CN111695770A - 资产漏洞风险的评估方法、设备和存储介质 - Google Patents
资产漏洞风险的评估方法、设备和存储介质 Download PDFInfo
- Publication number
- CN111695770A CN111695770A CN202010375780.3A CN202010375780A CN111695770A CN 111695770 A CN111695770 A CN 111695770A CN 202010375780 A CN202010375780 A CN 202010375780A CN 111695770 A CN111695770 A CN 111695770A
- Authority
- CN
- China
- Prior art keywords
- information
- risk
- asset
- value
- exposure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000012502 risk assessment Methods 0.000 title claims abstract description 43
- 238000011156 evaluation Methods 0.000 claims abstract description 156
- 238000012545 processing Methods 0.000 claims abstract description 12
- 230000006870 function Effects 0.000 claims description 58
- 231100000727 exposure assessment Toxicity 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 12
- 238000007667 floating Methods 0.000 claims description 11
- 238000012163 sequencing technique Methods 0.000 claims description 2
- 238000004364 calculation method Methods 0.000 abstract description 6
- 230000006854 communication Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000006243 chemical reaction Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 238000003062 neural network model Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 208000027418 Wounds and injury Diseases 0.000 description 1
- 230000007175 bidirectional communication Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 208000014674 injury Diseases 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000012913 prioritisation Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
Landscapes
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Engineering & Computer Science (AREA)
- Strategic Management (AREA)
- Entrepreneurship & Innovation (AREA)
- Economics (AREA)
- Operations Research (AREA)
- Game Theory and Decision Science (AREA)
- Development Economics (AREA)
- Marketing (AREA)
- Educational Administration (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本公开提供了资产漏洞风险的评估方法、设备和计算机可读存储介质。所述方法包括:获取当前资产的数据信息,所述数据信息包括当前资产的价值评估信息、网络曝光度信息、暴露风险评估信息和漏洞风险评估信息;按照预设条件对所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息进行处理,将所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息转化为对应的标准数值信息;根据所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息的标准数值信息确定当前资产的风险值。以此方式,可以实现统一资产和漏洞的关系,同时能够表达风险计算结果的可靠程度。
Description
技术领域
本公开的实施例一般涉及信息安全领域,并且更具体地,涉及资产漏洞风险的评估方法、设备和存储介质。
背景技术
目前企业中主要采用基于CVSS的评估标准,进行漏洞重要度评级,CVSS全称Common Vulnerability Scoring System,即“通用漏洞评分系统”,是一个行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度。CVSS是安全内容自动化协议(SCAP)的一部分,通常CVSS同CVE一同由美国国家漏洞库(NVD)发布并保持数据的更新。
但是,随着信息安全技术的发展,对漏洞重要度评级也提出了越来越高的要求。申请人在实现本公开的技术方案的过程中发现:现有的基于CVSS的评估标准,缺少整体性,评估方式较为片面没有考虑资产和外部威胁的融合性,仅考虑漏洞本身的危害,并且一般为静态的评估方式,无法随着时间推移进行及时调整,如漏洞出现补丁,其威胁系数应提进行动态调整。CVSS评分系统目前主要采用人工打分方式,主要依靠厂商、企业等组织机构的相关人员共同评分。无法评估置信度,当评估系数缺失时或无法确认时,系统同样会根据算法给出结果,但并未给出结果的置信度,严重影响了企业对于漏洞等级的辨别。
因此,现有技术仍不能满足对资产漏洞的重要度进行评级的需求。
发明内容
根据本公开的实施例,提供了一种满足对资产漏洞的重要度进行评级的需求的方案。
在本公开的第一方面,提供了一种资产漏洞风险的评估方法,包括:
获取当前资产的数据信息,所述数据信息包括当前资产的价值评估信息、网络曝光度信息、暴露风险评估信息和漏洞风险评估信息;
按照预设条件对所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息进行处理,将所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息转化为对应的标准数值信息;
根据所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息的标准数值信息确定当前资产的风险值。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述当前资产的风险值为浮点数,其中,所述浮点数的整数部分表示风险的严重度,所述浮点数的小数部分表示风险的严重度的可信度。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述按照预设条件对所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息进行处理,将所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息转化为对应的标准数值信息,包括:
分别采用对应的资产价值评估函数、资产网络曝光度评估函数、资产暴露风险评估函数和漏洞风险评估函数计算对应的评估值。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述分别采用对应的资产价值评估函数、资产网络曝光度评估函数、资产暴露风险评估函数和漏洞风险评估函数计算对应的评估值,包括:
根据所述资产价值评估函数、资产网络曝光度评估函数、资产暴露风险评估函数和漏洞风险评估函数的定义选取对应维度的变量,将所述对应维度的变量量化后得到的参数值,代入对应的函数计算对应的评估值。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述根据所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息的标准数值信息确定当前资产的风险值,包括:
将带入参数值得到的所述价值评估信息的评估值、所述网络曝光度信息的评估值、所述暴露风险评估信息的评估值和所述漏洞风险评估信息的评估值的乘积作为当前资产的风险值。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述资产价值评估函数、所述资产网络曝光度评估函数、所述资产暴露风险评估函数和所述漏洞风险评估函数分别对应有预先定义的权重值。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述权重值配置为接受用户自定义的状态。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,还包括:
根据确定的资产的风险值对资产漏洞风险进行优先级排序,并按照预设条件向用户推送资产的风险信息。
在本公开的第二方面,提供了一种电子设备,包括存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现如以上所述的方法。
在本公开的第三方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如以上所述的方法。
应当理解,发明内容部分中所描述的内容并非旨在限定本公开的实施例的关键或重要特征,亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。
本公开的实施例,能够实现统一资产和漏洞的关系,同时能够表达风险计算结果的可靠程度。
附图说明
结合附图并参考以下详细说明,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
图1示出了本公开实施例一的资产漏洞风险的评估方法的流程图;
图2示出了本公开实施例二的资产漏洞风险的评估方法的流程图;
图3示出了本公开实施例三的资产漏洞风险的评估装置的功能结构示意图;
图4示出了本公开实施例四的资产漏洞风险的评估设备的结构示意图。
具体实施方式
为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例,都属于本公开保护的范围。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本公开的实施例中,通过采用对通信数据进行调制、加密、通过采用特定算法构建异构网络隧道,采取双向通讯隔离等手段,确保相关通讯数据包,无法在单一节点获取全部信息,进而使得在单一节点获取的信息无法还原和解密。
具体地,如图1所示,为本公开实施例一的资产漏洞风险的评估方法的流程图。从图1中可以看出,本实施例的资产漏洞风险的评估方法,可以包括以下步骤:
S101:获取当前资产的数据信息,所述数据信息包括当前资产的价值评估信息、网络曝光度信息、暴露风险评估信息和漏洞风险评估信息。
本公开实施例中的资产,一般是指带有独立、固定IP或域名的非终端设备,以服务器为主,其次还可以包括摄像头,打印机等设备,其中固定IP包括内网和外网的固定IP。而风险则一般是指潜在的对资产造成伤害的可能。本实施例的方法,可以通过网络爬虫自动获取对企业资产进行风险评估所需要的预设类型的数据信息。由于本公开结合了资产特性、网络特性、网络影响力、威胁等参考维度对企业的资产进行风险评估,因此获取到的资产的数据信息也包括这些维度的数据信息。在利用本实施例的方法对企业的资产进行风险评估时,是针对不同的资产进行单独评估的,因此,对于企业的单一资产(即当前资产),需要获取当前资产的价值评估信息、网络曝光度信息、暴露风险评估信息和漏洞风险评估信息。
S102:按照预设条件对所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息进行处理,将所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息转化为对应的标准数值信息。
将代入参数值得到的所述价值评估信息的评估值、所述网络曝光度信息的评估值、所述暴露风险评估信息的评估值和所述漏洞风险评估信息的评估值的乘积作为当前资产的风险值。
在本实施例的方法中,预先定义了资产风险的评估函数,资产风险的评估函数有四个变量函数,每个变量函数分别与所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息对应。分别采用对应的资产价值评估函数、资产网络曝光度评估函数、资产暴露风险评估函数和漏洞风险评估函数计算对应的评估值。通过将与所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息代入每个变量函数,得到对应的变量值,然后可以根据得到的四个变量值计算得到当前资产的风险值。
具体地,可以预先训练各变量函数的神经网络模型,并利用预先训练好的神经网络模型对所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息的原始信息进行处理,得到对应的变量值。其中,对于所述价值评估信息,本实施例的方法定义为AssetValue(A)=k11*A.DeviceType+k12*A.DeviceService+k13*A.DeviceUsage,其中AssetValue(A)为资产的价值评估信息,A.DeviceType为设备类型,A.DeviceService为设备服务类型,A.DeviceUsage为设备用途,k11、k12、k13分别为设备类型、设备服务类型和设备用途的权重系数,可以由经验值确定。下表示例性的说明了价值评估信息的确定方法:
对于所述网络曝光度信息,本实施例的方法定义为:
NetworkExposure(A)=A.networkType,其中,NetworkExposure(A)为资产的网络曝光度信息,A.networkType为A所在网络的名称。下表示例性的说明了网络曝光度信息的确定方法:
对于所述暴露风险评估信息,本实施例的方法定义为:
AssetExposure(A)=k21*AS+k22*SC+k23*PN,其中,AssetExposure(A)为资产的暴露风险评估信息,AS为访问方式Access,即以何种方式开放访问,SC为服务内容ServiceContent,PN为开放端口Port Number,每增加一个端口增加固定分数,暂不考虑各端口之间的区别。K21、k22、k23分别为访问方式、服务内容和开放端口的权重系数,可以由经验值确定。下表示例性的说明了价值评估信息的确定方法:
对于所述漏洞风险评估信息,本实施例的方法定义为:
VPR(A)=Risk(V1)+Risk(V2)+...+Risk(Vn),设资产A有n个漏洞,表示为[V1,V2,...,Vn],则漏洞风险评估信息计算公式为:
VPR(A)=Risk(V1)+Risk(V2)+...+Risk(Vn),其中Risk(Vi)为单个风险的评估函数,所以VPR的值为所有风险评估的总和。
函数Risk(Vi)的定义如下所示:
Risk(Vi)=k31*ReleaseDate+k32*CVSS3+k33*Maturity+k34*Influence+k35*ReleaseSources+k36*ExposeTimes
其中k31,k32,...,k36为权重系数,可由经验值确定,其他的变量的含义如下表所示:
通过上述定义,可以确定出所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息的标准数值信息。
S103:根据所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息的标准数值信息确定当前资产的风险值。在确定出所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息的标准数值信息后,可以进一步确定当前资产的风险值。例如,可以令RiskValue(A)=Network(A)*AssetValue(A)*AssetExposure(A)*VulnerabilityRisk(A)。
本实施例的资产漏洞风险的评估方法,实现统一资产和漏洞的关系,同时能够表达风险计算结果的可靠程度。
作为本公开的一个可选实施例,所述当前资产的风险值为浮点数,其中,所述浮点数的整数部分表示风险的严重度,所述浮点数的小数部分表示风险的严重度的可信度。
不同于以往的风险评估只计算风险大小,本设计中还添加了对风险值的可信程度的评估。比如,某个资产在其基本信息缺失的情况下,发现其有一个重大漏洞,因此计算结果的风险值很高,但是不一定可信。因此,通过引入此概念,对输入信息进行评估,以对风险值的可信程度进行说明。由于在评估时,经常会有一些重要的核心评估输入可能无法获取,导致评估结果的准确度下降为了便于表示,将风险值与可信度合并成一个浮点值,分别使用浮点值的整数和小数部分分别进行表示。
作为本公开的一个可选实施例,所述资产价值评估函数、所述资产网络曝光度评估函数、所述资产暴露风险评估函数和所述漏洞风险评估函数分别对应有预先定义的权重值。
作为本公开的一个可选实施例,所述权重值配置为接受用户自定义的状态。
作为本公开的一个可选实施例,根据确定的资产的风险值对资产漏洞风险进行优先级排序,并按照预设条件向用户推送资产的风险信息。
如图2所示,为本公开实施例二的资产漏洞风险的评估方法的流程图。作为本公开的资产漏洞风险的评估方法的一个具体实施例,所述方法包括以下步骤:
S201:获取当前资产的数据信息,所述数据信息包括当前资产的价值评估信息、网络曝光度信息、暴露风险评估信息和漏洞风险评估信息。
S202:按照预设条件对所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息进行处理,将所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息转化为对应的标准数值信息。
上述步骤与实施例一中的步骤S101和步骤S102相类似,这里不再重复赘述。
S203:确定所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息的标准数值信息的权重。
S204:根据所述标准数值信息和所述权重确定当前资产的风险值。
在本实施例中,所述资产价值评估函数、所述资产网络曝光度评估函数、所述资产暴露风险评估函数和所述漏洞风险评估函数分别对应有预先定义的权重值。并且所述权重值配置为接受用户自定义的状态。因此,在确定当前资产的风险值时,首先需要所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息的标准数值信息的权重。然后根据计算权重后的所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息的标准数值信息确定当前资产的风险值。
S205:确定当前资产的风险值在全部资产风险值中的优先级排序。
在确地当前资产的风险值后,可以根据已确定的全部资产的风险值对这些资产的风险值进行排序,进而将风险值较高的资产推送给客户,以令客户采取相应措施。
本实施例的资产漏洞风险的评估方法,实现统一资产和漏洞的关系,同时能够表达风险计算结果的可靠程度。
如图3所示,为本公开实施例三的资产漏洞风险的评估装置的功能结构示意图。本实施例的资产漏洞风险的评估装置,包括数据信息获取模块301、标准数值信息转化模块302和资产风险值确定模块303。
其中,所示数据信息获取模块301用于获取当前资产的数据信息,所述数据信息包括当前资产的价值评估信息、网络曝光度信息、暴露风险评估信息和漏洞风险评估信息。所述标准数值信息转化模块302用于按照预设条件对所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息进行处理,将所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息转化为对应的标准数值信息。所述资产风险值确定模块303用于根据所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息的标准数值信息确定当前资产的风险值。
本实施例的资产漏洞风险的评估装置能够取得与上述方法实施例相类似的技术效果,这里不再重复赘述。
本公开还提供了一种电子设备,包括存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现如以上所述的方法。
此外,本公开还提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如以上所述的方法。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本公开并不受所描述的动作顺序的限制,因为依据本公开,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作和模块并不一定是本公开所必须的。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,所述描述的模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
图4示出了本公开实施例四的资产漏洞风险的评估设备的结构示意图。图4示出的终端设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图4所示,计算机系统包括中央处理单元(CPU)401,其可以基于存储在只读存储器(ROM)402中的程序或者从存储部分408加载到随机访问存储器(RAM)403中的程序而执行各种适当的动作和处理。在RAM403中,还存储有系统操作所需的各种程序和数据。CPU 401、ROM 402以及RAM 403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。
以下部件连接至I/O接口405:包括键盘、鼠标等的输入部分406;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分407;包括硬盘等的存储部分408;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分409。通信部分409经由诸如因特网的网络执行通信处理。驱动器410也基于需要连接至I/O接口405。可拆卸介质411,诸如磁盘、光盘、磁光盘、半导体存储器等等,基于需要安装在驱动器410上,以便于从其上读出的计算机程序基于需要被安装入存储部分408。
特别地,基于本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,所述计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分409从网络上被下载和安装,和/或从可拆卸介质411被安装。在该计算机程序被中央处理单元(CPU)401执行时,执行本申请的方法中限定的上述功能。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)等等。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
此外,虽然采用特定次序描绘了各操作,但是这应当理解为要求这样操作以所示出的特定次序或以顺序次序执行,或者要求所有图示的操作应被执行以取得期望的结果。在一定环境下,多任务和并行处理可能是有利的。同样地,虽然在上面论述中包含了若干具体实现细节,但是这些不应当被解释为对本公开的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实现中。相反地,在单个实现的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实现中。
尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题,但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反,上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。
Claims (10)
1.一种资产漏洞风险的评估方法,其特征在于,包括:
获取当前资产的数据信息,所述数据信息包括当前资产的价值评估信息、网络曝光度信息、暴露风险评估信息和漏洞风险评估信息;
按照预设条件对所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息进行处理,将所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息转化为对应的标准数值信息;
根据所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息的标准数值信息确定当前资产的风险值。
2.根据权利要求1所述的资产漏洞风险的评估方法,其特征在于,所述当前资产的风险值为浮点数,其中,所述浮点数的整数部分表示风险的严重度,所述浮点数的小数部分表示风险的严重度的可信度。
3.根据权利要求2所述的资产漏洞风险的评估方法,其特征在于,所述按照预设条件对所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息进行处理,将所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息转化为对应的标准数值信息,包括:
分别采用对应的资产价值评估函数、资产网络曝光度评估函数、资产暴露风险评估函数和漏洞风险评估函数计算对应的评估值。
4.根据权利要求3所述的资产漏洞风险的评估方法,其特征在于,所述分别采用对应的资产价值评估函数、资产网络曝光度评估函数、资产暴露风险评估函数和漏洞风险评估函数计算对应的评估值,包括:
根据所述资产价值评估函数、资产网络曝光度评估函数、资产暴露风险评估函数和漏洞风险评估函数的定义选取对应维度的变量,将所述对应维度的变量量化后得到的参数值,代入对应的函数计算对应的评估值。
5.根据权利要求4所述的资产漏洞风险的评估方法,其特征在于,所述根据所述价值评估信息、所述网络曝光度信息、所述暴露风险评估信息和所述漏洞风险评估信息的标准数值信息确定当前资产的风险值,包括:
将带入参数值得到的所述价值评估信息的评估值、所述网络曝光度信息的评估值、所述暴露风险评估信息的评估值和所述漏洞风险评估信息的评估值的乘积作为当前资产的风险值。
6.根据权利要求5所述的资产漏洞风险的评估方法,其特征在于,所述资产价值评估函数、所述资产网络曝光度评估函数、所述资产暴露风险评估函数和所述漏洞风险评估函数分别对应有预先定义的权重值。
7.根据权利要求6所述的资产漏洞风险的评估方法,特征在于,所述权重值配置为接受用户自定义的状态。
8.根据权利要求7所述的资产漏洞风险的评估方法,其特征在于,还包括:
根据确定的资产的风险值对资产漏洞风险进行优先级排序,并按照预设条件向用户推送资产的风险信息。
9.一种电子设备,包括存储器和处理器,所述存储器上存储有计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1~8中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1~8中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010375780.3A CN111695770A (zh) | 2020-05-07 | 2020-05-07 | 资产漏洞风险的评估方法、设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010375780.3A CN111695770A (zh) | 2020-05-07 | 2020-05-07 | 资产漏洞风险的评估方法、设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111695770A true CN111695770A (zh) | 2020-09-22 |
Family
ID=72476509
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010375780.3A Pending CN111695770A (zh) | 2020-05-07 | 2020-05-07 | 资产漏洞风险的评估方法、设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111695770A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112184414A (zh) * | 2020-09-24 | 2021-01-05 | 中国建设银行股份有限公司 | 一种资产评估方法、装置、电子设备及可读存储介质 |
| CN112464252A (zh) * | 2020-12-29 | 2021-03-09 | 山东泽鹿安全技术有限公司 | 一种基于风险的漏洞威胁程度动态计算方法 |
| CN113395297A (zh) * | 2021-08-18 | 2021-09-14 | 北京华云安信息技术有限公司 | 漏洞处理方法、装置、设备和计算机可读存储介质 |
| CN114615015A (zh) * | 2022-01-29 | 2022-06-10 | 奇安信科技集团股份有限公司 | 服务系统修复优先级的确定方法、装置、设备及介质 |
| CN115296917A (zh) * | 2022-08-09 | 2022-11-04 | 山东港口科技集团烟台有限公司 | 资产暴露面信息获取方法、装置、设备以及存储介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1724990A1 (en) * | 2005-05-18 | 2006-11-22 | Alcatel | Communication network security risk exposure management systems and methods |
| US20060265324A1 (en) * | 2005-05-18 | 2006-11-23 | Alcatel | Security risk analysis systems and methods |
| US20070006315A1 (en) * | 2005-07-01 | 2007-01-04 | Firas Bushnaq | Network asset security risk surface assessment apparatus and method |
| CN1996326A (zh) * | 2005-09-22 | 2007-07-11 | 阿尔卡特公司 | 信息系统服务级安全风险分析 |
| CN101620653A (zh) * | 2008-07-04 | 2010-01-06 | 北京启明星辰信息技术股份有限公司 | 一种基于资产弱点分析的安全风险评估系统及方法 |
| CN102546641A (zh) * | 2012-01-14 | 2012-07-04 | 杭州安恒信息技术有限公司 | 一种在应用安全系统中进行精确风险检测的方法及系统 |
| WO2015126354A1 (en) * | 2014-02-18 | 2015-08-27 | Hewlett-Packard Development Company, L.P. | Risk assessment |
| CN105825130A (zh) * | 2015-01-07 | 2016-08-03 | 中国移动通信集团设计院有限公司 | 一种信息安全预警方法及装置 |
| CN107451710A (zh) * | 2017-04-27 | 2017-12-08 | 北京鼎泰智源科技有限公司 | 一种信息风险等级五级分类方法及系统 |
| CN109933743A (zh) * | 2019-03-14 | 2019-06-25 | 小安(北京)科技有限公司 | 网站风险评估方法及装置 |
| CN110309657A (zh) * | 2019-06-20 | 2019-10-08 | 四川大学 | 区块链的安全风险评估方法 |
-
2020
- 2020-05-07 CN CN202010375780.3A patent/CN111695770A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1724990A1 (en) * | 2005-05-18 | 2006-11-22 | Alcatel | Communication network security risk exposure management systems and methods |
| US20060265324A1 (en) * | 2005-05-18 | 2006-11-23 | Alcatel | Security risk analysis systems and methods |
| US20070006315A1 (en) * | 2005-07-01 | 2007-01-04 | Firas Bushnaq | Network asset security risk surface assessment apparatus and method |
| CN1996326A (zh) * | 2005-09-22 | 2007-07-11 | 阿尔卡特公司 | 信息系统服务级安全风险分析 |
| CN101620653A (zh) * | 2008-07-04 | 2010-01-06 | 北京启明星辰信息技术股份有限公司 | 一种基于资产弱点分析的安全风险评估系统及方法 |
| CN102546641A (zh) * | 2012-01-14 | 2012-07-04 | 杭州安恒信息技术有限公司 | 一种在应用安全系统中进行精确风险检测的方法及系统 |
| WO2015126354A1 (en) * | 2014-02-18 | 2015-08-27 | Hewlett-Packard Development Company, L.P. | Risk assessment |
| CN105825130A (zh) * | 2015-01-07 | 2016-08-03 | 中国移动通信集团设计院有限公司 | 一种信息安全预警方法及装置 |
| CN107451710A (zh) * | 2017-04-27 | 2017-12-08 | 北京鼎泰智源科技有限公司 | 一种信息风险等级五级分类方法及系统 |
| CN109933743A (zh) * | 2019-03-14 | 2019-06-25 | 小安(北京)科技有限公司 | 网站风险评估方法及装置 |
| CN110309657A (zh) * | 2019-06-20 | 2019-10-08 | 四川大学 | 区块链的安全风险评估方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112184414A (zh) * | 2020-09-24 | 2021-01-05 | 中国建设银行股份有限公司 | 一种资产评估方法、装置、电子设备及可读存储介质 |
| CN112464252A (zh) * | 2020-12-29 | 2021-03-09 | 山东泽鹿安全技术有限公司 | 一种基于风险的漏洞威胁程度动态计算方法 |
| CN113395297A (zh) * | 2021-08-18 | 2021-09-14 | 北京华云安信息技术有限公司 | 漏洞处理方法、装置、设备和计算机可读存储介质 |
| CN114615015A (zh) * | 2022-01-29 | 2022-06-10 | 奇安信科技集团股份有限公司 | 服务系统修复优先级的确定方法、装置、设备及介质 |
| CN115296917A (zh) * | 2022-08-09 | 2022-11-04 | 山东港口科技集团烟台有限公司 | 资产暴露面信息获取方法、装置、设备以及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111695770A (zh) | 资产漏洞风险的评估方法、设备和存储介质 | |
| CN111552973B (zh) | 对设备进行风险评估的方法、装置、电子设备及介质 | |
| US20150143528A1 (en) | Risk Assessment for Software Applications | |
| KR20210040861A (ko) | 고장 예측 방법, 장치, 전자 기기, 저장 매체 및 컴퓨터 프로그램 | |
| US20150220332A1 (en) | Resolving merge conflicts that prevent blocks of program code from properly being merged | |
| US10482162B2 (en) | Automatic equation transformation from text | |
| CN113705362A (zh) | 图像检测模型的训练方法、装置、电子设备及存储介质 | |
| CN114462532A (zh) | 模型训练方法、预测交易风险的方法、装置、设备及介质 | |
| CN114238993A (zh) | 风险检测方法、装置、设备及介质 | |
| CN112087408A (zh) | 一种评估网络资产的方法及装置 | |
| CN113495825A (zh) | 线路告警的处理方法、装置、电子设备及可读存储介质 | |
| CN113535577A (zh) | 基于知识图谱的应用测试方法、装置、电子设备和介质 | |
| CN111625587B (zh) | 数据共享装置 | |
| US20200387630A1 (en) | Risk assessment engine | |
| CN117272369A (zh) | 隐私合规检测方法、装置、电子设备及存储介质 | |
| CN110839000B (zh) | 一种网络信息系统的安全等级确定方法和装置 | |
| CN113395297B (zh) | 漏洞处理方法、装置、设备和计算机可读存储介质 | |
| CN116560661A (zh) | 代码优化方法、装置、设备及存储介质 | |
| CN115510438A (zh) | 应用风险评估方法、装置、介质及设备 | |
| CN114443663A (zh) | 数据表处理方法、装置、设备及介质 | |
| WO2022046857A1 (en) | Assessment of external coating degradation severity for buried pipelines | |
| CN113052509A (zh) | 模型评估方法、模型评估装置、电子设备和存储介质 | |
| CN113791897A (zh) | 一种农信系统的服务器基线检测报告的展现方法及系统 | |
| CN115296917B (zh) | 资产暴露面信息获取方法、装置、设备以及存储介质 | |
| CN114064002A (zh) | 软件开发工具包的生成方法、装置、设备以及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200922 |
|
| RJ01 | Rejection of invention patent application after publication |