[发明专利]一种企业网络安全管理云服务平台系统及其实现方法

说明书

技术领域

本发明涉及企业网络的安全防护技术领域，特别涉及一种服务于企业的企业网络安全管理云服务平台系统及其实现方法。

背景技术

当前的中小型企业由于技术力量和资金的限制，很难再企业内部建立起一套完善的网络信息安全保障系统来管理企业网络，那么由第三方利用云技术提供网络安全服务是一个有发展前景的技术平台和商业模式。

一般来说中小型企业的网络安全管理系统主要关注数据泄露、入侵检测、内部人员的行为审计等网络信息安全事项，同时企业所有者也十分期待能够实时掌握在线网络资产的实时运行状况。由于很多威胁来源于企业内部人为因素，如何用经济有效的方法规避掉内部人员威胁，防范企业面临的安全风险是所有企业，特别是中小型企业面临的重要课题。

由第三方利用云技术为这样的企业解决方案提供了可行的企业网络信息安全服务平台。企业只需部署相对隐蔽的装置就能够将企业网络的实时网络交易数据解析出来并发送至云平台做进一步分析、判定、报告以及采取必要的防范措施。这样，一个云平台可以管理多个企业的网络信息安全，这对中小企业来讲是非常实际有效的安全管理解决方案。

发明内容

为此，本发明提供了一种企业网络安全管理云服务平台系统，用于解决企业网络的信息安全隐患，通过对企业网络上传输的数据进行分析，发现、识别企业网上所有在线的设备，获得动态的企业在线资产数据，并根据这些网络传输数据确定在线设备的正常行为模式，一旦在网络传输指令中发现异常，比如数据输出、违规访问、异常的介质存储等违背正常行为模式的事件，立即存档并生成告警信息并采取响应的防范隔离措施。

为达到上述目的，本发明公开了基于网络流量分析的中小企业安全管理服务云平台的实现方法，包括根据企业网上设备发送接收的数据包自动识别当前企业网络上连接的所有设备和设备类型，提供带有运行状态的动态资产管理；根据网络流量分析提取企业网络上每台设备的正常行为模式作为基准；基于行为基准对的网络流量分析，与预装的员工行为准则的比对实现企业网络上员工行为审计；基于设备正常行为模式对的网络流量分析，实现对企业网的入侵监测；基于设备正常行为模式对的网络流量分析，对企业网络上的每台设备数据交换记录的分析和跟踪，获得每一台设备的历史数据用于监控潜在的数据泄露；根据需要实施隔离威胁等举措并发送告警信息。实现方法需要再本地网络采集和处理网络流量提取通信协议数据信息，并通过私有加密信道转发至云平台；利用云平台分析接收到的企业网络在线设备的网络交易数据，根据所述网络交易数据的IP地址、数据包类型、以及数据类型等深度解析信息生成访问记录、事件记录和系统记录，并在此基础上产生历史数据；结合对在线设备的聚类分析结果和历史数据，发现识别企业网络上的设备，形成在线设备资产识别的基础数据；利用机器学习算法对采集的信息对设备进行分类和识别、根据当前记录和历史数据确定每一台设备的行为模式基准，检测异常行为以及完成对异常行为的后处理；在云平台预装员工行为准则，将当前与用户相关的记录比对，完成对用户行为审计，并生成用户行为档案；利用历史数据、在线设备资料和在线设备正常行为模式对当前记录进行分析，确定是否出现数据泄露和入侵行为，产生相应的告警和报告。本发明的优点和有益效果：该方法无需对现有的企业设备作任何修改，不需要在企业设备上加装代理软件，是一种积极的安全措施，能够对企业网络上在线设备数量和类型一目了然，对在线设备的运行进行实时跟踪，自动识别在线设备的正常行为模式，并感知异常状况的发生。

基于企业安全管理云服务的实现方法，进一步提出一种企业安全管理服务云平台系统，由云平台、和分布在一个或多个企业网络中的本地安全监视系统共同组成。其中，企业网络的交换机需要设置一个镜像端口，所有企业网络的网络交易数据均映射到所述镜像端口上，本地安全监视系统与所述镜像端口连接，从而获得所有在线设备发送和接收的网络交易数据。

本地安全监视系统获得所在企业网络数据后，依照截获数据的通信网络端口判断网络数据使用的通信协议，并根据通信协议对网络数据进行数据包解析，并将解析后的元数据通过私有加密信道发送给云服务平台。

云服务平台对接收到的元数据进行聚类分析，云平台的访问记录管理系统、事件记录管理系统和系统记录管理系统依据元数据中的源IP地址、目的IP地址、数据包类型、数据类型生成访问记录、事件记录和管理记录，并在此基础上分别生成各自的历史纪录。