【技术实现步骤摘要】
本专利技术涉及网络安全,具体涉及一种基于风险暴露面的网络安全评估方法、系统、设备及介质。
技术介绍
1、在网络安全行业蓬勃发展的背景下,其商业化分支之一是网络安全保险的出现,网络安全保险行业中,安全服务供应商需要同时向保险公司和投保企业提供服务,投保企业的整体安全水平的评估与量化是重要基础。当前现有的主流评估方法步骤为:在给定的范畴内对待投保企业进行渗透测试,在风险暴露面反馈的漏洞种类及数量分布的基础上,使用计算模型来映射得到关键节点分数以及最终分数。
2、目前渗透测试的分类与实施已经相对成熟,而如何对风险暴露面进行组织以描述企业的安全水平则是现在需要解决的问题,随着行业发展,网络态势变化,已有的评估方法逐渐出现了稳定性低、一致性弱、可解释性差、层级复杂、相关性模糊等缺点,使得不能准确的对企业网络安全进行评估。例如中国专利cn114553517a公开了一种非线性加权的网络安全评估方法、装置、设备和存储介质,评估方法包括:给每个指标结合其实际严重程度以及实际扫描的数量赋予数量累积因子,计算得到单个指标的扣分。对于给定安全场景和严重度形成的45个二元组,根据其单个指标扣分,通过对指标进行加权计算,分别得到45个二元组的打分;通过对45个二元组分别赋予权重,对于每个安全场景,基于其对应的5个二元组,通过权重加权,计算得到该网络场景分数;对于每个严重程度,基于其对应的9个二元组,通过权重加权,计算得到每个严重程度的分数;通过每个网络场景的分数,结合对五个严重程度赋予的权重,计算得到该企业的最终分数。该评估方法的先进之处在于能
3、1.基于安全经验选取安全指标,通过非线性加权的方式来反映企业的网络安全水平,其只考虑了企业存在的具体风险,没有考虑资产数和端口数增加带来的风险暴露面扩大的潜在影响。
4、2.在设计时主要从安全角度出发选择安全指标和设计参数,没有考虑实际样本中包含的更多信息,使得评估结果不够准确。
5、3.45个二元组中每一个二元组都具有与之对应的权重,权重的大小与该二元组的指标数量成正比,即拥有越多细分指标的二元组的权重越高,这会导致二元组的权重和严重程度相左的现象,例如网络安全高危指标数远少于网络安全中危指标数,那么网络安全高危的权重就会低于网络安全中危的权重,这种权重分配方式显然不合理。
6、4.该方法具有过于主观的问题,在计算层级中权重的确定多是依靠专家经验,在指标数较少的时候主观打分较为合理,但当指标体系扩充,未能背靠一个客观方法的指标赋权会出现矛盾,且缺失调整的依据。
技术实现思路
1、为了解决在对企业网络安全进行评估时,现有方法没有考虑资产数和端口数增加后带来的风险暴露面扩大的潜在影响,以及权重分配不合理和过度依赖专家经验而导致的评估结果不准确的技术问题,本专利技术公开了一种基于风险暴露面的网络安全评估方法、系统、设备及介质。
2、实现专利技术目的的技术方案如下:
3、本专利技术实施例提供了一种基于风险暴露面的网络安全评估方法,包括:
4、s100、使用统计分析方法,依据渗透扫描得到的样本数据,对预设指标体系降维得到核心指标体系,其中,所述样本数据包括多个企业样本的风险暴露面,所述风险暴露面包括所述预设指标体系中每个基础指标的问题扫出数,所述核心指标体系包括多个核心指标;
5、s200、依据每个所述企业样本中每个所述核心指标的问题扫出数和每个所述核心指标在其所属的严重度层中的严重度,为所述核心指标体系中每个所述核心指标赋予计算权重;
6、s300、通过所述核心指标体系中每个所述核心指标的严重度和待评估企业的风险暴露面,采用负面累积函数计算得到所述待评估企业的每个所述核心指标的单指标得分,其中,所述待评估企业的风险暴露面包括每个所述核心指标的问题实际扫出数和每个所述核心指标在每个子域名的问题实际扫出数;
7、s400、依据所述待评估企业的所述风险暴露面中端口实际扫出数、子域名实际扫出数和每个所述核心指标的问题实际扫出数给定第一惩罚系数,使用所述计算权重、所述单指标得分和所述第一惩罚系数,进行加权计算得到所述待评估企业的网络安全评估总分。
8、在一个改进的实施例中,上述基于风险暴露面的网络安全评估方法还包括:
9、s500、根据所述待评估企业的所述风险暴露面中端口实际扫出数、子域名实际扫出数和每个安全维度中每个所述核心指标的问题实际扫出数,给定第二惩罚系数;
10、根据所述计算权重和所述单指标得分,计算每个安全维度中每个严重度层的分数,对每个安全维度中所有严重度层的分数进行加权计算,得到每个安全维度的加权分数;
11、使用每个安全维度的加权分数和所述第二惩罚系数,进行加权计算得到所述待评估企业的每个安全维度的得分,其中,所述安全维度包括网络安全、域名安全、ip声誉、应用安全、端口安全、资产暴露、数据安全和补丁漏洞。
12、本专利技术实施例还提供了一种基于风险暴露面的网络安全评估系统,包括:
13、核心指标体系建立模块,用于使用统计分析方法,依据渗透扫描得到的样本数据,对预设指标体系降维得到核心指标体系;
14、计算权重获取模块,用于依据每个所述企业样本中每个所述核心指标的问题扫出数和每个所述核心指标在其所属的严重度层中的严重度,为所述核心指标体系中每个所述核心指标赋予计算权重;
15、单指标得分计算模块,用于通过所述核心指标体系中每个所述核心指标的严重度和待评估企业的风险暴露面,采用负面累积函数计算得到所述待评估企业的每个所述核心指标的单指标得分,其中,所述待评估企业的风险暴露面包括每个所述核心指标的问题实际扫出数和每个所述核心指标在每个子域名的问题实际扫出数;
16、总分计算模块,用于依据所述待评估企业的所述风险暴露面中端口实际扫出数、子域名实际扫出数和每个所述核心指标的问题实际扫出数给定第一惩罚系数,使用所述计算权重、所述单指标得分和所述第一惩罚系数,进行加权计算得到所述待评估企业的网络安全评估总分。
17、在一个改进的实施例中,上述基于风险暴露面的网络安全评估系统还包括:
18、安全维度得分计算模块,用于根据所述待评估企业的所述风险暴露面中端口实际扫出数、子域名实际扫出数和每个安全维度中每个所述核心指标的问题实际扫出数,给定第二惩罚系数;根据所述计算权重和所述单指标得分,计算每个安全维度中每个严重度层的分数,对每个安全维度中所有严重度层的分数进行加权计算,得到每个安全维度的加权分数;使用每个安全维度的加权分数和所述第二惩罚系数,进行加权计算得到所述待评估企业的每个安全维度的得分,其中,所述安全维度包括网络安全、域名安全、ip声誉、应用安全、端口安全、本文档来自技高网...
【技术保护点】
1.一种基于风险暴露面的网络安全评估方法,其特征在于,包括:
2.根据权利要求1所述的基于风险暴露面的网络安全评估方法,其特征在于,所述使用统计分析方法,依据渗透扫描得到的样本数据,对预设指标体系降维得到核心指标体系,包括:
3.根据权利要求2所述的基于风险暴露面的网络安全评估方法,其特征在于,还包括:
4.根据权利要求1所述的基于风险暴露面的网络安全评估方法,其特征在于,所述依据每个所述企业样本中每个所述核心指标的问题扫出数和每个所述核心指标在其所属的严重度层中的严重度,为所述核心指标体系中每个所述核心指标赋予计算权重,包括:
5.根据权利要求4所述的基于风险暴露面的网络安全评估方法,其特征在于,依据每个所述核心指标的所述熵权权重、所述扫出率、所述一级权重和所述二级权重,采用如下公式计算得到每个所述核心指标的未归一化权重:
6.根据权利要求1所述的基于风险暴露面的网络安全评估方法,其特征在于,所述依据所述待评估企业的所述风险暴露面中端口实际扫出数、子域名实际扫出数和每个所述核心指标的问题实际扫出数给定第一惩罚系数,使用
7.根据权利要求1所述的基于风险暴露面的网络安全评估方法,其特征在于,还包括:
8.一种基于风险暴露面的网络安全评估系统,其特征在于,包括:
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的基于风险暴露面的网络安全评估方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1至7中任一项所述的基于风险暴露面的网络安全评估方法的计算机程序。
...【技术特征摘要】
1.一种基于风险暴露面的网络安全评估方法,其特征在于,包括:
2.根据权利要求1所述的基于风险暴露面的网络安全评估方法,其特征在于,所述使用统计分析方法,依据渗透扫描得到的样本数据,对预设指标体系降维得到核心指标体系,包括:
3.根据权利要求2所述的基于风险暴露面的网络安全评估方法,其特征在于,还包括:
4.根据权利要求1所述的基于风险暴露面的网络安全评估方法,其特征在于,所述依据每个所述企业样本中每个所述核心指标的问题扫出数和每个所述核心指标在其所属的严重度层中的严重度,为所述核心指标体系中每个所述核心指标赋予计算权重,包括:
5.根据权利要求4所述的基于风险暴露面的网络安全评估方法,其特征在于,依据每个所述核心指标的所述熵权权重、所述扫出率、所述一级权重和所述二级权重,采用如下公式计算得到每个所述核心指标的未归一化权重:
6.根据权利要求1所述...
【专利技术属性】
技术研发人员:丁媛媛,陈洁如,陈幼雷,杨君正,李昆,胡维,梁露露,
申请(专利权)人:北京源堡科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。