WO2021082966A1

WO2021082966A1 - 资产脆弱性的计算方法、装置、存储介质及服务器

Info

Publication number: WO2021082966A1
Application number: PCT/CN2020/121862
Authority: WO
Inventors: 袁军
Original assignee: 中兴通讯股份有限公司
Priority date: 2019-10-31
Filing date: 2020-10-19
Publication date: 2021-05-06
Also published as: CN112751809A

Abstract

本公开实施例公开了一种资产脆弱性的计算方法、装置、存储介质及服务器，属于网络安全技术领域。所述方法包括：获取资产的属性信息，所述属性信息包括所述资产中未修复漏洞的漏洞信息、开启端口的端口信息、操作系统信息和安全防御信息中的至少一种；根据所述属性信息计算所述资产的脆弱性的评分。

Description

资产脆弱性的计算方法、装置、存储介质及服务器

相关申请的交叉引用

本公开要求享有2019年10月31日提交的名称为“资产脆弱性的计算方法、装置、存储介质及服务器”的中国专利申请CN201911050203.0的优先权，其全部内容通过引用并入本公开中。

技术领域

本公开实施例涉及网络安全技术领域，特别涉及一种资产脆弱性的计算方法、装置、存储介质及服务器。

背景技术

网络安全领域的风险评估是运用科学的手段，系统的分析资产所面临的威胁及其存在的脆弱性，评估威胁事件一旦发生可能造成的危害程度。风险评估涉及资产脆弱性的计算，用于评估资产脆弱性的严重程度，从而为安全运维人员维护资产提供参考。

相关技术中，可以先组建专家团队，使专家团队中的每个专家从资产上存放的数据等级、资产上运行的业务系统的重要级别、资产之间的信任关系等几个维度，对资产的脆弱性进行打分，再根据每个专家的打分计算资产脆弱性的评分。

资产脆弱性的打分维度模糊不清或比较单一，且较难量化，所以，需要专家进行主观打分，而专家的经验是否丰富会影响打分的准确性。另外，随着资产的增多，资产脆弱性计算的工作量较大，从而影响资产脆弱性的计算效率。

发明内容

本公开实施例提供了一种资产脆弱性的计算方法、装置、存储介质及服务器，用于解决资产的脆弱性的评分不准确且计算效率低的问题。所述技术方案如下：

一方面，提供了一种资产脆弱性的计算方法，所述方法包括：获取资产的属性信息，所述属性信息包括所述资产中未修复漏洞的漏洞信息、开启端口的端口信息、操作系统信息和安全防御信息中的至少一种；根据所述属性信息计算所述资产的脆弱性的评分。

一方面，提供了一种资产脆弱性的计算装置，所述装置包括：获取模块，用于获取资产的属性信息，所述属性信息包括所述资产中未修复漏洞的漏洞信息、开启端口的端口信息、操作系统信息和安全防御信息中的至少一种；计算模块，用于根据所述属性信息计算所述资产的脆弱性的评分。

一方面，提供了一种计算机可读存储介质，所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如上所述的资产脆弱性的计算方法。

一方面，提供了一种服务器，所述服务器包括处理器和存储器，所述存储器中存储有至少一条指令，所述指令由所述处理器加载并执行以实现如上所述的资产脆弱性的计算方法。

附图说明

为了更清楚地说明本公开实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本公开一个实施例提供的资产脆弱性的计算方法的方法流程图；

图2是本公开另一实施例提供的资产脆弱性的计算方法的方法流程图；

图3是本公开另一实施例提供的资产脆弱性的计算方法的流程示意图；

图4是本公开另一实施例提供的资产脆弱性的计算方法的方法流程图；

图5是本公开另一实施例提供的资产脆弱性的计算方法的方法流程图；

图6是本公开另一实施例提供的资产脆弱性的计算方法的流程示意图；

图7是本公开再一实施例提供的资产脆弱性的计算装置的结构框图；

图8是本公开一个实施例提供的计算系统的结构框图。

具体实施方式

为使本公开实施例的目的、技术方案和优点更加清楚，下面将结合附图对本公开实施方式作在实施例中详细描述。

由于网络安全不仅关系到机构和个人用户的信息资源和资产风险，也关系到国家安全和社会稳定，所以，需要对网络安全进行风险评估。网络安全领域的风险评估是运用科学的手段，系统的分析网络与信息系统所面临的威胁及其存在的脆弱性，评估威胁事件一旦发生可能造成的危害程度。安全运维人员可以根据风险评估报告制定有针对性的抵御威胁的防护对策和整改措施，从而防范和化解信息安全风险或将风险控制在可以接受的水平内。

通常，风险评估涉及资产价值、威胁性、脆弱性这三个要素。每个要素有各自的属性。其中，资产价值属性是资产价值重要性；威胁性属性是资产威胁出现频率；脆弱性属性是资产脆弱性的严重程度。风险评估主要涉及到资产价值识别、脆弱性识别和威胁识别，本实施例主要关注资产的脆弱性识别，也即，计算资产的脆弱性的评分。

由于相关技术中资产脆弱性的计算方法存在的主观性，评估方法过于复杂难以实施，评估维度模糊不清问题，所以，本实施例提供一种资产脆弱性的计算方法，该计算方法从IT(Internet Technology，互联网技术)资产管理系统获取资产的属性信息，将该属性信息按照不同维度进行分类，再计算资产脆弱性的评分来完成资产脆弱性的识别，下面通过几个实施例对该计算方法进行介绍。

请参考图1，其示出了本公开一个实施例提供的资产脆弱性的计算方法的方法流程图，该资产脆弱性的计算方法可以应用于服务器中。该资产脆弱性的计算方法，可以包括以下步骤。

步骤101，获取资产的属性信息，该属性信息包括资产中未修复漏洞的漏洞信息、开启端口的端口信息、操作系统信息和安全防御信息中的至少一种。

资产是一台设备，可以是终端、服务器等等，本实施例不作限定。

本实施例中，服务器可以从IP资产管理系统获取资产的属性信息，该属性信息与资产自身的脆弱性相关。其中，属性信息包括但不限于：资产中未修复漏洞的漏洞信息、资产中开启的端口的端口信息、资产中安装的操作系统的操作系统信息和资产中安装的杀毒程序、防火墙之类的安全防御程序的安全防御信息。

在一个实施方式中，服务器还可以对属性信息进行分类。比如，服务器可以将未修复漏洞的漏洞信息分类为资产脆弱性计算的一个属性因子，该属性因子表示漏洞的危害性，简称为RV；可以将开启端口的端口信息分类为资产脆弱性计算的一个属性因子，该属性因子表示开启端口，简称为RP；可以将操作系统信息分类为资产脆弱性计算的一个属性因子，该属性因子表示操作平台，简称为RS；可以将安全防御信息分类为资产脆弱性计算的一个属性因子，该属性因子表示防护能力，简称为RD，下面对上述四种属性因子进行举例说明。

1、RV包括未修复漏洞的相关信息，可以指示漏洞的危害性等，其可以表明一个资产自身存在哪些在威胁情报中可循的安全脆弱地带。

漏洞信息可以包括漏洞的标识信息，该标识信息可以包括身份标识(ID)和名称(name)中的至少一种。当然，漏洞信息还可以包括其他信息，本实施例不作限定。假设一个漏洞的漏洞信息中ID为cve_10001、name为Flash leak；另一个漏洞的漏洞信息中ID为cve_20004、name为Explorerrisk，则RV表如下表一所示。

表一

ID	name
cve_10001	Flash leak
cve_20004	Explorerrisk

2、RP包括资产开启端口的端口号以及该端口提供的服务等，其可以表明一个资产暴露在外的接口是否有被利用或者入侵的可能性。与RV不同，漏洞是已经被发现有攻击方利用过的已知信息，而RP只是一个脆弱性可能的推断，毕竟某个服务被开启，并不一定有危害。

端口信息可以包括端口的标识信息，该标识信息可以包括端口的名称(name)。在一种实施方案中，由于端口用于提供服务，所以，端口号还可以包括服务信息，该服务信息可以包括服务的名称(name)。当然，端口信息还可以包括其他信息，本实施例不作限定。假设端口信息中端口的名称为32001、服务的名称为telnet，则RP表如下表二所示。

表二

TYPE	name
port	32001
service	telnet

3、RS包括操作系统信息，可以指示系统平台的属性。

操作系统信息可以包括操作系统的类型信息，该操作系统可以是Windows或Linux。另外，由于不同版本的操作系统的漏洞数和漏洞的危害性是不同的，所以，操作系统信息还可以包括操作系统的版本号，从而通过版本号来指示操作系统的脆弱性。比如，xp系统目前已经不再被官方维护，因此，其脆弱性较大；而linux也有很多衍生的系统版本，具有不同的脆弱性。假设资产中安装有版本号为3.16.001的Linux系统，则RS表如下表三中的第一行所示；假设资产中安装有版本号为10.01的Windows系统，则RS表如下表三中的第二行所示。

表三

Sys_TYPE	Sys_version
Linux	3.16.001
Windows	10.01

4、RD包括安全防御信息，可以指示资产的防护能力，如是否安装杀毒程序，是否开启防火墙、或者是否有其他防御措施等等。其可以说明一个资产的防御能力和健壮性，而防御能力越强，抵御可能攻击的能力也就越强，风险就较小。

安全防御信息可以包括类型(defence_TYPE)、名称(name)、状态(status)和更新模式(Update_mode)，假设防火墙(firewall)的状态为严格(strict)；杀毒程序(Anti-virus)的名称为mcAfee，状态为开启(open)，更新模式为每天更新(daily)，则RD表如下表四所示。

表四

defence_TYPE	name	status	Update_mode
firewall		strict
Anti-virus	mcAfee	open	daily

