CN107347074B - 一种确定网络设备安全性的方法 - Google Patents

一种确定网络设备安全性的方法 Download PDF

Info

Publication number
CN107347074B
CN107347074B CN201710673445.XA CN201710673445A CN107347074B CN 107347074 B CN107347074 B CN 107347074B CN 201710673445 A CN201710673445 A CN 201710673445A CN 107347074 B CN107347074 B CN 107347074B
Authority
CN
China
Prior art keywords
network equipment
value
loophole
index value
safety
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710673445.XA
Other languages
English (en)
Other versions
CN107347074A (zh
Inventor
倪平
张治兵
周开波
李莉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Academy of Information and Communications Technology CAICT
Original Assignee
China Academy of Information and Communications Technology CAICT
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Academy of Information and Communications Technology CAICT filed Critical China Academy of Information and Communications Technology CAICT
Priority to CN201710673445.XA priority Critical patent/CN107347074B/zh
Publication of CN107347074A publication Critical patent/CN107347074A/zh
Application granted granted Critical
Publication of CN107347074B publication Critical patent/CN107347074B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种确定网络设备安全性的方法,该方法包括:针对网络设备进行漏洞扫描,根据漏洞扫描发现的已知漏洞采用线性加权的方式确定已知漏洞指数值;针对网络设备进行漏洞挖掘,根据漏洞挖掘发现的未知漏洞的CVSS值确定未知漏洞指数值;针对网络设备进行安全功能测试,根据安全功能测试结果确定安全功能指数值;根据确定的已知漏洞指数值、未知漏洞指数值和安全功能指数值,确定网络设备的安全值;当安全值大于预设安全阈值时,确定该网络设备的安全性低;否则,确定该网络设备的安全性高。该方案能够综合网络设备的脆弱性和安全功能测试结果,更全面、通用地确定网络设备的安全性。

Description

一种确定网络设备安全性的方法
技术领域
本发明涉及通信技术领域,特别涉及一种确定网络设备安全性的方法。
背景技术
2017年6月1日开始实施的《中华人民共和国网络安全法》中明确指出,国家实行网络安全等级保护制度。网络安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
信息系统安全保护等级的划分是根据信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级共分五级。
参见表1,表1为网络安全等级保护制度等级划分示意。
表1
根据这一制度,业界制定了一份国家标准GB/T18018《信息安全技术路由器安全技术要求》,该标准分三个等级规定了路由器的安全技术要求。安全等级由低到高,安全要求逐级增强。对每一级,从技术和管理两个方面,提出了安全要求。依据该标准,可以定性地将路由器分为三个级别。
该种等级划分法存在如下问题:
仅考虑了安全功能要求,对于脆弱性方面的要求,仅仅从文档审查方面进行了规范,并不能真正反映出设备的安全性;
该标准只是针对路由器的等级划分,交换机等其他网络设备不适用;
该标准仅仅是定性的分级标准,无法定量的描述设备整体的安全性。
信息技术安全评价通用准则(The Common Criteria for InformationTechnology security Evaluation,CC),简称CC标准,它综合了已有的信息安全的准则和标准,形成了一个更全面的框架。CC标准是信息技术安全性评估标准,用来评估信息系统、信息产品的安全性。CC标准的评估分为两个方面:安全功能需求和安全保证需求。
我国GB/T 18336国家标准等同采用了CC。在GB/T 18336中定义了以下7个评估保证级:
(1)评估保证级1(EAL1)——功能测试;
(2)评估保证级2(EAL2)——结构测试;
(3)评估保证级3(EAL3)——系统地测试和检查;
(4)评估保证级4(EAL4)——系统地设计、测试和复查;
(5)评估保证级5(EAL5)——半形式化设计和测试;
(6)评估保证级6(EAL6)——半形式化验证的设计和测试;
(7)评估保证级7(EAL7)——形式化验证的设计和测试。
GB/T 21050《信息安全技术网络交换机安全技术要求(评估保证级3)》明确了EAL3级别的网络交换机需要满足的安全技术要求。该体系存在如下问题:
在技术上,仅考虑了安全功能要求,对于脆弱性方面的要求,仅仅从文档审查方面进行了规范,并不能真正反映出设备的安全性;
该标准仅仅提出了EAL3级的要求,也就是只有一个级别的要求,并不能真正区分设备的安全性;
通用漏洞评分系统(Common Vulnerability Scoring System,CVSS)是一个行业公开标准,用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度。
CVSS是一种对单个漏洞进行量化评估的方法。它也是目前漏洞危害等级评估方面应用最广的评估方法。CVSS从漏洞可用性、漏洞生命周期、环境影响三个方面对漏洞的危害进行综合度量。
CVSS值取值范围是0-10,漏洞的危害越严重,CVSS值越高。一般情况下,按照CVSS值,将漏洞分为紧急、高、中、低。参见表2,表2为漏洞等级与CVSS值的关系示意内容。
漏洞等级 CVSS值
0.1-3.9
4.0-6.9
7.0-8.9
紧急 9.0-10.0
表2
一台网络设备可能会存在多个漏洞,而CVSS值只能对单个漏洞进行量化评估,无法量化整台设备的安全性。况且,网络设备除了会有漏洞以外,还有可能存在安全功能缺失,这种安全问题是CVSS无法量化的。
综上所述,现有实现中,还未提出一种全面考虑了脆弱性和安全性的确定网络设备的安全性的方法。
发明内容
有鉴于此,本申请提供一种确定网络设备安全性的方法,能够综合网络设备的脆弱性和安全功能测试结果,更全面、通用地确定网络设备的安全性。
为解决上述技术问题,本申请的技术方案是这样实现的:
一种确定网络设备安全性的方法,该方法包括:
针对网络设备进行漏洞扫描,根据漏洞扫描发现的已知漏洞采用线性加权的方式确定已知漏洞指数值;
针对网络设备进行漏洞挖掘,根据漏洞挖掘发现的未知漏洞的CVSS值确定未知漏洞指数值;
针对网络设备进行安全功能测试,根据安全功能测试结果确定安全功能指数值;
根据确定的已知漏洞指数值、未知漏洞指数值和安全功能指数值,确定网络设备的安全值;
当安全值大于预设安全阈值时,确定该网络设备的安全性低;否则,确定该网络设备的安全性高。
由上面的技术方案可知,本申请中通过对网络设备进行漏洞扫描、漏洞挖掘以及安全功能测试,将测试结果量化获得已知漏洞指数、未知漏洞指数和功能脆弱性指数,并根据获得的三个指数确定网络设备的安全值,进而确定网络设备的安全性的高低。该方案能够综合网络设备的脆弱性和安全功能测试结果,更全面、通用地确定网络设备的安全性。
附图说明
图1为本申请实施例中实现网络设备安全性确定流程示意图;
图2为网络设备安全量化评估模型示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,下面结合附图并举实施例,对本发明的技术方案进行详细说明。
本申请实施例中提供一种网络设备安全确定方法,通过对网络设备进行漏洞扫描、漏洞挖掘以及安全功能测试,将测试结果量化获得已知漏洞指数、未知漏洞指数和功能脆弱性指数,并根据获得的三个指数确定网络设备的安全值,进而确定网络设备的安全性的高低。该方案能够综合网络设备的脆弱性和安全功能测试结果,更全面、通用地确定网络设备的安全性。
对于网络设备的安全性从两个方面进行评估,分别是脆弱性和安全功能。脆弱性(vulnerability),又称弱点或漏洞,是网络设备存在的可能被威胁利用造成损害的薄弱环节,脆弱性一旦被威胁成功利用就可能对网络设备造成损害。
漏洞又分为已知漏洞(mDAY)和未知漏洞(0DAY)。
已知漏洞是已经公开发布的漏洞,相关方往往在发布漏洞之前已经修复了该漏洞,以避免漏洞在公布之后造成的大规模损失。
0DAY漏洞,是已经被发现,但是尚未公开的漏洞,或者官方尚未发布相关补丁的漏洞。这一类漏洞“杀伤力”较大,因为没有相应的补丁,攻击者可以利用漏洞发起大规模的攻击。安全功能是网络设备自身所具有的功能,这些功能能够保障网络设备及其所组成的网络的安全性。
由于种种原因,漏洞的存在不可避免,一旦某些较严重的漏洞被攻击者发现,就有可能被其利用,在未授权的情况下访问或破坏信息系统。先于攻击者发现并及时修补漏洞可有效减少来自网络的威胁。因此主动发掘并分析安全漏洞,对网络攻防战具有重要的意义。
下面结合附图,详细说明本申请实施例中实现网络设备安全性确定过程。为了描述方便,下文将实现本申请实施例技术方案的设备统称为处理设备。
参见图1,图1为本申请实施例中实现网络设备安全性确定流程示意图。具体步骤为:
步骤101,处理设备针对网络设备进行漏洞扫描,根据漏洞扫描发现的已知漏洞采用线性加权的方式确定已知漏洞指数值。
漏洞扫描是基于漏洞数据库,通过扫描等手段发现设备中是否存在已知漏洞的方法。
通过漏洞扫描,能够发现设备中存在的已知漏洞。对发现的已知漏洞进行量化,即可获得已知漏洞指数mDAY;已知漏洞指数反映了攻击者通过已知漏洞成功攻击设备的可能性。
本申请实施例中给出了如下三种确定已知漏洞指数mDAY的方式,具体为:
第一种,根据漏洞扫描发现的已知漏洞采用线性加权的方式确定已知漏洞指数值mDAY,包括:
mDAY=MIN[(a1×Cm+a2×Hm+a3×Mm+a4×Lm),10]
其中,a1,a2,a3,a4为预设漏洞数加权系数,Cm为紧急漏洞数,Hm为高危漏洞数,Mm为中危漏洞数,Lm为低危漏洞数。
预设漏洞加权系数的配置可以根据实际应用配置,如经验值,专家打分等方式。
该种实现方式通过对扫描出的漏洞的数进行线性加权,获取已知漏洞指数值。
第二种,根据漏洞扫描发现的已知漏洞采用线性加权的方式确定已知漏洞指数值mDAY,包括:
其中,CVSSi为第i个已知漏洞的通用弱点评价体系值,q为发现的已知漏洞的总数。
该种实现方式,通过对扫描出的所有已知漏洞的CVSS值进行求平均,获得已知漏洞指数值。
由于漏洞在公开时,会同时公布CVSS值,即使没有公开CVSS值,也可以通过漏洞描述,自行根据CVSS计算公式进行计算得到。
第三种,根据漏洞扫描发现的已知漏洞采用线性加权的方式确定已知漏洞指数值mDAY,包括:
其中,b1、b2、b3、b4为预设CVSS值加权系数;CVSSp为第p个紧急漏洞的通用弱点评价体系值,CVSSc为第c个高危漏洞的通用弱点评价体系值,CVSSd为第d个中危漏洞的通用弱点评价体系值,CVSSe为第e个低危漏洞的通用弱点评价体系值,n为紧急漏洞的总数,m为高危漏洞的总数,j为中危漏洞的总数,k为低危漏洞的总数。
该种实现方式,通过对紧急漏洞的CVSS值的和、高危漏洞的CVSS值的和,中危漏洞的CVSS值的和,以及低危漏洞的CVSS值的和分别进行加权后,求所有漏洞的平均值,来获得已知漏洞指数值。
通过上述三种方式都可以用来计算已知漏洞指数。已知漏洞指数的取值范围是[0,10],值越大表明网络设备存在已知漏洞越多,攻击者通过已知漏洞攻击网络设备的可能性越大。
步骤102,该处理设备针对网络设备进行漏洞挖掘,根据漏洞挖掘发现的未知漏洞的CVSS值确定未知漏洞指数值。
漏洞挖掘技术是指对未知漏洞的探索,综合应用各种技术和工具,尽可能地找出设备中潜在的尚未发掘的漏洞。
目前漏洞挖掘技术有多种,包括手工测试技术(manual testing)、模糊测试技术(Fuzzing)、静态分析技术(static analysis)、比对和二进制比对技术(Diff andBinDiff)、动态调试技术等。
本申请实施例中针对网络设备进行漏洞挖掘时,使用Fuzzing技术进行漏洞挖掘测试。
Fuzzing测试,又称为模糊测试,是一种自动化的漏洞挖掘技术,它使用大量的半有效(semi-valid)的数据作为输入,试图发现应用程序的脆弱点。
所谓半有效数据是指对被测对象来说,该数据的大部分是有效的,这样被测对象就会认为这是一个有效的数据,但同时该数据的其余部分是无效的。因此,被测对象在处理该数据时就有可能发生错误,这种错误会导致被测对象的崩溃、信息泄露、延迟等,进而触发漏洞。
对于网络设备,漏洞挖掘主要是对各种协议进行Fuzzing测试,包括管理协议、转发协议以及控制协议,如SSH、BGP、ARP等。对于每一个协议,构造相对应的测试用例,进行Fuzzing测试。根据协议的复杂程度不同,测试用例的数量也不同。在大量的测试用例中,能够导致设备异常,即导致安全问题的可能只占到其中一部分。同一个漏洞,可能可以由多个测试用例导致。这些需要人工进行分析。
本申请实施例中根据漏洞挖掘发现的未知漏洞的CVSS值确定未知漏洞指数值0DAY,包括:
其中,A为总测试用例数,V为导致安全问题的测试用例数,CVSSs为第s个未知漏洞的通用弱点评价体系值,t为未知漏洞总数。
未知漏洞指数的取值范围是[0,10],值越大表明网络设备存在未知漏洞越多,攻击者通过未知漏洞攻击网络设备的可能性越大。
步骤103,该处理设备针对网络设备进行安全功能测试,根据安全功能测试结果确定安全功能指数值。
fVul;网络设备的安全功能包括各个方面,如设备的默认配置是否安全、设备的口令安全等。这些测试项,可以根据网络设备所处环境的安全特性或者用户对于设备安全的期望以及相关标准的要求来制定。测试人员可根据具体的测试项采取适当的测试方法。每一个测试项的测试结果是通过、不通过或者不支持。当对同一批网络设备进行横向比较时,应当采用相同的测试项,即统一的要求。
本步骤中根据安全测试结果确定安全功能指数值fVul,包括:
fVul=(NF/F)×10;
其中,NF为不通过功能数,F为支持的安全功能测试项数。
在本申请具体测试时,将安全功能分为支持的安全功能和不支持的安全功能;针对支持的安全功能在测试时,测试的结果包括通过和不通过。
安全功能指数的取值范围是[0,10],越大表明网络设备的安全功能缺失的越多。
步骤101到步骤103的执行不分先后顺序,可以串行进行,也可以并行进行,本申请实施例中不对此进行限制。
步骤104,该处理设备根据确定的已知漏洞指数值、未知漏洞指数值和安全功能指数值,确定网络设备的安全值。
已知漏洞指数值、未知漏洞指数值和安全功能指数值对应的三个指数分别从不同的角度反映了网络设备的安全性,但是任意一个指数都无法全面的代表一个设备整体的安全性。
本申请建立一个网络设备安全量化评估模型来定量的反映网络设备的安全性。
在二维平面上,作一个三角形,该三角形的三个顶点分别代表三个指数的最大值10。规定,当三个指数的值分别为10时,该三角形为等边三角形,其中心距离顶点的距离为10,记该三角形为极大三角形。
参见图2,图2为网络设备安全量化评估模型示意图。图2中虚线所对应的三角形为极大三角形。当三个指数的值均不为10时,可能出现图2中加粗的直线所构成的三角形。此时,该三角形顶点距离极大三角形的中心的距离分别代表三个指数的值,即,mDAY、fVul和0DAY。
本申请实施例中将三个指数的值对应的点的连线组成的三角形的面积,确定为网络设备整体的安全性值。下面给出具体计算网络设备的安全性值SND
SND的值越大,表明网络设备的安全性越低,反之,则安全性较高。
步骤105,当安全值大于预设安全阈值时,该处理设备确定该网络设备的安全性低;否则,确定该网络设备的安全性高。
在具体实现时,为了更直观地确定网络设备的安全性的高低,预先配置一个预设安全阈值,该值可以根据实际应用配置,通过计算出的安全值与该预设安全阈值进行比较,确定安全性的高低。
在实际应用中,可以配置N-1个等级阈值,划分N个安全等级,其中,N 为大于1的整数。
在具体实现中,将网络设备的安全等级划分几个等级,可以根据实际需要确定,本申请实施例中不做限制。
考虑到现有等级保护体系中将信息系统的级别划分为五个等级,为了方便信息系统的建设者在建设信息系统时能够正确地选择相应级别的网络设备,我们根据SND将网络设备的安全等级可以划分为五个等级。
在划分网络设备的等级时,配置四个阈值,分别为:第一等级阈值,第二等级阈值、第三等级阈值和第四等级阈值,且第一等级阈值大于第二等级阈值,第二等级阈值大于第三等级阈值,第三等级阈值大于第四等级阈值;
则当SND大于第一等级阈值时,确定该网络设备的安全等级为第一等级;
当SND不大于第一等级阈值,且大于第二等级阈值时,确定该网络设备的安全等级为第二等级;
当SND不大于第二等级阈值,且大于第三等级阈值时,确定该网络设备的安全等级为第三等级;
当SND不大于第三等级阈值,且大于第四等级阈值时,确定该网络设备的安全等级为第四等级;
当SND不大于第四等级阈值时,确定该网络设备的安全等级为第五等级。
本申请实施例中安全等级对应的等级值越高,安全性越高,这样的设置是为了与信息系统的安全等级相适应。
使用者也可以根据实际需要划分网络设备的安全等级,以及等级值的高低与安全性的对应关系,如等级值越高,安全性越差,均不限制与实施例中所举的例子,均可以根据实际需要划分。如划分五个等级,与信息系统安全级别相对应的划分方式仅是一种举例。
参见表3,表3为本申请实施例中网络设备安全等级划分为五个等级的示意表。
表3
表3中以10个网络设备划分安全等级为例,当网络设备的等级值不小于信息系统的级别值时,在对应的信息系统中可以使用该网络设备。
如当前要求搭建的信息系统的级别为第四级,则网络设备3、网络设备 8、网络设备9和网络设备10均可使用,而其他网络设备由于安全等级不够高而不能被使用。
由此可见,本申请实施例中网络设备的等级值不小于信息系统的级别值时,才可以在对应的信息系统中使用该网络设备;否则,不可以在对应的信息系统中使用该网络设备。
综上所述,本申请通过对网络设备进行漏洞扫描、漏洞挖掘以及安全功能测试,将测试结果量化获得已知漏洞指数、未知漏洞指数和功能脆弱性指数,并根据获得的三个指数确定网络设备的安全值,进而确定网络设备的安全性的高低。该方案能够综合网络设备的脆弱性和安全功能测试结果,更全面、通用地确定网络设备的安全性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (10)

1.一种确定网络设备安全性的方法,其特征在于,该方法包括:
针对网络设备进行漏洞扫描,根据漏洞扫描发现的已知漏洞采用线性加权的方式确定已知漏洞指数值;
针对网络设备进行漏洞挖掘,根据漏洞挖掘发现的未知漏洞的通用漏洞评分系统CVSS值确定未知漏洞指数值;
针对网络设备进行安全功能测试,根据安全功能测试结果确定安全功能指数值;
根据确定的已知漏洞指数值、未知漏洞指数值和安全功能指数值,确定网络设备的安全值;
当安全值大于预设安全阈值时,确定该网络设备的安全性低;否则,确定该网络设备的安全性高。
2.根据权利要求1所述的方法,其特征在于,所述根据确定的已知漏洞指数值、未知漏洞指数值和安全功能指数值,确定网络设备的安全值SND,包括:
其中,mDAY为已知漏洞指数值,0DAY为未知漏洞指数值,fVul为安全功能指数值。
3.根据权利要求1所述的方法,其特征在于,所述根据漏洞扫描发现的已知漏洞采用线性加权的方式确定已知漏洞指数值mDAY,包括:
mDAY=MIN[(a1×Cm+a2×Hm+a3×Mm+a4×Lm),10]
其中,a1,a2,a3,a4为预设漏洞数加权系数,Cm为紧急漏洞数,Hm为高危漏洞数,Mm为中危漏洞数,Lm为低危漏洞数。
4.根据权利要求1所述的方法,其特征在于,所述根据漏洞扫描发现的已知漏洞采用线性加权的方式确定已知漏洞指数值mDAY,包括:
其中,CVSSi为第i个已知漏洞的通用弱点评价体系值,q为发现的已知漏洞的总数。
5.根据权利要求1所述的方法,其特征在于,所述根据漏洞扫描发现的已知漏洞采用线性加权的方式确定已知漏洞指数值mDAY,包括:
其中,b1、b2、b3、b4为预设CVSS值加权系数;CVSSp为第p个紧急漏洞的通用弱点评价体系值,CVSSc为第c个高危漏洞的通用弱点评价体系值,CVSSd为第d个中危漏洞的通用弱点评价体系值,CVSSe为第e个低危漏洞的通用弱点评价体系值,n为紧急漏洞的总数,m为高危漏洞的总数,j为中危漏洞的总数,k为低危漏洞的总数。
6.根据权利要求1所述的方法,其特征在于,所述方法进一步包括:针对网络设备进行漏洞挖掘时,使用Fuzzing技术进行漏洞挖掘测试;
所述根据漏洞挖掘发现的未知漏洞的CVSS值确定未知漏洞指数值0DAY,包括:
其中,其中,A为总测试用例数,V为导致安全问题的测试用例数,CVSSs为第s个未知漏洞的通用弱点评价体系值,t为未知漏洞总数。
7.根据权利要求1所述的方法,其特征在于,所述根据安全功能测试结果确定安全功能指数值fVul,包括:
fVul=(NF/F)×10;
其中,NF为不通过功能数,F为支持的安全功能测试项数。
8.根据权利要求1-7任意一项所述的方法,其特征在于,所述方法进一步包括:配置N-1个等级阈值,划分N个安全等级,其中,N为大于1的整数。
9.根据权利要求8所述的方法,其特征在于,
当N为5时,配置4个等级值,分别为:第一等级阈值、第二等级阈值、第三等级阈值和第四等级阈值;其中,第一等级阈值大于第二等级阈值,第二等级阈值大于第三等级阈值,第三等级阈值大于第四等级阈值;
则当SND大于第一等级阈值时,确定该网络设备的安全等级为第一等级;
当SND不大于第一等级阈值,且大于第二等级阈值时,确定该网络设备的安全等级为第二等级;
当SND不大于第二等级阈值,且大于第三等级阈值时,确定该网络设备的安全等级为第三等级;
当SND不大于第三等级阈值,且大于第四等级阈值时,确定该网络设备的安全等级为第四等级;
当SND不大于第四等级阈值时,确定该网络设备的安全等级为第五等级。
10.根据权利要求9所述的方法,其特征在于,所述方法进一步包括:
当网络设备的等级值不小于信息系统的级别值时,在对应的信息系统中使用该网络设备。
CN201710673445.XA 2017-08-09 2017-08-09 一种确定网络设备安全性的方法 Active CN107347074B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710673445.XA CN107347074B (zh) 2017-08-09 2017-08-09 一种确定网络设备安全性的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710673445.XA CN107347074B (zh) 2017-08-09 2017-08-09 一种确定网络设备安全性的方法

Publications (2)

Publication Number Publication Date
CN107347074A CN107347074A (zh) 2017-11-14
CN107347074B true CN107347074B (zh) 2019-09-06

Family

ID=60257950

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710673445.XA Active CN107347074B (zh) 2017-08-09 2017-08-09 一种确定网络设备安全性的方法

Country Status (1)

Country Link
CN (1) CN107347074B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110753348B (zh) * 2018-07-23 2023-05-09 中国移动通信有限公司研究院 一种网络安全检测方法、装置及设备
CN112822212B (zh) * 2021-02-06 2022-12-02 西安热工研究院有限公司 一种非接触式水电监控系统网络安全脆弱性检测方法
CN114915491B (zh) * 2022-06-20 2023-12-26 北京猎鹰安全科技有限公司 一种网络终端安全状态的评估方法、装置及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1852135A (zh) * 2005-07-12 2006-10-25 华为技术有限公司 一种保护接入用户安全的方法
CN101557590A (zh) * 2008-04-07 2009-10-14 华为技术有限公司 一种移动终端接入网络的安全验证方法、系统和装置
CN103749000B (zh) * 2010-06-09 2012-02-08 北京理工大学 一种基于多层次信息融合的内部网络监控体系
CN104468153A (zh) * 2013-09-13 2015-03-25 华为技术有限公司 一种集群系统中的告警方法、设备及集群系统
CN106059087A (zh) * 2016-07-19 2016-10-26 国网四川省电力公司电力科学研究院 一种智能变电站脆弱性分析评估系统
CN106230780A (zh) * 2016-07-19 2016-12-14 国网四川省电力公司电力科学研究院 一种智能变电站信息及控制系统安全分析评估平台

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7886348B2 (en) * 2003-10-03 2011-02-08 Verizon Services Corp. Security management system for monitoring firewall operation

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1852135A (zh) * 2005-07-12 2006-10-25 华为技术有限公司 一种保护接入用户安全的方法
CN101557590A (zh) * 2008-04-07 2009-10-14 华为技术有限公司 一种移动终端接入网络的安全验证方法、系统和装置
CN103749000B (zh) * 2010-06-09 2012-02-08 北京理工大学 一种基于多层次信息融合的内部网络监控体系
CN104468153A (zh) * 2013-09-13 2015-03-25 华为技术有限公司 一种集群系统中的告警方法、设备及集群系统
CN106059087A (zh) * 2016-07-19 2016-10-26 国网四川省电力公司电力科学研究院 一种智能变电站脆弱性分析评估系统
CN106230780A (zh) * 2016-07-19 2016-12-14 国网四川省电力公司电力科学研究院 一种智能变电站信息及控制系统安全分析评估平台

Also Published As

Publication number Publication date
CN107347074A (zh) 2017-11-14

Similar Documents

Publication Publication Date Title
CN104301302B (zh) 越权攻击检测方法及装置
KR100955281B1 (ko) 위협 관리를 위한 보안 위험도 평가 방법
Sharma et al. A comparative analysis and awareness survey of phishing detection tools
CN107347074B (zh) 一种确定网络设备安全性的方法
CN110602041A (zh) 基于白名单的物联网设备识别方法、装置及网络架构
CN106027559A (zh) 基于网络会话统计特征的大规模网络扫描检测方法
CN110519208B (zh) 异常检测方法、装置及计算机可读介质
US8887279B2 (en) Distributed real-time network protection for authentication systems
CN111881460B (zh) 一种漏洞利用检测方法、系统、设备及计算机存储介质
Gomes et al. Comparative graph theoretical characterization of networks of spam and legitimate email
CN111786974A (zh) 一种网络安全评估方法、装置、计算机设备和存储介质
Touseef et al. Analysis of automated web application security vulnerabilities testing
CN106230775A (zh) 防止攻击url规则库的方法以及装置
CN109684863A (zh) 数据防泄漏方法、装置、设备及存储介质
Folorunso et al. Id-somga: A self organising migrating genetic algorithm-based solution for intrusion detection
KR101464736B1 (ko) 정보보호 관리 시스템 및 이를 통한 홈페이지 위변조 탐지 방법
CN105939202A (zh) 一种设备生命周期管理方法及装置
CN102111302B (zh) 一种蠕虫检测方法
CN109145609B (zh) 一种数据处理方法和装置
CN116170225A (zh) 基于网络靶场的系统测试方法、装置、设备及存储介质
CN109729084A (zh) 一种基于区块链技术的网络安全事件检测方法
Williams et al. Relationship between Information Security Awareness and Information Security Threat
Gillen et al. Method for assessment of security-relevant settings in anomaly-based intrusion detection for industrial control systems
Lu et al. The evaluation model for network security
JP2005284523A (ja) 不正侵入検出システム及び方法並びに不正侵入検出用プログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant