一种安全监控系统的制作方法

1.本发明涉及网络安全监管技术领域，尤其涉及一种安全监控系统。


背景技术：

2.网络安全监管部门，如网信部门、公安部门、网安部门，负责对所管辖区域内的能源、交通、水利、金融、公共服务、电信、电子政务等其他信息系统和重点企业进行管理，以及对云计算、大数据分析、物联网、5g、边缘计算、工控系统等关键基础设施进行管理。在管理过程中，需要对整个管辖区域内的信息资产和关键基础设施进行掌握，对信息系统的风险状况进行摸查，对信息安全事件进行建库和归档。由于管辖区域内信息资产众多、种类复杂、地域分布广等特点，管理存在以下缺陷：
3.一、网络安全监管部门对信息资产和关键基础设施的管理主要以人工为主，人工管理耗时耗力且具有主观性，分析信息安全时容易出现判断错误的情况。
4.二、当网络安全监管部门对所管辖区域内的信息资产和关键基础设施未全面掌控，信息资产和关键基础设施模糊，网站、平台、系统之间关系、归属主体单位等信息不明朗时，无法给安全决策提供有效支持。
5.三、网络安全监管部门对所管辖区域缺少足够的安全评估手段，对所管辖区域内的信息系统风险状况感知滞后，尤其在超巨量安全日志中缺乏大数据分析，无法有效察觉和感知安全风险。
6.四、网络安全监管部门对所管辖区域内的信息系统和关键基础设施缺少有效的管理支撑手段，无法开展有效的网络安全动态监管工作。
7.五、随着互联网新技术、新业务、新模式发展，网络安全监管部门所面对的信息系统和关键基础设施越来越复杂，无法同步扩展监管能力。


技术实现要素：

8.本技术实施例提供了一种安全监控系统，可以在线管理预设管辖区域内的每个待监管系统，并确定每个待监管系统的标签信息集合和整个预设管辖区域对应的关系图谱，可以使得网络安全监管部门对预设管辖区域内的信息资产和关键基础设置进行全面掌握，能够实时察觉和感知安全风险，给安全决策提供有效支撑。可以实现全局洞察、实时决策、全域管理和多方协调管理。
9.本技术实施例提供了一种安全监控系统，包括：
10.信息获取系统，信息获取系统用于基于预设管辖区域的主干网络获取预设管辖区域内每个待监管系统的待监管信息集合；
11.数据处理系统，数据处理系统与信息获取系统连接，数据处理系统用于根据每个待监管系统的待监管信息集合，确定每个待监管系统的标签信息集合；
12.监管系统，监管系统与数据处理系统连接，监管系统用于根据每个待监管系统的标签信息集合和待监管信息集合，确定预设管辖区域对应的关系图谱以及每个待监管系统
对应的安全状态信息。
13.进一步地，每个待监管系统的待监管信息包括每个待监管系统的资产用途信息、监管单位信息、运维单位信息、网络流量信息和系统日志信息。
14.进一步地，信息获取系统包括：
15.数据处理支撑系统，数据处理支撑系统与预设管辖区域的主干网络连接；
16.数据处理支撑系统用于基于预设管辖区域的主干网络获取预设管辖区域内每个待监管系统的待监管信息；
17.还用于对每个待监管系统的待监管信息进行分类存储处理。
18.进一步地，信息获取系统还包括：
19.多场景运营系统，多场景运营系统与预设管辖区域的主干网络连接；
20.多场景运营系统用于基于预设管辖区域的主干网络获取预设管辖区域内每个待监管系统的历史攻击信息集合。
21.进一步地，数据处理系统与数据处理支撑系统连接，数据处理系统与多场景运营系统连接；
22.数据处理系统，用于根据每个待监管系统的待监管信息集合和历史攻击信息集合，确定每个待监管系统的标签信息集合。
23.进一步地，数据处理系统，用于对每个待监管系统的网络流量信息和系统日志信息进行分类处理，得到分类处理后的网络流量和系统日志；
24.根据分类处理后的网络流量和系统日志，确定每个待监管系统的标签信息集合。
25.进一步地，监管系统包括：
26.区域监测系统，区域监测系统与数据处理系统连接；
27.区域监测系统用于根据每个待监管系统的标签信息集合，确定每个待监管系统对应的安全状态信息。
28.进一步地，监管系统还包括：
29.协同处置指挥系统，协同处置指挥系统与数据处理系统连接；
30.协同处置指挥系统用于根据每个待监管系统对应的安全状态信息，确定指挥调度信息；指挥调度信息用于根据每个待监管系统对应的监管单位信息和运维单位信息，指示每个待监管系统对应的监管单位和运维单位对对应的待监管系统进行管理。
31.进一步地，监管系统还包括：
32.态势感知系统，态势感知系统与区域监测系统连接，态势感知系统与协同处置指挥系统连接；
33.态势感知系统用于确定预设管辖区域对应的关系图谱。
34.进一步地，待监管系统包括能源系统、交通系统、水利系统、金融系统、政府系统、云计算系统、物联网系统和大数据系统。
35.本技术实施例具有如下有益效果：
36.本技术实施例所公开的一种安全监控系统，包括信息获取系统，信息获取系统用于基于预设管辖区域的主干网络获取预设管辖区域内每个待监管系统的待监管信息集合；数据处理系统，数据处理系统与信息获取系统连接，数据处理系统用于根据每个待监管系统的待监管信息集合，确定每个待监管系统的标签信息集合；监管系统，监管系统与数据处
理系统连接，监管系统用于根据每个待监管系统的标签信息集合和待监管信息集合，确定预设管辖区域对应的关系图谱以及每个待监管系统对应的安全状态信息。基于本技术实施例在线管理预设管辖区域内的每个待监管系统，并确定每个待监管系统的标签信息集合和整个预设管辖区域对应的关系图谱，可以使得网络安全监管部门对预设管辖区域内的信息资产和关键基础设置进行全面掌握，能够实时察觉和感知安全风险，给安全决策提供有效支撑。可以实现全局洞察、实时决策、全域管理和多方协调管理。
附图说明
37.为了更清楚地说明本技术实施例或现有技术中的技术方案和优点，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它附图。
38.图1是本技术实施例提供的一种安全监控系统的示意图；
39.图2是本技术实施例提供的另一种安全监控系统的示意图。
具体实施方式
40.为使本技术的目的、技术方案和优点更加清楚，下面将结合附图对本技术实施例作进一步地详细描述。显然，所描述的实施例仅仅是本技术一个实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本技术保护的范围。
41.此处所称的“实施例”是指可包含于本技术至少一个实现方式中的特定特征、结构或特性。在本技术实施例的描述中，需要理解的是，术语“包括”和“为”以及他们的任何变形，意图在于覆盖不排他的包含。
42.下面介绍本技术一种安全监控系统的具体实施例，图1是本技术实施例提供的一种安全监控系统的示意图，本说明书提供了如实施例或示意图所示的组成结构，但基于常规或者无创造性的劳动可以包括更多或者更少的组成结构。实施例中列举的组成结构仅仅为众多组成结构中的一种方式，不代表唯一的组成结构，在实际执行时，可以按照实施例或者示意图所示的方法组成结构执行。
43.本技术实施例可以从监管单位的业务职能出发，采用顶层架构设计模式，构建网络空间安全治理体系，即安全监控系统。该安全监控系统可以包括基础支撑平台和业务应用平台两部分。其中，基础支撑平台可以包括信息获取系统，业务应用平台可以包括数据处理系统和态势感知系统。
44.具体的如图1所示，该安全监控系统可以包括信息获取系统、数据处理系统和监管系统，数据处理系统可以与信息获取系统连接，监管系统可以与数据处理系统连接。其中，信息获取系统可以用于基于预设管辖区域的主干网络获取预设管辖区域内每个待监管系统的待监管信息集合。数据处理系统可以用于根据每个待监管系统的待监管信息集合，确定每个待监管系统的标签信息集合。监管系统可以用于根据每个待监管系统的标签信息集合和待监管信息集合，确定预设管辖区域对应的关系图谱以及每个待监管系统对应的安全状态信息。
45.本技术实施例中，每个待监管系统的待监管信息可以包括每个待监管系统的资产用途信息、监管单位信息、运维单位信息、网络流量信息和系统日志信息。
46.图2是本技术实施例提供的另一种安全监控系统的示意图。如图2所示，待监管系统可以包括能源系统、交通系统、水利系统、金融系统、政府系统、云计算系统、物联网系统和大数据系统。
47.如图2所示，信息获取系统可以包括数据处理支撑系统和多场景运营系统，数据处理支撑系统可以与预设管辖区域的主干网络连接，多场景运营系统可以与预设管辖区域的主干网络连接。数据处理支撑系统可以用于基于预设管辖区域内的主干网络获取预设管辖区域内每个待监管系统的待监管信息，也可以用于对每个待监管系统的待监管信息进行分类存储处理。多场景运营系统可以用于基于预设管辖区域的主干网络获取预设管辖区域内每个待监管系统的历史攻击信息集合。
48.在一种可选的实施方式中，信息获取系统可以获取信息系统和关键信息基础设施的基础信息、网络流量信息和系统日志信息等。例如，可以获取能源、交通、水利、金融、政府部门、云计算、物联网、大数据等系统中每个系统的资产用途、监管单位、运维单位、网站数量等基础信息以及网络流量、系统日志等。
49.可选地，信息获取系统中的数据处理支撑系统可以基于预设管辖区域的主干网络获取能源、交通、水利、金融、政府部门、公共服务部门等信息系统中每个系统的资产用途、监管单位、运维单元、网站数量等基础信息以及网络流量信息、系统日志信息等。信息获取系统中的多场景运营系统可以基于预设管辖区域的主干网络获取云计算、物联网、大数据、边缘计算等关键信息基础设施中每个系统的历史攻击信息集合，即整个预设管辖区域内的安全状况信息。
50.可选地，数据处理支撑系统可以采用大数据分析技术对采集的待监管系统的基础信息进行分析、分类、归档处理，按照待监管系统之间的关联性进行存储。还可以对采集的每个系统的网络流量信息、系统日志信息进行分析、分类、归档，即进行数据和流量的初步整理，实现信息的存—管—用。
51.可选地，多场景运营系统可以收集预设管辖区域内每个待监管系统的历史攻击数据集合即安全状况信息，进而可以按照多维场景化进行安全状况分析、安全情报收集、安全线索分析、信息智能建模等，对预设管辖区域的整体安全情况进行摸底。
52.本技术实施例中，数据处理系统可以与信息获取系统中的数据处理支撑系统连接，同时可以与信息获取系统中的多场景运营系统连接，数据处理系统可以用于根据每个待监管系统的待监管信息集合和历史攻击信息集合，确定每个待监管系统的标签信息集合。
53.本技术实施例中，数据处理系统可以用于对每个待监管系统的网络流量信息和系统日志信息进行分类处理，得到分类处理后的网络流量信息和系统日志信息，进而可以根据分类处理后的网络流量信息和系统日志信息，确定每个待监管系统的标签信息集合。该数据处理系统也可以称为基础数据处理中心，根据分类处理后的基础信息、网络流量信息和系统日志信息和历史攻击信息集合，构建预设管辖区域内每个待监管系统对应的资产画像，用流量和日志描绘单个待监管系统的单个资产安全状况，进行风险划分。基础数据处理中心可以实现预设管辖区域内信息资源的治理，针对数据处理支撑系统获取的每个待监管
系统的基础信息、网络流量信息、系统日志信息和多场景运营系统获取的每个待管理系统的历史攻击数据集合，构建预设管辖区域中每个待监管系统对应的单个资产画像，协助网络安全监管部门摸清预设管辖区域的主干网络、信息系统和关键信息基础设施。
54.在一种可选的实施方式中，数据处理系统可以对获取的每个待监管系统的网络流量信息按照业务、运维、管理、流量安全、内容安全、网站安全、域名解析(domain name resolution,dns)等进行分类存储，其中，流量安全可以包括流量特征值、异常流量特征值和协议状态、同时可以对获取的每个待监管系统的系统日志信息按照业务日志、操作日志、运维日志、攻击日志、状态日志等进行分类存储，进而可以形成每个待监管系统对应的资产画像，可以实现异构数据、信息与知识的多源融合。
55.如图2所示，监管系统可以包括区域监测系统和协同处置指挥系统，区域监测系统可以与数据处理系统连接，协同处置指挥系统可以与数据处理系统连接。其中，区域监测系统可以用于根据每个待监管系统的标签信息集合，确定每个待监管系统对应安全状态信息。协同处置指挥系统可以用于根据每个待监管系统对应的安全状态信息，确定指挥调度信息，该指挥调度信息可以用于根据每个待监管系统对应的监管单位信息和运维单位信息，指示每个待监管系统对应的监管单位和运维单位对对应的待监管系统进行管理。
56.可选地，区域监测系统可以采用两条监测线对预设管辖区域进行安全监控，其中，两条监测线包括主动监测和被动监测，通过结合数据处理系统即基础数据处理中心已有的每个待监管系统的标签信息集合即资产画像，对预设管辖区域内的整体网络和资产进行实时全局监控和感知，对出现风险的待监管系统进行信息安全分析、安全预警、安全阻断、安全修复的闭环处理，实现主动与被动两条监测线配合使用，全局动态安全与局部静态安全两条监控线互为补充，可以实现实时、短周期、长周期的信息安全监控。
57.可选地，协同处置指挥系统可以协助网络安全监管部门将对信息系统和关键信息基础设施的安全管理措施落地，通过数据处理系统和区域监测系统，可以对预设管辖区域进行全域监控，发现安全问题后可以及时通知相关责任单位和网安部门协同处置，实现预设管辖区域中相关责任单位和网安部门之间信息安全事件通报预警和安全情报信息共享。并且，可以对单个待监管系统进行安全评估，发现问题后可以及时在线通知相关单位，协调其他部门进行修补，同时可以在线督促相关部门进行及时修补漏洞。在重大活动安保中，协调处置指挥系统可以担任对预设管辖区域的整体监护功能和指挥保障，一旦发生重大安全事件，协调处理指挥系统可以快速统筹相关安全资源，协调联动其他部门，应急响应，协调指挥，及时处理安全事件。
58.如图2所示，监管系统可以包括态势感知系统，该态势感知系统可以与区域监测系统连接，同时可以与协同处置指挥系统连接。态势感知系统可以用于确定预设管辖区域对应的关系图谱，摸清预设管辖区域中主干网络、信息系统和关键信息基础设施的家底，建立资产关系图谱，同时可以厘清预设管辖区域内每个待监管系统的上下级关系、归属关系、同级关系，便于进行资产管理。态势感知系统可以对预设管辖区域的网络状态、信息系统和关键信息基础设施进行指挥指挥，结合数据处理系统、区域监测系统和协同处置指挥系统，从宏观角度可以解读网络安全治理的过去、现在和未来，实现全局监测网络安全管理。从中观角度以关键信息基础设施为管理核心，面向互联网新技术、新业务、新模式发展弹性扩展监管范围，使得技术与管理充分配合，打造平时与战时场景化的指挥管理中心。从围观角度，
使用因果的安全分析方法，针对每个待监管系统的具体资产状况，按照业务分类，实现安全事件整改、内因漏洞修补，外因威胁预警的处置闭环。
59.采用本技术实施例所提供的安全监控系统，在线管理预设管辖区域内的每个待监管系统，并确定每个待监管系统的标签信息集合和整个预设管辖区域对应的关系图谱，可以使得网络安全监管部门对预设管辖区域内的信息资产和关键基础设置进行全面掌握，能够实时察觉和感知安全风险，给安全决策提供有效支撑。可以实现全局洞察、实时决策、全域管理和多方协调管理。
60.在本发明中，除非另有明确的规定和限定，术语“相连”、“连接”等术语应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或成一体；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的相连或两个元件的相互作用关系。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。
61.需要说明的是：上述本技术实施例的先后顺序仅仅为了描述，不代表实施例的优劣，且上述本说明书对特定的实施例进行了描述，其他实施例也在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或者步骤可以按照不同的实施例中的顺序来执行并且能够实现预期的结果。另外，在附图中描绘的过程不一定要求示出特定顺序或者而连接顺序才能够实现期望的结果，在某些实施方式中，多任务并行处理也是可以的或者可能是有利的。
62.本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的均为与其他实施例的不同之处。
63.以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围。