CN105282131B - 基于风险项扫描的信息安全评估方法、装置及系统 - Google Patents
基于风险项扫描的信息安全评估方法、装置及系统 Download PDFInfo
- Publication number
- CN105282131B CN105282131B CN201510073370.2A CN201510073370A CN105282131B CN 105282131 B CN105282131 B CN 105282131B CN 201510073370 A CN201510073370 A CN 201510073370A CN 105282131 B CN105282131 B CN 105282131B
- Authority
- CN
- China
- Prior art keywords
- risk item
- equipment
- assessment
- risk
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了基于风险项扫描的信息安全评估方法、装置及系统,该方法包括,根据评估对象的级别确定评估对象包含的设备和所述设备对应的风险项,根据所述风险项对设备进行扫描,根据扫描结果获得该设备对应的当前风险项数目;根据该当前风险项数目和风险项评估规则对该设备进行风险项评估,获得该设备对应的风险项评估值;根据该评估对象包含的设备的风险项评估值进行加权,得到该评估对象的信息安全评估值。该评估规则为根据已有的扫描结果中的风险项的概率分布得到,准确性较高。此外通过自动加权评估对象包含的各设备的评估值可以得到任何级别的评估对象的评估值,方便管理者从各个层次级别和各个维度对企业的信息安全状况进行监管。
Description
技术领域
本发明涉及信息安全技术领域,特别是涉及基于风险项扫描的信息安全评估方法、装置及系统。
背景技术
随着企业信息化程度的不断提高,尤其是网络技术的飞速发展,使得信息安全问题逐渐成为企业管理中关注的重点。信息安全所面临的风险指的是,在业务系统的软件或硬件设备中存在安全风险项,例如设备漏洞、弱密码、WEB漏洞、基线检查项目不合格等,这些风险项容易被人为利用或容易使软、硬件设备遭到恶意攻击,造成关键信息泄露,对企业资产和声誉形成潜在威胁。因此,有效的信息安全评估方法成为准确评价和衡量业务系统信息安全状况的有利依据。
现代企业中通常包括各种不同类型的设备,这些设备存在的风险项、风险项在设备中的位置以及风险程度也是不同的,例如,服务器的主要风险项为设备漏洞、弱密码,企业网站及各子站点的主要风险项为WEB漏洞等。由于不同设备的风险项类型、风险项存在的位置以及风险程度的不同,所表现的信息安全状态迥异,因此,在针对众多设备进行信息安全评估时,通常只能依靠人力对具体的设备的安全状况进行评估。举例来说,先利用检测工具对各个设备进行对应类型的风险项扫描,例如漏洞扫描或弱密码扫描等,再根据扫描结果进行人工评分,之后将各个部门或业务系统中的设备的评分结果进行人工汇总,从而对企业的信息安全状况进行粗略的整体评价。
由此可见,现有的信息安全评估方法比较依赖评估人员的主观判断力,因此评估结果准确性不高。并且由于待评估的设备数量往往比较多,导致评估效率低下。同时由于评估结果较为零散,从而导致安全管理人员难以获得从企业整体到局部业务系统的不同层次的安全状况,以及难以从不同维度掌握企业的信息安全状况。
发明内容
本发明实施例提供了基于风险项扫描的信息安全评估方法及装置,以解决现有技术中的信息安全评估方法比较依赖评估人员的主观判断力,导致评估结果准确性不高、评估效率低下、评估结果较为零散的问题。
为了解决上述技术问题,本发明实施例公开了如下技术方案:
一方面,提供了一种基于风险项扫描的信息安全评估方法,所述方法包括:
获取风险项评估规则,包括:获取预设周期内根据所述风险项对设备进行扫描的扫描结果样本,根据所述样本中包含的风险项数目的概率分布确定与所述风险项数目对应的风险项评估规则;
根据评估对象的级别确定所述评估对象包含的设备和所述设备对应的风险项,根据所述风险项对所述设备进行扫描,根据扫描结果获得所述设备对应的当前风险项数目;
根据所述当前风险项数目和所述风险项评估规则对所述设备进行风险项评估,获得所述设备对应的风险项评估值;
根据所述评估对象包含的设备的风险项评估值进行加权,得到所述评估对象的信息安全评估值。
可选的,所述根据所述样本中包含的风险项数目的概率分布确定与所述风险项数目对应的风险项评估规则包括:
根据所述样本获得所述风险项数目的离散概率分布值,将所述离散概率分布值拟合为预设类型的概率分布,确定所述预设类型的概率分布的概率密度函数;
根据所述概率密度函数的量化值确定所述风险项评估规则的标准值,以及所述风险项数目与所述标准值的对应关系;
所述根据所述当前风险项数目和所述风险项评估规则对所述设备进行风险项评估包括:根据所述当前风险项数目和所述风险项数目与所述标准值的对应关系确定所述设备对应的风险项评估值。
可选的,所述预设类型的概率分布包括泊松分布或对数正态分布。
可选的,所述方法还包括:
确定所述评估对象包含的各设备的第一权重系数;
确定所述各设备对应的各风险项的第二权重系数;
所述根据所述评估对象包含的设备的风险项评估值进行加权包括:根据所述第一权重系数和所述第二权重系数对所述设备的风险项评估值进行加权。
另一方面,提供一种基于风险项扫描的信息安全评估装置,所述装置包括:
获取规则单元,用于获取风险项评估规则,所述获取规则单元包括:
第一获取子单元,用于获取预设周期内根据所述风险项对设备进行扫描的扫描结果样本;
第一确定子单元,用于根据所述样本中包含的风险项数目的概率分布确定与所述风险项数目对应的风险项评估规则;
所述装置还包括:扫描单元,用于根据评估对象的级别确定所述评估对象包含的设备和所述设备对应的风险项,并根据所述风险项对所述设备进行扫描,以及根据扫描结果获得所述设备对应的当前风险项数目;
第一评估单元,用于根据所述当前风险项数目和所述风险项评估规则对所述设备进行风险项评估,获得所述设备对应的风险项评估值;
第二评估单元,用于根据所述评估对象包含的设备的风险项评估值进行加权,得到所述评估对象的信息安全评估值。
可选的,所述第一确定子单元包括:
拟合子单元,用于根据所述样本获得所述风险项数目的离散概率分布值,并将所述离散概率分布值拟合为预设类型的概率分布,以及确定所述预设类型的概率分布的概率密度函数;
第二确定子单元,用于根据所述概率密度函数的量化值确定所述风险项评估规则的标准值,以及所述风险项数目与所述标准值的对应关系;
所述第一评估单元,用于根据所述当前风险项数目和所述风险项数目与所述标准值的对应关系确定所述设备对应的风险项评估值。
可选的,所述预设类型的概率分布包括泊松分布或对数正态分布。
可选的,所述装置还包括:
第二确定子单元,用于确定所述评估对象包含的各设备的第一权重系数;
第三确定子单元,用于确定所述各设备对应的各风险项的第二权重系数;
所述第二评估单元用于根据所述第一权重系数和所述第二权重系数对所述设备的风险项评估值进行加权。
另一方面,提供了一种信息安全系统,所述系统包括:信息安全评估装置和评估对象,所述评估对象包括信息安全设备,所述信息安全评估装置用于:
获取风险项评估规则,包括:获取预设周期内根据所述风险项对设备进行扫描的扫描结果样本,根据所述样本中包含的风险项数目的概率分布确定与所述风险项数目对应的风险项评估规则;以及
根据评估对象的级别确定所述评估对象包含的设备和所述设备对应的风险项,根据所述风险项对所述设备进行扫描,根据扫描结果获得所述设备对应的当前风险项数目;
根据所述当前风险项数目和所述风险项评估规则对所述设备进行风险项评估,获得所述设备对应的风险项评估值;以及
根据所述评估对象包含的设备的风险项评估值进行加权,得到所述评估对象的信息安全评估值。
可选的,所述信息安全评估装置在根据所述样本中包含的风险项数目的概率分布确定与所述风险项数目对应的风险项评估规则时,具体包括:
根据所述样本获得所述风险项数目的离散概率分布值,将所述离散概率分布值拟合为预设类型的概率分布,确定所述预设类型的概率分布的概率密度函数;
根据所述概率密度函数的量化值确定所述风险项评估规则的标准值,以及所述风险项数目与所述标准值的对应关系;
所述根据所述当前风险项数目和所述风险项评估规则对所述设备进行风险项评估包括:根据所述当前风险项数目和所述风险项数目与所述标准值的对应关系确定所述设备对应的风险项评估值。
附图说明
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明基于风险项扫描的信息安全评估方法提供的一个实施例的流程示意图;
图2为本发明基于风险项扫描的信息安全评估方法提供的另一个实施例中的获取风险项评估规则的流程示意图;
图3为本发明基于风险项数目的概率分布与正态分布进行拟合的对比示意图;
图4为本发明基于风险项扫描的信息安全评估装置的实施例的结构示意图;
图5为本发明基于风险项扫描的信息安全评估装置的另一个实施例的第一确定子单元的结构示意图;
图6为本发明基于风险项扫描的信息安全系统的实施例的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
首先对本发明基于风险项扫描的信息安全评估方法的第一个实施例进行说明,参见图1,为本发明基于风险项扫描的信息安全评估方法提供的一个实施例的流程示意图,本实施例包括如下步骤:
步骤101:获取风险项评估规则,包括:获取预设周期内根据所述风险项对所述设备进行扫描的扫描结果样本,根据所述样本中包含的风险项数目的概率分布确定与所述风险项数目对应的风险项评估规则。
步骤102:根据评估对象的级别确定所述评估对象包含的设备和所述设备对应的风险项,根据所述风险项对所述设备进行扫描,根据扫描结果获得所述设备对应的当前风险项数目。
参考背景技术,所述风险项包括但不限于:设备漏洞、弱密码、WEB漏洞、病毒、基线检查项目不合格、应用代码项目不合格等。
可选的,可以预先定义评估对象的级别,以及确定评估对象包含的各具体设备。例如可定义如下几个级别:设备级别、风险项类型级别、业务系统级别、企业级别等,管理者也可以根据企业的具体情况增加或调整预定义的级别。例如企业规模较小时,可能只包括数量较少的几个设备,评估对象的级别可只涉及设备级别和企业级别。
其中,所述设备级别为最低级别,以单个设备为具体的评估对象,例如服务器、网站、员工计算机设备等。
所述风险项类型级别,该级别包含的设备主要是对应某种类型风险项的设备,例如风险项类型级别具体为设备漏洞级别,该类型级别包含的设备的主要风险项为设备漏洞,这类级别的设备主要有各类服务器,包括windows server2003、windows server2008、各发行版linux服务器等,以及员工的办公计算机等;
所述风险项类型级别具体还可以是WEB漏洞级别,该类型级别对应WEB漏洞这一具体的风险项,该级别的设备主要有企业网站主站点、各子站点、企业办公自动化OA设备(Office Automation)、企业资源规划管理设备ERP(Enterprise Resource Planning)等;
所述风险项类型级别还可以是代码审计级别:该类型级别对应应用代码缺陷这一具体的风险项类型,该级别的设备主要有如企业的OA设备、服务器、企业网站等,这些设备的源代码容易出现代码审计缺陷的风险项。
需要注意的是,上述各不同的风险类型级别包含的设备可能会有重合,具体根据各设备容易出现的风险项而定。例如,WEB漏洞级别和代码审计级别都包含企业网站这个共有的设备。
业务系统级别,该级别的评估对象为企业的各个具体业务系统,例如人力资源服务系统、通信保障系统等。
企业级别,该级别为最高级别,该级别的评估对象中包含企业的所有业务系统和设备。
此外,还可以根据企业的具体情况和企业的信息安全要求自定义评估对象的级别,以及该级别包含的设备和对应的风险项。
步骤103:根据所述当前风险项数目和所述风险项评估规则对所述设备进行风险项评估,获得所述设备对应的风险项评估值。
步骤104:根据所述评估对象包含的设备的风险项评估值进行加权,得到所述评估对象的信息安全评估值。
本实施例提供的信息安全评估方法,根据评估对象的级别确定评估对象包含的设备和所述设备对应的风险项,根据所述风险项对设备进行扫描,根据扫描结果获得该设备对应的当前风险项数目;根据该当前风险项数目和风险项评估规则对该设备进行风险项评估,获得该设备对应的风险项评估值;根据该评估对象包含的设备的风险项评估值进行加权,得到该评估对象的信息安全评估值。该评估规则为根据已有的扫描结果中的风险项的概率分布得到,准确性较高。此外通过自动加权评估对象包含的各设备的评估值可以得到任何级别的评估对象的评估值,方便管理者从各个层次级别和各个维度对企业的信息安全状况进行监管。
在本发明的其他实施例中,所述方法还包括:
确定所述评估对象包含的各设备的第一权重系数和所述各设备对应的各风险项的第二权重系数。
上述实施例中的步骤104中,所述根据所述评估对象包含的设备的风险项评估值进行加权,可具体为根据所述第一权重系数和所述第二权重系数对所述设备的风险项评估值进行加权。
举例来说,假设评估对象包括设备1和设备2,设备1对应的风险项为系统漏洞和弱密码,设备2对应的风险项为WEB漏洞,各设备的第一权重系数和对应的风险项的第二权重系数如表1所示。
表1 评估对象的权重系数设置表
假设设备1进行系统漏洞扫描后,根据系统漏洞评估规则得到的风险项评估值为y1,设备1进行弱密码扫描后,根据弱密码评估规则得到的风险项评估值为y1,设备2进行WEB漏洞扫描后,根据WEB漏洞评估规则得到的风险项评估值为y3,则该评估对象的信息安全评估值Y的计算方法为:根据上表1中的设备1的第一加权系数0.7、设备1包含的系统漏洞和弱密码两个风险项对应的第二加权系数0.4和0.6,以及设备2的第一加权系数0.3、设备2包含的WEB漏洞这个风险项对应的第二加权系数1计算得到。
具体公式为:
Y=Y1×0.7+Y2×0.3。
其中,Y1=y1×0.4+y2×0.6,Y2=y3×1。
当所述评估对象为规模较大的业务系统,或以整个企业作为评估对象时,为了计算方便,可将所述评估对象进一步分为若干个子系统,这些子系统按照重要程度等级分别设置加权系数。按照本发明的方法分别计算各个子系统的信息安全评估值,再根据这些子系统的加权系数对所述评估值进行加权,以获得该评估对象的信息安全评估值。
在本发明的另一个实施例中,上述获取风险项评估规则的步骤101可以具体包括如下子步骤201至204,参见图2所示为获取风险项评估规则的流程示意图。
步骤201:获取预设周期内根据所述风险项对所述设备进行扫描的扫描结果样本。
步骤202:根据所述样本获得所述风险项数目的离散概率分布值。
具体的,假设该设备为系统服务器,对应的风险项为高危系统漏洞和低危系统漏洞,预设周期为三个月,则采集过去三个月内对服务器进行高危和低危系统漏洞扫描结果的样本数据,共计20305条,从所述样本数据中获得所述高危漏洞数目和低危漏洞数目的离散概率分布值。如下表2所示为该服务器的系统漏洞扫描结果的列表:
表2 服务器的系统漏洞扫描结果列表
在上表2中,共有20305条扫描结果,其中,高危漏洞为0的扫描结果有15633条,对应的概率分布值为15633/20305≈0.769908889;同理,中危漏洞为0的扫描结果有12516条,对应的概率分布值为12516/20305≈0.616399902,其他数目的漏洞数的概率分布值的计算方法与之相同。
步骤203:将所述离散概率分布值拟合为预设类型的概率分布,确定所述预设类型的概率分布的概率密度函数。
将所述离散概率分布值以图表的形式展现出来,参见如图3中所示的高危漏洞的概率值曲线及低危漏洞的概率值曲线,由于采集的样本中可能会由于各种原因出现个别概率异常点,因此需要利用曲线拟合方法将所述概率分布值拟合为预设类型的概率分布,使其更符合实际情况。
可选的,可根据长期观察样本数据中的风险项的概率分布情况,预设几种具有代表性的概率分布,例如,所述概率分布可以是泊松分布或对数正态分布,或其他类型的右偏概率分布。
以上表2中的服务器的高危漏洞和低危漏洞的扫描结果数据为例,将高危漏洞数目的概率和低危漏洞数目的概率分布拟合为对数正态分布,所述对数正态分布的概率密度函数的通用表达式为:
参见如图3所示的高危漏洞和低危漏洞的概率分布与正态分布进行拟合的对比示意图,通过拟合计算得到所述正态分布的均值和方差分别为μ=1,σ=2。
步骤204:根据所述概率密度函数的量化值确定所述风险项评估规则的标准值,以及所述风险项数目与所述标准值的对应关系。
上述实施例中的步骤103在根据所述当前风险项数目和所述风险项评估规则对所述设备进行风险项评估时,可具体为根据所述当前风险项数目和所述风险项数目与所述标准值的对应关系确定所述设备对应的风险项评估值。
仍以上述对服务器的高危漏洞和低危漏洞的扫描结果为例,根据常用的百分之的评分标准,将所述概率密度函数的乘以100,则所述高危漏洞数目或低危漏洞数目对应的风险项评估值的标准值Y的计算公式为:
其中,x为高危或低危的漏洞数目,当x=0时,设置所述评分值Y为满分100分。
根据上述公式计算出的高危或低危漏洞数评估值的标准值(简称评分值)如下表3所示:
表3 系统漏洞数目对应的风险项评估值的标准值
| 漏洞数 | 评分值 | 漏洞数 | 评分值 | 漏洞数 | 评分值 |
| 1 | 17.60 | 11 | 1.42 | 21 | 0.56 |
| 2 | 9.86 | 12 | 1.26 | 22 | 0.52 |
| 3 | 6.64 | 13 | 1.13 | 23 | 0.49 |
| 4 | 4.89 | 14 | 1.02 | 24 | 0.46 |
| 5 | 3.81 | 15 | 0.92 | 25 | 0.43 |
| 6 | 3.07 | 16 | 0.84 | 26 | 0.41 |
| 7 | 2.55 | 17 | 0.77 | 27 | 0.38 |
| 8 | 2.16 | 18 | 0.71 | 28 | 0.36 |
| 9 | 1.85 | 19 | 0.65 | 29 | 0.34 |
| 10 | 1.61 | 20 | 0.61 | 30 | 0.32 |
由于高危漏洞对于设备的安全性的影响要比低危漏洞的影响大,因此这里可以将高危漏洞和低危漏洞的评估值按照预设的权重因子进行加权,统一称为系统漏洞的评估值,具体的,可将高危漏洞的评估值的加权因子设置为0.7,低危漏洞的评估值的加权因子设置为0.3,则系统漏洞的评估值为:高危漏洞评估值*0.7+低危漏洞评估值*0.3。
可选的,也可以将所述评分值进一步划分为若干评估等级,此为常用的量化评估方法,这里不再赘述。
作为本方案的具体应用,在实际企业中,可以将本方案以软件或硬件的形式实现,并与企业设备以及企业设备的扫描结果数据库相连,面向管理人员设置可视化的控制界面和显示界面,使管理人员在控制界面中设置评估任务,则执行所述评估任务后,将评估结果以预设的图标或文字等形式显示在显示界面中,方便管理人员对特定的业务系统或设备进行监控。
与基于风险项扫描的信息安全评估方法的实施例相对应,本发明还提供了基于风险项扫描的信息安全评估装置的实施例,如图4所示为基于风险项扫描的信息安全评估装置的实施例的结构示意图,所述装置包括:获取规则单元401、扫描单元402,第一评估单元403、第二评估单元404。
其中,所述获取规则单元401,用于获取风险项评估规则,所述获取规则单元包括:
第一获取子单元4011(图中未示出),用于获取预设周期内根据所述风险项对所述设备进行扫描的扫描结果样本;
第一确定子单元4012(图中未示出),用于根据所述样本中包含的风险项数目的概率分布确定与所述风险项数目对应的风险项评估规则;
所述扫描单元402,用于根据评估对象的级别确定所述评估对象包含的设备和所述设备对应的风险项,并根据所述风险项对所述设备进行扫描,以及根据扫描结果获得所述设备对应的当前风险项数目;
所述第一评估单元403,用于根据所述当前风险项数目和所述风险项评估规则对所述设备进行风险项评估,获得所述设备对应的风险项评估值;
所述第二评估单元404,用于根据所述评估对象包含的设备的风险项评估值进行加权,得到所述评估对象的信息安全评估值。
如图5所示为所述装置的另一个实施例的第一确定子单元4011的结构示意图,可选的,所述第一确定子单元4011包括:
拟合子单元40111,用于根据所述样本获得所述风险项数目的离散概率分布值,并将所述离散概率分布值拟合为预设类型的概率分布,以及确定所述预设类型的概率分布的概率密度函数;
第二确定子单元40112,用于根据所述概率密度函数的量化值确定所述风险项评估规则的标准值,以及所述风险项数目与所述标准值的对应关系;
所述第一评估单元403,用于根据所述当前风险项数目和所述风险项数目与所述标准值的对应关系确定所述设备对应的风险项评估值。
可选的,所述预设类型的概率分布包括泊松分布或对数正态分布。
可选的,所述装置还包括:
第二确定子单元(图中未示出),用于确定所述评估对象包含的设备的第一权重系数;
第三确定子单元(图中未示出),用于确定所述设备对应的风险项的第二权重系数;
所述第二评估单元404,用于根据所述第一加权系数和所述第二加权系数对所述设备的风险评估值进行加权。
可选的,所述装置还用于预定义所述评估对象的级别和所述评估对象包含的设备,所述级别包括:设备级别,和/或风险项类型级别,和/或业务系统级别,和/或企业系统级别。
上述实施例所述的基于风险项扫描的信息安全装置,各个功能子单元所采用的技术方案本质与上述网络负载均衡方法的对应实施例相同,因此未做具体解释描述,相关之处可参见上述网络负载均衡方法的实施例的相关部分。
本实施例提供的信息安全评估装置,根据评估对象的级别确定所述评估对象包含的设备和所述设备对应的风险项类型,根据所述风险项类型对所述设备进行扫描,获得扫描结果及对应的风险项数目;根据所述风险项数目和预设的风险项评估规则对所述设备进行风险项评估,获得所述设备的风险项评估值;根据所述评估对象包含的设备的风险项评估值进行加权,得到所述评估对象的信息安全评估值。该装置可以根据预先设置的评估规则为评估对象包含的各设备进行量化值的风险项评估,并且该评估规则为根据已有的扫描结果中的风险项的概率分布得到,准确性较高。此外通过自动加权评估对象包含的各设备的评估值可以得到任何级别的评估对象的评估值,方便管理者从各个层次级别和各个维度对企业的信息安全状况进行监管。
与基于风险项扫描的信息安全评估方法和装置的实施例相对应,本发明还提供了一种基于风险项扫描的信息安全系统的实施例,如图6所示为基于风险项扫描的信息安全系统的实施例的结构示意图,所述实施例包括:信息安全评估装置和评估对象,所述评估对象包括信息安全设备,其特征在于,所述信息安全评估装置用于:
获取风险项评估规则,包括:获取预设周期内根据所述风险项对所述设备进行扫描的扫描结果样本,根据所述样本中包含的风险项数目的概率分布确定与所述风险项数目对应的风险项评估规则;以及
根据评估对象的级别确定所述评估对象包含的设备和所述设备对应的风险项,根据所述风险项对所述设备进行扫描,根据扫描结果获得所述设备对应的当前风险项数目;
根据所述当前风险项数目和所述风险项评估规则对所述设备进行风险项评估,获得所述设备对应的风险项评估值;以及
根据所述评估对象包含的设备的风险项评估值进行加权,得到所述评估对象的信息安全评估值。
可选的,所述信息安全评估装置在根据所述样本中包含的风险项数目的概率分布确定与所述风险项数目对应的风险项评估规则时,具体包括:
根据所述样本获得所述风险项数目的离散概率分布值,将所述离散概率分布值拟合为预设类型的概率分布,确定所述预设类型的概率分布的概率密度函数;
根据所述概率密度函数的量化值确定所述风险项评估规则的标准值,以及所述风险项数目与所述标准值的对应关系;
所述根据所述当前风险项数目和所述风险项评估规则对所述设备进行风险项评估包括:根据所述当前风险项数目和所述风险项数目与所述标准值的对应关系确定所述设备对应的风险项评估值。
所述信息安全系统可以根据预先设置的评估规则为评估对象所包含的各设备进行量化值的风险项评估,并且该评估规则为根据已有的扫描结果中的风险项的概率分布得到,准确性较高。此外通过自动加权评估对象包含的各设备的评估值可以得到任何级别的评估对象的评估值,方便管理者从各个层次级别和各个维度对系统的信息安全状况进行监管。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件的方式来实现,通用硬件包括通用集成电路、通用CPU、通用存储器、通用元器件等,当然也可以通过专用硬件包括专用集成电路、专用CPU、专用存储器、专用元器件等来实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述的本发明实施方式,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于风险项扫描的信息安全评估方法,其特征在于,所述方法包括:
获取风险项评估规则,包括:获取预设周期内根据所述风险项对设备进行扫描的扫描结果样本,根据所述样本中包含的风险项数目的概率分布确定与所述风险项数目对应的风险项评估规则;
根据评估对象的级别确定所述评估对象包含的设备和所述设备对应的风险项,根据所述风险项对所述设备进行扫描,根据扫描结果获得所述设备对应的当前风险项数目;
根据所述当前风险项数目和所述风险项评估规则对所述设备进行风险项评估,获得所述设备对应的风险项评估值;
根据所述评估对象包含的设备的风险项评估值进行加权,得到所述评估对象的信息安全评估值。
2.根据权利要求1所述的方法,其特征在于,所述根据所述样本中包含的风险项数目的概率分布确定与所述风险项数目对应的风险项评估规则包括:
根据所述样本获得所述风险项数目的离散概率分布值,将所述离散概率分布值拟合为预设类型的概率分布,确定所述预设类型的概率分布的概率密度函数;
根据所述概率密度函数的量化值确定所述风险项评估规则的标准值,以及所述风险项数目与所述标准值的对应关系;
所述根据所述当前风险项数目和所述风险项评估规则对所述设备进行风险项评估包括:根据所述当前风险项数目和所述风险项数目与所述标准值的对应关系确定所述设备对应的风险项评估值。
3.根据权利要求2所述的方法,其特征在于,所述预设类型的概率分布包括泊松分布或对数正态分布。
4.根据权利要求1至3任意一项所述的方法,其特征在于,所述方法还包括:
确定所述评估对象包含的各设备的第一权重系数;
确定所述各设备对应的各风险项的第二权重系数;
所述根据所述评估对象包含的设备的风险项评估值进行加权包括:根据所述第一权重系数和所述第二权重系数对所述设备的风险项评估值进行加权。
5.一种基于风险项扫描的信息安全评估装置,其特征在于,所述装置包括:
获取规则单元,用于获取风险项评估规则,所述获取规则单元包括:
第一获取子单元,用于获取预设周期内根据所述风险项对设备进行扫描的扫描结果样本;
第一确定子单元,用于根据所述样本中包含的风险项数目的概率分布确定与所述风险项数目对应的风险项评估规则;
所述装置还包括:扫描单元,用于根据评估对象的级别确定所述评估对象包含的设备和所述设备对应的风险项,并根据所述风险项对所述设备进行扫描,以及根据扫描结果获得所述设备对应的当前风险项数目;
第一评估单元,用于根据所述当前风险项数目和所述风险项评估规则对所述设备进行风险项评估,获得所述设备对应的风险项评估值;
第二评估单元,用于根据所述评估对象包含的设备的风险项评估值进行加权,得到所述评估对象的信息安全评估值。
6.根据权利要求5所述的装置,其特征在于,所述第一确定子单元包括:
拟合子单元,用于根据所述样本获得所述风险项数目的离散概率分布值,并将所述离散概率分布值拟合为预设类型的概率分布,以及确定所述预设类型的概率分布的概率密度函数;
第二确定子单元,用于根据所述概率密度函数的量化值确定所述风险项评估规则的标准值,以及所述风险项数目与所述标准值的对应关系;
所述第一评估单元,用于根据所述当前风险项数目和所述风险项数目与所述标准值的对应关系确定所述设备对应的风险项评估值。
7.根据权利要求6所述的装置,其特征在于,所述预设类型的概率分布包括泊松分布或对数正态分布。
8.根据权利要求5至7任意一项所述的装置,其特征在于,所述装置还包括:
第二确定子单元,用于确定所述评估对象包含的各设备的第一权重系数;
第三确定子单元,用于确定所述各设备对应的各风险项的第二权重系数;
所述第二评估单元用于根据所述第一权重系数和所述第二权重系数对所述设备的风险项评估值进行加权。
9.一种信息安全系统,所述系统包括:信息安全评估装置和评估对象,所述评估对象包括信息安全设备,其特征在于,所述信息安全评估装置用于:
获取风险项评估规则,包括:获取预设周期内根据所述风险项对所述设备进行扫描的扫描结果样本,根据所述样本中包含的风险项数目的概率分布确定与所述风险项数目对应的风险项评估规则;以及
根据评估对象的级别确定所述评估对象包含的设备和所述设备对应的风险项,根据所述风险项对所述设备进行扫描,根据扫描结果获得所述设备对应的当前风险项数目;
根据所述当前风险项数目和所述风险项评估规则对所述设备进行风险项评估,获得所述设备对应的风险项评估值;以及
根据所述评估对象包含的设备的风险项评估值进行加权,得到所述评估对象的信息安全评估值。
10.根据权利要求9所述的信息安全系统,其特征在于,所述信息安全评估装置在根据所述样本中包含的风险项数目的概率分布确定与所述风险项数目对应的风险项评估规则时,具体包括:
根据所述样本获得所述风险项数目的离散概率分布值,将所述离散概率分布值拟合为预设类型的概率分布,确定所述预设类型的概率分布的概率密度函数;
根据所述概率密度函数的量化值确定所述风险项评估规则的标准值,以及所述风险项数目与所述标准值的对应关系;
所述根据所述当前风险项数目和所述风险项评估规则对所述设备进行风险项评估包括:根据所述当前风险项数目和所述风险项数目与所述标准值的对应关系确定所述设备对应的风险项评估值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510073370.2A CN105282131B (zh) | 2015-02-10 | 2015-02-10 | 基于风险项扫描的信息安全评估方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510073370.2A CN105282131B (zh) | 2015-02-10 | 2015-02-10 | 基于风险项扫描的信息安全评估方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105282131A CN105282131A (zh) | 2016-01-27 |
| CN105282131B true CN105282131B (zh) | 2018-10-23 |
Family
ID=55150464
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510073370.2A Active CN105282131B (zh) | 2015-02-10 | 2015-02-10 | 基于风险项扫描的信息安全评估方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105282131B (zh) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107172004A (zh) * | 2016-03-08 | 2017-09-15 | 中兴通讯股份有限公司 | 一种网络安全设备的风险评估方法和装置 |
| CN107230008B (zh) * | 2016-03-25 | 2020-03-27 | 阿里巴巴集团控股有限公司 | 一种风险信息输出、风险信息构建方法及装置 |
| CN106790211B (zh) * | 2017-01-06 | 2018-06-01 | 浙江中都信息技术有限公司 | 一种预测恶意软件感染的统计预测系统和方法 |
| CN106878316B (zh) * | 2017-02-28 | 2020-07-07 | 新华三技术有限公司 | 一种风险量化方法及装置 |
| CN107294979A (zh) * | 2017-06-29 | 2017-10-24 | 国家计算机网络与信息安全管理中心 | 基于配置核查的网络安全评估方法和装置 |
| CN107480533B (zh) * | 2017-08-08 | 2022-05-24 | 深圳市腾讯计算机系统有限公司 | 一种漏洞修复的方法、装置及存储介质 |
| CN107689956B (zh) * | 2017-08-31 | 2020-12-01 | 奇安信科技集团股份有限公司 | 一种异常事件的威胁评估方法及装置 |
| CN108460521A (zh) * | 2018-02-02 | 2018-08-28 | 广州供电局有限公司 | 审计对象的推荐方法和系统 |
| CN108898022A (zh) * | 2018-06-22 | 2018-11-27 | 珠海市君天电子科技有限公司 | 一种性能检测方法、装置及电子设备 |
| CN109255518A (zh) * | 2018-08-01 | 2019-01-22 | 阿里巴巴集团控股有限公司 | 数据使用风险评估方法、装置和系统 |
| CN109598414B (zh) * | 2018-11-13 | 2023-04-21 | 创新先进技术有限公司 | 风险评估模型训练、风险评估方法、装置及电子设备 |
| CN109697260B (zh) * | 2018-12-29 | 2021-11-16 | 北京金山安全软件有限公司 | 虚拟货币的检测方法、装置、计算机设备和存储介质 |
| CN110247904A (zh) * | 2019-06-04 | 2019-09-17 | 菜鸟智能物流控股有限公司 | 一种扫描方法和装置 |
| CN112307480B (zh) * | 2019-07-24 | 2023-09-05 | 中移互联网有限公司 | 应用软件所在设备的风险分析方法及装置 |
| CN110866259A (zh) * | 2019-11-14 | 2020-03-06 | 杭州安恒信息技术股份有限公司 | 一种基于多维度数据计算安全隐患评分方法和系统 |
| CN112800432A (zh) * | 2021-02-05 | 2021-05-14 | 绿盟科技集团股份有限公司 | 一种漏洞描述与资产匹配方法、装置、设备及介质 |
| CN112818307B (zh) * | 2021-02-25 | 2024-05-28 | 深信服科技股份有限公司 | 用户操作处理方法、系统、设备及计算机可读存储介质 |
| CN113037766A (zh) * | 2021-03-23 | 2021-06-25 | 中通服创发科技有限责任公司 | 多场景下的资产安全健康度综合评估方法 |
| CN114039742A (zh) * | 2021-09-26 | 2022-02-11 | 北京华云安信息技术有限公司 | 漏洞管理方法、系统、设备以及存储介质 |
| CN114666148B (zh) * | 2022-03-31 | 2024-02-23 | 深信服科技股份有限公司 | 风险评估方法、装置及相关设备 |
| CN115473782B (zh) * | 2022-11-11 | 2023-03-03 | 北京数盾信息科技有限公司 | 一种密码设备的管理方法及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102521496A (zh) * | 2011-12-02 | 2012-06-27 | 北京启明星辰信息安全技术有限公司 | 评估指标的重要性级别的获取方法和系统 |
| CN104320271A (zh) * | 2014-10-20 | 2015-01-28 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络设备安全评估方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8539586B2 (en) * | 2006-05-19 | 2013-09-17 | Peter R. Stephenson | Method for evaluating system risk |
-
2015
- 2015-02-10 CN CN201510073370.2A patent/CN105282131B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102521496A (zh) * | 2011-12-02 | 2012-06-27 | 北京启明星辰信息安全技术有限公司 | 评估指标的重要性级别的获取方法和系统 |
| CN104320271A (zh) * | 2014-10-20 | 2015-01-28 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络设备安全评估方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 一种新型网络安全评估方案;张丽萍 等;《计算机光盘软件与应用》;20140930(第9期);第139-146页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105282131A (zh) | 2016-01-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105282131B (zh) | 基于风险项扫描的信息安全评估方法、装置及系统 | |
| US8375199B2 (en) | Automated security management | |
| CN108228412A (zh) | 一种基于系统健康度监测系统故障及隐患的方法及装置 | |
| US11669906B2 (en) | Advisory thresholds and alerts for managing position concentration risk | |
| Feuchtwang et al. | Offshore wind turbine maintenance access: a closed‐form probabilistic method for calculating delays caused by sea‐state | |
| CN106878316B (zh) | 一种风险量化方法及装置 | |
| KR20070061009A (ko) | 보안 위험 관리 시스템 및 방법 | |
| CN115619364B (zh) | 基于人工智能的招聘信息发布方法、装置及系统 | |
| CN107292746A (zh) | 退保业务的信息处理方法和装置 | |
| CN108809928B (zh) | 一种网络资产风险画像方法及装置 | |
| Abdulali et al. | Extreme value distributions: An overview of estimation and simulation | |
| Legowo et al. | Risk management; risk assessment of information technology security system at bank using ISO 27001 | |
| Scagliarini et al. | Comparison of control charts for Poisson count data in health‐care monitoring | |
| WO2015159926A1 (ja) | 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム | |
| CN113127878A (zh) | 威胁事件的风险评估方法及装置 | |
| KR20140047721A (ko) | 리스크 관리 장치 | |
| CN116583887A (zh) | 先进的基于行为的安全通知系统和方法 | |
| CN107256488B (zh) | 一种订单作弊的检测方法及装置 | |
| Chernov et al. | Determining the Hazard Quotient of Destructive Actions of Automated Process Control Systems Information Security Violator | |
| CN111178666A (zh) | 一种基于脆弱性的电力系统应急策略生成方法及装置 | |
| Chernov et al. | Method of determining the danger coefficient of actions of the information security offender of APCs | |
| Chernov et al. | Application of the method of determining the degree of danger of destructive actions to solve the problem of information security of APCs | |
| JP2010266966A (ja) | セキュリティ対策評価方法及び装置 | |
| CN115208638B (zh) | 一种网络安全意识评估方法和装置 | |
| Li et al. | A Study of Information Security Evaluation and Risk Assessment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |