网络安全评估方法、装置、设备及存储介质与流程

1.本技术涉及通信领域，尤其涉及一种网络安全评估方法、装置、设备及存储介质。


背景技术：

2.随着信息技术的快速发展和网络空间的普遍应用，极大的促进了社会进步和繁荣，但信息安全问题在信息化发展过程中日益突出。网络的攻击、入侵、病毒、木马等各种类型的安全威胁日益增大，目前网络风险评估主要面临以下挑战：安全事件分析难度大，安全威胁处理陷入困局。随着通信网络的不断延伸与扩展，网络中的设备数量和服务类型也越来越多，网络中的关键安全设备和业务服务器产生了大量的安全事件日志，安全运维人员面对这些数量巨大、彼此割裂的安全信息，以及各种产品自身的控制台界面和告警窗口，难以对网络的安全态势进行全面评估。


技术实现要素：

3.本技术提供一种网络安全评估方法、装置、设备及存储介质，用于综合多个与网络安全相关的目标指标，实现对网络进行多维度的全面评估。
4.为了达到上述目的，本技术采用如下技术方案：
5.第一方面，提供一种网络安全评估方法，该方法包括：网络安全评估装置获取监测区域内待评估网络发生的告警事件，并确定告警事件的特征，告警事件的特征包括目标指标以及目标指标的告警等级，目标指标用于指示被攻击对象。进一步的，网络安全评估装置在被攻击对象未被攻击成功的情况下，根据目标指标的告警等级确定目标指标的指标分数，目标指标的指标分数用于表征被攻击对象的安全程度；并根据目标指标的指标分数，确定待评估网络的安全评估结果。
6.在本技术提供的网络安全评估方法中，通过多个表征被攻击对象安全程度的目标指标的指标分数，综合确定出当前监测区域内待评估网络的安全评估结果，以实现全面的对网络进行评估。
7.一种可能的设计中，上述目标指标包括终端安全指标、网络安全指标、业务系统安全指标以及数据安全指标中的至少两个。
8.一种可能的设计中，在目标指标为终端安全指标或网络安全指标的情况下，网络安全评估装置基于与目标指标的告警等级对应的第一预设分数，对目标指标的初始指标分数进行调整，得到目标指标的指标分数；目标指标的指标分数小于目标指标的初始指标分数。在目标指标为业务系统安全指标的情况下，网络安全评估装置基于被攻击的业务系统的数量，与全部业务系统的数量之间的第一比值，对目标指标的初始指标分数进行调整，得到目标指标的指标分数；目标指标的指标分数小于目标指标的初始指标分数。在目标指标为数据安全指标的情况下，网络安全评估装置基于目标数量与历史平均数量的第二比值，对目标指标的初始指标分数进行调整，得到目标指标的指标分数；目标指标的指标分数小于目标指标的初始指标分数，目标数量为监测区域内待评估网络发生的告警事件包括目标
指标的告警事件的数量，历史平均数量为历史周期内包括目标指标的告警事件的平均数量。该设计中针对每个与网络安全相关的指标，设置了评分规则，实现了对各项目标指标更合理的评分。
9.一种可能的设计中，在上述确定目标指标的指标分数之后，网络安全评估方法还包括：网络安全评估装置确定监测区域内待评估网络的安全态势参数，安全态势参数与告警处理效率正相关。进一步的，网络安全评估装置根据目标指标的指标分数以及安全态势参数，确定网络安全态势的评估结果。该设计中在确定各项与网络安全相关的指标的指标分数后，通过与和告警处理效率正相关的安全态势参数相乘，确定出能够反映网络安全态势的网络安全态势评估结果，更好反映待评估网络目前的安全状况。
10.一种可能的设计中，上述确定监测区域内待评估网络的安全态势参数，包括：网络安全评估设备确定待评估网络的告警确认率、告警消除率以及防护设备贯通率；告警确认率为告警响应的数量与告警总数的比值，告警消除率为已解决的告警事件的数量与告警总数的比值，防护设备贯通率为已连通的防护设备的数量与防护设备总数的比值。进一步的，网络安全评估设备基于告警确认率、告警消除率以及防护设备贯通率，确定安全态势参数。该设计中实现了网络安全评估装置确定网络安全态势参数的一种实现方式。
11.一种可能的设计中，上述告警事件的特征还包括攻击标识，攻击标识用于指示被攻击对象是否被攻击成功，上述网络安全评估方法还包括：网络安全评估装置在被攻击对象被攻击成功的情况下，将目标指标的指标分数设置为0，并进行告警。该设计中在确定存储已经被攻击成功的目标被攻击对象的情况下，直接将用于表征该目标被攻击对象的目标指标的指标分数设置为0并告警，以使得运维人员快速响应处理，避免造成更大的损失。
12.第二方面，提供一种网络安全评估装置，包括获取单元以及确定单元。获取单元用于获取监测区域内待评估网络发生的告警事件。确定单元用于确定告警事件的特征，告警事件的特征包括目标指标以及目标指标的告警等级，目标指标用于指示被攻击对象。确定单元还用于在被攻击对象未被攻击成功的情况下，根据目标指标的告警等级，确定目标指标的指标分数，目标指标的指标分数用于表征被攻击对象的安全程度。确定单元还用于根据目标指标的指标分数，确定待评估网络的安全评估结果。
13.一种可能的设计中，目标指标包括终端安全指标、网络安全指标、业务系统安全指标以及数据安全指标中的至少两个。
14.一种可能的设计中，网络安全评估装置还包括处理单元。确定单元具体用于在目标指标为终端安全指标或网络安全指标的情况下，基于与目标指标的告警等级对应的第一预设分数，对目标指标的初始指标分数进行调整，得到目标指标的指标分数；目标指标的指标分数小于目标指标的初始指标分数。确定单元具体用于在目标指标为业务系统安全指标的情况下，基于被攻击的业务系统的数量，与全部业务系统的数量之间的第一比值，对目标指标的初始指标分数进行调整，得到目标指标的指标分数；目标指标的指标分数小于目标指标的初始指标分数。确定单元具体用于在目标指标为数据安全指标的情况下，基于目标数量与历史平均数量的第二比值，对目标指标的初始指标分数进行调整，得到目标指标的指标分数；目标指标的指标分数小于目标指标的初始指标分数，目标数量为监测区域内待评估网络发生的告警事件包括目标指标的告警事件的数量，历史平均数量为历史周期内包括目标指标的告警事件的平均数量。
15.一种可能的设计中，确定单元还用于确定监测区域内待评估网络的安全态势参数，安全态势参数与告警处理效率正相关。确定单元具体用于根据目标指标的指标分数以及安全态势参数，确定网络安全态势的评估结果。
16.一种可能的设计中，确定单元具体用于确定待评估网络的告警确认率、告警消除率以及防护设备贯通率；告警确认率为告警响应的数量与告警总数的比值，告警消除率为已解决的告警事件的数量与告警总数的比值，防护设备贯通率为已连通的防护设备的数量与防护设备总数的比值。确定单元具体用于基于告警确认率、告警消除率以及防护设备贯通率，确定安全态势参数。
17.一种可能的设计中，告警事件的特征还包括攻击标识，攻击标识用于指示被攻击对象是否被攻击成功；网络安全评估装置还包括处理单元以及告警单元。处理单元用于在被攻击对象被攻击成功的情况下，将目标指标的指标分数设置为0。告警单元用于在处理单元将目标指标的指标分数设置为0之后，进行告警。
18.第三方面，提供了一种网络安全评估设备，该网络安全评估设备包括存储器和处理器；存储器和处理器耦合，该存储器用于存储计算机程序代码，该计算机程序代码包括计算机指令，当处理器执行该计算机指令时，该网络安全评估设备执行如第一方面或其任一种可能的设计提供的网络安全评估方法。
19.第四方面，提供了一种计算机可读存储介质，计算机可读存储介质中存储有指令，当指令在网络安全评估设备上运行时，使得该网络安全评估设备执行如第一方面或其任一种可能的实现方式提供的网络安全评估方法。
附图说明
20.图1为本发明的实施例提供的一种通信系统结构示意图；
21.图2为本发明的实施例提供的一种网络安全评估方法流程示意图一；
22.图3为本发明的实施例提供的一种网络安全评估方法流程示意图二；
23.图4为本发明的实施例提供的一种网络安全评估方法流程示意图三；
24.图5为本发明的实施例提供的一种网络安全评估方法流程示意图四；
25.图6为本发明的实施例提供的一种网络安全评估方法流程示意图五；
26.图7为本发明的实施例提供的一种网络安全评估装置结构示意图；
27.图8为本发明的实施例提供的一种网络安全评估设备结构示意图一；
28.图9为本发明的实施例提供的一种网络安全评估设备结构示意图二。
具体实施方式
29.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行描述。
30.在本技术实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本技术实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
31.在本技术的描述中，除非另有说明，“/”表示“或”的意思，例如，a/b可以表示a或b。本文中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a
和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。此外，“至少一个”“多个”是指两个或两个以上。“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。
32.随着信息技术的快速发展和网络空间的普遍应用，极大的促进了社会进步和繁荣，但信息安全问题在信息化发展过程中日益突出。网络的攻击、入侵、病毒、木马等各种类型的安全威胁日益增大，亟需一种对网络的安全态势进行全面评估的方法。
33.为了解决上述问题，本技术提供一种网络安全评估方法、装置、设备及存储介质，网络安全评估装置获取监测区域内待评估网络发生的告警事件，并确定告警事件的特征，告警事件的特征包括目标指标以及目标指标的告警等级，目标指标用于指示被攻击对象。进一步的，网络安全评估装置根据目标指标的告警等级确定目标指标的指标分数，目标指标的指标分数用于表征被攻击对象的安全程度；并根据目标指标的指标分数，确定待评估网络的安全评估结果。这样一来，本技术提供的网络安全评估方法通过多个表征被攻击对象安全程度的目标指标的指标分数，综合确定出当前监测区域内待评估网络的安全评估结果，以实现全面的对网络进行评估。
34.图1示出一种通信系统，本技术实施例提供的数据处理方法可以适用于如图1所示的通信系统10，用于对监测区域内的待评估网络安全进行评估。如图1所示，通信系统10中包括网络安全评估装置11、网络设备12、终端设备13。
35.其中，网络安全评估装置11分别与网络设备12以及终端设备13连接，上述连接关系中，可以采用有线方式连接，也可以采用无线方式连接，本技术实施例对此不作限定。
36.需要说明的，网络设备12为用于实现终端设备13连接网络的设备，可以为路由器设备，也可以为核心网设备，本技术实施例对此不作限定。
37.图1中示例性示出一个网络设备12以及一个终端设备13，用于表示监测区域内待评估网络下的网络设备以及终端设备，不构成对网络设备以及终端设备数量的限定。
38.网络安全评估装置11可以用于监测网络设备12被攻击后，发出的告警，确定网络设备12上报的告警事件。
39.网络安全评估装置11还可以用于监测终端设备13被攻击后，发出的告警，确定终端设备13上报的告警事件。
40.网络安全评估装置11还可以用于基于网络设备12以及终端设备13分别上报的告警事件，综合对待评估网络进行安全评估，确定待评估网络的安全评估结果。
41.图2是根据一些示例性实施例示出的一种网络安全评估方法的流程示意图。在一些实施例中，上述网络安全评估方法可以应用到如图1所示的通信系统10中的网络安全评估装置11。以下，本技术实施例以网络安全评估方法应用于网络安全评估装置11为例，对上述网络安全评估方法进行说明。
42.如图2所示，本技术实施例提供的网络安全评估方法，包括下述s201-s204。
43.s201、网络安全评估装置获取监测区域内待评估网络发生的告警事件。
44.作为一种可能的实现方式，网络安全评估装置与监测区域内的设备连接，并接收监测区域内待评估网络下的网络设备以及终端设备上报的告警事件。
45.需要说明的，网络设备以及终端设备在受到针对网络以及终端发起的攻击后，生成告警事件，并向网络安全评估装置上报，以使得网络安全评估装置能够确定待评估网络
下网络设备以及终端设备被攻击情况。
46.其中，告警事件中可以包括被攻击的设备(如终端a)，被攻击的对象(如终端a中的b数据段，或终端a中的c业务系统)，攻击强度(如高、中、低、频次等)，以及攻击是否成功(如终端a中的b数据段被攻击成功，b数据段泄露)。
47.s202、网络安全评估装置确定告警事件的特征。
48.其中，告警事件的特征包括目标指标以及目标指标的告警等级，目标指标用于指示被攻击对象。
49.作为一种可能的实现方式，网络安全评估装置根据获取到的告警事件中包括的被攻击情况，以及预先设置的被攻击情况与告警事件的特征的映射关系，确定告警事件的特征。
50.需要说明的，被攻击情况与告警事件的特征的映射关系可以由网络安全评估装置的运维人员，预先在网络安全评估装置中设置，本技术实施例对此不作限定。
51.示例性的，被攻击情况与告警事件的特征映射关系可以如下表1所示。
52.表1：被攻击情况与告警事件的特征映射表
[0053][0054]
需要说明的，上述表1示例性示出5种被攻击情况与告警事件的特征之间的映射关系。
[0055]
在被攻击情况中被攻击对象包括终端的情况下，确定目标指标包括终端安全指标，进而根据被攻击对象的重要性以及攻击强度等确定目标指标的告警等级。
[0056]
在被攻击情况中被攻击对象包括数据的情况下，确定目标指标包括数据安全指标，进而根据被攻击对象的重要性以及攻击强度等确定目标指标的告警等级。
[0057]
在被攻击情况中被攻击对象包括网络设备的情况下，确定目标指标包括网络安全指标，进而根据被攻击对象的重要性以及攻击强度等确定目标指标的告警等级。
[0058]
在被攻击情况中被攻击对象包括业务系统的情况下，确定目标指标包括业务系统安全指标，进而根据被攻击对象的重要性以及攻击强度等确定目标指标的告警等级。
[0059]
s203、网络安全评估装置在被攻击对象未被攻击成功的情况下，根据目标指标的
告警等级，确定目标指标的指标分数。
[0060]
其中，目标指标的指标分数用于表征被攻击对象的安全程度。
[0061]
作为一种可能的实现方式，网络安全评估装置基于上述步骤s202中确定到的目标指标以及目标指标的告警等级，确定告警事件中的被攻击对象是否被攻击成功。进一步的，网络安全评估装置在被攻击对象未被攻击成功的情况下，根据目标指标对应的预设规则，确定目标指标的指标分数。
[0062]
需要说明的，目标指标对应的预设规则可以由网络安全评估装置的运维人员，预先在网络安全评估装置中设置，本技术实施例对此不作限定。
[0063]
目标指标对应的预设规则可以为每个目标指标对应一个初始指标分数，根据目标指标的告警等级，每出现一个告警等级，便扣除与该目标等级相对应的分数，从而确定目标指标的指标分数。
[0064]
其中，告警等级与分数的对应关系可以如下表2所示。
[0065]
表2：告警等级与分数的对应关系表
[0066]
告警等级分数高危告警等级1中危告警等级0.5低危告警等级0.2
[0067]
示例性的，若目标指标为终端安全指标，初始指标分数为n，则网络安全评估装置首先确定告警事件中包括终端安全指标的告警事件，进而确定包括终端安全指标的告警事件中，包括的高危告警等级的数量h，中危告警等级的数量i，以及低危告警等级的数量j。终端安全指标的指标分数m可以根据如下公式确定。
[0068]
m＝n-h-0.5i-0.2j
[0069]
可以理解的，其他目标指标的指标分数也可以采用上述公式进行确认，只需将初始指标分数替换为相应目标指标的初始指标分数即可。
[0070]
需要说明的，网络安全评估装置确定被攻击对象是否被攻击成功可以采用如下方式确定。
[0071]
在一些实施例中，告警事件的特征中包括攻击标识，用于指示被攻击对象是否被攻击成功，网络安全评估装置可以根据告警事件的特征中包括的攻击标识确定被攻击对象是否被攻击成功。
[0072]
在另外一些实施例中，网络安全评估装置检测被攻击对象的状态，确定被攻击对象是否被攻击成功。
[0073]
s204、网络安全评估装置根据目标指标的指标分数，确定待评估网络的安全评估结果。
[0074]
作为一种可能的实现方式，网络安全评估装置根据待评估网络下每个目标指标的指标分数，综合计算，确定待评估网络的安全评估结果。
[0075]
示例性的，若网络安全评估装置确定到的终端安全指标、网络安全指标、业务系统安全指标以及数据安全指标的指标分数分别为a、b、c以及d，则待评估网络的安全评估结果p可以通过如下公式计算得到。
[0076][0077]
其中，k为本技术提供的安全评估结果计算中的一个安全态势参数，
[0078]
小于等于1，可以由网络安全评估装置的运维人员，预先在网络安全评估装置中设置，也可以通过检测当前网络的告警处理效率确定，具体实现方式可以参照本技术实施例后续描述，此处不再赘述。
[0079]
可以理解的是，本技术提供的网络安全评估方法通过多个表征被攻击对象安全程度的目标指标的指标分数，综合确定出当前监测区域内待评估网络的安全评估结果，实现了多维度全面的对待评估网络进行评估。
[0080]
在一种设计中，目标指标包括终端安全指标、网络安全指标、业务系统安全指标以及数据安全指标，为了对每个目标指标进行更加合理的确定指标分数，如图3所示，本技术实施例提供的网络安全评估方法还包括s301-s303。
[0081]
s301、网络安全评估装置确定包括目标指标的告警事件。
[0082]
作为一种可能的实现方式，网络安全评估装置基于在上述步骤s201中获取到的监测区域内待评估网络发生的告警事件，确定每个告警事件包括的目标指标。进一步的，网络安全评估装置基于每个目标指标，确定包括目标指标的告警事件。
[0083]
示例性的，若告警事件1中包括终端安全指标以及数据安全指标，告警事件2包括网络安全指标以及数据安全指标，告警事件3包括终端安全指标，告警事件4包括业务系统安全指标。则网络安全评估装置确定包括终端安全指标的告警事件为告警事件1和告警事件3；包括网络安全指标的告警事件为告警事件2；包括业务系统安全指标的告警事件为告警事件4；包括数据安全指标的告警事件为告警事件1和告警事件2。
[0084]
s302、网络安全评估装置确定与目标指标对应的评分规则。
[0085]
作为一种可能的实现方式，网络安全评估装置中预先存储目标指标与评分规则的映射关系，网络安全评估装置基于预先存储的映射关系，确定每个目标指标对应的评分规则。
[0086]
示例性的，目标指标与评分规则的映射关系如下表3所示。
[0087]
表3：目标指标与评分规则的映射关系表
[0088][0089][0090]
s303、网络安全评估装置基于包括目标指标的告警事件以及目标指标对应的评分规则对目标指标进行评分。如图4所示，具体包括s3031-s3034。
[0091]
s3031、在目标指标为终端安全指标或网络安全指标的情况下，网络安全评估装置基于与目标指标的告警等级对应的第一预设分数，对目标指标的初始指标分数进行调整，得到目标指标的指标分数。
[0092]
其中，目标指标的告警等级与第一预设分数正相关，目标指标的指标分数小于目标指标的初始指标分数。
[0093]
作为一种可能的实现方式，以目标指标为终端安全指标进行说明，网络安全评估装置基于在上述步骤s301中确定到的包括终端安全指标的告警事件，确定包括终端安全指标的告警事件中终端安全指标的告警等级。进一步的，网络安全评估装置针对每个告警等级对应的第一预设分数，对目标指标的指标分数进行扣除。
[0094]
需要说明的，目标指标的初始指标分数可以由网络安全评估装置的运维人员，预先在网络安全评估装置中设置，本技术实施例对此不作具体限定。
[0095]
示例性的，告警等级可以分为1-10级，也可以分为高危告警等级、中危告警等级以及低危告警等级。其中，1-3级可以等价于低危告警等级，4-7可以等价于中危告警等级，8-10级可以等价于高危告警等级，告警等级越高，第一预设分数越大。在告警等级分为高危告警等级、中危告警等级以及低危告警等级的情况下，第一预设分数可以参照上述表2进行设置。在告警等级分为1-10级的情况下，告警等级与第一预设分数的映射关系可以如下表4所示。
[0096]
表4：告警等级与第一预设分数的映射关系表
[0097][0098][0099]
作为另外一种可能的实现方式，以目标指标为网络安全指标进行说明，网络安全评估装置基于在上述步骤s301中确定到的包括网络安全指标的告警事件，确定包括网络安全指标的告警事件中网络安全指标的告警等级。进一步的，网络安全评估装置针对每个告警等级对应的第一预设分数，对目标指标的指标分数进行扣除。
[0100]
s3032、在目标指标为业务系统安全指标的情况下，网络安全评估装置基于被攻击的业务系统的数量，与全部业务系统的数量之间的第一比值，对目标指标的初始指标分数进行调整，得到目标指标的指标分数。
[0101]
其中，目标指标的指标分数小于目标指标的初始指标分数。
[0102]
作为一种可能的实现方式，网络安全评估装置基于在上述步骤s301中确定到的包
括业务系统安全指标的告警事件，确定业务系统安全指标所指示的业务系统的数量，并确定总业务系统的数量。进一步的，网络安全评估装置确定业务系统安全指标所指示的业务系统的数量，与总业务系统的数量之间的第一比值，对业务系统安全指标的指标分数进行扣除第一比值。
[0103]
示例性的，若总业务系统的数量为15，告警事件1中包括业务系统安全指标，且用于指示被攻击对象为业务系统a；告警事件2包括业务系统安全指标，且用于指示被攻击对象为业务系统a；告警事件3包括业务系统安全指标，且用于指示被攻击对象为业务系统c；告警事件4包括业务系统安全指标，且用于指示被攻击对象为业务系统d。则网络安全评估装置确定业务系统安全指标所指示的业务系统为业务系统a、业务系统c以及业务系统d，业务系统安全指标所指示的业务系统的数量为3。进一步的，网络安全评估装置确定第一比值为0.2，对业务系统安全指标的指标分数扣除第一比值。
[0104]
在一些实施例中，为了能够更好的体现业务系统被攻击，确定第一比值乘以10之后的数值，对业务系统安全指标的指标分数扣除该数值，得到业务系统安全指标的指标分数。
[0105]
s3033、在目标指标为数据安全指标的情况下，网络安全评估装置确定目标数量与历史平均数量的第二比值。
[0106]
其中，目标数量为监测区域内待评估网络发生的告警事件包括目标指标的告警事件的数量，历史平均数量为历史周期内包括目标指标的告警事件的平均数量。
[0107]
作为一种可能的实现方式，网络安全评估装置获取数据安全指标的告警事件的历史平均数量，并基于在上述步骤s301中确定到的包括数据安全指标的告警事件，确定监测区域内待评估网络发生的告警事件中包括目标指标的告警事件的目标数量。
[0108]
需要说明的，网络安全评估装置确定待评估网络前一周中，每天包括数据安全指标的告警事件的数量，将每天包括数据安全指标的告警事件的平均数量确定为历史平均数量。
[0109]
s3034、网络安全评估装置基于目标数量与历史平均数量的第二比值，对目标指标的初始指标分数进行调整，得到目标指标的指标分数。
[0110]
其中，目标指标的指标分数小于目标指标的初始指标分数。
[0111]
作为一种可能的实现方式，网络安全评估装置确定目标数量与历史平均数量的第二比值，并基于第二比值确定与第二比值对应的第二预设分数。进一步的，网络安全评估装置对数据安全指标的指标分数扣除第二预设分数。
[0112]
需要说明的，网络安全评估装置中预先存储有第二比值与第二预设分数的映射关系。
[0113]
示例性的，第二比值与第二预设分数的映射关系可以如下表5所示。
[0114]
表5：第二比值与第二预设分数的映射关系表
[0115]
第二比值第二预设分数0-100％0101％-110％1111％-120％2121％-130％3
131％以上4
[0116]
若数据安全指标的初始指标分数为10，网络安全评估装置确定第二比值为125％，则网络安全评估装置基于上述第二比值与第二预设分数的映射关系表确定第二预设分数为3，进一步的，对数据安全指标的指标分数10扣除第二预设分数3，得到数据安全指标的指标分数为7。
[0117]
可以理解的，本技术实施例提供的上述网络安全的评估方法针对每个与网络安全相关的指标，设置了评分规则，实现了对各项目标指标更合理的评分。
[0118]
在一些实施例中，终端安全指标的指标分数最多能够扣除4分，网络安全指标的指标分数最多能够扣除4分，数据安全指标的指标分数最多能够扣除4分，业务系统安全指标最多能够扣除9分。在目标指标的指标分数所要扣除的分数超过上述限制后进行告警，避免某项目标指标存在较大问题，但因其他指标分数过高而不能在总的分数上体现，导致不能对安全问题及时处理。
[0119]
在一种设计中，为了综合评估待评估网络是否安全，在确定目标指标的指标分数之后，还需要考虑待评估网络下对于告警事件的处理效率，如图5所示，本技术实施例提供的网络安全评估方法，还包括s401-s402。
[0120]
s401、网络安全评估装置确定监测区域内待评估网络的安全态势参数。
[0121]
其中，安全态势参数与告警处理效率正相关。
[0122]
作为一种可能的实现方式，网络安全评估装置确定待评估网络的告警确认率、告警消除率以及防护设备贯通率。进一步的，网络安全评估装置基于告警确认率、告警消除率以及防护设备贯通率，确定安全态势参数。
[0123]
需要说明的，告警确认率为告警响应的数量与告警总数的比值，告警消除率为已解决的告警事件的数量与告警总数的比值，防护设备贯通率为已连通的防护设备的数量与防护设备总数的比值。
[0124]
在一些实施例中，安全态势参数为告警确认率、告警消除率以及防护设备贯通率的平均值。
[0125][0126]
其中，k为安全态势参数。
[0127]
s402、网络安全评估装置根据目标指标的指标分数以及安全态势参数，确定网络安全态势的评估结果。
[0128]
作为一种可能的实现方式，网络安全评估装置在确定到待评估网络下的多个目标指标的指标分数，以及安全态势参数后，两者相乘确定网络安全态势的评估结果。
[0129]
示例性的，终端安全指标、网络安全指标、业务系统安全指标以及数据安全指标的指标分数分别为a、b、c以及d，安全态势参数为k，则网络安全态势的评估结果q可以通过如下公式确定。
[0130][0131]
可以理解的，本技术实施例提供的上述网络安全的评估方法在确定各项与网络安全相关的指标的指标分数后，通过与告警处理效率正相关的安全态势参数相乘，确定出能
够反映网络安全态势的网络安全态势评估结果，更好反映待评估网络目前的安全状况。
[0132]
在一种设计中，为了在待评估网络被严重威胁的状况下，能够使得运维人员及时发现并处理，告警事件的特征还包括攻击标识，攻击标识用于指示被攻击对象是否被攻击成功，如图6所示，本技术实施例提供的网络安全评估方法还包括s501-s503。
[0133]
s501、网络安全评估装置确定被攻击成功的目标被攻击对象。
[0134]
作为一种可能的实现方式，网络安全评估装置基于在s201中获取到的告警事件中包括的攻击标识，确定是否存在用于指示攻击成功的攻击标识。进一步的，网络安全评估装置基于攻击成功的成功标识，确定被攻击成功的被攻击对象为目标被攻击对象。
[0135]
示例性的，若网络安全评估装置获取到的告警事件中包括的攻击标识以及被攻击对象如后续内容，告警事件1中包括被攻击对象(终端a)、攻击标识(否)；告警事件2中包括被攻击对象(终端b)、攻击标识(是)；告警事件3中包括被攻击对象(网络设备c)、攻击标识(是)；告警事件4中包括被攻击对象(网络设备c)、攻击标识(否)。则网络安全评估装置确定终端b和网络设备c为目标被攻击对象。
[0136]
s502、网络安全评估装置确定用于指示目标被攻击对象的目标指标。
[0137]
作为一种可能的实现方式，网络安全评估装置基于包括目标被攻击对象的告警事件，确定该告警事件中包括的目标指标，该目标指标为用于指示目标被攻击对象的目标指标。
[0138]
示例性的，上述s501中告警事件2中还包括目标指标(终端安全指标)，告警事件4中还包括目标指标(网络安全指标)。进一步的，网络安全评估装置确定用于表征目标被攻击对象的目标指标为终端安全指标以及网络安全指标。
[0139]
s503、网络安全评估装置在被攻击对象被攻击成功的情况下，将目标指标的指标分数设置为0，并进行告警。
[0140]
作为一种可能的实现方式，网络安全评估装置在确定用于表征目标被攻击对象的目标指标后，直接将该目标指标的指标分数设置为0，不再通过上述实施例中记载的方法确定目标指标的指标分数，并进行告警，以使得运维人员能够及时对待评估网络中已经被攻击成功的目标被攻击对象进行维护处理。
[0141]
可以理解的，本技术实施例提供的上述网络安全的评估方法在确定存储已经被攻击成功的目标被攻击对象的情况下，直接将用于表征该目标被攻击对象的目标指标的指标分数设置为0并告警，以使得运维人员快速响应处理，避免造成更大的损失。
[0142]
上述主要从方法的角度对本技术实施例提供的方案进行了介绍。为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本技术实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
[0143]
本技术实施例可以根据上述方法示例对用户设备进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。可
选的，本技术实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。
[0144]
图7为本技术实施例提供的一种网络安全评估装置的结构示意图。该网络安全评估装置用于执行上述端口连接关系的确定方法。如图7所示，该网络安全评估装置60包括获取单元601以及确定单元602。
[0145]
获取单元601，用于获取监测区域内待评估网络发生的告警事件。例如，如图2所示，获取单元601可以用于执行s201。
[0146]
确定单元602，用于确定告警事件的特征，告警事件的特征包括目标指标以及目标指标的告警等级，目标指标用于指示被攻击对象。例如，如图2所示，确定单元602可以用于执行s202。
[0147]
确定单元602，还用于根据目标指标的告警等级，确定目标指标的指标分数，目标指标的指标分数用于表征被攻击对象的安全程度。例如，如图2所示，确定单元602可以用于执行s203。
[0148]
确定单元602，还用于根据目标指标的指标分数，确定待评估网络的安全评估结果。例如，如图2所示，确定单元602可以用于执行s204。
[0149]
可选的，如图7所示，本技术实施例提供的网络安全评估装置60中，确定单元602，具体用于在目标指标为终端安全指标或网络安全指标的情况下，基于与目标指标的告警等级对应的第一预设分数，对目标指标的初始指标分数进行调整，得到目标指标的指标分数；目标指标的指标分数小于目标指标的初始指标分数。例如，如图4所示，确定单元602可以用于执行s3031。
[0150]
确定单元602，具体用于在目标指标为业务系统安全指标的情况下，基于被攻击的业务系统的数量，与全部业务系统的数量之间的第一比值，对目标指标的初始指标分数进行调整，得到目标指标的指标分数；目标指标的指标分数小于目标指标的初始指标分数。例如，如图4所示，确定单元602可以用于执行s3032。
[0151]
确定单元602，具体用于在目标指标为数据安全指标的情况下，基于目标数量与历史平均数量的第二比值，对目标指标的初始指标分数进行调整，得到目标指标的指标分数；目标指标的指标分数小于目标指标的初始指标分数，目标数量为监测区域内待评估网络发送的告警事件包括目标指标的告警事件的数量，历史平均数量为历史周期内包括目标指标的告警事件的平均数量。例如，如图4所示，确定单元602可以用于执行s3034。
[0152]
可选的，如图7所示，本技术实施例提供的网络安全评估装置60中，确定单元602，具体用于确定监测区域内待评估网络的安全态势参数，安全态势参数与告警处理效率正相关。例如，如图5所示，确定单元602可以用于执行s401。
[0153]
确定单元602，具体用于根据目标指标的指标分数以及安全态势参数，确定网络安全态势的评估结果。例如，如图5所示，确定单元602可以用于执行s402。
[0154]
可选的，如图7所示，本技术实施例提供的网络安全评估装置60中，确定单元602，具体用于确定待评估网络的告警确认率、告警消除率以及防护设备贯通率；告警确认率为告警响应的数量与告警总数的比值，告警消除率为已解决的告警事件的数量与告警总数的比值，防护设备贯通率为已连通的防护设备的数量与防护设备总数的比值。
[0155]
确定单元602，具体用于基于告警确认率、告警消除率以及防护设备贯通率，确定
安全态势参数。
[0156]
可选的，如图7所示，本技术实施例提供的网络安全评估装置60中，还包括处理单元603以及告警单元604。
[0157]
处理单元603，用于将目标指标的指标分数设置为0。
[0158]
告警单元604，用于在处理单元将目标指标的指标分数设置为0之后，进行告警。
[0159]
在采用硬件的形式实现上述集成的模块的功能的情况下，本技术实施例提供了一种网络安全评价设备的一种可能的结构示意图。该网络安全评价设备用于执行上述实施例中网络安全评价装置执行的网络安全评价方法。如图8所示，该网络安全评价设备70包括处理器701，存储器702以及总线703。处理器701与存储器702之间可以通过总线703连接。
[0160]
处理器701是网络安全评价设备的控制中心，可以是一个处理器，也可以是多个处理元件的统称。例如，处理器701可以是一个通用中央处理单元(central processing unit，cpu)，也可以是其他通用处理器等。其中，通用处理器可以是微处理器或者是任何常规的处理器等。
[0161]
作为一种实施例，处理器701可以包括一个或多个cpu，例如图8中所示的cpu 0和cpu 1。
[0162]
存储器702可以是只读存储器(read-only memory，rom)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，ram)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，eeprom)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。
[0163]
作为一种可能的实现方式，存储器702可以独立于处理器701存在，存储器702可以通过总线703与处理器701相连接，用于存储指令或者程序代码。处理器701调用并执行存储器702中存储的指令或程序代码时，能够实现本技术实施例提供的网络安全评价方法。
[0164]
另一种可能的实现方式中，存储器702也可以和处理器701集成在一起。
[0165]
总线703，可以是工业标准体系结构(industry standard architecture，isa)总线、外围设备互连(peripheral component interconnect，pci)总线或扩展工业标准体系结构(extended industry standard architecture，eisa)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示，图8中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。
[0166]
需要指出的是，图8示出的结构并不构成对该网络安全评价设备70的限定。除图8所示部件之外，该网络安全评价设备70可以包括比图8示更多或更少的部件，或者组合某些部件，或者不同的部件布置。
[0167]
作为一个示例，结合图7，网络安全评价装置60中的获取单元601、确定单元602、处理单元603以及告警单元604实现的功能与图8中的处理器701的功能相同。
[0168]
可选的，如图8所示，本技术实施例提供的网络安全评价设备还可以包括通信接口704。
[0169]
通信接口704，用于与其他设备通过通信网络连接。该通信网络可以是以太网，无线接入网，无线局域网(wireless local area networks，wlan)等。通信接口704可以包括
用于接收数据的获取单元，以及用于发送数据的发送单元。
[0170]
在一种设计中，本技术实施例提供的网络安全评价设备中，通信接口还可以集成在处理器中。
[0171]
图9示出了本技术实施例中网络安全评价设备的另一种硬件结构。如图9所示，网络安全评价设备80可以包括处理器801以及通信接口802。处理器801与通信接口802耦合。
[0172]
处理器801的功能可以参考上述处理器701的描述。此外，处理器801还具备存储功能，可以参考上述存储器702的功能。
[0173]
通信接口802用于为处理器801提供数据。该通信接口802可以是网络安全评价设备的内部接口，也可以是网络安全评价设备对外的接口(相当于通信接口704)。
[0174]
需要指出的是，图9中示出的结构并不构成对网络安全评价设备的限定，除图9所示部件之外，该网络安全评价设备80可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。
[0175]
通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能单元的划分进行举例说明。在实际应用中，可以根据需要而将上述功能分配由不同的功能单元完成，即将装置的内部结构划分成不同的功能单元，以完成以上描述的全部或者部分功能。上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
[0176]
本技术实施例还提供一种计算机可读存储介质，计算机可读存储介质中存储有指令，当计算机执行该指令时，该计算机执行上述方法实施例所示的方法流程中的各个步骤。
[0177]
本技术的实施例提供一种包含指令的计算机程序产品，当指令在计算机上运行时，使得计算机执行上述方法实施例中的网络安全评价方法。
[0178]
其中，计算机可读存储介质，例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘。随机存取存储器(random access memory，ram)、只读存储器(read-only memory，rom)、可擦式可编程只读存储器(erasable programmable read only memory，eprom)、寄存器、硬盘、光纤、便携式紧凑磁盘只读存储器(compact disc read-only memory，cd-rom)、光存储器件、磁存储器件、或者上述的人以合适的组合、或者本领域数值的任何其他形式的计算机可读存储介质。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于特定用途集成电路(application specific integrated circuit，asic)中。在本技术实施例中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
[0179]
由于本技术的实施例中的装置、设备计算机可读存储介质、计算机程序产品可以应用于上述方法，因此，其所能获得的技术效果也可参考上述方法实施例，本技术实施例在此不再赘述。
[0180]
以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何在本技术揭露的技术范围内的变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应该以权利要求的保护范围为准。