买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：深圳市蔚壹科技有限公司

摘要：一种基于单位的网络安全防护安全方法及系统包括：漏洞扫描、基线检查、检查网络及安全设备、全流量威胁分析、内网资产发现、应急响应、应急演练、渗透测试、安全运维、风险评估、信息系统等级保护测评、互联网威胁检测与主动响应，上述方法及系统利用云计算技术融合评估、防护、监测、响应模块，打造由多引擎智能驱动，围绕业务生命周期，深入黑客攻击过程的自适应安全防护平台，帮助用户全面代管业务安全问题，交付全程可视的安全服务。通过主动评估风险，防患于未然，分布式扫描系统在业务上线时会对业务进行一次全面评估，同时每天监测业务变化情况，分析引入的新风险问题，实现对风险变化的快速感知。

主权项：1.一种基于单位的网络安全防护安全方法，其特征在于，包括：漏洞扫描；确定方案，配置策略，系统备份，实施扫描，结果分析，再进行扫描，进行漏洞修复，二次复查，进行扫描，根据安全漏洞知识库检测网络协议、网络服务、网络设备中任意一种或多种的信息资产存在的安全隐患和漏洞，分析，识别处可能被入侵者用来非法进入网络或非法获取信息资产的漏洞，并提醒，接收主机扫描指令或进行主机扫描时，先对主机进行数据备份，若服务器为双机热备系统，则在一次扫描会话中对其中一台进行扫描，对特殊要求的主机或网络设备调整扫描对象策略，采用针对某系统的单个主机扫描方式，每次扫描一个IP，扫描结束后扫描下一个IP，将生产网段进行扫描的设备的扫描时间调整到不影响到业务的时间段；基线检查：对目标信息系统中的网络设备、安全设备、操作系统、数据库、中间件的登录信息收集，登录目标设备对设备配置进行检查，记录配置信息，进行配置安全分析，根据收集的登录信息对网络设备、安全设备、操作系统、数据库、中间件进行逐一登录，测试登录信息收集的准确性和提供账号的权限情况，分析是否能够覆盖全部的安全配置检查内容，形成基线检查报告；检查网络及安全设备：检查设备管理、账号管理、认证授权、登录方式、日志审计、服务端口优化、安全防护、安全策略合理性，包括检查操作系统、检查数据库、检查Web服务器、中间件；全流量威胁分析：利用威胁数据情报，利用采集到的全网流量进行分析，检测内部失陷主机、外部攻击、内部违规、和内部风险，对事件进行分析、研判、溯源，分析当前网络内的资产信息和相关的统计数据；内网资产发现：对内网信息系统主机资产和WEB服务器进行梳理，对内网资产台账进行全生命周期动态管理，包括：主机资产服务发现、Web服务发现、资产可视化展示；应急响应：监控业务系统中的安全问题，通过大数据分析进行互联网层面攻击溯源，分析安全事件原因，追查事件来源，进行安全事件分类，通过大数据分析与安全威胁情报防御攻击，发现未知危险的网络行为，对攻击源头进行定位；应急演练：分析判断，若判断为疑似计算机病毒爆发事件，判断是否为系统问题，若为系统问题则启动系统应急预案，若不是系统问题则判断是否为病毒爆发事件，若为病毒爆发事件则执行通报流程，若判断不是病毒爆发事件则判断是否具备网络传播性，若判断具备网络传播性则判断是否需要隔离被感染主机，若判断需要被隔离则断开该主机网络连接，启动系统应急预案，判断是否需要执行杀毒措施，若判断不需要被隔离则直接判断是否需要执行杀毒措施，若判断需要执行杀毒措施则判断是否会对系统数据造成破坏，若判断会对系统造成破坏则进行系统备份后执行杀毒措施，若判断不会对系统造成破坏则直接执行杀毒措施，执行后判断病毒是否清理完毕，若判断不需要制定杀毒措施则直接判断是否把病毒清理完毕，若判断病毒清理完毕则恢复隔离主机的网络连接，执行通报流程；若执行杀毒措施后仍存在病毒则继续执行新的病毒查杀措施，直至病毒清理完毕；渗透测试包括：Web渗透测试、高级渗透测试；所述Web渗透测试：模拟真实的安全攻击，发现黑客入侵信息系统的潜在可能途径，包括：信息收集、远程溢出、口令猜测、本地溢出、企业用户端攻击、中间人攻击、Web脚本及应用测试；所述高级渗透测试包括：结合信息安全最佳安全实践，模拟针对性打击，以互联网侧资产或内部不可信半可信区域作为渗透入口，模拟黑客内网攻击获取内网最高权限或敏感数据进行进一步渗透测试，包括评估外部资产状况、寻找内部网接入点与利用互联网资产中存在可利用内网接入点、部署跳板机对内部网络进行内网渗透；安全运维包括：日常安全运维、重要时刻安全保障、周期性安全巡检；所述日常安全运维包括：安全策略优化、安全产品运维、安全评估；所述安全策略优化：对安全控制策略是否起到作用、是否合理进行检查和改进，包括：调研、制定方案、策略优化、输出报告；所述安全产品运维包括：设备运行安全监测、设备运行安全审计、设备及策略备份更新；所述安全评估包括：通过安全扫描评估及时发现信息系统中存在的安全漏洞，对Windows、Linux服务器及安全设备进行漏洞整改，根据申请、结合安全漏洞知识库于非业务高峰期对信息资产进行安全扫描，不使用含有拒绝服务类型的扫描方式，在扫描过程中若出现扫描系统没有响应的情况则立即停止扫描，分析情况确定原因后，恢复系统，调整扫描策略后进行扫描；所述重要时刻安全保障包括：重大节假日前主动探测用户在外网上暴露的资产，形成资产清单，根据资产发现结果进行精准漏洞扫描，针对特定漏洞进行全面排查，针对包括高危系统漏洞、高危蠕虫病毒、恶劣入侵与攻击中的一种或多种情况的重大安全事件进行通知，提供事件类型、影响范围、解决方案、预防方案中的一种或多种信息，对重要系统进行全面安全检查、安全加固，并对安全加固结果进行复测，确认安全问题及时有效修复；节假日中对防火墙、Web应用防火墙、IDSIPS、负载均衡、网页防篡改系统、网络安全审计系统进行实时告警监控及日志分析，对防病毒软件及查杀记录进行监控，对应用系统、数据库系统的状态和业务平台进行监控和日志分析，若遭到攻击或发现入侵中一种或多种事故则及时进行调查、分析，追查、分析事故来源和原因，根据调查原因及事故情况提出解决方法，并记录事故、事故分析、解决方法、追查方案；所述周期性安全巡检包括：周期性安全产品巡检、周期性安全策略优化建议；风险评估包括：网络安全评估、主机安全评估、应用安全评估、终端安全评估、数据安全评估、物理安全评估、中间件安全评估、管理安全评估；所述网络安全评估包括：对组织的网络拓扑架构、安全域规划、VLAN划分、网络设备配置、安全设备配置、安全防护措施进行分析，对物理网络结构、逻辑网络结构、网络设备进行安全评估，发现网络结构存在的安全性、网络负载问题，网络设备存在的安全性、抗攻击问题，评估网络的安全现状，发现存在的安全性、合理性、使用效率问题；所述主机安全评估包括：对操作系统、账号、认证、授权、网络服务、系统日志、补丁升级、病毒防护、本地安全策略进行分析，发现系统配置和运行中存在的安全漏洞和安全隐患，根据业务应用情况、安全基线配置情况进行分析评估，包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制；所述应用安全评估包括：根据应用系统的账号、认证、授权、审计、性能资源、备份恢复、渗透测试对应用系统进行安全评估，检测分析输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密技术、异常管理、审核和日志记录、习惯问题，查找应用系统的安全漏洞和安全隐患；所述终端安全评估包括：检查补丁、账号口令、网络服务、病毒防护、本地安全策略，根据补丁升级、病毒防护、账号口令、网络服务、本地安全策略对终端的安全状况进行评估，查找终端的安全漏洞和安全隐患；所述数据安全评估包括：检测分析数据库用户名和密码管理、数据库访问控制、登录认证方式、数据安全、安全漏洞检查、补丁管理、数据库的安全审计，根据数据的机密性、完整性、可用性对数据安全状况进行主估，查找数据层面可能存在的安全漏洞和安全隐患；所述物理安全评估包括：检测分析物理安全边界、物理入口控制，检测分析办公室、房间、设施的安全保护，检测分析外部和环境威胁的安全防护、安全区域工作控制、交付和交接区、设备安置和保护、支持性设备、布缆安全、设备维护、资产的移动、场外设备和资产安全、设备的安全处置或再利用、无人值守的用户设备、清空桌面和屏幕策略，根据机房物理环境、访问控制、电力供