[发明专利]一种责任溯源的认定系统

权利要求书

1.一种责任溯源的认定系统，其特征在于：包括软硬件基础层、基础模块、数据采集层、预处理层、数据分析层和展示管理层，所述软硬件基础层为责任溯源认定系统统一监控和管理的对象，包括主机、网络、数据库、服务器、云平台、业务应用、证书、网络设备，责任溯源认定系统为软硬件基础层的上层管理分析平台，同时软硬件基础层是责任溯源认定系统实现安全监控和管理的具体手段和数据来源；所述基础模块包括实名身份认证模块和时间戳同步模块；所述数据采集层用于采集被监控对象层的数据，并将该数据上传到数据分析层，包括终端信息采集系统、网络审计信息采集系统、数据库信息采集系统、服务器信息采集系统、应用审计信息采集系统、网络设备信息采集系统、证书信息采集系统、云平台审计信息采集系统；所述预处理层用于对采集的信息进行数据清洗、数据归一和分布式储存；所述数据分析层以线索分析和特征提取为基础，通过事件研判，根据分析人员设定的条件做出对应的风险评估，以及判断指定时间范围内某类事件的发展趋势，所述展示管理层通过可视化的方式将监测对象的运行状态、安全事件、安全风险展现给用户，使用户全面掌握当前网络安全状态，并预测未来网络安全发展趋势并依此修改、制定管理规则、配置策略。

2.根据权利要求1所述的一种责任溯源的认定系统，其特征在于：所述终端信息采集系统、网络审计信息采集系统、数据库信息采集系统、服务器信息采集系统、应用审计信息采集系统、网络设备信息采集系统、证书信息采集系统、云平台审计信息采集系统用于：用户数据采集、进程数据采集、服务数据采集、共享数据采集、打印数据采集、文件数据采集、开关机数据采集、刻录数据采集、软件数据采集、日志数据采集、注册表数据采集、硬件数据采集、流量数据采集、第三方数据库数据采集、日志文件采集和协议采集。

3.根据权利要求2所述的一种责任溯源的认定系统，其特征在于：所述用户数据采集支持对主机上用户的变更，包括增加、删除、修改用户的行为进行数据采集，同时对主机进行控制，包括禁止其增加用户、禁止修改用户；所述进程数据采集支持采集主机上的进程数据信息，通过对进程黑白名单的设置，将进程设置为合法和非法进程，一旦主机上启动非法黑名单进程，及时阻断并报警，启动白名单中的进程则记录，但不阻断，实时监测主机上进程使用情况，包括内存、CPU使用率；所述服务数据采集支持收集系统服务数据信息，包括服务名、服务描述、服务启动类型以及服务的当前状态，当对受控主机启动、关闭服务时，产生报警信息，通过设置服务的黑白名单，启动黑名单中的服务报警，一旦对白名单中的服务进行了属性的修改则产生报警；所述共享数据采集支持对主机上的共享文件进行数据采集，采集主机的文件共享情况，包括共享文件路径、文件名信息，同时监控是否允许主机增加共享、删除共享操作；所述打印数据采集支持对主机的打印行为进行数据采集，控制本地打印与网络打印，详细记录文件打印的时间、用户、使用的打印机信息；所述文件数据采集支持根据文件的扩展名、文件名、路径名，对各类文件的写入、拷贝、删除、创建、读取、覆盖、移动、重命名进行数据采集，并针对客户端用户向可移动设备复制的文件进行数据采集；所述开关机数据采集支持对主机的开关机操作进行数据采集，通过策略设置，对非指定时间内开机的行为进行报警；所述刻录数据采集支持对光盘刻录的行为进行数据采集，禁止、允许刻录行为；所述软件数据采集支持对主机软件安装情况并对软件安装信息变化进行数据采集，包括软件的安装和卸载，产生相应的报警信息；所述日志数据采集支持对主机上的系统日志、安全日志进行统一数据采集和管理；所述注册表数据采集支持对主机上注册表的变更，包括增加、删除、修改注册表的行为进行数据采集，同时对主机进行控制，包括禁止其增加、修改、删除注册表项以及项数据；所述硬件数据采集通过设置规则，禁止主机的外联设备，并对其进行监管和控制，允许、禁止用户使用计算机的光驱、USB设备在内的I/O设备、USB光驱，记录被监控主机违规操作情况；所述流量数据采集支持对网络上的数据流量进行数据采集，支持按照IP地址、上传流量、下载流量、部门和风险级别进行分析，对超出设定流量的访问行为采取告警监控措施，并记入日志，并定义条件对IP、TCP、UDP、ICMP、HTTP、SMTP、FTP、POP3应用协议的网络流量进行分析监测；所述第三方数据库数据采集支持oracle、SQL Server、达梦数据库的数据采集过滤处理；所述日志文件采集支持应用、系统日志文件采集，支持配置日志文件格式；所述协议采集支持常用协议数据采集，包括tcp、ftp、syslog、http、pop3、smtp、telnet、ip-mac协议。