工业互联网数据安全防护能力评估方法及设备部署方法与流程

1.本发明涉及工业互联网数据安全技术领域，尤其涉及一种工业互联网数据安全防护能力评估方法及设备部署方法。


背景技术：

2.随着越来越多工业设备连入云计算平台，工业互联网数据安全风险日益突出，部分企业通过部署网闸、数据脱敏系统等数据安全防护设备来保护数据安全，但是当前工业互联网数据安全防护能力多采用定性方式进行评估，尚无高效可行的工业互联网数据安全防护能力定量评估方法，以实现数据精细化评估。此外，当前数据安全防护能力评估的思路基于“安全设备越多，防护能力越高”的思想，但是事实上，并不是设备越多防护能力越高，一方面，安全设备自身也可能具有脆弱性、成为攻击目标，部署越多安全设备可能意味着越多的风险点。另一方面，安全设备部署越多，企业成本就越高，达到的防护效果也不一定更好。


技术实现要素：

3.本发明实施例提供一种工业互联网数据安全防护能力评估方法及设备部署方法，用以解决现有技术中工业互联网数据安全防护能力评估不精确、部署方案性能差的问题。
4.根据本发明实施例的工业互联网数据安全防护能力评估方法，包括：
5.获取最优数据安全防护能力下的第一数据安全设备清单，并计算第一数据安全设备清单中各个数据安全设备的数据安全防护能力值；
6.获取待评估工业互联网已部署的第二数据安全设备清单，并基于所述第一数据安全设备清单中各个数据安全设备的数据安全防护能力值，计算待评估工业互联网的数据安全防护能力值；
7.基于所述待评估工业互联网已部署的第二数据安全设备清单，计算待评估工业互联网的总成本；
8.基于所述待评估工业互联网的数据安全防护能力值和总成本，评估所述待评估工业互联网的数据安全防护能力。
9.根据本发明的一些实施例，所述获取最优数据安全防护能力下的第一数据安全设备清单，计算第一数据安全设备清单中各个数据安全设备的数据安全防护能力值，包括：
10.计算现场层、车间层、企业层、以及企业外部层的数据安全防护权重比例；
11.获取所述最优数据安全防护能力下，所述现场层的第一设备子清单，并基于所述现场层的数据安全防护权重比例，计算所述第一设备子清单中各个数据安全设备的数据安全防护权重比例；
12.获取所述最优数据安全防护能力下，所述车间层的第二设备子清单，并基于所述车间层的数据安全防护权重比例，计算所述第二设备子清单中各个数据安全设备的数据安全防护权重比例；
13.获取所述最优数据安全防护能力下，所述企业层的第三设备子清单，并基于所述企业层的数据安全防护权重比例，计算所述第三设备子清单中各个数据安全设备的数据安全防护权重比例；
14.获取所述最优数据安全防护能力下，所述企业外部层的第四设备子清单，并基于所述企业外部层的数据安全防护权重比例，计算所述第四设备子清单中各个数据安全设备的数据安全防护权重比例；
15.基于所述第一设备子清单中各个数据安全设备的数据安全防护权重比例、所述第二设备子清单中各个数据安全设备的数据安全防护权重比例、所述第三设备子清单中各个数据安全设备的数据安全防护权重比例、以及所述第四设备子清单中各个数据安全设备的数据安全防护权重比例，计算各个数据安全设备的数据安全防护能力值。
16.根据本发明的一些实施例，所述获取最优数据安全防护能力下的第一数据安全设备清单，计算第一数据安全设备清单中各个数据安全设备的数据安全防护能力值，包括：
17.计算现场层、车间层、企业层、以及企业外部层的数据安全防护权重比例分别为w1、w2、w3、和w4，且满足：w1+w2+w3+w4＝100％；
18.获取所述最优数据安全防护能力下，所述现场层的第一设备子清单，并基于所述现场层的数据安全防护权重比例，计算所述第一设备子清单中各个数据安全设备的数据安全防护权重比例分别为w11、w12、w13、...，且满足：w11+w12+w13+...＝w1；
19.获取所述最优数据安全防护能力下，所述车间层的第二设备子清单，并基于所述车间层的数据安全防护权重比例，计算所述第二设备子清单中各个数据安全设备的数据安全防护权重比例分别为w21、w22、w23、...，且满足：w21+w22+w23+...＝w2；