应、线缆布放、设备摆放、标签规范、机房制度评估网络机房的安全；所述中间件安全评估包括：检测分析中间件用户名和密码管理、中间件安全审计、登录认证方式、通信保密性、资源控制、中间件的入侵防范策略，评估中间件的安装部署、配置参数的实现是否符合应用运行安全要求；所述管理安全评估包括：根据安全组织、安全制度、安全人员、安全运维、安全应急、安全培训对信息安全管理现状进行评估，查找可能的安全隐患和缺失点；信息系统等级保护测评包括：等级保护差距测评、安全保障体系设计、等级保护测评、信息系统软整改，所述等级保护差距测评包括如下过程：信息收集分析、准备工具和表单、确定测评对象、确定测评指标、确定测评工具接入点、确定测评内容、测评指导书开发、编制测评方案、准备测评实施、现场测评和结果记录、结果确认和资料归还、单项测评结果判定、单项测评结果汇总分析、整体测评、形成安全测评结论、编制测评报告；所述安全保障体系设计包括：通过信息系统等级保护差距测评分析当前网络和信息系统的弱点与风险，进行安全整改，完成相应产品的拓扑设计，实施安全技术措施，完善安全管理制度；结合信息系统等级保护差距测评结果、依照信息安全等级保护要求、根据实际情况制定信息安全体系框架，所述信息安全体系框架包括：安全策略、安全技术体系、运行保障体系、安全组织与管理体系，所述安全策略与安全技术体系、运行保障体系、安全组织与管理体系三大体系相互作用，所述安全技术体系、运行保障体系、安全组织与管理体系三大体系在所述安全策略的指导下构建，将安全策略中制定的各个要素转化成技术实现方法和管理、运行保障手段，实现所述安全策略中制定的目标；所述等级保护测评包括：对信息系统安全等级保护状况进行测试评估，包括测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况的安全控制测评与测评分析信息系统的整体安全性的信息系统整体测评，对所述安全控制测评的描述采用工作单元方式组织，工作单元包括安全技术测评和安全管理测评，所述安全技术测评包括：物理安全测评、网络安全测评、主机系统安全测评、应用安全测评、数据安全测评多层面上的安全控制测评，所述安全管理测评包括安全管理机构测评、安全管理制度测评、人员安全制度测评、系统建设管理测评、系统运维管理测评多方面的安全控制测评；所述信息系统软整改包括：通过等级保护差距测评的差距测评报告分析当前网络和信息系统的弱点和风险，包括操作系统、数据库、网络安全设备的弱点与风险，根据设备的安全配置加固规范对操作系统、数据库、网络安全设备进行逐条核查加固，制定相关的风险规避措施，包括操作系统加固、网络安全设备加固、数据库加固、信息安全管理制度建立及完善；互联网威胁检测与主动响应包括：为互联网业务提供风险评估、实时监测、篡改处置、应急对抗，重新获得更安全的保障；所述风险评估包括：评估暴露面、脆弱性、内容安全，作为基线，定期持续复查，定期对资产变化进行监测，持续分析新增资产引入的风险情况；所述实时监测包括：实时监测页面篡改、0day、网马、黑链、DNS、可用性安全事件并生产报告及时通知用户；所述篡改处置包括：通过DNS技术快速替换被篡改站点；所述应急对抗包括：云端应急对抗，保障敏感数据；所述登录信息包括：登录方式、登录账号口令、管理主机信息；所述基线检查还包括：根据基线检查在网络设备、安全设备、操作系统、数据库、中间件各个层面的最佳实践，对目标信息系统进行配置核查，记录当前设备的配置情况，对当前的安全配置情况进行分析，参考安全基线，找出在安全配置方面的差距并记录，根据基线检查整体差距分析情况，结合信息系统当前情况，形成基线检查报告；所述检查操作系统包括：基本信息检查、补丁管理、用户账号、口令安全、权限管理、日志与审计、系统服务端口检查、安全防护、网络协议安全；所述检查数据库：检查账号安全、检查数据库连接安全、检查数据库安全组件配置、检查日志配置、检查通信协议；所述检查Web服务器、中间件：管理应用限制检查、列出目录检查、禁止访问Web目录之外的文件检查、http请求的消息主体大小、默认端口检查、错误液面重定向、禁止列表显示文件、防范拒绝服务攻击、缺省安装的无用文件、版本号及敏感信息的隐藏、账号管理、认证授权、日志配置、通信协议、设备及安全要求；所述当前网络内的资产信息和相关的统计数据包括：资产统计信息、攻击面统计信息、新增资产信息、资产变更信息、新增攻击面信息、攻击面变更信息、新增资产详细列表；所述资产统计信息包括：按照资产的服务器类型进行统计服务器的类型占比；所述攻击面统计信息包括：各种开放端口的统计信息；所述新增资产详细列表包括：资产的IP地址、服务器类型、服务器版本、状态、检测到的时间中的一种或多种；所述检测外部攻击包括：反序列攻击检测、Web攻击态势分析、口令爆破攻击检测；所述反序列攻击检测包括：分析发现内部服务的反序列攻击行为的数量和每个反序列攻击行为的情况；所述反序列攻击的情况包括：攻击时间、源IP、目的IP端口；所述Web攻击态势分析通过流量分析内部服务器受到攻击的情况，分析Web整体攻击类型的态势分布、每种攻击手段的详细信息和攻击的结果，所述攻击结果包括：攻击告警、攻陷、提示；所述攻击手段包括：Webshell、黑产菜刀扫描、Web漏洞扫描、Struts2攻击、上传攻击、sql注入攻击、信息泄露、应用系统新增文件中的一种或多种；所述口令爆破攻击检测针对不同服务器每日遭受口令爆破的攻击次数、服务的类型、邮件暴露攻击的情况、远程管理服务爆破攻击的情况和数据库服务爆破攻击的情况进行检测，所述攻击情况包括：攻击来源IP、目的IP、协议、60秒内攻击的次数、爆破结果；所述检测内部违规包括：暴露面检测、非法外联检测、恶意DNS分析、ACL梳理、弱口令检测、异常登录检测、非常规服务分析；所述暴露面检测通过大数据分析，分析出当前网络内的非法攻击面信息；所述非法攻击面信息包括：攻击面的统计信息、新增攻击面信息、攻击面变更信息、攻击面的信息，所述攻击面统计信息包括：各种开放端口的统计信息，所述攻击面的信息包括：服务器IP、端口、服务类型；所述非法外联检测分析环境内的非法外联信息，所述非法外联信息包括：非法外联的目的IP物理地址、非法外联事件的历史趋势、非法外联事件的详细时间、源IP、目的IP、端口中任一信息或多种信息；所述恶意DNS分析通过流量分析监控、分析内部网络请求的DNS，并结合威胁情报分析内部DNS的信誉度情况，发现内部存在的恶意DNS的请求，及详细信息，所述恶意DNS的详细信息包括：请求时间、源IP、请求的恶意域名、域名所在的物理地址中的任一或多种信息；所述ACL梳理分析当前网络内现有的所有IP的访问关系，包括源IP到目的IP不同端口的访问关系，分析网络内的ACL管控，对内部不合理的ACL处置；所述弱口令检测分析发现内部服务器的弱口令的状态，报告弱口令总数、被动统计发现的次数、字典匹配发现的次数和主动发现的次数，检测分析邮件服务、远程管理服务、数据库服务弱口令的信息；所述邮件服务、远程管理服务、数据库服务弱口令的信息包括：受影响的账号、弱口令、受影响的服务器、协议和检测到的时间；所述异常登录检测包括：检测内部服务器的异常行为，包括：外部登录内部服务器异常详细情况、异常登录详细情况、非工作时间登录详细情况；所述外部登录内部服务器异常详细情况包括：外部登录的IP、IP归属地、内部服务器IP、协议、访问时间，所述异常登录详细情况包括：用户、常用登录地点、异地登录地点、发现时间；所述非工作时间登录详细情况包括：来源IP、IP归属地、目的IP、协议、访问时间；所述非常规服务分析包括：远程控制服务、代理服务、RegeoryTunnel服务检测和发现、HTTP代理检测和发现、SOCKS代理检测和发现、TeamviewIRC检测和发现，分析连接服务的时间、连接服务的源IP、连接服务的目的IP和服务类型；所述对事件研判包括：通过发现攻陷事件、WEB攻击事件、内部异常信息，利用网络渗透信息，结合云端威胁情况，对事件性质是否是真的恶意攻击行为做出判断，分析事件产生原因；所述对事件溯源对恶意攻击事件进行追踪和溯源，分析攻击者的物理位置、攻击者的行为证据留存和攻击者常用的手段。

全文数据：

权利要求：

百度查询： 深圳市蔚壹科技有限公司 基于单位单元的网络安全防护安全方法及系统