CN112131574A - 信息安全漏洞等级确定方法、系统及设备 - Google Patents
信息安全漏洞等级确定方法、系统及设备 Download PDFInfo
- Publication number
- CN112131574A CN112131574A CN202010973684.9A CN202010973684A CN112131574A CN 112131574 A CN112131574 A CN 112131574A CN 202010973684 A CN202010973684 A CN 202010973684A CN 112131574 A CN112131574 A CN 112131574A
- Authority
- CN
- China
- Prior art keywords
- score
- vulnerability
- determining
- grade
- availability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 238000004590 computer program Methods 0.000 claims description 8
- 230000006735 deficit Effects 0.000 claims 1
- 230000008439 repair process Effects 0.000 abstract description 10
- 230000008569 process Effects 0.000 description 10
- 230000006378 damage Effects 0.000 description 8
- 230000007547 defect Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 230000002829 reductive effect Effects 0.000 description 3
- 238000006467 substitution reaction Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000002860 competitive effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000036961 partial effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 230000009528 severe injury Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种信息安全漏洞等级确定方法、系统及设备,方法包括:确定漏洞的基础特征得分,基础特征得分包括危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分;根据危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分,确定漏洞的评分;基于预先构建的评分与等级的关联关系,根据漏洞的评分,确定漏洞的等级,从而可以实现快速地,自动化地完成对漏洞的等级确定,进而快速地完成根据漏洞等级进行自动化修补,保证信息安全。
Description
技术领域
本发明属于信息安全技术领域,具体涉及一种信息安全漏洞等级确定方法、系统及设备。
背景技术
信息安全漏洞是在信息系统的整个生命周期过程中,有意或无意产生的缺陷,这些缺陷以不同形式存在信息系统的各个层面和环节中,一旦被恶意利用,会对信息系统的安全造成损害,导致信息泄露或影响信息系统正常运行。随着信息安全漏洞的日益增加,攻击行为的日趋复杂,使得从漏洞发布到攻击代码出现的时间间隔越来越短,采取防御措施的时间要求也越来越高。
而不同的漏洞对系统的危害程度也有一定的差别,因此为了提高对漏洞的快速修补,则确定漏洞的等级则变得愈发重要,对漏洞进行评级,可以定性的确定漏洞所造成的安全威胁和影响程度,可以帮助用户确定安全缺陷在系统中的优先级,及时修补最重要的漏洞,从而保障系统的安全性。
因此,如何快速且自动化的完成对漏洞等级的确定是本领域的技术人员亟需解决的技术问题。
发明内容
为了至少解决现有技术存在的上述问题,本发明提供了一种信息安全漏洞等级确定方法、系统及设备,以实现快速且自动化的完成对漏洞等级的确定。
本发明提供的技术方案如下:
一方面,一种信息安全漏洞等级确定方法,包括:
确定漏洞的基础特征得分,所述基础特征得分包括危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分;
根据所述危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分,确定所述漏洞的评分;
基于预先构建的评分与等级的关联关系,根据所述漏洞的评分,确定所述漏洞的等级。
可选的,上述所述危害性包括机密属性、完整属性和可用属性;
对应的,确定漏洞危害性的得分,包括:
分别确定所述漏洞对所述机密属性、所述完整属性和所述可用属性的影响级别;
根据单一所述影响级别或所述影响级别的组合,确定漏洞的危害性得分。
可选的,上述所述确定漏洞重复性的得分,包括:
获取漏洞的重现指标和时间周期指标;
根据所述重现指标和所述时间周期指标,确定所述漏洞重复性的得分。
可选的,上述所述确定漏洞可利用性的得分,包括:
检测所述漏洞被利用的复杂程度指标;
根据所述复杂程度指标,确定漏洞可利用性的得分。
可选的,上述所述确定漏洞受影响度的得分,包括:
识别所述漏洞的操作权限指标;
根据所述操作权限指标,确定漏洞受影响度的得分。
可选的,上述所述确定漏洞发现系数的得分,包括:
捕捉所述漏洞被发现的难易程度指标;
根据所述难易程度指标,确定漏洞发现系数的得分。
可选的,上述所述根据所述危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分,确定所述漏洞的评分,包括:
对所述重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分进行求和;
将求和的结果与所述危害性的得分相乘,以所述相乘之后的结果作为所述漏洞的评分。
可选的,上述所述漏洞的等级包括:超危、高危、中危、低危、和轻危;
对应的,所述确定所述漏洞的等级之后,还包括:
分别根据所述超危、高危、中危、低危、和轻危的权重,确定所述漏洞的待修补级别;
根据所述待修补级别,对所述漏洞进行修补。
另一方面,一种信息安全漏洞等级确定系统,包括:
基础得分确定模块,用于确定漏洞的基础特征得分,所述基础特征得分包括危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分;
漏洞综合评分模块,用于根据所述危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分,确定所述漏洞的评分;
漏洞等级确定模块,用于基于预先构建的评分与等级的关联关系,根据所述漏洞的评分,确定所述漏洞的等级。
再一方面,一种信息安全漏洞等级确定设备,包括:处理器,以及与所述处理器相连接的存储器;
所述存储器用于存储计算机程序,所述计算机程序至少用于执行上述任一项所述的信息安全漏洞等级确定方法;
所述处理器用于调用并执行所述存储器中的所述计算机程序。
本发明的有益效果为:
本发明提供的一种信息安全漏洞等级确定方法、系统及设备,方法包括:确定漏洞的基础特征得分,基础特征得分包括危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分;根据危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分,确定漏洞的评分;基于预先构建的评分与等级的关联关系,根据漏洞的评分,确定漏洞的等级,采用本申请的技术方案,可以实现自动根据漏洞的特性对漏洞进行快速的等级确定,从而有助于快速地对漏洞进行修补,能够更好地保证信息安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的信息安全漏洞等级确定方法的一种流程图;
图2是本发明实施例提供的信息安全漏洞等级确定系统的一种结构示意图;
图3是本发明实施例提供的信息安全漏洞等级确定设备的一种结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将对本发明的技术方案进行详细的描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式,都属于本发明所保护的范围。
图1是本发明实施例提供的信息安全漏洞等级确定方法的一种流程图。
如图1所示,本实施例提供的一种信息安全漏洞等级确定方法,包括以下步骤:
S11、确定漏洞的基础特征得分,基础特征得分包括危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分。
在一个具体的实现过程中,确定漏洞的基础特性得分,基础特性为安全漏洞固有的、根本性的属性,其中基础特性包括了危害性、重复性、可利用性、受影响度和发现系数,确定得分时需要每一个基础特性的得分都进行确定。
其中,危害性指的是漏洞被成功利用后会对应用系统所造成的影响,危害性包括机密属性、完整属性和可用属性;机密属性指的是限定给特定权限的用户才能访问的信息,以及防止未授权的信息泄露;完整属性指的是信息的可信度和真实性;可用属性指的是对信息资源的访问能力,如对资源组件消耗网络带宽、处理器周期或磁盘空间等。而确定危害性得分可以分为四个等级分别为高中低无四个等级,每个等级对应不同的分数,例如,高对应三分,中对应二分,低对应一分,无对应零分。
而接下来的任务便是如何确定此漏洞的危害性处于哪一个等级,因此具体的确定危害性等级的方式可以是:若漏洞对系统机密属性未造成任何影响;且对系统完整属性未造成任何影响;且对系统可用属性未造成任何影响,则确定此时漏洞的等级为无,对应得分为零分。若只是泄漏了公开数据,对系统机密性未造成直接影响;或只是本地资源文件被修改,漏洞对系统完整性未造成直接危害;或只是本地资源的可用性能降低或中断,漏洞对系统可用性未造成直接危害,则确定此时的危害性等级为低,对应的分数为一分。若信息泄漏不会造成直接损失,或仅有部分内部公开数据泄漏;或攻击者可以修改部分数据,但是攻击者无法控制修改结果或者攻击者只能修改有限资源,修改的数据不会造成直接损失或严重的影响;或漏洞使得资源的可用属性能降低或响应延迟,攻击者无法完全拒绝合法用户的使用,漏洞不会直接造成损失或严重损害,则确定此时的危害等级为中,对应的得分为二分。若漏洞会造成所有高密级数据的泄露,或者获得了部分高密级数据,却造成了直接、严重的影响;或系统完全失去保护资源的能力,例如攻击者可以任意修改系统内的所有文件,此外,只能修改部分数据但是造成直接,严重的影响;或漏洞会造成资源全损,导致攻击者可以完全阻止合法用户的访问,这种损失是持续的,或者攻击者可以降低部分组件的可用属性,但这种损害造成了直接或严重的损害,确定此时的漏洞危害性等级为高,对应的得分为三分。于是根据该规则,基于漏洞对机密属性、完成属性和可用属性的影响级别,可以快速的完成对危害性的评分。
重复性指的是攻击者利用漏洞的时间周期,由于时间相关的条件限制,导致攻击者可能无法按照自身意愿随意攻击。确定重复性的得分的具体过程是,首先获取漏洞的重现指标和时间周期指标,然后根据重现指标和时间周期指标,确定漏洞重复性的得分。若即使很了解安全漏洞,攻击过程也很难重复,则确定重复性的得分为一分,若攻击每次可以重现,但有一定时间间隔或特定的竞争条件下才能进行,则得分为二分,若攻击每次可以重现,而且不需要时间间隔,则得分为三分。
可利用性指的是攻击者利用漏洞时的复杂程度,攻击者需要在某些特定条件中才能触发漏洞,这种情况通常需要攻击者事先进行准备工作。而确定可利用性的得分的具体过程是,首先检测漏洞被利用的复杂程度指标,然后根据复杂程度指标,确定漏洞可利用性的得分。若需要稀缺资源或技能才能利用的漏洞,只有安全行业专家才能进行的攻击,则得分为一分,若需要一定的编码量,熟练的编程人员才可以进行这类攻击,然后重复进行这些步骤,则得分为二分,若使用公开的工具或教程,使得新手可以在短时间内进行这类攻击,则得分为三分。
受影响度指的是攻击者需要具备何种权限才能进行漏洞利用,权限越小受影响的用户范围越大。确定受影响度得分的具体过程是,首先识别漏洞的操作权限指标,然后根据操作权限指标,确定漏洞受影响度的得分。若攻击者被授予重要权限可以影响攻击目标更多组件的设置,例如超级管理员权限,则得分为一分,若攻击者被授予一些仅能影响个人用户配置的权限,或者攻击者被授予一些仅能影响某些非敏感资源的权限,则得分为二分,若普通或者默认用户,即不需要提前赋予攻击者任何特殊权利即可进行攻击,则得分为三分。
发现系数指的是漏洞被发现的难易程度,越明显的漏洞越容易被更多的攻击者所发现。确定发现系数的得分的具体过程是,首先捕捉漏洞被发现的难易程度指标,然后根据难易程度指标,确定漏洞发现系数的得分。若发现该漏洞极其困难,需要源码或者管理员权限,则得分为一分,若可以通过猜测或者监测活动来发现,需要深入挖掘漏洞,则得分为二分,若错误的细节能被轻易发现,直接可见或在公网上已披露,则得分为三分。
通过上述的规则与指标,便可以快速的完成对基础特征中各项的得分。
S12、根据危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分,确定漏洞的评分。
再确定危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分之后,便是对漏洞进行评分。对重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分进行求和;将求和的结果与危害性的得分相乘,以相乘之后的结果作为漏洞的评分。评分公式为:漏洞评分=危害性的得分*(重复性的得分+可利用性的得分+受影响度的得分+发现系数的得分)。于是便可以根据不同的基础特征得分得到对应的漏洞评分。
例如,危害性得分为二分,重复性的得分为一分,可利用性的得分为三分,受影响度的得分为一分,发现系数的得分为二分,则漏洞评分=2*(1+3+1+2)=14,于是便确定了漏洞评分为14分。
S13、基于预先构建的评分与等级的关联关系,根据漏洞的评分,确定漏洞的等级。
其中,可以将漏洞的等级划分为:超危、高危、中危、低危、和轻危,在上述步骤已经获取了每一个漏洞对应的评分,便可以根据预先建立的漏洞评分与等级的关联关系,确定每一个漏洞的漏洞等级,例如漏洞评分为0,则等级为轻危,若漏洞评分为4-11之间,则对应的等级为低危,若漏洞评分为12-18之间,则漏洞等级为中危险,同理,20-32之间为高危,33-36之间为超危。每一个评分区间均包括着端点的临界值,而且,每一个区间不一定是连续的,可根据具体的计算方式获取具体的得分情况。于是便可以根据不同的得分,确定到对应的漏洞等级。
而在确定漏洞的等级之后,还包括:分别根据超危、高危、中危、低危、和轻危的权重,确定漏洞的待修补级别,根据待修补级别,对漏洞进行修补。确定每一个漏洞级别对应的不同的权重,从而便可以实现根据权重的高低,选择漏洞修补的优先级,例如同时出现两个中危漏洞和一个超危漏洞应该先修补哪一个,便可以根据对应的权重进行确定。例如,可以是超危的系数为20,高危的系数为10,中危的系数为3,低危的系数为1,轻危的系数为0,对应的各自的权重便可以得出,超危是20/33,高危是10/33,中危是3/33,低危是1/33,轻危便是零,于是,则可以根据不同的权重以及数量关系,确定优先修补的漏洞等级,当出现三个高危漏洞和一个超危漏洞时,确定同一级别的漏洞之间是否存在关联关系,若三个高危漏洞存在密切的关联关系,则应当优先修复高危漏洞至三个高危漏洞不会同时对系统造成严重危害,若三个高危漏洞之间没有了相互关联关系,则应当先修复超危漏洞,然后逐个的修复高危漏洞,其主要的目的就是保证能够最先修复危害性最大的漏洞。在实际过程中,若是按照单个漏洞来说,肯定是优先修复权重更高的,但是若是出现了相互关联的多个权重小的漏洞,则应当先修复关联性高的多个漏洞或是其中的几个漏洞,致使关联系降低或关联性消失,然后修复权重高的漏洞,其最终的目的就是保证采用最合理的漏洞修补方式来保证系统的绝对安全,同时解决现有的漏洞修复不合理的问题。因此,便可以更加合理化的完成对漏洞的自动修补。权重的目的就是更加合理化的去修补危害性最大的漏洞,因为当多个关联性密切的高危漏洞出现时,其对系统的危害大于一个超危漏洞的危害,权重则能够很好地解决掉这一问题,使得对漏洞的修补更加的合理化。也就是说,漏洞之间存在相互关联关系,则可以理解为一个大的漏洞,其中的漏洞权重是可以叠加的,存在关联关系的作为一个大的漏洞,然后再根据权重来决定漏洞修补的优先级,从而做到漏洞修补更加安全合理。
本实施例提供的一种信息安全漏洞等级确定方法,包括:确定漏洞的基础特征得分,基础特征得分包括危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分;根据危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分,确定漏洞的评分;基于预先构建的评分与等级的关联关系,根据漏洞的评分,确定漏洞的等级,采用本申请的技术方案,可以实现自动根据漏洞的特性对漏洞进行快速的等级确定,从而有助于快速地对漏洞进行修补,能够更好地保证信息安全。
基于同一总的发明构思,本申请还保护一种信息安全漏洞等级确定系统。
图2是本发明实施例提供的信息安全漏洞等级确定系统的一种结构示意图。
如图2所示,本实施例的一种信息安全漏洞等级确定系统,包括:
基础得分确定模块10,用于确定漏洞的基础特征得分,基础特征得分包括危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分;
漏洞综合评分模块20,用于根据危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分,确定漏洞的评分;
漏洞等级确定模块30,用于基于预先构建的评分与等级的关联关系,根据漏洞的评分,确定漏洞的等级。
本实施例提供的一种信息安全漏洞等级确定系统,包括:确定漏洞的基础特征得分,基础特征得分包括危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分;根据危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分,确定漏洞的评分;基于预先构建的评分与等级的关联关系,根据漏洞的评分,确定漏洞的等级,采用本申请的技术方案,可以实现自动根据漏洞的特性对漏洞进行快速的等级确定,从而有助于快速地对漏洞进行修补,能够更好地保证信息安全。
关于系统部分的实施例,在对应的方法实施例中已经做了详细的介绍说明,因此,在对应的系统部分不再进行具体的阐述,可以相互参照进行理解。
基于一个总的发明构思,本发明实施例还提供一种信息安全漏洞等级确定设备。
图3是本发明实施例提供的信息安全漏洞等级确定设备的一种结构示意图。
如图3所示,本实施例的一种信息安全漏洞等级确定设备,包括处理器100,以及与处理器相连接的存储器200;存储器用于存储计算机程序,计算机程序至少用于执行上述任一实施例的信息安全漏洞等级确定方法,处理器用于调用并执行所述存储器中的所述计算机程序。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
可以理解的是,上述各实施例中相同或相似部分可以相互参考,在一些实施例中未详细说明的内容可以参见其他实施例中相同或相似的内容。
需要说明的是,在本发明的描述中,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本发明的描述中,除非另有说明,“多个”的含义是指至少两个。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (10)
1.一种信息安全漏洞等级确定方法,其特征在于,包括:
确定漏洞的基础特征得分,所述基础特征得分包括危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分;
根据所述危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分,确定所述漏洞的评分;
基于预先构建的评分与等级的关联关系,根据所述漏洞的评分,确定所述漏洞的等级。
2.根据权利要求1所述的信息安全漏洞等级确定方法,其特征在于,所述危害性包括机密属性、完整属性和可用属性;
对应的,确定漏洞危害性的得分,包括:
分别确定所述漏洞对所述机密属性、所述完整属性和所述可用属性的影响级别;
根据单一所述影响级别或所述影响级别的组合,确定漏洞的危害性得分。
3.根据权利要求1所述的信息安全漏洞等级确定方法,其特征在于,所述确定漏洞重复性的得分,包括:
获取漏洞的重现指标和时间周期指标;
根据所述重现指标和所述时间周期指标,确定所述漏洞重复性的得分。
4.根据权利要求1所述的信息安全漏洞等级确定方法,其特征在于,所述确定漏洞可利用性的得分,包括:
检测所述漏洞被利用的复杂程度指标;
根据所述复杂程度指标,确定漏洞可利用性的得分。
5.根据权利要求1所述的信息安全漏洞等级确定方法,其特征在于,所述确定漏洞受影响度的得分,包括:
识别所述漏洞的操作权限指标;
根据所述操作权限指标,确定漏洞受影响度的得分。
6.根据权利要求1所述的信息安全漏洞等级确定方法,其特征在于,所述确定漏洞发现系数的得分,包括:
捕捉所述漏洞被发现的难易程度指标;
根据所述难易程度指标,确定漏洞发现系数的得分。
7.根据权利要求1所述的信息安全漏洞等级确定方法,其特征在于,所述根据所述危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分,确定所述漏洞的评分,包括:
对所述重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分进行求和;
将求和的结果与所述危害性的得分相乘,以所述相乘之后的结果作为所述漏洞的评分。
8.根据权利要求1所述的信息安全漏洞等级确定方法,其特征在于,所述漏洞的等级包括:超危、高危、中危、低危、和轻危;
对应的,所述确定所述漏洞的等级之后,还包括:
分别根据所述超危、高危、中危、低危、和轻危的权重,确定所述漏洞的待修补级别;
根据所述待修补级别,对所述漏洞进行修补。
9.一种信息安全漏洞等级确定系统,其特征在于,包括:
基础得分确定模块,用于确定漏洞的基础特征得分,所述基础特征得分包括危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分;
漏洞综合评分模块,用于根据所述危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分,确定所述漏洞的评分;
漏洞等级确定模块,用于基于预先构建的评分与等级的关联关系,根据所述漏洞的评分,确定所述漏洞的等级。
10.一种信息安全漏洞等级确定设备,其特征在于,包括:处理器,以及与所述处理器相连接的存储器;
所述存储器用于存储计算机程序,所述计算机程序至少用于执行权利要求1-8任一项所述的信息安全漏洞等级确定方法;
所述处理器用于调用并执行所述存储器中的所述计算机程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010973684.9A CN112131574A (zh) | 2020-09-16 | 2020-09-16 | 信息安全漏洞等级确定方法、系统及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010973684.9A CN112131574A (zh) | 2020-09-16 | 2020-09-16 | 信息安全漏洞等级确定方法、系统及设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112131574A true CN112131574A (zh) | 2020-12-25 |
Family
ID=73845863
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010973684.9A Pending CN112131574A (zh) | 2020-09-16 | 2020-09-16 | 信息安全漏洞等级确定方法、系统及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112131574A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112862236A (zh) * | 2020-12-28 | 2021-05-28 | 中国信息安全测评中心 | 一种安全漏洞处理方法及装置 |
| CN113268738A (zh) * | 2021-05-08 | 2021-08-17 | 上海智能网联汽车技术中心有限公司 | 一种智能汽车信息安全漏洞的评估方法及系统 |
| CN115102751A (zh) * | 2022-06-17 | 2022-09-23 | 西安热工研究院有限公司 | 一种安全服务厂商能力的检验方法 |
| CN116881931A (zh) * | 2023-09-08 | 2023-10-13 | 北京盛邦赛云科技有限公司 | 漏洞评估方法、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101674302A (zh) * | 2009-09-25 | 2010-03-17 | 联想网御科技(北京)有限公司 | 对信息系统进行安全性识别的方法及装置 |
| CN101950338A (zh) * | 2010-09-14 | 2011-01-19 | 中国科学院研究生院 | 一种基于层次化漏洞威胁评估的漏洞修复方法 |
| CN106570403A (zh) * | 2016-11-02 | 2017-04-19 | 北京知道未来信息技术有限公司 | 一种基于风险模型的漏洞危害程度识别方法 |
| CN106611126A (zh) * | 2016-12-22 | 2017-05-03 | 西北大学 | 一种漏洞严重性评估及修补方法 |
| US20180032736A1 (en) * | 2016-07-29 | 2018-02-01 | Jpmorgan Chase Bank, N.A. | Cybersecurity Vulnerability Management System and Method |
-
2020
- 2020-09-16 CN CN202010973684.9A patent/CN112131574A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101674302A (zh) * | 2009-09-25 | 2010-03-17 | 联想网御科技(北京)有限公司 | 对信息系统进行安全性识别的方法及装置 |
| CN101950338A (zh) * | 2010-09-14 | 2011-01-19 | 中国科学院研究生院 | 一种基于层次化漏洞威胁评估的漏洞修复方法 |
| US20180032736A1 (en) * | 2016-07-29 | 2018-02-01 | Jpmorgan Chase Bank, N.A. | Cybersecurity Vulnerability Management System and Method |
| CN106570403A (zh) * | 2016-11-02 | 2017-04-19 | 北京知道未来信息技术有限公司 | 一种基于风险模型的漏洞危害程度识别方法 |
| CN106611126A (zh) * | 2016-12-22 | 2017-05-03 | 西北大学 | 一种漏洞严重性评估及修补方法 |
Non-Patent Citations (1)
| Title |
|---|
| 王秋艳: "通用安全漏洞评级研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》, 15 December 2009 (2009-12-15), pages 139 - 56 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112862236A (zh) * | 2020-12-28 | 2021-05-28 | 中国信息安全测评中心 | 一种安全漏洞处理方法及装置 |
| CN113268738A (zh) * | 2021-05-08 | 2021-08-17 | 上海智能网联汽车技术中心有限公司 | 一种智能汽车信息安全漏洞的评估方法及系统 |
| CN113268738B (zh) * | 2021-05-08 | 2022-10-04 | 上海智能网联汽车技术中心有限公司 | 一种智能汽车信息安全漏洞的评估方法及系统 |
| CN115102751A (zh) * | 2022-06-17 | 2022-09-23 | 西安热工研究院有限公司 | 一种安全服务厂商能力的检验方法 |
| CN115102751B (zh) * | 2022-06-17 | 2023-09-15 | 西安热工研究院有限公司 | 一种安全服务厂商能力的检验方法 |
| CN116881931A (zh) * | 2023-09-08 | 2023-10-13 | 北京盛邦赛云科技有限公司 | 漏洞评估方法、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112131574A (zh) | 信息安全漏洞等级确定方法、系统及设备 | |
| KR100798923B1 (ko) | 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법 및 이를수행하는 프로그램을 기록한 기록 매체 | |
| CN109067815A (zh) | 攻击事件溯源分析方法、系统、用户设备及存储介质 | |
| CN111490970A (zh) | 一种网络攻击的溯源分析方法 | |
| CA3055978A1 (en) | Prioritized remediation of information security vulnerabilities based on service model aware multi-dimensional security risk scoring | |
| EP3292471A2 (en) | Method and device for managing security in a computer network | |
| KR20180032566A (ko) | 다수 소프트웨어 개체들에 걸쳐서 악성 행동을 트래킹하기 위한 시스템들 및 방법들 | |
| CA2996966A1 (en) | Process launch, monitoring and execution control | |
| CN113114647A (zh) | 网络安全风险的检测方法、装置、电子设备、及存储介质 | |
| CN114915475B (zh) | 攻击路径的确定方法、装置、设备及存储介质 | |
| KR102180098B1 (ko) | 악성코드 모니터링 및 사용자 단말 제어 기능을 수행하는 악성코드 탐지 시스템 | |
| CN111475806B (zh) | 一种基于访问权限的检测和防御勒索软件的方法 | |
| KR20170091989A (ko) | 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법 | |
| CN113987509A (zh) | 一种信息系统安全漏洞的风险评级方法、装置、设备及存储介质 | |
| Beyers et al. | Arguments and Methods for Database Data Model Forensics. | |
| CN114143052B (zh) | 基于可控入侵模拟的网络防御体系风险评估方法、设备及存储介质 | |
| Diogenes et al. | Cybersecurity–Attack and Defense Strategies: Improve your security posture to mitigate risks and prevent attackers from infiltrating your system | |
| CN111159714B (zh) | 一种访问控制中主体运行时可信验证方法及系统 | |
| CN109255243B (zh) | 一种终端内潜在威胁的修复方法、系统、装置及存储介质 | |
| CN114640484A (zh) | 网络安全对抗方法、装置和电子设备 | |
| CN117354060B (zh) | 一种针对云计算IaaS层漏洞检测方法、系统和介质 | |
| CN117290823B (zh) | 一种app智能检测与安全防护方法、计算机设备及介质 | |
| KR102580469B1 (ko) | 사이버 보안 위협 및 공격 표면 관리 방법 및 이러한 방법을 수행하는 장치 | |
| CN115632882B (zh) | 非法网络攻击检测方法、计算机设备及介质 | |
| KR102239759B1 (ko) | 내부 침입탐지 및 방지 시스템의 이벤트를 외부 위협 인텔리전스를 이용하여 분석하는 내부에 알려지지 않은 위협의 탐지방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |