智能化的安全事件闭环处置系统及其方法[发明专利]

(12)发明专利申请

(10)申请公布号 CN 111126729 A(43)申请公布日 2020.05.08

(21)申请号 201811280415.3(22)申请日 2018.10.30

(71)申请人 千寻位置网络有限公司

地址 200433 上海市杨浦区军工路1436号

64幢一层J165室(72)发明人 于皓然　

(74)专利代理机构 上海一平知识产权代理有限

公司 31266

代理人 李夫玲　须一平(51)Int.Cl.

G06Q 10/06(2012.01)G06Q 10/10(2012.01)

权利要求书2页 说明书7页 附图3页

CN 111126729 A(54)发明名称

智能化的安全事件闭环处置系统及其方法(57)摘要

本申请涉及信息安全领域，公开了一种智能化的安全事件闭环处置系统及其方法。该智能化的安全事件闭环处置系统，包括：安全防护和监测模块，安全监控中心，事件分析和响应中心，用户告警及通知端，以及人机交互界面。通过一套完整的技术架构将安全事件发生——告警——处置和记录——关闭——总结有效结合起来并形成闭环，将传统松散的安全事件处置和管理模式统一化和智能化，将事件的处置与管理以程序架构的形式整合到企业整体安全框架中。实现安全事件的智能化处理和全流程闭合管控，减轻安全人员的管理成本，提升安全事件的处置效率和质量，并为信息安全工作在企业中的价值提供可量化的评价指标。

CN 111126729 A

权　利　要　求　书

1/2页

1.一种智能化的安全事件闭环处置系统，其特征在于，包括：安全防护和监测模块，安全监控中心，事件分析和响应中心，用户告警及通知端，以及人机交互界面；

所述安全防护和监测模块，用于监控和感知安全状况，发现安全事件，并将安全事件的原始数据发送到所述安全监控中心；

所述安全监控中心，用于对所述原始数据进行数据格式化处理和规则引擎分析，过滤误报的安全事件，并将判断为真实的安全事件的数据发送到所述事件分析和响应中心；

所述事件分析和响应中心，用于对所述安全监控中心传来的安全事件进行分类和分级，并创建和管理安全事件的处置流程、状态、处置记录及标签信息；

所述用户告警及通知端，用于接收来自所述事件分析和响应中心的告警消息和流程消息通知；

所述人机交互界面作为所述事件分析和响应中心的用户访问入口，与所述事件分析和响应中心连接。

2.如权利要求1所述的智能化的安全事件闭环处置系统，其特征在于，所述事件分析和响应中心包括：事态分析模块，事件管理模块，以及告警和通知模块；

所述事态分析模块，包含事件分类和事件分级规则引擎，通过对所述安全监控中心传来的安全监控数据进行自动化分析，对安全事件进行分类和分级；

所述事件管理模块，用于在所述事态分析模块确认安全事件的分类和分级后，创建和管理安全事件的处置流程、状态、处置记录及标签信息；

所述告警和通知模块，用于向所述用户告警及通知端发送告警消息和流程消息通知。3.如权利要求2所述的智能化的安全事件闭环处置系统，其特征在于，所述事件分析和响应中心还包括：数据分析模块，以及报表模块；

所述数据分析模块，用于将当前发生的安全事件与历史事件进行关联；所述报表模块，用于对历史安全事件进行统计和分析，并根据需要实现图表展现。4.如权利要求3所述的智能化的安全事件闭环处置系统，其特征在于，所述事件分析和响应中心还包括：管理控制台，以及存储模块；

所述管理控制台：用于管理员对各模块进行配置和维护；所述存储模块，用于存储各模块产生的临时和永久数据，根据不同的读写需求，配备不同的数据库系统。

5.如权利要求2所述的智能化的安全事件闭环处置系统，其特征在于，所述事态分析模块，通过对所述安全监控中心传来的安全监控数据进行自动化分析，根据关键字将安全事件映射至相应事件类别，得到安全事件的事件分类；根据受影响业务系统和数据的重要程度及范围，分别分析出安全事件的紧急程度和严重程度，并由紧急程度和严重程度综合得到安全事件的事件分级。

6.如权利要求5所述的智能化的安全事件闭环处置系统，其特征在于，所述事件分类包括：暴力破解、信息泄露、拒绝服务攻击、危险进程和端口开放；所述事件分级包括：一般安全事件、严重安全事件、重大安全事件和特别重大安全事件。

7.如权利要求1所述的智能化的安全事件闭环处置系统，其特征在于，所述安全事件的标签信息包括：生成时间、事件来源、事件描述、时效要求、影响业务、所属系统和人员信息。

8.如权利要求1所述的智能化的安全事件闭环处置系统，其特征在于，所述用户告警及

2

CN 111126729 A

权　利　要　求　书

2/2页

通知端，包括企业使用的即时通讯工具、邮箱系统和手机。

9.一种智能化的安全事件闭环处置方法，用于权利要求1-8所述的系统，其特征在于，所述方法包括以下步骤：

发现安全事件，并上报该安全事件的原始数据；

对原始数据进行数据格式化处理和规则引擎分析，过滤误报的安全事件，并判断出真实的安全事件；

对真实的安全事件进行分类和分级，并创建和管理安全事件的处置流程、状态、处置记录及标签信息，同时将安全事件告警至事件响应人员；

响应人员在线上进行事件处理、流程流转和记录，直到安全事件问题修复。10.如权利要求9所述的智能化的安全事件闭环处置方法，其特征在于，所述响应人员在线上进行事件处理、流程流转和记录，直到安全事件问题修复的步骤中，包括以下子步骤：

响应人员在告警通知后需在规定的时效范围内进行响应并将处置情况记录在系统中，若未在程序要求时效内进行响应，则告警内容将知会响应人员的上级主管。

当响应人员通过人机交互界面完成本流程节点后，本流程节点处置结果将被及时通知相关人员，并流转至下一步流程，直到事件解决，最终由安全人员进行事件的关闭确认。

3

CN 111126729 A

说　明　书

智能化的安全事件闭环处置系统及其方法

1/7页

技术领域

[0001]本申请涉及信息安全领域，特别涉及一种智能化的安全事件闭环处置技术。背景技术

[0002]在很多企业或组织内部，安全人员在收到来自各安全设备或监控中心的告警后，通常需要自身经验判断或采信监控告警内容来人工分析安全事件，然后通过企业内通讯工具或电话等方式联系到相关业务或运维人员协同处置，这样从线上获取安全告警信息，再进行线下流转处置的方式，不仅效率不高，而且事件信息的完整性、沟通记录的准确性都难以保障，容易出现事件处置程序混乱、以及未闭环即无人跟进等状况。[0003]针对上述问题，现有技术中主要有以下两种解决方案：[0004]a.无智能化解决方案，主要通过线下沟通方式，参考一些最佳流程实践，以(临时)事件处置小组的形式进行信息传达和过程记录，处置过程以文档文件的形式分散于小组不同成员手中，最后由安全人员进行手动汇总和上报。[0005]b.有部分智能化解决方案，即整个事件分析和响应过程，有部分通过自动化程序实现，如事件记录、内容展示等，通过线上发现的原始告警信息经线下分析后再人工提交到线上，仅作为一个内容管理平台来使用，未紧密结合到企业整体的安全监控架构中，无法做到事件的自动关联和流转，且可能存在相关人员学习和使用成本较高的情况。[0006]从上面的介绍可以看出，现有的技术方案均存在不同程度的安全事件处置和管理流转缺陷，不能通过一套完整的技术架构将安全事件发生——告警——处置和记录——关闭——总结有效结合起来并形成闭环，使得制定的各项事件处置预案浮于纸面，也就不能为企业提供完整有效的安全态势反馈。[0007]在当前互联网、物联网、工控网络日益发达的趋势下，过去基于线上告警、线下处置和记录的传统安全事件处置方式，已明显不能适应技术发展的需要。因此，目前亟需一种自动化逻辑关联和规则分析的事件分析和响应平台，从而减轻安全人员的管理成本，提升安全事件的处置效率，形成事件处置闭环，并为信息安全工作在企业中的价值提供明显的量化指标。

发明内容

[0008]本申请的目的在于提供一种智能化的安全事件闭环处置系统及其方法，通过一套完整的技术架构将安全事件发生——告警——处置和记录——关闭——总结有效结合起来并形成闭环，减轻安全人员的管理成本，提升安全事件的处置效率，并为信息安全工作在企业中的价值提供明显的量化指标。[0009]为解决上述技术问题，本发明的实施方式公开了一种智能化的安全事件闭环处置系统，包括：安全防护和监测模块，安全监控中心，事件分析和响应中心，用户告警及通知端，以及人机交互界面；

[0010]所述安全防护和监测模块，用于监控和感知安全状况，发现安全事件，并将安全事

4

CN 111126729 A

说　明　书

2/7页

件的原始数据发送到所述安全监控中心；[0011]所述安全监控中心，用于对所述原始数据进行数据格式化处理和规则引擎分析，过滤误报的安全事件，并将判断为真实的安全事件的数据发送到所述事件分析和响应中心；

[0012]所述事件分析和响应中心，用于对所述安全监控中心传来的安全事件进行分类和分级，并创建和管理安全事件的处置流程、状态、处置记录及标签信息；[0013]所述用户告警及通知端，用于接收来自所述事件分析和响应中心的告警消息和流程消息通知；

[0014]所述人机交互界面作为所述事件分析和响应中心的用户访问入口，与所述事件分析和响应中心连接。

[0015]本发明的实施方式还公开了一种智能化的安全事件闭环处置方法，用于上述智能化的安全事件闭环处置系统，所述方法包括以下步骤：[0016]发现安全事件，并上报该安全事件的原始数据；[0017]对原始数据进行数据格式化处理和规则引擎分析，过滤误报的安全事件，并判断出真实的安全事件；

[0018]对真实的安全事件进行分类和分级，并创建和管理安全事件的处置流程、状态、处置记录及标签信息，同时将安全事件告警至事件响应人员；[0019]响应人员在线上进行事件处理、流程流转和记录，直到安全事件问题修复。[0020]本发明实施方式与现有技术相比，主要区别及其效果在于：

[0021]通过一套完整的技术架构将安全事件发生——告警——处置和记录——关闭——总结有效结合起来并形成闭环，为企业提供完整有效的安全态势反馈。[0022]提供一种自动化逻辑关联和规则分析的事件分析和响应平台，减轻安全人员的管理成本，提升安全事件的处置效率，形成事件处置闭环，并为信息安全工作在企业中的价值提供明显的量化指标。

[0023]将传统松散的安全事件的处置和管理模式进行统一化和智能化，将事件的处置与管理以程序架构的方式整合到企业整体安全框架中，实现安全事件的智能化处理和全流程闭合管控，降低人工处置成本，提升安全运营效率，最终实现企业安全防护水平的提升。[0024]本申请的说明书中记载了大量的技术特征，分布在各个技术方案中，如果要罗列出本申请所有可能的技术特征的组合(即技术方案)的话，会使得说明书过于冗长。为了避免这个问题，本申请上述发明内容中公开的各个技术特征、在下文各个实施方式和例子中公开的各技术特征、以及附图中公开的各个技术特征，都可以自由地互相组合，从而构成各种新的技术方案(这些技术方案均因视为在本说明书中已经记载)，除非这种技术特征的组合在技术上是不可行的。例如，在一个例子中公开了特征A+B+C，在另一个例子中公开了特征A+B+D+E，而特征C和D是起到相同作用的等同技术手段，技术上只要择一使用即可，不可能同时采用，特征E技术上可以与特征C相组合，则，A+B+C+D的方案因技术不可行而应当不被视为已经记载，而A+B+C+E的方案应当视为已经被记载。附图说明

[0025]图1是根据本申请第一实施方式的一种智能化的安全事件闭环处置系统的结构示

5

CN 111126729 A

说　明　书

3/7页

意图；

[0026][0027]

图2是根据本申请第一实施方式的一种事件分析和响应中心的结构示意图；

图3是根据本申请第二实施方式的一种智能化的安全事件闭环处置方法的流程示图4是根据本申请第二实施方式的一种智能化的安全事件闭环处置方法的逻辑流

意图；

[0028]

程图。

具体实施方式

[0029]在以下的叙述中，为了使读者更好地理解本申请而提出了许多技术细节。但是，本领域的普通技术人员可以理解，即使没有这些技术细节和基于以下各实施方式的种种变化和修改，也可以实现本申请所要求保护的技术方案。[0030]为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明的实施方式作进一步地详细描述。

[0031]本发明第一实施方式涉及一种智能化的安全事件闭环处置系统。图1是该智能化的安全事件闭环处置系统的结构示意图。[0032]在当前互联网、物联网、工控网络日益发达的趋势下，提供一种自动化逻辑关联和规则分析的事件分析和响应平台，形成安全事件处置闭环。[0033]其中，物联网，是指把各样物品通过某种通讯协议将其接入互联网，实现人类远程访问和操作需求的一种网络概念。[0034]工控网络，即工业控制网络，由于其业务特殊性，常各自独立地形成庞大的内部私有网络群，用于对接各工业控制设备或系统，与互联网逻辑隔离或物理隔离。[0035]智能化，是指在网络、大数据、规则引擎、人工智能等技术的共同作用下，普通计算机程序承担部分或全部人工思考或逻辑分析的属性。[0036]安全事件，是指由于自然或人为，以及软硬件本身缺陷或故障等的原因，导致信息泄露、系统受损、数据丢失、网络缓慢等可能影响企业正常业务运营和安全管理的事件。[0037]具体地说，如图1所示，该智能化的安全事件闭环处置系统，包括：安全防护和监测模块，安全监控中心，事件分析和响应中心，用户告警及通知端，以及人机交互界面；[0038]安全防护和监测模块，用于监控和感知安全状况，发现安全事件，并将安全事件的原始数据发送到安全监控中心。

[0039]该安全防护和监测模块可以由防火墙、IDS、Anti-DDoS、日志审计、流量审计、端口监控等在内的安全防护和监测系统构成，用以监控和感知系统安全状况，为安全监控中心提供原始数据。其中IDS，即Intrusion Detection Systems，入侵检测系统，常以C/S的模式部署在企业IDC(Internet Data Center，互联网数据中心)中，能够检测系统的异常状态。Anti-DDoS：分布式拒绝服务攻击防御系统，用于监测和抵御DDoS(Distributed Denial of Service，分布式拒绝服务)攻击。[0040]安全监控中心，用于对原始数据进行数据格式化处理和规则引擎分析，过滤误报的安全事件，并将判断为真实的安全事件的数据发送到事件分析和响应中心。[0041]安全监控中心承接来自各输入源(即安全防护和监测模块)的原始数据，经过其规则引擎的分析、判断和过滤，输出格式化的安全监控数据，并推送至事件分析和响应中心

6

CN 111126729 A

说　明　书

4/7页

API接口。其中API，全称为Application Programming Interface(应用程序接口)，是一些预先定义的函数，目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力，而又无需访问源码，或理解内部工作机制细节。数据格式化，是指将原始输入杂乱无序的数据经程序自动化处理后，输出能够被识别和使用的符合系统调用规则的过程。[0042]事件分析和响应中心，用于对安全监控中心传来的安全事件进行分类和分级，并创建和管理安全事件的处置流程、状态、处置记录及标签信息。[0043]事件分析和响应中心提供安全事件处置流程创建，自动化的事件分类分级，告警和流程通知，事件管理和关联分析、报表统计及展示功能。[0044]用户告警及通知端，用于接收来自事件分析和响应中心的告警消息和流程消息通知。

[0045]该用户告警及通知端包括企业使用的即时通讯工具如钉钉、微信等，或邮件、手机，用以接受来自事件分析和响应中心的告警消息和事件处理通知。[0046]人机交互界面作为事件分析和响应中心的用户访问入口，与事件分析和响应中心连接。

[0047]进一步地，优选地，事件分析和响应中心作为“智能化的安全事件闭环处置架构”的核心，可以包括：事态分析模块、事件管理模块、告警和通知模块。[0048]其中，事态分析模块，包含事件分类和事件分级规则引擎，通过对所述安全监控中心传来的安全监控数据进行自动化分析，对安全事件进行分类和分级。[0049]具体地，事态分析模块，通过对所述安全监控中心传来的安全监控数据进行自动化分析，根据关键字将安全事件映射至相应事件类别，得到安全事件的事件分类；并根据受影响业务系统和数据的重要程度及范围，分别分析出安全事件的紧急程度和严重程度，并由紧急程度和严重程度综合得到安全事件的事件分级。其中，事件分类可以包括：暴力破解、信息泄露、拒绝服务攻击、危险进程和端口开放；事件分级可以包括：一般安全事件、严重安全事件、重大安全事件和特别重大安全事件。[0050]事件管理模块，用于在所述事态分析模块确认安全事件的分类和分级后，创建和管理安全事件的处置流程、状态、处置记录及标签信息。标签信息可以包括：生成时间、事件来源、事件描述、时效要求、影响业务、所属系统和人员信息。[0051]告警和通知模块，用于向所述用户告警及通知端发送告警消息和流程消息通知。[0052]更进一步地，事件分析和响应中心还可以包括：数据分析模块和报表模块；[0053]数据分析模块，用于将当前发生的安全事件与历史事件进行关联；[0054]报表模块，用于对历史安全事件进行统计和分析，并根据需要实现图表展现。[0055]更进一步地，事件分析和响应中心还可以包括：管理控制台和存储模块；[0056]管理控制台：用于管理员对各模块进行配置和维护；[0057]存储模块，用于存储各模块产生的临时和永久数据，根据不同的读写需求，配备不同的数据库系统。

[0058]在本发明的一个优选实施例中，事件分析和响应中心包括事态分析模块、事件管理模块、数据分析模块、告警和通知模块、报表模块、存储模块及管理控制台。图2是该事件分析和响应中心的结构示意图。

[0059]以下将对事件分析和响应中心每一个模块的具体功能进行详述：

7

CN 111126729 A[0060]

说　明　书

5/7页

事态分析模块：包含事件分类和事件分级规则引擎。

[0061]1.通过对安全监控中心传入的安全监控数据进行自动化分析，根据关键字匹配将其映射至相应事件类别，得出其事件分类，如暴力破解、信息泄露、拒绝服务攻击、危险进程和端口开放等，企业可根据情况自行定义；

[0062]2.根据受影响业务系统和数据的重要程度及范围，分别分析出该事件的紧急程度和严重程度，由紧急程度和严重程度综合得到某一事件的等级，如一般安全事件、严重安全事件、重大安全事件和特别重大安全事件等。[0063]事件管理模块：事件管理模块用于创建和管理所有事件的流程、状态、处置记录及标签信息。

[0064]1.当事态分析模块确认某一安全事件的类别和级别后，事件管理模即创建此安全事件并将包含生成时间、事件来源、事件描述、时效要求、影响业务、所属系统、人员信息等事件标签信息的告警通过IM机器人、短信接口、邮件接口等方式推送至相应的业务、运维、安全人员。其中，IM机器人：InstantMessaging(即时通讯)机器人，通过调用IM机器人接口，可将格式化的数据实时推送至用户端的即时聊天软件窗口，可实现群组和个人的定制化通知，维护成本低、可靠性高。

[0065]2.相关人员在告警通知后需在规定的时效范围内进行响应并将处置情况记录在该系统中，若未在程序要求时效内进行响应，则告警内容将知会其上级主管。[0066]3.当事件处置人员通过系统提供的人机交互界面完成其流程节点后，程序会将节点处置结果及时通告相关人员，并进入下一步流程，直到事件解决，最终由安全人员进行事件的关闭确认。

[0067]数据分析模块：数据分析模块用于历史事件关联。很多严重安全事件的发生都带有一定关联性，如某黑客在试图侵入某服务器前，会进行探测扫描、异常访问、漏洞测试、实施攻击、提升权限和爬取数据等，将当前发生事件的关键字段如主体、客体、操作行为、时间等进行关联，可有效知晓黑客的攻击方法和入侵途径，提前做好安全隐患防范。[0068]告警和通知模块：通过在该模块中配置IM机器人接口、邮件接口、短信接口可分别实现通讯软件如钉钉、邮箱和手机短信的告警以及流程消息接收。[0069]报表模块：对历史安全事件进行统计和分析，可根据企业自身需要，实现如年度或月度的不同类别和等级安全事件的发生情况、不同业务系统安全问题的发生次数、事件处置完成情况和处置效率等的图表展现。[0070]管理控制台：用于管理员对各功能模块的配置和维护。[0071]存储模块：用于存储各模块产生的临时和永久数据，根据不同的读写需求，配备不同的数据库系统。[0072]综上所述，在安全事件发生期间所有的告警通知、节点流转、业务和系统关联、时效提醒、历史事件关联、报表统计等均由事件分析和响应中心自动完成，无需人工再在事中事后进行人工整理和统计，确保不会出现节点缺失和过程记录遗漏，保证了事件处置的闭环。

[0073]通过一套完整的技术架构将安全事件发生——告警——处置和记录——关闭——总结有效结合起来并形成闭环，为企业提供完整有效的安全态势反馈。[0074]将传统松散的安全事件的处置和管理模式进行统一化和智能化，将事件的处置与

8

CN 111126729 A

说　明　书

6/7页

管理以程序架构的方式整合到企业整体安全框架中，实现安全事件的智能化处理和全流程闭合管控，降低人工处置成本，提升安全运营效率，最终实现企业安全防护水平的提升。[0075]需要说明的是，本发明各实施方式中提到的各模块都是逻辑模块，在物理上，一个逻辑模块可以是一个物理模块，也可以是一个物理模块的一部分，还可以以多个物理模块的组合实现，这些逻辑模块本身的物理实现方式并不是最重要的，这些逻辑模块所实现的功能的组合才是解决本发明所提出的技术问题的关键。此外，为了突出本发明的创新部分，本发明上述各设备实施方式并没有将与解决本发明所提出的技术问题关系不太密切的模块引入，这并不表明上述设备实施方式并不存在其它的模块。

[0076]本发明第二实施方式涉及一种智能化的安全事件闭环处置方法，用于上述所示的系统。图3是该智能化的安全事件闭环处置方法的流程示意图。[0077]具体地说，如图3所示，该智能化的安全事件闭环处置方法，包括以下步骤：[0078]在步骤301中，发现安全事件，并上报该安全事件的原始数据。[0079]此后进入步骤302，对原始数据进行数据格式化处理和规则引擎分析，过滤误报的安全事件，并判断出真实的安全事件。[0080]此后进入步骤303，对真实的安全事件进行分类和分级，并创建和管理安全事件的处置流程、状态、处置记录及标签信息，同时将安全事件告警至事件响应人员。[0081]此后进入步骤304，响应人员在线上进行事件处理、流程流转和记录，直到安全事件问题修复。

[0082]此后结束本流程。[0083]进一步地，优选地，步骤304可以包括以下子步骤：

[0084]响应人员在告警通知后需在规定的时效范围内进行响应并将处置情况记录在系统中，若未在程序要求时效内进行响应，则告警内容将知会响应人员的上级主管。[0085]当响应人员通过人机交互界面完成本流程节点后，本流程节点处置结果将被及时通知相关人员，并自动流转至下一步流程，直到事件解决，最终由安全人员进行事件的关闭确认。

[0086]图4是本发明一个优选实施例中，一个典型的安全事件的智能化闭环处置逻辑流程图。整体技术架构说明如下：

[0087]1.企业部署各样安全防护和监测系统，发现安全威胁，其产生的各样原始数据作为本架构的输入源推送或由安全监控中心爬取；

[0088]2.经过安全监控中心的数据格式化处理和规则引擎分析，过滤到误报的告警事件，并将判断为真实安全事件的数据推送至事件分析和响应中心；[0089]3.事件分析和响应中心推送的事件进行分类和分级，并创建事件处置流程，同时将事件概要告警至相应事件响应人员；

[0090]4.响应人员根据告警的事件地址访问事件分析和响应中心，与其他响应人员一起在线上进行流程流转和处置记录，流转和处置过程中的沟通均可通过关联的IM机器人实现；

[0091]5.在响应人员完成问题修复，安全人员确认事件关闭后，一个完整事件处置过程即结束。

[0092]6.期间所有的告警通知、节点流转、业务和系统关联、时效提醒、历史事件关联、报

9

CN 111126729 A

说　明　书

7/7页

表统计等均由事件分析和响应中心自动完成，无需人工再在事中事后进行人工整理和统计，确保不会出现节点缺失和过程记录遗漏，保证了事件处置的闭环。[0093]如图4所示，从1.0安全隐患的发现到最终5.5的事件关闭，自动化程序承担了大部分数据格式化、智能分析和告警通知工作，需要人员参与的流程记录也都在事件分析和响应中心中进行记录，各环节遵循该架构的统一流转标准自动执行，过程记录和报表数据于系统中保存完整，实现安全事件的智能化闭环。

[0094]通过一套完整的技术架构将安全事件发生——告警——处置和记录——关闭——总结有效结合起来并形成闭环，将传统松散的安全事件处置和管理模式统一化和智能化，将事件的处置和管理以程序架构的方式整合到企业整体安全框架中，实现安全事件的智能化处理和全流程闭合管控，减轻安全人员的运营管理成本，提升安全事件的处置效率，并为信息安全工作在企业中的价值提供明显的量化指标。[0095]本实施方式是与第一实施方式相对应的方法实施方式，本实施方式可与第一实施方式互相配合实施。第一实施方式中提到的相关技术细节在本实施方式中依然有效，为了减少重复，这里不再赘述。相应地，本实施方式中提到的相关技术细节也可应用在第一实施方式中。

[0096]本发明的各方法实施方式均可以以软件、硬件、固件等方式实现。不管本发明是以软件、硬件、还是固件方式实现，指令代码都可以存储在任何类型的计算机可访问的存储器中(例如永久的或者可修改的，易失性的或者非易失性的，固态的或者非固态的，固定的或者可更换的介质等等)。同样，存储器可以例如是可编程阵列逻辑(Programmable Array Logic，简称“PAL”)、随机存取存储器(Random Access Memory，简称“RAM”)、可编程只读存储器(Programmable Read Only Memory，简称“PROM”)、只读存储器(Read-Only Memory，简称“ROM”)、电可擦除可编程只读存储器(Electrically Erasable Programmable ROM，简称“EEPROM”)、磁盘、光盘、数字通用光盘(Digital Versatile Disc，简称“DVD”)等等。[0097]需要说明的是，在本专利的申请文件中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。本专利的申请文件中，如果提到根据某要素执行某行为，则是指至少根据该要素执行该行为的意思，其中包括了两种情况：仅根据该要素执行该行为、和根据该要素和其它要素执行该行为。多个、多次、多种等表达包括2个、2次、2种以及2个以上、2次以上、2种以上。

[0098]在本申请提及的所有文献都被认为是整体性地包括在本申请的公开内容中，以便在必要时可以作为修改的依据。此外应理解，在阅读了本申请的上述公开内容之后，本领域技术人员可以对本申请作各种改动或修改，这些等价形式同样落于本申请所要求保护的范围。

10

CN 111126729 A

说　明　书　附　图

1/3页

图1

图2

11

CN 111126729 A

说　明　书　附　图

2/3页

图3

12

CN 111126729 A

说　明　书　附　图

图4

13

3/3页