网络设备的安全防护能力评估方法及设备的制作方法

文档序号:7814902阅读:342来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
网络设备的安全防护能力评估方法及设备的制作方法
【专利摘要】本发明提供的网络设备的安全防护能力评估方法及设备,获取与待测网络设备的安全防护能力相关的各安全评判指标以及各安全评判指标下所包括的安全分析指标,基于安全评判指标和安全分析指标构建用于评估安全防护能力的递阶层次结构,基于该递阶层次结构确定各个安全评判指标以及安全分析指标对安全防护能力的综合权重向量,所述综合权重向量与预设的各安全等级的隶属度向量相乘,得到所述网络设备的安全防护能力等级。本发明中将与网络设备的安全防护能力相关的安全评判指标进行划分为多个维度,每个维度包含若干安全分析指标,对网络设备的安全防护能力进行量化分析,为确定网络设备对网络安全状态的影响和承载业务的稳定性提供重要依据。
【专利说明】网络设备的安全防护能力评估方法及设备

【技术领域】
[0001] 本发明涉及通信领域,尤其涉及一种网络设备的安全防护能力评估方法及设备。

【背景技术】
[0002] 随着信息技术的广泛应用,人类社会已经全面进入信息化时代。作为信息传输载 体的网络是信息社会的基础设施。随着网络应用的日益普及,网络安全问题日益突出,引起 社会各界的高度重视。网络设备作为组成网络的基础,网络设备的安全必然成为影响网络 安全的关键要素,因此,网络设备进行安全防护能力评估成为对网络进行建设、维护和安全 评估的重要参考依据,对维护网络安全运行具有重要的意义。
[0003] 目前,多采用风险评估方法对网络设备的安全防护能力进行评估,首先为网络设 备设定至少一种风险类型,然后通过扫描获取该网络设备中每种风险类型对应的所有风险 数据。进一步地,将扫描结果中包含的该风险类型对应的所有风险数据,与针对该网络设备 预设的各风险类型对应的所有风险数据的安全基准线进行对比,通过对比分析来评估该网 络设备的安全。该风险评估方法属于定性的评估方法,得到的评估结果会具有一定的局限 性,不能准确地反应该网络设备的安全防护能力。


【发明内容】

[0004] 本发明提供一种网络设备的安全防护能力评估方法及设备,用于解决现有评估方 法具有一定的局限性,不能准确地反应该网络设备的安全防护能力的问题。
[0005] 为了实现上述目的,本发明提供的一种网络设备的安全防护能力评估方法,包 括:
[0006] 获取与待测网络设备的安全防护能力相关的各安全评判指标以及各安全评判指 标下所包括的安全分析指标;
[0007] 使用各安全评判指标以及各安全评判指标下所包括的安全分析指标构建所述安 全防护能力的递阶层次结构,其中所述递阶层次结构包括目标层、准则层和方案层,所述目 标层为所述安全防护能力的决策层,所述准则层包括所有的安全评判指标,所述方案层包 括所有的安全分析指标;
[0008] 根据所述准则层中各安全评判指标相对于所述安全防护能力的相对重要性,确定 所述准则层对于所述目标层的第一权重向量;
[0009] 根据隶隶属于同一安全评判指标的各安全分析指标相对于该安全评判指标的相 对重要性,确定所述方案层中各安全分析指标对所隶属的安全评判指标的第二权重向量; [0010] 将所述准则层的所述第一权重向量与所述方案层的所有第二权重向量进行综合, 得到所述方案层对所述目标层的综合权重向量;
[0011] 将所述综合权重向量与预设的各安全等级的隶属度向量相乘,得到所述网络设备 的安全防护能力等级。
[0012] 为了实现上述目的,本发明提供的一种网络设备的安全防护能力评估设备,包 括:
[0013] 第一获取模块,用于获取与待测网络设备的安全防护能力相关的各安全评判指标 以及各安全评判指标下所包括的安全分析指标;
[0014] 层次构建模块,用于使用各安全评判指标以及各安全评判指标下所包括的安全分 析指标构建所述安全防护能力的递阶层次结构,其中所述递阶层次结构包括目标层、准则 层和方案层,所述目标层为所述安全防护能力的决策层,所述准则层包括所有的安全评判 指标,所述方案层包括所有的安全分析指标;
[0015] 第一确定模块,用于根据所述准则层中各安全评判指标相对于所述安全防护能力 的相对重要性,确定所述准则层对于所述目标层的第一权重向量;
[0016] 第二确定模块,用于根据隶属于同一安全评判指标的各安全分析指标相对于该安 全评判指标的相对重要性,确定所述方案层中各安全分析指标对所隶属的安全评判指标的 第二权重向量;
[0017] 综合模块,用于将所述准则层的所述第一权重向量与所述方案层的所有第二权重 向量进行综合,得到所述方案层对所述目标层的综合权重向量;
[0018] 第二获取模块,用于将所述综合权重向量与预设的各安全等级的隶属度向量相 乘,得到所述网络设备的安全防护能力等级。
[0019] 本发明提供的网络设备的安全防护能力评估方法及设备,获取与待测网络设备的 安全防护能力相关的各安全评判指标以及各安全评判指标下所包括的安全分析指标,使用 各安全评判指标以及各安全评判指标下所包括的安全分析指标构建所述安全防护能力的 递阶层次结构,根据所述准则层中各安全评判指标相对于所述安全防护能力的相对重要 性,确定所述准则层对于所述目标层的第一权重向量,根据隶属于同一安全评判指标的各 安全分析指标相对于该安全评判指标的相对重要性,确定所述方案层中各安全分析指标对 所隶属的安全评判指标的第二权重向量,将所述准则层的所述第一权重向量与所述方案层 的所有第二权重向量进行综合,得到所述方案层对所述目标层的综合权重向量,将所述综 合权重向量与预设的各安全等级的隶属度向量相乘,得到所述网络设备的安全防护能力等 级。本实施例中将与网络设备安全防护相关的安全评判指标进行划分为多个维度,每个维 度包含若干安全分析指标,确定各个安全评判指标以及安全分析指标对安全防护能力的权 重,进而获取到网络设备的安全防护能力等级,为确定网络设备对网络安全状态的影响和 承载业务的稳定性提供重要依据。

【专利附图】

【附图说明】
[0020] 图1为本发明实施例一提供的一种网络设备的安全防护能力评估方法的流程示 意图;
[0021] 图2为本发明实施例一提供的一种评估安全防护能力的递阶层次结构的示意图;
[0022] 图3为本发明实施例一提供的一种获取方案层对目标层的综合权重向量的过程 示意图;
[0023] 图4为本发明实施例二提供的一种网络设备的安全防护能力评估设备的结构示 意图;
[0024] 图5为本发明实施例二提供的一种第一确定模块的结构示意图;
[0025] 图6为本发明实施例二提供的一种第二确定模块的结构示意图;
[0026] 图7为本发明实施例二提供的一种综合模块的结构示意图。

【具体实施方式】
[0027] 为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例 中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是 本发明一部分实施例,而不是全部的实施例。
[0028] 实施例一
[0029] 图1为本发明实施例一提供的一种网络设备的安全防护能力评估方法的流程示 意图。如图1所示,该网络设备的安全防护能力评估方法包括以下步骤:
[0030] 101、获取与待测网络设备的安全防护能力相关的各安全评判指标以及各安全评 判指标下所包括的安全分析指标。
[0031] 实际中影响网络设备的安全防护能力的要素有很多个,每个要素下面又包括多个 要素因子。本实施例中,将影响网络设备的安全防护能力的要素设定为安全评判指标,每个 安全评判指标下所包括的要素因子设定为安全分析指标。
[0032] 为了便于理解,假设与待测网络设备的安全防护能力相关的安全评判指标主要包 括:安全漏洞P1、访问控制策略P2、数据安全防护P3、协议安全防护P4、电气安全防护P5、 安全防御策略P6、安全审计策略P7、管理安全策略P8、备份与恢复策略P9和安全监控策略 P10。每个安全评判指标下所包括的安全分析指标,如表1所示。
[0033] 表 1
[0034]

【权利要求】
1. 一种网络设备的安全防护能力评估方法,其特征在于,包括: 获取与待测网络设备的安全防护能力相关的各安全评判指标以及各安全评判指标下 所包括的安全分析指标; 使用各安全评判指标以及各安全评判指标下所包括的安全分析指标构建所述安全防 护能力的递阶层次结构,其中所述递阶层次结构包括目标层、准则层和方案层,所述目标层 为所述安全防护能力的决策层,所述准则层包括所有的安全评判指标,所述方案层包括所 有的安全分析指标; 根据所述准则层中各安全评判指标相对于所述安全防护能力的相对重要性,确定所述 准则层对于所述目标层的第一权重向量; 根据隶属于同一安全评判指标的各安全分析指标相对于该安全评判指标的相对重要 性,确定所述方案层中各安全分析指标对所隶属的安全评判指标的第二权重向量; 将所述准则层的所述第一权重向量与所述方案层的所有第二权重向量进行综合,得到 所述方案层对所述目标层的综合权重向量; 将所述综合权重向量与预设的各安全等级的隶属度向量相乘,得到所述网络设备的安 全防护能力等级。
2. 根据权利要求1所述的网络设备的安全防护能力评估方法,其特征在于,所述根据 所述准则层中各安全评判指标相对于所述安全防护能力的相对重要性,确定所述准则层对 于所述目标层的第一权重向量,包括: 将各安全评判指标相对于所述安全防护能力的相对重要性进行两两比较,得到所述准 则层的第一判断矩阵; 对所述第一判断矩阵使用方根法计算得到所述第一权重向量; 所述根据隶属于同一安全评判指标的各安全分析指标相对于该安全评判指标的相对 重要性,确定所述方案层中各安全分析指标对所隶属的安全评判指标的第二权重向量,包 括: 将隶属于同一安全评判指标下各安全分析指标的相对于该安全评判指标的相对重要 性进行两两比较,得到隶属于该安全评判指标下各安全分析指标的第二判断矩阵; 对隶属于同一安全评判指标下各安全分析指标所述第二判断矩阵使用方根法计算,得 到隶属于该安全评判指标各安全分析指标对应的所述第二权重向量。
3. 根据权利要求2所述的网络设备的安全防护能力评估方法,其特征在于,所述将所 述准则层的所述第一权重向量与所述方案层的所有第二权重向量进行综合,得到所述方案 层对所述目标层的综合权重向量,包括: 利用同一安全评判指标下各安全分析指标对预设的各安全等级的隶属度,构建隶属于 该安全评判指标下的各安全分析指标对应的评价矩阵; 将隶属于同一安全评判指标的所述第二权重向量与该安全评判指标对应的所述评价 矩阵相乘,得到该安全评判指标的模糊综合向量; 利用所有安全评判指标对应的模糊综合向量构成所述安全防护能力的综合评价矩 阵; 将所述第一权重向量与所述综合评价矩阵相乘,得到所述目标层的综合权重向量。
4. 根据权利要求3所述的网络设备的安全防护能力评估方法,其特征在于,将所述综 合权重向量与预设的各安全等级的隶属度向量相乘,得到所述网络设备的安全防护能力等 级,包括: 将所述综合权重向量与预设的各安全等级的隶属度向量相乘,得到所述安全防护能力 的等级值; 根据所述等级值与预设的各安全等级对应的取值范围确定所述安全防护能力的等级。
5. 根据权利要求2-4任一项所述的网络设备的安全防护能力评估方法,其特征在于, 所述对所述第一判断矩阵使用方根法计算得到所述第一权重向量,包括: 计算所述第一判断矩阵每一行元素的第一乘积; 对每一行的所述第一乘积进行N次方根计算得到第一数值; 使用每一行的所述第一数值构成向量并进行归一化处理,得到所述第一权重向量; 所述对所述第二判断矩阵使用方根法计算得到所述第二权重向量,包括: 计算所述第二判断矩阵每一行元素的第二乘积; 对每一行的所述第二乘积进行N次方根计算得到第二数值; 使用每一行的所述第二数值构成向量并进行归一化处理,得到所述第二权重向量。
6. 根据权利要求5所述的网络设备的安全防护能力评估方法,其特征在于,所述得到 所述第一权重向量之后,还包括: 计算所述第一判断矩阵的最大特征值; 根据所述最大特征值计算所述第一判断矩阵的一致性指标; 将所述第一判断矩阵的所述一致性指标与所述ΑΗΡ算法中预设的随机一致性指标的 比值,作为所述第一判断矩阵的一致性比例; 如果所述第一判断矩的所述一致性比例小于〇. 1,判断所述第一判断矩阵通过一致性 验证; 如果所述第一判断矩的所述一致性比例等于或者大于〇. 1,调整每个安全评判指标相 对于所述安全防护能力的重要性,重新获取所述第一判断矩阵; 所述得到所述第二权重向量之后,还包括: 计算所述第二判断矩阵的最大特征值; 根据所述最大特征值计算所述第二判断矩阵的一致性指标; 将所述第二判断矩阵的所述一致性指标与所述ΑΗΡ算法中预设的随机一致性指标的 比值,作为所述第二判断矩阵的一致性比例; 如果所述第二判断矩阵的一致性比例小于〇. 1,判断所述第二判断矩阵通过一致性验 证; 如果所述第二判断矩阵的一致性比例等于或者大于〇. 1,调整每个安全评判指标相对 于所属于的安全评判指标的重要性,重新获取所述第二判断矩阵。
7. -种网络设备的安全防护能力评估设备,其特征在于,包括: 第一获取模块,用于获取与待测网络设备的安全防护能力相关的各安全评判指标以及 各安全评判指标下所包括的安全分析指标; 层次构建模块,用于使用各安全评判指标以及各安全评判指标下所包括的安全分析指 标构建所述安全防护能力的递阶层次结构,其中所述递阶层次结构包括目标层、准则层和 方案层,所述目标层为所述安全防护能力的决策层,所述准则层包括所有的安全评判指标, 所述方案层包括所有的安全分析指标; 第一确定模块,用于根据所述准则层中各安全评判指标相对于所述安全防护能力的相 对重要性,确定所述准则层对于所述目标层的第一权重向量; 第二确定模块,用于根据隶属于同一安全评判指标的各安全分析指标相对于该安全评 判指标的相对重要性,确定所述方案层中各安全分析指标对所隶属的安全评判指标的第二 权重向量; 综合模块,用于将所述准则层的所述第一权重向量与所述方案层的所有第二权重向量 进行综合,得到所述方案层对所述目标层的综合权重向量; 第二获取模块,用于将所述综合权重向量与预设的各安全等级的隶属度向量相乘,得 到所述网络设备的安全防护能力等级。
8. 根据权利要求7所述的网络设备的安全防护能力评估设备,其特征在于,所述第一 确定模块,包括: 第一比较单元,用于将各安全评判指标相对于所述安全防护能力的相对重要性进行两 两比较,得到所述准则层的第一判断矩阵; 第一计算单元,用于对所述第一判断矩阵使用方根法计算得到所述第一权重向量; 所述第二确定模块,包括: 第二比较单元,用于将隶属于同一安全评判指标下各安全分析指标的相对于该安全评 判指标的相对重要性进行两两比较,得到隶属于该安全评判指标下各安全分析指标的第二 判断矩阵; 第二计算单元,用于对隶属于同一安全评判指标下各安全分析指标所述第二判断矩阵 使用方根法计算,得到隶属于该安全评判指标各安全分析指标对应的所述第二权重向量。
9. 根据权利要求8所述的网络设备的安全防护能力评估设备,其特征在于,所述综合 模块,包括: 构建单元,用于利用同一安全评判指标下各安全分析指标对预设的各安全等级的隶属 度,构建属于该安全评判指标下的各安全分析指标对应的评价矩阵; 第一获取单元,用于将隶属于同一安全评判指标的所述第二权重向量与该全评判指标 对应的所述评价矩阵相乘,得到该安全评判指标的模糊综合向量; 第二获取单元,用于利用所有安全评判指标对应的模糊综合向量构成所述安全防护能 力的综合评价矩阵; 第三获取单元,用于将所述第一权重向量与所述综合评价矩阵相乘,得到所述目标层 的综合权重向量。
10. 根据权利要求9所述的网络设备的安全防护能力评估设备,其特征在于,将第二获 取模块,具体用于将所述综合权重向量与预设的各安全等级的隶属度向量相乘,得到所述 安全防护能力的等级值,根据所述等级值与预设的各安全等级对应的取值范围确定所述安 全防护能力的等级。
11. 根据权利要求8-10任一项所述的网络设备的安全防护能力评估设备,其特征在 于,所述第一计算单元,具体用于计算所述第一判断矩阵每一行元素的第一乘积,对每一行 的所述第一乘积进行N次方根计算得到第一数值,使用每一行的所述第一数值构成向量并 进行归一化处理,得到所述第一权重向量; 所述第二计算单元,具体用于计算所述第二判断矩阵每一行元素的第二乘积,对每一 行的所述第二乘积进行N次方根计算得到第二数值,使用每一行的所述第二数值构成向量 并进行归一化处理,得到所述第二权重向量。
12.根据权利要求11所述的网络设备的安全防护能力评估设备,其特征在于,所述第 一确定模块,还包括: 第一验证单元,用于计算所述第一判断矩阵的最大特征值,根据所述最大特征值计算 所述第一判断矩阵的一致性指标,将所述第一判断矩阵的所述一致性指标与所述ΑΗΡ算法 中预设的随机一致性指标的比值,作为所述第一判断矩阵的一致性比例,如果所述第一判 断矩的所述一致性比例小于〇. 1,判断所述第一判断矩阵通过一致性验证,如果所述第一判 断矩的所述一致性比例等于或者大于〇. 1,调整每个安全评判指标相对于所述安全防护能 力的重要性,重新获取所述第一判断矩阵; 所述第二确定模块,还包括: 第二验证单元,用于计算所述第二判断矩阵的最大特征值,根据所述最大特征值计算 所述第二判断矩阵的一致性指标,将所述第二判断矩阵的所述一致性指标与所述ΑΗΡ算法 中预设的随机一致性指标的比值,作为所述第二判断矩阵的一致性比例,如果所述第二判 断矩阵的一致性比例小于〇. 1,判断所述第二判断矩阵通过一致性验证,如果所述第二判断 矩阵的一致性比例等于或者大于0. 1,调整每个安全评判指标相对于所属于的安全评判指 标的重要性,重新获取所述第二判断矩阵。
【文档编号】H04L29/12GK104243478SQ201410483755
【公开日】2014年12月24日 申请日期:2014年9月19日 优先权日:2014年9月19日
【发明者】赵静宜, 贾永华, 黑昱冬, 戴茵, 王卫东, 李秀成, 汪志 申请人:中国联合网络通信集团有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:赵静宜;贾永华;黑昱冬;戴茵;王卫东;李秀成;汪志
  • 技术所有人:中国联合网络通信集团有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
安全防护设备相关技术
机械设备安全防护标准相关技术
安全防护设施设备清单相关技术
安全防护设备管理制度相关技术
主机安全防护设备相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2