[发明专利]智能化的安全事件闭环处置系统及其方法

说明书

本申请涉及信息安全领域，公开了一种智能化的安全事件闭环处置系统及其方法。该智能化的安全事件闭环处置系统，包括：安全防护和监测模块，安全监控中心，事件分析和响应中心，用户告警及通知端，以及人机交互界面。通过一套完整的技术架构将安全事件发生——告警——处置和记录——关闭——总结有效结合起来并形成闭环，将传统松散的安全事件处置和管理模式统一化和智能化，将事件的处置与管理以程序架构的形式整合到企业整体安全框架中。实现安全事件的智能化处理和全流程闭合管控，减轻安全人员的管理成本，提升安全事件的处置效率和质量，并为信息安全工作在企业中的价值提供可量化的评价指标。

技术领域

本申请涉及信息安全领域，特别涉及一种智能化的安全事件闭环处置技术。

背景技术

在很多企业或组织内部，安全人员在收到来自各安全设备或监控中心的告警后，通常需要自身经验判断或采信监控告警内容来人工分析安全事件，然后通过企业内通讯工具或电话等方式联系到相关业务或运维人员协同处置，这样从线上获取安全告警信息，再进行线下流转处置的方式，不仅效率不高，而且事件信息的完整性、沟通记录的准确性都难以保障，容易出现事件处置程序混乱、以及未闭环即无人跟进等状况。

针对上述问题，现有技术中主要有以下两种解决方案：

a.无智能化解决方案，主要通过线下沟通方式，参考一些最佳流程实践，以(临时)事件处置小组的形式进行信息传达和过程记录，处置过程以文档文件的形式分散于小组不同成员手中，最后由安全人员进行手动汇总和上报。

b.有部分智能化解决方案，即整个事件分析和响应过程，有部分通过自动化程序实现，如事件记录、内容展示等，通过线上发现的原始告警信息经线下分析后再人工提交到线上，仅作为一个内容管理平台来使用，未紧密结合到企业整体的安全监控架构中，无法做到事件的自动关联和流转，且可能存在相关人员学习和使用成本较高的情况。

从上面的介绍可以看出，现有的技术方案均存在不同程度的安全事件处置和管理流转缺陷，不能通过一套完整的技术架构将安全事件发生——告警——处置和记录——关闭——总结有效结合起来并形成闭环，使得制定的各项事件处置预案浮于纸面，也就不能为企业提供完整有效的安全态势反馈。

在当前互联网、物联网、工控网络日益发达的趋势下，过去基于线上告警、线下处置和记录的传统安全事件处置方式，已明显不能适应技术发展的需要。因此，目前亟需一种自动化逻辑关联和规则分析的事件分析和响应平台，从而减轻安全人员的管理成本，提升安全事件的处置效率，形成事件处置闭环，并为信息安全工作在企业中的价值提供明显的量化指标。

发明内容

本申请的目的在于提供一种智能化的安全事件闭环处置系统及其方法，通过一套完整的技术架构将安全事件发生——告警——处置和记录——关闭——总结有效结合起来并形成闭环，减轻安全人员的管理成本，提升安全事件的处置效率，并为信息安全工作在企业中的价值提供明显的量化指标。

为解决上述技术问题，本发明的实施方式公开了一种智能化的安全事件闭环处置系统，包括：安全防护和监测模块，安全监控中心，事件分析和响应中心，用户告警及通知端，以及人机交互界面；

所述安全防护和监测模块，用于监控和感知安全状况，发现安全事件，并将安全事件的原始数据发送到所述安全监控中心；

所述安全监控中心，用于对所述原始数据进行数据格式化处理和规则引擎分析，过滤误报的安全事件，并将判断为真实的安全事件的数据发送到所述事件分析和响应中心；

所述事件分析和响应中心，用于对所述安全监控中心传来的安全事件进行分类和分级，并创建和管理安全事件的处置流程、状态、处置记录及标签信息；

所述用户告警及通知端，用于接收来自所述事件分析和响应中心的告警消息和流程消息通知；