一种网络结构安全性分析方法
【专利摘要】本发明公开了一种网络结构安全性分析方法,其基于用户提供的整个网络的拓扑结构、设备重要性、设备间通讯风险系数、安全保护设备安全因子以及连接安全因子计算整个网络系统中任意两个设备之间通过两者之间通讯的路径风险,并计算整个网络中的每个设备的风险;通过对路径风险和每个设备风险的计算,确定整体结构安全风险。本发明的分析方法简便易行,可以针对用户需求对不同的网络提出整改方案以实现网络结构的高度可定制化,克服了现有网络结构安全设计中的主观性强、成本高、流程长以及不具备可比性等多种缺陷。
【专利说明】
-种网络结构安全性分析方法
技术领域
[0001] 本发明设及网络安全领域,尤其设及一种网络结构安全性分析方法。
【背景技术】
[0002] 随着网络在日常生产及生活中的大量应用,网络安全问题日益凸显并对网络用户 造成很大的困扰。尤其是在例如工业控制领域运样的特殊应用领域中,随着工业控制自动 化进程的深入,工业控制网络与外部互联网或企业办公网络的信息交互日趋频繁,使得工 业控制网络不断面临着来自外部互联网的恶意攻击和内部人员的误操作等威胁。因为早期 工控设备使用环境相对封闭,所W工业控制系统在开发时往往更重视功能的实现,而缺少 对工控网络自身安全的关注,运也导致工业控制系统中存在不可避免的安全缺陷。
[0003] 网络拓扑结构的设计是影响其安全性的重要因素。网络拓扑结构的设计传统上是 由专家评审的方式进行的,其存在主观性强、成本高、流程长、不具备可比性等多种缺陷。在 运样的背景下,如何设计相对安全的网络就成为急需解决的问题。
【发明内容】
[0004] 为解决上述现有技术中存在的问题,本发明提出了一种网络结构安全性分析方 法,本方法从网络的拓扑结构出发,发现网络结构设计和实现中的问题,提出整改方案,针 对不同拓扑结构的网络实现高度的可定制化,通过调节工具参数,定制符合用户和行业要 求的方案。为实现上述目的,本发明的技术方案如下:
[0005] -种网络结构安全性分析方法,包括W下步骤:步骤一,由用户提供整个网络的 网络拓扑结构、设备重要性I、设备间通讯风险系数R、安全保护设备安全因子A W及连接方 式安全因子以其中,所述设备重要性I表示各个设备对用户的重要程度,所述设备间通讯 风险系数R表示不同功能设备之间通讯的风险系数,所述安全保护设备安全因子A表示安 全保护设备的防护作用,所述连接方式安全因子L表示各个设备之间连接对通讯安全的影 响;步骤二,基于用户所提供的信息,计算整个网络系统中任意两个设备a、b之间通过两者 之间通讯的路径风险FXgb;步骤=,基于用户所提供的信息计算整个网络中的每个设备S的 风险FDg;步骤四,基于用户所提供的信息W及步骤二和步骤S中所计算的路径风险W及每 个设备的风险,计算网络的整体结构安全风险F ;步骤五,利用网络拓扑结构的大小对整体 结构安全风险进行归一化;其中,所述设备包括用户设备W及安全保护设备。
[0006] 进一步地,步骤二中所述任意两个设备a、b之间通过路径a-b通讯的路径风险FXgb 定义为
[0007] 进一步地,步骤S中每个设备S的风险抑S定义;
[0008] 进一步地,步骤四中整体结构安全风险F定义关
其中n为所有的 设备数量。
[0009] 进一步地,所有安全设备的安全保护设备安全因子A的数值为0-1之间。
[0010] 进一步地,所述设备之间的连接方式包括无线连接、有线连接。
[0011] 进一步地,所述用户设备包括PC、交换机、可编程逻辑控制器W及互联网设备。
[0012] 进一步地,所述安全保护设备包括网关、网闽、防火墙、IPS W及IDS。
[0013] 本发明所产生的有益效果在于:
[0014] 本发明提供了一种针对网络结构的安全性进行分析的方法。由已知的各类信息对 整个网络结构的安全性进行量化分析,所得出的网络结构的风险值可W客观的反应整个网 络的安全状况,同时分析方法简便易行,可W针对用户需求对不同的网络提出整改方案W 实现网络结构的高度可定制化,克服了现有网络结构安全设计中的主观性强、成本高、流程 长W及不具备可比性的多种缺陷。
【附图说明】
[0015] 图1为一种网络系统的拓扑结构图;
[0016] 图2为另一种网络系统的拓扑结构图。
【具体实施方式】
[0017] 实施例1 :
[0018] 如图1所示的一种网络系统的拓扑结构图,其中,交换机1与互联网连通;同时交 换机1与交换机2、办公电脑1 W及数据服务器1连通;交换机2与交换机3 W及工程师工 作站1连通,交换机3与可编程逻辑控制器1连通。
[001引基于上述的网络拓扑结构图,化及下列表1、表2、表3和表4中所给出的网络结构 中各个设备的重要性及功能列表、各个设备间通讯风险系数列表、安全保护设备安全因子 化及连接安全因子,通过公式FXgb= RgbX n 1 e。bAiX n , e。山,可m十算出如表5中所示 的图1的网络结构中各个设备之间通讯的路径风险:
[0020] 表1 :设备重要性列表及功能类别 [00211
[002
[0024] 表3 :安全保护设备安全因子[00 巧]
[002
[002引表4 :连接安全因子 [0027]
[002引表5 :图1设备间通讯的路径风险(不在表中的风险为0) [0029]
[0030] 并可^根据公^!
计算出如表6所示的图I的网络拓扑结构图 中每个设备的风险:
[0031] 表6 :图1各个设备风险(不在表中的风险为0) 「00321
[0034] 由此可Wg
f算得出图1的网络的整体结构安全风险,上述示例 中有9个设备(n = 9),最后进行归一化处理后最终结构风险为:123. 3/81 = 1. 5。
[003引实施例2 :
[0036] 如图2所示的另一网络拓扑结构图,其中,交换机1与互联网W及防火墙1、数据服 务器1连通;防火墙1与交换机2连通;交换机2与工程师工作站1、办公电脑1 W及交换 机3连通;交换机3与可编程逻辑控制器1连通。
[0037] 基于该网络结构拓扑图,W及上述表1-表4给出的网络结构中各个设备的重要性 及功能列表、各个设备间通讯风险系数列表、安全保护设备安全因子W及连接安全因子,通 过公式FXgb= RgbX n n ,e。山,可W计算出如表7中所示的图2的网络结构中 各个设备之间通讯的路径风险:
[003引表7 :图2设备间通讯的路径风险(不在表中的风险为0)
[0039]
[0040] 表 7
[0041] 并可W根据公,
开算出如表8所示的图2的网络拓扑结构图中 每个设备的风险:
[0042] 表8 :图2各个设备风险(不在表中的风险为0)
[0045] 由此可W由
十算得出图2的网络的整体结构安全风险并 进行巧一化处理后最终结构风险为:201. 9/81 =2. 5。
[0046] 对比图1与图2的网络拓扑结构图,图2中的办公电脑1与工程师工作站1所在 的交换机2连通,使得办公电脑1可W直接与网络中的重要设备相通讯,导致重要设备的风 险明显增加,最终导致整体结构风险从图1的1. 5升高至图2的2. 5,其中表7的数值直观 的体现出导致整体结构安全风险升高的主要原因,用户可W据此对网络结构进行修改。
[0047] W上所述实施例仅表达了本发明的实施方式,其描述较为具体和详细,但并不能 因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说, 在不脱离本发明构思的前提下,还可W做出若干变形和改进,运些都属于本发明的保护范 围。因此,本发明专利的保护范围应W所附权利要求为准。
【主权项】
1. 一种网络结构安全性分析方法,其特征在于,包括W下步骤: 步骤一,由用户提供整个网络的网络拓扑结构、设备重要性I、设备间通讯风险系数R、 安全保护设备安全因子A W及连接安全因子以其中,所述设备重要性I表示各个设备对用 户的重要程度,所述设备间通讯风险系数R表示不同功能设备之间通讯的风险系数,所述 安全保护设备安全因子A表示安全保护设备的防护作用,所述连接方式安全因子L表示各 个设备之间连接对通讯安全的影响; 步骤二,基于用户所提供的信息,计算整个网络系统中任意两个设备a、b之间通过两 者之间通讯的路径风险FX。,; 步骤Ξ,基于用户所提供的信息计算整个网络中的每个设备S的风险FDg; 步骤四,基于用户所提供的信息W及步骤二和步骤Ξ中所计算的路径风险FXgbW及每 个设备的风险FDg,计算网络的整体结构安全风险F ; 步骤五,为了保证数据可比性,利用网络拓扑结构的大小对整体结构安全风险进行归 一化; 其中,所述设备包括用户设备W及安全保护设备。2. 如权利要求1所述的网络结构安全性分析方法,其特征在于,步骤二中所述任意两 个设备a、b之间通过路径a-b通讯的路径风险FXab定义为FX ab = R ab X Π 1 E。bAi X Π j E。山J, 其中Ai为安全保护设备i的安全因子,Lj为联接j的安全因子。3. 如权利要求1所述的网络结构安全性分析方法,其特征在于,步骤Ξ中每个设备S的 风险抑S定义为4. 如权利要求1所述的网络结构安全性分析方法,其特征在于,步骤四中整体结构安 全风险F定义35. 如权利要求1所述的网络结构安全性分析方法,其特征在于,所有安全设备的安全 保护设备安全因子A的数值为0-1之间。6. 如权利要求1所述的网络结构安全性分析方法,其特征在于,所述设备之间的连接 方式包括无线连接、有线连接。7. 如权利要求1所述的网络结构安全性分析方法,其特征在于,所述用户设备包括PC、 交换机、可编程逻辑控制器W及互联网设备。8. 如权利要求1所述的网络结构安全性分析方法,其特征在于,所述安全保护设备包 括网关、网闽、防火墙、IPS W及IDS。
【文档编号】H04L29/06GK105939307SQ201510399219
【公开日】2016年9月14日
【申请日】2015年7月8日
【发明人】孙桉, 孙一桉, 徐林
【申请人】北京匡恩网络科技有限责任公司