专利名称::网络风险的预测评估的制作方法网络风险的预测评估相关案例的交叉引用本申请要求Jeschke等人于2007年3月16日提交的、题为"PredictiveAssessmentofNetworkVulnerabilities(网络弱点的预测评估)"的美国临时专利申请60/895,339的优先权,其整体通过引用包含于此。背景.计算机网络功能可以采取许多形式,并且任何一次攻击可以包括许多不同类型的安全事件。安全事件是反常的网络状况,其中每一个可以导致对计算机网络的反安全影响。安全事件包括偷窃保密或私人信息;通过诸如病毒、蠕虫或木马的机制产生网络破坏;吞没网络的容量以造成拒绝服务等。网络安全风险评估工具,即"扫描程序"可以由网络管理器用于模拟经由远程连接对计算机系统的攻击。这种扫描程序可以通过模拟构成攻击的某些类型的安全事件来探测网络的薄弱点。这种工具也可以测试用户口令的适用性和安全性。而且,扫描程序可以搜索诸如病毒、蠕虫或木马的恶意程序形式的已知类型的安全事件。在科罗拉多理工大学(科罗拉多斯普林斯)的MartinCarmichael的2001年7月的题为ADomainModelforEvaluatingEnterpriseSecurity(用干评估企业安全的域模型)的博士论文中描述了一种用于预测性地评估网络弱点的方法。概述在某些实现中,用于检测计算机设备的网络中的技术弱点的系统和方法是基于在计算机设备处执行的进程的软件特征的。在一个优选的实现中,系统标识组织中各个计算设备处的进程、标识与进程相关联的软件特征、对软件特征应用技术控制、基于经修改的技术控制确定风险指数、将管理控制应用于风险指数、合计指数以创建风险模型、确定备选风险模型并提交风险模型以供用户考虑和分析。在优选实现中,系统评估软件服务之间的交互或相关性以确定安全度量的值。在优选的实现中,为各个管理和/或技术控制设置确定风险指数以5便于分析管理控制和/或技术控制的相对影响和价值。同样在优选实现中,系统确定营业单位特定的风险因素,这在其中营业单位实现各不相同的协议和程序并提供各种响应风险因素查询,以及提供合计的风险指数的情况下是有利的,其中合计的风险指数是个别确定的营业单位的风险指数的函数。在附图和以下描述中提出了本发明的一个或多个实施例的细节。各个实现的其它特征、对象和优点会从描述和附图以及从权利要求变得显而易见。详细描述图1是示出用于技术风险管理的系统的示例的框图。图2是示出网络扫描信息的示例的数据结构。图3是示出特定进程的软件特征的示例的数据结构。图4是其中用户可以输入技术控制信息的图形用户界面(GUI)的示例。图5是其中用户可输入管理控制信息的GUI的示例。图6是用于呈现与当前风险模型相关联的保密性风险指数的图表的示例。图7是用于比较与当前风险模型相关联的和与模拟的风险模型相关联的保密性风险指数的图表的示例。图8是示出用于技术风险管理的进程的示例的流程图。图9是示出可以结合本说明书中所描述的计算机实现的方法使用的计算系统的示例的示意图。各个附图中相同的参考符号指示相同的元素。说明性实现的详细描述预测性评估网络弱点和/或风险的一个实现涉及通过为在企业中运行的各个软件进程对以下各项求和来计算保密性的度量i)基于网络、安全级别、调用和木马特征所分配的常数的算术和,ii)基于加密、配置、调用、特权和验证特征分配的常数乘以反映这些特征对保密性的相对影响的加权常数的和,基于主机的性质分配的常数,iv)基于技术控制(例如补丁管理和硬盘驱动器再成像)的特征分配的常数,以及v)与管理控制(例如ISO17799下的安全控制)相关联的常数。依照相同的协议来测量完整性、审计和责任性(accountability)的值,但是对于不同的软件特征(包括图1中所示的那些附加的软件特征)根据其对所讨论的风险度量的相对贡献乘以不同的加权变量。就控制对总体风险的影响的程度和/或对诸如IS017799和IDTSCAP调査的调查的回答的行业经验来分配控制的值。图1是示出用于技术风险管理的系统100的示例的框图。系统100可以是例如公司或企业内的计算机网络。系统100包括可以通过网络104通信的一个或多个计算机设备102a-d。计算机设备102a-d可以是例如台式计算机、膝上型计算机、服务器、路由器、防火墙或其它计算机设备。网络104可以是例如局域网(LAN)、广域网(WAN)因特网或其某种组合。计算机设备102a、102b、102和102d的每一个分别执行一个或多个进程106a-c、108a-c、110a-c和112a-c。进程106a-c、108a-c、110a-c和112a-c可以是例如超文本传输协议(HTTP)服务器、简单网络管理协议(SMTP)服务器、简单邮件传输协议(SMTP)服务器、网络基本输入/输出系统(NetBIOS)名称服务、NetBIOS会话服务或NetBIOS数据报分发服务等。分别在计算机102a、102b、102和102d处执行的进程106a-c、108a-c、llOa-c和112a-c表示对由系统100提供的数据和服务的风险。有意地或无意地,用户可以使用进程106a-c、108a-c、llOa-c和112a-c的特征以危害系统100的安全的一个或多个风险类别。例如,风险类别可以包括保密性、完整性、可用性以及审计(也称为会计或责任性)。这些风险类别可被称为CIAA。此外,其它类别可用于组织风险,诸如不否认(repudiation)、验证、效用、拥有/控制以及授设。在图l的实施例中,保密性包括确保有关数据或服务的隐私性,完整性可以包括确保有关数据或服务的不变更性,可用性可以包括确保对数据和/或服务的及时且可靠的访问、审计包括确保将活动追溯到负责的和/或经授权的个体、应用程序或设备,不否认包括就数据和/或服务而向发送者提供传递的证据以及向接收者提供发送者的身份的证据,验证包括验证个体、应用程序或设备的身份,效用包括有关数据和/或服务的有效性,拥有/控制包括对除由保密性类别包含的个人标识信息之外的数据和/或服务的访问,而授权包括将特定类型的服务或数据授权给特定的个人、应用程序或设备。系统IOO对CIAA风险类别的每一个中的进程106a-c、108a-c、110a-c和112a-c评级。每个CIAA类别的评级被称为CIAA风险指数。CIAA风险指数指示在特定CIAA风险类别中发生的无法预料的危害的可能性。例如,每个CIAA风险指数可以包括发生不可预料的危害的概率或在无法预料的危害发生之前经过的预测的时间量。系统100基于软件特征计算CIAA风险指数。进程106a-c、108a-c、110a-c和112a-c的每一个都具有描述相应的进程的特征的一组相关联的软件特征,如下文将中进一步描述的。系统IOO包括确定在计算机设备102a-d处执行的进程的计算机设备114。具体地,计算机设备114执行网络扫描程序116。网络扫描程序116可以例如试图与客户机设备102a-d在其上接受通信的每个网络端口通信。每个网络端口可以与特定的进程相关联。网络扫描程序116可以使用网络端口信息来确定在每个计算机设备102a-d处执行的进程。可选地或另外地,网络扫描程序116可以与由每个计算机设备102a-d本地提供的服务通信。每个计算设备102a-d处的本地服务可以确定在特定计算机设备处执行的进程并且将信息报告给网络扫描程序116。例如,本地服务可以由计算机设备102a-d的操作系统或在每个计算机设备102a-d处执行的网络扫描程序116的模块提供。网络扫描程序116将网络扫描信息118提供给系统100以用于计算CIAA风险指数。图2是示出网络扫描信息118的示例的数据结构。网络扫描信息118列示分别在计算机设备102a、102b、102c和102d处执行的进程106a-c、108a-c、110a-c和112a-c。对于进程106a-c、108a-c、110a-c和112a-c中的每一个,网络扫描信息118包括计算机设备的因特网协议(IP)地址202、计算机设备的网域204、进程的名称206、进程所使用的端口号208、以及由进程所使用的网络协议210。例如,一进程106a,它是在计算机设备102a处执行的ftp进程。进程106a使用传输控制协议(TCP)和用户数据报协议(UDP)访问网络端口20。计算机设备102a具有IP地址"192.168.0.10"和网域"enterprise.com"。在某些实现中,网络扫描信息118可以包括其他信息,诸如由进程所表示的特定的软件制造商产品(例如MicrosoftInternetInformationServices)或进程的版本(例如InternetInformationServices版本7.0)。再次参考图1,系统IOO包括管理员控制台120。管理员控制台120包括存储从网络扫描程序116接收到的网络扫描信息118的数据存储器122。在某些实现中,管理员控制台120和/或计算机设备114可以被包括在计算机设备120a-d中。管理员控制台120也包括技术风险管理器(TRM)应用程序124。TRM应用程序124使用网络扫描信息118来标识分别在计算机设备102a、102b、102c和102d处执行的进程106a-c、108a-c、110a-c和112a-c。TRM应用程序124标识与进程106a-c、108a-c、110a-c和112a-c相关联的软件特征126a-c。例如,TRM应用程序124可以将软件特征126a、126b和126c标识为分别与进程106a、106b和106c相关联。TRM应用程序124可以通过例如将网络扫描信息118中列示的进程名称、端口和协议与软件特征126a-c之一中列示的进程名称、端口和协议匹配来标识与进程相关联的软件特征。可选地或另外地,TRM应用程序124可以使用制造商产品名称或产品版本来标识与进程相关联的软件特征。在某些实现中,标识信息的每个组合具有一组相关联的软件特征。图3是包含有关进程106a的软件特征126a的数据结构的示例。软件特征126a包括进程标识信息302。标识信息可以包括例如TRM应用程序124可以将其与网络扫描信息118中的信息匹配的进程名称、端口和协议。例如,TRM应用程序124可以确定软件特征126a中的进程名称"ftp"、端口"20"以及协议"tcp/udp"与网络扫描信息118中的相应的名称、端口和协议匹配。软件特征126a也包括软件特征值304。软件特征值304指示进程特征的级别。例如,软件特征值304的每一个可以是范围从0到9的数值。软件特征值304可以包括例如进程所采用的输入确认的级别、进程所采用的出错纠正和检测的级别、进程采用的缓冲溢出防止的级别、进程中软件的复杂性的级别、进程采用的多线程处理的级别、进程中软件结构的级别、保持进程在适当的条件下工作所需的维护的级别、进程的配置文件使用的级别、调用其他进浪的级别、进程执行的用户特权检查的级别、进程包含的灵活性的级别、进程使用的散列加密的级别、进程采用的其中提供用户已知的某些事物(例如口令)的验证的级别、进程采用的其中提供用户拥有的某些事物(例如标识卡或通行卡)的验证的级别、进程采用的其中用户从其自身提供某些事物(例如指纹或视网膜图案)的验证的级别、用于在进程故障时自动切换的后备操作的级别、进程的时间函数使用的级别、进程的网络使用的级别、进程的木马行为的级别以及进程使用的登录的级别。再次参考图1,数据存储器122也可以包括技术控制信息128。所标识的软件特征可以由影响系统IOO中的进程或计算机设备的技术控制来修改。一般地,技术控制可以是系统100内影响技术风险但其对风险的作用不必反映在进程的软件特征中的元素(例如设备或服务)。例如,技术控制可以包括诸如软件/固件/硬件补丁管理、数据存储再成像控制、网络/计算机入侵检测、入侵防护(例如防火墙)、网络/计算机中活动的事务日志、将日志外包给另一实体、日志审阅(例如手动或自动审阅进程)、警告和警报、设计成吸引攻击者的哑计算机、计算机病毒扫描/移除应用程序、基于令牌的2-因素验证(例如口令和密钥卡或散列)、使用数字签名来验证数据和许可、用于数据存储的装置外备份、服务器群集、经加密的数据存储(例如,使用对该机器上的用户特定的密钥)、使用强口令(例如如果系统采用从字母、数字、大写字母和符号的4种类型的文本字符中选出的3种的要求)、用于用户验证的集中定位、指纹生物测定验证以及手形生物测定验证的控制。例如如果数据存储再成像控制位于一个或多个计算机设备处,那么TRM应用程序124可以移除未知进程对CIAA风险指数的任何作用。可以在再成像之后从计算机设备消除未知进程,这样也可以移除对未知进程的CIAA风险指数的计算。在另一示例中,诸如防火墙的技术控制的存在可用于在算法上为特定的进程减少或增加一个或多个软件特征值。算法可以是例如减法、加法、线性乘法、线性除法或指数函数。图4是其中用户可以输入技术控制信息128a的图形用户界面(GUI)400。GUI400包括技术控制列表区域402和技术控制细节区域404。细节区域404呈现有关在列表区域402选择的技术控制的信息。此处,技术控制信息128a被选中,如由虚线406所示。技术控制信息128a描述了防火墙技术控制(或入侵防护技术控制)。细节区域404呈现防火墙技术控制128a的属性,并允许用户输入对防火墙技术控制128a的属性的改变。具体地,细节区域404包括当前受到防火墙技术控制128a的影响的计算机设备的列表408和在假设或模拟情况下受到防火墙技术控制128a影响的计算机设备的列表410。用户可以通过对列表408和410直接输入来对属性作出修改。或者,用户可以使用另一方法来作出输入,诸如通过从另一位置将计算机设备拖放到列表区域402中所示的防火墙技术控制128a上或列表408和410之一上。此外,用户可以将一组计算机设备分配给技术控制,诸如网络的子网或系统IOO的用户定义的功能区域。在其他实施例中,技术控制可以由网络扫描程序116评估。再次参考图l,TRM应用程序124使用技术控制信息128a-c修改软件特征126a-c中的一个或多个。例如防火墙技术控制128a可修改ftp软件特征126a,如在以下表格中所示。表1<table>tableseeoriginaldocumentpage11</column></row><table>在以上表格所示的示例中,防火墙技术控制128a分别将网络使用和审计的软件特征值减少了5和2。换而言之,防火墙降低了由于这些特征的风险。例如,防火墙可以阻塞某些网络使用,并且防火墙可以执行对通过防火墙的流量的记录(或审计)。或者,技术控制可以使用另一计算来修改软件特征值,诸如乘法器。在以上的示例中,网络使用和审计可以替代地减小一半。在另一替换中,防火墙技术控制128a可以包括描述允许通过防火墙访问的端口的信息。如果不允许通过防火墙访问由防火墙技术控制128a影像的进程所使用的端口,那么网络使用软件特征值可以被减小为0。否则,如果允许通过防火墙访另一个量或完全不修改。TRM应用程序124基于由技术控制信息128a-c修改的进程106a-c、108a-c、110a-c和112a-c的相关联的软件特征信息126a-c来计算进程106a-c、108a-c、110a-c和112a-c的每一个的CIAA风险指数。例如,TRM应用程序124可以使用以下等式来为ftp进程106a计算保密性风险指数MP金,旨I^保密性=il特权+iS加密+H验证i+l!!验证2+{|!验证3+{£网络+{|[木马此外,风险指数计算中的每个软件特征值可以由加权因子修改。例如,加密的软件特征值会比网络使用软件特征值在保密性中起到更为重要的作用,因此在保密性风险指数计算中加密软件特征值的权重会较高。同样地,可以标准化风险指数这样使得其在预定范围内,诸如危害与风险指数相关联的类别的百分比概率0到100。或者,可以使用另一范围,诸如10到90的百分比。例如,当意识到0到IOO的概率是不可能取到的绝对值时使用第二范围。TRM应用程序124可以进一步使用管理控制信息130a-c来修改CIAA风险指数。管理控制是由系统IOO的用户执行的、影响技术风险的业务进程或方法。例如,管理控制可以是由系统IOO的用户规定的安全协议。安全协议可以包括例如由以下各方指定或在其中的那些协议,国际标准化组织(ISO)17799、美国国防部情报技术安全认证和认可过程(DITSCAP)、国防信息安全保障认证和认可过程(DIACAP)、1996年的健康保险可移植性和责任法案(HIPAA)、支付卡行业安全审计程序(PCI)、格雷姆-里奇-比利雷法案(GLBA)以及美国国家标准和技术委员会特别出版物(NISTSP)800-53。管理控制信息130a-c包括对有关如何在系统100处实现特定的管理控制的问题的回答。TRM应用程序124将管理控制信息130a-c应用于与系统100中指定的功能区域或业务单元132a-c相关联的CIAA风险指数。计算机设备102a被指定为在业务单元132a内。计算机设备102b-c被指定为在业务单元132b内。计算机设备102d被指定为在业务单元132c内。业务单元132a-c可以分别是例如公司或企业内的会计部门、人力资源部门以及销售部门。每个部门执行其自己的安全协议组。例如,管理控制信息130a可以描述在系统100处执行的HIPAA安全协议。HIPAA安全协议一般涉及患者医疗记录的保密性。人力资源业务单元132b可以采用HIPAA管理控制130a,而商业单元132a和132c不采用它,因为它们不处理患者医疗记录。商业单元132a和132c可以釆用其它管理控制。例如,当执行信用卡交易时,销售业务单元132C可以采用PCI安全协议。业务单元也可以执行与另一业务单元相同的安全协议。例如,所有的业务单元132a-c可以采用DITSCAP安全协议来进行信息风险管理。图5是其中用户可以输入管理控制信息130a的GUI500的示例。GUI500包括业务单元列表区域502和与列表区域502中所选的业务单元相关联的管理控制信息区域504,如在虚线506中所示。列表区域502示出了系统100中业务单元和作为所示出的每个业务单元的成员的计算机设备的列表。信息区域504向用户提出了有关与所选业务单元相关联的安全协议的特定实现的问题。信息区域504包括允许用户输入对安全协议问题的回答的输入控制508a-'b,所述回答诸如是/否的回答或可以被评估以确定对安全协议的遵守程度的其它形式的响应。在该示例中,HIPAA管理控制信息130a包括问题"你有信息安全文档?"以及"该信息安全文档是否已由管理批准?"。HIPAA管理控制信息130a也包括由用户在控制508a-b中输入的对问题的回答。再次参考图1,TRM应用程序124为每个管理控制(或安全协议)确定肯定回答对问题总数的比率。管理控制信息130a-c还包括要应用到受到管理控制影响的业务单元内的每个计算机设备(或在计算机设备处执行的进程)的一个或多个CIAA风险指数的修改量。例如,HIPAA管理控制信息130a可以包括被添加到业务单元132b内的进程108a-c和110a-c的保密性风险指数上的值(例如5.7)。TRM应用程序124可以基于HIPAA管理控制信息130a中对问题的肯定回答的数目来调整相加的值。TRM应用程序124为进程108a-c和110a-c将经调整的值添加到保密性风险指数上(或用其它方式将经调整的值计算在内)。TRM应用程序124分别将进程106a-c、108a-c、110a-c和112a-c的CIAA风险指数合计到计算机设备102a、102b、102c和102d的CIAA风险指数中。TRM应用程序124分别将计算机设备102a、102b-c、102d的CIAA风险指数合计到业务单元132a、132b和132c的CIAA风险指数中。TRM应用程序124将计算机设备120a-d的CIAA风险指数合计到系统100的CIAA风险指数中。合计可以是所合计的具体风险指数的平均数。例如,进程108a-c和110a-c分别具有60.3%、73.4%、21.2%、43.5%、11.7%和30.3%的保密性风险指数。于是为计算机设备102b-c合计的保密性风险指数是51.6n/。和28.5%。于是业务单元132b的保密性风险指数是40.1%。TRM应用程序124输出合计的CIAA风险指数作为一个或多个技术风险模型134a-c。技术风险模型134a-c向用户呈现CIAA风险指数。技术风险模型可以包括对系统100的特定分析。例如,技术风险模型134a可以包括未由技术和/或管理控制修改的CIAA风险指数。技术风险模型134b可以包括当前实现的风险模型,所述模型包括所实现的技术和/或管理控制的影响。技术风险模型134c可以在其风险模型中包括模拟元素,诸如模拟地添加或删除进程、计算机设备、技术控制和/或管理控制。技术风险模型可以使用图表来表示。例如,图表可以示出对于诸如保密性的特定的风险类别计算机设备的数目对比计算机设备的风险指数。图6是用于呈现与当前风险模型134b相关联的保密性风险指数的图表600的示例。图表600示出在保密性风险指数的每个值处的系统IOO中的计算机设备的数目。图表600也示出平均数604以及离开平均数604上和下标准偏差606a-b。平均数604指示系统100中计算机设备的平均保密性风险指数。标准偏差606a-b指示计算机设备的保密性风险指数离散的程度。此处,线602上的许多计算机设备位于标准偏差606a-b之外。这指示在管理风险的方式上在计算机之间存在相比而言较低的一致性。再次参考图1,TRM应用程序124可以向用户呈现比较两个或多个技术风险模型134a-c的报告。例如,TRM应用程序124可以为当前技术风险模型134b和模拟风险模型134c两者呈现示出具有特定风险指数的计算机设备的数目的图表。图7是用于比较与当前风险模型134b和与模拟的风险模型134c相关联的保密性风险指数的图表700的示例。图表700示出了如上所述的线602和表示模拟的风险模型134c的线702。线702具有相关联的平均数704以及上和下标准偏差706a-b。用户可以使用线602和702来确定对系统100迸行模拟改变的好处。例如,用户可以比较平均值704低于平均值604的量。图8是用于技术风险管理的进程800的示例的流程图。进程800可以由诸如系统100的系统执行。为了清楚起见,以下描述使用系统IOO作为描述进程800的示例的基础。然而,可以使用另一系统或系统的组合来执行进程800。进程800从接收网络扫描信息开始(802)。例如,数据存储器122可以14从网络扫描程序116接收网络扫描信息118。进程800标识在一个或多个计算机设备处执行的一个或多个进程(804)。例如,TRM应用程序124可以使用网络扫描信息118来确定分别在计算机设备102a、102b、102c和102d处执行的进程106a-c、108a-c、110a-c和112a陽c。进程800标识与一个或多个进程的每一个相关联的一个或多个软件特征(806)。例如,TRM应用程序124可以将软件特征126a-c标识为分别与进程106a-c相关联。如果有要处理的技术控制(808),进程800将技术控制应用于与一个或多个进程相关联的一个或多个软件特征(810)。例如,TRM应用程序124将技术控制信息128a应用于在计算机设备102a-c处执行的进程。进程800基于在计算机设备处执行的进程的软件特征计算与计算机设备相关联的一个或多个风险指数(812)。例如,TRM应用程序124通过为特权、及阿米、验证l、验证2、验证3、网络使用和木马指示符添加经加权的软件特征值来计算ftp进程206a的保密性风险指数。TRM应用程序124接着将风险指数标准化为位于可接收范围内,诸如10。%和90%。如果有要处理的管理控制(814),那么进程800将管理控制应用于与一个或多个计算机设备相关联的一个或多个风险指数上(816)。例如,TRM应用程序124将HIPAA管理控制130a应用到人力资源业务单元132b中的进程108a-c和110a-c的风险指数上。可选地,可在计算风险指数之前将管理控制应用到软件特征(或由技术控制修改的软件特征)上。进程800合计风险指数以创建风险模型(818)。例如,TRM应用程序124合计进程106a-c、108a-c、110a-c和112a-c的风险指数以形成技术风险模型134a-c。合计可以包括基于诸如安全或威胁趋势、觉察到的特定攻击的可能性、业务单元或组织中弱点的普遍存在等一个或多个变量加权相对于彼此的进程风险指数。进程800向用户呈现风险模型(820)。例如,TRM应用程序124可以将表示技术风险模型134b的图表600呈现给用户。如果有要处理的另一风险模型(822),则进程800再次标识(804)在一个或多个计算机设备处执行的一个或多个进程。否则,如果没有别的要处理的风险模型,那么进程800可任选地将两个或多个风险模型作比较(824)。例如,TRM应用程序124可以向用户呈现比较技术风险模型134b-c的图表700。图9是依照一个实现,适用于执行关联于先前所描述的计算机实现的方法中的任何一个描述的操作的系统900的示意图。系统900包括处理器910、存储器920、存储设备930和输入/输出设备940。使用系统总线950将组件910、920、930和940的每一个互连。处理器910能够处理指令以便在系统卯0内执行。在一个实现中,处理器910是单线程处理器。在另一实现中,处理器910是多线程处理器。处理器910能够处理存储在存储器920中或存储设备930上的指令以便为输入/输出设备940上的用户界面显示图形信息。存储器920将信息存储在系统900内。在一个实现中,存储器920是计算机可读介质。在一个实现中,存储器920是易失性存储器单元。在另一实现中,存储器920是非易失性存储器单元。存储设备930能够为系统900提供大容量存储器。在一个实现中,存储设备930是计算机可读介质。在各个不同的实现中,存储设备930可以是软盘设备、硬盘设备、光盘设备或磁带设备。输入/输出设备940为系统900提供输入/输出操作。在一个实现中,输入/输出设备940包括键盘和/或指点设备。在另一实现中,输入/输出设备940包括用于显示图形用户界面的显示单元。所描述的特征可以用数字电子电路或用计算机硬件、固件、软件或其组合来实现。装置可以用有形地包含在例如机器可读存储设备或传播的信号的信息载体中的计算机程序产品来实现,以供可编程处理器执行;方法步骤可以由执行指令程序的可编程处理器执行以便通过对输入数据进行操作并生成输出来执行所描述的实现的功能。所描述的特征可以有利地在可在可编程系统上执行一个或多个计算机程序中实现,所述可编程系统包括至少一个耦合以便从数据存储系统、至少一个输入设备和至少一个输出设备接收数据和指令并将数据和指令传输到其中的可编程处理器。计算机程序是可以直接或间接在计算机中使用的一组指令,以便执行某些活动或造成某些结果。计算机程序可以用包括编译或解释语言的任何形式的编程语言来书写,并且它可以用任何形式来部署,,所述形式包括作为单独的程序或作为模块、组件、子例程或适用于计算环境中的其他装置。作为示例,用于执行指令的程序的合适的处理器包括通用和专用微处理器以及单独的处理器或任何类型的计算机的多个处理器之一。一般地,处理器会从只读存储器或随机存取存储器或两者接收指令和数据。计算机的基本元件是用于执行指令的处理器或用于存储指令和数据的一个或多个存储器。一般地,计算机也会包括或在操作上耦合到一个或多个大容量存储设备、与之通信以便存储数据文件;这种设备包括诸如内部硬盘和可移除磁盘的磁盘;磁光盘;以及光盘。适用于有形地包含计算机程序指令和数据的存储设备包括所有形式的非易失性存储器,作为示例包括诸如EPROM、EEPROM和闪存设备的半导体存储器设备;诸如内部硬盘和可移除磁盘的磁盘;磁光盘;以及CD-ROM和DVD-ROM盘。处理器和存储器可以由ASIC(专用集成电路)补充或并入ASIC中。为了提供与用户的交互,特征可以在具有用于向用户显示信息的诸如CRT(阴极射线管)或LCD(液晶显示器)监视器的显示设备和用户可用于向计算机提供输入的键盘和诸如鼠标或跟踪球的指点设备的计算机上实现。特征可以在包括诸如数据服务器的后端组件或包括诸如应用程序服务器或因特网服务器的中间件组件、或包括诸如具有图形用户界面或因特网浏览器的客户端计算机的前端组件或其任一组合的计算机系统中实现。系统的组件可以用诸如通信网络的任何形式或介质的数字数据通信连接。通信网络的示例包括例如LAN、WAN和形成因特网的计算机和网络。计算机系统可以包括客户机和服务器。客户机和服务器一般彼此相距遥远,并且通常通过诸如上述的网络交互。客户机和服务器之间的关系依照在各自的计算机上运行并且彼此之间具有客户机-服务器关系的计算机程序形成。依照上述学说,可以使用各个算法来评估风险指数。对在网络上运行的进程的风险的测量一般地可以由一组软件特征、实现的技术、管理进程、已知的弱点、潜在攻击图谋以及上述之间的相关性和相互关系来描述。软件特征可以由常数、一系列函数或者其组合来表示。作为常数,软件特征可以基于特征对于特定安全尺度的的强度或相关性来体现对风险的减小。相反,常数可以基于软件设计中已知的缺陷来体现对风险的增加。可以基于在已知环境组中的测试来根据经验为给定的算法确定常数值。作为一系列函数,软件特征可以是从一系列报告有关所述软件的信息的扫描工具接收输入的算法。,软件特征至少可以用以下方式或其组合来定义。可以基于在相同节点处运17行的其他相邻网络进程的数目,依照动态算法来确定软件特征。软件特征也可以,或可选地指示由给定的扫描工具组评估的平均弱点。软件特征可以是与增加所针对的软件的风险度量的乘法器配对的常数。可选地,软件特征可以反映应用到风险的起始值(例如100)上的风险减少的百分比。定义软件特征的另一方法是根据给定进程按照诸如SANSFBIT叩20的已知软件弱点的公布的排名的排名来设置它们。还有一选择是基于服务是系统进程还是由用户执行的进程将软件特征定义为增加进程的整体风险度量的常数值。另一方法是将软件特征设置为如此的函数i)基于与进程执行的不同类型的网络通信(例如串行、TCP、UDP、IPC)的数目相关的外部数据来计算(用乘法函数)对风险的减小和/或ii)基于由第三方扫描工具找出的弱点,确定对风险的倍增。在评估整体风险指数时,同样可以用各种方式将技术控制计算在内或考虑技术控制。方法被描述为可以单独地或组合地使用。基于在主机上修改整体风险的行业经验,它们可以被计算在内作为风险减小的百分比。技术控制可以是加到企业的整体风险指数上的常数值。它们也可以是从企业的整体风险指数减去的常数值。用于评估技术控制的影响的动态方法基于所影响的主机的数目和所述主机上进程的类型计算对企业风险的总体减小。技术控制可以在算法上与软件特征成对,并且每个实现的技术可以被评估一值,该值用于修改相关联的软件特征的常数或系数。另一方法是从技术控制为邻近所应用的技术控制的所有主机计算整体风险调整。管理控制可以同样地以各种方式修改风险指数计算。以下方法是示例性的并且可以单独地或组合地使用。在一种方法中,管理控制基于管理进程的类型依照修改每个主机的整体风险的动态方法修改风险指数。在另一方法中,管理控制可以基于对于所有所选标准的符合程度影响风险减小的百分比。在还有一方法中,管理控制可以表示响应于诸如依照ISO17799和DITSCAP作出的查询的肯定回答与否定回答的比率。可选地,管理控制可用于基于所述管理进程的存在将风险指数增加或减小一常数值。在一个说明性示例中,保密性、完整性、审计和责任性度量的值确定如下度量=(Sum[SCn*MODIFIERn])*W其中SCn是被标识为对度量具有影响的软件特征,MODIFIER是测量软件特征对所针对的度量的相对重要性的从0到1的系数,而W是所选的使得C的范围在1和100之间的縮放变量。在说明性实施例中,telnet具有加密特征9,而乘法器是由在50,000分钟中攻击者会花费多久来危害系统而确定的常数。虽然以上详细地描述了一些实现,但是其他修改是可能的。此外,附图中描述的逻辑流无需所示的特定顺序或连续的顺序来达到所期望的结果。此外,可以提供其他步骤,或者可以从所描述的流中删除步骤,并且可以将其他组件添加到所描述的系统中或从中移除组件。此外,可以理解可以作出各种修改而不背离权利要求的精神和范围。相应地,其他实现是在权利要求的范围内的。权利要求1.一种用于技术风险评估的方法,包括标识与多个软件进程相关联的软件特征;标识与每个软件特征相关联的软件特征值,所述值反映了与所述软件进程相关联的安全性风险的程度;标识要应用到所选软件进程的至少一个技术控制;将修改量应用到与所选软件进程相关联的软件特征值,所述修改量可以是所述技术控制减小与所述软件特征相关联的安全性风险的程度的函数;根据经修改的软件特征值计算风险指数;以及呈现包括所述风险指数的企业风险评估。2.如权利要求l所述的方法,其特征在于,还包括标识包括一个或多个进程以及应用到所述一个或多个进程的至少一个软件特征的至少一个技术控制的第一种情况;为所述第一种情况计算第一组的一个或多个风险指数;标识第二种情况,包括一个或多个进程以及应用于所述一个或多个进程的至少一个软件特征的至少一个技术控制;为所述第二种情况计算第二组的一个或多个风险指数;呈现包括所述第一和第二组第一或多个风险指数的风险评估。3.如权利要求2所述的方法,其特征在于,还包括以比较的方式呈现所述第一组风险指数和所述第二组风险指数。4.如权利要求2所述的方法,其特征在于,还包括标识包括第一组进程的第一业务单元;为所述第一业务单元计算第一风险指数;.标识包括第二组进程的第二业务单元;为所述第二业务单元计算第二组风险指数;以及基于所述第一和第二组风险指数确定至少一个合成的风险指数。5.如权利要求l所述的方法,其特征在于,其中所述风险指数也是技术控制的函数。6.如权利要求5述的方法,其特征在于,其中计算所述风险指数包括从中间的指数值添加或减去管理控制值,所述值是经修改的软件特征值的函数。7.如权利要求l所述的方法,其特征在于,其中计算风险指数包括将中间风险指数计算为经修改的软件特征值和多个其他软件特征值的乘积以及和函数。8.如权利要求7所述的方法,其特征在于,还包括就管理控制值对所述中间风险指数求和。9.如权利要求l所述的方法,其特征在于,其中所述软件特征包括与确认、纠正、溢出或多线程相关联的特征。10.如权利要求1所述的方法,其特征在于,其中所述软件特征包括与结构、维护、配置或加密相关联的特征。11.如权利要求1所述的方法,其特征在于,其中所述软件特征包括与故障或复杂性相关联的特征。12.如权利要求1所述的方法,其特征在于,其中标识软件特征值包括动态地计算所述值。13.如权利要求1所述的方法,其特征在于,其中所述技术控制包括补丁管理或再成像。14.如权利要求1所述的方法,其特征在于,其中所述技术控制包括入侵检测、入侵防护和事务日志。15.如权利要求1所述的方法,其特征在于,其中所述技术控制包括警报、警告、病毒扫描、基于令牌的验证或使用数字签名来验证数据和许可。16.如权利要求1所述的方法,其特征在于,其中所述技术控制包括装置外备份、经加密的数据存储或使用集中的位置以供用户验证。17.—种方法,包括接收多个软件进程的软件特征值;接收技术控制值,所述技术控制值是所述技术控制对与所述软件进程相关联的安全风险的影响的函数;接收管理控制值,所述管理控制值是管理控制对安全风险的影响的函数;确定风险指数,所述风险指数是所述软件特征值、技术控制值和管理控制值的函数,其中修改量被应用到与所述软件进程相关联的软件特征值,所述修改量是所述技术控制减小与所述软件特征相关联的安全风险的程度的函数;以及输出包括所述风险指数的风险模型报告。18.如权利要求17所述的方法,其特征在于,还包括标识包括一个或多个进程以及应用到所述一个或多个进程的至少一个软件特征的至少一个技术控制的第一种情况;为所述第一种情况计算第一组的一个或多个风险指数;标识第二种情况,包括一个或多个进程以及应用于所述一个或多个进程的至少一个软件特征的至少一个技术控制;为所述第二种情况计算第二组的一个或多个风险指数。19.如权利要求17所述的方法,其特征在于,其中所述风险模型以比较的方式呈现所述第一组风险指数和所述第二组风险指数。20.如权利要求17所述的方法,其特征在于,还包括标识包括第一组进程的第一业务单元;为所述第一业务单元计算第一风险指数;标识包括第二组进程的第二业务单元;为所述第二业务单元计算第二组风险指数;基于所述第一和第二组风险指数确定至少一个合成的风险指数。全文摘要在某些实现中,用于预测计算机设备的网络中的技术弱点的系统和方法是基于在该计算机处执行的进程的软件特征的。在一个优选的实现中,系统标识在组织中各个计算设备处的进程,标识与该进程相关联的软件特征,将技术控制应用于该软件特征、基于经修改的技术控制确定风险指数,将管理控制应用于该风险指数,合计该指数以创建风险模型,确定备选的风险模型并呈现该风险模型以供用户考虑和分析。文档编号G06F15/00GK101681328SQ200780052980公开日2010年3月24日申请日期2007年7月31日优先权日2007年3月16日发明者D·乔莱特,J·R·坎宁安,K·耶施克申请人:普利瓦里公司