一种评估网络安全健康状况的方法、装置及应用产品与流程

1.本技术涉及网络安全领域，具体而言本技术实施例涉及一种评估网络安全健康状况的方法、装置及应用产品。


背景技术：

2.近年来，随着数字化、网络化与各行各业融合发展程度不断加深，网络技术的不断发展，网络安全问题变得越来越复杂。网络安全专家们正在尝试采用一系列技术来保护网络免受攻击，但是这些技术却无法保护网络面临的各种威胁。因此，网络安全健康指数评估成为识别网络遭受威胁程度的一个重要指标。
3.相关技术虽然提供了一些确定网络安全健康状况的方法，但是这些技术方案存在如下技术问题：计算方式更倾向基于合规判定，对非合规类风险无法判定；没有对影响网络安全的其他干扰因素考虑，结果不够准确；没有对影响指数的风险事件提供修复建议和方法。


技术实现要素：

4.本技术实施例的目的在于提供一种评估网络安全健康状况的方法、装置及应用产品，采用本技术实施例旨在解决如下技术问题：解决非合规类风险的判定，提出参与健康指数计算的干扰因素对健康指数的计算更加精准，基于健康指数提示对影响健康指数变化的风险提供修复建议和方法。
5.第一方面，本技术实施例提供一种评估网络安全健康状况的方法，所述方法包括：获取待评估数据，其中，所述待评估数据是基于目标日志数据得到的，所述目标日志数据至少包括应用系统web漏洞日志信息和操作系统漏洞日志信息；根据评估模型和所述待评估数据获取网络安全健康指数值；若所述网络安全健康指数值位于告警范围，则提供告警信息。
6.本技术的一些实施例通过对与非合规类风险对应的漏洞数据进行采集，解决非合规类风险的判定。
7.在一些实施例中，所述获取待评估数据包括：接入被管理网络的网络流量，采集多种协议网络流量数据、应用系统web漏洞数据以及操作系统漏洞数据得到初始日志数据；对所述初始日志数据进行格式化得到所述待评估数据。
8.本技术的一些实施例还需要对采集的各类数据进行格式化处理，以方便对各种数据的数据处理。
9.在一些实施例中，所述根据评估模型和所述待评估数据获取网络安全健康指数值，包括：根据所述待评估数据和自身资产数据，对影响定量分析的目标元素进行定量分析，得到风险发生概率值以及风险发生影响值。
10.本技术的一些实施例根据风险发生可能性和风险发生的影响值来确定各类资产的风险值，提升对各类资产安全性评估的准确性。
11.在一些实施例中，所述目标元素包括：防护措施的成本、资产价值、业务影响、威胁频率、防护措施有效性或者漏洞利用可能性。
12.本技术的一些实施例通过多种元素来确定各资产风险值，提升风险值评估的准确性。
13.在一些实施例中，所述根据评估模型和所述待评估数据获取网络安全健康指数值，包括：获取各资产的风险值；根据所述各资产的风险值和所述各资产的权重值得到总风险值；将所述总风险值作为所述网络安全健康指数值。
14.本技术的一些实施例通过确定所有资产的风险值再加权求和可确定网络系统中资产整体安全性。
15.在一些实施例中，所述获取各资产的风险值，包括：获取第一资产发生安全威胁后对业务的影响情况；获取利用所述第一资产的资产脆弱性造成安全事件发生可能性，得到事件真实概率值；根据所述影响情况和所述真实概率值得到所述第一资产的风险值。
16.本技术的一些实施例在确定各资产的风险值时需要确定安全威胁发生后对业务的影响以及事件的发生概率来确定各资产的风险值，提升风险值获取的准确性和客观性。
17.在一些实施例中，所述获取第一资产发生安全威胁后对业务的影响情况，包括：根据所述第一资产的资产价值和脆弱性级别获取相应事件发生后的损失值；根据所述损失值计算总损失值，其中，所述总损失值用于表征对所述业务的影响情况。
18.本技术的一些实施例提供一种量化某资产发生安全威胁后对业务影响的情况，提升该值计算的准确性和客观性。
19.在一些实施例中，所述获取利用所述第一资产的资产脆弱性造成安全事件发生可能性，得到事件真实概率值，包括：通过第一函数得到所述事件真实概率值，其中，所述第一函数还包括基础值和修正函数值，所述修正函数值风险源相关，所述基础值是由相应事件出现频率和脆弱性确定的。
20.本技术的一些实施例通过修正值提升获取事件真实概率值计算的准确性。
21.在一些实施例中，所述方法还包括：将影响健康指数的目标事件和系统自身的安全知识库通过关键字进行关联，并将擅长处置所述目标事件的专家通过知识库进行关联，并打上关联标签；管理员收到所述告警信息时，获取所述关联标签，并根据所述关联标签提供相关信息。
22.本技术的一些实施例根据关联标签提供相关处置措施和处置人员信息，提升对告警事件的响应概率。
23.第二方面，本技术的一些实施例提供一种评估网络安全健康状况的装置，所述装置包括：待评估数据获取模块，被配置为获取待评估数据，其中，所述待评估数据是基于目标日志数据得到的，所述目标日志数据至少包括应用系统web漏洞日志信息和操作系统漏洞日志信息；网络安全健康指数值获取模块，被配置为根据评估模型和所述待评估数据获取网络安全健康指数值；提示模块，被配置为若所述网络安全健康指数值位于告警范围，则提供告警信息。
24.第三方面，本技术的一些实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时可实现如第一方面任意实施例所述的方法。
25.第四方面，本技术的一些实施例提供一种电子设备，包括存储器、处理器以及存储
在所述存储器上并可在所述处理器上运行的计算机程序，其中，所述处理器执行所述程序时可实现如第一方面任意实施例所述的方法。
附图说明
26.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
27.图1为本技术实施例提供的评估网络安全健康状况的系统架构图之一；
28.图2为本技术实施例提供的评估网络安全健康状况的方法的流程图；
29.图3为本技术实施例提供的评估网络安全健康状况的系统架构图之二；
30.图4为本技术实施例提供的评估网络安全健康状况的装置的组成框图；
31.图5为本技术实施例提供的电子设备组成示意图。
具体实施方式
32.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行描述。
33.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本技术的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
34.本技术的一些实施例涉及一种网络安全健康指数评估计算的方法，用于对网络资产遭受威胁程度进行指标化、数据化。该方法的特点是通过深度学习技术，从大量网络安全威胁数据中提取特征，分析出对网络产生影响的数据，然后根据特征构建分析模型，基于攻击、权重等初步判断网络遭受威胁的程度。
35.请参看图1，图1为本技术一些实施例提供的评估网络安全健康状况的系统，该系统包括：多个终端(例如，图1的第一终端设备101以及第二终端设备102)、提供服务的第一服务器103以及评估网络安全监控状况的评估服务器200。
36.多个终端通过网络100与第一服务器103相连，通过连接获取第一服务器103提供的相关服务。
37.本技术的一些实施例通过将评估服务器200获取网络100中生成的各种网络数据，以完成对网络100中各资产(例如，各终端设备或者服务器等资产)的安全性评估。
38.需要说明的是，图1仅用于示例性阐述一个系统架构，本领域技术人员可以根据实际需要设计不同于图1的系统架构。
39.下面结合图2和图3示例性阐述本技术一些实施例的评估网络安全健康状况的方法。
40.如图2所示，本技术实施例提供一种评估网络安全健康状况的方法，该方法包括：s101，获取待评估数据，其中，所述待评估数据是基于目标日志数据得到的，所述目标日志数据至少包括应用系统web漏洞日志信息和操作系统漏洞日志信息；s102，根据评估模型和所述待评估数据获取网络安全健康指数值；s103，若所述网络安全健康指数值位于告警范围，则提供告警信息。
41.也就是说，本技术的一些实施例通过对与非合规类风险对应的漏洞数据进行采集，解决非合规类风险的判定。
42.下面示例性阐述上述步骤的实现过程。
43.在本技术的一些实施例中，s101示例性包括：接入被管理网络的网络流量，采集多种协议网络流量数据、应用系统web漏洞数据以及操作系统漏洞数据得到初始日志数据；对所述初始日志数据进行格式化得到所述待评估数据。
44.例如，如图3所示，在本技术的一些实施例中，通过数据收集器接入所管理业务网络的网络流量以获取多种协议网络流量数据、应用系统web漏洞、操作系统漏洞等非合规性日志数据；对不同类型的数据定义数据规范标准，通过图3的数据标准化引擎对收集到上述数据进行标准化，方便后续对业务系统安全健康指数进行评估。将标准化的数据分类存储在图3的数据存储器中。本技术的一些实施例的指数评估引擎包括：事件自身危害评估、关联威胁信息评估以及影响目标权重评估。例如，在本技术的一些实施例中这三个方面均是影响最终风险评估结果的重要因素，主要为：事件风险自身的威胁、与其他已确认的威胁有关联性导致自身可能产生威胁、风险影响目标(资产)的权重(重要性、机密性、完整性、可用性等)，这三个方面的威胁评估均会导致最终的指数评估收到影响。
45.本技术的一些实施例还需要对采集的各类数据进行格式化处理，以方便对各种数据的数据处理。
46.在本技术的一些实施例中，s102所述根据评估模型和所述待评估数据获取网络安全健康指数值示例性包括：根据所述待评估数据和自身资产数据，对影响定量分析的目标元素进行定量分析，得到风险发生概率值以及风险发生影响值。例如，所述目标元素包括：防护措施的成本、资产价值、业务影响、威胁频率、防护措施有效性或者漏洞利用可能性。
47.本技术的一些实施例根据风险发生可能性和风险发生的影响值来确定各类资产的风险值，提升对各类资产安全性评估的准确性。本技术的一些实施例通过多种元素来确定各资产风险值，提升风险值评估的准确性。
48.下面示例性阐述计算风险值的方法。
49.第一步，在本技术的一些实施例采用图3的指数评估引擎建立的评估模型，对上述收集到并标准化的数据进行评估，得出网络安全健康指数，具体的评估方法如下：
50.a)通过定量分析方法使用数值来描述风险发生的真实可能性及其影响。借助收集到的数据和自身的资产数据等，对影响定量的元素包括防护措施的成本、资产价值、业务影响、威胁频率、防护措施的有效性、漏洞利用可能性等，包括如下几个步骤：
51.1)基于风险计算范式：风险值＝(a,t,v)＝(l(t,v),f(,va))进行计算，r表示安全风险计算函数，a表示资产，t表示威胁，v表示脆弱性，ia表示安全事件所作用的资产价值，va表示脆弱性严重程度，l表示威胁利用资产的脆弱性导致安全事件发生的可能性，f表示安全事件发生后产生的损失。
52.2)计算事件真实概率为：事件真实概率＝(事件出现频率，脆弱性)＝l(t,v)
53.3)事件发生后的损失为：事件发生后的损失＝(资产价值，脆弱性级别)＝(ia,va)
54.4)计算风险值：风险值＝(事件真实概率,事件发生后的损失)＝r(l(t,v),f(,va))
55.5)通过矩阵法和相乘法来计算风险，利用影响风险要素的资产、事件、脆弱性组合
这些要素来衡量。
56.6)矩阵法主要适用于由2个要素值确定一个要素值的情形。首先需要确定二维计算矩阵，矩阵内各个要素值根据具体情况和函数递增情况采用数学方法确定，然后将2个要素的值在矩阵中进行比对，行列交叉处即为所确定的计算结果。具体如下表1所示：
57.表1
[0058][0059]
风险指数计算示例如下表2所示：
[0060]
表2
[0061][0062][0063]
其中，风险等级按照5级划分，如下表3所示：
[0064]
表3风险登记参考表
[0065]
风险值1～7070～8080～9090～100100～125风险等级12345
[0066]
相乘法适用于2个或多个要素值确定一个要素值的情形。即z＝f(x,y),函数f可采用相乘法，即
[0067]
f为增量函数时，可为直接相乘，也可以为相乘后取模等，如：
[0068]
或
[0069]
或
[0070]
或
[0071]
…
[0072]
z＝f(x,y)＝xy
[0073]
b)将影响健康指数的事件和系统自身的安全知识库通过关键字进行关联。并将擅长处置该类安全事件的专家通过知识库进行关联，并打上关联标签。
[0074]
第二步，对评估后的网络安全健康指数进行检测，若指数超出一定范围时，提出警告。具体的警告逻辑为：
[0075]
a)以健康状态满分125分为基数，设置阈值。当健康指数区间为≥101且≤125分时，提示健康状态“优秀”。当健康指数区间为≥90且≤100分时，提示健康状态为“良好”。当健康指数区间为≥80且＜90分时，提示健康状态为“一般”。当健康指数区间为≥70且＜80分时，提示健康状态为“差”。当健康指数＜70分时，提示健康状态为“危险”。
[0076]
b)当健康指数提示为“一般”时，每天定时进行一次短信提醒。当健康指数提示为“差”时，每隔12小时进行一次短信提醒。当健康指数提示为“危险”时，每隔3小时进行一次短信提醒。
[0077]
第三步，管理员收到健康指数提醒时，可以通过系统详细查看影响健康指数的风险事件，系统需要展示基于关联分析引擎关联到的修复建议、方法及应急处置专家信息，及时消除危险，以保持网络健康安全
。
[0078]
在本技术的一些实施例中，s102示例性包括：获取各资产的风险值；根据所述各资产的风险值和所述各资产的权重值得到总风险值；将所述总风险值作为所述网络安全健康指数值。
[0079]
本技术的一些实施例通过确定所有资产的风险值再加权求和可确定网络系统中资产整体安全性。
[0080]
例如，在本技术的一些实施例中，所述获取各资产的风险值，包括：获取第一资产发生安全威胁后对业务的影响情况；获取利用所述第一资产的资产脆弱性造成安全事件发生可能性，得到事件真实概率值；根据所述影响情况和所述真实概率值得到所述第一资产的风险值。
[0081]
本技术的一些实施例在确定各资产的风险值时需要确定安全威胁发生后对业务的影响以及事件的发生概率来确定各资产的风险值，提升风险值获取的准确性和客观性。
[0082]
例如，在本技术的一些实施例中，所述获取第一资产发生安全威胁后对业务的影响情况，包括：根据所述第一资产的资产价值和脆弱性级别获取相应事件发生后的损失值；根据所述损失值计算总损失值，其中，所述总损失值用于表征对所述业务的影响情况。
[0083]
本技术的一些实施例提供一种量化某资产发生安全威胁后对业务影响的情况，提升该值计算的准确性和客观性。
[0084]
例如，在本技术的一些实施例中，所述获取利用所述第一资产的资产脆弱性造成安全事件发生可能性，得到事件真实概率值，包括：通过第一函数得到所述事件真实概率值，其中，所述第一函数还包括基础值和修正函数值，所述修正函数值风险源相关，所述基础值是由相应事件出现频率和脆弱性确定的。
[0085]
本技术的一些实施例通过修正值提升获取事件真实概率值计算的准确性。
[0086]
为了即时处理告警信息，在本技术的一些实施例中，所述方法还包括：将影响健康指数的目标事件和系统自身的安全知识库通过关键字进行关联，并将擅长处置所述目标事件的专家通过知识库进行关联，并打上关联标签；管理员收到所述告警信息时，获取所述关联标签，并根据所述关联标签提供相关信息。本技术的一些实施例根据关联标签提供相关处置措施和处置人员信息，提升对告警事件的响应概率。
[0087]
下面结合一个具体示例阐述本技术一些实施例的评估网络安全健康状况的方法。
[0088]
基于网络安全态势感知产品，阐述使用本技术一些实施例提出的一种网络安全健康指数评估的方法在网络安全态势感知产品中的应用，进而实现提升网络安全健康评估业务能力的提升，具体的流程如下：
[0089]
1.通过数据接收器接入所管理业务网络的网络流量、业务系统web漏洞、系统漏洞。具体包括：多种协议网络流量数据、应用系统web漏洞、操作系统漏洞等非合规性日志数据。
[0090]
2.对不同类型的数据定义数据规范标准，通过数据标准化引擎对收集到上述数据进行标准化，方便后续对业务系统安全健康指数进行评估。
[0091]
3.将标准化的数据分类存储在数据存储器中。
[0092]
4.针对某个特定的资产信息a,按照上述的风险值计算式简化成：ra＝ra(a,v,t)＝ra＝(,g(va,t))，其中，a表示资产，ra表示风险，va表示脆弱性，t表示威胁，ia表示资产a发生安全威胁后对业务的影响(也称为资产的重要程度)，通过安全事件的损害函数f(ia,va)简化未来，g表示利用资产脆弱性造成安全事件发生可能性(也称为事件真实概率)。
[0093]
5.在评估实践中，不同的威胁源发起的威胁所造成的影响不同，如同样的威胁如果分别由国家、敌对势力、外部黑客和内部黑客发起，其风险不同。因此，在g函数的计算中引入修正函数g2：引入修正函数g2：其中s代表威胁源，s(s)表示威胁源的危害程度，例如g1可以为求和函数(计算该资产的所有脆弱性值与该资产关联的所有威胁值分别相乘，然后求和)，为布尔函数且用于表征资产是否存在威胁，a为资产，t为威胁，其取值范围如下：
[0094]
1、攻击源为境内，且为白名单
[0095]
2、攻击源为境内，且为异常访问
[0096]
3、攻击源为威胁情报识别
[0097]
4、攻击源为境外或境内黑客组织
[0098]
5、攻击源为敌对势力
[0099]
其中，g2为一修正函数(例如，该函数的形式可以为对数函数，阶跃函数等，在此处用于根据威胁来源不同修正威胁值的作用)，若系统中存在由国家、敌对势力、外部黑客、内部黑客、合法用户等主观威胁源利用木马攻击、密码破解等重大威胁引起重大安全事件的可能性，则给出与相应威胁和脆弱性相关的修正值，否则值为0。
[0100]
6.计算事件真实概率＝g(威胁，资产脆弱性)＝g1(威胁，资产脆弱性)+g2(威胁，资产脆弱性)。
[0101]
函数g1的计算该资产的所有脆弱性值与同该资产关联的所有威胁值分别相乘，然
后求和。
[0102]
函数g2的计算该资产的木马脆弱性值、密码安全性值等与同该资产关联的木马、密码威胁值等分别相乘，然后求和；若存在由国家、敌对势力、黑客等主观因素威胁源的攻击，则结果是威胁源相关的函数值与该和值的积，否则为0。
[0103]
7.根据资产的重要程度以及安全事件发生的可能性计算风险值。
[0104]
风险值＝ra(资产重要程度，安全事件发生的可能性)
[0105]
8.被评估系统的总风险为所有资产风险值的加权和。记资产a的加权值为h(a)，表示资产a的风险对整个被评估系统风险的影响程度，记被评估系统的总风险为：
[0106]rsum
＝ara(a,v,t)h(a)
[0107]
9.将影响健康指数的事件和系统自身的安全知识库通过关键字进行关联。并将擅长处置该类安全事件的专家通过知识库进行关联，并打上关联标签。
[0108]
10.根据上述计算的风险值按照下表所示确定风险等级。
[0109][0110]
11.管理员收到健康指数提醒时，可以通过系统详细查看影响健康指数的风险事件，系统需要展示基于关联分析引擎关联到的修复建议、方法及应急处置专家信息，及时消除危险，以保持网络健康安全。
[0111]
请参考图4，图4示出了本技术实施例提供一种评估网络安全健康状况的装置，应理解，该装置与上述图2方法实施例对应，能够执行上述方法实施例涉及的各个步骤，该装置的具体功能可以参见上文中的描述，为避免重复，此处适当省略详细描述。装置包括至少一个能以软件或固件的形式存储于存储器中或固化在装置的操作系统中的软件功能模块，该评估网络安全健康状况的装置，包括：待评估数据获取模块401、网络安全健康指数值获取模块402以及提示模块403。
[0112]
待评估数据获取模块，被配置为获取待评估数据，其中，所述待评估数据是基于目标日志数据得到的，所述目标日志数据至少包括应用系统web漏洞日志信息和操作系统漏洞日志信息。
[0113]
网络安全健康指数值获取模块，被配置为根据评估模型和所述待评估数据获取网络安全健康指数值。
[0114]
提示模块，被配置为若所述网络安全健康指数值位于告警范围，则提供告警信息。
[0115]
所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置的具体工作过程，可以参考前述方法中的对应过程，在此不再过多赘述。
[0116]
本技术的一些实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时可实现如上述评估网络安全健康状况的方法包括的任意实施例所述的方法。
[0117]
如图5所示，本技术的一些实施例提供一种电子设备500，包括存储器510、处理器520以及存储在所述存储器510上并可在所述处理器520上运行的计算机程序，其中，所述处理器520通过总线530读取程序并执行所述程序时可实现如上述评估网络安全健康状况的方法包括的任意实施例所述的方法。
[0118]
处理器520可以处理数字信号，可以包括各种计算结构。例如复杂指令集计算机结构、结构精简指令集计算机结构或者一种实行多种指令集组合的结构。在一些示例中，处理器520可以是微处理器。
[0119]
存储器510可以用于存储由处理器520执行的指令或指令执行过程中相关的数据。这些指令和/或数据可以包括代码，用于实现本技术实施例描述的一个或多个模块的一些功能或者全部功能。本公开实施例的处理器520可以用于执行存储器510中的指令以实现图2中所示的方法。存储器510包括动态随机存取存储器、静态随机存取存储器、闪存、光存储器或其它本领域技术人员所熟知的存储器。
[0120]
在本技术所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本技术的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
[0121]
另外，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
[0122]
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0123]
以上所述仅为本技术的实施例而已，并不用于限制本技术的保护范围，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
[0124]
以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应所述以权利要求的保护范围为准。
[0125]
需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

技术特征：
1.一种评估网络安全健康状况的方法，其特征在于，所述方法包括：获取待评估数据，其中，所述待评估数据是基于目标日志数据得到的，所述目标日志数据至少包括应用系统web漏洞日志信息和操作系统漏洞日志信息；根据评估模型和所述待评估数据获取网络安全健康指数值；若所述网络安全健康指数值位于告警范围，则提供告警信息。2.如权利要求1所述的方法，其特征在于，所述获取待评估数据包括：接入被管理网络的网络流量，采集多种协议网络流量数据、应用系统web漏洞数据以及操作系统漏洞数据得到初始日志数据；对所述初始日志数据进行格式化得到所述待评估数据。3.如权利要求1所述的方法，其特征在于，所述根据评估模型和所述待评估数据获取网络安全健康指数值，包括：根据所述待评估数据和自身资产数据，对影响定量分析的目标元素进行定量分析，得到风险发生概率值以及风险发生影响值。4.如权利要求3所述的方法，其特征在于，所述目标元素包括：防护措施的成本、资产价值、业务影响、威胁频率、防护措施有效性或者漏洞利用可能性。5.如权利要求1所述的方法，其特征在于，所述根据评估模型和所述待评估数据获取网络安全健康指数值，包括：获取各资产的风险值；根据所述各资产的风险值和所述各资产的权重值得到总风险值；将所述总风险值作为所述网络安全健康指数值。6.如权利要求5所述的方法，其特征在于，所述获取各资产的风险值，包括：获取第一资产发生安全威胁后对业务的影响情况；获取利用所述第一资产的资产脆弱性造成安全事件发生可能性，得到事件真实概率值；根据所述影响情况和所述真实概率值得到所述第一资产的风险值。7.如权利要求6所述的方法，其特征在于，所述获取第一资产发生安全威胁后对业务的影响情况，包括：根据所述第一资产的资产价值和脆弱性级别获取相应事件发生后的损失值；根据所述损失值计算总损失值，其中，所述总损失值用于表征对所述业务的影响情况。8.如权利要求6所述的方法，其特征在于，所述获取利用所述第一资产的资产脆弱性造成安全事件发生可能性，得到事件真实概率值，包括：通过第一函数得到所述事件真实概率值，其中，所述第一函数还包括基础值和修正函数值，所述修正函数值风险源相关，所述基础值是由相应事件出现频率和脆弱性确定的。9.如权利要求3所述的方法，其特征在于，所述方法还包括：将影响健康指数的目标事件和系统自身的安全知识库通过关键字进行关联，并将擅长处置所述目标事件的专家通过知识库进行关联，并打上关联标签；管理员收到所述告警信息时，获取所述关联标签，并根据所述关联标签提供相关信息。10.一种评估网络安全健康状况的装置，其特征在于，所述装置包括：待评估数据获取模块，被配置为获取待评估数据，其中，所述待评估数据是基于目标日
志数据得到的，所述目标日志数据至少包括应用系统web漏洞日志信息和操作系统漏洞日志信息；网络安全健康指数值获取模块，被配置为根据评估模型和所述待评估数据获取网络安全健康指数值；提示模块，被配置为若所述网络安全健康指数值位于告警范围，则提供告警信息。11.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时可实现如权利要求1-9中任意一项权利要求所述的方法。12.一种电子设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，其中，所述处理器执行所述程序时可实现如权利要求1-9中任意一项权利要求所述的方法。

技术总结
本申请实施例提供一种评估网络安全健康状况的方法、装置及应用产品，所述方法包括：获取待评估数据，其中，所述待评估数据是基于目标日志数据得到的，所述目标日志数据至少包括应用系统WEB漏洞日志信息和操作系统漏洞日志信息；根据评估模型和所述待评估数据获取网络安全健康指数值；若所述网络安全健康指数值位于告警范围，则提供告警信息。采用本申请实施例旨在解决如下技术问题：解决非合规类风险的判定，提出参与健康指数计算的干扰因素对健康指数的计算更加精准，基于健康指数提示对影响健康指数变化的风险提供修复建议和方法。健康指数变化的风险提供修复建议和方法。健康指数变化的风险提供修复建议和方法。


技术研发人员：姚善
受保护的技术使用者：北京天融信科技有限公司 北京天融信软件有限公司
技术研发日：2023.04.19
技术公布日：2023/7/25