CN116881931A - 漏洞评估方法、电子设备及存储介质 - Google Patents
漏洞评估方法、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116881931A CN116881931A CN202311154282.6A CN202311154282A CN116881931A CN 116881931 A CN116881931 A CN 116881931A CN 202311154282 A CN202311154282 A CN 202311154282A CN 116881931 A CN116881931 A CN 116881931A
- Authority
- CN
- China
- Prior art keywords
- evaluation value
- vulnerability
- value
- target
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 106
- 238000011156 evaluation Methods 0.000 claims abstract description 523
- 230000008569 process Effects 0.000 claims description 27
- 238000006467 substitution reaction Methods 0.000 claims description 27
- 230000003993 interaction Effects 0.000 claims description 22
- 238000013507 mapping Methods 0.000 claims description 13
- 230000008520 organization Effects 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 10
- 230000006378 damage Effects 0.000 abstract description 13
- 230000008439 repair process Effects 0.000 description 17
- 238000004891 communication Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 230000007547 defect Effects 0.000 description 5
- 238000011161 development Methods 0.000 description 5
- 230000018109 developmental process Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 239000013598 vector Substances 0.000 description 4
- 238000013475 authorization Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 1
- 238000012854 evaluation process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种漏洞评估方法、电子设备及存储介质,涉及计算机技术领域,其中漏洞评估方法,包括:确定目标漏洞的漏洞可利用性评估值、网络空间影响范围评估值和漏洞影响程度评估值;网络空间影响范围评估值表征评估目标漏洞涉及的目标网络资产所覆盖的行业以及评估目标漏洞对目标网络资产的危害性;基于漏洞可利用性评估值、网络空间影响范围评估值和漏洞影响程度评估值,确定目标漏洞的危害性等级。本发明通过从不同角度评估目标漏洞对互联网产生的危害,可以有效提高漏洞评估方式的完整性和丰富性,既不依赖于人为主观评估经验,而且也能确保评估的漏洞危害等级与真实的漏洞危害等级一致,从而大幅提高了漏洞评估的准确性和可靠性。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种漏洞评估方法、电子设备及存储介质。
背景技术
漏洞是在硬件、软件和协议的具体实现或系统安全策略上存在的缺陷,此类缺陷可以使攻击者能够在未授权的情况下访问或破坏系统,从而影响计算机信息系统的正常运行;并且,漏洞评估是一种识别、量化和分析互联网技术(Internet Technology,IT)基础设施中安全漏洞的过程,当漏洞经评估确定为安全漏洞时,可以在威胁者找到之前缓解该安全漏洞,也可以利用该安全漏洞对严重漏洞进行修复,以免造成损失。因此,如何对漏洞进行可靠且准确评估就显得尤为重要。
相关技术中,通常使用通用漏洞评分系统(Common Vulnerability ScoringSystem,CVSS)的漏洞危害性评分方法进行漏洞评估,通过将漏洞分为攻击向量、攻击复杂度和影响范围这三个维度,并根据每个维度的值计算漏洞的基本评分以及用户本人的漏洞评估经验,最终得出漏洞危害等级。
然而,由于现有漏洞评估方法虽然从攻击向量、攻击复杂度和影响范围这三个维度计算漏洞评分,但这三个维度都是针对漏洞本身划分的不同维度,并且依赖于人为主观评估经验,评估方式单一且固定,由此导致评估的漏洞危害等级与真实的漏洞危害等级不符,漏洞评估的准确性很低。
发明内容
本发明提供一种漏洞评估方法、电子设备及存储介质,用以解决现有漏洞评估方法仅关注漏洞本身以及人为主观评估经验所导致的评估的漏洞危害等级与真实的漏洞危害等级不符且漏洞评估的准确性很低的缺陷,通过从不同角度评估目标漏洞对互联网产生的危害,可以有效提高漏洞评估方式的完整性和丰富性,既不依赖于人为主观评估经验,而且也能确保评估的漏洞危害等级与真实的漏洞危害等级一致,从而大幅提高了漏洞评估的准确性和可靠性。
本发明提供一种漏洞评估方法,包括:
确定目标漏洞的漏洞可利用性评估值、网络空间影响范围评估值和漏洞影响程度评估值;所述网络空间影响范围评估值表征评估所述目标漏洞涉及的目标网络资产所覆盖的行业以及评估所述目标漏洞对所述目标网络资产的危害性;
基于所述漏洞可利用性评估值、所述网络空间影响范围评估值和所述漏洞影响程度评估值,确定所述目标漏洞的危害性等级。
根据本发明提供的一种漏洞评估方法,所述网络空间影响范围评估值的确定过程包括:
确定所述目标漏洞对应的网络资产覆盖面评估值、业务重要性评估值和目标网络资产数量评估值;所述网络资产覆盖面评估值表征评估所述目标漏洞涉及的目标网络资产所覆盖的行业;所述业务重要性评估值为所述目标网络资产对业务的重要性评估值,所述重要性评估值与所述目标漏洞对所述目标网络资产的危害性评估值成正比;所述目标网络资产数量评估值为基于网络测绘统计的所述目标网络资产的数量;
基于所述网络资产覆盖面评估值、所述业务重要性评估值和所述目标网络资产数量评估值,确定所述网络空间影响范围评估值。
根据本发明提供的一种漏洞评估方法,所述基于所述网络资产覆盖面评估值、所述业务重要性评估值和所述目标网络资产数量评估值,确定所述网络空间影响范围评估值,包括:
确定所述目标漏洞对应的国别加权评估值;
基于所述网络资产覆盖面评估值、所述业务重要性评估值、所述目标网络资产数量评估值、资产可访问比例评估值和所述国别加权评估值,确定所述网络空间影响范围评估值;
其中,所述资产可访问比例评估值为通过网络扫描和探测获取到的网络资产数量在网络资产总数量评估值的占比。
根据本发明提供的一种漏洞评估方法,所述业务重要性评估值的确定过程包括:
确定业务价值评估值、业务影响度评估值和业务可替代度评估值;所述业务价值评估值为业务对组织和企业的价值贡献度评估值,所述业务影响度评估值为所述业务对所述组织和所述企业的影响程度评估值,所述业务可替代度评估值为所述业务的可替代成本估计值;
基于所述业务价值评估值、所述业务影响度评估值和所述业务可替代度评估值,确定所述业务重要性评估值。
根据本发明提供的一种漏洞评估方法,所述目标网络资产数量评估值的确定过程包括:
基于所述网络资产总数量评估值以及所述资产可访问比例评估值,确定所述目标网络资产数量评估值。
根据本发明提供的一种漏洞评估方法,所述漏洞影响程度评估值的确定过程包括:
确定所述目标漏洞所涉及的机密性评估值、完整性评估值以及可用性评估值;
基于所述机密性评估值、预设的机密性评估权重、所述完整性评估值、预设的完整性评估权重、所述可用性评估值以及预设的可用性评估权重,确定所述漏洞影响程度评估值;
其中,所述机密性评估权重>所述完整性评估权重>所述可用性评估权重。
根据本发明提供的一种漏洞评估方法,所述基于所述漏洞可利用性评估值、所述网络空间影响范围评估值和所述漏洞影响程度评估值,确定所述目标漏洞的危害性等级,包括:
基于所述漏洞可利用性评估值、预设的漏洞可利用性评估权重、所述网络空间影响范围评估值、预设的网络空间影响范围评估权重、所述漏洞影响程度评估值和预设的漏洞影响程度评估权重,确定所述目标漏洞的危害性等级;
其中,所述网络空间影响范围评估权重分别大于所述漏洞可利用性评估权重和所述漏洞影响程度评估权重。
根据本发明提供的一种漏洞评估方法,所述确定目标漏洞的漏洞可利用性评估值,包括:
确定所述目标漏洞对应的攻击途径评估值、触发要求评估值、权限需求评估值、交互条件评估值、攻击复杂性评估值和修复难度评估值;
基于所述攻击途径评估值、所述触发要求评估值、所述权限需求评估值、所述交互条件评估值、所述攻击复杂性评估值和所述修复难度评估值,确定所述漏洞可利用性评估值。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述漏洞评估方法。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述漏洞评估方法。
本发明提供的漏洞评估方法、电子设备及存储介质,其中漏洞评估方法,首先确定目标漏洞的漏洞可利用性评估值、网络空间影响范围评估值和漏洞影响程度评估值,再进一步基于漏洞可利用性评估值、网络空间影响范围评估值和漏洞影响程度评估值,确定目标漏洞的危害性等级。由于网络空间影响范围评估值表征评估目标漏洞涉及的目标网络资产所覆盖的行业以及评估目标漏洞对目标网络资产的危害性,漏洞可利用性评估值是从攻击者利用目标漏洞的角度评估的,漏洞影响程度评估值是从目标漏洞影响信息安全的角度评估的,因此,通过从不同角度评估目标漏洞对互联网产生的危害,可以有效提高漏洞评估方式的完整性和丰富性,既不依赖于人为主观评估经验,而且也能确保评估的漏洞危害等级与真实的漏洞危害等级一致,从而大幅提高了漏洞评估的准确性和可靠性。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的漏洞评估方法的流程示意图;
图2是本发明提供的漏洞评估装置的结构示意图;
图3是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的实施例中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况,其中A,B可以是单数或者复数。在本发明的文字描述中,字符“/”一般表示前后关联对象是一种“或”的关系。此外,需要说明的是,本发明中为描述的对象所编序号本身,例如“第一”、“第二”等,仅用于区分所描述的对象,不具有任何顺序或技术含义。
漏洞是在硬件、软件和协议的具体实现或系统安全策略上存在的缺陷,此类缺陷可以使攻击者能够在未授权的情况下访问或破坏系统,从而影响计算机信息系统的正常运行;并且,漏洞评估是一种识别、量化和分析IT基础设施中安全漏洞的过程,当漏洞经评估确定为安全漏洞时,可以在威胁者找到之前缓解该安全漏洞,也可以利用该安全漏洞对严重漏洞进行修复,以免造成损失。因此,如何对漏洞进行可靠且准确评估就显得尤为重要。
相关技术中,通常使用CVSS的漏洞危害性评分方法进行漏洞评估,例如可以使用CVSS 2.0和CVSS 3.1,以及中国国家信息安全漏洞库(CNNVD)的漏洞危害性评估方法,该漏洞危害性评估方法是通过将漏洞分为攻击向量、攻击复杂度和影响范围这三个维度,并根据每个维度的值计算漏洞的基本评分以及用户本人的漏洞评估经验,最终得出漏洞危害等级。
然而,由于现有漏洞评估方法虽然从攻击向量、攻击复杂度和影响范围这三个维度计算漏洞评分,但这三个维度都是针对漏洞本身划分的不同维度,并且依赖于人为主观评估经验,评估方式单一且固定,由此导致评估的漏洞危害等级与真实的漏洞危害等级不符,漏洞评估的准确性很低。
为解决上述技术问题,本发明提供一种漏洞评估方法、电子设备及存储介质。下面结合图1-图3描述本发明的漏洞评估方法、电子设备及存储介质,其中漏洞评估方法的执行主体可以为个人计算机(Personal Computer,PC)、便携式设备、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备等其它电子设备;服务器可以是指一台服务器,也可以是由多台服务器构成的服务器集群、云计算中心等;进一步的,该漏洞评估方法还可以应用于设置在电子设备或服务器中的漏洞评估装置中,该漏洞评估装置可以通过软件、硬件或两者的结合来实现。下面以该漏洞评估方法的执行主体是电子设备为例,对该漏洞评估方法进行描述。
为了便于理解本发明实施例提供的漏洞评估方法,下面,将通过下述几个示例地实施例对本发明提供的漏洞评估方法进行详细地说明。可以理解的是,下面这几个示例地实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
参照图1,为本发明提供的漏洞评估方法的流程示意图,如图1所示,该漏洞评估方法包括如下步骤110和步骤120。
步骤110、确定目标漏洞的漏洞可利用性评估值、网络空间影响范围评估值和漏洞影响程度评估值;网络空间影响范围评估值表征评估目标漏洞涉及的目标网络资产所覆盖的行业以及评估目标漏洞对目标网络资产的危害性。
其中,目标漏洞为待评估危害性等级的漏洞,漏洞可利用性评估值可以表征评估目标漏洞可被攻击者利用的程度,漏洞影响程度评估值可以表征评估目标漏洞对机密性、完整性和可用性的影响;机密性(Confidentiality)指只有授权用户可以获取信息;完整性(Integrity)指信息在输入和传输的过程中,不被非法授权修改和破坏,保证数据的一致性;可用性(Availability)指保证合法用户对信息和资源的使用,不会被不正当地拒绝;此外,网络资产主要是计算机(或通讯)网络中使用的各种设备,包括但不限定主机、网络设备(路由器、交换机等)和安全设备(防火墙等)等。目标网络资产可以为网络系统中常用且有效的网络资产,例如,将网络系统的所有网络资产中可被网络扫描和探测获取到的网络资产,作为目标网络资产。
具体的,电子设备可以基于预先存储的网络安全漏洞分类分级指南、CVSS2.0、CVSS3.0和MicrosoftSDL-DREAD,从不同角度对目标漏洞进行评估,也即,从网络空间地理学角度评估目标漏洞涉及的目标网络资产所覆盖的行业,以此确定网络空间影响范围评估值;从攻击者利用漏洞角度评估目标漏洞可被攻击者利用的程度,以此确定漏洞可利用性评估值;以及从信息安全等级保护角度评估目标漏洞对机密性、完整性和可用性造成的影响,以此确定漏洞影响程度评估值。
需要说明的是,此处MicrosoftSDL-DREAD中MicrosoftSDL,是微软软件安全开发周期(Microsoft Security Development Lifecycle),DREAD中的D是潜在损失(DamagePotential)、R是重现性(Reproducibility)、E是可利用性(Exploitability)、A是受影响的用户(Affected users)以及D是可发现性(Discoverability)。
步骤120、基于漏洞可利用性评估值、网络空间影响范围评估值和漏洞影响程度评估值,确定目标漏洞的危害性等级。
具体的,当电子设备确定出漏洞可利用性评估值、网络空间影响范围评估值和漏洞影响程度评估值时,可以先基于漏洞可利用性评估值、网络空间影响范围评估值和漏洞影响程度评估值确定出目标漏洞的危害性评分,再根据预先设置的危害性评分范围-危害性等级之间的映射关系,确定目标漏洞的危害性等级(FVL)。示例性的,此处危害性评分范围-危害性等级之间的映射关系具体可以以表1所示。
表1
本发明提供的漏洞评估方法,首先确定目标漏洞的漏洞可利用性评估值、网络空间影响范围评估值和漏洞影响程度评估值,再进一步基于漏洞可利用性评估值、网络空间影响范围评估值和漏洞影响程度评估值,确定目标漏洞的危害性等级。由于网络空间影响范围评估值表征评估目标漏洞涉及的目标网络资产所覆盖的行业以及评估目标漏洞对目标网络资产的危害性,漏洞可利用性评估值是从攻击者利用目标漏洞的角度评估的,漏洞影响程度评估值是从目标漏洞影响信息安全的角度评估的,因此,通过从不同角度评估目标漏洞对互联网产生的危害,可以有效提高漏洞评估方式的完整性和丰富性,既不依赖于人为主观评估经验,而且也能确保评估的漏洞危害等级与真实的漏洞危害等级一致,从而大幅提高了漏洞评估的准确性和可靠性。
基于上述图1所示的漏洞评估方法,在一种示例实施例中,上述步骤110中可以通过业务重要性、网络资产覆盖面和有效网络资产数量这三个方面评估目标漏洞的网络空间影响范围。基于此,网络空间影响范围评估值的确定过程可以包括:
首先,确定目标漏洞对应的网络资产覆盖面评估值、业务重要性评估值和目标网络资产数量评估值;网络资产覆盖面评估值表征评估目标漏洞涉及的目标网络资产所覆盖的行业;业务重要性评估值为目标网络资产对业务的重要性评估值,重要性评估值与目标漏洞对目标网络资产的危害性评估值成正比;目标网络资产数量评估值为基于网络测绘统计的目标网络资产的数量;然后,基于网络资产覆盖面评估值、业务重要性评估值和目标网络资产数量评估值,确定网络空间影响范围评估值。
具体的,网络资产覆盖面评估值是对网络覆盖面进行评估后所得到的评估值,具体可以通过互联网协议(Internet Protocol,IP)地址、子网掩码等网络信息检测目标漏洞涉及的目标网络资产所覆盖的关键信息基础设施行业,如果网络资产覆盖面越大,则其漏洞危害性也越高,因此可以通过对目标漏洞涉及的目标网络资产所覆盖的关键信息基础设施行业进行评分的方式确定网络资产覆盖面评估值,同时也可以将网络资产覆盖面评估值称之为行业覆盖面评估值,此处的关键信息基础设施行业可以简称为关基行业;示例性的,可以根据表2所示的漏洞涉及的网络资产所覆盖的关基行业的数量范围-行业覆盖面评估值之间的映射关系,确定目标漏洞对应的网络资产覆盖面评估值;评估值分布在1分~5分之间(5分最高,1分最低),单项分数越高,则该项可被攻击者利用的程度则越高。
表2
此外,对于业务重要性评估值,具体是评估目标网络资产对业务的重要性程度后所得的评估值,考虑到一个目标网络资产对业务的影响较大时,则其漏洞危害性也相对较高,也即目标网络资产对业务的重要性,与漏洞对目标网络资产的危害性成正比。基于此,可以通过评估业务重要性的方式评估目标网络资产对业务的影响程度,从而确定业务重要性评估值,以此实现从业务重要性角度评估漏洞危害性的目的。
对于目标网络资产数量评估值,可以是对目标网络资产数量进行评估后所得到的评估值,此处的目标网络资产数量可以为网络系统中常用且有效的网络资产的数量,如果目标网络资产数量越多,则其漏洞危害性也越大,因此可以从目标网络资产数量角度评估漏洞危害性。因此,可以结合网络空间地理学中网络测绘的能力,通过网络测绘的基础数据统计网络系统中常用且有效的目标网络资产的数量,以此确定目标网络资产数量评估值。
需要说明的是,业务重要性可以通过重要业务系统的分类、等级评定等方式来进行评估,也可以优先考虑根据关键信息基础保护设备进行评估。此外,对网络资产覆盖面的评估过程,可以通过网络拓扑结构图、IP地址分段等方式进行测绘并获取评估结果。本发明对业务重要性和网络资产覆盖面的评估方式均不作具体限定。
此时,电子设备可以基于网络资产覆盖面评估值、业务重要性评估值和目标网络资产数量评估值,确定网络空间影响范围评估值。例如,可以通过先将网络资产覆盖面评估值、业务重要性评估值和目标网络资产数量评估值分别与各自对应的权重相乘,再将各乘积结果相加的方式,确定网络空间影响范围评估值。
本发明提供的漏洞评估方法,通过从业务重要性角度、网络资产覆盖面角度以及目标网络资产数量角度评估漏洞危害性的方式,对目标漏洞的网络空间影响范围进行评估。这样,结合网络空间地理学领域中网络空间数据和网络资产属性,可以在重大漏洞爆发时能够快速定位涉及到的网络资产范围和威胁情况,有效解决了现有漏洞评估方法仅关注漏洞本身危害而忽视漏洞对全网造成的影响的缺陷,大幅提高了对网络空间影响范围进行评估的客观准确性和应用广泛性。
基于上述图1所示的漏洞评估方法,在一种示例实施例中,考虑到网络资产因为不同国家网络安全政策不同、国家网络安全法规建设不同、国家网络安全技术水平不同、国家经济发展水平不同,对漏洞危害性的评估要求也不同,因此在确定目标漏洞的网络空间影响范围评估值的过程中,可以结合业务重要性、网络资产覆盖面、有效网络资产数量和国别分布这四个方面确定评估目标漏洞的网络空间影响范围。基于此,基于网络资产覆盖面评估值、业务重要性评估值和目标网络资产数量评估值,确定网络空间影响范围评估值,其具体实现过程可以包括:
首先确定目标漏洞对应的国别加权评估值;然后基于网络资产覆盖面评估值、业务重要性评估值、目标网络资产数量评估值、资产可访问比例评估值和国别加权评估值,确定网络空间影响范围评估值。
其中,资产可访问比例评估值为通过网络扫描和探测获取到的网络资产数量在网络资产总数量评估值的占比。
具体的,考虑到网络资产由于不同国家网络安全政策不同、不同国家网络安全法规建设不同、不同国家网络安全技术水平不同、不同国家经济发展水平不同以及不同国家经济发展水平不同时,对漏洞危害性评估要求也会不同,因此,针对不同国家的要求以及网络资产分布情况进行国别加权评估,也即可以基于网络空间测绘的基础数据确定目标漏洞分布的国家是否主要分布在本国内可以进一步提高对网络空间影响范围评估的精度。
对于国别加权评估值,可以侧重于关注本国漏洞爆发过程中实际产生的影响,也即确定漏洞是否主要分布在本国,如果漏洞涉及到的本国网络资产大于网络资产总数量的30%,或者在所有网络资产分布国家中位居前三,则确定该漏洞主要分布在本国;反之,如果漏洞涉及到的本国网络资产小于等于网络资产总数量的30%,或者在所有网络资产分布国家中没有位居前三,则确定该漏洞主要分布在非本国,此时可以根据预先为漏洞分布在本国和分布在非本国所分别设置的国别加权评估值,确定目标漏洞对应的国别加权评估值,具体可以根据表3确定目标漏洞对应的国别加权评估值;评估值分布在1分~5分之间(5分最高,1分最低),单项分数越高,则该项可被攻击者利用的程度则越高。
表3
此时,电子设备可以基于网络资产覆盖面评估值(COA)、业务重要性评估值(IOB)、目标网络资产数量评估值(NOA)、资产可访问比例评估值(TNA)和国别加权评估值(CW),确定网络空间影响范围评估值(Scope)。示例性的,可基于式(1)计算Scope。
(1)
需要说明的是,对于资产可访问比例评估值,具体可以为对资产可访问比例进行评估后所得的评估值,也即通过网络扫描和探测获取到的网络资产数量在网络资产总数量评估值的占比,占比越高,越多的网络资产可被访问,资产可访问比例评估值也就越高。对于网络资产总数量评估值,具体可以为对网络资产总数量进行评估后所得的评估值,也即评估网络系统中所有的网络资产总数量,包括但不限于:业务系统、物联网设备、路由器、交换机、防火墙、网络存储器等设备和系统;不同数量范围的网络资产范围分别对应不同的网络资产总数量评估值。示例性的,具体可以参照表4确定目标漏洞对应的资产可访问比例评估值和网络资产总数量评估值;每项指标的评估值分布在1分~5分之间(5分最高,1分最低),单项分数越高,则该项可被攻击者利用的程度则越高。
表4
本发明提供的漏洞评估方法,通过从业务重要性角度、网络资产覆盖面角度、目标网络资产数量角度和漏洞分布国别角度评估漏洞危害性的方式,对目标漏洞的网络空间影响范围进行评估。这样,结合网络空间地理学领域中网络空间数据、网络资产属性以及国别加权,不仅可以在重大漏洞爆发时能够快速定位涉及到的网络资产范围和威胁情况,也可以基于漏洞影响情况划分不同国家的危害性并确定不同国家内漏洞影响的真实情况,从而大幅提高了对网络空间影响范围进行评估的角度丰富性和客观准确性。
基于上述图1所示的漏洞评估方法,在一种示例实施例中,对于业务重要性评估值,可以从业务价值、业务影响度和业务可替代度三方面进行评估。基于此,业务重要性评估值的确定过程具体可以包括:
首先,确定业务价值评估值、业务影响度评估值和业务可替代度评估值;业务价值评估值为业务对组织和企业的价值贡献度评估值,业务影响度评估值为业务对组织和企业的影响程度评估值,业务可替代度评估值为业务的可替代成本估计值;然后,基于业务价值评估值、业务影响度评估值和业务可替代度评估值,确定业务重要性评估值。
具体的,对于业务价值评估值,具体可以为对业务价值进行评估后所得的评估值,业务价值指业务对组织和企业的价值贡献度,例如收入、利润和口碑等;不同价格范围对应不同的业务价值评估值,业务价值评估值的分值越高,说明对应业务的重要性越高。
对于业务影响度评估值,具体可以为对业务影响度进行评估后所得的评估值,业务影响度指业务对组织和企业的影响程度,例如业务中断、数据泄露和客户满意度等;通过确定业务的所有功能中哪些功能可用、哪些不可用、完全可用及完全不可用的方式,确定业务对组织和企业的影响程度,也即确定业务影响度评估值。
对于业务可替代度评估值,具体可以为对业务可替代度进行评估后所得的评估值,业务可替代度指业务的可替代成本,例如有无相似业务可供选择、替代业务的投资成本和技术实施成本等;不同工作日范围完成业务替换对应不同的业务可替代度估计值,业务可替代估计值的分值越高,则对应业务的可替代度就越高。
示例性的,具体可以参照表5确定目标漏洞对应的业务价值评估值、业务影响度评估值和业务可替代度评估值;每项指标的评估值分布在1分~5分之间(5分最高,1分最低),单项分数越高,则该项可被攻击者利用的程度则越高。
表5
/>
此时,对于业务重要性这一网络空间影响范围评估指标,电子设备将业务价值评估值(BV)与预设的业务价值评估权重相乘,将业务影响度评估值(BID)与预设的业务影响度评估权重相乘,以及将业务可替代度评估值(DOBS)与预设的业务可替代度评估权重相乘,再将各乘积结果相加后,得到业务重要性评估值(IOB)。示例性的,在业务价值评估权重为0.5、业务影响度评估权重为0.3及业务可替代度评估权重为0.2的情况下,可以通过式(2)计算IOB(基于网络测绘结果)。
(2)/>
本发明提供的漏洞评估方法,通过从业务价值、业务影响度和业务可替代度三方面评估业务重要性的方式,确保业务重要性评估值更加准确和可靠,同时也提高了通过业务重要性评估值评估漏洞危害性的准确性。
基于上述图1所示的漏洞评估方法,在一种示例实施例中,对于目标网络资产数量评估值,可以从网络资产总数量和资产可访问比例这两个方面进行评估。基于此,目标网络资产数量评估值的确定过程具体可以包括:
基于网络资产总数量评估值以及资产可访问比例评估值,确定目标网络资产数量评估值。
具体的,对于目标网络资产数量这一网络空间影响范围评估指标,电子设备在通过前述表4确定网络资产总数量评估值(TNONA)以及资产可访问比例评估值(TNA)的情况下,可以将网络资产总数量评估值(TNONA)与预先设置的网络资产总数量评估权重相乘,以及将资产可访问比例评估值(TNA)和预先设置的资产可访问比例评估权重相乘,再将两个相乘结果相加后,即可得到目标网络资产数量评估值(NOA)。示例性的,在网络资产总数量评估权重为0.5及资产可访问比例评估权重为0.5的情况下,可以通过式(3)计算NOA(基于网络测绘结果)。
(3)
本发明提供的漏洞评估方法,通过从网络资产总数量和资产可访问比例这两个方面进行评估有效网络资产数量的方式,提高了目标网络资产数量评估值的准确性和可靠性,从而为准确评估网络空间影响范围提供可靠保障。
基于上述图1所示的漏洞评估方法,在一种示例实施例中,考虑到漏洞被成功利用后大概率会对网络系统的机密性造成危害,完整性受到影响后往往也会对可用性产生影响。基于此,对于漏洞影响程度的评估,可以从机密性、完整性和可用性这三个方面进行评估目标漏洞被利用后产生的危害。基于此,漏洞影响程度评估值的确定过程具体可以包括:
首先,确定目标漏洞所涉及的机密性评估值、完整性评估值以及可用性评估值;然后,基于机密性评估值、预设的机密性评估权重、完整性评估值、预设的完整性评估权重、可用性评估值以及预设的可用性评估权重,确定漏洞影响程度评估值。
其中,机密性评估权重>完整性评估权重>可用性评估权重。
具体的,当漏洞被成功利用后,网络系统的机密性大概率会遭到破坏,机密性遭到破坏时不仅不可逆,而且也无法进行恢复,因此通过评估机密性、完整性和可用性的方式评估漏洞影响程度,从而确定漏洞影响程度评估值。并且,机密性评估值可以为对目标漏洞涉及的机密性进行评估后得到的评估值,机密性越高时对应的机密性评估值也越高,完整性评估值可以为对目标漏洞涉及的完整性进行评估后得到的评估值,完整性越高时对应的完整性评估值也越高,可用性评估值可以为对目标漏洞涉及的可用性进行评估后得到的评估值,可用性越高时对应的可用性评估值也越高。示例性的,根据表6所示的评估漏洞影响程度的要素表,对目标漏洞涉及的机密性、完整性和可用性分别进行评估,从而得到目标漏洞所涉及的机密性评估值、完整性评估值以及可用性评估值;每项指标的评估值分布在1分~5分之间(5分最高,1分最低),单项分数越高,则该项可被攻击者利用的程度则越高。
表6
此时,电子设备可以将机密性评估值(C)与预设的机密性评估权重相乘,将完整性评估值(I)与预设的完整性评估权重相乘,以及将可用性评估值(A)与预设的可用性评估权重相乘,再将各相乘结果相加后,即可得到漏洞影响程度评估值(InD)。示例性的,在机密性评估权重为0.5、完整性评估权重为0.35以及可用性评估权重为0.15的情况下,可以参照式(4)计算InD。
(4)
需要说明的是,由于目前国内及国际对漏洞影响程度进行评估时,通过对漏洞涉及的机密性、完整性和可用性各自对应的权重分别设置相同权重的方式进行评估,如此设置权重,并不能体现机密性、完整性和可用性各自对漏洞的影响程度,那么评估的漏洞影响程度自然也并不准确,因此本发明设置机密性评估权重>完整性评估权重>可用性评估权重,提高了漏洞影响程度评估值的准确性。
本发明提供的漏洞评估方法,在从机密性、完整性和可用性这三个方面评估目标漏洞被利用后所产生的危害时,设置机密性评估权重大于完整性评估权重大于可用性评估权重,这样,可以提高对漏洞影响程度进行评估的精度,同时也能确保漏洞评估结果更加准确和可靠。
基于上述图1所示的漏洞评估方法,在一种示例实施例中,上述步骤120的具体实现过程可以包括:
基于漏洞可利用性评估值、预设的漏洞可利用性评估权重、网络空间影响范围评估值、预设的网络空间影响范围评估权重、漏洞影响程度评估值和预设的漏洞影响程度评估权重,确定目标漏洞的危害性等级。
其中,网络空间影响范围评估权重分别大于漏洞可利用性评估权重和漏洞影响程度评估权重。
具体的,电子设备可以将漏洞可利用性评估值(AFE)与预设的漏洞可利用性评估权重相乘,将网络空间影响范围评估值(Scope)与预设的网络空间影响范围评估权重相乘,以及将漏洞影响程度评估值(InD)与预设的漏洞影响程度评估权重相乘,再将各相乘结果相加后,即可得到目标漏洞的危害性评分(LOV),最后根据表1所示的危害性评分范围-危害性等级之间的映射关系,确定目标漏洞的危害性等级。示例性的,在漏洞可利用性评估权重为2、网络空间影响范围评估权重为0.5及漏洞影响程度评估权重为0.5的情况下,可以通过式(5)计算LOV。
(5)
本发明提供的漏洞评估方法,在网络空间影响范围评估权重分别大于漏洞可利用性评估权重和漏洞影响程度评估权重的情况下,基于漏洞可利用性评估值、漏洞可利用性评估权重、网络空间影响范围评估值、网络空间影响范围评估权重、漏洞影响程度评估值和漏洞影响程度评估权重,确定目标漏洞的危害性等级。这样,结合从不同角度评估目标漏洞对互联网产生危害的评估值以及对应的评估权重,进一步确保漏洞评估更加准确、客观和可靠,同时也提高了漏洞评估的准确性和可靠性。
基于上述图1所示的漏洞评估方法,在一种示例实施例中,对于上述步骤110中的漏洞可利用性评估值,可以从攻击途经、触发要求、权限需求、交互条件、攻击复杂性和修复难度这六个方面进行评估。基于此,确定目标漏洞的漏洞可利用性评估值,其具体实现过程包括:
首先,确定目标漏洞对应的攻击途径评估值、触发要求评估值、权限需求评估值、交互条件评估值、攻击复杂性评估值和修复难度评估值;然后,基于攻击途径评估值、触发要求评估值、权限需求评估值、交互条件评估值、攻击复杂性评估值和修复难度评估值,确定漏洞可利用性评估值。
具体的,对于攻击途经评估值,具体可以为对目标漏洞对应的攻击途经进行评估后所得的评估值,攻击途经可以为攻击发起时攻击选择的路径为网络、本地和邻接中的一个;对于触发条件评估值,具体可以为对目标漏洞对应的触发条件进行评估后所得的评估值,触发条件可以为触发目标漏洞所需条件的难易程度;对于权限要求评估值,具体可以为对目标漏洞对应的权限要求进行评估后所得的评估值,权限要求可以为目标漏洞利用过程对用户操作权限、管理员操作权限等需求程度;对于交互条件评估值,具体可以为对目标漏洞对应的交互条件进行评估后所得的评估值,交互条件可以为是否需要和其他用户或管理员进行交互操作;对于攻击复杂性评估值,具体可以为对目标漏洞对应的攻击复杂性进行评估后所得的评估值,攻击复杂性可以为攻击过程中实施攻击达到目标漏洞利用的复杂性;对于修复难度评估值,具体可以为对目标漏洞对应的修复难度进行评估后所得的评估值,修复难度可以为对目标漏洞修复的难易程度进行评分。
示例性的,可以根据表7所示的评估漏洞可利用性的要素表,对目标漏洞对应的攻击途经、触发要求、权限需求、交互条件、攻击复杂性和修复难度分别进行评估,从而得到目标漏洞对应的攻击途径评估值、触发要求评估值、权限需求评估值、交互条件评估值、攻击复杂性评估值和修复难度评估值;每项指标的评估值分布在1分~5分之间(5分最高,1分最低),单项分数越高,则该项可被攻击者利用的程度则越高。
表7
此时,电子设备对于攻击途径评估值、触发要求评估值、权限需求评估值、交互条件评估值、攻击复杂性评估值和修复难度评估值,可以结合预先设置的攻击途径评估权重、触发要求评估权重、权限需求评估权重、交互条件评估权重、攻击复杂性评估权重和修复难度评估权重确定目标漏洞的漏洞可利用性评估值;也即,将攻击途径评估值(AW)与攻击途径评估权重相乘,将触发要求评估值(TR)与触发要求评估权重相乘,将权限需求评估值(AR)与权限需求评估权重相乘,将交互条件评估值(IC)与交互条件评估权重相乘,将攻击复杂性评估值(AC)与攻击复杂性评估权重相乘,以及将修复难度评估值(RD)与修复难度评估权重相乘,再将各相乘结果相加后,可以得到目标漏洞的漏洞可利用性评估值(AFE)。
示例性的,在攻击途径评估权重为0.3、触发要求评估权重为0.15、权限需求评估权重为0.15、交互条件评估权重为0.1、攻击复杂性评估权重为0.2以及修复难度评估权重为0.1的情况下,可以通过式(6)计算AFE。
(6)
本发明提供的漏洞评估方法,通过从攻击途经、触发要求、权限需求、交互条件、攻击复杂性和修复难度这六个方面评估漏洞可利用性评估的方式,确保漏洞可利用性评估结果更加准确和客观,从而提高了漏洞可利用性评估值的准确性和可靠性。
需要说明的是,电子设备可以基于预先存储的网络安全漏洞分类分级指南、CVSS2.0、CVSS3.0和MicrosoftSDL-DREAD,从不同角度对目标漏洞进行评估后得到前述实施例中的表1~表7,并存储于电子设备或者服务器中。也可以从CVSS2.0和CVSS3.0等其它通用漏洞评分系统中解析目标漏洞的相关信息,从而得到前述实施例中的表1~表7。本发明对确定前述实施例中的表1~表7的具体方式不作具体限定。
下面对本发明提供的漏洞评估装置进行描述,下文描述的漏洞评估装置与上文描述的漏洞评估方法可相互对应参照。
参照图2,为本发明提供的漏洞评估装置的结构示意图,如图2所示,该漏洞评估装置200,包括参数确定单元210和漏洞评估单元220。
参数确定单元210,用于确定目标漏洞的漏洞可利用性评估值、网络空间影响范围评估值和漏洞影响程度评估值;网络空间影响范围评估值表征评估目标漏洞涉及的目标网络资产所覆盖的行业以及评估目标漏洞对目标网络资产的危害性。
漏洞评估单元220,用于基于漏洞可利用性评估值、网络空间影响范围评估值和漏洞影响程度评估值,确定目标漏洞的危害性等级。
可选的,参数确定单元210,具体用于确定网络空间影响范围评估值,其确定过程包括:确定目标漏洞对应的网络资产覆盖面评估值、业务重要性评估值和目标网络资产数量评估值;网络资产覆盖面评估值表征评估目标漏洞涉及的目标网络资产所覆盖的行业;业务重要性评估值为目标网络资产对业务的重要性评估值,重要性评估值与目标漏洞对目标网络资产的危害性评估值成正比;目标网络资产数量评估值为基于网络测绘统计的目标网络资产的数量;基于网络资产覆盖面评估值、业务重要性评估值和目标网络资产数量评估值,确定网络空间影响范围评估值。
可选的,参数确定单元210,具体还用于确定目标漏洞对应的国别加权评估值;基于网络资产覆盖面评估值、业务重要性评估值、目标网络资产数量评估值、资产可访问比例评估值和国别加权评估值,确定网络空间影响范围评估值;其中,资产可访问比例评估值为通过网络扫描和探测获取到的网络资产数量在网络资产总数量评估值的占比。
可选的,参数确定单元210,具体还用于确定业务重要性评估值,其确定过程包括:确定业务价值评估值、业务影响度评估值和业务可替代度评估值;业务价值评估值为业务对组织和企业的价值贡献度评估值,业务影响度评估值为业务对组织和企业的影响程度评估值,业务可替代度评估值为业务的可替代成本估计值;基于业务价值评估值、业务影响度评估值和业务可替代度评估值,确定业务重要性评估值。
可选的,参数确定单元210,具体还用于确定目标网络资产数量评估值,其确定过程包括:基于网络资产总数量评估值以及资产可访问比例评估值,确定目标网络资产数量评估值。
可选的,参数确定单元210,具体还用于确定漏洞影响程度评估值,其确定过程包括:确定目标漏洞所涉及的机密性评估值、完整性评估值以及可用性评估值;基于机密性评估值、预设的机密性评估权重、完整性评估值、预设的完整性评估权重、可用性评估值以及预设的可用性评估权重,确定漏洞影响程度评估值;其中,机密性评估权重>完整性评估权重>可用性评估权重。
可选的,漏洞评估单元220,具体用于基于漏洞可利用性评估值、预设的漏洞可利用性评估权重、网络空间影响范围评估值、预设的网络空间影响范围评估权重、漏洞影响程度评估值和预设的漏洞影响程度评估权重,确定目标漏洞的危害性等级;其中,网络空间影响范围评估权重分别大于漏洞可利用性评估权重和漏洞影响程度评估权重。
可选的,参数确定单元210,具体还用于确定目标漏洞对应的攻击途径评估值、触发要求评估值、权限需求评估值、交互条件评估值、攻击复杂性评估值和修复难度评估值;基于攻击途径评估值、触发要求评估值、权限需求评估值、交互条件评估值、攻击复杂性评估值和所述修复难度评估值,确定漏洞可利用性评估值。
本发明实施例提供的漏洞评估装置200,可以执行上述任一实施例中漏洞评估方法的技术方案,其实现原理以及有益效果与漏洞评估方法的实现原理及有益效果类似,可参见漏洞评估方法的实现原理及有益效果,此处不再进行赘述。
图3示例了一种电子设备的实体结构示意图,如图3所示,该电子设备可以包括:处理器(processor)310、通信接口(Communications Interface)320、存储器(memory)330和通信总线340,其中,处理器310,通信接口320,存储器330通过通信总线340完成相互间的通信。处理器310可以调用存储器330中的逻辑指令,以执行漏洞评估方法,该方法包括:
确定目标漏洞的漏洞可利用性评估值、网络空间影响范围评估值和漏洞影响程度评估值;网络空间影响范围评估值表征评估目标漏洞涉及的目标网络资产所覆盖的行业以及评估目标漏洞对目标网络资产的危害性;基于漏洞可利用性评估值、网络空间影响范围评估值和漏洞影响程度评估值,确定目标漏洞的危害性等级。
此外,上述的存储器330中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的漏洞评估方法,该方法包括:
确定目标漏洞的漏洞可利用性评估值、网络空间影响范围评估值和漏洞影响程度评估值;网络空间影响范围评估值表征评估目标漏洞涉及的目标网络资产所覆盖的行业以及评估目标漏洞对目标网络资产的危害性;基于漏洞可利用性评估值、网络空间影响范围评估值和漏洞影响程度评估值,确定目标漏洞的危害性等级。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的漏洞评估方法,该方法包括:
确定目标漏洞的漏洞可利用性评估值、网络空间影响范围评估值和漏洞影响程度评估值;网络空间影响范围评估值表征评估目标漏洞涉及的目标网络资产所覆盖的行业以及评估目标漏洞对目标网络资产的危害性;基于漏洞可利用性评估值、网络空间影响范围评估值和漏洞影响程度评估值,确定目标漏洞的危害性等级。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种漏洞评估方法,其特征在于,包括:
确定目标漏洞的漏洞可利用性评估值、网络空间影响范围评估值和漏洞影响程度评估值;所述网络空间影响范围评估值表征评估所述目标漏洞涉及的目标网络资产所覆盖的行业以及评估所述目标漏洞对所述目标网络资产的危害性;
基于所述漏洞可利用性评估值、所述网络空间影响范围评估值和所述漏洞影响程度评估值,确定所述目标漏洞的危害性等级。
2.根据权利要求1所述的漏洞评估方法,其特征在于,所述网络空间影响范围评估值的确定过程包括:
确定所述目标漏洞对应的网络资产覆盖面评估值、业务重要性评估值和目标网络资产数量评估值;所述网络资产覆盖面评估值表征评估所述目标漏洞涉及的目标网络资产所覆盖的行业;所述业务重要性评估值为所述目标网络资产对业务的重要性评估值,所述重要性评估值与所述目标漏洞对所述目标网络资产的危害性评估值成正比;所述目标网络资产数量评估值为基于网络测绘统计的所述目标网络资产的数量;
基于所述网络资产覆盖面评估值、所述业务重要性评估值和所述目标网络资产数量评估值,确定所述网络空间影响范围评估值。
3.根据权利要求2所述的漏洞评估方法,其特征在于,所述基于所述网络资产覆盖面评估值、所述业务重要性评估值和所述目标网络资产数量评估值,确定所述网络空间影响范围评估值,包括:
确定所述目标漏洞对应的国别加权评估值;
基于所述网络资产覆盖面评估值、所述业务重要性评估值、所述目标网络资产数量评估值、资产可访问比例评估值和所述国别加权评估值,确定所述网络空间影响范围评估值;
其中,所述资产可访问比例评估值为通过网络扫描和探测获取到的网络资产数量在网络资产总数量评估值的占比。
4.根据权利要求2所述的漏洞评估方法,其特征在于,所述业务重要性评估值的确定过程包括:
确定业务价值评估值、业务影响度评估值和业务可替代度评估值;所述业务价值评估值为业务对组织和企业的价值贡献度评估值,所述业务影响度评估值为所述业务对所述组织和所述企业的影响程度评估值,所述业务可替代度评估值为所述业务的可替代成本估计值;
基于所述业务价值评估值、所述业务影响度评估值和所述业务可替代度评估值,确定所述业务重要性评估值。
5.根据权利要求3所述的漏洞评估方法,其特征在于,所述目标网络资产数量评估值的确定过程包括:
基于所述网络资产总数量评估值以及所述资产可访问比例评估值,确定所述目标网络资产数量评估值。
6.根据权利要求1至5任一项所述的漏洞评估方法,其特征在于,所述漏洞影响程度评估值的确定过程包括:
确定所述目标漏洞所涉及的机密性评估值、完整性评估值以及可用性评估值;
基于所述机密性评估值、预设的机密性评估权重、所述完整性评估值、预设的完整性评估权重、所述可用性评估值以及预设的可用性评估权重,确定所述漏洞影响程度评估值;
其中,所述机密性评估权重>所述完整性评估权重>所述可用性评估权重。
7.根据权利要求1至5任一项所述的漏洞评估方法,其特征在于,所述基于所述漏洞可利用性评估值、所述网络空间影响范围评估值和所述漏洞影响程度评估值,确定所述目标漏洞的危害性等级,包括:
基于所述漏洞可利用性评估值、预设的漏洞可利用性评估权重、所述网络空间影响范围评估值、预设的网络空间影响范围评估权重、所述漏洞影响程度评估值和预设的漏洞影响程度评估权重,确定所述目标漏洞的危害性等级;
其中,所述网络空间影响范围评估权重分别大于所述漏洞可利用性评估权重和所述漏洞影响程度评估权重。
8.根据权利要求1至5任一项所述的漏洞评估方法,其特征在于,所述确定目标漏洞的漏洞可利用性评估值,包括:
确定所述目标漏洞对应的攻击途径评估值、触发要求评估值、权限需求评估值、交互条件评估值、攻击复杂性评估值和修复难度评估值;
基于所述攻击途径评估值、所述触发要求评估值、所述权限需求评估值、所述交互条件评估值、所述攻击复杂性评估值和所述修复难度评估值,确定所述漏洞可利用性评估值。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至8任一项所述漏洞评估方法。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至8任一项所述漏洞评估方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311154282.6A CN116881931A (zh) | 2023-09-08 | 2023-09-08 | 漏洞评估方法、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311154282.6A CN116881931A (zh) | 2023-09-08 | 2023-09-08 | 漏洞评估方法、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116881931A true CN116881931A (zh) | 2023-10-13 |
Family
ID=88268472
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311154282.6A Pending CN116881931A (zh) | 2023-09-08 | 2023-09-08 | 漏洞评估方法、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116881931A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117473512A (zh) * | 2023-12-28 | 2024-01-30 | 湘潭大学 | 基于网络测绘的漏洞风险评估方法 |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080201780A1 (en) * | 2007-02-20 | 2008-08-21 | Microsoft Corporation | Risk-Based Vulnerability Assessment, Remediation and Network Access Protection |
| CN106971109A (zh) * | 2017-03-24 | 2017-07-21 | 南开大学 | 一种基于指标权重的漏洞挖掘方法的评估策略 |
| CN111666573A (zh) * | 2020-06-04 | 2020-09-15 | 杭州安恒信息技术股份有限公司 | 网站系统漏洞等级评估的方法、装置和计算机设备 |
| CN111753307A (zh) * | 2020-06-09 | 2020-10-09 | 李佳兴 | 一种计算漏洞风险的方法 |
| CN111865981A (zh) * | 2020-07-20 | 2020-10-30 | 交通运输信息安全中心有限公司 | 网络安全脆弱性评估系统及方法 |
| CN112131574A (zh) * | 2020-09-16 | 2020-12-25 | 上海中通吉网络技术有限公司 | 信息安全漏洞等级确定方法、系统及设备 |
| CN112491874A (zh) * | 2020-11-26 | 2021-03-12 | 杭州安恒信息技术股份有限公司 | 一种网络资产管理方法、装置及相关设备 |
| CN113010895A (zh) * | 2020-12-08 | 2021-06-22 | 四川大学 | 一种基于深度学习的漏洞危害评估指标技术 |
| CN113886840A (zh) * | 2021-10-25 | 2022-01-04 | 杭州安恒信息技术股份有限公司 | 一种漏洞处理方法、装置、设备及可读存储介质 |
| CN113987509A (zh) * | 2021-10-28 | 2022-01-28 | 上海浦东发展银行股份有限公司 | 一种信息系统安全漏洞的风险评级方法、装置、设备及存储介质 |
| CN114065209A (zh) * | 2021-10-27 | 2022-02-18 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 车联网漏洞危害程度预测方法、装置、介质及电子设备 |
| CN114780965A (zh) * | 2022-04-20 | 2022-07-22 | 上海碳泽信息科技有限公司 | 一种漏洞修复优先级评估方法与系统 |
| CN116015857A (zh) * | 2022-12-26 | 2023-04-25 | 奇安信网神信息技术(北京)股份有限公司 | 网络资产的风险评估方法、装置、电子设备和存储介质 |
| US20230185924A1 (en) * | 2021-12-14 | 2023-06-15 | Hitachi, Ltd. | Vulnerability management system and vulnerability management method |
| CN116542520A (zh) * | 2023-05-09 | 2023-08-04 | 中国工商银行股份有限公司 | 漏洞的处理方法及装置、存储介质和电子设备 |
-
2023
- 2023-09-08 CN CN202311154282.6A patent/CN116881931A/zh active Pending
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080201780A1 (en) * | 2007-02-20 | 2008-08-21 | Microsoft Corporation | Risk-Based Vulnerability Assessment, Remediation and Network Access Protection |
| CN106971109A (zh) * | 2017-03-24 | 2017-07-21 | 南开大学 | 一种基于指标权重的漏洞挖掘方法的评估策略 |
| CN111666573A (zh) * | 2020-06-04 | 2020-09-15 | 杭州安恒信息技术股份有限公司 | 网站系统漏洞等级评估的方法、装置和计算机设备 |
| CN111753307A (zh) * | 2020-06-09 | 2020-10-09 | 李佳兴 | 一种计算漏洞风险的方法 |
| CN111865981A (zh) * | 2020-07-20 | 2020-10-30 | 交通运输信息安全中心有限公司 | 网络安全脆弱性评估系统及方法 |
| CN112131574A (zh) * | 2020-09-16 | 2020-12-25 | 上海中通吉网络技术有限公司 | 信息安全漏洞等级确定方法、系统及设备 |
| CN112491874A (zh) * | 2020-11-26 | 2021-03-12 | 杭州安恒信息技术股份有限公司 | 一种网络资产管理方法、装置及相关设备 |
| CN113010895A (zh) * | 2020-12-08 | 2021-06-22 | 四川大学 | 一种基于深度学习的漏洞危害评估指标技术 |
| CN113886840A (zh) * | 2021-10-25 | 2022-01-04 | 杭州安恒信息技术股份有限公司 | 一种漏洞处理方法、装置、设备及可读存储介质 |
| CN114065209A (zh) * | 2021-10-27 | 2022-02-18 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 车联网漏洞危害程度预测方法、装置、介质及电子设备 |
| CN113987509A (zh) * | 2021-10-28 | 2022-01-28 | 上海浦东发展银行股份有限公司 | 一种信息系统安全漏洞的风险评级方法、装置、设备及存储介质 |
| US20230185924A1 (en) * | 2021-12-14 | 2023-06-15 | Hitachi, Ltd. | Vulnerability management system and vulnerability management method |
| CN114780965A (zh) * | 2022-04-20 | 2022-07-22 | 上海碳泽信息科技有限公司 | 一种漏洞修复优先级评估方法与系统 |
| CN116015857A (zh) * | 2022-12-26 | 2023-04-25 | 奇安信网神信息技术(北京)股份有限公司 | 网络资产的风险评估方法、装置、电子设备和存储介质 |
| CN116542520A (zh) * | 2023-05-09 | 2023-08-04 | 中国工商银行股份有限公司 | 漏洞的处理方法及装置、存储介质和电子设备 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117473512A (zh) * | 2023-12-28 | 2024-01-30 | 湘潭大学 | 基于网络测绘的漏洞风险评估方法 |
| CN117473512B (zh) * | 2023-12-28 | 2024-03-22 | 湘潭大学 | 基于网络测绘的漏洞风险评估方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA3055978C (en) | Prioritized remediation of information security vulnerabilities based on service model aware multi-dimensional security risk scoring | |
| US11875342B2 (en) | Security broker | |
| Rios Insua et al. | An adversarial risk analysis framework for cybersecurity | |
| US10574697B1 (en) | Providing a honeypot environment in response to incorrect credentials | |
| EP3021546B1 (en) | Selection of countermeasures against cyber attacks | |
| CN110191120B (zh) | 一种网络系统漏洞风险评估方法及装置 | |
| EP2816773A1 (en) | Method for calculating and analysing risks and corresponding device | |
| CN111565184A (zh) | 一种网络安全评估装置、方法、设备及介质 | |
| WO2002079907A2 (en) | Overall risk in a system | |
| Scully | The cyber security threat stops in the boardroom | |
| CN116881931A (zh) | 漏洞评估方法、电子设备及存储介质 | |
| EP3887988A1 (en) | People-centric threat scoring | |
| US20160381056A1 (en) | Systems and methods for categorization of web assets | |
| Tang | A guide to penetration testing | |
| Maheshwari et al. | Integrating risk assessment and threat modeling within SDLC process | |
| US11861018B2 (en) | Method and system for dynamic testing with diagnostic assessment of software security vulnerability | |
| CN114944961B (zh) | 网络安全防护方法、装置、系统和电子设备 | |
| Keramati | New vulnerability scoring system for dynamic security evaluation | |
| CN108183884B (zh) | 一种网络攻击判定方法及装置 | |
| Anand et al. | Threat assessment in the cloud environment: A quantitative approach for security pattern selection | |
| CN114428962B (zh) | 漏洞风险优先级处置方法和装置 | |
| SERVIDIO et al. | Safe and Sound: Cybersecurity for Community Banks. | |
| CN111460459A (zh) | 风险信息的处理方法和装置 | |
| Isa et al. | Comprehensive performance assessment on open source intrusion detection system | |
| Tallau et al. | Information security investment decisions: evaluating the balanced scorecard method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |