- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
17-内网安全综合评分(安全概况)FAQ
本章节下载: 17-内网安全综合评分(安全概况)FAQ (164.22 KB)
平台目前缺乏直观展示内网安全状态的功能。为满足需求,数据分析中心后台则需要利用存储的威胁日志数据,得到四类威胁程度类型的个数,然后计算出安全评分,一并返回给Web进行展示;其中安全评分反应内网总体安全状态,四类威胁程度类型的次数统计则反应具体的得分细节,从而使Web界面能直观地展现安全元素以及实时地显示网络安全情况(如界面呈现近日受攻击的类型、次数等,对于网络安全状况实现整体打分)。
数据分析中心后台需要提供:
(1) 内网安全评分计算;
(2) 不同威胁等级攻击次数统计。
需求的实现分析如下:
(1) 需增加一个netconf表,Web需下发一个计算类型参数(枚举值,为以后评分计算功能可能出现的扩展预留,目前只需下发0);后台返回计算得到的综合评分以及各威胁级别对应的次数,其中各威胁级别对应的次数封装在JSON格式中,Web需要对其进行解析,得到不同类别的数据,然后在网页上展示分布情况;
(2) 根据下发的类型的不同,采用回调函数的方式来实现数据的查询处理,便于以后可能出现的新需求造成的修改;
(3) 拼装SQL,然后对本Context数据进行查询。目前威胁日志以天为单位,存储在不同的数据库中,后台设定的时间段为一小时,所以只会出现在一天内与跨一天的两种情况,但为了应对以后时间段可能会修改为超过一天的情况,采用分别对时间段内的所有数据库进行查询的方法,然后将不同威胁等级的结果分别相加,最后得到总的结果;
(4) 在SQL执行完得到符合条件的不同威胁等级对应的条数后,根据如下公式计算安全评分:
安全评分 = 起评分–攻击危险指数;
攻击危险指数 = 威胁日志中不同攻击程度对应的分值总和;
目前IPS与防病毒模块生成的威胁日志统一存储在数据分析中心数据库,威胁日志中的严重程度来自于特征库的匹配结果,数据分析中心根据该字段对严重级别进行判定,判定方法与应用层检测引擎、IPS等模块的已有的判定方法保持一致。
其中威胁日志中的威胁严重程度(Severity)为UINT型的数据,其与威胁级别和分值的对应关系为:
· Severity<30:低,对应分值0.2;
· 30<=Severity<60:中,对应分值0.4;
· 60<=Severity<90:高,对应分值0.6;
· 90<=Severity:严重,对应分值4;
· 如果有严重攻击,则从70起评。
· 如果有高危攻击,则从90起评。
· 如果安全评分计算结果小于10,则设置为10。
· 目前威胁日志中的严重程度只会出现0~100的情况,若出现异常产生大于100的情况,则处理为严重。
(5) 评分计算完后将不同威胁级别次数的数据封装到JSON,同安全评分一起返回给Web(对于安全评分的解读由Web进行实现)。
公式为:Score = Total –Low*0.2-Medium*0.4-High*0.6- Critical*4;
· 当Critical>0时,Total = 70;
· 当Critical=0,High>0时,Total = 90;
· 当Critical=0,High=0时,Total = 100;
· 最后对Total取整;
· 得到Total<10时,取Total为10;
目前,只有F1010系列的设备才能显示安全概况的评分模块。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
