CN110166281A - 网络信息安全的评估方法、装置、系统及介质 - Google Patents
网络信息安全的评估方法、装置、系统及介质 Download PDFInfo
- Publication number
- CN110166281A CN110166281A CN201910287219.7A CN201910287219A CN110166281A CN 110166281 A CN110166281 A CN 110166281A CN 201910287219 A CN201910287219 A CN 201910287219A CN 110166281 A CN110166281 A CN 110166281A
- Authority
- CN
- China
- Prior art keywords
- assets
- region
- network environment
- network
- weight
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 81
- 230000015654 memory Effects 0.000 claims description 11
- 239000000523 sample Substances 0.000 claims description 8
- 238000004364 calculation method Methods 0.000 claims description 6
- 238000011156 evaluation Methods 0.000 abstract 4
- 230000006870 function Effects 0.000 description 13
- 238000004590 computer program Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 10
- 230000006854 communication Effects 0.000 description 6
- 230000000694 effects Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 241001269238 Data Species 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 238000005538 encapsulation Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 239000000758 substrate Substances 0.000 description 2
- 241000208340 Araliaceae Species 0.000 description 1
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 1
- 235000003140 Panax quinquefolius Nutrition 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 238000009412 basement excavation Methods 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 235000008434 ginseng Nutrition 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 231100000279 safety data Toxicity 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000000699 topical effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0604—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0817—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本公开提供了一种网络信息安全的评估方法。所述评估方法包括:基于网络环境中每个资产的资产权重和安全数据,计算每个资产的资产风险指数;基于所述网络环境中每个区域所包括的N个资产中每个资产的所述资产风险指数和所述资产权重,计算每个区域的局部安全系数,其中,N为大于等于1的正整数;其中,所述网络环境被划分为M个区域,每个区域中的资产通过区域内部网络连接,不同区域之间通过区域间网络连接,其中M为大于等于1的正整数;以及基于所述M个区域中每个区域的所述局部安全系数和区域权重,计算所述网络环境的全局安全系数。本公开还提供了一种网络信息安全的评估装置、评估系统及介质。
Description
技术领域
本公开涉及互联网技术领域,更具体地,涉及一种网络信息安全的评估方法、装置、系统及介质。
背景技术
随着网络的飞速发展,对网络信息的安全越来越重视,。作为一个企业或单位,尤为重视自己所在的网络的安全程度,也非常需要一个能够对网络安全状态进行评估的方案,来帮助网络管理者来管理网络。
发明内容
有鉴于此,本公开提供了一种可以直观地展示网络安全状况的网络信息安全的评估方法、装置、系统及介质。
本公开的一个方面提供了一种网络信息安全的评估方法。所述评估方法包括:基于网络环境中每个资产的资产权重和安全数据,计算每个资产的资产风险指数;基于所述网络环境中每个区域所包括的N个资产中每个资产的所述资产风险指数和所述资产权重,计算每个区域的局部安全系数,其中,N为大于等于1的正整数,其中,所述网络环境被划分为M个区域,每个区域中的资产通过区域内部网络连接,不同区域之间通过区域间网络连接,其中M为大于等于1的正整数;以及基于所述M个区域中每个区域的所述局部安全系数和区域权重,计算所述网络环境的全局安全系数。
可选地,所述安全数据包括资产产生的告警的置信度以及资产的脆弱性值,所述资产风险指数包括:
其中:
R为所述资产风险指数;
A为常数;
tn为资产产生的告警的置信度;
rh为资产的脆弱性值;
wp为资产的资产权重。
可选地,所述局部安全系数包括:
其中:
S为所述局部安全系数;
R1为所述N个资产的所述资产风险指数中的最大值;
为收敛系数,其中:Ri为按照从大到小对所述N个资产的所述资产风险指数排序后,排序为第i的所述资产风险指数,其中i为整数。
可选地,所述全局安全系数包括:
其中:
T为所述全局安全系数;
wj为所述M个区域中第j个区域的所述区域权重;
Sj为所述M个区域中第j个区域的所述局部安全系数。
可选地,所述评估方法还包括基于所述网络环境中每个资产的重要性以及每个资产的资产属性,设置每个资产的所述资产权重,以及基于所述M个区域中每个区域在所述网络环境的重要性,设置每个区域的所述区域权重。
可选地,所述方法还包括获取所述网络环境的流量日志,监控所述网络环境中每个资产的运行数据,以及分析所述流量日志以及所述运行数据,获得每个资产的所述安全数据。
本公开的另一方面提供了一种网络信息安全的评估装置。所述评估装置包括资产风险指数计算模块、局部安全系数计算模块、以及全局安全系数计算模块。所述资产风险指数计算模块用于基于网络中每个资产的资产权重和安全数据,计算每个资产的资产风险指数。所述局部安全系数计算模块用于基于所述网络环境中每个区域所包括的N个资产中每个资产的所述资产风险指数和所述资产权重,计算每个区域的局部安全系数,其中,N为大于等于1的正整数;其中,所述网络环境被划分为M个区域,每个区域中的资产通过区域内部网络连接,不同区域之间通过区域间网络连接,其中M为大于等于1的正整数。所述全局安全系数计算模块用于基于所述M个区域中每个区域的所述局部安全系数和区域权重,计算所述网络环境的全局安全系数。
可选地,所述评估装置还包括资产权重设置模块、以及区域权重设置模块。所述资产权重设置模块用于基于所述网络环境中每个资产的重要性以及每个资产的资产属性,设置每个资产的所述资产权重。所述区域权重设置模块用于基于所述M个区域中每个区域在所述网络环境的重要性,设置每个区域的所述区域权重。
可选地,所述评估装置还包括安全数据获取模块。所述安全数据获取模块还用于获取所述网络环境的流量日志,监控所述网络环境中每个资产的运行数据,以及分析所述流量日志以及所述运行数据,获得每个资产的所述安全数据。
本公开的另一方面提供了一种网络信息安全的评估系统。所述评估系统包括一个或多个处理器、以及一个或多个存储器。所述一个或多个存储器用于存储一个或多个程序,与所述一个或多个处理器耦接。其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行如上所述的评估方法。
可选地,所述评估系统还包括一个或多个流量探针。所述一个或多个流浪探针布置于所述网络环境中,用于接收所述网络环境中的流量数据以形成流量日志。
本公开的另一方面提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器实现如上所述的评估方法。
本公开的另一方面提供了一种计算机程序,所述计算机程序包括计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
根据本公开的实施例,从资产维度、区域维度、全局维度对网络环境进行多层次挖掘分析,得到网络环境的全局安全系数,可以向网络管理者直观地展示出网络的安全程度,帮助网络管理者及时发现网络环境中的威胁,有效地保护网络环境中的资产。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了应用根据本公开实施例的网络信息安全的评估方法、装置、系统及介质的网络环境;
图2示意性示出了根据本公开实施例的网络信息安全的评估方法的流程图;
图3示意性示出了根据本公开实施例的网络信息安全的评估方法的构思示意图;
图4示意性示出了根据本公开另一实施例的网络信息安全的评估方法的流程图;
图5示意性示出了根据本公开实施例的网络信息安全的评估装置的框图;
图6示意性示出了根据本公开实施例的适于实现网络信息安全的评估的计算机系统的框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
网络信息安全的评估主要涉及三方面要素:资产、威胁度以及脆弱性。其中,威胁包括可能对系统及组织造成危害的潜在因素,比如网络攻击、病毒等。根据威胁的程度不同,威胁度可以分为不同的等级(比如,危急、高危、中危、低危等)。脆弱性包括网络中可能被威胁所利用的薄弱环节。
本公开实施例的网络信息安全评估方法、装置、系统及介质,基于资产、威胁度以及脆弱性这三方面要素,从资产维度、区域维度、以及全局维度多个层次进行分析,得到评价网络环境安全程度的全局安全系数,可以直观地展示出网络的安全程度。
本公开实施例的评估方法包括:首先基于网络环境中每个资产的资产权重和安全数据,计算每个资产的资产风险指数;然后基于网络环境中每个区域所包括的N个资产中每个资产的资产风险指数和资产权重,计算每个区域的局部安全系数,其中,N为大于等于1的正整数,其中,网络环境被划分为M个区域,每个区域中的资产通过区域内部网络连接,不同区域之间通过区域间网络连接,其中M为大于等于1的正整数;接着基于M个区域中每个区域的局部安全系数和区域权重,计算网络环境的全局安全系数。
根据本公开的一些实施例,在资产方面,可以根据实际情况对每个资产的资产属性(例如,资产的类型、作用、资产的配置)进行设置。此外,还可以结合每个资产的资产属性以及每个资产在其对应的区域中的作用设置每个资产的资产权重。
根据本公开的一些实施例,在威胁方面,可以在网络环境中的终端设备中安装功能强大的终端管理软件(例如,天擎)。通过这些终端管理软件24小时实时对终端设备进行监控,来及时发现可能存在的漏洞或攻击。
根据本公开的一些实施例,在脆弱性方面,可以在网络环境中各个环节布置大量的流量探针,通过这些流量探针来收集网络环境中的流量数据,进而基于这些流量数据可以获得流量日志。
以上这些流量日志以及通过终端管理软件获得的监控数据构成了对网络信息安全进行评估的原始数据。根据本公开的实施例,可以对这些流量日志和监控数据,进行处理分析(例如,利用规则引擎对该流量日志以及该监控数据进行深度挖掘),获得可以用于计算资产风险指标的安全数据(例如,资产产生的告警的置信度、资产的资产权重等)。
根据本公开实施例的评估方法、装置、系统及介质,通过全局安全系数,能够向网络管理者直观地展示出网络的安全程度,帮助网络管理者及时发现网络环境中的威胁,有效地保护网络环境中的资产。
图1示意性示出了应用根据本公开实施例的网络信息安全的评估方法、装置、系统及介质的网络环境100。需要注意的是,图1所示仅为可以应用本公开实施例的网络环境的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他网络环境。
如图1所示,该网络环境100包括区域110、区域120、以及区域间网络101。其中区域间网络101为用以在区域110与区域120之间提供通信链路的介质。区域110为以区域内部网络111为媒介进行交互访问的网络环境。其中,区域110中的资产包括一个或多个终端设备112、一个或多个服务器113以及一个或多个路由器114等。区域120为以区域内部网络121为媒介进行交互访问的网络环境。其中,区域120中的资产包括一个或多个终端设备122、一个或多个服务器123以及一个或多个路由器124。
在一个实施例中,区域间网络101可以是互联网(Internet)。在一个实施例中,区域内部网络111和121例如可以是区域间网络101的子网。区域间网络101、区域内部网络111和区域内部网络121可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
在实际应用中,网络环境100可以是一个企业的网络环境,区域110和区域120可以对应于该企业中不同单位的内部网络环境。在一些实施例中,区域110和区域120的物理位置可以相邻。在另一些实施例中,区域110和区域120的物理位置可以不相邻。例如一个电力企业的子单位可以分布在全国各地,从而该电力企业的网络环境100中的不同区域可以分布于全国各地。
应该理解,图1中的网络环境100中的区域的数目、每个区域中的区域内部网络的数目、资产的种类和数目仅仅是示意性的。根据实现需要,一个网络环境中可以具有任意数目的区域,每个区域中可以有任意种类和数目的资产,每个区域中也可以有任意多个区域内部网络。
图2示意性示出了根据本公开实施例的网络信息安全的评估方法的流程图。如图2所示,根据本公开的实施例,该网络信息安全的评估方法包括操作S201~操作S203。
图3示意性示出了根据本公开实施例的网络信息安全的评估方法的构思示意图。
结合图2和图3,本公开实施例的评估方法,首先从资产维度进行分析。在操作S201,基于网络环境100中每个资产的资产权重和安全数据,计算每个资产的资产风险指数。每个资产例如具体可以是图1所示的网络环境100的一个或多个终端设备112/122,一个或多个服务器113/123,一个或多个路由器114/124等。
其次从区域维度进行分析。在操作S202,基于网络环境100中每个区域所包括的N个资产中每个资产的资产风险指数和资产权重,计算每个区域的局部安全系数,其中,N为大于等于1的正整数。其中,网络环境100被划分为M个区域(例如,图1的示例中M=2),每个区域中的资产通过区域内部网络(例如,图1中的区域内部网络111/121)连接,不同区域之间通过区域间网络(例如,图1中区域间网络101)连接。具体地,对于图1所示的网络环境100,在操作S202中可以基于一个或多个终端设备112、一个或多个服务器113、以及一个或多个路由器114的资产风险指数以及各自的资产权重,计算得到区域110的局部安全系数。类似的,可以基于一个或多个终端设备122、一个或多个服务器123、以及一个或多个路由器124的资产风险指数以及各自的资产权重,计算得到区域120的局部安全系数.
之后从全局维度进行分析。在操作S203,基于M个区域中每个区域的局部安全系数和区域权重,计算网络环境100的全局安全系数。即,结合区域110的局部安全系数和区域120的局部安全系数以及区域110和区域120各自网络环境100中的区域权重,得到网络环境100的全局安全系数。该全局安全系数可以反映出网络环境100的安全程度。
可见,根据本公开的实施例,通过该全局安全系数,能够向网络管理者直观地展示出网络环境100的安全程度,帮助网络管理者及时发现网络环境100中的威胁,有效地保护网络环境100中的资产。
根据本公开的实施例,每个资产的资产权重可以是基于每个资产的资产属性以及在其对应的区域中的作用按照一定的规则进行设置的。其中每个资产的资产属性例如可以是包括资产的类型、作用、资产的配置等。例如,终端设备112和服务器113就属于不同类型的电子设备,各自在网络环境100中的作用和重要程度等均不同,从而可以对终端设备112和服务器113设置不同的资产权重。
根据本公开的实施例,每个资产的安全数据可以是根据对网络环境100的监测数据以及采集得到的流量日志等获得的。具体地,获得每个资产的安全数据的过程可以包括,通过布置在网络环境100中的一个或多个流量探针接收网络环境100中的各种流量数据,基于这些流量数据获取网络环境100的流量日志,监控网络环境100中每个资产的运行数据,以及分析流量日志以及运行数据,获得每个资产的安全数据。
在获得了资产的资产权重以及安全数据后,在操作S201中就可以基于每个资产的资产权重以及安全数据,计算该资产的资产风险指数。根据本公开的实施例,安全数据例如可以包括资产产生的告警的置信度以及资产的脆弱性值。此时,对于每个资产,其资产风险指数可以通过如下式(1)计算得到:
其中:
R为资产风险指数,可以根据实际需要中R允许的取值范围来确定式(1)中各个参数的取值范围;
A为常数,例如取值可以是10;
tn为资产产生的告警的置信度,例如,取值范围可以是[0,10];
rh为资产的脆弱性值;
wp为资产的资产权重,例如取值范围可以是1~5。
根据本公开的实施例,在操作S202中计算每个区域的局部安全系数时,可以采用安全木桶原理假设算法。例如,对于一个区域中的N个资产,按照资产风险指数从高到低排列得到列表:{R1,...,Ri,...,RN}。该区域的局部安全系数可以通过如下式(2)计算得到:
其中:
S为局部安全系数;
R1为N个资产的资产风险指数中的最大值;
为收敛系数,其中:Ri为按照从大到小对N个资产的资产风险指数排序后,排序为第i的资产风险指数,其中i为整数。
根据本公开实施例,操作S203中可以通过式(3)计算网络环境100的全局安全系数:
其中:
T为该全局安全系数;
wj为M个区域中第j个区域的区域权重,其中,区域权重可以每个区域在网络环境100中的重要性,按照一定的规则进行设置;
Sj为M个区域中第j个区域的局部安全系数。
图4示意性示出了根据本公开另一实施例的网络信息安全的评估方法的流程图。
如图4所示,根据本公开的实施例该评估方法除了操作S201~操作S203之外,还可以包括操作S401和操作S402。
在操作S401,基于网络环境100中每个资产的重要性以及每个资产的资产属性,设置每个资产的资产权重。通过该操作,可以获得式(1)中的参数wp的取值。
在操作S402,基于M个区域中每个区域在网络环境100的重要性,设置每个区域的区域权重。通过该操作,可以获得式(3)中wj的取值。
在一个实施例中,例如网络环境100是一个电力企业的网络环境,网络环境100中的各个区域为该企业中不同单位的内部网络环境,每个区域的区域权重设置可以如表1所示:
表1
| 区域类型 | 区域权重 |
| 总部所在区域 | 5 |
| 商密保护重点单位所在区域 | 4 |
| 特级和A级企业所在区域 | 3 |
| 其他普通单位所在区域 | 1 |
可以理解,表1中不同类型的区域的区域权重的取值以及取值范围仅为示例性而非限定性。不同行业或不同企业在使用时,可以根据需要进行选择确定。
图5示意性示出了根据本公开实施例的网络信息安全的评估装置500的框图。
如图5所示,该评估装置500可以包括资产风险指数计算模块510、局部安全系数计算模块520以及全局安全系数计算模块530。
资产风险指数计算模块510例如可以执行操作S201,用于基于网络中每个资产的资产权重和安全数据,计算每个资产的资产风险指数。
局部安全系数计算模块520例如可以执行操作S202,用于基于网络环境100中每个区域所包括的N个资产中每个资产的资产风险指数和资产权重,计算每个区域的局部安全系数,其中,N为大于等于1的正整数;其中,网络环境100被划分为M个区域,每个区域中的资产通过区域内部网络111/121连接,不同区域之间通过区域间网络101连接,其中M为大于等于1的正整数。
全局安全系数计算模块530例如可以执行操作S203,用于基于M个区域中每个区域的局部安全系数和区域权重,计算网络环境100的全局安全系数。
根据本公开的一个实施例,评估装置500还可以包括资产权重设置模块540、以及区域权重设置模块550。
资产权重设置模块540例如可以执行操作S401,用于基于网络环境100中每个资产的重要性以及每个资产的资产属性,设置每个资产的资产权重。
区域权重设置模块550例如可以执行操作S402,用于基于M个区域中每个区域在网络环境100的重要性,设置每个区域的该区域权重。
根据本公开的一个实施例,评估装置500还可以包括安全数据获取模块560。安全数据获取模块560还用于获取网络环境100的流量日志,监控网络环境100中每个资产的运行数据,以及分析流量日志以及运行数据,获得每个资产的安全数据。
根据本公开实施例的评估装置500可以用于实现参考图2~图4所描述的网络信息安全的评估方法,获得网络环境100的全局安全系数,从而通过该全局安全系数能够向网络管理者直观地展示出网络环境100的安全程度,帮助网络管理者及时发现网络环境100中的威胁,有效地保护网络环境100中的资产。
根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
例如,资产风险指数计算模块510、局部安全系数计算模块520、全局安全系数计算模块530、资产权重设置模块540、区域权重设置模块550、以及安全数据获取模块560中的任意多个可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,资产风险指数计算模块510、局部安全系数计算模块520、全局安全系数计算模块530、资产权重设置模块540、区域权重设置模块550、以及安全数据获取模块560中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,资产风险指数计算模块510、局部安全系数计算模块520、全局安全系数计算模块530、资产权重设置模块540、区域权重设置模块550、以及安全数据获取模块560中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图6示意性示出了根据本公开实施例的适于实现网络信息安全的评估的计算机系统600的框图。图6示出的计算机系统600仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图6所示,根据本公开实施例的计算机系统600包括处理器601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。处理器601例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器601还可以包括用于缓存用途的板载存储器。处理器601可以包括用于执行根据本公开实施例的网络信息安全的评估方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 603中,存储有计算机系统600操作所需的各种程序和数据。处理器601、ROM602以及RAM 603通过总线604彼此相连。处理器601通过执行ROM 602和/或RAM 603中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,程序也可以存储在除ROM602和RAM 603以外的一个或多个存储器中。处理器601也可以通过执行存储在一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,计算机系统600还可以包括输入/输出(I/O)接口605,输入/输出(I/O)接口605也连接至总线604。计算机系统600还可以包括连接至I/O接口605的以下部件中的一项或多项:包括键盘、鼠标等的输入部分606;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分607;包括硬盘等的存储部分608;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器610上,以便于从其上读出的计算机程序根据需要被安装入存储部分608。
根据本公开的一个实施例,输入部分606还可以包括一个或多个流量探针。一个或多个流浪探针布置于网络环境100中,用于接收网络环境100中的流量数据以形成流量日志。
根据本公开的实施例,根据本公开实施例的方法流程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分609从网络上被下载和安装,和/或从可拆卸介质611被安装。在该计算机程序被处理器601执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的网络信息安全的评估方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM 602和/或RAM 603和/或ROM 602和RAM 603以外的一个或多个存储器。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。
Claims (10)
1.一种网络信息安全的评估方法,包括:
基于网络环境中每个资产的资产权重和安全数据,计算每个资产的资产风险指数;
基于所述网络环境中每个区域所包括的N个资产中每个资产的所述资产风险指数和所述资产权重,计算每个区域的局部安全系数,其中,N为大于等于1的正整数;其中,所述网络环境被划分为M个区域,每个区域中的资产通过区域内部网络连接,不同区域之间通过区域间网络连接,其中M为大于等于1的正整数;以及
基于所述M个区域中每个区域的所述局部安全系数和区域权重,计算所述网络环境的全局安全系数。
2.根据权利要求1所述的评估方法,其中,所述安全数据包括资产产生的告警的置信度以及资产的脆弱性值,所述资产风险指数包括:
其中:
R为所述资产风险指数;
A为常数;
tn为资产产生的告警的置信度;
rh为资产的脆弱性值;
wp为资产的资产权重。
3.根据权利要求1所述的评估方法,其中,所述局部安全系数包括:
其中:
S为所述局部安全系数;
R1为所述N个资产的所述资产风险指数中的最大值;
为收敛系数,其中:Ri为按照从大到小对所述N个资产的所述资产风险指数排序后,排序为第i的所述资产风险指数,其中i为整数。
4.根据权利要求1所述的评估方法,其中,所述全局安全系数包括:
其中:
T为所述全局安全系数;
wj为所述M个区域中第j个区域的所述区域权重;
Sj为所述M个区域中第j个区域的所述局部安全系数。
5.根据权利要求1所述的评估方法,还包括:
基于所述网络环境中每个资产的重要性以及每个资产的资产属性,设置每个资产的所述资产权重;
基于所述M个区域中每个区域在所述网络环境的重要性,设置每个区域的所述区域权重。
6.根据权利要求1所述的评估方法,还包括:
获取所述网络环境的流量日志;
监控所述网络环境中每个资产的运行数据;以及
分析所述流量日志以及所述运行数据,获得每个资产的所述安全数据。
7.一种网络信息安全的评估装置,包括:
资产风险指数计算模块,用于基于网络环境中每个资产的资产权重和安全数据,计算每个资产的资产风险指数;
局部安全系数计算模块,用于基于所述网络环境中每个区域所包括的N个资产中每个资产的所述资产风险指数和所述资产权重,计算每个区域的局部安全系数,其中,N为大于等于1的正整数;其中,所述网络环境被划分为M个区域,每个区域中的资产通过区域内部网络连接,不同区域之间通过区域间网络连接,其中M为大于等于1的正整数;以及
全局安全系数计算模块,用于基于所述M个区域中每个区域的所述局部安全系数和区域权重,计算所述网络环境的全局安全系数。
8.一种网络信息安全的评估系统,包括:
一个或多个处理器;
一个或多个存储器,用于存储一个或多个程序,与所述一个或多个处理器耦接;
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行根据权利要求1~6任意一项所述的评估方法。
9.根据权利要求8所述的评估系统,还包括:
一个或多个流量探针,布置于所述网络环境中,用于接收所述网络环境中的流量数据以形成流量日志。
10.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器实现根据权利要求1~6任意一项所述的评估方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910287219.7A CN110166281A (zh) | 2019-04-10 | 2019-04-10 | 网络信息安全的评估方法、装置、系统及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910287219.7A CN110166281A (zh) | 2019-04-10 | 2019-04-10 | 网络信息安全的评估方法、装置、系统及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110166281A true CN110166281A (zh) | 2019-08-23 |
Family
ID=67639203
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910287219.7A Pending CN110166281A (zh) | 2019-04-10 | 2019-04-10 | 网络信息安全的评估方法、装置、系统及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110166281A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111178753A (zh) * | 2019-12-27 | 2020-05-19 | 重庆大学 | 一种面向信息服务的安全能力水平分级评估方法 |
| CN111178760A (zh) * | 2019-12-30 | 2020-05-19 | 成都烽创科技有限公司 | 风险监测方法、装置、终端设备及计算机可读存储介质 |
| CN111565184A (zh) * | 2020-04-29 | 2020-08-21 | 杭州安恒信息技术股份有限公司 | 一种网络安全评估装置、方法、设备及介质 |
| CN112784281A (zh) * | 2021-01-21 | 2021-05-11 | 恒安嘉新(北京)科技股份公司 | 一种工业互联网的安全评估方法、装置、设备及存储介质 |
| CN112989353A (zh) * | 2021-01-14 | 2021-06-18 | 新华三信息安全技术有限公司 | 一种区域安全评分方法及装置 |
| CN114095225A (zh) * | 2021-11-15 | 2022-02-25 | 中国电信股份有限公司 | 安全风险评估方法、装置及存储介质 |
| CN115242423A (zh) * | 2022-05-25 | 2022-10-25 | 中国交通信息科技集团有限公司 | 工业互联网安全态势展示系统 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101436967A (zh) * | 2008-12-23 | 2009-05-20 | 北京邮电大学 | 一种网络安全态势评估方法及其系统 |
| CN102624696A (zh) * | 2011-12-27 | 2012-08-01 | 中国航天科工集团第二研究院七〇六所 | 一种网络安全态势评估方法 |
| CN106713333A (zh) * | 2016-12-30 | 2017-05-24 | 北京神州绿盟信息安全科技股份有限公司 | 一种信息系统风险评估方法及装置 |
| CN106790198A (zh) * | 2016-12-30 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种信息系统风险评估方法及系统 |
| CN107370633A (zh) * | 2017-09-12 | 2017-11-21 | 西安邮电大学 | 基于节点权重的网络安全评估方法 |
| CN107819771A (zh) * | 2017-11-16 | 2018-03-20 | 国网湖南省电力有限公司 | 一种基于资产依赖关系的信息安全风险评估方法及系统 |
| CN108632081A (zh) * | 2018-03-26 | 2018-10-09 | 中国科学院计算机网络信息中心 | 网络态势评估方法、装置及存储介质 |
| CN108900541A (zh) * | 2018-08-10 | 2018-11-27 | 哈尔滨工业大学(威海) | 一种针对云数据中心sdn安全态势感知系统及方法 |
| CN109450956A (zh) * | 2018-12-29 | 2019-03-08 | 北京奇安信科技有限公司 | 网络安全性评估方法、系统、介质和计算设备 |
-
2019
- 2019-04-10 CN CN201910287219.7A patent/CN110166281A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101436967A (zh) * | 2008-12-23 | 2009-05-20 | 北京邮电大学 | 一种网络安全态势评估方法及其系统 |
| CN102624696A (zh) * | 2011-12-27 | 2012-08-01 | 中国航天科工集团第二研究院七〇六所 | 一种网络安全态势评估方法 |
| CN106713333A (zh) * | 2016-12-30 | 2017-05-24 | 北京神州绿盟信息安全科技股份有限公司 | 一种信息系统风险评估方法及装置 |
| CN106790198A (zh) * | 2016-12-30 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种信息系统风险评估方法及系统 |
| CN107370633A (zh) * | 2017-09-12 | 2017-11-21 | 西安邮电大学 | 基于节点权重的网络安全评估方法 |
| CN107819771A (zh) * | 2017-11-16 | 2018-03-20 | 国网湖南省电力有限公司 | 一种基于资产依赖关系的信息安全风险评估方法及系统 |
| CN108632081A (zh) * | 2018-03-26 | 2018-10-09 | 中国科学院计算机网络信息中心 | 网络态势评估方法、装置及存储介质 |
| CN108900541A (zh) * | 2018-08-10 | 2018-11-27 | 哈尔滨工业大学(威海) | 一种针对云数据中心sdn安全态势感知系统及方法 |
| CN109450956A (zh) * | 2018-12-29 | 2019-03-08 | 北京奇安信科技有限公司 | 网络安全性评估方法、系统、介质和计算设备 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111178753A (zh) * | 2019-12-27 | 2020-05-19 | 重庆大学 | 一种面向信息服务的安全能力水平分级评估方法 |
| CN111178760A (zh) * | 2019-12-30 | 2020-05-19 | 成都烽创科技有限公司 | 风险监测方法、装置、终端设备及计算机可读存储介质 |
| CN111565184A (zh) * | 2020-04-29 | 2020-08-21 | 杭州安恒信息技术股份有限公司 | 一种网络安全评估装置、方法、设备及介质 |
| CN112989353A (zh) * | 2021-01-14 | 2021-06-18 | 新华三信息安全技术有限公司 | 一种区域安全评分方法及装置 |
| CN112784281A (zh) * | 2021-01-21 | 2021-05-11 | 恒安嘉新(北京)科技股份公司 | 一种工业互联网的安全评估方法、装置、设备及存储介质 |
| CN114095225A (zh) * | 2021-11-15 | 2022-02-25 | 中国电信股份有限公司 | 安全风险评估方法、装置及存储介质 |
| CN115242423A (zh) * | 2022-05-25 | 2022-10-25 | 中国交通信息科技集团有限公司 | 工业互联网安全态势展示系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110166281A (zh) | 网络信息安全的评估方法、装置、系统及介质 | |
| US10719882B2 (en) | Systems and methods for certified location data collection, management, and utilization | |
| US11321305B2 (en) | Utilizing independently stored validation keys to enable auditing of instrument measurement data maintained in a blockchain | |
| JP6621940B2 (ja) | ネットワーク化コンピュータシステムアーキテクチャにおけるセキュリティリスクを低減させるための方法および装置 | |
| CN103258165B (zh) | 漏洞测评的处理方法和装置 | |
| US10417592B2 (en) | Resource allocation and risk modeling for geographically distributed assets | |
| Alenezi et al. | A framework for cloud forensic readiness in organizations | |
| AU2015339456A1 (en) | System and method for automatic calculation of cyber-risk in business- critical applications | |
| CN109729083B (zh) | 智能巡检方法、装置、设备及介质 | |
| CN105556526A (zh) | 分层威胁智能 | |
| Hejase et al. | Time‐Series Regression Model for Prediction of Mean Daily Global Solar Radiation in Al‐Ain, UAE | |
| CN109656812A (zh) | 数据质量检测方法、装置及存储介质 | |
| CN110033261A (zh) | 区块链数据处理方法、装置及系统 | |
| Wang et al. | A suite of metrics for network attack graph analytics | |
| Tuzkaya et al. | An integrated methodology for the emergency logistics centers location selection problem and its application for the Turkey case | |
| Izurieta et al. | Leveraging secdevops to tackle the technical debt associated with cybersecurity attack tactics | |
| WO2019062192A1 (zh) | 业务员行为风险甄别管理方法、应用服务器及计算机可读存储介质 | |
| CN104850797B (zh) | 设备安全管理方法及装置 | |
| Vafadari et al. | Damage assessment and monitoring of cultural heritage places in a disaster and post-disaster event–a case study of Syria | |
| US12015647B2 (en) | System and method for securing computer infrastructure and devices that depend on cloud platforms | |
| Rodero Castro et al. | Architecting the cyberinfrastructure for national science foundation ocean observatories initiative (OOI) | |
| CN113609493A (zh) | 钓鱼网站的识别方法、装置、设备及介质 | |
| CN114971180A (zh) | 网络系统风险评估方法、装置、计算机设备和存储介质 | |
| CN104572456B (zh) | 数据采集方法和装置 | |
| Wibowo et al. | Faux Insider Hazard Investigation on Non-Public Cloud Computing by Using ADAM’s Technique |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190823 |
|
| RJ01 | Rejection of invention patent application after publication |