专利名称::安全中心系统中安全事件监控的实现方法
技术领域:
:本发明涉及一种网络数据分析处理的方法,特别是安全事件监控的实现方法,属于网管系统
技术领域:
。
背景技术:
:随着Internet的高速发展,网络应用越来越多,大多数企业的一些关键业务也开始通过Internet提供。而Internet的一大特性是开放性,正是这种开放性给Internet上服务的安全构成了严重的威胁。为了保证健康有序的发展,必须在网络安全上提供强有力的保证。由于传统的信息安全管理是终端性设备,一台设备只能管理指定网段,安全策略由本地管理员设置,信息相对比较闭塞,对于多台监控设备,信息不能共享,人力资源严重浪费,监控不同步,会出现严重的信息安全问题。安全中心系统基于B/S模型的分布式网络行为实时监控系统的设计框架,监控设备实时向安全中心上报本地策略以及安全事件,监控设备与安全中心的安全策略同步,有效的利用资源,共享安全策略,实现了对用户网络行为的实时监控的要求。安全中心系统的安全事件监控提供了以下功能和特性1)安全策略管理员根据网络状况,配置相应的安全策略,选择告警方式;2)安全策略下发安全策略下发到指定监控设备;3)安全事件上报监控设备实时上报触发的安全事件,在安全中心统一管理;4)自定义告警当安全中心产生安全事件,可以采用邮件、短信方式通知相关人员,使相关人员及时处理重大安全事件;5)有效资源利用安全事件统一管理,有效的利用网络资源和人力资源,提高工作效率。安全中心管理系统属于网络信息安全程序应用,有效的管理公司网络的信息安全,以c/s结构方式部署,实现信息安全统一管理,策略共享,多台监控设备资源共享,提高了整个网络的信息安全,方便多台设备终端的管理。
发明内容本发明的目的是克服现有技术存在的不足,提供一种安全中心系统中安全事件监控的实现方法。本发明的目的通过以下技术方案来实现安全中心系统中安全事件监控的实现方法,特点是多台监控设备与安全中心连接,安全事件监控分为两部分,一是,安全中心配置安全策略,安全策略下发到监控设备;二是,监控设备实时监控用户网络行为,产生安全事件并上报给安全中心,安全策略上报到安全中心;安全中心分析安全事件并以邮件/短信方式通知管理员,从而实现对用户网络行为的实时监控。进一步地,上述的安全中心系统中安全事件监控的实现方法,所述的安全策略包含安全策略下发、安全策略上报、安全事件上报、自定义告警方式,其中,所述安全策略下发,由安全中心的系统程序通过远程连接下发给监控设备,监控设备接收安全策略并加载到监控系统中,监控用户的网络行为;所述安全策略上报,由监控设备向安全中心上报当前安全策略,在安全中心系统中了解当前监控设备的安全策略;所述安全事件上报,用户触发了设置的安全事件,监控设备主动向安全中心上报,在安全中心了解当前网络运行状态;所述自定告警方式,选择邮件/短信告警,当用户触发了安全事件,并在第一时间通知,以及时处理网络中出现的问题及安全隐患。更进一步地,上述的安全中心系统中安全事件监控的实现方法,在监控设备启动时,首先监控设备与安全中心建立连接,进行登录注册,用户编辑安全策略后,由SOC服务器周期读取需要下发的安全策略,向监控设备请求安全策略下发;监控设备周期安全策略上报,保持安全中心与监控设备的安全策略同步,当监控设备触发安全事件,由监控设备请求安全中心安全事件上报,从而实现服务器与客户端的安全策略同步,实时上报安全事件。本发明技术方案突出的实质性特点和显著的进步主要体现在本发明安全中心的安全事件监控的实现方式,采用远程通信方式实现安全中心对监控设备的管理,集中管理监控设备的安全事件,从而实现了安全中心对多台监控设备的安全事件监控。堪称是具有新颖性、创造性、实用性的好技术,应用前景广阔。下面结合附图对本发明技术方案作进一步说明图l:安全中心系统安全事件监控的架构示意图;图2:安全中心系统总体架构示意图;图3:安全中心系统安全事件监控的处理流程示意图。图中各附图标记的含义见下表<table>tableseeoriginaldocumentpage5</column></row><table><table>tableseeoriginaldocumentpage6</column></row><table>具体实施方式安全中心系统中安全事件监控的实现方法,采用SOCKET实现服务器/客户端双向连接技术,对数据业务的处理,分为两类;服务器下发安全策略,客户端接收来自服务器的安全策略,根据需求上报本地安全策略到服务器,当终端触发安全事件,则实时上报所触发的安全事件。基于B/S模型的分布式网络行为实时监控系统的设计框架,监控设备实时向安全中心上报安全事件,安全中心向监控设备下发安全策略,安全中心分析安全事件并通知相关管理人员。多台监控设备与安全中心连接,安全事件监控分为两部分,一是,安全中心配置安全策略,安全策略下发到监控设备;二是,监控设备实时监控用户网络行为,产生安全事件并上报给安全中心,安全策略上报到安全中心;安全中心分析安全事件并以邮件/短信方式通知管理员,从而实现对用户网络行为的实时监控。其中,所述的安全策略包含安全策略下发、安全策略上报、安全事件上报、自定义告警方式,所述安全策略下发,由安全中心的系统程序通过远程连接下发给监控设备,监控设备接收安全策略并加载到监控系统中,监控用户的网络行为;所述安全策略上报,由监控设备向安全中心上报当前安全策略,在安全中心系统中了解当前监控设备的安全策略;所述安全事件上报,用户触发了设置的安全事件,监控设备主动向安全中心上报,在安全中心了解当前网络运行状态;所述自定告警方式,选择邮件/短信告警,当用户触发了安全事件,并在第一时间通知,以及时处理网络中出现的问题及安全隐患。图1表述了安全事件的实现方式,在客户端设备2启动时,首先与安全中心设备l建立连接,进行登录注册,用户编辑安全策略后,SOC服务器周期读取需要下发的安全策略,向客户端设备2请求安全策略下发3;客户端设备2周期安全策略上报4,保持安全中心设备1与客户端设备2的安全策略同步,当客户端设备2触发安全事件,客户端设备2请求安全中心设备1安全事件上报5,从而实现服务器与客户端的安全策略同步,实时上报安全事件。图2表述了安全中心的系统架构,管理人员通过Web登录安全中心管理系统,安全策略下发到OfficeTen设备,OfficeTen设备上报安全策略,管理人员通过Web浏览OfficeTen设备的安全事件,通过安全中心系统监控OfficeTen设备的安全事件。图3表述了安全中心系统安全事件的具体实现过程,SOC管理系统6负责管理安全策略7操作,设置的安全策略12发送给SOC后台服务程序9;安全事件8浏览;SOC后台服务程序9负责处理数据业务,周期任务管理10周期读取管理员设置的安全策略,下发到指定OfficeTen设备,OTSOC模块11与远程OfficeTen设备建立连接,双向通信,下发安全策略3,SOC后台程序9主动处理安全事件查看13命令,接收保存OfficeTen上报的安全事件5以及OfficeTen设备端的安全策略,根据用户设置的告警策略,调用短信/邮件发送模块17;在OfficeTen设备端16,FMS模块14负责和管理中心通信以及处理数据业务,从安全中心发送过来的安全策略3经FMS模块14转发给FUM模块15处理,OfficeTen设备端加载安全策略并运行,当系统触发了设备的安全策略,产生安全事件并本地告警,FMS模块14周期读取告警信息并产生安全事件发送给安全中心处理,FMS定期同步安全中心的安全策略和本地的安全策略,这样安全中心所制定的安全策略下发到OfficeTen设备,并实施监控用户是否违反规则,当用户触发了安全策略,OfficeTen设备实施上报到安全中心,远程网管登录安全中心就可以掌握本地网络的安全情况。安全中心系统中OTSOC服务与监控设备FMS模块14实现双向连接,处理服务器与客户端之间的业务处理。监控设备向安全中心发送连接请求,安全中心确认请求的合法性并相应监控设备,其中安全验证机制采用基于口令的安全验证或基于密钥的安全验证机制。监控设备向安全中心上报当前触发的安全事件,以及本地的安全策略,可以在安全中心管理所有监控设备的安全策略,有效的利用资源。管理人员在安全中心系统中制定安全策略,选择下发的设备,OTSOC模块ll负责把当前安全策略下发到指定机器。管理人员在安全中心指定安全规则,选择安全事件的告警方式,可以选择邮件或者短信方式。OTSOC根据安全规则选中的告警方式,邮件或者短信的方式在第一时间通知相关人员处理。上述业务处理方式,其中OTSOC处理业务,周期读取任务,短信/邮件告警方式在服务器端实时运行,监控设备实时上报的安全事件。综上所述,上述安全中心的安全事件监控的实现方式,采用远程通信方式实现安全中心对OfficeTen监控设备的管理,集中管理OfficeTen监控设备的安全事件,从而实现了安全中心对多台OfficeTen监控设备的安全事件监控。需要理解到的是上述说明并非是对本发明的限制,在本发明构思范围内,所进行的添加、变换、替换等,也应属于本发明的保护范围。权利要求1.安全中心系统中安全事件监控的实现方法,其特征在于多台监控设备与安全中心连接,安全事件监控分为两部分,一是,安全中心配置安全策略,安全策略下发到监控设备;二是,监控设备实时监控用户网络行为,产生安全事件并上报给安全中心,安全策略上报到安全中心;安全中心分析安全事件并以邮件/短信方式通知管理员,从而实现对用户网络行为的实时监控。2.根据权利要求1所述的安全中心系统中安全事件监控的实现方法,其特征在于所述的安全策略包含安全策略下发、安全策略上报、安全事件上报、自定义告警方式;其中,所述安全策略下发,由安全中心的系统程序通过远程连接下发给监控设备,监控设备接收安全策略并加载到监控设备系统中,监控用户的网络行为;所述安全策略上报,由监控设备向安全中心上报当前安全策略,在安全中心系统中了解当前监控设备的安全策略;所述安全事件上报,用户触发了设置的安全事件,监控设备主动向安全中心上报,在安全中心了解当前网络运行状态;所述自定告警方式,选择邮件/短信告警,当用户触发了安全事件,并在第一时间通知,以及时处理网络中出现的问题及安全隐患。3.根据权利要求1所述的安全中心系统中安全事件监控的实现方法,其特征在于在监控设备启动时,首先监控设备与安全中心建立连接,进行登录注册,用户编辑安全策略后,由SOC服务器周期读取需要下发的安全策略,向监控设备请求安全策略下发;监控设备周期安全策略上报,保持安全中心与监控设备的安全策略同步,当监控设备触发安全事件,由监控设备请求安全中心安全事件上报,从而实现服务器与客户端的安全策略同步,实时上报安全事件。全文摘要本发明提供一种多台监控设备与安全中心连接,基于B/S模型的分布式网络行为实时监控系统的设计框架,安全事件监控分为两部分,安全中心配置安全策略,安全策略下发到监控设备,并自定义告警方式;监控设备实时监控用户网络行为,安全事件、本地安全策略实时上报给安全中心;安全中心分析安全事件并以邮寄/短信方式通知管理员,实现对用户网络行为的实时监控。本发明采用远程通信方式实现了安全中心对监控设备的管理,集中管理监控设备的安全事件,从而实现了安全中心对多台监控设备的安全事件监控。文档编号H04L12/24GK101605065SQ200910031509公开日2009年12月16日申请日期2009年4月22日优先权日2009年4月22日发明者党俭文,刘继明,孙希律申请人:网经科技(苏州)有限公司