一种数据处理方法和装置
技术领域
本发明涉及网络安全领域,尤其涉及一种数据处理方法和装置。
背景技术
随着计算机和网络技术的快速发展,信息系统的应用范围不断拓展,重要性日趋突出,处于网络环境中的资产时时面临各种安全风险。对这些安全风险进行统计,并对网络资产的总体安全态势进行量化评估,有助于信息安全运营相关人员及时了解系统安全风险状况,提升组织安全防护能力。
目前针对网络安全态势,已经出现了很多有关评估网络安全态势的数据处理方法。然而,这些已有的数据处理方法对安全态势的统计数据考虑不够全面,导致这些已有的数据处理得出的网络安全态势的评估结果不够准确。
发明内容
有鉴于此,本发明提供了一种数据处理方法,以提高网络安全态势评估结果的准确性以及使用户感知网络系统、资产等多个维度的安全状况。
为了解决上述技术问题,本发明采用了如下技术方案:
一种数据处理方法,所述方法用于对网络安全态势评估,所述方法包括:
获取指定资产的资产价值的权重值、资产脆弱性指数和资产威胁指数;所述资产脆弱性指数与资产巡检脆弱性指数、漏洞脆弱性指数和配置不合规脆弱性指数相关,所述资产威胁指数与资产的安全事态威胁值、安全告警威胁值和安全事件威胁值相关;
根据所述指定资产的资产价值的权重值和资产脆弱性指数计算所述指定资产的脆弱性损失;根据所述指定资产的资产脆弱性指数和资产威胁指数计算所述指定资产的威胁性损失;
根据所述指定资产的资产脆弱性损失和所述指定资产的威胁性损失,计算所述指定资产的资产风险值;
根据所述指定资产的资产风险值计算所述指定资产的资产安全指数。
一种数据处理装置,所述装置用于对网络安全态势评估,所述装置包括:
第一获取单元,用于获取指定资产的资产价值的权重值、资产脆弱性指数和资产威胁指数;所述资产脆弱性指数与资产巡检脆弱性指数、漏洞脆弱性指数和配置不合规脆弱性指数相关,所述资产威胁指数与资产的安全事态威胁值、安全告警威胁值和安全事件威胁值相关;
第一计算单元,用于根据所述指定资产的资产价值的权重值和资产脆弱性指数计算所述指定资产的脆弱性损失;
第二计算单元,用于根据所述指定资产的资产脆弱性指数和资产威胁指数计算所述指定资产的威胁性损失;
第三计算单元,用于根据所述指定资产的资产脆弱性损失和所述指定资产的威胁性损失,计算所述指定资产的资产风险值;
第四计算单元,用于根据所述指定资产的资产风险值计算所述指定资产的资产安全指数。
相较于现有技术,本发明具有以下有益效果:
通过以上技术方案可知,本发明提供的数据处理方法中,得到的资产脆弱性指数与资产的巡检脆弱性指数、漏洞脆弱性指数和配置不合规脆弱性指数相关,得到的资产威胁指数与资产的安全事态威胁值、安全告警威胁值和安全事件威胁值相关。而且由于资产的安全事态威胁值、安全告警威胁值和安全事件威胁值是通过对资产的日志进行处理得到的。因此,在对网络安全态势评估的数据处理时,本发明考虑了资产的巡检检查业务、漏洞检查业务和配置合规性检查业务以及日志和流量分析综合的结果。因此,相较于现有技术,本发明提供的数据处理方法,其考虑和统计的数据更加全面,因而,基于本发明的方法得到的资产安全态势评估结果更加准确,提高了资产安全态势评估结果的可信度。
附图说明
为了清楚地理解本发明的具体实施方式,下面将描述本发明具体实施方式时用到的附图做一简要说明。显而易见地,这些附图仅是本发明的部分实施例,本领域技术人员在未付出创造性劳动的前提下,还可以获得其它附图。
图1是本发明实施例一提供的资产层面上的安全态势评估过程中的数据处理方法流程示意图;
图2是本发明实施例一提供的获取指定资产的资产脆弱性指数的方法流程示意图;
图3本发明实施例一提供的获取指定资产的资产威胁指数的方法流程示意图;
图4是本发明实施例二提供的计算一个业务系统的业务系统安全性指数的方法流程示意图;
图5是本发明实施例二提供的计算一个业务系统的业务系统威胁指数的方法流程示意图;
图6是本发明实施例二提供的计算一个业务系统的业务系统脆弱性指数的方法流程示意图;
图7是本发明实施例三提供的计算客户安全性指数的方法流程示意图;
图8是本发明实施例三提供的计算客户威胁指数的方法流程示意图;
图9是本发明实施例三提供的计算客户脆弱性指数的方法流程示意图;
图10是本发明实施例四提供的数据处理装置的结构示意图。
具体实施方式
为使本发明的发明目的、技术方案和技术效果更加清楚、完整,下面结合附图对本发明的具体实施方式进行详细描述。
在介绍本发明的具体实施方式之前,首选介绍本发明具体实施方式用到的技术术语定义。
术语和定义
资产:对系统具有价值的资源,是安全策略保护的对象。这里指的是可以承载实际业务的实体资源(区别于信息之类的资源),比如:操作系统、数据库、中间件、安全设备和网络设备。
资产价值:资产的重要程度的特征值。资产价值是资产的属性。
业务系统:根据资产所承载的业务不同,将资产划分为不同资产域,这个资产域就是业务系统。比如:OA系统,邮件系统等。一个资产属于且仅属于一个业务系统,一个业务系统下可以有多个资产。
客户:业务系统的归属属性,一个业务系统属于且仅属于一个客户,一个客户下可以有多个业务系统。
安全指数:资产、业务系统或客户层面安全性状况的量化值。值越大,表示越安全。
风险指数:资产、业务系统或客户层面风险性状况的量化值。值越大,表示风险越大。
安全风险:人为或者环境的威胁利用系统或者管理体系中存在的脆弱性导致安全事件的发生及其造成的影响。
安全事件:指系统、服务或网络的一种可识别状态的发生,它可能是对信息安全策略的违反或者防护措施的失效,或未预知的不安全的状态。
安全告警:通过设置关联分析和异常事件分析模型,发现的外部攻击行为。
安全事态:对采集到的资产运行日志进行过滤,发现的运行过程中的安全隐患。
漏洞检查:检查资产中存在的安全漏洞。
巡检检查:对资产进行巡检检查时所发现的脆弱点。
配置合规性检查:检查资产在实际运营中的各项配置是否符合规范。
脆弱性:是资产或资产组中存在的可能被威胁利用造成损害的薄弱环节,脆弱性一旦被威胁成功利用就可能对资产造成损害。
威胁性:可能会导致对系统危害发生的潜在起因。
脆弱性指数:资产、业务系统或客户层面脆弱性状况的量化值。值越大,表示脆弱性越大。
威胁性指数:资产、业务系统或客户层面威胁性状况的量化值。值越大,表示威胁性越大。
下面介绍本发明技术方案的具体实施方式。
需要说明的是,本发明实施例提供的数据处理方法用于对网络安全态势评估,其基于网络环境中所存在的真实资产的运行状态进行。该数据处理方法可以应用于SIEM(security information and event management,安全信息和事件管理)系统中。
本发明实施例提供的数据处理方法可以从资产、业务系统和客户三个层面分别进行数据的统计和计算,对每个层面上的安全态势评估用到的数据进行处理。在每个层面上分别计算该层面的威胁值、脆弱性指数、风险值和安全值。
首先介绍在资产层面上的安全态势评估过程中的数据处理方法的具体实施方式。具体参见实施例一。
实施例一
图1是本发明实施例一提供的资产层面上的安全态势评估过程中的数据处理方法流程示意图。如图1所示,该方法包括以下步骤:
S11、获取指定资产的资产价值的权重值、资产脆弱性指数和资产威胁指数;
资产价值是资产的固有属性,在资产添加时即指定了资产价值。资产价值是资产重要程度的特征值。在本发明实施例中,当确定了某一指定资产后,即可获取到该指定资产的资产价值,从而进一步获取资产价值的权重值。
在本发明实施例中,可以将资产价值分为核心资产A、关键资产B、重要资产C、一般资产D和简单资产E,其对应的权重值依次分别为100、90、60、40和10。
在本发明实施例中,资产的脆弱性指数与资产巡检脆弱性指数、漏洞脆弱性指数和配置不合规脆弱性指数相关。获取指定资产的资产脆弱性指数的具体实现方式如图2所示,其包括以下步骤:
S21、获取指定资产的巡检业务脆弱性指数、漏洞业务脆弱性指数和配置不合规业务脆弱性指数:
其中,获取指定资产的巡检业务脆弱性指数,具体包括:
A1、对指定资产进行巡检业务检查,获取所述指定资产在巡检业务运行过程中的脆弱点:
需要说明的是,指定资产在巡检业务运行过程中的脆弱点即为该指定资产在巡检业务运行过程中的安全隐患。
A2、将所述指定资产在巡检业务运行过程中的脆弱点与巡检脆弱点字典库比对,根据比对结果标注所述指定资产在巡检业务运行过程中的脆弱点的危险等级;在所述巡检脆弱点字典库中,将巡检业务运行过程中的脆弱点划分为不同危险等级,不同危险等级的脆弱点设置有不同分值:
需要说明的是,一个资产对应一个巡检脆弱点字典库。在巡检脆弱点字典库中包括一个资产在巡检业务运行过程中可能出现的所有脆弱点,并且在该字典库中,将该可能出现的所有脆弱点划分为不同危险等级,且不同危险等级的脆弱点设置有不同分值。
作为示例,不同危险等级的脆弱点对应的分值如下表1所示:
表1
脆弱点等级 |
分值 |
高危脆弱点 |
5分 |
中危脆弱点 |
3分 |
低危脆弱点 |
1分 |
本步骤具体为:将步骤A1中得到的指定资产在巡检业务运行过程中的脆弱点与巡检脆弱点字典库中的脆弱点进行比对,当在巡检脆弱点字典库中查找到与步骤A1中得到的指定资产在巡检业务运行过程中的脆弱点相匹配的脆弱点后,根据该比对结果标注步骤A1中得到的指定资产在巡检业务运行过程中的脆弱点对应的危险等级。并根据该危险等级确定步骤A1中得到的指定资产在巡检业务运行过程中的脆弱点的分值。
A3、累加所述指定资产在巡检业务运行过程中的脆弱点的分值,当累加值达到第二预设数值后,不再累加,得到的累加值即为所述指定资产的巡检业务脆弱性指数:
在本发明实施例中,同一资产的所有巡检脆弱点得分实行累积制。该得分不是无限制的累加下去,而是设置有一第二预设数值。当累加值达到第二预设数值后,不再累加。作为示例,第二预设数值可以为100。
通过以上方式累加得到的指定资产在巡检业务运行过程中的脆弱点得分的累加值即为指定资产的巡检业务脆弱性指数。
获取指定资产的漏洞业务脆弱性指数,具体包括:
B1、对指定资产进行漏洞检查业务以获取到所述指定资产存在的安全漏洞。
B2、将所述指定资产存在的安全漏洞与指定资产的漏洞资源库比对,根据比对结果标注所述指定资产存在的安全漏洞的危险等级;在所述指定资产的漏洞资源库中,将安全漏洞划分为不同危险等级,不同危险等级的安全漏洞设置有不同分值:
需要说明的是,一个资产对应一个资产的漏洞资源库。一个漏洞资源库中包括一个资产在漏洞业务运行过程中可能出现的所有安全漏洞。并且,在该漏洞资源库中,将该可能出现的所有安全漏洞划分为不同危险等级,且不同危险等级的脆弱点设置有不同分值。
作为示例,不同危险等级的安全漏洞对应的分值如表2所示。
表2
脆弱点等级 |
分值 |
高危脆弱点 |
3分 |
中危脆弱点 |
1分 |
低危脆弱点 |
0.5分 |
本步骤具体为:将步骤B1中得到的指定资产在漏洞检查业务运行过程中存在的安全漏洞与指定资产的漏洞资源库中的安全漏洞比对,当从指定资产的漏洞资源库中查找到与步骤B1中得到的指定资产在漏洞检查业务运行过程中存在的安全漏洞相匹配的安全漏洞后,根据该比对结果标注步骤B1中得到的指定资产在漏洞检查业务运行过程中存在的安全漏洞对应的危险等级。并根据该危险等级确定步骤B1中得到的指定资产在漏洞检查业务运行过程中存在的安全漏洞的分值。
B3、累加所述指定资产在漏洞检查业务运行过程中的安全漏洞的分值,当累加值达到第三预设数值后,不再累加;得到的累加值即为所述指定资产的漏洞业务脆弱性指数:
在本发明实施例中,同一资产的所有安全漏洞得分实行累积制。该得分不是无限制的累加下去,而是设置有一第三预设数值。当累加值达到第三预设数值后,不再累加。作为示例,第三预设数值可以为100。
通过以上方式累加得到的指定资产在漏洞检查业务运行过程中的安全漏洞得分的累加值即为指定资产的漏洞业务脆弱性指数。
获取指定资产的配置不合规业务脆弱性指数,具体包括:
C1、对指定资产进行配置合规性检查以获取到指定资产的不符合业务正常运行安全要求的配置信息。
C2、将所述不符合业务正常运行安全要求的配置信息与指定资产的配置资源库比对,标注所述不符合业务正常运行安全要求的配置信息的危险等级;在所述指定资源的配置资源库中,将不符合业务正常运行安全要求的配置信息划分为不同危险等级,不同危险等级的不符合业务正常运行安全要求的配置信息设置有不同分值:
需要说明的是,一个资产对应一个配置资源库。在配置资源库中包括一个资产在配置合规性检查过程中可能存在的所有不符合业务正常运行安全要求的配置信息。并且在配置资源库中,将该可能存在的所有不符合业务正常运行安全要求的配置信息划分为不同危险等级,并对不同危险等级设置有不同的分值。
作为示例,不同危险等级的不合规配置信息对应的分值如下表3所示:
表3
脆弱点等级 |
分值 |
高危脆弱点 |
3分 |
中危脆弱点 |
2分 |
低危脆弱点 |
1分 |
本步骤具体为:将步骤C1中得到的指定资产在配置合规性检查运行过程中的不符合业务正常运行安全要求的配置信息与巡检脆弱点字典库中的不合规配置信息进行比对,当在巡检脆弱点字典库中查找到与步骤C1中得到的指定资产在配置合规性检查运行过程中的不符合业务正常运行安全要求的配置信息相匹配的配置信息后,根据该比对结果标注步骤C1中得到的指定资产在配置合规性检查运行过程中的脆弱点对应的危险等级。并根据该危险等级确定步骤C1中得到的指定资产在配置合规性检查运行过程中的不符合业务正常运行安全要求的配置信息的分值。
C3、累加所述指定资产在配置合规性检查过程中的不合规配置信息的分值,当累加值达到第四预设数值后,不再累加,得到的累加值即为所述指定资产的配置不合规业务脆弱性指数:
在本发明实施例中,同一资产的所有不合规配置信息得分实行累积制。该得分不是无限制的累加下去,而是设置有一第四预设数值。当累加值达到第四预设数值后,不再累加。作为示例,第四预设数值可以为100。
通过以上方式累加得到的指定资产在配置合规性检查运行过程中的不合规配置信息得分的累加值即为指定资产的配置不合规业务脆弱性指数。
S22、比较所述指定资产的巡检业务脆弱性指数、漏洞业务脆弱性指数和配置不合规业务脆弱性指数的大小,当至少有一个指数不为零时,将指定资产的资产脆弱性指数确定为数值最大的指数;当三个指数均为零时,将指定资产的资产脆弱性指数确定为第一预设数值:
在短板效应中,构成组织的各个部分往往优劣不齐,而劣势部分往往决定整个组织的水平。因此,当指定资产的巡检业务脆弱性指数、漏洞业务脆弱性指数和配置不合规业务脆弱性指数中至少有一个指数不为零时,对于指定资产的脆弱性,本发明实施例将指定资产的资产脆弱性指数确定为巡检业务脆弱性指数、漏洞业务脆弱性指数和配置不合规业务脆弱性指数中最大的值。这是因为脆弱性指数越大,资产相对越不安全。
当指定资产不存在任何脆弱点,该指定资产的巡检业务脆弱性指数、漏洞业务脆弱性指数和配置不合规业务脆弱性指数均为零时,本发明实施例将指定资产的资产脆弱性指数确定为第一预设数值。该第一预设数值不等于0,通常为大于0的很小的数值。作为示例,该第一预设数值的取值为0.01。利用该第一预设数值计算得到的资产脆弱性指数对资产的安全性指数影响甚微。
另外,需要说明的是,对于资产而言,其威胁性不仅取决于运行过程中存在的实际威胁,其还取决于它所依存的实际运行环境。其中,运行过程中存在的实际威胁与资产的安全事态威胁值、安全告警威胁值和安全事件威胁值相关。
其中,获取指定资产的资产威胁指数的过程如图3所示,其具体包括:
S31、获取指定资产的实际威胁值,所述指定资产的实际威胁值为指定资产的安全事态威胁值、安全告警威胁值和安全事件威胁值的总和。
S32、根据所述指定资产的实际运行环境和实际威胁值以及各自对应的权重计算所述指定资产的资产威胁指数:
需要说明的是,指定资产的实际运行环境对资产的威胁无法通过资产自身的检测数值得到。针对影响资产威胁性的两个因素:实际运行环境和实际威胁值,本发明实施例分别赋予不同的权重,通过对这两个因素进行加权求和得到指定资产的资产威胁指数。
作为示例,实际运行环境所占的权重可以为20%,实际威胁值所占的权重为80%。另外,本发明实施例还设定实际运行环境对应的分值可以为5分。
作为本发明的一个具体实施方式,上述获取指定资产的实际威胁值具体包括:
D1、获取指定资产的安全事态威胁值、安全告警威胁值和安全事件威胁值。
D2、计算所述指定资产的实际威胁值为指定资产的安全事态威胁值、安全告警威胁值和安全事件威胁值的总和,得到的结果即为所述指定资产的实际威胁值。
其中,获取指定资产的安全事态威胁值,具体包括:
E1、对指定资产进行安全事态业务,对指定资产的日志进行整合和归一化处理,得到威胁指定资产安全的信息。
E2、将所述威胁指定资产安全的信息形成指定资产的安全事态;每条安全事态设置有第一分值:
作为示例,设置的第一分值为0.01分。
E3、统计指定资产的安全事态,并累加所述指定资产的安全事态的分值,当累加值达到第五预设数值,不再累加,得到的累加值为指定资产的安全事态威胁值:
作为示例,第五预设数值可以为10。
获取指定资产的安全告警威胁值,具体包括:
F1、对指定资产进行安全告警业务,将指定资产中存在的符合特定规则的安全事态形成安全告警;每条安全告警设置有第二分值:
作为示例,第二分值可以为0.1分。
F2、统计指定资产的安全告警,并累加所在指定资产的安全告警的分值,当累加值达到第六预设数值后,不再累加,得到的累加值为指定资产的安全告警威胁值:
作为示例,第六预设数值可以为30。
获取指定资产的安全事件威胁值,具体包括:
G1、对指定资产进行安全事件业务,将指定资产中存在的安全告警进行人为分析、定性,形成安全事件;每条安全事件设置有第三分值:
作为示例,第三分值可以为4分。
G2、统计指定资产的安全事件,并累加所述指定资产的安全事件的分值,当累加值达到第七预设数值后,不再累加,得到的累加值为指定资产的安全事件威胁值:
作为示例,第七预设数值可以为40。
S12、根据所述指定资产的资产价值的权重值和资产脆弱性指数计算所述指定资产的脆弱性损失:
作为示例,根据所述指定资产的资产价值的权重值和资产脆弱性指数计算所述指定资产的脆弱性损失的计算公式如公式(1)所示:
其中,F(A,V)为指定资产的脆弱性损失;
A为指定资产的资产价值的权重值;
V为指定资产的资产脆弱性指数。
S13、根据所述指定资产的资产脆弱性指数和资产威胁指数计算所述指定资产的威胁性损失:
作为示例,根据所述指定资产的资产脆弱性指数和资产威胁指数计算所述指定资产的威胁性损失的计算公式如公式(2)所示:
其中,L(T,V)为指定资产的威胁性损失;
T为指定资产的资产威胁指数;
V为指定资产的资产脆弱性指数。
S14、根据所述指定资产的资产脆弱性损失和所述指定资产的威胁性损失,计算所述指定资产的资产风险值:
作为示例,根据根据所述指定资产的资产脆弱性损失和所述指定资产的威胁性损失,计算所述指定资产的资产风险值的计算公式如公式(3)所示:
S15、根据所述指定资产的资产风险值计算所述指定资产的资产安全指数。:
作为示例,根据所述指定资产的资产风险值计算所述指定资产的资产安全指数如公式(4)所示:
Re=100-Ra (4)。
以上为本发明实施例提供的在资产层面上的安全态势评估过程中的数据处理方法。通过该数据处理方法得到的资产安全指数可以对指定资产在资产层面的安全态势进行评估。其中,指定资产的资产安全指数越大,表明该指定资产在资产层面上越安全。
作为本发明的具体实施例,可以根据资产安全指数的取值范围将资产安全指数设置多个不同的安全等级。根据上述得到的资产安全指数确定指定资产在资产层面上的安全等级。
需要说明的是,在上述数据处理方法中,计算得到的资产脆弱性指数和资产安全指数是在考虑了资产的巡检检查业务、漏洞检查业务和配置合规性检查业务以及日志和流量得到的综合分析结果。因此,相较于现有技术,本发明提供的数据处理方法,其考虑和统计的数据更加全面,因而,基于本发明的方法得到的资产安全态势评估结果更加准确,提高了资产安全态势评估结果的可信度。
下面介绍业务系统层面上的网络安全态势评估过程中的数据处理方法的的具体实施方式。具体参见实施例二。
实施例二
需要说明的是,业务系统由资产所承载的业务内容决定,由客户进行划分,例如OA系统、邮件系统等。对业务系统层面上的网络安全态势评估需要考虑业务系统下属资产的安全状况。对资产而言,业务系统也是其属性之一,用于表明该资产所承载的业务内容。每个资产属于一个业务系统,每个业务系统下可以拥有多个资产。业务系统和资产之间是一对多的关系。
业务系统层面上的网络安全态势评估过程的数据处理方法包括:计算一个业务系统的业务系统安全性指数、业务系统威胁指数和业务系统脆弱性指数;
其中,计算一个业务系统的业务系统安全性指数的过程如图4所示,具体包括:
S41、分别获取属于一个业务系统的所有各个资产的安全风险值:
根据上述实施例一提供的资产层面上的安全态势评估过程中的数据处理方法分别获取属于一个业务系统的所有各个资产的安全风险值。
S42、根据所述属于一个业务系统的所有各个资产的安全风险值,计算该业务系统的安全风险指数:
其中,在SIEM中,每个业务系统的安全风险指数Rn由属于该业务系统的所有资产的安全风险值决定。具体地说,单个业务系统的安全风险指数为该业务系统下所有资产的安全风险值的几何平均值。其中,单个业务系统的安全风险指数的计算公式如公式(5)所示:
在公式(5)中,n表示单个业务系统下由n个资产,其中,n为正整数;
Rai为资产i的资产风险值。
S43、根据该业务系统的安全风险指数计算该业务系统的安全性指数:
作为示例,根据单个业务系统的安全风险指数计算该业务系统的安全性指数Re-n的具体计算公式如公式(6)所示:
Re-n=100-Rn (6)。
作为本发明的一个具体实施例,计算一个业务系统的业务系统威胁指数如图5所示,具体包括:
S51、分别获取属于一个业务系统的所有各个资产威胁指数以及所有各个资产的资产价值的权重值:
根据上述实施例一提供的资产层面上的安全态势评估过程中的数据处理方法分别获取属于一个业务系统的所有各个资产的威胁指数。
资产价值是资产的固有属性,在资产添加时即指定了资产价值。资产价值是资产重要程度的特征值。在本发明实施例中,当确定了某一指定资产后,即可获取到该指定资产的资产价值的权重值。
S52、根据所述属于一个业务系统的所有各个资产的威胁指数以及所有各个资产的资产价值的权重值,计算该业务系统的业务系统威胁指数:
需要说明的是,在SIEM中,每个业务系统的威胁指数Tn由属于该业务系统的所有各个资产的威胁指数决定。单个业务系统的威胁指数Tn为该业务系统下所有资产的威胁指数Ti的加权平均值,其中,权重为每个资产的资产价值。其对应的计算公式如公式(7)所示:
其中,n表示单个业务系统下有n个资产,其中,n为正整数;
Ai为资产i的资产价值的权重值;
Ti为资产i的资产的威胁指数。
作为本发明的一个具体实施例,计算一个业务系统的业务系统脆弱性指数的过程如图6所示,具体包括:
S61、获取属于一个业务系统的所有各个资产脆弱性指数以及所有各个资产的资产价值:
根据上述实施例一提供的资产层面上的安全态势评估过程中的数据处理方法分别获取属于一个业务系统的所有各个资产的脆弱性指数。
资产价值是资产的固有属性,在资产添加时即指定了资产价值。资产价值是资产重要程度的特征值。在本发明实施例中,当确定了某一指定资产后,即可获取到该指定资产的资产价值。
S62、根据所述属于一个业务系统的所有各个资产的脆弱性指数以及所有各个资产的资产价值,计算该业务系统的业务系统脆弱性指数:
需要说明的是,在SIEM中,每个业务系统的脆弱性Vn由属于该业务系统的所有各个资产的脆弱性指数决定。单个业务系统的脆弱性指数Vn为该业务系统下所有资产的脆弱性指数Vi的加权平均值,其中,权重为每个资产的资产价值。其对应的计算公式如公式(8)所示:
其中,n表示单个业务系统下有n个资产,其中,n为正整数;
Ai为资产i的资产价值的权重值;
Vi为资产i的资产的脆弱性指数。
以上为本发明实施例二提供的业务系统层面上的网络安全态势评估过程中的数据处理方法的具体实施方式。在该实施方式中,根据其属下的各个资产的资产价值、资产安全性指数、资产脆弱性指数和资产威胁性指数分别计算得到了对应业务系统的业务系统安全性指数、业务系统威胁指数和业务系统脆弱性指数。
下面介绍客户层面上的网络安全态势评估过程中的数据处理方法的具体实施方式。具体参见实施例三。
实施例三
需要说明的是,一个客户拥有多个业务系统,所以客户层面的安全状况由属于该客户的所有业务系统决定。客户层面上的网络安全态势评估过程的数据处理方法包括:计算客户安全性指数、客户威胁指数和客户脆弱性指数。
作为本发明一个具体实施例,计算客户安全性指数的方法如图7所示,包括:
S71、分别获取一个客户拥有的所有各个业务系统的安全风险指数和各个业务系统等级所占的权重:
根据实施例二所述的数据处理方法分别获取一个客户拥有的所有各个业务系统的安全风险指数。
需要说明的是,在本发明实施例中,不同的业务系统设置有不同的等级。作为示例,业务系统等级分为5级,按其重要性由高到低的顺序依次分别为A’、B’、C’、D’、E’。A’为重要性最高的业务系统等级,E’为重要性最低的业务系统等级。其中,A’所占权重ωA为100,B’所占权重ωB为90,C’所占权重ωC为60,D’所占权重ωD为40,E’所占权重ωE为10。
根据单个客户下拥有的各个业务系统,获取所有各个系统对应的业务系统等级所占的权重。
S72、根据所述一个客户拥有的所有各个业务系统的安全风险指数和各个业务系统等级所占的权重计算该客户安全风险指数:
需要说明的是,在安全运营系统中,客户的安全风险指数Rall由属于该客户的所有业务系统的安全风险指数决定。具体地说,客户安全风险指数Rall为客户所有业务系统的安全风险指数Rn的加权平均数。权重为每个业务等级所占的权重,其计算公式如公式(9)所示:
其中,n为客户拥有的业务系统数量,其中,n为正整数;
ωi为为业务系统i对应的业务系统等级所占的权重;
Ri为业务系统i的安全风险指数。
S73、根据该客户的安全风险指数计算该客户的安全性指数:
作为示例,根据客户的安全风险指数计算该客户的安全性指数Re-all的计算公式如公式(10)所示:
Re-all=100-Rall (10)
作为本发明的一个具体实施例,计算客户威胁指数的方法如图8所示,包括:
S81、获取一个客户拥有的所有各个业务系统的威胁指数和各个业务系统等级所占的权重:
根据实施例二所述的数据处理方法分别获取一个客户拥有的所有各个业务系统的威胁指数。
根据单个客户下拥有的各个业务系统,获取所有各个系统对应的业务系统等级所占的权重。
S82、根据所述一个客户拥有的所有各个业务系统的威胁指数和各个业务系统等级所占的权重计算该客户的威胁指数:
需要说明的是,在安全运营系统中,客户的威胁指数Tall由属于该客户的所有业务系统的威胁指数决定。具体地说,客户威胁指数Tall为客户所有业务系统的威胁指数Tn的加权平均数。权重为每个业务等级所占的权重,其计算公式如公式(11)所示:
其中,n为客户拥有的业务系统数量,其中,n为正整数;
ωi为为业务系统i对应的业务系统等级所占的权重;
Ti为业务系统i的威胁指数。
作为本发明的一个具体实施例,计算客户脆弱性指数如图9所示,包括:
S91、获取一个客户拥有的所有各个业务系统的脆弱性指数和各个业务系统等级所占的权重:
根据实施例二所述的数据处理方法分别获取一个客户拥有的所有各个业务系统的脆弱性指数。
根据单个客户下拥有的各个业务系统,获取所有各个系统对应的业务系统等级所占的权重。
S92、根据所述一个客户拥有的所有各个业务系统的业务系统脆弱性指数和各个业务系统等级所占的权重计算该客户的脆弱性指数。
需要说明的是,在安全运营系统中,客户的脆弱性指数Rall由属于该客户的所有业务系统的脆弱性指数决定。具体地说,客户脆弱性指数Rall为客户所有业务系统的脆弱性指数Rn的加权平均数。权重为每个业务等级所占的权重,其计算公式如公式(12)所示:
其中,n为客户拥有的业务系统数量,其中,n为正整数;
ωi为为业务系统i对应的业务系统等级所占的权重;
Vi为业务系统i的脆弱性指数。
以上为本发明实施例三提供的客户层面上的网络安全态势评估过程中的数据处理方法的具体实施方式。在该具体实施方式中,可以按照客户的安全性指数划分不同的安全等级。若客户的安全性指数属于(90-100]范围,认为该客户系统整体的安全性描述为非常安全;若该指数属于(75-90]范围,认为其安全性描述为安全;若该指数属于(50-75]范围,认为其安全性描述为良好;若该指数属于(15-50]范围,认为其安全性描述为危险;若该指数属于[0-15]范围,认为其安全性描述为非常危险。
通过实施例一至实施三所述的数据处理方法可知,本发明提供的数据处理方法除了能够在资产层面上对网络安全态势进行评估外,本发明提供的数据处理方法还可以应用到业务系统层面和客户层面上的安全态势评估。如此,本发明提供的数据处理方法能够根据运营情况,分层次对对网络安全态势的数据进行计算,使得得到的安全指数有据可查。
另外,本发明提供的数据处理方法能够对多个层次的网络态势评估过程的数据进行处理,从而得到多个层次上的安全指数。具体地说,本发明提供的数据处理方法不仅可以对单一资产进行安全指数计算,而且在资产所处的业务系统层面上,也可以计算该业务系统的安全指数,最后于客户层次,计算客户层面的安全指数。这样经过层层计算的安全指数具有可信度,有据可查。如此,可以提升用户对系统、资产等不同维度安全状况的感知度。
另外,利用该数据处理方法通过每日安全指数能够及时获知当前系统安全状况,并能够对比与昨日的变化,最快了解系统安全变化趋势,通过安全态势历史比较,可以全面反馈单位业务系统的安全维护状态和安全运营维护工作的成果。
基于上述实施例提供的数据处理方法,相应地,本发明实施例还提供了数据处理装置。具体参见实施例四。
实施例四
图10是本发明实施例四提供的数据处理装置的结构示意图。如图10所示,该数据处理装置包括:
第一获取单元101,用于获取指定资产的资产价值的权重值、资产脆弱性指数和资产威胁指数;所述资产脆弱性指数与资产巡检脆弱性指数、漏洞脆弱性指数和配置不合规脆弱性指数相关,所述资产威胁指数与资产的安全事态威胁值、安全告警威胁值和安全事件威胁值相关;
第一计算单元102,用于根据所述指定资产的资产价值的权重值和资产脆弱性指数计算所述指定资产的脆弱性损失;
第二计算单元103,用于根据所述指定资产的资产脆弱性指数和资产威胁指数计算所述指定资产的威胁性损失;
第三计算单元104,用于根据所述指定资产的资产脆弱性损失和所述指定资产的威胁性损失,计算所述指定资产的资产风险值;
第四计算单元105,用于根据所述指定资产的资产风险值计算所述指定资产的资产安全指数。
可选地,为了能够对业务系统层面上的网络安全态势评估,上述所述的装置还可以包括:
第五计算单元106,用于计算一个业务系统的业务系统安全性指数;
第六计算单元107,用于计算一个业务系统的业务系统威胁指数;
第七计算单元108,用于计算一个业务系统的业务系统脆弱性指数;
其中,所述第五计算单元106包括:
第一获取子单元,用于获取属于一个业务系统的所有各个资产的安全风险值;
第一计算子单元,用于根据所述属于一个业务系统的所有各个资产的安全风险值,计算该业务系统的安全风险指数;
第二计算子单元,用于根据该业务系统的安全风险指数计算该业务系统的安全性指数;
其中,所述第六计算单元107包括:
第二获取子单元,用于获取属于一个业务系统的所有各个资产威胁指数以及所有各个资产的资产价值的权重值;
第三计算子单元,用于根据所述属于一个业务系统的所有各个资产的威胁指数以及所有各个资产的资产价值的权重值,计算该业务系统的业务系统威胁指数;
其中,所述第七计算单元108包括:
第三获取子单元,用于获取属于一个业务系统的所有各个资产脆弱性指数以及所有各个资产的资产价值的权重值;
第四计算子单元,用于根据所述属于一个业务系统的所有各个资产的脆弱性指数以及所有各个资产的资产价值的权重值,计算该业务系统的业务系统脆弱性指数。
可选地,为了能够对客户层面上的网络安全态势评估,上述所述的装置还可以包括:
第八计算单元109,用于计算客户安全性指数;
第九计算单元110,用于计算客户威胁指数;
第十计算单元111,用于计算客户脆弱性指数;
所述第八计算单元109包括:
第四获取子单元,用于获取一个客户拥有的所有各个业务系统的安全风险指数和各个业务系统等级所占的权重;
第五计算子单元,用于根据所述一个客户拥有的所有各个业务系统的安全风险指数和各个业务系统等级所占的权重计算该客户安全风险指数;
第六计算子单元,用于根据该客户的安全风险指数计算该客户的安全性指数;
所述第九计算单元110包括:
第五获取子单元,用于获取一个客户拥有的所有各个业务系统的威胁指数和各个业务系统等级所占的权重;
第七计算子单元,用于根据所述一个客户拥有的所有各个业务系统的威胁指数和各个业务系统等级所占的权重计算该客户的威胁指数;
所述第十计算单元111包括:
第六获取子单元,用于获取一个客户拥有的所有各个业务系统的脆弱性指数和各个业务系统等级所占的权重;
第八计算子单元,用于根据所述一个客户拥有的所有各个业务系统的业务系统脆弱性指数和各个业务系统等级所占的权重计算该客户的脆弱性指数。
以上为本发明的优选实施方式。应当指出,对于本领域技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进,这些改进和润饰也应视为本发明的保护范围。