一种面向关键信息基础设施的防务指挥方法及系统与流程

1.本发明涉及网络安全技术领域，具体涉及一种面向关键信息基础设施的防务指挥方法及系统。


背景技术：

2.对于涉及公共通信和信息服务、能源、交通、水利、金融等行业和领域的关键信息基础设施，现有技术防务的安全保障对防务管理指挥缺乏配套的处理流程，当关键信息基础设施出现安全事件时不能及时做出响应。
3.有鉴于此，如何在关键信息基础设施出现安全事件时及时响应，成为了本领域技术人员亟待解决的技术问题和始终研究的重点。


技术实现要素：

4.为解决现有关键信息基础设施出现安全事件时响应不及时，缺乏流程化管理的问题，本发明创新地提供了一种面向关键信息基础设施的防务指挥方法及系统，为关键信息基础设施出现安全事件时提供了一种有效解决方案，能够及时获取关键信息基础设施的警示信息，提供有效的处置建议并且进行合理调度响应，在出现警示时第一时间对关键信息基础设施进行保护。
5.为解决上述技术问题，本发明提供以下技术方案：
6.第一方面，本发明提供一种面向关键信息基础设施的防务指挥方法，所述方法包括：
7.获取关键信息基础设施的警示信息和告警数据，处理警示信息和告警数据，得到态势感知数据并在gis地图中进行可视化展示；
8.分析警示信息和告警数据，得到网络安全线索，确定响应任务并给出处置建议；
9.根据gis地图中警示的发生位置获取防务资源分布情况由指挥调度中心下达调度命令。
10.一实施例中，所述获取关键信息基础设施的警示信息和告警数据，处理警示信息和告警数据，得到态势感知数据并在gis地图中进行可视化展示包括：
11.自动化采集关键信息基础设施预定义产生的警示信息以及单位或者个人主动上报的警示信息；
12.自动采集关键信息基础设施的网络安全防御设备和网络安全监测设备产生的告警数据；
13.自动采集关键信息基础设施所属单位上传的资产数据；
14.根据警示信息和告警数据形成攻击态势感知数据，根据资产数据形成资产态势感知数据，攻击态势感知数据和资产感知数据通过gis地图进行展示。
15.一实施例中，所述警示信息还可通过公开的安全接口采集关键信息基础设施的安全事件实现一键告警。
16.一实施例中，所述分析警示信息和告警数据，得到网络安全线索，确定响应任务并给出处置建议包括：
17.根据告警数据利用推荐系统算法对网络五元组、攻击类型、攻击频率、攻击次数、危害级别、活跃度和常见度用分值量化实时在线或离线运算，筛选出高分值的攻击ip和受危害的资产ip，形成可信度高的网络安全线索；
18.根据网络安全线索、警示信息和告警数据进行多方联合研判，得到处置建议以及响应任务的安全级别、紧急程度和响应要求。
19.一实施例中，所述根据gis地图中警示的发生位置获取防务资源分布情况由指挥调度中心下达调度命令包括：
20.获取gis地图中警示的发生位置处的具体警示内容、防务人员分布情况和发生警示的关键信息基础设施的gis定位信息，根据gis定位信息规划防务人员的行进路径，根据警示内容处置建议配备响应所需装备；
21.绑定响应任务、响应人员和警示内容由指挥调度中心下达调度命令。
22.一实施例中，还包括：
23.响应调度命令根据关键信息基础设施的实际状况提供远程应急指导。
24.一实施例中，所述响应调度命令根据关键信息基础设施的实际状况提供远程应急指导包括：
25.同步响应任务及指挥调度中心下达的调度命令，通知网络安全专家协助防务人员处理警示；
26.网络安全专家通过api接口采用视频、语音或文本的形式对防务人员进行专业化指导。
27.第二方面，本发明提供一种面向关键信息基础设施的防务指挥系统，所述系统包括：
28.态势感知模块：用于获取关键信息基础设施的警示信息和告警数据，处理警示信息和告警数据，得到态势感知数据并在gis地图中进行可视化展示；
29.情报研判模块：用于分析警示信息和告警数据，得到网络安全线索，确定响应任务并给出处置建议；
30.指挥调度模块：用于根据gis地图中警示的发生位置获取防务资源分布情况由指挥调度中心下达调度命令。
31.第三方面，本发明提供一种电子设备，包括：
32.处理器、存储器、与网关通信的接口；
33.存储器用于存储程序和数据，所述处理器调用存储器存储的程序，以执行第一方面任一项提供的一种面向关键信息基础设施的防务指挥方法。
34.第四方面，本发明提供一种计算机可读存储介质，所述计算机可读存储介质包括程序，所述程序在被处理器执行时用于执行第一方面任一项提供的一种面向关键信息基础设施的防务指挥方法。
35.从上述描述可知，本发明能够及时获取关键信息基础设施发出的警示信息和告警数据，并且对警示信息和告警数据处理得到态势感知数据在gis地图中进行可视化展示，便于全方位了解关键信息基础设施的运行情况；在出现安全事件时，可以对警示信息和告警
数据进行分析得到网络安全线索，进而确定响应任务并给出处置建议；同时可以根据gis地图中警示的发生位置获取防务资源分布情况由指挥调度中心下达调度命令。因此本发明能够及时获取关键信息基础设施的警示信息，提供有效的处置建议并且进行合理调度响应，在出现警示时第一时间对关键信息基础设施进行保护。
附图说明
36.图1所示为本发明一实施例提供的一种面向关键信息基础设施的防务指挥方法的流程示意图；
37.图2所示为本发明一实施例提供的一种面向关键信息基础设施的防务指挥系统的的结构示意图；
38.图3所示为本发明一实施例中的电子设备的结构示意图。
具体实施方式
39.为使本发明的目的、技术方案及优点更加清楚、明白，以下结合附图及具体实施方式对本发明作进一步说明。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
40.基于现有技术的缺点，本发明实施例提供了一种的具体实施方式，如图 1所示，该一种面向关键信息基础设施的防务指挥方法具体包括以下步骤：
41.s110：获取关键信息基础设施的警示信息和告警数据，处理警示信息和告警数据，得到态势感知数据并在gis地图中进行可视化展示。
42.s120：分析警示信息和告警数据，得到网络安全线索，确定响应任务并给出处置建议；
43.s130：根据gis地图中警示的发生位置获取防务资源分布情况由指挥调度中心下达调度命令。
44.步骤s110可以对关键信息基础设施的运行情况和安全监测情况进行数据采集，采集的数据由步骤s120统一处理，形成网络安全线索，其中高危/ 紧急严重的事件由步骤s130做防务资源和网络安全专家的现场调配，及时对关键信息基础设施实施保护处理，解决关键信息基础设施出现的警示。
45.在本实施例中可以及时获取关键信息基础设施发出的警示信息和告警数据，并且对警示信息和告警数据处理得到态势感知数据在gis地图中进行可视化展示，便于全方位了解关键信息基础设施的运行情况；在出现安全事件时，可以对警示信息和告警数据进行分析得到网络安全线索，进而确定响应任务并给出处置建议；同时可以根据gis地图中警示的发生位置获取防务资源分布情况由指挥调度中心下达调度命令。因此能够及时获取关键信息基础设施的警示信息，提供有效的处置建议并且进行合理调度响应，在出现警示时第一时间对关键信息基础设施进行保护。
46.在上述实施例的基础上，步骤s110具体包括：
47.自动化采集关键信息基础设施预定义产生的警示信息以及单位或者个人主动上报的警示信息；可以通过api接口进行警示信息的采集，警示信息可以由两个途径获取。一
是，关键信息基础设施预定义产生的警示信息，由关键信息基础设施设定一个事件阈值，当事件超过阈值后产生警示信息；二时，单位或者个人主动上报的警示信息，关键信息基础设施所属的单位或者个人发现警示后可以通过api接口进行主动的上报。进而全面掌握所属区域内关键信息基础设施出现的所有警示，实现全局掌控。
48.同时自动采集关键信息基础设施的网络安全防御设备和网络安全监测设备产生的告警数据；告警数据包括关键信息基础设施的日志信息、安全监测数据以及安全防御数据。告警数据可以形成击态势感知数据通过gis地图进行展示。
49.自动采集关键信息基础设施所属单位上传的资产数据；资产数据包括关键信息基础设施的建设情况、服务对象、服务范围、安全防护措施、部署安全产品型号等涉及信息化安全的建设内容。资产数据可以形成资产态势感通过gis地图进行展示。
50.在获得告警数据和资产数据后，根据警示信息和告警数据形成攻击态势感知数据，根据资产数据形成资产态势感知数据，攻击态势感知数据和资产感知数据通过gis地图进行展示，这样可以将关键信息基础设施所有数据进行可视化展示，更容易在第一时间内发现异常快速响应。
51.其中的警示信息还可通过公开的安全接口采集关键信息基础设施的安全事件实现一键告警。安全接口实为单独设置的一个采集接口，在紧急情况下可以跳过研判分析过程实现快速报警，使得防务快速反应。
52.在上述实施例的基础上，步骤s120具体包括：
53.根据告警数据利用推荐系统算法对网络五元组、攻击类型、攻击频率、攻击次数、危害级别、活跃度和常见度用分值量化实时在线或离线运算，筛选出高分值的攻击ip和受危害的资产ip，形成可信度高的网络安全线索；
54.根据网络安全线索、警示信息和告警数据进行多方联合研判，得到处置建议以及响应任务的安全级别、紧急程度和响应要求。
55.在本实施例中，可以从多方面确定警示出现的可信度，避免出现误报警的情况出现，在确定为警示后进行多方联合研判并给出处置方案及时响应。
56.在上述实施例的基础上，步骤s130具体包括：
57.获取gis地图中警示的发生位置处的具体警示内容、防务人员分布情况和发生警示的关键信息基础设施的gis定位信息，根据gis定位信息规划防务人员的行进路径，根据警示内容处置建议配备响应所需装备；
58.绑定响应任务、响应人员和警示内容由指挥调度中心下达调度命令。
59.在本实施例中，关键信息基础设施位置、防务人员分布和警示信息均通过gis地图进行展示，在警示出现时可以根据gis地图展示的内容快速形成调度方案，实现快速响应，实现任务、人员、事件的绑定，实现资源有效分配。
60.在上述上述示例的基础上还包括一下步骤：
61.s140：响应调度命令根据关键信息基础设施的实际状况提供远程应急指导。
62.其具体方法为，先同步响应任务及指挥调度中心下达的调度命令，通知网络安全专家协助防务人员处理警示；
63.然后利用网络安全专家通过api接口采用视频、语音或文本的形式对防务人员进行专业化指导。
64.在本实施例中，关键信息基础设施出现的安全事件比较复杂，现场防务人员不能及时解决时，可以现场通过api接口与指挥调度中心进行联席沟通和会诊，进行实时指导和获取第一手信息，并实现在线的调查取证、日志上传、现场处置建议等功能，协助完成事件应急处置和执法等防务，推动事件的及时有效解决。
65.基于同一发明构思，本技术实施例还提供了一种面向关键信息基础设施的防务指挥系统，可以用于实现上述实施例所描述的一种面向关键信息基础设施的防务指挥方法，如下面的实施例所述。由于一种面向关键信息基础设施的防务指挥系统解决问题的原理与一种面向关键信息基础设施的防务指挥方法相似，因此一种面向关键信息基础设施的防务指挥系统的实施可以参见一种面向关键信息基础设施的防务指挥方法实施，重复之处不再赘述。以下所使用的，术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的系统较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。
66.本发明提供了一种面向关键信息基础设施的防务指挥系统，如图2所示。在图2中，该系统包括。
67.态势感知模块210：用于获取关键信息基础设施的警示信息和告警数据，处理警示信息和告警数据，得到态势感知数据并在gis地图中进行可视化展示；
68.情报研判模块220：用于分析警示信息和告警数据，得到网络安全线索，确定响应任务并给出处置建议；
69.指挥调度模块230：用于根据gis地图中警示的发生位置获取防务资源分布情况由指挥调度中心下达调度命令。
70.本发明一实施例，态势感知模块210具体包括：
71.采集接口单元：用于自动化采集关键信息基础设施预定义产生的警示信息以及单位或者个人主动上报的警示信息；
72.监测接口单元：用于自动采集关键信息基础设施的网络安全防御设备和网络安全监测设备产生的告警数据；
73.资产接口单元：用于自动采集关键信息基础设施所属单位上传的资产数据；
74.态势展示单元：用于根据警示信息和告警数据形成攻击态势感知数据，根据资产数据形成资产态势感知数据，攻击态势感知数据和资产感知数据通过gis地图进行展示。
75.本发明一实施例，采集接口单元中的警示信息还可通过公开的安全接口采集关键信息基础设施的安全事件实现一键告警。
76.本发明一实施例，情报研判模块120具体包括：
77.关联模型单元：用于根据告警数据利用推荐系统算法对网络五元组、攻击类型、攻击频率、攻击次数、危害级别、活跃度和常见度用分值量化实时在线或离线运算，筛选出高分值的攻击ip和受危害的资产ip，形成可信度高的网络安全线索；
78.联席研判单元：用于根据网络安全线索、警示信息和告警数据进行多方联合研判，得到处置建议以及响应任务的安全级别、紧急程度和响应要求。
79.本发明一实施例，指挥调度模块130具体包括：
80.可视化指挥单元：用于获取gis地图中警示的发生位置处的具体警示内容、防务人员分布情况和发生警示的关键信息基础设施的gis定位信息，根据gis定位信息规划防务人
员的行进路径，根据警示内容处置建议配备响应所需装备；
81.任务调度单元：用于绑定响应任务、响应人员和警示内容由指挥调度中心下达调度命令。
82.本发明一实施例，还包括：
83.应急响应模块140：用于响应调度命令根据关键信息基础设施的实际状况提供远程应急指导。
84.本发明一实施例，应急响应模块140具体包括：
85.消息同步单元：用于同步响应任务及指挥调度中心下达的调度命令，通知网络安全专家协助防务人员处理警示；
86.应急单元：用于网络安全专家通过api接口采用视频、语音或文本的形式对防务人员进行专业化指导。
87.本技术的实施例还提供能够实现上述实施例中的一种面向关键信息基础设施的防务指挥方法中全部步骤的一种电子设备的具体实施方式，参见图 3，电子设备300具体包括如下内容：
88.处理器310、存储器320、通信单元330和总线340；
89.其中，处理器310、存储器320、通信单元330通过总线340完成相互间的通信；通信单元330用于实现服务器端设备以及终端设备等相关设备之间的信息传输。
90.处理器310用于调用存储器320中的计算机程序，处理器执行计算机程序时实现上述实施例中的一种面向关键信息基础设施的防务指挥方法中的全部步骤。
91.本领域普通技术人员应理解：存储器可以是，但不限于，随机存取存储器(random access memory，简称：ram)，只读存储器(read only memory，简称：rom)，可编程只读存储器(programmable read-onlymemory，简称： prom)，可擦除只读存储器(erasable programmable read-only memory，简称：eprom)，电可擦除只读存储器(electric erasable programmableread-only memory，简称：eeprom)等。其中，存储器用于存储程序，处理器在接收到执行指令后，执行程序。进一步地，上述存储器内的软件程序以及模块还可包括操作系统，其可包括各种用于管理系统任务(例如内存管理、存储设备控制、电源管理等)的软件组件和/或驱动，并可与各种硬件或软件组件相互通信，从而提供其他软件组件的运行环境。
92.处理器可以是一种集成电路芯片，具有信号的处理能力。上述的处理器可以是通用处理器，包括中央处理器(central processing unit，简称：cpu)、网络处理器(networkprocessor，简称：np)等。可以实现或者执行本技术实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
93.本技术还提供一种计算机可读存储介质，所述计算机可读存储介质包括程序，所述程序在被处理器执行时用于执行前述任一方法实施例提供的一种面向关键信息基础设施的防务指挥方法。
94.本领域普通技术人员应理解：实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括：rom、ram、磁碟或者光盘等各种可以存储程序代码的介质，具体的介质类型本技术不做限制。
95.以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。