一种基于安全即服务的互联网风险管理方法及系统与流程

本发明涉及云计算领域，更具体地说，涉及一种基于安全即服务的互联网风险管理方法及系统。

背景技术：

随着互联网的高速发展，面向互联网的业务越来越多，并且越来越重要，所面临的安全性问题也愈发的严重，根据权威部门统计，60％以上的安全事件是针对互联网业务的弱点进行渗透而发生的，如web网站、oa系统等等，并且根据cvnd以及cncert等机构对近年的互联网业务存在问题进行统计，发现对外业务的存在的高危漏洞呈逐年上升趋势，恶意篡改事件也在逐年增加，特别是集中在政府、教育等行业造成了极大地负面影响，并且随着黑客技术的成熟，爆发0day漏洞事件也是频频发生。

在现有技术中，针对互联网业务的安全性检查以及保证一般需要部署防火墙等安全设备，操作复杂，运维成本高，且不能持续进行监测，发现问题响应不及时，不能快速控制突发严重情况，导致安全事件影响范围迅速扩散。同时，随着攻击&防护手段，如：web攻击、ddos、apt等新型攻击方式快速增长，传统保护手段技术更新慢，应对乏力。

综上所述，现有技术针对互联网业务的安全方案不能满足当前的安全现状。因此，如何在安全事件发生时及时响应，快速控制安全事件的影响范围是本领域技术人员需要解决的问题。

技术实现要素：

本发明的目的在于提供一种基于安全即服务的互联网风险管理方法及系统，在安全事件发生时及时响应，快速控制安全事件的影响范围。

为实现上述目的，本发明实施例提供了一种基于安全即服务的互联网风险管理方法，包括：

接收用户发送的网站访问请求，并向用户返回所述网站访问请求对应的ip地址，以便用户通过所述ip地址访问网站服务器；

监测所述网站服务器，判断所述网站服务器中是否存在发生安全事件的网站，若是，则向访问所述网站的用户返回错误界面。

其中，若所述ip地址为所述网站访问请求在云防护中对应的虚拟ip地址，则所述向用户返回所述网站访问请求对应的ip地址之后，还包括：

对所述用户对所述网站服务器的访问进行流量清洗，并判断所述访问中是否存在异常攻击，若是，则对所述异常攻击进行防御操作。

其中，若所述安全事件为漏洞时，则向访问所述网站的用户返回错误界面之后，还包括：

对所述网站服务器中所有涉及到所述漏洞的网站进行补丁防护。

其中，向访问所述网站的用户返回错误界面之后，还包括：

向管理员发送告警消息。

其中，还包括：

通过风险管理平台向用户显示安全防护信息。

其中，还包括：

接收并存储内部和/或外部组件的日志信息；

对所述日志信息进行大数据分析，以便实现系统资源的调度。

其中，还包括：

检测用户的业务资产信息，当所述业务资产信息发生变化时向管理员发送通知消息；

判断所述业务资产信息是否存在漏洞，若是，则对所述漏洞进行虚拟补丁防护。

为实现上述目的，本发明实施例提供了一种基于安全即服务的互联网风险管理系统，包括：

全局dns模块，用于接收用户发送的网站访问请求，并向用户返回所述网站访问请求对应的ip地址，以便用户通过所述ip地址访问网站服务器；

云检测模块，用于监测所述网站服务器，判断所述网站服务器中是否存在发生安全事件的网站，若是，则向访问所述网站的用户返回错误界面。

其中，还包括：

云清洗模块，用于若所述ip地址为所述网站访问请求在云防护中对应的虚拟ip地址时，在所述向用户返回所述网站访问请求对应的ip地址之后，对所述用户对所述网站服务器的访问进行流量清洗；

云防护模块，用于判断所述访问中是否存在异常攻击，若是，则对所述异常攻击进行防御操作。

其中，还包括：

补丁防护模块，用于若所述安全事件为漏洞时，在向访问所述网站的用户返回错误界面之后，对所述网站服务器中所有涉及到所述漏洞的网站进行补丁防护。

其中，还包括：

告警模块，用于在向访问所述网站的用户返回错误界面之后，向管理员发送告警消息。

其中，还包括：

风险展示模块，用于通过风险管理平台向用户显示安全防护信息。

其中，还包括：

接收日志模块，用于接收并存储内部和/或外部组件的日志信息；

大数据分析模块，用于对所述日志信息进行大数据分析，以便实现系统资源的调度。

其中，还包括：

云评估模块，用于检测用户的业务资产信息，当所述业务资产信息发生变化时向管理员发送通知消息；判断所述业务资产信息是否存在漏洞，若是，则对所述漏洞进行虚拟补丁防护。

通过以上方案可知，本发明实施例提供的互联网风险管理方法包括：接收用户发送的网站访问请求，并向用户返回所述网站访问请求对应的ip地址，以便用户通过所述ip地址访问网站服务器；监测所述网站服务器，判断所述网站服务器中是否存在发生安全事件的网站，若是，则向访问所述网站的用户返回错误界面。

本发明实施例提供的互联网风险管理方法，通过云检测对网站服务器进行全方位的检测，当检测到安全事件时，自动拦截用户访问网站的操作，省去了人工渗透的时间，响应更加及时，且省去了部署防火墙等安全设备的步骤，运维成本较低。同时，当出现一种新的攻击类型时，只需要升级云检测监控安全事件的能力，就可以提升系统对网站服务器的保护能力。由此可见，本发明实施例提供的互联网风险管理方法，在安全事件发生时及时响应，能够快速控制安全事件的影响范围，运维成本低，升级方便。本发明还公开了一种基于安全即服务的互联网风险管理系统，同样能实现上述技术效果。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例公开的一种基于安全即服务的互联网风险管理方法的流程图；

图2为本发明实施例公开的一种基于安全即服务的互联网风险管理方法用户访问网站服务器的示意图；

图3为本发明实施例公开的另一种基于安全即服务的互联网风险管理方法的流程图；

图4为本发明实施例公开的另一种基于安全即服务的互联网风险管理方法用户访问网站服务器的示意图图；

图5为本发明实施例公开的又一种基于安全即服务的互联网风险管理方法的流程图；

图6为本发明实施例公开的一种基于安全即服务的互联网风险管理系统的结构图；

图7为本发明实施例公开的另一种基于安全即服务的互联网风险管理系统的结构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例公开了一种基于安全即服务的互联网风险管理方法，在安全事件发生时及时响应，快速控制安全事件的影响范围。

参见图1和图2，图1为本发明实施例公开的一种基于安全即服务的互联网风险管理方法的流程图，图2为本发明实施例公开的一种基于安全即服务的互联网风险管理方法用户访问网站服务器的示意图。如图1所示，包括：

s101：接收用户发送的网站访问请求，并向用户返回所述网站访问请求对应的ip地址，以便用户通过所述ip地址访问网站服务器；

全局dns模块接收用户发送的网站访问请求，其中所述网站访问请求中包含用户请求访问网站的域名和发送该请求的主机名。dns(英文全称：domainnamesystem，中文全称：域名系统)是一种组织成域层次结构的计算机和网络服务命名系统，它用于tcp/ip网络，它所提供的服务是用来将主机名和域名转换为ip地址的工作。域名系统作为一个层次结构和分布式数据库，包含各种类型的数据，包括主机名和域名。dns通过网站访问请求中的域名解析出请求网站的ip地址返回给发送该请求的主机，用户可以通过该ip地址访问对应的网站。

s102：监测所述网站服务器，判断所述网站服务器中是否存在发生安全事件的网站，若是，则向访问所述网站的用户返回错误界面，若否，则重新进入监测所述网站服务器的步骤。

云检测模块24小时不间断的监测网站服务器中是否存在发生安全事件的网站，其中安全事件包括：恶意篡改事件、oday事件、网页木马、黑链、dns篡改等。当检测到存在发生上述安全事件的网站时，对访问该网站的用户实施模拟“断网”，即向用户返回错误界面。

在具体实施中，网络带宽直接决定了能抗受ddos攻击的能力，当检测到安全事件为ddos攻击，云端可以动态调用系统资源，按需使用，以防御ddos攻击，保障客户业务的正常运行。例如，仅仅有10m带宽的话，无法对抗目前的ddos攻击，云端动态调用系统资源，为用户分配100m的共享带宽，以防御ddos攻击，当然最好是挂在1000m的主干上。

但需要注意的是，主机上的网卡是1000m的并不意味着它的网络带宽就是千兆的，若把它接在100m的交换机上，它的实际带宽不会超过100m；另外，因为网络服务商可能会在交换机上限制实际带宽，接在100m的带宽上也不等于就有了百兆的带宽。

可以理解的是，当出现新的攻击类型时，只需要升级云检测监控安全事件的能力，就可以提升系统对网站服务器的保护能力。

本实施例提供的互联网风险管理方法，通过云检测对网站服务器进行全方位的检测，当检测到安全事件时，自动拦截用户访问网站的操作，省去了人工渗透的时间，响应更加及时，且省去了部署防火墙等安全设备的步骤，运维成本较低。同时，当出现一种新的攻击类型时，只需要升级云检测监控安全事件的能力，就可以提升系统对网站服务器的保护能力。由此可见，本发明实施例提供的互联网风险管理方法，在安全事件发生时及时响应，能够快速控制安全事件的影响范围，运维成本低，升级方便。

在上述实施例的基础上，作为优选实施方式，若所述安全事件为漏洞时，则向访问所述网站的用户返回错误界面之后，还包括：对所述网站服务器中所有涉及到所述漏洞的网站进行补丁防护。

本发明实施例提供的互联网风险管理方法中对漏洞的监测，全面覆盖owasptop10漏洞，快速发现用户业务漏洞，迅速更新漏洞规则，对出现的漏洞进行虚拟补丁防护。

另外，本发明实施例提供的互联网风险管理方法通过策略统一下发功能，发现漏洞时，可以迅速对所有涉及到所述漏洞的网站进行补丁防护，对所有用户进行策略调整，及时保障用户的业务安全。

在上述实施例的基础上，作为优选实施方式，向访问所述网站的用户返回错误界面之后，还包括：

向管理员发送告警消息。

在具体实施中，云检测模块检测到安全事件时，可以通过在风险管理平台显示安全事件发生的时间、网站、预防措施等信息的方式通知管理员，也可以通过发送提示信息，如响铃、振动、短信等的方式，向管理员发出告警信息，在本实施例中不作具体限定。

在上述实施例的基础上，作为优选实施方式，本实施提供的互联网风险管理方法还包括：通过风险管理平台向用户显示安全防护信息。

在具体实施中，所述风险管理平台可以包括：用户风险管理平台、主管单位风险管理平台和渠道伙伴风险管理平台。

用户可以从用户风险展示平台上看到存在紧急问题的业务、紧急事件的处理过程和风险分布情况，将存在的风险进行统一管理并显示给用户，避免遗漏；在主管单位风险管理平台上，用户可以看到下属单位或者机构的风险分布情况，及时发现所属单位或者机构存在紧急问题的业务、紧急事件的处理过程；在渠道风险管理平台上，用户可以看到所属渠道的用户风险分布情况，通过统一管理，帮助渠道伙伴及时跟进用户业务风险。

在上述实施例的基础上，作为优选实施方式，本实施提供的互联网风险管理方法还包括：

接收并存储内部和/或外部组件的日志信息；

对所述日志信息进行大数据分析，以便实现系统资源的调度。

在具体实施中，大数据分析模块包含了数据库存储集群和数据分析集群，通过接收日志模块收集到内部和外部组件的数据后，对该数据进行存储和自动化分析，同时可对多方数据进行整合分析，为整个系统提供数据支持。

本发明实施例公开了一种基于安全即服务的互联网风险管理方法，相对于上一实施例，本实施例对技术方案作了进一步的说明和优化。具体的：

参见图3和图4，图3为本发明实施例公开的另一种基于安全即服务的互联网风险管理方法的流程图，图4为本发明实施例公开的一种基于安全即服务的互联网风险管理方法用户访问网站服务器的示意图。如图3所示，包括：

s311：接收用户发送的网站访问请求，并向用户返回所述网站访问请求在云防护中对应的虚拟ip地址；

s312：对所述用户对所述网站服务器的访问进行流量清洗；

云防护模块提供完整的l2-7层的防护，对系统中用户对所述网站服务器的访问流量进行清洗和拦截，保证未知流量不会对客户的业务系统造成危害和影响。

s313：判断所述访问中是否存在异常攻击，若是，则进入s314，若否，则进入s315；

s314：对所述异常攻击进行防御操作，并重新进入s313；

本发明实施例提供的互联网风险管理方法有效结合了web攻击的静态规则及基于黑客攻击过程的动态防御机制，提供了全面的web攻击防护，如：sql注入、xss跨站脚本、csrf跨站请求伪造的防护等。

在具体实施中，对检测到的异常攻击进行防御操作之后，需要重复判断所述访问中是否存在异常攻击的步骤，以保证用户对网站服务器的访问中不存在异常攻击。

s315：用户利用所述虚拟ip地址通过所述云防护访问网站服务器；

在具体实施中，如图4所示，经过流量清洗排除了异常攻击后，用户访问网站服务器的途经从直接通过网站的真实ip访问，变为通过云防护模块进行访问，网站服务器将页面内容通过云防护模块返回给用户。

s302：监测所述网站服务器，判断所述网站服务器中是否存在发生安全事件的网站，若是，则向访问所述网站的用户返回错误界面，若否，则重新进入监测所述网站服务器的步骤。

本发明实施例公开的互联网风险管理方法，还可以包括对用户资产信息的监控及其漏洞的防护，具体的：

参见图5，本发明实施例公开的又一种基于安全即服务的互联网风险管理方法的流程图，如图5所示，包括：

s501：接收用户发送的网站访问请求，并向用户返回所述网站访问请求对应的ip地址，以便用户通过所述ip地址访问网站服务器；

s502：检测用户的业务资产信息，当所述业务资产信息发生变化时向管理员发送通知消息；

在具体实施中，云评估模块实时监测用户的资产信息，及时发现资产信息的变化并及时通知管理员，防止资产信息的恶意篡改，杜绝“影子it”。

s503：判断所述业务资产信息是否存在漏洞，若是，则进入s504，若否，则进入s502；

s504：对所述漏洞进行虚拟补丁防护，并进入s502。

在具体实施中，系统中的管理平台存储包括用户身份信息、认证信息、业务资产信息、报表信息等在内系统信息，用户可以在管理平台中对系统信息进行维护。

云评估模块对管理平台中的业务资产信息的漏洞进行扫描，及时发现用户业务以及操作系统存在的漏洞，对所述漏洞进行虚拟补丁防护后进行持续复查，确保业务暴露的漏洞已经修复。

下面对本发明实施例提供的一种基于安全即服务的互联网风险管理系统进行介绍，下文描述的一种基于安全即服务的互联网风险管理系统与上文描述的一种基于安全即服务的互联网风险管理方法可以相互参照。

参见图6，本发明实施例公开的一种基于安全即服务的互联网风险管理系统的结构图，如图6所示，包括：

全局dns模块601，用于接收用户发送的网站访问请求，并向用户返回所述网站访问请求对应的ip地址，以便用户通过所述ip地址访问网站服务器；

云检测模块602，用于监测所述网站服务器，判断所述网站服务器中是否存在发生安全事件的网站，若是，则向访问所述网站的用户返回错误界面。

本实施例提供的互联网风险管理系统，通过云检测对网站服务器进行全方位的检测，当检测到安全事件时，自动拦截用户访问网站的操作，省去了人工渗透的时间，响应更加及时，且省去了部署防火墙等安全设备的步骤，运维成本较低。同时，当出现一种新的攻击类型时，只需要升级云检测监控安全事件的能力，就可以提升系统对网站服务器的保护能力。由此可见，本发明实施例提供的互联网风险管理方法，在安全事件发生时及时响应，能够快速控制安全事件的影响范围，运维成本低，升级方便。

在上述实施例的基础上，作为优选实施方式，还包括：

补丁防护模块，用于若所述安全事件为漏洞时，在向访问所述网站的用户返回错误界面之后，对所述网站服务器中所有涉及到所述漏洞的网站进行补丁防护。

在上述实施例的基础上，作为优选实施方式，还包括：

风险展示模块，用于通过风险管理平台向用户显示安全防护信息。

本发明实施例公开了一种基于安全即服务的互联网风险管理系统，相对于上一实施例，本实施例对技术方案作了进一步的说明和优化。具体的：

参见图7，本发明实施例公开的另一种基于安全即服务的互联网风险管理系统的结构图，如图7所示，包括：

全局dns模块701，用于接收用户发送的网站访问请求，并向用户返回所述网站访问请求在云防护中对应的虚拟ip地址，以便用户通过所述虚拟ip地址访问网站服务器；

具体的，全局dns模块中包含若干个dns集群，当全局dns模块通过应用负载接收到用户发送的网站访问请求时，选择一个dns集群通过网站访问请求中的域名解析出请求网站的ip地址返回给发送该请求的主机，用户可以通过该ip地址访问对应的网站。

云检测模块702，用于监测所述网站服务器，判断所述网站服务器中是否存在发生安全事件的网站，若是，则向访问所述网站的用户返回错误界面；

具体的，本方案中的云检测模块中的评估组件集群中包含若干个检测组件。资源管理集群根据各个检测组件的资源占用情况选择不同的检测组件，监测所述网站服务器，当述网站服务器中存在发生安全事件的网站时，向访问所述网站的用户返回错误界面。

云评估模块703，用于检测用户的业务资产信息，当所述业务资产信息发生变化时向管理员发送通知消息；判断所述业务资产信息是否存在漏洞，若是，则对所述漏洞进行虚拟补丁防护；

具体的，管理平台通过应用负载收集包括用户身份信息、认证信息、业务资产信息、报表信息等在内系统信息，用户可以在管理平台中对系统信息进行维护。云评估模块中的评估组件集群中包含若干个评估组件。资源管理集群根据各个评估组件的资源占用情况选择不同的评估组件，检测上述系统信息，当所述系统信息发生变化时，向管理员发送告警消息。

云清洗模块704，用于在所述向用户返回所述网站访问请求对应的ip地址之后，对所述用户对所述网站服务器的访问进行流量清洗；

具体的，云清洗模块中的流量清洗资源池中包含若干个清洗组件。资源管理集群根据各个清洗组件的资源占用情况选择不同的清洗组件，对用户对网站服务器的访问进行流量清洗。

云防护模块705，用于判断所述访问中是否存在异常攻击，若是，则对所述异常攻击进行防御操作；

告警模块706，用于在向访问所述网站的用户返回错误界面之后，向管理员发送告警消息；

接收日志模块707，用于接收并存储内部和/或外部组件的日志信息；

大数据分析模块708，用于对所述日志信息进行大数据分析，以便实现系统资源的调度。

在具体实施中，大数据分析模块包含了数据库存储集群和数据分析集群，接收日志模块通过应用负载收集到内部和外部组件的数据后，大数据分析模块对该数据进行存储和自动化分析，同时可对多方数据进行整合分析，需要向管理员发送告警提醒时，经过调度中心通过告警模块向管理员发送告警消息。

另外，本发明实施例提供的互联网风险管理方法通过策略统一下发功能，当大数据分析模块收集到漏洞信息时，可以通过调度中心通过应用负载向补丁防护模块下发统一策略，以便补丁防护模块迅速对所有涉及到所述漏洞的网站进行补丁防护，对所有用户进行策略调整，及时保障用户的业务安全。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。