网络安全脆弱性评估定量计算方法及设备转让专利
申请号 : CN202110870443.6
文献号 : CN113660227B
文献日 : 2022-11-29
发明人 : 杨剑
申请人 : 北京天融信网络安全技术有限公司 , 北京天融信科技有限公司 , 北京天融信软件有限公司
摘要 :
本发明公开了一种网络安全脆弱性评估定量计算方法及设备。网络安全脆弱性评估定量计算方法,包括:获取待评估对象的脆弱点信息,并设置每个脆弱点的业务影响程度值以及安全威胁等级值;统计每个脆弱点所影响的设备数量,并根据脆弱点所影响的设备数量与对应种类设备总数之间的比值,确定脆弱点的影响范围程度值;基于每个脆弱点的业务影响程度值以及安全威胁等级值,结合每个脆弱点的影响范围程度值,确定待评估对象的脆弱性等级值,以对待评估对象进行评估。本发明综合考虑了业务影响程度、安全威胁程度和所影响的范围程度,从而减少完全依赖人为主观判断所带来的偏差,可以根据业务影响的变化,调整计算参数,得出更加准确的数据。
权利要求 :
1.一种网络安全脆弱性评估定量计算方法,其特征在于,包括:获取待评估对象的脆弱点信息,并设置每个脆弱点的业务影响程度值以及安全威胁等级值;
统计每个所述脆弱点所影响的设备数量,并根据所述脆弱点所影响的设备数量与对应种类设备总数之间的比值,确定所述脆弱点的影响范围程度值;
基于每个脆弱点的业务影响程度值以及安全威胁等级值,结合每个脆弱点的影响范围程度值,确定所述待评估对象的脆弱性等级值,以对所述待评估对象进行评估;
所述基于每个脆弱点的业务影响程度值以及安全威胁等级值,结合每个脆弱点的影响范围程度值,确定所述待评估对象的脆弱性等级值,以对所述待评估对象进行评估,包括:基于每个脆弱点的业务影响程度值以及安全威胁等级值,构建脆弱点属性二维矩阵A:其中,ci表示第i个脆弱点的业务影响程度值,di表示第i个脆弱点的安全威胁等级值;
基于每个脆弱点的影响范围程度值,构建脆弱点影响范围程度矩阵N:其中,Ni表示第i个脆弱点的影响范围程度值;
基于所述脆弱点属性二维矩阵A和所述脆弱点影响范围程度矩阵N,采用相乘法,构建计算业务影响等级值合计和安全威胁等级值合计值的矩阵S:基于所述业务影响等级值合计和安全威胁等级值合计矩阵S,采用相加法,计算所述待评估对象的脆弱性值Q:Q=S1+S2;
基于所述待评估对象的脆弱性值Q,对所述待评估对象进行定量评估。
2.如权利要求1所述的方法,其特征在于,所述获取待评估对象的脆弱点信息,包括:构建漏洞库,所述漏洞库包括以下信息中的至少一中:漏洞名称、漏洞编号、依据/来源、漏洞类型、危害程度;
获取待评估对象的特征信息,所述特征信息包括以下信息中的至少一种:设备名称、操作系统类型和版本、数据库类型和版本、品牌、型号、业务用途、数量;
基于所述漏洞库,通过人工渗透和自动扫描的组合方式识别所述待评估对象的脆弱点,并获取所述脆弱点信息,所述脆弱点信息包括以下信息中的至少一种:IP地址、被评估设备名称、设备信息、脆弱点编码、脆弱点名称、脆弱点危害程度、脆弱点详细描述、业务程度影响。
3.如权利要求1所述的方法,其特征在于,设置业务影响程度值,包括:将业务影响程度划分为m个等级,并为每个等级设置业务影响程度值;
分析每个脆弱点所在层面对业务的影响程度所属等级,以确定每个所述脆弱点的业务影响程度值。
4.如权利要求1所述的方法,其特征在于,设置安全威胁等级值,包括:依据国内外权威漏洞组织给出的危害等级,将安全威胁等级划分为m个等级,并为每个等级设置安全威胁等级值;
分析每个脆弱点的安全威胁程度所属等级,以确定每个所述脆弱点的安全威胁等级值;
所述国内外权威漏洞组织包括CNNVD、CVE、和/或NVD。
5.如权利要求1所述的方法,其特征在于,所述根据所述脆弱点所影响的设备数量与对应种类设备总数之间的比值,确定所述脆弱点的影响范围程度值,包括:设置m个影响程度区间,并为每个所述影响程度区间赋值;
分析所述脆弱点所影响的设备数量与对应种类设备总数之间的比值所属的影响程度区间,该影响程度区间对应的值即为所述脆弱点的影响范围程度值。
6.如权利要求1所述的方法,其特征在于,所述基于所述待评估对象的脆弱性值Q,对所述待评估对象进行定量评估,包括:创建多个脆弱性区间,并为每个脆弱性区间赋值;
分析所述待评估对象的脆弱性值Q所属的脆弱性区间,该脆弱性区间对应的值即为所述待评估对象的脆弱性等级值。
7.如权利要求3‑5中任一项所述的方法,其特征在于,m=5。
8.一种网络安全脆弱性评估定量计算设备,其特征在于,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至7中任一项所述的网络安全脆弱性评估定量计算方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有信息传递的实现程序,所述程序被处理器执行时实现如权利要求1至7中任一项所述的网络安全脆弱性评估定量计算方法的步骤。
说明书 :
网络安全脆弱性评估定量计算方法及设备
技术领域
[0001] 本发明涉及网络安全技术领域,尤其涉及一种网络安全脆弱性评估定量计算方法及设备。
背景技术
[0002] 在信息安全领域中,可将漏洞、安全防护措施缺陷、暴露某个脆弱的攻击面等信息资产所面临的风险来源统一称作“信息资产的脆弱点”,对脆弱点进行量化评估可以让信息资产拥有者客观地认识到资产所面临的安全风险。
[0003] 目前脆弱性评估所采用的方法有定性分析方法和定量分析方法。定性分析方法通常是根据GB/T20984‑2007或GB/T 30279‑2020给与的评估表定性得出结论,存在不同分析人员会有不同理解的问题,导致脆弱性值结果也会存在差异性。在定量分析方法中,脆弱性值评估主要考虑参数是“标准遵循度值”和“控制措施实施度值”,关注的是脆弱点的合规程度,在业务影响程度和影响范围方面考虑较少,而随着网络安全威胁对业务造成的影响越来越严重,有必要在开展信息安全风险评估时,将业务影响和范围影响的考虑纳入到基本要素中。
发明内容
[0004] 本发明实施例提供一种网络安全脆弱性评估定量计算方法及设备,用以解决现有技术中脆弱性评估方法不全面的问题。
[0005] 根据本发明实施例的网络安全脆弱性评估定量计算方法,包括:
[0006] 获取待评估对象的脆弱点信息,并设置每个脆弱点的业务影响程度值以及安全威胁等级值;
[0007] 统计每个所述脆弱点所影响的设备数量,并根据所述脆弱点所影响的设备数量与对应种类设备总数之间的比值,确定所述脆弱点的影响范围程度值;
[0008] 基于每个脆弱点的业务影响程度值以及安全威胁等级值,结合每个脆弱点的影响范围程度值,确定所述待评估对象的脆弱性等级值,以对所述待评估对象进行评估。
[0009] 根据本发明的一些实施例,所述获取待评估对象的脆弱点信息,包括:
[0010] 构建漏洞库,所述漏洞库包括以下信息中的至少一中:漏洞名称、漏洞编号、依据/来源、漏洞类型、危害程度;
[0011] 获取待评估对象的特征信息,所述特征信息包括以下信息中的至少一种:设备名称、操作系统类型和版本、数据库类型和版本、品牌、型号、业务用途、数量;
[0012] 基于所述漏洞库,通过人工渗透和自动扫描的组合方式识别所述待评估对象的脆弱点,并获取所述脆弱点信息,所述脆弱点信息包括以下信息中的至少一种:IP地址、被评估设备名称、设备信息、脆弱点编码、脆弱点名称、脆弱点危害程度、脆弱点详细描述、业务程度影响。
[0013] 根据本发明的一些实施例,设置业务影响程度值,包括:
[0014] 将业务影响程度划分为m个等级,并为每个等级设置业务影响程度值;
[0015] 分析每个脆弱点所在层面对业务的影响程度所属等级,以确定每个所述脆弱点的业务影响程度值。
[0016] 根据本发明的一些实施例,设置安全威胁等级值,包括:
[0017] 依据国内外权威漏洞组织给出的危害等级,将安全威胁等级划分为m个等级,并为每个等级设置安全威胁等级值;
[0018] 分析每个脆弱点的安全威胁程度所属等级,以确定每个所述脆弱点的安全威胁等级值;
[0019] 所述国内外权威漏洞组织包括CNNVD、CVE、和/或NVD。
[0020] 根据本发明的一些实施例,所述根据所述脆弱点所影响的设备数量与对应种类设备总数之间的比值,确定所述脆弱点的影响程度值,包括:
[0021] 设置m个影响程度区间,并为每个所述影响程度区间赋值;
[0022] 分析所述脆弱点所影响的设备数量与对应种类设备总数之间的比值所属的影响程度区间,该影响程度区间对应的值即为所述脆弱点的影响范围程度值。
[0023] 根据本发明的一些实施例,所述基于每个脆弱点的业务影响程度值以及安全威胁等级值,结合每个脆弱点的影响范围程度值,确定所述待评估对象的脆弱性等级值,以对所述待评估对象进行评估,包括:
[0024] 基于每个脆弱点的业务影响程度值以及安全威胁等级值,构建脆弱点属性二维矩阵A:
[0025]
[0026] 其中,ci表示第i个脆弱点的业务影响程度值,di表示第i个脆弱点的安全威胁等级值;
[0027] 基于每个脆弱点的影响范围程度值,构建脆弱点影响范围程度矩阵N:
[0028]
[0029] 其中,Ni表示第i个脆弱点的影响范围程度值;
[0030] 基于所述脆弱点属性二维矩阵A和所述脆弱点影响范围程度矩阵N,采用相乘法,构建计算业务影响等级值合计和安全威胁等级值合计值的矩阵S:
[0031]
[0032] 基于所述业务影响等级值合计和安全威胁等级值合计矩阵S,采用相加法,计算所述待评估对象的脆弱性值Q:
[0033] Q=S1+S2;
[0034] 基于所述待评估对象的脆弱性值Q,对所述待评估对象进行定量评估。
[0035] 根据本发明的一些实施例,所述基于所述待评估对象的脆弱性值Q,对所述待评估对象进行定量评估,包括:
[0036] 创建多个脆弱性区间,并为每个脆弱性区间赋值;
[0037] 分析所述待评估对象的脆弱性值Q所属的脆弱性区间,该脆弱性区间对应的值即为所述待评估对象的脆弱性等级值。
[0038] 根据本发明的一些实施例,m=5。
[0039] 根据本发明实施例的网络安全脆弱性评估定量计算设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如上所述的网络安全脆弱性评估定量计算方法的步骤。
[0040] 根据本发明实施例的计算机可读存储介质,所述计算机可读存储介质上存储有信息传递的实现程序,所述程序被处理器执行时实现如上所述的网络安全脆弱性评估定量计算方法的步骤。
[0041] 采用本发明实施例,在开展脆弱性分析时,综合考虑了业务影响程度、安全威胁程度和所影响的范围程度,从而减少完全依赖人为主观判断所带来的偏差,特别适合用于业务连续性比较重要的行业如金融、通信、能源等,可以根据业务影响的变化,调整计算参数,得出更加准确的数据。
[0042] 上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
[0043] 通过阅读下文实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。在附图中:
[0044] 图1是本发明实施例中网络安全脆弱性评估定量计算方法流程图;
[0045] 图2是本发明实施例中网络安全脆弱性评估定量计算方法流程示意图;
[0046] 图3是本发明实施例中CNNVD公开的漏洞信息示例图;
[0047] 图4是本发明实施例中网络安全脆弱性评估定量计算装置结构示意图。
具体实施方式
[0048] 下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
[0049] 本发明第一方面实施例提出一种网络安全脆弱性评估定量计算方法,如图1所示,包括:
[0050] S1,获取待评估对象的脆弱点信息,并设置每个脆弱点的业务影响程度值以及安全威胁等级值;
[0051] S2,统计每个所述脆弱点所影响的设备数量,并根据所述脆弱点所影响的设备数量与对应种类设备总数之间的比值,确定所述脆弱点的影响范围程度值;
[0052] S3,基于每个脆弱点的业务影响程度值以及安全威胁等级值,结合每个脆弱点的影响范围程度值,确定所述待评估对象的脆弱性等级值,以对所述待评估对象进行评估。
[0053] 采用本发明实施例,在开展脆弱性分析时,综合考虑了业务影响程度、安全威胁程度和所影响的范围程度,从而减少完全依赖人为主观判断所带来的偏差,特别适合用于业务连续性比较重要的行业如金融、通信、能源等,可以根据业务影响的变化,调整计算参数,得出更加准确的数据。
[0054] 在上述实施例的基础上,进一步提出各变型实施例,在此需要说明的是,为了使描述简要,在各变型实施例中仅描述与上述实施例的不同之处。
[0055] 根据本发明的一些实施例,所述获取待评估对象的脆弱点信息,包括:
[0056] 构建漏洞库,见表1,所述漏洞库包括以下信息中的至少一中:漏洞名称、漏洞编号、依据/来源、漏洞类型、危害程度;
[0057] 表1漏洞信息表
[0058]
[0059] 获取待评估对象的特征信息,见表2,所述特征信息包括以下信息中的至少一种:设备名称、操作系统类型和版本、数据库类型和版本、品牌、型号、业务用途、数量;
[0060] 表2特征信息表
[0061]
[0062] 基于所述漏洞库,通过人工渗透和自动扫描的组合方式识别所述待评估对象的脆弱点,并获取所述脆弱点信息,见表3,所述脆弱点信息包括以下信息中的至少一种:IP地址、被评估设备名称、设备信息、脆弱点编码、脆弱点名称、脆弱点危害程度、脆弱点详细描述、业务程度影响。
[0063] 表3脆弱点信息表
[0064]
[0065] 根据本发明的一些实施例,设置业务影响程度值,包括:
[0066] 将业务影响程度划分为m个等级,并为每个等级设置业务影响程度值;例如,将业务影响程度划分为很高、高、中等、低、很低5个等级,高等级的业务影响程度值为4,中等等级的业务影响程度值为3,低等级的业务影响程度值为2,很低等级的业务影响程度值为1,见表4。
[0067] 表4业务影响程度赋值表
[0068]
[0069]
[0070] 分析每个脆弱点所在层面对业务的影响程度所属等级,以确定每个所述脆弱点的业务影响程度值。
[0071] 根据本发明的一些实施例,设置安全威胁等级值,包括:
[0072] 依据国内外权威漏洞组织给出的危害等级,将安全威胁等级划分为m个等级,并为每个等级设置安全威胁等级值;例如,将安全威胁等级划分为高危、高、中等、一般、建议5个等级,为高危等级设置安全威胁等级值为5,为高等级设置安全威胁等级值为4,为中等等级设置安全威胁等级值为3,为一般等级设置安全威胁等级值为2,为建议等级设置安全威胁等级值为1。
[0073] 分析每个脆弱点的安全威胁程度所属等级,以确定每个所述脆弱点的安全威胁等级值;
[0074] 所述国内外权威漏洞组织包括CNNVD、CVE、和/或NVD。可以理解的是,在设置安全威胁等级值时可以参考CNNVD、CVE、NVD中的任意一个或多个。
[0075] 根据本发明的一些实施例,所述根据所述脆弱点所影响的设备数量与对应种类设备总数之间的比值,确定所述脆弱点的影响范围程度值,包括:
[0076] 设置m个影响程度区间,并为每个所述影响程度区间赋值;例如,设置5个影响程度区间,分别为:(0,0.2)、[0.2,0.4)、[0.4,0.6)、[0.6,0.8)、[0.8,1],(0,0.2)区间赋值为1,[0.2,0.4)区间赋值为2,[0.4,0.6)区间赋值为3,[0.6,0.8)区间赋值为4,[0.8,1]区间赋值为5,见表5。
[0077] 表5设备分类及影响程度计算方法
[0078]
[0079] 分析所述脆弱点所影响的设备数量与对应种类设备总数之间的比值所属的影响程度区间,该影响程度区间对应的值即为所述脆弱点的影响范围程度值。
[0080] 根据本发明的一些实施例,所述基于每个脆弱点的业务影响程度值以及安全威胁等级值,结合每个脆弱点的影响范围程度值,确定所述待评估对象的脆弱性等级值,以对所述待评估对象进行评估,包括:
[0081] 基于每个脆弱点的业务影响程度值以及安全威胁等级值,构建脆弱点属性二维矩阵A:
[0082]
[0083] 其中,ci表示第i个脆弱点的业务影响程度值,di表示第i个脆弱点的安全威胁等级值;
[0084] 基于每个脆弱点的影响范围程度值,构建脆弱点影响范围程度矩阵N:
[0085]
[0086] 其中,Ni表示第i个脆弱点的影响范围程度值;
[0087] 基于所述脆弱点属性二维矩阵A和所述脆弱点影响范围程度矩阵N,采用相乘法,构建计算业务影响等级值合计和安全威胁等级值合计值的矩阵S:
[0088]
[0089] 基于所述业务影响等级值合计和安全威胁等级值合计矩阵S,采用相加法,计算所述待评估对象的脆弱性值Q:
[0090] Q=S1+S2;
[0091] 基于所述待评估对象的脆弱性值Q,对所述待评估对象进行定量评估。
[0092] 根据本发明的一些实施例,所述基于所述待评估对象的脆弱性值Q,对所述待评估对象进行定量评估,包括:
[0093] 创建多个脆弱性区间,并为每个脆弱性区间赋值;例如,创建5个脆弱性区间,分别为[0,x]、(x,x+y]、(x+y,x+2y]、(x+2y,x+3y]、(x+3y,oo),并分别赋值为1、2、3、4、5,见表6[0094] 表6脆弱性等级值评判度量表
[0095]
[0096] 分析所述待评估对象的脆弱性值Q所属的脆弱性区间,该脆弱性区间对应的值即为所述待评估对象的脆弱性等级值。
[0097] 根据本发明的一些实施例,m=5。
[0098] 根据本发明实施例的网络安全脆弱性评估定量计算设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如上所述的网络安全脆弱性评估定量计算方法的步骤。
[0099] 根据本发明实施例的计算机可读存储介质,所述计算机可读存储介质上存储有信息传递的实现程序,所述程序被处理器执行时实现如上所述的网络安全脆弱性评估定量计算方法的步骤。
[0100] 下面参照图2‑图3以一个具体的实施例详细描述根据本发明实施例的网络安全脆弱性评估定量计算方法。值得理解的是,下述描述仅是示例性说明,而不是对本发明的具体限制。凡是采用本发明的相似结构及其相似变化,均应列入本发明的保护范围。
[0101] 本发明实施例的网络安全脆弱性评估定量计算方法在CVE、CNNVD等权威机构提供的漏洞信息的基础上,结合了业务影响程度、安全威胁程度、影响的范围程度三个参数值,通过构造矩阵函数来量化计算出脆弱点的脆弱性值。
[0102] 具体的,本发明实施例的网络安全脆弱性评估定量计算方法,如图2所示,包括:
[0103] 1、建设漏洞库;
[0104] 本步骤需要依据GB/T 22239‑2019等重要国家或行业标准以及CNNVD、CVE等国内外权威平台公开的漏洞信息来建设漏洞库,漏洞库中漏洞信息的具体格式如表1所示:
[0105] 表1漏洞信息表
[0106]
[0107] 2、信息采集;
[0108] 本步骤需获取被评估对象的特征,包括操作系统类型和版本、数据库类型和版本、数量、业务用途等,如表2所示:
[0109] 表2特征信息表
[0110]
[0111]
[0112] 3、脆弱性识别;
[0113] 本步骤需要用户通过人工渗透和自动扫描的组合方式基于漏洞库识别脆弱点,并填写脆弱点信息表。
[0114] 表3脆弱点信息表
[0115]
[0116] 4、脆弱点分析;
[0117] 本步骤的目的是对脆弱点进行量化分析,并给出脆弱点具体的脆弱性值和对应等级,具体如下:
[0118] 1)设置参数值:
[0119] a)设置脆弱点所在的层面(如物理、网络、主机、应用、数据等)对业务的影响程度值:5为很高、4为高、3为中等、2为低、1为很低,各层面值可根据涉及业务的重要性确定(可以由业务相关部门参与评定):
[0120] 表4业务影响程度赋值表
[0121]
[0122]
[0123] b)设置脆弱点安全威胁等级值:5为高危、4为高、3为中等、2为一般、1为建议。可依据CNNVD、CVE、NVD等国内外权威漏洞组织给出的危害等级赋值,如图3所示为CNNVD公开的漏洞信息。
[0124] 2)构造脆弱点属性二维矩阵:
[0125]
[0126] 其中,c值指脆弱点的业务影响程度值,d值指脆弱点的安全威胁等级值。
[0127] 3)统计脆弱点影响的设备数量,并计算脆弱点影响的范围程度N(5为最高、4为高、3为中等、2为一般、1为低),设备类别及影响程度计算方法如表5所示:
[0128] 表5设备分类及影响程度计算方法
[0129]
[0130]
[0131] 构造影响范围程度矩阵N:
[0132]
[0133] 影响范围程度矩阵N根据存在某种脆弱点的设备数量进行统计计算,如果影响的设备数量越多,说明脆弱点影响面越广,从而影响它的脆弱性等级值。
[0134] 4)计算脆弱性值。
[0135] a)构造如下矩阵,计算出层面的等级值合计和威胁等级值合计。
[0136]
[0137] 注:AT是A的转置矩阵,其目的是矩阵运算时能分别计算业务影响等级值合计和安全威胁等级值合计。
[0138] b)计算脆弱值:
[0139] Q=S1+S2
[0140] 5)制定脆弱性等级值评判度量表,得出被评估对象的脆弱性等级赋值:
[0141] 表6脆弱性等级值评判度量表
[0142]
[0143] 例如,通过对某被评估对象脆弱性识别后发现如下四种脆弱点,信息如表7所示:
[0144] 表7四种脆弱点信息表示例
[0145]
[0146]
[0147]
[0148]
[0149]
[0150]
[0151] 计算脆弱点的影响范围程度:
[0152] 第1个脆弱点影响的设备为应用系统服务器1,应用系统服务器总数10,则1/10=0.1在(0,0.2)之间,根据表5,该脆弱点N=1;
[0153] 第2个脆弱点影响的设备为数据库服务器1、数据库服务器2、数据库服务器3、服务器4、数据库服务器5、数据库服务器6,数据库服务器总数为6,则6/6=1,根据表5,该脆弱点N=5;
[0154] 第3个脆弱点影响的设备为防火墙1、防火墙2、防火墙3,防火墙总数为6,则3/6=0.5,根据表5,该脆弱点N=3;
[0155] 第4个脆弱点影响的设备为终端1、终端2、终端3、终端4、终端5、终端6、终端7,终端总数为10,则7/10=0.7,根据表5,该脆弱点N=4。
[0156] 根据表7,构造矩阵,并计算,示例如下:
[0157]
[0158] 其中:业务影响等级值合计=44,安全威胁等级值合计=52,脆弱性值合计Q=44+52=96。
[0159] 对照表6,查到96属于(90,oo),脆弱性等级赋值为5,很高。
[0160] 采用本发明实施例,考虑了脆弱点对业务的影响,特别适合用于业务连续性比较重要的行业如金融、通信、能源等,可以根据业务影响的变化,调整计算参数,从而得出更加准确的数据。开展脆弱性分析时,在基于业务影响程度、安全威胁程度和所影响的范围程度三个重要参数的基础上自动定量计算得出脆弱性值,减少完全依赖人为主观判断所带来的偏差,提高了结果的精确性。可以更好的根据外部网络安全威胁环境的变化调整参数,比如脆弱性区间中的x和y值可结合被测对象所在业务场景所能接收的风险承受程度进行动态调整,能够更好的应对实际生产环境的变化。
[0161] 需要说明的是,以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
[0162] 本发明实施例还提出一种网络安全脆弱性评估定量计算装置,如图4所示,包括:
[0163] 漏洞库模块,包含了GB/T 22239‑2019等重要国家或行业标准并且集成了CNNVD、CVE等国内外权威平台公开的漏洞信息,具体格式见表1。
[0164] 信息采集模块,利用自动+人工的方式获取被评估对象的特征,包括操作系统类型和版本、数据库类型和版本、数量、业务用途等,具体格式见表2。
[0165] 脆弱点识别模块,利用自动+人工的方式依据漏洞库对被评估设备进行检测,自动的方式支持被评估对象的脆弱点信息自动识别,脆弱点信息包括脆弱点的名称、危害程度等;人工的方式为渗透测试人员通过本模块提供的工具获取被评估对象的脆弱点,并将脆弱点信息输入到本模块中。本模块中的脆弱点信息具体格式见表3。
[0166] 脆弱性计算模块,自动统计脆弱点所影响设备的数量并依据表3的“脆弱点危害程度”对脆弱点的安全威胁程度赋值。脆弱性计算模块会依据脆弱点的业务影响程度、安全威胁程度和所影响的范围程度三个参数值,自动计算出脆弱性等级值。
[0167] 在使用过程中,用户登录装置后,利用信息采集模块采集被评估对象的资产信息,包括包含的设备数量、设备操作系统、数据库等,采集方式包括人工录入和自动化扫描组合的形式,编写表2信息采集表;然后利用脆弱性识别模块自动扫描设备的操作系统、数据库等获取脆弱点信息,并结合人工检查+渗透测试的方法获取脆弱点信息,编写表3脆弱点信息表;最后脆弱性计算模块依据上述信息自动计算出脆弱点的业务影响程度、安全威胁程度和所影响的范围程度三个参数值,并构造矩阵得出脆弱性等级值。
[0168] 本装置的主要功能模块包括漏洞库、资产信息采集模块、脆弱点识别模块和脆弱性计算模块,其中漏洞库的漏洞检测依据和来源应包括GB/T 22239‑2019等重要国家标准和行业监管部门下发的网络安全合规检查文件以及CNNVD、CVE等国内外权威平台公开的漏洞信息。
[0169] 在脆弱性计算阶段,将构造业务影响程度、安全威胁程度和所影响的范围程度三个参数值的矩阵,并计算出脆弱性等级值;
[0170] 本发明实施例的装置,可以更好的根据外部网络安全威胁环境的变化调整参数,比如脆弱性区间中的x和y值可结合被测对象所在业务场景所能接收的风险承受程度进行动态调整,能够更好的应对实际生产环境的变化。
[0171] 需要说明的是,在本说明书的描述中,不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。实施例的任意之一都可以以任意的组合方式来使用。
[0172] 在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。