CN112560046B - 一种业务数据安全指数的评估方法及装置 - Google Patents
一种业务数据安全指数的评估方法及装置 Download PDFInfo
- Publication number
- CN112560046B CN112560046B CN202011468109.XA CN202011468109A CN112560046B CN 112560046 B CN112560046 B CN 112560046B CN 202011468109 A CN202011468109 A CN 202011468109A CN 112560046 B CN112560046 B CN 112560046B
- Authority
- CN
- China
- Prior art keywords
- index
- data
- risk
- business data
- threat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Entrepreneurship & Innovation (AREA)
- Physics & Mathematics (AREA)
- Strategic Management (AREA)
- General Physics & Mathematics (AREA)
- Economics (AREA)
- Development Economics (AREA)
- Educational Administration (AREA)
- Game Theory and Decision Science (AREA)
- Computing Systems (AREA)
- Marketing (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了一种业务数据安全指数的评估方法及装置。包括:获取目标业务方内全部的业务数据;根据目标业务方的安全特性及数据重要程度,对业务数据进行等级划分,得到多个等级业务数据;根据目标业务方的安全特性,对多个等级业务数据进行脆弱指标分析,得到多个等级业务数据的脆弱指数;根据目标业务方的安全特性,对多个等级业务数据进行威胁指标分析,得到多个等级业务数据的威胁指数;将多个等级业务数据、脆弱指数和威胁指数输入至风险评估模型,获取由风险评估模型输出的多个等级业务数据中单个业务数据的数据风险指数;根据所有业务数据的数据风险指数,确定目标业务方内业务数据的安全指数。本申请可以提高企业数据的安全评估能力。
Description
技术领域
本申请涉及数据安全评估技术领域,特别是涉及一种业务数据安全指数的评估方法及装置。
背景技术
从宏观层面看,工业互联网通过工业经济全要素、全产业链、全价值链的全面连接,支撑制造业数字化、网络化、智能化转型,不断催生新模式、新业态、新产业,重塑工业生产制造和服务体系,实现工业经济高质量发展。从技术层面看,工业互联网是新型网络、先进计算、大数据、人工智能等新一代信息通信技术与制造技术融合的新型工业数字化系统,它广泛连接人、机、物等各类生产要素,构建支撑海量工业数据管理、建模与分析的数字化平台,提供端到端的安全保障,以此驱动制造业的智能化发展,引发制造模式、服务模式与商业模式的创新变革。
数据安全风险评估是数据安全保障机制建立过程中的重要评价方法和决策机制,已成为衡量工业互联网数据资产安全性的一个重要环节。数据安全风险评估是依据有关数据安全技术及管理标准,对数据采集、数据传输、数据存储、数据处理、数据交换和数据销毁等数据生命周期各个阶段中数据资产的机密性、完整性和可用性等安全属性进行评价的过程。
网络安全风险评估技术,目前业界网络安全风险评估是从物理环境、网络通信、区域边界、计算环境、安全管理中心角度,评估网络安全整体情况。这种方式评估方式,在数据成为企业核心资产、生产力要素的情况下,不能满足对数据安全风险态势细粒度评估的要求。
其中物理环境安全评估以评估物理环境的地理位置选择、人员访问控制、防盗窃防破坏、防雷击防火防水防潮、防静电以及温湿度控制、电力电磁防护为主。网络通信安全评估以网络架构满足业务需求、通信保密性为主。区域边界安全评估以边界防护、入侵防范、恶意代码垃圾邮件为主。计算环境安全评估以身份鉴别、入侵防范、恶意代码为主。安全管理中心评估以系统管理、审计管理、集中管控为主。
上述安全评估措施虽然在网络通信安全中提到保密性,在计算环境安全评估中提供了身份鉴别,涉及了数据安全评估的内容,但是整体上以防灾、防病毒、综合网络安全管控为主。对于数据安全风险态势的评估能力明显不足。
发明内容
本申请提供一种业务数据安全指数的评估方法及装置,以解决现有技术中的数据安全风险态势的评估能力不足的问题。
为了解决上述问题,本申请实施例提供了一种业务数据安全指数的评估方法,包括:
获取目标业务方内全部的业务数据;
根据所述目标业务方的安全特性及数据重要程度,对所述业务数据进行等级划分,得到所述业务数据对应的多个等级业务数据;
根据所述目标业务方的安全特性,对所述多个等级业务数据进行脆弱指标分析,得到所述多个等级业务数据对应的脆弱指数;
根据所述目标业务方的安全特性,对所述多个等级业务数据进行威胁指标分析,得到所述多个等级业务数据对应的威胁指数;
将所述多个等级业务数据、所述脆弱指数和所述威胁指数输入至预先训练好的风险评估模型,并获取由所述风险评估模型输出的所述多个等级业务数据中单个业务数据的数据风险指数;
根据所有业务数据对应的数据风险指数,确定所述目标业务方内业务数据的安全指数。
可选地,所述将所述多个等级业务数据、所述脆弱指数和所述威胁指数输入至预先训练好的风险评估模型,并获取由所述风险评估模型输出的所述多个等级业务数据中单个业务数据的数据风险指数,包括:
针对所述多个等级业务数据中的单个业务数据,将所述单个业务数据、所述等级业务数据对应的脆弱指数及所述等级业务数据对应的威胁指数输入至所述风险评估模型;
通过所述风险评估模型根据所述脆弱指数、所述威胁指数和每个所述等级业务数据对应的权重对所述单个业务数据进行识别,得到所述单个业务数据的初始数据风险指数;
根据所述初始风险指数,确定每个所述等级业务数据中单个业务数据的数据风险指数。
可选地,所述通过所述风险评估模型根据所述脆弱指数、所述威胁指数和每个所述等级业务数据对应的权重对所述单个业务数据进行识别,得到所述单个业务数据的初始数据风险指数,包括:
通过所述风险评估模型根据所述脆弱指数、所述威胁指数和每个所述等级业务数据对应的权重对所述单个业务数据进行识别,确定所述单个业务数据对应的损害程度指数、再现指数、可利用指数、用户影响指数、可发现指数和数据价值指数;
将所述损害程度指数、所述再现指数、所述可利用指数、所述用户影响指数、所述可发现指数和所述数据价值指数,作为所述单个业务数据的初始数据风险指数。
可选地,所述根据所述初始风险指数,确定每个所述等级业务数据中单个业务数据的数据风险指数,包括:
计算得到所述单个业务数据的所述损害程度指数、所述再现指数、所述可利用指数、所述用户影响指数和所述可发现指数的指数平均值;
根据所述指数平均值和所述数据价值指数的乘积,确定所述单个业务数据的数据风险指数。
可选地,所述脆弱指标包括:技术脆弱指标和管理脆弱指标,其中,
所述技术脆弱指标包括:物理环境脆弱指标、通信网络脆弱指标、区域边界脆弱指标、计算环境脆弱指标和管理中心脆弱指标;
所述管理脆弱指标包括:管理制度脆弱性、管理机构脆弱性、管理人员脆弱性、建设管理脆弱性和运维管理脆弱指标。
可选地,所述威胁指标包括:假冒类威胁指标、篡改类威胁指标、否认类威胁指标、信息泄露类威胁指标、拒绝服务类威胁和权限提升类威胁。
为了解决上述技术问题,本申请实施例还提供了一种业务数据安全指数的评估装置,包括:
业务数据获取模块,用于获取目标业务方内全部的业务数据;
等级业务数据获取模块,用于根据所述目标业务方的安全特性及数据重要程度,对所述业务数据进行等级划分,得到所述业务数据对应的多个等级业务数据;
脆弱指数获取模块,用于根据所述目标业务方的安全特性,对所述多个等级业务数据进行脆弱指标分析,得到所述多个等级业务数据对应的脆弱指数;
威胁指数获取模块,用于根据所述目标业务方的安全特性,对所述多个等级业务数据进行威胁指标分析,得到所述多个等级业务数据对应的威胁指数;
风险指数获取模块,用于将所述多个等级业务数据、所述脆弱指数和所述威胁指数输入至预先训练好的风险评估模型,并获取由所述风险评估模型输出的所述多个等级业务数据中单个业务数据的数据风险指数;
安全指数确定模块,用于根据所有业务数据对应的数据风险指数,确定所述目标业务方内业务数据的安全指数。
可选地,所述风险指数获取模块包括:
业务数据输入单元,用于针对所述多个等级业务数据中的单个业务数据,将所述单个业务数据、所述等级业务数据对应的脆弱指数及所述等级业务数据对应的威胁指数输入至所述风险评估模型;
初始风险指数获取单元,用于通过所述风险评估模型根据所述脆弱指数、所述威胁指数和每个所述等级业务数据对应的权重对所述单个业务数据进行识别,得到所述单个业务数据的初始数据风险指数;
数据风险指数确定单元,用于根据所述初始风险指数,确定每个所述等级业务数据中单个业务数据的数据风险指数。
可选地,所述初始风险指数获取单元包括:
业务数据指数确定子单元,用于通过所述风险评估模型根据所述脆弱指数、所述威胁指数和每个所述等级业务数据对应的权重对所述单个业务数据进行识别,确定所述单个业务数据对应的损害程度指数、再现指数、可利用指数、用户影响指数、可发现指数和数据价值指数;
初始风险指数获取子单元,用于将所述损害程度指数、所述再现指数、所述可利用指数、所述用户影响指数、所述可发现指数和所述数据价值指数,作为所述单个业务数据的初始数据风险指数。
可选地,所述数据风险指数确定单元包括:
指数平均值计算子单元,用于计算得到所述单个业务数据的所述损害程度指数、所述再现指数、所述可利用指数、所述用户影响指数和所述可发现指数的指数平均值;
数据风险指数确定子单元,用于根据所述指数平均值和所述数据价值指数的乘积,确定所述单个业务数据的数据风险指数。
可选地,所述脆弱指标包括:技术脆弱指标和管理脆弱指标,其中,
所述技术脆弱指标包括:物理环境脆弱指标、通信网络脆弱指标、区域边界脆弱指标、计算环境脆弱指标和管理中心脆弱指标;
所述管理脆弱指标包括:管理制度脆弱性、管理机构脆弱性、管理人员脆弱性、建设管理脆弱性和运维管理脆弱指标。
可选地,所述威胁指标包括:假冒类威胁指标、篡改类威胁指标、否认类威胁指标、信息泄露类威胁指标、拒绝服务类威胁和权限提升类威胁。
与现有技术相比,本申请包括以下优点:
本申请实施例提供了一种业务数据安全指数的评估方法及装置,通过获取目标业务方内全部的业务数据,根据目标业务方的安全特性及数据重要程度,对业务数据进行等级划分,得到业务数据对应的多个等级业务数据,根据目标业务方的安全特性,对多个等级业务数据进行脆弱指标分析,得到多个等级业务数据对应的脆弱指数,根据目标业务方的安全特性,对多个等级业务数据进行威胁指标分析,得到多个等级业务数据对应的威胁指数,将多个等级业务数据、脆弱指数和威胁指数输入至预先训练好的风险评估模型,并获取由风险评估模型输出的多个等级业务数据中单个业务数据的数据风险指数,根据所有业务数据对应的数据风险指数,确定目标业务方内业务数据的安全指数。本申请实施例通过结合风险评估模型、脆弱指标和威胁指标对企业的业务数据进行评估,能够提高企业数据的安全评估能力。
附图说明
图1为本申请实施例提供的一种业务数据安全指数的评估方法的步骤流程图;
图2为本申请实施例提供的另一种业务数据安全指数的评估方法的步骤流程图;
图2a为本申请实施例提供的一种数据安全风险评估模型的示意图;
图2b为本申请实施例提供的一种结构化数据的示意图;
图2c为本申请实施例提供的一种非结构化数据的示意图;
图2d为本申请实施例提供的一种定义结构化数据价值的示意图;
图2e为本申请实施例提供的一种定义非结构化数据价值的示意图;
图2f为本申请实施例提供的一种定义结构化数据的威胁指数的示意图;
图2g为本申请实施例提供的一种定义结构化数据的脆弱指数的示意图;
图2h为本申请实施例提供的一种基于风险计算模型获取结构化数据的安全风险指数的示意图;
图2i为本申请实施例提供的一种计算结构化数据的安全风险指数的示意图;
图3为本申请实施例提供的一种业务数据安全指数的评估装置的结构示意图;
图4为本申请实施例提供的另一种业务数据安全指数的评估装置的结构示意图。
具体实施方式
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本申请作进一步详细的说明。
实施例一
参照图1,示出了本申请实施例提供的一种业务数据安全指数的评估方法的步骤流程图,如图1所示,该业务数据安全指数的评估方法具体可以包括如下步骤:
步骤101:获取目标业务方内全部的业务数据。
本申请实施例可以应用于对企业内数据的安全风险指数进行评估的场景中。
目标业务方是指需要进行数据安全性评估的业务方,在本实施例中,目标业务方可以为一个企业,如工厂等大小型企业等,具体地,可以根据业务需求而定,本申请实施例对此不加以限制。
业务数据即企业数据,是指目标业务方内的数据,在本示例中,业务数据可以包括企业内人员数据、财务数据、生产材料数据、工作汇报数据等等,具体地,可以根据具体情况而定,本实施例对此不加以限制。
在本示例中,业务数据可以划分为结构化数据和非结构化数据。
结构化数据是指关系型数据库中的库表,把关系型数据库中的每张库表看作一个数据对象,由若干个库表组成的数据。如图2b所示,结构化数据可以包括人员表、入库单表、出库单表、原料表和辅料表等。
非结构化数据包括分布在终端和文档服务器中各种类型的文件以及系统运行产生的日志等数据。如图2c所示,非结构化数据可以包括:管理制度、工艺流程、业务报表、工作汇报和运行日志等数据。
可以理解地,上述示例仅是为了更好地理解本申请实施例的技术方案而列举的示例,不作为对本实施例的唯一限制。
在需要对目标业务方内的业务数据的安全风险指数进行评估时,可以获取目标业务方内全部的业务数据,具体地,可以通过终端扫描工具、服务器扫描工具,发现存储在终端、文档服务器上的文件等方式,以得到目标业务方内全部的业务数据。
在本示例中,可以预先设置数据清单,其中,数据清单可以包括数据一级分类、数据二级分类、数据资产名称、数据资产编码、数据标签、所属网络、所属业务系统、归口业务部门、使用角色、合规要求、公开范围、影响业务、影响对象等属性。数据管理为用户提供行业侧数据分类分级管理界面,包括定义数据分类树状结构,定义数据分级树状结构,定义树结构中各个层级的内容。
在获取到目标业务方内全部的业务数据之后,执行步骤102。
步骤102:根据所述目标业务方的安全特性及数据重要程度,对所述业务数据进行等级划分,得到所述业务数据对应的多个等级业务数据。
等级业务数据是指将目标业务方内的业务数据进行等级划分得到的不同等级的业务数据,在本实施例中,不同等级的业务数据可以体现数据对目标业务方的价值,在本实施例中,等级业务数据可以分为高价值数据、中价值数据和低价值数据。
其中,高价值数据是指数据泄漏会造成企业重大损失的数据,在本示例中,高价值数据可以包括企业财务数据、工艺路线数据、工艺配方数据、个人隐私数据、企业原料库存数据等。
中价值数据是指数据泄露会造成企业较大损失的数据,在本示例中,中价值数据可以包括企业设备数据、企业配件数据、企业辅料库存数据等数据。
低价值数据是指数据泄露不会造成企业损失的数据,在本示例中,低价值数据可以包括经过脱敏的数据、企业要依法公开的数据等。
可以理解地,上述示例仅是为了更好地理解本申请实施例的技术方案而列举的示例,不作为对本实施例的唯一限制。
在获取到目标业务方内全部的业务数据之后,可以根据目标业务方的安全特性和数据重要程度对全部的业务数据进行等级划分,以得到业务数据对应的多个等级业务数据。对于结构化数据,在得到多个等级业务数据之后,可以对结构化数据进行等级标记,如图2d所示,结构化数据可以包括如图2d所示5个数据表中的数据,其中,人员表、入库单表和出库单表中的表数据标记为高,表示这3个表中存储的是高价值数据;原料表和辅料表中的表数据标记为中,表示这2个表中存储的是中价值数据。对于非结构化数据,在得到多个等级业务数据之后,可以对非结构化数据进行等级标记,如图2e所示,非结构化数据可以包括如图2e所示6种数据,其中,工艺流程、工艺配方、辅料库材料类数据标记为高,表示这3种数据为高价值数据;备品备件材料类数据标记为中,表示该种数据为中价值数据;市场材料和依法公开材料类数据标记为低,表示这2种数据为低价值数据等。
可以理解地,上述示例仅是为了更好地理解本申请实施例的技术方案而列举的示例,不作为对本实施例的唯一限制。
在根据目标业务方的安全特性和数据重要程度对全部的业务数据进行等级划分得到业务数据对应的多个等级业务数据之后,执行步骤103和步骤104。
步骤103:根据所述目标业务方的安全特性,对所述多个等级业务数据进行脆弱指标分析,得到所述多个等级业务数据对应的脆弱指数。
在本实施例中,根据工业互联网的安全特性,脆弱指标可以包括技术脆弱指标和管理脆弱指标。其中,技术脆弱指标可以包括物理环境脆弱指标、通信网络脆弱指标、区域边界脆弱指标、计算环境脆弱指标和管理中心脆弱指标。管理脆弱指标可以包括:管理制度脆弱性、管理机构脆弱性、管理人员脆弱性、建设管理脆弱性和运维管理脆弱指标。
脆弱指数指示了由于目标业务方的物理环境、网络结构、通信线路和软件系统的漏洞或受到攻击进而对数据产生威胁的指数。
在获取到目标业务方内全部的业务数据进行等级划分得到多个等级业务数据之后,可以根据目标业务方的安全特性对多个等级业务数据进行脆弱指标分析,以得到多个等级业务数据对应的脆弱指数,在经过对企业数据进行脆弱性分析后,可以形成如下表1(数据已脱敏)所示:
表1:
步骤104:根据所述目标业务方的安全特性,对所述多个等级业务数据进行威胁指标分析,得到所述多个等级业务数据对应的威胁指数。
在本实施例中,威胁指标可以包括假冒类威胁指标、篡改类威胁指标、否认类威胁指标、信息泄露类威胁指标、拒绝服务类威胁和权限提升类威胁。
威胁指数指示了由于目标业务方的物理环境、网络结构、通信线路和软件系统的漏洞或受到攻击进而对数据产生威胁的指数。
在获取到目标业务方内全部的业务数据进行等级划分得到多个等级业务数据之后,可以根据目标业务方的安全特性对多个等级业务数据进行威胁指标分析,以得到多个等级业务数据对应的威胁指数,在经过对企业数据进行威胁性分析后,可以形成如下表2(数据已脱敏)所示:
表2:
在本实施例中,对于结构化数据而言,在对结构化数据进行等级划分之后,可以对结构化数据进行威胁性分析,得到对每种结构化数据产生威胁的原因,如图2f所示,对于人员表数据而言,该表数据为高价值数据,在根据目标业务方的安全特性对该表数据进行威胁分析之后,对该表数据产生威胁的威胁指标可以包括:篡改、抵赖、信息泄露和仿冒,其中,篡改指标的风险成因为:数据存储时,人员信息非法修改;抵赖指标的风险成因为:数据在系统中被修改后,操作人员不承认此操作;信息泄露指标的风险成因为:数据经操作系统泄露到外网;仿冒指标的风险成因为:非法用户假冒合法,使用数据等。在对结构化数据进行威胁性分析之后,可以对每种结构化数据进行脆弱性分析,得到每种结构化数据产生威胁的脆弱指标,如图2g所示。
风险计算模型管理是以库表为核心,建立数据资产价值、威胁、脆弱性与风险计算模型要素间的对应关系。
步骤105:将所述多个等级业务数据、所述脆弱指数和所述威胁指数输入至预先训练好的风险评估模型,并获取由所述风险评估模型输出的所述多个等级业务数据中单个业务数据的数据风险指数。
数据风险指数可以用于指示单个业务数据可能产生泄露的风险值。
在得到多个等级业务数据、每个等级业务数据的脆弱指数和每个等级业务数据的威胁指数之后,可以将多个等级业务数据、威胁指数和脆弱指数输入至预先训练好的风险评估模型,并获取由风险评估模型输出的多个等级业务数据中单个业务数据的数据风险指数。
在本示例中,风险评估模型可以为微软提出的DREAD-V模型计算基础风险值。DREAD-V模型是一种对每个被评估的威胁进行量化、比较并划分严重等级的风险判定方案。
在本实施例中,可以包括六个指数的风险计算点,分别为:损害程度指数、再现指数、可利用指数、用户影响指数、可发现指数和数据价值指数,对于这六个指数将在下述实施例中进行详细描述,本实施例在此不再加以赘述。
在获取多个等级业务数据、每个等级业务数据的脆弱指数和每个等级业务数据的威胁指数之后,可以将多个等级业务数据、每个等级业务数据的脆弱指数和每个等级业务数据的威胁指数输入至预先训练好的风险评估模型,以获取由风险评估模型输出的多个等级业务数据中单个业务数据的数据风险指数。
在获取到由风险评估模型输出的多个等级业务数据中单个业务数据的数据风险指数之后,执行步骤106。
步骤106:根据所有业务数据对应的数据风险指数,确定所述目标业务方内业务数据的安全指数。
安全指数是指用于指示企业内业务数据的安全性能的指数,该安全指数即可以表示企业数据存在泄漏的风险程度。
在获取到单个业务数据的数据风险指数之后,可以根据目标业务方内所有业务数据的数据风险指数,计算得到目标业务方内业务数据的安全指数。具体地,可以结合下述公式(1)计算得到目标业务方内业务数据的安全指数:
上述公式(1)中,f(x)为安全指数,x为目标业务方内所有企业数据的数量,R为单个业务数据的数据风险指数,n为单个业务数据的序号。
本申请实施例通过结合风险评估模型、脆弱指标和威胁指标对企业的业务数据进行评估,能够提高企业数据的安全评估能力。
本申请实施例提供的业务数据安全指数的评估方法,通过获取目标业务方内全部的业务数据,根据目标业务方的安全特性及数据重要程度,对业务数据进行等级划分,得到业务数据对应的多个等级业务数据,根据目标业务方的安全特性,对多个等级业务数据进行脆弱指标分析,得到多个等级业务数据对应的脆弱指数,根据目标业务方的安全特性,对多个等级业务数据进行威胁指标分析,得到多个等级业务数据对应的威胁指数,将多个等级业务数据、脆弱指数和威胁指数输入至预先训练好的风险评估模型,并获取由风险评估模型输出的多个等级业务数据中单个业务数据的数据风险指数,根据所有业务数据对应的数据风险指数,确定目标业务方内业务数据的安全指数。本申请实施例通过结合风险评估模型、脆弱指标和威胁指标对企业的业务数据进行评估,能够提高企业数据的安全评估能力。
实施例二
参照图2,示出了本申请实施例提供的另一种业务数据安全指数的评估方法的步骤流程图,如图2所示,该业务数据安全指数的评估方法具体可以包括如下步骤:
步骤201:获取目标业务方内全部的业务数据。
本申请实施例可以应用于对企业内数据的安全风险指数进行评估的场景中。
目标业务方是指需要进行数据安全性评估的业务方,在本实施例中,目标业务方可以为一个企业,如工厂等大小型企业等,具体地,可以根据业务需求而定,本申请实施例对此不加以限制。
业务数据即企业数据,是指目标业务方内的数据,在本示例中,业务数据可以包括企业内人员数据、财务数据、生产材料数据、工作汇报数据等等,具体地,可以根据具体情况而定,本实施例对此不加以限制。
在本示例中,业务数据可以划分为结构化数据和非结构化数据。
结构化数据是指关系型数据库中的库表,把关系型数据库中的每张库表看作一个数据对象,由若干个库表组成的数据。如图2b所示,结构化数据可以包括人员表、入库单表、出库单表、原料表和辅料表等。
非结构化数据包括分布在终端和文档服务器中各种类型的文件以及系统运行产生的日志等数据。如图2c所示,非结构化数据可以包括:管理制度、工艺流程、业务报表、工作汇报和运行日志等数据。
可以理解地,上述示例仅是为了更好地理解本申请实施例的技术方案而列举的示例,不作为对本实施例的唯一限制。
在需要对目标业务方内的业务数据的安全风险指数进行评估时,可以获取目标业务方内全部的业务数据,具体地,可以通过终端扫描工具、服务器扫描工具,发现存储在终端、文档服务器上的文件等方式,以得到目标业务方内全部的业务数据。
在本示例中,可以预先设置数据清单,其中,数据清单可以包括数据一级分类、数据二级分类、数据资产名称、数据资产编码、数据标签、所属网络、所属业务系统、归口业务部门、使用角色、合规要求、公开范围、影响业务、影响对象等属性。数据管理为用户提供行业侧数据分类分级管理界面,包括定义数据分类树状结构,定义数据分级树状结构,定义树结构中各个层级的内容。
在获取到目标业务方内全部的业务数据之后,执行步骤202。
步骤202:根据所述目标业务方的安全特性及数据重要程度,对所述业务数据进行等级划分,得到所述业务数据对应的多个等级业务数据。
等级业务数据是指将目标业务方内的业务数据进行等级划分得到的不同等级的业务数据,在本实施例中,不同等级的业务数据可以体现数据对目标业务方的价值,在本实施例中,等级业务数据可以分为高价值数据、中价值数据和低价值数据。
其中,高价值数据是指数据泄漏会造成企业重大损失的数据,在本示例中,高价值数据可以包括企业财务数据、工艺路线数据、工艺配方数据、个人隐私数据、企业原料库存数据等。
中价值数据是指数据泄露会造成企业较大损失的数据,在本示例中,中价值数据可以包括企业设备数据、企业配件数据、企业辅料库存数据等数据。
低价值数据是指数据泄露不会造成企业损失的数据,在本示例中,低价值数据可以包括经过脱敏的数据、企业要依法公开的数据等。
可以理解地,上述示例仅是为了更好地理解本申请实施例的技术方案而列举的示例,不作为对本实施例的唯一限制。
在获取到目标业务方内全部的业务数据之后,可以根据目标业务方的安全特性和数据重要程度对全部的业务数据进行等级划分,以得到业务数据对应的多个等级业务数据。对于结构化数据,在得到多个等级业务数据之后,可以对结构化数据进行等级标记,如图2d所示,结构化数据可以包括如图2d所示5个数据表中的数据,其中,人员表、入库单表和出库单表中的表数据标记为高,表示这3个表中存储的是高价值数据;原料表和辅料表中的表数据标记为中,表示这2个表中存储的是中价值数据。对于非结构化数据,在得到多个等级业务数据之后,可以对非结构化数据进行等级标记,如图2e所示,非结构化数据可以包括如图2e所示6种数据,其中,工艺流程、工艺配方、辅料库材料类数据标记为高,表示这3种数据为高价值数据;备品备件材料类数据标记为中,表示该种数据为中价值数据;市场材料和依法公开材料类数据标记为低,表示这2种数据为低价值数据等。
可以理解地,上述示例仅是为了更好地理解本申请实施例的技术方案而列举的示例,不作为对本实施例的唯一限制。
在根据目标业务方的安全特性和数据重要程度对全部的业务数据进行等级划分得到业务数据对应的多个等级业务数据之后,执行步骤203和步骤204。
步骤203:根据所述目标业务方的安全特性,对所述多个等级业务数据进行脆弱指标分析,得到所述多个等级业务数据对应的脆弱指数。
在本实施例中,根据工业互联网的安全特性,脆弱指标可以包括技术脆弱指标和管理脆弱指标。其中,技术脆弱指标可以包括物理环境脆弱指标、通信网络脆弱指标、区域边界脆弱指标、计算环境脆弱指标和管理中心脆弱指标。管理脆弱指标可以包括:管理制度脆弱性、管理机构脆弱性、管理人员脆弱性、建设管理脆弱性和运维管理脆弱指标。
脆弱指数指示了由于目标业务方的物理环境、网络结构、通信线路和软件系统的漏洞或受到攻击进而对数据产生威胁的指数。
在获取到目标业务方内全部的业务数据进行等级划分得到多个等级业务数据之后,可以根据目标业务方的安全特性对多个等级业务数据进行脆弱指标分析,以得到多个等级业务数据对应的脆弱指数,在经过对企业数据进行脆弱性分析后,可以形成如下表3(数据已脱敏)所示:
表3:
步骤204:根据所述目标业务方的安全特性,对所述多个等级业务数据进行威胁指标分析,得到所述多个等级业务数据对应的威胁指数。
在本实施例中,威胁指标可以包括假冒类威胁指标、篡改类威胁指标、否认类威胁指标、信息泄露类威胁指标、拒绝服务类威胁和权限提升类威胁。
威胁指数指示了由于目标业务方的物理环境、网络结构、通信线路和软件系统的漏洞或受到攻击进而对数据产生威胁的指数。
在获取到目标业务方内全部的业务数据进行等级划分得到多个等级业务数据之后,可以根据目标业务方的安全特性对多个等级业务数据进行威胁指标分析,以得到多个等级业务数据对应的威胁指数,在经过对企业数据进行威胁性分析后,可以形成如下表4(数据已脱敏)所示:
表4:
在本实施例中,对于结构化数据而言,在对结构化数据进行等级划分之后,可以对结构化数据进行威胁性分析,得到对每种结构化数据产生威胁的原因,如图2f所示,对于人员表数据而言,该表数据为高价值数据,在根据目标业务方的安全特性对该表数据进行威胁分析之后,对该表数据产生威胁的威胁指标可以包括:篡改、抵赖、信息泄露和仿冒,其中,篡改指标的风险成因为:数据存储时,人员信息非法修改;抵赖指标的风险成因为:数据在系统中被修改后,操作人员不承认此操作;信息泄露指标的风险成因为:数据经操作系统泄露到外网;仿冒指标的风险成因为:非法用户假冒合法,使用数据等。在对结构化数据进行威胁性分析之后,可以对每种结构化数据进行脆弱性分析,得到每种结构化数据产生威胁的脆弱指标,如图2g所示。
风险计算模型管理是以库表为核心,建立数据资产价值、威胁、脆弱性与风险计算模型要素间的对应关系。
步骤205:针对所述多个等级业务数据中的单个业务数据,将所述单个业务数据、所述等级业务数据对应的脆弱指数及所述等级业务数据对应的威胁指数输入至所述风险评估模型。
风险评估模型是指用于预测单个业务数据的数据风险指数的模型,在本示例中,风险评估模型可以为微软提出的DREAD-V模型计算基础风险值。DREAD-V模型是一种对每个被评估的威胁进行量化、比较并划分严重等级的风险判定方案。
在获取到多个等级业务数据、每个等级业务数据的脆弱指数和每个等级业务数据的威胁指数之后,可以针对多个等级业务数据中的单个业务数据,将单个业务数据、等级业务数据对应的脆弱指数和威胁指数输入至风险评估模型,具体地,可以如图2a所示,在获取到目标业务方内的业务数据之后,可以进行威胁识别(即包含仿冒、篡改、抵赖、拒绝服务、信息泄露、提升权限)、脆弱性识别(即包含技术脆弱性和管理脆弱性)和数据价值划分(分为高价值、中价值和低价值),然后,这三项作为风险评估模型的输入,结合数据权重评估单个业务数据的数据风险指数。
在将单个业务数据、等级业务数据对应的脆弱指数和威胁指数输入至风险评估模型之后,执行步骤206。
步骤206:通过所述风险评估模型根据所述脆弱指数、所述威胁指数和每个所述等级业务数据对应的权重对所述单个业务数据进行识别,得到所述单个业务数据的初始数据风险指数。
初始风险指数是指通过风险评估模型输出的单个业务数据的风险指数。
在将单个业务数据、等级业务数据对应的脆弱指数和威胁指数输入至风险评估模型之后,可以通过风险评估模型根据单个业务数据、等级业务数据对应的脆弱指数、威胁指数和每个等级业务数据对应的权重,对单个业务数据进行识别,得到单个业务数据的初始数据风险指数。对于该识别过程可以结合下述具体实现方式进行详细描述。
在本申请的一种具体实现方式中,上述步骤206可以包括:
子步骤A1:通过所述风险评估模型根据所述脆弱指数、所述威胁指数和每个所述等级业务数据对应的权重对所述单个业务数据进行识别,确定所述单个业务数据对应的损害程度指数、再现指数、可利用指数、用户影响指数、可发现指数和数据价值指数。
在本实施例中,单个业务数据的风险识别指数可以包括:损害程度指数、再现指数、可利用指数、用户影响指数、可发现指数和数据价值指数,其中,
损害程度指数是指某个威胁成功产生安全事件将带来的危害程度。
损害程度指数可以划分为三个级别,如图下述表5所示:
表5:
权重为1,表示不会造成任何危害; |
权重为5,表示个别数据受到影响; |
权重为10,表示所有数据均被毁坏。 |
再现性指数是指重复某个威胁产生安全事件的难度。
再现性指数可以划分为三个级别,如下述表6所示:
表6:
可利用指数是指基于何种条件某个威胁才能产生安全事件。
可利用指数可以划分为三个级别,如下述表7所示:
表7:
用户影响指数是指某个威胁成功产生安全事件将会带来的用户影响。
用户影响指数可以划分为三个级别,如下述表8所示:
表8:
权重为1,表示没有用户会受到影响; |
权重为5,表示部分用户会受到影响; |
权重为10,表示所有用户都会受到影响。 |
可发现指数是指发现某个威胁的难度指数。
可发现指数可以划分为三个级别,如下述表9所示:
表9:
数据价值指数是指某个威胁成功产生安全事件影响的数据对象的价值,此值对数据资产价值中的高、中、低。
数据价值指数可以划分为三个级别,如下述表10所示:
表10:
权重为10,表示高价值数据; |
权重为5,表示中价值数据; |
权重为1,表示低价值数据; |
在本实施例中,在将脆弱指数、威胁指数和每个等级业务数据对应的权重对单个业务数据进行识别输入至风险评估模型之后,可以通过风险评估模型对根据脆弱指数、威胁指数和每个等级业务数据对应的权重对单个业务数据进行识别,确定单个业务数据对应的损害程度指数、再现指数、可利用指数、用户影响指数、可发现指数和数据价值指数,进而执行子步骤A2。
子步骤A2:将所述损害程度指数、所述再现指数、所述可利用指数、所述用户影响指数、所述可发现指数和所述数据价值指数,作为所述单个业务数据的初始数据风险指数。
在确定单个业务数据对应的损害程度指数、再现指数、可利用指数、用户影响指数、可发现指数和数据价值指数之后,可以将损害程度指数、再现指数、可利用指数、用户影响指数、可发现指数和数据价值指数作为单个业务数据的初始数据风险指数。如图2h所示,通过风险计算模型可以得出某种指数对业务数据的威胁程度,即初始数据风险指数。
在得到单个业务数据的初始数据风险指数之后,执行步骤207。
步骤207:根据所述初始风险指数,确定每个所述等级业务数据中单个业务数据的数据风险指数。
在得到单个业务数据的初始数据风险指数之后,可以根据初始风险指数确定每个等级业务数据中单个业务数据的数据风险指数。具体地,初始数据风险指数可以包括:损害程度指数、再现指数、可利用指数、用户影响指数、可发现指数和数据价值指数,结合这六个指数可以计算出单个业务数据的数据风险指数,具体地,可以结合下述具体实现方式进行详细描述。
在本申请的另一种具体实现方式中,上述步骤207可以包括:
子步骤B1:计算得到所述单个业务数据的所述损害程度指数、所述再现指数、所述可利用指数、所述用户影响指数和所述可发现指数的指数平均值;
子步骤B2:根据所述指数平均值和所述数据价值指数的乘积,确定所述单个业务数据的数据风险指数。
在本实施例中,可以计算损害程度指数、再现指数、可利用指数、用户影响指数、可发现指数和数据价值指数的指数平均值,并根据指数平均值和数据价值指数的乘积计算得到单个业务数据的数据风险指数(如图2i所示),具体地,可以如下述公式(2)所示:
R=[(H+RD+UD+AU+FD)/5]*P (2)
上述公式(2)中,R表示数据风险指数,H表示损害程度指数,RD表示再现指数,UD表示可利用指数,AU表示用户影响指数,RD表示可发现指数,P表示数据价值指数,其中R越大表示单点业务数据的风险越高。
步骤208:根据所有业务数据对应的数据风险指数,确定所述目标业务方内业务数据的安全指数。
安全指数是指用于指示企业内业务数据的安全性能的指数,该安全指数即可以表示企业数据存在泄漏的风险程度。
在获取到单个业务数据的数据风险指数之后,可以根据目标业务方内所有业务数据的数据风险指数,计算得到目标业务方内业务数据的安全指数。具体地,可以结合下述公式(1)计算得到目标业务方内业务数据的安全指数:
上述公式(1)中,f(x)为安全指数,x为目标业务方内所有企业数据的数量,R为单个业务数据的数据风险指数,n为单个业务数据的序号。
本申请实施例通过结合风险评估模型、脆弱指标和威胁指标对企业的业务数据进行评估,能够提高企业数据的安全评估能力。
所述通过所述风险评估模型根据所述脆弱指数、所述威胁指数和每个所述等级业务数据对应的权重对所述单个业务数据进行识别,得到所述单个业务数据的初始数据风险指数,包括:
通过所述风险评估模型根据所述脆弱指数、所述威胁指数和每个所述等级业务数据对应的权重对所述单个业务数据进行识别,确定所述单个业务数据对应的损害程度指数、再现指数、可利用指数、用户影响指数、可发现指数和数据价值指数;
将所述损害程度指数、所述再现指数、所述可利用指数、所述用户影响指数、所述可发现指数和所述数据价值指数,作为所述单个业务数据的初始数据风险指数。
所述根据所述初始风险指数,确定每个所述等级业务数据中单个业务数据的数据风险指数,包括:
计算得到所述单个业务数据的所述损害程度指数、所述再现指数、所述可利用指数、所述用户影响指数和所述可发现指数的指数平均值;
根据所述指数平均值和所述数据价值指数的乘积,确定所述单个业务数据的数据风险指数。
所述脆弱指标包括:技术脆弱指标和管理脆弱指标,其中,
所述技术脆弱指标包括:物理环境脆弱指标、通信网络脆弱指标、区域边界脆弱指标、计算环境脆弱指标和管理中心脆弱指标;
所述管理脆弱指标包括:管理制度脆弱性、管理机构脆弱性、管理人员脆弱性、建设管理脆弱性和运维管理脆弱指标。
所述威胁指标包括:假冒类威胁指标、篡改类威胁指标、否认类威胁指标、信息泄露类威胁指标、拒绝服务类威胁和权限提升类威胁。
本申请实施例提供的业务数据安全指数的评估方法,通过获取目标业务方内全部的业务数据,根据目标业务方的安全特性及数据重要程度,对业务数据进行等级划分,得到业务数据对应的多个等级业务数据,根据目标业务方的安全特性,对多个等级业务数据进行脆弱指标分析,得到多个等级业务数据对应的脆弱指数,根据目标业务方的安全特性,对多个等级业务数据进行威胁指标分析,得到多个等级业务数据对应的威胁指数,将多个等级业务数据、脆弱指数和威胁指数输入至预先训练好的风险评估模型,并获取由风险评估模型输出的多个等级业务数据中单个业务数据的数据风险指数,根据所有业务数据对应的数据风险指数,确定目标业务方内业务数据的安全指数。本申请实施例通过结合风险评估模型、脆弱指标和威胁指标对企业的业务数据进行评估,能够提高企业数据的安全评估能力。
实施例三
参照图3,示出了本申请实施例提供的一种业务数据安全指数的评估装置的结构示意图,如图3所示,该业务数据安全指数的评估装置300具体可以包括如下模块:
业务数据获取模块310,用于获取目标业务方内全部的业务数据;
等级业务数据获取模块320,用于根据所述目标业务方的安全特性及数据重要程度,对所述业务数据进行等级划分,得到所述业务数据对应的多个等级业务数据;
脆弱指数获取模块330,用于根据所述目标业务方的安全特性,对所述多个等级业务数据进行脆弱指标分析,得到所述多个等级业务数据对应的脆弱指数;
威胁指数获取模块340,用于根据所述目标业务方的安全特性,对所述多个等级业务数据进行威胁指标分析,得到所述多个等级业务数据对应的威胁指数;
风险指数获取模块350,用于将所述多个等级业务数据、所述脆弱指数和所述威胁指数输入至预先训练好的风险评估模型,并获取由所述风险评估模型输出的所述多个等级业务数据中单个业务数据的数据风险指数;
安全指数确定模块360,用于根据所有业务数据对应的数据风险指数,确定所述目标业务方内业务数据的安全指数。
本申请实施例提供的业务数据安全指数的评估装置,通过获取目标业务方内全部的业务数据,根据目标业务方的安全特性及数据重要程度,对业务数据进行等级划分,得到业务数据对应的多个等级业务数据,根据目标业务方的安全特性,对多个等级业务数据进行脆弱指标分析,得到多个等级业务数据对应的脆弱指数,根据目标业务方的安全特性,对多个等级业务数据进行威胁指标分析,得到多个等级业务数据对应的威胁指数,将多个等级业务数据、脆弱指数和威胁指数输入至预先训练好的风险评估模型,并获取由风险评估模型输出的多个等级业务数据中单个业务数据的数据风险指数,根据所有业务数据对应的数据风险指数,确定目标业务方内业务数据的安全指数。本申请实施例通过结合风险评估模型、脆弱指标和威胁指标对企业的业务数据进行评估,能够提高企业数据的安全评估能力。
实施例四
参照图4,示出了本申请实施例提供的另一种业务数据安全指数的评估装置的结构示意图,如图4所示,该业务数据安全指数的评估装置400具体可以包括如下模块:
业务数据获取模块410,用于获取目标业务方内全部的业务数据;
等级业务数据获取模块420,用于根据所述目标业务方的安全特性及数据重要程度,对所述业务数据进行等级划分,得到所述业务数据对应的多个等级业务数据;
脆弱指数获取模块430,用于根据所述目标业务方的安全特性,对所述多个等级业务数据进行脆弱指标分析,得到所述多个等级业务数据对应的脆弱指数;
威胁指数获取模块440,用于根据所述目标业务方的安全特性,对所述多个等级业务数据进行威胁指标分析,得到所述多个等级业务数据对应的威胁指数;
风险指数获取模块450,用于将所述多个等级业务数据、所述脆弱指数和所述威胁指数输入至预先训练好的风险评估模型,并获取由所述风险评估模型输出的所述多个等级业务数据中单个业务数据的数据风险指数;
安全指数确定模块460,用于根据所有业务数据对应的数据风险指数,确定所述目标业务方内业务数据的安全指数。
可选地,所述风险指数获取模块450包括:
业务数据输入单元451,用于针对所述多个等级业务数据中的单个业务数据,将所述单个业务数据、所述等级业务数据对应的脆弱指数及所述等级业务数据对应的威胁指数输入至所述风险评估模型;
初始风险指数获取单元452,用于通过所述风险评估模型根据所述脆弱指数、所述威胁指数和每个所述等级业务数据对应的权重对所述单个业务数据进行识别,得到所述单个业务数据的初始数据风险指数;
数据风险指数确定单元453,用于根据所述初始风险指数,确定每个所述等级业务数据中单个业务数据的数据风险指数。
可选地,所述初始风险指数获取单元452包括:
业务数据指数确定子单元,用于通过所述风险评估模型根据所述脆弱指数、所述威胁指数和每个所述等级业务数据对应的权重对所述单个业务数据进行识别,确定所述单个业务数据对应的损害程度指数、再现指数、可利用指数、用户影响指数、可发现指数和数据价值指数;
初始风险指数获取子单元,用于将所述损害程度指数、所述再现指数、所述可利用指数、所述用户影响指数、所述可发现指数和所述数据价值指数,作为所述单个业务数据的初始数据风险指数。
可选地,所述数据风险指数确定单元453包括:
指数平均值计算子单元,用于计算得到所述单个业务数据的所述损害程度指数、所述再现指数、所述可利用指数、所述用户影响指数和所述可发现指数的指数平均值;
数据风险指数确定子单元,用于根据所述指数平均值和所述数据价值指数的乘积,确定所述单个业务数据的数据风险指数。
可选地,所述脆弱指标包括:技术脆弱指标和管理脆弱指标,其中,
所述技术脆弱指标包括:物理环境脆弱指标、通信网络脆弱指标、区域边界脆弱指标、计算环境脆弱指标和管理中心脆弱指标;
所述管理脆弱指标包括:管理制度脆弱性、管理机构脆弱性、管理人员脆弱性、建设管理脆弱性和运维管理脆弱指标。
可选地,所述威胁指标包括:假冒类威胁指标、篡改类威胁指标、否认类威胁指标、信息泄露类威胁指标、拒绝服务类威胁和权限提升类威胁。
本申请实施例提供的业务数据安全指数的评估装置,通过获取目标业务方内全部的业务数据,根据目标业务方的安全特性及数据重要程度,对业务数据进行等级划分,得到业务数据对应的多个等级业务数据,根据目标业务方的安全特性,对多个等级业务数据进行脆弱指标分析,得到多个等级业务数据对应的脆弱指数,根据目标业务方的安全特性,对多个等级业务数据进行威胁指标分析,得到多个等级业务数据对应的威胁指数,将多个等级业务数据、脆弱指数和威胁指数输入至预先训练好的风险评估模型,并获取由风险评估模型输出的多个等级业务数据中单个业务数据的数据风险指数,根据所有业务数据对应的数据风险指数,确定目标业务方内业务数据的安全指数。本申请实施例通过结合风险评估模型、脆弱指标和威胁指标对企业的业务数据进行评估,能够提高企业数据的安全评估能力。
对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
另外地,本申请实施例还提供了一种电子设备,包括:处理器、存储器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现上述任一项所述的业务数据安全指数的评估方法。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上对本申请所提供的一种业务数据安全指数的评估方法和一种业务数据安全指数的评估装置,进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (12)
1.一种业务数据安全指数的评估方法,其特征在于,包括:
获取目标业务方内全部的业务数据;
根据所述目标业务方的安全特性及数据重要程度,对所述业务数据进行等级划分,得到所述业务数据对应的多个等级业务数据;
根据所述目标业务方的安全特性,对所述多个等级业务数据进行脆弱指标分析,得到所述多个等级业务数据对应的脆弱指数;
根据所述目标业务方的安全特性,对所述多个等级业务数据进行威胁指标分析,得到所述多个等级业务数据对应的威胁指数;
将所述多个等级业务数据、所述脆弱指数和所述威胁指数输入至预先训练好的风险评估模型,并获取由所述风险评估模型输出的所述多个等级业务数据中单个业务数据的数据风险指数,包括:
针对所述多个等级业务数据中的单个业务数据,将所述单个业务数据、所述等级业务数据对应的脆弱指数及所述等级业务数据对应的威胁指数输入至所述风险评估模型;通过所述风险评估模型根据所述脆弱指数、所述威胁指数和每个所述等级业务数据对应的权重对所述单个业务数据进行识别,得到所述单个业务数据的初始数据风险指数;
其中,所述通过所述风险评估模型根据所述脆弱指数、所述威胁指数和每个所述等级业务数据对应的权重对所述单个业务数据进行识别,得到所述单个业务数据的初始数据风险指数,包括:通过所述风险评估模型根据所述脆弱指数、所述威胁指数和每个所述等级业务数据对应的权重对所述单个业务数据进行识别,确定所述单个业务数据对应的损害程度指数、再现指数、可利用指数、用户影响指数、可发现指数和数据价值指数;
根据所有业务数据对应的数据风险指数,确定所述目标业务方内业务数据的安全指数。
2.根据权利要求1所述的方法,其特征在于,所述将所述多个等级业务数据、所述脆弱指数和所述威胁指数输入至预先训练好的风险评估模型,并获取由所述风险评估模型输出的所述多个等级业务数据中单个业务数据的数据风险指数,包括:
根据初始风险指数,确定每个所述等级业务数据中单个业务数据的数据风险指数。
3.根据权利要求2所述的方法,其特征在于,所述通过所述风险评估模型根据所述脆弱指数、所述威胁指数和每个所述等级业务数据对应的权重对所述单个业务数据进行识别,得到所述单个业务数据的初始数据风险指数,包括:
将所述损害程度指数、所述再现指数、所述可利用指数、所述用户影响指数、所述可发现指数和所述数据价值指数,作为所述单个业务数据的初始数据风险指数。
4.根据权利要求3所述的方法,其特征在于,所述根据所述初始风险指数,确定每个所述等级业务数据中单个业务数据的数据风险指数,包括:
计算得到所述单个业务数据的所述损害程度指数、所述再现指数、所述可利用指数、所述用户影响指数和所述可发现指数的指数平均值;
根据所述指数平均值和所述数据价值指数的乘积,确定所述单个业务数据的数据风险指数。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述脆弱指标包括:技术脆弱指标和管理脆弱指标,其中,
所述技术脆弱指标包括:物理环境脆弱指标、通信网络脆弱指标、区域边界脆弱指标、计算环境脆弱指标和管理中心脆弱指标;
所述管理脆弱指标包括:管理制度脆弱性、管理机构脆弱性、管理人员脆弱性、建设管理脆弱性和运维管理脆弱指标。
6.根据权利要求1至4任一项所述的方法,其特征在于,所述威胁指标包括:假冒类威胁指标、篡改类威胁指标、否认类威胁指标、信息泄露类威胁指标、拒绝服务类威胁和权限提升类威胁。
7.一种业务数据安全指数的评估装置,其特征在于,包括:
业务数据获取模块,用于获取目标业务方内全部的业务数据;
等级业务数据获取模块,用于根据所述目标业务方的安全特性及数据重要程度,对所述业务数据进行等级划分,得到所述业务数据对应的多个等级业务数据;
脆弱指数获取模块,用于根据所述目标业务方的安全特性,对所述多个等级业务数据进行脆弱指标分析,得到所述多个等级业务数据对应的脆弱指数;
威胁指数获取模块,用于根据所述目标业务方的安全特性,对所述多个等级业务数据进行威胁指标分析,得到所述多个等级业务数据对应的威胁指数;
风险指数获取模块,用于将所述多个等级业务数据、所述脆弱指数和所述威胁指数输入至预先训练好的风险评估模型,并获取由所述风险评估模型输出的所述多个等级业务数据中单个业务数据的数据风险指数;
所述风险指数获取模块包括:业务数据输入单元,用于针对所述多个等级业务数据中的单个业务数据,将所述单个业务数据、所述等级业务数据对应的脆弱指数及所述等级业务数据对应的威胁指数输入至所述风险评估模型;初始风险指数获取单元,用于通过所述风险评估模型根据所述脆弱指数、所述威胁指数和每个所述等级业务数据对应的权重对所述单个业务数据进行识别,得到所述单个业务数据的初始数据风险指数;
其中,所述初始风险指数获取单元包括:业务数据指数确定子单元,用于通过所述风险评估模型根据所述脆弱指数、所述威胁指数和每个所述等级业务数据对应的权重对所述单个业务数据进行识别,确定所述单个业务数据对应的损害程度指数、再现指数、可利用指数、用户影响指数、可发现指数和数据价值指数;
安全指数确定模块,用于根据所有业务数据对应的数据风险指数,确定所述目标业务方内业务数据的安全指数。
8.根据权利要求7所述的装置,其特征在于,所述风险指数获取模块包括:
数据风险指数确定单元,用于根据所述初始风险指数,确定每个所述等级业务数据中单个业务数据的数据风险指数。
9.根据权利要求8所述的装置,其特征在于,所述初始风险指数获取单元包括:
初始风险指数获取子单元,用于将所述损害程度指数、所述再现指数、所述可利用指数、所述用户影响指数、所述可发现指数和所述数据价值指数,作为所述单个业务数据的初始数据风险指数。
10.根据权利要求9所述的装置,其特征在于,所述数据风险指数确定单元包括:
指数平均值计算子单元,用于计算得到所述单个业务数据的所述损害程度指数、所述再现指数、所述可利用指数、所述用户影响指数和所述可发现指数的指数平均值;
数据风险指数确定子单元,用于根据所述指数平均值和所述数据价值指数的乘积,确定所述单个业务数据的数据风险指数。
11.根据权利要求7至10任一项所述的装置,其特征在于,所述脆弱指标包括:技术脆弱指标和管理脆弱指标,其中,
所述技术脆弱指标包括:物理环境脆弱指标、通信网络脆弱指标、区域边界脆弱指标、计算环境脆弱指标和管理中心脆弱指标;
所述管理脆弱指标包括:管理制度脆弱性、管理机构脆弱性、管理人员脆弱性、建设管理脆弱性和运维管理脆弱指标。
12.根据权利要求7至10任一项所述的装置,其特征在于,所述威胁指标包括:假冒类威胁指标、篡改类威胁指标、否认类威胁指标、信息泄露类威胁指标、拒绝服务类威胁和权限提升类威胁。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011468109.XA CN112560046B (zh) | 2020-12-14 | 2020-12-14 | 一种业务数据安全指数的评估方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011468109.XA CN112560046B (zh) | 2020-12-14 | 2020-12-14 | 一种业务数据安全指数的评估方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112560046A CN112560046A (zh) | 2021-03-26 |
CN112560046B true CN112560046B (zh) | 2023-05-09 |
Family
ID=75064560
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011468109.XA Active CN112560046B (zh) | 2020-12-14 | 2020-12-14 | 一种业务数据安全指数的评估方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112560046B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113468560A (zh) * | 2021-06-18 | 2021-10-01 | 宝湾资本管理有限公司 | 数据保护方法、装置及服务器 |
CN113656808A (zh) * | 2021-08-31 | 2021-11-16 | 平安医疗健康管理股份有限公司 | 数据安全评估方法、装置、设备及存储介质 |
CN114301802A (zh) * | 2021-12-27 | 2022-04-08 | 北京吉大正元信息技术有限公司 | 密评检测方法、装置和电子设备 |
CN115296933B (zh) * | 2022-10-08 | 2022-12-23 | 国家工业信息安全发展研究中心 | 一种工业生产数据风险等级评估方法及系统 |
CN117473527A (zh) * | 2023-11-07 | 2024-01-30 | 新华三网络信息安全软件有限公司 | 数据安全风险的分析方法、装置、设备及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109302315A (zh) * | 2018-09-30 | 2019-02-01 | 南京南瑞继保电气有限公司 | 一种基于业务关联模型的变电站网络安全风险评估方法 |
CN111669365A (zh) * | 2020-04-27 | 2020-09-15 | 中国国家铁路集团有限公司 | 网络安全测试方法及装置 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9602529B2 (en) * | 2014-04-02 | 2017-03-21 | The Boeing Company | Threat modeling and analysis |
GB201602412D0 (en) * | 2016-02-10 | 2016-03-23 | Cortex Insight Ltd | Security system |
CN106713333A (zh) * | 2016-12-30 | 2017-05-24 | 北京神州绿盟信息安全科技股份有限公司 | 一种信息系统风险评估方法及装置 |
CN110956347A (zh) * | 2018-09-27 | 2020-04-03 | 北京国双科技有限公司 | 数据的风险系数的计算方法及装置、存储介质及处理器 |
US11677773B2 (en) * | 2018-11-19 | 2023-06-13 | Bmc Software, Inc. | Prioritized remediation of information security vulnerabilities based on service model aware multi-dimensional security risk scoring |
-
2020
- 2020-12-14 CN CN202011468109.XA patent/CN112560046B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109302315A (zh) * | 2018-09-30 | 2019-02-01 | 南京南瑞继保电气有限公司 | 一种基于业务关联模型的变电站网络安全风险评估方法 |
CN111669365A (zh) * | 2020-04-27 | 2020-09-15 | 中国国家铁路集团有限公司 | 网络安全测试方法及装置 |
Non-Patent Citations (3)
Title |
---|
Vulnerability Threat Assessment Based on AHP and Fuzzy Comprehensive Evaluation;Jiao Yue 等;《2014 Seventh International Symposium on Computational Intelligence and Design》;20141214;第513-516页 * |
信息系统安全风险评估方法的研究;刘守澜等;《西南民族大学学报(自然科学版)》;20100325(第02期);第295-298页 * |
基于等级保护思想的网络安全风险评估关键技术研究;张彦 等;《铁路计算机应用》;20200831;第29卷(第8期);第28-32页 * |
Also Published As
Publication number | Publication date |
---|---|
CN112560046A (zh) | 2021-03-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112560046B (zh) | 一种业务数据安全指数的评估方法及装置 | |
Pandey et al. | Cyber security risks in globalized supply chains: conceptual framework | |
US20180137288A1 (en) | System and method for modeling security threats to prioritize threat remediation scheduling | |
US20140172495A1 (en) | System and method for automated brand protection | |
CN104798079A (zh) | 自动资产关键度评估 | |
CN107819771A (zh) | 一种基于资产依赖关系的信息安全风险评估方法及系统 | |
KR20040035572A (ko) | 정보 인프라에서의 종합 침해사고 대응시스템 및 그운영방법 | |
Iqbal et al. | Integration of next generation IIoT with Blockchain for the development of smart industries | |
CN110289995A (zh) | 基于利用属性攻击图的社交网络行为监控方法及装置 | |
CN115378712A (zh) | 一种基于政务区块链底座的威胁情报共享方法 | |
Żebrowski et al. | A Bayesian framework for the analysis and optimal mitigation of cyber threats to cyber‐physical systems | |
CN117478433B (zh) | 一种网络与信息安全动态预警系统 | |
Liu et al. | Vmras: A novel virtual machine risk assessment scheme in the cloud environment | |
US20230396640A1 (en) | Security event management system and associated method | |
CN109962882B (zh) | 一种网络身份管理服务可信等级评估方法与系统 | |
CN116436689A (zh) | 漏洞处理方法、装置、存储介质及电子设备 | |
Pahi et al. | Preparation, modelling, and visualisation of cyber common operating pictures for national cyber security centres | |
CN115640581A (zh) | 一种数据安全风险评估方法、装置、介质及电子设备 | |
CN115499840A (zh) | 一种移动互联网用安全评估系统及方法 | |
Lee et al. | K-FFRaaS: A Generic Model for Financial Forensic Readiness as a Service in Korea | |
Phillips et al. | Software Bills of Materials for IoT and OT devices | |
CN113360575A (zh) | 联盟链中交易数据的监管方法、装置、设备及存储介质 | |
Kang et al. | Multi-dimensional security risk assessment model based on three elements in the IoT system | |
Adharsh et al. | Prevention of Data Breach by Machine Learning Techniques | |
CN111092857A (zh) | 信息安全预警方法、装置、计算机设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |