[发明专利]一种协同的安全集中管控系统

说明书

本发明公开了一种协同的安全集中管控系统，其特征在于，采用一种分层的分布式架构，包括一个中心节点和多个边缘节点，且一个中心节点连接多个边缘节点，所述系统，还包括一个中心‑集中管控和多个企业‑集中管控，所述企业‑集中管控，被部署在所述边缘节点，所述中心‑集中管控，被部署在所述中心节点，包括互连输入模块、采集模块、处理模块、存储模块、聚合和分析模块、评估模块、影响分析模块、缓减模块、管理模块、可视化模块、互连输出模块和协同模块。通过本发明，能够实现跨越企业边界支持分散的利益相关企业，快速协同和协同反应，以减轻网络威胁的影响和/或减轻网络威胁进一步传播和连锁影响。

技术领域

本发明涉及网络安全、SOC(Security operation center)、信息共享、网络事件处理和网络事件报告的技术领域，尤其涉及到一种协同的安全集中管控系统。

背景技术

当今，在关键基础设施中运行的工业控制系统正变得越来越复杂；此外，它们还广泛地与企业IT信息系统互联互通，以实现经济高效的监控、管理和维护。这使关键基础设施面临现代的高级网络威胁。然而，现有的安全解决方案试图通过采用通常不跨越企业边界的安全措施来预防、检测和应对网络威胁。

现代的高级网络威胁，尤其是多阶段的网络攻击，例如，Stuxnet，利用了企业之间的相互依赖性。通过利用各种系统的漏洞，网络攻击者侵入了多个企业，将它们被用作到达目标的关键基础设施的垫脚石。因此，为了应对这类威胁，企业需要通过某种机制来保护其业务，这种机制不完全使用从自己的系统采集的信息，而是另外还要采集企业之间共享或公开的相关观察结果，加以分析，并及时披露此类袭击和迅速部署缓减措施。

信息共享在网络防御中越来越重要，在企业之间共享相关的事件信息情报，可以更好地了解各个企业关键基础设施的当前网络安全状况，并有助于检测隐蔽的大规模网络攻击和新的恶意软件。对共享事件信息的分析对于试图识别本企业关键基础设施中已经在其他企业关键基础设施中检测到的威胁至关重要，受到攻击的企业可以从分析和关联其它企业以前为解决相同或类似问题而采用的解决方案中获益。

发明内容

为了解决上述技术问题，本发明提供了一种协同的安全集中管控系统，采用跨越企业边界的网络安全措施，以应对多阶段网络攻击。

一种协同的安全集中管控系统，其特征在于，采用一种分层的分布式架构，包括一个中心节点和多个边缘节点，且一个中心节点连接多个边缘节点，所述系统，还包括一个中心-集中管控和多个企业-集中管控；

所述企业-集中管控，被部署在所述边缘节点上，用于所属企业范围内的入侵和威胁检测，不仅能够自动转发采集数据到中心-集中管控的采集模块，而且还向中心-集中管控上报本地检测到的异常和具有跨企业相关性的事件；

所述中心-集中管控，被部署在所述中心节点上，接收多个企业-集中管控发送过来的采集数据、多个企业-集中管控共享的战略信息和公开的网络情报信息，并进行分析，评估所获得的跨企业边界的网络攻击，一旦分析和评估结束，将向它的上报的企业-集中管控、相关的企业-集中管控和甚至是相关的机构提供缓减策略、建议或早期警告，包括互连输入模块、采集模块、处理模块、存储模块、聚合和分析模块、评估模块、影响分析模块、缓减模块、管理模块、可视化模块、互连输出模块和协同模块；

所述协同模块，集成丰富的协同功能来支持分散的利益相关企业进行快速协同和协同反应，在某些报告的事件中，快速协同和协同反应是减轻网络威胁影响和/或减轻网络威胁进一步传播和连锁影响的关键，整个协同的集中管控过程由安全经理、企业安全运维服务人员和专家团队进行监督与管理，提供多种即时通信机制实现安全经理、企业安全运维服务人员和专家团队之间的视频通信、语言通信和信息交换，并具有日志功能；

进一步地，所述采集模块，采用先进的数据采集和数据融合技术，实现多种数据的快速导入和净化；