CN105939307A - 一种网络结构安全性分析方法 - Google Patents
一种网络结构安全性分析方法 Download PDFInfo
- Publication number
- CN105939307A CN105939307A CN201510399219.8A CN201510399219A CN105939307A CN 105939307 A CN105939307 A CN 105939307A CN 201510399219 A CN201510399219 A CN 201510399219A CN 105939307 A CN105939307 A CN 105939307A
- Authority
- CN
- China
- Prior art keywords
- equipment
- safety
- risk
- network
- factor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 title abstract description 4
- 238000004891 communication Methods 0.000 claims abstract description 21
- 238000000034 method Methods 0.000 claims abstract description 16
- 230000001681 protective effect Effects 0.000 claims description 2
- 230000008878 coupling Effects 0.000 claims 1
- 238000010168 coupling process Methods 0.000 claims 1
- 238000005859 coupling reaction Methods 0.000 claims 1
- 230000007547 defect Effects 0.000 abstract description 2
- 230000006872 improvement Effects 0.000 abstract description 2
- 230000008569 process Effects 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 206010022000 influenza Diseases 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000004445 quantitative analysis Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种网络结构安全性分析方法,其基于用户提供的整个网络的拓扑结构、设备重要性、设备间通讯风险系数、安全保护设备安全因子以及连接安全因子计算整个网络系统中任意两个设备之间通过两者之间通讯的路径风险,并计算整个网络中的每个设备的风险;通过对路径风险和每个设备风险的计算,确定整体结构安全风险。本发明的分析方法简便易行,可以针对用户需求对不同的网络提出整改方案以实现网络结构的高度可定制化,克服了现有网络结构安全设计中的主观性强、成本高、流程长以及不具备可比性等多种缺陷。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种网络结构安全性分析方法。
背景技术
随着网络在日常生产及生活中的大量应用,网络安全问题日益凸显并对网络用户造成很大的困扰。尤其是在例如工业控制领域这样的特殊应用领域中,随着工业控制自动化进程的深入,工业控制网络与外部互联网或企业办公网络的信息交互日趋频繁,使得工业控制网络不断面临着来自外部互联网的恶意攻击和内部人员的误操作等威胁。因为早期工控设备使用环境相对封闭,所以工业控制系统在开发时往往更重视功能的实现,而缺少对工控网络自身安全的关注,这也导致工业控制系统中存在不可避免的安全缺陷。
网络拓扑结构的设计是影响其安全性的重要因素。网络拓扑结构的设计传统上是由专家评审的方式进行的,其存在主观性强、成本高、流程长、不具备可比性等多种缺陷。在这样的背景下,如何设计相对安全的网络就成为急需解决的问题。
发明内容
为解决上述现有技术中存在的问题,本发明提出了一种网络结构安全性分析方法,本方法从网络的拓扑结构出发,发现网络结构设计和实现中的问题,提出整改方案,针对不同拓扑结构的网络实现高度的可定制化,通过调节工具参数,定制符合用户和行业要求的方案。为实现上述目的,本发明的技术方案如下:
一种网络结构安全性分析方法,包括以下步骤:步骤一,由用户提供整个网络的网络拓扑结构、设备重要性I、设备间通讯风险系数R、安全保护设备安全因子A以及连接方式安全因子L,其中,所述设备重要性I表示各个设备对用户的重要程度,所述设备间通讯风险系数R表示不同功能设备之间通讯的风险系数,所述安全保护设备安全因子A表示安全保护设备的防护作用,所述连接方式安全因子L表示各个设备之间连接对通讯安全的影响;步骤二,基于用户所提供的信息,计算整个网络系统中任意两个设备a、b之间通过两者之间通讯的路径风险FXab;步骤三,基于用户所提供的信息计算整个网络中的每个设备s的风险FDs;步骤四,基于用户所提供的信息以及步骤二和步骤三中所计算的路径风险以及每个设备的风险,计算网络的整体结构安全风险F;步骤五,利用网络拓扑结构的大小对整体结构安全风险进行归一化;其中,所述设备包括用户设备以及安全保护设备。
进一步地,步骤二中所述任意两个设备a、b之间通过路径a-b通讯的路径风险FXab定义为FXab=Rab×∏i∈a-bAi×∏j∈a-bLj。
进一步地,步骤三中每个设备s的风险FDs定义为
进一步地,步骤四中整体结构安全风险F定义为其中n为所有的设备数量。
进一步地,所有安全设备的安全保护设备安全因子A的数值为0-1之间。
进一步地,所述设备之间的连接方式包括无线连接、有线连接。
进一步地,所述用户设备包括PC、交换机、可编程逻辑控制器以及互联网设备。
进一步地,所述安全保护设备包括网关、网闸、防火墙、IPS以及IDS。
本发明所产生的有益效果在于:
本发明提供了一种针对网络结构的安全性进行分析的方法。由已知的各类信息对整个网络结构的安全性进行量化分析,所得出的网络结构的风险值可以客观的反应整个网络的安全状况,同时分析方法简便易行,可以针对用户需求对不同的网络提出整改方案以实现网络结构的高度可定制化,克服了现有网络结构安全设计中的主观性强、成本高、流程长以及不具备可比性的多种缺陷。
附图说明
图1为一种网络系统的拓扑结构图;
图2为另一种网络系统的拓扑结构图。
具体实施方式
实施例1:
如图1所示的一种网络系统的拓扑结构图,其中,交换机1与互联网连通;同时交换机1与交换机2、办公电脑1以及数据服务器1连通;交换机2与交换机3以及工程师工作站1连通,交换机3与可编程逻辑控制器1连通。
基于上述的网络拓扑结构图,以及下列表1、表2、表3和表4中所给出的网络结构中各个设备的重要性及功能列表、各个设备间通讯风险系数列表、安全保护设备安全因子以及连接安全因子,通过公式FXab=Rab×∏i∈a-bAi×∏j∈a-bLj可以计算出如表5中所示的图1的网络结构中各个设备之间通讯的路径风险:
表1:设备重要性列表及功能类别
| 设备 | 重要性 | 设备功能类别 |
| 互联网 | 0 | 互联网 |
| 交换机1 | 5 | 交换机 |
| 交换机2 | 5 | 交换机 |
| 交换机3 | 5 | 交换机 |
| 防火墙 | 6 | 防火墙 |
| 办公电脑 | 2 | 办公电脑 |
| 数据服务器 | 4 | 数据服务器 |
| 工程师工作站 | 5 | 工程师工作站 |
| 可编程逻辑控制器 | 10 | 可编程逻辑控制器 |
表2:设备间通讯风险系数列表(不在表中的风险系数为0)
| 设备类别A | 设备类别B | 风险系数 |
| 互联网 | 办公电脑 | 1 |
| 互联网 | 数据服务器 | 4 |
| 互联网 | 工程师工作站 | 8 |
| 互联网 | 可编程逻辑控制器 | 10 |
| 办公电脑 | 数据服务器 | 2 |
| 办公电脑 | 工程师工作站 | 5 |
| 办公电脑 | 可编程逻辑控制器 | 10 |
| 数据服务器 | 工程师工作站 | 3 |
| 数据服务器 | 可编程逻辑控制器 | 7 |
| 工程师工作站 | 可编程逻辑控制器 | 2 |
表3:安全保护设备安全因子
| 设备类别 | 安全因子 |
| 防火墙 | 0.3 |
表4:连接安全因子
| 设备类别 | 安全因子 |
| 有线 | 0.9 |
表5:图1设备间通讯的路径风险(不在表中的风险为0)
| 设备A | 设备B | 路径风险FX |
| 互联网 | 办公电脑 | 0.8 |
| 互联网 | 数据服务器 | 3.2 |
| 互联网 | 工程师工作站 | 1.6 |
| 互联网 | 可编程逻辑控制器 | 1.8 |
| 办公电脑 | 数据服务器 | 1.6 |
| 办公电脑 | 工程师工作站 | 1.0 |
| 办公电脑 | 可编程逻辑控制器 | 1.8 |
| 数据服务器 | 工程师工作站 | 0.6 |
| 数据服务器 | 可编程逻辑控制器 | 1.2 |
| 工程师工作站 | 可编程逻辑控制器 | 1.5 |
并可以根据公式计算出如表6所示的图1的网络拓扑结构图中每个设备的风险:
表6:图1各个设备风险(不在表中的风险为0)
| 设备 | 路径风险和 | 重要性 | 风险FD |
| 办公电脑 | 5.2 | 2 | 10.4 |
| 数据服务器 | 6.6 | 4 | 26.4 |
| 工程师工作站 | 4.7 | 5 | 23.5 |
| 可编程逻辑控制器 | 6.3 | 10 | 63 |
由此可以由计算得出图1的网络的整体结构安全风险,上述示例中有9个设备(n=9),最后进行归一化处理后最终结构风险为:123.3/81=1.5。
实施例2:
如图2所示的另一网络拓扑结构图,其中,交换机1与互联网以及防火墙1、数据服务器1连通;防火墙1与交换机2连通;交换机2与工程师工作站1、办公电脑1以及交换机3连通;交换机3与可编程逻辑控制器1连通。
基于该网络结构拓扑图,以及上述表1-表4给出的网络结构中各个设备的重要性及功能列表、各个设备间通讯风险系数列表、安全保护设备安全因子以及连接安全因子,通过公式FXab=Rab×∏i∈a-bAi×∏j∈a-bLj可以计算出如表7中所示的图2的网络结构中各个设备之间通讯的路径风险:
表7:图2设备间通讯的路径风险(不在表中的风险为0)
| 设备A | 设备B | 路径风险FX |
| 互联网 | 办公电脑 | 0.2 |
| 互联网 | 数据服务器 | 3.2 |
| 互联网 | 工程师工作站 | 1.6 |
| 互联网 | 可编程逻辑控制器 | 1.8 |
| 办公电脑 | 数据服务器 | 0.4 |
| 办公电脑 | 工程师工作站 | 4.0 |
| 办公电脑 | 可编程逻辑控制器 | 7.3 |
| 数据服务器 | 工程师工作站 | 0.6 |
| 数据服务器 | 可编程逻辑控制器 | 1.2 |
| 工程师工作站 | 可编程逻辑控制器 | 1.5 |
表7
并可以根据公式计算出如表8所示的图2的网络拓扑结构图中每个设备的风险:
表8:图2各个设备风险(不在表中的风险为0)
| 设备 | 路径风险和 | 重要性 | 风险FD |
| 办公电脑 | 11.9 | 2 | 23.8 |
| 数据服务器 | 5.4 | 4 | 21.6 |
| 工程师工作站 | 7.7 | 5 | 38.5 |
| 可编程逻辑控制器 | 11.8 | 10 | 118 |
对比图1与图2的网络拓扑结构图,图2中的办公电脑1与工程师工作站1所在的交换机2连通,使得办公电脑1可以直接与网络中的重要设备相通讯,导致重要设备的风险明显增加,最终导致整体结构风险从图1的1.5升高至图2的2.5,其中表7的数值直观的体现出导致整体结构安全风险升高的主要原因,用户可以据此对网络结构进行修改。
以上所述实施例仅表达了本发明的实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (8)
1.一种网络结构安全性分析方法,其特征在于,包括以下步骤:
步骤一,由用户提供整个网络的网络拓扑结构、设备重要性I、设备间通讯风险系数R、安全保护设备安全因子A以及连接安全因子L,其中,所述设备重要性I表示各个设备对用户的重要程度,所述设备间通讯风险系数R表示不同功能设备之间通讯的风险系数,所述安全保护设备安全因子A表示安全保护设备的防护作用,所述连接方式安全因子L表示各个设备之间连接对通讯安全的影响;
步骤二,基于用户所提供的信息,计算整个网络系统中任意两个设备a、b之间通过两者之间通讯的路径风险FXab;
步骤三,基于用户所提供的信息计算整个网络中的每个设备s的风险FDs;
步骤四,基于用户所提供的信息以及步骤二和步骤三中所计算的路径风险FXab以及每个设备的风险FDs,计算网络的整体结构安全风险F;
步骤五,为了保证数据可比性,利用网络拓扑结构的大小对整体结构安全风险进行归一化;
其中,所述设备包括用户设备以及安全保护设备。
2.如权利要求1所述的网络结构安全性分析方法,其特征在于,步骤二中所述任意两个设备a、b之间通过路径a-b通讯的路径风险FXab定义为FXab=Rab×Πi∈a-bAi×Πj∈a-bLj,其中Ai为安全保护设备i的安全因子,Lj为联接j的安全因子。
3.如权利要求1所述的网络结构安全性分析方法,其特征在于,步骤三中每个设备s的风险FDs定义为
4.如权利要求1所述的网络结构安全性分析方法,其特征在于,步骤四中整体结构安全风险F定义为
5.如权利要求1所述的网络结构安全性分析方法,其特征在于,所有安全设备的安全保护设备安全因子A的数值为0-1之间。
6.如权利要求1所述的网络结构安全性分析方法,其特征在于,所述设备之间的连接方式包括无线连接、有线连接。
7.如权利要求1所述的网络结构安全性分析方法,其特征在于,所述用户设备包括PC、交换机、可编程逻辑控制器以及互联网设备。
8.如权利要求1所述的网络结构安全性分析方法,其特征在于,所述安全保护设备包括网关、网闸、防火墙、IPS以及IDS。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510399219.8A CN105939307A (zh) | 2015-07-08 | 2015-07-08 | 一种网络结构安全性分析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510399219.8A CN105939307A (zh) | 2015-07-08 | 2015-07-08 | 一种网络结构安全性分析方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105939307A true CN105939307A (zh) | 2016-09-14 |
Family
ID=57152743
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510399219.8A Pending CN105939307A (zh) | 2015-07-08 | 2015-07-08 | 一种网络结构安全性分析方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105939307A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110463138A (zh) * | 2017-03-29 | 2019-11-15 | 三菱电机株式会社 | 网络结构信息生成方法及通信设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102801732A (zh) * | 2012-08-24 | 2012-11-28 | 国家电网公司 | 一种基于网络拓扑结构的电力通信骨干网安全风险评估方法 |
| CN103618691A (zh) * | 2013-10-24 | 2014-03-05 | 中国航天科工集团第二研究院七〇六所 | 一种网络安全效能评估方法 |
| US8683598B1 (en) * | 2012-02-02 | 2014-03-25 | Symantec Corporation | Mechanism to evaluate the security posture of a computer system |
| CN104243478A (zh) * | 2014-09-19 | 2014-12-24 | 中国联合网络通信集团有限公司 | 网络设备的安全防护能力评估方法及设备 |
| CN104579868A (zh) * | 2014-11-28 | 2015-04-29 | 广东电网有限责任公司电力调度控制中心 | 基于节点重要度的电力通信网络构建方法 |
-
2015
- 2015-07-08 CN CN201510399219.8A patent/CN105939307A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8683598B1 (en) * | 2012-02-02 | 2014-03-25 | Symantec Corporation | Mechanism to evaluate the security posture of a computer system |
| CN102801732A (zh) * | 2012-08-24 | 2012-11-28 | 国家电网公司 | 一种基于网络拓扑结构的电力通信骨干网安全风险评估方法 |
| CN103618691A (zh) * | 2013-10-24 | 2014-03-05 | 中国航天科工集团第二研究院七〇六所 | 一种网络安全效能评估方法 |
| CN104243478A (zh) * | 2014-09-19 | 2014-12-24 | 中国联合网络通信集团有限公司 | 网络设备的安全防护能力评估方法及设备 |
| CN104579868A (zh) * | 2014-11-28 | 2015-04-29 | 广东电网有限责任公司电力调度控制中心 | 基于节点重要度的电力通信网络构建方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110463138A (zh) * | 2017-03-29 | 2019-11-15 | 三菱电机株式会社 | 网络结构信息生成方法及通信设备 |
| CN110463138B (zh) * | 2017-03-29 | 2021-03-12 | 三菱电机株式会社 | 网络结构信息生成方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Kiss et al. | Data clustering-based anomaly detection in industrial control systems | |
| JP5731223B2 (ja) | 異常検知装置、監視制御システム、異常検知方法、プログラムおよび記録媒体 | |
| CN102881125B (zh) | 基于多信息融合集中处理平台的报警监控系统 | |
| CN105759759A (zh) | 一种产线设备和工序智能化联网管理系统 | |
| WO2012090718A1 (ja) | システムの状況を判断する方法、コンピュータ・プログラム、コンピュータ | |
| CN104468193B (zh) | 一种基于组件发现对业务系统进行监控的方法 | |
| CN106200615B (zh) | 一种基于关联关系的轨道交通智能预警实现方法 | |
| CN109889604A (zh) | 一种物联网终端参数管理方法、装置及服务器 | |
| CN103888282A (zh) | 基于核电站的网络入侵报警方法和系统 | |
| CN201909992U (zh) | 一种基于vpn技术的远程机房环境监控设备 | |
| CN104361531B (zh) | 变电站自动化系统的高风险故障设备的识别方法和系统 | |
| CN113115315A (zh) | 一种基于区块链的iot设备行为可信监管方法 | |
| CN113506020A (zh) | 一种基于复杂网络的房屋建筑施工风险评价方法 | |
| CN102681519A (zh) | 智能化楼宇控制监控管理平台及相应的控制监控管理方法 | |
| Xie et al. | Internet of Things assisted radio frequency identification based mine safety management platform | |
| CN105939307A (zh) | 一种网络结构安全性分析方法 | |
| CN112327767B (zh) | 基于多层模糊系统的工控网络安全风险评估方法 | |
| CN104378354A (zh) | 一种基于等级划分的物联网安全模型的方法 | |
| CN105939306A (zh) | 一种基于连通性的网络结构安全性分析方法 | |
| Feng et al. | Accident spread and risk propagation mechanism in complex industrial system network | |
| CN104883348A (zh) | 一种网络安全规则自动化部署方法及系统 | |
| CN108731731A (zh) | 一种防雷型安监系统及防雷型安监方法 | |
| CN107995035A (zh) | 一种基于复杂装备远程运维的安全管理系统 | |
| CN103309341A (zh) | 工业控制系统全局防危技术 | |
| CN202600464U (zh) | 智能化楼宇控制监控管理平台 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20240906 |
|
| AD01 | Patent right deemed abandoned |