步骤102，根据属性信息计算资产的脆弱性的评分。

本实施例中，当属性信息分类为一种属性因子时，计算该属性因子的评分，将该评分作为资产的脆弱性的评分；当属性信息分类为多种属性因子时，计算每种属性因子的评分，将所有评分相乘得到的乘积作为资产的脆弱性的评分。

综上所述，本公开实施例提供的资产脆弱性的计算方法，通过获取资产的属性信息，该属性信息包括资产中未修复漏洞的漏洞信息、开启端口的端口信息、操作系统信息和安全防御信息中的至少一种，由于上述属性信息包括四个维度的信息，且每个维度的属性信息都能够量化，所以，可以根据该属性信息自动计算资产的脆弱性的评分，而无需专家进行主观打分，从而可以避免专家打分不准确的问题，提高了资产脆弱性计算的准确性；另外，即使资产脆弱性计算的工作量较大，由于可以根据属性信息自动计算评分，所以，也提高了资产脆弱性计算的计算效率。

需要说明的是，由于属性信息可以分类为多个属性因子，可以针对不同的属性因子采用不同的计算方法，从而使对属性因子的评分更加合理。比如，当属性信息包括漏洞信息、端口信息和操作系统信息中的至少一种时，服务器还需要获取威胁信息，根据属性信息和威胁信息计算资产的脆弱性的评分；当属性信息包括安全防御信息时，服务器不需要获取威胁信息，直接根据属性信息计算资产的脆弱性评分。下面对威胁信息的获取方式进行说明。

本实施例中，服务器可以从威胁情报系统获取威胁信息。其中，威胁情报系统可以是外部的威胁情报系统(比如通用漏洞评分系统CVSS)，也可以是内部专有的威胁情报系统，或者是由多种威胁情报系统组合而成的威胁情报系统，本实施例不作限定。

在获取到威胁信息后，服务器可以参照属性因子对威胁信息进行分类，则威胁信息可以分类为漏洞相关的威胁信息、端口相关的威胁信息和操作系统相关的威胁信息。下面对上述三种威胁信息进行举例说明。

1、漏洞相关的威胁信息可以指示漏洞的威胁等级，且该威胁等级可以由漏洞的来源和危害等级这两个维度表示。其中，漏洞的来源可以是操作系统或应用程序，且通常来说，操作系统面上的漏洞的危害性比应用程序面上的漏洞的危害性大。危害等级可以由威胁情报系统的威胁等级转换得到，比如，威胁情报系统中的威胁等级为致命、严重、高级、中级、低级，则对应的危害等级可以是5、4、3、2、1，即危害等级越大危害性越大。

需要说明的是，本实施例仅以威胁等级为5个等级进行举例说明，在实际实现时，威胁等级可以大于5个等级，也可以小于5个等级，本实施例不作限定。另外，本实施例仅以威胁等级与危害等级呈正相关关系进行举例说明，在实际实现时，威胁等级与危害等级也可以呈负相关关系，本实施例不作限定。

当威胁信息包括漏洞的名称、来源和危害等级时，该威胁信息可以如下表五所示。

表五

名称	来源	危害等级
漏洞1	2-操作系统	1
漏洞2	1-应用程序	2
漏洞3	1-应用程序	3

需要说明的是，服务器可以读取漏洞信息中漏洞的标识或名称，再根据该标识或名称在威胁信息中查找该漏洞的威胁信息。

2、端口相关的威胁信息可以指示端口的威胁等级，且该威胁等级可以由危害等级表示。即，危害等级可以由威胁情报系统的威胁等级转换得到，详见上文中的描述，此处不作赘述。

当威胁信息包括端口号和危害等级时，该威胁信息可以如下表六所示。

表六

端口号	危害等级
10045	2
2345	3

需要说明的是，服务器可以读取端口信息中端口的端口号，再根据该端口号在威胁信息中查找该端口的威胁信息。

3、操作系统相关的威胁信息可以指示操作系统的威胁等级，且该威胁等级可以由操作系统中未修复漏洞的漏洞数和最大危害等级这两个维度表示。其中，最大危害等级可以由威胁情报系统的威胁等级转换得到，详见上文中的描述，此处不作赘述。

当威胁信息包括系统版本、漏洞数和最大危害等级时，该威胁信息可以如下表七所示。

表七

系统版本	漏洞数	最大危害等级
Linux3.6	10	2
Windows10	100	3

需要说明的是，服务器可以读取操作系统信息中操作系统的类型和版本号，再根据该类型和版本号在威胁信息中查找该操作系统的威胁信息。

请参考图2，其示出了本公开另一实施例提供的资产脆弱性的计算方法的方法流程图，该资产脆弱性的计算方法可以应用于服务器中，且属性信息包括漏洞信息，威胁信息包括漏洞相关的威胁信息。该资产脆弱性的计算方法，可以包括以下步骤。

