CN108449201B - 一种内网业务数据流安全管控效能的评价方法 - Google Patents
一种内网业务数据流安全管控效能的评价方法 Download PDFInfo
- Publication number
- CN108449201B CN108449201B CN201810110771.4A CN201810110771A CN108449201B CN 108449201 B CN108449201 B CN 108449201B CN 201810110771 A CN201810110771 A CN 201810110771A CN 108449201 B CN108449201 B CN 108449201B
- Authority
- CN
- China
- Prior art keywords
- data flow
- data
- control
- data stream
- evaluation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Algebra (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种内网业务数据流安全管控效能的评价方法,包括以下步骤:设置评价规则及源数据接口;根据实体关联分类生成业务数据流关系图;对业务数据流关系图中的每一条数据流设置层次化控制边界,生成汇总的数据流控制边界表;计算多维度可控性指标;标记出高风险和不受控业务数据流,形成数据流管控能力分析报告。本发明通过识别业务数据流及其控制边界的加权赋值,能够从复杂的网络中提取出关键业务数据流,并根据客观数据对其安全管控有效性评价,因此在识别安全风险时明显提高了风险识别的效率和准确性,降低评价结果对主观判定因素的依赖性,保障企业内网管理人员有针对性性地配置并调整安全措施。
Description
技术领域
本发明属于网络空间安全技术领域,具体涉及一种内网业务数据流安全管控效能的评价方法。
背景技术
在当前计算机网络安全事件频发、网络攻防对抗形势严峻的背景下,企业内网在追求高效协同等业务价值目标的同时,不得不同时考虑企业内网的安全问题。如何利用合理的投资保障内部网络安全,保障敏感信息甚至是国家秘密的安全,是每一个企业都要面临的问题。
同时,随着国家网络安全相关法律法规的发布,也对企业内网的安全管理提出了明确的要求,遵循分级保护、等级保护的网络均要进行周期的安全评估,来对网络安全管理和技术防护措施进行持续改进。
利用科学、客观的方法对现有安全措施风险管控能力进行评价,是指导企业信息安全相关决策部署,并符合国家法律法规要求的重要支撑手段。
当前内网业务数据流安全管控效能的评价方法主要是依托基于资产价值、威胁可能性以及后果严重程度等因素计算网络风险值,结合考虑已有安全措施等对风险进行排序设置风险处置的优先级。这种传统评价方法在指导企业内部评估时,尤其是涉及多个下属部门或接入域的多级互联网络评估时,通常面临评价结果严重依赖主观判定、风险分析效率低、准确性差等问题。
发明内容
本发明的目的就在于为了解决上述问题而提供一种能明显提高风险识别的效率和准确性的内网业务数据流安全管控效能的评价方法。
本发明通过以下技术方案来实现上述目的:
一种内网业务数据流安全管控效能的评价方法,包括以下步骤:
步骤(1):设置评价规则及源数据接口,具体包括设置实体关联归并规则、控制边界可信赋值规则以及可控性多维度评价指标;导入资产列表,按包括但不限于业务服务名称、业务重要程度、业务数据发送方、数据接收方、实体类型的属性进行资产标记;
步骤(2):根据实体关联分类生成业务数据流关系图;
步骤(3):对业务数据流关系图中的每一条数据流设置层次化控制边界,基于可信加权等级生成汇总的数据流控制边界表;
步骤(4):根据内网在线安全运行数据统计结果,对步骤(3)的数据流控制边界表的每一行计算多维度可控性指标;计算完成后转至步骤(5);
步骤(5):对步骤(3)的数据流控制边界表中的各行的每一条数据流按每一类指标进行对比,分析现有措施对内网各业务数据流在防护、监测、响应、处置、评估几方面的安全能力,标记出高风险和不受控业务数据流,形成数据流管控能力分析报告。
作为优选,所述步骤(2)中,业务数据流关系图的生成方法为:以实际网络拓扑的资产列表输入,根据步骤(1)预先设置的实体关联归并规则,针对数据流发送方和接收方的实体类型进行归并处理,归并规则按用户至终端、用户到用户、用户到应用、用户到网络、终端到终端、应用到应用、网络到网络的实体关联进行分类,生成包含N条数据流的业务数据流关系图。
作为优选,所述步骤(3)中,数据流控制边界表的生成步骤为:
步骤(3.1):依次选择步骤(2)的关系图中的一条数据流R(n),其中N≥n≥1,根据步骤(1)中预先设置的控制边界可信赋值规则,按内容层、数据层、应用层、系统层、终端层、网络层、物理层设置控制边界;
步骤(3.2):根据预先设置的等级对应表对步骤(3.1)识别出的控制边界依次赋予可信等级;
步骤(3.3):重复步骤(3.1)、步骤(3.2),直至所有N数据流全部控制边界均赋予了相应可信等级,最终生成带可信等级属性的数据流控制边界表。
本发明的有益效果在于:
本发明通过识别业务数据流及其控制边界的加权赋值,能够从复杂的网络中提取出关键业务数据流,并根据客观数据对其安全管控有效性评价,因此在识别安全风险时明显提高了风险识别的效率和准确性,降低评价结果对主观判定因素的依赖性,保障企业内网管理人员有针对性性地配置并调整安全措施,避免造成企业内网敏感数据泄露或扩散的严重后果。
附图说明
图1是本发明所述内网业务数据流安全管控效能的评价方法的流程图;
图2是本发明所述内网业业务数据流安全管控效能评价关键模块的关系示意图;
图3是实施例中组织内部网络的连接结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步说明:
说明:图2的各模块是设于软件中的功能模块,是实现图1所示方法的具体应用,两者相互关联,以便于理解本发明方法的可实施性,下文中不一定有对图2描述的各模块的具体阐述,但结合下述内容能够理解。
如图1和图2所示,本发明所述内网业务数据流安全管控效能的评价方法,包括以下步骤:
步骤(1):设置评价规则及源数据接口,具体包括设置实体关联归并规则、控制边界可信赋值规则以及可控性多维度评价指标;导入资产列表,按包括但不限于业务服务名称、业务重要程度、业务数据发送方、数据接收方、实体类型的属性进行资产标记;
步骤(2):根据实体关联分类生成业务数据流关系图,其具体生成方法为:以实际网络拓扑的资产列表输入,根据步骤(1)预先设置的实体关联归并规则,针对数据流发送方和接收方的实体类型进行归并处理,归并规则按用户至终端、用户到用户、用户到应用、用户到网络、终端到终端、应用到应用、网络到网络的实体关联进行分类,生成包含N条数据流的业务数据流关系图;
步骤(3):对业务数据流关系图中的每一条数据流设置层次化控制边界,基于可信加权等级生成汇总的数据流控制边界表,其具体生成步骤为:
步骤(3.1):依次选择步骤(2)的关系图中的一条数据流R(n),其中N≥n≥1,根据步骤(1)中预先设置的控制边界可信赋值规则,按内容层、数据层、应用层、系统层、终端层、网络层、物理层设置控制边界;
步骤(3.2):根据预先设置的等级对应表对步骤(3.1)识别出的控制边界依次赋予可信等级;
步骤(3.3):重复步骤(3.1)、步骤(3.2),直至所有N数据流全部控制边界均赋予了相应可信等级,最终生成带可信等级属性的数据流控制边界表;
步骤(4):根据内网在线安全运行数据统计结果,对步骤(3)的数据流控制边界表的每一行计算多维度可控性指标;计算完成后转至步骤(5);
步骤(5):对步骤(3)的数据流控制边界表中的各行的每一条数据流按每一类指标进行对比,分析现有措施对内网各业务数据流在防护、监测、响应、处置、评估几方面的安全能力,标记出高风险和不受控业务数据流,形成数据流管控能力分析报告。
实施例:
图3为本实施例的组织内部网络架构示意图,本发明适用于但不局限于组织内与互联网物理或逻辑隔离的多级互联内网架构。本实施例的评价对象网络与互联网物理隔离,禁止用户及网络与互联网直接连接,可使用多种工具组合实现方法。本实施例综合利用EXCEL数据分析工具、安全产品统计分析工具等开展评价工作。
结合图1-图3,在具体执行评价前,需要预先设置评价规则和源数库,以支持对数据的分类、归并、指标计算等。
在本实施例中评价规则具体包括:
实体关联归并规则:用于实现业务流在按接收方、发送方进行归并处理时,每条业务流可归属唯一特定的实体关联分类;本实施例配置了4类,包括用户到终端、用户到用户、用户到应用、应用到应用;
控制边界分级规则:用于实现业务流的控制边界设置遵循特定的层次划分原则,本实施例中将控制边界划分为网络层、主机层、系统层、应用层和数据层;可信等级划分为高、中、低、不可信4档,分别对应赋值为4、3、2、1;
多维评价指标:用于约束运行数据的采集及评价计算规则。本实施例对各评价指标的实际执行规则如表1所示,在运用本方法时,可根据实际需求灵活扩展或裁减评价指标:
表1可控性多维评价指标
完成规则数据配置后,通过由计算机程序实现的实体关联分析模块、控制边界标记模块、指标计算执行模块、分析报表模块、人机交互界面模块、数据源接收处理模块,按以下流程评价工作:
按表2所示表格维度,利用EXECL等工具创建数据源采集模块,通过人机交互界面模块,调用计算机程序实现的数据源接收处理模块,生成原始数据资产列表,用户描述业务数据的数据流向。
表2资产列表
| 列名称 | 数据说明 |
| 数据资产名称/类型 | 反映资产用途的名称/类型 |
| 数据资产编号 | 本列表中唯一分配的资产编号 |
| 资产流动发送方IP | 内网IP地址 |
| 资产流动发送方实体类型 | 用户\终端\应用\网络中选择一种 |
| 资产流动接收方IP | 内网IP地址 |
| 资产流动接收方实体类型 | 用户\终端\应用\网络中选择一种 |
以原始数据资产列表为输入,调用实体关联分析模块,依据预先设置的实体关联归并规则,调用控制边界标记模块,划定资产业务数据流关系,依据预先设置的控制边界分级规则,逐行标记控制边界并赋予可信等级,输出数据流控制边界表,如需人工调整加权,则可通过人机交互界面模块调整最终输出结果。本实施例以多安全域间传递邮件业务场景为例,生成的控制边界表如表3所示:
表3数据流控制边界表
依据多维评价指标,利用EXECL等工具创建数据源采集模块,通过人机交互界面模块,调用计算机程序实现的数据源接收处理模块,形成安全运行统计数据。本实施例采集的支持多维评价指标的数据源如表4所示。
表4实施例数据源采集
以数据流控制边界表、安全运行统计数据为输入,调用指标计算执行模块,依据预先设置的多维评价指标,输出各数据流的控制边界评价结果,根据需求再调用分析报表模块和人机交互界面模块,通过不同纬度对比指标数据生成报告。本实施例生成的指标对比报告如图2所示。
由上可知,本发明从复杂的网络中提取出关键业务数据流,并根据客观数据对其安全管控有效性评价,因此在识别安全风险时明显提高了风险识别的效率和准确性,降低评价结果对主观判定因素的依赖性,保障企业内网管理人员有针对性性地配置并调整安全措施,避免造成企业内网敏感数据泄露的严重后果。
上述实施例只是本发明的较佳实施例,并不是对本发明技术方案的限制,只要是不经过创造性劳动即可在上述实施例的基础上实现的技术方案,均应视为落入本发明专利的权利保护范围内。
Claims (3)
1.一种内网业务数据流安全管控效能的评价方法,其特征在于:包括以下步骤:
步骤(1):设置评价规则及源数据接口,具体包括设置实体关联归并规则、控制边界可信赋值规则以及可控性多维度评价指标;导入资产列表,按包括业务服务名称、业务重要程度、业务数据发送方、数据接收方、实体类型的属性进行资产标记;
步骤(2):根据实体关联分类生成业务数据流关系图;
步骤(3):对业务数据流关系图中的每一条数据流设置层次化控制边界,基于可信加权等级生成汇总的数据流控制边界表;
步骤(4):根据内网在线安全运行数据统计结果,对步骤(3)的数据流控制边界表的每一行计算多维度可控性指标;计算完成后转至步骤(5);
步骤(5):对步骤(3)的数据流控制边界表中的各行的每一条数据流按每一类指标进行对比,分析现有措施对内网各业务数据流在防护、监测、响应、处置、评估几方面的安全能力,标记出高风险和不受控业务数据流,形成数据流管控能力分析报告。
2.根据权利要求1所述的内网业务数据流安全管控效能的评价方法,其特征在于:所述步骤(2)中,业务数据流关系图的生成方法为:以实际网络拓扑的资产列表输入,根据步骤(1)预先设置的实体关联归并规则,针对数据流发送方和接收方的实体类型进行归并处理,归并规则按用户至终端、用户到用户、用户到应用、用户到网络、终端到终端、应用到应用、网络到网络的实体关联进行分类,生成包含N条数据流的业务数据流关系图。
3.根据权利要求1所述的内网业务数据流安全管控效能的评价方法,其特征在于:所述步骤(3)中,数据流控制边界表的生成步骤为:
步骤(3.1):依次选择步骤(2)的关系图中的一条数据流R(n),其中N≥n≥1,根据步骤(1)中预先设置的控制边界可信赋值规则,按内容层、数据层、应用层、系统层、终端层、网络层、物理层设置控制边界;
步骤(3.2):根据预先设置的等级对应表对步骤(3.1)识别出的控制边界依次赋予可信等级;
步骤(3.3):重复步骤(3.1)、步骤(3.2),直至所有N条 数据流全部控制边界均赋予了相应可信等级,最终生成带可信等级属性的数据流控制边界表。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810110771.4A CN108449201B (zh) | 2018-02-05 | 2018-02-05 | 一种内网业务数据流安全管控效能的评价方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810110771.4A CN108449201B (zh) | 2018-02-05 | 2018-02-05 | 一种内网业务数据流安全管控效能的评价方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108449201A CN108449201A (zh) | 2018-08-24 |
| CN108449201B true CN108449201B (zh) | 2020-12-01 |
Family
ID=63191602
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810110771.4A Expired - Fee Related CN108449201B (zh) | 2018-02-05 | 2018-02-05 | 一种内网业务数据流安全管控效能的评价方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108449201B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110430073B (zh) * | 2019-07-30 | 2022-06-21 | 中国工程物理研究院计算机应用研究所 | 一种基于抽象业务原子操作的异构系统自动化运维方法 |
| CN110852865A (zh) * | 2019-11-18 | 2020-02-28 | 安徽天勤盛创信息科技股份有限公司 | 一种审计数据安全管控系统 |
| CN111177280A (zh) * | 2019-12-26 | 2020-05-19 | 北京亚信数据有限公司 | 一种数据权威性评价方法和装置 |
| CN111651460A (zh) * | 2020-06-11 | 2020-09-11 | 上海德易车信息科技有限公司 | 一种数据治理方法、装置、电子设备及可读存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1564530A (zh) * | 2004-04-15 | 2005-01-12 | 沈春和 | 网络安全防护的分布式入侵检测与内网监控系统及方法 |
| CN101119369A (zh) * | 2007-08-14 | 2008-02-06 | 北京大学 | 一种网络数据流的安全检测方法及其系统 |
| EP2372594A1 (en) * | 2010-03-19 | 2011-10-05 | Sap Ag | Security sensitive data flow analysis |
| CN103116620A (zh) * | 2013-01-29 | 2013-05-22 | 中国电力科学研究院 | 基于策略的非结构化数据安全过滤方法 |
| CN104113538A (zh) * | 2014-07-09 | 2014-10-22 | 重庆大学 | 一种检测内部用户攻击行为的网络安全防护方案 |
| CN206023836U (zh) * | 2016-05-17 | 2017-03-15 | 江苏飞搏软件股份有限公司 | 面向物理隔离网络的数据传输系统 |
| CN107194573A (zh) * | 2017-05-18 | 2017-09-22 | 郝继英 | 资产资源集中管理方法 |
-
2018
- 2018-02-05 CN CN201810110771.4A patent/CN108449201B/zh not_active Expired - Fee Related
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1564530A (zh) * | 2004-04-15 | 2005-01-12 | 沈春和 | 网络安全防护的分布式入侵检测与内网监控系统及方法 |
| CN101119369A (zh) * | 2007-08-14 | 2008-02-06 | 北京大学 | 一种网络数据流的安全检测方法及其系统 |
| EP2372594A1 (en) * | 2010-03-19 | 2011-10-05 | Sap Ag | Security sensitive data flow analysis |
| CN103116620A (zh) * | 2013-01-29 | 2013-05-22 | 中国电力科学研究院 | 基于策略的非结构化数据安全过滤方法 |
| CN104113538A (zh) * | 2014-07-09 | 2014-10-22 | 重庆大学 | 一种检测内部用户攻击行为的网络安全防护方案 |
| CN206023836U (zh) * | 2016-05-17 | 2017-03-15 | 江苏飞搏软件股份有限公司 | 面向物理隔离网络的数据传输系统 |
| CN107194573A (zh) * | 2017-05-18 | 2017-09-22 | 郝继英 | 资产资源集中管理方法 |
Non-Patent Citations (1)
| Title |
|---|
| 基于数据识别的企业内网数据安全体系建设;郭强;《硅谷》;20150208;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108449201A (zh) | 2018-08-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108449201B (zh) | 一种内网业务数据流安全管控效能的评价方法 | |
| US9154521B2 (en) | Anomalous activity detection | |
| US8769604B2 (en) | System and method for enforcing role membership removal requirements | |
| CN111737750B (zh) | 一种数据处理方法、装置、电子设备及存储介质 | |
| CN107172022B (zh) | 基于入侵途径的apt威胁检测方法和系统 | |
| CN105184642A (zh) | 一种综合治税平台 | |
| CN103714056A (zh) | 一种基于后台程序的关键字/敏感词过滤方法 | |
| CN110659513B (zh) | 一种面向多敏感属性数据发布的匿名隐私保护方法 | |
| CN113205415A (zh) | 基于rpa和区块链技术的财务流程自动化方法和系统 | |
| AU2016364120A1 (en) | User data sharing method and device | |
| CN112019523A (zh) | 一种工控系统的网络审计方法和装置 | |
| Ma et al. | Role mining based on permission cardinality constraint and user cardinality constraint | |
| US20230396640A1 (en) | Security event management system and associated method | |
| CN112732539A (zh) | 一种基于人员组织、岗位信息异动的数据责任调整预警方法及系统 | |
| Zhao et al. | Research and Design of Power Big Data Desensitization System Based on K-means++ Clustering Algorithm | |
| Jangampeta | The evolving threat landscape: How SIEM can adapt to emerging attack techniques | |
| CN113343231A (zh) | 一种基于集中管控的威胁情报的数据采集系统 | |
| CN114722383A (zh) | 弱口令的监测方法、装置、设备及存储介质 | |
| Norris et al. | Cybersecurity challenges to American local governments | |
| Qian | The application of Big Data technology in computer network information management | |
| Schweighofer et al. | Privacy by design data exchange between CSIRTs | |
| Yang et al. | Recent research progress on extension data mining methods | |
| CN115529185B (zh) | 一种邮件分类和清理方法 | |
| Raja et al. | Implementing continuous auditing and compression technique in log auditing | |
| Shiozaki | Yokogawa’s Approach to Cybersecurity in the IT/OT Convergence Environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20201201 Termination date: 20220205 |