一种网络信息安全监管方法、系统与流程

1.本发明涉及网络信息安全技术领域，具体为一种网络信息安全监管方法、系统。


背景技术：

2.近年来，计算机技术和网络技术高速发展计算机已经成为人们日常工作和生活中必不可少的工具，随着科技的发展，计算机通过网络连接后，在使用的过程中存在一定的安全隐患，目前对于网络信息安全的防护层面是多种多样的，例如主机审计、服务器审计、防火墙、入侵检测、控制网关、电子文档安全、终端安全等通过不同方式对保密网络进行安全防护。但是，对这些安全产品产生的安全事件告警却需要大量的技术人员进行实时查看与处理，造成需要大量的人力物力进行监管。现有技术中没有针对如此庞大复杂的网络安全数据信息进行统一监管的方法或平台，所以急需一种方法对网络内各类安全数据进行综合分析和监管。


技术实现要素：

3.本发明旨在至少在一定程度上解决相关技术中的技术问题之一。为此，本发明提供了一种应用于网络信息安全监管方法、系统，通过汇聚网络安全数据、日志数据和网络审计数据进行综合分析，针对不同的数据类型定义相应的违规策略，并对违规事件进行核查监督，提升机关单位网络保密风险管控和治理能力。
4.为实现上述目的，第一方面，本技术提供了一种网络信息安全监管方法，包括：获取网络安全数据、日志数据和网络审计数据；对获取的数据进行清洗处理并分类存储至不同的对象库中，所述清洗处理包括数据预处理和数据格式校验；针对对象库内的数据类型定义相应的违规策略；对所述对象库内的数据分别进行违规分析，分析是否产生违规事件；对违规事件进行核查监督。
5.优选地，所述网络安全数据包括流量监测数据、运行状态信息；日志数据包括主机与服务器日志数据、数据通信设备日志数据、涉密应用系统日志数据、安全保密产品日志数据，所述安全保密产品包括防火墙、入侵检测、漏洞扫描、网络接入控制系统、涉密计算机移动存储介质保密管理系统、安全监控与审计产品、终端安全登录系统、密级标志管理系统、计算机防病毒系统、安全保密增强电子邮件、电子文档管控系统。
6.优选地，所述数据预处理包括对获取数据进行格式化处理、补充上下文信息和异常数据清除；所述清洗处理还包括当数据格式校验失败时产生告警信息；所述对象库设置有入库操作访问权限，所述入库操作包括查询、统计、导出和备份。
7.优选地，所述针对对象库内的数据类型定义相应的违规策略包括：对数据库内的数据进行行为分析，形成用户画像；针对不同的用户画像制定相应的违规策略；基于违规策略进行行为的违规分析，生成违规事件。
8.优选地，所述用户画像包括用户行为、管理员行为、应用服务、网络互联互通行为；针对用户行为的违规事件包括用户身份冒用、破坏本地安全机制、违规接入设备、网络访问异常和数据处理异常；针对管理员行为的违规事件包括管理员身份冒用、破坏主机安全机制、违规接入设备、网络访问异常和数据处理异常；针对应用服务的违规事件包括通信范围异常、通信路径异常和数据异常；针对网络互联互通行为的违规事件包括互联范围异常、互联访问异常和数据流转异常。
9.优选地，所述针对不同的用户画像制定相应的违规策略包括：针对用户行为了解网络中内外部用户的基本情况、终端操作情况、网络访问情况、本地文件处理情况，掌握用户的终端登陆规律、业务访问范围及访问方式、处理数据的范围、文件输入输出情况并进行分析，将不符合用户基本行为习惯的行为定义为违规行为；针对管理员行为了解网络中管理员的基本情况、运维终端操作情况、运维对象及运维方式进行分析，掌握其运维操作规律，将不符合管理员操作行为习惯的行为定义为违规行为；针对网络互联互通行为了解互联单位名称、互联网络密级、互联方式、互联互通的地址范围、互联通信关系和通信方式、互联网络间的文件传输情况并进行分析，将不符合互联互通情况的行为定义为违规行为。
10.优选地，所述数据类型包括涉密信息，所述针对对象库内的数据类型定义相应的违规策略还包括：对涉密信息的密级、数量、业务类型、分布范围、输入输出情况、在涉密网络间的流转情况进行分析，辅助掌握涉密信息的总体情况，为违规策略的制定提供数据依据。
11.优选地，所述对违规事件进行核查监督包括：业务主管、运维主管查看权限内的违规事件，填报违规事件的核实情况、事件成因和整改措施，并根据核查情况，调整相应违规策略；保密主管对违规事件的处置情况进行督促，包括：查看事件信息、查看处置情况以及对处置情况填报不规范的事件发送监督信息。
12.优选地，所述网络信息安全监管方法还包括对违规事件记录进行分析，形成本机关单位的态势分析报告，具体包括对网络的综合审计监管情况、安全保密态势进行分析，展示网络的基本情况、监管事件及处置情况，定期形成网络监管态势报告，为用户决策提供支撑。
13.第二方面，本技术提供一种网络信息安全监管系统，包括：数据汇接处理模块，用于将网络安全数据、日志数据和网络审计数据接入监管系统；数据存储模块，用于对接入的数据进行清洗处理并分类存储至不同的对象库中；
对象行为分析模块，用于对入库的数据进行分析是否产生违规事件；监管事件分析模块，用于对违规事件进行告警；事件核查处置模块，用于对违规事件进行核查监督；态势分析展示模块，用于对违规事件记录进行分析，形成本机关单位的态势分析报告。
14.与现有技术相比，本发明的有益效果是：本发明提供的网络信息安全监管方法，面向机关单位网络需求，通过汇聚网络安全数据、日志数据和网络审计数据进行综合分析，针对不同的数据类型定义相应的违规策略，并对违规事件进行核查监督，提升机关单位网络保密风险管控和治理能力。
15.另一方面，本发明以数据安全保密为核心，对用户、管理员、应用服务、保密信息、网络互联互通等重要对象进行行为刻画分析，从配置合规性，生成监管事件并提供事件处置功能，对监管事件和相关风险的相应、核实、整改等处置过程进行监督管理，进一步提升机关单位网络保密风险管控和治理能力。
16.本技术的其他特征和优点将在随后的说明书阐述，并且，部分地从说明书中变得显而易见，或者通过实施本技术了解本技术的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
17.图1为本发明一种网络信息安全监管方法的流程框图；图2为本发明一种网络信息安全监管系统的连接框图。
具体实施方式
18.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
19.如图1所示，本发明提供的第一种实施例，一种网络信息安全监管方法，包括：s1、获取网络安全数据、日志数据和网络审计数据；支持汇聚本地和远程接入区涉密网络检测器上报的数据，其中，所述网络安全数据包括流量监测数据、运行状态信息；日志数据包括主机与服务器日志数据、数据通信设备日志数据、涉密应用系统日志数据、安全保密产品日志数据，所述安全保密产品包括防火墙、入侵检测、漏洞扫描、网络接入控制系统、涉密计算机移动存储介质保密管理系统、安全监控与审计产品、终端安全登录系统、密级标志管理系统、计算机防病毒系统、安全保密增强电子邮件、电子文档管控系统。
[0020] s2、对获取的数据进行清洗处理并分类存储至不同的对象库中，所述清洗处理包括数据预处理和数据格式校验；s3、针对对象库内的数据类型定义相应的违规策略；s4、对所述对象库内的数据分别进行违规分析，分析是否产生违规事件；
s5、对违规事件进行核查监督。
[0021]
优选地，所述数据预处理包括对获取数据进行格式化处理、补充上下文信息和异常数据清除；具体的，支持按照syslog和https两种数据协议的在线接口接收。
[0022]
支持按照xml、excel、json等格式的离线接口接收，并对格式进行校验。
[0023]
对各类已汇聚的数据，进行标准化解析、过滤、抽取、转换、校验等操作，形成规范化数据格式。
[0024]
对汇聚的数据按照源数据格式的解析，提取分析所需的关键信息，验证数据格式和内容，将不符合格式要求的数据进行过滤，对不完整的、内容错误、重复的数据，进行补全、校正、去重等处理，形成标准化数据。
[0025]
所述清洗处理还包括当数据格式校验失败时产生告警信息；所述对象库设置有入库操作访问权限，所述入库操作包括查询、统计、导出和备份。
[0026]
优选地，所述针对对象库内的数据类型定义相应的违规策略包括：对数据库内的数据进行行为分析，形成用户画像；针对不同的用户画像制定相应的违规策略；基于违规策略进行行为的违规分析，生成违规事件。
[0027]
优选地，所述用户画像包括用户行为、管理员行为、应用服务、网络互联互通行为；针对用户行为的违规事件包括用户身份冒用、破坏本地安全机制、违规接入设备、网络访问异常和数据处理异常；具体的，身份冒用：暴力破解终端操作系统；破坏本地安全机制：终端防护软件客户端（防病毒/安全登录/主机审计/三合一）不在线、用户修改三合一策略、用户变更终端操作系统（重装、双系统、安装虚拟机等）、用户本地安装非授权软件、用户提权执行命令；违规接入设备：用户接入无线外设（如无线鼠标、无线键盘、无线网卡等）、用户使用非授权通用usb移动存储介质、用户使用非授权专用移动存储介质、用户接入未知硬盘、用户非授权接入usb设备（如打印机、扫描仪、移动光驱等）；网络访问异常：用户连接国际互联网或其他公共信息网络、用户远程登录其他用户终端操作系统/服务器操作系统、用户访问其他用户终端开启的服务，如文件共享/ftp、用户直接访问数据库系统、用户访问非授权应用系统、用户进行网络扫描探测、用户使用异常参数（超长、变形、命令、特殊字符等）访问应用系统、用户使用他人账号登录应用系统、用户成功登录网络设备/安全保密产品管理页面、用户发起或执行远程命令；数据处理异常：用户异常打印/刻录文件（综合设备、文件类型、时间、频次、大小等）、用户尝试脱标或篡改密标、用户违规存储/处理高密级文件、用户处理超出日常业务范围文件、用户下载应用系统文件数量异常、用户上传可疑数据；针对管理员行为的违规事件包括管理员身份冒用、破坏主机安全机制、违规接入设备、网络访问异常和数据处理异常；身份冒用：暴力破解终端操作系统；破坏本地安全机制：卸载或关闭运维终端/服务器安全保密产品客户端程序、变更
运维终端/服务器操作系统（如重装、双系统、安装虚拟机等）、运维终端/服务器安装非授权软件、运维终端/服务器提权执行命令；违规接入设备：运维终端/服务器接入无线外设（如无线鼠标、无线键盘、无线网卡等）、运维终端/服务器接入非授权通用移动存储介质、运维终端/服务器接入非授权专用移动存储介质、运维终端/服务器接入未知硬盘、运维终端/服务器接入非授权usb设备（如打印机、扫描仪、移动光驱等）；网络运维异常：运维终端/服务器连接国际互联网或其他公共信息网络、管理员进行网络扫描探测、绕过运维管理域认证机制（堡垒机等）直接运维、使用异常协议运维、使用异常端口运维、使用异常参数（超长、变形、命令、特殊字符等）运维；违规处理业务数据：管理员在用户终端/服务器上打印或刻录本地文件、管理员在用户终端/服务器上打印或刻录本地文件、管理员访问用户终端/服务器本地业务数据、管理员使用运维终端大量刻录文件、管理员远程访问或获取业务数据（应用系统、数据库系统、其他用户终端）、管理员上传可疑数据（程序）；针对应用服务的违规事件包括通信范围异常、通信路径异常和数据异常；通信范围异常：与非授权用户安全域或网段通信；通信路径异常：管理员访问业务页面、用户从运维管理域访问业务页面、用户访问管理页面、用户访问非授权页面、用户访问序列异常页面、异常通信协议（对外通信、应用系统内部设备间通信、应用系统与其他有关设备通信）、异常通信参数（对外通信、应用系统内部设备间通信、应用系统与其他有关设备通信）、新增服务端口（对外通信、应用系统内部设备间通信、应用系统与其他有关设备通信）、应用系统主动访问用户终端；数据异常：存储处理高密级文件、存储处理业务范围之外的文件、数据被用户或管理员异常下载或爬取；针对网络互联互通行为的违规事件包括互联范围异常、互联访问异常和数据流转异常。
[0028]
互联范围异常：互联边界存在非授权或未知设备、互联边界存在异常通信关系；互联访问异常：互联边界存在异常访问协议、互联边界存在异常访问端口、互联边界存在异常访问参数（超长、变形、命令、特殊字符等）；数据流转异常：互联边界违规流转高密级文件、互联边界流转超出业务范围文件；优选地，所述针对不同的用户画像制定相应的违规策略包括：针对用户行为了解网络中内外部用户的基本情况、终端操作情况、网络访问情况、本地文件处理情况，掌握用户的终端登陆规律、业务访问范围及访问方式、处理数据的范围、文件输入输出情况并进行分析，将不符合用户基本行为习惯的行为定义为违规行为；针对管理员行为了解网络中管理员的基本情况、运维终端操作情况、运维对象及运维方式进行分析，掌握其运维操作规律，将不符合管理员操作行为习惯的行为定义为违规行为；针对网络互联互通行为了解互联单位名称、互联网络密级、互联方式、互联互通的地址范围、互联通信关系和通信方式、互联网络间的文件传输情况并进行分析，将不符合互联互通情况的行为定义为违规行为。
[0029]
优选地，所述数据类型包括涉密信息，所述针对对象库内的数据类型定义相应的
违规策略还包括：对涉密信息的密级、数量、业务类型、分布范围、输入输出情况、在涉密网络间的流转情况进行分析，辅助掌握涉密信息的总体情况，为违规策略的制定提供数据依据。
[0030]
优选地，所述对违规事件进行核查监督包括：业务主管、运维主管查看权限内的违规事件，填报违规事件的核实情况、事件成因和整改措施，并根据核查情况，调整相应违规策略；针对对象库内的数据类型定义相应的违规策略还包括支持启用或停用基于对象分析结果推荐对象监测违规策略的模式；针对对象库内的数据类型定义相应的违规策略还包括支持对对象监测违规策略进行配置管理，至少包括新增、修改、统计等；支持根据监管事件核查处置结果进行事件分析调优；支持根据监管事件核查处置结果对偏差的对象监测违规策略进行调整。
[0031]
保密主管对违规事件的处置情况进行督促，包括：查看事件信息、查看处置情况以及对处置情况填报不规范的事件发送监督信息。
[0032]
优选地，所述网络信息安全监管方法还包括：s6、对违规事件记录进行分析，形成本机关单位的态势分析报告，具体包括对网络的综合审计监管情况、安全保密态势进行分析，展示网络的基本情况、监管事件及处置情况，定期形成网络监管态势报告，为用户决策提供支撑。
[0033]
第二方面，如图2所示，本技术提供一种网络信息安全监管系统，该系统包括：数据汇接处理模块，用于将网络安全数据、日志数据和网络审计数据接入监管系统；数据存储模块，用于对接入的数据进行清洗处理并分类存储至不同的对象库中；对象行为分析模块，用于对入库的数据进行分析是否产生违规事件；监管事件分析模块，用于对违规事件进行告警；事件核查处置模块，用于对违规事件进行核查监督；态势分析展示模块，用于对违规事件记录进行分析，形成本机关单位的态势分析报告。
[0034]
其中，数据汇接处理模块配置各类数据接入后，通过数据清洗取得所需要的数据，将数据分类存储至不用的对象库中。行为分析模块将对入库的数据进行分析是否产生违规事件，若发现有违规事件发生则在监管事件分析模块中产生行为异常信息并进行告警，后续由安全保密主管和运维等相关技术人员进行处理操作，定期对安全事件发生态势进行分析并展示。其中，所述数据存储模块包括基础信息库、对象库、事件库、态势库和原始库，行为分析模块将对入库的数据进行分析是否产生违规事件，并违规事件存储至事件库；态势分析展示模块对违规事件记录进行分析，形成本机关单位的态势分析报告并存储至态势库。
[0035]
所述监管事件分析模块包括用户行为监管、运维行为监管（即管理员行为监管）、应用服务监管、网络安全监管、配置合规性监管和互联互通监管。
[0036]
配置合规性监管包括身份鉴别失效、密码保护失效、访问控制失效、系统安全性检测失效、安全审计失效和外联控制失效。
[0037]
网络安全监管包括网络安全状态异常和数据流转异常。
[0038]
事件核查处置模块包括业务核查处置、运维核查处置、保密监督处置和预警督办处置；监管核查处置：支持业务主管、运维主管查看权限内的异常事件，填报事件的核实情况、事件成因、整改措施等，根据核查情况，调整用户行为异常事件的监管策略；保密监督处置：支持保密主管对监管事件的处置情况进行督促。包括：查看事件信息、查看处置情况，对处置情况填报不规范的事件发送监督信息；预警督办处置：保密主管查看并处置上级下发的预警、督办、协办任务，包括：预警信息查看、预警督办相应、协办申请。
[0039]
事件核查处置模块包括流程配置管理：配置事件核查处置、事件督促、预警督办处置响应的流程，同时支持配置事件督促规则。
[0040]
态势分析展示包括：态势数据提取，抽取并预处理态势数据，为态势分析及态势展示提供态势数据支撑。从数据存储系统抽取单位基本信息、监管事件及处置信息、预警/督办/协办及相应信息，进行态势要素抽取、标准格式转换，为上层态势分析及展现提供所需要的格式化数据；态势分析，进行事件态势分析、处置态势分析、事件统计，为态势展示提供态势分析数据支撑。对监管事件进行多维度统计分析，如事件类型、事件发生时段、所处部门等要素，分析其发展态势、分布、比例等；态势展示，对单位网络态势进行分类展示，定期生成态势报告，为用户决策提供支撑。展示要素包括单位、部门安全保密基本情况，包括用户、管理员、应用系统、涉密信息流转、网络、设备、单位互联等情况的统计信息。展示单位网络监测状态，包括监测器部署信息、在线状态信息、数据汇聚情况信息等。
[0041]
态势报告包括按月、季度、年度等生成单位网络态势报告，报告要素至少包含态势分析展示结果、整改措施等内容，并支持报告模板管理。通过以上步骤完成本单位的网络监管，及时发现违规行为，保护涉密信息。
[0042]
本技术的网络信息安全监管系统能够实现大数据量的采集、归类分析、行为画像、行为预测，并最终展示、管控，同时还可以实现上下级的联动，具体可以同时安装在上下级单位或者平级单位，系统之间可以进行审批、协同办理案件等操作。
[0043]
工作原理：本发明提供的网络信息安全监管方法，面向机关单位网络需求，通过汇聚网络安全数据、日志数据和网络审计数据进行综合分析，针对不同的数据类型定义相应的违规策略，并对违规事件进行核查监督，提升机关单位网络保密风险管控和治理能力。
[0044]
另一方面，本发明以数据安全保密为核心，对用户、管理员、应用服务、保密信息、网络互联互通等重要对象进行行为刻画分析，从配置合规性，生成监管事件并提供事件处置功能，对监管事件和相关风险的相应、核实、整改等处置过程进行监督管理，进一步提升机关单位网络保密风险管控和治理能力。
[0045]
在本技术的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。
[0046]
本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实
施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质上实施的计算机程序产品的形式。其中，存储介质可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器（static random access memory, 简称sram），电可擦除可编程只读存储器（electrically erasable programmable read-only memory, 简称eeprom），可擦除可编程只读存储器（erasable programmable read only memory, 简称eprom），可编程只读存储器（programmable red-only memory, 简称prom），只读存储器（read-onlymemory，简称rom），磁存储器，快闪存储器，磁盘或光盘。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能。