一种确定网络设备安全性的方法技术

本申请提供了一种确定网络设备安全性的方法，该方法包括：针对网络设备进行漏洞扫描，根据漏洞扫描发现的已知漏洞采用线性加权的方式确定已知漏洞指数值；针对网络设备进行漏洞挖掘，根据漏洞挖掘发现的未知漏洞的CVSS值确定未知漏洞指数值；针对网络设备进行安全功能测试，根据安全功能测试结果确定安全功能指数值；根据确定的已知漏洞指数值、未知漏洞指数值和安全功能指数值，确定网络设备的安全值；当安全值大于预设安全阈值时，确定该网络设备的安全性低；否则，确定该网络设备的安全性高。该方案能够综合网络设备的脆弱性和安全功能测试结果，更全面、通用地确定网络设备的安全性。

A method to determine the security of network equipment

The invention provides a method for determining the safety of network equipment, the method includes: vulnerability scanning for network equipment, according to the known vulnerability scanning found using linear weighted method to determine the index values for known vulnerabilities; network vulnerability mining equipment, according to the unknown vulnerabilities vulnerability mining found CVSS value to determine the unknown vulnerabilities to numerical; security function test for the network equipment, according to the security function test results to determine the safety function index; according to the known vulnerabilities identified, unknown vulnerability index index and safety index function, determine the safety of network equipment; when the safety value is greater than the preset threshold to determine the safety, the safety of the network equipment is low; otherwise, determine the safety of the network device is high. The scheme can integrate the vulnerability and security function test results of network equipment, and more comprehensively and universally determine the security of network devices.

【技术实现步骤摘要】
一种确定网络设备安全性的方法
本专利技术涉及通信
，特别涉及一种确定网络设备安全性的方法。
技术介绍
2017年6月1日开始实施的《中华人民共和国网络安全法》中明确指出，国家实行网络安全等级保护制度。网络安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。信息系统安全保护等级的划分是根据信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级共分五级。参见表1，表1为网络安全等级保护制度等级划分示意。表1根据这一制度，业界制定了一份国家标准GB/T18018《信息安全技术路由器安全技术要求》，该标准分三个等级规定了路由器的安全技术要求。安全等级由低到高，安全要求逐级增强。对每一级，从技术和管理两个方面，提出了安全要求。依据该标准，可以定性地将路由器分为三个级别。该种等级划分法存在如下问题：仅考虑了安全功能要求，对于脆弱性方面的要求，仅仅从文档审查方面进行了规范，并不能真正反映出设备的安全性；该标准只是针对路由器的等级划分，交换机等其他网络设备不适用；该标准仅仅是定性的分级标准，无法定量的描述设备整体的安全性。信息技术安全评价通用准则(TheCommonCriteriaforInformationTechnologysecurityEvaluation，CC)，简称CC标准，它综合了已有的信息安全的准则和标准，形成了一个更全面的框架。CC标准是信息技术安全性评估标准，用来评估信息系统、信息产品的安全性。CC标准的评估分为两个方面：安全功能需求和安全保证需求。我国GB/T18336国家标准等同采用了CC。在GB/T18336中定义了以下7个评估保证级：(1)评估保证级1(EAL1)——功能测试；(2)评估保证级2(EAL2)——结构测试；(3)评估保证级3(EAL3)——系统地测试和检查；(4)评估保证级4(EAL4)——系统地设计、测试和复查；(5)评估保证级5(EAL5)——半形式化设计和测试；(6)评估保证级6(EAL6)——半形式化验证的设计和测试；(7)评估保证级7(EAL7)——形式化验证的设计和测试。GB/T21050《信息安全技术网络交换机安全技术要求(评估保证级3)》明确了EAL3级别的网络交换机需要满足的安全技术要求。该体系存在如下问题：在技术上，仅考虑了安全功能要求，对于脆弱性方面的要求，仅仅从文档审查方面进行了规范，并不能真正反映出设备的安全性；该标准仅仅提出了EAL3级的要求，也就是只有一个级别的要求，并不能真正区分设备的安全性；通用漏洞评分系统(CommonVulnerabilityScoringSystem，CVSS)是一个行业公开标准，用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度。CVSS是一种对单个漏洞进行量化评估的方法。它也是目前漏洞危害等级评估方面应用最广的评估方法。CVSS从漏洞可用性、漏洞生命周期、环境影响三个方面对漏洞的危害进行综合度量。CVSS值取值范围是0-10，漏洞的危害越严重，CVSS值越高。一般情况下，按照CVSS值，将漏洞分为紧急、高、中、低。参见表2，表2为漏洞等级与CVSS值的关系示意内容。漏洞等级CVSS值低0.1-3.9中4.0-6.9高7.0-8.9紧急9.0-10.0表2一台网络设备可能会存在多个漏洞，而CVSS值只能对单个漏洞进行量化评估，无法量化整台设备的安全性。况且，网络设备除了会有漏洞以外，还有可能存在安全功能缺失，这种安全问题是CVSS无法量化的。综上所述，现有实现中，还未提出一种全面考虑了脆弱性和安全性的确定网络设备的安全性的方法。
技术实现思路
有鉴于此，本申请提供一种确定网络设备安全性的方法，能够综合网络设备的脆弱性和安全功能测试结果，更全面、通用地确定网络设备的安全性。为解决上述技术问题，本申请的技术方案是这样实现的：一种确定网络设备安全性的方法，该方法包括：针对网络设备进行漏洞扫描，根据漏洞扫描发现的已知漏洞采用线性加权的方式确定已知漏洞指数值；针对网络设备进行漏洞挖掘，根据漏洞挖掘发现的未知漏洞的CVSS值确定未知漏洞指数值；针对网络设备进行安全功能测试，根据安全功能测试结果确定安全功能指数值；根据确定的已知漏洞指数值、未知漏洞指数值和安全功能指数值，确定网络设备的安全值；当安全值大于预设安全阈值时，确定该网络设备的安全性低；否则，确定该网络设备的安全性高。由上面的技术方案可知，本申请中通过对网络设备进行漏洞扫描、漏洞挖掘以及安全功能测试，将测试结果量化获得已知漏洞指数、未知漏洞指数和功能脆弱性指数，并根据获得的三个指数确定网络设备的安全值，进而确定网络设备的安全性的高低。该方案能够综合网络设备的脆弱性和安全功能测试结果，更全面、通用地确定网络设备的安全性。附图说明图1为本申请实施例中实现网络设备安全性确定流程示意图；图2为网络设备安全量化评估模型示意图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白，下面结合附图并举实施例，对本专利技术的技术方案进行详细说明。本申请实施例中提供一种网络设备安全确定方法，通过对网络设备进行漏洞扫描、漏洞挖掘以及安全功能测试，将测试结果量化获得已知漏洞指数、未知漏洞指数和功能脆弱性指数，并根据获得的三个指数确定网络设备的安全值，进而确定网络设备的安全性的高低。该方案能够综合网络设备的脆弱性和安全功能测试结果，更全面、通用地确定网络设备的安全性。对于网络设备的安全性从两个方面进行评估，分别是脆弱性和安全功能。脆弱性(vulnerability)，又称弱点或漏洞，是网络设备存在的可能被威胁利用造成损害的薄弱环节，脆弱性一旦被威胁成功利用就可能对网络设备造成损害。漏洞又分为已知漏洞(mDAY)和未知漏洞(0DAY)。已知漏洞是已经公开发布的漏洞，相关方往往在发布漏洞之前已经修复了该漏洞，以避免漏洞在公布之后造成的大规模损失。0DAY漏洞，是已经被发现，但是尚未公开的漏洞，或者官方尚未发布相关补丁的漏洞。这一类漏洞“杀伤力”较大，因为没有相应的补丁，攻击者可以利用漏洞发起大规模的攻击。安全功能是网络设备自身所具有的功能，这些功能能够保障网络设备及其所组成的网络的安全性。由于种种原因，漏洞的存在不可避免，一旦某些较严重的漏洞被攻击者发现，就有可能被其利用，在未授权的情况下访问或破坏信息系统。先于攻击者发现并及时修补漏洞可有效减少来自网络的威胁。因此主动发掘并分析安全漏洞，对网络攻防战具有重要的意义。下面结合附图，详细说明本申请实施例中实现网络设备安全性确定过程。为了描述方便，下文将实现本申请实施例技术方案的设备统称为处理设备。参见图1，图1为本申请实施例中实现网络设备安全性确定流程示意图。具体步骤为：步骤101，处理设备针对网络设备进行漏洞扫描，根据漏洞扫描发现的已知漏洞采用线性加权的方式确定已知漏洞指数值。漏洞扫描是基于漏洞数据库，通过扫描等手段发现设备中是否存在已知漏洞的方法。通过漏洞扫描，能够发现设备中存在的已知漏洞。本文档来自技高网...

【技术保护点】
一种确定网络设备安全性的方法，其特征在于，该方法包括：针对网络设备进行漏洞扫描，根据漏洞扫描发现的已知漏洞采用线性加权的方式确定已知漏洞指数值；针对网络设备进行漏洞挖掘，根据漏洞挖掘发现的未知漏洞的通用漏洞评分系统CVSS值确定未知漏洞指数值；针对网络设备进行安全功能测试，根据安全功能测试结果确定安全功能指数值；根据确定的已知漏洞指数值、未知漏洞指数值和安全功能指数值，确定网络设备的安全值；当安全值大于预设安全阈值时，确定该网络设备的安全性低；否则，确定该网络设备的安全性高。

【技术特征摘要】
1.一种确定网络设备安全性的方法，其特征在于，该方法包括：针对网络设备进行漏洞扫描，根据漏洞扫描发现的已知漏洞采用线性加权的方式确定已知漏洞指数值；针对网络设备进行漏洞挖掘，根据漏洞挖掘发现的未知漏洞的通用漏洞评分系统CVSS值确定未知漏洞指数值；针对网络设备进行安全功能测试，根据安全功能测试结果确定安全功能指数值；根据确定的已知漏洞指数值、未知漏洞指数值和安全功能指数值，确定网络设备的安全值；当安全值大于预设安全阈值时，确定该网络设备的安全性低；否则，确定该网络设备的安全性高。2.根据权利要求1所述的方法，其特征在于，所述根据确定的已知漏洞指数值、未知漏洞指数值和安全功能指数值，确定网络设备的安全值SND，包括：3.根据权利要求1所述的方法，其特征在于，所述根据漏洞扫描发现的已知漏洞采用线性加权的方式确定已知漏洞指数值mDAY，包括：mDAY＝MIN[(a1×Cm+a2×Hm+a3×Mm+a4×Lm),10]其中，a1，a2，a3，a4为预设漏洞数加权系数，Cm为紧急漏洞数，Hm为高危漏洞数，Mm为中危漏洞数，Lm为低危漏洞数。4.根据权利要求1所述的方法，其特征在于，所述根据漏洞扫描发现的已知漏洞采用线性加权的方式确定已知漏洞指数值mDAY，包括：其中，CVSSi为第i个已知漏洞的通用弱点评价体系值，q为发现的已知漏洞的总数。5.根据权利要求1所述的方法，其特征在于，所述根据漏洞扫描发现的已知漏洞采用线性加权的方式确定已知漏洞指数值mDAY，包括：其中，b1、b2、b3、b4为预设CVSS值加权系数；CV...

【专利技术属性】
技术研发人员：倪平，张治兵，周开波，李莉，
申请(专利权)人：中国信息通信研究院，
类型：发明
国别省市：北京,11