基于风险项扫描的信息安全评估方法、装置及系统的制作方法
【技术领域】
[0001] 本发明涉及信息安全技术领域,特别是涉及基于风险项扫描的信息安全评估方 法、装置及系统。
【背景技术】
[0002] 随着企业信息化程度的不断提高,尤其是网络技术的飞速发展,使得信息安全问 题逐渐成为企业管理中关注的重点。信息安全所面临的风险指的是,在业务系统的软件或 硬件设备中存在安全风险项,例如设备漏洞、弱密码、WEB漏洞、基线检查项目不合格等,这 些风险项容易被人为利用或容易使软、硬件设备遭到恶意攻击,造成关键信息泄露,对企业 资产和声誉形成潜在威胁。因此,有效的信息安全评估方法成为准确评价和衡量业务系统 信息安全状况的有利依据。
[0003] 现代企业中通常包括各种不同类型的设备,这些设备存在的风险项、风险项在设 备中的位置以及风险程度也是不同的,例如,服务器的主要风险项为设备漏洞、弱密码,企 业网站及各子站点的主要风险项为WEB漏洞等。由于不同设备的风险项类型、风险项存在 的位置以及风险程度的不同,所表现的信息安全状态迥异,因此,在针对众多设备进行信息 安全评估时,通常只能依靠人力对具体的设备的安全状况进行评估。举例来说,先利用检测 工具对各个设备进行对应类型的风险项扫描,例如漏洞扫描或弱密码扫描等,再根据扫描 结果进行人工评分,之后将各个部门或业务系统中的设备的评分结果进行人工汇总,从而 对企业的信息安全状况进行粗略的整体评价。
[0004] 由此可见,现有的信息安全评估方法比较依赖评估人员的主观判断力,因此评估 结果准确性不高。并且由于待评估的设备数量往往比较多,导致评估效率低下。同时由于 评估结果较为零散,从而导致安全管理人员难以获得从企业整体到局部业务系统的不同层 次的安全状况,以及难以从不同维度掌握企业的信息安全状况。
【发明内容】
[0005] 本发明实施例提供了基于风险项扫描的信息安全评估方法及装置,以解决现有技 术中的信息安全评估方法比较依赖评估人员的主观判断力,导致评估结果准确性不高、评 估效率低下、评估结果较为零散的问题。
[0006] 为了解决上述技术问题,本发明实施例公开了如下技术方案:
[0007] -方面,提供了一种基于风险项扫描的信息安全评估方法,所述方法包括:
[0008] 获取风险项评估规则,包括:获取预设周期内根据所述风险项对所述设备进行扫 描的扫描结果样本,根据所述样本中包含的风险项数目的概率分布确定与所述风险项数目 对应的风险项评估规则;
[0009] 根据评估对象的级别确定所述评估对象包含的设备和所述设备对应的风险项,根 据所述风险项对所述设备进行扫描,根据扫描结果获得所述设备对应的当前风险项数目; [0010] 根据所述当前风险项数目和所述风险项评估规则对所述设备进行风险项评估,获 得所述设备对应的风险项评估值;
[0011] 根据所述评估对象包含的设备的风险项评估值进行加权,得到所述评估对象的信 息安全评估值。
[0012] 可选的,所述根据所述样本中包含的风险项数目的概率分布确定与所述风险项数 目对应的风险项评估规则包括:
[0013] 根据所述样本获得所述风险项数目的离散概率分布值,将所述离散概率分布值拟 合为预设类型的概率分布,确定所述预设类型的概率分布的概率密度函数;
[0014] 根据所述概率密度函数的量化值确定所述风险项评估规则的标准值,以及所述风 险项数目与所述标准值的对应关系;
[0015] 所述根据所述当前风险项数目和所述风险项评估规则对所述设备进行风险项评 估包括:根据所述当前风险项数目和所述风险项数目与所述标准值的对应关系确定所述设 备对应的风险项评估值。
[0016] 可选的,所述预设类型的概率分布包括泊松分布或对数正态分布。
[0017] 可选的,所述方法还包括:
[0018] 确定所述评估对象包含的各设备的第一权重系数;
[0019] 确定所述各设备对应的各风险项的第二权重系数;
[0020] 所述根据所述评估对象包含的设备的风险项评估值进行加权包括:根据所述第一 权重系数和所述第二权重系数对所述设备的风险项评估值进行加权。
[0021] 另一方面,提供一种基于风险项扫描的信息安全评估装置,所述装置包括:
[0022] 获取规则单元,用于获取风险项评估规则,所述获取规则单元包括:
[0023] 第一获取子单元,用于获取预设周期内根据所述风险项对所述设备进行扫描的扫 描结果样本;
[0024] 第一确定子单元,用于根据所述样本中包含的风险项数目的概率分布确定与所述 风险项数目对应的风险项评估规则;
[0025] 所述装置还包括:扫描单元,用于根据评估对象的级别确定所述评估对象包含的 设备和所述设备对应的风险项,并根据所述风险项对所述设备进行扫描,以及根据扫描结 果获得所述设备对应的当前风险项数目;
[0026] 第一评估单元,用于根据所述当前风险项数目和所述风险项评估规则对所述设备 进行风险项评估,获得所述设备对应的风险项评估值;
[0027] 第二评估单元,用于根据所述评估对象包含的设备的风险项评估值进行加权,得 到所述评估对象的信息安全评估值。
[0028] 可选的,所述第一确定子单元包括:
[0029] 拟合子单元,用于根据所述样本获得所述风险项数目的离散概率分布值,并将所 述离散概率分布值拟合为预设类型的概率分布,以及确定所述预设类型的概率分布的概率 密度函数;
[0030] 第二确定子单元,用于根据所述概率密度函数的量化值确定所述风险项评估规则 的标准值,以及所述风险项数目与所述标准值的对应关系;
[0031] 所述第一评估单元,用于根据所述当前风险项数目和所述风险项数目与所述标准 值的对应关系确定所述设备对应的风险项评估值。
[0032] 可选的,所述预设类型的概率分布包括泊松分布或对数正态分布。
[0033] 可选的,所述装置还包括:
[0034] 第二确定子单元,用于确定所述评估对象包含的各设备的第一权重系数;
[0035] 第三确定子单元,用于确定所述各设备对应的各风险项的第二权重系数;
[0036] 所述第二评估单元用于根据所述第一权重系数和所述第二权重系数对所述设备 的风险项评估值进行加权。
[0037] 另一方面,提供了一种信息安全系统,所述系统包括:信息安全评估装置和评估对 象,所述评估对象包括信息安全设备,所述信息安全评估装置用于:
[0038] 获取风险项评估规则,包括:获取预设周期内根据所述风险项对所述设备进行扫 描的扫描结果样本,根据所述样本中包含的风险项数目的概率分布确定与所述风险项数目 对应的风险项评估规则;以及
[0039] 根据评估对象的级别确定所述评估对象包含的设备和所述设备对应的风险项,根 据所述风险项对所述设备进行扫描,根据扫描结果获得所述设备对应的当前风险项数目;
[0040] 根据所述当前风险项数目和所述风险项评估规则对所述设备进行风险项评估,获 得所述设备对应的风险项评估值;以及
[0041] 根据所述评估对象包含的设备的风险项评估值进行加权,得到所述评估对象的信 息安全评估值。
[0042] 可选的,所述信息安全评估装置在根据所述样本中包含的风险项数目的概率分布 确定与所述风险项数目对应的风险项评估规则时,具体包括:
[0043] 根据所述样本获得所述风险项数目的离散概率分布值,将所述离散概率分布值拟 合为预设类型的概率分布,确定所述预设类型的概率分布的概率密度函数;
[0044] 根据所述概率密度函数的量化值确定所述风险项评估规则的标准值,以及所述风 险项数目与所述标准值的对应关系;
[0045] 所述根据所述当前风险项数目和所述风险项评估规则对所述设备进行风险项评 估包括:根据所述当前风险项数目和所述风险项数目与所述标准值的对应关系确定所述设 备对应的风险项评估值。
【附图说明】
[0046] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。
[0047]图1为本发明基于风