CN116644484B - 一种计算机存储安全评估方法及系统 - Google Patents

一种计算机存储安全评估方法及系统 Download PDF

Info

Publication number
CN116644484B
CN116644484B CN202310893254.XA CN202310893254A CN116644484B CN 116644484 B CN116644484 B CN 116644484B CN 202310893254 A CN202310893254 A CN 202310893254A CN 116644484 B CN116644484 B CN 116644484B
Authority
CN
China
Prior art keywords
access
coefficient
storage object
frequent
exposure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310893254.XA
Other languages
English (en)
Other versions
CN116644484A (zh
Inventor
宋远岑
陈育鸣
王展南
黄嘉洲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Huacun Electronic Technology Co Ltd
Original Assignee
Jiangsu Huacun Electronic Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Huacun Electronic Technology Co Ltd filed Critical Jiangsu Huacun Electronic Technology Co Ltd
Priority to CN202310893254.XA priority Critical patent/CN116644484B/zh
Publication of CN116644484A publication Critical patent/CN116644484A/zh
Application granted granted Critical
Publication of CN116644484B publication Critical patent/CN116644484B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种计算机存储安全评估方法及系统,属于信息安全技术领域,其中方法包括:获取第一存储客体的访问主体和访问路径;根据访问主体和访问路径进行暴露级分析,获取暴露量化级;获取第一存储客体的存储数据流向;对存储数据流向进行丢失级分析,获取丢失量化级;对第一存储客体进行加密级分析,获取加密量化级;根据暴露量化级、丢失量化级和加密量化级对第一存储客体进行安全评估。本申请解决了现有技术中无法量化全面评估存储对象安全状况的技术问题,达到了全面准确量化评估计算机存储对象安全状况的技术效果。

Description

一种计算机存储安全评估方法及系统
技术领域
本发明涉及信息安全技术领域,具体涉及一种计算机存储安全评估方法及系统。
背景技术
随着信息社会的到来,数据资产的重要性日益凸显,数据安全保护技术受到广泛关注,其中存储安全技术是信息安全防护的重要组成部分。然而,现有的存储安全评估技术简单地从某一角度定性评估存储安全,无法全面量化反映存储对象的安全状况。
发明内容
本申请通过提供了一种计算机存储安全评估方法及系统,旨在解决现有技术中无法量化全面评估存储对象安全状况的技术问题。
鉴于上述问题,本申请提供了一种计算机存储安全评估方法及系统。
本申请公开的第一个方面,提供了一种计算机存储安全评估方法,该方法包括:获取第一存储客体的访问控制表,访问控制表包括访问主体和访问路径,其中,第一存储客体为底层存储客体;根据访问主体和访问路径进行暴露级分析,获取暴露量化级;获取第一存储客体的数据流向信息,其中,数据流向信息包括存储数据流向;对存储数据流向进行丢失级分析,获取丢失量化级;对第一存储客体进行加密级分析,获取加密量化级;根据暴露量化级、丢失量化级和加密量化级对第一存储客体进行安全评估。
本申请公开的另一个方面,提供了一种计算机存储安全评估系统,该系统包括:访问控制表模块,用于获取第一存储客体的访问控制表,访问控制表包括访问主体和访问路径,其中,第一存储客体为底层存储客体;暴露级分析模块,用于根据访问主体和访问路径进行暴露级分析,获取暴露量化级;数据流向模块,用于获取第一存储客体的数据流向信息,其中,数据流向信息包括存储数据流向;丢失级分析模块,用于对存储数据流向进行丢失级分析,获取丢失量化级;加密级分析模块,用于对第一存储客体进行加密级分析,获取加密量化级;安全评估模块,用于根据暴露量化级、丢失量化级和加密量化级对第一存储客体进行安全评估。
本申请中提供的一个或多个技术方案,至少具有如下技术效果或优点:
由于采用了获取存储对象的访问控制表,包含访问主体和访问路径,用于后续的暴露级分析;根据访问控制表分析未授权访问的可能性,评估存储对象的暴露程度,获得暴露量化级;获取存储对象的数据流向信息,包含存储数据流向,用于进行丢失级分析;根据数据流向分析存储数据丢失或泄露的可能性,评估存储对象的数据丢失程度,获得丢失量化级;分析存储数据的加密强度,评估存储对象的加密程度,获得加密量化级;最后,综合暴露量化级、丢失量化级和加密量化级,评估出存储对象的整体安全等级的技术方案,解决现有技术中无法量化全面评估存储对象安全状况的技术问题,达到了全面准确量化评估计算机存储对象安全状况的技术效果。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
图1为本申请实施例提供了一种计算机存储安全评估方法可能的流程示意图;
图2为本申请实施例提供了一种计算机存储安全评估方法中获取暴露量化级可能的流程示意图;
图3为本申请实施例提供了一种计算机存储安全评估方法中获取加密量化级可能的流程示意图;
图4为本申请实施例提供了一种计算机存储安全评估系统可能的结构示意图。
附图标记说明:访问控制表模块11,暴露级分析模块12,数据流向模块13,丢失级分析模块14,加密级分析模块15,安全评估模块16。
具体实施方式
本申请提供的技术方案总体思路如下:
本申请实施例提供了一种计算机存储安全评估方法及系统。通过获取存储对象的访问控制表和数据流向信息,从暴露级、丢失级和加密级三个维度对存储对象进行量化分析和评估,最终综合三个维度的评估结果得出存储对象的整体安全等级,达到全面评估量化存储对象安全状况并为存储安全加固决策提供指导的技术效果。
在介绍了本申请基本原理后,下面将结合说明书附图来具体介绍本申请的各种非限制性的实施方式。
实施例
如图1所示,本申请实施例提供了一种计算机存储安全评估方法,该方法包括:
步骤S1000:获取第一存储客体的访问控制表,所述访问控制表包括访问主体和访问路径,其中,所述第一存储客体为底层存储客体;
具体而言,存储系统中会设置访问控制机制来控制不同主体对数据资源的访问,访问控制表就是访问控制机制的具体实现之一。首先,获取存储管理系统中存储的数据对象,为第一存储客体,该存储客体为底层基础性的数据存储单元,用于存储固定属性的数据。然后,获取该第一存储客体的访问控制表,访问控制表中包含允许访问该存储客体的访问主体和其具体访问路径。其中,访问主体是指能访问该存储客体的用户、进程、软件或设备等,访问路径指访问主体能访问存储客体的路由或通道等,访问控制表存储了访问该存储客体的访问权限信息,为后续的安全评估分析提供了基础。
通过获取第一存储客体的访问控制表,可以判断哪些主体有权访问存储数据及其访问路径,为后续的暴露级和丢失级分析提供了必要信息。
步骤S2000:根据所述访问主体和所述访问路径进行暴露级分析,获取暴露量化级;
具体而言,根据获得的访问主体和访问路径信息进行暴露级分析,分析第一存储客体未授权访问的可能性,获得表示第一存储客体暴露程度的暴露量化级。其中,暴露级分析是指分析存储客体未经授权就被访问的可能性和程度,访问主体和访问路径信息可以反映出可以访问存储客体的主体数量以及它们的访问方式,这两个因素均会影响存储客体的暴露级。例如,访问主体数量越多,特别是联网主体和无线主体越多,存储客体越有可能遭受未授权访问;访问路径越复杂,存储客体也越容易遭受攻击。因此,综合考虑访问主体的类别和数量以及访问路径的复杂度等因素,评估第一存储客体未授权访问的风险,获得0-10之间的暴露量化级,级别越高表示存储客体暴露程度越高,为后续的存储客体整体安全评估提供判断依据。
通过分析访问主体和访问路径信息评估存储客体的暴露状态,可以有效判断存储客体是否易遭受未授权访问以及未授权访问程度,为全面评估存储客体安全状况提供支持。
步骤S3000:获取所述第一存储客体的数据流向信息,其中,所述数据流向信息包括存储数据流向;
具体而言,获取第一存储客体中的数据流向信息,为后续的丢失级分析提供判断依据。数据流向信息反映存储的数据流向路径和流向方式,主要包括存储数据的流向路径,如数据流向内部网络、外部网络或本地存储等,用来分析存储数据丢失或泄露的可能性。其中,数据流向越复杂,流向网络或外部设备的可能性越大,数据丢失或泄露的风险也越高。
对于敏感数据资源会采取数据隔离和流控技术,限制数据只在授权网络或设备内流通,减少数据外泄的风险。获取数据流向信息可以判断数据流向是否符合预期,是否存在非授权流向,为数据丢失或泄露分析提供基础。
通过获取存储客体的数据流向信息,反映存储数据的流动路径和范围,是判断数据丢失或泄露风险的重要依据,为后续的丢失级分析提供参考,有助于全面评估量化存储客体的安全状况。
步骤S4000:对所述存储数据流向进行丢失级分析,获取丢失量化级;
具体而言,根据获得的存储数据流向信息进行丢失级分析,分析第一存储客体中存储数据丢失或泄露的可能性,获得表示存储数据丢失程度的丢失量化级。其中,丢失级分析是指分析存储数据的丢失或泄露风险程度;存储数据流向信息反映存储数据流动的范围和路径,从而判断数据丢失或泄露的可能性。例如,数据流向复杂,特别是可达外部网络或设备的可能性越大,数据丢失或泄露的风险也越高;数据备份的数量越多,存储位置数据保真性越强,则丢失级别越低。
根据存储数据的流向范围和路径等因素综合判断第一存储客体中存储数据丢失或泄露的风险,获得0-10之间的丢失量化级,级别越高表示数据丢失程度越高,为后续的存储客体整体安全评估提供依据。
通过根据存储数据流向信息判断存储数据的安全状况,有效判断存储数据是否易丢失或泄露以及丢失程度,为全面评估量化存储客体安全水平提供参考。
步骤S5000:对所述第一存储客体进行加密级分析,获取加密量化级;
具体而言,对第一存储客体的数据加密方式和强度进行分析,获得表示存储数据加密程度的加密量化级。其中,加密级分析是指分析存储数据加密方式和加密强度的分析过程;存储数据的加密方式和加密强度决定了存储数据被未授权访问后的可解读性。例如,敏感数据采用如AES与RSA等强加密技术对数据进行加密,加密方式越强大,加密密钥越难以破解,存储数据被访问后可解读的可能性越小。
分析存储数据所采用的加密算法、加密方式、加密密钥长度等因素,评估存储数据的可解读性和加密强度,获得0-10之间的加密量化级,级别越高表示存储数据加密程度越高,可解读性越小,为后续的存储客体整体安全评估提供判断依据。
通过根据存储数据的加密方式和强度评估存储数据的可保护性,可以有效判断存储数据加密方式和强度是否足以抵御未授权访问,为存储客体的整体安全评估提供重要判断依据。
步骤S6000:根据所述暴露量化级、所述丢失量化级和所述加密量化级对所述第一存储客体进行安全评估。
具体而言,根据获得的暴露量化级、丢失量化级和加密量化级对第一存储客体的安全状况进行整体评估。这三个量化级分别考虑了未授权访问、数据丢失以及可解读性等因素,从暴露级、丢失级和加密级角度评估了存储客体的安全状况,作为判断存储安全状态的基础。
采用主观权重确定三个量化级的重要性,结合AHP等数学统计方法等综合评估三个量化级结果,获得存储客体的安全评估值,判断存储安全状态。当安全评估值不符合安全标准时,采取相应措施提高存储安全性。
通过从三个角度获得量化级结果对存储客体进行综合判断,最终得到存储客体的安全评估结果,反映存储客体的整体安全状况,达到全面准确量化评估计算机存储对象安全状况的技术效果。
进一步的,本申请实施例还包括:
步骤S2100:根据所述访问主体,获得离线主体数量和联网主体数量;
步骤S2200:基于所述离线主体数量和所述联网主体数量,确定联网主体比例系数;
步骤S2300:根据所述访问主体,获得无线主体数量和有线主体数量;
步骤S2400:基于所述无线主体数量和所述有线主体数量,确定无线主体数量比例系数;
步骤S2500:根据所述访问路径,确定访问路径深度系数;
步骤S2600:根据所述联网主体比例系数、所述无线主体数量比例系数和所述访问路径深度系数进行暴露级分析,获取所述暴露量化级。
具体而言,首先,统计可以访问第一存储客体的离线主体数量和联网主体数量。其中,离线主体指不连接网络的访问主体,联网主体指连接网络的访问主体。离线主体数量和联网主体数量会影响存储客体的暴露程度,作为进行暴露级分析的判断依据之一。根据离线主体数量和联网主体数量计算联网主体比例,用于衡量存储客体面临网络攻击的风险程度,其中,联网主体比例越大,表示面临网络攻击的风险越高,存储客体的暴露程度越高。
同时,统计可以访问第一存储客体的无线主体数量和有线主体数量。其中,无线主体越多,表示未授权无线访问的可能性越大,存储客体的暴露程度也越高,为进行暴露级分析提供判断依据。根据无线主体数量和有线主体数量计算无线主体数量比例,用于衡量存储客体面临未授权无线访问风险的程度。该比例系数越大,表示未授权无线访问的风险越高,存储客体的暴露程度也越高。
同步的,根据访问路径的复杂程度确定访问路径深度系数,用于衡量访问路径复杂度对存储客体暴露程度的影响。其中,访问路径越复杂,表示未授权访问的可能性越大,存储客体的暴露程度也越高。
然后,综合获得的联网主体比例系数、无线主体数量比例系数和访问路径深度系数,判断第一存储客体未授权访问的风险程度,获得0-10之间的暴露量化级,该级别越高表示存储客体的暴露程度越高,为后续的存储客体安全评估提供判断依据。
通过统计访问主体类别和数量以及访问路径复杂度,获得用于衡量存储客体暴露程度的三个系数,最终根据这三个系数判断存储客体未授权访问的风险,实现了对存储客体暴露程度的量化。
进一步的,如图2所示,本申请实施例还包括:
步骤S2610:根据所述访问主体,获取访问群像数据;
步骤S2620:根据所述访问群像数据进行频繁序列分析,确定访问基线行为和访问偏离行为;
步骤S2630:基于所述访问基线行为和所述访问偏离行为,确定偏离行为数量比例系数;
步骤S2640:根据所述联网主体比例系数、所述无线主体数量比例系数、所述访问路径深度系数和所述偏离行为数量比例系数,获取所述暴露量化级。
具体而言,首先,获取可以访问第一存储客体的各访问主体的访问行为数据,构成访问群像数据,反映不同访问主体对存储客体的访问情况,用于判断是否存在异常访问行为,从而评估存储客体的暴露程度。其中,访问主体可以分为独用主体和通用主体,独用主体为只用于访问第一存储客体所属计算机,通用主体可以访问不同计算机,针对独用主体,获取其访问第一存储客体的行为记录作为访问群像数据;针对通用主体,获取其在其他计算机的访问行为记录作为访问群像数据。
然后,根据访问群像数据中的访问序列信息进行频繁序列分析,对大量访问群像数据中的行为序列进行统计分析,确定出现频率高于阈值的访问行为序列作为访问基线行为,而偏离访问基线行为的行为设置为访问偏离行为。接着,根据获得的访问基线行为和访问偏离行为,计算偏离行为数量比例系数,表示访问偏离行为数量占总访问行为数量的比例。其中,偏离行为数量比例系数越大,说明访问主体行为发生的变化越大,数据安全风险也越高。最后,根据获取的联网主体比例系数、无线主体数量比例系数、访问路径深度系数和偏离行为数量,进行暴露级分析,获取获得0-10之间的暴露量化级,综合判断第一存储客体数据暴露风险,其值越高表示数据安全风险越大。其中,四个系数分别代表影响数据安全的四个维度,将四个维度构建四维坐标系,对每个维度进行等级划分,形成暴露级划分空间,输入四个系数即可得到对应的暴露量化级。
通过分析访问群像数据和访问序列,判断存在访问偏离行为的可能性,获得用于衡量未授权访问企图对存储客体影响的偏离行为数量比例系数。与其他三个系数相结合,更加全面判断存储客体未授权访问的风险,实现了对存储客体暴露程度的精确量化。
进一步的,本申请实施例还包括:
步骤S2621:对所述访问群像数据进行聚类分析,获取群像数据聚类序列;
步骤S2622:设定一项频繁频率阈值;
步骤S2623:对所述群像数据聚类序列进行频繁性统计,获取一项触发频率低于所述一项频繁频率阈值的一项非频繁访问行为;
步骤S2624:根据所述一项非频繁访问行为对所述群像数据聚类序列进行剪枝,获取离散群像数据聚类项;
步骤S2625:设定二项频繁频率阈值直到k项频繁频率阈值,其中,k≥2,k为离散群像数据聚类项的最大项的类别数量;
步骤S2626:根据所述二项频繁频率阈值直到所述k项频繁频率阈值,对所述离散群像数据聚类项进行频繁性统计,获取一项频繁访问行为、二项频繁访问行为直到k项频繁访问行为;
步骤S2627:根据所述一项频繁访问行为、所述二项频繁访问行为直到所述k项频繁访问行为,获取所述访问基线行为;
步骤S2628:基于所述访问基线行为,获取所述访问偏离行为。
具体而言,首先,对不同访问主体对第一存储客体的访问行为数据序列进行聚类分析,获得群像数据聚类序列,反映不同访问主体的访问行为类型及触发频率,用于判断是否存在异常访问行为,从而评估存储客体的暴露程度。其中,群像数据聚类序列是对多条访问群像数据的行为序列节点进行分类统计而得到,每个分类对应一个访问行为,该分类中的数量代表该访问行为的触发频率。
其次,设定一项频繁频率阈值,用于判断某访问行为序列节点的访问行为是否属于频繁访问行为,当触发频率高于该阈值的访问行为序列节点会被判断为频繁访问行为。对群像数据聚类序列中的每个访问行为分类的触发频率进行统计,如果某访问行为分类的触发频率低于设定的一项频繁频率阈值,则该分类属于非频繁访问行为,非频繁访问行为表明可能存在未授权访问企图,会增加存储客体的暴露程度。根据获得的非频繁访问行为,对该行为对应的访问行为序列节点进行剪枝,获得新的访问行为序列,称为离散群像数据聚类项,该项中存在一个或多个访问行为类型,需要进一步判断哪些访问行为属于频繁访问行为,构成访问基线行为。
然后,设定二项到k项频繁频率阈值,用于判断离散群像数据聚类项中某访问行为序列节点的访问行为是否属于频繁访问行为,其中,k≥2,且k的值取决于离散群像数据聚类项中访问行为类型的数量。根据二项频繁频率阈值直到k项频繁频率阈值,对离散群像数据聚类项进行频繁性统计,如果某访问行为分类的触发频率高于对应设定的二项到k项频繁频率阈值,则该分类属于频繁访问行为,获取一项频繁访问行为、二项频繁访问行为直到k项频繁访问行为。频繁访问行为构成正常访问行为,用于判断访问基线行为。
接着,根据获得的获取一项频繁访问行为、二项频繁访问行为直到k项频繁访问行为构成访问基线行为,其中,每个频繁项走作为一个访问基线,表明正常的访问行为模式。获取访问基线行为后,与访问基线行为进行对比,判断哪些访问行为属于异常访问行为,构成访问偏离行为,表明可能存在未授权访问企图。
通过设定频繁频率阈值判断频繁访问行为,获得访问基线行为和访问偏离行为,实现了对存储客体异常访问行为的判断,提高判断存储客体暴露程度评估的准确性。
进一步的,如图3所示,本申请实施例还包括:
步骤S5100:根据所述存储数据流向,获取存储数据分块数量和存储数据备用数量;
步骤S5200:根据所述存储数据分块数量和所述存储数据备用数量,获取所述丢失量化级;
步骤S5300:获取所述第一存储客体的加密规则更新频率和密钥更新频率;
步骤S5400:根据所述加密规则更新频率和所述密钥更新频率,获取所述加密量化级。
具体而言,存储数据流向是指第一存储客体中数据存储的方式,可能采用分块存储、备份存储等方式。根据第一存储客体中存储的数据流向,获得存储的数据分块数量和备用数量。其中,存储数据分块数量是指存储数据被分割成的块数,反映存储数据的冗余度;备用数量是指保留的备份块数,反映故障时的数据容灾能力。
预先构建历史丢失级坐标系,其中,一个轴为是数据存储时的分块数,另一个轴为备份数量,依据历史数据对坐标系进行不同丢失级的区域划分,使可通过坐标系根据存储数据分块数量和存储数据备用数量确定对应的丢失量化级。根据获得的存储数据分块数量和备用数量,在预先构建的坐标系中确定对应的丢失量化级区域,得到丢失量化级,反映存储数据丢失的可能性风险。
获得第一存储客体中采用的加密机制,包括加密规则的更新频率和密钥的更新频率,反映加密机制的强度。其中,加密规则更新频率是指第一存储客体采用的加密算法或方案的更新频率;密钥更新频率是指用于加密存储数据的密钥的更新频率。根据获得的加密规则更新频率和密钥更新频率,确定对应的加密量化级区域,得到加密量化级,反映存储数据加密强。其中,加密量化级是通过在预构建的坐标系中,根据加密规则更新频率和密钥更新频率确定对应的加密级区域获得的,可以定量地反映存储数据加密强度。
通过获得存储数据属性和加密机制属性,在预先构建的坐标系中确定丢失量化级和加密量化级,实现了对第一存储客体数据安全性的量化评估,为存储数据安全性评估提供量化分析结果及决策参考。
进一步的,本申请实施例还包括:
步骤S6100:获取暴露期望量化级、丢失期望量化级和加密期望量化级;
步骤S6200:当所述暴露量化级不满足所述暴露期望量化级时,获取第一安全偏差系数;
步骤S6300:当所述丢失量化级不满足所述暴露期望量化级时,获取第二安全偏差系数;
步骤S6400:当所述加密量化级不满足所述加密期望量化级时,获取第三安全偏差系数;
步骤S6500:将所述第一安全偏差系数和/或所述第二安全偏差系数和/或所述第三安全偏差系数输入求和函数,获取第一存储客体安全系数;
步骤S6600:当所述第一存储客体安全系数不满足安全系数阈值,生成第一存储客体存储安全预警信号,发送至客户端。
具体而言,获得第一存储客体的暴露期望量化级、丢失期望量化级和加密期望量化级,分别反映对第一存储客体在数据暴露风险、数据丢失风险和数据加密强度方面的要求,作为判断第一存储客体安全系数的比较依据。如果获得的暴露量化级不满足获得的暴露期望量化级,通过对暴露量化级和暴露期望量化级进行差值计算并进行归一化处理获得第一安全偏差系数,表征第一存储客体在数据暴露风险控制方面的偏差,作为计算第一存储客体安全系数的依据之一。如果中获得的丢失量化级不满足获得的丢失期望量化级,通过对丢失量化级和丢失期望量化级进行差值计算并进行归一化处理获得第二安全偏差系数,表征第一存储客体在数据丢失风险控制方面的偏差,作为计算第一存储客体安全系数的依据之一。如果获得的加密量化级不满足获得的加密期望量化级,通过对加密量化级和加密期望量化级进行差值计算并进行归一化处理获得第三安全偏差系数,表征第一存储客体在数据加密强度方面的偏差,作为计算第一存储客体安全系数的依据之一。
根据第一安全偏差系数、第二安全偏差系数和第三安全偏差系数,采用求和函数计算第一存储客体安全系数,全面反映第一存储客体的数据安全状况,用于判断是否需要生成存储安全预警信号。如果计算得到的第一存储客体安全系数不满足预先设定的安全系数阈值,则表明第一存储客体的数据安全状况存在较大风险,生成第一存储客体存储安全预警信号,发送给管理客户端,提醒用户采取应急措施。
通过比较量化评估结果与安全期望要求,计算安全偏差系数和第一存储客体安全系数,并根据安全系数阈值判断是否需要生成存储安全预警信号,实现了对第一存储客体数据安全管理的闭环控制。
进一步的,本申请实施例还包括:
步骤S6510:激活所述客户端的信息交互隔离的多个评价通道,输入所述第一安全偏差系数、所述第二安全偏差系数和所述第三安全偏差系数,获取多个第一安全偏差系数重要度评分,多个第二安全偏差系数重要度评分和多个第三安全偏差系数重要度评分;
步骤S6520:加和所述多个第一安全偏差系数重要度评分,所述多个第二安全偏差系数重要度评分和所述多个第三安全偏差系数重要度评分,获取重要度综合评分;
步骤S6530:根据所述重要度综合评分,结合所述多个第一安全偏差系数重要度评分,所述多个第二安全偏差系数重要度评分和所述多个第三安全偏差系数重要度评分对所述第一安全偏差系数、所述第二安全偏差系数和所述第三安全偏差系数进行权重分布,获取权重分布结果;
步骤S6540:根据所述权重分布结果,对所述第一安全偏差系数和/或所述第二安全偏差系数和/或所述第三安全偏差系数赋权后,输入求和函数,获取所述第一存储客体安全系数。
具体而言,激活客户端中设置的信息交互隔离的多个评价通道,在每个评价通道中输入获得的第一安全偏差系数、第二安全偏差系数和第三安全偏差系数。通过每个评价通道可以获得多个第一安全偏差系数重要度评分、多个第二安全偏差系数重要度评分和多个第三安全偏差系数重要度评分。其中,信息交互隔离的多个评价通道是在客户端中设置的多个独立的评价模块,这些模块之间实现信息隔离,可以给出独立的评价结果,提高结果的可靠性;第一安全偏差系数重要度评分、第二安全偏差系数重要度评分和第三安全偏差系数重要度评分分别表示每个评价通道对第一安全偏差系数、第二安全偏差系数和第三安全偏差系数的重要性评分。
加和多个第一安全偏差系数重要度评分,获取第一安全偏差系数重要度评分;加和多个第二安全偏差系数重要度评分,获取第二安全偏差系数重要度评分;加和多个第三安全偏差系数重要度评分,获取第三安全偏差系数重要度评分;加和多个第一安全偏差系数重要度评分、多个第二安全偏差系数重要度评分和多个第三安全偏差系数重要度评分进行加和,获得重要度综合评分。通过第一安全偏差系数重要度评分和重要度综合评分之比获取第一安全偏差系数的权重分布,通过第二安全偏差系数重要度评分和重要度综合评分之比获取第二安全偏差系数的权重分布,通过第三安全偏差系数重要度评分和重要度综合评分之比获取第三安全偏差系数的权重分布,从而得到权重分布结果。
根据获得的权重分布结果,对第一安全偏差系数、第二安全偏差系数和第三安全偏差系数进行赋权,然后输入求和函数计算第一存储客体安全系数,从而全面反映第一存储客体数据安全管理状况,其值越高表示安全风险越大。
通过评价通道的设置与激活,多角度收集安全管理要求评分,综合判断各安全控制要素的重要程度,实施精细化权重分配,为安全系数的计算提供准确依据,实现对第一存储客体存取安全的准确评估,减少人为主观因素带来的偏差,达到全面准确评估计算机存储对象安全状况的技术效果。
综上所述,本申请实施例所提供的一种计算机存储安全评估方法具有如下技术效果:
获取第一存储客体的访问控制表,访问控制表包括访问主体和访问路径,其中,第一存储客体为底层存储客体,为后续的暴露级分析提供基础;根据访问主体和访问路径进行暴露级分析,获取暴露量化级,分析未授权访问的可能性,评估存储对象的暴露程度;获取第一存储客体的数据流向信息,其中,数据流向信息包括存储数据流向,为后续的丢失级分析提供基础;对存储数据流向进行丢失级分析,获取丢失量化级,分析存储数据丢失或泄露的可能性,评估存储对象的数据丢失程度;对第一存储客体进行加密级分析,获取加密量化级,分析存储数据的加密强度,评估存储对象的加密程度;根据暴露量化级、丢失量化级和加密量化级对第一存储客体进行安全评估,综合不同维度的评估结果,得出存储对象的整体安全等级,达到全面准确评估计算机存储对象安全状况的技术效果。
实施例二
基于与前述实施例中一种计算机存储安全评估方法相同的发明构思,如图4所示,本申请实施例提供了一种计算机存储安全评估系统,该系统包括:
访问控制表模块11,用于获取第一存储客体的访问控制表,所述访问控制表包括访问主体和访问路径,其中,所述第一存储客体为底层存储客体;
暴露级分析模块12,用于根据所述访问主体和所述访问路径进行暴露级分析,获取暴露量化级;
数据流向模块13,用于获取所述第一存储客体的数据流向信息,其中,所述数据流向信息包括存储数据流向;
丢失级分析模块14,用于对所述存储数据流向进行丢失级分析,获取丢失量化级;
加密级分析模块15,用于对所述第一存储客体进行加密级分析,获取加密量化级;
安全评估模块16,用于根据所述暴露量化级、所述丢失量化级和所述加密量化级对所述第一存储客体进行安全评估。
进一步的,暴露级分析模块12包括以下执行步骤:
根据所述访问主体,获得离线主体数量和联网主体数量;
基于所述离线主体数量和所述联网主体数量,确定联网主体比例系数;
根据所述访问主体,获得无线主体数量和有线主体数量;
基于所述无线主体数量和所述有线主体数量,确定无线主体数量比例系数;
根据所述访问路径,确定访问路径深度系数;
根据所述联网主体比例系数、所述无线主体数量比例系数和所述访问路径深度系数进行暴露级分析,获取所述暴露量化级。
进一步的,暴露级分析模块12还包括以下执行步骤:
根据所述访问主体,获取访问群像数据;
根据所述访问群像数据进行频繁序列分析,确定访问基线行为和访问偏离行为;
基于所述访问基线行为和所述访问偏离行为,确定偏离行为数量比例系数;
根据所述联网主体比例系数、所述无线主体数量比例系数、所述访问路径深度系数和所述偏离行为数量比例系数,获取所述暴露量化级。
进一步的,暴露级分析模块12还包括以下执行步骤:
对所述访问群像数据进行聚类分析,获取群像数据聚类序列;
设定一项频繁频率阈值;
对所述群像数据聚类序列进行频繁性统计,获取一项触发频率低于所述一项频繁频率阈值的一项非频繁访问行为;
根据所述一项非频繁访问行为对所述群像数据聚类序列进行剪枝,获取离散群像数据聚类项;
设定二项频繁频率阈值直到k项频繁频率阈值,其中,k≥2,k为离散群像数据聚类项的最大项的类别数量;
根据所述二项频繁频率阈值直到所述k项频繁频率阈值,对所述离散群像数据聚类项进行频繁性统计,获取一项频繁访问行为、二项频繁访问行为直到k项频繁访问行为;
根据所述一项频繁访问行为、所述二项频繁访问行为直到所述k项频繁访问行为,获取所述访问基线行为;
基于所述访问基线行为,获取所述访问偏离行为。
进一步的,加密级分析模块15包括以下执行步骤:
根据所述存储数据流向,获取存储数据分块数量和存储数据备用数量;
根据所述存储数据分块数量和所述存储数据备用数量,获取所述丢失量化级;
获取所述第一存储客体的加密规则更新频率和密钥更新频率;
根据所述加密规则更新频率和所述密钥更新频率,获取所述加密量化级。
进一步的,安全评估模块16包括以下执行步骤:
获取暴露期望量化级、丢失期望量化级和加密期望量化级;
当所述暴露量化级不满足所述暴露期望量化级时,获取第一安全偏差系数;
当所述丢失量化级不满足所述暴露期望量化级时,获取第二安全偏差系数;
当所述加密量化级不满足所述加密期望量化级时,获取第三安全偏差系数;
将所述第一安全偏差系数和/或所述第二安全偏差系数和/或所述第三安全偏差系数输入求和函数,获取第一存储客体安全系数;
当所述第一存储客体安全系数不满足安全系数阈值,生成第一存储客体存储安全预警信号,发送至客户端。
进一步的,安全评估模块16还包括以下执行步骤:
激活所述客户端的信息交互隔离的多个评价通道,输入所述第一安全偏差系数、所述第二安全偏差系数和所述第三安全偏差系数,获取多个第一安全偏差系数重要度评分,多个第二安全偏差系数重要度评分和多个第三安全偏差系数重要度评分;
加和所述多个第一安全偏差系数重要度评分,所述多个第二安全偏差系数重要度评分和所述多个第三安全偏差系数重要度评分,获取重要度综合评分;
根据所述重要度综合评分,结合所述多个第一安全偏差系数重要度评分,所述多个第二安全偏差系数重要度评分和所述多个第三安全偏差系数重要度评分对所述第一安全偏差系数、所述第二安全偏差系数和所述第三安全偏差系数进行权重分布,获取权重分布结果;
根据所述权重分布结果,对所述第一安全偏差系数和/或所述第二安全偏差系数和/或所述第三安全偏差系数赋权后,输入求和函数,获取所述第一存储客体安全系数。
综上所述的方法的任意步骤都可作为计算机指令或者程序存储在不设限制的计算机存储器中,并可以被不设限制的计算机处理器调用识别用以实现本申请实施例中的任一项方法,在此不做多余限制。
进一步的,综上所述的第一或第二可能不止代表次序关系,也可能代表某项特指概念,和/或指的是多个元素之间可单独或全部选择。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样,倘若本申请的这些修改和变型属于本申请及其等同技术的范围之内,则本申请意图包括这些改动和变型在内。

Claims (5)

1.一种计算机存储安全评估方法,其特征在于,包括:
获取第一存储客体的访问控制表,所述访问控制表包括访问主体和访问路径,其中,所述第一存储客体为底层存储客体;
根据所述访问主体和所述访问路径进行暴露级分析,获取暴露量化级;
获取所述第一存储客体的数据流向信息,其中,所述数据流向信息包括存储数据流向;
对所述存储数据流向进行丢失级分析,获取丢失量化级;
对所述第一存储客体进行加密级分析,获取加密量化级;
根据所述暴露量化级、所述丢失量化级和所述加密量化级对所述第一存储客体进行安全评估;
根据所述访问主体和所述访问路径进行暴露级分析,获取暴露量化级,包括:
根据所述访问主体,获得离线主体数量和联网主体数量;
基于所述离线主体数量和所述联网主体数量,确定联网主体比例系数;
根据所述访问主体,获得无线主体数量和有线主体数量;
基于所述无线主体数量和所述有线主体数量,确定无线主体数量比例系数;
根据所述访问路径,确定访问路径深度系数;
根据所述联网主体比例系数、所述无线主体数量比例系数和所述访问路径深度系数进行暴露级分析,获取所述暴露量化级;
根据所述联网主体比例系数和所述无线主体数量比例系数进行暴露级分析,获取所述暴露量化级,还包括:
根据所述访问主体,获取访问群像数据;
根据所述访问群像数据进行频繁序列分析,确定访问基线行为和访问偏离行为;
基于所述访问基线行为和所述访问偏离行为,确定偏离行为数量比例系数;
根据所述联网主体比例系数、所述无线主体数量比例系数、所述访问路径深度系数和所述偏离行为数量比例系数,获取所述暴露量化级;
根据所述访问群像数据进行频繁序列分析,确定访问基线行为和访问偏离行为,包括:
对所述访问群像数据进行聚类分析,获取群像数据聚类序列;
设定一项频繁频率阈值;
对所述群像数据聚类序列进行频繁性统计,获取一项触发频率低于所述一项频繁频率阈值的一项非频繁访问行为;
根据所述一项非频繁访问行为对所述群像数据聚类序列进行剪枝,获取离散群像数据聚类项;
设定二项频繁频率阈值直到k项频繁频率阈值,其中,k≥2,k为离散群像数据聚类项的最大项的类别数量;
根据所述二项频繁频率阈值直到所述k项频繁频率阈值,对所述离散群像数据聚类项进行频繁性统计,获取一项频繁访问行为、二项频繁访问行为直到k项频繁访问行为;
根据所述一项频繁访问行为、所述二项频繁访问行为直到所述k项频繁访问行为,获取所述访问基线行为;
基于所述访问基线行为,获取所述访问偏离行为。
2.如权利要求1所述的方法,其特征在于,包括:
根据所述存储数据流向,获取存储数据分块数量和存储数据备用数量;
根据所述存储数据分块数量和所述存储数据备用数量,获取所述丢失量化级;
获取所述第一存储客体的加密规则更新频率和密钥更新频率;
根据所述加密规则更新频率和所述密钥更新频率,获取所述加密量化级。
3.如权利要求1所述的方法,其特征在于,根据所述暴露量化级、所述丢失量化级和所述加密量化级对所述第一存储客体进行安全评估,包括:
获取暴露期望量化级、丢失期望量化级和加密期望量化级;
当所述暴露量化级不满足所述暴露期望量化级时,获取第一安全偏差系数;
当所述丢失量化级不满足所述暴露期望量化级时,获取第二安全偏差系数;
当所述加密量化级不满足所述加密期望量化级时,获取第三安全偏差系数;
将所述第一安全偏差系数和/或所述第二安全偏差系数和/或所述第三安全偏差系数输入求和函数,获取第一存储客体安全系数;
当所述第一存储客体安全系数不满足安全系数阈值,生成第一存储客体存储安全预警信号,发送至客户端。
4.如权利要求3所述的方法,其特征在于,将所述第一安全偏差系数和/或所述第二安全偏差系数和/或所述第三安全偏差系数输入求和函数,获取第一存储客体安全系数,包括:
激活所述客户端的信息交互隔离的多个评价通道,输入所述第一安全偏差系数、所述第二安全偏差系数和所述第三安全偏差系数,获取多个第一安全偏差系数重要度评分,多个第二安全偏差系数重要度评分和多个第三安全偏差系数重要度评分;
加和所述多个第一安全偏差系数重要度评分,所述多个第二安全偏差系数重要度评分和所述多个第三安全偏差系数重要度评分,获取重要度综合评分;
根据所述重要度综合评分,结合所述多个第一安全偏差系数重要度评分,所述多个第二安全偏差系数重要度评分和所述多个第三安全偏差系数重要度评分对所述第一安全偏差系数、所述第二安全偏差系数和所述第三安全偏差系数进行权重分布,获取权重分布结果;
根据所述权重分布结果,对所述第一安全偏差系数和/或所述第二安全偏差系数和/或所述第三安全偏差系数赋权后,输入求和函数,获取所述第一存储客体安全系数。
5.一种计算机存储安全评估系统,其特征在于,包括:
访问控制表模块,所述访问控制表模块用于获取第一存储客体的访问控制表,所述访问控制表包括访问主体和访问路径,其中,所述第一存储客体为底层存储客体;
暴露级分析模块,所述暴露级分析模块用于根据所述访问主体和所述访问路径进行暴露级分析,获取暴露量化级;
数据流向模块,所述数据流向模块用于获取所述第一存储客体的数据流向信息,其中,所述数据流向信息包括存储数据流向;
丢失级分析模块,所述丢失级分析模块用于对所述存储数据流向进行丢失级分析,获取丢失量化级;
加密级分析模块,所述加密级分析模块用于对所述第一存储客体进行加密级分析,获取加密量化级;
安全评估模块,所述安全评估模块用于根据所述暴露量化级、所述丢失量化级和所述加密量化级对所述第一存储客体进行安全评估;
所述暴露级分析模块包括以下执行步骤:
根据所述访问主体,获得离线主体数量和联网主体数量;
基于所述离线主体数量和所述联网主体数量,确定联网主体比例系数;
根据所述访问主体,获得无线主体数量和有线主体数量;
基于所述无线主体数量和所述有线主体数量,确定无线主体数量比例系数;
根据所述访问路径,确定访问路径深度系数;
根据所述联网主体比例系数、所述无线主体数量比例系数和所述访问路径深度系数进行暴露级分析,获取所述暴露量化级;
暴露级分析模块还包括以下执行步骤:
根据所述访问主体,获取访问群像数据;
根据所述访问群像数据进行频繁序列分析,确定访问基线行为和访问偏离行为;
基于所述访问基线行为和所述访问偏离行为,确定偏离行为数量比例系数;
根据所述联网主体比例系数、所述无线主体数量比例系数、所述访问路径深度系数和所述偏离行为数量比例系数,获取所述暴露量化级;
暴露级分析模块还包括以下执行步骤:
对所述访问群像数据进行聚类分析,获取群像数据聚类序列;
设定一项频繁频率阈值;
对所述群像数据聚类序列进行频繁性统计,获取一项触发频率低于所述一项频繁频率阈值的一项非频繁访问行为;
根据所述一项非频繁访问行为对所述群像数据聚类序列进行剪枝,获取离散群像数据聚类项;
设定二项频繁频率阈值直到k项频繁频率阈值,其中,k≥2,k为离散群像数据聚类项的最大项的类别数量;
根据所述二项频繁频率阈值直到所述k项频繁频率阈值,对所述离散群像数据聚类项进行频繁性统计,获取一项频繁访问行为、二项频繁访问行为直到k项频繁访问行为;
根据所述一项频繁访问行为、所述二项频繁访问行为直到所述k项频繁访问行为,获取所述访问基线行为;
基于所述访问基线行为,获取所述访问偏离行为。
CN202310893254.XA 2023-07-20 2023-07-20 一种计算机存储安全评估方法及系统 Active CN116644484B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310893254.XA CN116644484B (zh) 2023-07-20 2023-07-20 一种计算机存储安全评估方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310893254.XA CN116644484B (zh) 2023-07-20 2023-07-20 一种计算机存储安全评估方法及系统

Publications (2)

Publication Number Publication Date
CN116644484A CN116644484A (zh) 2023-08-25
CN116644484B true CN116644484B (zh) 2023-12-22

Family

ID=87623289

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310893254.XA Active CN116644484B (zh) 2023-07-20 2023-07-20 一种计算机存储安全评估方法及系统

Country Status (1)

Country Link
CN (1) CN116644484B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109829311A (zh) * 2019-01-21 2019-05-31 深圳临海科技有限公司 一种信息安全评估方法
CN110798472A (zh) * 2019-11-01 2020-02-14 杭州数梦工场科技有限公司 数据泄露检测方法与装置
CN115470067A (zh) * 2022-06-24 2022-12-13 任国强 基于云计算的大数据安全评估分析系统及方法
CN115906160A (zh) * 2022-11-16 2023-04-04 荣科科技股份有限公司 一种基于人工智能分析的信息处理方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090024663A1 (en) * 2007-07-19 2009-01-22 Mcgovern Mark D Techniques for Information Security Assessment

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109829311A (zh) * 2019-01-21 2019-05-31 深圳临海科技有限公司 一种信息安全评估方法
CN110798472A (zh) * 2019-11-01 2020-02-14 杭州数梦工场科技有限公司 数据泄露检测方法与装置
CN115470067A (zh) * 2022-06-24 2022-12-13 任国强 基于云计算的大数据安全评估分析系统及方法
CN115906160A (zh) * 2022-11-16 2023-04-04 荣科科技股份有限公司 一种基于人工智能分析的信息处理方法及系统

Also Published As

Publication number Publication date
CN116644484A (zh) 2023-08-25

Similar Documents

Publication Publication Date Title
US6681331B1 (en) Dynamic software system intrusion detection
TWI595375B (zh) 使用適應性行爲輪廓之異常檢測技術
US7815106B1 (en) Multidimensional transaction fraud detection system and method
US20050086529A1 (en) Detection of misuse or abuse of data by authorized access to database
CN107122669B (zh) 一种评估数据泄露风险的方法和装置
US7185367B2 (en) Method and system for establishing normal software system behavior and departures from normal behavior
CN110825757B (zh) 一种设备行为风险分析方法及系统
CN111881452A (zh) 一种面向工控设备的安全测试系统及其工作方法
CN110633893A (zh) 一种策略效能监控方法、装置以及计算机设备
CN113630419B (zh) 一种基于api流量的数据分类分级及数据安全监测方法及系统
CN112003846A (zh) 一种信用阈值的训练、ip地址的检测方法及相关装置
CN117557270A (zh) 移动终端安全支付管理方法及系统
CN116644484B (zh) 一种计算机存储安全评估方法及系统
CN115730320A (zh) 一种安全级别确定方法、装置、设备及存储介质
CN116346638B (zh) 基于电网功率及告警信息交互验证的数据篡改推断方法
CN116915515A (zh) 用于工控网络的访问安全控制方法及系统
CN114971180A (zh) 网络系统风险评估方法、装置、计算机设备和存储介质
CN118013502B (zh) 基于数据要素的数据资产安全保护方法及系统
CN117408395B (zh) 基于数字化供应链的风控平台运行稳定性优化方法及装置
US20230044072A1 (en) Monitoring side channels
CN113556350B (zh) 网络安全设备鲁棒性测试方法、系统及可读存储介质
CN111444503B (zh) 一种检测勒索病毒的方法、装置、系统和介质
CN117675291A (zh) 一种基于api数据的异常行为分析方法
CN118013502A (zh) 基于数据要素的数据资产安全保护方法及系统
CN118118223A (zh) 多方关联数据合谋行为识别模型构建方法、识别方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant