一種網絡安全設備的風險評估方法和裝置與流程

文檔序號：11253922閱讀：492來源：國知局

本發明涉及網絡安全技術領域，尤指一種網絡安全設備的風險評估方法和裝置。

背景技術：

目前，隨著互聯網技術的不斷發展，網絡安全問題日益突出，企業網絡中的多個位置都會部署防火墻、入侵防御系統、防病毒等安全產品，其中，企業與外網、商業合作伙伴之間的業務需求會時刻發生變化，并且公共漏洞和暴露(commonvulnerabilities&exposures，簡稱：cve)、國家信息安全漏洞共享平臺(chinanationalvulnerabilitydatabase，簡稱：cnvd)等權威機構時刻發布新發現的漏洞，這些都要求企業網絡管理人員對網絡安全設備的配置進行變更，從而保障企業網絡的安全。

現有技術中，企業網絡管理人員會通過開放防火墻某個端口，以便與商業合作伙伴進行業務交流，或者關閉某個端口，避免被某個漏洞利用等等辦法來對網絡安全設備的配置進行變更，同時通過特定的產品對網絡安全設備的配置進行核查，以便及時發現配置中的漏洞。

但是，采用現有的技術，通過特定的產品來對網絡安全設備配置結果的分析考慮并不全面，使得最終評估的結果不能準確、有效、多方面的反映網絡安全設備的安全狀態。

技術實現要素：

為了解決上述技術問題，本發明提供了一種網絡安全設備的風險評估方法和裝置，能夠更直觀、準確、有效的表明當前設備安全狀態。

為了達到本發明目的，第一方面，本發明提供了一種網絡安全設備的風險評估方法，該方法包括：

確定預定的風險庫，所述風險庫包括多條風險項；

提取出待評估設備中與所述風險項相關的有效配置信息，并根據有效配置信息的風險分析結果獲取所述待評估設備觸發的風險項；

分別分析預定的風險庫中的風險項和所述待評估設備觸發的風險項，采取相應的計算方法，得到所述待評估設備的安全狀態值。

與現有技術相比，本發明提供了一種網絡安全設備的風險評估方法，通過確定預定的風險庫，提取出待評估設備中與所述風險項相關的有效配置信息，并根據有效配置信息的風險分析結果獲取觸發所述待評估設備的風險項，分別分析預定的風險庫中風險項和所述待評估設備已觸發的風險項，采取相應的計算方法，得到所述待評估設備的安全狀態值風險值，這樣分析風險項的風險值、風險項之間的關聯關系、所述待評估設備的風險項已觸發的每條風險項的觸發次數來進行相應地計算得到待評估設備的安全狀態值，使得更直觀、準確、有效的表明當前設備安全狀態。

第二方面，本發明提供了一種網絡安全設備的風險評估裝置，該裝置包括：確定模塊、提取模塊和評估模塊；

所述確定模塊，設置于確定預定的風險庫，所述風險庫包括多條風險項的配置信息，所述配置信息包括風險項的識別碼和描述內容；

所述提取模塊，設置于提取出待評估設備中與所述風險項相關的有效配置信息，并根據有效配置信息的風險分析結果獲取所述待評估設備觸發的風險項；

所述評估模塊，設置于分別分析預定的風險庫中的風險項和所述待評估設備觸發的風險項，采取相應的計算方法，得到所述待評估設備的安全狀態值。

與現有技術相比，本發明提供了一種網絡安全設備的風險評估裝置，通過確定模塊確定預定的風險庫，提取模塊提取出待評估設備中與所述風險項相關的有效配置信息，并根據有效配置信息的風險分析結果獲取觸發所述待評估設備的風險項，評估模塊分別分析預定的風險庫中風險項和所述待評估設備已觸發的風險項，采取相應的計算方法，得到所述待評估設備的安全狀態值風險值，這樣分析風險項的風險值、風險項之間的關聯關系、所述待評估設備的風險項已觸發的每條風險項的觸發次數來進行相應地計算得到待評估設備的安全狀態值，使得更直觀、準確、有效的表明當前設備安全狀態。

本發明的其它特征和優點將在隨后的說明書中闡述，并且，部分地從說明書中變得顯而易見，或者通過實施本發明而了解。本發明的目的和其他優點可通過在說明書、權利要求書以及附圖中所特別指出的結構來實現和獲得。

