[发明专利]一种企业网络安全管理云服务平台系统及其实现方法

权利要求书

1.一种企业安全管理服务云平台的实现方法，其特征在于，通过被管理网络中的网络交换机镜像端口采集所有企业网上设备接收和发送的数据，根据实际使用的通信协议对采集来的数据进行深度解析获得元数据，并在所述元数据基础上生成与在线设备相关访问记录、系统记录和事件记录；将访问记录、系统记录和事件记录用于生成与之相关的设备的历史数据；并在所述历史数据的基础上进一步生成当前的在线设备资产报告；确定和报告异常设备行为，确定和报告异常用户行为，确认和报告数据泄露和入侵等风险信息。

2.根据权利要求1所述的企业安全管理服务云平台的实现方法，其特征在于，基于至少一个所述数据包的来源地址或目的地址，确定对至少一个所述的数据包中的有效载荷执行数据包深度解析来识别网络交易数据。

3.根据权利要求1所述的企业安全管理服务云平台的实现方法，其特征在于，基于至少一个所述数据包的数据包类型，确定对至少一个所述的数据包中的有效载荷执行数据包深度解析来识别网络交易数据。

4.根据权利要求1所述的企业安全管理服务云平台的实现方法，其特征在于，基于至少一个所述数据包的数据类型，确定对至少一个所述的数据包中的有效载荷执行数据包深度解析来识别网络交易数据。

5.根据权利要求1所述的企业安全管理服务云平台的实现方法，其特征在于，根据所述的网络交易数据生成所述设备的事件记录，所述事件记录的部分或全部用于生成所述设备和所述用户的历史数据；

从所述网络交易数据中得到所述设备的访问记录，所述访问记录的部分或全部用于生成所述设备的历史数据和所述用户的历史数据；

从所述网络交易数据中得到所述设备的系统记录，所述系统记录的部分或全部用于生成所述设备和所述用户的历史数据。

6.根据权利要求1所述的企业安全管理服务云平台的实现方法，其特征在于，

根据设备的历史数据确定所述设备的基准行为；

更新所述设备配置信息指示所述设备的基准行为；

利用所述设备的历史数据和所述设备的基准行为，生成在线设备资产报告。

7.根据权利要求1所述的企业安全管理服务云平台的实现方法，其特征在于，所述企业安全管理服务云平台预装企业员工安全行为准则，行为准则包括但不限于访问权限、输出数据权限、接收数据权限、安全操作、以及存储媒介使用权限等。

8.根据权利要求1所述的企业安全管理服务云平台的实现方法，其特征在于，对异常行为的分析，包括了对异常行为的分类：

将事件记录和所述设备的配置信息中的基准行为进行比对，若不相符，确定所述设备行为异常；

将历史数据和预装的员工行为准则进行比对，若不相符则确定为员工审计异常，将异常行为信息纳入员工档案并实时更新；

当前事件不符合设备或用户的异常行为，但符合以下条件之一的，归类为数据泄露异常：输出行为异常、存储介质使用异常、访问路径异常等。

当前事件不符合设备或用户的异常行为，但符合以下条件之一的，归类为入侵异常，包括但不限于所述设备系统输入行为异常、所述设备系统访问记录异常、所述设备系统异常等。

9.企业安全监控管理服务云平台系统由分布在一个或多个企业网络中的本地安全监视系统和云平台共同组成。

其中，所述本地安全监视系统与被管网络的网络交换机的镜像端口相连，通过所述镜像端口获得所在企业网络上所有网络交易数据，解析成元数据并通过私有加密通道转发至云平台。

所述云平台，包括基于网络流量分析的访问记录管理系统、事件记录管理系统和系统记录管理系统，并由访问记录、事件记录和系统记录生成设备和用户的历史数据；

所述云平台还包括资产管理系统、员工行为审计系统、数据泄露检测系统、和入侵检测系统。所述资产管理系统自动或根据指令生成当前在线资产报告并存储；所述员工行为审计系统、数据泄露检测系统和入侵检测系统根据访问记录、事件记录、系统记录和由此产生的历史数据检测、分析和报告被管网络的设备异常、用户异常、数据泄露和入侵异常行为。

10.根据权利要求9所述的企业安全管理服务云平台系统，其特征在于，所述安全监视系统至少对捕获到的数据包之一进行深度解析从至少一个数据包的有效载荷识别网络交易数据，形成元数据。