一种安全服务厂商能力的检验方法技术

本发明专利技术公开了一种安全服务厂商能力的检验方法，包括：针对目标系统，将标杆单位自动化和人工渗透两种方式的检测结果作为标杆漏洞集，对检测结果的原始漏洞分按百分制进行转换，得到漏洞基准分和偏差基准分，然后对3种影响检测难度的因素按2种分类进行排列组合，在靶场中部署从易到难8种检测难度的目标系统，再由安全服务厂商对不同检测难度的目标系统进行检测，根据检测发现的有效漏洞和无效漏洞，进行加分、扣分计算，对不同检测难度下的得分进行平均，对照能力等级划分表得到安全服务厂商能力的检验结果。本发明专利技术通过改变目标系统的安全检测难度，将检测结果作为能力检验的依据，为网络运营单位选择安全服务厂商提供了较为客观的参考。为客观的参考。为客观的参考。

【技术实现步骤摘要】
一种安全服务厂商能力的检验方法


[0001]本专利技术涉及网络安全检测
，具体涉及一种安全服务厂商能力的检验方法。

技术介绍

[0002]为有效应对日益复杂的网络安全形势，降低网络安全风险，提高网络安全防护水平，很多企业都选择借助外部力量，选择安全服务厂商提供安全相关设备和安全服务。部分大型企业成立了自己的网络安全研究中心，开展网络安全攻击、防护技术研究，但因安全研究中心人员数量有限，安全服务覆盖范围有限，无法满足内部企业大量的网络安全建设、运维需求，仍需要借助外部力量。
[0003]企业面对众多安全服务厂商提供的多样化的安全产品和全方位的安全服务，由于缺少网络安全技术人才或者安全人员的技术水平有限，不知道安全厂商在网络攻防及漏洞研究方面技术实力，很难对安全服务厂商的能力进行正确的判断，在进行选择时经常陷入被动的局面，最终没有选择到符合要求的安全服务厂商，使很多企业遭受了较大的经济损失，且未能达到安全建设及运维的目标，甚至可能影响业务系统的正常运行。因此，对安全服务厂商的能力进行检验，成为很多企业越来越迫切的需求。

技术实现思路

[0004]为了解决上述现有的技术问题，本专利技术提供了一种安全服务厂商能力的检验方法。其目的是采用客观的方法对安全服务厂商的能力进行检验，特别是针对特定行业的服务能力，为网络安全运营单位提供参考。
[0005]为达到上述目的，本专利技术采用如下技术方案：
[0006]一种安全服务厂商能力的检验方法，包括：针对目标系统，将标杆单位自动化和人工渗透两种方式的检测结果作为标杆漏洞集，对检测结果的原始漏洞分按百分制进行转换，得到漏洞基准分和偏差基准分，然后对3种影响检测难度的因素按2种分类进行排列组合，在靶场中部署从易到难8种检测难度的目标系统，再由安全服务厂商对不同检测难度的目标系统进行检测，根据检测发现的有效漏洞和无效漏洞，进行加分、扣分计算，对不同检测难度下的得分进行平均，对照能力等级划分表得到安全服务厂商能力的检验结果。
[0007]本专利技术进一步的改进在于，具体包括以下步骤：
[0008](1)选定目标系统，确定标杆单位，在标杆单位提供目标系统的完整信息且关闭目标系统防护策略的条件下，将标杆单位的对目标系统的安全检测结果作为标杆漏洞集，检测结果包括自动化检测和人工渗透测试两种方式检测的漏洞，漏洞按危险级别包括高危、中危、低危，漏洞原始分为CVSS评分；
[0009]对标杆单位两种检测方式发现的漏洞原始评分按百分制进行转换，自动化检测的漏洞依靠自动化扫描工具，人工渗透测试检测的漏洞价值更高，对自动化检测的漏洞总分按30转换，人工渗透测试检测的漏洞总分按70转换，得到三种级别漏洞的基准分；
[0010](2)决定目标系统检测难度的因素共有三个，包括信息程度多少、防护策略开启情况和漏洞安全加固情况；对3个因素按2个分类进行组合，利用攻防靶场能快速搭建试验网络的特点，部署从易到难8种检测难度级别的目标系统；(3)从8种检测难度中选择L种，要求L≥3，安服务厂商安排检测人员对其中一种检测难度的目标系统进行自动化检测及人工渗透两种方式的安全检测，在规定的时间内完成检测，对于检测发现的漏洞，要求提供漏洞利用方式，进行漏洞有效性验证后，得到有效漏洞集和无效漏洞集；有效漏洞集中的漏洞可能在标杆漏洞集中，也可能超出标杆漏洞集，对于包含在标杆漏洞集集中的漏洞，累加(2)中的漏洞基准分，对于超出标杆漏洞集的漏洞，按偏差基准分进行加分；对无效由漏洞集中的漏洞，按偏差基准分进行扣分，得到安全服务厂商对应检测难度的得分；
[0011]对第j检测难度，安全服务厂商自动化检测方式得分：
[0012][0013]其中：u、v、v分别为安全服务厂商以自动化方式检测的包含在标杆漏洞集中的低危、中威、高位漏洞数，u'、v'、w'为安全服务厂商以自动化方式检测的不包含在标杆漏洞集中的低危、中威、高位漏洞数，u”、v”、w”为安全服务厂商以自动化方式检测结果中的无效的低危、中威、高位漏洞数；
[0014]对第j检测难度，安全服务厂商人工渗透检测方式得分：
[0015][0016]其中：r、s、t分别为安全服务厂商以人工渗透方式检测的包含在标杆漏洞集中的低危、中威、高位漏洞数，r'、s'、t'为安全服务厂商以人工渗透方式检测的不包含在标杆漏洞集中的低危、中威、高位漏洞数，r”、s”、t”为安全服务厂商以人工渗透方式检测结果中的无效的低危、中威、高位漏洞数；
[0017]对第j检测难度，安全服务厂商得分：
[0018]p
j
＝g
j
+h
j
ꢀꢀ
(21)
[0019](4)为减少检测结果的随机性，对N种检测难度的得分进行算数平均，得到安全厂商能力检验的最终得分；
[0020][0021]由安全服务厂商最终得分λ对照能力等级划分表，得到安全服务厂商的能力检验结果。
[0022]本专利技术进一步的改进在于，步骤(1)中，自动化方式检测的第i个漏洞基准分计算：
[0023][0024][0025][0026]其中：m、n、k分别为标杆单位以自动化方式检测的低危、中危、高危漏洞数，A
i
、B
i
、C
i
分别为标杆单位以自动化方式检测的单个低危、中危、高危漏洞原始分，a
i
、b
i
、c
i
为分别为标杆单位以自动化方式检测的单个低危、中危、高危漏洞基准分；
[0027]自动化方式检测的偏差基准分计算：
[0028]当m>0时，
[0029][0030]当m＝0时，
[0031][0032]当n>0时，
[0033][0034]当n＝0时，
[0035][0036]当k>0时，
[0037][0038]当k＝0时，
[0039][0040]其中：a'、b'、c'分别为标杆单位以自动化方式检测的低危、中危、高危级别漏洞偏差基准分。
[0041]本专利技术进一步的改进在于，步骤(1)中，人工渗透方式检测的第i个漏洞基准分计算：
[0042][0043][0044][0045]其中：其中：x、y、z分别为标杆单位以人工渗透方式检测的低危、中危、高危漏洞数，D
i
、E
i
、F
i
分别为标杆单位以人工渗透方式检测的单个低危、中危、高危漏洞原始分，d
i
、e
i
、f
i
为分别为标杆单位以人工渗透方式检测的单个低危、中危、高危漏洞基准分；
[0046]人工渗透方式检测的偏差基准分计算：
[0047]当x>0时，
[0048][0049]当x＝0时，
[0050][0051]当y>0时，
[0052][0本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全服务厂商能力的检验方法，其特征在于，包括：针对目标系统，将标杆单位自动化和人工渗透两种方式的检测结果作为标杆漏洞集，对检测结果的原始漏洞分按百分制进行转换，得到漏洞基准分和偏差基准分，然后对3种影响检测难度的因素按2种分类进行排列组合，在靶场中部署从易到难8种检测难度的目标系统，再由安全服务厂商对不同检测难度的目标系统进行检测，根据检测发现的有效漏洞和无效漏洞，进行加分、扣分计算，对不同检测难度下的得分进行平均，对照能力等级划分表得到安全服务厂商能力的检验结果。2.根据权利要求1所述的一种安全服务厂商能力的检验方法，其特征在于，具体包括以下步骤：(1)选定目标系统，确定标杆单位，在标杆单位提供目标系统的完整信息且关闭目标系统防护策略的条件下，将标杆单位的对目标系统的安全检测结果作为标杆漏洞集，检测结果包括自动化检测和人工渗透测试两种方式检测的漏洞，漏洞按危险级别包括高危、中危、低危，漏洞原始分为CVSS评分；对标杆单位两种检测方式发现的漏洞原始评分按百分制进行转换，自动化检测的漏洞依靠自动化扫描工具，人工渗透测试检测的漏洞价值更高，对自动化检测的漏洞总分按30转换，人工渗透测试检测的漏洞总分按70转换，得到三种级别漏洞的基准分；(2)决定目标系统检测难度的因素共有三个，包括信息程度多少、防护策略开启情况和漏洞安全加固情况；对3个因素按2个分类进行组合，利用攻防靶场能快速搭建试验网络的特点，部署从易到难8种检测难度级别的目标系统；(3)从8种检测难度中选择L种，要求L≥3，安服务厂商安排检测人员对其中一种检测难度的目标系统进行自动化检测及人工渗透两种方式的安全检测，在规定的时间内完成检测，对于检测发现的漏洞，要求提供漏洞利用方式，进行漏洞有效性验证后，得到有效漏洞集和无效漏洞集；有效漏洞集中的漏洞可能在标杆漏洞集中，也可能超出标杆漏洞集，对于包含在标杆漏洞集集中的漏洞，累加(2)中的漏洞基准分，对于超出标杆漏洞集的漏洞，按偏差基准分进行加分；对无效由漏洞集中的漏洞，按偏差基准分进行扣分，得到安全服务厂商对应检测难度的得分；对第j检测难度，安全服务厂商自动化检测方式得分：其中：u、v、v分别为安全服务厂商以自动化方式检测的包含在标杆漏洞集中的低危、中威、高位漏洞数，u'、v'、w'为安全服务厂商以自动化方式检测的不包含在标杆漏洞集中的低危、中威、高位漏洞数，u”、v”、w”为安全服务厂商以自动化方式检测结果中的无效的低危、中威、高位漏洞数；对第j检测难度，安全服务厂商人工渗透检测方式得分：其中：r、s、t分别为安全服务厂商以人工渗透方式检测的包含在标杆漏洞集中的低危、中威、高位漏洞数，r'、s'、t'为安全服务厂商以人工渗透方式检测的不包含在标杆漏洞集中的低危、中威、高位漏洞数，r”、s”、t”为安全服务厂商以人工渗透方式检测结果中的无效
的低危、中威、高位漏洞数；对第j检测难度，安全服务厂商得分：p
j
＝g
j
+h
j
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(21)(4)为减少检测结果的随机性，对N种检测难度的得分进行算数平均，得到安全厂商能力检验的最终得分；由安全服务厂商最终得分λ对照能力等级划分表，...

【专利技术属性】
技术研发人员：刘超飞，郭云，刘迪，肖立炀，崔逸群，毕玉冰，朱博迪，曾荣汉，王文庆，邓楠轶，
申请(专利权)人：华能集团技术创新中心有限公司，
类型：发明
国别省市：