库类型为String；

sourceIP：报警事件涉及的源IP地址，入库类型为Int；

sourcePort：报警事件涉及的源端口号，入库类型为Int；

targetId：报警事件涉及的目的IP地址，入库类型为Int；

targetPort：报警事件涉及的目的端口号，入库类型为Int；