[发明专利]安全事件的应急响应处理方法及装置

说明书

本公开提供一种安全事件的应急响应处理方法及装置，涉及计算机安全技术领域，能够解决现有安全应急响应处理单一固定的问题。具体技术方案为：获取目标安全事件；根据目标安全事件的事件信息生成目标工单；根据目标工单的工单类型从预先设置的流程关系表中确定与目标工单对应的目标处理流程；根据目标处理流程的节点关系表对目标工单进行流转处理。本发明用于对安全事件的应急处理。

技术领域

本公开涉及计算机安全技术领域，尤其涉及安全事件的应急响应处理方法及装置。

背景技术

信息系统容易受到各种已知和未知的威胁而导致有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备故障和灾害性时间等信息安全事件的发生，从而导致业务中断、系统宕机、网络瘫痪等，产生直接或间接的负面影响。在产生安全事件时，完全依靠技术人员自己的经验去处理，这样会导致紧急的安全事件可能需要很长的时间去解决，并且对技术人员的技术有很强的要求，增大了技术人员的压力。

发明内容

本公开实施例提供一种安全事件的应急响应处理方法及装置，能够解决现有安全应急响应处理单一固定的问题。所述技术方案如下：

根据本公开实施例的第一方面，提供一种安全事件的应急响应处理方法，该方法包括：

获取目标安全事件；

根据目标安全事件的事件信息生成目标工单，目标工单的工单属性包括目标工单的名称、类型、优先级；

根据目标工单的工单类型从预先设置的流程关系表中确定与目标工单对应的目标处理流程，流程关系表用于指示至少一个处理流程与工单类型的对应关系；

根据目标处理流程的节点关系表对目标工单进行流转处理，节点关系表用于指示目标处理流程中每个节点的节点标识、节点属性以及节点之间的关系。

本公开实施例针对不同的安全事件采用不同的处理流程进行处理，在流转过程中根据处理流程的节点关系表来确定流转的分支走向，解决现有安全应急响应处理单一固定的问题。

在一个实施例中，根据目标处理流程对目标工单进行流转包括：

获取目标节点的处理结果，目标节点为目标处理流程中的任一节点；

根据目标节点的处理结果和目标处理流程的节点关系表确定流转分支走向，直至对目标工单处理结束。

在一个实施例中，获取目标节点的处理结果包括：

检测目标节点在预设处理时长内是否完成处理；

在目标节点在预设处理时长内完成处理，获取目标节点的处理结果。

在一个实施例中，该方法还包括：

在目标节点在预设处理时间内未完成处理，获取目标节点的处理状态；

根据目标节点的处理状态以及节点关系表流转给目标节点的上一节点或其他可处理节点，直至处理结束。

在一个实施例中，根据目标安全事件的事件信息生成目标工单包括：

根据目标安全事件的事件信息按照预设的时间周期生成目标工单；或者，获取用户操作指令，根据用户操作指令和目标安全事件的事件信息生成目标工单。

在一个实施例中，获取目标安全事件的事件信息之前，方法还包括：

从安全事件数据库中获取历史信息，历史信息包括历史安全事件和历史安全事件对应的历史处理流程；

根据历史信息创建至少一个处理流程；

将每个处理流程与每个处理流程的工单类型的对应关系存储在流程关系表中。

在一个实施例中，该方法还包括：