本发明专利技术涉及一种信息安全漏洞等级确定方法、系统及设备,方法包括:确定漏洞的基础特征得分,基础特征得分包括危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分;根据危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分,确定漏洞的评分;基于预先构建的评分与等级的关联关系,根据漏洞的评分,确定漏洞的等级,从而可以实现快速地,自动化地完成对漏洞的等级确定,进而快速地完成根据漏洞等级进行自动化修补,保证信息安全。
【技术实现步骤摘要】
信息安全漏洞等级确定方法、系统及设备
本专利技术属于信息安全
,具体涉及一种信息安全漏洞等级确定方法、系统及设备。
技术介绍
信息安全漏洞是在信息系统的整个生命周期过程中,有意或无意产生的缺陷,这些缺陷以不同形式存在信息系统的各个层面和环节中,一旦被恶意利用,会对信息系统的安全造成损害,导致信息泄露或影响信息系统正常运行。随着信息安全漏洞的日益增加,攻击行为的日趋复杂,使得从漏洞发布到攻击代码出现的时间间隔越来越短,采取防御措施的时间要求也越来越高。而不同的漏洞对系统的危害程度也有一定的差别,因此为了提高对漏洞的快速修补,则确定漏洞的等级则变得愈发重要,对漏洞进行评级,可以定性的确定漏洞所造成的安全威胁和影响程度,可以帮助用户确定安全缺陷在系统中的优先级,及时修补最重要的漏洞,从而保障系统的安全性。因此,如何快速且自动化的完成对漏洞等级的确定是本领域的技术人员亟需解决的技术问题。
技术实现思路
为了至少解决现有技术存在的上述问题,本专利技术提供了一种信息安全漏洞等级确定方法、系统及设备,以实现快速且自动化的完成对漏洞等级的确定。本专利技术提供的技术方案如下:一方面,一种信息安全漏洞等级确定方法,包括:确定漏洞的基础特征得分,所述基础特征得分包括危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分;根据所述危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分,确定所述漏洞的评分;基于预先构建的评分与等级的关联关系,根据所述漏洞的评分,确定所述漏洞的等级。可选的,上述所述危害性包括机密属性、完整属性和可用属性;对应的,确定漏洞危害性的得分,包括:分别确定所述漏洞对所述机密属性、所述完整属性和所述可用属性的影响级别;根据单一所述影响级别或所述影响级别的组合,确定漏洞的危害性得分。可选的,上述所述确定漏洞重复性的得分,包括:获取漏洞的重现指标和时间周期指标;根据所述重现指标和所述时间周期指标,确定所述漏洞重复性的得分。可选的,上述所述确定漏洞可利用性的得分,包括:检测所述漏洞被利用的复杂程度指标;根据所述复杂程度指标,确定漏洞可利用性的得分。可选的,上述所述确定漏洞受影响度的得分,包括:识别所述漏洞的操作权限指标;根据所述操作权限指标,确定漏洞受影响度的得分。可选的,上述所述确定漏洞发现系数的得分,包括:捕捉所述漏洞被发现的难易程度指标;根据所述难易程度指标,确定漏洞发现系数的得分。可选的,上述所述根据所述危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分,确定所述漏洞的评分,包括:对所述重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分进行求和;将求和的结果与所述危害性的得分相乘,以所述相乘之后的结果作为所述漏洞的评分。可选的,上述所述漏洞的等级包括:超危、高危、中危、低危、和轻危;对应的,所述确定所述漏洞的等级之后,还包括:分别根据所述超危、高危、中危、低危、和轻危的权重,确定所述漏洞的待修补级别;根据所述待修补级别,对所述漏洞进行修补。另一方面,一种信息安全漏洞等级确定系统,包括:基础得分确定模块,用于确定漏洞的基础特征得分,所述基础特征得分包括危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分;漏洞综合评分模块,用于根据所述危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分,确定所述漏洞的评分;漏洞等级确定模块,用于基于预先构建的评分与等级的关联关系,根据所述漏洞的评分,确定所述漏洞的等级。再一方面,一种信息安全漏洞等级确定设备,包括:处理器,以及与所述处理器相连接的存储器;所述存储器用于存储计算机程序,所述计算机程序至少用于执行上述任一项所述的信息安全漏洞等级确定方法;所述处理器用于调用并执行所述存储器中的所述计算机程序。本专利技术的有益效果为:本专利技术提供的一种信息安全漏洞等级确定方法、系统及设备,方法包括:确定漏洞的基础特征得分,基础特征得分包括危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分;根据危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分,确定漏洞的评分;基于预先构建的评分与等级的关联关系,根据漏洞的评分,确定漏洞的等级,采用本申请的技术方案,可以实现自动根据漏洞的特性对漏洞进行快速的等级确定,从而有助于快速地对漏洞进行修补,能够更好地保证信息安全。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本专利技术实施例提供的信息安全漏洞等级确定方法的一种流程图;图2是本专利技术实施例提供的信息安全漏洞等级确定系统的一种结构示意图;图3是本专利技术实施例提供的信息安全漏洞等级确定设备的一种结构示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚,下面将对本专利技术的技术方案进行详细的描述。显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式,都属于本专利技术所保护的范围。图1是本专利技术实施例提供的信息安全漏洞等级确定方法的一种流程图。如图1所示,本实施例提供的一种信息安全漏洞等级确定方法,包括以下步骤:S11、确定漏洞的基础特征得分,基础特征得分包括危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分。在一个具体的实现过程中,确定漏洞的基础特性得分,基础特性为安全漏洞固有的、根本性的属性,其中基础特性包括了危害性、重复性、可利用性、受影响度和发现系数,确定得分时需要每一个基础特性的得分都进行确定。其中,危害性指的是漏洞被成功利用后会对应用系统所造成的影响,危害性包括机密属性、完整属性和可用属性;机密属性指的是限定给特定权限的用户才能访问的信息,以及防止未授权的信息泄露;完整属性指的是信息的可信度和真实性;可用属性指的是对信息资源的访问能力,如对资源组件消耗网络带宽、处理器周期或磁盘空间等。而确定危害性得分可以分为四个等级分别为高中低无四个等级,每个等级对应不同的分数,例如,高对应三分,中对应二分,低对应一分,无对应零分。而接下来的任务便是如何确定此漏洞的危害性处于哪一个等级,因此具体的确定危害性等级的方式可以是:若漏洞对系统机密属性未造成任何影响;且对系统完整属性未造成任何影响;且对系统可用属性未造成任何影本文档来自技高网...
【技术保护点】
1.一种信息安全漏洞等级确定方法,其特征在于,包括:/n确定漏洞的基础特征得分,所述基础特征得分包括危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分;/n根据所述危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分,确定所述漏洞的评分;/n基于预先构建的评分与等级的关联关系,根据所述漏洞的评分,确定所述漏洞的等级。/n
【技术特征摘要】
1.一种信息安全漏洞等级确定方法,其特征在于,包括:
确定漏洞的基础特征得分,所述基础特征得分包括危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分;
根据所述危害性的得分、重复性的得分、可利用性的得分、受影响度的得分和发现系数的得分,确定所述漏洞的评分;
基于预先构建的评分与等级的关联关系,根据所述漏洞的评分,确定所述漏洞的等级。
2.根据权利要求1所述的信息安全漏洞等级确定方法,其特征在于,所述危害性包括机密属性、完整属性和可用属性;
对应的,确定漏洞危害性的得分,包括:
分别确定所述漏洞对所述机密属性、所述完整属性和所述可用属性的影响级别;
根据单一所述影响级别或所述影响级别的组合,确定漏洞的危害性得分。
3.根据权利要求1所述的信息安全漏洞等级确定方法,其特征在于,所述确定漏洞重复性的得分,包括:
获取漏洞的重现指标和时间周期指标;
根据所述重现指标和所述时间周期指标,确定所述漏洞重复性的得分。
4.根据权利要求1所述的信息安全漏洞等级确定方法,其特征在于,所述确定漏洞可利用性的得分,包括:
检测所述漏洞被利用的复杂程度指标;
根据所述复杂程度指标,确定漏洞可利用性的得分。
5.根据权利要求1所述的信息安全漏洞等级确定方法,其特征在于,所述确定漏洞受影响度的得分,包括:
识别所述漏洞的操作权限指标;
根据所述操作权限指标,确定漏洞受影响度的得分。
6.根据权利要求1所述的信息安全漏洞等级确定方法,其特征在于,所述确定漏洞发现系数的得分,包括:
捕捉所述漏洞被发现的难易程度...
【专利技术属性】
技术研发人员:王俊豪,
申请(专利权)人:上海中通吉网络技术有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。