附圖說明

附圖用來提供對本發明技術方案的進一步理解，并且構成說明書的一部分，與本申請的實施例一起用于解釋本發明的技術方案，并不構成對本發明技術方案的限制。

圖1為本發明提供的一種網絡安全設備的風險評估方法實施例一的流程示意圖；

圖2為本發明提供的一種網絡安全設備的風險評估裝置實施例一的結構示意圖。

具體實施方式

為使本發明的目的、技術方案和優點更加清楚明白，下文中將結合附圖對本發明的實施例進行詳細說明。需要說明的是，在不沖突的情況下，本申請中的實施例及實施例中的特征可以相互任意組合。

在附圖的流程圖示出的步驟可以在諸如一組計算機可執行指令的計算機系統中執行。并且，雖然在流程圖中示出了邏輯順序，但是在某些情況下，可以以不同于此處的順序執行所示出或描述的步驟。

本發明實施例涉及的方法可以應用于網絡安全系統中的單個設備，該網絡安全設備可以是路由器、防火墻、行為管理器和核心交換機等設備，但并不限于此。

本發明實施例涉及的方法，旨在解決現有技術中通過特定的產品來對網絡安全設備配置結果的分析考慮并不全面，使得最終評估的結果不能準確、有效、多方面的反映網絡安全設備的安全狀態的技術問題。

下面以具體地實施例對本發明的技術方案進行詳細說明。下面這幾個具體的實施例可以相互結合，對于相同或相似的概念或過程可能在某些實施例不再贅述。

圖1為本發明提供的一種網絡安全設備的風險評估方法實施例一的流程示意圖。本實施例涉及的是實現網絡安全設備的風險評估方法的具體過程。如圖1所示，該方法包括：

s101、確定預定的風險庫，所述風險庫包括多條風險項。

具體的，用戶可以根據統一安全策略管控系統提供的標準風險庫，也可以根據業務需求，自定義風險庫來適合企業的需求，其中，該風險庫包括了設備的所有漏洞信息，這里定義每個漏洞為一條風險項，例如：設備的管理員密碼為默認值，設備開放了telnet服務等等，但并不限于此。

具體的，每條風險項都有風險項的識別碼和描述內容，對每個風險項(也簡稱：漏洞)進行了詳細的分析，并用相應的字段進行表示，這里每個風險項包含的字段有：風險項識別碼、描述內容、風險項帶來的風險值大小、風險項和風險項之間的關聯關系等等，但并不限于此。

s102、提取出待評估設備中與所述風險項相關的有效配置信息，并根據有效配置信息的風險分析結果獲取所述待評估設備觸發的風險項。

具體的，可以根據統一安全策略管控系統通過ssh遠程連接到待評估的設備，根據風險庫中風險項的配置信息對待評估設備的原始配置信息進行提取，提取待評估設備中與所述風險項相關的有效信息，即提取可能存在漏洞的所有相關的有效配置信息形成規范化數據，將所述規范化數據按照預定的風險庫進行風險分析，獲取所述待評估設備已觸發的風險項，例如，風險庫中存在一條關于管理員密碼有效期的風險項，則需提取該待評估設備的原始配置信息中的有效數據，即密碼有效期的信息，并在規范化的格式中設定密碼有效期的字段，且該字段值即為采集到的密碼有效期的值，但并不以此為限。

s103、分別分析預定的風險庫中風險項和所述待評估設備觸發的風險項，采取相應的計算方法，得到所述待評估設備的安全狀態值。

具體的，可根據用戶選擇的風險庫分析所選擇的風險庫中的風險項，并對所述待評估設備觸發的風險項進行分析，可以分析風險項的風險值、風險項之間的關聯關系、觸發風險項的風險值、觸發風險項之間的關聯關系等等，將分別分析后的結果采取相應的計算方法，獲取所述待評估設備的安全狀態值。

本發明實施例提供的一種網絡安全設備的風險評估方法，通過確定預定的風險庫，提取出待評估設備中與所述風險項相關的有效配置信息，并根據有效配置信息的風險分析結果獲取觸發所述待評估設備的風險項，分析預定的風險庫中風險項和所述待評估設備已觸發的風險項，采取相應的計算方法，得到所述待評估設備的安全狀態值風險值，通過分析風險項的風險值、風險項之間的關聯關系、所述待評估設備的風險項已觸發的每條風險項的觸發次數來進行相應地計算得到待評估設備的安全狀態值，使得更直觀、準確、有效的表明當前設備安全狀態。

進一步地，在上述實施例的基礎上，在上述步驟101確定預定的風險庫之前，還包括：

預先收集各配置類型的風險庫，所述配置類型包括基線庫和/或訪問控制列表acl庫。

具體的，本發明實施例的風險評估是從風險項的角度觸發，通過預定的分析方法來判斷待評估設備的配置是否存在風險項，并結合這些風險項存在的風險值來判斷待評估設備的安全狀態值，因此，預處理中需要對待評估設備的配置信息進行收集和描述，形成基線分析和/或acl風險分析等配置類型所需的風險庫，其中，風險庫的形成參考了當前知名漏洞庫，如cve；也可以參考設備配置規范要求，如nist關于防火墻配置規范，還可以參考通用的一些標準，如基線標準、合規標準、pci標準等等，但并不限于此。

具體的，預先收集的風險庫可以根據配置類型進行分類，將風險庫具體區分為基線模塊的基線庫和acl風險庫，從而可以分別用于基線分析和acl風險分析。

進一步地，在上述實施例的基礎上，分析預定的風險庫中的風險項，包括：

統計預定的風險庫中的風險項的總數；

采用cvss3.0評分方法分析獲取預定的風險庫中的風險項的風險值；

確定預定風險庫中任意兩條風險項之間的關聯關系，其中，觸發第一條風險項必定會觸發第二條風險項，且觸發所述第二條風險項不會觸發所述第一條風險項，則確定所述第一條風險項和第二條風險項之間存在關聯。

具體的，這里用于分析的風險庫可以是統一安全策略管控系統提供的標準庫、風險總庫，也可以由用戶根據自己的業務需求，組合而成的適合自身企業的自定義風險庫，統計預定的風險庫中的風險項的總數，并采用cvss3.0評分方法分析獲取預定的風險庫中的風險項的風險值，統一安全策略管控系統采用官方最新的cvss3.0評分方法，從漏洞的攻擊途徑、攻擊復雜度、特權、用戶交互、機密性、完整性、可用性等角度進行考慮，利用cvss3.0評分公式，評估當前漏洞的風險值，并對漏洞得分進行定性分析，劃分成嚴重、高、中、低、輕微五個等級，用以直觀的判斷當前漏洞的嚴重程度，采用公認的cvss3.0評分方法，使得漏洞的風險值更加準確、可靠、可信。

其中，對于風險項與風險項之間的關聯關系，主要是用來分析預定的風險庫中的不同的風險項(即漏洞)之間的關聯關系，這里關聯關系的定義為：對風險庫中任意兩條風險項(即漏洞)a、b，如果觸發風險項a的所有風險庫規則必定會觸發風險項b，并且觸發風險項b的風險庫規則不一定觸發風險項a，則認為風險a與風險項b存在關聯關系，其中風險項b包含風險項a。從定義可以看出，若不考慮這種包含關系，在對設備的安全得分進行計算時，則會導致觸發被包含的風險項(即漏洞)的acl規則被計算多次，導致設備的風險得分變高，安全得分降低。實際中，依據上述關聯關系的定義，對風險庫中的風險項進行關聯關系分析，分析步驟如下：

(1)對預定的風險庫任意的兩條風險項a、b，依據關聯關系的定義，分析這兩條風險項是否存在關聯關系；

(2)若(1)中的風險項a、b存在關聯關系，且b包含a，則在風險項b的“漏洞關聯關系”字段添加風險項a的漏洞id。

例如：風險項r1檢查外網到內網是否開放服務為any類型的規則，風險項r2檢查外網到內網是否開放telnet服務，風險項r3檢查外網到內網是否開放x11服務，通過分析r1、r2、r3之間的關聯關系可以得出結論：觸發風險項r1的acl規則必然會觸發風險項r2、r3，因此，需在風險項r2和r3的“漏洞關聯關系”字段添加值r1。這里若不考慮它們之間的關聯關系，則會出現觸發風險項r1的acl規則被計算多次(例中可得出觸發r1的每條acl規則都被計算了3次)。將這種包含關系考慮進去，去除重復計算的acl規則，提高了系統設備acl模塊和設備綜合安全狀態分析結果的準確性。

進一步地，在上述實施例的基礎上，分析所述待評估設備觸發的風險項，包括：

若預定的風險庫包括訪問控制列表acl庫時，分析所述待評估設備觸發的每條風險項的觸發次數、風險項的風險值以及風險項之間的關聯關系這三者中的一個或者多個。

具體的，若預定的風險庫中是多種類型的acl風險庫，用戶可根據選擇的acl風險庫分析觸發所述待評估設備的每條風險項的觸發次數、風險項的風險值以及風險項之間的關聯關系這三者中一個或者多個。需要說明的是，采用不同的風險庫進行分析，檢測出的漏洞信息也是不同的。下面將通過實施例來進行詳細說明，具體如下：

(1)根據用戶選擇的風險庫對規范化的acl策略數據進行風險分析，統計觸發每條風險項(即漏洞)的acl策略的識別碼號；

(2)對步驟(1)中的結果依據風險項與風險項之間的關聯關系進行處理，去除重復計算的acl策略的id號，得到處理后的觸發每條風險項的acl策略的id號；

(3)根據(2)中的處理結果統計觸發每條風險項的次數，其中一個acl策略id號則代表觸發一次。例如，對于一個風險值較低的風險項，觸發了1次和觸發了100次，評估這個風險項給系統造成的安全影響是不同的，觸發次數較多的風險項，表明這個風險項被使用的次數較高，而越多次的被使用，則說明存在惡意的使用次數相對是比較多的，從而增加了待評估設備的風險值。

(4)根據(1)、(2)、(3)的分析結果，獲取待評估設備acl安全狀態值。

對于上述的分析過程(4)，下面給出一種計算過程，具體如下：

統計預定的風險庫中風險項總數m和觸發每條風險項的acl規則總數xi(i＝1,2,…,n)，按照計算公式得到安全狀態值，其中，所述sn為觸發的風險項總分，所述st為未觸發的風險項總分,所述所述所述權重值ri為所述風險項的風險值，(i＝1,2,3,…,n)為觸發風險項，n小于等于m，(i＝n+1,…,m)為未觸發的風險項，xi取值1,2,3,…。

上述的流程中，通過分析acl風險分析檢測出的已觸發的風險項(即漏洞)、風險項的風險值、風險項被觸發的次數，分析了系統設備acl模塊的安全狀態，并得出相應的安全狀態值。

此方法在分析時，相對已有的技術考慮了風險項之間的關聯關系、風險項被觸發的次數問題，分析更加全面。而風險值的計算采用cvss3.0評分技術，相對取經驗值的方法，該方法更加可靠、可信。此外，計算得到系統安全狀態值更直觀、準確、有效的表明當前設備安全狀態。

進一步地，在上述實施例的基礎上，分析所述待評估設備觸發的風險項，包括：

若預定的風險庫包括基線庫時，分析所述待評估設備觸發的風險項的風險值。

具體的，若確定預定的風險庫是多種類型的基線風險庫，用戶可根據選擇的基線風險庫分析每條風險項的風險值，并根據歸一化的基線模塊的數據，進行基線模塊的風險分析。這里用于分析的基線庫可以是統一安全策略管控系統自帶的基線庫，也可以是用戶根據自身業務需求自定義的基線庫，選擇的基線庫不同，最終的評估結果也不相同。下面將通過實施例來進行詳細說明，具體如下：

(1)從風險庫中選擇出與基線相關的所有基線庫，用戶依據選擇的基線庫，對所述待評估設備的歸一化基線數據進行基線分析；

(2)根據(1)中檢查出的已觸發的風險項(即漏洞)，風險項的風險值，進行安全狀態值的計算；

(3)對于上述的分析過程(2)，下面給出一種計算過程，具體如下：統計預定的風險庫中風險項總數m，按照計算公式：

得到安全狀態值，其中，所述s'n為觸發的風險項總分，所述st'為未觸發的風險項總分,所述所述所述權重值ri為所述風險項的風險值，(i＝1,2,3,…,n)為觸發風險項，n小于等于m，(i＝n+1,…,m)為未觸發的風險項。

上述的流程中，通過分析基線分析檢測出的已觸發的風險項(即漏洞)、風險項的風險值、分析了系統設備基線模塊的安全狀態，并得出相應的安全狀態值。

此方法在分析時，對風險項(即漏洞)的風險值的計算采用cvss3.0評分技術，相對取經驗值的方法，該方法更加可靠、可信。此外，計算得到系統安全狀態值更直觀、準確、有效的表明當前設備安全狀態。

進一步地，在上述實施例的基礎上，若確定預定的風險庫包括基線庫和訪問控制列表acl庫時，分別分析預定的風險庫中的風險項和所述待評估設備觸發的風險項，采取相應的計算方法，得到所述待評估設備的安全狀態值，下面將通過實施例來進行詳細說明，具體如下：

(1)判斷待評估設備是否支持acl風險分析，若支持則執行acl模塊的安全狀態分析，具體執行方法，同上述實施例中acl風險庫，若不支持，則不執行；

(2)對待分析的設備執行基線模塊的安全狀態分析，具體執行方法，同實施例中基線庫；

(3)根據(1)和(2)的分析結果，分析設備的綜合安全狀態。

對于上述的分析過程(3)，按照計算公式進行計算：

其中，所述sn為訪問控制列表acl庫時所觸發的風險項總分，所述st為為訪問控制列表acl庫時未觸發的風險項總分，所述s'n為基線庫時所觸發的觸發的風險項總分，所述st'為為基線庫時未觸發的風險項總分。

通過對待評估設備綜合安全狀態分析，分析了基線分析和acl分析檢測出的已觸發風險項(即漏洞)信息、風險項的風險值、風險項被觸發的次數，分析了系統設備綜合安全狀態，并得出相應的安全狀態值。

此方法在分析時，相對已有的技術考慮風險項之間的關聯關系、風險項被觸發的次數問題，分析更加全面。而風險值的計算采用cvss3.0評分技術，相對取經驗值的方法，該方法更加可靠、可信。此外，計算得到系統安全狀態值更直觀、準確、有效的表明當前設備安全狀態。

圖2為本發明提供的一種網絡安全設備的風險評估裝置實施例一的結構示意圖，如圖2所示，一種網絡安全設備的風險評估裝置，包括確定模塊10、提取模塊20和評估模塊30；

所述確定模塊10，設置于確定預定的風險庫，所述風險庫包括多條風險項的配置信息，所述配置信息包括風險項的識別碼和描述內容；

所述提取模塊20，設置于提取出待評估設備中與所述風險項相關的有效配置信息，并根據有效配置信息的風險分析結果獲取所述待評估設備已觸發的風險項；

所述評估模塊30，設置于分別分析預定的風險庫中的風險項和所述待評估設備觸發的風險項，采取相應的計算方法，得到所述待評估設備的安全狀態值。

本發明實施例提供的一種網絡安全設備的風險評估裝置，包括：確定模塊、提取模塊和評估模塊，通過確定模塊確定預定的風險庫，提取模塊提取出待評估設備中與所述風險項相關的有效配置信息，并根據有效配置信息的風險分析結果獲取觸發所述待評估設備的風險項，評估模塊分別分析預定的風險庫中風險項和所述待評估設備已觸發的風險項，采取相應的計算方法，得到所述待評估設備的安全狀態值風險值，通過分析風險項的風險值、風險項之間的關聯關系、所述待評估設備的風險項已觸發的每條風險項的觸發次數來進行相應地計算得到待評估設備的安全狀態值，使得更直觀、準確、有效的表明當前設備安全狀態。

進一步地，在上述實施例的基礎上，還包括：預處理模塊40；

所述預處理模塊40，設置于在確定預定的風險庫之前，預先收集各配置類型的風險庫，所述配置類型至少包括基線庫和/或訪問控制列表acl庫。

本發明實施例提供的裝置，可以執行上述方法實施例，其實現原理和技術效果類似，在此不再贅述。

進一步地，在上述實施例的基礎上，所述評估模塊30設置于分析預定的風險庫中的風險項，是指：

所述評估模塊設置于統計預定的風險庫中的風險項的總數；

采用cvss3.0評分方法分析獲取預定的風險庫中的風險項的風險值；

進一步地，在上述實施例的基礎上，所述評估模塊30設置于分析所述待評估設備已觸發的風險項，是指：

所述評估模塊設置于若預定的風險庫包括訪問控制列表acl庫時，分析觸發所述待評估設備觸發的每條風險項的觸發次數、風險項的風險值以及風險項之間的關聯關系這三者中的一個或者多個。

本發明實施例提供的裝置，可以執行上述方法實施例，其實現原理和技術效果類似，在此不再贅述。

進一步地，在上述實施例的基礎上，所述評估模塊30設置于分析所述待評估設備觸發的風險項，是指：

所述評估模塊30設置于若預定的風險庫包括基線庫時，分析所述待評估設備觸發的風險項的風險值。

本發明實施例提供的裝置，可以執行上述方法實施例，其實現原理和技術效果類似，在此不再贅述。