The invention provides a method for determining the safety of network equipment, the method includes: vulnerability scanning for network equipment, according to the known vulnerability scanning found using linear weighted method to determine the index values for known vulnerabilities; network vulnerability mining equipment, according to the unknown vulnerabilities vulnerability mining found CVSS value to determine the unknown vulnerabilities to numerical; security function test for the network equipment, according to the security function test results to determine the safety function index; according to the known vulnerabilities identified, unknown vulnerability index index and safety index function, determine the safety of network equipment; when the safety value is greater than the preset threshold to determine the safety, the safety of the network equipment is low; otherwise, determine the safety of the network device is high. The scheme can integrate the vulnerability and security function test results of network equipment, and more comprehensively and universally determine the security of network devices.
【技术实现步骤摘要】
一种确定网络设备安全性的方法
本专利技术涉及通信
,特别涉及一种确定网络设备安全性的方法。
技术介绍
2017年6月1日开始实施的《中华人民共和国网络安全法》中明确指出,国家实行网络安全等级保护制度。网络安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。信息系统安全保护等级的划分是根据信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级共分五级。参见表1,表1为网络安全等级保护制度等级划分示意。表1根据这一制度,业界制定了一份国家标准GB/T18018《信息安全技术路由器安全技术要求》,该标准分三个等级规定了路由器的安全技术要求。安全等级由低到高,安全要求逐级增强。对每一级,从技术和管理两个方面,提出了安全要求。依据该标准,可以定性地将路由器分为三个级别。该种等级划分法存在如下问题:仅考虑了安全功能要求,对于脆弱性方面的要求,仅仅从文档审查方面进行了规范,并不能真正反映出设备的安全性;该标准只是针对路由器的等级划分,交换机等其他网络设备不适用;该标准仅仅是定性的分级标准,无法定量的描述设备整体的安全性。信息技术安全评价通用准则(TheCommonCriteriaforInformationTechnologysecurityEvaluation,CC),简称CC标准,它综合了已有的信息安全的准则和标准,形成 ...
【技术保护点】
一种确定网络设备安全性的方法,其特征在于,该方法包括:针对网络设备进行漏洞扫描,根据漏洞扫描发现的已知漏洞采用线性加权的方式确定已知漏洞指数值;针对网络设备进行漏洞挖掘,根据漏洞挖掘发现的未知漏洞的通用漏洞评分系统CVSS值确定未知漏洞指数值;针对网络设备进行安全功能测试,根据安全功能测试结果确定安全功能指数值;根据确定的已知漏洞指数值、未知漏洞指数值和安全功能指数值,确定网络设备的安全值;当安全值大于预设安全阈值时,确定该网络设备的安全性低;否则,确定该网络设备的安全性高。
【技术特征摘要】
1.一种确定网络设备安全性的方法,其特征在于,该方法包括:针对网络设备进行漏洞扫描,根据漏洞扫描发现的已知漏洞采用线性加权的方式确定已知漏洞指数值;针对网络设备进行漏洞挖掘,根据漏洞挖掘发现的未知漏洞的通用漏洞评分系统CVSS值确定未知漏洞指数值;针对网络设备进行安全功能测试,根据安全功能测试结果确定安全功能指数值;根据确定的已知漏洞指数值、未知漏洞指数值和安全功能指数值,确定网络设备的安全值;当安全值大于预设安全阈值时,确定该网络设备的安全性低;否则,确定该网络设备的安全性高。2.根据权利要求1所述的方法,其特征在于,所述根据确定的已知漏洞指数值、未知漏洞指数值和安全功能指数值,确定网络设备的安全值SND,包括:3.根据权利要求1所述的方法,其特征在于,所述根据漏洞扫描发现的已知漏洞采用线性加权的方式确定已知漏洞指数值mDAY,包括:mDAY=MIN[(a1×Cm+a2×Hm+a3×Mm+a4×Lm),10]其中,a1,a2,a3,a4为预设漏洞数加权系数,Cm为紧急漏洞数,Hm为高危漏洞数,Mm为中危漏洞数,Lm为低危漏洞数。4.根据权利要求1所述的方法,其特征在于,所述根据漏洞扫描发现的已知漏洞采用线性加权的方式确定已知漏洞指数值mDAY,包括:其中,CVSSi为第i个已知漏洞的通用弱点评价体系值,q为发现的已知漏洞的总数。5.根据权利要求1所述的方法,其特征在于,所述根据漏洞扫描发现的已知漏洞采用线性加权的方式确定已知漏洞指数值mDAY,包括:其中,b1、b2、b3、b4为预设CVSS值加权系数;CV...
【专利技术属性】
技术研发人员:倪平,张治兵,周开波,李莉,
申请(专利权)人:中国信息通信研究院,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。