信息基础结构的综合攻击事故应对系统及其运营方法

专利名称：信息基础结构的综合攻击事故应对系统及其运营方法
技术领域：
本发明涉及能在网络上更有效率地应付各种综合攻击事故应对系统和其运营方法。具体来说，本发明可以完成的功能有自动收集/分类威胁系统的广泛的攻击因素(黑客、病毒、蠕虫、网上恐怖、网络间谍、信息战等攻击事故及系统缺陷信息)；以对应的各组织按必要的方式进行加工/分析并加以利用；对于已有信息及相关信息实现安全的共享及提供；对各种攻击事故能进行预/警报和评价；对新的攻击方式和攻击事故进行试验(模拟)做到提前预防等。
背景技术：
随着因特网的普及，个人的网络银行往来、电子商务利用率在急速增加，企业、政府、银行的服务及市场活动正在以网络购物中心、购物主页为中心快速增长。
在此大环境下，蔓延着非法盗取个人信息和信用卡等金融信用信息和企业的市场信息、新产品开发信息，诱发大规模网络服务的中断或瘫痪的不法行为。为了防止这种不法行为(例如非法黑客入侵或以不特定的对象为目的的蠕虫/病毒的扩散)，多数系统安装了切断入侵系统、入侵探测系统、病毒防火墙等各种信息保护系统。可是这些信息保护系统对各种不法行为的应对方法和恢复都没有进行共享而是根据部门/公司的区别独立进行着运营。
而且不时发生被人收买的公司职员或外部的非法黑客非法接入到公司的系统用磁盘、硬盘、CD-ROM等储存工具盗取公司的职员信息、新产品开发信息、金融往来信息进行买卖的事情，以致公司蒙受损失。
以企业为例，企业信息主要用于企业运营，对内则有限的进行披露，对外则一般属于封锁状态。企业一般对外公布的信息以提高公司形象的宣传性目的为主，但非法行为则以盗取公司的新产品、服务、市场信息出售给竞争对手，令公司的服务终止或中断而影响公司形象，黑掉公司主页，传播恶性病毒/蠕虫等为主。所以急需采取配备对应的人力、购买必要的信息保护产品、信息保护组织机构的运作等措施，可由于经济原因多数不能如愿。
所以有必要构筑并运营有效对付不法行为的全公司或全国范围的综合攻击事故应对系统(统合保安控制系统)。
本发明就是着眼于这种需求，提出构筑以信息共享及分析中心(ISAC/SInformation Sharing & Analysis Center/System；以下称为“ISAC”)形态体现的全公司综合攻击事故应对系统(或统合保安控制系统)，这些系统要与别的ISAC系统或“企业统合信息保护管理系统(Enterprise Security Management System；以下称为“ESM”)”相连形成对应的网络，以ISAC和ISAC，ESM和ESM，ISAC和Multi-ESM等方式构筑“可靠信息共享网络(Trusted Information Sharing Network)”从而实现信息共享并一起对抗黑客/网络恐怖主义。
更详细的是关于如何构筑可以远程共享个人或民间的IT信息以及公司的信息保护漏洞等信息的同时可以综合对应包含黑客、病毒、网络恐怖主义等非正常接入的攻击事故的信息共享及分析中心(ISAC/SInformation Sharing & Analysis Center/System)形态的全公司综合攻击事故应对系统(统合保安控制系统)及使ISAC和ESM之间的信息共享成为可能的可靠信息共享网络(Trusted Information Sharing Network)的方法。
图1是流通诸如个人信息和信用卡帐号等金融信用信息的一般性网络服务系统的结构图。
如图1所示一般的网络服务系统由用户电脑(110)，因特网(120)，ISP(122)，路由器(124)，交换用集线器(switching hub)(126)，WAP服务器(140)，web服务器(150)，邮件服务器(160)，信息共享服务器(170)，数据库服务器(180)等来组成。
也就是包括如果一个以上的用户通过用户电脑(110)与网络(120)形成物理连接而申请会员加入或发出用于购物的金融信息，则对所发信息的路径进行最优化的路由器(124)；为了提高信息的传送速度，解析数据包并鉴别数据的最终目的地后进行传送的交换用集线器(126)；使用用户电脑(110)的网页浏览器形成物理连接的状态下，在用户电脑(110)上显示一个以上的用户访问网页的web服务器(150)；根据用户选择的网页上的信息交换，支持用户之间共享信息的迎合信息共享服务器(170)；储存用户信息及用户操作信息的数据库服务器(180)；通过邮件自动传送用户之间的访问情况和互动结果的邮件服务器(160)；用户通过移动通信终端发出迎合请求，则把根据无线通信网协议传送的数据转用根据因特网(120)上的信息传送协议传送的WAP(WAPWireless ApplicationProtocol，以下称为WAP)网关(130)；收集经过WAP网关(130)到达的用户访问信息数据，通过CGI(CGICommon Gateway Interface)脚本搜索内容数据库里的内容数据之后，显示在移动通信终端上的WAP服务器(140)等。
用户电脑(110)既可以通过网络服务供应商(ISPInternet ServiceProvider)(122)连到因特网(120)也可以通过局域网(LAN)连接。Web服务器(150)则包括给用户电脑(110)提供一个以上的访问网页的网页呼出模块。
信息共享服务器(170)由通过网页处理新会员登陆及网络购物等过程的会员登陆模块、支持会员用户的部分及集合设置的会员部分/集合模块、收到用户的迎合请求信息后处理用户的信息共享及购物信息的迎合请求处理模块、搜索多个用户的迎合请求内容的迎合搜索模块、为了使访问用户之间可以共享网页而提供支持的网页共享模块等组成。
数据库服务器(180)包括储存多个会员及用户的详细信息的会员数据库，储存会员用户的部分及集合设置内容信息的部分/集合数据库，储存用户的相互访问结果信息的访问数据库，储存根据用户选择完成的网页数据和根据用户需要进行访问的网页制作数据的网页数据库。
由如上所示的结构组成的个人、部门、组织间的网络服务系统使用户对各自关心的领域进行信息分类后按需要设置共享信息的部分及集合，在多个用户的终端上显示多个信息，使需要共享信息的用户通过各自的终端形成共享互动关系。
多数用户会通过上述的因特(120)上构筑的迎合信息共享服务器(170)共享信息。可是常会发生非法用户进行恶意攻击盗取个人信息和信用卡、获取使用于网络银行支付的公共认证体系的信息等金融信用信息的事情，而且对此没有特别有效的办法。此外，还有恶意攻击者扩散病毒或蠕虫破坏信息、网络服务，对信息通信基本保护法所规定的重要设施形成网络恐怖主义或网络犯罪。
一般处理这种攻击事故需要事主通过电话或邮件的形式向攻击事故对应部门(CERTComputer Emergency Response Team)等信息保护专门机构进行反映并要一一说明系统毁坏程度、管理者、黑名单(例如IP地址)、攻击事故发生前系统的登陆/恢复信息、系统履历管理等信息。该机构会把会谈内容手动录入到自己的系统中，并以此为依据对攻击事故内容进行分析并判断。但是这种分析过程具有少则需要几天多则需要几周时间的弊端。
而且往往企业或公司遭到攻击之后，网管们为了推卸责任，正规化电脑里残留的攻击者登陆信息或只关心数据的恢复而不保留攻击者登陆信息。所以就算事后攻击事故对应部门(CERTComputer EmergencyResponse Team)或网络警察、国家信息院知道攻击事故也会因没有证据而对罪犯一筹莫展。另外CERT，警察系统等相关机构之间也没有形成可靠的共享信息网络，可供双方一起应付此类事件。
现在一般的个人或公司的信息保护者主要是通过邮件从国内外的CERT、IBM或SUN等硬件制造商、微软(Microsoft)等系统制造商那里一一接收储存经过认证的系统/网络的相关项目缺陷，以此来对应攻击事故。可是这种邮件由于太多太杂，相关人很难一一储存并管理，就算发生与缺陷相关的攻击事故也无法快速对应。而且就算使用各种付费/免费补丁服务，现实中信息保护者也不可能把所有的补丁信息一一过滤后用在需要的系统上，应付这些攻击事故。
另外就算是同样的缺陷项目，也会因分类体系或内容形式的不同而难以区分，从而很难进行补丁。
还有连接到上述CERT机构、硬件制造商、系统制造商等主页上查到现运行系统的缺陷后，手动进行补丁的方法。不过这类方法在进行服务的时候无法使用，只能在中断服务的夜间或休息日才能进行，而且每天发表的新缺陷DB资料内容那么多，机构或公司用少数人力并不能达到全面检验系统缺陷的目的。所以，成为黑客诱因的系统缺陷问题往往不能充分解决，从而导致系统被黑或服务被迫中断的问题频频发生。
各组织的信息保护者本来需要详细把握自用系统的缺陷及内容，每日弥补新的缺陷从而有效对应探测侵入系统的攻击信息。但现实中他们往往是疲于应付经常发生的恶性病毒或蠕虫，这种信息保护要求对他们而言是无法达到的。
如今像公司的重要信息系统及电子计算机中心/电子电脑系统、以及金融、通信等信息通信基本保护法(法6383号)所定义的主要信息通信基础设施(CIPCritical Infrastructure Protection)，都处在黑客或网络恐怖主义的虎视眈眈之下。但是一直没有行之有效的解决办法。
为了应付这种现象，有人开发出了所述的ESM(企业统合信息保护管理系统；Enterprise Security Management)并加以使用。早期第一阶段的ESM只是一种分析和监视网络或系统资源中的危险因素的“管理工具”，它会统合侵入切断系统(F/W)、探测侵入系统(IDS)、防病毒产品等已有的多样的公司(Multi Vendor)的信息保护解决情景，在一个画面上监视结果。可是使用ESM将会显示大量的保安信息，用一定的方法过滤之后，相关人员要对其余部分处理起来还是显得比较原始并且不方便。而且为了有效运营ESM需要投入大量的信息保护专门人才，但是大多数公司或组织不可能如此安排人力，所以一般只是处于听之任之的状态。
第二阶段的ESM可以完成保安信息(事故)联系分析、相关关系分析、分析结果的传送和对应等功能。但由于缺少大量的数据和分析根据，无法即时完成攻击事故的对应、攻击评价、早期预/警报等功能。
第三阶段的产品虽然还没有上市，但是它将通过采集数据(DataMining)等方式达到信息相关分析、构筑攻击事故分析系统、强化预防攻击功能的目的。这其实也只是满足了用户的部分需求。
由此，可以有效的对应网络上的攻击事故的“综合攻击事故应对系统及其运营方法”应运而生。
图2是根据以往经验构筑的攻击事故对应系统的一个例子。ESM(210)由探测侵入系统(IDS)，侵入切断系统(F/W；Fire Wall)，VPN(Virtual PrivateNetwork)，包括病毒防火墙及信息保护OS的代理/信息保护产品系(212)，包括IDS、F/W等的保护ESM自身信息的ESM信息保护体系部(213)，刷卡门(与RF卡系统相同)，包括指纹/虹膜/掌纹/重量识别等人体识别方法及CCTV等手段的接入控制部(214)和控制各组成部分的ESM管理系统部(211)组成。这种ESM起到监控企业内部的各种系统中的保安信息并把它储存在数据库的作用。
ESM管理系统部(211)还具有综合收集代理/信息保护产品群(213)中发生的各种事故信息显示给用户的监控系统功能。就是每个代理/信息保护产品群会把收集的信息传送到监控系统，则系统会在显示器上自动按4等分6等分等所需比例一次性分屏显示信息。
可是以往这种ESM都是分别由各自的信息保护系统组成，同时又按产品类别各自生成海量的信息，所以无法完全把握也难以具备对事件的综合对应能力。另外无法判断攻击事故的轻重程度，缺乏事件发生前的预感能力也是这种方式的缺点。
对第三阶段的ESM人们寄予厚望，希望它能在应对突发事故的能力方面能有所改善。但是目前看来，通过网络攻击事故的早期警报，电脑法律性数据库的应用，攻击事故履历记录管理，资产评价及恢复期间核算等扩展功能和与外部ISAC系统及其他ESM之间的安全信息共享实现攻击事故综合对应这个目的，依靠第三阶段的ESM还是无法达到的。
同时，因因特网的爆炸性发展，ESM及ESM相关的下属信息保护系统中的保安和登陆信息会根据政策每天给出从数十兆到千兆的海量数据，而在现实中1-2名管理者根本无法正确应付如此多的信息。所以最近正在研究从众多的信息当中鉴别出真正具有危险性的信息的方法，但是据悉这种研究收效甚微，对现实问题的帮助不是很大。例如发生危险程度很高的攻击时，会发出警报或是警笛，但是之后则是用手动检查过去的保安信息和遭攻击情况，而这时大部分攻击已经得手，剩下的通常只是恢复系统的工作。
最近，美国、欧洲各国等先进国家政府对能保护重要信息的ESM的关注度日渐增加。特别是美国，在金融、通信、电力、物流等重要信息基础领域运营达17个的ESM及CDRT系统之间的ISAC(信息共享及分析中心；Information Sharing & Analysis Center)，而且关于运营的知识和经验都被列为国家的高度机密，不得泄露。我国也在信息通信基本保护法第16条明文规定建立金融、通信等领域的ISAC中心。民间的信息保护领域公司也积极倡议统合所有以前的侵入切断系统、探测侵入系统、防病毒软件等信息保护产品，构筑能综合管理保安信息及登陆信息的类似ESM和ISAC模型的综合攻击事故应对系统(统合保安控制系统)，并为此积极投入人力进行技术开发，但是由于资金和技术人才的缺乏，显得难度重重。
根据信息保护现状研究结果报告，最近引导研究趋势的可分为4种信息保护现状。
1)各组织从内到外同时受到网络攻击。
2)能探测到大规模的网络攻击。
3)网络攻击能造成巨大的经济损失。
4)成功防御网络攻击不仅需要使用信息保护技术，还需要额外的一些技术。
为了应付这种现状，处于网络恐怖主义或黑客威胁之下的相同产业或同行业机构/集团/公司纷纷构筑ESM或构筑/运营对应黑客、病毒、蠕虫、网络恐怖主义等攻击事故的攻击事故对应组(CERTComputer EmergencyResponse Team)或成立运营统合管理ESM和CERT的信息共享分析手段-ISAC，以求能达到共同对应危险的目的。所以虽然各个领域都在发展各自的中心，但是由于没有普遍适用的技术模型，各项技术之间都是独立发展的。

发明内容
本发明的目的是给各机构提供攻击事故发生时能发出包含攻击评价的早期警报并具备自我信息保护手段的综合攻击事故应对系统及其运营方法。具体过程是，与各机构系统相连接，在全国或全公司范围内收集因特网、应用程序、网络服务等相关信息保护信息，进行加工/分析后用数据库管理，必要时把经过加工/分析的信息传送到相关机构系统中。
本发明的另一目的则是利用测试控制台在最新的条件下模拟新的攻击事故，并把模拟结果储存到数据库，从而评价保护对象系统的资产及以此为基础计算遭攻击时损失大小和恢复时间。同时如果真有攻击事故发生时，则可以用以电脑公开基本法储存的攻击情况数据，进行罪行控告/报告或当作经济赔偿的依据。
本发明的另一目的则是提供可与其他机构系统共享保安信息的其他机构连动部，使可靠保安信息的共享成为可能。
为了达到上述目的，本发明所指的综合攻击事故应对系统，包括信息收集/管理部，其通过包括电脑系统及网络，应用程序，因特网服务的全国或全公司性IT基础设施，收集包括威胁特定保护对象的广泛的攻击事故及缺陷在内的保安信息，并存储原始数据；信息加工/分析部，其利用规定的分析算法，加工、分析收集到的保安信息，存储和管理分析结果；运营系统部，其进一步包括将加工/分析的保安信息传送到一个以上的保护对象系统或外部系统的信息共享/搜索/传送部、和利用规定格式将必要的保安信息输出的显示部；系统自身信息保护部，其用于保护自身信息；数据库部，其进一步包括存储缺陷信息的缺陷数据库、和存储原始保安信息及加工/分析过的信息的源/加工DB等；进一步包括用于与其他外部系统共享可靠信息的其他机构连动部。
所述信息收集/管理部包括缺陷目录收集部，所述缺陷目录收集部对于从国内外各个机构或系统硬件制作公司、操作系统(OS)制作公司正式认定为缺陷而提供项目进行收集/分类/加工。所述信息收集/管理部包括定期检查缺陷并收集所产生结果的缺陷结果收集部。所述信息收集/管理部包括信息保护资料收集部，所述信息保护资料收集部，对于包括黑客入侵事件的信息和应对方法，利用网页机器人、搜索引擎等自动收集工具收集并存储CERT/ISAC、大学、研究所、政府机构所发表的信息保护资料或参考文献。所述信息收集/管理部包括病毒信息收集部，其利用包括病毒警报系统，代理，搜索引擎等的自动收集工具，收集并存储计算机病毒/蠕虫等的相关信息。所述信息收集/管理部包括攻击事故报告收集部，其利用电话、传真、邮件、Web等通信工具接收攻击事故报告，并接收/存储攻击事故信息。所述信息收集/管理部包括系统资产信息收集部，其收集与综合攻击事故应对系统相关的系统、网络设备的系统信息及与其重要度即资产价值相关的资产信息后，进行正规化存储。所述信息收集/管理部包括信息保护相关事件收集部，其实时性地收集/存储从包含在综合攻击事故应对系统内的作为统合管理对象的侵入切断系统F/W、侵入监测系统IDS、政策管理系统、电脑防御系统、PC信息保护系统、反追踪系统、认证系统、网络设备、虚拟网络VPN等中的一个以上的信息保护相关产品中产生的信息保护相关事故。
所述信息加工/分析部包括数据件框架部，其为进行分类搜索并加工，对于由信息收集/管理部收集的各种保安信息正规化后，建立为数据库；分析部，对于存储在数据件框架部建立的数据库当中的信息，适用数据挖掘或者知识基础的分析算法，管理包括攻击事故及缺陷、主要资产信息之间的相互关系、可识别的模式、为了预防事故/缺陷的分类方法在内的分析算法，并根据分析算法进行分析。
运营系统部则是一种综合状况室(CyberWarrom)，由管理经过加工/分析的保安信息并把信息传送到保护对象系统或外部系统的信息共享/搜索/传送部，根据规定形式输出所需的保安信息的显示部组成之外，给攻击事故评等级的攻击评价部和发现新的攻击事故时在相同条件下重新进行模拟攻击结果的测试控制台(Test-Bed)可以任意追加一个。
上述运营系统部，可以根据测试控制台或是攻击评价部的结果，追加向保护对象系统或外部系统传送攻击事故警报的早期预/警报部(或是预/警报系统Early Warning System)。
进一步包括资产评价/恢复时间计算部，其对包括所述保护对象系统的系统构成要素的重要度或资产价值进行评价，以评价的系统重要度为基础，在发生攻击事故时预测攻击程度和恢复时间。
也可进一步包括网上自动教育/培训部，其从在所述测试平台模拟进行的攻击事故结果信息，算出教育信息后存储和管理，并传送到需要教育的外部终端进行培训。
所述系统自身信息保护部用于保护所述综合攻击事故应对系统自身信息的构成要素，其包括物理信息保护部，其包含卡认证、密码钥匙、还有虹膜识别、指纹识别、掌纹识别、重量识别系统等双重人体识别器中一个以上；网络/系统/文件信息保护部，其包含认证系统、侵入切断系统、防病毒系统、反追踪系统、水印等中一个以上。
其他机构连动部则包括具有与外部系统相互交换信息的管理功能的系统信息管理部和为了安全向外部系统传送数据而具有加密、接入控制、协议转换功能的接口部。
以上所有系统组成要素都可以通过相适应的硬件和软件进行体现，并可以使所有过程实现自动化。


图1是一般金融信用信息流通的因特网会员信息及采购系统的结构说明方框图，图2是原来的企业统合信息保护管理系统(ESM)的结构说明方框图，图3是根据本发明的实例简单体现综合攻击事故应对系统整体结构的方框图，图4是体现本发明即综合攻击事故应对系统的工作原理的图，图5是本发明中信息收集/管理部的结构说明图，图6是构成信息收集/管理部的系统缺陷目录收集部、信息保护资料收集部及病毒信息收集部的功能说明图，图7是构成信息收集/管理部的系统缺陷检验结果收集部的功能说明图，图8是体现系统缺陷目录收集部，信息保护资料收集部及病毒信息收集部通过网页机器人等手段自动收集系统缺陷的方框图，图9是构成信息收集/管理部的攻击事故报告收集部的功能说明图，图10是收集系统资产信息的资产信息收集部的功能说明方框图，图11是构成信息收集/管理部的信息保护关联事件收集部的功能说明方框图，图12是本发明即综合攻击事故应对系统中的信息加工/分析部的结构说明方框图，图13是信息加工/分析部中数据件框架构筑过程的说明方框图，图14及图15是运营系统中的信息共享/搜索/传送部功能图示，图14说明分布管理功能，图15说明信息的搜索/传送功能，图16是综合攻击事故应对系统为了实现自我保护而具备的系统自身信息保护部的结构图，
图17是综合攻击事故应对系统为了与外部系统实现信息共享而具备的其他机构连动部的说明方框图，图18是用于本发明的系统缺陷DB(6100)的结构图，图19是利用本发明实现信息保护及警报机制的说明方框图，图20是本发明中攻击评价部的功能说明图，图21是本发明中的数据库当中，关于电脑法律性数据库的构筑方法的说明图，图22是体现本发明中所用的资产评价和恢复时间计算方式的方框图，图23是根据本发明系统进行构筑的黑名单目录数据库及履历记录管理方式的说明方框图。
图中，110-用户电脑，120-因特网，122-ISP，124-路由器，126-交换用集线器，130-WAP网关，140-WAP服务器，150-WEB服务器，160-邮件服务器，170-信息共享服务器，180-数据库服务器，210-企业统合信息保护管理系统(ESM)，1000-信息收集/管理部，2000-信息加工/分析部，2100-数据件框架部，2200-信息分析部，3000-运营系统部，3100-信息共享/搜索/传送部，3200-攻击评价部，3300-测试平台(Test-Bed)，3400-早期预/警报部，3500-资产评价/恢复时间计算部，4000-系统自身信息保护部，5000-其他机构连动部，6000-数据库。
具体实施例方式
本发明中所说的“保安信息(Security Information)”要广泛理解为与需要保护的信息相关的所有保护信息，即“信息保护信息(Informationrequired for protecting specific information to be protected)”。“保安信息”和“信息保护信息”、以及“保安”和“信息保护”应是相同的概念。
以下部分参考附加的图，对本发明的实施案例进行详细说明。看图的时候，注意参照符号，就算在不同的图上，同样的部分参照符号也尽量使用了同一个。另外如果说明本发明的过程当中，关于哪一项结构或是功能的具体说明会影响到本发明的主题，则将会略掉具体说明。
图3是根据本发明简单体现综合攻击事故应对系统的整体结构的方框图。
根据本发明构筑的综合攻击事故应对系统如图所示，由以下部分构成。即包括利用电话、传真、邮件、网页等通信网接收关于需要保护的电脑系统、网络、应用程序、网络服务的攻击事故保安信息并储存原始数据的信息收集/管理部(1000)；利用基础知识的分析算法，加工分析收集的保安信息并存储分析结果的信息加工/分析部(2000)；包括按等级分类/管理经过加工/分析的保安信息并把它向一个以上的保护对象系统或外部系统传送的信息共享/搜索/传送部(3100)、以及按规定形式输出所需保安信息的显示部(Wallscreen或大量的显示器组)的、运营系统部(3000)；包括保护系统内部信息的系统自身信息保护部(4000)和储存系统缺陷信息的缺陷数据库(6100)和储存原始保安信息及加工分析信息的源/加工数据库(6200)的、数据库(6000)；与外部系统实现可靠的信息共享关系的其他机构连动部(5000)。这样就能由此构成。
如图5所示，上述信息收集管理部包括直接从国内外各机构或系统硬件制造商、操作系统制造商处收集/分类/加工经过认证的缺陷信息的系统缺陷目录收集部(1100)，周期性检验缺陷并收集结果检验(扫描)的缺陷检验(扫描)结果收集部(1200)，利用搜索引擎、网络网页机器人等收集工具收集并储存各大学、研究所、政府机构关于黑客信息和解决办法方面的研究资料或参考文献的信息保护资料收集部(1300)，利用病毒警报系统，代理、搜索引擎等自动化收集工具收集储存与电脑病毒有关的信息的病毒信息收集部(1400)，利用电话、传真、邮件、网页等通信手段接收攻击事故报告并把信息储存在事故接收数据库(6300)中的攻击事故报告收集部(1500)，收集与综合攻击事故应对系统相关的各系统和网络设备的系统信息和关于其价值(资产价值)的资产信息后进行定型化储存的系统资产信息收集部(1600)，实时收集并储存属于综合攻击事故应对系统中的统合管理对象即侵入切断系统(F/W)、探测侵入系统(IDS)、政策管理系统、电脑防火墙系统、个人电脑信息保护系统、反追踪系统、认证系统、网络设施、虚拟网(VPN)等信息保护相关产品中一个以上的产品所发生的相关事件的、信息保护相关事件收集部(1700)等。但是也不仅限于此。
关于信息收集/管理部的各组成部分的功能，将参考图5至11进行详细说明。
信息加工/分析部(2000)包括以下部分组成把信息收集/管理部(1000)收集的各种保安信息分门别类整理即正规化使之成为可以搜索并加工的数据库的数据件框架部(Dataware Housing Part；图12的2100)；和使用数据采集或知识基础的分析算法对在数据件框架部(2100)构筑的数据库中储存的信息进行分析时适用攻击事故及缺陷、与主要资产信息的关系、可识别的模式、用于预防攻击事故/缺陷的分类方法等分析算法进行分析的信息分析部(2200)。
信息分析部(2200)还可以追加对于分析变种蠕虫、病毒的传播路径、主要分布时间，主要攻击者，分类为重要资产的对象系统信息，攻击种类，可识别的模式信息，与危险度相对应的措施、事先设好的感应器位置等，进行搜索并自动分析等功能。
对于这种数据件框架部和信息分析部将参考图12及图13详细说明。
运营系统部(3000)基本由管理经过加工/分析的保安信息并把信息传送到保护对象系统或外部系统的信息共享/搜索/传送部(3100)、以及根据规定形式输出所需的保安信息的显示部(Wallscreen或大量的显示器组)组成之外，可以从给攻击事故评等级的攻击评价部(3200)和/或发现新的攻击事故时在相同条件下重新进行模拟攻击结果的测试控制台(Test-Bed；3300)中任意追加一个以上。另外，运营系统部还可以追加根据测试控制台或是攻击评价部的结果，向保护对象系统或外部系统传送将来有可能发生的攻击事故的警报的早期预/警报部(或预/警报系统EarlyWarning System；3400)和/或评价保护对象系统的价值及资产价值并且以此为依据预测攻击事故发生时的损失程度和恢复时间的资产评价/恢复时间计算部(3500)。对于这种攻击评价部和资产评价/恢复时间计算部，将参考图20及图22进行详细说明。
攻击评价部将与信息加工分析部进行互动，评价攻击事故报告收集部接收的网络恐怖事件的内容，按以往的攻击手法及次数对攻击进行分类，并给出能预测的脚本供测试控制台模拟出攻击结果。另外，还具有按攻击手法及次数统计出评价等级高的IP黑名单，对它进行对应现况管理(参考图23)，攻击事故发生时自动生成电脑法律性数据库(参考图21)的功能。
早期预/警报部(3400)可再分为预报系统和警报系统。预报系统将参照缺陷分析后进行数据库化的攻击事故信息和系统缺陷目录，按事先定义的重要等级完成攻击行为的实时分析、重要数据包收集分析、预/警报的发出及传送等功能。警报系统将完成重要通信量变动追踪、事先定义的攻击威胁增加趋势分析、攻击信息的综合、选择实时对应措施阶段/警报方法、攻击事故及警报履历管理等。
运营系统中的显示部(Wallscreen或大量显示器组)将会显示分析与综合攻击事故应对系统相关的各机构、地点、会员后数据库化的缺陷目录，实时分析的重要攻击信息，收集/分析的重要数据包信息，预/警报发出及传送信息，重要通信量，威胁、攻击信息的综合结果、决定实时对应阶段/警报信息，攻击事故及警报履历管理信息，像变种(蠕虫)病毒传播路径、时间信息、攻击者信息、对象信息，种类，模式信息，危险程度信息，感应器位置信息等网络恐怖主义或黑客/病毒或蠕虫的传播现况信息及对应水平信息。另外，可输出攻击事故报告内容、攻击事故处理结果、预/警报发出信息等。有关机构系统的显示部可输出未处理攻击事故报告接收现况和最新缺陷目录，预/警报现况(预/警报发出日期，缺陷名，状态，表示处理完毕状态)等，还可在有关机构系统的攻击事故接收窗口显示攻击事故报告内容和接收报告主机的信息保护履历(History)(即解决的缺陷和未解决的缺陷及攻击事故履历记录)。
另外综合攻击事故应对系统的运营系统部完成系统缺陷分析评价功能显示结果时，应适当互换常用/公开扫描结果值并与数据库中储存的内容互相进行比较/分析。还要能按重要程度和优先顺序显示特定ESM系统的探测侵入系统(IDS)登陆信息，找出相关系统主机或其他应用程序主机的过去/现在的攻击事故报告接收履历记录并显示。
运营系统部要管理所有机构或是有关机构主机的攻击事故履历记录并要储存为文件，供以后制作内部或外部报告时使用。另外缺陷预/警报相关窗口应该能看到最新缺陷内容和有关机构主机及运营体系等名单，从而能按主机类型比较管理相关缺陷、攻击事故履历记录、扫描结果等。
ESM是企业统合信息保护管理系统，是大企业、银行、保险公司、通信公司等一般保有电子电脑系统或中心的机构/企业统合管理信息保护产品(Firewall，IDS，Virus等) 的系统。它主要功能就像大扫把一样，把所有的主要信息保护产品集合到一处。
本发明所提的信息收集/管理部，信息加工/分析部及运营系统则给这种ESM赋予了更多功能并进行自动化，从而取代了它。除了已有的ESM功能之外，还具备了对攻击事故的早期预/警报，攻击事故评价，生成电脑法律性数据库，威胁管理，机构/公司/组织之间通过可靠信息共享网络实现防黑客信息共享等功能。
运营系统的组成部分测试控制台(3300)则可以让用户远程模拟黑客攻击或网络恐怖袭击，追加测试/评价最新信息保护产品及服务的功能。
另外虽然没有图示，运营系统还能追加储存管理测试控制台模拟的攻击事故结果当中得出的教育信息，并把信息传送到需要教育的外部终端进行教育的在线自动教育/培训部。
系统自身信息保护部是为了保护根据本发明构筑的综合攻击事故应对系统自身的信息而存在的，由包括卡认证、密码钥匙、还有虹膜识别、指纹识别、掌纹识别、重量识别系统等人体识别器中一个以上组成的物理信息保护部(图16的4100)和运用认证系统、侵入切断系统、切断侵入系统、反追踪系统、水印等的网络/系统/文件信息保护部(图16的4200)组成。
其他机构连动部(5000)完成与外部系统进行交换的信息管理和为了实现安全通信而对交换信息按标准加密正规化进行加工/分析/统计等功能。按各机构的用户等级实行接入控制，是与外部系统安全共享必要信息所必需的结构因素。
数据库(6000)可以包括把各种体现根据本发明的综合供给事故的应对方法的信息按各种类别储存的多个下属数据库。例如储存相关各系统缺陷目录和缺陷检验目录的系统缺陷数据库(6100；参考图18)，储存原始/加工的保安信息数据的源/加工数据库(6200)，通过攻击事故报告收集部储存攻击事故信息的事故接收数据库(6300)，鉴别缺陷目录及攻击事故信息中常见的保安信息并储存的黑名单目录数据库(6400；参考图23)，鉴别出攻击事故或缺陷目录中对相关者的早期预/警报有用的保安信息并加以储存的警报数据库(6500)，储存相关系统和用户身份信息的分布数据库(6600)，储存过去发生的攻击事故和系统缺陷及其处理方法和各种登陆文件的事故履历数据库(6700)，提取攻击事故或系统缺陷中成为攻击点的事件和相关信息后予以储存的电脑法律性数据库(6800；参考图21)等，而且不止是这些。另外，这些下属数据库可以根据需要，两个以上就可以构成一个数据库。
缺陷数据库(6100)除了缺陷目录及缺陷检验目录之外，还可以按重要程度及受众程度追加储存研究所、CERT、硬件、OS制造商提供的补丁及公告(Advisory)，攻击及防御基本方法，各种工具(实用程序)等(参考图18)。
储存原始及加工保安信息数据的源/加工数据库(6200)可再分为原始数据库(或源数据库)和加工数据库。原始数据库要储存在电子计算机室的服务器当中并与因特网隔离，当中有各机构/公司的实际攻击事故损失情况、恢复方法及对策、黑客闯入路径记录、损失程度、履历记录等保安信息原始数据。原始数据要经过政府机构/言论/各系统/公司时，为了避免由此产生的被攻击风险要把所有信息经过匿名变换成加工数据，加工数据库则是储存加工数据的数据库。
事故接收数据库(6300)储存的具体数据可以是攻击事故的发生时间、出发IP、路径IP、攻击目标IP及系统信息、报告者/接收者信息、损失程度、相关登陆的备份信息等，但也不是仅限于此。
黑名单目录数据库(6400；参考图23)是用缺陷目录和攻击事故信息中同样的攻击手法、相似的类型、一定时间一定次数的反复、同一国家、同一ISP、攻击目标Port的一致等标准分析后，考虑到重要资产的先后顺序、主要攻击手法及损失等，然后鉴别与高等级的攻击事故或系统缺陷有关的信息加以储存的数据库。
预/警报数据库(6500)按重要资产类别、时间类别、出警等级类别、措施及恢复信息、先后顺序向全国性系统或相关分公司、所属公司的系统、网络、信息保护相关人完成早期预/警报功能，并只选择与此相关的保安信息加以储存。
分布数据库(6600)储存登记为全国性或全公司性保护对象的相关系统的导入信息、硬件、OS、各种恢复履历记录、维护保养信息、以往攻击事故及服务中断履历记录、关于运营系统及网络相关设备的用户和密码管理员的各种信息等。
