本发明专利技术公开了对计算机的安全风险进行评估的安全风险评估方法,包括步骤:获取计算机中存在的一个或者多个安全漏洞;根据安全漏洞的危险程度为每个安全漏洞分配风险等级;逐个等级地计算每个风险等级的安全风险评估值,直到计算了计算机中的安全漏洞所具有的最高风险等级为止;以及基于最高风险等级的安全风险评估值来确定所述计算机的安全风险值。本发明专利技术还公开了用于执行安全风险评估方法的安全风险评估设备。
【技术实现步骤摘要】
本专利技术涉及计算机信息安全领域,尤其涉及用于对计算机的安全状况进行评估的计算机安全风险评估设备和方法。
技术介绍
对于计算机系统来说,由于计算机系统中的硬件、软件和/或协议的具体实现或系统安全策略上存在有缺陷,可以使攻击者在未授权的情况下访问或破坏计算机系统。这些缺陷也被称为计算机漏洞。一些处于网络中的计算机由于存在漏洞而存在有网络威胁。 随着计算机网络的快速发展,通过计算机网络提供各种服务的计算机系统也越来越普及, 而这些计算机系统所存在的漏洞所导致的损失也就越大。目前,存在各种网络漏洞扫描类产品,旨在从攻防角度对计算机系统进行漏洞扫描,以便找出计算机系统中脆弱或者存在漏洞的地方,以便进行安全加固。由漏洞扫描工具对计算机系统进行漏洞扫描时,需要对扫描结果进行分析,从而对计算机系统的安全风险进行评估。然而,目前的计算机系统风险评估方法要么是基于入侵检测结果进行分析,要么是直接对服务器的风险进行评估。这些方法都没有直接对系统的漏洞进行分析,都不能很好的反映一个计算机系统的安全风险情况,甚至有时候错误地给出了评估结果。因此,需要一种可以准确地基于漏洞分析的结果来对计算机系统的安全风险情况给出评估的计算机安全风险评估方方式。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决或者减缓上述问题的漏洞检测设备和方法。根据本专利技术的一个方面,提供了一种对计算机的安全风险进行评估的安全风险评估方法,包括步骤获取计算机中存在的一个或者多个安全漏洞;根据安全漏洞的危险程度为一个或者多个安全漏洞中的每个分配风险等级,其中每个风险等级具有对应的风险等级值,且风险等级值越高,漏洞越危险;从最低的风险等级开始,逐个等级地计算每个风险等级的安全风险评估值,直到计算了计算机中的安全漏洞所具有的最高风险等级为止;以及基于最高风险等级的安全风险评估值来确定所述计算机的安全风险值,其中计算每个风险等级的安全风险评估值包括为该风险等级确定该风险等级的初始风险值,该初始风险值取决于上一风险等级的安全风险评估值和是否存在属于该风险等级的安全漏洞;以及根据该风险等级的初始风险值来确定该风险等级的安全风险评估值,其中该风险等级的安全风险评估值还取决于属于该风险等级的安全漏洞数量。根据本专利技术的另一个方面,提供了一种对计算机的安全风险进行评估的安全风险评估设备,包括漏洞获取装置,获取所述计算机中存在的一个或者多个安全漏洞;漏洞分级装置,根据安全漏洞的危险程度为所述一个或者多个安全漏洞中的每个分配风险等级, 其中每个风险等级具有对应的风险等级值,且风险等级值越高,漏洞越危险;以及主机风险确定装置,用于根据所述一个或者多个安全漏洞以及相应的风险等级来确定所述计算机的安全风险值,该主机风险确定装置包括初始值计算装置,用于为某个风险等级确定该风险等级的初始风险值,该初始风险值取决于上一风险等级的安全风险评估值和是否存在属于该风险等级的安全漏洞;等级值计算装置,用于根据该风险等级的初始风险值来确定该风险等级的安全风险评估值,其中该风险等级的安全风险评估值还取决于属于该风险等级的安全漏洞数量;以及主机值确定装置,用于基于最高风险等级的安全风险评估值来确定所述计算机的安全风险值。根据本专利技术的方法和设备可以为目标计算机提供一个直观且全面地反映该目标计算机的风险程度的安全风险值。由本专利技术的方法和设备提供的安全风险值不仅取决于漏洞的数量,而且还取决于漏洞的风险程度。具体而言,漏洞数越多,给目标计算机带来的安全风险也越大。当存在较高级别的安全漏洞时,目标计算机系统的安全性受到更大的威胁, 其安全风险会较大。总的趋势来说,计算机安全风险曲线走势是一个对数曲线。当安全漏洞数量增加到一定程度后,整个计算机就处在一个极度不安全的状态,这个时候漏洞数的变化对计算机风险的影响就会比较小,所以漏洞数有一个极限值,计算机风险值会收敛在这个漏洞数上。收敛速度根据漏洞风险值的高低有所不同,低风险值的漏洞对漏洞利用成功和危害都比较小,需要较多的漏洞才会对系统有大的影响,所以收敛速度就会小。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中图1示出了根据本专利技术一个实施例的安全风险评估方法; 图2示出了根据本专利技术一个实施例的安全风险评估设备;图3示出了根据本专利技术一个实施例的某个安全风险等级的安全风险评估值与该风险等级中的漏洞数量的关系;以及图4示出了根据本专利技术一个实施例的计算机安全风险值和该计算机中存在的安全漏洞之间的关系。具体实施例方式下面结合附图和具体的实施方式对本专利技术作进一步的描述。图1示出了根据本专利技术一个实施例的安全风险评估方法100。如图1所示,该方法100始于步骤S110,其中尽可能多地获取目标计算机中存在的一个或者多个安全漏洞。这可以通过目前已知的任意方式来进行,例如可以利用现有的安全扫描工具对目标计算机进行各种安全扫描,包含端口扫描、服务识别、操作系统识别等,以便尽量多的收集到目标主机存在的安全漏洞。随后,在步骤S120中,根据安全漏洞的危险程度为所收集到的安全漏洞中的每个安全漏洞分配风险等级。可以根据漏洞利用方式、利用成功率、传播范围、危害程度、漏洞之间的依赖性等,来对各个安全漏洞进行评估,并给出一个风险等级。每个风险等级具有相应的风险等级值。根据本专利技术的一个实施例,风险等级分为10级,每个风险等级具有相应的风险等级值,即风险等级1具有风险等级值1,并以此类推,即风险等级值为范围在1-10之间的整数。安全漏洞所处的风险等级的风险等级值越大,说明这个安全漏洞越有可能被利用,而且带来的危害程度就越大,对目标计算机来说安全风险就越大。目前存在有多种给安全漏洞分配风险等级的方式。例如在由NIAC开发、HRST维护的CVSS (通用弱点评价体系,http://www. first, org/cvss/cvss-guide. html)中提供了一种对安全漏洞进行风险等级分级的工业标准。在步骤S120中对目标计算机所存在的各个安全漏洞进行分级之后,在步骤 S130-170中,从最低的风险等级开始,逐个等级地计算每个风险等级的安全风险评估值,直到计算了所述计算机中的安全漏洞所具有的最高风险等级为止。具体而言,在步骤S130中,将当前要处理的安全风险等级设置为最低的安全风险等级,即将当前的安全风险等级η设置为1。随后在步骤S140中,为当前安全风险等级确定其初始风险值Vn,μ该初始风险值取决于上一个风险等级的安全风险评估值Vlri,以及是否存在属于该风险等级η的安全漏洞。一般而言,如果存在属于该风险等级η的安全漏洞,初始风险值Vn,^会相对大些。另外, Vn^1越大,初始风险值Vn,C1也就越大。根据本专利技术的一个实施方式,首先将初始风险值Vn,^设置为η,然后如果存在属于当前风险等级η的安全漏洞,则在该风险等级的初始风险值\’0上还加上与上一风险等级的安全风险评估值Vlri相关的一个值,一般而言,该值随着Vlri变大而变大,但是不会超过 1,更可取的是不超过0.3。可选地,根据本专利技术的一个本文档来自技高网...
【技术保护点】
1.一种对计算机的安全风险进行评估的安全风险评估方法,包括步骤:获取所述计算机中存在的一个或者多个安全漏洞;根据安全漏洞的危险程度为所述一个或者多个安全漏洞中的每个分配风险等级(n),其中每个风险等级具有对应的风险等级值,且风险等级值越高,漏洞越危险;从最低的风险等级开始,逐个等级地计算每个风险等级的安全风险评估值(Vn),直到计算了所述计算机中的安全漏洞所具有的最高风险等级为止;以及基于所述最高风险等级的安全风险评估值来确定所述计算机的安全风险值(Vh),其中所述计算每个风险等级的安全风险评估值(Vn)包括:为该风险等级确定该风险等级的初始风险值(Vn,0),该初始风险值取决于上一风险等级的安全风险评估值(Vn-1)和是否存在属于该风险等级的安全漏洞;以及根据该风险等级的初始风险值(Vn,0)来确定该风险等级的安全风险评估值(Vn),其中该风险等级的安全风险评估值还取决于属于该风险等级的安全漏洞数量(Nn)。
【技术特征摘要】
【专利技术属性】
技术研发人员:张增骏,
申请(专利权)人:北京神州绿盟信息安全科技股份有限公司,
类型:发明
国别省市:11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。