(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211473939.0 (22)申请日 2022.11.23 (71)申请人 天津安华易科技发展 有限公司 地址 300000 天津市滨 海新区高新区华苑 产业区(环外)海泰发展五道16号B-6 号楼-2-302-01、 02 (72)发明人 王海军　王海金　王羿文　穆慧　 (74)专利代理 机构 北京众合诚成知识产权代理 有限公司 1 1246 专利代理师 张海洋 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种网络信息安全监管方法、 系统 (57)摘要 本发明公开了一种网络信息安全监管方法、 系统， 属于网络信息安全技术领域， 包括获取网 络安全数据、 日志数据和 网络审计数据； 对获取 的数据进行清洗处理并分类存储至不同的对象 库中， 所述清洗处理包括数据预处理和数据格式 校验； 针对对象库内的数据类型定义相应的违规 策略； 对所述对象库内的数据分别进行违规分 析， 分析是否产生违规事件； 对违规事件进行核 查监督； 所述对象库设置有入库操作访问权 限， 所述入库 操作包括查询、 统计、 导出和备份； 本发 明通过汇聚网络安全数据、 日志数据和网络审计 数据进行综合分析， 针对不同的数据类型定义相 应的违规策略， 并对违规事件进行核查监督， 提 升机关单位网络保密风险管控和治理能力。 权利要求书2页 说明书8页 附图2页 CN 115550063 A 2022.12.30 CN 115550063 A 1.一种网络信息安全监管 方法， 其特 征在于， 包括： 获取网络安全数据、 日志数据和网络审计数据； 对获取的数据进行清洗处理并分类存储至不同的对象库中， 所述清洗处理包括数据 预 处理和数据格式校验； 针对对象库内的数据类型定义相应的违规策略； 对所述对象库内的数据分别进行违规分析， 分析 是否产生违规事 件； 对违规事 件进行核查 监督。 2.根据权利要求1所述的一种网络信 息安全监管方法， 其特征在于， 所述网络安全数据 包括流量监测数据、 运行状态信息； 日志数据包括主机与服务器日志数据、 数据通信设备日志数据、 涉密应用系统日志数 据、 安全保密产品 日志数据， 所述安全保密产品包括防火墙、 入侵检测、 漏洞扫描、 网络接入 控制系统、 涉密计算机移动存储介质保密管理系统、 安全监控与审 计产品、 终端安全登录系 统、 密级标志管理系统、 计算机防病毒系统、 安全保密增强电子邮件、 电子文档管控系统。 3.根据权利要求2所述的一种网络信 息安全监管方法， 其特征在于， 所述数据 预处理包 括对获取 数据进行格式化处 理、 补充上 下文信息和异常数据清除； 所述清洗处 理还包括当数据格式校验失败时产生告警信息； 所述对象库设置有入库操作访问权限， 所述入库操作包括 查询、 统计、 导出和备份。 4.根据权利要求3所述的一种网络信 息安全监管方法， 其特征在于， 所述针对对象库内 的数据类型定义相应的违规策略包括： 对数据库内的数据进行 行为分析， 形成用户画像； 针对不同的用户画像制定相应的违规策略； 基于违规策略进行 行为的违规分析， 生成违规事 件。 5.根据权利要求4所述的一种网络信 息安全监管方法， 其特征在于， 所述用户画像包括 用户行为、 管理员行为、 应用服 务、 网络互联互通行为； 针对用户行为的违规事件包括用户身份冒用、 破坏本地安全机制、 违规接入设备、 网络 访问异常和数据处 理异常； 针对管理员行为的违规事件包括管理员身份冒用、 破坏主机安全机制、 违规接入设备、 网络访问异常和数据处 理异常； 针对应用服 务的违规事 件包括通信范围异常、 通信路径 异常和数据异常； 针对网络互联互通行为的违规事件包括互联范围异常、 互联访问异常和数据流转异 常。 6.根据权利要求5所述的一种网络信 息安全监管方法， 其特征在于， 所述针对不同的用 户画像制定相应的违规策略包括： 针对用户行为了解网络中内外部用户的基本情况、 终端操作情况、 网络访问情况、 本地 文件处理情况， 掌握用户的终端登陆规律、 业务访问范围及访问方式、 处理数据的范围、 文 件输入输出情况并进行分析， 将不符合用户基本行为习惯的行为定义 为违规行为； 针对管理员行为了解网络中管理员的基本情况、 运维终端操作情况、 运维对象及运维 方式进行分析， 掌握其运维操作规律， 将不符合管理员操作行为习惯的行为定义为违规行 为；权　利　要　求　书 1/2 页 2 CN 115550063 A 2针对网络互联互通行为了解互联单位名称、 互联网络密级、 互联方式、 互联互通的地址 范围、 互联通信关系和通信方式、 互联网络间的文件传输情况并进 行分析， 将不符合互联 互 通情况的行为定义 为违规行为。 7.根据权利要求6所述的一种网络信 息安全监管方法， 其特征在于， 所述数据类型包括 涉密信息， 所述针对对象库内的数据类型定义相应的违规策略还包括： 对涉密信息的密 级、 数量、 业务类型、 分布范围、 输入输出情况、 在涉密网络间的流转情况进 行分析， 辅助掌握涉 密信息的总体情况， 为违规策略的制定提供 数据依据。 8.根据权利要求7所述的一种网络信 息安全监管方法， 其特征在于， 所述对违规事件进 行核查监督包括： 业务主管、 运维主管查看权限内的违规事件， 填报违规事件的核实情况、 事件成因和整 改措施， 并根据核查情况， 调整相应 违规策略； 保密主管对违规事件的处置情况进行督促， 包括： 查看事件信 息、 查看处置情况以及对 处置情况填报不 规范的事 件发送监 督信息。 9.根据权利要求1所述的一种网络信 息安全监管方法， 其特征在于， 所述网络信 息安全 监管方法还包括对违规事件记录进行分析， 形成本机关单位的态势分析报告， 具体包括对 网络的综合审 计监管情况、 安全保密态势进 行分析， 展示网络的基本情况、 监管事件及处置 情况， 定期形成网络监管态 势报告， 为用户决策提供支撑 。 10.一种网络信息安全监管系统， 其特 征在于， 包括： 数据汇接处 理模块， 用于将网络安全数据、 日志数据和网络审计数据接入监管系统； 数据存储模块， 用于对接入的数据进行清洗处 理并分类存 储至不同的对象库中； 对象行为分析模块， 用于对 入库的数据进行分析 是否产生违规事 件； 监管事件分析模块， 用于对违规事 件进行告警； 事件核查处置模块， 用于对违规事 件进行核查 监督； 态势分析展示模块， 用于对违规事 件记录进行分析， 形成本 机关单位的态 势分析报告。权　利　要　求　书 2/2 页 3 CN 115550063 A 3