一种信息安全预警方法及装置的制造方法

一种信息安全预警方法及装置的制造方法
【专利摘要】本发明公开了一种信息安全预警方法及装置，主要内容包括：利用元模型建立信息资产库，并通过整理得到的漏洞库中的漏洞，分别与信息资产库中的信息资产总量进行相关度匹配，筛选相关度不小于预设阈值的漏洞，对筛选出的各个漏洞的风险值求和，计算得到针对该信息资产总量的总风险值，将所述总风险值与预设预警值进行比较，并在所述总风险值不小于所述预设预警值时，执行预警操作。通过漏洞与信息资产总量进行相关度匹配，能够精准的确定威胁该信息资产库的漏洞，从而，提升了信息资产的安全性，而且能够在预设的周期内自动发起预警判断操作，并在达到预设预警值时，执行预警操作，以准确实时的提醒管理者进行信息网络系统的维护。
【专利说明】
-种信息安全预警方法及装置
技术领域
[0001] 本发明涉及通信技术领域，尤其涉及一种信息安全预警方法及装置。
【背景技术】
[0002] 现有技术中，随着信息技术的发展，每个公司都有大量的信息资产来满足公司日 常生产和运营需要，送些信息资产已经成为公司生存发展的重要基石。因此资产的信息资 产的安全问题已经成为保障公司运作的重要因素。针对信息资产在信息安全方面的防护， 主要W下面两种方式进行预警：
[0003] 方式一；入侵检测技术，是为保证计算机系统的安全而设计的一种能够及时发现 并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为 的技术。按检测方法，入侵检测技术主要可W分为误用检测、异常检测。
[0004] (1)异常检测：检测与可接受行为之间的偏差。首先总结可接受行为应该具有的 特征，当用户行为与可接受行为有重大偏离时即被认为是入侵。送种检测模型漏报率低，误 报率高。
[0005] 似误用检测；检测与已知的不可接受行为之间的匹配程度。首先总结不可接受 行为的特征，建立相关的特征库，当用户行为与该特征库中的记录相匹配时，系统就认为送 种行为是入侵。送种检测模型误报率低、漏报率高。
[0006] 方式二；安全扫描技术，是一种主动的防范措施。通过对信息资产的扫描，管理员 可W 了解信息资产的安全配置和运行的应用服务，及时发现安全漏洞，客观评估网络风险 等级。管理员可W根据扫描的结果更正网络安全漏洞和系统中的错误配置，在黑客攻击前 进行防范。按扫描方法，安全扫描技术主要可W分为插件技术、漏洞库匹配技术。
[0007] (1)插件技术：由脚本语言编写的子程序，扫描程序可W通过调用它来执行漏洞 扫描，检测出系统中存在的一个或多个漏洞。添加新的插件就可W使漏洞扫描软件增加新 的功能，扫描出更多的漏洞。插件编写规范化后，甚至用户自己都可W用任一脚本语言编写 的插件来扩充漏洞扫描软件的功能。送种技术使漏洞扫描软件的升级维护变得相对简单， 而专用脚本语言的使用也简化了编写新插件的编程工作，使漏洞扫描软件具有强的扩展 性。
[0008] (2)漏洞库的匹配方法；基于网络系统漏洞库的漏洞扫描的关键部分就是它所使 用的漏洞库。通过采用基于规则的匹配技术，即根据安全专家对网络系统安全漏洞、黑客攻 击案例的分析和系统管理员对网络系统安全配置的实际经验，可W形成一套标准的网络系 统漏洞库，然后再在此基础之上构成相应的匹配规则，由扫描程序自动的进行漏洞扫描的 工作。
[0009] 综上所述，入侵检测技术的安全预警方法由于检测方法主要基于特征库的模式存 在一定缺陷很容易导致安全预警的漏报和误报情况，预警的精度不高，而且在性能上也有 影响。安全扫描技术主要通过模拟黑客的攻击手法进行安全预警，但是，基于黑客的方式进 行探测很容易造成遗漏。因此，现有的预警方案的预警准确度不高。

【发明内容】

[0010] 本发明实施例提供一种信息安全预警方法及装置，用W解决现有技术中存在的无 法进行准确预警操作的问题。
[0011] 本发明实施例采用W下技术方案：
[0012] 一种信息安全预警方法，针对任一信息网络系统，基于预设的元模型建立有信息 资产库，所述信息资产库中包含有多个信息资产，所述漏洞库中包含的漏洞是周期更新的， 每个漏洞设置有相应的风险值，且每个漏洞对信息资产库内的至少一个信息资产和/或信 息资产库外的至少一个信息资产产生威胁，所述方法包括：
[0013] 将当前周期内所述漏洞库中的每个漏洞分别与所述信息资产库中包含的所有信 息资产进行相关度匹配，筛选相关度不小于预设阔值的漏洞；
[0014] 对筛选出的各个漏洞当前的风险值求和，计算得到针对该信息资产总量的总风险 值；
[0015] 将所述总风险值与预设预警值进行比较；并
[0016] 在所述总风险值不小于所述预设预警值时，执行预警操作。
[0017] 优选地，所述当前漏洞库中每个漏洞当前的风险值与该漏洞自身被安全评级机构 评估的风险成正相关，与该漏洞被修复的及时程度成负相关，与该漏洞的修复方案的发布 者的能力成负相关，与该漏洞的修复方案的发布及时程度成负相关。
[0018] 优选地，所述当前漏洞库中每个漏洞的风险值具体通过W下公式确定：
[0019]
( 1 )
[0020] 其中，所述Pi为第i个漏洞的风险值，所述A 1为第i个漏洞自身被安全评级机构 评估的风险值，所述0。为默认系数，α 1为第i个漏洞的修复方案的发布者的能力，目1为 第i个漏洞的修复方案的发布及时程度；所述t。为确定漏洞的风险值所设定的起始时刻， 所述ti为确定漏洞的风险值所设定的结束时刻。
[0021] 优选地，将当前周期内所述漏洞库中的每个漏洞分别与所述信息资产库中包含的 所有信息资产进行相关度匹配，筛选相关度不小于预设阔值的漏洞，具体包括：
[0022] 统计当前信息资产库中包含的各个信息资产，归一化得到各个信息资产的单位向 量的总和：支[ = ? + ?苗，其中，ζ表示第j个信息资产的单位向量；
[0023] 统计当前漏洞库中的第i个漏洞所威胁的各个信息资产，归一化得到各个信息资 产的单位向量的总和：爲=琼+馬，其中，而表示第i个漏洞所威胁的信息资产库中 的各个信息资产的总和，该文：中包含信息资产库中的部分或全部信息资产，若该为 零，则表示该漏洞对信息资产库中的信息资产没有威胁，文：表示第i个漏洞所威胁的信 息资产库W外的其他信息资产的总和，若该^为零，则表示该漏洞对信息资产库W外的 其他信息资产没有威胁；利用相关度公式：
[0024]
、 2 )
[0025] 将当前信息资产库中包含的各个信息资产的总和芽;与当前漏洞库中的第i个漏 洞所威胁的各个信息资产的总和^进行相关度匹配，确定第i个漏洞与所述信息资产库 中各个信息资产的相关度；
[0026] 待确定所有漏洞的相关度之后，筛选相关度不小于预设阔值的漏洞。
[0027] 优选地，在执行预警操作之后，还包括：
[0028] 将本次筛选出的各个漏洞的标识进行存储，形成对应本次预警操作的漏洞表。
[0029] -种信息安全预警装置，针对任一信息网络系统，基于预设的元模型建立有信息 资产库，所述信息资产库中包含有多个信息资产，所述漏洞库中包含的漏洞是周期更新的， 每个漏洞设置有相应的风险值，且每个漏洞对信息资产库内的至少一个信息资产和/或信 息资产库外的至少一个信息资产产生威胁，所述装置包括：
[0030] 匹配单元，用于将当前周期内所述漏洞库中的每个漏洞分别与所述信息资产库中 包含的所有信息资产进行相关度匹配，筛选相关度不小于预设阔值的漏洞；
[0031] 计算单元，用于对所述匹配单元筛选出的各个漏洞当前的风险值求和，计算得到 针对该信息资产总量的总风险值；
[0032] 比较单元，用于将所述计算单元计算得到的所述总风险值与预设预警值进行比 较；
[0033] 预警单元，用于在比较单元确定出所述总风险值不小于所述预设预警值时，执行 预警操作。
[0034] 优选地，所述当前漏洞库中每个漏洞当前的风险值与该漏洞自身被安全评级机构 评估的风险成正相关，与该漏洞被修复的及时程度成负相关，与该漏洞的修复方案的发布 者的能力成负相关，与该漏洞的修复方案的发布及时程度成负相关。
[0035] 优选地，所述当前漏洞库中每个漏洞的风险值具体通过W下公式确定：
[0036]
(1)
[0037] 其中，所述Pi为第i个漏洞的风险值，所述A 1为第i个漏洞自身被安全评级机构 评估的风险值，所述0。为默认系数，α 1为第i个漏洞的修复方案的发布者的能力，目1为 第i个漏洞的修复方案的发布及时程度；所述t。为确定漏洞的风险值所设定的起始时刻， 所述ti为确定漏洞的风险值所设定的结束时刻。
[0038] 优选地，所述匹配单元，具体用于：
[0039] 统计当前信息资产库中包含的各个信息资产，归一化得到各个信息资产的单位向 量的总和：單=口1 +? 其中，Cij .表示第j个信息资产的单位向量；
[0040] 统计当前漏洞库中的第i个漏洞所威胁的各个信息资产，归一化得到各个信息资 产的单位向量的总和：^ + 其中，至^表示第i个漏洞所威胁的信息资产库中 的各个信息资产的总和，该中包含信息资产库中的部分或全部信息资产，若该文：为 零，则表示该漏洞对信息资产库中的信息资产没有威胁，子；表示第i个漏洞所威胁的信 息资产库W外的其他信息资产的总和，若该^为零，则表示该漏洞对信息资产库W外的 其他信息资产没有威胁；
[0041] 利用相关度公式：
[004引
（2 j
[0043] 将当前信息资产库中包含的各个信息资产的总和支[与当前漏洞库中的第i个漏 洞所威胁的各个信息资产的总和支^进行相关度匹配，确定第i个漏洞与所述信息资产库 中各个信息资产的相关度；
[0044] 待确定所有漏洞的相关度之后，筛选相关度不小于预设阔值的漏洞。
[0045] 优选地，所述装置还包括：
[0046] 存储单元，用于在预警单元执行预警操作之后，将本次筛选出的各个漏洞的标识 进行存储，形成对应本次预警操作的漏洞表。
[0047] 在本发明实施例中，利用元模型建立信息资产库，并通过整理得到的漏洞库中的 漏洞，分别与信息资产库中的信息资产总量进行相关度匹配，筛选相关度不小于预设阔值 的漏洞，对筛选出的各个漏洞的风险值求和，计算得到针对该信息资产总量的总风险值，将 所述总风险值与预设预警值进行比较，并在所述总风险值不小于所述预设预警值时，执行 预警操作。通过漏洞与信息资产总量进行相关度匹配，能够精准的确定威胁该信息资产库 的漏洞，从而，提升了信息资产的安全性，而且能够在预设的周期内自动发起预警判断操 作，并在达到预设预警值时，执行预警操作，W准确实时的提醒管理者进行信息网络系统的 维护。
【附图说明】
[0048] 为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使 用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本 领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可W根据送些附图获得其 他的附图。
[0049] 图1为本发明实施例一中的信息安全预警方法步骤示意图；
[0050] 图2为本发明实施例二中的信息安全预警装置的结构示意图。
【具体实施方式】
[0051] 为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进 一步地详细描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施 例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的 所有其它实施例，都属于本发明保护的范围。
[0052] 下面通过具体的实施例对本发明的技术方案进行详细描述，本发明包括但并不限 于W下实施例。
[0053] 实施例一：
[0054] 需要说明的是，在该方法中，可W预先建立一元模型，该元模型中设置有信息资产 类型属性，该属性对应至少W下资产类型：操作系统、中间件（载体服务器）、数据库、应用。 其中，操作系统又可W包括windows操作系统、Linux操作系统等；应用可W包括系统应用、 各种第Η方应用等。
[0055] 当针对任一信息网络系统进行信息安全评估时，可根据预设的元模型中的信息资 产的类型，统计各个信息资产并建立信息资产库；其中，需要说明的是，预设的元模型中的 信息资产的类型可W添加或删除，郝么，统计得到的信息资产库中的各个信息资产也就只 能和保留的信息资产的类型相关，从而，可W灵活地对信息网络系统中的信息资产选择性 的进行安全评估。在本发明实施例中，信息资产库中的各个信息资产可W由各个分支机构 报送得到，也可W通过网络爬虫抓取，其获取方式较为灵活，本发明并不对此进行限定。
[0056] 本发明所涉及的漏洞库，包含有多个漏洞，所述漏洞库中包含的漏洞是周期更新 的，每个漏洞设置有相应的风险值，且每个漏洞对信息资产库内的至少一个信息资产和/ 或信息资产库外的至少一个信息资产产生威胁。具体地，每个漏洞可W威胁多个信息资产， 且对每个信息资产的威胁程度不同。一般情况下，送些漏洞来源于国外权威机构漏洞库的 漏洞信息、国内权威机构漏洞库的漏洞信息W及各个分支机构报送的漏洞信息，将送些漏 洞信息进行汇总取最大集合，即可得到本发明所涉及的漏洞库。
[0057] 如图1所示，为本发明实施例一提供的一种信息安全预警方法，该方法主要包括 W下步骤：
[0058] 步骤101 ;将当前周期内所述漏洞库中的每个漏洞分别与所述信息资产库中包含 的所有信息资产进行相关度匹配，筛选相关度不小于预设阔值的漏洞。
[0059] 具体地，在本发明实施例中，由于漏洞库中的每个漏洞，可能会对信息资产库中的 全部或部分信息资产有威胁，也会对信息资产库W外的其他信息资产有威胁，因此，每个漏 洞威胁的信息资产可能不同，例如：假设信息资产库中有100个信息资产，依次为信息资产 1至信息资产100。漏洞1可能对信息资产库中的信息资产1有威胁，同时，对信息资产库 中的信息资产2、信息资产3、信息资产4有威胁，同时对该信息资产库外的信息资产101、信 息资产102、信息资产103有威胁，则该漏洞1只与信息资产1、信息资产2、信息资产3、信 息资产4、信息资产101、信息资产102、信息资产103相关，可见，在该信息网络系统中，漏 洞1仅对信息资产库中的4个信息资产有威胁，占了信息资产总量的非常小的部分，则该漏 洞1对该信息资产库的威胁较小，甚至非常细微，则该漏洞1可W被忽略，并不能作为影响 该信息资产库的漏洞。
[0060] 具体地，在本发明实施例中，为了能够形象具体地体现漏洞库中的各个漏洞对信 息资产库中的各个信息资产的威胁程度，可W通过W下方式进行筛选操作：
[0061] 第一步：统计当前信息资产库中包含的各个信息资产，归一化得到各个信息资产 的单位向量的总和：玄;二苗+云牛苗，其中，苗表示第j个信息资产的单位向量；
[0062] 例如：当前资产库中包含的信息资产一共有4个，即用单位向量表示总和为： ' ? -* , ? , * * =巧+幻2 +幻3 +幻4。
[0063] 第二步：统计当前漏洞库中的第i个漏洞所威胁的各个信息资产，归一化得到各 个信息资产的单位向量的总和：支^ =支立+支;其中，表示第i个漏洞所威胁的信息 资产库中的各个信息资产的总和，该支己中包含信息资产库中的部分或全部信息资产，若 该为零，则表示该漏洞对信息资产库中的信息资产没有威胁，^表示第i个漏洞所 威胁的信息资产库W外的其他信息资产的总和，若该文：为零，则表示该漏洞对信息资产 库W外的其他信息资产没有威胁；
[0064] 例如；统计当前的漏洞1所威胁的各个信息资产，假设该漏洞1威胁信息资产库中 的信息资产1、信息资产2、信息资产3,且影响信息资产库外的信息资产6、信息资产7,则该 漏洞1所威胁的各个信息资产的单位向量的总和为：兩=? +苗+苗+ ; + ^。
[0065] 综上，上述信息资产库中的信息资产总量可W简化表示为矩阵形式： 式:=[1 1 1 1 0 0]。亦可W简化表示为矩阵形式:馬=[1 1 1 0 1 1;。
[006引第立步；利用相关度公式：
[0067]
( 2 j
[0068] 将当前信息资产库中包含的各个信息资产的总和玄;与当前漏洞库中的第i个漏 洞所威胁的各个信息资产的总和支;;进行相关度匹配，确定第i个漏洞与所述信息资产库 中各个信息资产的相关度；
[0069] 将上述矩阵带入公式（2)，即可得到
[0070] 第四步：待确定所有漏洞的相关度之后，筛选相关度不小于预设阔值的漏洞。
[0071] 其中，相关度的预设阔值可W根据管理者的管理经验进行设定，或是根据该信息 资产库的重要程度进行设定。该相关度的预设阔值一般用百分比来表示，一般而言，该相关 度的预设阔值可W设定为50%，超过该相关度预设阔值的漏洞可W作为影响该信息资产的 漏洞，否则，不予考虑。
[0072] 此外，在确定相关度时，一种较为直接的方法是；统计各个漏洞威胁的信息资产的 数量，在数量超过预设阔值时，则确定该漏洞为影响该信息资产库的漏洞。例如：待评估的 信息资产库中有100个信息资产，漏洞库中的各个漏洞是预设的，且每个漏洞都可能会对 信息资产库中的信息资产造成威胁，假设，该漏洞库中的漏洞1仅对信息资产库中的30个 信息资产造成威胁，郝么，该漏洞1并不能作为影响该信息资产库的漏洞，若该漏洞库中的 漏洞2对信息资产库中的60个信息资产造成威胁，郝么，该漏洞2威胁的信息资产的数量 已经超过50个了，因此，应该作为影响该信息资产库的漏洞。
[0073] 步骤102 ;对筛选出的各个漏洞的风险值求和，计算得到针对该信息资产总量的 总风险值。
[0074] 在步骤101筛选出漏洞库中对该信息资产库有威胁的所有漏洞之后，需要对送些 漏洞进行总风险值的计算。具体地，由于每个漏洞都设置有相应的风险值，将筛选出的所有 漏洞的风险值求和，即可计算得到针对该信息资产库的信息资产总量的总风险值。
[0075] 其中，本发明所涉及的漏洞库中的每个漏洞的风险值与该漏洞自身被安全评级机 构评估的风险值成正相关，与该漏洞被修复的及时程度成负相关，与该漏洞的修复方案的 发布者的能力成负相关，与该漏洞的修复方案的发布及时程度成负相关。
[0076] 优选地，该漏洞库中每个漏洞的风险值具体通过W下公式（1)确定：
[0077]
( 1 )
[0078] 其中，Pi为第i个漏洞的风险值，Ai为第i个漏洞自身被安全评级机构评估的风险 值，若安全评级机构评估该漏洞为高风险漏洞，则该漏洞的风险值较大，反之风险值较小； 0。为默认系数，该默认系数为固定的值，针对一个信息资产库而言，筛选漏洞时，都可W W 一个默认系数为准；为第i个漏洞的修复方案的发布者的能力，目1为第i个漏洞的修 复方案的发布及时程度；若该漏洞的修复方案的发布越及时，则该漏洞的风险值越小，反之 风险值越大；t。为设定的起始时刻，所述ti为设定的结束时刻。由公式（1)可知，每个漏洞 的风险值不仅与上述各个参数有关，还与评估该漏洞的起始时间和结束时间有关，一般而 言，对于一个信息资产库，评估漏洞库中的漏洞的起始时间和结束时间是固定的，即在同一 起始时间开始，分别对漏洞库中的各个漏洞进行风险值的确定，并在预定的结束时间结束， 通过积分统计该t。~t 1时间段确定的各个漏洞的风险值。
[0079] 此外，本发明中所涉及的漏洞自身被安全评级机构评估的风险值，漏洞的修复方 案的发布者的能力，W及漏洞的修复方案的发布及时程度，都可W有一个预设的参考值作 为标准，或是实际的数值，或是归一化后的0-1之间的数值。
[0080] 需要说明的是，一般而言，漏洞库中的各个漏洞的风险值在确定之后，就可W在一 段时间内一直使用该风险值。若是考虑到时间的推移对风险值的影响，也可W在每次预警 时进行漏洞的风险值的确定。本发明并不对送一确定的先后顺序，W及确定后是否变更进 行限定，关键在于其确定的方式。
[0081] 具体地，对各个漏洞的风险值求和得到针对该信息资产库的总风险值，如下述公 式（3)所示：
[0082]
( 3 )
[008引其中，P(t)为在t。~11时间段该信息资产库的总风险值，k为筛选出的所有漏洞， 由于漏洞的数量可能较大，送取决与该信息资产库的复杂程度，极端情况下该k的取值可 W为正无穷。其中的T为预警周期，一般为一天。
[0084] 步骤103 ;将所述总风险值与预设预警值进行比较，并在所述总风险值不小于所 述预设预警值时，执行预警操作。
[0085] 在本发明实施例中，需要根据管理者的管理经验或是该信息资产的重要程度，为 该信息资产库设置一预设预警值；在确定了该信息资产库的总风险值之后，将该总风险值 与预设预警值进行比较，若总风险值大于等于预设预警值，则该信息资产库存在较高风险， 需要执行预警操作W提醒管理者；若总风险值小于预设预警值，则该信息资产库的风险较 小，暂时可W维持该信息网络系统的正常工作，因此，无需执行预警操作。
[0086] 优选地，在执行步骤103之后，该预警方法还包括：
[0087] 将本次筛选出的各个漏洞的标识进行存储，形成对应本次预警操作的漏洞表。从 而，可W将该次预警操作的各个漏洞记录下来，W便于下次出现相同的漏洞时，可W选择进 行匹配操作，若匹配，则直接执行预警操作，避免了对各个漏洞的风险值求和，提升了预警 判断的效率，且节约了系统资源。
[0088] 通过上述整个实施例，利用元模型建立信息资产库，并通过整理得到的漏洞库中 的漏洞，分别与信息资产库中的信息资产总量进行相关度匹配，筛选相关度不小于预设阔 值的漏洞，对筛选出的各个漏洞的风险值求和，计算得到针对该信息资产总量的总风险值， 将所述总风险值与预设预警值进行比较，并在所述总风险值不小于所述预设预警值时，执 行预警操作。通过漏洞与信息资产总量进行相关度匹配，能够精准的确定威胁该信息资产 库的漏洞，从而，提升了信息资产的安全性，而且能够在预设的周期内自动发起预警判断操 作，并在达到预设预警值时，执行预警操作，W准确实时的提醒管理者进行信息网络系统的 维护。
[0089] 基于与上述信息安全预警方法属于同一发明构思，本发明实施例二还提供了一种 信息按照预警装置，下面具体介绍该预警装置。
[0090] 实施例二：
[0091] 如图2所示，为本发明实施例二提供的信息安全预警装置，该预警装置包括W下 单元：
[0092] 匹配单元201，用于将当前周期内所述漏洞库中的每个漏洞分别与所述信息资产 库中包含的所有信息资产进行相关度匹配，筛选相关度不小于预设阔值的漏洞。
[0093] 优选地，所述匹配单元201，具体用于：
[0094] 统计当前信息资产库中包含的各个信息资产，归一化得到各个信息资产的单位向 量的总和：义1 = A +.电+ ,其中，表示第j个信息资产的单位向量；
[0095] 统计当前漏洞库中的第i个漏洞所威胁的各个信息资产，归一化得到各个信息资 产的单位向量的总和：文；=支立+文；，其中，支互表示第i个漏洞所威胁的信息资产库中 的各个信息资产的总和，该文^中包含信息资产库中的部分或全部信息资产，若该为 零，则表示该漏洞对信息资产库中的信息资产没有威胁，^表示第i个漏洞所威胁的信 息资产库W外的其他信息资产的总化若该支三为零，则表示该漏洞对信息资产库W外的 其他信息资产没有威胁；
[0096] 利用相关度公式：
[0097]
。）
[0098] 将当前信息资产库中包含的各个信息资产的总和：Ι?与当前漏洞库中的第i个漏 洞所威胁的各个信息资产的总和^进行相关度匹配，确定第i个漏洞与所述信息资产库 中各个信息资产的相关度；
[0099] 待确定所有漏洞的相关度之后，筛选相关度不小于预设阔值的漏洞。
[0100] 计算单元202,用于对所述匹配单元筛选出的各个漏洞当前的风险值求和，计算得 到针对该信息资产总量的总风险值；
[0101] 比较单元203,用于将所述计算单元计算得到的所述总风险值与预设预警值进行 比较，确定出所述总风险值不小于所述预设预警值；
[0102] 预警单元204,用于在比较单元确定出所述总风险值不小于所述预设预警值时，执 行预警操作。
[0103] 优选地，所述漏洞库中每个漏洞的风险值与该漏洞自身被安全评级机构评估的风 险成正相关，与该漏洞被修复的及时程度成负相关，与该漏洞的修复方案的发布者的能力 成负相关，与该漏洞的修复方案的发布及时程度成负相关。
[0104] 优选地，所述漏洞库中每个漏洞的风险值具体通过W下公式确定：
[0105]
( 1 )
[0106] 其中，所述Pi为第i个漏洞的风险值，所述A 1为第i个漏洞自身被安全评级机构 评估的风险值，所述0。为默认系数，α 1为第i个漏洞的修复方案的发布者的能力，目1为 第i个漏洞的修复方案的发布及时程度；所述t。为确定漏洞所设定的起始时刻，所述t 1为 确定漏洞所设定的结束时刻。
[0107] 优选地，该预警装置还包括：存储单元，用于在预警单元执行预警操作之后，将本 次筛选出的各个漏洞的标识进行存储，形成对应本次预警操作的漏洞表。
[0108] 本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序 产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实 施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机 可用存储介质（包括但不限于磁盘存储器、CD-ROM、光学存储器等）上实施的计算机程序产 品的形式。
[0109] 本发明是参照根据本发明实施例的方法、设备（系统）、和计算机程序产品的流程 图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一 流程和/或方框、W及流程图和/或方框图中的流程和/或方框的结合。可提供送些计算 机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理 器W产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生 用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能 的装置。
[0110] 送些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备W特 定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指 令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或 多个方框中指定的功能。
[0111] 送些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计 算机或其他可编程设备上执行一系列操作步骤W产生计算机实现的处理，从而在计算机或 其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图 一个方框或多个方框中指定的功能的步骤。
[0112] 尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造 性概念，则可对送些实施例作出另外的变更和修改。所W，所附权利要求意欲解释为包括优 选实施例W及落入本发明范围的所有变更和修改。
[0113] 显然，本领域的技术人员可W对本发明进行各种改动和变型而不脱离本发明的精 神和范围。送样，倘若本发明的送些修改和变型属于本发明权利要求及其等同技术的范围 之内，则本发明也意图包含送些改动和变型在内。
【主权项】
1. 一种信息安全预警方法，其特征在于，针对任一信息网络系统，基于预设的元模型建 立有信息资产库，所述信息资产库中包含有多个信息资产，所述漏洞库中包含的漏洞是周 期更新的，每个漏洞设置有相应的风险值，且每个漏洞对信息资产库内的至少一个信息资 产和/或信息资产库外的至少一个信息资产产生威胁，所述方法包括： 将当前周期内所述漏洞库中的每个漏洞分别与所述信息资产库中包含的所有信息资 产进行相关度匹配，筛选相关度不小于预设阈值的漏洞； 对筛选出的各个漏洞当前的风险值求和，计算得到针对该信息资产总量的总风险值； 将所述总风险值与预设预警值进行比较；并 在所述总风险值不小于所述预设预警值时，执行预警操作。2. 如权利要求1所述的方法，其特征在于，所述当前漏洞库中每个漏洞当前的风险值 与该漏洞自身被安全评级机构评估的风险成正相关，与该漏洞被修复的及时程度成负相 关，与该漏洞的修复方案的发布者的能力成负相关，与该漏洞的修复方案的发布及时程度 成负相关。3. 如权利要求2所述的方法，其特征在于，所述当前漏洞库中每个漏洞的风险值具体 通过以下公式确定：其中，所述Pi为第i个漏洞的风险值，所述A i为第i个漏洞自身被安全评级机构评估 的风险值，所述σ。为默认系数，a i为第i个漏洞的修复方案的发布者的能力，β i为第i 个漏洞的修复方案的发布及时程度；所述t。为确定漏洞的风险值所设定的起始时刻，所述 h为确定漏洞的风险值所设定的结束时刻。4. 