CN115643107A - 网络安全风险评估方法、装置、计算机设备及存储介质 - Google Patents
网络安全风险评估方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN115643107A CN115643107A CN202211592344.7A CN202211592344A CN115643107A CN 115643107 A CN115643107 A CN 115643107A CN 202211592344 A CN202211592344 A CN 202211592344A CN 115643107 A CN115643107 A CN 115643107A
- Authority
- CN
- China
- Prior art keywords
- network security
- network
- security
- target enterprise
- threat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例提供了一种网络安全风险评估方法、装置、计算机设备及存储介质,涉及信息安全技术领域,其中,该方法包括:根据目标企业网络的互联网资产的相关信息,确定互联网资产暴露面的风险等级;确定所述目标企业网络的网络安全成熟度,所述网络安全成熟度表示所述目标企业网络的网络安全防护程度;将所述互联网资产暴露面的风险等级和所述网络安全成熟度,结合网络安全事件对应的威胁场景,确定所述目标企业网络的网络安全风险等级。该方案可以降低风险评估的工作量,有利于实现风险评估的轻量化、有利于减少风险评估的耗时,使得可以为需要轻量、快速响应风险评估的应用场景提供风险评估支撑。
Description
技术领域
本发明涉及信息安全技术领域,特别涉及一种网络安全风险评估方法、装置、计算机设备及存储介质。
背景技术
近年来,随着《网络安全法》、《数据安全法》、“等保2.0”等法律及政策标准的不断出台,国内对于网络安全的重视程度不断上升,各行业企事业单位的网络安全建设水平逐渐提高,网络安全风险管理手段已趋于体系化、成熟化。
但“没有绝对的安全”,即使企业单位内的网络安全建设投入再高,技术再先进,发生网络安全事件的风险并不能完全消除。且企业单位的网络安全投入及其效用存在非线性比例关系,即当企业单位的安全投入达到了一定的值后,再进行更多的安全建设投入也不会再带来更明显的效用。
我国早在多年以前就已出台了相关的网络安全风险评估标准,即《信息安全技术信息安全风险评估方法》(GB/T 20984-2007),该标准借鉴了国际上相关的信息安全评估标准的思想,将网络安全风险以可量化的形式展现了出来。具体来说,根据该标准中的风险分析方法,其主要涉及三大要素,即:资产、威胁、脆弱性。
每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。如图1所示,风险分析的主要内容为:
a)对资产进行识别,并对资产的价值进行赋值;
b)对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;
c)对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;
d)根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性;
e)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件的损失;
f)根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。
根据上述风险分析标准,一个完整的风险评估实施流程如图2所示。
该风险分析标准的理论多年来成为了国内安全服务及评估工作的核心思想。即在常见的传统的网络安全服务项目开展中,往往是由评估团队(通常是服务乙方)入驻至被评估企业内(甲方),通关开展大量的信息搜集及业务沟通、技术检查、访谈评估等环节后才能得出较为客观真实的网络安全风险评价结果。此类评估方法存在以下缺陷:
一、该标准下的风险评估方法工作量巨大,且实施流程周期较长,不满足轻量、快速响应需求;
二、最重要的是该标准下的风险分析体系中资产与威胁的作用因子较小,对最终风险评价结果取决定性因素的往往是脆弱性。
发明内容
有鉴于此,本发明实施例提供了一种网络安全风险评估方法,以解决现有技术中风险评估存在的工作量大、更聚焦于脆弱性的技术问题。该方法包括:
根据目标企业网络的互联网资产的相关信息,确定互联网资产暴露面的风险等级;
确定所述目标企业网络的网络安全成熟度,所述网络安全成熟度表示所述目标企业网络的网络安全防护程度;
将所述互联网资产暴露面的风险等级和所述网络安全成熟度,结合网络安全事件对应的威胁场景,确定所述目标企业网络的网络安全风险等级。
本发明实施例还提供了一种网络安全风险评估装置,以解决现有技术中风险评估存在的工作量大、更聚焦于脆弱性的技术问题。该装置包括:
互联网资产风险确定模块,用于根据目标企业网络的互联网资产的相关信息,确定互联网资产暴露面的风险等级;
网络安全成熟度确定模块,用于确定所述目标企业网络的网络安全成熟度,所述网络安全成熟度表示所述目标企业网络的网络安全防护程度;
风险评估模块,用于将所述互联网资产暴露面的风险等级和所述网络安全成熟度,结合网络安全事件对应的威胁场景,确定所述目标企业网络的网络安全风险等级。
本发明实施例还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任意的网络安全风险评估方法,以解决现有技术中风险评估存在的工作量大、更聚焦于脆弱性的技术问题。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述任意的网络安全风险评估方法的计算机程序,以解决现有技术中风险评估存在的工作量大、更聚焦于脆弱性的技术问题。
与现有技术相比,本说明书实施例采用的上述至少一个技术方案能够达到的有益效果至少包括:通过确定互联网资产暴露面的风险等级和目标企业网络的网络安全成熟度,将互联网资产暴露面的风险等级和网络安全成熟度,结合网络安全事件对应的威胁场景,确定目标企业网络的网络安全风险等级。实现了基于互联网资产暴露面的风险、网络安全成熟度以及威胁场景定性地确定目标企业网络的网络安全风险等级,使得风险评估更聚焦于互联网资产和威胁场景的威胁性,有利于更准确、更直观地评估出网络安全风险中互联网资产面临的风险;同时,该风险评估过程中不涉及复杂的赋值、不涉及基于复杂的赋值计算风险等计算过程,有利于降低风险评估的工作量,进而有利于实现风险评估的轻量化、有利于减少风险评估的耗时,使得可以为需要轻量、快速响应风险评估的应用场景提供风险评估支撑。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是现有技术中的一种网络安全风险分析的原理图;
图2是现有技术中的一种风险评估实施流程图;
图3是本发明实施例提供的一种网络安全风险评估方法的流程图;
图4是本发明实施例提供的一种获取互联网资产的相关信息的示意图;
图5是本发明实施例提供的一种实施上述网络安全风险评估方法的流程图;
图6是本发明实施例提供的一种计算机设备的结构框图;
图7是本发明实施例提供的一种网络安全风险评估装置的结构框图。
具体实施方式
下面结合附图对本申请实施例进行详细描述。
以下通过特定的具体实例说明本申请的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本申请的其他优点与功效。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。本申请还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本申请的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请发明人发现,保险业务视角则更关注于具象化的资产及面临的威胁场景,其两者将直接决定了对于投保企业发生网络安全事件时的损失预估情况,例如,资产对于业务的价值、具体威胁场景下对企业业务造成的营业损失等情况,因此,保险业务等应用场景需要一种针对互联网资产及其面临的威胁的风险评估方案,且需要轻量、快速响应风险评估需求,因此,本申请发明人提出了上述网络安全风险评估方法,以便为保险业务等需要轻量、快速响应风险评估的应用场景提供风险评估支撑。
在本发明实施例中,提供了一种网络安全风险评估方法,如图3所示,该方法包括:
步骤S301:根据目标企业网络的互联网资产的相关信息,确定互联网资产暴露面的风险等级;
步骤S302:确定所述目标企业网络的网络安全成熟度,所述网络安全成熟度表示所述目标企业网络的网络安全防护程度;
步骤S303:将所述互联网资产暴露面的风险等级和所述网络安全成熟度,结合网络安全事件对应的威胁场景,确定所述目标企业网络的网络安全风险等级。
由图3所示的流程可知,在本发明实施例中,通过确定互联网资产暴露面的风险等级和目标企业网络的网络安全成熟度,将互联网资产暴露面的风险等级和网络安全成熟度,结合网络安全事件对应的威胁场景,确定目标企业网络的网络安全风险等级。实现了基于互联网资产暴露面的风险、网络安全成熟度以及威胁场景定性地确定目标企业网络的网络安全风险等级,使得风险评估更聚焦于互联网资产和威胁场景的威胁性,有利于更准确、更直观地评估出网络安全风险中互联网资产面临的风险;同时,该风险评估过程中不涉及复杂的赋值、不涉及基于复杂的赋值计算风险等计算过程,有利于降低风险评估的工作量,进而有利于实现风险评估的轻量化、有利于减少风险评估的耗时,使得可以为需要轻量、快速响应风险评估的应用场景提供风险评估支撑。
具体实施时,上述目标企业网络的互联网资产的相关信息可以是全量信息,也可以是开源信息,主要区别在于基于全量信息进行安全探测时的指标量较大,其可能会对目标企业网络的信息系统资产运行造成负面影响。由于近年来网络安全监管趋于严格,有必要根据目标企业所授权来决定相应的评估策略(是基于全量信息进行风险评估还是基于开源信息进行风险评估),以避免不必要的网络安全事故与纠纷。
具体实施时,目标企业网络的互联网资产的相关信息可以包括但不限于以下任意一项或任意组合:
目标企业的基本信息、ICP域名资产信息、企业域名下的子域名、子域名对应的IP资产以及与企业相关的开源信息。
具体实施时,如图4所示,可以通过以下方式来获取目标企业网络的互联网资产的相关信息:
1.企业的基本信息;
(1)通过天眼查、企查查等平台查询投保企业的基本信息,包括股权结构、分支机构信息等,作为基本的网络安全风险评估参考面。
2.企业备案的ICP域名资产;
(1)此为网络安全风险评估中的资产目标起点,所有的后续评估资产均围绕ICP备案域名为主而展开;
(2)一个企业可拥有多个ICP备案域名;
3.企业域名下的子域名及相关IP资产;
(1)每个ICP备案域名下可拥有多个子域名,例如主域名baidu.com下,存在www.baidu.com、wenku.baidu.com等子域名;
(2)子域名又可对应至IP资产。一个子域名可对应多个IP资产,同时一个IP资产也可能对应着多个子域名;两者均可作为评估的具体单位,在实际评估工作中视信息系统及应用服务的运行情况而定。
4.各类与企业相关的开源信息;
(1)基于企业的基本信息画像,构建出企业对应的关键字词。仍以百度为例,其关键词为“百度”、“baidu”等,以关键词对Github、Gitee、CSDN等IT技术博客、代码交流平台进行检索,尝试发现潜在的敏感信息泄露情况;
(2)由于员工的安全意识参次不齐,常有IT技术员工会把企业内部重要的源代码、文档等数据文件上传至Github、Gitee、CSDN等平台,从而导致了敏感信息泄露,可被攻击者利用于安全漏洞挖掘等活动。
具体实施时,在完成互联网资产的相关信息搜集后,可以对搜集到的企业资产开展安全探测,此部分可以采用传统的网络安全漏洞扫描技术,对目标企业网络的域名、IP等资产开展漏洞扫描与检测,此处不作详细描述。
具体实施时,在对企业资产完成安全探测后,基于互联网资产的相关信息对互联网资产进行定性分析,确定互联网资产暴露面的风险等级,可以主要评价以下几类互联网资产的安全情况,确定互联网资产暴露面的风险评价结果。
①信息展示类资产(例如官网、信息公开网、招标系统、招聘系统等);
②业务运行类资产(结合投保企业的业务具体分类,例如电商平台等);
③IT部门类资产(例如运维平台、XX系统管理后台、源代码托管平台、XX监控系统等);
④其他类系统。
具体实施时,在根据目标企业网络的互联网资产的相关信息,确定互联网资产暴露面的风险等级的过程中,可以参考知识库预存的互联网资产的相关信息与风险等级的对应关系,来确定目标企业网络的互联网资产暴露面的风险等级,也可以采用基于历史互联网资产相关信息和历史风险等级为样本训练网络模型,进而使用训练后的网络模型来确定互联网资产暴露面的风险等级。
具体实施时,确定目标企业网络的网络安全成熟度的过程中,可以根据目标企业网络的安全软件、安全应对措施等安全防护信息来确定网络安全成熟度,具体的,可以通过问卷、与IT技术人员开展技术访谈等方式获取全面、准确的安全防护信息。
具体实施时,得到安全防护信息后,可以通过以下方式快捷、准确地确定网络安全成熟度,例如,
按照多个网络安全维度,从所述目标企业网络采集各个所述网络安全维度包括的信息项;
根据信息项与分数的预存对应关系(每个信息项对应的分数可以是简单的数值,例如,0-1之间的数值,数值的大小与对应信息项的安全防护作用成正比),确定采集到的各个所述网络安全维度包括的各个所述信息项对应的分数;
将每个所述网络安全维度包括的各个所述信息项对应的分数叠加,得到每个所述网络安全维度的分数;
将各个所述网络安全维度的分数叠加,得到网络安全分数,根据所述网络安全分数确定所述目标企业网络的网络安全成熟度。
具体实施时,可以根据国内外各信息安全相关标准,来确定多个、不同的网络安全维度,每个网络安全维度下可以对应多个不同的信息项,每个网络安全维度包括的信息项即从属于该网络安全维度的信息类型,该信息项作为评估目标,每个评估目标下又可以由多条具体的(即与网络安全事件或者网络安全威胁对应的安全控制措施)安全控制措施组成。具体的,网络安全维度的示例及其包括的评估目标(信息项)如下表1所示。
表1
具体实施时,将各个所述网络安全维度的分数叠加,得到网络安全分数后,可以根据所述网络安全分数的数值大小来确定所述目标企业网络的网络安全成熟度,例如,网络安全分数的数值大小属于每个不同的数值区间,对应不同的网络安全成熟度。
具体实施时,为了进一步有针对性、准确的评估风险,在本实施例中,提出了构建网络安全事件对应的威胁场景的方法,例如,
根据所述网络安全事件对应的威胁场景包括的多个威胁要素,从所述目标企业网络采集各个所述威胁要素包括的至少一个数据项;
基于采集到的各个所述威胁要素包括的一个数据项,构建一个威胁场景,得到所述网络安全事件对应的多个威胁场景。
具体实施时,网络安全事件可以是任意对网络安全造成威胁或负面应的事件,例如,可以是集中类型的事件:
①营业中断;
②数据泄露;
③软件勒索;
④数据不可用;
⑤物理破坏。
具体实施时,在对一个企业的网络安全进行风险评估时,建立与其网络业务需求相匹配的威胁场景,有助于更有效、准确的评估风险。威胁场景主要指网络安全事件发生的形态,而一个威胁场景则可以有多个构成威胁场景的威胁要素组成,具体的威胁要素数量、类型可以根据具体评估需求确定,威胁要素数量、类型越多,构建的威胁场景越准确、真实。而每个威胁要素包括的一个或多个数据项即是从属于该威胁要素的数据类型或信息类型。例如,如下表2所示,构成威胁场景的威胁要素可以包括威胁的资产类型、威胁来源、威胁攻击方法、威胁类型、影响资产的属性等多个基本要素,定义分类部分示出了每个威胁要素包括的数据项。
表2
具体实施时,从目标企业网络采集各个威胁要素包括的至少一个数据项之后,可以构建相应的威胁场景以进行相应的风险分析,进而确定网络安全风险等级。在构建威胁场景的过程中,可以分别从每个威胁要素包括的数据项中选出一个数据项,从各个威胁要素中选出的数据项构建成一个威胁场景,根据该原理,由于每个威胁要素可以包括至少一个数据项,因此通过将分别从各个威胁要素包括的数据项中择一得到的多个数据项构成一个威胁场景,最后可以得到每个网络安全事件对应的多个威胁场景。
例如,网络安全事件以软件勒索为例,根据各个威胁要素包括的数据项分别构建的软件勒索的多个威胁场景如下表3所示。
表3
具体实施时,在构建威胁场景的过程中,以上威胁要素之间还存在特定的映射与限制关系,而并非简单的所有要素定义进行排列组合,可以在每个威胁要素中选择威胁直接影响的数据项构建威胁场景。例如,对于某企业软件勒索的网络安全评估时,软件勒索这一场景下所影响的资产类型主要为数据资产,而硬件资产、软件资产、人员资产等资产类型并非软件勒索所造成负面影响的直接对象,因此,在构建威胁场景时对硬件资产、软件资产、人员资产等资产类型可以忽略,有针对性的使用资产类型这一威胁要素中的数据资产构建威胁场景。
具体实施时,为了进一步提高风险评估的准确性,在本实施例中,提出了通过以下方式实现将所述互联网资产暴露面的风险等级和所述网络安全成熟度,结合网络安全事件对应的威胁场景,确定所述目标企业网络的网络安全风险等级,例如,
将每类所述互联网资产暴露面的风险等级量化为分数;
根据所述网络安全事件对应的威胁场景所威胁的资产类型,确定受到威胁的所述互联网资产;
根据所述网络安全事件对应的威胁场景所威胁的资产类型与确定出的所述互联网资产之间的匹配程度,确定第一权重值,所述第一权重值的大小与该匹配程度成正比;
根据所述网络安全事件对应的威胁场景的威胁相关信息(例如,各个威胁要素包括的数据项)与所述目标企业网络的网络安全防护信息(例如,各个网络安全维度包括的信息项)的匹配程度(该匹配即网络安全维度包括的信息项是否是威胁要素包括的数据项的对应的网络安全措施),确定第二权重值,所述第二权重值的大小与该匹配程度成正比;
将确定出的所述互联网资产的分数与所述第一权重值相乘,得到第一乘积;
将所述网络安全成熟度对应的分数与所述第二权重值相乘,得到第二乘积;
将所述第一乘积和所述第二乘积求和,根据求和结果的数值,确定所述目标企业网络的网络安全风险等级。
具体实施时,互联网资产暴露面风险等级可以划分为高、中、低,其可以通过渗透测试、漏洞扫描等专业安全技术评估并总结得出相应结论,是一个企业对其资产管理的最直接的技术化安全水平体现。而网络安全成熟度则着重于企业的内部网络安全的控制措施及管理措施,体现的是企业关于网络及信息安全的综合管理能力,以网络安全成熟度的分数所反映。
在网络安全评估的过程中,可以通过历史互联网资产暴露面风险等级与风险分数的对应关系(每个互联网资产暴露面风险等级对应的风险分数可以是简单的数值,例如,0-1之间的数值,数值的大小与对应风险等级的级别成正比),或者网络模型的方式,将每类互联网资产暴露面的风险等级量化为分数。
例如,以软件勒索的威胁场景为例,在针对外部恶意人员的恶意的网络攻击的场景评估时,互联网资产暴露面风险等级所占第一权重则较大,需着重关注其中的高危漏洞问题,即外部攻击者是否能通过高危漏洞直接向资产中植入勒索软件。同时也应着重关注于企业内网络安全防控措施中关于数据安全的管理措施以及备份策略等安全控制措施,是否足以应对软件勒索所造成的负面影响,即网络安全成熟度的评估结果。
具体实施时,以下详细介绍实施上述网络安全风险评估方法的过程,如图5所示,该过程包括以下步骤:
1)接收风险评估需求,根据目标企业对于评估工作的授权情况,开展基于全量信息或开源信息的风险评估工作,着重对目标企业的互联网暴露面资产进行探测、评估分析,确定互联网资产暴露面的风险等级。
2)通过作答并反馈网络安全成熟度问卷、技术访谈等方式获取安全防护信息,再结合预设的网络安全成熟度评估模型,对问卷中的答题情况进行分值计算、统计,确定网络安全成熟度。
3)基于互联网资产暴露面的风险等级和网络安全成熟度,结合网络安全事件对应的威胁场景,确定目标企业网络的网络安全风险等级,评估结束。
在本实施例中,提供了一种计算机设备,如图6所示,包括存储器601、处理器202及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任意的网络安全风险评估方法。
具体的,该计算机设备可以是计算机终端、服务器或者类似的运算装置。
在本实施例中,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述任意的网络安全风险评估方法的计算机程序。
具体的,计算机可读存储介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机可读存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读存储介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
基于同一发明构思,本发明实施例中还提供了一种网络安全风险评估装置,如下面的实施例所述。由于网络安全风险评估装置解决问题的原理与网络安全风险评估方法相似,因此网络安全风险评估装置的实施可以参见网络安全风险评估方法的实施,重复之处不再赘述。以下所使用的,术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图7是本发明实施例的网络安全风险评估装置的一种结构框图,如图7所示,该装置包括:
互联网资产风险确定模块701,用于根据目标企业网络的互联网资产的相关信息,确定互联网资产暴露面的风险等级;
网络安全成熟度确定模块702,用于确定所述目标企业网络的网络安全成熟度,所述网络安全成熟度表示所述目标企业网络的网络安全防护程度;
风险评估模块703,用于将所述互联网资产暴露面的风险等级和所述网络安全成熟度,结合网络安全事件对应的威胁场景,确定所述目标企业网络的网络安全风险等级。
在一个实施例中,网络安全成熟度确定模块,用于按照多个网络安全维度,从所述目标企业网络采集各个所述网络安全维度包括的信息项;根据信息项与分数的预存对应关系,确定采集到的各个所述网络安全维度包括的各个所述信息项对应的分数;将每个所述网络安全维度包括的各个所述信息项对应的分数叠加,得到每个所述网络安全维度的分数;将各个所述网络安全维度的分数叠加,得到网络安全分数,根据所述网络安全分数确定所述目标企业网络的网络安全成熟度。
在一个实施例中,还包括:
场景构建模块,用于根据所述网络安全事件对应的威胁场景包括的多个威胁要素,从所述目标企业网络采集各个所述威胁要素包括的至少一个数据项;基于采集到的各个所述威胁要素包括的一个数据项,构建一个威胁场景,得到所述网络安全事件对应的多个威胁场景。
在一个实施例中,风险评估模块,用于将每类所述互联网资产暴露面的风险等级量化为分数;根据所述网络安全事件对应的威胁场景所威胁的资产类型,确定受到威胁的所述互联网资产;根据所述网络安全事件对应的威胁场景所威胁的资产类型与确定出的所述互联网资产之间的匹配程度,确定第一权重值,所述第一权重值的大小与该匹配程度成正比;根据所述网络安全事件对应的威胁场景的威胁相关信息与所述目标企业网络的网络安全防护信息的匹配程度,确定第二权重值,所述第二权重值的大小与该匹配程度成正比;将确定出的所述互联网资产的分数与所述第一权重值相乘,得到第一乘积;将所述网络安全成熟度对应的分数与所述第二权重值相乘,得到第二乘积;将所述第一乘积和所述第二乘积求和,根据求和结果的数值,确定所述目标企业网络的网络安全风险等级。
本发明实施例实现了如下技术效果:通过确定互联网资产暴露面的风险等级和目标企业网络的网络安全成熟度,将互联网资产暴露面的风险等级和网络安全成熟度,结合网络安全事件对应的威胁场景,确定目标企业网络的网络安全风险等级。实现了基于互联网资产暴露面的风险、网络安全成熟度以及威胁场景定性地确定目标企业网络的网络安全风险等级,使得风险评估更聚焦于互联网资产和威胁场景的威胁性,有利于更准确、更直观地评估出网络安全风险中互联网资产面临的风险;同时,该风险评估过程中不涉及复杂的赋值、不涉及基于复杂赋值计算风险等计算过程,有利于降低风险评估的工作量,进而有利于实现风险评估的轻量化、有利于减少风险评估的耗时,使得可以为需要轻量、快速响应风险评估的应用场景提供风险评估支撑。
显然,本领域的技术人员应该明白,上述的本发明实施例的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明实施例不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明实施例可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种网络安全风险评估方法,其特征在于,包括:
根据目标企业网络的互联网资产的相关信息,确定互联网资产暴露面的风险等级;
确定所述目标企业网络的网络安全成熟度,所述网络安全成熟度表示所述目标企业网络的网络安全防护程度;
将所述互联网资产暴露面的风险等级和所述网络安全成熟度,结合网络安全事件对应的威胁场景,确定所述目标企业网络的网络安全风险等级。
2.如权利要求1所述的网络安全风险评估方法,其特征在于,确定所述目标企业网络的网络安全成熟度,包括:
按照多个网络安全维度,从所述目标企业网络采集各个所述网络安全维度包括的信息项;
根据信息项与分数的预存对应关系,确定采集到的各个所述网络安全维度包括的各个所述信息项对应的分数;
将每个所述网络安全维度包括的各个所述信息项对应的分数叠加,得到每个所述网络安全维度的分数;
将各个所述网络安全维度的分数叠加,得到网络安全分数,根据所述网络安全分数确定所述目标企业网络的网络安全成熟度。
3.如权利要求1所述的网络安全风险评估方法,其特征在于,还包括:
根据所述网络安全事件对应的威胁场景包括的多个威胁要素,从所述目标企业网络采集各个所述威胁要素包括的至少一个数据项;
基于采集到的各个所述威胁要素包括的一个数据项,构建一个威胁场景,得到所述网络安全事件对应的多个威胁场景。
4.如权利要求1所述的网络安全风险评估方法,其特征在于,将所述互联网资产暴露面的风险等级和所述网络安全成熟度,结合所述网络安全事件对应的威胁场景,确定所述目标企业网络的网络安全风险等级,包括:
将每类所述互联网资产暴露面的风险等级量化为分数;
根据所述网络安全事件对应的威胁场景所威胁的资产类型,确定受到威胁的所述互联网资产;
根据所述网络安全事件对应的威胁场景所威胁的资产类型与确定出的所述互联网资产之间的匹配程度,确定第一权重值,所述第一权重值的大小与该匹配程度成正比;
根据所述网络安全事件对应的威胁场景的威胁相关信息与所述目标企业网络的网络安全防护信息的匹配程度,确定第二权重值,所述第二权重值的大小与该匹配程度成正比;
将确定出的所述互联网资产的分数与所述第一权重值相乘,得到第一乘积;
将所述网络安全成熟度对应的分数与所述第二权重值相乘,得到第二乘积;
将所述第一乘积和所述第二乘积求和,根据求和结果的数值,确定所述目标企业网络的网络安全风险等级。
5.如权利要求1至4中任一项所述的网络安全风险评估方法,其特征在于,所述网络安全事件的类型包括:营业中断、数据泄露、软件勒索、数据不可用以及物理破坏。
6.如权利要求1至4中任一项所述的网络安全风险评估方法,其特征在于,所述互联网资产的类型包括:信息展示类资产、业务运行类资产以及IT部门的网络相关系统类资产。
7.如权利要求1至4中任一项所述的网络安全风险评估方法,其特征在于,所述目标企业网络的互联网资产的相关信息包括以下任意一项或任意组合:
目标企业的基本信息、ICP域名资产信息、企业域名下的子域名、子域名对应的IP资产以及与企业相关的开源信息。
8.一种网络安全风险评估装置,其特征在于,包括:
互联网资产风险确定模块,用于根据目标企业网络的互联网资产的相关信息,确定互联网资产暴露面的风险等级;
网络安全成熟度确定模块,用于确定所述目标企业网络的网络安全成熟度,所述网络安全成熟度表示所述目标企业网络的网络安全防护程度;
风险评估模块,用于将所述互联网资产暴露面的风险等级和所述网络安全成熟度,结合网络安全事件对应的威胁场景,确定所述目标企业网络的网络安全风险等级。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的网络安全风险评估方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1至7中任一项所述的网络安全风险评估方法的计算机程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211592344.7A CN115643107B (zh) | 2022-12-13 | 2022-12-13 | 网络安全风险评估方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211592344.7A CN115643107B (zh) | 2022-12-13 | 2022-12-13 | 网络安全风险评估方法、装置、计算机设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115643107A true CN115643107A (zh) | 2023-01-24 |
| CN115643107B CN115643107B (zh) | 2023-04-21 |
Family
ID=84948373
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211592344.7A Active CN115643107B (zh) | 2022-12-13 | 2022-12-13 | 网络安全风险评估方法、装置、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115643107B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116208429A (zh) * | 2023-04-27 | 2023-06-02 | 中国信息通信研究院 | 零信任体系架构的安全能力评价方法及装置 |
| CN117319077A (zh) * | 2023-11-09 | 2023-12-29 | 青海秦楚信息科技有限公司 | 一种网络安全应急联动系统及方法 |
| CN117579329A (zh) * | 2023-11-15 | 2024-02-20 | 北京源堡科技有限公司 | 组织网络安全暴露风险预测方法、电子设备及存储介质 |
| CN117579389A (zh) * | 2024-01-16 | 2024-02-20 | 北京源堡科技有限公司 | 基于风险暴露面的网络安全评估方法、系统、设备及介质 |
| CN117857374A (zh) * | 2024-02-22 | 2024-04-09 | 北京天融信网络安全技术有限公司 | 网络安全模型综合评估方法及系统、电子设备、存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090106843A1 (en) * | 2007-10-18 | 2009-04-23 | Pil-Yong Kang | Security risk evaluation method for effective threat management |
| US20180146004A1 (en) * | 2016-11-22 | 2018-05-24 | Aon Global Operations Ltd (Singapore Branch) | Systems and methods for cybersecurity risk assessment |
| CN109245944A (zh) * | 2018-10-22 | 2019-01-18 | 西南石油大学 | 网络安全评估方法及系统 |
| CN109919438A (zh) * | 2019-01-29 | 2019-06-21 | 上海嘉韦思信息技术有限公司 | 网络安全保险保前投保风险评估方法和系统 |
| CN109977680A (zh) * | 2019-03-13 | 2019-07-05 | 北京国舜科技股份有限公司 | 一种业务数据安全风险识别方法及系统 |
| CN113542279A (zh) * | 2021-07-16 | 2021-10-22 | 北京源堡科技有限公司 | 一种网络安全风险评估方法、系统及装置 |
-
2022
- 2022-12-13 CN CN202211592344.7A patent/CN115643107B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090106843A1 (en) * | 2007-10-18 | 2009-04-23 | Pil-Yong Kang | Security risk evaluation method for effective threat management |
| US20180146004A1 (en) * | 2016-11-22 | 2018-05-24 | Aon Global Operations Ltd (Singapore Branch) | Systems and methods for cybersecurity risk assessment |
| CN109245944A (zh) * | 2018-10-22 | 2019-01-18 | 西南石油大学 | 网络安全评估方法及系统 |
| CN109919438A (zh) * | 2019-01-29 | 2019-06-21 | 上海嘉韦思信息技术有限公司 | 网络安全保险保前投保风险评估方法和系统 |
| CN109977680A (zh) * | 2019-03-13 | 2019-07-05 | 北京国舜科技股份有限公司 | 一种业务数据安全风险识别方法及系统 |
| CN113542279A (zh) * | 2021-07-16 | 2021-10-22 | 北京源堡科技有限公司 | 一种网络安全风险评估方法、系统及装置 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116208429A (zh) * | 2023-04-27 | 2023-06-02 | 中国信息通信研究院 | 零信任体系架构的安全能力评价方法及装置 |
| CN116208429B (zh) * | 2023-04-27 | 2023-07-21 | 中国信息通信研究院 | 零信任体系架构的安全能力评价方法及装置 |
| CN117319077A (zh) * | 2023-11-09 | 2023-12-29 | 青海秦楚信息科技有限公司 | 一种网络安全应急联动系统及方法 |
| CN117319077B (zh) * | 2023-11-09 | 2024-04-16 | 青海秦楚信息科技有限公司 | 一种网络安全应急联动系统及方法 |
| CN117579329A (zh) * | 2023-11-15 | 2024-02-20 | 北京源堡科技有限公司 | 组织网络安全暴露风险预测方法、电子设备及存储介质 |
| CN117579329B (zh) * | 2023-11-15 | 2024-06-07 | 北京源堡科技有限公司 | 组织网络安全暴露风险预测方法、电子设备及存储介质 |
| CN117579389A (zh) * | 2024-01-16 | 2024-02-20 | 北京源堡科技有限公司 | 基于风险暴露面的网络安全评估方法、系统、设备及介质 |
| CN117579389B (zh) * | 2024-01-16 | 2024-04-05 | 北京源堡科技有限公司 | 基于风险暴露面的网络安全评估方法、系统、设备及介质 |
| CN117857374A (zh) * | 2024-02-22 | 2024-04-09 | 北京天融信网络安全技术有限公司 | 网络安全模型综合评估方法及系统、电子设备、存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115643107B (zh) | 2023-04-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11924237B2 (en) | Digital asset based cyber risk algorithmic engine, integrated cyber risk methodology and automated cyber risk management system | |
| Ganin et al. | Multicriteria decision framework for cybersecurity risk assessment and management | |
| CN115643107B (zh) | 网络安全风险评估方法、装置、计算机设备及存储介质 | |
| Kim et al. | Data governance framework for big data implementation with NPS Case Analysis in Korea | |
| Kim et al. | Data governance framework for big data implementation with a case of Korea | |
| Woods et al. | Towards integrating insurance data into information security investment decision making | |
| Kouatli | Managing cloud computing environment: Gaining customer trust with security and ethical management | |
| US20190364073A1 (en) | Systems and methods for determining the efficacy of computer system security policies | |
| Jahankhani et al. | Cybersecurity challenges in small and medium enterprise (SMEs) | |
| Plachkinova | A Taxonomy for Risk Assessment of Cyberattacks on Critical Infrastructure (TRACI) | |
| Sun et al. | Data analytics of crowdsourced resources for cybersecurity intelligence | |
| Linkov et al. | Rulemaking for insider threat mitigation | |
| Auyporn et al. | Critical factors in cybersecurity for SMEs in technological innovation era | |
| Thompson | 1997 computer crime and security survey | |
| Alhawamdeh | Developing a conceptual national information sharing security framework to combat cybercrimes in jordan | |
| Portalatin et al. | Data Analytics for Cyber Risk Analysis Utilizing Cyber Incident Datasets | |
| Nur | Cybersecurity awareness in Somalia | |
| Mbatha | Factors influencing cyber insurance adoption in South Africa industry | |
| Alsmadi et al. | Towards Cyber Readiness Assessment in Rural Areas | |
| Čupka et al. | Comparison of Methodologies Used in Cybersecurity Reports | |
| Tarnes | Information Security Metrics: An Empirical Study of Current Practice | |
| Stauber | Compliance issues within Europe's General Data Protection Regulation in the context of information security and privacy governance in Swedish corporations: A mixed methods study of compliance practices towards GDPR readiness | |
| Renaud et al. | What is Preventing UK SMEs from taking Cyber Security Precautions? | |
| Patel | Changing Contours of Cybersecurity: Challenges, Response and Preparedness | |
| Nevala | Cybersecurity situation analysis-Survey in Central Finland 2016-2018 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |