专利名称:一种安全管理系统、装置和方法
技术领域:
本发明涉及网络通信技术领域,特别涉及一种安全管理的系统、装置和 方法。
背景技术:
随着电信网络向融合、智能化、多媒体化等方向的飞速发展,电信网络 的信息安全问题变得日益严重,虽然我国已经对信息安全和网络安全方面的 问题给予了高度的重视,并且也开始进行大力地研究和技术发展,目前在电信网络中已经部署了防火墙、IDS (Invade Detect System,入侵检测系统)、 IPS( Intrusion Prevention System,入侵防御系统)等安全产品并且有一定的SOC (Security Operation Center,安全管理中心)系统进4亍部署,但仍然不能很好 地解决电信网络中层出不穷、日益严重的问题,例如虽然能够检测出事件, 但是基本上都是依靠工单系统下派任务然后依靠人来完成安全产品或其他网 元的配置、脆弱性修复、补丁下发等配置管理操作,^v而延长了处理时间, 给攻击的扩散和蔓延留下了可乘之机,导致了更大的损失。现有的信息管理系统的基本架构如图l所示。信息管理系统通过在安全设 备中设定代理来收集安全信息,然后进行一定的关联分析,形成一定格式的 信息报表,以供管理员了解,作为管理员进行一定安全部署的参考信息。安 全信息管理系统主要是通过网管系统对网络安全事件及相关信息进行采集、 获取、关联分析,并给管理员提供一定的分析结果,以便使管理员能够进一 步分析出到对网络中现有安全问题的措施建议,再对网络进行相应处理和操 作。但是一方面由于没有设置面向网元的配置接口及其功能,另一方面该安 全信息管理系统是基于现有网管的工作流程和模式提出,运行还需要大量的 工作流程和人为监督来配合,从而4艮难实现职能化的配置、脆弱性修复、补
丁下发等管理功能,处理效率低,补救时间长,为攻击的扩大影响留下了隐患。如图2所示,为现有的计算机网络的网络安全系统架构示意图。计算机网 络的网络安全系统是一种应用于计算机网络安全领域的网络安全系统,包括 网络安全管理中心、网络安全设备和适配器,适配器位于网络安全管理中心 与网络安全设备之间,网络安全管理中心与适配器之间采用网络协议通信, 适配器与网络安全设备之间采用网络安全设备的网络协议和对应端口进行通 信;由适配器实现与网络安全设备通信的网络协议,并转换数据4各式,对网 络安全设备的配置管理信息和安全信息进行初步处理,而网络安全管理中心 则集中管理适配器,对来自网络安全设备的安全信息进行进一步的处理和存 储。此方案是基于计算机系统的,而电信网络中的设备既包含一定数量的一 般计算机设备,还包括大量的不同于一般计算机的电信设备,况且电信网络 层次繁多、互联互通复杂,所以将计算机网络的网络安全系统架构直接应用 到电信网络中是有一定的局限性的。此外,该方案也没有设置面向网元的配 置接口及其功能,从而也很难实现智能化的配置管理,难以应对纷繁复杂的攻击。因此,现有技术的缺点是没有设置面向网元的配置接口及其功能,难 以实现智能化的配置管理,为攻击的扩大影响留下了隐患,难以应对纷繁复 杂的攻击。发明内容本发明实施例提供一种安全管理系统、装置和方法,以实现在安全管理 系统中设置面向被管理对象的配置接口及其功能,实现智能化的配置管理。为达到上述目的,本发明实施例一方面提供一种安全管理系统,包括网 络安全管理架构NSMF和网络管理系统NMS,所述NSMF通过双向4妄口与所 述NMS和被管理对象进行信息交互,获取网络安全信息,并对所述^皮管理对 象进行管理。另一方面,本发明实施例提供一种网络安全管理架构NSMF,包括事
件管理功能EMF模块,用于通过所述双向接口获取所述被管理对象发生的安 全事件,对所述安全事件进行处理;脆弱性管理功能VMF模块,用于通过所 述双向接口对所述被管理对象的安全脆弱性进行扫描,并将所述被管理对象 安全脆弱性的扫描结果传送给风险管理功能RMF模块;风险管理功能RMF 模块,用于根据接收自所述EMF模块的安全事件和接收自所述VMF模块的 安全脆弱性的扫描结果进行安全风险评估,生成网络安全风险报告并上报; 管理中心功能MCF模块,用于对所述EMF模块、所述VMF模块和所述RMF 模块进行管理,对所述MCF模块的用户进行管理。再一方面,本发明实施例提供一种安全管理方法,包括以下步骤NSMF 通过双向接口获取被管理对象发生的安全事件,对所述安全事件进行处理; 所述NSMF通过所述双向接口对所述被管理对象的安全脆弱性进行扫描,将 所述被管理对象安全脆弱性的扫描结果上报;所述NSMF根据所述安全事件 和所述安全脆弱性的扫描结果对所述被管理对象进行安全风险评估。与现有"t支术相比,本发明实施例具有以下优点本发明实施例在安全管 理系统中的NSMF与被管理对象之间配置了双向接口 ,并设置了该双向接口 的功能,在NSMF的各功能模块之间也配置了双向接口并设置了相应的功能, 从而实现了智能化的配置管理,提高了安全管理系统的灵活性和适应性。
图1为现有技术信息管理系统架构示意图;图2为现有技术计算机网络的网络安全系统架构示意图;图3为本发明实施例安全管理系统架构示意图;图4为本发明实施例安全管理系统的NSMF架构示意图;图5为本发明实施例NSMF与NMS并列非互通关系示意图;图6为本发明实施例NSMF与NMS并列互通关系示意图;图7为本发明实施例NSMF与NMS附属关系示意图;图8为本发明实施例NSMF与NMS融合关系示意图9为本发明实施例NSMF与NMS被管关系示意图; 图10为本发明实施例安全管理方法的流程图。
具体实施方式
本发明实施例提供了一种安全管理系统,包括NSMF (Network Security Management Framework, 网络安全管理架构)、NMS (Network Management System,网络管理系统)和被管理对象,并且在NSMF与被管理对象,NSMF 与NMS以及NSMF的各功能模块之间都配置了双向接口并设置了相应的功能, 实现了对安全管理系统的智能化配置管理,提高了安全管理系统的灵活性和 适应性。本发明实施例将以被管理对象为资产为例进行说明。如图3所示,为本发明实施例安全管理系统架构示意图,本发明实施例的 安全管理系统以安全风险管理为核心,其中NSMF对外的接口包括NSMF与 安全关联数据库的互通的接口 、 NSMF从网元获取信息并对网元进行配置的接 口、 NSMF与NMS交互的接口 、 NSMF与其他系统之间的接口。该架构内的接 口包括控制中心与策略管理功能模块、风险管理功能^t块、事件管理功能 模块、脆弱性管理功能模块、资产管理功能模块之间交互的接口,以及风险 管理功能模块与事件管理功能模块、脆弱性管理功能模块之间交互的接口 。 从整个通信网络布局来看,NSMF是起安全管理作用的中控系统,与现有网络 中的NMS可以为并列非互通关系、并列互通关系、附属关系、融合关系或净皮 管关系等多种关系。现有网络中NMS对安全网元有着直接的管理关系,所以 为了不对现有网络产生冲击,本架构将保留这种管理关系。其中,NSMF负责完成以下功能> 乂人SNE ( Security Network Element,安全网元)和部分网元中获取网 络的安全信息,包括通过主动发起获取请求或命令得到方式得到反馈、通过 在安全网元设置代理向其汇报方式、通过安全网元管理人员汇报等方式获取 的信息。对SNE和部分网元发生的安全事件进行实时的筛选、关联分析、等级 评估,并以适当的形式呈现给用户;对SNE和部分网元的安全脆弱性进行检测、 综合评估,并提供一定的修复指导和建议。>对SNE、网元群组l和安全相关数据库进行管理、控制、配置。 >与NMS、安全相关数据库和其他信息系统进行信息交互,如从NMS获 取关于安全网元的信息、向其他信息系统发送告警信息。>对各网元之间的安全联动响应进行支持、维护、转达、控制、管理。 >对NSMF的用户的帐号、权限、访问进行控制和管理。 >具有日志和审计的功能。其中,SNE为电信网络中的安全网元,如防火墙、IDS、 IPS、安全代理 等安全防护实体。其中,NE为网元,指电信网络中的各类用于传输、交换、业务应用的网 元,如主机或其管理系统、路由器或其管理系统、交换机、应用服务器、数 据库、各类网关。在这里,将电信网络中网元分成两部分,其中群组l是指可 以同时或受NMS和NSMF中一方管理、控制的网元;群组2是指只受NMS管理、 控制的网元。其中,NMS为现有电信网络中存在的网络管理系统。其中,其他信息系统指电信网络中其他能够向NSMF提供安全信息或需要 NSMF向其提供安全信息的信息系统,可以是路由器管理系统、运营商的工单 系统、EOMS ( Entriprise Operation Manager System,企业操作管理系统)等 信息系统。如图4所示,为本发明实施例安全管理系统的NSMF架构示意图,下面对 NSMF的主要功能实体的功能进行描述1、 NSMF中各模块的功 能(a) MCF模块的功能i. 对内部功能模块进行管理、控制、配置;ii. 向用户提供良好的管理界面,对MCF的用户的帐号、权限、访问进 行控制和管理,负责进行用户的鉴权和管理操作交互、接收网络安全风险报 告和网络安全告警净艮告,向网络管理员(或网管中心)转发等;iii. 进行用户管理、访问控制、安全审计等工作。负责系统对外部访问(包 括因特网和办公网、网管网的访问)和外部接入系统的集中访问控制; iv. 具有一定的集成数据库功能,管理和维护资产信息库及安全知识库, 可以根据预设策略直接补充或通过管理员人工完善;v. 管理NSMF系统日志及安全风险管理模块上报的网络安全曰志;vi. 与NMS等信息系统进行信息交互,如从NMS获取关于安全网元的信 息、向其他系统发送告警信息;vii. MCF模块包括安全相关数据库,可以与安全相关数据库进行信息交 换,包括从安全相关数据库获取类似事件处理方法、脆弱性库等安全知识, 同时也可以对安全相关数据库中的内容进行更新。该安全相关数据库为NSMF 在运行中需要依照或参考的知识库,其中包括安全事件的处理方法、CVE(Common Vulnerabilities and Exposures ,公共漏洞和暴露)、安全基线、用于 配置的策略;其初始化、创新、更新、修改、补充、消除等程序由NSMF的 MCF模块来负责完成。(b) RMF模块的功能i. RMF模块是本架构的核心功能,其输入包含安全事件信息和安全脆弱性 4言息两个方面。ii. 风险管理模块主要进行对筛选出的安全事件报告、网络和系统安全脆 弱性进行收集,并参考资产信息和网络安全组织策略(安全基线)进行安全 风险的评估,最后产生安全风险评估报告提交给管理系统,安全风险报告中 应该包括可能导致该风险的所有安全事件和安全脆弱性清单,以及可能产生 的安全风险等级。(c) PMF模块的功能i.NSMF支持对整个系统的安全策略的存储保护、配置管理、访问控制和 集中下发等管理功能。在运营中,安全策略管理功能模块通过第八接口来传 输信息进而来完成对安全策略的集中管理,主要包括根据组织策略采取一套 完整的、特殊的机制来进行存储保护、配置管理、访问控制等管理。安全策 略的集中下发在NSMF内部主要面向信息安全事件管理、信息安全风险评估及 管理、网络安全脆弱性扫描等系统,在NSMF外部可以根据网络实际配置状况 进行设定。安全策略集中管理的范围包括网络安全基线库和网元安全策略库。
网络安全基线库是保证系统内(也可以根据实际情况扩充到整个电信网络中) 设备、系统、服务最低安全水平的安全策略数据库,它可以被用来配置、衡 量、检验设备、系统、服务的安全水平。网元安全策略库是对系统内(也可 以根据实际情况扩充到整个电信网络中)设备、系统、服务进4亍有区别化的、 针对化的配置、下发的安全策略数据。(d) AMF模块的功能AMF模块负责对被管理对象的信息进行管理,由 于现有网管系统一般已有资产管理功能,因此此模块也可以考虑实现在NSMF 内部或NMS内部。(e) EMF模块的功能i. 网络系统中根据安全事件的类型和审计结果进行不同的操作,如产生 安全事件报告和日志记录等,安全事件管理模块主要是通过采集、过滤、汇 聚、关联分析等手段对安全事件报告提交和日志记载的事件内容进行分析并 甑别其中可能产生安全事故的安全事件信息,并对安全事件进行严重性排序, ^使网络安全管理系统或管理员能够优先呈现和处理严重性级别4交高的安全事 件,这一过程中包含日志审计的功能。ii. NSMF支持结合其他安全信息对各种信息安全事件进行关联分析。当 信息安全事件筛选模块将处理后的报告传送给信息安全事件关联分析模块 后,信息安全事件关联分析模块便按照既定策略对其进行汇聚、关联分析、 严重性排序等一系列分析与处理操作,挖掘出隐藏在各个相关事件中的信息, 并将使真正具备威胁的安全事件并报告给上层管理结构,以降低系统全面安 全控制所需耗费的资源,提高工作效率。同时,信息安全事件关联分析模块 也将处理结果通过安全风险评估及管理服务器传送给控制中心,也可能通过 控制中心传输给NMS;信息安全事件关联分析模块的处理结果也将通过安全 风险评估及管理服务器传送给安全日志库,以便为控制中心的审计提供基础 信息。(f) VMF模块的功能VMF模块负责对被管理对象的脆弱性进行收集、 分析、修复、管理。其中,被管理对象指电信网络中的受NSMF控制和管理的 各类用于传输、交换、业务应用的网元是对受NSMF控制和管理网元的具体化 表示。1. NSMF支持对电信网络的资产进行安全脆弱性扫描。ii.在运行中,安全扫描服务一般由人工启动、配置、执行,也可以让系 统根据预先配置好的策略模型自动对电信网络资产进行定期安全扫描。扫描 的范围将根据网络结构和具体实施情况而定;扫描结果将通过第七接口传送 给信息风险管理模块,由其结合资产信息库和安全知识库中的信息对安全扫 描结果进行综合评估,将评估后的安全扫描"^艮告传送给控制中心,并^^送到 安全日志库进行存储和管理,同时可能会根据安全脆弱性的严重程度发出相 应的安全告警通知给控制中心。2、 安全管理系统中的接口的功能本发明实施例中的接口是一种调用函数,NSMF通过这些接口完成与被管 理对象、NMS、其他信息系统和其他NSMF的信息交互,NSMF内部的各功能 模块之间也通过接口完成信息交互、管理和配置等功能。(a) NSMF与被管理对象的第一接口和第二接口的功能第一接口,例如Ieo接口是NSMF对被管理对象的诸如安全事件报告、 日志信息各种信息进行收集并对网元设备进行安全配置的接口 。第二接口例 如Ivo接口是NSMF对被管理对象的安全脆弱性信息进行采集并进行修复、 恢复等操作的接口。(b) 第三接口的功能第三接口,例如Imr接口是MCF模块和RMF模块之间的接口,用于 下发安全风险管理指令和接收RMF上报的安全报告信息,因此该接口也有需 要定义的API (Application Programming Interface,应用编程接口 )供MCF使 用。RMF与PMF不同,后者是一个类似数据库管理服务器的实体,而RMF 是一个具备一定管理功能的中间实体,负责对VMF和EMF上报的中间信息 进行处理再上报给MCF,因此该接口上传输的管理命令一般是发送给RMF, RMF在根据需要进行处理或者命令转发,而RMF回送的报告则可能包含各 种格式的内容,如数据表、图形等,所以在实际使用时需要在该接口上设定 能够满足传输这些信息内容需求的协议。
(c) 第四接口的功能第四接口,例如Ime接口是EMF和MCF之间的接口, MCF通过此接口 对EMF进行策略配置、管理等操作,并从此接口获取EMF上报的各类安全 事件报告。(d) 第五接口的功能第五接口 ,例如imv接口是VMF和MCF之间的接口 , MCF通过此接口 对VMF进行策略配置、管理等操作,并从此接口获取VMF上报的各类脆弱 性信息报告。(e) 第六接口的功能第六接口,例如Ier接口是RMF和EMF之间的接口, RMF通过这一 接口向EMF发送请求信息、管理信息等信息,EMF向RMF发送安全事件关 联分析的结果,如安全告警报告和安全日志等。(f) 第七接口的功能第七接口 ,例如Ivr接口 ,是RMF和VMF之间的接口 , VMF通过该 接口向RMF发送扫描结果,如脆弱性信息列表和相关报告等。(g) 第八接口的功能第八接口,例如Imp接口是MCF模块和PMF模块之间的接口,通过 这个接口 NSMF可以对集中安全策略库和安全基线库进行更新、维护、备份、 访问控制等管理活动,也可以提取该库中的安全策略用于集中下发和配置, 也可以通过该接口提取安全基线用于安全审计。(h) 第九接口的功能第九接口,例如Ima接口是AMF和MCF之间的接口, MCF通过此接 口对AMF进行初始化、更新、查询、配置、管理等操作。(i) NSMF与NMS的Imn接口的功能Imn接口是NSMF和NMS系统之间的信息交互接口 , NSMF通过该接口 从NMS中获取管理数据,如资产信息等,也可以通过该接口向NMS管理员 发送安全管理信息数据,如安全状态报告、风险评估报告等,NMS管理员可 以通过该接口启动或监控NSMF提供的安全管理功能,如安全缺陷扫描等。 (j)两个NSMF之间的Imm接口的功能 Imm接口是两个NSMF之间信息交互的接口 。可用于在两个NSMF之间 互通预警信息、安全联动信息、资产信息等信息。(k) NSMF与其他系统之间的Imo接口的功能因在NSMF运营中,NSMF可能会与路由器管理系统、运营商的工单系 统、EOMS等信息系统进行互通,以相这些系统提供必要的安全信息,或者 从这些系统获取安全信息。所以需要Imo来支持和完成NSMF与其他系统之 间的信息交互。本发明实施例中,NSMF与现有电信网络中的NMS之间可以有以下关系(1) 并列非互通关系即NSMF与现有电信网络中网管系统NMS之间 不进行信息互通,彼此都对网元管理系统进行管理,只不过职能划分不同, 二者对网元管理系统进行管理的职能不存在交集,彼此间的职能是互补的, 二者的职能构成了管理完备集合,如图5所示。NSMF只针对被管对象的安 全管理方面进行管理,现有电信网络中网管系统NMS对被管对象的故障、性 能、帐号、计费等方面进行管理。此外,考虑到实际应用中,可能需要保护 具有重要影响或具有重大价值的网元,因此,NSMF可能会与某个或某些网 元进行互联,在图5中用虚线进行了标识。(2) 并列互通关系即NSMF与现有电信网络中网管系统NMS之间可 以进行信息互通,彼此都对网元管理系统进行管理,只不过职能划分不同, 二者对网元管理系统进行管理的职能可能存在交集,但更多的职能是互补的, 二者的职能构成了管理完备集合,如图6所示。NSMF侧重于对被管对象的 安全管理方面进行管理,现有电信网络中网管系统NMS侧重于对#1管对象的 故障、性能、帐号、计费等方面进行管理。此外,考虑到实际应用中,可能 需要保护具有重要影响或具有重大价值的网元,因此,NSMF可能会与某个 或某些网元进行互联,在图6中用虚线进行了标识。(3) 附属关系即NSMF只与NMS互联,而不与网元管理系统、网元 具有连接关系,如图7所示。NSMF从属于现有电信网络中网管系统NMS, 二者之间需要进行信息互通,NSMF的管理是通过NMS来间接实现的。但它
们的职能划分不同,二者对网元管理系统进行管理的职能可能存在交集,但更多的职能是互补的,二者的职能构成了管理完备集合。NSMF侧重于对被 管对象的安全管理方面进行管理,现有电信网络中网管系统NMS侧重于对被 管对象的故障、性能、帐号、计费等方面进行管理。(4) 融合关系即把NSMF与现有电信网络中网管系统NMS进行集成 或组合,或者通过在现有网管系统上进行改进的方式来实现,使它们成为一 个网络管理联合体,如图8所示。NSMF与现有电信网络中网管系统NMS之 间可以进行信息互通,彼此都对网元管理系统进行管理,只不过职能划分不 同,二者对网元管理系统进行管理的职能可能存在交集,但更多的职能是互 补的,二者的职能构成了管理完备集合。NSMF側重于对被管对象的安全管 理方面进行管理,现有电信网络中网管系统NMS侧重于对^皮管对象的故障、 性能、帐号、计费等方面进行管理。此外,考虑到实际应用中,可能需要保 护具有重要影响或具有重大价值的网元,因此,NSMF可能会与某个或某些 网元进行互联,在图8中用虚线进行了标识。(5) 净皮管关系即NSMF与NMS、网元管理系统、网元都具有连接关系。 在这里,NSMF被看作是NMS的一个特殊的被管理对象,处于^皮管理地位。 NSMF与现有电信网络中网管系统NMS二者之间需要进行信息互通。它们的职 能划分不同,二者对网元管理系统进行管理的职能可能存在交集,但更多的 职能是互补的,二者的职能构成了管理完备集合。NSMF侧重于对被管对象的 安全管理方面进行管理,现有电信网络中网管系统NMS侧重于对被管对象的 故障、性能、帐号、计费等方面进行管理。此外,考虑到实际应用中,可能 需要保护具有重要影响或具有重大价值的网元,因此,NSMF可能会与某个或 某些网元进行互联,在图9中用虚线进行了标识。如图10所示,为本发明实施例安全管理方法的流程图,该安全管理方法 用于本发明实施例的安全管理系统,具体包括以下步骤步骤S1001, NSMF通过双向接口获取被管理对象发生的安全事件,并对 该安全事件进行处理。NSMF通过主动发起获取请求或命令的方式得到反馈、 通过在被管理对象上设置代理向该NSMF汇^^艮的方式或通过被管理对象的管
理人员汇报的方式获取被管理对象发生的安全事件。然后,NSMF对被管理 对象发生的安全事件进行实时地筛选、关联分析和等级评估,根据关联分析 的结果生成网络安全报警报告,并将该网络安全报警报告上报,然后对安全 事件进行严重性排序,并将严重性级别较高的安全事件优先呈现给NMS或用 户。该双向接口为第一接口,例如Ieo接口。步骤S1002, NSMF通过双向接口对被管理对象的安全脆弱性进行扫描。 然后,NSMF对被管理对象的安全脆弱性进行分析、》务复和管理,并将该3皮 管理对象安全脆弱性的扫描结果上报。该双向接口为第二接口,例如Ivo接 口。 NSMF调用自身配置的安全策略对被管理对象的安全脆弱性进行扫描、 分析、修复和管理。步骤S1003, NSMF根据安全事件和安全脆弱性的扫描结果对被管理对象 进行安全风险评估。在评估完成之后,NSMF生成网络安全风险才艮告并将该 网络安全风险报告上报,并根据安全脆弱性的严重程度发出安全告警通知。 NSMF调用自身配置的安全策略,和/或通过调用NMS的安全策略进行安全 风险评估。本发明实施例提供了一种安全管理的系统、装置和方法,为电信网络提供 了一个可以实现信息安全管理的架构方案,该方案以安全风险管理为核心,提供了资产管理、安全策略管理、安全事件管理和安全脆弱性管理之间的关系, 为ISMS (Information Security Management Systems,信息安全管理系统)在通 信网络的实现提供了可扩展的功能架构,同时还提供了定义了明确功能的接 口,使得该架构具备了很强的灵活性和适应性。本发明实施例使得管理者能够 通过安全管理系统对电信网络中的浮皮管理对象具有进行统一协调配置的能力, 为操作人员提供了简单便捷的操作管理模式。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发 明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件, 但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案 本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,
该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算 机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实 施例f斤述的方法。以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此, 任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1、一种安全管理系统,包括网络安全管理架构NSMF和网络管理系统NMS,其特征在于,所述NSMF通过双向接口与所述NMS和被管理对象进行信息交互,获取网络安全信息,并对所述被管理对象进行管理。
2、 如权利要求1所述安全管理系统,其特征在于,所述NSMF还用于对 所述被管理对象发生的安全事件进行处理。
3、 如权利要求2所述安全管理系统,其特征在于,所述NSMF还用于对 所述被管理对象发生的安全事件进行处理包括所述NSMF对所述被管理对 象发生的安全事件进行筛选、关联分析和等级评估,并根据所述关联分析的 结果生成网络安全报警报告。
4、 如权利要求2所述安全管理系统,其特征在于,所述NSMF还用于对 所述被管理对象发生的安全事件进行处理还包括所述NSMF对所述安全事 件进行严重性排序,将严重性级别较高的所述安全事件优先呈现给所述NMS 或用户。
5、 如权利要求1所述安全管理系统,其特征在于,所述NSMF还用于对 所述被管理对象的安全脆弱性进行扫描,并根据所述安全脆弱性的严重程度 发出安全报警通知。
6、 如权利要求2或5所述安全管理系统,其特征在于,所述NSMF还用 于根据所述被管理对象的安全事件和所述安全脆弱性的扫描结果对所述被管 理对象进行安全风险评估,生成网络安全风险报告。
7、 如权利要求1所述安全管理系统,其特征在于,所述双向接口包括 第一接口,用于连接NSMF与被管理对象,NSMF通过所述第一接口对被管理对象的安全事件进行收集,对所述被管理对象进行安全配置;第二接口 ,用于连接NSMF与被管理对象,NSMF通过所述第二接口对 被管理对象的安全脆弱性进行收集,对所述^皮管理对象进行修复。
8、 一种网络安全管理架构NSMF,其特征在于,包括事件管理功能EMF模块,用于通过所述双向接口获取所述被管理对象发 生的安全事件,对所述安全事件进行处理;脆弱性管理功能VMF模块,用于通过所述双向接口对所述被管理对象的 安全脆弱性进行扫描,并将所述被管理对象安全脆弱性的扫描结果传送给风险管理功能RMF模块;风险管理功能RMF模块,用于根据接收自所述EMF模块的安全事件和 接收自所述VMF模块的安全脆弱性的扫描结果进行安全风险评估,生成网络 安全风险报告并上报;管理中心功能MCF模块,用于对所述EMF模块、所述VMF模块和所述 RMF模块进行管理,对所述MCF模块的用户进行管理。
9、 如权利要求8所述NSMF,其特征在于,所述EMF模块用于对所述 被管理对象发生的安全事件进行处理包括所述EMF模块对所述被管理对象 发生的安全事件进行筛选、关联分析和等级评估,并根据所述关联分析的结 果生成网络安全报警报告上报所述MCF模块。
10、 如权利要求8所述NSMF,其特征在于,所述EMF模块用于对所述 被管理对象发生的安全事件进行处理还包括对所述被管理对象发生的安全 事件进行严重性排序,将严重性级别较高的所述安全事件通过所述MCF模块 优先呈现给所述NMS。
11、 如权利要求8所述NSMF,其特征在于,所述MCF模块还用于接收 所述EMF模块上报的网络安全报警报告和所述RMF模块上报的网络安全风 险报告。
12、 如权利要求8所述NSMF,其特征在于,还包括 策略管理功能PMF模块,用于通过与所述MCF模块的信息交互对安全策略进行集中管理,向所述EMF模块、所述VMF模块和所述RMF模块下发 安全策略,所述集中管理的范围包括网络安全基线库和网元安全策略库;资产管理功能Alvn^莫块,接受所述MCF模块的管理控制和配置,用于 对所述被管理对象的信息进行管理。
13、 如权利要求8或11所述NSMF,其特征在于,还包括第三接口 ,用于连接所述MCF模块与所述RMF模块,所述MCF模块通 过所述第三接口接收所述RMF模块上报的所述网络安全风险报告,通过所述 第三接口对所述RMF模块进行管理,向所述RMF模块下发安全策略;第四接口 ,用于连接所述MCF模块与所述EMF模块信息交互,所述MCF 模块通过所述第四接口接收所述EMF模块上才艮的所述网络安全才艮警报告,并 通过所述第四接口对所述EMF模块进行管理,向所述EMF模块下发安全策 略;第五接口 ,用于连接所述MCF模块与所述VMF模块,所述MCF模块通 过所述第五接口接收所述VMF模块上报的所述被管理对象的安全脆弱性,并 通过所述第五接口对所述VMF模块进行管理,向所述VMF模块下发安全策略。
14、 如权利要求8所述NSMF,其特征在于,还包括第六接口,用于连接所述RMF模块与所述EMF模块,所述RMF模块通 过所述第六接口向所述EMF模块发送请求信息和管理信息,所述EMF模块 通过所述第六接口向所述RMF模块发送所述被管理对象的安全事件关联分析 的结果;第七接口,用于连接所述RMF模块与所述VMF模块,所述VMF模块 通过所述第七接口向所述RMF模块发送所述被管理对象安全脆弱性的扫描结 果。
15、 如权利要求12所述NSMF,其特征在于,还包括第八接口,用于连接所述MCF模块与所述PMF模块,所述MCF模块通 过所述第八接口对所述PMF模块的网元安全策略库和安全基线库进行管理, 以及通过所述第八接口提取所述网元安全策略库和安全基线库中的安全策略 进行集中下发;第九接口,用于连接所述MCF模块与所述AMF模块,所述MCF模块通 过所述第九接口对所述AMF模块进行设置和管理。
16、 一种安全管理方法,其特征在于,包括以下步骤NSMF通过欢向接口获取被管理对象发生的安全事件,对所述安全事件 进4亍处理;所述NSMF通过所述双向接口对所述被管理对象的安全脆弱性进行扫 描,将所述被管理对象安全脆弱性的扫描结果上报;所述NSMF根据所述安全事件和所述安全脆弱性的扫描结果对所述被管 理对象进行安全风险评估。
17、 如权利要求16所述安全管理方法,其特征在于,所述NSMF通过双 向接口获取被管理对象发生的安全事件包括通过主动发起获取请求或命令 的方式得到反馈;或者,通过在所述被管理对象上设置代理向所述NSMF汇报的方式或通过所述 被管理对象的管理人员汇报的方式获取被管理对象发生的安全事件。
18、 如权利要求16所述安全管理方法,其特征在于,所述NSMF对所述 安全事件进行处理包括所述NSMF对所述安全事件进行筛选、关联分析和 等级评估,根据所述关联分析的结果生成网络安全报警报告,并将所述网络 安全报警报告上报。
19、 如权利要求18所述安全管理方法,其特征在于,所述NSMF对所述 安全事件进行处理还包括所述NSMF对所述安全事件进行严重性排序,将 严重性级别较高的所述安全事件优先呈现给所述NMS或用户。
20、 如权利要求18所述安全管理方法,其特征在于,在所述NSMF根据 所述安全事件和所述安全脆弱性的扫描结果对所述被管理对象进行安全风险 评估之后,还包括生成网络安全风险报告并将所述网络安全风险报告上报, 根据所述安全脆弱性的严重程度发出安全告警通知。
21、 如权利要求16所述安全管理方法,其特征在于,所述NSMF通过所 述双向接口对所述被管理对象的安全脆弱性进行扫描包括所述NSMF根据安全策略对所述被管理对象的安全脆弱性进行扫描、分析、修复和管理。
22、 如权利要求21所述安全管理方法,其特征在于,所述NSMF根据所 述安全事件和所述安全脆弱性的扫描结果对所述被管理对象进行安全风险评 估包括所述NSMF才艮据所述安全策略,和/或通过调用的所述NMS的安全 策略进行安全风险评估。
23、 如权利要求16所迷安全管理方法,其特征在于,所述双向接口包括 第一接口和第二接口。
全文摘要
本发明公开了一种安全管理系统,包括网络安全管理架构NSMF和网络管理系统NMS,所述NSMF通过双向接口与所述NMS和被管理对象进行信息交互,获取网络安全信息,并对所述被管理对象进行管理。本发明实施例在NSMF与被管理对象之间配置了双向接口,并为该双向接口设置了相应的功能,从而实现了智能化的配置管理,提高了安全管理系统的灵活性和适应性。
文档编号H04L12/24GK101399698SQ20071016277
公开日2009年4月1日 申请日期2007年9月30日 优先权日2007年9月30日
发明者位继伟, 冰 刘, 阳 辛, 黄海龙 申请人:华为技术有限公司