CN111865981A - 网络安全脆弱性评估系统及方法 - Google Patents
网络安全脆弱性评估系统及方法 Download PDFInfo
- Publication number
- CN111865981A CN111865981A CN202010700788.2A CN202010700788A CN111865981A CN 111865981 A CN111865981 A CN 111865981A CN 202010700788 A CN202010700788 A CN 202010700788A CN 111865981 A CN111865981 A CN 111865981A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- target
- asset
- information system
- score
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本公开描述了一种网络安全脆弱性评估系统,是对目标信息系统的目标资产的脆弱性进行评估的系统,其包括:资产评估模块,其对目标信息系统的目标资产的种类进行识别,并对目标资产的进行评估和赋值,从而获得目标资产的资产价值评分;脆弱性评估模块,其对目标信息系统的目标资产涉及的漏洞和配置项进行检查,获得漏洞风险值和配置项脆弱性值,以获取脆弱性评分;以及评价模块,其基于资产价值评分和脆弱性评分获得当发生安全事件时目标资产对应的损失估计。由此能够对目标信息系统的目标资产的脆弱性进行较为高效且较为准确的评估。
Description
技术领域
本公开具体涉及一种网络安全脆弱性评估系统及方法。
背景技术
随着政府部门、企事业单位以及各行各业对信息系统依赖程度的日益增强,信息系统中的资产安全问题受到普遍关注。
针对信息系统中的资产评估是运用科学的方法和手段,系统地分析信息系统存在的脆弱性,评估安全事件一旦发生可能造成的损失或危害程度。信息系统的资产评估可以在很大程度上防范信息安全风险产生,或将风险控制在可接受的水平,最大限度地保障信息系统的安全,是提升信息系统整体安全防护水平的重要科学方法之一。
然而,目前针对信息系统的脆弱性评估,通常在分析信息系统中资产所存在的脆弱性时往往存在效率较低或考虑不全面的问题,会导致对资产进行评估的过程不够高效和获得的评估结果不够准确。
发明内容
本公开是有鉴于上述的状况而提出的,其目的在于提供一种较为高效且较为准确的网络安全脆弱性评估系统及方法。
为此,本公开的第一方面提供了一种网络安全脆弱性评估系统,是对目标信息系统的目标资产的脆弱性进行评估的系统,其特征在于,包括:资产评估模块,其对所述目标信息系统的目标资产的种类进行识别,基于所述目标资产的种类和预先设定的资产评分标准对所述目标资产的保密性、完整性和可用性进行赋值,从而获得所述目标资产的资产价值评分;脆弱性评估模块,其对所述目标信息系统进行漏洞扫描获得所述目标信息系统涉及的系统漏洞以及数量,并且所述脆弱性评估模块对所述系统漏洞中的各个漏洞进行评估获得各个漏洞的漏洞评分,所述脆弱性评估模块从所述系统漏洞中获得与所述目标资产对应的目标漏洞及其数量和与各个目标漏洞分别对应的漏洞评分,从而获得漏洞风险值,所述脆弱性评估模块对所述目标信息系统涉及的配置项进行检查获得配置项脆弱性值,并基于所述漏洞风险值和所述配置项脆弱性值获取脆弱性评分;以及评价模块,其基于所述资产价值评分和所述脆弱性评分获得当发生安全事件时所述目标资产对应的损失估计,其中,所述资产评分标准包含所述目标信息系统所涉及的各类资产分别在保密性、完整性和可用性的评分。
在本公开中,通过资产评估模块和脆弱性评估模块分别获得目标资产的资产价值评分和脆弱性评分,然后评价模块基于资产价值评分和脆弱性评分获得当发生安全事件时目标资产对应的损失估计。由此能够对目标信息系统的目标资产进行较为高效且较为准确的评估。
本公开的第一方面所涉及的网络安全脆弱性评估系统中,可选地,所述目标信息系统包括多个资产,所述网络安全脆弱性评估系统依次将多个资产作为目标资产进行评估,获得当发生安全事件时各个资产对应的损失估计。由此能够对目标信息系统中的各个资产进行评估。
本公开的第一方面所涉及的网络安全脆弱性评估系统中,可选地,所述漏洞风险值满足:其中,N表示为系统漏洞数量,bi表示为第i个漏洞的漏洞评分,表示为影响系数,表示为收敛系数,n表示为目标漏洞的数量。由此能够获得漏洞风险值。
本公开的第一方面所涉及的网络安全脆弱性评估系统中,可选地,所述损失估计基于所述资产价值评分与所述脆弱性评分相乘获得。由此能够获得损失估计。
本公开的第一方面所涉及的网络安全脆弱性评估方法中,可选地,所述资产评分标准经由价值基准和各个资产的种类而获得,所述价值基准基于所述目标信息系统的种类确定。由此能够获得资产评分标准,能够便于后续对目标资产的保密性、完整性和可用性进行赋值。
本公开的第二方面提供了一种网络安全脆弱性评估方法,是对目标信息系统的目标资产的脆弱性进行评估的方法,其特征在于,包括:对所述目标信息系统的目标资产的种类进行识别,基于所述目标资产的种类和预先设定的资产评分标准对所述目标资产的保密性、完整性和可用性进行赋值,从而获得所述目标资产的资产价值评分;对所述目标信息系统进行漏洞扫描获得所述目标信息系统涉及的系统漏洞以及数量,并且对所述系统漏洞中的各个漏洞进行评估获得各个漏洞的漏洞评分,从所述系统漏洞中获得与所述目标资产对应的目标漏洞及其数量和与各个目标漏洞分别对应的漏洞评分,从而获得漏洞风险值,对所述目标信息系统涉及的配置项进行检查获得配置项脆弱性值,并基于所述漏洞风险值和所述配置项脆弱性值获取脆弱性评分;并且基于所述资产价值评分和所述脆弱性评分获得当发生安全事件时所述目标资产对应的损失估计,其中,所述资产评分标准包含所述目标信息系统所涉及的各类资产分别在保密性、完整性和可用性的评分。
在本公开中,通过资产评估和脆弱性评估分别获得目标资产的资产价值评分和脆弱性评分,然后基于资产价值评分和脆弱性评分获得当发生安全事件时目标资产对应的损失估计。由此能够对目标信息系统的目标资产进行较为高效且较为准确的评估。
本公开的第二方面所涉及的网络安全脆弱性评估方法中,可选地,所述目标信息系统包括多个资产,依次将多个资产作为目标资产进行评估,获得当发生安全事件时各个资产对应的损失估计。由此能够对目标信息系统中的各个资产进行评估。
本公开的第二方面所涉及的网络安全脆弱性评估方法中,可选地,所述漏洞风险值满足:其中,N表示为系统漏洞数量,bi表示为第i个漏洞的漏洞评分,表示为影响系数,表示为收敛系数,n表示为目标漏洞的数量。由此能够获得漏洞风险值。
本公开的第二方面所涉及的网络安全脆弱性评估方法中,可选地,所述损失估计基于所述资产价值评分与所述脆弱性评分相乘获得。由此能够获得损失估计。
本公开的第二方面所涉及的网络安全脆弱性评估方法中,可选地,所述资产评分标准经由价值基准和各个资产的种类而获得,所述价值基准基于所述目标信息系统的种类确定。由此能够获得资产评分标准,能够便于后续对目标资产的保密性、完整性和可用性进行赋值。
根据本发明,能够提供一种较为高效且较为准确的对目标信息系统的目标资产进行评估的网络安全脆弱性评估系统及方法。
附图说明
现在将仅通过参考附图的例子进一步详细地解释本公开的实施示例,其中:
图1示出了本公开的示例所涉及的网络安全脆弱性评估系统的应用场景图。
图2示出了本公开的示例所涉及的目标信息系统的结构框图。
图3示出了本公开的示例所涉及的风险评估系统的应用场景图。
图4示出了本公开的示例所涉及的风险评估系统的应用流程框图。
图5示出了本公开的示例所涉及的目标资产面临的威胁的结构框图。
图6示出了本公开的另一示例所涉及的风险评估系统的结构框图。
图7示出了本公开的示例所涉及的网络安全脆弱性评估方法的流程图。
图8示出了本公开的示例所涉及的风险评估方法的流程图。
具体实施方式
以下,参考附图,详细地说明本公开的优选实施方式。在下面的说明中,对于相同的部件赋予相同的符号,省略重复的说明。另外,附图只是示意性的图,部件相互之间的尺寸的比例或者部件的形状等可以与实际的不同。
随着各行各业对信息系统依赖程度的日益增强,往往需要对信息系统中资产的脆弱性等进行评估去识别安全风险和解决信息安全问题等。本公开提供了一种能够较为高效且较为准确的对目标信息系统的目标资产进行脆弱性评估的网络安全脆弱性评估系统及方法。
图1示出了本公开的示例所涉及的网络安全脆弱性评估系统的应用场景图。
本实施方式的示例所涉及的网络安全脆弱性评估系统10(简称“脆弱性评估系统10”或“系统10”)可以是对资产的脆弱性进行评估的系统10。具体而言,该脆弱性评估系统10可以是基于目标资产的资产价值评分和脆弱性评分对目标信息系统200的目标资产进行评估的系统10。在一些示例中,脆弱性评估系统10可以包括资产评估模块110、脆弱性评估模块120和评价模块140。
图2示出了本公开的示例所涉及的目标信息系统的结构框图。
在一些示例中,目标信息系统200可以是需要进行评估的信息系统。例如,目标信息系统200可以是网络信息系统、云服务信息系统、特定应用领域的信息系统等。对于特定应用领域的目标信息系统200而言,目标信息系统200例如可以为交通运输信息系统。
在一些示例中,资产可以是对目标信息系统200具有价值的资源且作为安全策略保护的对象。由此能够便于后续识别资产。在一些示例中,根据资产的表现形式,可以将目标信息系统200中的资产分为数据、软件、硬件、服务、人员等类型。
在一些示例中,目标信息系统200可以包括一个或多个资产。例如,如图2所示,目标信息系统200可以包括资产210、资产220、资产230、资产240、资产250等,这里,图2仅代表性地示出5个资产,但本实施方式不限于此,目标信息系统200还可以包括其他更多资产。在一些示例中,资产210可以为数据资产,资产220可以为软件资产,资产230可以为硬件资产,资产240可以为服务资产,资产250可以为人员资产。但本实施方式不限于此,资产210、资产220、资产230、资产240和资产250也可以分别为其他资产。
在一些示例中,目标资产可以是目标信息系统200包含的资产中的任一个(例如,资产210)。在一些示例中,目标资产可以由脆弱性评估系统10从多个资产中选取一个。在另一些示例中,目标资产可以由相关技术人员自行确定。
在一些示例中,目标信息系统200可以包括若干个资产。在这种情况下,脆弱性评估系统10可以依次将各个资产作为目标资产进行评估。例如,如图2所示,脆弱性评估系统10可以依次将资产210、资产220、资产230资产240和资产250作为目标资产分别进行评估。由此能够获得各个资产对应的损失估计(稍后具体描述)。
在本实施方式的示例所涉及的脆弱性评估系统10中,脆弱性评估系统10可以包括资产评估模块110。在一些示例中,资产评估模块110可以对目标信息系统200中的资产进行识别、评估和赋值(参见稍后描述的资产价值评分)。
在一些示例中,资产评估模块110可以对目标信息系统200包含的资产进行识别。资产评估模块110可以识别资产的种类。
在一些示例中,资产评估模块110可以通过多种资产识别方法对目标信息系统200中的资产进行识别。其中,资产评估模块110所采用的资产识别方法可以为主动采集、被动采集或基于搜索引擎非入侵式识别等。在一些示例中,资产评估模块110可以采用被动采集的识别方式对目标信息系统200中的资产进行识别,例如稍后描述的部署资产探针。
在一些示例中,被动采集的识别方式可以是通过分析采集的网络流量得到目标信息系统中资产的信息。在这种情况下,通过被动采集的识别方式能够有效抑制对网络运行的影响,并且可以无额外网络流量插入;被动采集的识别方式也可以对安全设备保护的网络资产进行探测识别;被动采集的识别方式可以有利于对长期的历史数据进行积累。由此,能够有利于掌握网络资产发展变化的过程。
在一些示例中,被动采集的识别方式可以依托目标信息系统200关联的产生态势感知告警的系统(例如稍后描述的态势感知系统20),可以将大量的网络流量数据作为数据源来支撑对资产的识别。由此能够保证资产识别过程的全面性和高效性。
在一些示例中,资产评估模块110可以通过部署资产探针对目标信息系统200中的资产进行识别。具体而言,资产探针可以被部署在目标信息系统200所处的网络环境中,可以通过采集网络环境中的协议类型、流量内容等进行综合分析从而对目标信息系统200的资产进行识别。
在一些示例中,资产探针在网络环境中的采集对象可以包括流量中应用层HTTP、FTP、SMTP等协议数据包中的特殊字段banner;资产探针的采集对象还可以包括IP、TCP三次握手、DHCP等协议数据包的指纹特征等。在一些示例中,部分应用层协议数据包中可以包含网络资产信息,例如HTTP协议的User-Agent字段中包含了操作系统、浏览器版本等信息,资产探针可以对其包含的资产进行识别。在这种情况下,通过资产探针能够实现对主机、端口、操作系统、应用等资产的识别。
在一些示例中,资产评估模块110除了如上所述通过部署资产探针对目标信息系统200中的资产进行识别之外,还可以对目标信息系统200中包含的资产的种类和数量等进行统计。也就是说,资产评估模块110可以利用资产探针对识别出的资产的种类进行确认,并可以统计资产的数量等信息。
在一些示例中,资产评估模块110可以从资产中选出目标资产。资产评估模块110可以确认目标资产在不同安全属性方面的价值。也即资产评估模块110可以对目标资产的不同安全属性方面进行赋值。具体而言,资产评估模块110可以根据目标资产的种类和预设的资产评分标准(稍后描述)对目标资产的在保密性、完整性和可用性这三个安全属性方面进行赋值。在这种情况下,通过能够对目标资产的不同安全属性方面进行赋值能够在一定程度上确认目标资产的价值。
在一些示例中,相关技术人员可以基于各类信息系统的价值基准(稍后具体描述)来确认该信息系统包含的各个资产的资产评分,并可以将获得的该类信息系统的资产评分标准存储在资产评估模块110。在一些示例中,各类信息系统的价值基准可以由该信息系统的作用和/或种类来决定。
在一些示例中,相关技术人员可以预先确认目标信息系统200所相关的行业(简称“相关行业”),将相关行业内可能含有的信息系统进行分类。在一些示例中,可以根据信息系统的作用将相关行业内的信息系统进行分类。例如,交通运输行业的信息系统(简称“交通运输信息系统”)可以根据信息系统作用分为生产服务类系统、行政管理类系统以及基础支撑类系统。其中,生产服务类系统可以是支撑各交通运输服务部门提供对货物、旅客等运输服务活动的信息服务、生产保障类系统,如轨道交通信号系统、道路交通监控系统、智能闸口系统、各组织机构的门户网站、公路水路出行服务系统和国家交通运输物流公共信息平台等;行政管理类系统可以是支撑各级交通运输管理部门和运输服务单位为了维持自身组织活动或者进行交通运输行业行政管理事务而建设的信息系统,如各组织机构的办公系统、船舶产品检验管理系统及网约车监管信息交互平台等;基础支撑类系统可以是支撑交通运输行业各类系统在计算、操作或通信等方面的运行环境,如各组织机构的数据中心、云计算平台、高速公路光纤网和地理信息平台等。
在一些示例中,信息系统的种类(或作用)不同,信息系统在不同安全属性的要求也可能存在差异。也即不同种类的信息系统可以在保密性、完整性和可用性这三个安全属性的要求存在差异。例如,生产服务类系统和基础支撑类系统在可用性方面要求较高,行政管理类系统在保密性方面要求较高。
在一些示例中,可以根据划分的信息系统的种类确认相关行业的信息系统在不同安全属性方面的价值基准。在一些示例中,价值基准可以是基于业务管理和服务保障重要性水平,对该相关行业内不同类别的信息系统在保密性、完整性和可用性这三个安全属性的最小要求程度。
在一些示例中,信息系统的价值基准可以通过对该信息系统在保密性、完整性和可用性这三个安全属性的赋值来体现。具体而言,若某一安全属性的赋值越大对应该类信息系统在该安全属性的要求越高(也即该类信息系统在该安全属性方面的价值越大)。价值基准可以是该信息系统在保密性、完整性和可用性这三个安全属性的最小赋值。在这种情况下,对目标资产进行评估赋值时可以不小于该目标资产对应的价值基准。
作为一个示例,例如对于交通运输行业的信息系统而言,根据信息系统的种类以及在不同安全属性的要求对各类信息系统在保密性、完整性和可用性这三个安全属性进行赋值,其中,赋值越大说明该类信息系统在该安全属性的要求越高,如生活服务类系统在保密性、完整性和可用性的赋值可以为2、3和4,说明生活服务类系统对于可用性方面的要求较高(参见表1)。在一些示例中,价值基准可以由相关技术人员确定,也可以由相关行业共同确定。
表1交通运输行业三类信息系统的价值基准示例
在一些示例中,可以基于价值基准获得该类信息系统的资产评分标准。在一些示例中,资产评分标准可以包括该类信息系统所可能涉及的各类资产以及各类资产在不同安全属性方面的赋值。例如,相关技术人员可以统计该类信息系统所可能包含的资产的种类,并可以基于价值基准对该类目标系统所可能包含的各类资产分别进行评分,从而获得资产评分标准。在一些示例中,资产评分标准在各个安全属性的赋值可以不小于对应的价值基准在该安全属性的赋值。也即,对目标信息系统所可能包含的各类资产进行评分时,可以使该类资产在不同安全属性方面的评分不小于目标信息系统对应的价值基准。在一些示例中,资产评分标准可以是预先设定在资产评估模块110中。具体而言,可以预先确认目标信息系统200的种类及其对应的价值标准,相关技术人员可以基于价值标准预先对该类信息系统可能包含的各类资产在不同安全属性方面进行评分或赋值,从而可以获得该类信息系统的资产评分标准,并可以预先将资产评分标准存储在资产评估模块。
在一些示例中,资产评估模块110可以基于目标资产的种类以及资产评分标准对目标资产在不同安全属性方面进行赋值。具体而言,资产评估模块110可以获得目标资产的种类,并可以根据目标资产的种类确认该目标资产对应的资产评分标准。由此能够对目标资产进行对应的赋值。
在一些示例中,资产评估模块110可以基于目标资产在不同安全属性方面(例如保密性、完整性和可用性)的赋值确认目标资产的资产价值评分(也简称“价值评分”)。目标资产的价值评分可以满足:其中,Ai是目标资产的价值评分,si分别为目标资产在保密性(s1)、完整性(s2)和可用性(s3)方面的价值基准,ai是目标资产在保密性(a1)、完整性(a2)和可用性(a3)方面的赋值。由此能够获得目标资产的价值评分。在本实施方式所涉及的示例中,si和ai的赋值范围可以是[1,5],最小粒度是0.01。
在一些示例中,如图1所示,脆弱性评估系统10还可以包括脆弱性评估模块120。在一些示例中,脆弱性评估模块120可以对目标信息系统200的目标资产的脆弱性进行识别和评估。
在一些示例中,脆弱性评估模块120可以从目标信息系统200的目标资产涉及的漏洞和配置项两方面对目标资产的脆弱性进行评估。也就是说,脆弱性评估模块120可以对目标信息系统200的目标资产涉及的漏洞和配置项进行检查获得漏洞风险值和配置项脆弱性值,从而可以获取脆弱性评分。
在一些示例中,脆弱性评估模块120可以对目标信息系统200进行漏洞扫描获得目标信息系统200的各资产存在的漏洞(即系统漏洞)。在一些示例中,脆弱性评估模块120还可以统计各资产存在的漏洞的数量,并统计该目标信息系统200涉及的所有漏洞的数量(即系统漏洞数量)。
在一些示例中,漏洞扫描可以依托标准漏洞库(例如,国家信息安全漏洞库)来进行。在一些示例中,漏洞扫描可以支持CVE/CWE/BUGTRAQ/CNCVE/CNNVD等漏洞最新标准。在一些示例中,脆弱性评估模块120可以对目标信息系统200进行漏洞扫描。该漏洞扫描可以全面覆盖主流通用脆弱性类型,例如脆弱性类型可以包括系统主机、WEB应用程序、软件数据库、中间件和组件框架、主流应用软件、网络通信协议等的所有脆弱性标准。另外,在一些示例中,脆弱性类型还可以包括常见的系统SMB/RDP、BUFOVERFLOW、WEB各类注入、XSS、CSRF、信息泄露、文件包含、各种版本指纹等。
在一些示例中,脆弱性评估模块120可以对各资产存在的各个漏洞进行评估,例如可以根据该漏洞在相关行业以往的影响程度对该漏洞进行评分获得分别与各个漏洞对应的漏洞评分。在另一些示例中,相关技术人员可以预先对相关行业存在的漏洞进行评分并存储在脆弱性评估模块120。例如,相关技术人员可以依据各个漏洞在相关行业以往的影响程度对该漏洞进行评分。在这种情况下,脆弱性评估模块120可以根据该评分对通过漏洞扫描获得的各资产存在的漏洞(即系统漏洞)进行评估。具体而言,脆弱性评估模块120可以从该评分中找出与通过漏洞扫描获得的各个漏洞相对应的评分并作为该漏洞的漏洞评分。
在一些示例中,漏洞评分越高可以说明该漏洞的漏洞风险等级越高。
在一些示例中,脆弱性评估模块120可以从各资产存在的漏洞中(例如,目标信息系统200对应的所有未处置完成的漏洞)获得目标资产所涉及的漏洞(也称“目标漏洞”)。在一些示例中,脆弱性评估模块120可以将目标漏洞的漏洞风险等级(即漏洞评分bi的大小)从高到低的进行排列为b1,b2,b3,…bn,其中,b1表示为目标漏洞中最大的漏洞评分,n表示为目标漏洞的数量。
在一些示例中,脆弱性评估模块120可以根据漏洞评分和系统漏洞数量获得漏洞风险值,漏洞风险值可以满足:其中,N表示为系统漏洞数量,bi表示为第i个漏洞的漏洞评分,表示为影响系数,表示为收敛系数,可以用于平衡影响系数的数值。若影响系数与收敛系数乘积数值越小,则可以表示漏洞对系统造成的影响越低;若乘积数值越大,则可以表示漏洞对系统造成的影响越高。在本实施方式所涉及的示例中,bi和rv的赋值范围可以是[0,5],最小粒度是0.01。
在一些示例中,由上式对漏洞风险值的获取可知,目标资产的漏洞风险值可以主要由目标资产涉及的具有较高的漏洞风险等级的目标漏洞决定。若处置目标资产涉及的目标漏洞,则可以减小目标资产的脆弱性(即可以减小目标资产的脆弱性评分)。在一些示例中,脆弱性评分越高可以说明目标资产的脆弱性越高。
在一些示例中,若脆弱性评估模块120并未获得目标资产对应的目标漏洞,则本公开可以认为该目标资产的漏洞风险值设置为N/A(全称为“Not applicable”),其中N/A表示为不适用,也即该漏洞扫描不适用于该目标资产。
在一些示例中,脆弱性评估模块120可以对目标信息系统200涉及的配置项进行检测获得配置问题,且可以获得配置项脆弱性值。具体而言,脆弱性评估模块120可以根据多个单模板核查表单对目标信息系统200及其子系统进行基线检查,从而可以对目标信息系统200涉及的配置项进行核查。在一些示例中,单模板核查表单可以参照等级保护2.0当中的脆弱性核查表单获得。
在一些示例中,脆弱性评估模块120可以获得与各个单模板核查表单对应的不符合配置项的个数和配置项的个数,并可以统计获得所有单模板核查表单对应的配置项总数。
在一些示例中,脆弱性评估模块120可以获得与各个不符合配置项对应的权重wi和与各个配置项对应的权重wj。在一些示例中,权重wi和权重wj可以均设置为1。但本公开的示例不限于此,权重wi和权重wj可以由脆弱性评估模块120或相关技术人员根据目标信息系统200的种类及作用自行设定。
在一些示例中,脆弱性评估模块120可以根据权重wi、权重wj以及与各个单模板核查表单对应的不符合配置项个数和配置项个数获得各个子系统的不符合项占比系数,该子系统的不符合项占比系数可以和目标数值相乘获得该子系统对应的部分配置项脆弱性值,该子系统对应的部分配置项脆弱性值可以满足:其中,wi表示为第i个不符合配置项对应的权重,m表示为不符合配置项的个数,wj表示为第j个配置项对应的权重,n表示为配置项的个数,Y表示为目标数值,rbi表示为第i个子系统对应的部分配置项脆弱性值。在一些示例中,目标数值Y可以参考脆弱性评估模块120在获取漏洞风险值时的赋值范围所确定。在本实施方式所涉及的示例中,目标数值Y可以取值为5。
在一些示例中,脆弱性评估模块120可以根据各个子系统的部分配置项脆弱性值和单模板核查表单的数量获得目标信息系统200的配置项脆弱性值,目标信息系统200的配置项脆弱性值可以满足:其中,N表示为单模板核查表单的数量。
在一些示例中,脆弱性评估模块120可以根据目标资产的漏洞风险值和目标信息系统200的配置项脆弱性值获得目标资产的脆弱性评分。
例如,脆弱性评估模块120可以根据漏洞风险值和配置项脆弱性值通过加权求和获得脆弱性评分。在一些示例中,脆弱性评估模块120可以自行确认漏洞风险值和配置项脆弱性值各自所占的权重。在另一些示例中,漏洞风险值和配置项脆弱性值各自所占的权重可以预先由相关技术人员设定好并存储在脆弱性评估模块120。
在一些示例中,漏洞风险值和配置项脆弱性值各自所占的权重可以根据在相关行业的实际重要性来确定。例如,在交通运输行业风险评估中,漏洞扫描与基线检查两部分在脆弱性评估中占比约为3:7,即漏洞风险值所占的权重为0.3,配置项脆弱性值所占的权重为0.7,该脆弱性评分可以满足:V=0.3*rv+0.7*rb。在一些示例中,漏洞风险值所占的权重和配置项脆弱性值所占的权重之和可以为1。
在一些示例中,如图1所示,脆弱性评估系统10还可以包括评价模块140。在一些示例中,评价模块140可以基于价值评分和脆弱性评分获得当发生安全事件时目标资产对应的损失估计,也即可以获得目标资产如果发生安全事件可能造成的损失(参见图4)。在一些示例中,安全事件可以是指信息系统由于存在自身脆弱性,在遭受人为原因、软硬件缺陷或故障、自然灾害等外部的威胁时,信息系统的网络、数据等资产出现负面影响的事件。
在一些示例中,损失估计可以基于资产价值评分与脆弱性评分相乘获得。由此能够获得损失估计。例如,其中,A表示价值评分,V表示脆弱性评分。在一些示例中,评价模块140可以预先设置有第一类预设阈值,通过将第一类预设阈值与获得的损失估计进行比较。例如,第一类预设阈值可以设置多个数值区间,分别对应发生风险时目标资产可能损失较少、损失较多等等多个等级。由此能够对目标资产在出现风险时可能面临的后果进行评估。
在一些示例中,若目标信息系统200包括多个资产,则脆弱性评估系统10依次将多个资产作为目标资产进行评估。由此能够获得当发生安全事件时各个资产对应的损失估计。
在本公开中,如上所述,可以通过资产评估模块110和脆弱性评估模块120分别获得目标资产的价值评分和脆弱性评分。然后评价模块140可以基于价值评分和脆弱性评分获得当发生安全事件时所述目标资产对应的损失估计(也称“目标资产对应的安全事件的损失”)。由此能够对目标信息系统的目标资产进行较为高效且较为准确的评估。
图3示出了本公开的示例所涉及的风险评估系统的应用场景图。
图4示出了本公开的示例所涉及的风险评估系统的应用流程框图。
在一些示例中,本公开的示例所涉及的脆弱性评估系统10可以与威胁评估模块130构成风险评估系统1(参见图3)。
在一些示例中,风险评估系统1可以对目标信息系统面临的威胁进行评估。在一些示例中,如图3所示,风险评估系统1还可以包括威胁评估模块130。在一些示例中,威胁可以是指可能对资产或组织造成损害事故的潜在原因。在一些示例中,威胁评估模块130可以基于态势感知告警对目标信息系统200面临的威胁进行监测和识别。例如,威胁评估模块130可以从中获得目标资产面临的威胁的发生次数(即威胁发生次数)。
在一些示例中,态势感知告警可以基于目标信息系统200关联的例如态势感知系统20产生。具体而言,态势感知系统20可以在目标信息系统200的网络环境(也称“目标网络”)中部署多个探针,对目标信息系统200的出口流量数据进行监测。作为一个示例,例如对于交通信息系统而言,态势感知系统20在交通行业多家单位部署了探针,对交通信息系统出口流量数据进行全镜像采集。在这种情况下,能够获取目标网络的大量流量数据作为告警分析的基础,能够保证威胁检测的全面性与高效性。在一些示例中,态势感知系统20还可以支持溯源功能。态势感知系统20可以对过去发生的安全事件及告警均有记录,并可以查询。在一些示例中,态势感知告警可以包括被监测系统(目标信息系统200)面临的威胁,例如可以包括威胁的种类及数量、特定时间段内各类攻击发生的时间和影响程度等。
在一些示例中,从态势感知系统20的角度看,本实施方式的示例所涉及的风险评估系统1也可以包括态势感知系统20和安全评估系统30(参见图6)。在这种情况下,威胁评估模块130可以配置在态势感知系统20中。
在一些示例中,态势感知系统20的监测范围可以包括恶意代码的网络传播、木马后门等恶意程序的网络通信活动、恶意地址的访问、扫描侦听攻击、漏洞探测攻击、高级持续性攻击、DDos攻击、DNS劫持攻击以及僵尸网络等。在这种情况下,能够最大程度上监测到针对目标资产遭受到的攻击情况,从而获得较为准确的单位时间内的威胁发生次数。
在一些示例中,为了弥补基于态势感知产生的态势感知告警中可能存在的误报与漏报问题,可以采用随机过程对威胁发生次数进行进一步完善。例如,威胁评估模块130可以对告警得出的威胁发生次数采用泊松过程进行优化获得优化后的威胁发生次数(即目标威胁发生次数)。在这种情况下,能够便于获得较为准确的目标威胁发生次数。
图5示出了本公开的示例所涉及的目标资产面临的威胁的结构框图。
在一些示例中,威胁评估模块130可以从态势感知告警中获得目标资产涉及的一类或多类威胁。例如,如图5所示,目标资产面临的威胁可以包括威胁T1、威胁T2、威胁T3、威胁T4和威胁T5等,这里,图5仅代表性地示出5类威胁,但本实施方式不限于此,目标资产还可以面临其他更多威胁(具体可以参见下表2)。
在一些示例中,威胁评估模块130可以从一类或多类威胁中选出任一类威胁(例如威胁T1)作为目标威胁对目标资产进行威胁评估获得威胁严重性评分。在一些示例中,目标威胁中可以包括一个或多个威胁。
在一些示例中,威胁评估模块130可以从态势感知告警获得目标信息系统200面临的威胁等相关信息,例如可以包括威胁的种类、数量及影响程度、特定时间段内各类攻击发生的时间等信息。在一些示例中,威胁评估模块130也可以对过去发生的安全事件及告警等记录进行查询和统计获得目标信息系统200面临的威胁的相关信息。在一些示例中,威胁评估模块130也可以从中筛选出目标资产面临的威胁等相关信息。
在一些示例中,可以基于威胁的表现形式进行分类。例如,可以参考威胁分类表将目标信息系统200面临的威胁进行分类。威胁分类表可以参见下表2。
表2威胁分类表
在一些示例中,如上所述,威胁评估模块130可以从态势感知告警(即基于态势感知产生的告警信息)中获得目标资产面临的威胁。在一些示例中,威胁评估模块130可以从目标资产面临的威胁中选取任一类作为目标威胁。在一些示例中,威胁评估模块130可以基于态势感知告警确定目标威胁的相关信息。例如,威胁评估模块130可以获得目标威胁的种类、威胁发生次数(即目标威胁对应的威胁发生次数)、威胁影响等级(也称“影响等级”)和每一个影响等级威胁的数量。
通常而言,任一信息系统涉及的任一类威胁在不同的时间段内威胁发生次数可以没有必然的联系,可以是相互独立的且不存在明显差异,可以是服从统一分布的随机变量,可以认为威胁发生次数满足泊松分布。在一些示例中,威胁发生次数可以符合泊松分布,由此可以采用泊松过程对威胁发生次数进行优化,获得目标威胁发生次数。
在一些示例中,为了弥补基于态势感知产生的态势感知告警中可能存在的误报与漏报问题,威胁评估模块130可以对基于告警信息得出的威胁发生次数采用泊松过程进行优化,由此可以基于优化后的威胁发生次数获得目标信息系统面临威胁的威胁发生频度。具体而言,可以根据泊松分布的定义,可以假设威胁发生次数在充分小的时间间隔(Δt→0)内发生一次的概率为λΔt,而发生两次或两次以上的概率非常小,可以忽略不记,因此可以用泊松过程对威胁发生次数进行优化。在一些示例中,泊松分布的概率分布满足: 其中,λ可以为泊松分布中的常数,λ可以根据态势感知产生的告警信息获得,即获得目标威胁在单位时间内发生的次数(即频率),也就是说,该频率可以作为泊松分布中的常数λ。
在一些示例中,若λ较大时,可以用参数为(λ,λ)的正态分布例如X~N(λ,λ)来对该部分的威胁发生次数进行优化。
在一些示例中,威胁评估模块130可以获得目标资产涉及的目标威胁T的威胁发生次数,目标威胁T可以服从参数为λΔt的泊松分布。在一些示例中,威胁评估模块130可以根据相关行业的整体情况获得目标威胁对应的置信水平,该目标威胁满足:Pro(TROT≤c)=1-α,该公式表示为在一定时间t内,目标威胁T的威胁发生次数不大于c的概率为1-α,其中,TROT表示为在一定时间t内目标威胁T的威胁发生次数,1-α表示为目标威胁T对应的置信水平。在一些示例中,置信度α的值可以由相关技术人员根据相关行业的整体情况预先设定好并存储在威胁评估模块130中。在一些示例中,威胁评估模块130可以从满足泊松分布的目标威胁T对应的泊松分布表中获得c(即目标威胁发生次数)的值。
在一些示例中,威胁评估模块130可以将目标威胁发生次数转化为威胁发生频度。例如,威胁评估模块130可以采用基于双曲正切函数法将目标威胁发生次数转化为威胁发生频度,即将c转化为位于0-1之间的数值f,转化的计算公式可以满足:其中,π/4表示为平衡因子。
在一些示例中,威胁评估模块130可以对目标信息系统200面临的威胁进行威胁识别和评估。在一些示例中,威胁评估模块130可以根据“国标GB/T 20984-2007信息安全风险评估规范”中的威胁等级划分来获得目标信息系统200面临的威胁的威胁影响等级。其中,“国标GB/T 20984-2007信息安全风险评估规范”对所有的安全事件类型(包括威胁)进行影响评级,且将影响等级划分为1至5级,详见下表3:
表3威胁影响等级划分
在一些示例中,威胁评估模块130可以参照上表对威胁进行评估,获得各威胁对应的威胁影响等级。由此,威胁评估模块130能够获得目标威胁中各个威胁对应的威胁影响等级。在一些示例中,威胁评估模块130可以基于威胁影响等级获得目标威胁中各个威胁影响等级对应的威胁数量(即每一个影响等级威胁的数量)。
在一些示例中,威胁评估模块130可以根据威胁影响等级、每一个影响等级威胁的数量和威胁发生频度获得威胁严重性评分。具体而言,威胁评估模块130可以基于目标威胁中各个威胁对应的威胁影响等级、每一个影响等级威胁的数量、威胁发生频度f和威胁数量获得威胁严重性评分。威胁严重性评分可以满足:其中,N表示为目标资产的威胁总数(即目标资产所面临的威胁的总数量),Impact表示为威胁影响等级,Ni表示为第i个影响等级威胁的数量(即目标威胁中对应的影响等级为i的数量)。在本实施方式所涉及的示例中,Impact的取值可以参考“国标GB/T 20984-2007信息安全风险评估规范”中的影响等级划分,取值范围可以是[1,5]。
在一些示例中,若目标资产面临多类威胁,威胁评估模块130可以针对多类威胁依次获得各类威胁对应的威胁严重性评分。例如,如图5所示,威胁评估模块130可以依次获得威胁T1、威胁T2、威胁T3、威胁T4和威胁T5各自对应的威胁严重性评分。
在一些示例中,若目标资产面临多类威胁,威胁评估模块130可以获得多个威胁严重性评分,并可以基于多个威胁严重性评分获得该目标资产的目标威胁严重性评分。具体而言,威胁评估模块130可以对多个威胁严重性评分进行加权求和或求平均获得该目标资产的目标威胁严重性评分。在一些示例中,若威胁评估模块130对多个威胁严重性评分进行加权求和获得目标威胁严重性评分,则各个威胁严重性评分对应的权重可以根据该威胁严重性评分对应的威胁种类在相关行业的影响大小确定。在一些示例中,相关技术人员可以确认相关行业所可能包含的各类威胁以及各类威胁所占的权重并预先存储在威胁评估模块130中。在本实施方式所涉及的示例中,威胁严重性评分和目标威胁严重性评分的取值范围可以是[0,5]。
在一些示例中,若目标资产涉及多类威胁,风险评估系统1可以基于目标威胁严重性评分获得目标资产的风险值,并可以基于风险值和风险评估标准获得目标资产的风险等级(稍后具体描述)。
在一些示例中,在本公开的示例所涉及的风险评估系统1中,评价模块140还可以对目标信息系统及其目标资产进行风险评估(参见图4)。
在一些示例中,评价模块140可以基于价值评分、脆弱性评分和威胁严重性评分(或目标威胁严重性评分)获得目标资产的风险值,从而可以获得目标信息系统200的目标资产的风险等级。
在一些示例中,评价模块140利用相乘法获得目标资产的风险值。具体而言,评价模块140可以利用威胁评估模块130获得的威胁严重性评分(或目标威胁严重性评分)和脆弱性评估模块120获得的脆弱性评分确定安全事件发生的可能性(参见图4)。评价模块140可以利用资产评估模块110获得的目标资产的价值评分和脆弱性评估模块120获得的脆弱性评分确定安全事件的损失(参见图4,也即该资产在发生安全事件时可能造成的损失,或该资产对应的损失估计)。评价模块140可以基于安全事件发生的可能性和安全事件的损失确定目标资产对应的风险值。例如,目标资产对应的风险值满足: 其中,A表示价值评分,V表示脆弱性评分,T表示威胁严重性评分或目标威胁严重性评分。
在一些示例中,相关技术人员可以基于风险评估系统1对资产、脆弱性和威胁的赋值范围划分多个风险等级,即可以确定各个风险等级对应的目标数值范围,从而可以获得风险评估标准并能够预先存储在评价模块140中。在一些示例中,评价模块140可以基于目标资产对应的风险值以及预先存储的风险评估标准获得目标资产的风险等级。例如,在本实施方式所涉及的示例中,风险评估系统1对资产、脆弱性和威胁的相关赋值范围可以为[0,5],风险评估标准可以如下表4所示:
表4风险评估标准
风险值 | 1-5 | 6-10 | 11-15 | 16-20 | 21-25 |
风险等级 | 1 | 2 | 3 | 4 | 5 |
风险级别 | 极低 | 低 | 中 | 高 | 极高 |
在一些示例中,评价模块140获得目标资产的风险值可以和预设的风险评估标准(例如上表4)进行比较,可以确定风险值的位于哪个目标数值范围内,从而获得目标资产的风险等级。
在一些示例中,目标信息系统200可以包含多个资产,风险评估系统1可以对多个资产依次进行评估,获得各个资产对应的风险值,并获得各个资产的风险等级。由此能够对目标信息系统200中的各个资产进行风险评估。
在一些示例中,若目标信息系统200包含多个资产,则风险评估系统1可以获得目标信息系统200中各个资产对应的风险等级,风险评估系统1可以基于目标信息系统200中各个资产对应的风险等级对目标信息系统200进行评估,获得目标信息系统200的风险评估结果。由此能够对目标信息系统200进行风险评估。
在一些示例中,风险评估系统1可以统计目标信息系统200包含的资产的总数量,风险评估系统1还可以统计目标信息系统200中各个风险等级对应的资产数量。由此能够获得各个风险等级对应的资产数量占资产总数量的百分比。在一些示例中,风险评估系统1可以基于百分比和预先设定的风险评估结果表来对目标信息系统200进行风险评估。由此能够获得目标信息系统200的风险评估结果。在一些示例中,风险评估结果表可以参考下表5,可以预先设定多个阈值来判断目标信息系统200是属于高风险、中风险或低风险。
表5风险评估结果表
如上表5所示,若目标信息系统200中风险等级4对应的资产数量大于总资产数量的25%、风险等级5对应的资产数量大于总资产数量的10%或风险等级4与风险等级5对应的资产数量之和大于总资产数量的25%,则目标信息系统200的风险评估结果为高风险;若目标信息系统200中风险等级3对应的资产数量大于总资产数量的35%或目标信息系统200中风险等级3、风险等级4和风险等级5对应的资产数量之和大于总资产数量的35%,则目标信息系统200的风险评估结果为中风险;其余的情况可以认为目标信息系统200的风险评估结果为低风险。但本公开的示例不限于此,相关技术人员可以设定不同的阈值来评估目标信息系统200,获得目标信息系统200的风险评估结果。
在一些示例中,若目标信息系统200包含一个资产,则风险评估系统1可以获得该资产对应的风险等级,并将该资产对应的风险等级作为目标信息系统200的风险等级。
图6示出了本公开的另一示例所涉及的风险评估系统的结构框图。
在一些示例中,如图6所示,资产评估模块110和威胁评估模块130可以配置在同一个系统模块(例如态势感知系统20)中。即利用一个系统模块获得目标资产的价值评分和威胁严重性评分。在一些示例中,脆弱性评估模块120和评价模块140可以配置在同一个系统模块(例如安全评估系统30)中。即利用一个系统模块获得目标资产的脆弱性评分,进而获得目标资产的风险值和风险等级。
具体而言,风险评估系统10可以包括态势感知系统20和安全评估系统30,其中,态势感知系统20可以用于对目标信息系统200的目标资产及其面临的威胁进行识别和评估,能够获得价值评分和威胁严重性评分;安全评估系统30可以用于对目标信息系统200的目标资产的脆弱性进行识别和评估,获得脆弱性评分,安全评估系统30还可以利用价值评分、威胁严重性评分和脆弱性评分获得目标资产的风险值和风险等级。
以下,结合图7详细描述本实施方式的示例所涉及的网络安全脆弱性评估方法。图7示出了本公开的示例所涉及的网络安全脆弱性评估方法的流程图。
本实施方式的示例所涉及的网络安全脆弱性评估方法是对目标信息系统的目标资产的脆弱性进行评估的网络安全脆弱性评估方法,其包括:可以对目标信息系统的目标资产的种类进行识别,可以基于目标资产的种类和预先设定的资产评分标准对目标资产的保密性、完整性和可用性进行赋值,从而获得目标资产的价值评分,资产评分标准包含目标信息系统所涉及的各类资产分别在保密性、完整性和可用性的评分(步骤S10);可以对目标信息系统进行漏洞扫描获得目标信息系统涉及的系统漏洞以及数量,并且对各个漏洞进行评估获得各个漏洞的漏洞评分,从系统漏洞中获得与目标资产对应的目标漏洞及其数量和与各个目标漏洞分别对应的漏洞评分,从而获得漏洞风险值,可以对目标信息系统涉及的配置项进行检查获得配置项脆弱性值,并基于漏洞风险值和配置项脆弱性值获取脆弱性评分(步骤S20);可以基于价值评分和脆弱性评分获得当发生安全事件时目标资产对应的损失估计(步骤S30)。
在本实施方式所涉及的示例中,可以通过资产评估和脆弱性评估分别获得目标资产的价值评分和脆弱性评分,然后基于价值评分和脆弱性评分获得当发生安全事件时目标资产对应的损失估计。由此能够对目标信息系统的目标资产进行较为高效且较为准确的评估。
在本实施方式中,网络安全脆弱性评估方法中的目标资产、价值评分、脆弱性评分和损失估计的识别和获取可以参照上述的目标资产、价值评分、脆弱性评分和损失估计。
在步骤S10中,如上所述,可以对目标信息系统的目标资产的种类进行识别,可以基于目标资产的种类和预先设定的资产评分标准对目标资产的保密性、完整性和可用性进行赋值,从而获得目标资产的价值评分,资产评分标准包含目标信息系统所涉及的各类资产分别在保密性、完整性和可用性的评分。
具体而言,在步骤S10中,可以通过部署资产探针对目标信息系统中的资产进行识别,并从一个或多个资产中选出任一个作为目标资产,可以对相关行业中的信息系统进行分类并确定各类信息系统在不同安全属性方面的价值基准;可以预先确定目标信息系统的种类并获得对应的价值基准,可以根据价值基准对该类目标信息系统所可能包含的各类资产进行评分获得资产评分标准;可以根据资产评分标准和目标资产的种类对目标资产的保密性、完整性和可用性进行赋值;可以根据目标资产在保密性、完整性和可用性方面的赋值进行加权求和等方式获得目标资产的价值评分。步骤S10的实现具体可以参考上述资产评估模块110。
在一些示例中,目标信息系统可以包括一个或多个资产,可以依次将各个资产作为目标资产进行评估,可以获得当发生安全事件时各个资产对应的损失估计。由此能够对目标信息系统中的各个资产进行评估。
在步骤S20中,如上所述,可以对目标信息系统进行漏洞扫描获得目标信息系统涉及的系统漏洞以及数量,并且对各个漏洞进行评估获得各个漏洞的漏洞评分,从系统漏洞中获得与目标资产对应的目标漏洞及其数量和与各个目标漏洞分别对应的漏洞评分,从而获得漏洞风险值,可以对目标信息系统涉及的配置项进行检查获得配置项脆弱性值,并基于漏洞风险值和配置项脆弱性值获取脆弱性评分。
在一些示例中,在步骤S20中,可以通过对目标信息系统进行漏洞扫描获得目标信息系统的各资产存在的漏洞;可以从各资产存在的漏洞中获得系统漏洞数量和目标资产涉及的目标漏洞,并获取目标漏洞的数量以及各漏洞对应的漏洞评分;根据系统漏洞数量、目标漏洞的数量和各漏洞对应的漏洞评分可以获得目标资产的漏洞风险值。在一些示例中,在步骤S20中,还可以根据多个单模板核查表单对目标信息系统及其子系统进行基线检查,从而可以对目标信息系统涉及的配置项进行核查;可以获得各个单模板核查表单对应的不符合配置项的个数和配置项的个数以及各个不符合配置项对应的权重wi和与各个配置项对应的权重wj,进而可以基于单模板核查表单的个数获得目标信息系统的配置项脆弱性值,可以对漏洞风险值和配置项脆弱性值进行加权求和获得脆弱性评分。步骤S20的实现具体可以参考上述脆弱性评估模块120。
在步骤S30中,如上所述,可以基于价值评分和脆弱性评分获得目标资产对应的损失估计。步骤S30的实现具体可以参考上述评价模块140中对获取损失估计的相关描述。
在一些示例中,损失估计可以由价值评分与脆弱性评分的乘积获得。由此能够获得损失估计。
图8示出了本公开的示例所涉及的风险评估方法的流程图。
在一些示例中,如图8所示,相对于上述风险评估系统1而言,本公开的示例所涉及的风险评估方法可以包括:可以对目标信息系统的目标资产进行识别,并可以识别目标资产的种类,从而对目标资产的保密性、完整性和可用性进行评估和赋值,获得目标资产的价值评分(步骤S11);对目标信息系统的目标资产涉及的漏洞和配置项进行检查获得漏洞风险值和配置项脆弱性值,以获取脆弱性评分(步骤S21);可以基于态势感知告警对目标资产面临的威胁进行识别,可以获得目标资产面临的威胁种类以及威胁影响等级和威胁发生次数,可以通过威胁发生次数基于泊松过程获得目标威胁发生次数,从而可以基于目标威胁发生次数获得威胁发生频度,进而可以基于威胁影响等级、每一个影响等级威胁的数量和威胁发生频度获得威胁严重性评分(步骤S31);可以基于价值评分、脆弱性评分和威胁严重性评分获得目标资产的风险值,以获得目标信息系统的目标资产的风险等级(步骤S41)。
在一些示例中,在本公开所涉及的风险评估方法中,步骤S11和步骤S21的实现可以分别参见上述网络安全脆弱性评估方法中的步骤S10和步骤S20。
在步骤S31中,如上所述,可以基于态势感知告警对目标资产面临的威胁进行识别,可以获得目标资产面临的威胁种类以及威胁影响等级和威胁发生次数,可以通过威胁发生次数基于泊松过程获得目标威胁发生次数,从而可以基于目标威胁发生次数获得威胁发生频度,进而可以基于威胁影响等级、每一个影响等级威胁的数量和威胁发生频度获得威胁严重性评分。
具体而言,可以通过态势感知对目标信息系统的网络环境进行监测并获得告警信息,可以识别目标资产涉及的一类或多类威胁,可以从中选出任一类威胁(即目标威胁)对目标资产进行威胁评估;可以获得目标威胁对应的威胁发生次数,并可以根据“GB/T20984-2007信息安全风险评估规范”中威胁等级划分获得目标威胁中各个威胁的威胁影响等级及目标威胁中各个威胁影响等级对应的威胁数量。在一些示例中,可以利用泊松过程对威胁发生次数进行优化获得目标威胁发生次数,从而可以基于目标威胁发生次数获得威胁发生频度;可以根据威胁影响等级、目标威胁中各个威胁影响等级对应的威胁数量(即每一个影响等级威胁的数量)和威胁发生频度获得威胁严重性评分。步骤S30的实现具体可以参考上述威胁评估模块130。
在一些示例中,若目标资产涉及多类威胁,可以针对多类威胁依次获得各类威胁对应的威胁严重性评分,可以基于多个威胁严重性评分获得该目标资产的目标威胁严重性评分。在一些示例中,可以对多个威胁严重性评分进行加权求和或求平均获得该目标资产的目标威胁严重性评分。在一些示例中,各个威胁严重性评分对应的权重可以根据该威胁严重性评分对应的威胁种类在相关行业的影响大小确定。在一些示例中,可以基于目标威胁严重性评分获得目标资产的风险值,并基于风险值和风险评估标准获得目标资产的风险等级(稍后具体描述)。由此能够对目标资产进行较为全面的风险评估。
在一些示例中,在本公开所涉及的风险评估方法中,步骤S21和步骤S31并无先后顺序,既可以在步骤S31之前先执行步骤S21,又可以在S31之后执行步骤S21。
在步骤S41中,如上所述,可以基于价值评分、脆弱性评分和威胁严重性评分获得目标资产的风险值,以获得目标信息系统的目标资产的风险等级。
在一些示例中,在步骤S41中,可以通过相乘法和上述的基于价值评分、脆弱性评分和威胁严重性评分(或目标威胁严重性评分)获得目标资产的风险值,例如,目标资产对应的风险值满足:其中,A表示价值评分,V表示脆弱性评分,T表示威胁严重性评分或目标威胁严重性评分。在步骤S41中,可以基于上述步骤S11~S31中对资产、脆弱性和威胁的赋值范围划分多个风险等级(即风险评估标准),通过风险评估标准可以确定各个风险等级对应的目标数值范围,可以根据目标资产的风险值和风险评估标准确定目标资产的风险等级。步骤S41的实现具体可以参考上述评价模块140中对获取目标资产的风险等级的相关描述。
在一些示例中,目标信息系统可以包含多个资产,可以对多个资产依次进行评估,获得各个资产对应的风险值,并获得各个资产的风险等级。由此能够对目标信息系统中的各个资产进行风险评估。
在一些示例中,若目标信息系统包含多个资产,则可以获得目标信息系统中各个资产对应的风险等级,可以基于目标信息系统中各个资产对应的风险等级对目标信息系统进行评估,获得目标信息系统的风险等级。由此能够对目标信息系统进行风险评估。
在一些示例中,可以统计目标信息系统包含的资产的总数量,可以统计目标信息系统中各个风险等级对应的资产数量,由此能够获得各个风险等级对应的资产数量占资产总数量的百分比,可以基于百分比和风险评估结果表来对目标信息系统进行风险评估,由此能够获得目标信息系统的风险评估结果。
在一些示例中,若目标信息系统包含一个资产,则可以获得该资产对应的风险等级,并可以将该资产对应的风险等级作为目标信息系统的风险等级。
虽然已经示出和描述了本公开的特定实施例,但是对于本领域技术人员而言显而易见的是,基于本公开的教导,可以做出变形和修改而不偏离本公开及其更广泛的方面,因此所附权利要求将在其范围内涵盖在本公开的真实精神和范围内的所有这些改变和修改。本领域技术人员将理解,一般而言,本公开中使用的术语一般意图为“开放”术语(例如术语“包括”应被解释为“包括但不限于”,术语“具有”应被解释为“至少具有”,术语“包括”应被解释为“包括但不限于”等)。
Claims (10)
1.一种网络安全脆弱性评估系统,是对目标信息系统的目标资产的脆弱性进行评估的系统,其特征在于,包括:资产评估模块,其对所述目标信息系统的目标资产的种类进行识别,基于所述目标资产的种类和预先设定的资产评分标准对所述目标资产的保密性、完整性和可用性进行赋值,从而获得所述目标资产的资产价值评分;脆弱性评估模块,其对所述目标信息系统进行漏洞扫描获得所述目标信息系统涉及的系统漏洞以及数量,并且所述脆弱性评估模块对所述系统漏洞中的各个漏洞进行评估获得各个漏洞的漏洞评分,所述脆弱性评估模块从所述系统漏洞中获得与所述目标资产对应的目标漏洞及其数量和与各个目标漏洞分别对应的漏洞评分,从而获得漏洞风险值,所述脆弱性评估模块对所述目标信息系统涉及的配置项进行检查获得配置项脆弱性值,并基于所述漏洞风险值和所述配置项脆弱性值获取脆弱性评分;以及评价模块,其基于所述资产价值评分和所述脆弱性评分获得当发生安全事件时所述目标资产对应的损失估计,其中,所述资产评分标准包含所述目标信息系统所涉及的各类资产分别在保密性、完整性和可用性的评分。
2.如权利要求1所述的网络安全脆弱性评估系统,其特征在于,
所述目标信息系统包括多个资产,所述网络安全脆弱性评估系统依次将多个资产作为目标资产进行评估,获得当发生安全事件时各个资产对应的损失估计。
4.如权利要求1所述的网络安全脆弱性评估系统,其特征在于,
所述损失估计基于所述资产价值评分与所述脆弱性评分相乘获得。
5.如权利要求1所述的网络安全脆弱性评估系统,其特征在于,
所述资产评分标准经由价值基准和各个资产的种类而获得,所述价值基准基于所述目标信息系统的种类确定。
6.一种网络安全脆弱性评估方法,是对目标信息系统的目标资产的脆弱性进行评估的方法,其特征在于,包括:对所述目标信息系统的目标资产的种类进行识别,基于所述目标资产的种类和预先设定的资产评分标准对所述目标资产的保密性、完整性和可用性进行赋值,从而获得所述目标资产的资产价值评分;对所述目标信息系统进行漏洞扫描获得所述目标信息系统涉及的系统漏洞以及数量,并且对所述系统漏洞中的各个漏洞进行评估获得各个漏洞的漏洞评分,从所述系统漏洞中获得与所述目标资产对应的目标漏洞及其数量和与各个目标漏洞分别对应的漏洞评分,从而获得漏洞风险值,对所述目标信息系统涉及的配置项进行检查获得配置项脆弱性值,并基于所述漏洞风险值和所述配置项脆弱性值获取脆弱性评分;并且基于所述资产价值评分和所述脆弱性评分获得当发生安全事件时所述目标资产对应的损失估计,其中,所述资产评分标准包含所述目标信息系统所涉及的各类资产分别在保密性、完整性和可用性的评分。
7.如权利要求6所述的网络安全脆弱性评估方法,其特征在于,
所述目标信息系统包括多个资产,依次将多个资产作为目标资产进行评估,获得当发生安全事件时各个资产对应的损失估计。
9.如权利要求6所述的网络安全脆弱性评估方法,其特征在于,
所述损失估计基于所述资产价值评分与所述脆弱性评分相乘获得。
10.如权利要求6所述的网络安全脆弱性评估方法,其特征在于,
所述资产评分标准经由价值基准和各个资产的种类而获得,所述价值基准基于所述目标信息系统的种类确定。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010700788.2A CN111865981B (zh) | 2020-07-20 | 2020-07-20 | 网络安全脆弱性评估系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010700788.2A CN111865981B (zh) | 2020-07-20 | 2020-07-20 | 网络安全脆弱性评估系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111865981A true CN111865981A (zh) | 2020-10-30 |
CN111865981B CN111865981B (zh) | 2021-05-07 |
Family
ID=73001120
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010700788.2A Active CN111865981B (zh) | 2020-07-20 | 2020-07-20 | 网络安全脆弱性评估系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111865981B (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112804212A (zh) * | 2020-12-31 | 2021-05-14 | 上海磐御网络科技有限公司 | 一种信息安全评估系统 |
CN112839047A (zh) * | 2021-01-15 | 2021-05-25 | 杭州安恒信息技术股份有限公司 | 一种云平台上的资产漏洞扫描方法、装置、设备及介质 |
CN113268741A (zh) * | 2021-06-11 | 2021-08-17 | 北京网御星云信息技术有限公司 | 一种自适应的脆弱性扫描系统及其扫描方法 |
CN113344472A (zh) * | 2021-08-04 | 2021-09-03 | 浙江乾冠信息安全研究院有限公司 | 网络安全评分方法 |
CN113922998A (zh) * | 2021-09-29 | 2022-01-11 | 湖北天融信网络安全技术有限公司 | 一种漏洞风险评估方法、装置、电子设备及可读存储介质 |
CN114726649A (zh) * | 2022-05-16 | 2022-07-08 | 中国电子科技集团公司第十五研究所 | 态势感知的评价方法、装置、终端设备和存储介质 |
CN114785538A (zh) * | 2022-03-02 | 2022-07-22 | 南方电网数字电网研究院有限公司 | 一种数据关联分析方法、装置、计算机设备和存储介质 |
CN115086068A (zh) * | 2022-07-19 | 2022-09-20 | 电子科技大学 | 一种网络入侵检测方法和装置 |
CN116881931A (zh) * | 2023-09-08 | 2023-10-13 | 北京盛邦赛云科技有限公司 | 漏洞评估方法、电子设备及存储介质 |
WO2024138440A1 (zh) * | 2022-12-28 | 2024-07-04 | 西门子股份公司 | 评估资产风险的方法、装置、电子设备及存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103023889A (zh) * | 2012-11-29 | 2013-04-03 | 武汉华中电力电网技术有限公司 | 一种安全域风险量化方法 |
CN105427172A (zh) * | 2015-12-04 | 2016-03-23 | 北京华热科技发展有限公司 | 一种风险评估方法及系统 |
CN105516130A (zh) * | 2015-12-07 | 2016-04-20 | 北京安信天行科技有限公司 | 一种数据处理方法和装置 |
CN105635112A (zh) * | 2015-12-18 | 2016-06-01 | 国家电网公司 | 信息系统安全性能的评估方法 |
CN110417721A (zh) * | 2019-03-07 | 2019-11-05 | 腾讯科技(深圳)有限公司 | 安全风险评估方法、装置、设备及计算机可读存储介质 |
CN110808947A (zh) * | 2019-05-23 | 2020-02-18 | 南瑞集团有限公司 | 一种自动化的脆弱性量化评估方法及系统 |
CN111090862A (zh) * | 2019-11-25 | 2020-05-01 | 杭州安恒信息技术股份有限公司 | 基于互联网端的资产画像方法和系统 |
-
2020
- 2020-07-20 CN CN202010700788.2A patent/CN111865981B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103023889A (zh) * | 2012-11-29 | 2013-04-03 | 武汉华中电力电网技术有限公司 | 一种安全域风险量化方法 |
CN105427172A (zh) * | 2015-12-04 | 2016-03-23 | 北京华热科技发展有限公司 | 一种风险评估方法及系统 |
CN105516130A (zh) * | 2015-12-07 | 2016-04-20 | 北京安信天行科技有限公司 | 一种数据处理方法和装置 |
CN105635112A (zh) * | 2015-12-18 | 2016-06-01 | 国家电网公司 | 信息系统安全性能的评估方法 |
CN110417721A (zh) * | 2019-03-07 | 2019-11-05 | 腾讯科技(深圳)有限公司 | 安全风险评估方法、装置、设备及计算机可读存储介质 |
CN110808947A (zh) * | 2019-05-23 | 2020-02-18 | 南瑞集团有限公司 | 一种自动化的脆弱性量化评估方法及系统 |
CN111090862A (zh) * | 2019-11-25 | 2020-05-01 | 杭州安恒信息技术股份有限公司 | 基于互联网端的资产画像方法和系统 |
Non-Patent Citations (1)
Title |
---|
王梓博 等: "交通运输行业网络安全监测与预警平台设计", 《交通建设与管理》 * |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112804212B (zh) * | 2020-12-31 | 2023-02-28 | 上海磐御网络科技有限公司 | 一种信息安全评估系统 |
CN112804212A (zh) * | 2020-12-31 | 2021-05-14 | 上海磐御网络科技有限公司 | 一种信息安全评估系统 |
CN112839047A (zh) * | 2021-01-15 | 2021-05-25 | 杭州安恒信息技术股份有限公司 | 一种云平台上的资产漏洞扫描方法、装置、设备及介质 |
CN112839047B (zh) * | 2021-01-15 | 2023-03-21 | 杭州安恒信息技术股份有限公司 | 一种云平台上的资产漏洞扫描方法、装置、设备及介质 |
CN113268741A (zh) * | 2021-06-11 | 2021-08-17 | 北京网御星云信息技术有限公司 | 一种自适应的脆弱性扫描系统及其扫描方法 |
CN113344472A (zh) * | 2021-08-04 | 2021-09-03 | 浙江乾冠信息安全研究院有限公司 | 网络安全评分方法 |
CN113922998A (zh) * | 2021-09-29 | 2022-01-11 | 湖北天融信网络安全技术有限公司 | 一种漏洞风险评估方法、装置、电子设备及可读存储介质 |
CN114785538A (zh) * | 2022-03-02 | 2022-07-22 | 南方电网数字电网研究院有限公司 | 一种数据关联分析方法、装置、计算机设备和存储介质 |
CN114785538B (zh) * | 2022-03-02 | 2023-11-28 | 南方电网数字电网研究院有限公司 | 一种数据关联分析方法、装置、计算机设备和存储介质 |
CN114726649B (zh) * | 2022-05-16 | 2022-08-23 | 中国电子科技集团公司第十五研究所 | 态势感知的评价方法、装置、终端设备和存储介质 |
CN114726649A (zh) * | 2022-05-16 | 2022-07-08 | 中国电子科技集团公司第十五研究所 | 态势感知的评价方法、装置、终端设备和存储介质 |
CN115086068A (zh) * | 2022-07-19 | 2022-09-20 | 电子科技大学 | 一种网络入侵检测方法和装置 |
CN115086068B (zh) * | 2022-07-19 | 2022-11-08 | 电子科技大学 | 一种网络入侵检测方法和装置 |
WO2024138440A1 (zh) * | 2022-12-28 | 2024-07-04 | 西门子股份公司 | 评估资产风险的方法、装置、电子设备及存储介质 |
CN116881931A (zh) * | 2023-09-08 | 2023-10-13 | 北京盛邦赛云科技有限公司 | 漏洞评估方法、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111865981B (zh) | 2021-05-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111859393B (zh) | 基于态势感知告警的风险评估系统及方法 | |
CN111865981B (zh) | 网络安全脆弱性评估系统及方法 | |
CN111865982B (zh) | 基于态势感知告警的威胁评估系统及方法 | |
Ahmad et al. | How integration of cyber security management and incident response enables organizational learning | |
US10438001B1 (en) | Identification, prediction, and assessment of cyber security risk | |
CN110620759B (zh) | 基于多维关联的网络安全事件危害指数评估方法及其系统 | |
TWI573036B (zh) | 針對威脅評估之風險評分技術 | |
US20180336353A1 (en) | Risk scores for entities | |
Geer et al. | Information security: Why the future belongs to the quants | |
US20090106843A1 (en) | Security risk evaluation method for effective threat management | |
Bryant et al. | Improving SIEM alert metadata aggregation with a novel kill-chain based classification model | |
CA2562358C (en) | Method and system for distinguishing relevant network security threats using comparison of refined intrusion detection audits and intelligent security analysis | |
US11973788B2 (en) | Continuous scoring of security controls and dynamic tuning of security policies | |
US11863577B1 (en) | Data collection and analytics pipeline for cybersecurity | |
CN116094817A (zh) | 一种网络安全检测系统和方法 | |
CN117478433B (zh) | 一种网络与信息安全动态预警系统 | |
CN114978614A (zh) | Ip资产快速扫描处理系统 | |
Liu et al. | Vmras: A novel virtual machine risk assessment scheme in the cloud environment | |
Bodeau et al. | Cyber resiliency metrics, version 1.0, rev. 1 | |
CN116050841B (zh) | 信息安全风险评估方法、装置、终端设备及存储介质 | |
CN111726355A (zh) | 一种基于大数据的网络安全态势感知系统 | |
Qassim et al. | Strategy to Reduce False Alarms in Intrusion Detection and Prevention Systems. | |
Alharbi | A qualitative study on security operations centers in saudi arabia: challenges and research directions | |
Kang et al. | Multi-dimensional security risk assessment model based on three elements in the IoT system | |
Xi et al. | Quantitative threat situation assessment based on alert verification |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |