基于風險項掃描的信息安全評估方法���、裝置及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及信息安全技術(shù)領(lǐng)域���,特別是涉及基于風險項掃描的信息安全評估方 法、裝置及系統(tǒng)��。
【背景技術(shù)】
[0002] 隨著企業(yè)信息化程度的不斷提高����,尤其是網(wǎng)絡(luò)技術(shù)的飛速發(fā)展�,使得信息安全問 題逐漸成為企業(yè)管理中關(guān)注的重點��。信息安全所面臨的風險指的是�,在業(yè)務(wù)系統(tǒng)的軟件或 硬件設(shè)備中存在安全風險項����,例如設(shè)備漏洞、弱密碼��、WEB漏洞�、基線檢查項目不合格等,這 些風險項容易被人為利用或容易使軟��、硬件設(shè)備遭到惡意攻擊����,造成關(guān)鍵信息泄露,對企業(yè) 資產(chǎn)和聲譽形成潛在威脅���。因此�����,有效的信息安全評估方法成為準確評價和衡量業(yè)務(wù)系統(tǒng) 信息安全狀況的有利依據(jù)����。
[0003] 現(xiàn)代企業(yè)中通常包括各種不同類型的設(shè)備,這些設(shè)備存在的風險項�����、風險項在設(shè) 備中的位置以及風險程度也是不同的���,例如�����,服務(wù)器的主要風險項為設(shè)備漏洞��、弱密碼���,企 業(yè)網(wǎng)站及各子站點的主要風險項為WEB漏洞等。由于不同設(shè)備的風險項類型���、風險項存在 的位置以及風險程度的不同����,所表現(xiàn)的信息安全狀態(tài)迥異���,因此�,在針對眾多設(shè)備進行信息 安全評估時,通常只能依靠人力對具體的設(shè)備的安全狀況進行評估�。舉例來說,先利用檢測 工具對各個設(shè)備進行對應(yīng)類型的風險項掃描�,例如漏洞掃描或弱密碼掃描等,再根據(jù)掃描 結(jié)果進行人工評分����,之后將各個部門或業(yè)務(wù)系統(tǒng)中的設(shè)備的評分結(jié)果進行人工匯總����,從而 對企業(yè)的信息安全狀況進行粗略的整體評價。
[0004] 由此可見����,現(xiàn)有的信息安全評估方法比較依賴評估人員的主觀判斷力,因此評估 結(jié)果準確性不高���。并且由于待評估的設(shè)備數(shù)量往往比較多����,導致評估效率低下���。同時由于 評估結(jié)果較為零散�,從而導致安全管理人員難以獲得從企業(yè)整體到局部業(yè)務(wù)系統(tǒng)的不同層 次的安全狀況,以及難以從不同維度掌握企業(yè)的信息安全狀況���。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明實施例提供了基于風險項掃描的信息安全評估方法及裝置�,以解決現(xiàn)有技 術(shù)中的信息安全評估方法比較依賴評估人員的主觀判斷力����,導致評估結(jié)果準確性不高、評 估效率低下����、評估結(jié)果較為零散的問題。
[0006] 為了解決上述技術(shù)問題��,本發(fā)明實施例公開了如下技術(shù)方案:
[0007] -方面�����,提供了一種基于風險項掃描的信息安全評估方法���,所述方法包括:
[0008] 獲取風險項評估規(guī)則�����,包括:獲取預設(shè)周期內(nèi)根據(jù)所述風險項對所述設(shè)備進行掃 描的掃描結(jié)果樣本��,根據(jù)所述樣本中包含的風險項數(shù)目的概率分布確定與所述風險項數(shù)目 對應(yīng)的風險項評估規(guī)則�����;
[0009] 根據(jù)評估對象的級別確定所述評估對象包含的設(shè)備和所述設(shè)備對應(yīng)的風險項�,根 據(jù)所述風險項對所述設(shè)備進行掃描,根據(jù)掃描結(jié)果獲得所述設(shè)備對應(yīng)的當前風險項數(shù)目�����; [0010] 根據(jù)所述當前風險項數(shù)目和所述風險項評估規(guī)則對所述設(shè)備進行風險項評估���,獲 得所述設(shè)備對應(yīng)的風險項評估值;
[0011] 根據(jù)所述評估對象包含的設(shè)備的風險項評估值進行加權(quán)�,得到所述評估對象的信 息安全評估值。
[0012] 可選的��,所述根據(jù)所述樣本中包含的風險項數(shù)目的概率分布確定與所述風險項數(shù) 目對應(yīng)的風險項評估規(guī)則包括:
[0013] 根據(jù)所述樣本獲得所述風險項數(shù)目的離散概率分布值�,將所述離散概率分布值擬 合為預設(shè)類型的概率分布,確定所述預設(shè)類型的概率分布的概率密度函數(shù)����;
[0014] 根據(jù)所述概率密度函數(shù)的量化值確定所述風險項評估規(guī)則的標準值���,以及所述風 險項數(shù)目與所述標準值的對應(yīng)關(guān)系;
[0015] 所述根據(jù)所述當前風險項數(shù)目和所述風險項評估規(guī)則對所述設(shè)備進行風險項評 估包括:根據(jù)所述當前風險項數(shù)目和所述風險項數(shù)目與所述標準值的對應(yīng)關(guān)系確定所述設(shè) 備對應(yīng)的風險項評估值�。
[0016] 可選的,所述預設(shè)類型的概率分布包括泊松分布或?qū)?shù)正態(tài)分布�����。
[0017] 可選的��,所述方法還包括:
[0018] 確定所述評估對象包含的各設(shè)備的第一權(quán)重系數(shù)���;
[0019] 確定所述各設(shè)備對應(yīng)的各風險項的第二權(quán)重系數(shù)��;
[0020] 所述根據(jù)所述評估對象包含的設(shè)備的風險項評估值進行加權(quán)包括:根據(jù)所述第一 權(quán)重系數(shù)和所述第二權(quán)重系數(shù)對所述設(shè)備的風險項評估值進行加權(quán)�。
[0021] 另一方面�����,提供一種基于風險項掃描的信息安全評估裝置�����,所述裝置包括:
[0022] 獲取規(guī)則單元,用于獲取風險項評估規(guī)則��,所述獲取規(guī)則單元包括:
[0023] 第一獲取子單元����,用于獲取預設(shè)周期內(nèi)根據(jù)所述風險項對所述設(shè)備進行掃描的掃 描結(jié)果樣本;
[0024] 第一確定子單元����,用于根據(jù)所述樣本中包含的風險項數(shù)目的概率分布確定與所述 風險項數(shù)目對應(yīng)的風險項評估規(guī)則;
[0025] 所述裝置還包括:掃描單元����,用于根據(jù)評估對象的級別確定所述評估對象包含的 設(shè)備和所述設(shè)備對應(yīng)的風險項,并根據(jù)所述風險項對所述設(shè)備進行掃描��,以及根據(jù)掃描結(jié) 果獲得所述設(shè)備對應(yīng)的當前風險項數(shù)目��;
[0026] 第一評估單元���,用于根據(jù)所述當前風險項數(shù)目和所述風險項評估規(guī)則對所述設(shè)備 進行風險項評估,獲得所述設(shè)備對應(yīng)的風險項評估值�����;
[0027] 第二評估單元,用于根據(jù)所述評估對象包含的設(shè)備的風險項評估值進行加權(quán)����,得 到所述評估對象的信息安全評估值。
[0028] 可選的����,所述第一確定子單元包括:
[0029] 擬合子單元,用于根據(jù)所述樣本獲得所述風險項數(shù)目的離散概率分布值�,并將所 述離散概率分布值擬合為預設(shè)類型的概率分布,以及確定所述預設(shè)類型的概率分布的概率 密度函數(shù)�;
[0030] 第二確定子單元,用于根據(jù)所述概率密度函數(shù)的量化值確定所述風險項評估規(guī)則 的標準值����,以及所述風險項數(shù)目與所述標準值的對應(yīng)關(guān)系;
[0031] 所述第一評估單元�����,用于根據(jù)所述當前風險項數(shù)目和所述風險項數(shù)目與所述標準 值的對應(yīng)關(guān)系確定所述設(shè)備對應(yīng)的風險項評估值����。
[0032] 可選的,所述預設(shè)類型的概率分布包括泊松分布或?qū)?shù)正態(tài)分布����。
[0033] 可選的����,所述裝置還包括:
[0034] 第二確定子單元�,用于確定所述評估對象包含的各設(shè)備的第一權(quán)重系數(shù);
[0035] 第三確定子單元���,用于確定所述各設(shè)備對應(yīng)的各風險項的第二權(quán)重系數(shù)��;
[0036] 所述第二評估單元用于根據(jù)所述第一權(quán)重系數(shù)和所述第二權(quán)重系數(shù)對所述設(shè)備 的風險項評估值進行加權(quán)�����。
[0037] 另一方面�����,提供了一種信息安全系統(tǒng)���,所述系統(tǒng)包括:信息安全評估裝置和評估對 象�,所述評估對象包括信息安全設(shè)備,所述信息安全評估裝置用于:
[0038] 獲取風險項評估規(guī)則�,包括:獲取預設(shè)周期內(nèi)根據(jù)所述風險項對所述設(shè)備進行掃 描的掃描結(jié)果樣本��,根據(jù)所述樣本中包含的風險項數(shù)目的概率分布確定與所述風險項數(shù)目 對應(yīng)的風險項評估規(guī)則�;以及
[0039] 根據(jù)評估對象的級別確定所述評估對象包含的設(shè)備和所述設(shè)備對應(yīng)的風險項��,根 據(jù)所述風險項對所述設(shè)備進行掃描���,根據(jù)掃描結(jié)果獲得所述設(shè)備對應(yīng)的當前風險項數(shù)目�����;
[0040] 根據(jù)所述當前風險項數(shù)目和所述風險項評估規(guī)則對所述設(shè)備進行風險項評估����,獲 得所述設(shè)備對應(yīng)的風險項評估值����;以及
[0041] 根據(jù)所述評估對象包含的設(shè)備的風險項評估值進行加權(quán),得到所述評估對象的信 息安全評估值�����。
[0042] 可選的�����,所述信息安全評估裝置在根據(jù)所述樣本中包含的風險項數(shù)目的概率分布 確定與所述風險項數(shù)目對應(yīng)的風險項評估規(guī)則時,具體包括:
[0043] 根據(jù)所述樣本獲得所述風險項數(shù)目的離散概率分布值�����,將所述離散概率分布值擬 合為預設(shè)類型的概率分布�,確定所述預設(shè)類型的概率分布的概率密度函數(shù);
[0044] 根據(jù)所述概率密度函數(shù)的量化值確定所述風險項評估規(guī)則的標準值�,以及所述風 險項數(shù)目與所述標準值的對應(yīng)關(guān)系;
[0045] 所述根據(jù)所述當前風險項數(shù)目和所述風險項評估規(guī)則對所述設(shè)備進行風險項評 估包括:根據(jù)所述當前風險項數(shù)目和所述風險項數(shù)目與所述標準值的對應(yīng)關(guān)系確定所述設(shè) 備對應(yīng)的風險項評估值��。
【附圖說明】
[0046] 下面將結(jié)合本發(fā)明實施例中的附圖��,對本發(fā)明實施例中的技術(shù)方案進行清楚�����、完 整的描述���,顯然�,所描述的實施例僅僅是本發(fā)明一部分實施例���,而不是全部的實施例����?�;?本發(fā)明中的實施例�,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他 實施例,都屬于本發(fā)明保護的范圍�����。
[0047]圖1為本發(fā)明基于風