[发明专利]一种网络安全防御体系量化评估方法、网络安全评估平台

说明书

本发明属于信息安全技术领域，公开了一种网络安全防御体系量化评估方法、网络安全评估平台，确定系统面临的所有安全威胁及权重；确定系统中的安全设备防御向量及防御动作权重；对系统划分安全域并确定安全域权重；对设计阶段的系统进行安全防御能力评估；对实际运行阶段的系统进行安全防御能力评估。本发明将对安全防御体系的防护能力评估分为两个方面，一是对设计阶段的安全防御体系进行评估；二是对实际运行阶段的安全防御体系进行评估。通过安全设备的防御能力与威胁之间的攻防关系量化评估网络安全防护体系双维度的安全防护能力。

技术领域

本发明属于信息安全技术领域，尤其涉及一种网络安全防御体系量化评估方法、网络安全评估平台。

背景技术

目前，业内常用的现有技术是这样的：随着网络信息技术的快速发展，信息化技术被应用到各个领域，给生活和生产带来了极大的便利。同时，网络安全问题变得越来越多，网络攻击也变得越来越频繁，造成用户隐私数据泄露，互联网服务瘫痪，对社会利益带来了巨大的损失。一般情况下，一个系统在网络设计阶段没有考虑其网络安全防御体系的建设，反而在遭受网络攻击后，技术人员才开始在系统中部署各种安全设备，试图防御网络攻击，这种方式虽然在一定程度上提高了系统的安全性，但缺乏对系统整体面临威胁的分析，并且安全设备很难实际发挥理论上的功效，导致技术人员不能完全掌握系统安全防护能力上的不足，不能有效建设系统的安全防御体系，使系统在网络安全事件发生时处于被动的状态。因此，为了确保技术人员能对系统的网络安全状况有全面的掌握，需要一种合理有效的网络安全评估方法。

针对网络安全评估问题，人们已经提出了一些解决方案，比如：现有技术一(申请号CN 201611086924.3申请公布号CN 106789955A)公开了一种网络安全态势评估方法，分别对系统中的各个设备单独评估，最后综合得到整个网络的安全态势值，但是该技术是从系统已存在的漏洞和已遭受的攻击为要素进行评估，可能遗漏新威胁，评估结果产生延后性。现有技术二(申请号CN201710364501.1申请公布号CN107204876A)公开了一种网络安全风险评估方法，以漏洞和安全告警为要素，在多个时间点进行多次风险评估，该技术侧重于评估结果的实时性，但漏洞是威胁可被具体利用的表现，系统除漏洞外还面临其它未发现漏洞的威胁，并且安全设备对攻击的检测也会存在漏报和误报的情况，造成实际评估结果的偏差。

综上所述，现有技术存在的问题是：

(1)缺少对系统在网络设计阶段的安全能力评估。由于系统在网络设计阶段缺乏安全防护能力的量化评估，防御者无法掌握系统所面临的威胁类型以及目前系统的安全防护能力水平，导致后续的安全防御体系建设工作难以进行。同时系统在设计阶段考虑其安全防御体系的建设，那么在网络中增加安全设备后系统的安全性如何，也需要对设计阶段进行安全量化评估。

(2)对实际系统环境进行评估，没有结合安全设备防御威胁的实际效果。系统的安全防御能力是由系统中所部署的安全设备所决定的，虽然安全设备具备特定的防御功能，但不能保证防御功能达到理论效果，这就导致理论上的安全性和实际上的安全性之间的偏差。

(3)影响网络安全的要素不够全面。网络安全评估要素不够全面，最终评估结果就会存在偏差，不能真实反映系统的安全防护能力，影响防御者在安全防御体系建设上的决策。

解决上述技术问题的难度：

在保证评估结果有效的前提下，对设计阶段和实际运行阶段要求评估要素的全面性；设计阶段的安全评估要着重考虑各评估要素的理论效果；实际运行阶段的安全评估既要结合评估要素的理论效果，又要考虑可反映实际效果的评估要素。

解决上述技术问题的意义：

随着信息技术的发展，未来社会各个领域将会引入信息化系统，网络安全面临巨大挑战，设计合理有效的网络安全防御体系量化评估方法对于掌握、完善信息化系统的安全防护能力具有重要意义。

发明内容