一种漏洞处置修复优先级的统计方法转让专利
申请号 : CN202110320932.4
文献号 : CN113139191B
文献日 : 2022-07-26
发明人 : 郑翔 , 徐红泉 , 杜奇伟 , 周慧忠 , 毛以军 , 王海园 , 方超 , 侯雅林 , 汪红利 , 周利庆 , 张锋明 , 卢巍 , 田晨
申请人 : 国网浙江省电力有限公司衢州供电公司
摘要 :
本发明提出一种漏洞处置修复优先级的统计方法,包括以下步骤:S1,获取资产价值L及漏洞脆弱性值V;S2,利用以下公式,将资产价值L及漏洞脆弱性值V代入计算出漏洞风险值S,S=F(f(L),g(V));其中:f(L)为资产价值计算函数,g(V)为漏洞脆弱性值计算函数,F(f(L),g(V))为关系函数。本发明结合多个维度的参数,实现从定性到定量的转变。
权利要求 :
1.一种漏洞处置修复优先级的统计方法,其特征是,包括以下步骤:S1,获取资产价值L及漏洞脆弱性值V;
S2,利用以下公式,将资产价值L及漏洞脆弱性值V代入计算出漏洞风险值S,S=F(f(L),g(V));
其中:f(L)为资产价值计算函数,g(V)为漏洞脆弱性值计算函数,F(f(L),g(V))为关系函数;
所述资产价值计算函数f(L)的计算过程如下:f(L)=lna·L,a∈[e,ne],L∈{1,2,3,4,5},n为大于1的自然数);
其中:a为资产暴露风险系数,用以衡量资产对互联网暴露;
所述漏洞脆弱性值计算函数g(V)的计算过程如下:p+q
g(V)=e ·V,p∈[0,1],q∈[0,1];
其中:p为漏洞poc系数,用以衡量漏洞被利用的难度;q为漏洞防护系数,用以衡量漏洞防护的难度;
考虑为了最终归一化分级时的统一,f(L)需要将值域同步为[0.0,10.0],因此做线性映射,得到:考虑资产价值计算函数f(L)和漏洞脆弱性值计算函数g(V)对漏洞风险值S的影响,所述F(f(L),g(V))具体为以下公式:最终得到漏洞风险值S的计算式为:
2.根据权利要求1所述的一种漏洞处置修复优先级的统计方法,其特征是,所述S1中资产价值L的获取过程如下:建立资产价值等级划分表,所述资产价值等级划分表包括等级、等级对应的标识及标识对应的标准对应描述,所述等级取值为1,2,3,4,5;企业用户根据资产价值等级划分表为资产价值赋值,由企业用户选取等级的取值作为资产价值L。
3.根据权利要求1所述的一种漏洞处置修复优先级的统计方法,其特征是,所述S1中漏洞脆弱性值V由迪普专有的漏洞检测设备扫描得到,评分标准采用通用漏洞评分系统CVSS。
说明书 :
一种漏洞处置修复优先级的统计方法
技术领域
[0001] 本发明涉及漏洞处置技术领域,尤其是一种漏洞处置修复优先级的统计方法。
背景技术
[0002] 随着用户对网络安全越来越重视,对资产管理与监控的需求也日趋强烈。资产脆弱性作为衡量资产安全性的一个指标,对其的重视程度也随之提升。其中,漏洞作为资产脆弱性衡量的主要因素之一,修复漏洞成为了安全防护建设中极为关键的一环。
[0003] 在漏洞管理上,可能对于某些安全运维能力有限的用户,在系统上线后若发现存在大量的漏洞,就会导致用户对大量漏洞的管理比较困难、效率也比较低。一般的系统或标准中,根据漏洞自身的风险级别对漏洞进行定义,但随着用户对资产管理的要求的提升,在实际对漏洞的处理时,仅仅依据漏洞自身的风险级别是完全不够的,不能满足不同用户的实际需求。
[0004] 根据国标GB/T 20984‑2007,其中中定义的信息安全风险评估规范中只给出了风险评估计算的原理和基础模型,但并没有给出从定性到定量的方法论。
[0005] 方法一:已有的一种风险矩阵评估法介绍如下:
[0006] 1.定义S为漏洞风险值,L为资产价值,V为漏洞脆弱性值(采用CVSS分值),F为关系函数。L的定义域为{1,2,3,4,5},V的定义域为[0.0,10.0];
[0007] 2.用风险矩阵资产风险值对应表,若有小数点则精确到小数点后一位,对照风险级别定级时,最终结果若为临界值则依照四舍五入原则划分。
[0008] 方法二:另一种加权计算法介绍如下:
[0009] 1.定义L为资产价值,V为漏洞脆弱性值(采用CVSS分值),为其分配定义域:
[0010] L∈[L1,L2],V∈[V1,V2],
[0011] 定义S为漏洞风险值,F为关系函数。则有:
[0012] S=F(L,V);(其中,不妨假设S的值域为[0,s])
[0013] 2.为L和V分别分配权重系数M和N,则需满足:
[0014]
[0015] 根据国标GB/T 20984‑2007,L的定义集合为{1,2,3,4,5},V的定义域为[0.0,10.0]。例如实际实践中,可取s为100,用户自定义分配权重为0.4和0.6,则漏洞风险值S为:
[0016] S=10×(L‑1)+6×V
[0017] 值域为[0,100],可分层进行优先级划分。
[0018] 无论是方法一还是方法二,都存在如下不足:优先级分值的量化,修复优先级的归一化级别划属,两者无法很好的同时兼顾。数学模型过于简单,无法根据用户自定义引入多样化的参数、结合多种维度进行量化计算,因此难以满足用户不断增长的需求。为此本发明提供对漏洞整改处置中单一漏洞处置优先级计算的一种统计方法。
发明内容
[0019] 本发明解决了现有技术优先级分值的量化以及修复优先级的归一化级别划属无法很好的同时兼顾的问题,提出一种漏洞处置修复优先级的统计方法,结合多个维度的参数,实现从定性到定量的转变。
[0020] 为实现上述目的,提出以下技术方案:
[0021] 一种漏洞处置修复优先级的统计方法,包括以下步骤:
[0022] S1,获取资产价值L及漏洞脆弱性值V;
[0023] S2,利用以下公式,将资产价值L及漏洞脆弱性值V代入计算出漏洞风险值S,[0024] S=F(f(L),g(V));
[0025] 其中:f(L)为资产价值计算函数,g(V)为漏洞脆弱性值计算函数,[0026] F(f(L),g(V))为关系函数。
[0027] 本发明提供的一种单个漏洞管理中的业务处理优先级计算方法,结合客户在资产与漏洞的实际运维中关注的核心要素进行计算,实现从定性到定量的转变;本发明的漏洞风险值S越高,代表其风险越高,对用户的决策具有一定的指导作用。用户在面对繁多的漏洞时,根据本发明所提供的统计方法计算得到的漏洞修复优先级/评分,进行业务上的优先级分级处理,以解决漏洞管理中依赖现有技术管理效率较低、处置流程繁琐无序、不能结合实际业务进行处理的问题,提高对系统安全防护的效率。
[0028] 作为优选,考虑资产价值计算函数f(L)和漏洞脆弱性值计算函数g(V)对漏洞风险值S的影响,所述F(f(L),g(V))具体为以下公式:
[0029]
[0030] 作为优选,所述S1中资产价值L的获取过程如下:
[0031] 建立资产价值等级划分表,所述资产价值等级划分表包括等级、等级对应的标识及标识对应的标准对应描述,所述等级取值为1,2,3,4,5;企业用户根据资产价值等级划分表为资产价值赋值,由企业用户选取等级的取值作为资产价值L。
[0032] 根据国标GB/T 20984‑2007,企业在为资产价值赋值时,可依据资产的保密性、完整性和可用性,经过综合评定得出资产价值。最终赋值将资产划分为五级,级别越高表示资产越重要,也可以根据组织的实际情况确定资产识别中的赋值依据和等级。资产价值的取值与其对应含义描述采用国标GB/T 20984‑2007建议,资产价值的赋值由用户自定义得到,故L的定义集合为{1,2,3,4,5}。
[0033] 作为优选,所述S1中漏洞脆弱性值V由迪普专有的漏洞检测设备扫描得到,评分标准采用通用漏洞评分系统CVSS。
[0034] 漏洞脆弱性值V,由迪普专有的漏洞检测设备扫描得到,评分标准采用CVSS,全称Common Vulnerability Scoring System,即“通用漏洞评分系统”,是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度”。根据CVSS3.0标准,V的定义域取[0.0,10.0]。
[0035] 作为优选,所述资产价值计算函数f(L)的计算过程如下:
[0036] f(L)=ln a·L,a∈[e,ne],L∈{1,2,3,4,5},n为大于1的自然数);
[0037] 其中:a为资产暴露风险系数,用以衡量资产对互联网暴露。
[0038] 引入资产暴露风险系数,以修正资产是否对互联网暴露时对结果f(L)的偏差校正。
[0039] 作为优选,所述漏洞脆弱性值计算函数g(V)的计算过程如下:
[0040] g(V)=ep+q·V,p∈[0,1],q∈[0,1];
[0041] 其中:p为漏洞poc系数,用以衡量漏洞被利用的难度;q为漏洞防护系数,用以衡量漏洞防护的难度。
[0042] 本发明引入漏洞防护系数和漏洞poc系数,用以修正g(V),使得漏洞脆弱性值计算函数g(V)计算出的结果更加准确,有利于提高后续计算结果的精度。
[0043] 作为优选,考虑为了最终归一化分级时的统一,f(L)需要将值域同步为[0.0,10.0],因此做线性映射,得到:
[0044]
[0045] 最终得到漏洞风险值S的计算式为:
[0046]
[0047] 本发明的有益效果是:结合客户在资产与漏洞的实际运维中关注的核心要素进行计算,实现从定性到定量的转变;本发明的漏洞风险值S越高,代表其风险越高,对用户的决策具有一定的指导作用。用户在面对繁多的漏洞时,根据本发明所提供的统计方法计算得到的漏洞修复优先级/评分,进行业务上的优先级分级处理,以解决漏洞管理中依赖现有技术管理效率较低、处置流程繁琐无序、不能结合实际业务进行处理的问题,提高对系统安全防护的效率。
附图说明
[0048] 图1是实施例的流程图。
具体实施方式
[0049] 实施例:
[0050] 本实施例提出一种漏洞处置修复优先级的统计方法,参考图1,包括以下步骤:
[0051] S1,获取资产价值L及漏洞脆弱性值V;
[0052] 其中资产价值L的获取过程如下:
[0053] 建立资产价值等级划分表,资产价值等级划分表包括等级、等级对应的标识及标识对应的标准对应描述,等级取值为1,2,3,4,5;企业用户根据资产价值等级划分表为资产价值赋值,由企业用户选取等级的取值作为资产价值L。
[0054] 根据国标GB/T 20984‑2007,企业在为资产价值赋值时,可依据资产的保密性、完整性和可用性,经过综合评定得出资产价值。最终赋值将资产划分为五级,级别越高表示资产越重要,也可以根据组织的实际情况确定资产识别中的赋值依据和等级。资产价值的取值与其对应含义描述采用国标GB/T 20984‑2007建议,资产价值的赋值由用户自定义得到,故L的定义集合为{1,2,3,4,5},参考表一
[0055] 表一 资产价值等级划分表
[0056]
[0057]
[0058] 在本发明对应的实际应用场景中,资产价值的取值与其对应含义描述采用国标GB/T 20984‑2007建议,资产价值的赋值由用户自定义得到,故L的定义集合为{1,2,3,4,5}。
[0059] 漏洞脆弱性值V由迪普专有的漏洞检测设备扫描得到,评分标准采用通用漏洞评分系统CVSS。
[0060] 评分标准采用CVSS,全称Common Vulnerability Scoring System,即“通用漏洞评分系统”,是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度”。根据CVSS3.0标准,V的定义域取[0.0,10.0]。
[0061] 其等级划分及其对应含义描述如表二所示:
[0062] 表二 漏洞威胁等级划分表
[0063]
[0064] S2,利用以下公式,将资产价值L及漏洞脆弱性值V代入计算出漏洞风险值S,[0065] S=F(f(L),g(V));
[0066] 其中:f(L)为资产价值计算函数,g(V)为漏洞脆弱性值计算函数,[0067] F(f(L),g(V))为关系函数。
[0068] 考虑资产价值计算函数f(L)和漏洞脆弱性值计算函数g(V)对漏洞风险值S的影响,F(f(L),g(V))具体为以下公式:
[0069]
[0070] 资产价值计算函数f(L)的计算过程如下:
[0071] f(L)=lna·L,a∈[e,ne],L∈{1,2,3,4,5},n为大于1的自然数);
[0072] 其中:a为资产暴露风险系数,用以衡量资产对互联网暴露。
[0073] 引入资产暴露风险系数,以修正资产是否对互联网暴露时对结果f(L)的偏差校正。
[0074] 考虑为了最终归一化分级时的统一,f(L)需要将值域同步为[0.0,10.0],因此做线性映射,得到:
[0075]
[0076] 漏洞脆弱性值计算函数g(V)的计算过程如下:
[0077] g(V)=ep+q·V,p∈[0,1],q∈[0,1];
[0078] 其中:p为漏洞poc系数,用以衡量漏洞被利用的难度;q为漏洞防护系数,用以衡量漏洞防护的难度。
[0079] 本发明引入漏洞防护系数和漏洞poc系数,用以修正g(V),使得漏洞脆弱性值计算函数g(V)计算出的结果更加准确,有利于提高后续计算结果的精度。
[0080] 最终得到漏洞风险值S的计算式为:
[0081]
[0082] 本发明提供的一种单个漏洞管理中的业务处理优先级计算方法,结合客户在资产与漏洞的实际运维中关注的核心要素进行计算,实现从定性到定量的转变;本发明的漏洞风险值S越高,代表其风险越高,对用户的决策具有一定的指导作用。用户在面对繁多的漏洞时,根据本发明所提供的统计方法计算得到的漏洞修复优先级/评分,进行业务上的优先级分级处理,以解决漏洞管理中依赖现有技术管理效率较低、处置流程繁琐无序、不能结合实际业务进行处理的问题,提高对系统安全防护的效率。