安全防控方法、装置、设备及存储介质与流程

1.本技术属于计算机技术领域，尤其涉及一种安全防控方法、装置、设备及存储介质。


背景技术：

2.在现有技术中，产品开发过程中对于安全防控措施的设置都是单一固定的，即在产品投入使用前预先设置安全防控措施，产品投入使用后一般直接采用预先设置的安全防控措施进行安全防控。
3.然而，当网络环境或者应用场景发生变化时，由于预先设置的安全防控措施无法满足新的网络环境或应用场景的防控需求，需要重新更改代码逻辑进行重新打包发布版本，耗费时间较久，这导致现有安全防控措施的安全防控效果较差。


技术实现要素：

4.本技术实施例提供一种安全防控方法、装置、设备及存储介质，可以提高安全防控措施的配置效率。
5.第一方面，本技术实施例提供一种安全防控方法，包括：
6.在确定安全风险等级由第一等级变更至第二等级的情况下，将第一网络平台的安全防控配置参数由第一参数值变更为第二参数值，所述第一参数值为所述第一等级对应的参数值，所述第二参数值为所述第二等级对应的参数值；
7.执行所述第二参数值对应的安全防控措施。
8.第二方面，本技术实施例提供一种安全防控装置，包括：
9.更新模块，用于在确定安全风险等级由第一等级变更至第二等级的情况下，将第一网络平台的安全防控配置参数由第一参数值变更为第二参数值，所述第一参数值为所述第一等级对应的参数值，所述第二参数值为所述第二等级对应的参数值；
10.执行模块，用于执行所述第二参数值对应的安全防控措施。
11.第三方面，本技术实施例提供了一种安全防控设备，设备包括：处理器以及存储有计算机程序指令的存储器；
12.处理器执行计算机程序指令时实现如第一方面所示的安全防控方法。
13.第四方面，本技术实施例提供了一种可读存储介质，所述可读存储介质上存储程序或指令，所述程序或指令被处理器执行时实现如第一方面所示的安全防控方法。
14.第五方面，本技术实施例提供了一种计算机程序产品，所述计算机程序产品中的指令由电子设备的处理器执行时，使得所述电子设备执行如第一方面所示的安全防控方法。
15.本技术实施例提供的安全防控方法，在确定安全风险等级由第一等级变更至第二等级的情况下，将第一网络平台的安全防控配置参数由第一等级对应的第一参数值变更为第二等级对应的第二参数值；执行第二参数值对应的安全防控措施。只需要根据当前安全
风险等级的变化更新网络平台的安全防控措施配置参数，即可对网络平台的安全防控措施进行切换，因此，当网络环境或者应用场景发生变化时，只需更新网络平台与安全风险等级对应的安全防控措施的配置参数即可切换或配置安全防控措施，无需修改程序代码，从而实现根据安全风险等级的变化灵活地切换或配置安全防控措施，便于适应不同场景下的防护措施，从而达到效率更优，方法更简便，适应多种场景下的安全防护措施需求，提升安全防控效果。
附图说明
16.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图作简单的介绍，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
17.图1是本技术实施例提供的安全防控方法的流程示意图；
18.图2是本技术实施例提供的安全防控装置的结构示意图；
19.图3是本技术实施例提供的电子设备的结构示意图。
具体实施方式
20.下面将详细描述本技术的各个方面的特征和示例性实施例，为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及具体实施例，对本技术进行进一步详细描述。应理解，此处所描述的具体实施例仅意在解释本技术，而不是限定本技术。对于本领域技术人员来说，本技术可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本技术的示例来提供对本技术更好的理解。
21.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括
……”
限定的要素，并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
22.近年来，我国云计算、大数据、物联网、工业互联网、人工智能等新技术新应用大规模发展，网络安全风险融合叠加并快速演变。互联网技术应用不断模糊物理世界和虚拟世界的界限，对整个经济社会发展的融合、渗透、驱动作用日益明显，带来的风险挑战也不断增大，网络空间威胁和风险日益增多。
23.现有的互联网应用对于安全防控措施的选择通常为单一固定的，如果需要变更防控手段，需要重新更改代码逻辑进行重新打包发布新版本，耗费时间久，以系统登录为例，在系统排查出现安全问题、发现外部攻击或者是在重保时期，如果需要在当前使用密码校验登录的系统上添加验证码校验或者人脸识别的手段，那么就需要对登录功能模块进行重新编码、打包版本、上线发布整个流程。
24.于是，为了提高安全防控效果，本技术提出了通过判断安全风险等级，动态设置不同参数来选择安全防护措施的手段，便于适应不同场景下的防护措施，从而达到效率更优，
方法更简便，适应多种场景下的安全防护措施选择的目的。
25.为了解决现有技术问题，本技术实施例提供了一种安全防控方法、装置、设备及存储介质。下面首先对本技术实施例所提供的安全防控方法进行介绍。
26.图1示出了本技术一个实施例提供的安全防控方法的流程示意图。如图1所示，该方法包括如下步骤101至步骤102。
27.步骤101，在确定安全风险等级由第一等级变更至第二等级的情况下，将第一网络平台的安全防控配置参数由第一参数值变更为第二参数值，第一参数值为第一等级对应的参数值，第二参数值为第二等级对应的参数值。
28.其中，第一网络平台可以是任意以互联网为技术为基础的各种网络服务支持平台。安全风险等级由第一等级变更至第二等级，表示当前的安全风险等级发生了变化，例如，安全等级由高等级变更为低等级，或者安全风险等级由低等级变更为高等级。
29.具体地，在不同场景下或者在不同的网络环境中网络平台的安全风险等级也会有相应的变化，在第一网络平台所处网络环境的安全风险等级由第一等级变更至第二等级的情况下，第一网络平台的安全防控措施也需要要进行相应的切换，因此需要将第一网络平台的安全防控配置参数由第一等级的安全风险对应的第一参数值变更为第二等级的安全风险对应的第二参数值。
30.步骤102，执行第二参数值对应的安全防控措施。
31.具体地，可以根据安全防控配置参数与安全防控措施的对应关系，确定对应的安全防控措施并执行，因此在第一网络平台的安全防控配置参数由第一参数值变更为第二参数值之后，可以确定第二参数值对应的安全防控措施，并执行该安全防控措施。
32.以网络平台登录为例，假设当前网络平台安全风险等级为低级，安全防控配置参数为1，对应执行的安全防控措施为：密码登录；当网络平台排查发现安全问题或者发现外部攻击时，安全风险等级由低级变更为高级，此时可以将安全防控配置参数由参数值1变更为参数值3,参数值3对应的安全防控措施为：人脸识别登录，更新参数值后，网络平台执行人脸识别登录。
33.对于具体如何实施安全策略，则可参照安全策略的具体定义以及执行需求进行，在此不再一一赘述。
34.在本技术实施例中，可以根据当前安全风险等级的变化更新网络平台的安全防控措施配置参数进而对网络平台的安全防控措施进行切换，当网络环境或者应用场景发生变化时，只需更新网络平台与安全风险等级对应的安全防控措施的配置参数即可切换或配置安全防控措施，无需修改程序代码，从而实现根据安全风险等级的变化灵活地切换或配置安全防控措施，便于适应不同场景下的防护措施，从而达到效率更优，方法更简便，适应多种场景下的安全防护措施需求，提升安全防控效果。
35.在一些实施例中，安全风险等级可以由安全等级参考数值进行确定，安全等级参考数值由预先构建的安全等级评级模型根据网络安全漏洞数据和拦截日志数据计算得到。
36.其中，可以通过网络安全漏洞发布平台获取网络安全漏洞数据，可以通过防火墙日志记录获取拦截日志数据。
37.可选地，网络安全漏洞发布平台可以是事件分析平台、中国国家信息安全漏洞共享平台、国家信息安全漏洞库、全球信息安全漏洞指纹库与文件检测服务等等国内外各种
安全漏洞发布平台；防火墙可以是公有云waf。
38.在本实施例中，通过预先构建安全等级评级模型，将网络安全漏洞数据和拦截日志数据输入至该安全等级评级模型得到安全等级参考数值，根据模型得出的参考数值来确定安全风险等级，通过模型安全漏洞数据和拦截日志数据结合来综合得出参考数值，以参考数值为依据判断网络平台的安全风险等级，提高了安全风险等级判断结果的准确性。
39.在一些实施例中，通过预先构建的安全等级评级模型根据网络安全漏洞数据和拦截日志数据计算得到安全等级参考数值，安全等级评级模型可以通过以下公式(1)和(2)计算安全等级参考数值：
[0040][0041][0042]
其中，p为安全等级参考数值，p(a)为安全漏洞发布平台发布的漏洞的等级，且0≤p(a)≤10，p(n)为防火墙当日拦截的疑似攻击的日志量，为防火墙前七日拦截的疑似攻击的日志量的平均值。
[0043]
在一个示例中，p(a)的值可以根据获取的网络安全漏洞的等级来确定具体数值，例如：高危漏洞：7-9、中危漏洞：4-6、低危漏洞：1-3、无漏洞公布：0。具体数值确定规则可以根据用户需求或者实际情况进行设置。
[0044]
在本实施例中，通过安全漏洞数据可以发现当前网络平台的系统是否存在安全问题，而通过防火墙拦截的疑似攻击的日志数据则可以判断当前网络平台是否遭到网络攻击。因此，根据安全漏洞数据和防火墙拦截的疑似攻击的日志数据，通过预设的数据规则可以计算得到安全等级参考数值，为确定网络平台安全风险等级提供判断依据，提高了安全风险等级判断的准确性。
[0045]
在一些实施例中，为了进一步提高安全风险等级判断的准确性，在安全等级评级模型计算得到安全等级参考数值之后，还可以包括：
[0046]
将安全等级参考数值输出至预先创建的专家模型；
[0047]
由专家模型根据安全等级参考数值，确定安全风险等级由第一等级变更至第二等级。
[0048]
具体地，在安全等级评级模型计算得到安全等级参考数值之后，将安全等级参考数值输入至专家模型，专家模型将安全等级参考数值通过显示界面展示，专家或用户以安全等级参考数值为参考，确定最终的安全风险等级；响应于专家或用户在显示界面的安全风险等级确认操作，可以确定安全风险等级由第一等级变更至第二等级。
[0049]
在一个示例中，专家模型根据安全等级参考数值对安全风险等级的判断可以是：在安全等级参考数值p》1的情况下，确定安全风险等级为高级；0.5《p《1的情况下，确定安全风险等级为中级；p《0.5的情况下，确定安全风险等级为低级。
[0050]
需要说明的是，若专家或用户确定获取的网络安全漏洞对于网络平台没有安全风险或者网络平台已经针对该漏洞采取了其它防御措施，即使安全等级参考数值p》1，专家模型也可以确定当前的安全风险等级为低级，即专家模型可以根据实际情况对安全风险等级
进行具体判断。
[0051]
在本实施例中，以安全等级评级模型输出的安全等级参考数值为参考，再通过专家模型进行最后的安全风险等级的确定，将模型分析与人工判断相结合进一步提高了安全风险等级判断的准确性。
[0052]
在一些实施例中，第一网络平台包括至少两个用户接口，第一网络平台的安全防控配置参数包括至少两个用户接口各自对应的配置参数；
[0053]
执行第二参数值对应的安全防控措施，可以包括：
[0054]
在检测到用户针对第一网络平台的第一用户接口的操作请求的情况下，执行第二参数值中的第一配置参数对应的安全防控措施，第一配置参数为第二参数值中与第一用户接口对应的配置参数。
[0055]
其中，第一网络平台包括至少两个用户接口，例如，登录接口、查询接口、上传文档接口等等；不同的用户接口设置的安全防控措施可能并不相同，相应的安全防控配置参数也不相同，因此，网络平台的安全防控配置参数中包括了至少两个用户接口各自对应的配置参数。
[0056]
在本实施例中，用户可以针对每个第一用户接口进行配置参数更新操作，对于不同的用户接口可以分别选择与用户接口对应的配置参数选项，针对需要更新的第一用户接口完成配置参数的选择操作，在检测到用户针对第一用户接口的操作请求的情况下，第一网络平台的安全配置参数由第一参数值更新为第二参数值，因此，可以根据第二参数值中每个第一用户接口各自对应的配置参数执行与配置参数对应的安全防控措施。
[0057]
例如：用户可以通过配置界面对用户接口的配置参数进行选择，假设第一网络平台的用户接口包括：登录接口和文件上传接口，在配置界面显示有登录接口对应的配置参数：参数值1(密码登录)、参数值2(短信验证码登录)；参数值3(人脸识别登录)；文件上传接口对应的配置参数：参数值a(判断文件头标识 判断文件后缀名)、参数值b(判断文件头标识 判断文件后缀名 判断添加短信验证码校验)；假设，网络平台当前安全风险等级为低级，当前安全防控配置参数(即第一参数值)为：登录接口配置参数为1，文件上传接口配置参数为a；当网络平台的安全风险等级由低等级变更为高等级时，用户可以在配置界面进行选择操作，将登录接口的配置参数更新为3、文件上传接口的配置参数更新为b(配置参数3和b即为第二参数值)，配置参数更新后，网络平台的登录接口执行人脸识别登录，文件上传接口执行：判断文件头标识 判断文件后缀名 判断添加短信验证码校验的安全防控措施。
[0058]
在本技术实施例中，可以根据安全风险等级的变更针对网络平台的多个用户接口对应的配置参数进行差异化调整，即对于不同的用户接口，可以根据安全风险等级的变化调整全部或部分用户接口的配置参数，进而实现对于不同的用户接口根据需求切换不同的安全防控措施。
[0059]
在一些实施例中，本技术提供的安全防控方法还可以包括：在网络安全重点保障时期或者护网行动期间，根据预先创建的专家模型确定安全风险等级由第一等级变更至第二等级。即在网络安全重点保障时期或者护网行动期间可以直接通过专家模型确定当前安全风险等级。
[0060]
本技术实施例提供的安全防控方法，预先构建安全等级评级模型，利用获取的各网络安全平台的网络安全漏洞数据和防火墙拦截日志数据，可以实时获得当前网络平台的
安全等级参数值，再结合专家模型可以准确的判断出当前网络平台的安全风险等级；在安全风险等级发生改变时，通过将网络平台的安全防控配置参数根据安全风险等级进行相应更新，网络平台根据更新后的配置参数执行对应的安全防控措施，由此，无需修改代码即可实现安全防控措施的切换。当网络环境或者应用场景发生变化时，只需更新网络平台与安全风险等级对应的安全防控措施的配置参数即可切换或配置安全防控措施，无需修改程序代码，从而实现根据安全风险等级的变化灵活地切换或配置安全防控措施，便于适应不同场景下的防护措施，从而达到效率更优，方法更简便，适应多种场景下的安全防护措施需求，提升安全防控效果。
[0061]
如图2所示，本技术实施例还提供了一种安全防控装置200，包括更新模块201和执行模块202。
[0062]
更新模块201用于：在确定安全风险等级由第一等级变更至第二等级的情况下，将安全防控配置参数由第一等级对应的第一参数值变更为第二等级对应的第二参数值。
[0063]
执行模块202用于：执行第二参数值对应的安全防控措施。
[0064]
在一些实施例中，为了提高安全风险等级判断结果的准确性，上述安全防控装置200还可以包括：
[0065]
计算模块，用于由预先构建的安全等级评级模型根据网络安全漏洞数据和拦截日志数据计算得到安全等级参考数值；
[0066]
确定模块，用于根据安全等级参考数值确定安全风险等级。
[0067]
在一些实施例中，上述计算模块具体用于：
[0068]
通过以下公式(1)和(2)计算安全等级参考数值：
[0069][0070][0071]
其中，p为安全等级参考数值，p(a)为安全漏洞发布平台发布的漏洞的等级，且0≤p(a)≤10，p(n)为防火墙当日拦截的疑似攻击的日志量，为防火墙前七日拦截的疑似攻击的日志量的平均值。
[0072]
在一些实施例中，上述确定模块具体用于：
[0073]
在安全等级评级模型计算得到安全等级参考数值之后，将安全等级参考数值输出至预先创建的专家模型；
[0074]
由专家模型根据安全等级参考数值，确定所安全风险等级由第一等级变更至第二等级。
[0075]
在一些实施例中，第一网络平台包括至少两个用户接口，第一网络平台的安全防控配置参数包括至少两个用户接口各自对应的配置参数；
[0076]
上述执行模块202具体用于：
[0077]
在检测到用户针对第一网络平台的第一用户接口的操作请求的情况下，执行第二参数值中的第一配置参数对应的安全防控措施，第一配置参数为第二参数值中与第一用户接口对应的配置参数。
[0078]
本技术实施例提供的安全防控装置，预先构建安全等级评级模型，利用获取的各网络安全平台的网络安全漏洞数据和防火墙拦截日志数据，可以实时获得当前网络平台的安全等级参数值，再结合专家模型可以准确的判断出当前网络平台的安全风险等级；在安全风险等级发生改变时，通过将网络平台的安全防控配置参数根据安全风险等级进行相应更新，网络平台根据更新后的配置参数执行对应的安全防控措施，由此，无需修改代码即可实现安全防控措施的切换。当网络环境或者应用场景发生变化时，只需更新网络平台与安全风险等级对应的安全防控措施的配置参数即可切换或配置安全防控措施，无需修改程序代码，从而实现根据安全风险等级的变化灵活地切换或配置安全防控措施，便于适应不同场景下的防护措施，从而达到效率更优，方法更简便，适应多种场景下的安全防护措施需求，提升安全防控效果。。
[0079]
图3示出了本技术实施例提供的电子设备的硬件结构示意图。
[0080]
在电子设备可以包括处理器301以及存储有计算机程序指令的存储器302。
[0081]
具体地，上述处理器301可以包括中央处理器(cpu)，或者特定集成电路(application specific integrated circuit，asic)，或者可以被配置成实施本技术实施例的一个或多个集成电路。
[0082]
存储器302可以包括用于数据或指令的大容量存储器。举例来说而非限制，存储器302可包括硬盘驱动器(hard disk drive，hdd)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(universal serial bus，usb)驱动器或者两个或更多个以上这些的组合。在合适的情况下，存储器302可包括可移除或不可移除(或固定)的介质。在合适的情况下，存储器302可在综合网关容灾设备的内部或外部。在特定实施例中，存储器302是非易失性固态存储器。
[0083]
存储器可包括只读存储器(rom)，随机存取存储器(ram)，磁盘存储介质设备，光存储介质设备，闪存设备，电气、光学或其他物理/有形的存储器存储设备。因此，通常，存储器包括一个或多个编码有包括计算机可执行指令的软件的有形(非暂态)计算机可读存储介质(例如，存储器设备)，并且当该软件被执行(例如，由一个或多个处理器)时，其可操作来执行参考根据本公开的一方面的方法所描述的操作。
[0084]
处理器301通过读取并执行存储器302中存储的计算机程序指令，以实现上述实施例中的任意一种安全防控方法。
[0085]
在一个示例中，电子设备还可包括通信接口303和总线304。其中，如图3所示，处理器301、存储器302、通信接口303通过总线304连接并完成相互间的通信。
[0086]
通信接口303，主要用于实现本技术实施例中各模块、装置、单元和/或设备之间的通信。
[0087]
总线304包括硬件、软件或两者，将在线数据流量计费设备的部件彼此耦接在一起。举例来说而非限制，总线可包括加速图形端口(agp)或其他图形总线、增强工业标准架构(eisa)总线、前端总线(fsb)、超传输(ht)互连、工业标准架构(isa)总线、无限带宽互连、低引脚数(lpc)总线、存储器总线、微信道架构(mca)总线、外围组件互连(pci)总线、pci-express(pci-x)总线、串行高级技术附件(sata)总线、视频电子标准协会局部(vlb)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下，总线304可包括一个或多个总线。尽管本技术实施例描述和示出了特定的总线，但本技术考虑任何合适的总线
或互连。
[0088]
另外，结合上述实施例中的安全防控方法，本技术实施例可提供一种计算机存储介质来实现。该计算机存储介质上存储有计算机程序指令；该计算机程序指令被处理器执行时实现上述实施例中的任意一种安全防控方法。
[0089]
需要明确的是，本技术并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见，这里省略了对已知方法的详细描述。在上述实施例中，描述和示出了若干具体的步骤作为示例。但是，本技术的方法过程并不限于所描述和示出的具体步骤，本领域的技术人员可以在领会本技术的精神后，作出各种改变、修改和添加，或者改变步骤之间的顺序。
[0090]
以上的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时，其可以例如是电子电路、专用集成电路(asic)、适当的固件、插件、功能卡等等。当以软件方式实现时，本技术的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中，或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、rom、闪存、可擦除rom(erom)、软盘、cd-rom、光盘、硬盘、光纤介质、射频(rf)链路，等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
[0091]
还需要说明的是，本技术中提及的示例性实施例，基于一系列的步骤或者装置描述一些方法或系统。但是，本技术不局限于上述步骤的顺序，也就是说，可以按照实施例中提及的顺序执行步骤，也可以不同于实施例中的顺序，或者若干步骤同时执行。
[0092]
上面参考根据本公开的实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本公开的各方面。应当理解，流程图和/或框图中的每个方框以及流程图和/或框图中各方框的组合可以由计算机程序指令实现。这些计算机程序指令可被提供给通用计算机、专用计算机、或其它可编程安全防控装置的处理器，以产生一种机器，使得经由计算机或其它可编程安全防控装置的处理器执行的这些指令使能对流程图和/或框图的一个或多个方框中指定的功能/动作的实现。这种处理器可以是但不限于是通用处理器、专用处理器、特殊应用处理器或者现场可编程逻辑电路。还可理解，框图和/或流程图中的每个方框以及框图和/或流程图中的方框的组合，也可以由执行指定的功能或动作的专用硬件来实现，或可由专用硬件和计算机指令的组合来实现。
[0093]
以上，仅为本技术的具体实施方式，所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的系统、模块和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。应理解，本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本技术的保护范围之内。