述和设备系统漏洞出现的时间等;弱 口令数据可以包括设备在设定的时间长度内登录设备的弱口令账号数、弱口令账号类型和 弱口令账号登录时间等;设备合规率数据可以包括设备在设定的时间长度内的设备合规率 和设备配置信息等;防火墙策略正常率数据可以包括设备在设定的时间长度内的防火墙策 略正常率和防火墙策略信息等。其中如果设备自身系统提供设备合规率,则可以直接从设 备中采集得到设备合规率,如果设备自身系统不提供直接的设备合规率,则可以采集设备 的配置信息,并根据设备的配置信息计算设备的合规率;如果设备自身系统的防火墙提供 防火墙策略正常率,则可以从设备自身系统的防火墙中直接采集得到防火墙策略正常率, 如果设备自身系统的防火墙不直接提供防火墙策略正常率,则采集设备自身系统的防火墙 策略总数和正确的防火墙策略数,计算得到防火墙策略正常率=正确的防火墙策略数/防 火墙策略总数。
[0035] 其中,设备感染的病毒感染数、设备系统漏洞数、弱口令账号数、设备合规率和防 火墙策略正常率是必须采集的安全性能数据,用于计算设备的安全性能得分,其它相关数 据可以根据记录和显示的需要采集。
[0036] 其中,所述安全性能数据还可以包括安全警告数据,例如对设备受到攻击的警告, 设备受到敏感操作的警告等,所述安全警告数据可以包括设备在设定的时间长度内产生的 总的安全警告数、安全警告类型和安全警告产生时间等。所述安全性能数据还可以包括预 警数据,所述预警数据为设备超过预设的一些性能指标的警告数据,例如设备温度超过预 设的界限时的警告数据,所述预警数据可以包括设备在设定的时间长度内预警数、预警类 型和预警产生时间等。采集安全警告时和预警数据时,安全警告数和预警数为必须采集的 安全性能数据,用于计算设备的安全性得分。
[0037] 其中,设备的病毒感染数据可以从设备自身系统的防火墙软件或者杀毒软件记录 的病毒感染数据读取,如果设备是防火墙(即防火墙服务器),则可以直接从防火墙本身记 录的病毒感染数据读取;设备系统漏洞数据可以通过扫描设备自身系统得到;弱口令数据 可以通过读取设备的账号数据,从账号数据中得到弱口令的账号等相关数据;设备合规率 可以通过读取设备的配置信息得到;防火墙策略正常率可以通过从设备自身系统的防火墙 软件读取防火墙策略数据得到,如果设备时防火墙(即防火墙服务器),则可以直接通过读 取防火墙本身的防火墙策略数据得到;安全警告数据可以通过读取设备的安全警告记录得 到 ;预警数据可以通过读取设备的预警记录得到。
[0038] 采集设备的安全性能数据前,预先设定需要采集的安全性能数据种类,再根据预 先设定的安全性能数据的种类采集对应的安全性能数据。需要说明的是,对于每个设备来 讲,采集时可以统一按预先设定的所有安全性能数据种类进行采集,但并非每个设备都能 采集到所有预先设定的种类的安全性能数据,例如,软交换设备可能没有病毒感染数据和 防火墙策略正常率数据,自然也采集不到相关的数据,即采集到的软交换设备的病毒感染 数据和防火墙策略正常率数据为空,则在计算软交换的安全性能得分时,为空的数据默认 忽略。采集时也可以根据设备本身可采集到的安全性能数据种类来进行采集,例如对软交 换设备不采集病毒感染数据和防火墙策略正常率数据。本申请所提供的技术方案,采集的 安全性能数据并不仅限于上述的病毒感染数据、设备系统漏洞数据、弱口令数据、设备合规 率数据、防火墙策略正常率数据、安全警告数据和预警数据,也可以根据需要采集其它的安 全性能数据。对安全性能数据的采集可以根据需要周期性进行,也可以按天进行。
[0039] 步骤S102,根据所述安全性能数据和预设的第一规则计算各个设备的安全性能得 分。
[0040] 其中,将从各个设备采集得到安全性能数据集中汇总,每个设备的安全性能数据 与该设备的设备名称或者设备ID (Identity,身份标识号码)对应。所述安全性能得分包 括根据每项安全性能数据得到的每项安全性能的得分,以及根据每项安全性能得分计算得 到的设备的安全性能总得分。所述第一规则相应地包括计算每项安全性能的得分的规则和 设备的安全性能总得分的规则。所述第一规则可以根据考察安全性的需要确定,在一种可 能的实施方式中,为了方便比较设备之间的得分,考察不同设备的安全性的差异,对每项安 全性能而言设定相同的总分,不同安全性能的总分可以不同,并为每项安全性能设定得分 标准或扣分标准,然后根据采集得到的安全性能数据得到每项安全性能的得分,得到每项 安全性能的得分后,再根据每项安全性能的得分计算设备的安全性能总得分。
[0041] 以下以一个示例来说明本申请实施例的步骤。采集设备的病毒感染数据、设备系 统漏洞数据、弱口令数据、设备合规率数据、防火墙策略正常率数据、安全警告数据和预警 数据,每项安全性能数据的采集时间长度和第一规则中对应的每项安全性能的得分计算方 式如下:
[0042] 病毒感染:采集时间长度为1天,总分为30,扣分标准为:每感染一个病毒扣一 分;
[0043] 安全告警:采集时间长度为1天,总分为10,扣分标准为:每出现一个安全警告扣 一分;
[0044] 预警:采集时间长度为7天,总分为10,扣分标准为:每出现一个预警扣一分;
[0045] 设备系统漏洞:采集时间长度为30天,总分为10,扣分标准为:每出现一个漏洞扣 一分;
[0046] 合规率:采集时间长度为7天,可以按合规率的百分比使用线性得分方式,例如, 合规率总分设为10,合规率为40 %时得分为4,合规率为80 %时得分为8,以此类推;
[0047] 弱口令:采集时间长度为7天,总分为20,每存在一个弱口令账号扣一分;
[0048] 防火墙策略正常率:采集时间长度为7天,可以按防火墙策略正常率的百分比使 用线性得分方式,例如,防火墙策略正常率总分设为10,防火墙策略正常率为60%时得分 为6,合规率为90%时得分为9,以此类推。
[0049] 设备安全性能总得分可以为上述7项安全性能得分直接相加,即设备安全性能总 得分=病毒感染得分+安全告警得分+预警得分+漏洞得分+合规率得分+弱口令得分+ 防火墙策略正常率得分。也可以根据每项安全性能的重要性为每项安全性能的得分设定 权值,设备安全性能总得分为上述7项安全性能得分分别与其权值相乘后的和,即设备安 全性能总得分=病毒感染得分X病毒感染权值+安全告警得分X安全告警权值+预警得 分X预警感染权值+设备系统漏洞得分X设备系统漏洞权值+合规率得分X合规率权 值+弱口令得分X弱口令权值+防火墙策略正常率得分X防火墙策略正常率染权值。其 中,7项安全性能权值的和为100%。同时,设定各项安全性能的总分时,可以限定各项安全 性能的总分的和为100,即病毒感染总分+安全告警总分+预警总分+漏洞总分+合规率总 分+弱口令总分+防火墙策略正常率总分=100,从而使各个设备的各项安全性能总分之和 相等,可以更方便地比较各个设备的安全性能总得分,评价不同设备之间的安全性能差异。
[0050] 得到各个设备的各项安全性能得分以及各个设备的安全性能总得分后,可以进行 汇总显示,并可以附以采集到的各项安全性能数据,方便对各个设备的安全性能进行检查。
[0051] 本申请实施例提供的技术方案,从各个设备自动采集各项安全性能数据,然后根 据各项安全性能数据和预设的规则对各个设备的各项安全性能及设备