发生严重攻击事故时，攻击事故事故履历数据库(6700)会与黑名单目录数据库、警报数据库、实际源/加工数据库比较以往各种攻击事故和缺陷及其对策，从而整理出综合的履历记录比较结果加以储存，结果按邮件自动发送并被用于制作攻击事故对应报告。
电脑法律性数据库(6800；参考图21)与黑名单目录数据库及早期预/警报系统形成联系，从预想的重大攻击事故、实际攻击者及IP相关记录中寻找犯罪证据信息并加以储存，以备日后遭到攻击受到经济损失时当作提出民事诉讼的有关法律依据。
其他构成本发明即综合攻击事故应对系统的部分的具体功能和结构将以图5至图23为参考进行详细说明。
图4是图示本发明即综合攻击事故应对系统的工作原理。
根据本发明的攻击事故对应方式大体上可分为保安信息的收集(信息收集)，保安信息的测试/分析及攻击评价，预/警报及信息共享(各系统连动)阶段。
信息收集阶段，利用Web网页机器人等搜索引擎从国内/海外信息保护主页上收集并活用信息保护动向、论文、报告、恢复及升级程序等，与ESM之间共享主要攻击者黑名单(攻击手法，类型，次数，国家，ISP，Port等)，与国内/海外CERT，ISAC合作对抗攻击事故(接收/支持黑客入侵事件，共享/传送最新防黑客技术)，与病毒防火墙企业实现病毒预/警报功能(最新病毒，蠕虫信息，防火墙升级及恢复)，与主要ISP共享网络通信量信息(通信量异常信息，有害通信量分析信息等)，与控制对象信息保护产品共享Log分析/变换信息(IDS，Firewall登录信息，主要攻击类型信息等)。
通过多种渠道收集信息后，在测试平台分析或利用规定的分析算法进行分析后，储存/管理此数据。这个过程由构成综合攻击事故应对系统的信息加工/分析部，运营系统完成，大体上分为威胁分析，测试，攻击评价，警报及攻击事故分析/对应等过程。
测试/分析/攻击评价阶段将完成缺陷分析后数据库化、实时分析重要攻击，收集分析重要数据包、预/警报的发出及传送等攻击评价，重要通信量、威胁、攻击信息的综合、决定实时阶段/警报、攻击事故及警报履历记录管理等早期警报准备过程和变种蠕虫、病毒传播路径分析、时间、攻击者、对象、种类、模式、危险程度、感应器位置的搜索及提供分析环境等分析过程。另外本发明中运营系统的显示部会实时分屏显示威胁分析，攻击评价，预/警报(用事先准备好的安全传播路径SMS(UMS)，MSN，Secure E-mail等)，攻击事故分析及对策等。信息分析时，如有必要(例如发生新的攻击事故)，可以通过测试平台(TEST-BED)并行运营可预测分析大型攻击事故，服务中断及网络瘫痪状况下的模拟环境，完成预测攻击损失/恢复时间等业务。
然后利用早期预/警报部向一般用户，控制人员，CERT相关人员，系统管理者等相关人员的终端传送预/警报信号。(警报阶段)其他机构连动部(5000)通过可靠信息共享网络(Trusted InformationSharing Network)使本发明即综合攻击事故应对系统和个人或民间的IT基础设施(Information Technology Infrastructure)，公司的主要电子计算机设施，信息通信基本法规定的主要信息共享及分析中心(ISACInformationSharing&Analysis Center)，大规模控制中心，主要政府/公共机构的系统，通信业者，ISP等连动机构/公司/组织实现必要的攻击事故及系统缺陷信息的共享。这时，这种信息共享过程会显示在运营系统的显示部(Wallscreen或大量显示器组)，以此为基础向用户，控制人员，主要ISAC，CERT要员，系统(网管)发出预/警报。
可靠信息共享网络(Trusted Information Sharing Network)及计算机网络状况室(CyberWarroom)的相关系统会按加密标准正规化加工分析与自己相连的所有ESM，CERT/ISAC，病毒防火墙厂商，ISP，相关机构/公司及与信息收集渠道相连的控制对象信息保护产品的登录并做出统计，然后自动分类收集的数据并进行管理，从而向各参与机构/公司/中心提供通过加密的文件/图像/多媒体通信方式安全共享所需保安信息的系统环境。
图5图示本发明中信息收集/管理部的详细结构。
信息收集/管理部完成通过所有通信网络收集与系统信息保护相关的信息的功能，如前所述由直接从国内外各机构或系统硬件制造商、操作系统制造商处收集/分类/加工经过认证的缺陷信息的系统缺陷目录收集部(1100)，周期性检验缺陷并收集结果(扫描检验)的缺陷检验结果收集部(1200)，利用搜索引擎、网络网页机器人等收集工具收集并储存各大学、研究所、政府机构关于黑客信息和解决办法方面的研究资料或参考文献的信息保护资料收集部(1300)，利用代理、搜索引擎等自动化收集工具收集储存与电脑病毒有关的信息的病毒信息收集部(1400)，利用电话、传真、邮件、网页等通信手段接收攻击事故报告并把信息储存在事故接收数据库(6300)中的攻击事故报告收集部(1500)，收集与综合攻击事故应对系统相关的各系统和网络设备的系统信息和关于其价值(资产价值)的资产信息后进行储存的系统资产信息收集部(1600)，实时收集并储存属于综合攻击事故应对系统中的统合管理对象即侵入切断系统(F/W)、探测侵入系统(IDS)、政策管理系统、病毒防火墙系统、电脑信息保护系统、反追踪系统、认证系统、网络设施、虚拟网(VPN)等信息保护相关产品中一个以上的产品发生的信息保护相关事件信息保护相关事件收集部(1700)等而组成。
本实施例当中个别体现了所有结构因素，但需要的时候可以统合一个以上的结构因素体现。
图6是说明构成信息收集/管理部的缺陷目录收集部、信息保护资料收集部、病毒信息收集部的功能的图。
系统缺陷目录收集部(1100)通过数据库管理器完成分类加工并录入从国内外各机构或系统硬件制造商、操作系统制造商处收集/分类/加工经过认证的缺陷信息的功能。录入方式可以是通过web进行的自动录入，也可以是通过规定的其他通信网络或管理者亲自录入的方式。
说明的更详细一点是从硬件制造商那里收集与硬件相关的一般信息及恢复信息，从操作系统制造商那里收集操作系统(Operating System；OS)的版本信息、恢复信息、缺陷(问题，措施方法)，对策等信息，从应用软件制造商那里收集应用程序的版本信息、恢复信息、缺陷/对策信息等。这些收集的缺陷信息储存在缺陷数据库，并进行管理。
信息保护资料收集部(1300)利用搜索引擎、网络网页机器人等收集工具收集并储存各大学、研究所、政府机构关于黑客信息和解决办法(例如CVE/CAN信息，Bugtrack信息等)方面的研究资料或参考文献。病毒信息收集部(1400)同样利用病毒警报系统、代理、搜索引擎等自动化收集工具收集储存与电脑病毒、蠕虫有关的信息。
图7是说明构成信息收集/管理部的缺陷检验结果收集部功能的图。
缺陷检验结果收集部(1200)具有周期性检验网络或相关系统的缺陷并收集的功能。主要利用网络扫描、系统主机扫描、分散扫描、病毒扫描等功能按使用管理者设定的时间周期性检验或需要时实时收集检验结果。收集的缺陷检验结果数据储存在缺陷数据库。
“缺陷”指的是控制电脑数据库，OS，网络设备的软件自身具有的黑客入侵漏洞或软件缺陷。一般通过国内外众多信息保护公司，IBM、MS、HP等系统相关公司系统，国内外CERT或ISAC每天发现或提供的资料，自身系统的扫描等措施发现，通常平均每天约发现10-100多件。
图8是体现系统缺陷目录收集部，信息保护资料收集部，病毒信息收集部利用Web网页机器人自动收集系统缺陷过程的方框图。
缺陷目录收集部，信息保护资料收集部或病毒信息收集部使用Web机器人等自动化收集工具设置相关主页，FTP，TELNET，收费/免费网站会员加入及邮件组，通过参考文献等资料周期性收集系统缺陷信息(包括信息保护资料及病毒信息)并储存在缺陷数据库。而且还能以收集的数据为基础自动生成并发布报告，必要时机器人会提供带附件的报告文件，自动通过相关网页或链接网站收集信息，假如是英语、日语等外语网站，则会提供通过自动翻译网站用韩文或英文学习的功能。
图9是说明构成信息收集/管理部的攻击事故报告收集部功能的图。
攻击事故报告收集部具有从参与本发明即综合攻击事故应对系统的成员机构那里通过电话，传真，电子邮件，Web等通信手段直接接收关于黑客入侵，病毒，其他网络恐怖袭击的攻击事故报告的功能。
