【技术实现步骤摘要】
一种计算漏洞风险的方法
本专利技术涉及计算机安全领域,特别涉及一种计算漏洞风险的方法。
技术介绍
随着网络的普及,计算机的应用越来越广泛,计算机系统的安全也就逐渐成为了人们十分关注的问题。由于应用软件或操作系统软件在逻辑设计上存在缺陷,或在编写程序时产生的错误,使计算机系统存在系统漏洞,导致这个缺陷或错误可以被不法份子或计算机黑客利用,通过植入木马、病毒等方式来攻击或控制整个计算机,从而窃取计算机中的重要资料和信息,甚至破坏计算机系统。现有的修复漏洞产品很多,都能够提供修复漏洞的功能。用户需要定期启动修复漏洞的软件程序,并在检测出系统漏洞时,选择需要修复的系统漏洞,通过下载和安装与系统漏洞相对应的补丁程序,实现系统漏洞的修复。当前各企业进行应用系统渗透测试后,对漏洞以及系统的评价普遍存在个人主观意识强,风险定级不合理等缺点。目前大多采用的评定方法主要基于完整性、可用性、保密性三个维度,依托测试人员的主观评价来评定漏洞与系统安全的状况,评价结果和实际情况可能会存在较大偏差。给企业保护自身资产安全造成资源浪费。故开始通过...
【技术保护点】
1.一种计算漏洞风险的方法,其特征在于,包括如下方法:/nS1、对漏洞等级进行标准化;/nS2、漏洞的危害等级结合七何分析法对评估维度进行标准化;/nS3、基准线的标准化;/nS4、对S1、S2、S3中的标准化与企业各系统之间风险数值进行匹配分析,得出结论。/n
【技术特征摘要】
1.一种计算漏洞风险的方法,其特征在于,包括如下方法:
S1、对漏洞等级进行标准化;
S2、漏洞的危害等级结合七何分析法对评估维度进行标准化;
S3、基准线的标准化;
S4、对S1、S2、S3中的标准化与企业各系统之间风险数值进行匹配分析,得出结论。
2.根据权利要求1所述的一种计算漏洞风险的方法,其特征在于:所述S1步骤中漏洞等级通过漏洞等级分值标准划分为极高危害漏洞、高危害漏洞、中危害漏洞、中低危害漏洞和低危害漏洞。
3.根据权利要求1所述的一种计算漏洞风险的方法,其特征在于,所述S2中的七何分析法包括:
①.WHAT(系统):根据发现漏洞的系统种类来进行分析。确定该系统为业务系统、管理系统还是办公系统,是对互联网开放的还是仅在企业内部网络进行访问,同时需结合信息系统本身的重要等级分类进行综合考虑。
②.WHERE(位置)
根据利用该漏洞攻击系统的方式进行分析。无需用户登录就能够造成攻击的漏洞为高危害程度,需要注册用户进行登录或者开通某项业务后才可以达到攻击效果的为中危害程度。
③.WHEN(时间)
根据利用该漏洞攻击所需要的时间进行分析。例如数据库注入可在较短的时间内获取数据库数据,越权类漏洞可在较短的时间内获取更高的权限进行深层次的攻击,跨站脚本攻击则需要较长的时间等待用户被攻击等。
④.WHO(对象)
根据发动攻击的对象以及漏洞攻击的目的进行分析。首先分析谁会利用这个漏洞,内部人员还是外部黑客。其次判断攻击者利用这个漏洞是会对企业系统造成破坏导致业务停滞或用户资金损失,还是会盗取企业用户的资金或机密信息等。
⑤.WHY(原因)
根据造成漏洞的原因来进行分析。首先可从漏洞的发生频率来评估,漏洞是首次发现,还是同样的漏洞已在一定的周期内多次发现,并使用同样的检测方法均能查出。其次分析造成漏洞的原因,主要是由于开发人员有意为之或是安全意识不足的内在原因,还是项目开发进度太紧等外因而导致。
⑥.HOW(方法)
根据发现漏洞的难易度以及攻击的难易度来进行分析。首先判断攻击者能通过什么方法发现这个漏洞,是否可以轻易的找到所存在的漏洞。例如仅通过工具扫描就可以发现、手动检测就可以发现或者需要开通某项...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。