CN115001792A - 一种学习工业互联网安全感知体系的准确性评估方法 - Google Patents
一种学习工业互联网安全感知体系的准确性评估方法 Download PDFInfo
- Publication number
- CN115001792A CN115001792A CN202210592693.2A CN202210592693A CN115001792A CN 115001792 A CN115001792 A CN 115001792A CN 202210592693 A CN202210592693 A CN 202210592693A CN 115001792 A CN115001792 A CN 115001792A
- Authority
- CN
- China
- Prior art keywords
- data
- security
- event
- situation
- industrial internet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/024—Standardisation; Integration using relational databases for representation of network management data, e.g. managing via structured query language [SQL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Software Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种学习工业互联网安全感知体系的准确性评估方法,具体涉及网络安全技术领域,其包括以下步骤:制定感知体系;制定预警方案;制定处理方案;设定事件;实际运作;对比实际运作效率与制定的处理方案;根据对比结果得出准确性评估结论。本发明通过设定学习工业互联网安全感知体系与对应的准确性评估方法,为互联网安全感知体系的运作提供了稳定的基础保障,并且可以校对出其在运作过程中具体环节的不足,方便对互联网安全感知体系的调整提供理论支持与方向定位,极大地提高了本发明在应用时的便捷性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种学习工业互联网安全感知体系的准确性评估方法。
背景技术
工业互联网安全感知系统是通过采集工业互联网流量、计算环境、业务应用、工业互联网资产、审计日志、运行状况、脆弱性、安全事件和威胁情报等数据,利用大数据技术和机器学习技术,分析网络行为及用户行为等因素构成的整个网络当前状态和变化趋势,获取、理解、回溯、显示能够引起工业互联网网络空间态势变化的安全要素,预测网络安全态势发展趋势的平台。
现有技术中的互联网安全感知体系,其在运作的时候要时刻对各种网络攻击数据进行收集、感知与预测,而由于过多的数据,可能会导致预测的准确性存在一定的漏洞,并且应对网络攻击数据时,还可能会出现感知出错,导致管理人员无法及时应对,从而造成网络损失的情况,存在缺陷。
发明内容
本发明的目的是为了解决现有技术中存在的缺点,而提出的一种学习工业互联网安全感知体系的准确性评估方法。
为了实现上述目的,本发明采用了如下技术方案:
一种学习工业互联网安全感知体系的准确性评估方法,包括以下步骤:
S1、制定感知体系;
S2、制定预警方案;
S3、制定处理方案;
S4、设定事件;
S5、实际运作;
S6、对比实际运作效率与制定的处理方案;
S7、根据对比结果得出准确性评估结论。
进一步的:所述步骤S1包括:
S1.1、数据采集:
S1.1.1、采集能力:具有实时采集工业互联网数据包的能力;具有定期采集工业互联网日志的能力,能够解析Modbus/Tcp、Siemens S7、OPC_DA等工控协议;
S1.1.2、采集方式:同时支持被动获取和主动获取两种方式;支持手工录入方式采集数据;支持配置过滤规则对采集数据内容进行过滤。
S1.1.3、数据类型:对不同来源的数据进行收集,包括但不限于:工业互联网资产监测产生的数据、流量监测设备解析流量后生成的数据、日志采集设备输出的日志数据、服务器或网站监测平台产生的告警数据、第三方平台提供的数据、网络安全主管部门发布的数据;支持对不同类型的数据进行收集,包括但不限于:工业互联网资产数据、业务数据、工业控制数据、管理数据、威胁情报数据、企业信息化数据、工业物联网数据;支持至少两种不同类型数据的收集;
S1.2、数据预处理:支持通过配置过滤规则对收集的数据进行筛选;支持对收集的同构、异构数据进行预处理,包括格式统一、数据清洗、数据关联等;支持对数据进行分类分级标识,记录并保存数据收集过程中分类分级的操作过程,对数据分级分类变更的操作记录进行标识;支持对于不同类型的数据进行不同预处理方式,包括实时处理和离线处理等;
S1.3、数据存储:支持结构化数据、半结构化数据和非结构化数据的存储;支持将数据采集层和数据处理层获取的原始数据、预处理后的数据、告警数据进行存储;支持将包括系统的策略数据、组件间调用过程管理数据、平台自身运行数据、用户信息及审计数据等管理数据的存储;支持包括威胁情报库、GIS地理信息库等知识库数据的存储;应能提供原始日志、异常数据、威胁数据的检索,并提供检索接口;保证存储数据的可用性、完整性和保密性;
S1.4、数据共享:支持数据以直接或间接的方式进行数据共享;支持数据以实时或非实时的方式进行数据共享;支持纵向数据共享和横向数据共享两种方式;支持将重大工业网络事件、重大工控系统漏洞数据通过纵向共享的方式上报给上级态势感知系统;支持能够将重大工业网络事件、重大工控漏洞、处置办法等数据通过横向共享的方式发送给同级态势感知系统;支持对数据共享用户、角色的权限设置;保障共享数据信息的真实可靠;支持上报数据可跟踪、可追溯、可审计;
S1.5、态势评估:
S1.5.1、态势评估要求:支持评估两种以上安全态势,包括但不限于资产态势、脆弱性态势、安全事件态势、行为态势等;根据资产的价值和脆弱性态势,计算资产的风险指数,展示工业互联网的风险态势;对各种态势进行综合评估。
S1.5.2、态势评估类别:
S1.5.2.1、资产态势:实时获取当前资产总数,并按区域、类型、重要程度分布进行统计;对每个资产的型号、版本、运行状态等进行识别;对服务的IP的地址以及开放的端口等进行识别;实时呈现工业互联网资产的分布结构。
S1.5.2.2、脆弱性态势:对操作系统、应用和第三方组件存在的常见漏洞进行监测;展示漏洞总体分布、存在高危漏洞的资产、漏洞类型分布、漏洞危害等级等;对系统安全配置的脆弱性进行识别,分析和指出资产存在的安全配置的脆弱性。
S1.5.2.3、安全事件态势:具有从采集的数据中分析出安全事件,对安全事件进行多维度分类处理的能力;安全事件应包含发生时间、源IP、目标IP、区域、域名、事件类型、数量等级等信息;支持对同类安全事件进行合并;对全量安全数据进行分析,确定攻击类型分布和攻击时间段分布情况;评估攻击对资产造成的影响或损害程度。
S1.5.2.4、行为态势:支持对异常行为规则的自定义;从全局角度分析内网异常行为,包括用户行为倾向、访问情况等;对工业互联网的异常行为见统计分析,实时展现发生异常行为的资产、资产类型分布等行为,异常行为包括访问频次超限、访问流量超限、权限异常提升、账户异常更改、日志异常变化、文件外发、非法外联、非法访问、非法文件下载等;
S1.6、态势展示:支持安全态势的实时展示,展示安全态势的细节;支持安全态势可选择性展示,通过过滤条件选择图示的展现内容;支持安全态势的历史回溯与展示,回溯时间可以设置;展示关键数据,包括但不限于资产、脆弱性、安全事件、异常行为的列表与统计值。
进一步的:所述步骤S2包括:
S2.1、根据资产的风险指数和阈值设置情况,进行安全态势预警;
S2.2、根据重大安全事件的信息,进行安全态势预警;
S2.3、建立态势预警分级机制,对不同级别的安全态势进行不同的告警;
S2.4、重大安全事件应上报给上级网络安全监控系统;
S2.5、较大安全事件应该通报给同级及下级网络安全监控系统;
S2.6、支持向单个对象或对象组发送告警通知;
S2.7、支持短信、邮件或IM等告警方式;
S2.8、支持自定义预警规则。
进一步的:所述步骤S3包括:
S3.1、对按照网络安全事件发生后的危害程度、影响范围等因素对事件进行分级;
S3.2、按照网络安全事件的起因、表现、结果等对事件进行分类;
S3.3、提供应急处置过程中需要的基础数据信息;
S3.4、通知网络安全事件发生单位执行处置工作;
S3.5、接收通知,协助处置网络安全事件;
S3.6、对网络安全事件的处置流程进行跟踪和记录;
S3.7、网络安全事件的处置过程和结果记录作为系统的数据源输入到系统中;
S3.8、对安全事件进行实时分析和历史分析。
进一步的:所述步骤S6包括:
S6.1、制定对比项目,包括事件解决耗时统计、人力调用规模评定和人员调动耗时统计;
S6.2、将实际的事件解决耗时、人力调用规模、人员调动耗时,与预定的处理方案进行对比;
S6.3、详细对比事件解决耗时准确比例、人力调用规模准确比例、人员调动耗时比例;
S6.4、对事件处理实际人力物力损耗进行统计,并将统计结果与预定的处理方案中预估的耗损进行对比。
进一步的:所述步骤S7包括:
S7.1、制定三角函数模型,以事件等级为输入的常数,得出的结果为事件解决耗时、人力调用数量、人员调动耗时三者之和与既定的系数之积,该系数根据事件等级变化而呈正比例增长;
S7.2、将设定的事件等级作为常数输入上述三角函数模型中,得出的结果与实际的数值进行对比;
S7.3、计算的结果与实际数值的差值越大则说明准确性越低。
本发明的有益效果为:
本发明通过设定学习工业互联网安全感知体系与对应的准确性评估方法,为互联网安全感知体系的运作提供了稳定的基础保障,并且可以校对出其在运作过程中具体环节的不足,方便对互联网安全感知体系的调整提供理论支持与方向定位,极大地提高了本发明在应用时的便捷性。
附图说明
图1为本发明一种学习工业互联网安全感知体系的准确性评估方法的流程示意图;
图2为本发明的系统安全要求构成示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
实施例1
如图1所示,一种学习工业互联网安全感知体系的准确性评估方法,包括以下步骤:
S1、制定感知体系,用以对基本的互联网数据进行采集与整理,为后续的数据预警方案制定提供对照资料与理论支撑,包括:
S1.1、数据采集,将互联网的数据进行收集,包括以下内容:
S1.1.1、采集能力:具有实时采集工业互联网数据包的能力;具有定期采集工业互联网日志的能力;能够解析Modbus/Tcp、Siemens S7、OPC_DA等工控协议
S1.1.2、采集方式,利用多种方式对数据进行采集,减少遗漏数据,具体包括以下内容:同时支持被动获取(如代理、探针、共享)和主动获取(如扫描)两种方式;支持手工录入方式采集数据;支持配置过滤规则对采集数据内容进行过滤。
S1.1.3、数据类型,针对来源不同、类型不同等数据特征区别对数据进行分项管理,针对具体的数据类型进行分类,具体包括以下内容:对不同来源的数据进行收集,包括但不限于:工业互联网资产监测产生的数据、流量监测设备解析流量后生成的数据、日志采集设备输出的日志数据、服务器或网站监测平台产生的告警数据、第三方平台提供的数据、网络安全主管部门发布的数据;支持对不同类型的数据进行收集,包括但不限于:工业互联网资产数据、业务数据(产品研发数据、生产制造数据、供应链数据以及客户服务数据)、工业控制数据(工业控制协议和关键工业事件)、管理数据(ERP数据、MES数据、)、威胁情报数据(公开漏洞、安全事件、通报预警、信息发布)、企业信息化数据(门户网站数据、办公系统数据等)、工业物联网数据(安防设备数据、传感器设备数据等);支持至少两种不同类型数据的收集;
S1.2、数据预处理,对数据进行预先处理,方便后的数据应用,具体包括以下内容:支持通过配置过滤规则对收集的数据进行筛选;支持对收集的同构、异构数据进行预处理,包括格式统一、数据清洗、数据关联等;支持对数据进行分类分级标识,记录并保存数据收集过程中分类分级的操作过程,对数据分级分类变更的操作记录进行标识;支持对于不同类型的数据进行不同预处理方式,包括实时处理和离线处理等;
S1.3、数据存储:支持结构化数据、半结构化数据和非结构化数据的存储;支持将数据采集层和数据处理层获取的原始数据、预处理后的数据、告警数据进行存储;支持将包括系统的策略数据、组件间调用过程管理数据、平台自身运行数据、用户信息及审计数据等管理数据的存储;支持包括威胁情报库、GIS地理信息库等知识库数据的存储;应能提供原始日志、异常数据、威胁数据的检索,并提供检索接口;保证存储数据的可用性、完整性和保密性;
S1.4、数据共享:支持数据以直接或间接的方式进行数据共享;支持数据以实时或非实时的方式进行数据共享;支持纵向数据共享和横向数据共享两种方式;支持将重大工业网络事件、重大工控系统漏洞数据通过纵向共享的方式上报给上级态势感知系统;支持能够将重大工业网络事件、重大工控漏洞、处置办法等数据通过横向共享的方式发送给同级态势感知系统;支持对数据共享用户、角色的权限设置;保障共享数据信息的真实可靠;支持上报数据可跟踪、可追溯、可审计;
S1.5、态势评估:
S1.5.1、态势评估要求:
支持评估两种以上安全态势,包括但不限于资产态势、脆弱性态势、安全事件态势、行为态势等;根据资产的价值和脆弱性态势,计算资产的风险指数,展示工业互联网的风险态势;对各种态势进行综合评估。
S1.5.2、态势评估类别:
S1.5.2.1、资产态势:实时获取当前资产总数,并按区域、类型、重要程度分布进行统计;对每个资产的型号、版本、运行状态等进行识别;对服务的IP的地址以及开放的端口等进行识别;实时呈现工业互联网资产的分布结构。
S1.5.2.2、脆弱性态势:对操作系统、应用和第三方组件存在的常见漏洞进行监测;展示漏洞总体分布、存在高危漏洞的资产、漏洞类型分布、漏洞危害等级等;对系统安全配置的脆弱性进行识别,分析和指出资产存在的安全配置的脆弱性。
S1.5.2.3、安全事件态势
具有从采集的数据中分析出安全事件,对安全事件进行多维度(种类、地域、威胁类型、资产等)分类处理的能力;安全事件应包含发生时间、源IP、目标IP、区域、域名、事件类型、数量等级等信息;支持对同类安全事件进行合并;对全量安全数据进行分析,确定攻击类型分布和攻击时间段分布情况;评估攻击对资产造成的影响或损害程度。
S1.5.2.4、行为态势:支持对异常行为规则的自定义;从全局角度分析内网异常行为,包括用户行为倾向、访问情况等;对工业互联网的异常行为见统计分析,实时展现发生异常行为的资产、资产类型分布等行为,异常行为包括访问频次超限、访问流量超限、权限异常提升、账户异常更改、日志异常变化、文件外发、非法外联、非法访问、非法文件下载等;
S1.6、态势展示:支持安全态势的实时展示,展示安全态势的细节;支持安全态势可选择性展示,通过过滤条件选择图示的展现内容;支持安全态势的历史回溯与展示,回溯时间可以设置;展示关键数据,包括但不限于资产、脆弱性、安全事件、异常行为的列表与统计值;
S2、制定预警方案,包括:
S2.1、根据资产的风险指数和阈值设置情况,进行安全态势预警;
S2.2、根据重大安全事件的信息,进行安全态势预警;
S2.3、建立态势预警分级机制,对不同级别的安全态势进行不同的告警;
S2.4、重大安全事件应上报给上级网络安全监控系统;
S2.5、较大安全事件应该通报给同级及下级网络安全监控系统;
S2.6、支持向单个对象或对象组发送告警通知;
S2.7、支持短信、邮件或IM等告警方式;
S2.8、支持自定义预警规则;
S3、制定处理方案,包括:
S3.1、对按照网络安全事件发生后的危害程度、影响范围等因素对事件进行分级;
S3.2、按照网络安全事件的起因、表现、结果等对事件进行分类;
S3.3、提供应急处置过程中需要的基础数据信息;
S3.4、通知网络安全事件发生单位执行处置工作;
S3.5、接收通知,协助处置网络安全事件;
S3.6、对网络安全事件的处置流程进行跟踪和记录;
S3.7、网络安全事件的处置过程和结果记录作为系统的数据源输入到系统中;
S3.8、对安全事件进行实时分析和历史分析;
S4、设定事件;
S5、实际运作;
S6、对比实际运作效率与制定的处理方案,包括:
S6.1、制定对比项目,包括事件解决耗时统计、人力调用规模评定和人员调动耗时统计;
S6.2、将实际的事件解决耗时、人力调用规模、人员调动耗时,与预定的处理方案进行对比;
S6.3、详细对比事件解决耗时准确比例、人力调用规模准确比例、人员调动耗时比例;
S6.4、对事件处理实际人力物力损耗进行统计,并将统计结果与预定的处理方案中预估的耗损进行对比;
S7、根据对比结果得出准确性评估结论,包括:
S7.1、制定三角函数模型,以事件等级为输入的常数,得出的结果为事件解决耗时、人力调用数量、人员调动耗时三者之和与既定的系数之积,该系数根据事件等级变化而呈正比例增长;
S7.2、将设定的事件等级作为常数输入上述三角函数模型中,得出的结果与实际的数值进行对比;
S7.3、计算的结果与实际数值的差值越大则说明准确性越低。
实施例2
如图2所示,本发明还包括系统安全要求,其包括以下内容:
A1、身份鉴别:
对登录的用户进行身份标识和鉴别,身份标识具有唯一性,鉴别信息具有复杂度要求并定期更换;提供并启用登录失败处理功能,多次登录失败后采取必要的保护措施;强制用户首次登录时修改初始口令;用户身份鉴别信息丢失或失效时,采用技术措施确保鉴别信息重置过程的安全。
A2、访问控制:
提供访问控制功能,对登录的用户分配账户和权限;重命名或删除默认账户,修改默认账户的默认口令;及时删除或停用多余的、过期的账户,避免共享账户的存在;授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
A3、安全审计:
提供安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;审计记录包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;确保审计记录的留存时间符合法律法规要求。
A4、数据安全性:采用密码技术保证重要数据在传输过程和存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;提供重要数据的数据备份与恢复功能;保证存有鉴别信息和敏感信息的存储空间被释放或重新分配前得到完全清除。
A5、系统安全防范:遵循最小安装的原则,仅安装需要的组件和用程序;关闭不需要的系统服务、默认共享和高危端口;通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;采用免受恶意代码攻击的技术措施或可信验证机制保护态势感知系统免受恶意代码攻击
本发明在使用时:
本发明通过设定学习工业互联网安全感知体系与对应的准确性评估方法,为互联网安全感知体系的运作提供了稳定的基础保障,并且可以校对出其在运作过程中具体环节的不足,方便对互联网安全感知体系的调整提供理论支持与方向定位,极大地提高了本发明在应用时的便捷性。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。
Claims (6)
1.一种学习工业互联网安全感知体系的准确性评估方法,其特征在于,包括以下步骤:
S1、制定感知体系;
S2、制定预警方案;
S3、制定处理方案;
S4、设定事件;
S5、实际运作;
S6、对比实际运作效率与制定的处理方案;
S7、根据对比结果得出准确性评估结论。
2.根据权利要求1所述的一种学习工业互联网安全感知体系的准确性评估方法,其特征在于,所述步骤S1包括:
S1.1、数据采集:
S1.1.1、采集能力:实时采集工业互联网数据包;定期采集工业互联网日志;解析Modbus/Tcp、Siemens S7、OPC_DA等工控协议;
S1.1.2、采集方式:同时支持被动获取和主动获取两种方式;支持手工录入方式采集数据;支持配置过滤规则对采集数据内容进行过滤;
S1.1.3、数据类型:对不同来源的数据进行收集,包括但不限于:工业互联网资产监测产生的数据、流量监测设备解析流量后生成的数据、日志采集设备输出的日志数据、服务器或网站监测平台产生的告警数据、第三方平台提供的数据、网络安全主管部门发布的数据;支持对不同类型的数据进行收集,包括但不限于:工业互联网资产数据、业务数据、工业控制数据、管理数据、威胁情报数据、企业信息化数据、工业物联网数据;支持至少两种不同类型数据的收集;
S1.2、数据预处理:支持通过配置过滤规则对收集的数据进行筛选;支持对收集的同构、异构数据进行预处理,包括格式统一、数据清洗、数据关联等;支持对数据进行分类分级标识,记录并保存数据收集过程中分类分级的操作过程,对数据分级分类变更的操作记录进行标识;支持对于不同类型的数据进行不同预处理方式,包括实时处理和离线处理等;
S1.3、数据存储:支持结构化数据、半结构化数据和非结构化数据的存储;支持将数据采集层和数据处理层获取的原始数据、预处理后的数据、告警数据进行存储;支持将包括系统的策略数据、组件间调用过程管理数据、平台自身运行数据、用户信息及审计数据等管理数据的存储;支持包括威胁情报库、GIS地理信息库等知识库数据的存储;应能提供原始日志、异常数据、威胁数据的检索,并提供检索接口;保证存储数据的可用性、完整性和保密性;
S1.4、数据共享:支持数据以直接或间接的方式进行数据共享;支持数据以实时或非实时的方式进行数据共享;支持纵向数据共享和横向数据共享两种方式;支持将重大工业网络事件、重大工控系统漏洞数据通过纵向共享的方式上报给上级态势感知系统;支持能够将重大工业网络事件、重大工控漏洞、处置办法等数据通过横向共享的方式发送给同级态势感知系统;支持对数据共享用户、角色的权限设置;保障共享数据信息的真实可靠;支持上报数据可跟踪、可追溯、可审计;
S1.5、态势评估:
S1.5.1、态势评估要求:支持评估两种以上安全态势,包括但不限于资产态势、脆弱性态势、安全事件态势、行为态势等;根据资产的价值和脆弱性态势,计算资产的风险指数,展示工业互联网的风险态势;对各种态势进行综合评估;
S1.5.2、态势评估类别:
S1.5.2.1、资产态势:实时获取当前资产总数,并按区域、类型、重要程度分布进行统计;对每个资产的型号、版本、运行状态等进行识别;对服务的IP的地址以及开放的端口等进行识别;实时呈现工业互联网资产的分布结构;
S1.5.2.2、脆弱性态势:对操作系统、应用和第三方组件存在的常见漏洞进行监测;展示漏洞总体分布、存在高危漏洞的资产、漏洞类型分布、漏洞危害等级等;对系统安全配置的脆弱性进行识别,分析和指出资产存在的安全配置的脆弱性;
S1.5.2.3、安全事件态势:具有从采集的数据中分析出安全事件,对安全事件进行多维度分类处理的能力;安全事件应包含发生时间、源IP、目标IP、区域、域名、事件类型、数量等级等信息;支持对同类安全事件进行合并;对全量安全数据进行分析,确定攻击类型分布和攻击时间段分布情况;评估攻击对资产造成的影响或损害程度;
S1.5.2.4、行为态势:支持对异常行为规则的自定义;从全局角度分析内网异常行为,包括用户行为倾向、访问情况等;对工业互联网的异常行为见统计分析,实时展现发生异常行为的资产、资产类型分布等行为,异常行为包括访问频次超限、访问流量超限、权限异常提升、账户异常更改、日志异常变化、文件外发、非法外联、非法访问、非法文件下载等;
S1.6、态势展示:支持安全态势的实时展示,展示安全态势的细节;支持安全态势可选择性展示,通过过滤条件选择图示的展现内容;支持安全态势的历史回溯与展示,回溯时间可以设置;展示关键数据,包括但不限于资产、脆弱性、安全事件、异常行为的列表与统计值。
3.根据权利要求1所述的一种学习工业互联网安全感知体系的准确性评估方法,其特征在于,所述步骤S2包括:
S2.1、根据资产的风险指数和阈值设置情况,进行安全态势预警;
S2.2、根据重大安全事件的信息,进行安全态势预警;
S2.3、建立态势预警分级机制,对不同级别的安全态势进行不同的告警;
S2.4、重大安全事件应上报给上级网络安全监控系统;
S2.5、较大安全事件应该通报给同级及下级网络安全监控系统;
S2.6、支持向单个对象或对象组发送告警通知;
S2.7、支持短信、邮件或IM等告警方式;
S2.8、支持自定义预警规则。
4.根据权利要求1所述的一种学习工业互联网安全感知体系的准确性评估方法,其特征在于,所述步骤S3包括:
S3.1、对按照网络安全事件发生后的危害程度、影响范围等因素对事件进行分级;
S3.2、按照网络安全事件的起因、表现、结果等对事件进行分类;
S3.3、提供应急处置过程中需要的基础数据信息;
S3.4、通知网络安全事件发生单位执行处置工作;
S3.5、接收通知,协助处置网络安全事件;
S3.6、对网络安全事件的处置流程进行跟踪和记录;
S3.7、网络安全事件的处置过程和结果记录作为系统的数据源输入到系统中;
S3.8、对安全事件进行实时分析和历史分析。
5.根据权利要求1所述的一种学习工业互联网安全感知体系的准确性评估方法,其特征在于,所述步骤S6包括:
S6.1、制定对比项目,包括事件解决耗时统计、人力调用规模评定和人员调动耗时统计;
S6.2、将实际的事件解决耗时、人力调用规模、人员调动耗时,与预定的处理方案进行对比;
S6.3、详细对比事件解决耗时准确比例、人力调用规模准确比例、人员调动耗时比例;
S6.4、对事件处理实际人力物力损耗进行统计,并将统计结果与预定的处理方案中预估的耗损进行对比。
6.根据权利要求1所述的一种学习工业互联网安全感知体系的准确性评估方法,其特征在于,所述步骤S7包括:
S7.1、制定三角函数模型,以事件等级为输入的常数,得出的结果为事件解决耗时、人力调用数量、人员调动耗时三者之和与既定的系数之积,该系数根据事件等级变化而呈正比例增长;
S7.2、将设定的事件等级作为常数输入上述三角函数模型中,得出的结果与实际的数值进行对比;
S7.3、计算的结果与实际数值的差值越大则说明准确性越低。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210592693.2A CN115001792A (zh) | 2022-05-27 | 2022-05-27 | 一种学习工业互联网安全感知体系的准确性评估方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210592693.2A CN115001792A (zh) | 2022-05-27 | 2022-05-27 | 一种学习工业互联网安全感知体系的准确性评估方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115001792A true CN115001792A (zh) | 2022-09-02 |
Family
ID=83028964
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210592693.2A Pending CN115001792A (zh) | 2022-05-27 | 2022-05-27 | 一种学习工业互联网安全感知体系的准确性评估方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115001792A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116668194A (zh) * | 2023-07-27 | 2023-08-29 | 北京弘明复兴信息技术有限公司 | 一种基于互联网集控平台的网络安全态势评估系统 |
CN116962090A (zh) * | 2023-09-21 | 2023-10-27 | 华能信息技术有限公司 | 一种工业互联网安全控制方法和系统 |
CN117081851A (zh) * | 2023-10-10 | 2023-11-17 | 网思科技股份有限公司 | 网络安全态势感知信息的显示方法、系统和介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101436967A (zh) * | 2008-12-23 | 2009-05-20 | 北京邮电大学 | 一种网络安全态势评估方法及其系统 |
CN107332698A (zh) * | 2017-06-19 | 2017-11-07 | 西北大学 | 一种面向明长城智能感知系统的安全态势感知系统及方法 |
CN107483481A (zh) * | 2017-09-11 | 2017-12-15 | 杭州谷逸网络科技有限公司 | 一种工业控制系统攻防模拟平台及其实现方法 |
CN110740141A (zh) * | 2019-11-15 | 2020-01-31 | 国网山东省电力公司信息通信公司 | 一体化网络安全态势感知方法、装置及计算机设备 |
CN112039862A (zh) * | 2020-08-21 | 2020-12-04 | 公安部第一研究所 | 一种面向多维立体网络的安全事件预警方法 |
CN112613718A (zh) * | 2020-12-17 | 2021-04-06 | 武汉达梦数据技术有限公司 | 一种特定场所风险评估方法及装置 |
CN112637193A (zh) * | 2020-12-21 | 2021-04-09 | 江苏省未来网络创新研究院 | 基于sdn的工业互联网安全态势感知系统 |
-
2022
- 2022-05-27 CN CN202210592693.2A patent/CN115001792A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101436967A (zh) * | 2008-12-23 | 2009-05-20 | 北京邮电大学 | 一种网络安全态势评估方法及其系统 |
CN107332698A (zh) * | 2017-06-19 | 2017-11-07 | 西北大学 | 一种面向明长城智能感知系统的安全态势感知系统及方法 |
CN107483481A (zh) * | 2017-09-11 | 2017-12-15 | 杭州谷逸网络科技有限公司 | 一种工业控制系统攻防模拟平台及其实现方法 |
CN110740141A (zh) * | 2019-11-15 | 2020-01-31 | 国网山东省电力公司信息通信公司 | 一体化网络安全态势感知方法、装置及计算机设备 |
CN112039862A (zh) * | 2020-08-21 | 2020-12-04 | 公安部第一研究所 | 一种面向多维立体网络的安全事件预警方法 |
CN112613718A (zh) * | 2020-12-17 | 2021-04-06 | 武汉达梦数据技术有限公司 | 一种特定场所风险评估方法及装置 |
CN112637193A (zh) * | 2020-12-21 | 2021-04-09 | 江苏省未来网络创新研究院 | 基于sdn的工业互联网安全态势感知系统 |
Non-Patent Citations (1)
Title |
---|
韦勇;连一峰;冯登国;: "基于信息融合的网络安全态势评估模型", 计算机研究与发展, no. 03, pages 353 - 362 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116668194A (zh) * | 2023-07-27 | 2023-08-29 | 北京弘明复兴信息技术有限公司 | 一种基于互联网集控平台的网络安全态势评估系统 |
CN116668194B (zh) * | 2023-07-27 | 2023-10-10 | 北京弘明复兴信息技术有限公司 | 一种基于互联网集控平台的网络安全态势评估系统 |
CN116962090A (zh) * | 2023-09-21 | 2023-10-27 | 华能信息技术有限公司 | 一种工业互联网安全控制方法和系统 |
CN116962090B (zh) * | 2023-09-21 | 2024-02-13 | 华能信息技术有限公司 | 一种工业互联网安全控制方法和系统 |
CN117081851A (zh) * | 2023-10-10 | 2023-11-17 | 网思科技股份有限公司 | 网络安全态势感知信息的显示方法、系统和介质 |
CN117081851B (zh) * | 2023-10-10 | 2024-03-19 | 网思科技股份有限公司 | 网络安全态势感知信息的显示方法、系统和介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN115001792A (zh) | 一种学习工业互联网安全感知体系的准确性评估方法 | |
CN108933791B (zh) | 一种基于电力信息网安全防护策略智能优化方法及装置 | |
US11734431B2 (en) | Method and system for assessing effectiveness of cybersecurity controls in an OT environment | |
US20050086529A1 (en) | Detection of misuse or abuse of data by authorized access to database | |
CN111404909A (zh) | 一种基于日志分析的安全检测系统及方法 | |
EP1998252A1 (en) | Method and apparatus for generating configuration rules for computing entities within a computing environment using association rule mining | |
EP2936772B1 (en) | Network security management | |
CN114978568A (zh) | 使用机器学习进行数据中心管理 | |
CN113516337A (zh) | 数据安全运营的监控方法及装置 | |
FR2962826A1 (fr) | Supervision de la securite d'un systeme informatique | |
CN116030943B (zh) | 一种大数据智慧运维控制系统及方法 | |
CN112416872A (zh) | 一种基于大数据的云平台日志管理系统 | |
CN114640548A (zh) | 一种基于大数据的网络安全感知和预警的方法及系统 | |
CN113259356A (zh) | 大数据环境下的威胁情报与终端检测响应方法及系统 | |
CN114125083B (zh) | 工业网络分布式数据采集方法、装置、电子设备及介质 | |
Bodeau et al. | Cyber resiliency metrics, version 1.0, rev. 1 | |
CN116861419B (zh) | 一种ssr上主动防御日志告警方法 | |
CN117879961A (zh) | 一种态势感知系统的威胁预警分析模型 | |
CN117375985A (zh) | 安全风险指数的确定方法及装置、存储介质、电子装置 | |
JP2005202664A (ja) | 不正アクセス統合対応システム | |
KR101973728B1 (ko) | 통합 보안 이상징후 모니터링 시스템 | |
CN115277472A (zh) | 一种多维工控系统网络安全风险预警系统及方法 | |
Brignoli et al. | A distributed security tomography framework to assess the exposure of ICT infrastructures to network threats | |
KR102540904B1 (ko) | 빅데이터 기반의 취약보안 관리를 위한 보안 토탈 관리 시스템 및 보안 토탈 관리 방법 | |
Pratap Singh et al. | Real-Time Security Monitoring System Using Applications Log Data |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |