中小企业内网信息安全托管方法与系统

1.一种中小企业内网信息安全托管方法，其中企业向安全服务提供商租借用于重定向报文的带宽，和用于保存报文检测日志和报表的文件空间，其特征在于，还包括：
(a)在内网终端和主机上分别提供安全服务提供商所提供的终端安全管控功能和主机安全管控功能；在至少一台主机上提供安全服务提供商所提供的网络设备安全管控功能，并管控所有支持SNMP协议的网络设备；
(b)在出口边界设备上，将预设协议的报文重定向到安全服务提供商所提供的报文检测系统；
(c)建立到安全服务提供商的IPSec VPN隧道，登录到位于安全服务提供商网络中的中小企业内网信息安全托管系统，并通过此隧道对步骤(a)中的所述终端安全管控功能、主机安全管控功能和网络设备安全管控功能进行安全控制。
2.如权利要求1所述一种中小企业内网信息安全托管方法，其特征在于，安全服务提供商的报文检测系统对企业的重定向报文进行防攻击、防病毒检测后，并通过应用层协议代理中转合法报文；所述重定向报文的带宽仅能使用所述租借带宽的容量；以及，安全服务提供商的所述中小企业内网信息安全托管系统对企业内网的所述终端安全管控功能、主机安全管控功能和网络设备安全管控功能上报的日志事件信息和运行状况信息进行分析，并基于预设安全基准进行响应。
3.如权利要求2所述一种中小企业内网信息安全托管方法，其特征在于，所述应用层协议代理，包括SMTP代理、POP3代理、HTTP代理、MSN通信代理和透传代理，分别用于往来邮件内容检查、URL过滤、MSN通信内容检查和透传报文；可疑的邮件内容和附件，以及MSN通信报文摘要信息，均以文件形式保存在所述文件空间中。
4.如权利要求1所述一种中小企业内网信息安全托管方法，其特征在于，所述终端安全管控功能、主机安全管控功能和网络设备安全管控功能可定制上报到所述安全服务提供商的所述中小企业内网信息安全托管系统的信息条目种类与内容；所述中小企业内网信息安全托管系统仅允许企业级维护人员查看本企业的内网资产运行安全状况；所述中小企业内网信息安全托管系统向所述企业提供安全运行报表，包括日报、周报、月报、季报和年报。
5.如权利要求1所述一种中小企业内网信息安全托管方法，其特征在于，所述安全服务提供商的所述中小企业内网信息安全托管系统可通过所述步骤(c)所建立的VPN隧道，远程扫描内网资产的漏洞信息和网络拓扑信息；以及，
所述安全服务提供商的所述中小企业内网信息安全托管系统在发现安全风险后，及时通知所述企业预设的安全管理人员。
6.一种中小企业安全托管系统，其特征在于，包括资产安全管控模块、报文检测模块、安全策略模块、终端安全管控模块、主机安全管控模块和网络设备安全管控模块；
所述资产安全管控模块，与所述终端安全管控模块、主机安全管控模块、网络设备安全管控模块、安全策略模块和报文检测模块相连，用于依据上报的信息构建企业内网资产运行安全快照、依据预设的安全策略处理安全事件、手工远程管控内网资产并提供安全运营报表；
所述报文检测模块，与所述资产安全管控模块和安全策略模块相连，用于依据所述安全策略模块预设的安全策略，处理所述企业的重定向报文，并提交安全事件到所述资产安全管控模块；
所述安全策略模块，与所述资产安全管控模块和报文检测模块相连，用于设定资产安全基准、事件处理规则、事件响应策略、和应用层协议违规响应策略；以及，所述终端安全管控模块，与所述资产安全管控模块相连，用于收集所述企业内网终端计算机的运行状况数据与日志数据，并提交到所述资产安全管控模块；接收并处理所述资产安全管控模块的控制指令；
所述主机安全管控模块，与所述资产安全管控模块相连，用于收集所述企业内网主机的运行状况数据和日志数据，并提交到所述资产安全管控模块；接收并处理所述资产安全管控模块的控制指令；以及，
所述网络设备安全管控模块，与所述资产安全管控模块相连，用于收集并接收所述企业内网中支持SNMP协议的网络设备的运行状况数据和SNMP Trap数据，并提交到所述资产安全管控模块；接收所述资产安全管控模块的控制指令，并转化为SNMP指令后，提交到目标网络设备。
7.如权利要求6所述一种中小企业安全托管系统，其特征在于，所述资产安全管控模块，包括资产快照模块、漏洞扫描模块、安全事件管理模块、安全监控模块和安全报表模块；
所述资产快照模块，接收所述终端安全管控模块、所述主机安全管控模块和所述网络设备安全管控模块上报的数据，并依据上报的数据构建资产的安全运行快照；依据预设的资产安全基准，产生安全事件，并提交到所述安全事件管理模块；接收所述安全监控模块下发的远程控制消息，并中转到所述终端安全管控模块、所述主机安全管控模块和所述网络设备安全管控模块；
所述漏洞扫描模块，用于远程扫描所述企业内网活动信息资产的漏洞信息和网络拓扑信息，并将扫描结果提交到所述资产快照模块；
所述安全事件管理模块，接收所述资产快照模块和所述报文检测模块提交的安全事件，并依据预设的策略，自动响应，并通知预设的企业安全管理人员；将安全事件处理的最终结果提交到所述安全报表模块；
所述安全监控模块，接收并展示所述安全事件管理模块提交的安全告警结果；并将该警告结果中的事件数据提交至维护人员的操作系统或将该结果中的自动响应命令提交至所述资产快照模块；以及，
所述安全报表模块，接收所述安全事件管理模块提交的安全事件，并依据预设的报表模板自动生成安全运营报表。
8.如权利要求7所述一种中小企业安全托管系统，其特征在于，所述报文检测模块，包括应用层协议代理模块、入侵检测模块、防病毒模块和安全事件客户端模块；
所述应用层协议代理模块，接收所述企业提交的重定向报文，并将报文依次提交到所述入侵检测模块和防病毒模块，并将代理通过检测的报文；提交本地安全事件到所述安全事件客户端模块；
所述入侵检测模块，接收所述应用层协议代理模块提交的报文，并基于本地预设规则对报文进行入侵检测，提交检测结果到所述应用层协议代理模块；提交本地安全事件到所述安全事件客户端模块；
所述防病毒模块，接收所述应用层协议代理模块提交的报文，并基于本地预设规则对报文进行病毒检测，提交检测结果到所述应用层协议代理模块；提交本地安全事件到所述安全事件客户端模块；以及，
所述安全事件客户端模块，用于接收所述报文检测模块中其它模块提交的本地安全事件，并规整化为统一格式后，提交到所述资产安全管控模块的所述安全事件管理模块。
9.如权利要求8所述一种中小企业安全托管系统，其特征在于，所述终端安全管控模块、所述主机安全管控模块和所述网络设备安全管控模块，部署在所述企业的内网中，通过所述企业与所述中小企业安全托管系统间IPSec VPN隧道，与所述资产安全管控模块通信；
所述通信消息的内容加密；以及，
所述远程扫描所述企业内网活动信息资产的漏洞信息和网络拓扑信息，仅能通过所述企业与所述中小企业安全托管系统间IPSec VPN隧道进行远程扫描。

中小企业内网信息安全托管方法与系统\n技术领域\n[0001] 本发明属于一种安全托管方法与系统。\n背景技术\n[0002] 在计算机技术和网络技术不断发展的今天，企业的日常经营已经离不开信息网络，无论是大企业集团、大型企业，还是中小型企业，甚至是刚起步的创业作坊，都有自己的内部网络。尽管网络使收集市场信息、新技术以及远程协作与交流变得更加便捷，为企业的运营与发展带来了便利。但是，网络安全却始终是企业管理的心腹大患。层出不穷的病毒、越来越不可捉摸的黑客技术以及别有用心的内部雇员，始终在对企业的知识资产构成威胁。减轻网络威胁，让网络始终是企业发展的工具成了企业管理人员的现实选择。\n[0003] 对于大企业集团和大型企业来说，因为其多年的技术积累、管控经验以及财务实力，有能力购买到最好的网络安全产品，聘用有经验的工程师来应对网络安全问题；但对于中小企业来说，网络安全问题尤为突出，因为依靠其现有的技术能力、有限的人力资源以及有限的资金预算，是难以解决目前的信息安全问题。\n[0004] 就目前来说，中小企业的内网信息安全，一般通过部署终端防病毒软件，并在企业内网与互联网接口间部署传统防火墙设备或UTM(即Unified Threat Management，统一威胁管理)防火墙设备来应对，未设置信息安全员岗位。此模式下，会引入这些安全隐患：1)传统型防火墙设备，只能对报文进行检测，未对内容进行检测，从而无法防止黑客的攻击，也无法阻止利用木马远程偷盗企业知识资产；2)部署UTM防火墙，可以提供防病毒、简单入侵检测、VPN(即Virtual Private Network，虚拟专用网)、带宽管理，比部署传统型防火墙在保护内网上有一定的提高，但是，UTM防火墙本身集成了太多的功能，影响了其整体性能，同时，非专业的防病毒、简单的入侵检测，依然无法阻挡病毒与入侵攻击，甚至这些功能可能会成为弱点而被非法利用；3)终端防病毒软件需要经常升级，维护成本高，且需要人工检查，以确保各终端均已升级。\n[0005] 部分中小企业会采购成套的内网安全管控系统，并设定信息安全员岗位，用于对内网进行安全管控。此模式的优点是：部署了专门工具软件用于协助内网安全管理，安排了专人从事安全管控，有利于提供内网安全性；但其缺点是：采购管理系统，需要专项资金；\n需要安排专门人员进行日常操作，以便使用该管理系统进行日常管控；需要预留员工薪酬。\n此外，还需要后期投入，如升级费用、人员培训费用等。更糟糕的是，内网安全管控系统的研发厂家无法从已售出的产品中获得更多的实际运营经验，因为许多时候，企业内网安全出现的问题，被企业内部的安全员所解决了，而其处理过程并不会知会生产厂家。由此导致厂家无法有效地从用户侧获得知识，进而提高其产品性能和知识共享。\n发明内容\n[0006] 本发明在分析了上述中小企业内网安全管控方法与系统的缺陷和不足后，提出了一种新的企业内网信息安全托管系统与方法。\n[0007] 本发明的核心思想是：构造一个支持报文检测和资产管控的安全托管系统，用于对企业侧重定向过来的报文进行检测、以及对企业侧通过VPN隧道提交的资产运行状态数据进行处理，并对各种异常事件进行单个事件分析、事件链分析和风险评估后，基于预设的安全策略进行响应；本系统提供严格的身份认证与数据权限管控，企业级维护人员登录到系统后，能且仅能对其内网资产进行安全管控，能且仅能浏览与企业内网相关的安全运营报表。\n[0008] 一种中小企业安全托管系统，包括资产安全管控模块、报文检测模块、安全策略模块、终端安全管控模块、主机安全管控模块和网络设备安全管控模块；\n[0009] 所述资产安全管控模块，与所述终端安全管控模块、主机安全管控模块、网络设备安全管控模块、安全策略模块和报文检测模块相连，用于依据上报的信息构建企业内网资产运行安全快照、依据预设的安全策略处理安全事件、手工远程管控内网资产并提供安全运营报表；\n[0010] 所述报文检测模块，与所述资产安全管控模块和安全策略模块相连，用于依据所述安全策略模块预设的安全策略，处理所述企业的重定向报文，并提交安全事件到所述资产安全管控模块；\n[0011] 所述安全策略模块，与所述资产安全管控模块和报文检测模块相连，用于设定资产安全基准、事件处理规则、事件响应策略、和应用层协议违规响应策略；\n[0012] 所述终端安全管控模块，与所述资产安全管控模块相连，用于收集所述企业内网终端计算机的运行状况数据与日志数据，并提交到所述资产安全管控模块；接收并处理所述资产安全管控模块的控制指令；\n[0013] 所述主机安全管控模块，与所述资产安全管控模块相连，用于收集所述企业内网主机的运行状况数据和日志数据，并提交到所述资产安全管控模块；接收并处理所述资产安全管控模块的控制指令；\n[0014] 所述网络设备安全管控模块，与所述资产安全管控模块相连，用于收集并接收所述企业内网中支持SNMP(即Simple Network Management Protocol，简单网络管理协议)协议的网络设备的运行状况数据和SNMP Trap(即简单网络管理协议的自陷消息)数据，并提交到所述资产安全管控模块；接收所述资产安全管控模块的控制指令，并转化为SNMP指令后，提交到目标网络设备。\n[0015] 优选地，所述资产安全管控模块，包括资产快照模块、漏洞扫描模块、安全事件管理模块、安全监控模块和安全报表模块；\n[0016] 所述资产快照模块，接收所述终端安全管控模块、所述主机安全管控模块和所述网络设备安全管控模块上报的数据，并依据上报的数据构建资产的安全运行快照；依据预设的资产安全基准，产生安全事件，并提交到所述安全事件管理模块；接收所述安全监控模块下发的远程控制消息，并中转到所述终端安全管控模块、所述主机安全管控模块和所述网络设备安全管控模块；\n[0017] 所述漏洞扫描模块，用于远程扫描所述企业内网活动信息资产的漏洞信息和网络拓扑信息，并将扫描结果提交到所述资产快照模块；\n[0018] 所述安全事件管理模块，接收所述资产快照模块和所述报文检测模块提交的安全事件，并依据预设的策略，自动响应，并通知预设的企业安全管理人员；将安全事件处理的最终结果提交到所述安全报表模块；\n[0019] 所述安全监控模块，接收并展示所述安全事件管理模块提交的安全告警；提交维护人员的操作系统到所述资产快照模块；\n[0020] 所述安全报表模块，接收所述安全事件管理模块提交的安全事件，并依据预设的报表模板自动生成安全运营报表。\n[0021] 优选地，所述报文检测模块，包括应用层协议代理模块、入侵检测模块、防病毒模块和安全事件客户端模块；\n[0022] 所述应用层协议代理模块，接收所述企业提交的重定向报文，并将报文依次提交到所述入侵检测模块和防病毒模块，并将代理通过检测的报文；提交本地安全事件到所述安全事件客户端模块；\n[0023] 所述入侵检测模块，接收所述应用层协议代理模块提交的报文，并基于本地预设规则对报文进行入侵检测，提交检测结果到所述应用层协议代理模块；提交本地安全事件到所述安全事件客户端模块；\n[0024] 所述防病毒模块，接收所述应用层协议代理模块提交的报文，并基于本地预设规则对报文进行病毒检测，提交检测结果到所述应用层协议代理模块；提交本地安全事件到所述安全事件客户端模块；\n[0025] 所述安全事件客户端模块，用于接收所述报文检测模块中其它模块提交的本地安全事件，并规整化为统一格式后，提交到所述资产安全管控模块的所述安全事件管理模块。\n[0026] 优选地，所述终端安全管控模块、所述主机安全管控模块和所述网络设备安全管控模块，部署在所述企业的内网中，通过所述企业与所述中小企业安全托管系统间IPSec VPN(即Internet Protocol Security Virtual Private Network，基于IPSec协议的VPN)隧道，与所述资产安全管控模块通信；所述通信消息的内容加密；\n[0027] 所述远程扫描所述企业内网活动信息资产的漏洞信息和网络拓扑信息，仅能通过所述企业与所述中小企业安全托管系统间IPSec VPN隧道进行远程扫描。\n[0028] 优选地，所述企业的维护人员，仅能浏览与所述企业内网资产相关的安全运营报表；仅能对所述企业内网进行远程扫描；仅能浏览和控制所述企业内网资产；\n[0029] 所述企业的维护人员，只能通过所述企业与所述中小企业安全托管系统间IPSec VPN隧道访问所述中小企业安全托管系统；所述IPSec VPN隧道，只能由所述企业主动创建。\n[0030] 本发明还提供了一种中小企业内网信息安全托管方法，其核心是：首先，企业与安全服务提供商签约，租用其文件空间与报文检测流量容量；其次，在企业内网与公网相连的边界网关设备上，将预设的应用层协议报文重定向到安全服务提供商的报文检测服务器；\n再其次，在所述边界上，建立与安全服务提供商间的IPSec VPN隧道，通过此隧道下载并安装客户端模块到内网资产上；最后，通过安全服务提供商的中小企业内网信息安全托管系统对本企业的内网资产进行安全管控。\n[0031] 一种中小企业内网信息安全托管方法，其中企业向安全服务提供商租借用于重定向报文的带宽，和用于保存报文检测日志和报表的文件空间，还包括：\n[0032] (a)在内网终端和主机上分别提供安全服务提供商所提供的终端安全管控功能和主机安全管控功能；在至少一台主机上提供安全服务提供商所提供的网络设备安全管控功能，并管控所有支持SNMP协议的网络设备；\n[0033] (b)在出口边界设备上，将预设协议的报文重定向到安全服务提供商所提供的报文检测系统；\n[0034] (c)建立到安全服务提供商的IPSec VPN隧道，登录到位于安全服务提供商网络中的中小企业内网信息安全托管系统，并通过此隧道对步骤(a)中的所述终端安全管控功能、主机安全管控功能和网络设备安全管控功能进行安全控制。\n[0035] 优选地，安全服务提供商的报文检测系统对企业的重定向报文进行防攻击、防病毒检测后，并通过应用层协议代理中转合法报文；所述重定向报文的带宽仅能使用所述租借带宽的容量；以及，\n[0036] 安全服务提供商的所述中小企业内网信息安全托管系统对企业内网的所述终端安全管控功能、主机安全管控功能和网络设备安全管控功能上报的日志事件信息和运行状况信息进行分析，并基于预设安全基准进行响应。\n[0037] 优选地，所述应用层协议代理，包括SMTP代理、POP3代理、HTTP代理、MSN通信代理和透传代理，分别用于往来邮件内容检查、URL过滤、MSN通信内容检查和透传报文；可疑的邮件内容和附件，以及MSN通信报文摘要信息，均以文件形式保存在所述租借文件空间中。\n[0038] 优选地，所述终端安全管控功能、主机安全管控功能和网络设备安全管控功能可定制上报到所述安全服务提供商的所述中小企业内网信息安全托管系统的信息条目种类与内容；所述中小企业内网信息安全托管系统仅允许企业级维护人员查看本企业的内网资产运行安全状况；所述中小企业内网信息安全托管系统向所述企业提供安全运行报表，包括日报、周报、月报、季报和年报。\n[0039] 优选地，所述安全服务提供商的所述中小企业内网信息安全托管系统可通过所述步骤(c)所建立的VPN隧道，远程扫描内网资产的漏洞信息和网络拓扑信息；以及，[0040] 所述安全服务提供商的所述中小企业内网信息安全托管系统在发现安全风险后，及时通知所述企业预设的安全管理人员。\n[0041] 本发明提供了一种企业内网信息安全托管方法，企业无需采购新的成套的安全管控设备、也无需设置企业内网安全管理员，但能依赖安全服务运营商提供的现有的产品与服务，即可获得专业的安全服务。不但降低了企业的安全维护成本，同时，也提高了企业的内网安全性。\n[0042] 本发明提供所提供的中小企业安全托管系统中，企业内网信息资产与安全服务提供商的安全托管系统间的信息交互，全通过企业与安全服务提供商间的IPSec VPN隧道承载，保证了信息私密性；企业用户可以定制需要上报的运行事件；同时，企业到安全服务提供商间的VPN隧道由企业主动维护，增强了企业用户的自主性；\n[0043] 本发明提供所提供的中小企业安全托管系统中，企业用户仅能通过其与安全服务提供商间的VPN隧道登录到安全托管系统，且仅能浏览与控制其相应的内网资产，进一步保护了企业隐私信息。\n[0044] 本发明提供所提供的中小企业安全托管系统中，可对企业重定向的报文进行防病毒和入侵检测，实现了企业与公网间报文内容实时检测，能对邮件、及时通信、互联网访问进行有效管控。\n附图说明\n[0045] 图1为本发明所述中小企业内网信息安全托管系统功能框图\n[0046] 图2为本发明所述中小企业内网信息安全托管方法流程图\n[0047] 图3为本发明所述中小企业内网信息安全托管方法中的事件处理流程图具体实施方式\n[0048] 如图1所示，为本发明所述中小企业内网信息安全托管系统功能框图，包括资产管控模块M0、报文检测模块M1、安全策略模块M2、终端安全管控模块M3、主机安全管控模块M4、网络设备安全管控模块M5和身份认证模块M6。\n[0049] 其中，终端安全管控模块M3、主机安全管控模块M4和网络设备安全管控模块M5供中小企业用户下载，并安装在企业的内网的终端、主机和PC服务器上，用于收集宿主终端、主机以及受控网络设备的运行状态数据，以及接收源自资产管控模块M0的控制命令。\n[0050] 资产管控模块M0、报文检测模块M1、安全策略模块M2和身份认证模块M6部署在安全服务提供商受保护机房内。\n[0051] 位于企业内网的模块与位于安全服务提供商侧的模块通过IPSec VPN(基于IPSec协议的VPN)隧道通信，以实现运行状态监控和安全管控。\n[0052] 资产管控模块M0，用于本发明所述中小企业内网信息安全托管系统中的企业内网资产安全管控，自身可以封装为独立服务，以支持企业用户对其内网资产进行管控。接收并处理终端安全管控模块M3、主机安全管控模块M4和网络设备安全管控模块M5提交的注册报文和心跳报文；依据安全策略模块M2配置的响应策略，自动生成响应指令，并下发到终端安全管控模块M3、和/或主机安全管控模块M4、和/或网络设备安全管控模块M5；接收维护人员的配置指令，并下发到终端安全管控模块M3、和/或主机安全管控模块M4、和/或网络设备安全管控模块M5；接收并处理报文检测模块M1提交的安全事件数据；接收安全策略模块M2的响应策略和安全基准数据。\n[0053] 资产管控模块M0内部包括资产快照模块M01、安全事件管理模块M02、安全报表模块M03、安全监控模块M04和露从扫描模块M05。\n[0054] 资产快照模块M01，与部署在企业内网的终端管控模块M3、主机安全管控模块M4和网络设备安全管控模块相连，用于接收并处理这些模块提交注册消息和心跳消息；同时，将控制命令下发到这些模块。资产快照模块M01利用注册消息和心跳消息构建内网资产的运行状况安全快照，并对快照中偏离了预设安全基准的属性示警并构造安全事件，同时，依据符合日志信息过滤条件的日志数据构建安全事件，并将事件提交到安全事件管理模块M02；资产快照模块M01同时与漏洞扫描模块M05和安全监控模块M04相连，接收并处理漏洞扫描模块M05提交漏洞信息、拓扑信息和操作系统指纹信息；接收并处理安全监控模块M04提交的控制命令。\n[0055] 安全事件管理模块M02，与资产快照模块M01、报文检测模块M1、安全监控模块M04和安全报表模块M03相连，用于对源自安全资产快照模块M01提交的事件、报文检测模块M1提交的安全事件进行处理，包括单个事件处理、事件链处理和风险评估处理；同时，依据安全策略模块M2的响应策略，将事件以及响应命令提交到安全监控模块M04，将所有经处理后的事件提交到安全报表模块M03。\n[0056] 安全报表模块M03，与安全事件管理模块M02相连，用于接收安全事件管理模块M02提交的事件，并依据预设的报表模板生成报表；该模块提供用户操作界面，以便操作员定义、修改、删除报表模板。可以设置为令企业级用户仅能管理自己内网资产的安全运营报表。\n[0057] 安全监控模块M04，与安全事件管理模块M02和资产快照模块M01相连，用于接收安全事件管理模块M02提交的事件数据和自动响应命令，并将事件数据以声光示警，同时，依据响应命令指示，将事件数据以Email、或MSN、或QQ通知到企业管理人；或者，依据响应命令指示，将命令提交到资产快照模块M01，由后者将命令发送到正确的执行体。\n[0058] 漏洞扫描模块M05，与资产快照模块M01相连，用于扫描指定目标设备、和/或目标网段内的漏洞信息、操作系统指纹信息和网络拓扑信息，并将扫描到的信息提交到资产快照模块M01。\n[0059] 报文检测模块M1，与资产管控模块M0和安全策略模块M2相连，用于接收并处理中小企业边界网关设备提交的重定向报文。将重定向报文经入侵检测处理、防病毒处理后，通过应用层协议代理透明中转；在检测到异常后，产生安全事件，并提交到资产管控模块M0；\n报文检测中产生的日志文件保存在企业用户租用的文件空间中。\n[0060] 报文检测模块M1内部包括应用层协议代理模块M11、入侵检测模块M12、防病毒模块M13和安全事件客户端模块M14。\n[0061] 应用层协议代理模块M11，与安全事件客户端模块M14、防病毒模块M13和入侵检测模块M12相连，用于接收并处理企业边界网关设备提交的重定向报文。针对源自企业提交的重定向报文，将过入侵检测处理、防病毒处理后，由不同的应用层协议代理透明中转报文；针对源自互联网应用的返回报文，经过入侵检测和防病毒处理后，才下发到企业的边界网关设备。合法的边界网关设备需配置到此模块，该模块针对出入报文进行检测，自动丢弃源地址或目的地址均未登记的报文。本模块内部集成了SMTP协议代理、POP3协议代理、HTTP协议代理、MSN代理、QQ代理和不区分协议代理，分别用于处理邮件、WEB页面浏览、及时通信和透明中转报文。各协议代理在运行时发现异常时，会创建相应的安全事件，并提交到安全事件客户端模块M14；应用层协议代理模块针对报文流量统计信息以安全事件的方式提交到安全事件客户端模块M14。\n[0062] 应用层协议代理模块M11，中转报文时，利用令牌桶进行流量控制，源自同一个合法企业的报文，共用一个桶。超过流量阈值的报文，将被直接丢弃。\n[0063] 入侵检测模块M12，与应用层协议代理模块M11相连，接收应用层协议代理模块M11提交的报文，并进行入侵检测处理。本模块结束源自全策略模块M2提交的检测规则，对报文进行全局检测。检测出攻击时，产生安全事件，提交到安全事件客户端模块M14；同时，请求应用层协议代理模块M11中断当前异常报文所关联的会话。\n[0064] 防病毒模块M13，与应用层协议代理模块M11相连，接收应用层协议代理模块M11提交的报文，并进行防病毒处理；防病毒处理的结果保存为日志文件，内部集成的日志挖掘功能会定期检测日志内容，发现病毒后，产生安全事件，并提交安全事件客户端模块M14；\n同时，请求应用层协议代理模块M11中断当前异常报文所关联的会话。\n[0065] 安全事件客户端模块M14，与应用层协议代理模块M11、入侵检测模块M12和防病毒模块M13相连，用于接收这些模块提交的安全事件，并进行格式检查后，提交到资产管控模块M0的安全事件管理模块M02上，由后者对安全事件进行处理。本模块接收安全策略模块M2的控制，只上报策略所指定的安全事件。缺省时，上报所有安全事件。\n[0066] 安全策略模块M2，与资产管控模块M0和报文检测模块M1相连，用于维护人员配置不同安全基线、安全事件处理策略、入侵检测规则、安全事件上报等。将安全基线数据和安全事件处理策略数据提交到资产管控模块M0；将入侵检测规则、安全事件上报规则数据提交到报文检测模块M1。本发明所述系统级管理员设定的策略，对所有企业级用户可见；而企业级用户设定的策略，仅对该企业的其它管理员可见。各企业级用户必须启用已选定的策略，缺省时，所有策略均未启用。\n[0067] 终端安全管控模块M3，与资产管控模块M0的资产快照模块M01和身份认证模块M6相连，用于上报Windows终端的运行状况，同时，接收资产快照模块M01的控制命令，实现企业内网终端资产安全管控。利用启动后采集到硬件信息、邻居信息和软件信息构造认证报文，向资产快照模块M01申请注册；同时，利用运行中定期采集到硬件信息、邻居信息、软件信息和挖掘到的日志信息构造心跳报文，向资产快照模块M01汇报运行状况。可选地，终端安全管控模块M3向身份认证模块M6不定期发起身份认证，只有身份认证通过后，终端安全管控模块M3才进入正常工作态，否则，会锁定终端，导致终端不可用。\n[0068] 主机安全管控模块M4，与资产管控模块M0的资产快照模块M01和身份认证模块M6相连，用于上报主机的运行状况，同时，接收资产快照模块M01的控制命令，实现企业内网主机类资产安全管控。本模块首先向身份认证模块M6发起身份认证请求，身份验证互通过后，才向资产快照模块M01注册和上报心跳信息。注册信息包括采集到的硬件设备和软件信息；心跳信息包括定期采集到的硬件信息、软件信息和过滤出的日志信息。主机安全管控模块M4允许管理人员对注册消息和心跳信息的内容进行定制，以便屏蔽部分进程与服务信息。\n[0069] 网络设备安全管控模块M5，与资产管控模块M0的资产快照模块M01和身份认证模块M6相连，用于上报所辖管的各网络设备的运行状况，同时，接收资产快照模块M01的控制命令，转化为标准SNMP命令后，提交到目标网络设备，实现对目标设备的安全管控。本模块可以管控多个支持SNMP协议的网络设备。本模块在启动后，立即向身份认证模块M6申请身份验证，验证通过后，采集本模块的宿主机器的硬件信息和软件信息，并以这些信息为基础，构造注册报文，向资产快照模块M01注册；同时，依据预设的顺序与时间频率，采集各网络设备的运行状态数据，并上报到资产快照模块M01，该资产快照模块M01将以此类状态数据构建网络设备的运行状态快照；接收网络设备的SNMPTrap(简单网络管理协议自陷)消息，并格式化后保存到缓存区，该缓存区的信息将定期提交到资产快照模块M01。\n[0070] 身份认证模块M6，与终端安全管控模块M3、主机安全管控模块M4和网络设备安全管控模块M5相连，用于对部署在企业内网的各模块进行节点身份验证；同时，对企业管理员登录到本发明所述系统时，进行用户身份验证。本模块缺省地采用PKI机制的X 509数字证书节点双向认证方式对节点进行身份认证；采用X 509数字证书用户单向认证方式对用户身份进行验证。身份认证成功后，本模块请求防火墙系统放开客户端到本发明所述系统服务间的通信通路；定期检测节点和用户的在线状态，发现不足线后，立即请求墙防火墙系统关闭客户端到本发明所述系统服务间的通信通路。\n[0071] 如图2所示，为本发明所述中小企业内网信息安全托管方法流程图，包括如下步骤：\n[0072] 步骤S1：安装内网安全管控软件，包括从安全服务提供商的服务网络下载Windows终端安全管控软件、Linux主机安全管控软件、Unix主机安全管控软件、Windows主机安全管控软件、网络设备安全管控软件，并分别安装到终端计算机、主机以及空闲计算机上。\n[0073] 在执行本步骤前，企业必须与安全服务提供商签订协议，就租借重定向报文流量检测用带宽容量以及保存安全报表、安全检查日志用的文件空间容量达成一致，并获得安全服务提供商为其分配的VPN客户端接入用用户名/密码，安全托管系统管理员用户/密码；以及通用的VPN服务器IP地址、安全托管系统IP地址等。\n[0074] 企业用户在获得上述接入信息后，首先利用VPN客户端用户名/密码，成功建立到安全服务提供商网络的IPSec VPN后，通过此VPN隧道访问安全托管系统，并从其Web站点上下载终端安全管控软件、主机安全管控软件和网元安全管控软件。\n[0075] 所述终端安全管控软件，即本发明所述中小企业内网信息安全托管系统中的终端安全管控模块M3，仅支持Windows类终端安全管控，内部包括软件白名单管控、文件防护管控、安全操作日志检索、以及资产管控功能。在安装时，自动生成本地软件白名单，白名单管控与文件防护功能模块为驱动程序，随操作系统自动加载；白名单内容与文件管控的目标文件均自动上报到安全托管系统上，以便企业维护员通过该安全管控系统集中控制其内网中的Windows终端；文件防护管控自动保护白名单驱动、白名单文件不受非授权进程访问，即终端用户不能访问这些文件。终端安全管控软件启动时，会主动上报资产信息，包括硬件信息，如CPU、内存、硬盘、监视器、网络适配器、显卡等在Windows的“设备管理器”中列表的硬件资产信息；用户信息，包括用户与群组信息；服务信息，包括服务名、状态、进程号、描述、可执行文件长文件名等；活动端口，包括端口号、协议；活动连接，包括本地IP、本地端口、对方IP、对方端口、协议；共享目录信息；网络配置信息；邻居信息，包括MAC(即Media Access Control，介质访问控制)地址、IP地址；活动进程信息，包括进程名、进程IP、进程关联模块信息；启动组信息，包括注册表项、名称和带绝对路径的可执行文件名；内核模块信息，包括短文件名、长文件名；所有这些信息，通过WMI(即Windows管理接口)或windows内核函数获取，并提交安全服务提供商侧的中小企业内网信息安全托管系统，该系统将以终端安全管控软件提交的数据，重建资产运行快照；同时，在该系统上，除了硬件资产外，企业维护员可以对软件资产进行管控，包括关闭服务、结束进程、关闭连接、关闭共享等。终端安全管控软件需要以管理员身份运行。\n[0076] 所述终端安全管控软件，在运行过程中，定期向安全服务提供商的中小企业内网信息安全托管系统汇报心跳信息，该心跳信息中除了包含启动时上报信息所包含的内容项外，还包括从运行日志中检索出的日志，包括时间、操作系统事件ID、事件描述等，并将其转化为统一的日志事件格式，包括探测器(终端安全管控软件)、事件标志(操作系统事件ID)、时间(操作系统事件时间)、源IP(终端IP或从日志条目中过滤而来的源IP)、源端口(ANY或从日志条目中过滤而来的源端口)、目标IP(终端IP或从日志条目中过滤而来的目标IP)、目标端口(ANY或从日志条目中过滤而来的目标端口)、事件内容(事件描述)。日志检索采用LUA正则表达式，对需要关注的每个事件，定义一个不同的LUA正则表达式。\n[0077] 所述主机安全管控软件，即本发明所述中小企业内网信息安全托管系统中的主机安全管控模块M4，包括Windows主机安全管控、Linux主机安全管控和Unix主机安全管控共3大类。这类软件需要首先在安全服务提供商的中小企业内网信息安全托管系统上为其颁发数字证书，否则，此类软件与所述中小企业内网信息安全托管系统间不启用X 509节点认证。主机安全管控软件启动时，会将本地运行环境信息上报到所述中小企业内网信息安全托管系统；同时，通过所述中小企业内网信息安全托管系统，可以对运行环境信息进行控制，包括强制终止进程、清理磁盘文件、关闭活动连接、强制用户下线、重启服务等。这里所述的运行环境信息，包括负载信息，内含磁盘容量以及负载、内存容量以及负责、CPU容量以及负载、网络容量以及负载；活动端口信息，内含端口号、进程号；活动进程信息，内含CPU消耗、内存消耗、执行命令名、启动用户名、关联的模块名(长文件名以及SOCKET)等；\n活动用户信息，内含用户名、终端名、IP地址、上线时间等；活动连接信息，内含本地IP、本地端口、远端IP、远端端口和活动状态；安全操作日志信息，内含时间、用户名、IP地址、结果描述等；所有信息，均采用API函数而非SHELL命令采集。\n[0078] 所述主机安全管控软件，在正常运行中，还定期上报主机的状况信息，该信息中除了启动时上报信息中的内容项外，还包括从安全操作日志、操作系统运行日志中通过字符串比较匹配的日志条目信息，内含时间、操作结果、操作内容的描述；并将其转化为统一的日志事件格式，包括探测器(主机安全管控软件)、事件标志(依据匹配的关键字找到的事件ID)、时间(操作系统事件时间)、源IP(主机IP或从日志信息中过滤而来的源IP)、源端口(ANY或从日志信息中过滤而来的源端口)、目标IP(主机IP或从日志信息中过滤而来的目标IP)、目标端口(ANY或从日志信息中过滤而来的目标端口)、事件内容(操作结果与操作内容的并集)。日志事件采集也是利用LUA(即LUA语言)正则表达式提取内容。\n[0079] 所述网元安全管控软件，也就是网络设备安全管控软件，即本发明所述中小企业内网信息安全托管系统中的网络设备安全管控模块M5，用于管控企业内网的网络设备，包括路由器、交换机和防火墙等支持SNMP协议的设备。该网元安全管控软件独立部署在至少一台主机上，用以能管控不同子网段的网络设备。网元安全管控软件同前边的终端安全管控软件、主机安全管控软件相比，一套网元安全管控软件可以管控多个网络设备。网元安全管控软件通过SNMP协议采集受监控设备的运行状况数据，内嵌了主流厂商，如华为、H3C、思科、D-Link公司已公开的MIB库。同时，接收设备的SNMP Trap消息。在配置受管控网络设备的IP地址时，只能配置其管理口的IP地址；网元安全管控软件同时支持CLI(即Command Line Interface，命令行接口)命令采集设备的运行状态数据；但启用CLI方式时，必须配置受管控设备的厂家、设备型号，因为CLI命令是与不同厂家不同型号的设备紧耦合的。\n[0080] 所述网元安全管控软件启动后，自身向所述中小企业内网信息安全托管系统发送状态消息，该消息同所述终端安全管控软件上报的资产信息内容一致；在随后的运行中，会基于预设的频率间隔，采集各受控网络设备的运行数据，如网络吞吐量、CPU负载、内存负载等，同时，将当前时间界隔内该设备的SNMP Trap消息，解析成固定格式的事件数据，包括探测器(网元安全管控软件)、事件标志(依据SNMP Trap消息内容检索事件标识表所得)、时间(事件时间)、源IP(网元IP或从SNMP Trap内容中过滤而来的源IP)、源端口(ANY或从Trap内容中过滤而来的源端口)、目标IP(网元IP或从SNMP Trap内容中过滤而来的目标IP)、目标端口(ANY或从SNMP Trap内容中过滤而来的目标端口)、事件内容(SNMP Trap转化成的字符串)，上报到所述中小企业内网信息安全托管系统。通过中小企业内网信息安全托管系统的操作界面，管理员可以手工提取指定网络设备的业务级数据，如路由表、生成树以及规则等。同时，可指定是否对设备的配置信息进行完整性验证，网元安全管控软件将定期采集指定了完整性验证的网络设备的配置数据，并进行比较，发现变更时，将立即创建日志事件，其缓存到日志事件队列中。所述日志事件队列由多个子队列组成，所有子队列的头节点为受管控设备的IP地址标识。\n[0081] 同时，所述网元安全管控软件内嵌了syslog(即syslog协议)服务功能，只要开启了该功能，可以将支持syslog协议的设备的syslog日志强制上传到该网元安全管控软件所在的宿主机上；一旦开启了syslog服务功能，则日志解析功能自动开启。进一步地，所述网元安全管控软件同时还集成了TFTP(即Trivial File Transfer Protocol，简单文件传输协议)服务功能，一旦开启本TFTP服务，则可以要求支持TFTP协议的设备将本地日志上传到本网元安全管控软件所在的宿主机上。该功能依据预设的过滤规则(即LUA正则表达式)，从所述上传的日志条目中过滤内容，一旦过滤到了内容，则构造日志事件，包括探测器(网元安全管控软件)、事件标志(依据日志条目内容所匹配的过滤条件而定)、时间(日志发生时间)、源IP(日志来源机器的IP)、源端口(ANY或从日志内容中过滤而来的源端口)、目标IP(日志来源机器的IP或从日志内容中过滤而来的目标IP)、目标端口(ANY或从日志内容中过滤而来的目标端口)、事件内容(日志描述)，并缓存到日志事件队列中，所述网元安全管控软件会以恒定间隔读取该队列中的内容，并上报到所述中小企业内网信息安全托管系统上。只有上报成功，才将缓存区中的日志事件条目清除；一旦缓存区满，则转存到本地文件，并清空缓存区内容；转存的文件在发现所述中小企业内网信息安全托管系统可达时，将立即上传。\n[0082] 步骤S2：重定向外出报文到报文检测服务系统；企业管理员在其内网与公网间的边界设备上，将预定的应用层协议报文重定向到所述中小企业内网信息安全托管系统的报文检测服务系统，由该系统对重定向的报文进行检测。\n[0083] 所述报文检测服务系统，即本发明所述中小企业内网信息安全托管系统中的报文检测模块M1，该模块可以独立部署，从而对外表现为独立为报文检测服务系统。\n[0084] 如果边界设备支持按协议重定向，如应用级网关设备，可以将指定协议(或不区分协议)的报文重定向到报文检测服务系统；如果所有边界设备均不支持报文重定向，则需要首先建立到报文检测服务系统的VPN隧道，该隧道采用IP-over-IP(即IP封装IP)方式封装报文，然后通过此隧道外发所有报文；利用VPN隧道传送外发报文时，可能在报文流量大时，会影响性能，因此，需要依据实际情况，建多条隧道，同时，重新规划企业内部拓扑结构，通过设置不同的路由关系，在内网主动分流到不同隧道。\n[0085] 企业提交的重定向报文的流量，不能超过其租借的流量容量。安全服务提供商侧的报文检测系统，通过令牌桶机制限制中转流量，如果超过了租借的流量容量，则直接丢弃超过容量的报文。\n[0086] 位于安全服务提供商机房的报文检测系统收到重定向报文后，首先会对源端，和/或目的端进行验证，只处理源端或目的端IP已注册的报文，其它报文将直接丢弃；然后将报文依据依次提交到内部不同应用层协议代理模块M11。\n[0087] 应用层协议代理包括SMTP协议代理、POP3协议代理、HTTP协议代理、MSN代理、QQ代理和不区分协议代理，分别用于网络邮件管控、基于网页的访问管控、及时通信管控和未分协议的简单管控。缺省时，应用层协议报文会提交到相应的应用层协议代理上，但是企业管理员可以指定报文检测系统只单独处理部分协议，如HTTP协议，而其它协议都提交到不区分协议代理。\n[0088] SMTP协议代理和POP3协议代理采用相似的处理机制：首先基于协议解码活动邮件内容，然后对外出邮件，基于关键字进行过滤，如果过滤到信息，则将邮件内容写入租用的文件空间；如果过滤到核心机密级的内容，则保存内容到文件空间，同时，产生告警信息，并不中转此邮件；针对邮件中的附件，简单地保存到文件空间，以便人工审计，附件内容不进行解码；最后透传报文。\n[0089] HTTP协议代理首先记录协议头域信息；然后基于预设的URL黑名单，直接丢弃报文；然后基于预设的时间段与客户段关系策略，直接丢弃违规访问；并最终透传HTTP报文。\n所有头域信息以XML文件格式，依据时间段，保存到文件空间上。\n[0090] MSN代理和QQ代理采用类似的处理机制：记录源端的IP地址、并更新其在线时间与消息发送频率；可选地，将谈话内容以及往来附件保存到文件空间；最后透传报文。因为MSN和QQ的谈话内容均是加密的，缺省是不保存谈话信息。\n[0091] 不区分协议代理只简单记录源端IP、源端端口、协议、目标IP、目标端口和报文长度信息，并透明中转报文；\n[0092] 应用层协议代理在处理往来报文前，先进行入侵检测和防病毒处理。报文首先提交到入侵检测模块M12，该模块自身为NIDS(即Network Intrusion Detection System，网络入侵检测系统)，可对报文基于已知规则的入侵检测处理。入侵检测模块M12检测到确定的攻击特征后，直接通知应用层协议代理模块M11关闭与之关联的会话，并产生告警事件；\n如果检测到攻击特征但不确定时，则只产生告警事件；报文随后会提交到防病毒模块M13，该模块自身为防病毒系统，内嵌的处理模块会实时采集防病毒系统的运行日志(利用正则表达式提取内容)，发现病毒时，同样会产生告警，并要求应用层协议代理模块M11关闭与之关联的活动会话。\n[0093] 报文检测系统内产生的告警，通过其内部的安全事件客户端模块M14提交到资产管理模块M0。安全事件客户端模块M14首先检查其它模块提交的事件格式是否正确，然后添加上提交时间属性后，通过有名管道或网络接口提交到资产管理模块M0。事件的属性包括探测器(具体模块标识)、事件标志(具体事件标识)、时间(事件时间)、源IP(探测器依据具体事件填写，事件的源IP地址)、源端口(ANY或具体端口)、目标IP(探测器依据具体事件填写，缺省首选目标IP地址，无目标IP地址时为源IP地址)、目标端口(ANY或具体端口)、事件内容(由探测器依据实际情况填写的事件内容)。\n[0094] 报文检测系统模块M1所用的IDS(即Intrusion Detection System，入侵检测系统)策略，可以由企业维护人员通过安全策略模块M2设置；保存的文件处理策略，以及上报的安全事件策略都是由企业维护人员设定的，安全服务提供商可以通过安全策略模块M2设定对所有企业均适用的此类策略，但企业的维护人员可以对这类策略进行控制，如不启用。各企业自行设定的策略只对该企业的重定向报文检测有效。\n[0095] 步骤S3：内网安全管控，企业管理人员可通过VPN隧道登录到安全服务提供商的企业内容信息安全托管系统，对其内网IT资产进行安全管控。\n[0096] 企业管理人员首先建立到安全托管系统的IPSec VPN隧道，然后检测安装在内网的终端安全管控软件、主机安全管控软件和网络设备安全管控软件的日志，确定此类软件能通过该的IPSec VPN隧道提交报文到安全托管系统，即在日志中未出现“等待服务端响应超时”或“数据发送失败”类提示。缺省地，该IPSec VPN隧道是一直存在的。\n[0097] 企业管理人员将保存有身份信息的硬件装置，如USB KEY，连接到计算机，并通过浏览器访问安全托管系统，在“认证方式”中选择“USBKEY”，并输入企业编号、企业密码、管理员名和密码；\n[0098] 安全托管系统上的Web插件会以当前的企业编号、企业密码、管理员名和密码以及随机数为基准值，利用MD5算法计算其HASH(即哈希)值后，调用USB KEY的签名接口，对HASH值进行签名；并以基准值、签名后的HASH值为内容，构造认证报文，并调用USB KEY的加密接口，对认证报文内容加密；最后将加密后的认证报文发送到安全托管系统的身份认证模块M6。在USB KEY上，集成了PKI(即Public Key Infrastructure，公钥基础设施)支持芯片，该芯片内保存了用户身份的私钥和安全托管系统的公钥数据，签字与加密均在片上进行，外界无法导出私钥数据。USB KEY可以采用市场上现成的PKI支持芯片即可实现此功能。\n[0099] 安全托管系统的身份验证功能模块M6在收到用户认证报文后，首先以自身公钥解密报文内容，并提取到企业编号和用户名后，检索数据表，以获取该用户的公钥数据；并用获得的公钥数据解签，得到原始HASH值；同时，利用MD5(即Message DigestAlgorithm5，信息摘要算法5)算法，计算认证报文内容的HASH值，只有原始HASH值与计算HASH值一致时，才确认身份成功；并生成动态配置规则，要求防火墙放开该用户对安全托管系统内部服务的报文通路。报文中的密码，本身为通过MD5后的计算值，保存在数据库中的密码，同样是MD5计算值。\n[0100] 企业管理人员成功登录到系统后，可对其内部网络的IT资产进行管控，包括浏览拓扑图、查看资产安全状态、查看安全事件、修改白名单、关闭进程和服务、强制用户下线、漏洞扫描、拓扑扫描、设定各类策略、打补丁以及重启系统等。管理人员还可以对自己租用文件空间中保存的文件进行处理，包括检索、浏览、删除和下载；管理人员还可以在安全报表服务窗查看由安全托管系统提供的安全报表，同时，在未超过报表类型定额数时，还可以定义自己的报表，并指定报表权限以及发送策略。\n[0101] 安全托管系统的资产安全管控模块M0接收并处理企业内网中终端安全管控模块M3、主机安全管控模块M4和网络设备安全管控模块M5的注册报文、心跳报文以及事件报文；接收并处理报文检测模块M1提交的事件；接收并处理操作用户的控制操作。\n[0102] 源自终端安全管控模块M3、主机安全管控模块M4和网络设备安全管控模块M5的报文，提交到资产快照模块M01后，该模块针对每个注册报文，首先测试该IP地址与MAC(即Media Access Control，介质访问控制)地址信息确定的资产是否已存在，如果是新资产，则依据其IP地址和MAC地址构建一个新资产，并以新资产为当前资产；否则，以检索到的资产为当前资产；然后，利用注册报文中的硬件信息，填充当前资产的硬件属性；以用户信息填充当前资产的用户信息属性；以服务信息填充当前资产的服务属性；以活动连接信息填充当前资产的活动连接属性；以网络配置信息填充当前资产的网络配置属性；以活动进程信息填充当前资产的活动进程属性；以启动组信息填充当前资产的启动组属性；\n以内核模块信息填充当前资产的内核模块属性；以邻居信息更新当前资产与邻居资产间的连接关系属性，并重绘资产间的连接线；邻居信息同样用来发现新资产，如果由邻居信息(IP、MAC地址)确定的资产不存在，则表示发现了一个新资产节点。\n[0103] 利用注册信息构造资产的运行快照时，可立即发现资产内部变更信息，包括属性内容增加、修改和被删除，同时，还可以通过比较属性的当前值与安全基准间的差距，对偏离发出告警。告警事件包括探测器(资产快照模块)、事件标志(依据实际情况生长，可为硬件变更、软件变更、违反基线或发现新资产)、时间(当前时间)、源IP地址(资产的实际IP地址)、源端口(NULL)、目标IP(NULL)、目标端口(NULL)、事件内容(具体描述)、资产标识(当前资产的内部标识)、接收时间(当前时间)、可信度(10)、处理标志(1)和处理策略(NULL)。\n[0104] 同样地，资产快照模块M01针对终端安全管控模块M3、主机安全管控模块M4和网络设备安全管控模块M5提交的心跳报文，除了同进行注册报文一样地处理外，对心跳报文中的日志事件条目，进行单独处理，包括：首先构造内部事件，并从日志事件的探测器、事件标志、时间、IP地址、端口、事件内容的属性直接拷贝到新构造的内部事件的相应域，同时，为内部事件附加上资产标识(当前资产的内部标识)、接收时间(当前时间)、可信度(0)、处理标志(0)和处理策略(NULL)；然后，依据预设的与该资产相关的日志敏感字过滤条件，对当前新构造的内部事件进行过滤，如果符合过滤条件，则依据过滤条件更新可信度和处理标志。缺省地，如果可信度大于5，则处理标志直接修改为1，用于提示该事件已经确信为异常事件，后边的模块会加快对此类事件的处理。最后，将新构造的事件的编号保存到资产相应的日志事件列表中，同时，如果可信度大于5，则该事件标识显示为红色，提醒维护人员注意。\n[0105] 资产快照模块M01所产生告警事件，或内部事件，会提交到安全事件管理模块M02。安全事件管理模块M02对源自资产快照模块M01、报文检测模块M1提交的各类事件，进行统一处理。\n[0106] 同时，资产快照模块M01接收漏洞扫描模块M05的扫描结果，并利用扫描所获得的漏洞数据，更新当前资产的漏洞列表；利用扫描获得的网络节点数据以及链路数据，更新节点以及节点间连接信息，同时，更新拓扑图。一旦发现了新的节点或连接关系，则立即构造告警事件，同时，以特殊颜色展示新节点和连接，以警示维护人员。资产快照模块M01接收来自维护人员在安全管控模块M04上的发起的控制指令，如强制用户下线、关闭进程或服务、提取文件等，并通过与对应目标资产间现有的活动通道，下发到终端安全管控模块M3、和/或主机安全管控模块M4、和/或网络设备安全管控模块M5上。\n[0107] 漏洞扫描模块M05中集成了漏洞扫描功能模块，如Nessus工具；集成了端口扫描功能，如Nmap工具；集成了操作系统指纹识别，如P0f工具；集成了链路层发现功能，如CDP(即Cisco Discovery Protocol，思科发现协议)和SNMP MIB(即SNMP Management Information Base，SNMP管理信息)库；集成了IP子网扫描功能；以及其它功能，如ARPWatch工具、私通外网检查工具等。可以对指定目标、指定网络进行远程扫描，以便发现漏洞以及网络拓扑。维护人员成功登录到安全托管系统后，可使用此模块的功能对自己的内网进行扫描。\n[0108] 安全托管系统允许授权的安全服务提供商级的维护人员查看预设企业的所有信息，包括拓扑图、安全策略、以及安全报表；但是，不允许访问企业所租用文件空间中的文件。此类文件仅允许企业级操作员访问。\n[0109] 内网安全管控中，针对各类事件的处理是本步骤的核心，通过对各类事件进行安全分析后，计算出安全风险，从而指导维护人员正确地对内网进行安全管控。事件的处理流程图如图3所示，包括：\n[0110] 步骤S31：事件预处理。预处理主要用于事件数据检测以及事件处理规则检索，以加快事件处理。\n[0111] 安全事件管理模块M02针对源自资产快照模块M01的已标准化的内部事件，直接写入本地事件缓存池，而对源自报文检测模块M1提交的事件，在该事件后附加资产标识(依据事件的IP地址查找到的内部标识)、接收时间(当前时间)、可信度(0)、处理标志(0)和处理策略(NULL)后，再写入本地事件缓存池。\n[0112] 针对事件池中的每条事件，首先测试资产标识是否为空，如果为空，则填写该事件的处理策略为(NULL)，即不进行任何处理；否则，依据事件的探测器属性和事件标识属性为条件，在事件处理策略中检索相应的处理策略。当处理策略存在多条时，选择最高优先级的策略为处理策略；如果最高优先级相同，则生效时间最新的策略为处理策略。处理策略包括策略编号、策略名称、探测标识、事件标识、生成时间、生效时间、优先级别、处理标志等属性。其中处理标识包括单事件处理标志、事件链处理标志和风险评估标志。处理策略的优先级将附加在事件数据的后边，表示为该事件的优先级。所述优先级为0～5级，5级为最高级。\n[0113] 在本发明中，所有的事件都是由探测器产生并上报的，因此，可以控制事件的类型(即事件标识)，从而，可以为所有事件类型设定处理策略。处理策略由本发明所述系统启动时初始化，授权的企业维护人员可以修改此类策略，以符合自己企业的现状。\n[0114] 步骤S32：事件独立处理。事件独立处理是对单个事件进行分析。\n[0115] 如果事件处理策略的单事件处理标志为真，则需要对当前事件进行独立分析，主要是漏洞关联分析和资产关联分析。\n[0116] 漏洞关联分析是将事件与资产上的漏洞列表进行关联，如果关联成功，则提高该事件的可信度。否则，事件独立处理结束。资产关联分析是在漏洞关联分析后，确认了事件与漏洞关联时，再将漏洞的触发条件与资产的实际运行状况相比较，以验证该漏洞能否触发，从而进一步提高事件的可信度(关联成功)或降低可信度(关联失败)以消除虚警告。\n漏洞关联分析与资产管理分析仅处理事件标志为0的事件。\n[0117] 漏洞关联分析描述如下：在预设的漏洞与事件关联表中，检索出当前事件标识所关联的所有漏洞标识(此关系表手工维护，对每一个系统支持的新事件、新漏洞，都需要增加漏洞、事件关系)；然后比较目标资产(事件的资产标识属性确定)上的漏洞列表是否与检索出来的漏洞集合存在交集，如果不为空，则关联成功，事件的可信度提高到5；否则，事件的可信度保持不变，并结束事件独立处理。\n[0118] 资产关联分析描述如下：在漏洞关联分析中所确定的漏洞交集中，针对每个漏洞，从漏洞基础信息表(该表手工维护，用于保存漏洞的基本信息，包括漏洞编号、名称、操作系统及其版本、应用及其版本、端口、协议、后果等)检索出操作系统及其版本、应用及其版本、端口和协议，并组成集合A；首先，测试目标资产(由事件的资产标识所确定)的操作系统及其版本是否包含在集合A所确定的操作系统及其版本中，如果是，则事件的可信度增\n1，如果不匹配，则事件可信度置0，并结束资产关联；其次，测试目标资产上关系对<活动端口、协议>是否与集合A中的<端口、协议>有交集，如果有，则事件的可信度不变，否则，端口与协议不匹配，事件可信度置0，并结束资产关联；最后，测试目标资产上的应用及其版本是否与集合A所确定的应用及其版本相匹配，如果匹配，则事件的可信度置10，否则，可信度置0。\n[0119] 步骤S33：事件链处理。事件链处理主要用于将当前待分析事件与已知的事件链规则进行匹配，从而挖掘出新事件。\n[0120] 如果事件处理策略的事件链处理标志为真，则需要对当前事件进行事件链关联分析。事件链关联分析主要用于基于已知事件链上的前导事件，推导出新的事件，从而提前预报，警示维护人员采取措施。\n[0121] 事件链处理的内部处理流程描述如下：\n[0122] 步骤1：基于经验积累的、网络公开的、以及第三方工具的事件链规则，构造适合本发明推理用的事件链规则。本发明中，事件链总有一个入口事件，即根事件，该事件是事件链中的首个事件；根事件下有多个分支，各分支可导致不同的新事件。因此，事件链总是组织成树型结构。此树型结构不是一棵标准的树，因为可能存在环，即不同的前导事件可能会推导出同一个事件。\n[0123] 规则属性包括：新事件标识、新事件描述、新事件可信度、待分析事件的事件标识、待分析事件的探测器、时间间隔、统计值、待分析事件的源IP、待分析事件的源端口、待分析事件的目标IP、待分析事件的目标端口、源IP规则、源端口规则、目标IP规则、目标端口规则、层次、子节点指针等属性。\n[0124] 步骤2：测试当前事件是否从属于当前已活动事件链的后续事件；将当前事件与缓存区中所有活动的事件链规则树上的所有活动规则比较，如果匹配，则事件链处理结束，并产生新事件；同时，将当前事件的源IP、源端口、目标IP和目标端口的内容保存到规则的待分析事件的源IP、待分析事件的源端口、待分析事件的目标IP、待分析事件的目标端口中；且修改当前事件链规则的活动规则链，将当前匹配规则的所有子节点插入活动规则链中，将当前匹配规则从活动规则链中删除。否则，转步骤3。\n[0125] 进行活动规则匹配时，首先验证当前事件的探测器和事件标志是否被某个活动规则所要求的探测器和事件标志集所包含，如果包含，则顶层匹配成功；然后，依据规则的底层匹配约束(源IP规则、源端口规则、目标IP规则、目标端口规则)的内容，将当前事件的源IP、源端口、目标IP和目标端口与底层匹配约束所指示的事件链上已有事件的相应属性进行比较，如果比较结果为真，才是事件与规则匹配成功。\n[0126] 所产生的新事件，其事件标识、事件内容和可信度来自规则所定义的新事件标识、新事件描述和信事件可信度，探测器(安全事件管理模块)、时间(当前时间)外，其它属性直接拷贝当前事件的相应属性内容；新事件写入事件池，以便对该事件进行分析。\n[0127] 缓存区中的事件链规则树，会在活动规则链为空，或存活时间失效后，被自动清除掉。\n[0128] 步骤3：测试当前事件是否属于事件链的入口事件。将当前事件与系统所有的预设的事件链规则的根规则进行比较，如果匹配成功，则当前事件为特定事件链的根事件，将当前匹配的事件链规则树拷贝到缓存区中，同时，将当前事件的源IP、源端口、目标IP和目标端口的内容保存到事件链规则树上根规则的待分析事件的源IP、待分析事件的源端口、待分析事件的目标IP、待分析事件的目标端口中；且将根规则的所有子节点插入活动规则链中。\n[0129] 事件与根规则比较时，只简单比较事件的探测器和事件标识是否被规则的探测器和标识所包含，一旦包含，则认为匹配成功，且不再与尚未比较过的其它事件链的根规则比较。所有规则链的根规则必须互斥，否则，排在后边的规则链将无法触发。\n[0130] 步骤S34：事件风险评估。计算当前事件的风险值和风险等级。\n[0131] 如果待处理事件的处理策略的风险评估标志为真，则需要对该事件进行风险评估操作。\n[0132] 首先，检测事件的可信度和附加的优先级，如果任意一项零，则当前事件的风险值为0；否则，通过事件的资产标识属性，从资产价值表(该表手工维护，用于保存资产的业务价值，业务价值由0～5等级，5级最高)后，利用客体风险＝可信度×优先级×资产价值等级/10，计算出事件的客体风险(即目标设备)；如果事件的源IP与目标IP不一致，则利用源IP属性获得资产标识(即主体资产标识)后，再利用该资产标识从资产价值表中获得该资产的价值后，利用主体风险＝可信度×优先级×资产价值等级/10，计算出事件的主体风险(即源设备)。并以客体风险、主体风险中的大者为当前事件的风险值；\n[0133] 其次，更新事件主体和事件客体的风险等级；如果事件的风险值大于0，则为该事件产生流水号，将上一步计算出的客体风险值，利用事件客体所对应资产上预设的风险值与风险等级映射关系，计算出客体风险值所对应的风险等级，并将当前事件流水号、风险等级，插入当前事件的资产标识属性所确定的资产的风险列表中，同时更新该资产的风险等级统计数；将上一步计算出的主体风险值、利用上一步检索到的主体资产标识检索到相应资产上的风险值与风险等级映射关系，计算出主体风险值所对应的风险等级，并将当前事件流水号、风险等级，插入主体资产标识所确定的资产的风险列表中，同时更新该资产的风险等级统计数。\n[0134] 进一步地，只要资产的风险等级统计数发生了变更，则自动更新该资产所在子网的风险等级统计数。\n[0135] 步骤S35：示警并自动响应处理。依据预设的响应策略，示警维护人员，并自动响应。\n[0136] 安全事件管理模块M02依据安全策略模块M2设定的响应策略，对风险值大于阈值的事件告警，并自动响应。所述阈值由维护人员设定，事件的风险值是0～25，缺省时，告警阈值为5。\n[0137] 安全策略模块M2设定的响应策略，包括策略号、生效标志、生效开始时间、生效结束时间、内部执行标志、外部执行标志、正则表达式和命令等属性。其中，正则表达式用于从事件中提取内容，如源IP、目标IP；命令是具体的可执行指令，由安全监控模块M04解释。\n命令中的占位符由正则表达式提取的内容填充。命令可以简单为示警、发送Email或发送及时消息；也可以是Shell命令、SNMP指令等。\n[0138] 通过以事件中事件标识属性值为条件，检索策略与事件关联表(该表手工维护，用于将策略和事件关联，每增加了新事件标识，如果需要自动响应，则需要为该事件配置策略；每增加了新策略，则需要指派到事件后，该策略才可能被执行)，即可检索到对应的安全策略，从而可针对系统所支持的事件进行准确响应。\n[0139] 安全事件管理模块M02将事件数据，包括事件标识、事件内容、源IP、源端口、目标IP、目标端口、发生时间，以及响应策略的具体命令，提交安全监控模块M04。\n[0140] 安全监控模块M04依据响应策略的具体命令进行自动响应，包括事件展示、声音告警；将事件数据发送到预设的企业管理员邮箱；或利用GSM Modem(即支持GSM的猫)给预设的企业管理员移动手机号发送短信；或将命令打包成接口消息包，提交到资产快照模块M01，由后者通过当前活动信道，发送到正确的终端安全管控模块M3、和/或主机安全管控模块M4、和/或网络设备安全管控模块M5，指导后者执行命令。\n[0141] 安全监控模块M04同样接收操作员的手工控制，在控制面板上，收集操作员选定的控制参数以及输入的值后，构造成标准接口消息包，并提交到资产快照模块M01。\n[0142] 步骤S36：安全报表处理。对经安全事件管理模块M02处理后的事件，自动进行统计与汇总处理。\n[0143] 安全事件管理模块M02最终将处理过的事件，附加上事件流水号后，提交到安全报表模块M03；安全报表模块M03将对事件进行集中处理，包括按事件标识统计、按探测器统计、按源IP统计、按目标IP统计等。\n[0144] 此外，安全报表模块M03对来自报文检测模块M1提交的安全事件中包括了源IP、源端口、协议、目标IP、目标端口和报文长度信息的事件，将进一步处理其事件内容，利用这些生成统计报表，包括协议分布报表、IP分布报表、TOPN报表等。所有报表，缺省均提供日报、周报、月报、季报和年报。\n[0145] 所有报表模板的自动属性为真的报表，其报表文件生成后，将保存到企业所租借的文件空间。