本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤指一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險(xiǎn)評(píng)估方法和裝置。

背景技術(shù)：

目前，隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全問(wèn)題日益突出，企業(yè)網(wǎng)絡(luò)中的多個(gè)位置都會(huì)部署防火墻、入侵防御系統(tǒng)、防病毒等安全產(chǎn)品，其中，企業(yè)與外網(wǎng)、商業(yè)合作伙伴之間的業(yè)務(wù)需求會(huì)時(shí)刻發(fā)生變化，并且公共漏洞和暴露(commonvulnerabilities&exposures，簡(jiǎn)稱(chēng)：cve)、國(guó)家信息安全漏洞共享平臺(tái)(chinanationalvulnerabilitydatabase，簡(jiǎn)稱(chēng)：cnvd)等權(quán)威機(jī)構(gòu)時(shí)刻發(fā)布新發(fā)現(xiàn)的漏洞，這些都要求企業(yè)網(wǎng)絡(luò)管理人員對(duì)網(wǎng)絡(luò)安全設(shè)備的配置進(jìn)行變更，從而保障企業(yè)網(wǎng)絡(luò)的安全。

現(xiàn)有技術(shù)中，企業(yè)網(wǎng)絡(luò)管理人員會(huì)通過(guò)開(kāi)放防火墻某個(gè)端口，以便與商業(yè)合作伙伴進(jìn)行業(yè)務(wù)交流，或者關(guān)閉某個(gè)端口，避免被某個(gè)漏洞利用等等辦法來(lái)對(duì)網(wǎng)絡(luò)安全設(shè)備的配置進(jìn)行變更，同時(shí)通過(guò)特定的產(chǎn)品對(duì)網(wǎng)絡(luò)安全設(shè)備的配置進(jìn)行核查，以便及時(shí)發(fā)現(xiàn)配置中的漏洞。

但是，采用現(xiàn)有的技術(shù)，通過(guò)特定的產(chǎn)品來(lái)對(duì)網(wǎng)絡(luò)安全設(shè)備配置結(jié)果的分析考慮并不全面，使得最終評(píng)估的結(jié)果不能準(zhǔn)確、有效、多方面的反映網(wǎng)絡(luò)安全設(shè)備的安全狀態(tài)。

技術(shù)實(shí)現(xiàn)要素：

為了解決上述技術(shù)問(wèn)題，本發(fā)明提供了一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險(xiǎn)評(píng)估方法和裝置，能夠更直觀、準(zhǔn)確、有效的表明當(dāng)前設(shè)備安全狀態(tài)。

為了達(dá)到本發(fā)明目的，第一方面，本發(fā)明提供了一種網(wǎng)絡(luò)安全設(shè)備的風(fēng) 險(xiǎn)評(píng)估方法，該方法包括：

確定預(yù)定的風(fēng)險(xiǎn)庫(kù)，所述風(fēng)險(xiǎn)庫(kù)包括多條風(fēng)險(xiǎn)項(xiàng)；

提取出待評(píng)估設(shè)備中與所述風(fēng)險(xiǎn)項(xiàng)相關(guān)的有效配置信息，并根據(jù)有效配置信息的風(fēng)險(xiǎn)分析結(jié)果獲取所述待評(píng)估設(shè)備觸發(fā)的風(fēng)險(xiǎn)項(xiàng)；

分別分析預(yù)定的風(fēng)險(xiǎn)庫(kù)中的風(fēng)險(xiǎn)項(xiàng)和所述待評(píng)估設(shè)備觸發(fā)的風(fēng)險(xiǎn)項(xiàng)，采取相應(yīng)的計(jì)算方法，得到所述待評(píng)估設(shè)備的安全狀態(tài)值。

與現(xiàn)有技術(shù)相比，本發(fā)明提供了一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險(xiǎn)評(píng)估方法，通過(guò)確定預(yù)定的風(fēng)險(xiǎn)庫(kù)，提取出待評(píng)估設(shè)備中與所述風(fēng)險(xiǎn)項(xiàng)相關(guān)的有效配置信息，并根據(jù)有效配置信息的風(fēng)險(xiǎn)分析結(jié)果獲取觸發(fā)所述待評(píng)估設(shè)備的風(fēng)險(xiǎn)項(xiàng)，分別分析預(yù)定的風(fēng)險(xiǎn)庫(kù)中風(fēng)險(xiǎn)項(xiàng)和所述待評(píng)估設(shè)備已觸發(fā)的風(fēng)險(xiǎn)項(xiàng)，采取相應(yīng)的計(jì)算方法，得到所述待評(píng)估設(shè)備的安全狀態(tài)值風(fēng)險(xiǎn)值，這樣分析風(fēng)險(xiǎn)項(xiàng)的風(fēng)險(xiǎn)值、風(fēng)險(xiǎn)項(xiàng)之間的關(guān)聯(lián)關(guān)系、所述待評(píng)估設(shè)備的風(fēng)險(xiǎn)項(xiàng)已觸發(fā)的每條風(fēng)險(xiǎn)項(xiàng)的觸發(fā)次數(shù)來(lái)進(jìn)行相應(yīng)地計(jì)算得到待評(píng)估設(shè)備的安全狀態(tài)值，使得更直觀、準(zhǔn)確、有效的表明當(dāng)前設(shè)備安全狀態(tài)。

第二方面，本發(fā)明提供了一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險(xiǎn)評(píng)估裝置，該裝置包括：確定模塊、提取模塊和評(píng)估模塊；

所述確定模塊，設(shè)置于確定預(yù)定的風(fēng)險(xiǎn)庫(kù)，所述風(fēng)險(xiǎn)庫(kù)包括多條風(fēng)險(xiǎn)項(xiàng)的配置信息，所述配置信息包括風(fēng)險(xiǎn)項(xiàng)的識(shí)別碼和描述內(nèi)容；

所述提取模塊，設(shè)置于提取出待評(píng)估設(shè)備中與所述風(fēng)險(xiǎn)項(xiàng)相關(guān)的有效配置信息，并根據(jù)有效配置信息的風(fēng)險(xiǎn)分析結(jié)果獲取所述待評(píng)估設(shè)備觸發(fā)的風(fēng)險(xiǎn)項(xiàng)；

所述評(píng)估模塊，設(shè)置于分別分析預(yù)定的風(fēng)險(xiǎn)庫(kù)中的風(fēng)險(xiǎn)項(xiàng)和所述待評(píng)估設(shè)備觸發(fā)的風(fēng)險(xiǎn)項(xiàng)，采取相應(yīng)的計(jì)算方法，得到所述待評(píng)估設(shè)備的安全狀態(tài)值。

與現(xiàn)有技術(shù)相比，本發(fā)明提供了一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險(xiǎn)評(píng)估裝置，通過(guò)確定模塊確定預(yù)定的風(fēng)險(xiǎn)庫(kù)，提取模塊提取出待評(píng)估設(shè)備中與所述風(fēng)險(xiǎn)項(xiàng)相關(guān)的有效配置信息，并根據(jù)有效配置信息的風(fēng)險(xiǎn)分析結(jié)果獲取觸發(fā)所述待評(píng)估設(shè)備的風(fēng)險(xiǎn)項(xiàng)，評(píng)估模塊分別分析預(yù)定的風(fēng)險(xiǎn)庫(kù)中風(fēng)險(xiǎn)項(xiàng)和所述待評(píng)估 設(shè)備已觸發(fā)的風(fēng)險(xiǎn)項(xiàng)，采取相應(yīng)的計(jì)算方法，得到所述待評(píng)估設(shè)備的安全狀態(tài)值風(fēng)險(xiǎn)值，這樣分析風(fēng)險(xiǎn)項(xiàng)的風(fēng)險(xiǎn)值、風(fēng)險(xiǎn)項(xiàng)之間的關(guān)聯(lián)關(guān)系、所述待評(píng)估設(shè)備的風(fēng)險(xiǎn)項(xiàng)已觸發(fā)的每條風(fēng)險(xiǎn)項(xiàng)的觸發(fā)次數(shù)來(lái)進(jìn)行相應(yīng)地計(jì)算得到待評(píng)估設(shè)備的安全狀態(tài)值，使得更直觀、準(zhǔn)確、有效的表明當(dāng)前設(shè)備安全狀態(tài)。

本發(fā)明的其它特征和優(yōu)點(diǎn)將在隨后的說(shuō)明書(shū)中闡述，并且，部分地從說(shuō)明書(shū)中變得顯而易見(jiàn)，或者通過(guò)實(shí)施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點(diǎn)可通過(guò)在說(shuō)明書(shū)、權(quán)利要求書(shū)以及附圖中所特別指出的結(jié)構(gòu)來(lái)實(shí)現(xiàn)和獲得。

附圖說(shuō)明

附圖用來(lái)提供對(duì)本發(fā)明技術(shù)方案的進(jìn)一步理解，并且構(gòu)成說(shuō)明書(shū)的一部分，與本申請(qǐng)的實(shí)施例一起用于解釋本發(fā)明的技術(shù)方案，并不構(gòu)成對(duì)本發(fā)明技術(shù)方案的限制。

圖1為本發(fā)明提供的一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險(xiǎn)評(píng)估方法實(shí)施例一的流程示意圖；

圖2為本發(fā)明提供的一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險(xiǎn)評(píng)估裝置實(shí)施例一的結(jié)構(gòu)示意圖。

具體實(shí)施方式

為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白，下文中將結(jié)合附圖對(duì)本發(fā)明的實(shí)施例進(jìn)行詳細(xì)說(shuō)明。需要說(shuō)明的是，在不沖突的情況下，本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互任意組合。

在附圖的流程圖示出的步驟可以在諸如一組計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)系統(tǒng)中執(zhí)行。并且，雖然在流程圖中示出了邏輯順序，但是在某些情況下，可以以不同于此處的順序執(zhí)行所示出或描述的步驟。

本發(fā)明實(shí)施例涉及的方法可以應(yīng)用于網(wǎng)絡(luò)安全系統(tǒng)中的單個(gè)設(shè)備，該網(wǎng)絡(luò)安全設(shè)備可以是路由器、防火墻、行為管理器和核心交換機(jī)等設(shè)備，但并不限于此。

本發(fā)明實(shí)施例涉及的方法，旨在解決現(xiàn)有技術(shù)中通過(guò)特定的產(chǎn)品來(lái)對(duì)網(wǎng) 絡(luò)安全設(shè)備配置結(jié)果的分析考慮并不全面，使得最終評(píng)估的結(jié)果不能準(zhǔn)確、有效、多方面的反映網(wǎng)絡(luò)安全設(shè)備的安全狀態(tài)的技術(shù)問(wèn)題。

下面以具體地實(shí)施例對(duì)本發(fā)明的技術(shù)方案進(jìn)行詳細(xì)說(shuō)明。下面這幾個(gè)具體的實(shí)施例可以相互結(jié)合，對(duì)于相同或相似的概念或過(guò)程可能在某些實(shí)施例不再贅述。

圖1為本發(fā)明提供的一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險(xiǎn)評(píng)估方法實(shí)施例一的流程示意圖。本實(shí)施例涉及的是實(shí)現(xiàn)網(wǎng)絡(luò)安全設(shè)備的風(fēng)險(xiǎn)評(píng)估方法的具體過(guò)程。如圖1所示，該方法包括：

s101、確定預(yù)定的風(fēng)險(xiǎn)庫(kù)，所述風(fēng)險(xiǎn)庫(kù)包括多條風(fēng)險(xiǎn)項(xiàng)。

具體的，用戶(hù)可以根據(jù)統(tǒng)一安全策略管控系統(tǒng)提供的標(biāo)準(zhǔn)風(fēng)險(xiǎn)庫(kù)，也可以根據(jù)業(yè)務(wù)需求，自定義風(fēng)險(xiǎn)庫(kù)來(lái)適合企業(yè)的需求，其中，該風(fēng)險(xiǎn)庫(kù)包括了設(shè)備的所有漏洞信息，這里定義每個(gè)漏洞為一條風(fēng)險(xiǎn)項(xiàng)，例如：設(shè)備的管理員密碼為默認(rèn)值，設(shè)備開(kāi)放了telnet服務(wù)等等，但并不限于此。

具體的，每條風(fēng)險(xiǎn)項(xiàng)都有風(fēng)險(xiǎn)項(xiàng)的識(shí)別碼和描述內(nèi)容，對(duì)每個(gè)風(fēng)險(xiǎn)項(xiàng)(也簡(jiǎn)稱(chēng)：漏洞)進(jìn)行了詳細(xì)的分析，并用相應(yīng)的字段進(jìn)行表示，這里每個(gè)風(fēng)險(xiǎn)項(xiàng)包含的字段有：風(fēng)險(xiǎn)項(xiàng)識(shí)別碼、描述內(nèi)容、風(fēng)險(xiǎn)項(xiàng)帶來(lái)的風(fēng)險(xiǎn)值大小、風(fēng)險(xiǎn)項(xiàng)和風(fēng)險(xiǎn)項(xiàng)之間的關(guān)聯(lián)關(guān)系等等，但并不限于此。

s102、提取出待評(píng)估設(shè)備中與所述風(fēng)險(xiǎn)項(xiàng)相關(guān)的有效配置信息，并根據(jù)有效配置信息的風(fēng)險(xiǎn)分析結(jié)果獲取所述待評(píng)估設(shè)備觸發(fā)的風(fēng)險(xiǎn)項(xiàng)。

具體的，可以根據(jù)統(tǒng)一安全策略管控系統(tǒng)通過(guò)ssh遠(yuǎn)程連接到待評(píng)估的設(shè)備，根據(jù)風(fēng)險(xiǎn)庫(kù)中風(fēng)險(xiǎn)項(xiàng)的配置信息對(duì)待評(píng)估設(shè)備的原始配置信息進(jìn)行提取，提取待評(píng)估設(shè)備中與所述風(fēng)險(xiǎn)項(xiàng)相關(guān)的有效信息，即提取可能存在漏洞的所有相關(guān)的有效配置信息形成規(guī)范化數(shù)據(jù)，將所述規(guī)范化數(shù)據(jù)按照預(yù)定的風(fēng)險(xiǎn)庫(kù)進(jìn)行風(fēng)險(xiǎn)分析，獲取所述待評(píng)估設(shè)備已觸發(fā)的風(fēng)險(xiǎn)項(xiàng)，例如，風(fēng)險(xiǎn)庫(kù)中存在一條關(guān)于管理員密碼有效期的風(fēng)險(xiǎn)項(xiàng)，則需提取該待評(píng)估設(shè)備的原始配置信息中的有效數(shù)據(jù)，即密碼有效期的信息，并在規(guī)范化的格式中設(shè)定密碼有效期的字段，且該字段值即為采集到的密碼有效期的值，但并不以此為限。

s103、分別分析預(yù)定的風(fēng)險(xiǎn)庫(kù)中風(fēng)險(xiǎn)項(xiàng)和所述待評(píng)估設(shè)備觸發(fā)的風(fēng)險(xiǎn)項(xiàng)，采取相應(yīng)的計(jì)算方法，得到所述待評(píng)估設(shè)備的安全狀態(tài)值。

具體的，可根據(jù)用戶(hù)選擇的風(fēng)險(xiǎn)庫(kù)分析所選擇的風(fēng)險(xiǎn)庫(kù)中的風(fēng)險(xiǎn)項(xiàng)，并對(duì)所述待評(píng)估設(shè)備觸發(fā)的風(fēng)險(xiǎn)項(xiàng)進(jìn)行分析，可以分析風(fēng)險(xiǎn)項(xiàng)的風(fēng)險(xiǎn)值、風(fēng)險(xiǎn)項(xiàng)之間的關(guān)聯(lián)關(guān)系、觸發(fā)風(fēng)險(xiǎn)項(xiàng)的風(fēng)險(xiǎn)值、觸發(fā)風(fēng)險(xiǎn)項(xiàng)之間的關(guān)聯(lián)關(guān)系等等，將分別分析后的結(jié)果采取相應(yīng)的計(jì)算方法，獲取所述待評(píng)估設(shè)備的安全狀態(tài)值。

本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險(xiǎn)評(píng)估方法，通過(guò)確定預(yù)定的風(fēng)險(xiǎn)庫(kù)，提取出待評(píng)估設(shè)備中與所述風(fēng)險(xiǎn)項(xiàng)相關(guān)的有效配置信息，并根據(jù)有效配置信息的風(fēng)險(xiǎn)分析結(jié)果獲取觸發(fā)所述待評(píng)估設(shè)備的風(fēng)險(xiǎn)項(xiàng)，分析預(yù)定的風(fēng)險(xiǎn)庫(kù)中風(fēng)險(xiǎn)項(xiàng)和所述待評(píng)估設(shè)備已觸發(fā)的風(fēng)險(xiǎn)項(xiàng)，采取相應(yīng)的計(jì)算方法，得到所述待評(píng)估設(shè)備的安全狀態(tài)值風(fēng)險(xiǎn)值，通過(guò)分析風(fēng)險(xiǎn)項(xiàng)的風(fēng)險(xiǎn)值、風(fēng)險(xiǎn)項(xiàng)之間的關(guān)聯(lián)關(guān)系、所述待評(píng)估設(shè)備的風(fēng)險(xiǎn)項(xiàng)已觸發(fā)的每條風(fēng)險(xiǎn)項(xiàng)的觸發(fā)次數(shù)來(lái)進(jìn)行相應(yīng)地計(jì)算得到待評(píng)估設(shè)備的安全狀態(tài)值，使得更直觀、準(zhǔn)確、有效的表明當(dāng)前設(shè)備安全狀態(tài)。

進(jìn)一步地，在上述實(shí)施例的基礎(chǔ)上，在上述步驟101確定預(yù)定的風(fēng)險(xiǎn)庫(kù)之前，還包括：

預(yù)先收集各配置類(lèi)型的風(fēng)險(xiǎn)庫(kù)，所述配置類(lèi)型包括基線庫(kù)和/或訪問(wèn)控制列表acl庫(kù)。

具體的，本發(fā)明實(shí)施例的風(fēng)險(xiǎn)評(píng)估是從風(fēng)險(xiǎn)項(xiàng)的角度觸發(fā)，通過(guò)預(yù)定的分析方法來(lái)判斷待評(píng)估設(shè)備的配置是否存在風(fēng)險(xiǎn)項(xiàng)，并結(jié)合這些風(fēng)險(xiǎn)項(xiàng)存在的風(fēng)險(xiǎn)值來(lái)判斷待評(píng)估設(shè)備的安全狀態(tài)值，因此，預(yù)處理中需要對(duì)待評(píng)估設(shè)備的配置信息進(jìn)行收集和描述，形成基線分析和/或acl風(fēng)險(xiǎn)分析等配置類(lèi)型所需的風(fēng)險(xiǎn)庫(kù)，其中，風(fēng)險(xiǎn)庫(kù)的形成參考了當(dāng)前知名漏洞庫(kù)，如cve；也可以參考設(shè)備配置規(guī)范要求，如nist關(guān)于防火墻配置規(guī)范，還可以參考通用的一些標(biāo)準(zhǔn)，如基線標(biāo)準(zhǔn)、合規(guī)標(biāo)準(zhǔn)、pci標(biāo)準(zhǔn)等等，但并不限于此。

具體的，預(yù)先收集的風(fēng)險(xiǎn)庫(kù)可以根據(jù)配置類(lèi)型進(jìn)行分類(lèi)，將風(fēng)險(xiǎn)庫(kù)具體區(qū)分為基線模塊的基線庫(kù)和acl風(fēng)險(xiǎn)庫(kù)，從而可以分別用于基線分析和acl風(fēng)險(xiǎn)分析。

進(jìn)一步地，在上述實(shí)施例的基礎(chǔ)上，分析預(yù)定的風(fēng)險(xiǎn)庫(kù)中的風(fēng)險(xiǎn)項(xiàng)，包括：

統(tǒng)計(jì)預(yù)定的風(fēng)險(xiǎn)庫(kù)中的風(fēng)險(xiǎn)項(xiàng)的總數(shù)；

采用cvss3.0評(píng)分方法分析獲取預(yù)定的風(fēng)險(xiǎn)庫(kù)中的風(fēng)險(xiǎn)項(xiàng)的風(fēng)險(xiǎn)值；

確定預(yù)定風(fēng)險(xiǎn)庫(kù)中任意兩條風(fēng)險(xiǎn)項(xiàng)之間的關(guān)聯(lián)關(guān)系，其中，觸發(fā)第一條風(fēng)險(xiǎn)項(xiàng)必定會(huì)觸發(fā)第二條風(fēng)險(xiǎn)項(xiàng)，且觸發(fā)所述第二條風(fēng)險(xiǎn)項(xiàng)不會(huì)觸發(fā)所述第一條風(fēng)險(xiǎn)項(xiàng)，則確定所述第一條風(fēng)險(xiǎn)項(xiàng)和第二條風(fēng)險(xiǎn)項(xiàng)之間存在關(guān)聯(lián)。

具體的，這里用于分析的風(fēng)險(xiǎn)庫(kù)可以是統(tǒng)一安全策略管控系統(tǒng)提供的標(biāo)準(zhǔn)庫(kù)、風(fēng)險(xiǎn)總庫(kù)，也可以由用戶(hù)根據(jù)自己的業(yè)務(wù)需求，組合而成的適合自身企業(yè)的自定義風(fēng)險(xiǎn)庫(kù)，統(tǒng)計(jì)預(yù)定的風(fēng)險(xiǎn)庫(kù)中的風(fēng)險(xiǎn)項(xiàng)的總數(shù)，并采用cvss3.0評(píng)分方法分析獲取預(yù)定的風(fēng)險(xiǎn)庫(kù)中的風(fēng)險(xiǎn)項(xiàng)的風(fēng)險(xiǎn)值，統(tǒng)一安全策略管控系統(tǒng)采用官方最新的cvss3.0評(píng)分方法，從漏洞的攻擊途徑、攻擊復(fù)雜度、特權(quán)、用戶(hù)交互、機(jī)密性、完整性、可用性等角度進(jìn)行考慮，利用cvss3.0評(píng)分公式，評(píng)估當(dāng)前漏洞的風(fēng)險(xiǎn)值，并對(duì)漏洞得分進(jìn)行定性分析，劃分成嚴(yán)重、高、中、低、輕微五個(gè)等級(jí)，用以直觀的判斷當(dāng)前漏洞的嚴(yán)重程度，采用公認(rèn)的cvss3.0評(píng)分方法，使得漏洞的風(fēng)險(xiǎn)值更加準(zhǔn)確、可靠、可信。

其中，對(duì)于風(fēng)險(xiǎn)項(xiàng)與風(fēng)險(xiǎn)項(xiàng)之間的關(guān)聯(lián)關(guān)系，主要是用來(lái)分析預(yù)定的風(fēng)險(xiǎn)庫(kù)中的不同的風(fēng)險(xiǎn)項(xiàng)(即漏洞)之間的關(guān)聯(lián)關(guān)系，這里關(guān)聯(lián)關(guān)系的定義為：對(duì)風(fēng)險(xiǎn)庫(kù)中任意兩條風(fēng)險(xiǎn)項(xiàng)(即漏洞)a、b，如果觸發(fā)風(fēng)險(xiǎn)項(xiàng)a的所有風(fēng)險(xiǎn)庫(kù)規(guī)則必定會(huì)觸發(fā)風(fēng)險(xiǎn)項(xiàng)b，并且觸發(fā)風(fēng)險(xiǎn)項(xiàng)b的風(fēng)險(xiǎn)庫(kù)規(guī)則不一定觸發(fā)風(fēng)險(xiǎn)項(xiàng)a，則認(rèn)為風(fēng)險(xiǎn)a與風(fēng)險(xiǎn)項(xiàng)b存在關(guān)聯(lián)關(guān)系，其中風(fēng)險(xiǎn)項(xiàng)b包含風(fēng)險(xiǎn)項(xiàng)a。從定義可以看出，若不考慮這種包含關(guān)系，在對(duì)設(shè)備的安全得分進(jìn)行計(jì)算時(shí)，則會(huì)導(dǎo)致觸發(fā)被包含的風(fēng)險(xiǎn)項(xiàng)(即漏洞)的acl規(guī)則被計(jì)算多次，導(dǎo)致設(shè)備的風(fēng)險(xiǎn)得分變高，安全得分降低。實(shí)際中，依據(jù)上述關(guān)聯(lián)關(guān)系的定義，對(duì)風(fēng)險(xiǎn)庫(kù)中的風(fēng)險(xiǎn)項(xiàng)進(jìn)行關(guān)聯(lián)關(guān)系分析，分析步驟如下：

(1)對(duì)預(yù)定的風(fēng)險(xiǎn)庫(kù)任意的兩條風(fēng)險(xiǎn)項(xiàng)a、b，依據(jù)關(guān)聯(lián)關(guān)系的定義，分析這兩條風(fēng)險(xiǎn)項(xiàng)是否存在關(guān)聯(lián)關(guān)系；

(2)若(1)中的風(fēng)險(xiǎn)項(xiàng)a、b存在關(guān)聯(lián)關(guān)系，且b包含a，則在風(fēng)險(xiǎn)項(xiàng)b的“漏洞關(guān)聯(lián)關(guān)系”字段添加風(fēng)險(xiǎn)項(xiàng)a的漏洞id。

例如：風(fēng)險(xiǎn)項(xiàng)r1檢查外網(wǎng)到內(nèi)網(wǎng)是否開(kāi)放服務(wù)為any類(lèi)型的規(guī)則，風(fēng)險(xiǎn)項(xiàng)r2檢查外網(wǎng)到內(nèi)網(wǎng)是否開(kāi)放telnet服務(wù)，風(fēng)險(xiǎn)項(xiàng)r3檢查外網(wǎng)到內(nèi)網(wǎng)是否開(kāi)放x11服務(wù)，通過(guò)分析r1、r2、r3之間的關(guān)聯(lián)關(guān)系可以得出結(jié)論：觸發(fā)風(fēng)險(xiǎn)項(xiàng)r1的acl規(guī)則必然會(huì)觸發(fā)風(fēng)險(xiǎn)項(xiàng)r2、r3，因此，需在風(fēng)險(xiǎn)項(xiàng)r2和r3的“漏洞關(guān)聯(lián)關(guān)系”字段添加值r1。這里若不考慮它們之間的關(guān)聯(lián)關(guān)系，則會(huì)出現(xiàn)觸發(fā)風(fēng)險(xiǎn)項(xiàng)r1的acl規(guī)則被計(jì)算多次(例中可得出觸發(fā)r1的每條acl規(guī)則都被計(jì)算了3次)。將這種包含關(guān)系考慮進(jìn)去，去除重復(fù)計(jì)算的acl規(guī)則，提高了系統(tǒng)設(shè)備acl模塊和設(shè)備綜合安全狀態(tài)分析結(jié)果的準(zhǔn)確性。

進(jìn)一步地，在上述實(shí)施例的基礎(chǔ)上，分析所述待評(píng)估設(shè)備觸發(fā)的風(fēng)險(xiǎn)項(xiàng)，包括：

若預(yù)定的風(fēng)險(xiǎn)庫(kù)包括訪問(wèn)控制列表acl庫(kù)時(shí)，分析所述待評(píng)估設(shè)備觸發(fā)的每條風(fēng)險(xiǎn)項(xiàng)的觸發(fā)次數(shù)、風(fēng)險(xiǎn)項(xiàng)的風(fēng)險(xiǎn)值以及風(fēng)險(xiǎn)項(xiàng)之間的關(guān)聯(lián)關(guān)系這三者中的一個(gè)或者多個(gè)。

具體的，若預(yù)定的風(fēng)險(xiǎn)庫(kù)中是多種類(lèi)型的acl風(fēng)險(xiǎn)庫(kù)，用戶(hù)可根據(jù)選擇的acl風(fēng)險(xiǎn)庫(kù)分析觸發(fā)所述待評(píng)估設(shè)備的每條風(fēng)險(xiǎn)項(xiàng)的觸發(fā)次數(shù)、風(fēng)險(xiǎn)項(xiàng)的風(fēng)險(xiǎn)值以及風(fēng)險(xiǎn)項(xiàng)之間的關(guān)聯(lián)關(guān)系這三者中一個(gè)或者多個(gè)。需要說(shuō)明的是，采用不同的風(fēng)險(xiǎn)庫(kù)進(jìn)行分析，檢測(cè)出的漏洞信息也是不同的。下面將通過(guò)實(shí)施例來(lái)進(jìn)行詳細(xì)說(shuō)明，具體如下：

(1)根據(jù)用戶(hù)選擇的風(fēng)險(xiǎn)庫(kù)對(duì)規(guī)范化的acl策略數(shù)據(jù)進(jìn)行風(fēng)險(xiǎn)分析，統(tǒng)計(jì)觸發(fā)每條風(fēng)險(xiǎn)項(xiàng)(即漏洞)的acl策略的識(shí)別碼號(hào)；

(2)對(duì)步驟(1)中的結(jié)果依據(jù)風(fēng)險(xiǎn)項(xiàng)與風(fēng)險(xiǎn)項(xiàng)之間的關(guān)聯(lián)關(guān)系進(jìn)行處理，去除重復(fù)計(jì)算的acl策略的id號(hào)，得到處理后的觸發(fā)每條風(fēng)險(xiǎn)項(xiàng)的acl策略的id號(hào)；

(3)根據(jù)(2)中的處理結(jié)果統(tǒng)計(jì)觸發(fā)每條風(fēng)險(xiǎn)項(xiàng)的次數(shù)，其中一個(gè)acl策略id號(hào)則代表觸發(fā)一次。例如，對(duì)于一個(gè)風(fēng)險(xiǎn)值較低的風(fēng)險(xiǎn)項(xiàng)，觸發(fā)了1次和觸發(fā)了100次，評(píng)估這個(gè)風(fēng)險(xiǎn)項(xiàng)給系統(tǒng)造成的安全影響是不同的，觸發(fā)次數(shù)較多的風(fēng)險(xiǎn)項(xiàng)，表明這個(gè)風(fēng)險(xiǎn)項(xiàng)被使用的次數(shù)較高，而越多次的被使用，則說(shuō)明存在惡意的使用次數(shù)相對(duì)是比較多的，從而增加了待評(píng)估設(shè)備的風(fēng)險(xiǎn) 值。

(4)根據(jù)(1)、(2)、(3)的分析結(jié)果，獲取待評(píng)估設(shè)備acl安全狀態(tài)值。

對(duì)于上述的分析過(guò)程(4)，下面給出一種計(jì)算過(guò)程，具體如下：

統(tǒng)計(jì)預(yù)定的風(fēng)險(xiǎn)庫(kù)中風(fēng)險(xiǎn)項(xiàng)總數(shù)m和觸發(fā)每條風(fēng)險(xiǎn)項(xiàng)的acl規(guī)則總數(shù)xi(i＝1,2,…,n)，按照計(jì)算公式得到安全狀態(tài)值，其中，所述sn為觸發(fā)的風(fēng)險(xiǎn)項(xiàng)總分，所述st為未觸發(fā)的風(fēng)險(xiǎn)項(xiàng)總分,所述所述所述權(quán)重值ri為所述風(fēng)險(xiǎn)項(xiàng)的風(fēng)險(xiǎn)值，(i＝1,2,3,…,n)為觸發(fā)風(fēng)險(xiǎn)項(xiàng)，n小于等于m，(i＝n+1,…,m)為未觸發(fā)的風(fēng)險(xiǎn)項(xiàng)，xi取值1,2,3,…。

上述的流程中，通過(guò)分析acl風(fēng)險(xiǎn)分析檢測(cè)出的已觸發(fā)的風(fēng)險(xiǎn)項(xiàng)(即漏洞)、風(fēng)險(xiǎn)項(xiàng)的風(fēng)險(xiǎn)值、風(fēng)險(xiǎn)項(xiàng)被觸發(fā)的次數(shù)，分析了系統(tǒng)設(shè)備acl模塊的安全狀態(tài)，并得出相應(yīng)的安全狀態(tài)值。

此方法在分析時(shí)，相對(duì)已有的技術(shù)考慮了風(fēng)險(xiǎn)項(xiàng)之間的關(guān)聯(lián)關(guān)系、風(fēng)險(xiǎn)項(xiàng)被觸發(fā)的次數(shù)問(wèn)題，分析更加全面。而風(fēng)險(xiǎn)值的計(jì)算采用cvss3.0評(píng)分技術(shù)，相對(duì)取經(jīng)驗(yàn)值的方法，該方法更加可靠、可信。此外，計(jì)算得到系統(tǒng)安全狀態(tài)值更直觀、準(zhǔn)確、有效的表明當(dāng)前設(shè)備安全狀態(tài)。

進(jìn)一步地，在上述實(shí)施例的基礎(chǔ)上，分析所述待評(píng)估設(shè)備觸發(fā)的風(fēng)險(xiǎn)項(xiàng)，包括：

若預(yù)定的風(fēng)險(xiǎn)庫(kù)包括基線庫(kù)時(shí)，分析所述待評(píng)估設(shè)備觸發(fā)的風(fēng)險(xiǎn)項(xiàng)的風(fēng)險(xiǎn)值。

具體的，若確定預(yù)定的風(fēng)險(xiǎn)庫(kù)是多種類(lèi)型的基線風(fēng)險(xiǎn)庫(kù)，用戶(hù)可根據(jù)選擇的基線風(fēng)險(xiǎn)庫(kù)分析每條風(fēng)險(xiǎn)項(xiàng)的風(fēng)險(xiǎn)值，并根據(jù)歸一化的基線模塊的數(shù)據(jù)，進(jìn)行基線模塊的風(fēng)險(xiǎn)分析。這里用于分析的基線庫(kù)可以是統(tǒng)一安全策略管控系統(tǒng)自帶的基線庫(kù)，也可以是用戶(hù)根據(jù)自身業(yè)務(wù)需求自定義的基線庫(kù)，選擇的基線庫(kù)不同，最終的評(píng)估結(jié)果也不相同。下面將通過(guò)實(shí)施例來(lái)進(jìn)行詳細(xì)說(shuō)明，具體如下：

(1)從風(fēng)險(xiǎn)庫(kù)中選擇出與基線相關(guān)的所有基線庫(kù)，用戶(hù)依據(jù)選擇的基線庫(kù)，對(duì)所述待評(píng)估設(shè)備的歸一化基線數(shù)據(jù)進(jìn)行基線分析；

(2)根據(jù)(1)中檢查出的已觸發(fā)的風(fēng)險(xiǎn)項(xiàng)(即漏洞)，風(fēng)險(xiǎn)項(xiàng)的風(fēng)險(xiǎn)值，進(jìn)行安全狀態(tài)值的計(jì)算；

(3)對(duì)于上述的分析過(guò)程(2)，下面給出一種計(jì)算過(guò)程，具體如下：統(tǒng)計(jì)預(yù)定的風(fēng)險(xiǎn)庫(kù)中風(fēng)險(xiǎn)項(xiàng)總數(shù)m，按照計(jì)算公式：

得到安全狀態(tài)值，其中，所述s'n為觸發(fā)的風(fēng)險(xiǎn)項(xiàng)總分，所述st'為未觸發(fā)的風(fēng)險(xiǎn)項(xiàng)總分,所述所述所述權(quán)重值ri為所述風(fēng)險(xiǎn)項(xiàng)的風(fēng)險(xiǎn)值，(i＝1,2,3,…,n)為觸發(fā)風(fēng)險(xiǎn)項(xiàng)，n小于等于m，(i＝n+1,…,m)為未觸發(fā)的風(fēng)險(xiǎn)項(xiàng)。

上述的流程中，通過(guò)分析基線分析檢測(cè)出的已觸發(fā)的風(fēng)險(xiǎn)項(xiàng)(即漏洞)、風(fēng)險(xiǎn)項(xiàng)的風(fēng)險(xiǎn)值、分析了系統(tǒng)設(shè)備基線模塊的安全狀態(tài)，并得出相應(yīng)的安全狀態(tài)值。

此方法在分析時(shí)，對(duì)風(fēng)險(xiǎn)項(xiàng)(即漏洞)的風(fēng)險(xiǎn)值的計(jì)算采用cvss3.0評(píng)分技術(shù)，相對(duì)取經(jīng)驗(yàn)值的方法，該方法更加可靠、可信。此外，計(jì)算得到系統(tǒng)安全狀態(tài)值更直觀、準(zhǔn)確、有效的表明當(dāng)前設(shè)備安全狀態(tài)。

進(jìn)一步地，在上述實(shí)施例的基礎(chǔ)上，若確定預(yù)定的風(fēng)險(xiǎn)庫(kù)包括基線庫(kù)和訪問(wèn)控制列表acl庫(kù)時(shí)，分別分析預(yù)定的風(fēng)險(xiǎn)庫(kù)中的風(fēng)險(xiǎn)項(xiàng)和所述待評(píng)估設(shè)備觸發(fā)的風(fēng)險(xiǎn)項(xiàng)，采取相應(yīng)的計(jì)算方法，得到所述待評(píng)估設(shè)備的安全狀態(tài)值，下面將通過(guò)實(shí)施例來(lái)進(jìn)行詳細(xì)說(shuō)明，具體如下：

(1)判斷待評(píng)估設(shè)備是否支持acl風(fēng)險(xiǎn)分析，若支持則執(zhí)行acl模塊的安全狀態(tài)分析，具體執(zhí)行方法，同上述實(shí)施例中acl風(fēng)險(xiǎn)庫(kù)，若不支持，則不執(zhí)行；

(2)對(duì)待分析的設(shè)備執(zhí)行基線模塊的安全狀態(tài)分析，具體執(zhí)行方法，同實(shí)施例中基線庫(kù)；

(3)根據(jù)(1)和(2)的分析結(jié)果，分析設(shè)備的綜合安全狀態(tài)。

對(duì)于上述的分析過(guò)程(3)，按照計(jì)算公式進(jìn)行計(jì)算：

其中，所述sn為訪問(wèn)控制列表acl庫(kù)時(shí)所觸發(fā)的風(fēng)險(xiǎn)項(xiàng)總分，所述st為為訪問(wèn)控制列表acl庫(kù)時(shí)未觸發(fā)的風(fēng)險(xiǎn)項(xiàng)總分，所述s'n為基線庫(kù)時(shí)所觸發(fā)的觸發(fā)的風(fēng)險(xiǎn)項(xiàng)總分，所述st'為為基線庫(kù)時(shí)未觸發(fā)的風(fēng)險(xiǎn)項(xiàng)總分。

通過(guò)對(duì)待評(píng)估設(shè)備綜合安全狀態(tài)分析，分析了基線分析和acl分析檢測(cè)出的已觸發(fā)風(fēng)險(xiǎn)項(xiàng)(即漏洞)信息、風(fēng)險(xiǎn)項(xiàng)的風(fēng)險(xiǎn)值、風(fēng)險(xiǎn)項(xiàng)被觸發(fā)的次數(shù)，分析了系統(tǒng)設(shè)備綜合安全狀態(tài)，并得出相應(yīng)的安全狀態(tài)值。

此方法在分析時(shí)，相對(duì)已有的技術(shù)考慮風(fēng)險(xiǎn)項(xiàng)之間的關(guān)聯(lián)關(guān)系、風(fēng)險(xiǎn)項(xiàng)被觸發(fā)的次數(shù)問(wèn)題，分析更加全面。而風(fēng)險(xiǎn)值的計(jì)算采用cvss3.0評(píng)分技術(shù)，相對(duì)取經(jīng)驗(yàn)值的方法，該方法更加可靠、可信。此外，計(jì)算得到系統(tǒng)安全狀態(tài)值更直觀、準(zhǔn)確、有效的表明當(dāng)前設(shè)備安全狀態(tài)。

圖2為本發(fā)明提供的一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險(xiǎn)評(píng)估裝置實(shí)施例一的結(jié)構(gòu)示意圖，如圖2所示，一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險(xiǎn)評(píng)估裝置，包括確定模塊10、提取模塊20和評(píng)估模塊30；

所述確定模塊10，設(shè)置于確定預(yù)定的風(fēng)險(xiǎn)庫(kù)，所述風(fēng)險(xiǎn)庫(kù)包括多條風(fēng)險(xiǎn)項(xiàng)的配置信息，所述配置信息包括風(fēng)險(xiǎn)項(xiàng)的識(shí)別碼和描述內(nèi)容；

所述提取模塊20，設(shè)置于提取出待評(píng)估設(shè)備中與所述風(fēng)險(xiǎn)項(xiàng)相關(guān)的有效配置信息，并根據(jù)有效配置信息的風(fēng)險(xiǎn)分析結(jié)果獲取所述待評(píng)估設(shè)備已觸發(fā)的風(fēng)險(xiǎn)項(xiàng)；

所述評(píng)估模塊30，設(shè)置于分別分析預(yù)定的風(fēng)險(xiǎn)庫(kù)中的風(fēng)險(xiǎn)項(xiàng)和所述待評(píng)估設(shè)備觸發(fā)的風(fēng)險(xiǎn)項(xiàng)，采取相應(yīng)的計(jì)算方法，得到所述待評(píng)估設(shè)備的安全狀態(tài)值。

本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險(xiǎn)評(píng)估裝置，包括：確定模塊、提取模塊和評(píng)估模塊，通過(guò)確定模塊確定預(yù)定的風(fēng)險(xiǎn)庫(kù)，提取模塊提取出待評(píng)估設(shè)備中與所述風(fēng)險(xiǎn)項(xiàng)相關(guān)的有效配置信息，并根據(jù)有效配置信息的風(fēng)險(xiǎn)分析結(jié)果獲取觸發(fā)所述待評(píng)估設(shè)備的風(fēng)險(xiǎn)項(xiàng)，評(píng)估模塊分別分析預(yù)定的風(fēng)險(xiǎn)庫(kù)中風(fēng)險(xiǎn)項(xiàng)和所述待評(píng)估設(shè)備已觸發(fā)的風(fēng)險(xiǎn)項(xiàng)，采取相應(yīng)的計(jì)算方法， 得到所述待評(píng)估設(shè)備的安全狀態(tài)值風(fēng)險(xiǎn)值，通過(guò)分析風(fēng)險(xiǎn)項(xiàng)的風(fēng)險(xiǎn)值、風(fēng)險(xiǎn)項(xiàng)之間的關(guān)聯(lián)關(guān)系、所述待評(píng)估設(shè)備的風(fēng)險(xiǎn)項(xiàng)已觸發(fā)的每條風(fēng)險(xiǎn)項(xiàng)的觸發(fā)次數(shù)來(lái)進(jìn)行相應(yīng)地計(jì)算得到待評(píng)估設(shè)備的安全狀態(tài)值，使得更直觀、準(zhǔn)確、有效的表明當(dāng)前設(shè)備安全狀態(tài)。

進(jìn)一步地，在上述實(shí)施例的基礎(chǔ)上，還包括：預(yù)處理模塊40；

所述預(yù)處理模塊40，設(shè)置于在確定預(yù)定的風(fēng)險(xiǎn)庫(kù)之前，預(yù)先收集各配置類(lèi)型的風(fēng)險(xiǎn)庫(kù)，所述配置類(lèi)型至少包括基線庫(kù)和/或訪問(wèn)控制列表acl庫(kù)。

本發(fā)明實(shí)施例提供的裝置，可以執(zhí)行上述方法實(shí)施例，其實(shí)現(xiàn)原理和技術(shù)效果類(lèi)似，在此不再贅述。

進(jìn)一步地，在上述實(shí)施例的基礎(chǔ)上，所述評(píng)估模塊30設(shè)置于分析預(yù)定的風(fēng)險(xiǎn)庫(kù)中的風(fēng)險(xiǎn)項(xiàng)，是指：

所述評(píng)估模塊設(shè)置于統(tǒng)計(jì)預(yù)定的風(fēng)險(xiǎn)庫(kù)中的風(fēng)險(xiǎn)項(xiàng)的總數(shù)；

采用cvss3.0評(píng)分方法分析獲取預(yù)定的風(fēng)險(xiǎn)庫(kù)中的風(fēng)險(xiǎn)項(xiàng)的風(fēng)險(xiǎn)值；

確定預(yù)定風(fēng)險(xiǎn)庫(kù)中任意兩條風(fēng)險(xiǎn)項(xiàng)之間的關(guān)聯(lián)關(guān)系，其中，觸發(fā)第一條風(fēng)險(xiǎn)項(xiàng)必定會(huì)觸發(fā)第二條風(fēng)險(xiǎn)項(xiàng)，且觸發(fā)所述第二條風(fēng)險(xiǎn)項(xiàng)不會(huì)觸發(fā)所述第一條風(fēng)險(xiǎn)項(xiàng)，則確定所述第一條風(fēng)險(xiǎn)項(xiàng)和第二條風(fēng)險(xiǎn)項(xiàng)之間存在關(guān)聯(lián)。

進(jìn)一步地，在上述實(shí)施例的基礎(chǔ)上，所述評(píng)估模塊30設(shè)置于分析所述待評(píng)估設(shè)備已觸發(fā)的風(fēng)險(xiǎn)項(xiàng)，是指：

所述評(píng)估模塊設(shè)置于若預(yù)定的風(fēng)險(xiǎn)庫(kù)包括訪問(wèn)控制列表acl庫(kù)時(shí)，分析觸發(fā)所述待評(píng)估設(shè)備觸發(fā)的每條風(fēng)險(xiǎn)項(xiàng)的觸發(fā)次數(shù)、風(fēng)險(xiǎn)項(xiàng)的風(fēng)險(xiǎn)值以及風(fēng)險(xiǎn)項(xiàng)之間的關(guān)聯(lián)關(guān)系這三者中的一個(gè)或者多個(gè)。

本發(fā)明實(shí)施例提供的裝置，可以執(zhí)行上述方法實(shí)施例，其實(shí)現(xiàn)原理和技術(shù)效果類(lèi)似，在此不再贅述。

進(jìn)一步地，在上述實(shí)施例的基礎(chǔ)上，所述評(píng)估模塊30設(shè)置于分析所述待評(píng)估設(shè)備觸發(fā)的風(fēng)險(xiǎn)項(xiàng)，是指：

所述評(píng)估模塊30設(shè)置于若預(yù)定的風(fēng)險(xiǎn)庫(kù)包括基線庫(kù)時(shí)，分析所述待評(píng)估設(shè)備觸發(fā)的風(fēng)險(xiǎn)項(xiàng)的風(fēng)險(xiǎn)值。

本發(fā)明實(shí)施例提供的裝置，可以執(zhí)行上述方法實(shí)施例，其實(shí)現(xiàn)原理和技術(shù)效果類(lèi)似，在此不再贅述。

雖然本發(fā)明所揭露的實(shí)施方式如上，但所述的內(nèi)容僅為便于理解本發(fā)明而采用的實(shí)施方式，并非用以限定本發(fā)明。任何本發(fā)明所屬領(lǐng)域內(nèi)的技術(shù)人員，在不脫離本發(fā)明所揭露的精神和范圍的前提下，可以在實(shí)施的形式及細(xì)節(jié)上進(jìn)行任何的修改與變化，但本發(fā)明的專(zhuān)利保護(hù)范圍，仍須以所附的權(quán)利要求書(shū)所界定的范圍為準(zhǔn)。