CN115174420A - 基于指标测量的安全运营方法、系统、终端设备及存储介质 - Google Patents

Abstract

本发明提供了一种基于指标测量的安全运营方法、系统、终端设备及存储介质，涉及计算机系统领域。本发明基于设计的四级指标体系，并结合设计的定量测量方法，最终支持按天或按任意时间段生成设置时间区间的百分制量化分数。除总体量化评估分值外，每个单一指标项也会生成百分制分数，每日安全运营针对分值低的安全指标分析，及时处置风险。本发明提供的系统基于设计的按设置周期自动化数据采集能力和半结构化数据存储方案，支持对安全数据的长期记录，形成原始测量数据的积累，可用于安全数据分析和安全决策。

Description

基于指标测量的安全运营方法、系统、终端设备及存储介质

技术领域

本发明涉及计算机系统领域，具体而言，涉及一种基于指标测量的安全运营方法、系统、终端设备及存储介质。

背景技术

现有网络安全度量技术主要包括基于标准的度量和基于模型的度量两种，度量过程中度量大多基于定性和定量评估方法或两种方法结合使用。已有的网络度量技术和安全运营的实现包括各类态势感知产品，主要针对用户行为和网络告警进行聚合分析，发现威胁并联动安全系统处置；还包括基于漏洞的CVSS评分评估安全脆弱性的程度。关于网络安全测量的指标设计、数据管理以及基于测量结果的安全运营有关方面的使用较少，另外对于网络综合态势的量化评估研究较少。

目前的网络安全度量和安全运营存在以下四个不足：

1、市面上的主流产品和研究文献评估的维度可以丰富。目前在网络安全测量、度量方面大多站在攻击者视角，评估在攻击流量、攻击手段变化时，网络环境的好坏。安全运营除攻击维度外，还包括数据边界隔离、设备维护、定期运维任务、制度管理等。

2、在网络综合态势的量化评估方面可以完善，提升可视化能力。市场各类安全产品具有统计分析和自定义剧本的能力，但大多没有对整体态势进行综合的量化输出。

3、网络测量的指标设计和测量方法，现有的研究比较少。

4、网络安全测量与安全运营的联动模式以及联动方法研究较少。

发明内容

本发明实施例提供一种基于指标测量的安全运营方法、系统、终端设备及存储介质。其目的在于基于定制化网络安全图谱设计四级指标体系，指标维度包含外部攻击、内部攻击、操作风险、运行维护等方面。本发明设计的网络安全测量方法，通过测量结果对网络安全态势进行度量，生成量化评估结果。本发明中网络安全测量数据管理大多为自动化采集，测量数据采集支持按设置周期动态采集，保证测量结果的时效性。设计一种指标测量与安全运营相互反馈的联动模式，基于指标测量结果执行每日安全运营分析，通过安全风险评估和运营分析产生需求丰富指标维度。

一种基于指标测量的安全运营方法，具体步骤包括网络安全能力图谱设计、指标设计、系统设计、数据管理、指标测量以及量化评估；

网络安全能力图谱设计，纵轴防护层次参考了等级保护中对安全层次的划分，分为了物理层安全、系统层与应用安全、通信网络层安全以及终端安全。横轴参照了NIST CSF安全框架分为了身份认证、访问控制、授权管理、安全审计、入侵防护和数据安全；

指标设计，其步骤包括识别风险，分析风险处置策略以及指标项设计，设计指标项是根据处置每个风险点管控措施涉及的技术、流程设计评估技术、流程落实情况的指标项；

系统设计，包括目标与指标设计，指标分析模块为根据监管合规要求和内外部审计问题项，结合公司安全运行、运营实际梳理得到的数据指标集合；

数据管理，包括数据分类分级标识以及元数据设计；

指标测量，包括安全评估，安全评估按照评估计算方法分为直接计算评估和趋势评估以及手动评估；

量化评估，数字化评估是对上一步中设计的指标项，根据指标项所采集到的数据评分反映指标项落实情况，根据子级指标项的评估分数计算得到父级指标项的评分，以及根据每一天的评估结果计算得到任意时间区间的评分。

进一步的：本发明方法中所对应的系统包括，

采集层：数据采集模块为通过爬虫、访问第三方数据库、采集安全产品日志文件、第三方接口调用、手工导入等方式获取用来计算数据指标的原始数据信息。

处理层：处理层为对各数据指标项和数据指标项的子数据项创建数据模型并对采集数据进行相应转换操作。

质量校验层：数据质量管理对数据采集获取的数据设置质量校验规则，避免脏数据进入数据存储。

存储层：数据存储用于存储已按照数据建模模型转换后的指标信息。

服务层：数据服务模块基于数据存储中的数据指标信息，根据应用侧的数据请求，进行身份鉴别并将数据输出结果返回至应用侧。

数据元管理：数据元管理用于维护系统中指标数据的元数据信息；

调度模块：调度模块负责根据配置向相关人员发送定时提醒消息；负责调用数据处理的各个模块，完成数据处理整个流程。

数据处理流程：数据处理顺序是分别顺序经过数据采集、数据处理、质量校验、输出到存储4个过程。

身份鉴别：身份鉴别是数据层对外提供数据服务对调用方的身份认证。

评估模块：评估模块负责根据前端请求对某个维度或所有维度进行打分。

报表模块：能够配置不同报告样式，自动化生成报告。

进一步的：终端设备可以包括：处理器、存储介质和总线，存储介质存储有处理器可执行的机器可读指令，当终端设备运行时，处理器与存储介质之间通过总线通信，处理器执行机器可读指令，以执行时执行如前述实施例中所述的深度学习模型训练方法的步骤。

进一步的：一种存储介质，该存储有计算机程序，所述计算机程序被处理器运行时执行上述的方法的步骤。

本发明的有益效果：基于设计的四级指标体系，并结合设计的定量测量方法，最终支持按天或按任意时间段生成设置时间区间的百分制量化分数除总体量化百分制评估分值外，每个单一指标也会生成百分制分数，每日安全运营针对分值低的安全指标分析，及时处置风险。基于设计的按天自动化数据采集能力和半结构化数据存储，支持对安全数据的长期记录，形成原始测量数据的积累，可用于安全数据分析和安全决策。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1示出了本发明方法的流程示意图。

图2示出了本发明系统的组成示意图。

图3示出了本发明系统设计结构组成图。

图4示出了本发明方法中评估过程流程图。

图5示出了本发明终端设备的组成示意图；

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，应当理解，本发明中附图仅起到说明和描述的目的，并不用于限定本发明的保护范围。另外，应当理解，示意性的附图并未按实物比例绘制。本发明中使用的流程图示出了根据本发明的一些实施例实现的操作。应该理解，流程图的操作可以不按顺序实现，没有逻辑的上下文关系的步骤可以反转顺序或者同时实施。此外，本领域技术人员在本发明内容的指引下，可以向流程图添加一个或多个其他操作，也可以从流程图中移除一个或多个操作。

另外，本发明所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，本发明实施例中将会用到术语“包括”，用于指出其后所声明的特征的存在，但并不排除增加其它的特征。还应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。在本发明的描述中，还需要说明的是，术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

图1示出了本发明方法的步骤流程图。

本实施例，一种基于指标测量的安全运营方法，具体步骤包括：

一、网络安全能力图谱设计

网络安全能力图谱设计应用纵深防御思想，纵轴防护层次参考了等级保护中对安全层次的划分，分为了物理层安全、系统层与应用安全、通信网络层安全以及终端安全。横轴参照了NIST CSF安全框架分为了身份认证、访问控制、授权管理、安全审计、入侵防护和数据安全，最终定制的安全图谱如图1所示。

二、指标设计流程

指标设计的第一步是识别风险，识别风险是识别安全能力图谱中的能力方格中存在的风险，识别的风险主要来自于三个方面，一是监管机构、主管部门进行的安全检查以及指导要求；二是企业内外部审计发现的风险；三是安全运营部门内部或组织外部机构开展的网络安全评测中发现的风险。

指标设计的第二步是分析风险处置策略，分析处置策略是对识别到的风险逐一分析处置方法，处置风险可从两个方面考虑，一是通过技术手段防护，还有就是从管理落实到流程上防护，这一步需要识别出进行处置风险的技术、关联的安全资产以及流程。

指标设计的第三步是指标项设计，设计指标项是根据处置每个风险点的技术、流程设计评估技术、流程落实情况的指标项。

三、系统设计

系统设计结构如图2以及图3所示。

目标与指标设计：指标分析模块为根据上级要求和内外部审计问题整改项，结合公司安全运行、运营实际梳理得到的数据指标集合。

采集层：数据采集模块为通过爬虫、访问第三方数据库、采集安全产品日志文件、第三方接口调用、手工导入等方式获取用来计算数据指标的原始数据信息。

处理层：处理层为对各数据指标项和数据指标项的子数据项创建数据模型并对采集数据进行相应转换操作。

质量校验层：数据质量管理对数据采集获取的数据设置质量校验规则，避免脏数据进入数据存储。

存储层：数据存储用于存储已按照数据建模模型转换后的指标信息。

服务层：数据服务模块基于数据存储中的数据指标信息，根据应用侧的数据请求，进行身份鉴别并将数据输出结果返回至应用侧。

数据元管理：数据元管理用于维护系统中指标数据的元数据信息。

调度模块：调度模块负责根据配置向相关人员发送定时提醒消息；负责调用数据处理的各个模块，完成数据处理整个流程。

数据处理流程：数据处理顺序是分别顺序经过数据采集、数据处理、质量校验、输出到存储4个过程。

身份鉴别：身份鉴别是数据层对外提供数据服务对调用方的身份认证。

评估模块：评估模块负责根据前端请求对某个维度或所有维度进行打分。

报表模块：能够配置不同报告样式，自动化生成报告。

四、数据管理

(1)数据分类分级标识

数据标识格式为：数据种类标识(2位，L1)+数据种类子分类标识(2位，L2)+数据种类子分类标识(2位，L3)+数据种类子分类标识(2位，L4)+数据项(3位)。例如DLP数据某一次的归档数据标识即为“01010000001”。

(2)元数据设计，如下表所示

五、指标测量

安全评估按照评估计算方法分为直接计算评估和趋势评估以及手动评估。

直接计算评估例如防病毒安装率等数据指标，可以直接按照安装率＝安装数量/总需安装数量的计算方法计算得到。

趋势评估是指根据过去历史的评估结果，分析当前状态的变化趋势，计算得到评估结果，整个评估过程如图4所示。

单个数据项分数计算如下式所示：

手动评估是指例如网络准入双因子等符合性校验的安全项，评估分数取值为0，0.5，0.7，1一共4个取值，1表示完全符合，0.7表示部分符合但缺失部分不会引起较大风险，0.5表示部分符合并且缺失部分有被利用产生风险的可能，0表示部分符合并且存在的风险较大或者完全不符合。

六、量化评估

数字化评估是对上一步中设计的指标项，根据指标项所采集到的数据评分反映指标项落实情况，根据子级指标项的评估分数计算得到父级指标项的评分，以及根据每一天的评估结果计算得到任意时间区间的评分。

根据子级数据项计算父级数据项分数：

设有n项数据项{d1,d2,…,dn}，n项数据项的评估分数分别为{s1,s2,…,sn}，n项权重分别未{w1,w2,…,wn}，则最终多项数据对应上级数据项(数据项在现系统中分为4级)的计算分数为：

如图2所示，本发明方法中所对应的系统包括，

采集层：数据采集模块为通过爬虫、访问第三方数据库、采集安全产品日志文件、第三方接口调用、手工导入等方式获取用来计算数据指标的原始数据信息。

处理层：处理层为对各数据指标项和数据指标项的子数据项创建数据模型并对采集数据进行相应转换操作。

质量校验层：数据质量管理对数据采集获取的数据设置质量校验规则，避免脏数据进入数据存储。

存储层：数据存储用于存储已按照数据建模模型转换后的指标信息。

服务层：数据服务模块基于数据存储中的数据指标信息，根据应用侧的数据请求，进行身份鉴别并将数据输出结果返回至应用侧。

数据元管理：数据元管理用于维护系统中指标数据的元数据信息。

调度模块：调度模块负责根据配置向相关人员发送定时提醒消息；负责调用数据处理的各个模块，完成数据处理整个流程。

数据处理流程：数据处理顺序是分别顺序经过数据采集、数据处理、质量校验、输出到存储4个过程。

身份鉴别：身份鉴别是数据层对外提供数据服务对调用方的身份认证。

评估模块：评估模块负责根据前端请求对某个维度或所有维度进行打分。

报表模块：能够配置不同报告样式，自动化生成报告。

如图5所示，该终端设备6可以包括：处理器601、存储介质602和总线603，存储介质602存储有处理器601可执行的机器可读指令，当终端设备运行时，处理器601与存储介质602之间通过总线603通信，处理器601执行机器可读指令，以执行时执行如前述实施例中所述的深度学习模型训练方法的步骤。具体实现方式和技术效果类似，在此不再赘述。

为了便于说明，在上述终端设备中仅描述了一个处理器。然而，应当注意，一些实施例中，本发明中的终端设备还可以包括多个处理器，因此本发明中描述的一个处理器执行的步骤也可以由多个处理器联合执行或单独执行。

以上仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims (9)

1.一种基于指标测量的安全运营方法，其特征在于，具体步骤包括网络安全能力图谱设计、指标设计、系统设计、数据管理、指标测量以及量化评估；

网络安全能力图谱设计，纵轴防护层次参考了等级保护中对安全层次的划分，分为了物理层安全、系统层与应用安全、通信网络层安全以及终端安全。横轴参照了NIST CSF安全框架分为了身份认证、访问控制、授权管理、安全审计、入侵防护和数据安全；

指标设计，其步骤包括识别风险，分析风险处置策略以及指标项设计；

系统设计，包括目标与指标设计，指标分析模块为根据监管合规要求和内外部审计问题项，结合公司安全运行、运营实际梳理得到的数据指标集合；

数据管理，包括数据分类分级标识以及元数据设计；

指标测量，包括安全评估，安全评估按照评估计算方法分为直接计算评估和趋势评估以及手动评估；

量化评估，根据指标项所采集到的数据评分反映指标项落实情况，根据子级指标项的评估分数计算得到父级指标项的评分，以及根据每一天的评估结果计算得到任意时间区间的评分。

2.根据权利要求1所述的方法，其特征在于，根据子级数据项计算父级数据项分数如下式所示：

设有n项数据项{d1,d2,…,dn}，n项数据项的评估分数分别为{s1,s2,…,sn}，n项权重分别未{w1,w2,…,wn}，则最终多项数据对应上级数据项(数据项在现系统中分为4级)的计算分数为：

3.根据权利要求1所述的方法，其特征在于，单个数据项趋势评估分数计算的计算公式如下式所示：

4.根据权利要求1所述的方法，其特征在于，手动评估是指网络准入双因子等符合性校验的安全项，评估分数取值为0，0.5，0.7，1一共4个取值，1表示完全符合，0.7表示部分符合但缺失部分不会引起较大风险，0.5表示部分符合并且缺失部分有被利用产生风险的可能，0表示部分符合并且存在的风险较大或者完全不符合。

5.根据权利要求1所述的方法，其特征在于，识别的风险主要来自于三个方面，一是监管机构、主管部门进行的安全检查以及指导要求；二是企业内外部审计发现的风险；三是安全运营部门内部或组织外部机构开展的网络安全评测(渗透测试、攻防演练、安全扫描、日常运营)中发现的风险。

6.根据权利要求1所述的方法，其特征在于，设计指标项是根据处置每个风险点管控措施涉及的技术、流程设计评估技术、流程落实情况的指标项。

7.一种基于指标测量的安全运营的系统，其特征在于，采集层：数据采集模块为通过爬虫、访问第三方数据库、采集安全产品日志文件、第三方接口调用、手工导入等方式获取用来计算数据指标的原始数据信息；

处理层：处理层为对各数据指标项和数据指标项的子数据项创建数据模型并对采集数据进行相应转换操作；

质量校验层：数据质量管理对数据采集获取的数据设置质量校验规则，避免脏数据进入数据存储；

存储层：数据存储用于存储已按照数据建模模型转换后的指标信息；

服务层：数据服务模块基于数据存储中的数据指标信息，根据应用侧的数据请求，进行身份鉴别并将数据输出结果返回至应用侧；

数据元管理：数据元管理用于维护系统中指标数据的元数据信息；

调度模块：调度模块负责根据配置向相关人员发送定时提醒消息；负责调用数据处理的各个模块，完成数据处理整个流程；

数据处理流程：数据处理顺序是分别顺序经过数据采集、数据处理、质量校验、输出到存储4个过程；

身份鉴别：身份鉴别是数据层对外提供数据服务对调用方的身份认证；

评估模块：评估模块负责根据前端请求对某个维度或所有维度进行打分；

报表模块：能够配置不同报告样式，自动化生成报告。

8.一种终端设备，其特征在于，包括：处理器、存储介质和总线，所述存储介质存储有所述处理器可执行的机器可读指令，当所述终端设备运行时，所述处理器与所述存储介质之间通过总线通信，所述处理器执行所述机器可读指令，以执行时执行如权利要求1至6任一项所述的方法的步骤。

9.一种存储介质，其特征在于，所述存储介质上存储有计算机程序，所述计算机程序被处理器运行时执行如权利要求1至6任一项所述的方法的步骤。

Images