CN112702366B - 网络系统安全评估方法、装置、电子设备及介质 - Google Patents

网络系统安全评估方法、装置、电子设备及介质 Download PDF

Info

Publication number
CN112702366B
CN112702366B CN202110317038.1A CN202110317038A CN112702366B CN 112702366 B CN112702366 B CN 112702366B CN 202110317038 A CN202110317038 A CN 202110317038A CN 112702366 B CN112702366 B CN 112702366B
Authority
CN
China
Prior art keywords
safety
score
security
processed
calculating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110317038.1A
Other languages
English (en)
Other versions
CN112702366A (zh
Inventor
董超
吴津伟
江志聪
徐玉芬
杨文燕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Qianguan Information Security Institute Co ltd
Original Assignee
Zhejiang Qianguan Information Security Institute Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Qianguan Information Security Institute Co ltd filed Critical Zhejiang Qianguan Information Security Institute Co ltd
Priority to CN202110317038.1A priority Critical patent/CN112702366B/zh
Publication of CN112702366A publication Critical patent/CN112702366A/zh
Application granted granted Critical
Publication of CN112702366B publication Critical patent/CN112702366B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开一种网络系统安全评估方法、装置、电子设备及介质,用于解决针对相关技术中由于网络系统安全评估的维度单一而导致评估结果误差较大的问题。方法包括:获取待处理数据,并基于待处理数据计算各个安全参量的评分,安全参量包括安全防护、安全威胁、资产脆弱性、安全管理、安全响应;结合各个安全参量的评分和权重计算安全评分,记为当前安全评分;基于各个安全参量的评分确定网络系统所属的安全等级,记为当前安全等级,其中,安全等级与评分区间相对应;判断当前安全评分是否落于与当前安全等级对应的评分区间内,若是,则将当前安全评分作为评估结果。本发明基于多个维度对网络系统安全进行评估,以提高评估结果的准确性。

Description

网络系统安全评估方法、装置、电子设备及介质
技术领域
本发明涉及数据处理技术领域,尤其是涉及一种网络系统安全评估方法、装置、电子设备及介质。
背景技术
信息技术的快速发展和网络空间的普遍应用,极大地促进了社会进步和繁荣,但随之安全问题在信息化发展过程中也日益突出。因此,对网络系统的安全进行评估是亟需解决的问题。
在相关技术中,网络系统安全通常基于威胁事件的维度进行评估,其维度单一,导致评估结果误差较大,从而影响网络系统的安全部署。
目前针对相关技术中由于网络系统安全评估的维度单一而导致评估结果误差较大的问题,尚未提出有效的解决方案。
发明内容
为了克服相关技术的不足,本发明的目的在于提供一种网络系统安全评估方法、装置、电子设备及介质,其基于多个维度对网络系统安全进行评估,以提高评估结果的准确性。
本发明的目的之一采用如下技术方案实现:
一种网络系统安全评估方法,包括:
获取待处理数据,并基于所述待处理数据计算各个安全参量的评分,所述安全参量包括安全防护、安全威胁、资产脆弱性、安全管理、安全响应;
结合各个所述安全参量的评分和权重计算安全评分,记为当前安全评分;
基于各个所述安全参量的评分确定所述网络系统所属的安全等级,记为当前安全等级,其中,所述安全等级与评分区间相对应;
判断所述当前安全评分是否落于与所述当前安全等级对应的评分区间内,若是,则将所述当前安全评分作为评估结果;
所述基于各个所述安全参量的评分确定所述网络系统所属的安全等级包括;
对于任意安全等级,查询所述安全等级的隶属函数,并基于所述隶属函数和各个所述安全参量的评分计算得到匹配度;
将与最高匹配度对应的安全等级作为所述当前安全等级。
在其中一些实施例中,基于所述待处理数据计算所述安全防护的评分包括:
基于所述待处理数据计算设备完备率和设备工作率,其中,
Figure 567303DEST_PATH_IMAGE001
Figure 750023DEST_PATH_IMAGE002
,Sdp为所述设备完备率,Sdl为实际部署 的设备类型数,Sdtotal为标准部署的设备类型数,Sdw为所述设备工作率,Sdc为受监控的 设备数量,Sdwc为在受监控设备中处于工作状态的设备数量;
查询完备率权重和工作率权重,并利用第一公式组计算所述安全防护的评分,其 中,所述第一公式组包括:
Figure 356191DEST_PATH_IMAGE003
Figure 485821DEST_PATH_IMAGE004
Figure 628089DEST_PATH_IMAGE005
,U1为所述安 全防护的评分,Y为常数且Y≠0,VSdp为所述完备率权重,VSdw为所述工作率权重。
在其中一些实施例中,基于所述待处理数据计算所述安全威胁的评分包括:
基于所述待处理数据统计各个攻击类型的事件数量,并查询各个攻击类型对应的攻击等级;
利用第二公式组计算所述安全威胁的评分,其中,所述第二公式组包括:
Figure 716131DEST_PATH_IMAGE007
Figure 186427DEST_PATH_IMAGE004
Figure 650906DEST_PATH_IMAGE008
,U2为 所述安全威胁的评分,Bi为第i个攻击类型的攻击等级,Ai为第i个攻击类型的事件数量,Y 为常数且Y≠0。
在其中一些实施例中,基于所述待处理数据计算所述资产脆弱性的评分包括:
基于所述待处理数据筛选状态为已评价的资产,并记为待处理资产;
统计所述待处理资产的总数量,并查询各个所述待处理资产的脆弱分;
利用第三公式组计算所述资产脆弱性的评分,其中,所述第三公式组包括:
Figure 319785DEST_PATH_IMAGE009
Figure 641045DEST_PATH_IMAGE010
Figure 660953DEST_PATH_IMAGE011
,U3为所述资产 脆弱性的评分,Ci为第i个所述待处理资产的脆弱分,D为脆弱分的最大值,k为所述待处理 资产的总数量,Y为常数且Y≠0。
在其中一些实施例中,基于所述待处理数据计算所述安全管理的评分包括:
基于所述待处理数据查询安全管理项目的标准得分和实际得分;
利用第四公式组计算所述安全管理项目的评分,其中,所述第四公式组包括:
Figure 601228DEST_PATH_IMAGE012
,U4为所述安全管理的评分,E为所述安全管理项目的实际得分,G为所述安全管理 项目的标准得分,Y为常数且Y≠0。
在其中一些实施例中,基于所述待处理数据计算所述安全响应的评分包括:
基于所述待处理数据汇总各个预警级别的预警事件的总数量、各个预警级别完成响应的预警事件的数量、各个预警级别在预设时间段内完成响应的预警事件的数量;
查询与各个预警级别对应的单一完成率权重、与各个预警级别对应的单一及时率权重、完成率总权重、及时率总权重;
利用第五公式组计算所述安全响应的评分,其中,所述第五公式组包括:
Figure 390192DEST_PATH_IMAGE013
Figure 147932DEST_PATH_IMAGE014
Figure 389558DEST_PATH_IMAGE015
Figure 930261DEST_PATH_IMAGE011
,U5为所述安全响应 的评分,Li为第i个预警级别完成响应的预警事件的数量,ALi为第i个预警级别的预警事件 的总数量,Ri为第i个预警级别在预设时间段内完成响应的预警事件的数量,SLi为与第i个 预警级别对应的单一完成率权重,RLi为与第i个预警级别对应的单一及时率权重,Q为所述 完成率总权重,W为所述及时率总权重,Y为常数且Y≠0。
在其中一些实施例中,所述基于各个所述安全参量的评分确定所述网络系统所属的安全等级包括;
对于任意安全等级,查询所述安全等级的隶属函数,并基于所述隶属函数和各个所述安全参量的评分计算得到匹配度;
将与最高匹配度对应的安全等级作为所述当前安全等级。
本发明的目的之二采用如下技术方案实现:
一种网络系统安全评估装置,所述装置包括:
获取模块,用于获取待处理数据,并基于所述待处理数据计算各个安全参量的评分,所述安全参量包括安全防护、安全威胁、资产脆弱性、安全管理、安全响应;
结合模块,用于结合各个所述安全参量的评分和权重计算安全评分,记为当前安全评分;
处理模块,用于基于各个所述安全参量的评分确定所述网络系统所属的安全等级,记为当前安全等级,其中,所述安全等级与评分区间相对应;
判断模块,用于判断所述当前安全评分是否落于与所述当前安全等级对应的评分区间内,若是,则将所述当前安全评分作为评估结果。
本发明的目的之三在于提供执行发明目的之一的电子设备,其包括存储器和处理器,所处存储器中存储有计算机程序,所述处理器被设置为执行所述计算机程序时实现上述的方法。
本发明的目的之四在于提供存储发明目的之一的计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述的方法。
相比相关技术,本发明的有益效果在于:安全参量包括安全防护、安全威胁、资产脆弱性、安全管理、安全响应这五个维度为基础进行安全评估的,从而可以提高评估结果的准确度;本发明可以得到当前安全评分和当前安全等级,且该当前安全等级用于检验当前安全评分,从而提高评估结果的准确度的可信度。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是本申请实施例一所示网络系统安全评估方法的流程图;
图2是本申请实施例四所示网络系统安全评估装置的结构框图;
图3是本申请实施例五所示电子设备的结构框图。
附图标记说明:21、获取模块;22、结合模块;23、处理模块;24、判断模块。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
实施例一
本实施例一提供了一种网络系统安全评估方法,旨在解决相关技术中由于网络系统安全评估的维度单一而导致评估结果误差较大的问题。
图1是本申请实施例一所示网络系统安全评估方法的流程图,参照图1所示,本方法包括步骤S101至步骤S105。
步骤S101、获取待处理数据,并基于待处理数据计算各个安全参量的评分。安全参量包括安全防护、安全威胁、资产脆弱性、安全管理、安全响应。在此值得说明的是,该待处理数据在此并不做限定,只要可以满足相关安全参量的需要即可。可以理解,该安全参量不限于上述类型。
步骤S102、结合各个安全参量的评分和权重计算安全评分,记为当前安全评分。可以理解,经由步骤S101可以得到五个评分,各个评分均对应有权重,由此可以利用这五个评分和五个权重配合计算得到当前安全评分。
步骤S103、基于各个安全参量的评分确定网络系统所属的安全等级,记为当前安全等级。其中,安全等级与评分区间相对应。可以理解,在本方法中,可以对安全评分进行评分区间划分,然后为各个评分区间确定安全等级,但是,评分区间之间并不相交。
步骤S104、判断当前安全评分是否落于与当前安全等级对应的评分区间内,若是,则执行步骤S105。在此值得说明的是,在当前安全评分未落于与当前安全等级对应的评分区间内的情况下,则不限定后续步骤,其可以重新评估,也可以报警通知工作人员,具体在此不做限制。
步骤S105、将当前安全评分作为评估结果。由此可见,对于本方法而言,该评估结果包括:当前安全评分、无结果。
综上,安全参量包括安全防护、安全威胁、资产脆弱性、安全管理、安全响应这五个维度为基础进行安全评估的,从而可以提高评估结果的准确度;本发明可以得到当前安全评分和当前安全等级,且该当前安全等级用于检验当前安全评分,从而提高评估结果的准确度的可信度。
值得说明的是,该方法的步骤是基于执行设备完成的。具体地,该执行设备可以为服务器、云服务器、用户端以及处理器等设备,但该执行设备不限于上述类型。
可以理解,在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
实施例二
本实施例二提供了一种网络系统安全评估方法,本实施例二是在实施例一的基础上进行的。
参照图1所示,在步骤S101中,“基于待处理数据计算安全防护的评分”可以记为第一步骤,该第一步骤具体可以包括以下步骤。
基于待处理数据计算完备率权重和工作率权重。其中,
Figure 776994DEST_PATH_IMAGE016
Figure 377740DEST_PATH_IMAGE017
,Sdp为设备完备率,Sdl为实际部署 的设备类型数,Sdtotal为标准部署的设备类型数,Sdw为设备工作率,Sdc为受监控的设备 数量,Sdwc为在受监控设备中处于工作状态的设备数量。
查询完备率权重和工作率权重,并利用第一公式组计算安全防护的评分,其中,第 一公式组包括:
Figure 106661DEST_PATH_IMAGE018
Figure 14837DEST_PATH_IMAGE004
,U1为安全防护的评分,Y为常数 且Y≠0,VSdp为完备率权重,VSdw为工作率权重,
Figure 778393DEST_PATH_IMAGE008
,xjmax为最大的xj,xjmin为最小 的xj
在此值得说明的是,对于该网络系统而言,该设备类型可以包括:VPN设备入侵检测(IDS)、安全隔离与信息交换(网闸)、入侵防御(IPS)、区防火墙(FW)、安全防护网关(UTM)、Web应用安全网关(WAF)等。
安全防护通常取决于设备的安装情况,例如:标准部署的设备类型数、实际部署的设备类型数、受监控的设备数量、在受监控设备中处于工作状态的设备数量。待处理数据可以直接包括上述信息,或可以在处理之后包括上述信息。其中,标准部署的设备类型数为该网络系统应当部署的设备的类型数。
完备率权重和工作率权重的计算可以参照下表1所示,Sdl=10,Sdtotal=10+90=100,Sdp=10/100=0.1,Sdc=10+0+0=10,Sdwc=10,Sdw=10/10=1。
Figure 550040DEST_PATH_IMAGE019
表1
可以理解,完备率权重和工作率权重的权重可以由工作人员设定,例如:VSdp=0.64,VSdw=0.36,当然,可以根据实际情况进行调整,只要VSdp+Sdw=1即可。在此值得说明的是,在第一步骤之中,对于该f(xj)而言,xjmax≥xj≥xjmin,xjmax为最大的xj,xjmin为最小的xj,其中,xjmin=1,xjmax=1。参照上表1所示,f(0.1)=0.02,f(1)=1,则U1=Y*(0.02*0.64+1*0.36)=0.3728*Y。在此值得说明的是,U1根据f(xj)、U1的小数点位数要求可能存在一定的差别。
通过本技术方案,在当前安全评分中引入安全防护的维度,相应地,该安全防护的评分越高,则当前安全评分越高,从而提高该方法评估结果的准确度。
作为可选的实施方式,参照图1所示,在步骤S101中,“基于待处理数据计算安全威胁的评分”可以记为第二步骤,该第二步骤具体可以包括以下步骤。
基于待处理数据统计各个攻击类型的事件数量,并查询各个攻击类型对应的攻击等级。攻击类型可以包括网络蠕虫、威胁邮件、流氓软件、垃圾信息等,当然,该攻击类型不限于上述类型。可以理解,一个攻击类型与一个攻击等级相对应。在此值得说明的是,该网络系统的安全评估应当是在评估时间段内,相应地,待处理数据中的数据发生时间也应当在该预估时间段内,而其他安全参量也应当符合上述评估时间段。例如:收集的攻击类型的事件数量在该评估时间段内。
利用第二公式组计算安全威胁的评分,其中,第二公式组包括:
Figure 703941DEST_PATH_IMAGE020
Figure 852026DEST_PATH_IMAGE004
Figure 532406DEST_PATH_IMAGE021
,xjmax为最大的 xj,xjmin为最小的xj,U2为安全威胁的评分,Bi为第i个攻击类型的攻击等级,Ai为第i个攻击 类型的事件数量,Y为常数且Y≠0。
Figure 474954DEST_PATH_IMAGE022
表2
参照上述表2,在第二步骤之中,对于该f(xj)而言,xjmax≥xj≥xjmin,其中,xjmax=5, xjmin=1,相应地,
Figure 178468DEST_PATH_IMAGE023
,则
Figure 802347DEST_PATH_IMAGE024
,在此值得说明的是,U2根据f(xj)等的小数 点位数要求可能存在一定的差别。
通过本技术方案,在当前安全评分中引入安全威胁的维度,相应地,该安全威胁的评分越高,则当前安全评分越低,从而提高该方法评估结果的准确度。
作为可选的实施方式,参照图1所示,在步骤S101中,“基于待处理数据计算资产脆弱性的评分”可以记为第三步骤,该第三步骤具体可以包括以下步骤。
基于待处理数据筛选状态为已评价的资产,并记为待处理资产。在此值得说明的是,该评价可以由人工评价,也可以由系统自动评价,具体在此不做限制。
统计待处理资产的总数量,并查询各个待处理资产的脆弱分。在此对任意待处理资产的脆弱分进行举例说明;脆弱分=(2*lg(10*高危漏洞个数)+1*lg(10*中危漏洞个数)+0.5*lg(10*低危漏洞个数)+0.3*lg(10*开放端口个数))*资产重要性*2,其中,资产重要性的取值在{1,2,3,4,5},通常默认为3;在此值得说明的是,当脆弱分>60时,则该脆弱分更新为60。
用第三公式组计算资产脆弱性的评分,其中,第三公式组包括:
Figure 274917DEST_PATH_IMAGE025
Figure 653945DEST_PATH_IMAGE014
, U3为资产脆弱性的评分,Ci为第i个待处理资产的脆弱分,D为脆弱分的最大值,k为待处理 资产的总数量,Y为常数且Y≠0。
在第三步骤之中,对于该f(xj)而言,xjmax≥xj≥xjmin,xjmax为最大的xj,xjmin为最小 的xj,其中,xjmax=60,xjmin=0,相应地,在
Figure 907072DEST_PATH_IMAGE026
的情况下,则
Figure 131380DEST_PATH_IMAGE027
,在此值得说明的是,U3根据f(xj)等的小数点位数要求可能存在一定的差 别。
通过本技术方案,在当前安全评分中引入资产脆弱性的维度,相应地,该资产脆弱性的评分越高,则当前安全评分越低,从而提高该方法评估结果的准确度。
作为可选的实施方式,参照图1所示,在步骤S101中,“基于待处理数据计算安全管理的评分”可以记为第四步骤,该第四步骤具体可以包括以下步骤。
基于待处理数据查询安全管理项目的标准得分和实际得分。其中,在此值得说明的是,安全管理项目可以包括日常网络安全管理情况、网络安全防护情况、网络安全应急工作情况、网络安全教育培训情况、信息技术安全产品应用情况、网络安全经费预算投入情况、安全运营情况等。
利用第四公式组计算安全管理项目的评分。其中,第四公式组包括:
Figure 458456DEST_PATH_IMAGE028
,U4 为安全管理的评分,E为安全管理项目的实际得分,G为安全管理项目的标准得分,Y为常数 且Y≠0。
在此对安全管理项目的得分进行举例说明:在安全管理项目仅包括日常网络安全管理情况、网络安全防护情况、网络安全应急工作情况的情况下,则E=日常网络安全管理情况的实际得分+网络安全防护情况的实际得分+网络安全应急工作情况的实际得分,G=日常网络安全管理情况的标准得分+网络安全防护情况的标准得分+网络安全应急工作情况的标准得分,该标准得分即为满分。例如:E=113,G=114的情况下,U4=0.991Y,U4根据E/G的小数点位数要求可能存在一定的差别。
通过本技术方案,在当前安全评分中引入安全管理的维度,相应地,该安全管理的评分越高,则当前安全评分越高,从而提高该方法评估结果的准确度。
作为可选的实施方式,参照图1所示,在步骤S101中,“基于待处理数据计算安全响应的评分”可以记为第五步骤,该第五步骤具体可以包括以下步骤。
基于待处理数据汇总各个预警级别的预警事件的总数量、各个预警级别完成响应的预警事件的数量、各个预警级别在预设时间段内完成响应的预警事件的数量;
查询与各个预警级别对应的单一完成率权重、与各个预警级别对应的单一及时率权重、完成率总权重、及时率总权重,其中,单一及时率权重、完成率总权重、及时率总权重可以由工作人员根据实际情况设定,具体在此不做限定。
利用第五公式组计算安全响应的评分,其中,第五公式组包括:
Figure 946069DEST_PATH_IMAGE029
Figure 358596DEST_PATH_IMAGE014
Figure 245650DEST_PATH_IMAGE030
Figure 630495DEST_PATH_IMAGE011
,xjmax为最大的xj, xjmin为最小的xj,U5为安全响应的评分,Li为第i个预警级别完成响应的预警事件的数量, ALi为第i个预警级别的预警事件的总数量,Ri为第i个预警级别在预设时间段内处理完成的 预警事件的数量,SLi为与第i个预警级别对应的单一完成率权重,RLi为与第i个预警级别对 应的单一及时率权重,Q为完成率总权重,W为及时率总权重,Y为常数且Y≠0,在此值得说明 的是,单一完成率权重之和应当为1,单一及时率权重之和应当为1,完成率总权重和及时率 总权重之和应当为1。
Figure 820167DEST_PATH_IMAGE031
表3
如表3所示,该预警级别不限于蓝色预警,还可以包括红色预警、橙色预警等,相应地,可以计算出P和Q。通过本技术方案,在当前安全评分中引入安全响应的维度,相应地,该安全响应的评分越高,则当前安全评分越高,从而提高该方法评估结果的准确度。
在此可以进行举例说明,该预警级别包括:红色预警、橙色预警、黄色预警、蓝色预警,相应的单一完成率权重分别为:0.4、0.3、0.2、0.1,相应的单一及时率权重分别为:0.4、0.3、0.2、0.1,完成率总权重为0.64,及时率总权重为0.36。
实施例三
本实施例三提供一种网络系统安全评估方法,本实施例三在实施例一和/或实施例二的基础上进行的。
结合上述五个维度的得分和权重,可以得到当前安全评分。在此可以进行举例说明,当Y=10的情况下,即该当前安全评分采用10分制的情况下,则U1=3.76,S1=0.4183;U2=6.35,S2=0.2964;U3=3.83,S3=0.0410;U4=9.91,S4=0.0681;U5=8.89,S5=0.161,则当前安全评分=U1*S1+U2*S2+U3*S3+U4*S4+U5*S5=5.85,在此值得说明的是,上述各个数值的小数点位数会对该当前安全评分具有影响。
作为可选的实施方式,上述各个维度的权重可以直接由人工设定,也可以有程序自动生成,在此以程序自动生成为例进行说明:
Figure 985570DEST_PATH_IMAGE032
表4
如表4所示,根据各个安全参量的重要程度构建指标判断矩阵,各个安全维度的重要程度与1-9呈正反馈,然后对上述判断矩阵进行归一化处理,以得到各个安全参量的权重,具体过程在此不做赘述。
作为可选的实施方式,对于步骤S103,其包括以下步骤:
对于任意安全等级,查询安全等级的隶属函数,并基于隶属函数和各个安全参量的评分计算得到匹配度。
将与最高匹配度对应的安全等级作为当前安全等级。
以下采用柯西函数为例进行说明:安全等级分为4级,具体参见下表5。
Figure 389830DEST_PATH_IMAGE033
表5
通过上述表5,可以得到以下表6,
Figure 957078DEST_PATH_IMAGE034
表6
其中,安全等级α对应的安全评分区间为9~10,安全等级β对应的安全评分区间为7.5~9,安全等级γ对应的安全评分区间为6~7.5,安全等级δ对应的安全评分区间为0~6。对于同一安全等级,计算同列V值之和,并记为K,K值即为匹配度。
相应地,Kα=0.000+0.000+0.000+0.991+0.878=0.222,Kβ=0.147,Kγ=0.281,Kδ=0.541,由于Kδ为最大值。由此可见,当前安全等级为δ,相应地,当前安全评分为5.85,其属于当前安全等级为δ对应的安全评分区间内,即当前安全评分与当前安全等级相适配,则当前安全评分可以作为评估结果输出。
实施例四
本实施例四提供一种网络系统安全评估装置,其为上述实施例的虚拟装置结构。图2是本申请实施例四所示网络系统安全评估装置的结构框图,参照图2所示,该装置包括:获取模块21、结合模块22、处理模块23、判断模块24。
获取模块21,用于获取待处理数据,并基于待处理数据计算各个安全参量的评分,安全参量包括安全防护、安全威胁、资产脆弱性、安全管理、安全响应;
结合模块22,用于结合各个安全参量的评分和权重计算安全评分,记为当前安全评分;
处理模块23,用于基于各个安全参量的评分确定网络系统所属的安全等级,记为当前安全等级,其中,安全等级与评分区间相对应;
判断模块24,用于判断当前安全评分是否落于与当前安全等级对应的评分区间内,若是,则将当前安全评分作为评估结果。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
实施例五
本实施例五提供了一种电子设备,图2是本申请实施例五所示电子设备的结构框图,参照图2所示,该电子设备包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行实现上述实施例中的任意一种网络系统安全评估方法,具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
可选地,上述电子设备还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
另外,结合上述实施例中的网络系统安全评估方法,本申请实施例五可提供一种存储介质来实现。该存储介质上存储有计算机程序;该计算机程序被处理器执行时实现上述实施例中的任意一种网络系统安全评估方法,该方法包括:
获取待处理数据,并基于待处理数据计算各个安全参量的评分,安全参量包括安全防护、安全威胁、资产脆弱性、安全管理、安全响应;
结合各个安全参量的评分和权重计算安全评分,记为当前安全评分;
基于各个安全参量的评分确定网络系统所属的安全等级,记为当前安全等级,其中,安全等级与评分区间相对应;
判断当前安全评分是否落于与当前安全等级对应的评分区间内,若是,则将当前安全评分作为评估结果。
如图2所示,以一个处理器为例,电子设备中的处理器、存储器、输入装置和输出装置可以通过总线或其他方式连接,图2中以通过总线连接为例。
存储器作为一种计算机可读存储介质,可以包括高速随机存取存储器、非易失性存储器等,可用于存储操作系统、软件程序、计算机可执行程序和数据库,如本发明实施例一的网络系统安全评估方法对应的程序指令/模块,还可以包括内存,可用于为操作系统和计算机程序提供运行环境。在一些实例中,存储器可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至电子设备。
处理器用于提供计算和控制能力,可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。处理器通过运行存储在存储器中的计算机可执行程序、软件程序、指令以及模块,从而执行电子设备的各种功能应用以及数据处理,即实现实施例一的网络系统安全评估方法。
该电子设备的输出装置可以是液晶显示屏或者电子墨水显示屏,该电子设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
该电子设备还可包括网络接口/通信接口,该电子设备的网络接口用于与外部的终端通过网络连接通信。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
本领域技术人员可以理解,图2中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的电子设备的限定,具体的电子设备可以包括比图中更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,该计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)、DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
值得注意的是,在该网络系统安全评估方法的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (9)

1.一种网络系统安全评估方法,其特征在于,所述方法包括:
获取待处理数据,并基于所述待处理数据计算各个安全参量的评分,所述安全参量包括安全防护、安全威胁、资产脆弱性、安全管理、安全响应;
结合各个所述安全参量的评分和权重计算安全评分,记为当前安全评分;
基于各个所述安全参量的评分确定所述网络系统所属的安全等级,记为当前安全等级,其中,所述安全等级与评分区间相对应;
判断所述当前安全评分是否落于与所述当前安全等级对应的评分区间内,若是,则将所述当前安全评分作为评估结果;
所述基于各个所述安全参量的评分确定所述网络系统所属的安全等级包括;
对于任意安全等级,查询所述安全等级的隶属函数,并基于所述隶属函数和各个所述安全参量的评分计算得到匹配度;
将与最高匹配度对应的安全等级作为所述当前安全等级。
2.根据权利要求1所述的方法,其特征在于,基于所述待处理数据计算所述安全防护的评分包括:
基于所述待处理数据计算设备完备率和设备工作率,其中,
Figure DEST_PATH_IMAGE002
Figure DEST_PATH_IMAGE004
,Sdp为所述设备完备率,Sdl为实际部署的设备类型数,Sdtotal为标准部署的设备类型数,Sdw为所述设备工作率,Sdc为受监控的设备数量,Sdwc为在受监控设备中处于工作状态的设备数量;
查询完备率权重和工作率权重,并利用第一公式组计算所述安全防护的评分,其中,所述第一公式组包括:
Figure DEST_PATH_IMAGE006
Figure DEST_PATH_IMAGE008
Figure DEST_PATH_IMAGE010
,U1为所述安全防护的评分,Y为常数且Y≠0,VSdp为所述完备率权重,VSdw为所述工作率权重。
3.根据权利要求1所述的方法,其特征在于,基于所述待处理数据计算所述安全威胁的评分包括:
基于所述待处理数据统计各个攻击类型的事件数量,并查询各个攻击类型对应的攻击等级;
利用第二公式组计算所述安全威胁的评分,其中,所述第二公式组包括:
Figure DEST_PATH_IMAGE012
Figure 467175DEST_PATH_IMAGE008
Figure DEST_PATH_IMAGE013
,U2为所述安全威胁的评分,Bi为第i个攻击类型的攻击等级,Ai为第i个攻击类型的事件数量,Y为常数且Y≠0。
4.根据权利要求1所述的方法,其特征在于,基于所述待处理数据计算所述资产脆弱性的评分包括:
基于所述待处理数据筛选状态为已评价的资产,并记为待处理资产;
统计所述待处理资产的总数量,并查询各个所述待处理资产的脆弱分;
利用第三公式组计算所述资产脆弱性的评分,其中,所述第三公式组包括:
Figure DEST_PATH_IMAGE015
Figure DEST_PATH_IMAGE016
Figure 820533DEST_PATH_IMAGE013
,U3为所述资产脆弱性的评分,Ci为第i个所述待处理资产的脆弱分,D为脆弱分的最大值,k为所述待处理资产的总数量,Y为常数且Y≠0。
5.根据权利要求1所述的方法,其特征在于,基于所述待处理数据计算所述安全管理的评分包括:
基于所述待处理数据查询安全管理项目的标准得分和实际得分;
利用第四公式组计算所述安全管理项目的评分,其中,所述第四公式组包括:
Figure DEST_PATH_IMAGE018
,U4为所述安全管理的评分,E为所述安全管理项目的实际得分,G为所述安全管理项目的标准得分,Y为常数且Y≠0。
6.根据权利要求1所述的方法,其特征在于,基于所述待处理数据计算所述安全响应的评分包括:
基于所述待处理数据汇总各个预警级别的预警事件的总数量、各个预警级别完成响应的预警事件的数量、各个预警级别在预设时间段内完成响应的预警事件的数量;
查询与各个预警级别对应的单一完成率权重、与各个预警级别对应的单一及时率权重、完成率总权重、及时率总权重;
利用第五公式组计算所述安全响应的评分,其中,所述第五公式组包括:
Figure DEST_PATH_IMAGE020
Figure DEST_PATH_IMAGE021
Figure DEST_PATH_IMAGE023
Figure DEST_PATH_IMAGE024
,U5为所述安全响应的评分,Li为第i个预警级别完成响应的预警事件的数量,ALi为第i个预警级别的预警事件的总数量,Ri为第i个预警级别在预设时间段内完成响应的预警事件的数量,SLi为与第i个预警级别对应的单一完成率权重,RLi为与第i个预警级别对应的单一及时率权重,Q为所述完成率总权重,W为所述及时率总权重,Y为常数且Y≠0。
7.一种网络系统安全评估装置,其特征在于,所述装置包括:
获取模块,用于获取待处理数据,并基于所述待处理数据计算各个安全参量的评分,所述安全参量包括安全防护、安全威胁、资产脆弱性、安全管理、安全响应;
结合模块,用于结合各个所述安全参量的评分和权重计算安全评分,记为当前安全评分;
处理模块,用于基于各个所述安全参量的评分确定所述网络系统所属的安全等级,记为当前安全等级,其中,所述安全等级与评分区间相对应;
判断模块,用于判断所述当前安全评分是否落于与所述当前安全等级对应的评分区间内,若是,则将所述当前安全评分作为评估结果。
8.一种电子设备,其包括存储器和处理器,其特征在于,所处存储器中存储有计算机程序,所述处理器被设置为执行所述计算机程序时实现权利要求1至6中任意一项所述的方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任意一项所述的方法。
CN202110317038.1A 2021-03-25 2021-03-25 网络系统安全评估方法、装置、电子设备及介质 Active CN112702366B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110317038.1A CN112702366B (zh) 2021-03-25 2021-03-25 网络系统安全评估方法、装置、电子设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110317038.1A CN112702366B (zh) 2021-03-25 2021-03-25 网络系统安全评估方法、装置、电子设备及介质

Publications (2)

Publication Number Publication Date
CN112702366A CN112702366A (zh) 2021-04-23
CN112702366B true CN112702366B (zh) 2021-07-20

Family

ID=75515766

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110317038.1A Active CN112702366B (zh) 2021-03-25 2021-03-25 网络系统安全评估方法、装置、电子设备及介质

Country Status (1)

Country Link
CN (1) CN112702366B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113343243A (zh) * 2021-04-29 2021-09-03 浙江乾冠信息安全研究院有限公司 机构风险评估方法、装置、电子设备及介质
CN115549951B (zh) * 2022-08-15 2023-06-16 国家管网集团北方管道有限责任公司 一种用于工业控制系统的网络安全测评方法及系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101459537A (zh) * 2008-12-20 2009-06-17 中国科学技术大学 基于多层次多角度分析的网络安全态势感知系统及方法
CN102457515A (zh) * 2011-07-01 2012-05-16 中国人民解放军国防科学技术大学 多维网络安全指标体系正确性评估方法
CN102457411A (zh) * 2011-10-14 2012-05-16 中国人民解放军国防科学技术大学 基于不确定数据的网络安全态势模糊评估方法
CN102457412A (zh) * 2011-10-14 2012-05-16 中国人民解放军国防科学技术大学 基于指标体系的大规模网络安全态势评估方法
CN105635112A (zh) * 2015-12-18 2016-06-01 国家电网公司 信息系统安全性能的评估方法
CN108430069A (zh) * 2018-02-11 2018-08-21 重庆邮电大学 一种v2x网络性能测试及综合评价分析方法
CN111143775A (zh) * 2019-12-27 2020-05-12 成都康赛信息技术有限公司 一种基于隶属度及权数的综合评判方法
CN111680863A (zh) * 2020-04-26 2020-09-18 南京南数数据运筹科学研究院有限公司 基于层次分析法的网络环境安全状况评估方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101727627A (zh) * 2009-12-16 2010-06-09 工业和信息化部电子第五研究所 一种基于组合评估法的信息系统安全风险评估模型
US11080718B2 (en) * 2012-09-28 2021-08-03 Rex Wiig System and method of a requirement, active compliance and resource management for cyber security application
CN108288122B (zh) * 2018-01-12 2021-10-12 南方电网科学研究院有限责任公司 一种多区域互联系统的评估方法和装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101459537A (zh) * 2008-12-20 2009-06-17 中国科学技术大学 基于多层次多角度分析的网络安全态势感知系统及方法
CN102457515A (zh) * 2011-07-01 2012-05-16 中国人民解放军国防科学技术大学 多维网络安全指标体系正确性评估方法
CN102457411A (zh) * 2011-10-14 2012-05-16 中国人民解放军国防科学技术大学 基于不确定数据的网络安全态势模糊评估方法
CN102457412A (zh) * 2011-10-14 2012-05-16 中国人民解放军国防科学技术大学 基于指标体系的大规模网络安全态势评估方法
CN105635112A (zh) * 2015-12-18 2016-06-01 国家电网公司 信息系统安全性能的评估方法
CN108430069A (zh) * 2018-02-11 2018-08-21 重庆邮电大学 一种v2x网络性能测试及综合评价分析方法
CN111143775A (zh) * 2019-12-27 2020-05-12 成都康赛信息技术有限公司 一种基于隶属度及权数的综合评判方法
CN111680863A (zh) * 2020-04-26 2020-09-18 南京南数数据运筹科学研究院有限公司 基于层次分析法的网络环境安全状况评估方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
基于信息融合的网络安全态势量化评估方法;文志诚等;《北京航空航天大学学报》;20151109;第42卷(第08期);第1593-1602页 *
基于可拓理论的网络安全评估研究;李景智等;《计算机工程与应用》;20111024;第48卷(第21期);第79-82、88页 *

Also Published As

Publication number Publication date
CN112702366A (zh) 2021-04-23

Similar Documents

Publication Publication Date Title
US10404737B1 (en) Method for the continuous calculation of a cyber security risk index
Pandey et al. Cyber security risks in globalized supply chains: conceptual framework
US11637853B2 (en) Operational network risk mitigation system and method
US10178116B2 (en) Automated computer behavioral analysis system and methods
US20190342307A1 (en) System and method for monitoring security attack chains
Baldwin et al. Contagion in cyber security attacks
CN108833416B (zh) 一种scada系统信息安全风险评估方法及系统
CN112702366B (zh) 网络系统安全评估方法、装置、电子设备及介质
Radanliev et al. Cyber Risk in IoT Systems
CN111680863A (zh) 基于层次分析法的网络环境安全状况评估方法
Lavrova et al. Applying correlation and regression analysis to detect security incidents in the internet of things
CN111786974B (zh) 一种网络安全评估方法、装置、计算机设备和存储介质
CN111786950A (zh) 基于态势感知的网络安全监控方法、装置、设备及介质
CN108092985B (zh) 网络安全态势分析方法、装置、设备及计算机存储介质
US20200244693A1 (en) Systems and methods for cybersecurity risk assessment of users of a computer network
CN108108624A (zh) 基于产品和服务的信息安全质量评估方法及装置
CN115630374B (zh) 可信数控系统的测试方法、装置、计算机设备和存储介质
Chen et al. A security, privacy and trust methodology for IIoT
Levshun et al. Design lifecycle for secure cyber-physical systems based on embedded devices
Nelub et al. Economic analysis of data protection in systems with complex architecture using neural network methods.
Danielis et al. An ISO-compliant test procedure for technical risk analyses of IoT systems based on STRIDE
CN106790211B (zh) 一种预测恶意软件感染的统计预测系统和方法
KR102590081B1 (ko) 보안 규제 준수 자동화 장치
CN114817964A (zh) 基于多重复合函数的大数据平台监管方法和装置
Ur-Rehman et al. Cyber resilience modelling for the operations of hybrid network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant