[发明专利]安全风险的闭环处置方法、装置及存储介质

权利要求书

1.一种安全风险的闭环处置方法，应用于电子装置，其特征在于，所述方法包括：

S110：安全闭环系统创建日志平台，所述日志平台将操作日志统一汇总为操作日志数据包，并对所述操作日志数据包中的操作日志进行内容分析，对所述操作日志中短时异常、长期规律性操作进行监控；以及，在监控过程中若出现可疑操作，则发出实时告警，并将告警信息及可疑操作日志同步到作业平台；

S120：根据预设的违规标准对所接收到的告警信息及可疑操作日志进行违规确认，将确认违规的操作日志上传至自动化处置单元，自动生成对所述确认违规的操作日志的检查通知，并将所述检查通知发送到调查问责控件；

S130：使用SPL高级查询语言进行日志检视以解析违规的操作日志，提取出所述违规的操作日志中的违规操作行为及其操作账号，根据预设的违规操作处理规则对所述违规的操作日志的操作账号进行自动化处置处理，并将所述操作账号的信息及操作账号处置结果同步到调查问责控件；

S140：根据所述检查通知及所述操作账号处置结果，确定所述操作账号信息执行操作日志的风险违规级别，并根据违规级别调用信息安全执行程序对所述操作日志中的违规操作行为进行核实确认。

2.根据权利要求1所述的安全风险的闭环处置方法，其特征在于，所述日志平台通过采集器对业务系统的日志进行采集，将采集到的日志输入到日志云的kafka形成操作日志，所述操作日志中的数据经过ESAPI的处理后统一汇总为操作日志数据包；

所述日志平台基于J2EE技术体系，采用微服务架构；

所述操作日志携带操作行为及操作账号的相关信息，包括：员工操作日志、终端操作日志、堡垒机和数据库的审计日志；其中，

所述员工操作日志包括：出单、查询客户信息、核保、理赔；

所述终端操作日志包括；邮件外发、大文件上传。

3.根据权利要求1所述的安全风险的闭环处置方法，其特征在于，对所述操作日志中短时异常、长期规律性操作进行监控的过程中，包括：

利用所述操作日志中的数据，结合AI建立准实时、轻量级的监控规则；

根据所述监控规则判断所述操作日志中是否出现可疑操作；

所述监控规则包括：若同一用户一小时内访问敏感链接次数大于阈值，则通过日志平台自动发送邮件或通过HTTP方式进行告警；

告警内容可自定义，包括异常用户账号、访问的敏感链接、访问次数。

4.根据权利要求1所述的安全风险的闭环处置方法，其特征在于，所述作业平台通过接口形式对接所述日志平台、自动化处置单元及调查问责控件。

5.根据权利要求1所述的安全风险的闭环处置方法，其特征在于，对所接收到的告警信息及可疑操作日志进行违规确认，将确认违规的操作日志上传至自动化处置单元过程包括：

所述作业平台对应所接收到的告警信息及可疑操作日志生成作业任务；

所述作业任务包括：对告警进行分析，对于确认存在风险违规的操作日志，作业平台通过openapi形式，自动将处置的操作日志信息发送给自动化处置单元，由所述自动化处置单元实施账号冻结或拉黑操作。

6.根据权利要求1所述的安全风险的闭环处置方法，其特征在于，提取出所述违规的操作日志中的违规操作行为及其操作账号，将所述违规的操作日志的操作账号进行自动化处置处理的过程包括：

通过接口方式将所述违规的操作日志的操作账号及告警详情同步到风控插件，所述风控插件用于设置风控规则，对所述违规的操作日志中的操作行为进行自动冻结，对可疑操作账号进行拉黑处置。

7.根据权利要求6所述的安全风险的闭环处置方法，其特征在于，设置风控规则包括：对设置账号高频操作、多IP访问、外挂程序、非工作时间异常操作等行为进行监控。