本文件涉及網(wǎng)絡(luò)安全,尤其涉及一種確定網(wǎng)絡(luò)安全風(fēng)險的方法、裝置、設(shè)備及存儲介質(zhì)。
背景技術(shù):
1、在通信網(wǎng)絡(luò)中,常見設(shè)備可包括交換機、路由器、基站、光纖收發(fā)器、終端設(shè)備、網(wǎng)絡(luò)邊界設(shè)備、應(yīng)用服務(wù)器等。運營商的通信網(wǎng)絡(luò)中的設(shè)備硬件各式各樣、設(shè)備數(shù)量呈龐大的規(guī)模且規(guī)模存在變化,支持硬件的操作系統(tǒng)內(nèi)核、編譯庫、系統(tǒng)內(nèi)運行的程序、使用的協(xié)議等軟件產(chǎn)品覆蓋范圍非常廣泛,軟件和硬件都難以完美無缺,各設(shè)備存在被入侵利用和被攻擊的可能性,漏洞利用者潛伏監(jiān)聽、破壞設(shè)備等行為都會對通信網(wǎng)絡(luò)構(gòu)成安全風(fēng)險,通過及時的網(wǎng)絡(luò)維護(hù)操作可以大幅降低網(wǎng)絡(luò)風(fēng)險以及避免發(fā)生大規(guī)模損失,而明確網(wǎng)絡(luò)安全風(fēng)險是開展網(wǎng)絡(luò)維護(hù)的基礎(chǔ)。
2、目前,采用漏洞探測工具和代碼審計等人工評估方式,分析評估人員可以嘗試針對特定設(shè)備和特定軟件編寫對應(yīng)的測試?yán)?,并進(jìn)行探測、審計和打分,以經(jīng)驗估計特定設(shè)備、軟件存在的風(fēng)險。然而,在運營商的通信網(wǎng)絡(luò)中采用人工評估方式效率低下、成本過高,同時,漏洞種類、設(shè)備種類、漏洞在設(shè)備的分布等多漏洞與多設(shè)備同時并存的網(wǎng)絡(luò)實際情況會造成網(wǎng)絡(luò)風(fēng)險評估分析過于復(fù)雜,網(wǎng)絡(luò)風(fēng)險分析評估工作存在很大的挑戰(zhàn)。
技術(shù)實現(xiàn)思路
1、本說明書實施例目的是提供一種確定網(wǎng)絡(luò)安全風(fēng)險的方法、裝置、設(shè)備及存儲介質(zhì),避免因通信網(wǎng)絡(luò)的規(guī)模以及規(guī)模變化而導(dǎo)致的網(wǎng)絡(luò)內(nèi)外部實際情況對當(dāng)前通信網(wǎng)絡(luò)的風(fēng)險損失的影響難以確定,進(jìn)而實現(xiàn)針對通信網(wǎng)絡(luò)的自動化風(fēng)險評估以及處置應(yīng)用,降低運維成本,支持實時網(wǎng)絡(luò)風(fēng)險評估應(yīng)用,并為開展網(wǎng)絡(luò)維護(hù)提供基礎(chǔ)。
2、為了實現(xiàn)上述目的,本說明書實施例采用下述方案:
3、第一方面,提供一種確定網(wǎng)絡(luò)安全風(fēng)險的方法,所述方法包括:
4、獲取通信網(wǎng)絡(luò)中各設(shè)備在所述通信網(wǎng)絡(luò)的拓?fù)溥B接結(jié)構(gòu)中的節(jié)點參數(shù)和各所述設(shè)備的各種漏洞嚴(yán)重程度的評估值;
5、基于所述通信網(wǎng)絡(luò)中各第一目標(biāo)設(shè)備的最大評估值與各對應(yīng)的關(guān)聯(lián)設(shè)備的最大評估值,確定受安全監(jiān)控的所述第一目標(biāo)設(shè)備的穩(wěn)定性以得到所述通信網(wǎng)絡(luò)的穩(wěn)定性,所述第一目標(biāo)設(shè)備與所述對應(yīng)的關(guān)聯(lián)設(shè)備在所述拓?fù)溥B接結(jié)構(gòu)中存在邊連接,所述通信網(wǎng)絡(luò)的穩(wěn)定性用于評估所述通信網(wǎng)絡(luò)內(nèi)部的漏洞影響程度;
6、基于所述通信網(wǎng)絡(luò)中各第二目標(biāo)設(shè)備的網(wǎng)絡(luò)攻擊日志,確定所述第二目標(biāo)設(shè)備的威脅值以得到所述通信網(wǎng)絡(luò)的威脅值,所述通信網(wǎng)絡(luò)的威脅值用于評估所述通信網(wǎng)絡(luò)外部的攻擊影響程度;
7、基于所述通信網(wǎng)絡(luò)中各第三目標(biāo)設(shè)備的安全級別與各對應(yīng)的關(guān)聯(lián)設(shè)備的安全級別,確定所述第三目標(biāo)設(shè)備的損失值以確定所述通信網(wǎng)絡(luò)的損失值,所述通信網(wǎng)絡(luò)的損失值用于評估所述通信網(wǎng)絡(luò)受影響的破壞程度;
8、基于所述通信網(wǎng)絡(luò)的指定參數(shù)指標(biāo),確定所述通信網(wǎng)絡(luò)的網(wǎng)絡(luò)風(fēng)險值,所述指定參數(shù)指標(biāo)包括所述節(jié)點參數(shù)、以及所述通信網(wǎng)絡(luò)的穩(wěn)定性、威脅值和損失值;
9、基于所述通信網(wǎng)絡(luò)的網(wǎng)絡(luò)風(fēng)險值,進(jìn)行決策處理。
10、第二方面,提供一種網(wǎng)絡(luò)風(fēng)險處理裝置,所述網(wǎng)絡(luò)風(fēng)險處理裝置包括:
11、獲取模塊,用于獲取通信網(wǎng)絡(luò)中各設(shè)備在所述通信網(wǎng)絡(luò)的拓?fù)溥B接結(jié)構(gòu)中的節(jié)點參數(shù)和各所述設(shè)備的各種漏洞嚴(yán)重程度的評估值;
12、穩(wěn)定性評估模塊,用于基于所述通信網(wǎng)絡(luò)中各第一目標(biāo)設(shè)備的最大評估值與各對應(yīng)的關(guān)聯(lián)設(shè)備的最大評估值,確定受安全監(jiān)控的所述第一目標(biāo)設(shè)備的穩(wěn)定性以得到所述通信網(wǎng)絡(luò)的穩(wěn)定性,所述第一目標(biāo)設(shè)備與所述對應(yīng)的關(guān)聯(lián)設(shè)備在所述拓?fù)溥B接結(jié)構(gòu)中存在邊連接,所述通信網(wǎng)絡(luò)的穩(wěn)定性用于評估所述通信網(wǎng)絡(luò)內(nèi)部的漏洞影響程度;
13、威脅評估模塊,用于基于所述通信網(wǎng)絡(luò)中各第二目標(biāo)設(shè)備的網(wǎng)絡(luò)攻擊日志,確定所述第二目標(biāo)設(shè)備的威脅值以得到所述通信網(wǎng)絡(luò)的威脅值,所述通信網(wǎng)絡(luò)的威脅值用于評估所述通信網(wǎng)絡(luò)外部的攻擊影響程度;
14、損失評估模塊,用于基于所述通信網(wǎng)絡(luò)中各第三目標(biāo)設(shè)備的安全級別與各對應(yīng)的關(guān)聯(lián)設(shè)備的安全級別,確定所述第三目標(biāo)設(shè)備的損失值以確定所述通信網(wǎng)絡(luò)的損失值,所述通信網(wǎng)絡(luò)的損失值用于評估所述通信網(wǎng)絡(luò)受影響的破壞程度;
15、風(fēng)險確定模塊,用于基于所述通信網(wǎng)絡(luò)的指定參數(shù)指標(biāo),確定所述通信網(wǎng)絡(luò)的網(wǎng)絡(luò)風(fēng)險值,所述指定參數(shù)指標(biāo)包括所述節(jié)點參數(shù)、以及所述通信網(wǎng)絡(luò)的穩(wěn)定性、威脅值和損失值;
16、決策處理模塊,用于基于所述通信網(wǎng)絡(luò)的網(wǎng)絡(luò)風(fēng)險值,進(jìn)行決策處理。
17、第三方面,提供一種電子設(shè)備,該電子設(shè)備包括:
18、至少一個處理器;
19、存儲器,與所述至少一個處理器連接;
20、其中,所述存儲器存儲有能被所述至少一個處理器執(zhí)行的指令,所述至少一個處理器通過執(zhí)行所述存儲器存儲的指令,所述至少一個處理器通過執(zhí)行所述存儲器存儲的指令實現(xiàn)前述的方法。
21、第四方面,提供一種機器可讀存儲介質(zhì),存儲有機器指令,當(dāng)所述機器指令在機器上運行時,使得機器執(zhí)行前述的方法。
22、本說明書實施例的方案中,通信網(wǎng)絡(luò)的規(guī)模是變化的,設(shè)備間通信連接并不是恒定的,獲取的節(jié)點度能夠體現(xiàn)設(shè)備在通信網(wǎng)絡(luò)中當(dāng)前連接數(shù)量特點,為在網(wǎng)絡(luò)規(guī)?;A(chǔ)上確定風(fēng)險提供基礎(chǔ),而不是采取固定拓?fù)鋱D中節(jié)點之間的路徑分析、節(jié)點層級分析;且因設(shè)備網(wǎng)絡(luò)角色、軟硬件不同等,設(shè)備實際存在的漏洞是不同的,獲取的評估值能夠體現(xiàn)設(shè)備在通信網(wǎng)絡(luò)中存在的漏洞的影響大小,為在復(fù)雜網(wǎng)絡(luò)實際情況中確定風(fēng)險提供基礎(chǔ)。
23、本說明書實施例的方案中,由于通信網(wǎng)絡(luò)中設(shè)備對網(wǎng)絡(luò)的風(fēng)險表現(xiàn)在設(shè)備對相連接的設(shè)備的影響,則通過在相連的設(shè)備間的最大評估值,能夠在通信網(wǎng)絡(luò)中受安全監(jiān)控的第一目標(biāo)設(shè)備的監(jiān)控漏洞分布的基礎(chǔ)上,確定第一目標(biāo)設(shè)備的穩(wěn)定性以及得到通信網(wǎng)絡(luò)的穩(wěn)定性,能夠自動化地評估通信網(wǎng)絡(luò)內(nèi)部的漏洞影響程度,而不是采用漏洞的評估值描述本地設(shè)備的漏洞風(fēng)險,不需要構(gòu)建各設(shè)備的漏洞利用行為的經(jīng)驗值。
24、本說明書實施例的方案中,通信網(wǎng)絡(luò)受到的網(wǎng)絡(luò)攻擊有隨機性,網(wǎng)絡(luò)攻擊對通信網(wǎng)絡(luò)中設(shè)備的影響表現(xiàn)受攻擊行為作用的各設(shè)備,通過第二目標(biāo)設(shè)備的網(wǎng)絡(luò)攻擊日志確定設(shè)備及網(wǎng)絡(luò)的威脅值,能夠自動化地評估通信網(wǎng)絡(luò)外部的攻擊影響程度,而不是指定使用特定軟件/硬件類型、層級的設(shè)備經(jīng)驗表現(xiàn)網(wǎng)絡(luò)受攻擊的影響。
25、本說明書實施例的方案中,通信網(wǎng)絡(luò)內(nèi)各設(shè)備的安全級別,與各設(shè)備在出現(xiàn)風(fēng)險事件時的損失值大小存在靜態(tài)的映射關(guān)系,安全級別越高,損失值越大,從而為前述評估的復(fù)雜通信網(wǎng)絡(luò)內(nèi)部實際(漏洞分布)的漏洞影響程度和外部實際(攻擊行為)的攻擊影響程度提供設(shè)備的靜態(tài)基準(zhǔn)和參考。
26、本說明書實施例的方案中,在實際網(wǎng)絡(luò)規(guī)模(節(jié)點參數(shù)可攜帶的連接數(shù)以及節(jié)點規(guī)模信息)中,在通信網(wǎng)絡(luò)的損失值基礎(chǔ)上,綜合復(fù)雜通信網(wǎng)絡(luò)內(nèi)部實際(漏洞分布)的漏洞影響程度和外部實際(攻擊行為)的攻擊影響程度,得到網(wǎng)絡(luò)風(fēng)險值,能夠避免采用固定規(guī)模、經(jīng)驗值和固定路徑經(jīng)驗造成與通信網(wǎng)絡(luò)的實際網(wǎng)絡(luò)風(fēng)險的偏差,從而利用網(wǎng)絡(luò)風(fēng)險值,進(jìn)行決策處理,實現(xiàn)風(fēng)險處置應(yīng)用。
27、本說明書實施例的其它特征和優(yōu)點將在隨后的具體實施方式部分予以詳細(xì)說明。