本發明提供一種定量化的網絡安全評估方法及評估系統。本發明的方法包括：利用網絡流數據采集模塊監測目標系統中各網絡節點中的網絡流，并采集該網絡節點的網絡流數據發送至模型參數計算模塊和網絡安全評估模塊；利用模型參數計算模塊根據該網絡流數據計算網絡通信分析模型參數并發送至網絡安全評估模塊；利用網絡安全評估模塊接收網絡通信分析模型參數，根據網絡通信分析模型參數建立網絡通信分析模型，并通過該網絡通信分析模型根據網絡流數據計算目標系統的安全等級評估報告。本發明的評估方法和評估系統通過可度量的網絡流數據計算不可直接度量的安全等級，解決了網絡安全保密能力不可被直接度量的問題，能夠為數據安全保護提供科學依據。

技術領域

本發明涉及信息安全技術領域，尤其涉及一種定量化的網絡安全評估方法及評估系統。

背景技術

網絡安全保密能力評估對數據安全保護非常重要。一般來講，真實系統中的網絡安全保密能力不可能被直接度量，但是不同等級的網絡安全保密能力是會通過其全局性的網絡流表現出來，比如網絡安全保密能力弱的系統中，信息從高可信級別安全域流向低安全級別安全域的可能性、網絡流數量和發生范圍就相對大，而網絡安全保密能力較高的系統中，信息從高可信級別安全域流向低安全級別安全域的可能性、網絡流數量和發生范圍就相對小。

傳統網絡安全保密能力分析很難對網絡的真實安全保密能力進行定量化分析。例如，傳統的系統安全風險評估方法包括對標檢查、安全漏洞掃描、基于入侵檢測結果的分析和評估、以及基于網絡流檢測的網絡安全態勢分析等，其中，對標檢查是一種靜態的安全標準對比評估，不能反映系統各項安全控制措施的實際作用和效果，基于安全漏洞掃描的評估方法不能說明系統面臨實際威脅以及威脅的可能性，即不能反映出系統的真實風險程度，基于入侵檢測結果的風險分析和評估收到入侵檢測系統準確率和漏報率的影響，其結果并不可靠，基于網絡流檢測的安全態勢分析一方面面臨著與前者相同的安全效果和安全效率的問題，另一方面也沒有專門針對系統保密能力的評估機制。

因此，需要一種定量化的網絡安全評估方法及評估系統。

發明內容

鑒于上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的定量化的網絡安全評估方法及評估系統。

本發明的一個方面，提供了一種定量化的網絡安全評估方法，包括以下步驟：利用網絡流數據采集模塊監測目標系統中各網絡節點中的網絡流，并采集該網絡節點的網絡流數據發送至模型參數計算模塊和網絡安全評估模塊；利用模型參數計算模塊根據該網絡流數據計算網絡通信分析模型參數并發送至網絡安全評估模塊；利用網絡安全評估模塊接收網絡通信分析模型參數，根據網絡通信分析模型參數建立網絡通信分析模型，并通過該網絡通信分析模型根據網絡流數據計算目標系統的安全等級評估報告。

進一步地，所述定量化的網絡安全評估方法，還包括：利用模型參數計算模塊接收并根據網絡流數據計算網絡通信分析模型參數，并發送至網絡安全評估模塊更新網絡通信分析模型參數。

進一步地，所述定量化的網絡安全評估方法，還包括：利用網絡流數據存儲模塊接收并存儲網絡流數據。

進一步地，所述定量化的網絡安全評估方法，還包括：利用網絡流數據標識模塊對網絡流數據做標識；利用標識對比模塊接收網絡流數據，對比網絡流數據的標識，將標識重復的網絡流數據刪除。