步骤201，获取资产的属性信息，该属性信息包括资产中未修复漏洞的漏洞信息。

属性信息的解释详见步骤101中的描述，此处不作赘述。

步骤202，获取与该漏洞信息相匹配的威胁信息，该威胁信息用于指示该漏洞信息对应的威胁等级。

威胁信息的解释详见上文中的描述，此处不作赘述。

步骤203，根据漏洞信息和威胁信息计算所有漏洞的第一权重值，该第一权重值用于指示对应的漏洞的脆弱等级。

第一权重值的计算流程可以包括如下几个子步骤：

子步骤2031，对于漏洞信息所指示的每个漏洞，从威胁信息中获取该漏洞的来源编码值和第一危害等级，该来源编码值是对该漏洞的来源进行编码得到的，该第一危害等级是对该漏洞的威胁等级进行编码得到的。

来源可以是操作系统或应用程序，所以，服务器还需要对来源进行编码(也称量化)，以得到来源编码值。比如，可以将操作系统编码为2，将应用程序编码为1，则来源于操作系统的来源编码值为2，来源于应用程序的来源编码值为1。

威胁情报系统中的威胁等级可以是致命、严重、高级、中级、低级，所以，服务器需要对威胁等级进行编码(也称量化)，以得到对应的第一危害等级。比如，将致命编码为5，将严重编码为4，将高级编码为3，将中级编码为2，将低级编码为1，则当某一个漏洞的威胁等级为高级时，该漏洞的第一危害等级为3。

在步骤2032，将来源编码值乘以第一危害等级，得到该漏洞的第一权重值。

若将第一权重值记为Wi，则Wi＝来源编码值*第一危害等级。

若来源编码值的取值为[1,2]，第一危害等级的取值为[1,5]，则Wi的取值范围为[1,10]。

服务器可以通过步骤2031-2032来计算所有漏洞的第一权重值，假设存在N(N≥1)个漏洞，得到第一权重值集合{W1，W2，…，WN}。

步骤204，计算所有第一权重值的第一平均值。

若将第一平均值记为RVmean，则

步骤205，将第一平均值和所有第一权重值中最大的第一权重值相乘后进行归一化处理，得到资产的脆弱性的评分。

服务器可以从第一权重值集合中选择最大的第一权重值，记为RVprime＝max{W1，W2，…，WN}。

服务器可以将第一平均值和最大的第一权重值组成一个分数对<RVprime，RVmean>。

服务器可以将第一平均值乘以最大的第一权重值，即X＝RVprime*RVmean；再对X 进行归一化处理，即

得到RV＝trans(RVprime*RVmean)。其中，1.04是实验值。

本实施例中以属性信息为漏洞信息为例进行举例说明，则可以将步骤205中计算得到的数值作为资产的脆弱性的评分。

综上所述，本公开实施例提供的资产脆弱性的计算方法，通过获取资产的属性信息，该属性信息包括资产中未修复漏洞的漏洞信息，由于上述属性信息能够量化，所以，可以根据该属性信息自动计算资产的脆弱性的评分，而无需专家进行主观打分，从而可以避免专家打分不准确的问题，提高了资产脆弱性计算的准确性；另外，即使资产脆弱性计算的工作量较大，由于可以根据属性信息自动计算评分，所以，也提高了资产脆弱性计算的计算效率。

通过计算第一权重值的最大值和平均值，既可以体现漏洞的最严重量化值对资产的脆弱性的影响，也可以体现出该漏洞的平均量化值对资产的整体脆弱性的影响，这种量化方式从多个角度全面体现了资产的脆弱性。

请参考图3，其示出了本公开另一实施例提供的资产脆弱性的计算方法的方法流程图，该资产脆弱性的计算方法可以应用于服务器中，且属性信息包括端口信息，威胁信息包括端口相关的威胁信息。该资产脆弱性的计算方法，可以包括以下步骤。

步骤301，获取资产的属性信息，该属性信息包括开启端口的端口信息。

属性信息的解释详见步骤101中的描述，此处不作赘述。

步骤302，获取与该端口信息相匹配的威胁信息，该威胁信息用于指示该端口信息对应的威胁等级。

威胁信息的解释详见上文中的描述，此处不作赘述。

步骤303，根据端口信息和威胁信息计算所有开启的端口的第二权重值，该第二权重值用于指示对应的端口的脆弱等级。

第二权重值的计算流程可以包括如下几个子步骤：

子步骤3031，对于端口信息所指示的每个端口，从威胁信息中获取该端口的第二危害等级，该第二危害等级是对该端口的威胁等级进行编码得到的。

威胁情报系统中的威胁等级可以是致命、严重、高级、中级、低级，所以，服务器需要对威胁等级进行编码(也称量化)，以得到对应的第二危害等级。比如，将致命编码为5，将严重编码为4，将高级编码为3，将中级编码为2，将低级编码为1，则当某一个端口的威胁等级为高级时，该端口的第二危害等级为3。

在步骤3032，将第二危害等级加上第一数值，得到端口的第二权重值。

若将第二权重值记为WPi，则WPi＝第二危害等级+第一数值。其中，第一数值为经验值或根据公式计算得到的数值，本实施例不作限定。

若第一数值为5，第二危害等级的取值为[1,5]，则WPi的取值范围为[6,10]。

服务器可以通过步骤3031-3032来计算所有端口的第二权重值，假设存在M(M≥1)个漏洞，得到第二权重值集合{W1，W2，…，WM}。

步骤304，计算所有第二权重值的第二平均值。

若将第二平均值记为RPmean，则

步骤305，将第二平均值和所有第二权重值中最大的第二权重值相乘后进行归一化处理，得到资产的脆弱性的评分。

服务器可以从第二权重值集合中选择最大的第二权重值，记为RPprime＝max{W1，W2，…，WM}。

服务器可以将第二平均值和最大的第二权重值组成一个分数对<RPprime，RPmean>。

服务器可以将第二平均值乘以最大的第二权重值，即X＝RPprime*RPmean；再对X进行归一化处理，即

得到RP＝trans(RPprime*RPmean)。其中，1.04是实验值。

本实施例中以属性信息为端口信息为例进行举例说明，则可以将步骤305中计算得到的数值作为资产的脆弱性的评分。

综上所述，本公开实施例提供的资产脆弱性的计算方法，通过获取资产的属性信息，该属性信息包括开启端口的端口信息，由于上述属性信息能够量化，所以，可以根据该属性信息自动计算资产的脆弱性的评分，而无需专家进行主观打分，从而可以避免专家打分不准确的问题，提高了资产脆弱性计算的准确性；另外，即使资产脆弱性计算的工作量较大，由于可以根据属性信息自动计算评分，所以，也提高了资产脆弱性计算的计算效率。

通过计算第二权重值的最大值和平均值，既可以体现端口的最严重量化值对资产的脆弱性的影响，也可以体现出该端口的平均量化值对资产的整体脆弱性的影响，这种量化方式从多个角度全面体现了资产的脆弱性。

请参考图4，其示出了本公开另一实施例提供的资产脆弱性的计算方法的方法流程图，该资产脆弱性的计算方法可以应用于服务器中，且属性信息包括操作系统信息，威胁信息包括操作系统相关的威胁信息。该资产脆弱性的计算方法，可以包括以下步骤。

步骤401，获取资产的属性信息，该属性信息包括操作系统信息。

属性信息的解释详见步骤101中的描述，此处不作赘述。

步骤402，获取与该操作系统信息相匹配的威胁信息，该威胁信息包括操作系统中的漏洞数、所有操作系统的总漏洞数和操作系统的第三危害等级，该第三危害等级是对操作系统的威胁等级进行编码得到的。

威胁信息的解释详见上文中的描述，此处不作赘述。

步骤403，将漏洞数除以总漏洞数得到的商乘以第二数值。

服务器将资产的操作系统的漏洞数除以总漏洞数，得到资产的操作系统的漏洞占总漏洞的百分比，再将该百分比乘以第二数值。其中，第二数值为经验值或根据公式计算得到的数值，比如为5，本实施例不作限定。

步骤404，将得到的乘积加上第三危害等级，得到资产的脆弱性的评分。

RS＝(资产的操作系统的漏洞数/总漏洞数)*第二数值+第三危害等级。

本实施例中以属性信息为操作系统信息为例进行举例说明，则可以将步骤404中计算得到的数值作为资产的脆弱性的评分。

综上所述，本公开实施例提供的资产脆弱性的计算方法，通过获取资产的属性信息，该属性信息包括操作系统信息，由于上述属性信息能够量化，所以，可以根据该属性信息自动计算资产的脆弱性的评分，而无需专家进行主观打分，从而可以避免专家打分不准确的问题，提高了资产脆弱性计算的准确性；另外，即使资产脆弱性计算的工作量较大，由于可以根据属性信息自动计算评分，所以，也提高了资产脆弱性计算的计算效率。

请参考图5，其示出了本公开另一实施例提供的资产脆弱性的计算方法的方法流程图，该资产脆弱性的计算方法可以应用于服务器中，且属性信息包括安全防御信息。该资产脆弱性的计算方法，可以包括以下步骤。

步骤501，获取资产的属性信息，该属性信息包括安全防御信息，该安全防御信息包括资产中安装的杀毒程序的第一配置信息和资产中安装的防火墙的第二配置信息。

属性信息的解释详见步骤101中的描述，此处不作赘述。

步骤502，获取第一配置信息，根据该第一配置信息计算杀毒程序的第一评分。

第一评分的获取流程可以包括：获取第一配置信息中每种配置信息对应的第一分值；将所有第一分值相加，得到第一评分。

本实施例中，服务器可以预先设置每种配置信息对应的第一分值，下面分别从杀毒程序的品牌、杀毒程序是否设置定时扫描和杀毒程序是否设置定时更新病毒库这三个方面进行说明。

1.杀毒程序的品牌：不同的杀毒程序的品牌的能力和作用通常不同，所以，可以参考用户反馈以及专业有公信力的机构给出的评价来设置品牌的第一分值。假设将本项的第一分值记为R1(AV)，则可以设置R1(AV)和不同品牌的配置信息的第一对应关系，并设置R1(AV)的取值范围为[1,5]，且第一分值越低，该品牌的杀毒程序的综合评价越高。

2.杀毒程序是否设置定时扫描：假设将本项的第一分值记为R2(AV)，则可以为“是”和“否”的配置信息设置不同的数值，且为“是”设置的数值小于为“否”设置的数值，本实施例不对具体的数值作限定。比如，将“是”对应的第一分值设为0，将“否”对应的第一分值设置为3。

3.杀毒程序是否设置定时更新病毒库：假设将本项的第一分值记为R3(AV)，则可以为“是”和“否”的配置信息设置不同的数值，且为“是”设置的数值小于为“否”设置的数值，本实施例不对具体的数值作限定。比如，将“是”对应的第一分值设为0，将“否”对应的第一分值设置为2。

在得到R1(AV)、R2(AV)和R3(AV)后，服务器可以将所有第一分值相加，得到第一评分。假设第一评分记为R(AV)，则

其中，R(AV)的取值范围为[1,10]。

本实施例仅以上述三个方面的配置进行举例说明，在实际实现时，可以根据上述三种配置信息中的任意一种或多种计算第一评分，或者，还可以根据其他配置信息计算第一评分，本实施例不作限定。

步骤503，获取第二配置信息，根据该第二配置信息计算防火墙的第二评分。

第二评分的获取流程可以包括：获取第二配置信息中每种配置信息对应的第二分值；将所有第二分值相加，得到第二评分。

本实施例中，服务器可以预先设置每种配置信息对应的第二分值，下面分别从防火墙是否开启和防火墙开启的ACL(Access Control List，访问控制列表)的策略情况这两个方面进行说明。

1.防火墙是否开启：假设将本项的第二分值记为R1(FW)，则可以为“是”和“否”的配置信息设置不同的数值，且为“是”设置的数值小于为“否”设置的数值，本实施例不对具体的数值作限定。比如，将“是”对应的第二分值设为0，将“否”对应的第二分值设置为5。

2.防火墙开启的ACL的策略情况：假设将本项的第二分值记为R2(FW)，则服务器可以分析ACL的策略情况，如果ACL的策略过于松弛，如出现any->any，allow any service的情况，说明防火墙的配置不太合适，可设置较高的第二分值；如果ACL的策略非常严格，则可设置较低的第二分值。其中，第二分值的取值范围为[1,5]。

在得到R1(FW)和R2(FW)后，服务器可以将所有第二分值相加，得到第二评分。假设第二评分记为R(FW)，则R(FW)＝R1(FW)+R2(FW)。其中，R(FW)的取值范围为[1,10]。

本实施例仅以上述两个方面的配置进行举例说明，在实际实现时，可以根据上述两种配置信息中的任意一种或两种计算第二评分，或者，还可以根据其他配置信息计算第二评分，本实施例不作限定。

步骤504，将第一评分和第二评分中的最大值作为资产的脆弱性的评分。

RD＝max(R(AV)，R(FW))。

本实施例中以属性信息为安全防御信息为例进行举例说明，则可以将步骤504中计算得到的数值作为资产的脆弱性的评分。

综上所述，本公开实施例提供的资产脆弱性的计算方法，通过获取资产的属性信息，该属性信息包括安全防御信息，由于上述属性信息能够量化，所以，可以根据该属性信息自动计算资产的脆弱性的评分，而无需专家进行主观打分，从而可以避免专家打分不准确的问题，提高了资产脆弱性计算的准确性；另外，即使资产脆弱性计算的工作量较大，由于可以根据属性信息自动计算评分，所以，也提高了资产脆弱性计算的计算效率。

需要说明的是，服务器还可以将图2-5所示的实施例的计算流程相结合，则服务器可以计算属性因子RV的评分、属性因子RP的评分、属性因子RS的评分和属性因子RD的评分，再对上述四个评分进行融合计算，得到资产的脆弱性的评分，请参考图6。

若将资产的脆弱性评分记为Rfeatures，则先通过公式Y＝RV*RP*RS*RD对上述四个评分进行整合，Y的取值范围为[1,104]；再对Y进行归一化处理，使得到的计算结果Rfeatures的取值范围为[1,10]。其中，归一化公式为

且1.0003为实验值。

由于资产的脆弱性的评分可以通过乘法融合各种属性信息的评分，考虑了各个维度相互叠加的影响，相比各个维度相加计算出的资产的脆弱性的评分来说，更能全面评估出整个资产的脆弱性。

请参考图7，其示出了本公开一个实施例提供的资产脆弱性的计算装置的结构框图，该资产脆弱性的计算装置可以应用于服务器中。该资产脆弱性的计算装置，可以包括：

获取模块710，用于获取资产的属性信息，属性信息包括资产中未修复漏洞的漏洞信息、开启端口的端口信息、操作系统信息和安全防御信息中的至少一种；

计算模块720，用于根据属性信息计算资产的脆弱性的评分。

在一实施方式中，当属性信息包括漏洞信息、端口信息和操作系统信息中的至少一种时，计算模块720，还用于：获取与每种属性信息相匹配的威胁信息，威胁信息用于指示属性信息对应的威胁等级；根据属性信息和威胁信息计算评分。

在一实施方式中，当属性信息包括漏洞信息时，计算模块720，还用于：根据漏洞信息和威胁信息计算所有漏洞的第一权重值，第一权重值用于指示对应的漏洞的脆弱等级；计算所有第一权重值的第一平均值；将第一平均值和所有第一权重值中最大的第一权重值相乘后进行归一化处理，得到评分。

在一实施方式中，计算模块720，还用于：对于漏洞信息所指示的每个漏洞，从威胁信息中获取漏洞的来源编码值和第一危害等级，来源编码值是对漏洞的来源进行编码得到的，第一危害等级是对漏洞的威胁等级进行编码得到的；将来源编码值乘以第一危害等级，得到漏洞的第一权重值。

在一实施方式中，当属性信息包括端口信息时，计算模块720，还用于：根据端口信息和威胁信息计算所有开启的端口的第二权重值，第二权重值用于指示对应的端口的脆弱等级；计算所有第二权重值的第二平均值；将第二平均值和所有第二权重值中最大的第二权重值相乘后进行归一化处理，得到评分。

在一实施方式中，计算模块720，还用于：对于端口信息所指示的每个端口，从威胁信息中获取端口的第二危害等级，第二危害等级是对端口的威胁等级进行编码得到的；将第二危害等级加上第一数值，得到端口的第二权重值。

在一实施方式中，当属性信息包括操作系统信息时，威胁信息包括操作系统中的漏洞数、所有操作系统的总漏洞数和操作系统的第三危害等级，第三危害等级是对操作系统的威胁等级进行编码得到的，则计算模块720，还用于：将漏洞数除以总漏洞数得到的商乘以第二数值；将得到的乘积加上第三危害等级，得到评分。

在一实施方式中，当属性信息包括安全防御信息，且安全防御信息包括资产中安装的杀毒程序的第一配置信息和资产中安装的防火墙的第二配置信息时，计算模块720，还用于：获取第一配置信息，根据第一配置信息计算杀毒程序的第一评分；获取第二配置信息，根据第二配置信息计算防火墙的第二评分；将第一评分和第二评分中的最大值作为评分。

在一实施方式中，计算模块720，还用于：获取第一配置信息中每种配置信息对应的第一分值；将所有第一分值相加，得到第一评分。

在一实施方式中，计算模块720，还用于：获取第二配置信息中每种配置信息对应的第二分值；将所有第二分值相加，得到第二评分。

综上所述，本公开实施例提供的资产脆弱性的计算装置，通过获取资产的属性信息，该属性信息包括资产中未修复漏洞的漏洞信息、开启端口的端口信息、操作系统信息和安全防御信息中的至少一种，由于上述属性信息包括四个维度的信息，且每个维度的属性信息都能够量化，所以，可以根据该属性信息自动计算资产的脆弱性的评分，而无需专家进行主观打分，从而可以避免专家打分不准确的问题，提高了资产脆弱性计算的准确性；另外，即使资产脆弱性计算的工作量较大，由于可以根据属性信息自动计算评分，所以，也提高了资产脆弱性计算的计算效率。

本公开一个实施例提供了一种计算机可读存储介质，所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如上所述的资产脆弱性的计算方法。

本公开一个实施例提供了一种服务器，所述服务器包括处理器和存储器，所述存储器中存储有至少一条指令，所述指令由所述处理器加载并执行以实现如上所述的资产脆弱性的计算方法。

请参考图8，本公开一个实施例提供了一种计算系统，所述计算系统包括服务器和威胁情报系统，该服务器可以包括如图7所示的资产脆弱性的计算装置。

需要说明的是：上述实施例提供的资产脆弱性的计算装置在进行资产脆弱性的计算时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将资产脆弱性的计算装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的资产脆弱性的计算装置与资产脆弱性的计算方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

综上所述，在本公开提供的技术方案中，通过获取资产的属性信息，该属性信息包括资产中未修复漏洞的漏洞信息、开启端口的端口信息、操作系统信息和安全防御信息中的至少一种，由于上述属性信息包括四个维度的信息，且每个维度的属性信息都能够量化，所以，可以根据该属性信息自动计算资产的脆弱性的评分，而无需专家进行主观打分，从而可以避免专家打分不准确的问题，提高了资产脆弱性计算的准确性；另外，即使资产脆弱性计算的工作量较大，由于可以根据属性信息自动计算评分，所以，也提高了资产脆弱性计算的计算效率。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述并不用以限制本公开实施例，凡在本公开实施例的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本公开实施例的保护范围之内。

Claims

一种资产脆弱性的计算方法，其中，所述方法包括：

获取资产的属性信息，所述属性信息包括所述资产中未修复漏洞的漏洞信息、开启端口的端口信息、操作系统信息和安全防御信息中的至少一种；

根据所述属性信息计算所述资产的脆弱性的评分。
根据权利要求1所述的方法，其中，当所述属性信息包括所述漏洞信息、所述端口信息和所述操作系统信息中的至少一种时，所述根据所述属性信息计算所述资产的脆弱性的评分，包括：

获取与每种属性信息相匹配的威胁信息，所述威胁信息用于指示所述属性信息对应的威胁等级；

根据所述属性信息和所述威胁信息计算所述评分。
根据权利要求2所述的方法，其中，当所述属性信息包括所述漏洞信息时，所述根据所述属性信息和所述威胁信息计算所述评分，包括：

根据所述漏洞信息和所述威胁信息计算所有漏洞的第一权重值，所述第一权重值用于指示对应的漏洞的脆弱等级；

计算所有第一权重值的第一平均值；

将所述第一平均值和所有第一权重值中最大的第一权重值相乘后进行归一化处理，得到所述评分。
根据权利要求3所述的方法，其中，所述根据所述漏洞信息和所述威胁信息计算所有漏洞的第一权重值，包括：

对于所述漏洞信息所指示的每个漏洞，从所述威胁信息中获取所述漏洞的来源编码值和第一危害等级，所述来源编码值是对所述漏洞的来源进行编码得到的，所述第一危害等级是对所述漏洞的威胁等级进行编码得到的；

将所述来源编码值乘以所述第一危害等级，得到所述漏洞的第一权重值。
根据权利要求2所述的方法，其中，当所述属性信息包括所述端口信息时，所述根据所述属性信息和所述威胁信息计算所述评分，包括：

根据所述端口信息和所述威胁信息计算所有开启的端口的第二权重值，所述第二权重值用于指示对应的端口的脆弱等级；

计算所有第二权重值的第二平均值；

将所述第二平均值和所有第二权重值中最大的第二权重值相乘后进行归一化处理，得到所述评分。
根据权利要求5所述的方法，其中，所述根据所述端口信息和所述威胁信息计算所有开启的端口的第二权重值，包括：

对于所述端口信息所指示的每个端口，从所述威胁信息中获取所述端口的第二危害等级，所述第二危害等级是对所述端口的威胁等级进行编码得到的；

将所述第二危害等级加上第一数值，得到所述端口的第二权重值。
根据权利要求2所述的方法，其中，当所述属性信息包括所述操作系统信息时，所述威胁信息包括所述操作系统中的漏洞数、所有操作系统的总漏洞数和所述操作系统的第三危害等级，所述第三危害等级是对所述操作系统的威胁等级进行编码得到的，则所述根据所述属性信息和所述威胁信息计算所述评分，包括：

将所述漏洞数除以所述总漏洞数得到的商乘以第二数值；

将得到的乘积加上所述第三危害等级，得到所述评分。
根据权利要求1至7中任一项所述的方法，其中，当所述属性信息包括所述安全防御信息，且所述安全防御信息包括所述资产中安装的杀毒程序的第一配置信息和所述资产中安装的防火墙的第二配置信息时，所述根据所述属性信息计算所述资产的脆弱性的评分，包括：

获取所述第一配置信息，根据所述第一配置信息计算所述杀毒程序的第一评分；

获取所述第二配置信息，根据所述第二配置信息计算所述防火墙的第二评分；

将所述第一评分和所述第二评分中的最大值作为所述评分。
根据权利要求8所述的方法，其中，所述根据所述第一配置信息计算所述杀毒程序的第一评分，包括：

获取所述第一配置信息中每种配置信息对应的第一分值；

将所有第一分值相加，得到所述第一评分。
根据权利要求8所述的方法，其中，所述根据所述第二配置信息计算所述防火墙的第二评分，包括：

获取所述第二配置信息中每种配置信息对应的第二分值；

将所有第二分值相加，得到所述第二评分。
一种资产脆弱性的计算装置，其中，所述装置包括：

获取模块，用于获取资产的属性信息，所述属性信息包括所述资产中未修复漏洞的漏洞信息、开启端口的端口信息、操作系统信息和安全防御信息中的至少一种；

计算模块，用于根据所述属性信息计算所述资产的脆弱性的评分。
一种计算机可读存储介质，其中，所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如权利要求1至10任一所述的资产脆弱性的计算方法。
一种服务器，其中，所述服务器包括处理器和存储器，所述存储器中存储有至少一条指令，所述指令由所述处理器加载并执行以实现如权利要求1至10任一所述的资产脆弱性的计算方法。