风险管理方法和风险管理装置与流程

1.本技术涉及网络安全领域，尤其涉及一种风险管理方法和风险管理装置。


背景技术：

2.新一代信息技术与实体经济深度融合，工业互联网蓬勃发展已成为推进制造强国和网络强国的重要基础，但其开放、跨域和互联的特点使得工业互联网信息安全工作的重要性和紧迫性更加凸显。因此，做好工业互联网安全监管工作，加强工业互联网安全公共服务能力，推动工业互联网安全科技创新与产业发展，是加强国家工业互联网安全保障的重要工作。
3.因此，目前亟需提供一种风险管理方法，对网络系统中的设备进行统一的风险管理，以提高网络系统的安全性。


技术实现要素：

4.本技术提供一种风险管理方法和风险管理测装置，能够对设备进行统一的风险管理，从而提高网络系统的安全性。
5.第一方面，提供了一种风险管理方法，包括：获取多个待监控设备的设备名称和互联网协议ip地址；基于预设监控规则，对该多个待监控设备进行监控，获取监控数据，其中，上述预设监控规则包括对不同的设备类型的待监控设备采集不同的监控数据；基于上述监控数据，对该多个待监控设备进行风险分析，获得多个风险分析结果，该多个风险分析结果用于表示上述多个待监控设备中每个待监控设备的风险等级，上述风险等级包括危急、高危、中危和低危；从上述多个风险分析结果中选择满足预设上报规则的风险分析结果并上报。
6.在本技术中，风险管理设备可以通过监控待监控设备，获得监控数据，基于该监控数据对对应的待监控设备进行风险分析，获得并展示多个风险分析结果，该多个风险分析结果用于表示上述多个待监控设备中每个待监控设备的风险等级，即本技术能够对设备进行统一的风险管理，从而提高网络系统的安全性。
7.结合第一方面，在第一方面的某些实现方式中，上述预设上报规则包括：预设ip地址、预设时间段、预设风险等级、或者预设数据源。
8.结合第一方面，在第一方面的某些实现方式中，上述监控数据包括下列至少一个：cpu使用率、内存占用率、磁盘使用率、系统盘使用率、连接数、流量、接口状态、或者设备在线状态。
9.结合第一方面，在第一方面的某些实现方式中，上述设备类型包括下列至少一个：网络设备、安全设备、主机设备、或者服务器。
10.第二方面，提供了一种风险管理装置，包括获取模块和处理模块，其中获取模块用于：获取多个待监控设备的设备名称和互联网协议ip地址；处理模块用于：基于预设监控规则，对该多个待监控设备进行监控，获取监控数据，其中，上述预设监控规则包括对不同的
设备类型的待监控设备采集不同的监控数据；基于上述监控数据，对该多个待监控设备进行风险分析，获得多个风险分析结果，该多个风险分析结果用于表示上述多个待监控设备中每个待监控设备的风险等级，上述风险等级包括危急、高危、中危和低危；从上述多个风险分析结果中选择满足预设上报规则的风险分析结果并上报。
11.结合第二方面，在第二方面的某些实现方式中，上述预设上报规则包括：预设ip地址、预设时间段、预设风险等级、或者预设数据源。
12.结合第二方面，在第二方面的某些实现方式中，上述监控数据包括下列至少一个：cpu使用率、内存占用率、磁盘使用率、系统盘使用率、连接数、流量、接口状态、或者设备在线状态。
13.结合第二方面，在第二方面的某些实现方式中，上述设备类型包括下列至少一个：网络设备、安全设备、主机设备、或者服务器。
14.第三方面，提供了一种处理器，包括：输入电路、输出电路和处理电路。处理电路用于通过输入电路接收信号，并通过输出电路发射信号，使得处理器执行上述第一方面中任一种可能实现方式中的方法。
15.在具体实现过程中，上述处理器可以为芯片，输入电路可以为输入管脚，输出电路可以为输出管脚，处理电路可以为晶体管、门电路、触发器和各种逻辑电路等。输入电路所接收的输入的信号可以是由例如但不限于接收器接收并输入的，输出电路所输出的信号可以是例如但不限于输出给发射器并由发射器发射的，且输入电路和输出电路可以是同一电路，该电路在不同的时刻分别用作输入电路和输出电路。本技术实施例对处理器及各种电路的具体实现方式不做限定。
16.第四方面，提供了一种处理装置，包括处理器和存储器。该处理器用于读取存储器中存储的指令，并可通过接收器接收信号，通过发射器发射信号，以执行上述第一方面中任一种可能实现方式中的方法。
17.可选地，处理器为一个或多个，存储器为一个或多个。
18.可选地，存储器可以与处理器集成在一起，或者存储器与处理器分离设置。
19.在具体实现过程中，存储器可以为非瞬时性(non-transitory)存储器，例如只读存储器(read only memory，rom)，其可以与处理器集成在同一块芯片上，也可以分别设置在不同的芯片上，本技术实施例对存储器的类型以及存储器与处理器的设置方式不做限定。
20.上述第四方面中的处理装置可以是一个芯片，该处理器可以通过硬件来实现也可以通过软件来实现，当通过硬件实现时，该处理器可以是逻辑电路、集成电路等；当通过软件来实现时，该处理器可以是一个通用处理器，通过读取存储器中存储的软件代码来实现，该存储器可以集成在处理器中，可以位于该处理器之外，独立存在。
21.第五方面，提供了一种计算机程序产品，计算机程序产品包括：计算机程序(也可以称为代码，或指令)，当计算机程序被运行时，使得计算机执行上述第一方面中任一种可能实现方式中的方法。
22.第六方面，提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序(也可以称为代码，或指令)当其在计算机上运行时，使得计算机执行上述第一方面中任一种可能实现方式中的方法。
附图说明
23.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
24.图1是本技术实施例提供的应用场景的示意图；
25.图2是本技术实施例提供的风险管理方法的示意性流程图；
26.图3是本技术实施例提供的风险管理设备的显示界面的示意图；
27.图4是本技术实施例提供的风险管理设备的显示界面的示意图；
28.图5是本技术实施例提供的风险管理设备的显示界面的示意图；
29.图6是本技术实施例提供的风险管理设备的显示界面的示意图；
30.图7是本技术实施例提供的风险管理设备的显示界面的示意图；
31.图8是本技术实施例提供的风险管理装置的示意图；
32.图9是本技术实施例提供的又一风险管理装置的示意图。
具体实施方式
33.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在根据本实施例的启示下做出的所有其他实施例，都属于本技术保护的范围。
34.新一代信息技术与实体经济深度融合，工业互联网蓬勃发展已成为推进制造强国和网络强国的重要基础，但其开放、跨域和互联的特点使得工业互联网信息安全工作的重要性和紧迫性更加凸显。因此，做好工业互联网安全工作，加强工业互联网安全公共服务能力，推动工业互联网安全科技创新与产业发展，是加强国家工业互联网安全保障的重要工作。
35.因此，目前亟需提供一种风险管理方法，对网络系统中的设备进行统一的风险管理，以提高网络系统的安全性。
36.有鉴于此，本技术提供了一种风险管理方法和风险管理装置，通过监控待监控设备，获得监控数据，基于该监控数据对对应的待监控设备进行风险分析，获得并展示多个风险分析结果，该多个风险分析结果用于表示上述多个待监控设备中每个待监控设备的风险等级，以便更清晰的体现当前网络设备的安全态势，即本技术能够对设备进行统一的风险管理，从而提高网络系统的安全性。
37.在介绍本技术实施例提供的风险管理方法及风险管理装置之前，先做出以下几点说明。
38.第一，在下文示出的实施例中，各术语及英文缩略语均为方便描述而给出的示例性举例，不应对本技术构成任何限定。本技术并不排除在已有或未来的协议中定义其它能够实现相同或相似功能的术语的可能。
39.第二，在下文示出的实施例中第一、第二以及各种数字编号仅为描述方便进行的区分，并不用来限制本技术实施例的范围。
40.第三，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b的情况，其中a，b可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a、b和c中的至少一项(个)，可以表示：a，或b，或c，或a和b，或a和c，或b和c，或a、b和c，其中a，b，c可以是单个，也可以是多个。
41.为了使本技术的目的、技术方案更加清楚直观，下面将结合附图及实施例，对本技术提供的风险管理方法和风险管理装置进行详细说明。应理解，此处所描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
42.图1是本技术提供的应用场景100的示意图，如图1所示，该应用场景100包括风险管理设备101、待监控设备102和待监控设备103。其中，风险管理设备101部署有风险管理系统，可以监控上述待监控设备102和待监控设备103，获得该待监控设备102和待监控设备103对应的监控数据。
43.应理解，除上述示出的待监控设备102和待监控设备103之外，上述应用场景100中还可以包括其他多个不同的待监控设备，本技术实施例对此不作限定。
44.图2是本技术实施例提供的风险管理方法200的示意性流程图。该方法200可以应用于上述应用场景100中或者也可以适用于其他应用场景中，本技术对此不做限定。如图2所示，该方法200可以包括下列步骤：
45.s201、风险管理设备获取多个待监控设备的设备名称和互联网协议(internet protocol，ip)地址。
46.应理解，上述待监控设备可以包括网络设备、安全设备、主机设备以及服务器等，本技术对此不做限定。
47.上述多个待监控设备可以是网络系统中的所有设备，也可以是根据预设规则选择的网络系统中的部分设备，还可以是工作人员人工设置的设备，本技术实施例对此不作限定。下面结合图3，对工作人员人工设置的方式进行介绍。
48.图3示出了风险管理设备的一个显示界面300。工作人员在显示界面300中输入待监控设备的设备名称“a”和待监控设备的ip地址“1095.xx1xx”，表示监控ip地址为“1095.xx1xx”的设备a。风险管理设备检测到工作人员的输入操作，从而根据输入框中的信息，获得设备a的设备名称和互联网协议ip地址。
49.s202、风险管理设备基于预设监控规则，对该多个待监控设备进行监控，获取监控数据，其中，上述预设监控规则包括对不同的设备类型的待监控设备采集不同的监控数据。
50.应理解，设备类型包括下列至少一个：网络设备、安全设备、主机设备、或者服务器。
51.在一种可能的情况下，上述多个待监控设备为相同类型的设备，风险管理设备对该多个类型相同的待监控设备进行监控，获得相同类别的监控数据。
52.以上述多个待监控设备的设备类型为网络设备、且上述多个待监控设备具体为网络设备a、网络设备b和网络设备c为例，图4示出了风险管理设备的另一显示界面400。如图4所示，显示界面400示出了网络设备a、网络设备b和网络设备c分别对应的监控数据。这些监控数据包括每个网络设备对应的中央处理器(central processing unit，cpu)使用率、内
存占用率、磁盘使用率、连接数、系统盘使用率、以及流量。
53.在另一种可能的实现方式中，上述多个待监控设备包括不同类型的设备，风险管理设备可以对该多个不同类型的待监控设备进行监控，获得不同类别的监控数据。
54.以上述多个待监控设备的设备类型包括网络设备和安全设备、且上述多个待监控设备具体为网络设备a、网络设备b和安全设备d为例，图5示出风险管理设备的又一显示界面500。如图5所示，显示界面500示出了网络设备a、网络设备b和安全设备d分别对应的监控数据。不同的设备类型下监控数据的类别不同。网络设备a、网络设备b的监控数据包括cpu使用率、内存占用率、磁盘使用率、连接数以及流量，安全设备d的监控数据包括cpu使用率、内存占用率、磁盘使用率、连接数、系统盘使用率、流量、接口状态以及设备在线状态。
55.应理解，风险管理设备可以周期性地获取上述监控数据，也可以根据工作人员的需求灵活获取上述监控数据，本技术对此不做限定。
56.图6示出了风险管理设备的又一显示界面600，在显示界面600中，工作人员可以输入待监控设备的设备名称“a”和待监控设备的ip地址“1095.xx1xx”，以及监控周期5，表示每5秒获取一次ip为“1095.xx1xx”的设备a的监控数据。风险管理设备检测到工作人员的输入操作，从而根据输入框中的信息，按照5秒的周期获取ip地址为“1095.xx1xx”的设备a的监控数据。
57.应理解，上述监控数据，如cpu使用率、内存占用率、磁盘使用率、连接数、系统盘使用率、流量、接口状态以及设备在线状态可以是提前预设的，也可以是根据用户需求设置，本技术对此不做限定。
58.图7示出了风险管理设备的又一显示界面700，在显示界面700中，工作人员除了可以输入待监控设备的设备名称“a”和待监控设备的ip地址“1095.xx1xx”，以及监控周期5之外，还可以对监控数据的类别进行设置，即工作人员可以输入cpu使用率、内存占用率、磁盘使用率、系统盘使用率、连接数和流量，表示在监控过程中以5秒的周期获取上述ip为“1095.xx1xx”的设备a的cpu使用率、内存占用率、磁盘使用率、系统盘使用率、连接数和流量监控数据，风险管理设备检测到工作人员的输入操作，从而根据输入框中的信息，按照5秒的周期获取ip地址为“1095.xx1xx”的设备a的监控数据，即cpu使用率、内存占用率、磁盘使用率、系统盘使用率、连接数和流量。
59.可选地，风险管理设备在获取到上述监控数据之后，可以对上述监控数据进行清洗、分类、存储、归并以及标记等，以便后续进行风险分析。
60.s203、风险管理设备基于上述监控数据，对该多个待监控设备进行风险分析，获得多个风险分析结果，该多个风险分析结果用于表示上述多个待监控设备中每个待监控设备的风险等级，上述风险等级包括危急、高危、中危和低危。
61.具体而言，风险管理设备可以基于上述监控到的cpu使用率、内存占用率、磁盘使用率、系统盘使用率、连接数、流量、接口状态、或者设备在线状态等数据，分别对多个待监控设备中的每个待监控设备进行风险分析，获得每个待监控设备风险等级。
62.可选地，风险管理设备可以将上述风险分析结果以图表或者列表的形式进行展示，本技术对此不做限定。
63.s204、风险管理设备从上述多个风险分析结果中选择满足预设上报规则的风险分析结果并上报。
64.应理解，上述预设上报规则包括：预设ip地址、预设时间段、预设风险等级、或者预设数据源。
65.以预设风险等级为中危和高危为例，在上述图4的示例中，假设网络设备a的风险等级为中危、网络设备b的风险等级为低位、网络设备c的风险等级为高危，风险管理设备可以上报网络设备a的风险等级和网络设备c的风险。示例性地，风险管理设备可以分别上报网络设备a和网络设备c的设备名称、ip地址以及危险等级等信息。
66.可选地，风险管理设备还可以基于上述满足预设上报规则的风险分析结果采取对应的措施进行干预，降低安全风险。
67.在本技术实施例中，风险管理设备可以通过监控待监控设备，获得监控数据，基于该监控数据对对应的待监控设备进行风险分析，获得并展示多个风险分析结果，该多个风险分析结果用于表示上述多个待监控设备中每个待监控设备的风险等级，即本技术能够对设备进行统一的风险管理，从而提高网络系统的安全性。
68.可选地，风险管理设备还可以对上述待监控设备进行监控过程中产生的日志数据进行存储，以便后续检索使用。
69.应理解，面对不同角色用户，风险管理设备可以提供不同的检索方式，本技术对此不做限定。
70.示例性地，非安全风险分析人员可以使用交互式快捷搜索方式，如通过选择、拖拽操作即可完成日志数据的检索。安全风险分析人员则可以使用高级搜索方式，如提供结构化查询语句(structured query language,sql)的数据分析和数据挖掘功能，可以有效的帮助安全风险分析人员追根溯源，绘制完整的监控事件画像。
71.应理解，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本技术实施例的实施过程构成任何限定。
72.为了实现上述本技术实施例提供的方法中的各功能，风险管理设备可以包括硬件结构和/或软件模块，以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能以硬件结构、软件模块、还是硬件结构加软件模块的方式来执行，取决于技术方案的特定应用和设计约束条件。
73.上文中结合图1至图7，详细描述了本技术实施例提供的风险管理方法，下面将结合附图8和图9，详细描述本技术实施例提供的风险管理装置。
74.图8示出了本技术实施例提供的风险管理装置800，包括：获取模块801和处理模块802。
75.其中，获取模块801用于：获取多个待监控设备的设备名称和互联网协议ip地址；处理模块802用于：基于预设监控规则，对该多个待监控设备进行监控，获取监控数据，其中，上述预设监控规则包括对不同的设备类型的待监控设备采集不同的监控数据；基于上述监控数据，对该多个待监控设备进行风险分析，获得多个风险分析结果，该多个风险分析结果用于表示上述多个待监控设备中每个待监控设备的风险等级，上述风险等级包括危急、高危、中危和低危；从上述多个风险分析结果中选择满足预设上报规则的风险分析结果并上报。
76.可选地，上述预设上报规则包括：预设ip地址、预设时间段、预设风险等级、或者预设数据源。
unit，cpu)，该处理器还可以是其他通用处理器、数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
88.在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本技术实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器执行存储器中的指令，结合其硬件完成上述方法的步骤。为避免重复，这里不再详细描述。
89.本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
90.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
91.在本技术所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
92.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
93.另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。
94.所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
95.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以所述权利要求的保护范围为准。