【技术实现步骤摘要】
网络安全测试方法及装置
本专利技术涉及网络安全
,更具体地,涉及一种网络安全测试方法及装置。
技术介绍
网络在带给人类社会划时代变革的同时,所带来的风险也是不可避免的。依据《GBT20984-2007信息安全技术信息安全风险评估规范》,信息安全风险评估是指:依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。所以,需要梳理出网络系统的资产、重要程度及脆弱性,在此基础上,对信息系统和信息资产所面临的安全风险进行风险评估。如何将等级测评和风险评估过程有机结合起来,采用科学的方法建立风险计算模型,从而形成有效的网络风险评估方法,这是目前急需解决的问题。
技术实现思路
本专利技术实施例提供一种克服上述问题或者至少部分地解决上述问题的网络安全测试方法。第一方面,本专利技术实施例提供一种基于网络威胁...
【技术保护点】
1.一种网络安全测试方法,其特征在于,包括:/n基于网络威胁信息和网络资产信息,获取网络安全事件损失信息;其中,所述网络威胁信息用于表征导致安全事件发生的外部原因;所述网络资产信息用于表征网络系统的各种软硬性资产的价值;所述网络安全事件损失信息用于表征网络系统一旦发生安全事件所遭受的损失程度;/n基于所述网络威胁信息和网络脆弱性特征,获取网络安全事件概率特征;其中,所述网络脆弱性特征用于表征网络系统存在的可能被威胁利用造成损害的薄弱环节;所述网络安全事件概率特征用于表征网络系统发生安全事件的可能性;/n基于所述网络安全事件损失信息和所述网络安全事件概率特征,确定网络安全风险特征。/n
【技术特征摘要】 【专利技术属性】
1.一种网络安全测试方法,其特征在于,包括:
基于网络威胁信息和网络资产信息,获取网络安全事件损失信息;其中,所述网络威胁信息用于表征导致安全事件发生的外部原因;所述网络资产信息用于表征网络系统的各种软硬性资产的价值;所述网络安全事件损失信息用于表征网络系统一旦发生安全事件所遭受的损失程度;
基于所述网络威胁信息和网络脆弱性特征,获取网络安全事件概率特征;其中,所述网络脆弱性特征用于表征网络系统存在的可能被威胁利用造成损害的薄弱环节;所述网络安全事件概率特征用于表征网络系统发生安全事件的可能性;
基于所述网络安全事件损失信息和所述网络安全事件概率特征,确定网络安全风险特征。
2.根据权利要求1所述的网络安全测试方法,其特征在于,
所述网络资产信息基于网络的系统特征、资产特征和CIA属性特征确定;
所述系统特征用于表征系统自身的安全等级以及系统处理业务的重要程度;
所述资产特征用于表征资产在系统中的重要程度以及资产自身的购买成本和维护成本;
所述CIA属性特征用于表征资产的机密性、完整性以及可用性受到损害时对业务运营的负面影响程度。
3.根据权利要求1所述的网络安全测试方法,其特征在于,所述网络脆弱性特征基于网络脆弱性可利用特征、网络漏洞修补特征以及已有网络安全措施对网络脆弱性修正特征,通过CVSS确定。
4.根据权利要求1所述的网络安全测试方法,其特征在于,所述网络威胁信息基于网络威胁发生频率特征、网络威胁影响范围特征以及网络威胁影响程度特征,通过古林法确定。
5.根据权利要求4所述的网络安全测试方法,其特征在于,所述基于网络威胁信息和网络资产信息,获取网络安全事件损失信息,包括:
基于所述网络威胁影响范围特征、网络威胁影响程度特征和所述网络资产信息,确定所述网络安全事件损失信息。
技术研发人员:张彦,马延妮,朱建生,杨文,司群,朱广劼,王张超,周泽岩,
申请(专利权)人:中国国家铁路集团有限公司,中国铁道科学研究院集团有限公司电子计算技术研究所,北京经纬信息技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。