本发明专利技术公开了一种计算漏洞风险的方法,其中,包括如下方法:S1、对漏洞等级进行标准化;S2、漏洞的危害等级结合七何分析法对评估维度进行标准化;S3、基准线的标准化;S4、对S1、S2、S3中的标准化与企业各系统之间风险数值进行匹配分析,得出结论;通过上述方法,结合漏洞危害等级与七何分析法(5W2H)的方式针对每个漏洞进行风险量化,以获得更精确、客观的评估结果,更直观的了解漏洞存在于当前系统中的风险等级,制定更可行的整改方案,实现更有效地整改效果。并将每次量化结果记录在案,定期对各系统的各类风险发生频率进行统计,了解各系统在开发时的薄弱之处,更有针对性的完善开发规范与要求,提高开发质量。
【技术实现步骤摘要】
一种计算漏洞风险的方法
本专利技术涉及计算机安全领域,特别涉及一种计算漏洞风险的方法。
技术介绍
随着网络的普及,计算机的应用越来越广泛,计算机系统的安全也就逐渐成为了人们十分关注的问题。由于应用软件或操作系统软件在逻辑设计上存在缺陷,或在编写程序时产生的错误,使计算机系统存在系统漏洞,导致这个缺陷或错误可以被不法份子或计算机黑客利用,通过植入木马、病毒等方式来攻击或控制整个计算机,从而窃取计算机中的重要资料和信息,甚至破坏计算机系统。现有的修复漏洞产品很多,都能够提供修复漏洞的功能。用户需要定期启动修复漏洞的软件程序,并在检测出系统漏洞时,选择需要修复的系统漏洞,通过下载和安装与系统漏洞相对应的补丁程序,实现系统漏洞的修复。当前各企业进行应用系统渗透测试后,对漏洞以及系统的评价普遍存在个人主观意识强,风险定级不合理等缺点。目前大多采用的评定方法主要基于完整性、可用性、保密性三个维度,依托测试人员的主观评价来评定漏洞与系统安全的状况,评价结果和实际情况可能会存在较大偏差。给企业保护自身资产安全造成资源浪费。故开始通过对七何分析法进行研究,建立七何漏洞定级体系,并加以应用在企业各系统风险量化中。七何分析法是二战时期由美国陆军兵器修理部首创。现大多用于企业管理,在企业的应用系统漏洞风险考量中暂无运用。企业发现自身系统存在漏洞时,如何通过最少的人力、财力、物力去更有效、更合理、更快速的修复漏洞,这需要企业针对每个漏洞进行专业的综合风险评估。而目前在通常情况下,漏洞风险评估往往因风险评估标准不规范不统一、评估人员专业性与经验不足等导致评估结果既不全面也不深入,整改措施不彻底也没有针对性。为了解决这种现象,企业将5W2H进行了重新定义,让管理人员与技术人员更客观的评价漏洞风险程度、结合规范制定合理的整改计划、有效的对漏洞的生命周期进行跟踪,提出了通过结合漏洞危害等级与七何分析法(5W2H)的方式来针对每个漏洞以及应用系统进行风险量化。
技术实现思路
本专利技术的目的在于提供一种计算漏洞风险的方法,以解决上述
技术介绍
中提出的问题。为实现上述目的,本专利技术提供如下技术方案:一种计算漏洞风险的方法,其中,包括如下方法:S1、对漏洞等级进行标准化;S2、漏洞的危害等级结合七何分析法对评估维度进行标准化;S3、基准线的标准化;S4、对S1、S2、S3中的标准化与企业各系统之间风险数值进行匹配分析,得出结论。具体的,所述S1步骤中漏洞等级通过漏洞等级分值标准划分为极高危害漏洞、高危害漏洞、中危害漏洞、中低危害漏洞和低危害漏洞;极高危害漏:主要是指会直接对企业的目标系统造成破坏、带来重大影响或者对企业用户带来严重资金类风险或信息泄露,大大降低企业的社会信用度等问题的漏洞;高危害漏洞:主要是指间接对企业的目标系统造成破坏、带来较大影响或者对企业用户带来资金类风险或信息泄露等问题的漏洞;中危害漏洞:主要是指需要结合特定条件,对企业的目标系统造成破坏、带来影响或者对企业用户带来资金类风险以及信息泄露等问题的漏洞;中低危害漏洞:主要是指需要结合其他条件,由于攻击难度高,对企业的目标系统造成破坏、带来影响或者对企业用户带来资金类风险以及信息泄露等风险较小问题的漏洞;低危害漏洞:主要是指无法直接或者间接的对企业以及其用户带来风险的漏洞或者系统缺陷,但是可能会在后续系统开发和投入使用中,具备一定风险隐患的问题。具体的,所述S2中的七何分析法包括:①.WHAT(系统):根据发现漏洞的系统种类来进行分析。确定该系统为业务系统、管理系统还是办公系统,是对互联网开放的还是仅在企业内部网络进行访问,同时需结合信息系统本身的重要等级分类进行综合考虑。②.WHERE(位置)根据利用该漏洞攻击系统的方式进行分析。无需用户登录就能够造成攻击的漏洞为高危害程度,需要注册用户进行登录或者开通某项业务后才可以达到攻击效果的为中危害程度。③.WHEN(时间)根据利用该漏洞攻击所需要的时间进行分析。例如数据库注入可在较短的时间内获取数据库数据,越权类漏洞可在较短的时间内获取更高的权限进行深层次的攻击,跨站脚本攻击则需要较长的时间等待用户被攻击等。④.WHO(对象)根据发动攻击的对象以及漏洞攻击的目的进行分析。首先分析谁会利用这个漏洞,内部人员还是外部黑客。其次判断攻击者利用这个漏洞是会对企业系统造成破坏导致业务停滞或用户资金损失,还是会盗取企业用户的资金或机密信息等。⑤.WHY(原因)根据造成漏洞的原因来进行分析。首先可从漏洞的发生频率来评估,漏洞是首次发现,还是同样的漏洞已在一定的周期内多次发现,并使用同样的检测方法均能查出。其次分析造成漏洞的原因,主要是由于开发人员有意为之或是安全意识不足的内在原因,还是项目开发进度太紧等外因而导致。⑥.HOW(方法)根据发现漏洞的难易度以及攻击的难易度来进行分析。首先判断攻击者能通过什么方法发现这个漏洞,是否可以轻易的找到所存在的漏洞。例如仅通过工具扫描就可以发现、手动检测就可以发现或者需要开通某项业务后可以发现等。其次判断当攻击者发现这个漏洞后,是否能够轻易的利用该漏洞。例如,篡改某交易参数值后直接能造成非法交易、篡改某权限参数值后直接可非法访问,还是需要通过利用企业平台或功能间接对用户发动攻击。⑦.HOWMUCH(损失)根据可能会面临的损失以及修复漏洞的成本来进行分析。综合分析攻击者利用这个漏洞后会对目标对象造成多大直接经济损失,企业修复该漏洞需要付出多大成本来判断修复的方案。如果造成的经济损失远远小于修复成本,可适当调整修复计划。具体的,所述步骤S3中基准线标准分为:紧急、严重、中等、一般和提示。具体的,所述步骤S4中利用已定义的评估维度与漏洞等级以及各标准,通过以下公式对漏洞进行量化:紧急程度漏洞量化分值:B为单个漏洞在应用系统中的风险值为5W(分值参考评估维度标准)为2H(分值参考评估维度标准)N为评估维度Rm为漏洞风险等级权重值(参考漏洞危害标准)所述步骤S4中利用已定义的评估维度与漏洞等级以及各标准,通过以下公式对系统风险进行量化:系统安全量化分值:S为总体安全性分值Bmax为最大风险漏洞的分值PB为漏洞风险量化后最高的风险等级分值(参考紧急程度分值标准)n为漏洞个数(峰值25个)为系统中排名前十个漏洞的分值总和(峰值50分)具体的,所述漏洞等级的分值标准为分值为1时为极高;分值为0.8时高;分值为0.6时为中;分值为0.4时为中低;分值为0.2时为低。具体的,系统安全等级根据量化分值分为极不安全、不安全、一般、较安全和安全,其中极不安全为含69分或以下,不安全为含78.5--69分以下,一般为含85.5分-78.5分以上,安全为91.8分以上。具体的,通过风险量化得出的风本文档来自技高网...
【技术保护点】
1.一种计算漏洞风险的方法,其特征在于,包括如下方法:/nS1、对漏洞等级进行标准化;/nS2、漏洞的危害等级结合七何分析法对评估维度进行标准化;/nS3、基准线的标准化;/nS4、对S1、S2、S3中的标准化与企业各系统之间风险数值进行匹配分析,得出结论。/n
【技术特征摘要】
1.一种计算漏洞风险的方法,其特征在于,包括如下方法:
S1、对漏洞等级进行标准化;
S2、漏洞的危害等级结合七何分析法对评估维度进行标准化;
S3、基准线的标准化;
S4、对S1、S2、S3中的标准化与企业各系统之间风险数值进行匹配分析,得出结论。
2.根据权利要求1所述的一种计算漏洞风险的方法,其特征在于:所述S1步骤中漏洞等级通过漏洞等级分值标准划分为极高危害漏洞、高危害漏洞、中危害漏洞、中低危害漏洞和低危害漏洞。
3.根据权利要求1所述的一种计算漏洞风险的方法,其特征在于,所述S2中的七何分析法包括:
①.WHAT(系统):根据发现漏洞的系统种类来进行分析。确定该系统为业务系统、管理系统还是办公系统,是对互联网开放的还是仅在企业内部网络进行访问,同时需结合信息系统本身的重要等级分类进行综合考虑。
②.WHERE(位置)
根据利用该漏洞攻击系统的方式进行分析。无需用户登录就能够造成攻击的漏洞为高危害程度,需要注册用户进行登录或者开通某项业务后才可以达到攻击效果的为中危害程度。
③.WHEN(时间)
根据利用该漏洞攻击所需要的时间进行分析。例如数据库注入可在较短的时间内获取数据库数据,越权类漏洞可在较短的时间内获取更高的权限进行深层次的攻击,跨站脚本攻击则需要较长的时间等待用户被攻击等。
④.WHO(对象)
根据发动攻击的对象以及漏洞攻击的目的进行分析。首先分析谁会利用这个漏洞,内部人员还是外部黑客。其次判断攻击者利用这个漏洞是会对企业系统造成破坏导致业务停滞或用户资金损失,还是会盗取企业用户的资金或机密信息等。
⑤.WHY(原因)
根据造成漏洞的原因来进行分析。首先可从漏洞的发生频率来评估,漏洞是首次发现,还是同样的漏洞已在一定的周期内多次发现,并使用同样的检测方法均能查出。其次分析造成漏洞的原因,主要是由于开发人员有意为之或是安全意识不足的内在原因,还是项目开发进度太紧等外因而导致。
⑥.HOW(方法)
根据发现漏洞的难易度以及攻击的难易度来进行分析。首先判断攻击者能通过什么方法发现这个漏洞,是否可以轻易的找到所存在的漏洞。例如仅通过工具扫描就可以发现、手动检测就可以发现或者需要开通某项...
【专利技术属性】
技术研发人员:李佳兴,钱嘉晶,
申请(专利权)人:李佳兴,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。