20.获取所述最优数据安全防护能力下，所述企业层的第三设备子清单，并基于所述企业层的数据安全防护权重比例，计算所述第三设备子清单中各个数据安全设备的数据安全防护权重比例分别为w31、w32、w33、...，且满足：w31+w32+w33+...＝w3；
21.获取所述最优数据安全防护能力下，所述企业外部层的第四设备子清单，并基于所述企业外部层的数据安全防护权重比例，计算所述第四设备子清单中各个数据安全设备的数据安全防护权重比例分别为w41、w42、w43、...，且满足：w41+w42+w43+...＝w4；
22.基于w11、w12、w13、...，w21、w22、w23、...，w31、w32、w33、...，w41、w42、w43、...，采用百分制或者一分制，计算各个数据安全设备的数据安全防护能力值。
23.根据本发明的一些实施例，所述基于所述第一数据安全设备清单中各个数据安全设备的数据安全防护能力值，计算待评估工业互联网的数据安全防护能力值，包括：
24.基于所述第一数据安全设备清单中各个数据安全设备的数据安全防护能力值，获取所述第二数据安全设备清单中各个数据安全设备的数据安全防护能力值；
25.基于所述第二数据安全设备清单中各个数据安全设备的数据安全防护能力值，计算待评估工业互联网的数据安全防护能力值。
26.根据本发明的一些实施例，所述基于所述待评估工业互联网已部署的第二数据安全设备清单，计算待评估工业互联网的总成本，包括：
27.获取所述第二数据安全设备清单中各个数据安全设备的运行时间区间，以计算所述第二数据安全设备清单中各个数据安全设备的运行成本；
28.获取所述第二数据安全设备清单中各个数据安全设备的购买成本；
29.基于所述运行成本和所述购买成本，计算待评估工业互联网的总成本。
30.根据本发明的一些实施例，所述运行成本包括电力成本和维护成本。
31.根据本发明实施例的工业互联网数据安全设备部署方法，包括：
32.获取最优数据安全防护能力下的第一数据安全设备清单，并计算第一数据安全设备清单中各个数据安全设备的数据安全防护能力值；
33.预设多个数据安全设备待部署方案；
34.分别获取各个所述待部署方案的第二数据安全设备清单，并基于所述第一数据安全设备清单中各个数据安全设备的数据安全防护能力值，计算各个所述待部署方案的数据安全防护能力值；
35.计算各个所述待部署方案的的总成本；
36.基于各个所述待部署方案的数据安全防护能力值和总成本，确定工业互联网的数据安全设备部署方案。
37.根据本发明的一些实施例，所述获取最优数据安全防护能力下的第一数据安全设备清单，计算第一数据安全设备清单中各个数据安全设备的数据安全防护能力值，包括：
38.计算现场层、车间层、企业层、以及企业外部层的数据安全防护权重比例；
39.获取所述最优数据安全防护能力下，所述现场层的第一设备子清单，并基于所述现场层的数据安全防护权重比例，计算所述第一设备子清单中各个数据安全设备的数据安全防护权重比例；
40.获取所述最优数据安全防护能力下，所述车间层的第二设备子清单，并基于所述车间层的数据安全防护权重比例，计算所述第二设备子清单中各个数据安全设备的数据安全防护权重比例；
41.获取所述最优数据安全防护能力下，所述企业层的第三设备子清单，并基于所述企业层的数据安全防护权重比例，计算所述第三设备子清单中各个数据安全设备的数据安全防护权重比例；
42.获取所述最优数据安全防护能力下，所述企业外部层的第四设备子清单，并基于所述企业外部层的数据安全防护权重比例，计算所述第四设备子清单中各个数据安全设备的数据安全防护权重比例；
43.基于所述第一设备子清单中各个数据安全设备的数据安全防护权重比例、所述第二设备子清单中各个数据安全设备的数据安全防护权重比例、所述第三设备子清单中各个数据安全设备的数据安全防护权重比例、以及所述第四设备子清单中各个数据安全设备的数据安全防护权重比例，计算各个数据安全设备的数据安全防护能力值。
44.根据本发明的一些实施例，所述基于所述第一数据安全设备清单中各个数据安全设备的数据安全防护能力值，计算各个所述待部署方案的数据安全防护能力值，包括：
45.基于所述第一数据安全设备清单中各个数据安全设备的数据安全防护能力值，获取各个所述第二数据安全设备清单中各个数据安全设备的数据安全防护能力值；
46.基于各个所述第二数据安全设备清单中各个数据安全设备的数据安全防护能力值，计算各个所述待部署方案的数据安全防护能力值；
47.所述计算各个所述待部署方案的的总成本，包括：
48.获取各个所述第二数据安全设备清单中各个数据安全设备的运行时间区间，以计
算各个所述第二数据安全设备清单中各个数据安全设备的运行成本；
49.获取各个所述第二数据安全设备清单中各个数据安全设备的购买成本；
50.基于各个所述第二数据安全设备清单的运行成本和所述购买成本，计算各个所述待部署方案的的总成本；
51.所述运行成本包括电力成本和维护成本。
52.根据本发明实施例的计算机可读存储介质，所述计算机可读存储介质上存储有信息传递的实现程序，所述程序被处理器执行时实现如上所述方法的步骤。
53.采用本发明实施例，通过采用权重预置及成本评估的方式，科学定量地评估工业互联网数据安全防护能力，改进了“安全防护设备越多，防护能力越高”的防护方法及工业互联网各层设备及每个设备权重一致的评估方法，解决了定量评估缺失的问题，降低了安全防护成本，可以帮助企业以较小的成本获得期望的工业互联网数据安全防护效果，以最小的成本达到最优的防护效果，适用于工业互联网数据安全保护全生命周期，解决工业互联网数据安全防护能力评估问题。
54.上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。
附图说明
55.通过阅读下文实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。在附图中：
56.图1是本发明实施例中工业互联网数据安全防护能力评估方法流程图；
57.图2是本发明实施例中权重预置阶段流程图；
58.图3是本发明实施例中能力分值计算阶段流程图；
59.图4是本发明实施例中成本估算阶段流程图；
60.图5是本发明实施例中模型选择阶段流程图；
61.图6是本发明实施例中工业互联网数据安全设备部署方法流程图；
62.图7是工业互联网数据流动架构示意图。
具体实施方式
63.下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本发明，并且能够将本发明的范围完整的传达给本领域的技术人员。
64.当前，数据已经成为与土地、劳动力等并重的生产要素，工业互联网数据作为工业领域的灵魂和血液，对于实现工业互联网的智能化制造、网络化协同、个性化定制具有重要意义。典型工业互联网数据流动架构如图7所示。然而，由于工业互联网引入了公共网络，传统的网络数据安全风险也逐渐蔓延到工业互联网中，工业互联网数据安全风险突出，网络设备漏洞、木马、后门及工业控制系统自身的脆弱性引发了数据仿冒、数据篡改、数据盗取、
数据破坏等数据安全问题，不利于数据价值要素的发挥，同时数据安全问题还可能引发生命财产受损、甚至危害国家安全。对此，部分企业通过部署数据安全防护措施来保护数据安全，但是当前工业互联网数据安全防护能力多采用定性方式进行评估，尚无高效可行的工业互联网数据安全防护能力定量评估方法，可以对企业数据安全防护能力进行精细化评估。当前，典型的工业互联网数据安全防护能力评估技术方案主要采用以下步骤：首先，制定工业互联网数据安全策略；其次，梳理企业层、车间层、企业层、企业外部层各层的数据安全防护设备；然后，按照防护策略制定整体防护技术方案；最后，根据安全策略定性确定工业互联网数据安全防护能力等级。
65.该方案主要基于“安全设备越多，防护能力越高”的思想，这样会导致安全成本高，而且以定性方式评估防护效果，会造成评估分值不够具象化和精细化。而且，未对工业互联网每一层的不同设备进行权重设置，默认每个安全设备权重一致，各层的权重也一致，但是实际上防护能力与安全设备并非绝对呈正相关关系，因为一方面安全设备自身也可能具有脆弱性，成为攻击目标，另一方面，安全设备部署越多，企业成本就越高。
66.基于此，一方面，本发明实施例提出一种工业互联网数据安全防护能力评估方法，如图1所示，包括：
67.s1，获取最优数据安全防护能力下的第一数据安全设备清单，并计算第一数据安全设备清单中各个数据安全设备的数据安全防护能力值；
68.s2，获取待评估工业互联网已部署的第二数据安全设备清单，并基于所述第一数据安全设备清单中各个数据安全设备的数据安全防护能力值，计算待评估工业互联网的数据安全防护能力值；
69.s3，基于所述待评估工业互联网已部署的第二数据安全设备清单，计算待评估工业互联网的总成本；
70.s4，基于所述待评估工业互联网的数据安全防护能力值和总成本，评估所述待评估工业互联网的数据安全防护能力。
71.采用本发明实施例，通过采用权重预置及成本评估的方式，科学定量地评估工业互联网数据安全防护能力，改进了“安全防护设备越多，防护能力越高”的防护方法及工业互联网各层设备及每个设备权重一致的评估方法，解决了定量评估缺失的问题，降低了安全防护成本，可以帮助企业以较小的成本获得期望的工业互联网数据安全防护效果，以最小的成本达到最优的防护效果，适用于工业互联网数据安全保护全生命周期，解决工业互联网数据安全防护能力评估问题。
72.在上述实施例的基础上，进一步提出各变型实施例，在此需要说明的是，为了使描述简要，在各变型实施例中仅描述与上述实施例的不同之处。
73.根据本发明的一些实施例，所述获取最优数据安全防护能力下的第一数据安全设备清单，计算第一数据安全设备清单中各个数据安全设备的数据安全防护能力值，包括：
74.计算现场层、车间层、企业层、以及企业外部层的数据安全防护权重比例；
75.获取所述最优数据安全防护能力下，所述现场层的第一设备子清单，并基于所述现场层的数据安全防护权重比例，计算所述第一设备子清单中各个数据安全设备的数据安全防护权重比例；
76.获取所述最优数据安全防护能力下，所述车间层的第二设备子清单，并基于所述
车间层的数据安全防护权重比例，计算所述第二设备子清单中各个数据安全设备的数据安全防护权重比例；
77.获取所述最优数据安全防护能力下，所述企业层的第三设备子清单，并基于所述企业层的数据安全防护权重比例，计算所述第三设备子清单中各个数据安全设备的数据安全防护权重比例；
78.获取所述最优数据安全防护能力下，所述企业外部层的第四设备子清单，并基于所述企业外部层的数据安全防护权重比例，计算所述第四设备子清单中各个数据安全设备的数据安全防护权重比例；
79.基于所述第一设备子清单中各个数据安全设备的数据安全防护权重比例、所述第二设备子清单中各个数据安全设备的数据安全防护权重比例、所述第三设备子清单中各个数据安全设备的数据安全防护权重比例、以及所述第四设备子清单中各个数据安全设备的数据安全防护权重比例，计算各个数据安全设备的数据安全防护能力值。
80.根据本发明的一些实施例，所述获取最优数据安全防护能力下的第一数据安全设备清单，计算第一数据安全设备清单中各个数据安全设备的数据安全防护能力值，包括：
81.计算现场层、车间层、企业层、以及企业外部层的数据安全防护权重比例分别为w1、w2、w3、和w4，且满足：w1+w2+w3+w4＝100％；
82.获取所述最优数据安全防护能力下，所述现场层的第一设备子清单，并基于所述现场层的数据安全防护权重比例，计算所述第一设备子清单中各个数据安全设备的数据安全防护权重比例分别为w11、w12、w13、...，且满足：w11+w12+w13+...＝w1；
83.获取所述最优数据安全防护能力下，所述车间层的第二设备子清单，并基于所述车间层的数据安全防护权重比例，计算所述第二设备子清单中各个数据安全设备的数据安全防护权重比例分别为w21、w22、w23、...，且满足：w21+w22+w23+...＝w2；
84.获取所述最优数据安全防护能力下，所述企业层的第三设备子清单，并基于所述企业层的数据安全防护权重比例，计算所述第三设备子清单中各个数据安全设备的数据安全防护权重比例分别为w31、w32、w33、...，且满足：w31+w32+w33+...＝w3；
85.获取所述最优数据安全防护能力下，所述企业外部层的第四设备子清单，并基于所述企业外部层的数据安全防护权重比例，计算所述第四设备子清单中各个数据安全设备的数据安全防护权重比例分别为w41、w42、w43、...，且满足：w41+w42+w43+...＝w4；
86.基于w11、w12、w13、...，w21、w22、w23、...，w31、w32、w33、...，w41、w42、w43、...，采用百分制或者一分制，计算各个数据安全设备的数据安全防护能力值。
87.根据本发明的一些实施例，所述基于所述第一数据安全设备清单中各个数据安全设备的数据安全防护能力值，计算待评估工业互联网的数据安全防护能力值，包括：
88.基于所述第一数据安全设备清单中各个数据安全设备的数据安全防护能力值，获取所述第二数据安全设备清单中各个数据安全设备的数据安全防护能力值；所述第二数据安全设备清单中各个数据安全设备均属于所述第一数据安全设备清单。
89.基于所述第二数据安全设备清单中各个数据安全设备的数据安全防护能力值，计算待评估工业互联网的数据安全防护能力值。
90.根据本发明的一些实施例，所述基于所述待评估工业互联网已部署的第二数据安全设备清单，计算待评估工业互联网的总成本，包括：
91.获取所述第二数据安全设备清单中各个数据安全设备的运行时间区间，以计算所述第二数据安全设备清单中各个数据安全设备的运行成本；
92.获取所述第二数据安全设备清单中各个数据安全设备的购买成本；
93.基于所述运行成本和所述购买成本，计算待评估工业互联网的总成本。
94.根据本发明的一些实施例，所述运行成本包括电力成本和维护成本。
95.下面参照图2
‑
图4以一个具体的实施例详细描述根据本发明实施例的工业互联网数据安全防护能力评估方法。值得理解的是，下述描述仅是示例性说明，而不是对本发明的具体限制。凡是采用本发明的相似结构及其相似变化，均应列入本发明的保护范围。
96.本发明实施例的工业互联网数据安全防护能力评估方法，包括：权重预置阶段、能力分值计算阶段、以及成本估算阶段。
97.在权重预置阶段，首先要确定防护能力分值计算方式，包括百分制、一分制等，可以根据需要自行设定总分。其次要计算现场层(l1)、车间层(l2)、企业层(l3)、企业外部层(l4)的数据安全防护权重比例，比例求和为1，然后根据行业特色梳理最优数据安全防护能力下的数据安全设备，形成第一数据安全设备清单(bdl)，清单字段包括设备名称n、设备层级l。然后分别计算该清单中各层数据安全设备的权重比例，并综合权重比例及能力分值计算方式，计算各层权重值及各设备权重值。
98.图2为权重预置阶段流程图，如图2所示，权重预置阶段的具体过程包括：
99.a)确定防护能力计分方式，包括百分制、一分制等。
100.b)计算现场层(l1)、车间层(l2)、企业层(l3)、企业外部层(l4)的数据安全防护权重比例w1,w2,w3,w4,w1+w2+w3+w4＝100％。
101.c)梳理最优数据安全防护能力下的数据安全设备，形成第一数据安全设备清单bdl，清单字段包括设备名称n、设备层级l。
102.d)计算bdl中l1各数据安全设备权重比例w
11
、w
12
、w
13
…
，其中w
11
+w
12
+w
13
+...＝w1。
103.e)计算bdl中l2各数据安全设备权重比例w
21
、w
22
、w
23
…
，其中w
21
+w
22
+w
23
+...＝w2。
104.f)计算bdl中l3各数据安全设备权重比例w
31
、w
32
、w
33
…
，其中w
31
+w
32
+w
33
+...＝w3。
105.g)计算bdl中l4各数据安全设备权重比例w
41
、w
42
、w
43
…
，其中w
41
+w
42
+w
43
+...＝w4。
106.h)综合权重比例及a)步骤的能力分值计算方式，计算各层权重值及各设备能力值。
107.i)预置各层级设备能力值。
108.在能力分值计算阶段，首先利用扫描设备扫描已部署数据安全防护设备，自动生成第二数据安全设备清单(dl)，清单字段包括设备名称n、设备层级l。根据预置各层级设备能力值，计算dl中各层设备防护能力分值及整体防护方案的防护能力分值。
109.图3为能力分值计算阶段流程图，如图3所示，能力分值计算阶段具体过程如下：
110.j)扫描已部署数据安全防护设备，自动生成第二数据安全设备清单dl，清单字段包括设备名称n、设备层级l。
111.k)根据i)预置各层级设备能力值，计算dl中l1层各设备防护能力分值。
112.l)根据i)预置各层级设备能力值，计算dl中l2层各设备防护能力分值。
113.m)根据i)预置各层级设备能力值，计算dl中l3层各设备防护能力分值。
114.n)根据i)预置各层级设备能力值，计算dl中l4层各设备防护能力分值。
115.o)计算整体防护方案的防护能力分值。
116.在成本估算阶段，首先从采购库中自动调取设备购买成本表单。然后选择设备运行时间区间t，并计算dl中各设备在时间t内的运行成本，包括电力、维护成本。最后将各成本求和得到各设备运行总成本。
117.图4为成本估算阶段流程图，如图4所示，成本估算阶段具体过程如下：
118.p)自动调取dl中各设备购买成本表单。
119.q)选择dl中各设备运行时间区间t。
120.r)计算dl中各设备在时间t内的运行成本，包括电力、维护成本。
121.s)根据p)和r)计算dl中各设备运行总成本。
122.本发明的上述技术方案的有益效果如下：
123.本发明针对工业互联网中的数据安全能力进行评估，并据此进行最优防护模型选择。该方案是基于等级评估进行的改进，继承了等级评估方案的要求，同时对其进行了以下改进：一是根据安全设备对数据安全的重要性对设备权重进行预置，解决了设备权重一致的问题；二是通过评估能力分值的计算解决了定性评估精细化不足的问题；三是通过引入成本因素解决实现了方案成本的最小化。
124.需要说明的是，以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
125.另一方面，本发明实施例提出一种工业互联网数据安全设备部署方法，如图6所示，包括：
126.s5，获取最优数据安全防护能力下的第一数据安全设备清单，并计算第一数据安全设备清单中各个数据安全设备的数据安全防护能力值；
127.s6，预设多个数据安全设备待部署方案；
128.s7，分别获取各个所述待部署方案的第二数据安全设备清单，并基于所述第一数据安全设备清单中各个数据安全设备的数据安全防护能力值，计算各个所述待部署方案的数据安全防护能力值；
129.s8，计算各个所述待部署方案的的总成本；
130.s9，基于各个所述待部署方案的数据安全防护能力值和总成本，确定工业互联网的数据安全设备部署方案。
131.采用本发明实施例，通过采用权重预置及成本评估的方式，科学定量地评估工业互联网数据安全防护能力，改进了“安全防护设备越多，防护能力越高”的防护方法及工业互联网各层设备及每个设备权重一致的评估方法，解决了定量评估缺失的问题，降低了安全防护成本，可以帮助企业以较小的成本获得期望的工业互联网数据安全防护效果，以最小的成本达到最优的防护效果，适用于工业互联网数据安全保护全生命周期，解决工业互联网数据安全防护能力评估问题。
132.在上述实施例的基础上，进一步提出各变型实施例，在此需要说明的是，为了使描述简要，在各变型实施例中仅描述与上述实施例的不同之处。
133.根据本发明的一些实施例，所述获取最优数据安全防护能力下的第一数据安全设备清单，计算第一数据安全设备清单中各个数据安全设备的数据安全防护能力值，包括：
134.计算现场层、车间层、企业层、以及企业外部层的数据安全防护权重比例；
135.获取所述最优数据安全防护能力下，所述现场层的第一设备子清单，并基于所述现场层的数据安全防护权重比例，计算所述第一设备子清单中各个数据安全设备的数据安全防护权重比例；
136.获取所述最优数据安全防护能力下，所述车间层的第二设备子清单，并基于所述车间层的数据安全防护权重比例，计算所述第二设备子清单中各个数据安全设备的数据安全防护权重比例；
137.获取所述最优数据安全防护能力下，所述企业层的第三设备子清单，并基于所述企业层的数据安全防护权重比例，计算所述第三设备子清单中各个数据安全设备的数据安全防护权重比例；
138.获取所述最优数据安全防护能力下，所述企业外部层的第四设备子清单，并基于所述企业外部层的数据安全防护权重比例，计算所述第四设备子清单中各个数据安全设备的数据安全防护权重比例；
139.基于所述第一设备子清单中各个数据安全设备的数据安全防护权重比例、所述第二设备子清单中各个数据安全设备的数据安全防护权重比例、所述第三设备子清单中各个数据安全设备的数据安全防护权重比例、以及所述第四设备子清单中各个数据安全设备的数据安全防护权重比例，计算各个数据安全设备的数据安全防护能力值。
140.根据本发明的一些实施例，所述基于所述第一数据安全设备清单中各个数据安全设备的数据安全防护能力值，计算各个所述待部署方案的数据安全防护能力值，包括：
141.基于所述第一数据安全设备清单中各个数据安全设备的数据安全防护能力值，获取各个所述第二数据安全设备清单中各个数据安全设备的数据安全防护能力值；所述第二数据安全设备清单中各个数据安全设备均属于所述第一数据安全设备清单。
142.基于各个所述第二数据安全设备清单中各个数据安全设备的数据安全防护能力值，计算各个所述待部署方案的数据安全防护能力值；
143.所述计算各个所述待部署方案的的总成本，包括：
144.获取各个所述第二数据安全设备清单中各个数据安全设备的运行时间区间，以计算各个所述第二数据安全设备清单中各个数据安全设备的运行成本；
145.获取各个所述第二数据安全设备清单中各个数据安全设备的购买成本；
146.基于各个所述第二数据安全设备清单的运行成本和所述购买成本，计算各个所述待部署方案的的总成本；
147.所述运行成本包括电力成本和维护成本。
148.下面参照图2
‑
图5以一个具体的实施例详细描述根据本发明实施例的工业互联网数据安全设备部署方法。值得理解的是，下述描述仅是示例性说明，而不是对本发明的具体限制。凡是采用本发明的相似结构及其相似变化，均应列入本发明的保护范围。
149.本发明实施例的工业互联网数据安全设备部署方法，包括：权重预置阶段、能力分值计算阶段、成本估算阶段、以及模型选择阶段。
150.在权重预置阶段，首先要确定防护能力分值计算方式，包括百分制、一分制等，可以根据需要自行设定总分。其次要计算现场层(l1)、车间层(l2)、企业层(l3)、企业外部层(l4)的数据安全防护权重比例，比例求和为1，然后根据行业特色梳理最优数据安全防护能
力下的数据安全设备，形成第一数据安全设备清单(bdl)，清单字段包括设备名称n、设备层级l。然后分别计算该清单中各层数据安全设备的权重比例，并综合权重比例及能力分值计算方式，计算各层权重值及各设备权重值。
151.图2为权重预置阶段流程图，如图2所示，权重预置阶段的具体过程包括：
152.a)确定防护能力计分方式，包括百分制、一分制等。
153.b)计算现场层(l1)、车间层(l2)、企业层(l3)、企业外部层(l4)的数据安全防护权重比例w1,w2,w3,w4,w1+w2+w3+w4＝100％。
154.c)梳理最优数据安全防护能力下的数据安全设备，形成第一数据安全设备清单bdl，清单字段包括设备名称n、设备层级l。
155.d)计算bdl中l1各数据安全设备权重比例w
11
、w
12
、w
13
…
，其中w
11
+w
12
+w
13
+...＝w1。
156.e)计算bdl中l2各数据安全设备权重比例w
21
、w
22
、w
23
…
，其中w
21
+w
22
+w
23
+...＝w2。
157.f)计算bdl中l3各数据安全设备权重比例w
31
、w
32
、w
33
…
，其中w
31
+w
32
+w
33
+...＝w3。
158.g)计算bdl中l4各数据安全设备权重比例w
41
、w
42
、w
43
…
，其中w
41
+w
42
+w
43
+...＝w4。
159.h)综合权重比例及a)步骤的能力分值计算方式，计算各层权重值及各设备能力值。
160.i)预置各层级设备能力值。
161.在能力分值计算阶段，预设多个数据安全设备待部署方案，针对每个待部署方案，执行以下步骤：首先利用扫描设备扫描各个待部署数据安全防护设备，自动生成多个第二数据安全设备清单(dl)，清单字段包括设备名称n、设备层级l。根据预置各层级设备能力值，计算各个dl中各层设备防护能力分值及整体防护方案的防护能力分值。
162.图3为能力分值计算阶段流程图，如图3所示，能力分值计算阶段具体过程如下：
163.j)扫描各个待部署数据安全防护设备，自动生成多个第二数据安全设备清单dl，清单字段包括设备名称n、设备层级l。
164.k)根据i)预置各层级设备能力值，计算各个dl中l1层各设备防护能力分值。
165.l)根据i)预置各层级设备能力值，计算各个dl中l2层各设备防护能力分值。
166.m)根据i)预置各层级设备能力值，计算各个dl中l3层各设备防护能力分值。
167.n)根据i)预置各层级设备能力值，计算各个dl中l4层各设备防护能力分值。
168.o)计算各个待部署方案的防护能力分值。
169.应当理解，为了精简本发明并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该发明的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面发明的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。
170.在成本估算阶段，首先从采购库中自动调取设备购买成本表单。然后基于待部署方案选择设备运行时间区间t，并计算各个dl中各设备在时间t内的运行成本，包括电力、维护成本。最后将各成本求和得到各个dl的总成本。
171.图4为成本估算阶段流程图，如图4所示，成本估算阶段具体过程如下：
172.p)自动调取各个dl中各设备购买成本表单。
173.q)选择各个dl中各设备运行时间区间t。
174.r)计算各个dl中各设备在时间t内的运行成本，包括电力、维护成本。
175.s)根据p)和r)计算各个dl中各设备运行总成本。
176.在模型选择阶段，如图5所示，基于各个所述待部署方案的数据安全防护能力值和总成本，形成评估分值
‑
成本曲线图(s
‑
c图)。最后根据s
‑
c图选择最优工业互联网数据安全设备部署模型。
177.本发明实施例充分考虑企业防护成本，通过平衡防护成本及防护效果，提出一种基于权重预置及成本曲线的工业互联网数据安全防护能力评估方法，以最小成本获取最优防护效果。
178.需要说明的是，以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
179.本发明实施例还提出一种计算机可读存储介质，所述计算机可读存储介质上存储有信息传递的实现程序，所述程序被处理器执行时实现如上第一方面所述的工业互联网数据安全防护能力评估方法的步骤，和/或，第二方面所述的工业互联网数据安全设备部署方法的步骤。
180.本实施例所述计算机可读存储介质包括但不限于为：rom、ram、磁盘或光盘等。
181.显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。
182.采用本发明实施例，通过采用权重预置及成本评估的方式，科学定量地评估工业互联网数据安全防护能力，改进了“安全防护设备越多，防护能力越高”的防护方法及工业互联网各层设备及每个设备权重一致的评估方法，解决了定量评估缺失的问题，降低了安全防护成本，可以帮助企业以较小的成本获得期望的工业互联网数据安全防护效果，以最小的成本达到最优的防护效果，适用于工业互联网数据安全保护全生命周期，解决工业互联网数据安全防护能力评估问题。
183.需要说明的是，在本说明书的描述中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
184.参考术语“一个实施例”、“一些实施例”、“示意性实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指
的是相同的实施例或示例。尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。例如，在权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
185.另外，还需要注意的是，在此提供的方法不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
186.在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。