專利名稱:一種安全管理系統(tǒng)�、裝置和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域��,特別涉及一種安全管理的系統(tǒng)�、裝置和 方法。
背景技術(shù):
隨著電信網(wǎng)絡(luò)向融合��、智能化����、多媒體化等方向的飛速發(fā)展���,電信網(wǎng)絡(luò) 的信息安全問(wèn)題變得日益嚴(yán)重����,雖然我國(guó)已經(jīng)對(duì)信息安全和網(wǎng)絡(luò)安全方面的 問(wèn)題給予了高度的重視�����,并且也開(kāi)始進(jìn)行大力地研究和技術(shù)發(fā)展��,目前在電信網(wǎng)絡(luò)中已經(jīng)部署了防火墻�����、IDS (Invade Detect System,入侵檢測(cè)系統(tǒng))、 IPS( Intrusion Prevention System,入侵防御系統(tǒng))等安全產(chǎn)品并且有一定的SOC (Security Operation Center,安全管理中心)系統(tǒng)進(jìn)4亍部署��,但仍然不能很好 地解決電信網(wǎng)絡(luò)中層出不窮�����、日益嚴(yán)重的問(wèn)題�����,例如雖然能夠檢測(cè)出事件�����, 但是基本上都是依靠工單系統(tǒng)下派任務(wù)然后依靠人來(lái)完成安全產(chǎn)品或其他網(wǎng) 元的配置�、脆弱性修復(fù)、補(bǔ)丁下發(fā)等配置管理操作����,^v而延長(zhǎng)了處理時(shí)間, 給攻擊的擴(kuò)散和蔓延留下了可乘之機(jī)����,導(dǎo)致了更大的損失?����,F(xiàn)有的信息管理系統(tǒng)的基本架構(gòu)如圖l所示�����。信息管理系統(tǒng)通過(guò)在安全設(shè) 備中設(shè)定代理來(lái)收集安全信息���,然后進(jìn)行一定的關(guān)聯(lián)分析,形成一定格式的 信息報(bào)表�,以供管理員了解,作為管理員進(jìn)行一定安全部署的參考信息����。安 全信息管理系統(tǒng)主要是通過(guò)網(wǎng)管系統(tǒng)對(duì)網(wǎng)絡(luò)安全事件及相關(guān)信息進(jìn)行采集�����、 獲取�����、關(guān)聯(lián)分析��,并給管理員提供一定的分析結(jié)果,以便使管理員能夠進(jìn)一 步分析出到對(duì)網(wǎng)絡(luò)中現(xiàn)有安全問(wèn)題的措施建議��,再對(duì)網(wǎng)絡(luò)進(jìn)行相應(yīng)處理和操 作�。但是一方面由于沒(méi)有設(shè)置面向網(wǎng)元的配置接口及其功能,另一方面該安 全信息管理系統(tǒng)是基于現(xiàn)有網(wǎng)管的工作流程和模式提出�����,運(yùn)行還需要大量的 工作流程和人為監(jiān)督來(lái)配合��,從而4艮難實(shí)現(xiàn)職能化的配置���、脆弱性修復(fù)���、補(bǔ)
丁下發(fā)等管理功能,處理效率低�,補(bǔ)救時(shí)間長(zhǎng),為攻擊的擴(kuò)大影響留下了隱患�。如圖2所示,為現(xiàn)有的計(jì)算機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)示意圖���。計(jì)算機(jī)網(wǎng) 絡(luò)的網(wǎng)絡(luò)安全系統(tǒng)是一種應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域的網(wǎng)絡(luò)安全系統(tǒng)���,包括 網(wǎng)絡(luò)安全管理中心����、網(wǎng)絡(luò)安全設(shè)備和適配器���,適配器位于網(wǎng)絡(luò)安全管理中心 與網(wǎng)絡(luò)安全設(shè)備之間�,網(wǎng)絡(luò)安全管理中心與適配器之間采用網(wǎng)絡(luò)協(xié)議通信��, 適配器與網(wǎng)絡(luò)安全設(shè)備之間采用網(wǎng)絡(luò)安全設(shè)備的網(wǎng)絡(luò)協(xié)議和對(duì)應(yīng)端口進(jìn)行通 信��;由適配器實(shí)現(xiàn)與網(wǎng)絡(luò)安全設(shè)備通信的網(wǎng)絡(luò)協(xié)議���,并轉(zhuǎn)換數(shù)據(jù)4各式���,對(duì)網(wǎng) 絡(luò)安全設(shè)備的配置管理信息和安全信息進(jìn)行初步處理,而網(wǎng)絡(luò)安全管理中心 則集中管理適配器���,對(duì)來(lái)自網(wǎng)絡(luò)安全設(shè)備的安全信息進(jìn)行進(jìn)一步的處理和存 儲(chǔ)。此方案是基于計(jì)算機(jī)系統(tǒng)的�����,而電信網(wǎng)絡(luò)中的設(shè)備既包含一定數(shù)量的一 般計(jì)算機(jī)設(shè)備,還包括大量的不同于一般計(jì)算機(jī)的電信設(shè)備�����,況且電信網(wǎng)絡(luò) 層次繁多���、互聯(lián)互通復(fù)雜�,所以將計(jì)算機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)直接應(yīng)用 到電信網(wǎng)絡(luò)中是有一定的局限性的�。此外,該方案也沒(méi)有設(shè)置面向網(wǎng)元的配 置接口及其功能�����,從而也很難實(shí)現(xiàn)智能化的配置管理�,難以應(yīng)對(duì)紛繁復(fù)雜的攻擊。因此���,現(xiàn)有技術(shù)的缺點(diǎn)是沒(méi)有設(shè)置面向網(wǎng)元的配置接口及其功能�����,難 以實(shí)現(xiàn)智能化的配置管理��,為攻擊的擴(kuò)大影響留下了隱患����,難以應(yīng)對(duì)紛繁復(fù) 雜的攻擊。發(fā)明內(nèi)容本發(fā)明實(shí)施例提供一種安全管理系統(tǒng)�����、裝置和方法���,以實(shí)現(xiàn)在安全管理 系統(tǒng)中設(shè)置面向被管理對(duì)象的配置接口及其功能�,實(shí)現(xiàn)智能化的配置管理�。為達(dá)到上述目的,本發(fā)明實(shí)施例一方面提供一種安全管理系統(tǒng)���,包括網(wǎng) 絡(luò)安全管理架構(gòu)NSMF和網(wǎng)絡(luò)管理系統(tǒng)NMS���,所述NSMF通過(guò)雙向4妄口與所 述NMS和被管理對(duì)象進(jìn)行信息交互,獲取網(wǎng)絡(luò)安全信息���,并對(duì)所述^皮管理對(duì) 象進(jìn)行管理����。另一方面�,本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)安全管理架構(gòu)NSMF,包括事
件管理功能EMF模塊,用于通過(guò)所述雙向接口獲取所述被管理對(duì)象發(fā)生的安 全事件�,對(duì)所述安全事件進(jìn)行處理;脆弱性管理功能VMF模塊�,用于通過(guò)所 述雙向接口對(duì)所述被管理對(duì)象的安全脆弱性進(jìn)行掃描,并將所述被管理對(duì)象 安全脆弱性的掃描結(jié)果傳送給風(fēng)險(xiǎn)管理功能RMF模塊��;風(fēng)險(xiǎn)管理功能RMF 模塊�,用于根據(jù)接收自所述EMF模塊的安全事件和接收自所述VMF模塊的 安全脆弱性的掃描結(jié)果進(jìn)行安全風(fēng)險(xiǎn)評(píng)估,生成網(wǎng)絡(luò)安全風(fēng)險(xiǎn)報(bào)告并上報(bào)�; 管理中心功能MCF模塊,用于對(duì)所述EMF模塊���、所述VMF模塊和所述RMF 模塊進(jìn)行管理�,對(duì)所述MCF模塊的用戶進(jìn)行管理�����。再一方面����,本發(fā)明實(shí)施例提供一種安全管理方法,包括以下步驟NSMF 通過(guò)雙向接口獲取被管理對(duì)象發(fā)生的安全事件�����,對(duì)所述安全事件進(jìn)行處理; 所述NSMF通過(guò)所述雙向接口對(duì)所述被管理對(duì)象的安全脆弱性進(jìn)行掃描�,將 所述被管理對(duì)象安全脆弱性的掃描結(jié)果上報(bào);所述NSMF根據(jù)所述安全事件 和所述安全脆弱性的掃描結(jié)果對(duì)所述被管理對(duì)象進(jìn)行安全風(fēng)險(xiǎn)評(píng)估�����。與現(xiàn)有"t支術(shù)相比��,本發(fā)明實(shí)施例具有以下優(yōu)點(diǎn)本發(fā)明實(shí)施例在安全管 理系統(tǒng)中的NSMF與被管理對(duì)象之間配置了雙向接口 ��,并設(shè)置了該雙向接口 的功能�,在NSMF的各功能模塊之間也配置了雙向接口并設(shè)置了相應(yīng)的功能, 從而實(shí)現(xiàn)了智能化的配置管理���,提高了安全管理系統(tǒng)的靈活性和適應(yīng)性�。
圖1為現(xiàn)有技術(shù)信息管理系統(tǒng)架構(gòu)示意圖�;圖2為現(xiàn)有技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)示意圖;圖3為本發(fā)明實(shí)施例安全管理系統(tǒng)架構(gòu)示意圖��;圖4為本發(fā)明實(shí)施例安全管理系統(tǒng)的NSMF架構(gòu)示意圖��;圖5為本發(fā)明實(shí)施例NSMF與NMS并列非互通關(guān)系示意圖��;圖6為本發(fā)明實(shí)施例NSMF與NMS并列互通關(guān)系示意圖���;圖7為本發(fā)明實(shí)施例NSMF與NMS附屬關(guān)系示意圖����;圖8為本發(fā)明實(shí)施例NSMF與NMS融合關(guān)系示意圖9為本發(fā)明實(shí)施例NSMF與NMS被管關(guān)系示意圖���; 圖10為本發(fā)明實(shí)施例安全管理方法的流程圖����。
具體實(shí)施方式
本發(fā)明實(shí)施例提供了一種安全管理系統(tǒng)�����,包括NSMF (Network Security Management Framework, 網(wǎng)絡(luò)安全管理架構(gòu))���、NMS (Network Management System,網(wǎng)絡(luò)管理系統(tǒng))和被管理對(duì)象�,并且在NSMF與被管理對(duì)象�,NSMF 與NMS以及NSMF的各功能模塊之間都配置了雙向接口并設(shè)置了相應(yīng)的功能, 實(shí)現(xiàn)了對(duì)安全管理系統(tǒng)的智能化配置管理�����,提高了安全管理系統(tǒng)的靈活性和 適應(yīng)性���。本發(fā)明實(shí)施例將以被管理對(duì)象為資產(chǎn)為例進(jìn)行說(shuō)明��。如圖3所示����,為本發(fā)明實(shí)施例安全管理系統(tǒng)架構(gòu)示意圖,本發(fā)明實(shí)施例的 安全管理系統(tǒng)以安全風(fēng)險(xiǎn)管理為核心����,其中NSMF對(duì)外的接口包括NSMF與 安全關(guān)聯(lián)數(shù)據(jù)庫(kù)的互通的接口 、 NSMF從網(wǎng)元獲取信息并對(duì)網(wǎng)元進(jìn)行配置的接 口�、 NSMF與NMS交互的接口 、 NSMF與其他系統(tǒng)之間的接口����。該架構(gòu)內(nèi)的接 口包括控制中心與策略管理功能模塊、風(fēng)險(xiǎn)管理功能^t塊��、事件管理功能 模塊����、脆弱性管理功能模塊、資產(chǎn)管理功能模塊之間交互的接口����,以及風(fēng)險(xiǎn) 管理功能模塊與事件管理功能模塊�、脆弱性管理功能模塊之間交互的接口 ����。 從整個(gè)通信網(wǎng)絡(luò)布局來(lái)看,NSMF是起安全管理作用的中控系統(tǒng)���,與現(xiàn)有網(wǎng)絡(luò) 中的NMS可以為并列非互通關(guān)系、并列互通關(guān)系�����、附屬關(guān)系�����、融合關(guān)系或凈皮 管關(guān)系等多種關(guān)系?�,F(xiàn)有網(wǎng)絡(luò)中NMS對(duì)安全網(wǎng)元有著直接的管理關(guān)系�����,所以 為了不對(duì)現(xiàn)有網(wǎng)絡(luò)產(chǎn)生沖擊�����,本架構(gòu)將保留這種管理關(guān)系。其中����,NSMF負(fù)責(zé)完成以下功能> 乂人SNE ( Security Network Element,安全網(wǎng)元)和部分網(wǎng)元中獲取網(wǎng) 絡(luò)的安全信息,包括通過(guò)主動(dòng)發(fā)起獲取請(qǐng)求或命令得到方式得到反饋��、通過(guò) 在安全網(wǎng)元設(shè)置代理向其匯報(bào)方式�、通過(guò)安全網(wǎng)元管理人員匯報(bào)等方式獲取 的信息。對(duì)SNE和部分網(wǎng)元發(fā)生的安全事件進(jìn)行實(shí)時(shí)的篩選���、關(guān)聯(lián)分析����、等級(jí) 評(píng)估���,并以適當(dāng)?shù)男问匠尸F(xiàn)給用戶�����;對(duì)SNE和部分網(wǎng)元的安全脆弱性進(jìn)行檢測(cè)���、 綜合評(píng)估,并提供一定的修復(fù)指導(dǎo)和建議。>對(duì)SNE�����、網(wǎng)元群組l和安全相關(guān)數(shù)據(jù)庫(kù)進(jìn)行管理�、控制、配置���。 >與NMS�����、安全相關(guān)數(shù)據(jù)庫(kù)和其他信息系統(tǒng)進(jìn)行信息交互����,如從NMS獲 取關(guān)于安全網(wǎng)元的信息�����、向其他信息系統(tǒng)發(fā)送告警信息��。>對(duì)各網(wǎng)元之間的安全聯(lián)動(dòng)響應(yīng)進(jìn)行支持�����、維護(hù)����、轉(zhuǎn)達(dá)、控制����、管理。 >對(duì)NSMF的用戶的帳號(hào)�、權(quán)限、訪問(wèn)進(jìn)行控制和管理�。 >具有日志和審計(jì)的功能。其中���,SNE為電信網(wǎng)絡(luò)中的安全網(wǎng)元���,如防火墻、IDS���、 IPS�����、安全代理 等安全防護(hù)實(shí)體����。其中,NE為網(wǎng)元�����,指電信網(wǎng)絡(luò)中的各類用于傳輸����、交換、業(yè)務(wù)應(yīng)用的網(wǎng) 元�����,如主機(jī)或其管理系統(tǒng)����、路由器或其管理系統(tǒng)����、交換機(jī)、應(yīng)用服務(wù)器����、數(shù) 據(jù)庫(kù)�、各類網(wǎng)關(guān)�。在這里,將電信網(wǎng)絡(luò)中網(wǎng)元分成兩部分���,其中群組l是指可 以同時(shí)或受NMS和NSMF中一方管理�、控制的網(wǎng)元��;群組2是指只受NMS管理�����、 控制的網(wǎng)元�����。其中�,NMS為現(xiàn)有電信網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)管理系統(tǒng)。其中����,其他信息系統(tǒng)指電信網(wǎng)絡(luò)中其他能夠向NSMF提供安全信息或需要 NSMF向其提供安全信息的信息系統(tǒng),可以是路由器管理系統(tǒng)���、運(yùn)營(yíng)商的工單 系統(tǒng)��、EOMS ( Entriprise Operation Manager System,企業(yè)操作管理系統(tǒng))等 信息系統(tǒng)�。如圖4所示,為本發(fā)明實(shí)施例安全管理系統(tǒng)的NSMF架構(gòu)示意圖����,下面對(duì) NSMF的主要功能實(shí)體的功能進(jìn)行描述1、 NSMF中各模塊的功 能(a) MCF模塊的功能i. 對(duì)內(nèi)部功能模塊進(jìn)行管理�����、控制���、配置����;ii. 向用戶提供良好的管理界面��,對(duì)MCF的用戶的帳號(hào)�、權(quán)限、訪問(wèn)進(jìn) 行控制和管理����,負(fù)責(zé)進(jìn)行用戶的鑒權(quán)和管理操作交互�、接收網(wǎng)絡(luò)安全風(fēng)險(xiǎn)報(bào) 告和網(wǎng)絡(luò)安全告警凈艮告�����,向網(wǎng)絡(luò)管理員(或網(wǎng)管中心)轉(zhuǎn)發(fā)等��;iii. 進(jìn)行用戶管理�����、訪問(wèn)控制�����、安全審計(jì)等工作����。負(fù)責(zé)系統(tǒng)對(duì)外部訪問(wèn)(包 括因特網(wǎng)和辦公網(wǎng)����、網(wǎng)管網(wǎng)的訪問(wèn))和外部接入系統(tǒng)的集中訪問(wèn)控制; iv. 具有一定的集成數(shù)據(jù)庫(kù)功能�,管理和維護(hù)資產(chǎn)信息庫(kù)及安全知識(shí)庫(kù), 可以根據(jù)預(yù)設(shè)策略直接補(bǔ)充或通過(guò)管理員人工完善��;v. 管理NSMF系統(tǒng)日志及安全風(fēng)險(xiǎn)管理模塊上報(bào)的網(wǎng)絡(luò)安全曰志�;vi. 與NMS等信息系統(tǒng)進(jìn)行信息交互�����,如從NMS獲取關(guān)于安全網(wǎng)元的信 息�、向其他系統(tǒng)發(fā)送告警信息�;vii. MCF模塊包括安全相關(guān)數(shù)據(jù)庫(kù),可以與安全相關(guān)數(shù)據(jù)庫(kù)進(jìn)行信息交 換��,包括從安全相關(guān)數(shù)據(jù)庫(kù)獲取類似事件處理方法��、脆弱性庫(kù)等安全知識(shí)��, 同時(shí)也可以對(duì)安全相關(guān)數(shù)據(jù)庫(kù)中的內(nèi)容進(jìn)行更新�����。該安全相關(guān)數(shù)據(jù)庫(kù)為NSMF 在運(yùn)行中需要依照或參考的知識(shí)庫(kù)��,其中包括安全事件的處理方法��、CVE(Common Vulnerabilities and Exposures �,公共漏洞和暴露)、安全基線�、用于 配置的策略;其初始化、創(chuàng)新����、更新���、修改�����、補(bǔ)充�����、消除等程序由NSMF的 MCF模塊來(lái)負(fù)責(zé)完成��。(b) RMF模塊的功能i. RMF模塊是本架構(gòu)的核心功能����,其輸入包含安全事件信息和安全脆弱性 4言息兩個(gè)方面����。ii. 風(fēng)險(xiǎn)管理模塊主要進(jìn)行對(duì)篩選出的安全事件報(bào)告、網(wǎng)絡(luò)和系統(tǒng)安全脆 弱性進(jìn)行收集�,并參考資產(chǎn)信息和網(wǎng)絡(luò)安全組織策略(安全基線)進(jìn)行安全 風(fēng)險(xiǎn)的評(píng)估,最后產(chǎn)生安全風(fēng)險(xiǎn)評(píng)估報(bào)告提交給管理系統(tǒng),安全風(fēng)險(xiǎn)報(bào)告中 應(yīng)該包括可能導(dǎo)致該風(fēng)險(xiǎn)的所有安全事件和安全脆弱性清單�,以及可能產(chǎn)生 的安全風(fēng)險(xiǎn)等級(jí)。(c) PMF模塊的功能i.NSMF支持對(duì)整個(gè)系統(tǒng)的安全策略的存儲(chǔ)保護(hù)�����、配置管理�、訪問(wèn)控制和 集中下發(fā)等管理功能。在運(yùn)營(yíng)中����,安全策略管理功能模塊通過(guò)第八接口來(lái)傳 輸信息進(jìn)而來(lái)完成對(duì)安全策略的集中管理,主要包括根據(jù)組織策略采取一套 完整的��、特殊的機(jī)制來(lái)進(jìn)行存儲(chǔ)保護(hù)���、配置管理���、訪問(wèn)控制等管理。安全策 略的集中下發(fā)在NSMF內(nèi)部主要面向信息安全事件管理���、信息安全風(fēng)險(xiǎn)評(píng)估及 管理�、網(wǎng)絡(luò)安全脆弱性掃描等系統(tǒng)�����,在NSMF外部可以根據(jù)網(wǎng)絡(luò)實(shí)際配置狀況 進(jìn)行設(shè)定。安全策略集中管理的范圍包括網(wǎng)絡(luò)安全基線庫(kù)和網(wǎng)元安全策略庫(kù)����。
網(wǎng)絡(luò)安全基線庫(kù)是保證系統(tǒng)內(nèi)(也可以根據(jù)實(shí)際情況擴(kuò)充到整個(gè)電信網(wǎng)絡(luò)中) 設(shè)備�����、系統(tǒng)�、服務(wù)最低安全水平的安全策略數(shù)據(jù)庫(kù),它可以被用來(lái)配置���、衡 量�、檢驗(yàn)設(shè)備�、系統(tǒng)、服務(wù)的安全水平����。網(wǎng)元安全策略庫(kù)是對(duì)系統(tǒng)內(nèi)(也可 以根據(jù)實(shí)際情況擴(kuò)充到整個(gè)電信網(wǎng)絡(luò)中)設(shè)備、系統(tǒng)�、服務(wù)進(jìn)4亍有區(qū)別化的、 針對(duì)化的配置���、下發(fā)的安全策略數(shù)據(jù)���。(d) AMF模塊的功能AMF模塊負(fù)責(zé)對(duì)被管理對(duì)象的信息進(jìn)行管理���,由 于現(xiàn)有網(wǎng)管系統(tǒng)一般已有資產(chǎn)管理功能,因此此模塊也可以考慮實(shí)現(xiàn)在NSMF 內(nèi)部或NMS內(nèi)部��。(e) EMF模塊的功能i. 網(wǎng)絡(luò)系統(tǒng)中根據(jù)安全事件的類型和審計(jì)結(jié)果進(jìn)行不同的操作�,如產(chǎn)生 安全事件報(bào)告和日志記錄等,安全事件管理模塊主要是通過(guò)采集����、過(guò)濾、匯 聚����、關(guān)聯(lián)分析等手段對(duì)安全事件報(bào)告提交和日志記載的事件內(nèi)容進(jìn)行分析并 甑別其中可能產(chǎn)生安全事故的安全事件信息,并對(duì)安全事件進(jìn)行嚴(yán)重性排序���, ^使網(wǎng)絡(luò)安全管理系統(tǒng)或管理員能夠優(yōu)先呈現(xiàn)和處理嚴(yán)重性級(jí)別4交高的安全事 件���,這一過(guò)程中包含日志審計(jì)的功能。ii. NSMF支持結(jié)合其他安全信息對(duì)各種信息安全事件進(jìn)行關(guān)聯(lián)分析�。當(dāng) 信息安全事件篩選模塊將處理后的報(bào)告?zhèn)魉徒o信息安全事件關(guān)聯(lián)分析模塊 后�,信息安全事件關(guān)聯(lián)分析模塊便按照既定策略對(duì)其進(jìn)行匯聚����、關(guān)聯(lián)分析、 嚴(yán)重性排序等一系列分析與處理操作�����,挖掘出隱藏在各個(gè)相關(guān)事件中的信息��, 并將使真正具備威脅的安全事件并報(bào)告給上層管理結(jié)構(gòu)���,以降低系統(tǒng)全面安 全控制所需耗費(fèi)的資源,提高工作效率�����。同時(shí)��,信息安全事件關(guān)聯(lián)分析模塊 也將處理結(jié)果通過(guò)安全風(fēng)險(xiǎn)評(píng)估及管理服務(wù)器傳送給控制中心�,也可能通過(guò) 控制中心傳輸給NMS;信息安全事件關(guān)聯(lián)分析模塊的處理結(jié)果也將通過(guò)安全 風(fēng)險(xiǎn)評(píng)估及管理服務(wù)器傳送給安全日志庫(kù),以便為控制中心的審計(jì)提供基礎(chǔ) 信息���。(f) VMF模塊的功能VMF模塊負(fù)責(zé)對(duì)被管理對(duì)象的脆弱性進(jìn)行收集����、 分析、修復(fù)��、管理���。其中����,被管理對(duì)象指電信網(wǎng)絡(luò)中的受NSMF控制和管理的 各類用于傳輸����、交換、業(yè)務(wù)應(yīng)用的網(wǎng)元是對(duì)受NSMF控制和管理網(wǎng)元的具體化 表示���。1. NSMF支持對(duì)電信網(wǎng)絡(luò)的資產(chǎn)進(jìn)行安全脆弱性掃描��。ii.在運(yùn)行中�����,安全掃描服務(wù)一般由人工啟動(dòng)�、配置��、執(zhí)行,也可以讓系 統(tǒng)根據(jù)預(yù)先配置好的策略模型自動(dòng)對(duì)電信網(wǎng)絡(luò)資產(chǎn)進(jìn)行定期安全掃描�����。掃描 的范圍將根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)和具體實(shí)施情況而定���;掃描結(jié)果將通過(guò)第七接口傳送 給信息風(fēng)險(xiǎn)管理模塊�����,由其結(jié)合資產(chǎn)信息庫(kù)和安全知識(shí)庫(kù)中的信息對(duì)安全掃 描結(jié)果進(jìn)行綜合評(píng)估���,將評(píng)估后的安全掃描"^艮告?zhèn)魉徒o控制中心,并^^送到 安全日志庫(kù)進(jìn)行存儲(chǔ)和管理��,同時(shí)可能會(huì)根據(jù)安全脆弱性的嚴(yán)重程度發(fā)出相 應(yīng)的安全告警通知給控制中心����。2����、 安全管理系統(tǒng)中的接口的功能本發(fā)明實(shí)施例中的接口是一種調(diào)用函數(shù),NSMF通過(guò)這些接口完成與被管 理對(duì)象�����、NMS、其他信息系統(tǒng)和其他NSMF的信息交互���,NSMF內(nèi)部的各功能 模塊之間也通過(guò)接口完成信息交互��、管理和配置等功能��。(a) NSMF與被管理對(duì)象的第一接口和第二接口的功能第一接口�����,例如Ieo接口是NSMF對(duì)被管理對(duì)象的諸如安全事件報(bào)告�、 日志信息各種信息進(jìn)行收集并對(duì)網(wǎng)元設(shè)備進(jìn)行安全配置的接口 ���。第二接口例 如Ivo接口是NSMF對(duì)被管理對(duì)象的安全脆弱性信息進(jìn)行采集并進(jìn)行修復(fù)���、 恢復(fù)等操作的接口。(b) 第三接口的功能第三接口����,例如Imr接口是MCF模塊和RMF模塊之間的接口,用于 下發(fā)安全風(fēng)險(xiǎn)管理指令和接收RMF上報(bào)的安全報(bào)告信息����,因此該接口也有需 要定義的API (Application Programming Interface,應(yīng)用編程接口 )供MCF使 用��。RMF與PMF不同�,后者是一個(gè)類似數(shù)據(jù)庫(kù)管理服務(wù)器的實(shí)體��,而RMF 是一個(gè)具備一定管理功能的中間實(shí)體����,負(fù)責(zé)對(duì)VMF和EMF上報(bào)的中間信息 進(jìn)行處理再上報(bào)給MCF,因此該接口上傳輸?shù)墓芾砻钜话闶前l(fā)送給RMF, RMF在根據(jù)需要進(jìn)行處理或者命令轉(zhuǎn)發(fā)�����,而RMF回送的報(bào)告則可能包含各 種格式的內(nèi)容��,如數(shù)據(jù)表��、圖形等����,所以在實(shí)際使用時(shí)需要在該接口上設(shè)定 能夠滿足傳輸這些信息內(nèi)容需求的協(xié)議�。
(c) 第四接口的功能第四接口,例如Ime接口是EMF和MCF之間的接口�����, MCF通過(guò)此接口 對(duì)EMF進(jìn)行策略配置、管理等操作�����,并從此接口獲取EMF上報(bào)的各類安全 事件報(bào)告�����。(d) 第五接口的功能第五接口 �����,例如imv接口是VMF和MCF之間的接口 �����, MCF通過(guò)此接口 對(duì)VMF進(jìn)行策略配置���、管理等操作�,并從此接口獲取VMF上報(bào)的各類脆弱 性信息報(bào)告��。(e) 第六接口的功能第六接口,例如Ier接口是RMF和EMF之間的接口����, RMF通過(guò)這一 接口向EMF發(fā)送請(qǐng)求信息、管理信息等信息��,EMF向RMF發(fā)送安全事件關(guān) 聯(lián)分析的結(jié)果�,如安全告警報(bào)告和安全日志等。(f) 第七接口的功能第七接口 �����,例如Ivr接口 �,是RMF和VMF之間的接口 , VMF通過(guò)該 接口向RMF發(fā)送掃描結(jié)果�,如脆弱性信息列表和相關(guān)報(bào)告等。(g) 第八接口的功能第八接口�,例如Imp接口是MCF模塊和PMF模塊之間的接口,通過(guò) 這個(gè)接口 NSMF可以對(duì)集中安全策略庫(kù)和安全基線庫(kù)進(jìn)行更新�、維護(hù)、備份�、 訪問(wèn)控制等管理活動(dòng),也可以提取該庫(kù)中的安全策略用于集中下發(fā)和配置�����, 也可以通過(guò)該接口提取安全基線用于安全審計(jì)�����。(h) 第九接口的功能第九接口���,例如Ima接口是AMF和MCF之間的接口���, MCF通過(guò)此接 口對(duì)AMF進(jìn)行初始化、更新����、查詢、配置���、管理等操作��。(i) NSMF與NMS的Imn接口的功能Imn接口是NSMF和NMS系統(tǒng)之間的信息交互接口 �, NSMF通過(guò)該接口 從NMS中獲取管理數(shù)據(jù)���,如資產(chǎn)信息等���,也可以通過(guò)該接口向NMS管理員 發(fā)送安全管理信息數(shù)據(jù),如安全狀態(tài)報(bào)告、風(fēng)險(xiǎn)評(píng)估報(bào)告等����,NMS管理員可 以通過(guò)該接口啟動(dòng)或監(jiān)控NSMF提供的安全管理功能,如安全缺陷掃描等�����。 (j)兩個(gè)NSMF之間的Imm接口的功能 Imm接口是兩個(gè)NSMF之間信息交互的接口 ��?���?捎糜谠趦蓚€(gè)NSMF之間 互通預(yù)警信息、安全聯(lián)動(dòng)信息���、資產(chǎn)信息等信息��。(k) NSMF與其他系統(tǒng)之間的Imo接口的功能因在NSMF運(yùn)營(yíng)中�,NSMF可能會(huì)與路由器管理系統(tǒng)�、運(yùn)營(yíng)商的工單系 統(tǒng)、EOMS等信息系統(tǒng)進(jìn)行互通����,以相這些系統(tǒng)提供必要的安全信息�����,或者 從這些系統(tǒng)獲取安全信息。所以需要Imo來(lái)支持和完成NSMF與其他系統(tǒng)之 間的信息交互����。本發(fā)明實(shí)施例中,NSMF與現(xiàn)有電信網(wǎng)絡(luò)中的NMS之間可以有以下關(guān)系(1) 并列非互通關(guān)系即NSMF與現(xiàn)有電信網(wǎng)絡(luò)中網(wǎng)管系統(tǒng)NMS之間 不進(jìn)行信息互通��,彼此都對(duì)網(wǎng)元管理系統(tǒng)進(jìn)行管理�,只不過(guò)職能劃分不同, 二者對(duì)網(wǎng)元管理系統(tǒng)進(jìn)行管理的職能不存在交集����,彼此間的職能是互補(bǔ)的, 二者的職能構(gòu)成了管理完備集合����,如圖5所示。NSMF只針對(duì)被管對(duì)象的安 全管理方面進(jìn)行管理�����,現(xiàn)有電信網(wǎng)絡(luò)中網(wǎng)管系統(tǒng)NMS對(duì)被管對(duì)象的故障���、性 能����、帳號(hào)、計(jì)費(fèi)等方面進(jìn)行管理����。此外,考慮到實(shí)際應(yīng)用中����,可能需要保護(hù) 具有重要影響或具有重大價(jià)值的網(wǎng)元,因此�����,NSMF可能會(huì)與某個(gè)或某些網(wǎng) 元進(jìn)行互聯(lián)���,在圖5中用虛線進(jìn)行了標(biāo)識(shí)�。(2) 并列互通關(guān)系即NSMF與現(xiàn)有電信網(wǎng)絡(luò)中網(wǎng)管系統(tǒng)NMS之間可 以進(jìn)行信息互通�,彼此都對(duì)網(wǎng)元管理系統(tǒng)進(jìn)行管理,只不過(guò)職能劃分不同���, 二者對(duì)網(wǎng)元管理系統(tǒng)進(jìn)行管理的職能可能存在交集���,但更多的職能是互補(bǔ)的��, 二者的職能構(gòu)成了管理完備集合��,如圖6所示��。NSMF側(cè)重于對(duì)被管對(duì)象的 安全管理方面進(jìn)行管理,現(xiàn)有電信網(wǎng)絡(luò)中網(wǎng)管系統(tǒng)NMS側(cè)重于對(duì)#1管對(duì)象的 故障���、性能��、帳號(hào)��、計(jì)費(fèi)等方面進(jìn)行管理��。此外��,考慮到實(shí)際應(yīng)用中�,可能 需要保護(hù)具有重要影響或具有重大價(jià)值的網(wǎng)元��,因此����,NSMF可能會(huì)與某個(gè) 或某些網(wǎng)元進(jìn)行互聯(lián)�����,在圖6中用虛線進(jìn)行了標(biāo)識(shí)��。(3) 附屬關(guān)系即NSMF只與NMS互聯(lián)����,而不與網(wǎng)元管理系統(tǒng)��、網(wǎng)元 具有連接關(guān)系�����,如圖7所示�����。NSMF從屬于現(xiàn)有電信網(wǎng)絡(luò)中網(wǎng)管系統(tǒng)NMS, 二者之間需要進(jìn)行信息互通��,NSMF的管理是通過(guò)NMS來(lái)間接實(shí)現(xiàn)的�。但它
們的職能劃分不同,二者對(duì)網(wǎng)元管理系統(tǒng)進(jìn)行管理的職能可能存在交集����,但更多的職能是互補(bǔ)的�,二者的職能構(gòu)成了管理完備集合�����。NSMF側(cè)重于對(duì)被 管對(duì)象的安全管理方面進(jìn)行管理���,現(xiàn)有電信網(wǎng)絡(luò)中網(wǎng)管系統(tǒng)NMS側(cè)重于對(duì)被 管對(duì)象的故障����、性能����、帳號(hào)�����、計(jì)費(fèi)等方面進(jìn)行管理����。(4) 融合關(guān)系即把NSMF與現(xiàn)有電信網(wǎng)絡(luò)中網(wǎng)管系統(tǒng)NMS進(jìn)行集成 或組合,或者通過(guò)在現(xiàn)有網(wǎng)管系統(tǒng)上進(jìn)行改進(jìn)的方式來(lái)實(shí)現(xiàn)���,使它們成為一 個(gè)網(wǎng)絡(luò)管理聯(lián)合體���,如圖8所示����。NSMF與現(xiàn)有電信網(wǎng)絡(luò)中網(wǎng)管系統(tǒng)NMS之 間可以進(jìn)行信息互通�,彼此都對(duì)網(wǎng)元管理系統(tǒng)進(jìn)行管理,只不過(guò)職能劃分不 同�,二者對(duì)網(wǎng)元管理系統(tǒng)進(jìn)行管理的職能可能存在交集,但更多的職能是互 補(bǔ)的�,二者的職能構(gòu)成了管理完備集合。NSMF側(cè)重于對(duì)被管對(duì)象的安全管 理方面進(jìn)行管理����,現(xiàn)有電信網(wǎng)絡(luò)中網(wǎng)管系統(tǒng)NMS側(cè)重于對(duì)^皮管對(duì)象的故障、 性能��、帳號(hào)����、計(jì)費(fèi)等方面進(jìn)行管理。此外�����,考慮到實(shí)際應(yīng)用中,可能需要保 護(hù)具有重要影響或具有重大價(jià)值的網(wǎng)元��,因此���,NSMF可能會(huì)與某個(gè)或某些 網(wǎng)元進(jìn)行互聯(lián)����,在圖8中用虛線進(jìn)行了標(biāo)識(shí)��。(5) 凈皮管關(guān)系即NSMF與NMS�、網(wǎng)元管理系統(tǒng)、網(wǎng)元都具有連接關(guān)系�。 在這里,NSMF被看作是NMS的一個(gè)特殊的被管理對(duì)象����,處于^皮管理地位��。 NSMF與現(xiàn)有電信網(wǎng)絡(luò)中網(wǎng)管系統(tǒng)NMS二者之間需要進(jìn)行信息互通���。它們的職 能劃分不同�,二者對(duì)網(wǎng)元管理系統(tǒng)進(jìn)行管理的職能可能存在交集��,但更多的 職能是互補(bǔ)的,二者的職能構(gòu)成了管理完備集合���。NSMF側(cè)重于對(duì)被管對(duì)象的 安全管理方面進(jìn)行管理���,現(xiàn)有電信網(wǎng)絡(luò)中網(wǎng)管系統(tǒng)NMS側(cè)重于對(duì)被管對(duì)象的 故障、性能�、帳號(hào)、計(jì)費(fèi)等方面進(jìn)行管理���。此外���,考慮到實(shí)際應(yīng)用中,可能 需要保護(hù)具有重要影響或具有重大價(jià)值的網(wǎng)元���,因此�����,NSMF可能會(huì)與某個(gè)或 某些網(wǎng)元進(jìn)行互聯(lián)�����,在圖9中用虛線進(jìn)行了標(biāo)識(shí)��。如圖10所示����,為本發(fā)明實(shí)施例安全管理方法的流程圖,該安全管理方法 用于本發(fā)明實(shí)施例的安全管理系統(tǒng)�����,具體包括以下步驟步驟S1001, NSMF通過(guò)雙向接口獲取被管理對(duì)象發(fā)生的安全事件��,并對(duì) 該安全事件進(jìn)行處理����。NSMF通過(guò)主動(dòng)發(fā)起獲取請(qǐng)求或命令的方式得到反饋、 通過(guò)在被管理對(duì)象上設(shè)置代理向該NSMF匯^^艮的方式或通過(guò)被管理對(duì)象的管
理人員匯報(bào)的方式獲取被管理對(duì)象發(fā)生的安全事件�����。然后�,NSMF對(duì)被管理 對(duì)象發(fā)生的安全事件進(jìn)行實(shí)時(shí)地篩選、關(guān)聯(lián)分析和等級(jí)評(píng)估��,根據(jù)關(guān)聯(lián)分析 的結(jié)果生成網(wǎng)絡(luò)安全報(bào)警報(bào)告��,并將該網(wǎng)絡(luò)安全報(bào)警報(bào)告上報(bào)�,然后對(duì)安全 事件進(jìn)行嚴(yán)重性排序,并將嚴(yán)重性級(jí)別較高的安全事件優(yōu)先呈現(xiàn)給NMS或用 戶�。該雙向接口為第一接口,例如Ieo接口�。步驟S1002, NSMF通過(guò)雙向接口對(duì)被管理對(duì)象的安全脆弱性進(jìn)行掃描。 然后����,NSMF對(duì)被管理對(duì)象的安全脆弱性進(jìn)行分析、》務(wù)復(fù)和管理���,并將該3皮 管理對(duì)象安全脆弱性的掃描結(jié)果上報(bào)���。該雙向接口為第二接口,例如Ivo接 口����。 NSMF調(diào)用自身配置的安全策略對(duì)被管理對(duì)象的安全脆弱性進(jìn)行掃描、 分析��、修復(fù)和管理�����。步驟S1003, NSMF根據(jù)安全事件和安全脆弱性的掃描結(jié)果對(duì)被管理對(duì)象 進(jìn)行安全風(fēng)險(xiǎn)評(píng)估���。在評(píng)估完成之后����,NSMF生成網(wǎng)絡(luò)安全風(fēng)險(xiǎn)才艮告并將該 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)報(bào)告上報(bào),并根據(jù)安全脆弱性的嚴(yán)重程度發(fā)出安全告警通知�����。 NSMF調(diào)用自身配置的安全策略��,和/或通過(guò)調(diào)用NMS的安全策略進(jìn)行安全 風(fēng)險(xiǎn)評(píng)估����。本發(fā)明實(shí)施例提供了一種安全管理的系統(tǒng)、裝置和方法�,為電信網(wǎng)絡(luò)提供 了一個(gè)可以實(shí)現(xiàn)信息安全管理的架構(gòu)方案,該方案以安全風(fēng)險(xiǎn)管理為核心����,提供了資產(chǎn)管理、安全策略管理���、安全事件管理和安全脆弱性管理之間的關(guān)系����, 為ISMS (Information Security Management Systems,信息安全管理系統(tǒng))在通 信網(wǎng)絡(luò)的實(shí)現(xiàn)提供了可擴(kuò)展的功能架構(gòu)�����,同時(shí)還提供了定義了明確功能的接 口��,使得該架構(gòu)具備了很強(qiáng)的靈活性和適應(yīng)性�����。本發(fā)明實(shí)施例使得管理者能夠 通過(guò)安全管理系統(tǒng)對(duì)電信網(wǎng)絡(luò)中的浮皮管理對(duì)象具有進(jìn)行統(tǒng)一協(xié)調(diào)配置的能力�, 為操作人員提供了簡(jiǎn)單便捷的操作管理模式。通過(guò)以上的實(shí)施方式的描述�����,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā) 明可借助軟件加必需的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn)��,當(dāng)然也可以通過(guò)硬件���, 但很多情況下前者是更佳的實(shí)施方式�����?;谶@樣的理解,本發(fā)明的技術(shù)方案 本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)���,
該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中��,包括若干指令用以使得一臺(tái)計(jì)算 機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)�,服務(wù)器���,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí) 施例f斤述的方法���。以上公開(kāi)的僅為本發(fā)明的幾個(gè)具體實(shí)施例,但是���,本發(fā)明并非局限于此�����, 任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍��。
權(quán)利要求
1���、一種安全管理系統(tǒng),包括網(wǎng)絡(luò)安全管理架構(gòu)NSMF和網(wǎng)絡(luò)管理系統(tǒng)NMS,其特征在于�,所述NSMF通過(guò)雙向接口與所述NMS和被管理對(duì)象進(jìn)行信息交互,獲取網(wǎng)絡(luò)安全信息��,并對(duì)所述被管理對(duì)象進(jìn)行管理�。
2���、 如權(quán)利要求1所述安全管理系統(tǒng)��,其特征在于���,所述NSMF還用于對(duì) 所述被管理對(duì)象發(fā)生的安全事件進(jìn)行處理。
3�、 如權(quán)利要求2所述安全管理系統(tǒng),其特征在于��,所述NSMF還用于對(duì) 所述被管理對(duì)象發(fā)生的安全事件進(jìn)行處理包括所述NSMF對(duì)所述被管理對(duì) 象發(fā)生的安全事件進(jìn)行篩選����、關(guān)聯(lián)分析和等級(jí)評(píng)估,并根據(jù)所述關(guān)聯(lián)分析的 結(jié)果生成網(wǎng)絡(luò)安全報(bào)警報(bào)告�。
4、 如權(quán)利要求2所述安全管理系統(tǒng)�,其特征在于,所述NSMF還用于對(duì) 所述被管理對(duì)象發(fā)生的安全事件進(jìn)行處理還包括所述NSMF對(duì)所述安全事 件進(jìn)行嚴(yán)重性排序����,將嚴(yán)重性級(jí)別較高的所述安全事件優(yōu)先呈現(xiàn)給所述NMS 或用戶��。
5��、 如權(quán)利要求1所述安全管理系統(tǒng)�,其特征在于��,所述NSMF還用于對(duì) 所述被管理對(duì)象的安全脆弱性進(jìn)行掃描�,并根據(jù)所述安全脆弱性的嚴(yán)重程度 發(fā)出安全報(bào)警通知。
6�、 如權(quán)利要求2或5所述安全管理系統(tǒng),其特征在于����,所述NSMF還用 于根據(jù)所述被管理對(duì)象的安全事件和所述安全脆弱性的掃描結(jié)果對(duì)所述被管 理對(duì)象進(jìn)行安全風(fēng)險(xiǎn)評(píng)估,生成網(wǎng)絡(luò)安全風(fēng)險(xiǎn)報(bào)告��。
7�、 如權(quán)利要求1所述安全管理系統(tǒng),其特征在于��,所述雙向接口包括 第一接口���,用于連接NSMF與被管理對(duì)象�����,NSMF通過(guò)所述第一接口對(duì)被管理對(duì)象的安全事件進(jìn)行收集����,對(duì)所述被管理對(duì)象進(jìn)行安全配置;第二接口 ����,用于連接NSMF與被管理對(duì)象��,NSMF通過(guò)所述第二接口對(duì) 被管理對(duì)象的安全脆弱性進(jìn)行收集��,對(duì)所述^皮管理對(duì)象進(jìn)行修復(fù)�。
8、 一種網(wǎng)絡(luò)安全管理架構(gòu)NSMF,其特征在于����,包括事件管理功能EMF模塊,用于通過(guò)所述雙向接口獲取所述被管理對(duì)象發(fā) 生的安全事件�,對(duì)所述安全事件進(jìn)行處理;脆弱性管理功能VMF模塊���,用于通過(guò)所述雙向接口對(duì)所述被管理對(duì)象的 安全脆弱性進(jìn)行掃描�,并將所述被管理對(duì)象安全脆弱性的掃描結(jié)果傳送給風(fēng)險(xiǎn)管理功能RMF模塊;風(fēng)險(xiǎn)管理功能RMF模塊�,用于根據(jù)接收自所述EMF模塊的安全事件和 接收自所述VMF模塊的安全脆弱性的掃描結(jié)果進(jìn)行安全風(fēng)險(xiǎn)評(píng)估,生成網(wǎng)絡(luò) 安全風(fēng)險(xiǎn)報(bào)告并上報(bào)���;管理中心功能MCF模塊���,用于對(duì)所述EMF模塊、所述VMF模塊和所述 RMF模塊進(jìn)行管理�,對(duì)所述MCF模塊的用戶進(jìn)行管理。
9�����、 如權(quán)利要求8所述NSMF���,其特征在于��,所述EMF模塊用于對(duì)所述 被管理對(duì)象發(fā)生的安全事件進(jìn)行處理包括所述EMF模塊對(duì)所述被管理對(duì)象 發(fā)生的安全事件進(jìn)行篩選�����、關(guān)聯(lián)分析和等級(jí)評(píng)估��,并根據(jù)所述關(guān)聯(lián)分析的結(jié) 果生成網(wǎng)絡(luò)安全報(bào)警報(bào)告上報(bào)所述MCF模塊�����。
10�����、 如權(quán)利要求8所述NSMF,其特征在于��,所述EMF模塊用于對(duì)所述 被管理對(duì)象發(fā)生的安全事件進(jìn)行處理還包括對(duì)所述被管理對(duì)象發(fā)生的安全 事件進(jìn)行嚴(yán)重性排序��,將嚴(yán)重性級(jí)別較高的所述安全事件通過(guò)所述MCF模塊 優(yōu)先呈現(xiàn)給所述NMS�。
11����、 如權(quán)利要求8所述NSMF,其特征在于���,所述MCF模塊還用于接收 所述EMF模塊上報(bào)的網(wǎng)絡(luò)安全報(bào)警報(bào)告和所述RMF模塊上報(bào)的網(wǎng)絡(luò)安全風(fēng) 險(xiǎn)報(bào)告��。
12�����、 如權(quán)利要求8所述NSMF,其特征在于���,還包括 策略管理功能PMF模塊���,用于通過(guò)與所述MCF模塊的信息交互對(duì)安全策略進(jìn)行集中管理,向所述EMF模塊�、所述VMF模塊和所述RMF模塊下發(fā) 安全策略,所述集中管理的范圍包括網(wǎng)絡(luò)安全基線庫(kù)和網(wǎng)元安全策略庫(kù)����;資產(chǎn)管理功能Alvn^莫塊,接受所述MCF模塊的管理控制和配置���,用于 對(duì)所述被管理對(duì)象的信息進(jìn)行管理����。
13�����、 如權(quán)利要求8或11所述NSMF,其特征在于���,還包括第三接口 ���,用于連接所述MCF模塊與所述RMF模塊�����,所述MCF模塊通 過(guò)所述第三接口接收所述RMF模塊上報(bào)的所述網(wǎng)絡(luò)安全風(fēng)險(xiǎn)報(bào)告�,通過(guò)所述 第三接口對(duì)所述RMF模塊進(jìn)行管理���,向所述RMF模塊下發(fā)安全策略����;第四接口 �,用于連接所述MCF模塊與所述EMF模塊信息交互,所述MCF 模塊通過(guò)所述第四接口接收所述EMF模塊上才艮的所述網(wǎng)絡(luò)安全才艮警報(bào)告��,并 通過(guò)所述第四接口對(duì)所述EMF模塊進(jìn)行管理�,向所述EMF模塊下發(fā)安全策 略���;第五接口 ���,用于連接所述MCF模塊與所述VMF模塊,所述MCF模塊通 過(guò)所述第五接口接收所述VMF模塊上報(bào)的所述被管理對(duì)象的安全脆弱性����,并 通過(guò)所述第五接口對(duì)所述VMF模塊進(jìn)行管理���,向所述VMF模塊下發(fā)安全策略。
14�����、 如權(quán)利要求8所述NSMF,其特征在于�����,還包括第六接口�,用于連接所述RMF模塊與所述EMF模塊,所述RMF模塊通 過(guò)所述第六接口向所述EMF模塊發(fā)送請(qǐng)求信息和管理信息����,所述EMF模塊 通過(guò)所述第六接口向所述RMF模塊發(fā)送所述被管理對(duì)象的安全事件關(guān)聯(lián)分析 的結(jié)果;第七接口����,用于連接所述RMF模塊與所述VMF模塊,所述VMF模塊 通過(guò)所述第七接口向所述RMF模塊發(fā)送所述被管理對(duì)象安全脆弱性的掃描結(jié) 果����。
15��、 如權(quán)利要求12所述NSMF,其特征在于��,還包括第八接口����,用于連接所述MCF模塊與所述PMF模塊���,所述MCF模塊通 過(guò)所述第八接口對(duì)所述PMF模塊的網(wǎng)元安全策略庫(kù)和安全基線庫(kù)進(jìn)行管理�, 以及通過(guò)所述第八接口提取所述網(wǎng)元安全策略庫(kù)和安全基線庫(kù)中的安全策略 進(jìn)行集中下發(fā)�����;第九接口��,用于連接所述MCF模塊與所述AMF模塊�����,所述MCF模塊通 過(guò)所述第九接口對(duì)所述AMF模塊進(jìn)行設(shè)置和管理��。
16���、 一種安全管理方法�,其特征在于����,包括以下步驟NSMF通過(guò)歡向接口獲取被管理對(duì)象發(fā)生的安全事件,對(duì)所述安全事件 進(jìn)4亍處理�����;所述NSMF通過(guò)所述雙向接口對(duì)所述被管理對(duì)象的安全脆弱性進(jìn)行掃 描��,將所述被管理對(duì)象安全脆弱性的掃描結(jié)果上報(bào)���;所述NSMF根據(jù)所述安全事件和所述安全脆弱性的掃描結(jié)果對(duì)所述被管 理對(duì)象進(jìn)行安全風(fēng)險(xiǎn)評(píng)估����。
17�����、 如權(quán)利要求16所述安全管理方法�,其特征在于,所述NSMF通過(guò)雙 向接口獲取被管理對(duì)象發(fā)生的安全事件包括通過(guò)主動(dòng)發(fā)起獲取請(qǐng)求或命令 的方式得到反饋�;或者,通過(guò)在所述被管理對(duì)象上設(shè)置代理向所述NSMF匯報(bào)的方式或通過(guò)所述 被管理對(duì)象的管理人員匯報(bào)的方式獲取被管理對(duì)象發(fā)生的安全事件。
18��、 如權(quán)利要求16所述安全管理方法�����,其特征在于����,所述NSMF對(duì)所述 安全事件進(jìn)行處理包括所述NSMF對(duì)所述安全事件進(jìn)行篩選、關(guān)聯(lián)分析和 等級(jí)評(píng)估����,根據(jù)所述關(guān)聯(lián)分析的結(jié)果生成網(wǎng)絡(luò)安全報(bào)警報(bào)告,并將所述網(wǎng)絡(luò) 安全報(bào)警報(bào)告上報(bào)��。
19�、 如權(quán)利要求18所述安全管理方法,其特征在于�����,所述NSMF對(duì)所述 安全事件進(jìn)行處理還包括所述NSMF對(duì)所述安全事件進(jìn)行嚴(yán)重性排序��,將 嚴(yán)重性級(jí)別較高的所述安全事件優(yōu)先呈現(xiàn)給所述NMS或用戶�。
20、 如權(quán)利要求18所述安全管理方法,其特征在于����,在所述NSMF根據(jù) 所述安全事件和所述安全脆弱性的掃描結(jié)果對(duì)所述被管理對(duì)象進(jìn)行安全風(fēng)險(xiǎn) 評(píng)估之后���,還包括生成網(wǎng)絡(luò)安全風(fēng)險(xiǎn)報(bào)告并將所述網(wǎng)絡(luò)安全風(fēng)險(xiǎn)報(bào)告上報(bào)�����, 根據(jù)所述安全脆弱性的嚴(yán)重程度發(fā)出安全告警通知�。
21��、 如權(quán)利要求16所述安全管理方法���,其特征在于��,所述NSMF通過(guò)所 述雙向接口對(duì)所述被管理對(duì)象的安全脆弱性進(jìn)行掃描包括所述NSMF根據(jù)安全策略對(duì)所述被管理對(duì)象的安全脆弱性進(jìn)行掃描����、分析����、修復(fù)和管理。
22、 如權(quán)利要求21所述安全管理方法��,其特征在于���,所述NSMF根據(jù)所 述安全事件和所述安全脆弱性的掃描結(jié)果對(duì)所述被管理對(duì)象進(jìn)行安全風(fēng)險(xiǎn)評(píng) 估包括所述NSMF才艮據(jù)所述安全策略�����,和/或通過(guò)調(diào)用的所述NMS的安全 策略進(jìn)行安全風(fēng)險(xiǎn)評(píng)估����。
23��、 如權(quán)利要求16所迷安全管理方法���,其特征在于�,所述雙向接口包括 第一接口和第二接口�����。
全文摘要
本發(fā)明公開(kāi)了一種安全管理系統(tǒng)�����,包括網(wǎng)絡(luò)安全管理架構(gòu)NSMF和網(wǎng)絡(luò)管理系統(tǒng)NMS,所述NSMF通過(guò)雙向接口與所述NMS和被管理對(duì)象進(jìn)行信息交互��,獲取網(wǎng)絡(luò)安全信息����,并對(duì)所述被管理對(duì)象進(jìn)行管理��。本發(fā)明實(shí)施例在NSMF與被管理對(duì)象之間配置了雙向接口�����,并為該雙向接口設(shè)置了相應(yīng)的功能�,從而實(shí)現(xiàn)了智能化的配置管理,提高了安全管理系統(tǒng)的靈活性和適應(yīng)性�����。
文檔編號(hào)H04L12/24GK101399698SQ20071016277
公開(kāi)日2009年4月1日 申請(qǐng)日期2007年9月30日 優(yōu)先權(quán)日2007年9月30日
發(fā)明者位繼偉, 冰 劉, 陽(yáng) 辛, 黃海龍 申請(qǐng)人:華為技術(shù)有限公司