本發(fā)明屬于網(wǎng)絡(luò)安全；尤其涉及一種面向持續(xù)威脅場景的劇本化編排系統(tǒng)及方法。

背景技術(shù)：

1、針對網(wǎng)絡(luò)安全威脅事件及網(wǎng)絡(luò)安全運(yùn)行的問題，目前安全事件的處置需要涉及不同的部門，不同的安全設(shè)備之間的協(xié)調(diào)，依靠人工電話協(xié)調(diào)，郵件協(xié)調(diào)等技術(shù)手段，缺乏統(tǒng)一的安全管理和自動(dòng)化編排，不能將繁瑣安全運(yùn)行過程梳理為任務(wù)和腳本，把分散的安全工具和功能轉(zhuǎn)換為可編程的腳本，人工協(xié)同事件長，效率低下。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明要解決的技術(shù)問題是：提供一種面向持續(xù)威脅場景的劇本化編排系統(tǒng)及方法，以解決現(xiàn)有技術(shù)針對針對網(wǎng)絡(luò)安全威脅事件及網(wǎng)絡(luò)安全運(yùn)行缺乏統(tǒng)一的安全管理和自動(dòng)化編排，不能將繁瑣安全運(yùn)行過程梳理為任務(wù)和腳本，把分散的安全工具和功能轉(zhuǎn)換為可編程的腳本，人工協(xié)同事件長，效率低下等技術(shù)問題。

2、本發(fā)明的技術(shù)方案是：

3、一種面向持續(xù)威脅場景的劇本化編排系統(tǒng)，所述系統(tǒng)包括：

4、自動(dòng)處置類編排場景模塊：基于企業(yè)實(shí)時(shí)通訊軟件開發(fā)安全編寫流程事件通知模塊小程序，設(shè)定處置規(guī)則，將安全事件在企業(yè)實(shí)時(shí)通訊軟件中通知，根據(jù)事件不同的處置流程和節(jié)點(diǎn)，通過企業(yè)實(shí)時(shí)通訊軟件自動(dòng)分配相應(yīng)的安全人員；

5、策略管控類編排場景模塊：在流程平臺創(chuàng)建響應(yīng)的安全事件響應(yīng)流程，根據(jù)事件不同的處置流程和節(jié)點(diǎn)，在流程平臺中自動(dòng)分配相應(yīng)的安全人員進(jìn)行處置；

6、流程驅(qū)動(dòng)類編排場景模塊：通過界面化的圖形拖拽實(shí)現(xiàn)安全劇本流程的可視化編排，自定義編排動(dòng)作聯(lián)動(dòng)的具體安全資源，并提供編排流程需要的內(nèi)置動(dòng)作，輔助安全人員建立合理的工作流程；

7、安全響應(yīng)流程可視化劇本編排模塊：對開啟狀態(tài)的劇本進(jìn)行實(shí)時(shí)數(shù)據(jù)監(jiān)測和數(shù)據(jù)分析，滿足劇本處置條件時(shí)則通過編排引擎能力自動(dòng)按案預(yù)進(jìn)行業(yè)務(wù)執(zhí)行。

8、安全劇本關(guān)聯(lián)模塊：安全能力編排根據(jù)真實(shí)場景定義編排場景、觸發(fā)規(guī)則和執(zhí)行動(dòng)作，并提供給系統(tǒng)安全分析調(diào)用；包括封堵攻擊源腳本動(dòng)作，當(dāng)監(jiān)測發(fā)現(xiàn)存在高危攻擊行為時(shí)，關(guān)聯(lián)編排動(dòng)作腳本自動(dòng)實(shí)現(xiàn)對攻擊源地址的網(wǎng)絡(luò)封堵及阻斷攻擊行為；該類動(dòng)作腳本將需要通過安全服務(wù)平臺接口調(diào)度安全組件服務(wù)能力，實(shí)現(xiàn)封堵及解封動(dòng)作，聯(lián)動(dòng)的安全組件服務(wù)能力包括安全服務(wù)平臺注冊服務(wù)、傳統(tǒng)安全設(shè)備及配套工具。

9、安全服務(wù)平臺已集成服務(wù)組件模塊：在安全流程劇本編排中通過內(nèi)置的可視化劇本編輯器進(jìn)行劇本編輯，頁面布局分為動(dòng)作區(qū)域、流程圖區(qū)域、和配置信息區(qū)域，允許鼠標(biāo)拖拽的方式將動(dòng)作區(qū)域中元素加入的流程圖區(qū)域構(gòu)成圖形化的劇本；劇本支持保存、重置、放大、縮小、撤銷、自動(dòng)布局及導(dǎo)出?svg?文件工具按鈕；同時(shí)支持劇本的綜合展示、當(dāng)前已創(chuàng)建劇本信息查看及查看劇本列表；在配置具體的動(dòng)作時(shí)，配置人工動(dòng)作的基本信息、關(guān)聯(lián)動(dòng)作、過濾動(dòng)作的參數(shù)與規(guī)則及判斷動(dòng)作的判斷條件；

10、編排流程事件通知模塊：本模塊通過與安全服務(wù)平臺接口聯(lián)動(dòng)，通過下發(fā)服務(wù)化指令給安全服務(wù)平臺，安全服務(wù)平臺基于北向服務(wù)化接口進(jìn)行翻譯并調(diào)用安全防護(hù)組件能力，同時(shí)提供與內(nèi)部社交工具及流程平臺，自動(dòng)化驅(qū)動(dòng)內(nèi)部事件處置流程，安全組件服務(wù)能力包括以下對象：上級單位經(jīng)自主分析發(fā)現(xiàn)下級或管轄單位有安全異常、安全事件或接收到外部監(jiān)管單位的安全整改通知，上級單位即可向其下轄單位發(fā)出通報(bào)，由接收單位進(jìn)行整改和處置，經(jīng)驗(yàn)證整改完成后即可關(guān)閉通報(bào)。通報(bào)管理實(shí)現(xiàn)了從安全異常、安全事件發(fā)現(xiàn)、通報(bào)下發(fā)、響應(yīng)處置的流程閉環(huán)；

11、驅(qū)動(dòng)流程平臺模塊：統(tǒng)一管理所有告警，包括對接第三方監(jiān)控平臺的告警及本平臺根據(jù)告警策略產(chǎn)生的告警；支持對告警從應(yīng)用、技術(shù)棧維度進(jìn)行壓縮展現(xiàn)，支持告警下鉆分析，支持告警響應(yīng)、掛起及關(guān)閉的閉環(huán)處理，支持告警對接工單流程系統(tǒng)生成工單；支持作業(yè)期間產(chǎn)生的告警，標(biāo)記“作業(yè)告警”的標(biāo)識，支持查詢統(tǒng)計(jì)告警處理超時(shí)、告警響應(yīng)超時(shí)的告警。

12、自動(dòng)處置類編排場景模塊的實(shí)現(xiàn)方法包括：?通過工作流引擎對安全設(shè)備響應(yīng)能力進(jìn)行編排，組成可基于數(shù)據(jù)源監(jiān)測并支持的處置策略;自動(dòng)對開啟的自動(dòng)處置策略實(shí)時(shí)監(jiān)測數(shù)據(jù)或業(yè)務(wù)狀態(tài)判斷；將匹配數(shù)據(jù)源按劇本規(guī)則進(jìn)行自動(dòng)數(shù)據(jù)分析；

13、對命中的數(shù)據(jù)生成處置任務(wù)，基于編排引擎能力按劇本進(jìn)行執(zhí)行，記錄執(zhí)行結(jié)果；編排中引用劇本或直接引用安全響應(yīng)能力進(jìn)行編排；對創(chuàng)建的策略設(shè)置開啟或關(guān)閉?，關(guān)閉后則不進(jìn)行自動(dòng)處置；執(zhí)行對自動(dòng)處置策略設(shè)置生效時(shí)間，實(shí)現(xiàn)工作日工作時(shí)間生效，非工作日非工作時(shí)間不生效。

14、策略管控類編排場景模塊的實(shí)現(xiàn)方法包括：引用劇本或引用資源庫資源編排劇本，進(jìn)行保存；對開啟的劇本進(jìn)行業(yè)務(wù)監(jiān)控；對獲取數(shù)據(jù)基于劇本進(jìn)行分析；對業(yè)務(wù)分析結(jié)果判斷是否符合劇本需要處置的數(shù)據(jù)要求；滿足劇本的數(shù)據(jù)生成處置預(yù)案；判斷是否有人工確認(rèn)點(diǎn)；人工參與審批；系統(tǒng)自動(dòng)將預(yù)案處置完成。

15、安全響應(yīng)流程可視化劇本編排模塊的實(shí)現(xiàn)包括：自動(dòng)對開啟的劇本實(shí)時(shí)監(jiān)測數(shù)據(jù)或業(yè)務(wù)狀態(tài)判斷；將匹配數(shù)據(jù)源按劇本規(guī)則進(jìn)行自動(dòng)數(shù)據(jù)分析；對命中的數(shù)據(jù)生成處置預(yù)案，基于編排引擎能力按劇本進(jìn)行執(zhí)行，記錄執(zhí)行結(jié)果；執(zhí)行過程調(diào)用app動(dòng)作，并在后續(xù)流程中使用app動(dòng)作的輸出結(jié)果；記錄執(zhí)行過程的輸入?yún)?shù)、輸出參數(shù)及計(jì)算公式的計(jì)算結(jié)果；對執(zhí)行記錄進(jìn)行統(tǒng)計(jì)，包含每節(jié)點(diǎn)執(zhí)行情況、每節(jié)點(diǎn)執(zhí)行耗時(shí)。

16、本發(fā)明有益效果是：

17、本發(fā)明通過多場景劇本編排，為安全處置提供上下文，降低了安全事件處置復(fù)雜度，劇本創(chuàng)建成功后，后續(xù)觸發(fā)劇本可通過自動(dòng)化方式進(jìn)行處理，降低了各個(gè)部門之間的協(xié)調(diào)和協(xié)同流程成本，解決了針對網(wǎng)絡(luò)安全威脅事件及網(wǎng)絡(luò)安全運(yùn)行缺乏統(tǒng)一的安全管理和自動(dòng)化編排，不能將繁瑣安全運(yùn)行過程梳理為任務(wù)和腳本，把分散的安全工具和功能轉(zhuǎn)換為可編程的腳本，人工協(xié)同事件長，效率低下等技術(shù)問題。

技術(shù)特征：

1.一種面向持續(xù)威脅場景的劇本化編排系統(tǒng)，其特征在于：所述系統(tǒng)包括：

2.根據(jù)權(quán)利要求1所述的面向持續(xù)威脅場景的劇本化編排系統(tǒng)，其特征在于：所述系統(tǒng)還包括：

3.根據(jù)權(quán)利要求1所述的面向持續(xù)威脅場景的劇本化編排系統(tǒng)，其特征在于：所述系統(tǒng)還包括：

4.根據(jù)權(quán)利要求1所述的面向持續(xù)威脅場景的劇本化編排系統(tǒng)，其特征在于：自動(dòng)處置類編排場景模塊的實(shí)現(xiàn)方法包括：?通過工作流引擎對安全設(shè)備響應(yīng)能力進(jìn)行編排，組成可基于數(shù)據(jù)源監(jiān)測并支持的處置策略;自動(dòng)對開啟的自動(dòng)處置策略實(shí)時(shí)監(jiān)測數(shù)據(jù)或業(yè)務(wù)狀態(tài)判斷；將匹配數(shù)據(jù)源按劇本規(guī)則進(jìn)行自動(dòng)數(shù)據(jù)分析；

5.根據(jù)權(quán)利要求1所述的面向持續(xù)威脅場景的劇本化編排系統(tǒng)，其特征在于：策略管控類編排場景模塊的實(shí)現(xiàn)方法包括：引用劇本或引用資源庫資源編排劇本，進(jìn)行保存；對開啟的劇本進(jìn)行業(yè)務(wù)監(jiān)控；對獲取數(shù)據(jù)基于劇本進(jìn)行分析；對業(yè)務(wù)分析結(jié)果判斷是否符合劇本需要處置的數(shù)據(jù)要求；滿足劇本的數(shù)據(jù)生成處置預(yù)案；判斷是否有人工確認(rèn)點(diǎn)；人工參與審批；系統(tǒng)自動(dòng)將預(yù)案處置完成。

6.根據(jù)權(quán)利要求1所述的面向持續(xù)威脅場景的劇本化編排系統(tǒng)，其特征在于：安全響應(yīng)流程可視化劇本編排模塊的實(shí)現(xiàn)包括：自動(dòng)對開啟的劇本實(shí)時(shí)監(jiān)測數(shù)據(jù)或業(yè)務(wù)狀態(tài)判斷；將匹配數(shù)據(jù)源按劇本規(guī)則進(jìn)行自動(dòng)數(shù)據(jù)分析；對命中的數(shù)據(jù)生成處置預(yù)案，基于編排引擎能力按劇本進(jìn)行執(zhí)行，記錄執(zhí)行結(jié)果；執(zhí)行過程調(diào)用app動(dòng)作，并在后續(xù)流程中使用app動(dòng)作的輸出結(jié)果；記錄執(zhí)行過程的輸入?yún)?shù)、輸出參數(shù)及計(jì)算公式的計(jì)算結(jié)果；對執(zhí)行記錄進(jìn)行統(tǒng)計(jì)，包含每節(jié)點(diǎn)執(zhí)行情況、每節(jié)點(diǎn)執(zhí)行耗時(shí)。

技術(shù)總結(jié)
本明公開了一種面向持續(xù)威脅場景的劇本化編排系統(tǒng)，包括自動(dòng)處置類編排場景模塊：基于企業(yè)實(shí)時(shí)通訊軟件根據(jù)事件不同的處置流程和節(jié)點(diǎn)，通過企業(yè)實(shí)時(shí)通訊軟件自動(dòng)分配相應(yīng)的安全人員；策略管控類編排場景模塊：在流程平臺創(chuàng)建響應(yīng)的安全事件響應(yīng)流程，根據(jù)事件不同的處置流程和節(jié)點(diǎn)，在流程平臺中自動(dòng)分配相應(yīng)的安全人員進(jìn)行處置；流程驅(qū)動(dòng)類編排場景模塊：通過界面化的圖形拖拽實(shí)現(xiàn)安全劇本流程的可視化編排；安全響應(yīng)流程可視化劇本編排模塊：對開啟狀態(tài)的劇本進(jìn)行實(shí)時(shí)數(shù)據(jù)監(jiān)測和數(shù)據(jù)分析；解決了針對網(wǎng)絡(luò)安全威脅事件及網(wǎng)絡(luò)安全運(yùn)行缺乏統(tǒng)一的安全管理和自動(dòng)化編排導(dǎo)致的人工協(xié)同事件長，效率低下等技術(shù)問題。

技術(shù)研發(fā)人員：田湘嵐,江家偉,黃嘉偉,聶林,吳勇,吳佩澤
受保護(hù)的技術(shù)使用者：南方電網(wǎng)數(shù)字電網(wǎng)集團(tuán)信息通信科技有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/8/20