如权利要求1所述的方法，其特征在于，将当前周期内所述漏洞库中的每个漏洞分 别与所述信息资产库中包含的所有信息资产进行相关度匹配，筛选相关度不小于预设阈值 的漏洞，具体包括： 统计当前信息资产库中包含的各个信息资产，归一化得到各个信息资产的单位向量的 总和：本」=<% +α2 其中，￥表示第j个信息资产的单位向量； 统计当前漏洞库中的第i个漏洞所威胁的各个信息资产，归一化得到各个信息资产的 单位向量的总和：其中，表示第i个漏洞所威胁的信息资产库中的各 个信息资产的总和，该$中包含信息资产库中的部分或全部信息资产，若该为零，则 表示该漏洞对信息资产库中的信息资产没有威胁，表示第i个漏洞所威胁的信息资产 库以外的其他信息资产的总和，若该E为零，则表示该漏洞对信息资产库以外的其他信 息资产没有威胁； 利用相关度公式：将当前信息资产库中包含的各个信息资产的总和?与当前漏洞库中的第i个漏洞所 威胁的各个信息资产的总和€进行相关度匹配，确定第i个漏洞与所述信息资产库中各 个信息资产的相关度； 待确定所有漏洞的相关度之后，筛选相关度不小于预设阈值的漏洞。5. 如权利要求1所述的方法，其特征在于，在执行预警操作之后，还包括： 将本次筛选出的各个漏洞的标识进行存储，形成对应本次预警操作的漏洞表。6. -种信息安全预警装置，其特征在于，针对任一信息网络系统，基于预设的元模型建 立有信息资产库，所述信息资产库中包含有多个信息资产，所述漏洞库中包含的漏洞是周 期更新的，每个漏洞设置有相应的风险值，且每个漏洞对信息资产库内的至少一个信息资 产和/或信息资产库外的至少一个信息资产产生威胁，所述装置包括： 匹配单元，用于将当前周期内所述漏洞库中的每个漏洞分别与所述信息资产库中包含 的所有信息资产进行相关度匹配，筛选相关度不小于预设阈值的漏洞； 计算单元，用于对所述匹配单元筛选出的各个漏洞当前的风险值求和，计算得到针对 该信息资产总量的总风险值； 比较单元，用于将所述计算单元计算得到的所述总风险值与预设预警值进行比较； 预警单元，用于在比较单元确定出所述总风险值不小于所述预设预警值时，执行预警 操作。7. 如权利要求6所述的装置，其特征在于，所述当前漏洞库中每个漏洞当前的风险值 与该漏洞自身被安全评级机构评估的风险成正相关，与该漏洞被修复的及时程度成负相 关，与该漏洞的修复方案的发布者的能力成负相关，与该漏洞的修复方案的发布及时程度 成负相关。8. 如权利要求7所述的装置，其特征在于，所述当前漏洞库中每个漏洞的风险值具体 通过以下公式确定：其中，所述Pi为第i个漏洞的风险值，所述A i为第i个漏洞自身被安全评级机构评估 的风险值，所述σ。为默认系数，a i为第i个漏洞的修复方案的发布者的能力，β i为第i 个漏洞的修复方案的发布及时程度；所述t。为确定漏洞的风险值所设定的起始时刻，所述 h为确定漏洞的风险值所设定的结束时刻。9. 如权利要求6所述的装置，其特征在于， 所述匹配单元，具体用于： 统计当前信息资产库中包含的各个信息资产，归一化得到各个信息资产的单位向量的 总和：+α2 +........+ ?Γ;，其中，Α表不第j个信息资产的单位向量； 统计当前漏洞库中的第i个漏洞所威胁的各个信息资产，归一化得到各个信息资产的 单位向量的总和：，其中，€表示第i个漏洞所威胁的信息资产库中的各 个信息资产的总和，该^中包含信息资产库中的部分或全部信息资产，若该$为零，则 表示该漏洞对信息资产库中的信息资产没有威胁，瓦I表示第i个漏洞所威胁的信息资产 库以外的其他信息资产的总和，若该€为零，则表示该漏洞对信息资产库以外的其他信 息资产没有威胁； 利用相关度公式：将当前信息资产库中包含的各个信息资产的总和fT与当前漏洞库中的第i个漏洞所 威胁的各个信息资产的总和K进行相关度匹配，确定第i个漏洞与所述信息资产库中各 个信息资产的相关度； 待确定所有漏洞的相关度之后，筛选相关度不小于预设阈值的漏洞。10.如权利要求6所述的装置，其特征在于，还包括： 存储单元，用于在预警单元执行预警操作之后，将本次筛选出的各个漏洞的标识进行 存储，形成对应本次预警操作的漏洞表。
【文档编号】G06F21/56GK105825130SQ201510007203
【公开日】2016年8月3日
【申请日】2015年1月7日
【发明人】张高山, 杜雪涛, 孟德香, 洪东, 马力鹏, 常玲, 赵蓓, 张琳, 于国峰, 杨孟乐
【申请人】中国移动通信集团设计院有限公司