这样接收的攻击事故信息储存于事故接收数据库作为基础资料，用于按规定的攻击与否判断规则评价攻击事故的攻击性(攻击评价部)，属于新的攻击事故时利用测试平台进行模拟(测试平台)，计算攻击事故的损失程度和恢复时间(资产评价/恢复时间计算部)。
图10是说明收集系统资产信息的资产信息收集部功能的方框图。
资产信息收集部的主要功能是收集所要保护的系统主要资产信息，其对象包括参与机构的主要系统，网络设备等。它自动化并收集评价对象的信息及其资产的重要的(资产价值)等，并正规化(Normalization)后存储到分布数据库等特定数据库当中。这些资料将被利用到日后的攻击评价和受害程度及恢复时间的计算等。
图11是说明信息收集/管理部的具体组成部分即信息保护相关事件收集部功能的方框图。
信息保护相关事件收集部起着实时收集在侵入切断系统(Firewall；F/W)，侵入监测系统(IDS)，虚拟网络(VPN)，病毒系统，PC信息保护系统，反追踪系统，认证系统(PKI基础)，网络设备当中发生的保安信息中与信息保护相关保安信息并存储的功能。
信息保护相关事件收集部所针对的设备不仅包括以上列出来的几个，也可能会包括其他信息保护装置。所收集的信息保护相关保安信息经过特定的过滤后存储到数据库(6000)当中。
图12是说明用于根据本发明的综合攻击事故应对系统的信息加工/分析部具体构成的方框图。
信息加工/分析部(2000)可以由有效构筑信息收集/管理部收集的大容量保安信息的数据件框架部(2100)和数据采集或利用分析算法分析保安信息的信息分析部(2200)构成。
成为分析对象的保安信息包括前面所提到的缺陷信息(包括缺陷检查结果)，病毒信息，信息保护相关事件，攻击事故报告信息等全部，而分析部加工/分析过的数据将存储到源/加工DB并进行管理。
图13是表示信息加工/分析部的数据件框架建立过程的方框图。
对于收集到的大容量信息进行数据库化处理的数据件框架部是可对收集到的各种类型的资料进行分类搜索及加工等正规化处理来构筑数据库的过程。
具体过程是首先输入保安信息后(S2110)根据数据类型将数据分类(S2120)。之后判断相应数据是否需要概括/加工(S2130)后，根据需要按照搜索类型概括或(S2150)添加数据字符(S2140)从而生成数据库(S2160)。
虽然没有图示说明，但信息分析部(2200)与图13同样，起着管理并分析数据库当中的各种攻击事故及缺陷，还有图10收集的主要资产信息之间的相互关系，可识别的模式，预防这些的分类方法等各种分析算法(包括在算法DB添加，更改，删除)的功能。
当然，针对新发现的缺陷信息或攻击事故，首先通过在同一环境下的分析测试，了解其重要程度及特征后，根据重要程度及特征存储到缺陷DB，源/加工DB，攻击事故DB等。
图14及图15是说明包括在操作系统当中的信息共享/搜索/传送部的功能，图14说明分布管理功能，图15根据实现预/警报系统的分析结果说明信息的搜索/传送功能。
操作系统不仅对所共享信息进行类型或等级分类，而且也对用户/机构进行等级分类，并且基于参与机构用户的信息履行信息等级访问权限限制(分布管理功能)。而且，为了进行用户认证，在需要时可以进一步包括提供用户的公认认证书信息的部分。
这种信息加工/分析部的分布管理功能以处理针对控制对象信息保护系统，主要服务器，PC，网络设备的各种OS版本，维护保养，攻击情况，Patch与否，IDS情况等攻击事故的最基本的因素为信息对象，并且这些分布信息将由分布数据库(6600)或源/加工DB(6200)存储管理。
图15说明共享信息的搜索/传送功能。它利用各种可能采用的传送手段和媒体，在图14当中接受用户的搜索请求，利用有/无线传输媒体(电话，FAX，Mail，短信息等)和Web，将要求的信息根据相应用户的分类等级和搜索信息的等级提供给相应用户。
图16表示以根据本发明而构筑的综合攻击事故应对系统的自身保护为目的的系统自身信息保护部的具体构成。
根据本发明而构筑的综合攻击事故应对系统本身就是一个非常重要的系统，因此需要针对与外部连接时的保安或系统/网络事故的解决方法。为了解决以上问题，利用如图16这样的系统自身信息保护部。
自身信息保护部包括以构筑的综合攻击事故应对系统的物理性信息保护为目的的物理性信息保护手段和以系统/网络保护为目的的网络机系统保护手段。物理性信息保护手段可能是卡认证方式，密码钥匙认证方式，指纹/虹膜等人体认证方式，CCTV等，但也不是仅限于此的，也可能包括所有可能体现的物理性信息保护手段。网络机系统保护手段包括基于公认的认证书的认证系统，侵入切断系统(防火墙)，监测入侵系统(IDS)，包括事故源反追踪系统的网络信息保护部(针对外部网络入侵的信息保护手段)和所制作邮件或文件的水印加密系统，基于PKI的关键信息安全手段等文件信息保护部(针对内部资料入侵的信息保护手段)和服务器信息保护，操作体系信息保护(Secure OS)等系统信息保护部(针对内外部系统入侵的信息保护手段)。这种物理性信息保护手段和网络及系统保护手段利用本身的技术，很容易实现，因此省略详细说明。
图17是说明根据本发明的综合攻击事故应对系统具备的，与其他外部系统之间的信息共享为目的的其他机构连动部的方框图。
其他机构连动部(5000)是为了与外部的其他CERT系统，信息共享/分析系统(ISAC)，警察电脑犯罪/电脑恐怖系统，重要基础组织保护的综合保安控制系统(ESM)等相关系统互连共享所需信息而设置。它由提供所需交换概括信息的具备互连功能的机构/用户信息管理部及信息交换管理部和具备与各系统进行数据发送/接受时协议变更功能的接口部组成。
这种其他机构连动部的功能是，首先分类管理所需共享或交换的信息，并管理互连的各系统信息，在产生需要交换的信息时将相应信息的协议更换成相应的其他机构接口相吻合的形式，并按照接收控制及用户等级分类后传送到各系统。
图18说明本发明当中的缺陷DB(6100)的具体组成。
本发明当中的系统使用的数据库(6000)中缺陷DB，是用于存储系统区分缺陷以及应对方法的数据，其中，所述缺陷以及应对方法，是黑客或病毒，蠕虫制作者使用所有电脑或数据库、操作体系(OS)、网络设备的软件，从外部或内部发出攻击从而非法连接的缺陷及应对方法。新发现的所有缺陷信息在同一环境下的测试平台经过试验后按照其重要性及特征存储到缺陷DB当中。这些缺陷DB可分为一般信息字符，原始数据字符，数据字符，Patch数据字符，Tool数据字符，Advisory数据字符，Attack数据字符及Defense字符等存储，但不是仅限于此。
另外，没有图示说明的源/加工DB(6200)是由存储会员及加入机构详细信息的源DB和整理并加工攻击情况的加工DB组成。
图19是表示利用基于本发明而建立的系统的信息保护及警报装置方框图。
信息保护产品，例如了解监测入侵系统(IDS)的事件中的危险度，目的地(Destination)IP，特定源(Source)IP，特定端口等，并将相应的事件分为黑客名单(Black List)DB，IDS攻击事故履历的履历(History)DB等进行存储，利用各个DB输出的数据以攻击评价算法评价共计程度后构筑根据以上数据的事先预/警报(Alter)DB。
而且进行对侵入切断系统(Firewall)，病毒防火墙服务器，虚拟网络(VPN)等信息保护产品发出的各种信息保护相关数据的综合处理和对攻击的评价，也可发出警报。并且也可以通过测试平台对主要部分发生的或预测预计发生的攻击方法进行模拟，分析数据后，了解同样类型的共计次数，同样IP级攻击时间段等存储并管理。另外，可以基于以上述方法存储的数据生成参考性的教育/培训数据，也可以只输出可以使用为法律证据的信息，建立电脑法律性数据库。
图20表示基于本发明的攻击评价部的功能。
包括在操作系统当中的“攻击评价部”分析存储从监测入侵系统得到的代表性数据的入侵模式数据库和缺陷DB及国际DB(CVE)等外部DB发出的信息，将各个攻击事故及缺陷攻击类型，攻击方法，攻击阶段即预测的受害结果分为网络泄露，系统泄露，特定系统，服务受阻，网络服务受阻，特定服务受阻，取得管理者(Root)权限，伪造/变更数据流失，其他等各种类型。其次，将攻击事故或缺陷按照时间重新分为入侵准备阶段，攻击阶段，事后阶段等，算出攻击程度(阶段)后，按照源(Source)IP，因特网服务提供商(ISP)，国家，攻击方法，时间段等分类存储。而且按照攻击类型设定等级，了解攻击的重复性或地区性，在划分为黑名单目录的攻击区内的攻击认知与否等，并将此数据存储到事故履历DB，需要警报时存储到相应的数据警报DB当中。操作系统的事先预/警报部根据这些信息发出阶段性警报。
图21是说明基于本发明的数据库中电脑法律性数据库的构筑方法的图。
正规化与图19相同的信息保护(警报)机制使用的各个DB的输出数据，按照相同方法，相同IP，国家，次数，攻击手段等分类后，将特定的具有法律性质的攻击事故判断规则适用到各个攻击事故或缺陷信息。适用此规则后判断可能成为违法性问题的(及可视为犯罪对象的)事件(攻击事故或缺陷)，将与此事件相关的信息存储到数据库，这就是电脑法律性数据库。
电脑法律性数据库在系统发生重大危机或系统崩溃等极大的损失时可为采取法律措施提供依据性资料。发生攻击事故时，可根据电脑法律性数据库提供证据，提出民事/刑事裁决上的依据。即电脑法律性数据库是进行在判决为存在法律问题的攻击事故或有这种嫌疑的信息的证据确认及管理，其具体数据可能会有攻击事故发生时间，发现者姓名，攻击事故导致的受害结果，预计的受害结果等。其侵入切断系统(Firewall)或监测入侵系统(IDS System)的登陆文件或邮件中附带的病毒文件等可作为具体证据一起存储。
另外，这种电脑法律性数据库追加具备基于分布数据库，根据主分类，主名称，主位置的危险泄露等级程度存储及管理主资产价值，主要用途，主要代表IP地址，使用的业务名称和Port号等的功能。而主要工作情况最好按照工作时间，工作人员姓名，工作种类(OS设置，OS Patch，业务设置/Patch，维护保养，确认障碍等)，管理系统部门名称，工作开始时间，工作结束时间等进行管理。
图22是表示本发明使用的资产评价和恢复时间计算方式的方框图。
平常，资产信息收集部履行收集系统相关所有资产信息并将重要度和数据价值等规定化后按照等级分类存储到分布数据库等的功能。基于这些资产信息，因重大的攻击事故或病毒感染，网络恐怖袭击等原因服务中断时，使其辨别恢复的优先顺序并自动计算恢复时间。
资产信息可整理为由各系统及其构成要素的用途，资产价值等构成的平台，资产评价/恢复时间计算部参照对于各资产的缺陷DB，攻击事故情况DB，分布数据库等，并预测恢复时间。恢复时间最好自动进行，但也可手动操作。并且，恢复时间参考备份中心或利用系统的恢复方法而决定，也可根据系统的重要性设置双重恢复。
图23是表示基于本发明系统的黑名单目录DB建立及情况管理方式的方框图。
黑名单目录DB是根据平时从监测入侵系统(IDS)等输出的情况数据，在发出警报时提供参考数据的数据库。它与计算机DB互连，基于规定化的攻击事故数据相同手段，相同IP，攻击国家，攻击次数，攻击手段等决定黑名单目录对象后存储及管理。这些黑名单目录所输出的与分布数据库互连，按照攻击事故方法种类，攻击程度，预计的受害结果根据各项目选择符合条件的保安信息，将其确定为黑名单目录对象。
操作系统利用综合情况管理中心管理所有事件相关的履历(History)，在攻击事故或缺陷发生时掌握其程度后决定应对方法(对应情况处理器)。为了这种情况的发生，最好整理并存储履历攻击的事件及缺陷相应的情况即对应情况(例不处理，注意事项，电话警告，发送公文，报告/投诉，邮件警报等)。再根据决定的应对方法用攻击事故或缺陷源传送特定的邮件(警报邮件，抗议邮件，促使注意的邮件等)后将其对应结果制作成报告书进行存储。
利用综合攻击事故应对系统的以上攻击事故应对方法是由1)信息收集/管理部通过特定的通信网络收集如同攻击事故及缺陷信息等保安信息的信息收集阶段；2)信息加工/分析部将收集的保安信息数据库化并利用特定算法分析的信息加工/分析阶段；3)管理可共享的加工/分析过的保安信息并在外部要求时搜索及提供信息的信息共享/搜索/传送阶段；4)攻击事故及缺陷信息中需要警报时将特定的事先警报信息发送到一个以上外部系统的警报阶段组成。并且也可以进一步包括利用特定的系统自身信息保护部履行综合攻击事故应对系统自身信息保护功能的阶段(自身信息保护阶段)和管理综合攻击事故应对系统产生的信息当中的、需要与其他机构共享的信息并传送到各系统的其他机构共享阶段。
并且，可以追加具备利用攻击评价部自动评价各个攻击事故及缺陷目录的攻击程度，根据其结果决定是否发出警报，是否进行电脑法律性数据库化、黑名单目录DB化与否等的攻击评价阶段。
另外，也可以追加具备在相同的系统环境下，针对新的攻击事故及缺陷目录模拟其结果并存储其结果的测试(模拟)阶段和自动计算并提供系统的资产评价和攻击事故发生时的恢复时间的资产评价/恢复时间计算阶段。
以上说明仅仅是说明了本发明的技术思路。在本发明所属的技术领域内，只要是具备了以上知识的人都可以在不超出本发明本质特点的前提下，做出多种修改及变化。
并且，本发明举出的例子都是起着说明的作用，绝不是为了限制本发明的技术思路，而且也不会根据这些例子限制本发明的技术思路范围。本发明的保护范围的解释为属于同样范围内的所有技术思路都包括在本发明的保护范围。
如同上述说明，根据本发明可以对于黑客，病毒，网络恐怖袭击等各种攻击事故进行自动化且系统性的应对。
由于可以自动收集/分类对系统造成威胁的广泛的威胁要素(缺陷性)，并按照各个组织类型以所需要的方式加工/分析及利用信息，因此能体现其系统的便捷性。
并且有效共享积累的保安信息(攻击事故对应，缺陷信息等)，并在需要时可以得到便捷的搜索/提供，而且可以通过各种攻击事故的攻击评价和事先警报将受害程度降低到最小，并通过履行对于各种攻击事故的攻击评价和测试(模拟)有效地对应攻击。
除此之外，利用电脑法律性数据库在需要法律管制的攻击事故发生时可能实现确保相关证据，并管理资产信息，自动计算因攻击事故的受害和恢复顺序及恢复时间，使事后管理更加容易。
而且，利用各系统连动功能，与外部相关机构稳定的共享有关攻击事故的信息，使对于攻击事故的全面性共同对应成为可能。
结果是，根据本发明可以自动化进行对计算机上发生的各种攻击事故或缺陷性的监测、分析及对应，节省另外操作专门组织的工作及费用，能提供减轻了对于信息收集及适用、技术确保、人力及组织运营等要素的相关问题的环境。
权利要求
1.一种电脑系统上的综合攻击事故应对系统，其特征是，包括信息收集/管理部，其通过包括电脑系统及网络，应用程序，因特网服务的全国或全公司性IT基础设施，收集包括威胁特定保护对象的广泛的攻击事故及缺陷在内的保安信息，并存储原始数据；信息加工/分析部，其利用规定的分析算法，加工、分析收集到的保安信息，存储和管理分析结果；运营系统部，其进一步包括将加工/分析的保安信息传送到一个以上的保护对象系统或外部系统的信息共享/搜索/传送部、和利用规定格式将必要的保安信息输出的显示部；系统自身信息保护部，其用于保护自身信息；数据库部，其进一步包括存储缺陷信息的缺陷数据库、和存储原始保安信息及加工/分析过的信息的源/加工DB等。
2.如权利要求1所述的电脑系统上的综合攻击事故应对系统，其特征是进一步包括用于与其他外部系统共享可靠信息的其他机构连动部，其中，所述其他外部系统可包括ISAC，CERT，ESM。
3.如权利要求1所述的电脑系统上的综合攻击事故应对系统，其特征是所述信息收集/管理部包括缺陷目录收集部，所述缺陷目录收集部对于从国内外各个机构或系统硬件制作公司、操作系统OS制作公司正式认定为缺陷而提供项目进行收集/分类/加工。
4.如权利要求1所述的电脑系统上的综合攻击事故应对系统，其特征是所述信息收集/管理部包括定期检查缺陷并收集所产生结果的缺陷结果收集部。
5.如权利要求1所述的电脑系统上的综合攻击事故应对系统，其特征是所述信息收集/管理部包括信息保护资料收集部，所述信息保护资料收集部，对于包括黑客入侵事件的信息和应对方法，利用网页机器人、搜索引擎等自动收集工具收集并存储CERT/ISAC、大学、研究所、政府机构所发表的信息保护资料或参考文献。
6.如权利要求1所述的电脑系统上的综合攻击事故应对系统，其特征是所述信息收集/管理部包括病毒信息收集部，其利用包括病毒警报系统，代理，搜索引擎等的自动收集工具，收集并存储计算机病毒/蠕虫等的相关信息。
7.如权利要求1所述的电脑系统上的综合攻击事故应对系统，其特征是所述信息收集/管理部包括攻击事故报告收集部，其利用电话、传真、邮件、Web等通信工具接收攻击事故报告，并接收/存储攻击事故信息。
8.如权利要求1所述的电脑系统上的综合攻击事故应对系统，其特征是所述信息收集/管理部包括系统资产信息收集部，其收集与综合攻击事故应对系统相关的系统、网络设备的系统信息及与其重要度即资产价值相关的资产信息后，进行正规化存储。
9.如权利要求1所述的电脑系统上的综合攻击事故应对系统，其特征是所述信息收集/管理部包括信息保护相关事件收集部，其实时性地收集/存储从包含在综合攻击事故应对系统内的作为统合管理对象的侵入切断系统F/W、侵入监测系统IDS、政策管理系统、电脑防御系统、PC信息保护系统、反追踪系统、认证系统、网络设备、虚拟网络VPN等中的一个以上的信息保护相关产品中产生的信息保护相关事故。
10.如权利要求1所述的电脑系统上的综合攻击事故应对系统，其特征是所述信息加工/分析部包括数据件框架部，其为进行分类搜索并加工，对于由信息收集/管理部收集的各种保安信息正规化后，建立为数据库；分析部，对于存储在数据件框架部建立的数据库当中的信息，适用数据挖掘或者知识基础的分析算法，管理包括攻击事故及缺陷、主要资产信息之间的相互关系、可识别的模式、为了预防事故/缺陷的分类方法在内的分析算法，并根据分析算法进行分析。
11.如权利要求10所述的电脑系统上的综合攻击事故应对系统，其特征是所述数据件框架部，在将输入的保安信息进行分类后，针对对应数据做出是否需要概括/加工等的判断，根据需要按照搜索类型进行概括或添加数据字段，建立数据库。
12.如权利要求1所述的电脑系统上的综合攻击事故应对系统，其特征是所述信息共享/搜索/传送部具备以下功能，即将需共享的信息按照类型或等级分类，并将信息共享者/机构也按照等级分类进而管理的分布管理功能；接收用户的搜索请求信号以后，找出所需信息传送给相应用户的功能。
13.如权利要求2所述的电脑系统上的综合攻击事故应对系统，其特征是进一步包括攻击评价部，其对包括黑客、网络恐怖的所述攻击事故评价其攻击内容，按照以往的攻击方法及次数等对攻击分类并构成可预测的情景，用事先定义的标准自动实施的规定的攻击评价功能，其中，所述攻击评价功能包括阶段性地分析缺陷后DB化、实时性分析重要攻击、收集分析重要数据包、发出预/警报及传送。
14.如权利要求13所述的电脑系统上的综合攻击事故应对系统，其特征是进一步包括测试平台，其察觉新发现的攻击事故或缺陷时，模拟在同样的系统条件下做出针对于攻击事故或缺陷结果的可能性预测情景，从而算出攻击强度和预测到的攻击及对应措施。
15.如权利要求14所述的电脑系统上的综合攻击事故应对系统，其特征是所述运营系统进一步包括早期预/警报部或预/警报系统，其根据所述测试平台及攻击评价部中一个以上的结果发出警报信号，向保护对象系统或外部系统传送与攻击事故或缺陷相关的警报信号。
16.如权利要求2所述的电脑系统上的综合攻击事故应对系统，其特征是进一步包括资产评价/恢复时间计算部，其对包括所述保护对象系统的系统构成要素的重要度或资产价值进行评价，以评价的系统重要度为基础，在发生攻击事故时预测攻击程度和恢复时间。
17.如权利要求14所述的电脑系统上的综合攻击事故应对系统，其特征是进一步包括网上自动教育/培训部，其从在所述测试平台模拟进行的攻击事故结果信息，算出教育信息后存储和管理，并传送到需要教育的外部终端进行培训。
18.如权利要求1所述的电脑系统上的综合攻击事故应对系统，其特征是所述系统自身信息保护部用于保护所述综合攻击事故应对系统自身信息的构成要素，其包括物理信息保护部，其包含卡认证部、密码钥匙认证部、人体识别系统认证部、CCTV中一个以上；网络/系统/文件信息保护部，其包含认证系统、侵入切断系统、防病毒系统、反追踪系统、水印等中一个以上。
19.如权利要求2所述的电脑系统上的综合攻击事故应对系统，其特征是所述其他机构连动部包括信息管理部，其为了管理与外部系统之间的要进行交换的信息、并为了进行与外部系统之间的数据发送及接收，利用加密的标准格式加工/分析/统计所述信息，分类/管理各系统用户等级，从而与外部系统信息安全共享必要信息；接口部，为了与外部系统实际地发送及接收数据，进行接入控制即根据用户等级的数据提供、及履行协议更换。
20.如权利要求3所述的电脑系统上的综合攻击事故应对系统，其特征是所述数据库包括以下所列当中的一个以上存储相关系统的缺陷目录及缺陷检查目录的缺陷DB(6100)；存储已收集到的保安信息的原始数据及加工数据的源/加工DB(6200)；存储通过攻击事故报告接收部输入的攻击事故信息的事故接收DB(6300)；选择及存储缺陷目录和攻击事故信息中周期性发生的事件的黑名单目录DB(6400)；在攻击事故或缺陷目录当中仅选择及存储需要为用户提供预/警报的事件的预/警报DB(6500)；存储有关相关系统和用户等履历信息的分布DB(6600)；存储以往发生过的各种攻击事故或缺陷及与这些针对的应对方法和各种登陆文件的事故履历DB(6700)。
21.如权利要求3或者20所述的电脑系统上的综合攻击事故应对系统，其特征是进一步包括电脑法律性数据库，其存储关于预测到重大的攻击事故发生或真正受到攻击的对象及IP的相关记录当中的、根据受害程度输出成为犯罪对象的保安信息相关数据，以便日后提出因攻击事件的刑事举报或要求赔偿经济损失的民事诉讼时可作为相关记录出示法律证据的基础性信息。
22.一种电脑系统上的综合攻击事故应对方法，用于在电脑系统上进行攻击事故的应对，其特征是，包括信息收集阶段，信息收集/管理部通过特定的通信网络自动收集包括攻击时间及缺陷信息在内的保安信息；信息加工/分析阶段，信息收集/管理部将收集的信息数据库化并利用特定的分析算法自动进行分析；信息共享/搜索/传送阶段，管理加工/分析过的保安信息使其可共享化，并在外部请求时进行搜索以及提供；预/警报阶段，在攻击事故及缺陷信息中需要报警时制造特定的早期警报信息并发送到一个以上内外部系统。
23.如权利要求22所述的电脑系统上的综合攻击事故应对方法，其特征是进一步包括自身信息保护阶段，其利用特定的系统自身信息保护部构筑的综合攻击事故应对系统，自动进行自身信息保护。
24.如权利要求22所述的电脑系统上的综合攻击事故应对方法，其特征是进一步包括其他机构共享阶段，其管理综合攻击事故应对系统当中产生的信息中需要与其他机构共享的信息，并传送到需要的其他机构。
25.如权利要求22所述的电脑系统上的综合攻击事故应对方法，其特征是进一步包括攻击评价阶段，其自动评价所述各种攻击事故及缺陷目录的攻击程度，以便评价是否作出预/警报、是否进行电脑法律性数据库化、是否进行黑名单目录DB化。
26.如权利要求22所述的电脑系统上的综合攻击事故应对方法，其特征是进一步包括测试即模拟阶段，其在新的攻击事故及缺陷目录产生时在同样的系统环境下自动模拟相应攻击事故及缺陷的结果，并存储其结果。
27.如权利要求22所述的电脑系统上的综合攻击事故应对方法，其特征是进一步包括资产评价/恢复时间计算阶段，其按照事先输入的标准自动评价包括保护对象系统在内的相关系统资产即重要度，攻击事故发生时自动算出并提供受害程度及恢复时间中一个以上要素。
全文摘要
本发明涉及在由电脑系统及网络、应用程序、因特网服务等构成的全国性或全公司性的IT基础设施(Information Technology Infrastructure)上的综合攻击事故应对系统及其运营方法。根据本发明，可以自动收集/分类威胁保护对象的广泛的攻击事故因素(黑客，病毒，蠕虫，网络恐怖，网络间谍，信息战等的攻击事故及缺陷信息)，以对应的组分类并按必要的方式进行加工/分析并加以利用，而且，可以提供存储的信息保护相关事件的安全的共享系统及网络，可以对各种攻击事故进行预/警报和评价，还能对新的攻击方式和攻击事故进行试验(模拟)从而做到提前预防。利用本发明，不仅可以安全地共享有关黑客，病毒，网络恐怖等各种攻击事故的信息，而且可以通过对于各种攻击事故的攻击评价和早期预/警报将受害程度降低到最小，并通过进行对于各种攻击事故的攻击评价和测试(模拟)可有效地应对攻击。除此之外，通过运营电脑法律性数据库，在产生需要应对刑事/民事诉讼等法律对策的攻击事故的时候，能够确保证据，而且，通过管理资产信息而自动计算因攻击事故出现的受害和恢复顺序及恢复时间，使事后管理更加容易。
文档编号G06F21/00GK1705938SQ200380101911
公开日2005年12月7日 申请日期2003年10月21日 优先权日2002年10月22日
发明者崔云虎 申请人:崔云虎