一种网络安全防御体系量化评估方法、网络安全评估平台与流程

本发明属于信息安全技术领域，尤其涉及一种网络安全防御体系量化评估方法、网络安全评估平台。

背景技术：

目前，业内常用的现有技术是这样的：随着网络信息技术的快速发展，信息化技术被应用到各个领域，给生活和生产带来了极大的便利。同时，网络安全问题变得越来越多，网络攻击也变得越来越频繁，造成用户隐私数据泄露，互联网服务瘫痪，对社会利益带来了巨大的损失。一般情况下，一个系统在网络设计阶段没有考虑其网络安全防御体系的建设，反而在遭受网络攻击后，技术人员才开始在系统中部署各种安全设备，试图防御网络攻击，这种方式虽然在一定程度上提高了系统的安全性，但缺乏对系统整体面临威胁的分析，并且安全设备很难实际发挥理论上的功效，导致技术人员不能完全掌握系统安全防护能力上的不足，不能有效建设系统的安全防御体系，使系统在网络安全事件发生时处于被动的状态。因此，为了确保技术人员能对系统的网络安全状况有全面的掌握，需要一种合理有效的网络安全评估方法。

针对网络安全评估问题，人们已经提出了一些解决方案，比如：现有技术一(申请号cn201611086924.3申请公布号cn106789955a)公开了一种网络安全态势评估方法，分别对系统中的各个设备单独评估，最后综合得到整个网络的安全态势值，但是该技术是从系统已存在的漏洞和已遭受的攻击为要素进行评估，可能遗漏新威胁，评估结果产生延后性。现有技术二(申请号cn201710364501.1申请公布号cn107204876a)公开了一种网络安全风险评估方法，以漏洞和安全告警为要素，在多个时间点进行多次风险评估，该技术侧重于评估结果的实时性，但漏洞是威胁可被具体利用的表现，系统除漏洞外还面临其它未发现漏洞的威胁，并且安全设备对攻击的检测也会存在漏报和误报的情况，造成实际评估结果的偏差。

综上所述，现有技术存在的问题是：

(1)缺少对系统在网络设计阶段的安全能力评估。由于系统在网络设计阶段缺乏安全防护能力的量化评估，防御者无法掌握系统所面临的威胁类型以及目前系统的安全防护能力水平，导致后续的安全防御体系建设工作难以进行。同时系统在设计阶段考虑其安全防御体系的建设，那么在网络中增加安全设备后系统的安全性如何，也需要对设计阶段进行安全量化评估。

(2)对实际系统环境进行评估，没有结合安全设备防御威胁的实际效果。系统的安全防御能力是由系统中所部署的安全设备所决定的，虽然安全设备具备特定的防御功能，但不能保证防御功能达到理论效果，这就导致理论上的安全性和实际上的安全性之间的偏差。

(3)影响网络安全的要素不够全面。网络安全评估要素不够全面，最终评估结果就会存在偏差，不能真实反映系统的安全防护能力，影响防御者在安全防御体系建设上的决策。

解决上述技术问题的难度：

在保证评估结果有效的前提下，对设计阶段和实际运行阶段要求评估要素的全面性；设计阶段的安全评估要着重考虑各评估要素的理论效果；实际运行阶段的安全评估既要结合评估要素的理论效果，又要考虑可反映实际效果的评估要素。

解决上述技术问题的意义：

随着信息技术的发展，未来社会各个领域将会引入信息化系统，网络安全面临巨大挑战，设计合理有效的网络安全防御体系量化评估方法对于掌握、完善信息化系统的安全防护能力具有重要意义。

技术实现要素：

针对现有技术存在的问题，本发明提供了一种网络安全防御体系量化评估方法、网络安全评估平台。

本发明是这样实现的，一种网络安全防御体系量化评估方法，所述网络安全防御体系量化评估方法包括：

第一步，确定系统面临的所有安全威胁及权重；

第二步，确定系统中的安全设备防御向量及防御动作权重；

第三步，对系统划分安全域，确定安全域权重；

第四步，对设计阶段的系统进行安全防御能力评估，包括以下步骤：

(1)对于安全域zonel，预部署有安全设备d1,d2,…,dj。相应的，安全设备dj的威胁防御向量为aj＝(aj1,aj2,…,ajn)，那么安全域zonel对威胁的防御向量为a'＝a1ora2or…oraj＝(a1,a2,…,an)，其中or为或运算；

(2)安全域zonel的安全防护能力综合l个安全域的安全防护能力，得到整体系统设计阶段的安全防护能力

第五步，对实际运行阶段的系统进行安全防御能力评估，包括以下步骤：

(1)针对n种安全威胁设计生成n种攻击测试，通过每种攻击测试得到安全设备dj对安全威胁的实际防御结果aj＝(aj1,aj2,…,ajn)和防御威胁ti的动作结果

1)在安全域zonel中，有安全设备d1,d2,…,dj，对于安全威胁ti，每台安全设备的具体防御动作结果为bi1,bi2,…,bij，得到综合防御动作结果bi＝bi1orbi2or…orbij，综合防御结果a'＝a1ora2or…oraj；

2)安全域zonel的安全防护能力

(2)综合l个安全域的安全防护能力，得到整体系统实际运行阶段的安全防护能力

进一步，所述第一步的确定系统面临的所有安全威胁及权重的过程包括以下步骤：

(1)系统面临n种安全威胁，threat＝{t1,t2,…,tn}，每种安全威胁ti对应的威胁权重为twi，tw＝(tw1,tw2,…,twn)表示安全威胁集合对应的权重向量：

其中，

(2)攻击者将安全威胁转化为攻击，达到其攻击目的，n种安全威胁共可以达到m种攻击目的objective＝{o1,o2,…,om}；

(3)应用层次分析法确定安全威胁的权重tw，步骤如下；

1)风险严重性作为目标层，攻击目的objective作为准则层，安全威胁threat作为方案层；

2)构造判断矩阵，并计算方案层对于准则层的权重向量作为安全威胁权重tw。

进一步，所述第二步的确定系统中的安全设备防御向量及防御动作权重具体包括：

(1)根据安全设备类型及功能设计，得到安全设备dj对威胁的防御向量为aj＝(aj1,aj2,…,ajn)；

(2)安全设备对安全威胁能够做出的防御动作为response＝{r1,r2,…,rk}，防御动作权重为rw＝(rw1,rw2,…,rwk)；

(3)应用层次分析法确定防御动作的权重rw，步骤如下：

1)防御动作重要性作为目标层，安全威胁threat作为准则层，防御动作response作为方案层；

2)构造判断矩阵，直接引用安全威胁权重tw作为准则层权重系数，并计算方案层对于准则层的权重向量作为防御动作权重rw。

进一步，所述第三步对系统划分安全域，确定安全域权重的过程具体包括以下步骤：

(1)将系统划分为l个安全域zone，value＝{v1,v2,…,vl}为安全域中需要保护的资产价值；

(2)确定安全域权重zw＝{zw1,zw2,…,zwl}，其中zw1:zw2:…:zwl＝v1:v2:…:vl。

本发明的另一目的在于提供一种应用所述网络安全防御体系量化评估方法的网络安全评估平台。

综上所述，本发明的优点及积极效果为：本发明从网络安全攻防的角度出发，将安全设备与安全威胁作为评估要素，评估系统的安全防护能力。系统中的资产存在若干安全威胁，这些威胁是网路攻击的来源，防御者需要在系统中部署安全设备，借助安全设备对特定威胁的防御能力，减小或消除威胁，提高系统的安全性。本发明通过分析系统中安全设备防御能力与存在的威胁之间的对应关系，如防火墙具备防御网络扫描、拒绝服务攻击的能力，网络入侵检测系统具备注入攻击、暴力破解、上传webshell等的能力，发现系统安全防御体系的缺失，并结合安全威胁之间的权重关系得到系统的安全防护能力评估结果。

本发明实现了对系统设计阶段和实际运行阶段的全面评估，对系统防御体系的建设具有指导意义。对系统设计阶段进行量化评估，能够帮助防御者掌握防御体系在设计时的防御范围、防御短板以及整体安全防护能力，帮助防御者完善系统防御体系的防御面；对系统实际运行阶段进行量化评估，通过各项安全威胁对应的攻击测试，能够帮助防御者了解防御体系在实际运行时安全设备实际的防御效果，便于对防御体系进行查漏补缺，并给出实际运行阶段的安全防护能力量化结果，发现与设计阶段的差距。

与现有方案相比，本发明能够通过对比系统可防御的安全威胁集合与系统可能面临的威胁集合，发现防御体系无法防御的威胁类型，帮助防御者发现安全防御短板；本发明结合安全威胁对应的测试用例，在实际环境下对安全设备进行防御能力测试，并通过对比安全设备在理想情况下和在实际测试下对威胁的防御情况，可以得出由于设备配置、功能实现程度导致的无法实际防御的威胁类型，给防御者改善防御体系提供指导意见。

附图说明

图1是本发明实施例提供的网络安全防御体系量化评估方法流程图。

图2是本发明实施例提供的网络安全防御体系量化评估方法实现流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明对于一个系统的安全防御体系的量化评估，设计合理有效的安全评估方案，全面考虑被评估系统面临的威胁，分别评估系统设计阶段和实际运行阶段的安全防护能力，对于该系统安全防御体系的建设和完善具有重要意义。

下面结合附图对本发明的应用原理作详细的描述。

如图1所示，本发明实施例提供的网络安全防御体系量化评估方法包括以下步骤：

s101：确定系统面临的所有安全威胁及权重；

s102：确定系统中的安全设备防御向量及防御动作权重；

s103：对系统划分安全域，确定安全域权重；

s104：对设计阶段的系统进行安全防御能力评估；

s105：对实际运行阶段的系统进行安全防御能力评估。

下面结合附图对本发明的应用原理作进一步的描述。

如图2所示，本发明实施例提供的网络安全防御体系量化评估方法具体包括以下步骤：

步骤一，确定系统面临的所有安全威胁及权重；

1.1)通过梳理分析系统中的业务功能点，确定系统可能面临的n种安全威胁，threat＝{t1,t2,…,tn}，威胁集合覆盖范围越全面，评估效果就越好。每种安全威胁ti对应的威胁权重为twi，tw＝(tw1,tw2,…,twn)表示安全威胁集合对应的权重向量，其中

1.2)攻击者将安全威胁转化为具体攻击，通过攻击行为达到其目的，比如获取权限、获取数据、信息收集等。n种安全威胁最终可以达到的攻击目的有m种，攻击目的集合为objective＝{o1,o2,…,om}；

1.3)应用层次分析法确定安全威胁的权重向量tw，步骤如下：

其中，本实施例中的层次分析法，简称ahp，是指将与决策总是有关的元素分解成目标、准则、方案等层次，在此基础之上进行定量分析的决策方法。

1.3.1)将风险严重性作为目标层，步骤1.2中所述攻击目的objective作为准则层，步骤1.1中所述安全威胁threat作为方案层，建立层次结构模型；

1.3.2)根据所述层次结构构造判断矩阵，并计算准则层权重向量以及方案层对于准则层的权重向量，将方案层对于准则层的权重向量作为安全威胁权重向量tw。所述判断矩阵构建公式为：

上述公式中，a为n×n的矩阵，且满足aij为因素i与因素j相对重要性比值，由决策者根据表1进行判断。

表1

步骤二，确定系统中的安全设备防御向量及防御动作权重；

2.1)根据安全设备类型及功能设计，得到安全设备dj对威胁的防御向量为aj＝(aj1,aj2,…,ajn)；不同类型的安全设备可能具备不同的防御能力，甚至同种类型的安全设备在功能设计上也可能有差异，其防御能力也会有所不同；

2.2)安全设备对系统遭受的攻击进行防御，根据安全设备的功能设计，能够做出的防御动作集合为response＝{r1,r2,…,rk}，比如拦截、检测、详细事件日志等，作为评估安全设备实际防御能力的评估要素，这些防御动作权重为rw＝(rw1,rw2,…,rwk)；

2.3)应用层次分析法确定步骤2.2中所述防御动作的权重rw，步骤如下：

2.3.1)防御动作重要性作为目标层，步骤1.1中所述安全威胁threat作为准则层，步骤2.2中所述防御动作response作为方案层，构建层次结构模型；

2.3.2)根据步骤1.3.2中所述方法构建判断矩阵，并将步骤1.3.2中所述安全威胁权重tw作为准则层权重系数，并计算方案层对于准则层的权重向量作为防御动作权重rw。

步骤三，对系统划分安全域，确定安全域权重；

3.1)将系统划分为l个安全域zone，value＝{v1,v2,…,vl}为l安全域中需要保护的资产价值集合，vl表示安全域zonel中资产价值之和，用资产代表的实际经济价值作为资产价值。假设安全域zonel中，提供业务功能的资产有h1,h2,h3，资产的经济价值为e1,e2,e3，该安全域的资产价值vl＝e1+e2+e3；

其中上述安全域是指，同一安全域中的设备具有相同的安全需求，相同的访问控制策略，相同的网络边界，域中设备之间相互信任，安全性互相影响。不同安全域之间存在由防火墙、网闸、nat等设备设置的acl作为网络边界，这些设备两端一般连接两个不同的子网，作为安全域划分的方式；

3.2)确定安全域权重向量zw＝(zw1,zw2,…,zwl)，其中zw1:zw2:…:zwl＝v1:v2:…:vl，l为划分安全域的个数。

步骤四，对设计阶段的系统进行安全防御能力评估；

4.1)分别对单个安全域进行评估，步骤如下：

根据步骤3.1中所述安全域的概念，每个安全域有相同的安全需求，即每个安全域有单独的安全策略，所以需要对每个安全域的安全防御能力分别评估；

4.1.1)对于安全域zonel，在防御体系设计时预部署有安全设备d1,d2,…,dj，相应的，根据步骤2.1所述安全设备dj的威胁防御向量为aj＝(aj1,aj2,…,ajn)，其中表示安全设备dj对威胁ti的防御情况；

那么安全域zonel对威胁的防御向量为a'＝a1ora2or…oraj＝(a1,a2,…,an)，其中or为或运算，ai与ti一一对应，比如a1ora2＝(a11ora21,a12ora22,…a1nora2n)。在安全域zonel中，有一台安全设备能够防御威胁ti，就说明该安全域就具备对威胁ti的安全防护能力。通过上述安全域zonel对威胁的防御向量，防御者可以发现该安全域无法防御的安全威胁，对防御体系的设计进行查漏补缺。如果多台安全设备的威胁防御向量相同，说明这些安全设备的防御面重叠，对安全防护能力的提升没有作用；

4.1.2)安全域zonel的安全防护能力特别地，如果该安全域可以防御所有安全威胁，则a'为1×n的全1矩阵，根据上述公式计算得到的安全防护能力值为1，安全防护能力达到最高；如果该安全域不能防御任何安全威胁，则a'为1×n的全0矩阵，根据上述公式计算得到的安全防护能力值为0，安全防护能力达到最低；如果该安全域已有可以防御安全威胁ti…tj,1≤i≤j≤n的安全设备，及时增加或减少相同防御能力的安全设备，a'不会变化，最终计算得到的安全防护能力值也不变；

4.2)根据步骤4.1.2计算l个安全域的安全防护能力，最终得到整体系统设计阶段的安全防护能力评估值

步骤五，对实际运行阶段的系统进行安全防御能力评估；

5.1)对单个安全域进行评估，步骤如下：

5.1.1)针对n种安全威胁设计生成n种攻击测试，对安全域zonel中的资产进行测试，通过每种攻击测试后安全设备的防御结果进行记录，得到安全设备dj对安全威胁的实际防御结果aj＝(aj1,aj2,…,ajn)和防御威胁ti的动作结果其中表示安全设备dj对威胁ti的防御情况，表示安全设备dj对威胁ti进行防御时具体的防御动作情况。根据安全设备类型、产品型号的不同，其在功能上的具体实现也不同，安全设备的配置也会影响实际防御能力，所以要结合模拟攻击来对测试安全设备的实际防御效果，帮助防御者发现安全设备配置或功能上的不足之处，便于完善安全防御体系的建设；

5.1.2)在安全域zonel中，有安全设备d1,d2,…,dj，对于安全威胁ti，根据步骤5.1.1中所述每台安全设备的具体防御动作结果为bi1,bi2,…,bij，得到综合防御动作结果bi＝bi1orbi2or…orbij，综合防御结果a'＝a1ora2or…oraj。bi为安全域zonel中所有安全设备对威胁ti进行防御时防御动作的综合，比如安全设备d1对威胁ti做出防御动作向量为安全设备d2对威胁ti做出防御动作向量为则该结果可以帮助防御者发现针对特定威胁防御的响应盲点，便于进一步完善防御体系建设；a'为安全域zonel对威胁的防御向量，与步骤4.1.1所述相同；

5.1.3)安全域zonel的安全防护能力在实际运行阶段，安全域zonel的防御体系在防御威胁ti，必须对该威胁响应所有防御动作，才说明安全域zonel具备对威胁ti的安全防护能力，所以即使在该安全域中部署有多台相同防御面的安全设备，只要对威胁响应的防御动作不同，也不会造成资源浪费；

5.2)根据步骤5.1.2计算l个安全域的安全防护能力，最终得到整体系统实际运行阶段的安全防护能力评估值

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。