CN113139191A - 一种漏洞处置修复优先级的统计方法 - Google Patents
一种漏洞处置修复优先级的统计方法 Download PDFInfo
- Publication number
- CN113139191A CN113139191A CN202110320932.4A CN202110320932A CN113139191A CN 113139191 A CN113139191 A CN 113139191A CN 202110320932 A CN202110320932 A CN 202110320932A CN 113139191 A CN113139191 A CN 113139191A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- value
- asset
- statistical method
- priority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本发明提出一种漏洞处置修复优先级的统计方法,包括以下步骤:S1,获取资产价值L及漏洞脆弱性值V;S2,利用以下公式,将资产价值L及漏洞脆弱性值V代入计算出漏洞风险值S,S=F(f(L),g(V));其中:f(L)为资产价值计算函数,g(V)为漏洞脆弱性值计算函数,F(f(L),g(V))为关系函数。本发明结合多个维度的参数,实现从定性到定量的转变。
Description
技术领域
本发明涉及漏洞处置技术领域,尤其是一种漏洞处置修复优先级的统计方法。
背景技术
随着用户对网络安全越来越重视,对资产管理与监控的需求也日趋强烈。资产脆弱性作为衡量资产安全性的一个指标,对其的重视程度也随之提升。其中,漏洞作为资产脆弱性衡量的主要因素之一,修复漏洞成为了安全防护建设中极为关键的一环。
在漏洞管理上,可能对于某些安全运维能力有限的用户,在系统上线后若发现存在大量的漏洞,就会导致用户对大量漏洞的管理比较困难、效率也比较低。一般的系统或标准中,根据漏洞自身的风险级别对漏洞进行定义,但随着用户对资产管理的要求的提升,在实际对漏洞的处理时,仅仅依据漏洞自身的风险级别是完全不够的,不能满足不同用户的实际需求。
根据国标GB/T 20984-2007,其中中定义的信息安全风险评估规范中只给出了风险评估计算的原理和基础模型,但并没有给出从定性到定量的方法论。
方法一:已有的一种风险矩阵评估法介绍如下:
1.定义S为漏洞风险值,L为资产价值,V为漏洞脆弱性值(采用CVSS分值),F为关系函数。L的定义域为{1,2,3,4,5},V的定义域为[0.0,10.0];
2.用风险矩阵资产风险值对应表,若有小数点则精确到小数点后一位,对照风险级别定级时,最终结果若为临界值则依照四舍五入原则划分。
方法二:另一种加权计算法介绍如下:
1.定义L为资产价值,V为漏洞脆弱性值(采用CVSS分值),为其分配定义域:
L∈[L1,L2],V∈[V1,V2],
定义S为漏洞风险值,F为关系函数。则有:
S=F(L,V);(其中,不妨假设S的值域为[0,s])
2.为L和V分别分配权重系数M和N,则需满足:
根据国标GB/T 20984-2007,L的定义集合为{1,2,3,4,5},V的定义域为[0.0,10.0]。例如实际实践中,可取s为100,用户自定义分配权重为0.4和0.6,则漏洞风险值S为:
S=10×(L-1)+6×V
值域为[0,100],可分层进行优先级划分。
无论是方法一还是方法二,都存在如下不足:优先级分值的量化,修复优先级的归一化级别划属,两者无法很好的同时兼顾。数学模型过于简单,无法根据用户自定义引入多样化的参数、结合多种维度进行量化计算,因此难以满足用户不断增长的需求。为此本发明提供对漏洞整改处置中单一漏洞处置优先级计算的一种统计方法。
发明内容
本发明解决了现有技术优先级分值的量化以及修复优先级的归一化级别划属无法很好的同时兼顾的问题,提出一种漏洞处置修复优先级的统计方法,结合多个维度的参数,实现从定性到定量的转变。
为实现上述目的,提出以下技术方案:
一种漏洞处置修复优先级的统计方法,包括以下步骤:
S1,获取资产价值L及漏洞脆弱性值V;
S2,利用以下公式,将资产价值L及漏洞脆弱性值V代入计算出漏洞风险值S,
S=F(f(L),g(V));
其中:f(L)为资产价值计算函数,g(V)为漏洞脆弱性值计算函数,
F(f(L),g(V))为关系函数。
本发明提供的一种单个漏洞管理中的业务处理优先级计算方法,结合客户在资产与漏洞的实际运维中关注的核心要素进行计算,实现从定性到定量的转变;本发明的漏洞风险值S越高,代表其风险越高,对用户的决策具有一定的指导作用。用户在面对繁多的漏洞时,根据本发明所提供的统计方法计算得到的漏洞修复优先级/评分,进行业务上的优先级分级处理,以解决漏洞管理中依赖现有技术管理效率较低、处置流程繁琐无序、不能结合实际业务进行处理的问题,提高对系统安全防护的效率。
作为优选,考虑资产价值计算函数f(L)和漏洞脆弱性值计算函数g(V)对漏洞风险值S的影响,所述F(f(L),g(V))具体为以下公式:
作为优选,所述S1中资产价值L的获取过程如下:
建立资产价值等级划分表,所述资产价值等级划分表包括等级、等级对应的标识及标识对应的标准对应描述,所述等级取值为1,2,3,4,5;企业用户根据资产价值等级划分表为资产价值赋值,由企业用户选取等级的取值作为资产价值L。
根据国标GB/T 20984-2007,企业在为资产价值赋值时,可依据资产的保密性、完整性和可用性,经过综合评定得出资产价值。最终赋值将资产划分为五级,级别越高表示资产越重要,也可以根据组织的实际情况确定资产识别中的赋值依据和等级。资产价值的取值与其对应含义描述采用国标GB/T 20984-2007建议,资产价值的赋值由用户自定义得到,故L的定义集合为{1,2,3,4,5}。
作为优选,所述S1中漏洞脆弱性值V由迪普专有的漏洞检测设备扫描得到,评分标准采用通用漏洞评分系统CVSS。
漏洞脆弱性值V,由迪普专有的漏洞检测设备扫描得到,评分标准采用CVSS,全称Common Vulnerability Scoring System,即“通用漏洞评分系统”,是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度”。根据CVSS3.0标准,V的定义域取[0.0,10.0]。
作为优选,所述资产价值计算函数f(L)的计算过程如下:
f(L)=ln a·L,a∈[e,ne],L∈{1,2,3,4,5},n为大于1的自然数);
其中:a为资产暴露风险系数,用以衡量资产对互联网暴露。
引入资产暴露风险系数,以修正资产是否对互联网暴露时对结果f(L)的偏差校正。
作为优选,所述漏洞脆弱性值计算函数g(V)的计算过程如下:
g(V)=ep+q·V,p∈[0,1],q∈[0,1];
其中:p为漏洞poc系数,用以衡量漏洞被利用的难度;q为漏洞防护系数,用以衡量漏洞防护的难度。
本发明引入漏洞防护系数和漏洞poc系数,用以修正g(V),使得漏洞脆弱性值计算函数g(V)计算出的结果更加准确,有利于提高后续计算结果的精度。
作为优选,考虑为了最终归一化分级时的统一,f(L)需要将值域同步为[0.0,10.0],因此做线性映射,得到:
最终得到漏洞风险值S的计算式为:
本发明的有益效果是:结合客户在资产与漏洞的实际运维中关注的核心要素进行计算,实现从定性到定量的转变;本发明的漏洞风险值S越高,代表其风险越高,对用户的决策具有一定的指导作用。用户在面对繁多的漏洞时,根据本发明所提供的统计方法计算得到的漏洞修复优先级/评分,进行业务上的优先级分级处理,以解决漏洞管理中依赖现有技术管理效率较低、处置流程繁琐无序、不能结合实际业务进行处理的问题,提高对系统安全防护的效率。
附图说明
图1是实施例的流程图。
具体实施方式
实施例:
本实施例提出一种漏洞处置修复优先级的统计方法,参考图1,包括以下步骤:
S1,获取资产价值L及漏洞脆弱性值V;
其中资产价值L的获取过程如下:
建立资产价值等级划分表,资产价值等级划分表包括等级、等级对应的标识及标识对应的标准对应描述,等级取值为1,2,3,4,5;企业用户根据资产价值等级划分表为资产价值赋值,由企业用户选取等级的取值作为资产价值L。
根据国标GB/T 20984-2007,企业在为资产价值赋值时,可依据资产的保密性、完整性和可用性,经过综合评定得出资产价值。最终赋值将资产划分为五级,级别越高表示资产越重要,也可以根据组织的实际情况确定资产识别中的赋值依据和等级。资产价值的取值与其对应含义描述采用国标GB/T 20984-2007建议,资产价值的赋值由用户自定义得到,故L的定义集合为{1,2,3,4,5},参考表一
表一 资产价值等级划分表
在本发明对应的实际应用场景中,资产价值的取值与其对应含义描述采用国标GB/T 20984-2007建议,资产价值的赋值由用户自定义得到,故L的定义集合为{1,2,3,4,5}。
漏洞脆弱性值V由迪普专有的漏洞检测设备扫描得到,评分标准采用通用漏洞评分系统CVSS。
评分标准采用CVSS,全称Common Vulnerability Scoring System,即“通用漏洞评分系统”,是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度”。根据CVSS3.0标准,V的定义域取[0.0,10.0]。
其等级划分及其对应含义描述如表二所示:
表二 漏洞威胁等级划分表
S2,利用以下公式,将资产价值L及漏洞脆弱性值V代入计算出漏洞风险值S,
S=F(f(L),g(V));
其中:f(L)为资产价值计算函数,g(V)为漏洞脆弱性值计算函数,
F(f(L),g(V))为关系函数。
考虑资产价值计算函数f(L)和漏洞脆弱性值计算函数g(V)对漏洞风险值S的影响,F(f(L),g(V))具体为以下公式:
资产价值计算函数f(L)的计算过程如下:
f(L)=lna·L,a∈[e,ne],L∈{1,2,3,4,5},n为大于1的自然数);
其中:a为资产暴露风险系数,用以衡量资产对互联网暴露。
引入资产暴露风险系数,以修正资产是否对互联网暴露时对结果f(L)的偏差校正。
考虑为了最终归一化分级时的统一,f(L)需要将值域同步为[0.0,10.0],因此做线性映射,得到:
漏洞脆弱性值计算函数g(V)的计算过程如下:
g(V)=ep+q·V,p∈[0,1],q∈[0,1];
其中:p为漏洞poc系数,用以衡量漏洞被利用的难度;q为漏洞防护系数,用以衡量漏洞防护的难度。
本发明引入漏洞防护系数和漏洞poc系数,用以修正g(V),使得漏洞脆弱性值计算函数g(V)计算出的结果更加准确,有利于提高后续计算结果的精度。
最终得到漏洞风险值S的计算式为:
本发明提供的一种单个漏洞管理中的业务处理优先级计算方法,结合客户在资产与漏洞的实际运维中关注的核心要素进行计算,实现从定性到定量的转变;本发明的漏洞风险值S越高,代表其风险越高,对用户的决策具有一定的指导作用。用户在面对繁多的漏洞时,根据本发明所提供的统计方法计算得到的漏洞修复优先级/评分,进行业务上的优先级分级处理,以解决漏洞管理中依赖现有技术管理效率较低、处置流程繁琐无序、不能结合实际业务进行处理的问题,提高对系统安全防护的效率。
Claims (7)
1.一种漏洞处置修复优先级的统计方法,其特征是,包括以下步骤:
S1,获取资产价值L及漏洞脆弱性值V;
S2,利用以下公式,将资产价值L及漏洞脆弱性值V代入计算出漏洞风险值S,
S=F(f(L),g(V));
其中:f(L)为资产价值计算函数,g(V)为漏洞脆弱性值计算函数,
F(f(L),g(V))为关系函数。
2.根据权利要求1所述的一种漏洞处置修复优先级的统计方法,其特征是,考虑资产价值计算函数f(L)和漏洞脆弱性值计算函数g(V)对漏洞风险值S的影响,所述F(f(L),g(V))具体为以下公式:
3.根据权利要求1或2所述的一种漏洞处置修复优先级的统计方法,其特征是,所述S1中资产价值L的获取过程如下:
建立资产价值等级划分表,所述资产价值等级划分表包括等级、等级对应的标识及标识对应的标准对应描述,所述等级取值为1,2,3,4,5;企业用户根据资产价值等级划分表为资产价值赋值,由企业用户选取等级的取值作为资产价值L。
4.根据权利要求1或2所述的一种漏洞处置修复优先级的统计方法,其特征是,所述S1中漏洞脆弱性值V由迪普专有的漏洞检测设备扫描得到,评分标准采用通用漏洞评分系统CVSS。
5.根据权利要求1或2所述的一种漏洞处置修复优先级的统计方法,其特征是,所述资产价值计算函数f(L)的计算过程如下:
f(L)=lna·L,a∈[e,ne],L∈{1,2,3,4,5},n为大于1的自然数);
其中:a为资产暴露风险系数,用以衡量资产对互联网暴露。
6.根据权利要求5所述的一种漏洞处置修复优先级的统计方法,其特征是,所述漏洞脆弱性值计算函数g(V)的计算过程如下:
g(V)=ep+q·V,p∈[0,1],q∈[0,1];
其中:p为漏洞poc系数,用以衡量漏洞被利用的难度;q为漏洞防护系数,用以衡量漏洞防护的难度。
7.根据权利要求6所述的一种漏洞处置修复优先级的统计方法,其特征是,考虑为了最终归一化分级时的统一,f(L)需要将值域同步为[0.0,10.0],因此做线性映射,得到:
最终得到漏洞风险值S的计算式为:
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110320932.4A CN113139191B (zh) | 2021-03-25 | 2021-03-25 | 一种漏洞处置修复优先级的统计方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110320932.4A CN113139191B (zh) | 2021-03-25 | 2021-03-25 | 一种漏洞处置修复优先级的统计方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113139191A true CN113139191A (zh) | 2021-07-20 |
| CN113139191B CN113139191B (zh) | 2022-07-26 |
Family
ID=76811570
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110320932.4A Active CN113139191B (zh) | 2021-03-25 | 2021-03-25 | 一种漏洞处置修复优先级的统计方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113139191B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113806748A (zh) * | 2021-08-13 | 2021-12-17 | 苏州浪潮智能科技有限公司 | 一种提升漏洞修复满意度的方法、装置及存储介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101150432A (zh) * | 2007-08-24 | 2008-03-26 | 北京启明星辰信息技术有限公司 | 一种信息系统风险评估方法及系统 |
| CN101964730A (zh) * | 2010-01-28 | 2011-02-02 | 北京邮电大学 | 一种网络脆弱性评估方法 |
| CN105427172A (zh) * | 2015-12-04 | 2016-03-23 | 北京华热科技发展有限公司 | 一种风险评估方法及系统 |
| CN106453403A (zh) * | 2016-11-21 | 2017-02-22 | 国家电网公司 | 一种基于攻击链的漏洞整改顺序确定方法及系统 |
| CN106506564A (zh) * | 2016-12-31 | 2017-03-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种漏洞管理方法及装置 |
| CN106790190A (zh) * | 2016-12-30 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种漏洞管理系统及方法 |
| US20180077193A1 (en) * | 2014-02-14 | 2018-03-15 | Kenna Security, Inc. | Ordered computer vulnerability remediation reporting |
| CN107819771A (zh) * | 2017-11-16 | 2018-03-20 | 国网湖南省电力有限公司 | 一种基于资产依赖关系的信息安全风险评估方法及系统 |
| CN111428248A (zh) * | 2020-06-10 | 2020-07-17 | 浙江鹏信信息科技股份有限公司 | 一种基于等级赋分的漏洞降噪识别方法及系统 |
| CN111444514A (zh) * | 2020-03-19 | 2020-07-24 | 腾讯科技(深圳)有限公司 | 信息安全风险评估方法及装置、设备、存储介质 |
| CN112464252A (zh) * | 2020-12-29 | 2021-03-09 | 山东泽鹿安全技术有限公司 | 一种基于风险的漏洞威胁程度动态计算方法 |
-
2021
- 2021-03-25 CN CN202110320932.4A patent/CN113139191B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101150432A (zh) * | 2007-08-24 | 2008-03-26 | 北京启明星辰信息技术有限公司 | 一种信息系统风险评估方法及系统 |
| CN101964730A (zh) * | 2010-01-28 | 2011-02-02 | 北京邮电大学 | 一种网络脆弱性评估方法 |
| US20180077193A1 (en) * | 2014-02-14 | 2018-03-15 | Kenna Security, Inc. | Ordered computer vulnerability remediation reporting |
| CN105427172A (zh) * | 2015-12-04 | 2016-03-23 | 北京华热科技发展有限公司 | 一种风险评估方法及系统 |
| CN106453403A (zh) * | 2016-11-21 | 2017-02-22 | 国家电网公司 | 一种基于攻击链的漏洞整改顺序确定方法及系统 |
| CN106790190A (zh) * | 2016-12-30 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种漏洞管理系统及方法 |
| CN106506564A (zh) * | 2016-12-31 | 2017-03-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种漏洞管理方法及装置 |
| CN107819771A (zh) * | 2017-11-16 | 2018-03-20 | 国网湖南省电力有限公司 | 一种基于资产依赖关系的信息安全风险评估方法及系统 |
| CN111444514A (zh) * | 2020-03-19 | 2020-07-24 | 腾讯科技(深圳)有限公司 | 信息安全风险评估方法及装置、设备、存储介质 |
| CN111428248A (zh) * | 2020-06-10 | 2020-07-17 | 浙江鹏信信息科技股份有限公司 | 一种基于等级赋分的漏洞降噪识别方法及系统 |
| CN112464252A (zh) * | 2020-12-29 | 2021-03-09 | 山东泽鹿安全技术有限公司 | 一种基于风险的漏洞威胁程度动态计算方法 |
Non-Patent Citations (1)
| Title |
|---|
| 陶耀东: "一种工业控制系统漏洞风险评估方法", 《小型微型计算机系统》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113806748A (zh) * | 2021-08-13 | 2021-12-17 | 苏州浪潮智能科技有限公司 | 一种提升漏洞修复满意度的方法、装置及存储介质 |
| CN113806748B (zh) * | 2021-08-13 | 2023-08-11 | 苏州浪潮智能科技有限公司 | 一种提升漏洞修复满意度的方法、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113139191B (zh) | 2022-07-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113139191B (zh) | 一种漏洞处置修复优先级的统计方法 | |
| CN112950359B (zh) | 一种用户识别方法和装置 | |
| CN116681410A (zh) | 基于云计算的人力资源数据管理系统及管理方法 | |
| CN116128627A (zh) | 风险预测方法、装置、电子设备及存储介质 | |
| CN114997812A (zh) | 一种人力资源综合管理大数据监管服务系统 | |
| KR102232874B1 (ko) | 인공지능 학습데이터 생성을 위한 크라우드소싱 기반 프로젝트의 검증용 작업 결과를 활용한 신규 검수자 평가 방법 | |
| CN111724185A (zh) | 用户维护方法和装置 | |
| CN110569363A (zh) | 一种决策流组件生成方法、装置、电子设备及存储介质 | |
| CN112860672A (zh) | 标签权重的确定方法和装置 | |
| CN115577983B (zh) | 基于区块链的企业任务匹配方法、服务器及存储介质 | |
| CN113706223B (zh) | 一种数据处理方法和装置 | |
| CN110930238A (zh) | 提高审核任务效率的方法、装置、设备和计算机可读介质 | |
| CN116797153A (zh) | 一种基于大数据的企业员工任务管理应用定制方法 | |
| CN115204993A (zh) | 基于电子签证的公共资源电子交易管理方法及系统 | |
| KR101478935B1 (ko) | 리스크-프로파일 생성 장치 | |
| CN115345489A (zh) | 基于服务层的云计算风险分析方法及分析系统 | |
| CN115034762A (zh) | 一种岗位推荐方法、装置、存储介质、电子设备及产品 | |
| CN114493851A (zh) | 一种风险处理方法及装置 | |
| CN114817347A (zh) | 业务审批方法、装置、电子设备和存储介质 | |
| CN113449318A (zh) | 一种数据分级模型训练方法、装置、数据分级方法、装置 | |
| JP2020060834A (ja) | 審査支援システム、方法、およびプログラム | |
| CN110827144A (zh) | 用户的申请风险评估方法、申请风险评估装置及电子设备 | |
| CN117472300B (zh) | 一种分布式3d打印制造平台的订单派单方法和系统 | |
| CN112085464B (zh) | 一种关联数据处理方法和装置 | |
| KR102155792B1 (ko) | 크라우드 소싱 기반 프로젝트의 특성에 따른 검수자 선별 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |