CN118118249A - 一种基于大数据的企业信息安全运维管理*** - Google Patents

Abstract

本发明涉及运维安全领域，且公开了一种基于大数据的企业信息安全运维管理***，***包括信息数据采集模块、数据存储模块、数据处理模块、安全事件风险评估模块、安全信息风险识别模块、影响力修正模块、风险等级划分模块以及安全风险反馈模块，通过采集并记录运维信息安全数据，再对运维信息安全数据进行存储和特征提取，通对安全信息风险进行评估和识别，通过影响力修正系数对安全信息风险进行风险等级划分，制定相应的处置措施，并迅速响应和处理安全事件，有利于自动评估和识别安全风险问题，节约了安全运维的监测时间和成本，同时能对不同安全风险事件进行风险等级划分和响应，致使对安全事件的处理更加合理和准确。

Description

一种基于大数据的企业信息安全运维管理***

技术领域

本发明涉及运维安全技术领域，更具体地涉及一种基于大数据的企业信息安全运维管理***。

背景技术

随着信息技术的快速发展和企业数据规模的不断增大，企业面临的信息安全风险也日益增加。安全事件管理是企业信息安全运维管理***的重要组成部分，它旨在帮助企业及时发现、分析和处理各种安全事件，保障企业信息资产的安全性和完整性。在传统的企业信息安全管理中，主要依靠人工操作和局域网监控等方式进行安全事件管理，但由于企业数据量庞大、安全事件复杂多样，人工手动操作已经无法满足实际需求；而大数据的企业信息安全运维管理***的引入，可以对企业海量的结构化和非结构化数据进行采集、存储、处理和分析，从而实现对安全事件的及时发现和快速响应。大数据分析技术可以通过挖掘和分析海量数据，发现异常行为和潜在威胁，帮助企业实现实时监控和预警。此外，大数据技术还可以通过对历史安全事件的分析，提供安全事件趋势和模式，为企业提供有效的安全策略和决策支持；

然而上述过程仍然具备以下缺点：

其一、通过大数据的企业信息安全运维管理***对安全运维的数据监测和采集缺少有效的数据采集和监测方法，可能导致监测和采集的数据不够准确和可靠，致使无法全面的监测所有运维信息安全数据；

其二、对安全信息的数据仅仅是通过对发生事件的各种行为进行监测和管理，缺少智能化的分析流程，从而对安全信息风险事件进行自动评估，并对安全异常问题进行自动识别，增加了安全信息事件管理的时间和成本，同时缺乏对不同安全信息风险事件进行风险等级响应，可能导致对安全风险事件的处理方法不正确。

发明内容

为了克服现有技术的上述缺陷，本发明提供了一种基于大数据的企业信息安全运维管理***，以解决上述背景技术中存在的问题。

本发明提供如下技术方案：一种基于大数据的企业信息安全运维管理***，包括：

信息数据采集模块：用于采集运维信息安全数据，包括网络安全数据采集单元和信息安全数据采集单元，同时将采集的运维信息安全数据传输至数据存储模块；

数据存储模块：用于将采集的运维信息安全数据通过网络安全传输协议传输到集中的日志收集服务器或存储设备，并对运维信息安全数据进行特征提取，将处理后的运维信息安全数据传输至数据处理模块；

数据处理模块：用于对运维信息安全数据进行处理和分析，通过网络安全数据采集单元分析计算安全事件发生概率系数，通过信息安全数据采集单元分析计算，得到安全事件发生损失系数；

安全事件风险评估模块：用于对安全事件发生概率系数和安全事件发生损失系数进行二次分析，得到安全事件风险评估指数，通过安全事件风险评估指数评估安全信息风险，并实时监测企业网络的安全状态；

安全信息风险识别模块：用于对目标安全信息风险进行识别定位，通过安全事件风险评估指数对对目标安全信息风险进行识别，并发现安全异常问题，通过安全事件风险评估指数与标准安全特征阈值进行比较，对目标安全信息风险进行风险定位，同时发出风险预警的指令信息传输至影响力修正模块；

影响力修正模块：用于接收安全信息风险识别模块所发出的风险预警指令，根据接收到的风险预警指令立即进行安全风险响应，将安全事件风险评估指数与标准安全特征阈值进行计算，得到影响力修正系数，通过影响力修正系数对安全信息风险进行等级划分；

风险等级划分模块：用于对安全信息风险进行风险等级划分，通过影响力修正系数将检测出的安全信息风险划分为低风险、中风险、高风险，并将安全风险等级划分的结果传输至安全风险反馈模块；

安全风险反馈模块：用于根据安全信息的风险识别结果和等级，制定相应的处置措施，并迅速进行预警响应和处理安全事件，阻止攻击持续扩散。

优选的，所述信息数据采集模块通过监测网络节点上的运维信息安全数据，定期更新和采集各节点上运维信息安全数据，并记录每次运维信息安全数据的采集时间，并根据企业的网络架构和规模，选择需要监测和管理的网络节点，在选定的网络节点上部署数据采集器，用于采集节点的运维信息安全数据；

所述网络安全数据采集单元是通过监测和采集各网络节点上的网络安全数据；所述信息安全数据采集单元是通过监测和采集各网络节点上的信息安全数据。

优选的，所述数据存储模块是通过按节点的不同将采集的运维信息安全数据进行分散存储，再对每次运维信息安全数据进行事件编号，用于标识每个时间段运维信息安全数据，同时进行数据特征提取，提取影响节点上运维信息安全状态的数据。

优选的，所述数据处理模块是通过对所提取到的影响节点上事件安全状态的数据进行具体分析，并计算出反映事件安全各项参数的变化趋势；

所述安全事件发生概率系数具体分析方式为：

步骤S1：分析密码安全性的具体计算公式为P(x_i)表示单个字符或密码元素出现的概率，n表示字符或密码元素的总数，x_i表示第i个字符或密码元素；

步骤S2：分析网络攻击效能的具体计算公式为q＝q(a_j)×q(S_j)，S_j表示S＝{S₁，S₂，…，S_m}，m个不同状态节点构成的集合，q(S_j)表示攻击者到达状态S_j的概率；

步骤S3：分析安全事件响应频率的具体计算公式为t₁表示平均检测时间，t₂表示平均响应时间，t₃表示平均缓解时间，t₄表示平均恢复时间，N表示在特定时间段内发生的事件总数；

步骤S4：分析安全事件发生概率系数的具体计算公式为I＝L(H，q，T)，q表示网络攻击效能，H表示密码安全性，T表示安全事件响应频率；

所述安全事件发生损失系数具体分析方式为：

分析安全事件发生损失系数的具体计算公式为R＝F(V₁，V₂，V₃)，V₁表示资产价值，V₂表示资产的脆弱性严重程度，V₃表示威胁的环境影响因子。

优选的，所述安全事件风险评估模块是根据数据处理的结果分析并计算出安全事件风险评估指数，通过安全事件风险评估指数对每个时间段内节点上的安全事件进行评估，并监测企业网络安全状态的变化情况，及时预测出可能存在的网络安全风险问题；

所述安全事件风险评估指数的具体计算公式为a＝B(I，R)＝(L(H，q，T)，F(V₁，V₂，V₃))，I表示安全事件发生概率系数，R表示安全事件发生损失系数。

优选的，所述安全信息风险识别模块是通过安全事件风险评估指数与标准安全特征阈值进行比较，当安全事件风险评估指数a等于或大于标准安全特征阈值a′，表示出现安全信息风险，立即对安全信息风险进行识别并定位。

优选的，所述影响力修正模块是通过计算出影响力修正系数对安全信息风险进行修正，及时检测出存在的安全风险问题，并对安全信息风险进行优先级划分；所述影响力修正系数是通过安全事件风险评估指数与标准安全特征阈值比较并计算得出的，具体的计算公式为影响力修正系数a表示安全事件风险评估指数，a′表示标准安全特征阈值。

优选的，所述风险等级划分模块是通过影响力修正系数κ对节点上检测出的安全信息风险的严重程度进行风险等级划分；

当影响力修正系数κ小于0时，表示未出现安全风险发生，当影响力修正系数κ等于或大于0时，表示节点上检测出安全信息风险，并根据安全信息风险识别模块识别和定位出节点上的安全信息风险；

若影响力修正系数κ＝0时，则将安全信息风险划分为低风险；若0<影响力修正系数κ<1时，则将安全信息风险划分为低风险；若影响力修正系数κ>1时，则将安全信息风险划分为高风险。

优选的，所述安全风险反馈模块是根据安全信息的风险等级发生程度，制定相应的应急响应计划，并对事件的响应过程进行跟踪和分析，识别事件发生的原因和漏洞，并采取措施防止类似事件再次发生，同时发出异常警告的指令信息。

本发明的技术效果和优点：

本发明通过设有信息数据采集模块采集网络节点上的运维信息安全数据，并随时间记录每次运维信息安全数据，有利于有效的对运维信息安全数据进行全面采集和监测，使采集的数据更加准确和可靠，减少了数据采集的误差，通过数据存储模块对事件状态信息数据进行存储和特征提取，通过数据处理模块分析出运维信息安全数据，通过安全事件风险评估模块计算出的安全事件风险评估指数对安全信息风险进行识别和定位，通过影响力修正模块将安全事件风险评估指数与标准安全特征阈值进行比较，得到影响力修正系数，通过风险等级划分模块对安全信息风险进行风险等级划分，通过安全风险反馈模块制定相应的处置措施，并迅速响应和处理安全事件，通过智能化的数据分析流程，能自动评估和识别安全风险问题，节约了安全运维的监测时间和成本，同时能对不同安全信息风险进行风险等级划分和响应，致使对安全事件的处理更加合理和准确。

附图说明

图1为本发明的一种基于大数据的企业信息安全运维管理***流程图。

具体实施方式

下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，另外，在以下的实施方式中记载的各结构的形态只不过是例示，本发明所涉及的一种基于大数据的企业信息安全运维管理***并不限定于在以下的实施方式中记载的各结构，在本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施方式都属于本发明保护的范围。

本发明提供了一种基于大数据的企业信息安全运维管理***，包括：

信息数据采集模块：用于采集运维信息安全数据，包括网络安全数据采集单元和信息安全数据采集单元，同时将采集的运维信息安全数据传输至数据存储模块。

本实施例中，所述信息数据采集模块通过监测网络节点上的运维信息安全数据，定期更新和采集各节点上运维信息安全数据，并记录每次运维信息安全数据的采集时间，并根据企业的网络架构和规模，选择需要监测和管理的网络节点，在选定的网络节点上部署数据采集器，用于采集节点的运维信息安全数据；

所述网络安全数据采集单元是通过监测和采集各网络节点上的网络安全数据；所述信息安全数据采集单元是通过监测和采集各网络节点上的信息安全数据。

需要具体说明的是，通过信息数据采集模块有利于有效的对运维信息安全数据进行全面采集和监测，使采集的数据更加准确和可靠，减少了数据采集的误差。

数据存储模块：用于将采集的运维信息安全数据通过网络安全传输协议传输到集中的日志收集服务器或存储设备，并对运维信息安全数据进行特征提取，将处理后的运维信息安全数据传输至数据处理模块。

本实施例中，所述数据存储模块是通过按节点的不同将采集的运维信息安全数据进行分散存储，再对每次运维信息安全数据进行事件编号，用于标识每个时间段运维信息安全数据，同时进行数据特征提取，提取影响节点上运维信息安全状态的数据。

需要具体说明的是，通过数据存储模块提供高效可靠的数据存储和管理功能，确保数据的完整性和可用性。通过将数据进行分散存储，有利于减少单点故障和数据丢失的风险。

数据处理模块：用于对运维信息安全数据进行处理和分析，通过网络安全数据采集单元分析计算安全事件发生概率系数，通过信息安全数据采集单元分析计算，得到安全事件发生损失系数。

本实施例中，所述数据处理模块是通过对所提取到的影响节点上事件安全状态的数据进行具体分析，并计算出反映事件安全各项参数的变化趋势；

所述安全事件发生概率系数具体分析方式为：

步骤S1：分析密码安全性的具体计算公式为P(x_i)表示单个字符或密码元素出现的概率，n表示字符或密码元素的总数，x_i表示第i个字符或密码元素；

步骤S2：分析网络攻击效能的具体计算公式为q＝q(a_j)×q(S_j)，S_j表示S＝{S₁，S₂，…，S_m}，m个不同状态节点构成的集合，q(S_j)表示攻击者到达状态S_j的概率；

步骤S3：分析安全事件响应频率的具体计算公式为t₁表示平均检测时间，t₂表示平均响应时间，t₃表示平均缓解时间，t₄表示平均恢复时间，N表示在特定时间段内发生的事件总数；

步骤S4：分析安全事件发生概率系数的具体计算公式为I＝L(H，q，T)，q表示网络攻击效能，H表示密码安全性，T表示安全事件响应频率；

所述安全事件发生损失系数具体分析方式为：

分析安全事件发生损失系数的具体计算公式为R＝F(V₁，V₂，V₃)，V₁表示资产价值，V₂表示资产的脆弱性严重程度，V₃表示威胁的环境影响因子。

需要具体说明的是，数据分析模块能提供实时监控，及时发现***中的异常情况或潜在威胁，帮助企业及时采取措施解决问题，并为安全事件风险问题的评估提供依据，及时了解***的运行情况和安全状况，减少了风险评估的时间，使风险评估的结果更加准确。

安全事件风险评估模块：用于对安全事件发生概率系数和安全事件发生损失系数进行二次分析，得到安全事件风险评估指数，通过安全事件风险评估指数评估安全信息风险，并实时监测企业网络的安全状态。

本实施例中，所述安全事件风险评估模块是根据数据处理的结果分析并计算出安全事件风险评估指数，通过安全事件风险评估指数对每个时间段内节点上的安全事件进行评估，并监测企业网络安全状态的变化情况，及时预测出可能存在的网络安全风险问题；

所述安全事件风险评估指数的具体计算公式为a＝B(I，R)＝(L(H，q，T)，F(V₁，V₂，V₃))，I表示安全事件发生概率系数，R表示安全事件发生损失系数。

需要具体说明的是，通过安全事件风险评估指数有利于及时识别和发现潜在的信息安全风险，提高运维管理效率，有利于实时监测事件的安全问题。

安全信息风险识别模块：用于对目标安全信息风险进行识别定位，通过安全事件风险评估指数对对目标安全信息风险进行识别，并发现安全异常问题，通过安全事件风险评估指数与标准安全特征阈值进行比较，对目标安全信息风险进行风险定位，同时发出风险预警的指令信息传输至影响力修正模块。

本实施例中，所述安全信息风险识别模块是通过安全事件风险评估指数与标准安全特征阈值进行比较，当安全事件风险评估指数a等于或大于标准安全特征阈值a′，表示出现安全信息风险，立即对安全信息风险进行识别并定位。

影响力修正模块：用于接收安全信息风险识别模块所发出的风险预警指令，根据接收到的风险预警指令立即进行安全风险响应，将安全事件风险评估指数与标准安全特征阈值进行计算，得到影响力修正系数，通过影响力修正系数对安全信息风险进行等级划分。

本实施例中，所述影响力修正模块是通过计算出影响力修正系数对安全信息风险进行修正，及时检测出存在的安全风险问题，并对安全信息风险进行优先级划分；所述影响力修正系数是通过安全事件风险评估指数与标准安全特征阈值比较并计算得出的，具体的计算公式为影响力修正系数a表示安全事件风险评估指数，a′表示标准安全特征阈值。

需要具体说明的是，通过对安全事件影响力的修正，企业可以更好地评估和控制风险，及时发现和应对潜在的安全威胁，减少信息安全事件的发生和损失。

风险等级划分模块：用于对安全信息风险进行风险等级划分，通过影响力修正系数将检测出的安全信息风险划分为低风险、中风险、高风险，并将安全风险等级划分的结果传输至安全风险反馈模块。

本实施例中，所述风险等级划分模块是通过影响力修正系数κ对节点上检测出的安全信息风险的严重程度进行风险等级划分；

当影响力修正系数κ小于0时，表示未出现安全风险发生，当影响力修正系数κ等于或大于0时，表示节点上检测出安全信息风险，并根据安全信息风险识别模块识别和定位出节点上的安全信息风险；

若影响力修正系数κ＝0时，则将安全信息风险划分为低风险；若0<影响力修正系数κ<1时，则将安全信息风险划分为低风险；若影响力修正系数κ>1时，则将安全信息风险划分为高风险。

需要具体说明的是，风险等级划分模块可以根据一定的评估标准和算法来客观地评估企业信息***面临的风险，并将其分为不同的等级，更准确地评估和定位风险的严重程度。

安全风险反馈模块：用于根据安全信息的风险识别结果和等级，制定相应的处置措施，并迅速进行预警响应和处理安全事件，阻止攻击持续扩散。

本实施例中，所述安全风险反馈模块是根据安全信息的风险等级发生程度，制定相应的应急响应计划，并对事件的响应过程进行跟踪和分析，识别事件发生的原因和漏洞，并采取措施防止类似事件再次发生，同时发出异常警告的指令信息。

最后：以上所述仅为本发明的优选实施例而已，并不用于限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (9)

1.一种基于大数据的企业信息安全运维管理***，其特征在于：包括：

信息数据采集模块：用于采集运维信息安全数据，包括网络安全数据采集单元和信息安全数据采集单元，同时将采集的运维信息安全数据传输至数据存储模块；

数据存储模块：用于将采集的运维信息安全数据通过网络安全传输协议传输到集中的日志收集服务器或存储设备，并对运维信息安全数据进行特征提取，将处理后的运维信息安全数据传输至数据处理模块；

数据处理模块：用于对运维信息安全数据进行处理和分析，通过网络安全数据采集单元分析计算安全事件发生概率系数，通过信息安全数据采集单元分析计算，得到安全事件发生损失系数；

安全事件风险评估模块：用于对安全事件发生概率系数和安全事件发生损失系数进行二次分析，得到安全事件风险评估指数，通过安全事件风险评估指数评估安全信息风险，并实时监测企业网络的安全状态；

安全信息风险识别模块：用于对目标安全信息风险进行识别定位，通过安全事件风险评估指数对对目标安全信息风险进行识别，并发现安全异常问题，通过安全事件风险评估指数与标准安全特征阈值进行比较，对目标安全信息风险进行风险定位，同时发出风险预警的指令信息传输至影响力修正模块；

影响力修正模块：用于接收安全信息风险识别模块所发出的风险预警指令，根据接收到的风险预警指令立即进行安全风险响应，将安全事件风险评估指数与标准安全特征阈值进行计算，得到影响力修正系数，通过影响力修正系数对安全信息风险进行等级划分；

风险等级划分模块：用于对安全信息风险进行风险等级划分，通过影响力修正系数将检测出的安全信息风险划分为低风险、中风险、高风险，并将安全风险等级划分的结果传输至安全风险反馈模块；

安全风险反馈模块：用于根据安全信息的风险识别结果和等级，制定相应的处置措施，并迅速进行预警响应和处理安全事件，阻止攻击持续扩散。

2.根据权利要求1所述的一种基于大数据的企业信息安全运维管理***，其特征在于：所述信息数据采集模块通过监测网络节点上的运维信息安全数据，定期更新和采集各节点上运维信息安全数据，并记录每次运维信息安全数据的采集时间，并根据企业的网络架构和规模，选择需要监测和管理的网络节点，在选定的网络节点上部署数据采集器，用于采集节点的运维信息安全数据；

所述网络安全数据采集单元是通过监测和采集各网络节点上的网络安全数据；所述信息安全数据采集单元是通过监测和采集各网络节点上的信息安全数据。

3.根据权利要求1所述的一种基于大数据的企业信息安全运维管理***，其特征在于：所述数据存储模块是通过按节点的不同将采集的运维信息安全数据进行分散存储，再对每次运维信息安全数据进行事件编号，用于标识每个时间段运维信息安全数据，同时进行数据特征提取，提取影响节点上运维信息安全状态的数据。

4.根据权利要求1所述的一种基于大数据的企业信息安全运维管理***，其特征在于：所述数据处理模块是通过对所提取到的影响节点上事件安全状态的数据进行具体分析，并计算出反映事件安全各项参数的变化趋势；

所述安全事件发生概率系数具体分析方式为：

步骤S1：分析密码安全性的具体计算公式为P(x_i)表示单个字符或密码元素出现的概率，n表示字符或密码元素的总数，x_i表示第i个字符或密码元素；

步骤S2：分析网络攻击效能的具体计算公式为q＝q(a_j)×q(S_j)，S_j表示S＝{S₁，S₂，…，S_m}，m个不同状态节点构成的集合，q(S_j)表示攻击者到达状态S_j的概率；

步骤S3：分析安全事件响应频率的具体计算公式为t₁表示平均检测时间，t₂表示平均响应时间，t₃表示平均缓解时间，t₄表示平均恢复时间，N表示在特定时间段内发生的事件总数；

步骤S4：分析安全事件发生概率系数的具体计算公式为I＝L(H，q，T)，q表示网络攻击效能，H表示密码安全性，T表示安全事件响应频率；

所述安全事件发生损失系数具体分析方式为：

分析安全事件发生损失系数的具体计算公式为R＝F(V₁，V₂，V₃)，V₁表示资产价值，V₂表示资产的脆弱性严重程度，V₃表示威胁的环境影响因子。

5.根据权利要求1所述的一种基于大数据的企业信息安全运维管理***，其特征在于：所述安全事件风险评估模块是根据数据处理的结果分析并计算出安全事件风险评估指数，通过安全事件风险评估指数对每个时间段内节点上的安全事件进行评估，并监测企业网络安全状态的变化情况，及时预测出可能存在的网络安全风险问题；

所述安全事件风险评估指数的具体计算公式为a＝B(I，R)＝(L(H，q，T)，F(V₁，V₂，V₃))，I表示安全事件发生概率系数，R表示安全事件发生损失系数。

6.根据权利要求1所述的一种基于大数据的企业信息安全运维管理***，其特征在于：所述安全信息风险识别模块是通过安全事件风险评估指数与标准安全特征阈值进行比较，当安全事件风险评估指数a等于或大于标准安全特征阈值a′，表示出现安全信息风险，立即对安全信息风险进行识别并定位。

7.根据权利要求1所述的一种基于大数据的企业信息安全运维管理***，其特征在于：所述影响力修正模块是通过计算出影响力修正系数对安全信息风险进行修正，及时检测出存在的安全风险问题，并对安全信息风险进行优先级划分；所述影响力修正系数是通过安全事件风险评估指数与标准安全特征阈值比较并计算得出的，具体的计算公式为影响力修正系数a表示安全事件风险评估指数，a′表示标准安全特征阈值。

8.根据权利要求1所述的一种基于大数据的企业信息安全运维管理***，其特征在于：所述风险等级划分模块是通过影响力修正系数κ对节点上检测出的安全信息风险的严重程度进行风险等级划分；

当影响力修正系数κ小于0时，表示未出现安全风险发生，当影响力修正系数κ等于或大于0时，表示节点上检测出安全信息风险，并根据安全信息风险识别模块识别和定位出节点上的安全信息风险；

若影响力修正系数κ＝0时，则将安全信息风险划分为低风险；若0<影响力修正系数κ<1时，则将安全信息风险划分为低风险；若影响力修正系数κ>1时，则将安全信息风险划分为高风险。

9.根据权利要求1所述的一种基于大数据的企业信息安全运维管理***，其特征在于：所述安全风险反馈模块是根据安全信息的风险等级发生程度，制定相应的应急响应计划，并对事件的响应过程进行跟踪和分析，识别事件发生的原因和漏洞，并采取措施防止类似事件再次发生，同时发出异常警告的指令信息。