安全评估方法、装置、设备及存储介质制造方法及图纸

本发明专利技术公开了一种安全评估方法、装置、设备及存储介质，该方法包括：根据待评估系统中各设备的设备标签与攻防漏洞知识库中的安全漏洞信息生成漏洞映射数据库；根据漏洞映射数据库和所述待评估系统的网络拓扑结构确定攻击链路；根据攻击链路对待评估系统进行安全评估，获得待评估系统的安全评估指标。由于本发明专利技术是根据待评估系统中各设备的设备标签与攻防漏洞知识库中的安全漏洞信息生成漏洞映射数据库，根据漏洞映射数据库和待评估系统的网络拓扑结构生成攻击链路，根据攻击链路进行安全评估，获得安全评估结果，解决了现有技术中基于防御者的角度进行安全评估导致评估结果片面且准确度低的技术问题，提高了待评估系统安全评估的准确度。安全评估的准确度。安全评估的准确度。

【技术实现步骤摘要】
安全评估方法、装置、设备及存储介质


[0001]本专利技术涉及网络安全
，尤其涉及一种安全评估方法、装置、设备及存储介质。

技术介绍

[0002]当前，对网络环境进行安全风险评估的主要手段是基于现有的网络安全标准进行合规分析和差距分析，根据合规分析和差距分析的结果来推断有可能导致的网络环境的安全“脆弱性”，以及这些安全“脆弱性”被利用的可能性和造成危害的程度，现有技术中主要是站在防御者的角度来对网络环境进行被动的安全风险评估，不能全面准确的对网络环境的安全风险进行准确评估。
[0003]上述内容仅用于辅助理解本专利技术的技术方案，并不代表承认上述内容是现有技术。

技术实现思路

[0004]本专利技术的主要目的在于提供了一种安全评估方法、装置、设备及存储介质，旨在解决现有技术站在防御者的角度对网络环境进行安全评估，导致评估结果不全面且准确度低的技术问题。
[0005]为实现上述目的，本专利技术提供了一种安全评估方法，所述方法包括以下步骤:
[0006]根据待评估系统中各设备的设备标签与攻防漏洞知识库中的安全漏洞信息生成所述待评估系统的漏洞映射数据库；
[0007]根据所述漏洞映射数据库和所述待评估系统的网络拓扑结构确定所述待评估系统的攻击链路；
[0008]根据所述攻击链路对所述待评估系统进行安全评估，获得所述待评估系统的安全评估指标。
[0009]可选地，所述根据待评估系统中各设备的设备标签与攻防漏洞知识库中的安全漏洞信息生成所述待评估系统的漏洞映射数据库之前，所述方法还包括：
[0010]从预设漏洞管理平台采集工控设备的平台安全漏洞信息，并从所述平台安全漏洞信息中读取对应的工控设备信息；
[0011]根据所述工控设备信息和预设CPE命名规则生成工控设备标签；
[0012]从所述平台安全漏洞信息中读取安全漏洞数据，并根据所述工控设备标签和对应的安全漏洞数据生成攻防漏洞知识库。
[0013]可选地，所述根据待评估系统中各设备的设备标签与攻防漏洞知识库中的安全漏洞信息生成所述待评估系统的漏洞映射数据库，包括：
[0014]通过待评估系统中各设备的设备标签与攻防漏洞知识库中的安全漏洞信息进行匹配；
[0015]根据匹配成功的安全漏洞信息生成漏洞映射数据库。
[0016]可选地，所述根据所述漏洞映射数据库和所述待评估系统的网络拓扑结构确定所述待评估系统的攻击链路，包括：
[0017]根据所述漏洞映射数据库确定所述待评估系统的网络拓扑结构中各设备节点对应的漏洞数据；
[0018]根据各设备节点对应的漏洞数据对所述网络拓扑结构进行攻击链路可达遍历生成所述待评估系统的攻击链路。
[0019]可选地，所述根据所述攻击链路对所述待评估系统进行安全评估，获得所述待评估系统的安全评估指标，包括：
[0020]根据所述漏洞映射数据库通过预设安全漏洞评分系统确定所述待评估系统的安全漏洞评分；
[0021]根据所述攻击链路和所述网络拓扑结构确定所述待评估系统的攻击链路评分；
[0022]根据所述安全漏洞评分和所述攻击链路评分确定所述待评估系统的安全评估指标。
[0023]可选地，所述根据所述漏洞映射数据库通过预设安全漏洞评分系统确定所述待评估系统的安全漏洞评分，包括：
[0024]根据所述漏洞映射数据库通过安全漏洞评分系统确定所述待评估系统中各设备对应的漏洞评分；
[0025]获取所述待评估系统中的各设备的权重等级和各权重等级对应的设备数量，并根据所述设备数量确定各设备的漏洞基础评分；
[0026]根据所述漏洞评分和所述漏洞基础评分确定各设备的设备漏洞评分；
[0027]根据所述设备漏洞评分和所述权重等级确定所述待评估系统的安全漏洞评分。
[0028]可选地，所述根据所述漏洞评分和所述漏洞基础评分确定各设备的设备漏洞评分，包括：
[0029]根据所述漏洞评分和所述漏洞基础评分通过第一预设公式确定各设备的设备漏洞评分；
[0030]其中，所述第一预设公式为：
[0031][0032]式中，L为设备漏洞评分，L
base
为漏洞基础评分，Cvss为漏洞评分。
[0033]此外，为实现上述目的，本专利技术还提出一种安全评估装置，所述装置包括：
[0034]生成模块，用于根据待评估系统中各设备的设备标签与攻防漏洞知识库中的安全漏洞信息生成所述待评估系统的漏洞映射数据库；
[0035]确定模块，用于根据所述漏洞映射数据库和所述待评估系统的网络拓扑结构确定所述待评估系统的攻击链路；
[0036]评估模块，用于根据所述攻击链路对所述待评估系统进行安全评估，获得所述待评估系统的安全评估指标。
[0037]此外，为实现上述目的，本专利技术还提出一种安全评估设备，所述设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的安全评估程序，所述安全评估程序配置为实现如上文所述的安全评估方法的步骤。
[0038]此外，为实现上述目的，本专利技术还提出一种存储介质，所述存储介质上存储有安全评估程序，所述安全评估程序被处理器执行时实现如上文所述的安全评估方法的步骤。
[0039]本专利技术根据待评估系统中各设备的设备标签与攻防漏洞知识库中的安全漏洞信息生成所述待评估系统的漏洞映射数据库；根据所述漏洞映射数据库和所述待评估系统的网络拓扑结构确定所述待评估系统的攻击链路；根据所述攻击链路对所述待评估系统进行安全评估，获得所述待评估系统的安全评估指标。由于本专利技术是根据待评估系统中各设备的设备标签与攻防漏洞知识库中的安全漏洞信息生成漏洞映射数据库，根据漏洞映射数据库和待评估系统的网络拓扑结构生成攻击链路，根据攻击链路对待评估系统进行安全评估，获得安全评估结果，解决了现有技术中基于防御者的角度进行安全评估导致评估结果片面且准确度低的技术问题，提高了待评估系统安全评估的准确度。
附图说明
[0040]图1是本专利技术实施例方案涉及的硬件运行环境的安全评估设备的结构示意图；
[0041]图2为本专利技术安全评估方法第一实施例的流程示意图；
[0042]图3为本专利技术安全评估方法第一实施例的攻击链路示意图；
[0043]图4为本专利技术安全评估方法第一实施例的对待评估系统发起网络攻击的意图；
[0044]图5为本专利技术安全评估方法第二实施例的流程示意图；
[0045]图6为本专利技术安全评估方法第三实施例的流程示意图；
[0046]图7为本专利技术安全评估装置第一实施例的结构框图。
[0047]本专利技术目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
[0048]应当理解，此处所描述的具体实施例仅用以解释本专利技术，并不用于限定本专利技术。
[0049]参照图1，图1为本专利技术实施例方案涉及的硬件运行环境的安全评估设备结构示意图。
[本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全评估方法，其特征在于，所述方法包括：根据待评估系统中各设备的设备标签与攻防漏洞知识库中的安全漏洞信息生成所述待评估系统的漏洞映射数据库；根据所述漏洞映射数据库和所述待评估系统的网络拓扑结构确定所述待评估系统的攻击链路；根据所述攻击链路对所述待评估系统进行安全评估，获得所述待评估系统的安全评估指标。2.如权利要求1所述的方法，其特征在于，所述根据待评估系统中各设备的设备标签与攻防漏洞知识库中的安全漏洞信息生成所述待评估系统的漏洞映射数据库之前，所述方法还包括：从预设漏洞管理平台采集工控设备的平台安全漏洞信息，并从所述平台安全漏洞信息中读取对应的工控设备信息；根据所述工控设备信息和预设CPE命名规则生成工控设备标签；从所述平台安全漏洞信息中读取安全漏洞数据，并根据所述工控设备标签和对应的安全漏洞数据生成攻防漏洞知识库。3.如权利要求1所述的方法，其特征在于，所述根据待评估系统中各设备的设备标签与攻防漏洞知识库中的安全漏洞信息生成所述待评估系统的漏洞映射数据库，包括：通过待评估系统中各设备的设备标签与攻防漏洞知识库中的安全漏洞信息进行匹配；根据匹配成功的安全漏洞信息生成漏洞映射数据库。4.如权利要求1所述的方法，其特征在于，所述根据所述漏洞映射数据库和所述待评估系统的网络拓扑结构确定所述待评估系统的攻击链路，包括：根据所述漏洞映射数据库确定所述待评估系统的网络拓扑结构中各设备节点对应的漏洞数据；根据各设备节点对应的漏洞数据对所述网络拓扑结构进行攻击链路可达遍历生成所述待评估系统的攻击链路。5.如权利要求1所述的方法，其特征在于，所述根据所述攻击链路对所述待评估系统进行安全评估，获得所述待评估系统的安全评估指标，包括：根据所述漏洞映射数据库通过预设安全漏洞评分系统确定所述待评估系统的安全漏洞评分；根据所述攻击链路和所述网络拓扑结构确定所述待评估系...

【专利技术属性】
技术研发人员：张伟，
申请(专利权)人：苏州三六零智能安全科技有限公司，
类型：发明
国别省市：