CN112596984B - 业务弱隔离环境下的数据安全态势感知系统 - Google Patents
业务弱隔离环境下的数据安全态势感知系统 Download PDFInfo
- Publication number
- CN112596984B CN112596984B CN202011613436.XA CN202011613436A CN112596984B CN 112596984 B CN112596984 B CN 112596984B CN 202011613436 A CN202011613436 A CN 202011613436A CN 112596984 B CN112596984 B CN 112596984B
- Authority
- CN
- China
- Prior art keywords
- security
- alarm information
- data
- target
- situation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3006—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/32—Monitoring with visual or acoustical indication of the functioning of the machine
- G06F11/324—Display of status information
- G06F11/327—Alarm or error message display
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/451—Execution arrangements for user interfaces
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Quality & Reliability (AREA)
- Virology (AREA)
- Mathematical Physics (AREA)
- Databases & Information Systems (AREA)
- Human Computer Interaction (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Alarm Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请实施例提供一种业务弱隔离环境下的数据安全态势感知系统,包括:获取装置、预判趋势装置和可视化展示装置,预判趋势装置与获取装置、可视化展示装置分别连接,并通过获取装置,获取用户访问不同业务系统的过程中产生的安全数据,预判趋势装置对安全数据进行数据预测和关联分析,确定不同业务系统的安全性评估结果,可视化展示装置对各业务系统的安全性评估结果进行可视化展示,实现了基于异构数据对业务弱隔离环境下的数据安全态势感知,有助于及早发现业务系统中的存在的安全隐患,提高业务系统的数据安全。
Description
技术领域
本申请实施例涉及数据安全攻防技术领域,尤其涉及一种业务弱隔离环境下的数据安全态势感知系统。
背景技术
大数据正快速发展为新一代重要的信息技术及服务、管理方法,这种新技术和方法主要用于对数量巨大、来源分散、格式多样的数据进行采集、存储和关联分析,从中发现新知识、创造新价值、提升新能力。大数据环境下所形成的万物互联的全联接世界的发展趋势日益显现,这些新特征正在带来并形成全球经济社会的新形态和新模式,可以用6个“万”来概括,即万物网络化、万物数据化、万物智能化、万众互联化、万众共享化、万众便捷化,信息安全也相应进入了大数据时代。
在线的、动态活性的、交互频繁的大数据为信息安全管理既带来了空前的挑战,也带来了价值信息的发现、积极主动预测预警应对的机遇。大数据所呈现的信息化已不再局限于信息通信技术不断应用深化的层级,而是形成了信息化的升级版,使信息安全隐患面临着空前的巨大威胁,而同时也带来了信息安全管理能力提升的新源泉。需要我们对信息安全能够进行更加宏观和深入的观察和认知,进行更为即时和准确的管控把握,进行更为精准的发展趋势和安全隐患分析,从而为大数据环境下的信息安全管理提供更加科学的政策和应对举措。
对于企业而言,随着信息系统的普及、网络建设和用户规模的扩大,数据呈爆发式增长,数据融通共享更加频繁,数据交互途径也在不断增加并复杂化,关键信息泄露出去后,短时间之内就会带来一系列连锁反应,给相关企业造成重大损失。在能源互联网联网“万物互联”、“数据边缘化”等技术条件下,海量业务数据及用户信息为国家电网公司的数据安全工作也带来严峻挑战。数据价值利用过程中存在较多弱隔离、低信任度的业务环境,为数据安全融合应用带来了更高的要求。弱隔离环境及数据大规模集中存储等因素累积易导致数据中心的“一点突破、全局暴露”。如何防止内部重要数据、隐私信息泄露,避免因数据安全问题造成的损失成为一个巨大挑战。
目前国内安全态势感知系统是以安全大数据为基础,帮助政府监管机构、行业和企业,从全局视角提升对安全威胁的发现识别、理解分析、相应处置能力,实现安全能力的落地,但存在数据分析单一,无法实现对多种异构数据进行关联分析与数据预测。
发明内容
本申请实施例提供一种业务弱隔离环境下的数据安全态势感知系统,以解决现有技术中无法对多种异构数据进行关联分析与数据预测的问题。
本申请实施例提供一种业务弱隔离环境下的数据安全态势感知系统,其特征在于,包括:获取装置、预判趋势装置和可视化展示装置,所述预判趋势装置与所述获取装置、所述可视化展示装置分别连接;
所述获取装置,用于获取用户访问不同业务系统的过程中产生的安全数据,所述安全数据包括以下数据中的至少一种:技防体系状态数据、监测告警状态数据、安全策略配置状态数据、技防设备在运状态数据和事件闭环处置状态数据;
所述预判趋势装置,用于对所述安全数据进行数据预测和关联分析,确定不同业务系统的安全性评估结果;
所述可视化展示装置,用于对各业务系统的安全性评估结果进行可视化展示。
可选地,所述预判趋势装置包括告警信息生成模块和安全性评估模块:
所述告警信息生成模块,用于根据所述安全数据的来源,对所述安全数据进行分流和预测分析,得到告警信息;
所述安全性评估模块,用于根据归属于目标业务系统的目标告警信息,对所述目标业务系统进行安全评估,得到所述目标业务系统的安全性评估结果。
可选地,所述告警信息生成模块包括网络攻击主题单元、互联网技术安全运行主题单元、系统脆弱性主题单元和异常违规行为主题单元;
所述网络攻击主题单元,用于对网络攻击进行溯源和统计各攻击事件的攻击阶段,生成告警信息;
所述互联网技术安全运行主题单元,用于对病毒进行发现和处置,并根据处置结果确定是否生成告警信息;
所述系统脆弱性主题单元,用于对高危漏洞统计分布情况、弱点利用情况、关键补丁安装情况进行实时监控,生成告警信息;
所述异常违规行为主题单元,用于对违规行为进行预警和记录,生成告警信息。
可选地,所述互联网技术安全运行主题单元具体用于:
对僵木蠕发现趋势、重要资产运行情况、最新网页恶意代码和事件采集量比监控进行监视和处置,并根据处置结果确定是否生成告警信息。
可选地,所述异常违规行为主题单元具体用于:
对违规行为进行非法操作时间趋势分析、非法操作历史比较分析、最新违规行为与外部统计违规行为比较分析,根据分析结果进行预警和记录,生成告警信息。
可选地,所述安全性评估模块包括安全指数单元和安全评分单元;
所述安全指数单元,用于根据各目标告警信息的安全等级,确定各目标告警信息的初始打分;
所述安全评分单元,用于确定各目标告警信息的权重,并根据各告警信息的权重和初始打分,确定所述目标业务系统的安全评分。
可选地,所述安全评分单元包括关联分析子单元、场景模式子单元和风险告警子单元;
所述关联分析子单元,用于通过对各目标告警信息进行关联分析,确定各目标告警信息的权重,并根据各目标警信息的初始打分和第一权重,确定各目标告警信息的第一打分;
所述场景模式子单元,用于通过机器智能学习、场景建模和精确捕捉安全态势中的至少一种,确定各目标告警信息的第二权重,并根据各目标告警信息的第一打分和第二权重,确定各目标告警信息的第二打分;
所述风险告警子单元,用于根据各目标告警信息风险等级,确定各目标告警信息的第三权重,并根据各目标告警信息的第二打分和第三权重,确定所述目标业务系统的安全评分。
可选地,所述可视化展示装置包括事件追踪模块、页签切换模块和图表联动模块;
所述事件追踪模块,用于从因果关系的角度对各业务系统的安全性评估结果进行可视化展示;
所述页签切换模块,用于从数据切片的角度对各业务系统的安全性评估结果进行可视化展示;
所述图表联动模块,用于从时间的角度对各业务系统的安全性评估结果进行可视化展示。
可选地,所述可视化展示装置具体用于:
通过以下方式中的至少一种,对所述安全性评估结果进行可视化展示:动态可视化展现、完全态势展示、威胁态势展示和风险态势展示。
可选地,所述获取装置具体用于:
从在运技防措施中获取用户访问不同业务系统的过程中产生的安全数据,所述在运技防措施包括:防火墙、入侵防御系统IPS、入侵检测系统IDS、网站应用防护系统WAF、未知威胁检测系统、攻击溯源系统、防病毒系统、漏洞检测系统和业务审计系统。
本申请实施例提供的业务弱隔离环境下的数据安全态势感知系统,包括:获取装置、预判趋势装置和可视化展示装置,预判趋势装置与获取装置、可视化展示装置分别连接,并通过获取装置,获取用户访问不同业务系统的过程中产生的安全数据,安全数据包括以下数据中的至少一种:技防体系状态数据、监测告警状态数据、安全策略配置状态数据、技防设备在运状态数据和事件闭环处置状态数据,预判趋势装置对安全数据进行数据预测和关联分析,确定不同业务系统的安全性评估结果,可视化展示装置对各业务系统的安全性评估结果进行可视化展示,实现了基于异构数据对业务弱隔离环境下的数据安全态势感知,有助于及早发现业务系统中的存在的安全隐患,提高业务系统的数据安全。
附图说明
图1为本申请实施例一提供的业务弱隔离环境下的数据安全态势感知系统的结构示意图;
图2为本申请实施例二提供的业务弱隔离环境下的数据安全态势感知系统的结构示意图;
图3为本申请实施例二提供的告警信息生成模块的结构示意图;
图4为本申请实施例二提供的安全性评估模块的结构示意图;
图5为本申请实施例提供的可视化装置的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本申请,而非对本申请的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本申请相关的部分而非全部结构。
本申请技术方案的主要思路:基于现有技术中存在的技术问题,本申请实施例提供一种业务弱隔离环境下的数据安全态势感知系统,通过对数据库审计、数据库防火墙、数据加密、数据脱敏等各种数据安全产品采集的信息进行集中处理,将多种异构数据进行归一,并进行关联分析,将数据资产分布状况、敏感数据访问行为进行动态展示,并预测数据资产可能面临的泄露风险,可以很好地还原并展示一个清晰、透明、可控的数据资产分布及访问行为态势。
实施例一
本申请实施例提供的业务弱隔离环境下的数据安全态势感知系统是通过在基础技防措施完善的基础上,对整体技防措施进行告警监测、关联分析、状态感知,从而直观呈现实时攻防态势,协助各单位准确把握安全风险的规律、动向和趋势,全面掌握攻击状态、攻击过程,实现从被动防御到主动防御的转变。
示例性地,图1为本申请实施例一提供的业务弱隔离环境下的数据安全态势感知系统的结构示意图,如图1所示,本实施例提供的数据安全态势感知系统100包括:获取装置110、预判趋势装置120和可视化展示装置130,预判趋势装置120与获取装置110、可视化展示装置130分别连接。
其中,获取装置110,用于获取用户访问不同业务系统的过程中产生的安全数据。
安全数据本质上为网络流量数据,是由分布于在运技防措施中的数据采集探针获取到的,由于数据采集探针通常采集到的网络流量数据有很多,但并不是所有的网络流量数据都有分析的价值的,因此,可以理解的是,本实施例中的安全数据是对获取到原始网络流量数据进行筛选、去重等预处理后,得到的数据。可选地,本实施例中,安全数据包括以下数据中的至少一种:技防体系状态数据、监测告警状态数据、安全策略配置状态数据、技防设备在运状态数据和事件闭环处置状态数据。
可选地,本实施例中在运技防措施包括:防火墙、入侵防御系统IPS、入侵检测系统IDS、网站应用防护系统WAF、未知威胁检测系统、攻击溯源系统、防病毒系统、漏洞检测系统和业务审计系统中一种或多种,相应地,本实施例中获取装置110具体用于,从所有在运技防措施中获取用户访问不同业务系统的过程中产生的安全数据,建立覆盖现有技防措施、各方情报资源和不同业务系统的态势感知体系,全面提升对安全态势的整体理解感知能力,有利于准确把握安全风险的规律、动向和趋势。
预判趋势装置120,用于对安全数据进行数据预测和关联分析,确定不同业务系统的安全性评估结果。
本实施例中,示例性地,预判趋势装置120可以为数据处理中心,通过数据处理中心强大的数据处理能力和分析能力,对来源于不同系统的安全数据进行统计、关联、建模、挖掘和预测分析等,并通过对业务系统进行打分的方式,实现对不同业务系统的网络安全的评估。
可选地,可以预先将对安全数据进行统计、关联、建模、挖掘和预测分析的算法固化在数据处理中心,通过这些算法对获取模块110获取到的安全数据进行分析,得到不同业务系统的安全性评估结果,安全性评估结果中可以包括各业务系统的安全评分、风险分析、安全事件等。
可视化展示装置130,用于对各业务系统的安全性评估结果进行可视化展示。
可以理解,本实施例中的可视化展示装置130可以为前端可视化装置,如显示屏,相应地,可以通过可视化图表对不同业务系统的安全性评估结果进行展示,提高展示效果,也可以为后端可视化装置,如数据处理中心,相应地,可以通过普通的数据图表对不同业务系统的安全性评估结果进行展示,以便于后端可视化装置基于安全性评估结果做进一步的分析处理等。
可选地,可视化展示装置130具体用于:
通过以下方式中的至少一种,对安全性评估结果进行可视化展示:动态可视化展现、完全态势展示、威胁态势展示和风险态势展示。
本实施例中,通过业务弱隔离环境下的数据安全态势感知系统包括获取装置、预判趋势装置和可视化展示装置,预判趋势装置与获取装置、可视化展示装置分别连接,并通过获取装置,获取用户访问不同业务系统的过程中产生的安全数据,安全数据包括以下数据中的至少一种:技防体系状态数据、监测告警状态数据、安全策略配置状态数据、技防设备在运状态数据和事件闭环处置状态数据,预判趋势装置对安全数据进行数据预测和关联分析,确定不同业务系统的安全性评估结果,可视化展示装置对各业务系统的安全性评估结果进行可视化展示,实现了基于异构数据对业务弱隔离环境下的数据安全态势感知,有助于及早发现业务系统中的存在的安全隐患,提高业务系统的数据安全。
实施例二
图2为本申请实施例二提供的业务弱隔离环境下的数据安全态势感知系统的结构示意图,在上述实施例一的基础上,本实施例对数据安全态势感知系统100中的装置进行了进一步的细化,如图2所示,本实施例中,预判趋势装置120包括告警信息生成模块121和安全性评估模块122:
告警信息生成模块121,用于根据安全数据的来源,对安全数据进行分流和预测分析,得到告警信息。
安全性评估模块122,用于根据归属于目标业务系统的目标告警信息,对目标业务系统进行安全评估,得到目标业务系统的安全性评估结果。
可选地,告警信息生成模块121中包括不同的主题单元,通过不同的主题单元对分流后的数据进行预测分析,得到不同种类的告警信息。
示例性地,图3为本申请实施例二提供的告警信息生成模块的结构示意图,如图3所示,告警信息生成模块121包括:网络攻击主题单元1211、互联网技术安全运行主题单元1212、系统脆弱性主题单元1213和异常违规行为主题单元1214。
其中,网络攻击主题单元1211,主要用于对来源于防火墙、入侵防御系统IPS、入侵检测系统IDS、网站应用防护系统WAF、未知威胁检测系统或攻击溯源系统的安全数据进行预测分析,并具体用于,对网络攻击进行溯源和统计各攻击事件的攻击阶段,生成告警信息。
互联网技术(internet technology,IT)安全运行主题单元1212,主要用于对来源于防病毒系统的安全数据进行预测分析,并具体用于,对病毒进行发现和处置,并根据处置结果确定是否生成告警信息。
在一种可能的实施方式中,互联网技术安全运行主题单元1212具体用于:
对僵木蠕发现趋势、重要资产运行情况、最新网页恶意代码和事件采集量比监控进行监视和处置,并根据处置结果确定是否生成告警信息。
可以理解的是,IT安全运行主题单元1212在发现病毒后,会先采取相应的处置措施对病毒进行处置,再根据处置结果确定是否生成告警信息。具体地,若处置后,危险消除,则不生成告警信息,若处理后,危险没有消除,则生成告警信息。
系统脆弱性主题单元1213,主要用于对来源于漏洞系统的安全数据进行预测分析,并具体用于对高危漏洞统计分布情况、弱点利用情况、关键补丁安装情况进行实时监控,生成告警信息。
异常违规行为主题单元1214,主要用于对来源于业务审计系统的安全数据进行预测分析,并具体用于对违规行为进行预警和记录,生成告警信息。
在一种可能的实施方式中,异常违规行为主题单元1214具体用于:
对违规行为进行非法操作时间趋势分析、非法操作历史比较分析、最新违规行为与外部统计违规行为比较分析,根据分析结果进行预警和记录,生成告警信息。
可以理解的是,本实施例中安全数据包括有用户访问的目地地址,即要访问的业务系统,而告警信息又是基于安全数据产生的,因此,安全性评估模块122通过确定每一告警信息对应的安全数据,进而就可以确定各告警信息归属的业务系统,并统计得到归属于同一业务系统的告警信息有哪些。
其中,目标业务系统是指选定的某一业务系统,目标告警信息是指归属于目标业务系统的告警信息。当待评估的业务系统有多个时,通过分别将每个业务系统作为目标业务系统,进行分析评估,最终得到每个业务系统的安全性评估结果。
可选地,安全性评估模块122也通过不同的功能单元对实现对目标业务系统的安全评估,示例性地,以业务系统的安全性评估结果为安全评分为例,图4为本申请实施例二提供的安全性评估模块的结构示意图,如图4所示,本实施例中的安全性评估模块122包括安全指数单元1221和安全评分单元1222。
其中,安全指数单元1221,用于根据各目标告警信息的安全等级,确定各目标告警信息的初始打分。
可以理解的是,本实施例中可以预先设置告警信息的类别与安全等级的对应关系和打分规则,相应地,安全指数单元1221通过查表的方式确定不同的类别的告警信息的安全等级,并根据打分规则和各目标告警信息的安全等级,对各告警信息进行打分,得到各目标告警信息的初始打分。
需要说明的是,告警信息的类别可以由告警信息的来源确定,不同来源的告警信息对应不同的类别。
安全评分单元1222,用于确定各目标告警信息的权重,并根据各告警信息的权重和初始打分,确定目标业务系统的安全评分。
需要说明的是,上述安全评分可以为对业务系统的网络环境的安全程度进行的打分,假设表示为第一类安全评分,也可以为对业务系统的网络环境的不安全程度进行的打分,假设为第二类安全评分,可以理解的是,业务系统的网络环境越安全,第一类安全评分越高,第二类安全评分越低,相反,业务系统的网络环境越不安全,第一类安全评分越低,第二类安全评分越高,第一类安全评分与第二类安全评分之和为满分,根据应用场景和业务需求,安全评分单元1222可以选取第一类安全评分或第二类安全评分作为各业务系统的安全评分。
在一种可能的实施方式中,安全评分单元1222包括:关联分析子单元、场景模式子单元和风险告警子单元。通过关联分析子单元、场景模式子单元和风险告警子单元分别从不同的角度或层面确定各目标告警信息权重,并根据确定的权重对和初始打分进行运算,最终得到目标业务系统的安全评分。
其中,关联分析子单元,用于通过对各目标告警信息进行关联分析,包括异常分析、趋势分析、数据聚集分析、行为识别归类、相关性分析等,确定各目标告警信息的权重;场景模式子单元,用于通过机器智能学习、场景建模和精确捕捉安全态势中等大数据分析手段的至少一种,确定各目标告警信息的权重;风险告警子单元,用于根据各目标告警信息对应的风险等级,确定各目标告警信息的权重。
进一步地,本实施方式中的关联分析子单元、场景模式子单元和风险告警子单元是按一定的先后顺序对各目标告警信息进行处理,并最终得到目标业务系统的安全评分。
可以理解的是,本实施方式中联分析子单元、场景模式子单元和风险告警子单元之间的先后顺序可以为六种顺序中的一种:“关联分析子单元-场景模式子单元-风险告警子单元”、“关联分析子单元-风险告警子单元-场景模式子单元”、“场景模式子单元-关联分析子单元-风险告警子单元”、“场景模式子单元-风险告警子单元-关联分析子单元”、“风险告警子单元-关联分析子单元-场景模式子单元”或“风险告警子单元-场景模式子单元-关联分析子单元”。具体采用哪种顺序可以根据实际情况进行设定,此处不做限制。
每种顺序中的第一个子单元从安全指数单元1221中获取各目标告警信息的初始打分,并根据本子单元分析确定的各目标告警信息的第一权重和对应的初始打分,如通过相乘运算,得到各目标告警信息的第一打分,每种顺序中的第二个子单元,从第一个子单元中获取各目标告警信息的第一打分,并根据本子单元分析确定的各目标告警信息的第二权重和对应的第一打分,如通过相乘运算,得到各目标告警信息的第二打分,每种顺序中的第三个子单元从第二个子单元中获取各目标告警信息的第二打分,并根据本子单元分析确定的各目标告警信息的第三权重和对应的第二打分,如通过加权和,目标业务系统的安全评分。
示例性地,以“关联分析子单元-场景模式子单元-风险告警子单元”的顺序为例,各子单元的功能具体为:
关联分析子单元,用于通过对各目标告警信息进行关联分析,确定各目标告警信息的权重,并根据各目标警信息的初始打分和第一权重,确定各目标告警信息的第一打分;
场景模式子单元,用于通过机器智能学习、场景建模和精确捕捉安全态势中的至少一种,确定各目标告警信息的第二权重,并根据各目标告警信息的第一打分和第二权重,确定各目标告警信息的第二打分;
风险告警子单元,用于根据各目标告警信息风险等级,确定各目标告警信息的第三权重,并根据各目标告警信息的第二打分和第三权重,确定目标业务系统的安全评分。
可以理解的是,通过按照上述相同逻辑分别对各业务系统进行网络安全评估,就可以得到各业务系统的安全评分。
可选地,为提高对各业务系统网络安全情况的展示效果,本实施例中将可视化展示装置130进一步细分,示例性地,图5为本申请实施例提供的可视化装置的结构示意图,如图5所示,可视化展示装置130包括事件追踪模块131、页签切换模块132和图表联动模块133。
其中,事件追踪模块131,用于从因果关系的角度对各业务系统的安全性评估结果进行可视化展示,实现对安全性评估结果的整体展示,确保后期的事件溯源,比如整改建议、任务派发、事后追溯、修复归档等。
页签切换模块132,用于从数据切片的角度对各业务系统的安全性评估结果进行可视化展示,使安全性评估结果数据的展示层层递进、由面及线、由线及点、由统计分布到时间轴分布,最终细至原始事件,比如,标签化技术细分日志归类,多页签事件同轴展示等;
图表联动模块133,用于从时间的角度对各业务系统的安全性评估结果进行可视化展示,以便于对敏感事件进行深度聚焦。
通过从不同的角度对不同业务系统的安全性评估结果进行可视化展示,以便于向相关人员展示一个清晰、透明、可控的数据资产分布及访问行为态势,使相关人员及时掌握各业务系统的网络环境安全的发展动向。
值得注意的是,本申请实施实施例中,业务弱隔离环境下的数据安全态势感知系统所包括的各个装置、模块、单元和子单元只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。
注意,上述仅为本申请的较佳实施例及所运用技术原理。本领域技术人员会理解,本申请不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本申请的保护范围。因此,虽然通过以上实施例对本申请进行了较为详细的说明,但是本申请不仅仅限于以上实施例,在不脱离本申请构思的情况下,还可以包括更多其他等效实施例,而本申请的范围由所附的权利要求范围决定。
Claims (8)
1.一种业务弱隔离环境下的数据安全态势感知系统,其特征在于,包括:获取装置、预判趋势装置和可视化展示装置,所述预判趋势装置与所述获取装置、所述可视化展示装置分别连接;
所述获取装置,用于获取用户访问不同业务系统的过程中产生的安全数据,所述安全数据包括以下数据中的至少一种:技防体系状态数据、监测告警状态数据、安全策略配置状态数据、技防设备在运状态数据和事件闭环处置状态数据;
所述预判趋势装置,用于对所述安全数据进行数据预测和关联分析,确定不同业务系统的安全性评估结果;
所述可视化展示装置,用于对各业务系统的安全性评估结果进行可视化展示;
所述预判趋势装置,包括:安全性评估模块,用于根据归属于目标业务系统的目标告警信息,对所述目标业务系统进行安全评估,得到所述目标业务系统的安全性评估结果;
所述安全性评估模块,包括:
安全指数单元,用于根据各目标告警信息的安全等级,确定各目标告警信息的初始打分;
安全评分单元,用于确定各目标告警信息的权重,并根据各告警信息的权重和初始打分,确定所述目标业务系统的安全评分;
所述安全评分单元包括关联分析子单元、场景模式子单元和风险告警子单元;
所述关联分析子单元,用于通过对各目标告警信息进行关联分析,确定各目标告警信息的权重,并根据各目标告警信息的初始打分和第一权重,确定各目标告警信息的第一打分;
所述场景模式子单元,用于通过机器智能学习、场景建模和精确捕捉安全态势中的至少一种,确定各目标告警信息的第二权重,并根据各目标告警信息的第一打分和第二权重,确定各目标告警信息的第二打分;
所述风险告警子单元,用于根据各目标告警信息风险等级,确定各目标告警信息的第三权重,并根据各目标告警信息的第二打分和第三权重,确定所述目标业务系统的安全评分。
2.根据权利要求1所述的业务弱隔离环境下的数据安全态势感知系统,其特征在于,所述预判趋势装置还包括:
告警信息生成模块,用于根据所述安全数据的来源,对所述安全数据进行分流和预测分析,得到告警信息。
3.根据权利要求2所述的业务弱隔离环境下的数据安全态势感知系统,其特征在于,所述告警信息生成模块包括网络攻击主题单元、互联网技术安全运行主题单元、系统脆弱性主题单元和异常违规行为主题单元;
所述网络攻击主题单元,用于对网络攻击进行溯源和统计各攻击事件的攻击阶段,生成告警信息;
所述互联网技术安全运行主题单元,用于对病毒进行发现和处置,并根据处置结果确定是否生成告警信息;
所述系统脆弱性主题单元,用于对高危漏洞统计分布情况、弱点利用情况、关键补丁安装情况进行实时监控,生成告警信息;
所述异常违规行为主题单元,用于对违规行为进行预警和记录,生成告警信息。
4.根据权利要求3所述的业务弱隔离环境下的数据安全态势感知系统,其特征在于,所述互联网技术安全运行主题单元具体用于:
对僵木蠕发现趋势、重要资产运行情况、最新网页恶意代码和事件采集量比监控进行监视和处置,并根据处置结果确定是否生成告警信息。
5.根据权利要求3所述的业务弱隔离环境下的数据安全态势感知系统,其特征在于,所述异常违规行为主题单元具体用于:
对违规行为进行非法操作时间趋势分析、非法操作历史比较分析、最新违规行为与外部统计违规行为比较分析,根据分析结果进行预警和记录,生成告警信息。
6.根据权利要求1所述的业务弱隔离环境下的数据安全态势感知系统,其特征在于,所述可视化展示装置包括事件追踪模块、页签切换模块和图表联动模块;
所述事件追踪模块,用于从因果关系的角度对各业务系统的安全性评估结果进行可视化展示;
所述页签切换模块,用于从数据切片的角度对各业务系统的安全性评估结果进行可视化展示;
所述图表联动模块,用于从时间的角度对各业务系统的安全性评估结果进行可视化展示。
7.根据权利要求1所述的业务弱隔离环境下的数据安全态势感知系统,其特征在于,所述可视化展示装置具体用于:
通过以下方式中的至少一种,对所述安全性评估结果进行可视化展示:动态可视化展现、完全态势展示、威胁态势展示和风险态势展示。
8.根据权利要求1所述的业务弱隔离环境下的数据安全态势感知系统,其特征在于,所述获取装置具体用于:
从在运技防措施中获取用户访问不同业务系统的过程中产生的安全数据,所述在运技防措施包括:防火墙、入侵防御系统IPS、入侵检测系统IDS、网站应用防护系统WAF、未知威胁检测系统、攻击溯源系统、防病毒系统、漏洞检测系统和业务审计系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011613436.XA CN112596984B (zh) | 2020-12-30 | 2020-12-30 | 业务弱隔离环境下的数据安全态势感知系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011613436.XA CN112596984B (zh) | 2020-12-30 | 2020-12-30 | 业务弱隔离环境下的数据安全态势感知系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112596984A CN112596984A (zh) | 2021-04-02 |
| CN112596984B true CN112596984B (zh) | 2023-07-21 |
Family
ID=75206232
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011613436.XA Active CN112596984B (zh) | 2020-12-30 | 2020-12-30 | 业务弱隔离环境下的数据安全态势感知系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112596984B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114584405B (zh) * | 2022-05-07 | 2022-08-02 | 国网浙江省电力有限公司电力科学研究院 | 一种电力终端安全防护方法及系统 |
| CN115776411B (zh) * | 2023-01-30 | 2023-05-23 | 网思科技股份有限公司 | 数据安全分析方法、系统和可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109656793A (zh) * | 2018-11-22 | 2019-04-19 | 安徽继远软件有限公司 | 一种基于多源异构数据融合的信息系统性能立体监测方法 |
| CN111565184A (zh) * | 2020-04-29 | 2020-08-21 | 杭州安恒信息技术股份有限公司 | 一种网络安全评估装置、方法、设备及介质 |
| CN111641653A (zh) * | 2020-05-29 | 2020-09-08 | 北京中超伟业信息安全技术股份有限公司 | 基于云平台的网络安全威胁态势感知系统 |
| CN111832017A (zh) * | 2020-07-17 | 2020-10-27 | 中国移动通信集团广西有限公司 | 一种面向云的数据库安全态势感知系统 |
| CN111885012A (zh) * | 2020-07-03 | 2020-11-03 | 安徽继远软件有限公司 | 基于多种网络设备信息采集的网络态势感知方法及系统 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101436967A (zh) * | 2008-12-23 | 2009-05-20 | 北京邮电大学 | 一种网络安全态势评估方法及其系统 |
| CN102340485B (zh) * | 2010-07-19 | 2015-01-21 | 中国科学院计算技术研究所 | 基于信息关联的网络安全态势感知系统及其方法 |
| US9930058B2 (en) * | 2014-08-13 | 2018-03-27 | Honeywell International Inc. | Analyzing cyber-security risks in an industrial control environment |
| US10701100B2 (en) * | 2016-12-30 | 2020-06-30 | Microsoft Technology Licensing, Llc | Threat intelligence management in security and compliance environment |
| CN107196910B (zh) * | 2017-04-18 | 2019-09-10 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
| CN110851839B (zh) * | 2019-11-12 | 2022-03-11 | 杭州安恒信息技术股份有限公司 | 基于风险的资产评分方法和系统 |
| CN110740141A (zh) * | 2019-11-15 | 2020-01-31 | 国网山东省电力公司信息通信公司 | 一体化网络安全态势感知方法、装置及计算机设备 |
-
2020
- 2020-12-30 CN CN202011613436.XA patent/CN112596984B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109656793A (zh) * | 2018-11-22 | 2019-04-19 | 安徽继远软件有限公司 | 一种基于多源异构数据融合的信息系统性能立体监测方法 |
| CN111565184A (zh) * | 2020-04-29 | 2020-08-21 | 杭州安恒信息技术股份有限公司 | 一种网络安全评估装置、方法、设备及介质 |
| CN111641653A (zh) * | 2020-05-29 | 2020-09-08 | 北京中超伟业信息安全技术股份有限公司 | 基于云平台的网络安全威胁态势感知系统 |
| CN111885012A (zh) * | 2020-07-03 | 2020-11-03 | 安徽继远软件有限公司 | 基于多种网络设备信息采集的网络态势感知方法及系统 |
| CN111832017A (zh) * | 2020-07-17 | 2020-10-27 | 中国移动通信集团广西有限公司 | 一种面向云的数据库安全态势感知系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112596984A (zh) | 2021-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114584405B (zh) | 一种电力终端安全防护方法及系统 | |
| Lee et al. | An effective security measures for nuclear power plant using big data analysis approach | |
| CN112039862B (zh) | 一种面向多维立体网络的安全事件预警方法 | |
| CN114372286A (zh) | 数据安全管理方法、装置、计算机设备及存储介质 | |
| CN105681298A (zh) | 公共信息平台中的数据安全异常监测方法及系统 | |
| CN112596984B (zh) | 业务弱隔离环境下的数据安全态势感知系统 | |
| CN112801359A (zh) | 工业互联网安全态势预测方法、装置、电子设备及介质 | |
| CN114640548A (zh) | 一种基于大数据的网络安全感知和预警的方法及系统 | |
| Grahn et al. | Analytics for network security: A survey and taxonomy | |
| Goyal et al. | Integrating AI with cyber security for smart industry 4.0 application | |
| Wang et al. | KGBIAC: Knowledge graph based intelligent alert correlation framework | |
| Ehis | Optimization of security information and event management (SIEM) infrastructures, and events correlation/regression analysis for optimal cyber security posture | |
| KR20080079767A (ko) | 대형 네트워크에서 실시간 사이버 침입에 대한 이벤트유형의 정형화 시스템 및 방법 | |
| Lee et al. | A study on efficient log visualization using d3 component against apt: How to visualize security logs efficiently? | |
| Skendžić et al. | Management and monitoring security events in a business organization-siem system | |
| Shaorong et al. | Research on campus network security protection system framework based on cloud data and intrusion detection algorithm | |
| Song | Public cloud network intrusion and internet legal supervision based on abnormal feature detection | |
| Xu et al. | [Retracted] Method of Cumulative Anomaly Identification for Security Database Based on Discrete Markov chain | |
| Kong et al. | Research on situation analysis technology of network security incidents | |
| Muhammad et al. | Botnet Detection and Incident Response in Security Operation Center (SOC): A Proposed Framework. | |
| Jakalan | Network security situational awareness | |
| Priya et al. | Network Attack Detection using Machine Learning | |
| Lee et al. | The direction of information security control analysis using artificial intelligence | |
| Gong | Intrusion detection model based on security knowledge in online network courses | |
| Gong | Research on the Construction of Network Security Situational Awareness Platform for Logistics System Using Big Data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |