专利名称:一种网络设备的安全性评估方法及装置的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种网络设备的安全性评估方法及装置。
背景技术:
随着网络技术的快速发展,大多数企事业单位的办公系统和业务系统都实现了以网络为基础的计算机自动化,业务需求的不断增长,使业务系统不断扩容,网络中需要管理的网络设备也越来越多,如何评价这种复杂的网络环境和应用的网络设备的安全性成为一个亟待解决的问题。在实现本发明过程中,发明人发现现有技术中存在如下问题由于网络设备的业务和功能都不尽相同,即使不同的网络设备存在相同的扫描结果,对网络环境的影响和业务的影响也可能是不同的。例如,对个人主机a和业务服务器b进行系统漏洞扫描,两个网络设备扫描结果存在相同的系统漏洞,在实际应用中,业务服务器b存在的该系统漏洞对网络环境和业务的影响比个人主机a存在的该系统漏洞对网络环境和业务的影响大,因此对于整个网络环境和业务而言,业务服务器b存在的安全性风险要高于个人主机a存在的安全性风险,而根据现有技术的方法,是无法准确评估出两个网络设备的安全性的。
发明内容
本发明实施例提供一种网络设备的安全性评估方法及装置,用以解决现有技术中对网络设备的安全性评估不准确的问题。本发明实施例提供的一种网络设备的安全性评估方法,包括根据设定的至少一种风险类型信息,扫描网络设备中每种风险类型信息对应的每个风险数据;并针对每种风险类型信息,将扫描结果中包含的该风险类型信息对应的每个风险数据,与保存的针对所述网络设备设定的安全基线中包含的该风险类型信息对应的每个风险数据进行对比,并输出对比结果。本发明实施例提供的一种网络设备的安全性评估装置,包括安全扫描模块,用于根据设定的至少一种风险类型信息,扫描网络设备中每种风险类型信息对应的每个风险数据;安全基线管理模块,用于保存针对所述网络设备设定的安全基线;安全评估分析模块,用于针对每种风险类型信息,将扫描结果中包含的该风险类型信息对应的每个风险数据,与保存的针对所述网络设备设定的安全基线中包含的该风险类型信息对应的每个风险数据进行对比,并输出对比结果。本发明实施例提供一种网络设备的安全性评估方法及装置,该方法根据设定的至少一种风险类型信息,扫描网络设备中每种风险类型信息对应的每个风险数据,针对每种风险类型信息,将扫描结果中包含的该风险类型信息对应的每个风险数据,与保存的针对该网络设备设定的安全基线中包含的该风险类型信息对应的每个风险数据进行对比,并输出对比结果。由于本发明实施例中根据保存的针对该网络设备设定的安全基线中包含的每种风险类型信息对应的每个风险数据,对该网络设备进行安全性评估,因此可以更准确的对网络设备的安全性进行评估。
图1为本发明实施例提供的网络设备的安全性评估的过程;图2为本发明实施例提供的网络设备的安全性评估的具体过程;图3为本发明实施例提供的网络设备的安全性评估装置结构示意图。
具体实施例方式本发明实施例提供一种网络设备的安全性评估方法及装置,该方法根据设定的至少一种风险类型信息,扫描网络设备中每种风险类型信息对应的每个风险数据,针对每种风险类型信息,将扫描结果中包含的该风险类型信息对应的每个风险数据,与保存的针对该网络设备设定的安全基线中包含的该风险类型信息对应的每个风险数据进行对比,并输出对比结果。由于本发明实施例中根据保存的针对该网络设备设定的安全基线中包含的每种风险类型信息对应的每个风险数据,对该网络设备进行安全性评估,因此可以更准确的对网络设备的安全性进行评估。下面结合说明书附图,对本发明实施例进行详细描述。图1为本发明实施例提供的网络设备的安全性评估的过程,具体包括以下步骤SlOl 根据设定的至少一种风险类型信息,扫描网络设备中每种风险类型信息对应的每个风险数据。在本发明实施例中,该设定的至少一种风险类型信息为影响该网络设备的安全性的每个风险数据的数据类型信息。例如该风险类型信息可以包括系统漏洞类型,扫描网络设备中该种风险类型信息对应的每个风险数据即为,扫描该网络设备中数据类型信息为系统漏洞类型的每个风险数据,也即,扫描该网络设备中的每个系统漏洞信息。并且,在本发明实施例中,安全性评估装置与网络中的每个网络设备相连,并远程扫描网络设备中每种风险类型信息对应的每个风险数据。S102:针对每种风险类型信息,将扫描结果中包含的该风险类型信息对应的每个风险数据,与保存的针对该网络设备设定的安全基线中包含的该风险类型信息对应的每个风险数据进行对比,并输出对比结果。在本发明实施例中,针对网络中的每个网络设备都设定了相应的安全基线,该安全基线中包含至少一种风险类型信息对应的至少一个风险数据。该安全基线中包含的每个风险数据为可能会对该网络设备造成安全性风险的风险数据,其中,可以根据该网络设备在网络中的功能和作用,设定该安全基线中包含的风险数据。将扫描结果中包含的该风险类型信息对应的每个风险数据与该安全基线中包含的该风险类型信息对应的每个风险数据进行对比,也即针对扫描结果中包含的每个风险数据,判断该风险数据是否也存在于该安全基线中。将对比结果作为对该网络设备进行安全性评估的结果输出,在输出的对比结果中,如果扫描结果中的某个风险数据也存在于安全基线中,则说明该网络设备中的该某个风险数据可能会对该网络设备造成安全性风险,也即在输出的对比结果中展示了扫描结果中可能会对该网络设备造成安全性风险的每个风险数据。在上述过程中,安全性评估装置根据设定的至少一种风险类型信息,扫描网络设备中每种风险类型信息对应的每个风险数据,并针对每种风险类型信息,将扫描结果中包含的该风险类型信息对应的每个风险数据与该安全基线中包含的该风险类型信息对应的每个风险数据进行对比,并输出对比结果。由于本发明实施例中根据保存的针对该网络设备设定的安全基线中包含的每个风险数据,对该网络设备进行安全性评估,因此可以更准确的对网络设备的安全性进行评估。由于在实际应用场景中,影响网络设备的安全性的风险数据有很多,例如系统漏洞信息,但是考虑到网络设备在网络中的功能和作用,对于某些系统漏洞而言,即使网络设备中存在该某些系统漏洞,但是对于整个网络环境来说,该网络设备中存在的该某些系统漏洞并不会对整个网络环境的安全性造成影响,也即该某些系统漏洞不会影响该网络设备的安全性。因此为了进一步提高对网络设备的安全性评估的准确性,针对该网络设备设定安全基线的过程具体为,将影响该网络设备的安全性的风险数据保存的该安全基线中的黑名单中,将未影响该网络设备的安全性的风险数据保存在该安全基线中的白名单中。也即, 对于可能会对该网络设备造成安全风险的每个风险数据,考虑该网络设备的功能和作用, 对于会对该网络设备的安全性造成安全风险的风险数据,将这些风险数据保存在安全基线的黑名单中,对于即使存在也不会对该网络设备造成安全风险的风险数据,将这些风险数据保存在安全基线的白名单中。采用上述方法针对该网络设备设定该安全基线时,将扫描结果中包含该风险类型信息对应的每个风险数据与安全基线中包含的该风险类型信息对应的每个风险数据进行对比,并输出对比结果的过程具体为,将扫描结果中包含的该风险类型信息对应的每个风险数据与安全基线的黑名单中包含的该风险类型信息对应的每个风险数据进行对比,将扫描结果中包含的该风险类型信息对应的每个风险数据与该黑名单中包含的该风险类型信息对应的每个风险数据的交集或者差集,作为对比结果输出。其中,将扫描结果中包含的该风险类型信息对应的每个风险数据与该黑名单中包含的该风险类型信息对应的每个风险数据的交集作为对比结果输出,也即输出同时存在于扫描结果中以及安全基线的黑名单中的该风险类型信息对应的每个风险数据,对于该交集中包含的每个风险数据,说明该交集中的每个风险数据都会对该网络设备造成安全性风险。将扫描结果中包含的该风险类型信息对应的每个风险数据与该黑名单中包含的该风险类型信息对应的每个风险数据的差集作为对比结果输出,也即输出存在于扫描结果中,而不存在于该安全基线的黑名单中的该风险类型对应的每个风险数据。对于该差集中包含的每个风险数据,说明基于该安全基线对该网络设备进行安全性评估时,该差集中的每个风险数据可能不会对该网络设备造成安全性风险。并且,将扫描结果中包含的该风险类型信息对应的每个风险数据,与保存的针对该网络设备设定的安全基线中包含的该风险类型信息对应的每个风险数据进行对比,并输出对比结果的过程还可以为,将扫描结果中包含的该风险类型信息对应的每个风险数据与安全基线的白名单中包含的该风险类型信息对应的每个风险数据进行对比,将扫描结果中包含的该风险类型信息对应的每个风险数据与白名单中包含的该风险类型信息对应的每个风险数据的交集或者差集,作为对比结果输出。其中,将扫描结果中包含的该风险类型信息对应的每个风险数据与该白名单中包含的该风险类型信息对应的每个风险数据的交集作为对比结果输出,也即输出同时存在于扫描结果中以及安全基线的白名单中的该风险类型信息对应的每个风险数据,对于该交集中包含的每个风险数据,说明该交集中的每个风险数据都不会对该网络设备造成安全性风险。将扫描结果中包含的该风险类型信息对应的每个风险数据与该白名单中包含的该风险类型信息对应的每个风险数据的差集作为对比结果输出,也即输出存在于扫描结果中,而不存在于该安全基线的白名单中的该风险类型对应的每个风险数据,对于该差集中包含的每个风险数据,说明基于该安全基线对该网络设备进行安全性评估时,该差集中的每个风险数据可能会对该网络设备造成安全性风险。较佳的,可以将扫描结果中包含的该风险类型信息对应的每个风险数据,与安全基线中的黑名单和白名单中包含的该风险类型信息对应的每个风险数据都进行对比,也即针对扫描结果中包含的该风险类型信息对应的每个风险数据,判断该风险数据是否存在于安全基线的黑名单中,并判断该风险数据是否存在于安全基线的白名单中。在输出的对比结果中,对于扫描结果中存在于黑名单中的风险数据,则该风险数据会对该网络设备造成安全性风险,对于扫描结果中存在于白名单中的风险数据,则该风险数据不会对该网络设备造成安全性风险,对于扫描结果中既不存在于黑名单中也不存在于白名单中的风险数据,说明该风险数据可能会对该网络设备造成安全性风险,也可能不会造成安全性风险。在后续的步骤中,为了进一步提高安全性评估的准确性,可以根据输出的对比结果对该安全基线进行调整。具体的,可以根据扫描结果中既不存在于安全基线的黑名单中也不存在于安全基线的白名单中的风险数据,对该安全基线进行调整,例如在黑名单或白名单中增加某些风险数据。在本发明实施例中,为了进一步提高安全性评估的准确性,针对该网络设备设定安全基线的过程还可以为,对安全基线中包含的每个风险数据设置对应的安全级别和第一加权值。也即,将安全基线的黑名单中包含的每个风险数据设置对应的安全级别和第一加权值,将安全基线的白名单中包含的每个风险数据也设置对应的安全级别和第一加权值。其中,考虑不同的网络设备的功能和作用不同,可以针对不同的网络设备的安全基线中的风险数据设定不同的安全级别和第一加权值。例如,假设该风险数据为系统漏洞信息,针对网络设备a设定的安全基线为系统漏洞A对应的安全级别为1,系统漏洞B对应的安全级别为2,系统漏洞C对应的安全级别为3 ;而针对网络设备b设定的安全基线为系统漏洞A对应的安全级别为2,系统漏洞B对应的安全级别为3,系统漏洞C对应的安全级别为 1 ;当安全性评估装置对网络设备a进行评估时,扫描的该风险数据,也即该系统漏洞信息描述的该网络设备a存在系统漏洞B,则确定该风险数据对应网络设备a的安全级别为2, 当对网络设备b进行评估时,扫描的风险数据描述的该网络设备b也存在系统漏洞B,则确定该风险数据对应网络设备b的安全级别为3。在本发明实施例中,为了进一步提高安全性评估的准确性,输出对比结果后,还可以根据扫描结果中包含的每种风险类型信息对应的每个风险数据在安全基线中对应设置的安全级别以及第一加权值,确定该网络设备在每种风险类型信息上的风险值。具体过程为,针对每种风险类型信息,获取扫描结果中包含的该风险类型信息对应的每个风险数据,针对获取的每个风险数据,根据该风险数据在安全基线中对应设置的安全级别和第一加权值,确定该风险数据对应的安全级别和第一加权值的第一乘积,将针对获取的每个风险数据确定的第一乘积的和,确定为该网络设备在该中风险类型信息上的风险值,并输出。继续沿用上例,假设网络设备a对应安全基线中设定的系统漏洞A对应的第一加权值为0. 3,系统漏洞B对应的第一加权值为0. 5,对该网络设备a的扫描结果中包含系统漏洞类型对应的风险数据为该网络设备a存在系统漏洞A和系统漏洞B,则确定系统漏洞A 对应的安全级别1与第一加权值0. 3的第一乘积,即0. 3,确定系统漏洞B对应的安全级别 2与第一加权值0. 5的第一乘积,即1,将确定的每个第一乘积的和作为该网络设备a在系统漏洞类型上的风险值,该风险值为1. 3。在本发明实施例中,为了进一步提高安全性评估的准确性,针对该网络设备设定安全基线的过程还可以为,对安全基线中包含的每种风险类型信息设置对应的第二加权值。从而,在确定网络设备在每种风险类型信息上的风险值之后,还可以针对每种风险类型信息,根据确定的该网络设备在该中风险类型信息上的风险值,以及安全基线中包含的该种风险类型信息对应的第二加权值,确定该网络设备在该种风险类型信息上的风险值与该种风险类型信息对应的第二加权值的第二乘积,并将针对每种风险类型信息确定的第二乘积的和,确定为该网络设备的综合风险值。采用该方法可以更加准确的对网络设备进行安全性评估,并且可以更加直观的展现评估结果。采用上述方法时,由于针对不同的网络设备的安全基线中包含的风险数据,设定了不同的安全级别和第一加权值,并且针对每种风险类型信息设定的第二加权值也可以不同,因此即使两个网络设备中存在相同的系统漏洞,但如果这两个网络设备的作用和功能不同,那么对这两个网络设备进行安全性评估后,确定的这两个网络设备的综合风险值也是不一定相同的,因此可以准确的对网络设备的安全性进行评估。由于影响网络设备的安全性的因素除了网络设备中存在的系统漏洞,还包括网络设备的安全配置以及网络设备的系统状态等,因此本发明实施例中为了提高对网络设备的安全性评估的准确性,该风险类型信息包括安全配置类型、系统状态类型以及系统漏洞类型,当然,还可以包括其他影响网络设备的安全性的风险类型信息。当设定的每种风险类型信息为安全配置类型、系统状态类型以及系统漏洞类型时,安全性评估装置扫描网络设备中安全配置类型对应的风险数据、系统状态类型对应的风险数据以及系统漏洞类型对应的风险数据。其中,风险类型信息为安全配置类型的风险数据为该网络设备的安全配置信息, 该安全配置信息描述了该网络设备的配置,例如日志配置、端口配置、账户配置等。风险类型信息为系统状态类型的风险数据为该网络设备的系统状态信息,该系统状态信息描述了该网络设备的状态,例如端口状态、文件状态、进程状态、账户状态等。在本发明实施例中,为了进一步提高安全性评估的准确性,可以按照设定的时间间隔对网络设备进行安全性评估,例如每天对该网络设备进行一次安全性评估。同时,为了准确的提供该网络设备的安全性变化的趋势,在确定该网络设备的综合风险值后,安全性评估装置还要保存确定的该网络设备的综合风险值,以及确定该网络设备的综合风险值时的对应的时刻,并根据保存的确定的该网络设备的每个综合风险值,以及确定该网络设备的每个综合风险值时对应的每个时刻,生成该网络设备的综合风险值与时间相对应的安全性趋势图。也即,建立以综合风险值和时间为坐标轴的坐标系,根据保存的该网络设备的每个综合风险值,以及该每个综合风险值对应的时刻,在该坐标系中生成该网络设备的综合风险值与时间相对应的安全性趋势图。图2为本发明实施例提供的网络设备的安全性评估的具体过程,具体包括以下步骤S201 安全性评估装置根据设定的至少一种风险类型信息,扫描网络设备中每种风险类型信息对应的每个风险数据。其中,风险类型信息包括配置类型、状态类型以及系统漏洞类型。S202:针对每种风险类型信息,将扫描结果中包含的该风险类型信息对应的每个风险数据,与针对该网络设备设定的安全基线的黑名单中包含的该风险类型信息对应的每个风险数据进行对比。S203 输出同时存在于扫描结果中以及安全基线的黑名单中的风险数据。S204 针对每种风险类型信息,获取扫描结果中包含的该风险类型信息对应的每个风险数据。S205:针对获取的每个风险数据,根据该风险数据在安全基线中对应设置的安全级别和第一加权值,该风险数据对应的安全级别和第一加权值的第一乘积。S206:将针对获取的每个风险数据确定的第一乘积的和,确定为该网络设备在该种风险类型信息上的风险值,并输出。S207:针对每种风险类型信息,根据确定的该网络设备在该种风险类型信息上的风险值,以及安全基线中包含的该种风险类型信息对应的第二加权值,确定所述网络设备在该种风险类型信息上的风险值与该种风险类型信息对应的第二加权值的第二乘积。S208:将针对每种风险类型信息确定的第二乘积的和,确定为该网络设备的综合风险值,并输出。S209 保存确定的该网络设备的综合风险值,以及确定该网络设备的综合风险值时的对应的时刻。S210 根据保存的确定的该网络设备的每个综合风险值,以及确定该网络设备的每个综合风险值时对应的每个时刻,生成该网络设备的综合风险值与时间相对应的安全性趋势图。在上述过程中,安全性评估装置根据设定的至少一种风险类型信息,扫描网络设备中每种风险类型信息对应的每个风险数据,并针对每种风险类型信息,将扫描结果中包含的该风险类型信息对应的每个风险数据与该安全基线中包含的该风险类型信息对应的每个风险数据进行对比,并输出对比结果。由于本发明实施例中根据保存的针对该网络设备设定的安全基线中包含的每个风险数据,对该网络设备进行安全性评估,因此可以更准确的对网络设备的安全性进行评估。并且,安全性评估装置扫描的每种风险类型信息对应的每个风险数据为安全配置信息、系统状态信息,以及系统漏洞信息,根据安全配置信息、系统状态信息、系统漏洞信息确定该网络设备的安全级别,综合考虑了安全配置信息、系统状态信息、系统漏洞信息对网络设备的安全性带来的影响,进一步提高了安全性评估的准确性。在实际操作的过程中,网络运维人员可以先通过安全性评估装置选择要进行安全性评估的网络设备,以及选择要扫描的每种风险类型信息,并设定对该网络设备进行安全性评估时所依据的安全基线,然后指示该安全性评估装置扫描该选择的网络设备中的每种风险类型信息对应的每个风险数据,并根据针对该网络设备设定的安全基线中包含的每个风险数据,以及扫描结果中包含的每个风险数据,对该网络设备进行安全性评估,确定该网络设备的综合风险值。图3为本发明实施例提供的网络设备的安全性评估装置结构示意图,具体包括安全扫描模块301,用于根据设定的至少一种风险类型信息,扫描网络设备中每种风险类型信息对应的每个风险数据;安全基线管理模块302,用于保存针对所述网络设备设定的安全基线;安全评估分析模块303,用于针对每种风险类型信息,将扫描结果中包含的该风险类型信息对应的每个风险数据,与保存的针对所述网络设备设定的安全基线中包含的该风险类型信息对应的每个风险数据进行对比,并输出对比结果。所述安全评估分析模块303具体用于,将所述扫描结果中包含的该风险类型信息对应的每个风险数据与所述安全基线的黑名单中包含的该风险类型信息对应的每个风险数据进行对比,将所述扫描结果中包含的该风险类型信息对应的每个风险数据与所述黑名单中包含的该风险类型信息对应的每个风险数据的交集或者差集,作为对比结果输出,或者,将所述扫描结果中包含的该风险类型信息对应的每个风险数据与所述安全基线的白名单中包含的该风险类型信息对应的每个风险数据进行对比,将所述扫描结果中包含的该风险类型信息对应的每个风险数据与所述白名单中包含的该风险类型信息对应的每个风险数据的交集或者差集,作为对比结果输出。所述安全基线管理模块302具体用于,对所述安全基线中包含的每个风险数据设置对应的安全级别和第一加权值。所述安全评估分析模块303还用于,针对每种风险类型信息,获取所述扫描结果中包含的该风险类型信息对应的每个风险数据,针对获取的每个风险数据,根据该风险数据在所述安全基线中对应设置的安全级别和第一加权值,确定该风险数据对应的安全级别和第一加权值的第一乘积,将针对获取的每个风险数据确定的第一乘积的和,确定为所述网络设备在该种风险类型信息上的风险值,并输出。所述安全基线管理模块302还用于,对所述安全基线中包含的每种风险类型信息设置对应的第二加权值。所述安全评估分析模块303还用于,针对每种风险类型信息,根据确定的所述网络设备在该种风险类型信息上的风险值,以及所述安全基线中包含的该种风险类型信息对应的第二加权值,确定所述网络设备在该种风险类型信息上的风险值与该种风险类型信息对应的第二加权值的第二乘积,将针对每种风险类型信息确定的第二乘积的和,确定为所述网络设备的综合风险值,并输出。并且,上述安全性评估装置还可以包括任务管理模块和日志模块,任务管理模块用于管理对网络设备进行安全性评估的每个评估任务,日志模块用于记录对网络设备进行安全性评估的评估结果以及评估时刻。本发明实施例提供一种网络设备的安全性评估方法及装置,该方法根据设定的至少一种风险类型信息,扫描网络设备中每种风险类型信息对应的每个风险数据,针对每种风险类型信息,将扫描结果中包含的该风险类型信息对应的每个风险数据,与保存的针对该网络设备设定的安全基线中包含的该风险类型信息对应的每个风险数据进行对比,并输出对比结果。由于本发明实施例中根据保存的针对该网络设备设定的安全基线中包含的每种风险类型信息对应的每个风险数据,对该网络设备进行安全性评估,因此可以更准确的对网络设备的安全性进行评估。 显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1.一种网络设备的安全性评估方法,其特征在于,包括根据设定的至少一种风险类型信息,扫描网络设备中每种风险类型信息对应的每个风险数据;并针对每种风险类型信息,将扫描结果中包含的该风险类型信息对应的每个风险数据, 与保存的针对所述网络设备设定的安全基线中包含的该风险类型信息对应的每个风险数据进行对比,并输出对比结果。
2.如权利要求1所述的方法,其特征在于,将扫描结果中包含的该风险类型信息对应的每个风险数据,与保存的针对所述网络设备设定的安全基线中包含的该风险类型信息对应的每个风险数据进行对比,并输出对比结果,具体包括将所述扫描结果中包含的该风险类型信息对应的每个风险数据与所述安全基线的黑名单中包含的该风险类型信息对应的每个风险数据进行对比,将所述扫描结果中包含的该风险类型信息对应的每个风险数据与所述黑名单中包含的该风险类型信息对应的每个风险数据的交集或者差集,作为对比结果输出;或者将所述扫描结果中包含的该风险类型信息对应的每个风险数据与所述安全基线的白名单中包含的该风险类型信息对应的每个风险数据进行对比,将所述扫描结果中包含的该风险类型信息对应的每个风险数据与所述白名单中包含的该风险类型信息对应的每个风险数据的交集或者差集,作为对比结果输出。
3.如权利要求1所述的方法,其特征在于,针对所述网络设备设定安全基线,具体包括对所述安全基线中包含的每个风险数据设置对应的安全级别和第一加权值。
4.如权利要求3所述的方法,其特征在于,所述方法还包括针对每种风险类型信息,获取所述扫描结果中包含的该风险类型信息对应的每个风险数据;针对获取的每个风险数据,根据该风险数据在所述安全基线中对应设置的安全级别和第一加权值,确定该风险数据对应的安全级别和第一加权值的第一乘积;将针对获取的每个风险数据确定的第一乘积的和,确定为所述网络设备在该种风险类型信息上的风险值,并输出。
5.如权利要求4所述的方法,其特征在于,针对所述网络设备设定安全基线,还包括对所述安全基线中包含的每种风险类型信息设置对应的第二加权值。
6.如权利要求5所述的方法,其特征在于,所述方法还包括针对每种风险类型信息,根据确定的所述网络设备在该种风险类型信息上的风险值, 以及所述安全基线中包含的该种风险类型信息对应的第二加权值,确定所述网络设备在该种风险类型信息上的风险值与该种风险类型信息对应的第二加权值的第二乘积;将针对每种风险类型信息确定的第二乘积的和,确定为所述网络设备的综合风险值, 并输出。
7.如权利要求1所述的方法,其特征在于,所述风险类型信息包括安全配置类型、系统状态类型以及系统漏洞类型。
8.—种网络设备的安全性评估装置,其特征在于,包括安全扫描模块,用于根据设定的至少一种风险类型信息,扫描网络设备中每种风险类型信息对应的每个风险数据;安全基线管理模块,用于保存针对所述网络设备设定的安全基线;安全评估分析模块,用于针对每种风险类型信息,将扫描结果中包含的该风险类型信息对应的每个风险数据,与保存的针对所述网络设备设定的安全基线中包含的该风险类型信息对应的每个风险数据进行对比,并输出对比结果。
9.如权利要求8所述的装置,其特征在于,所述安全评估分析模块具体用于,将所述扫描结果中包含的该风险类型信息对应的每个风险数据与所述安全基线的黑名单中包含的该风险类型信息对应的每个风险数据进行对比,将所述扫描结果中包含的该风险类型信息对应的每个风险数据与所述黑名单中包含的该风险类型信息对应的每个风险数据的交集或者差集,作为对比结果输出,或者,将所述扫描结果中包含的该风险类型信息对应的每个风险数据与所述安全基线的白名单中包含的该风险类型信息对应的每个风险数据进行对比,将所述扫描结果中包含的该风险类型信息对应的每个风险数据与所述白名单中包含的该风险类型信息对应的每个风险数据的交集或者差集,作为对比结果输出。
10.如权利要求8所述的装置,其特征在于,所述安全基线管理模块具体用于,对所述安全基线中包含的每个风险数据设置对应的安全级别和第一加权值。
11.如权利要求10所述的装置,其特征在于,所述安全评估分析模块还用于,针对每种风险类型信息,获取所述扫描结果中包含的该风险类型信息对应的每个风险数据,针对获取的每个风险数据,根据该风险数据在所述安全基线中对应设置的安全级别和第一加权值,确定该风险数据对应的安全级别和第一加权值的第一乘积,将针对获取的每个风险数据确定的第一乘积的和,确定为所述网络设备在该种风险类型信息上的风险值,并输出。
12.如权利要求11所述的装置,其特征在于,所述安全基线管理模块还用于,对所述安全基线中包含的每种风险类型信息设置对应的第二加权值。
13.如权利要求12所述的装置,其特征在于,所述安全评估分析模块还用于,针对每种风险类型信息,根据确定的所述网络设备在该种风险类型信息上的风险值,以及所述安全基线中包含的该种风险类型信息对应的第二加权值,确定所述网络设备在该种风险类型信息上的风险值与该种风险类型信息对应的第二加权值的第二乘积,将针对每种风险类型信息确定的第二乘积的和,确定为所述网络设备的综合风险值,并输出。
全文摘要
本发明公开了一种网络设备的安全性评估方法及装置,用以解决现有技术中对网络设备的安全性评估不准确的问题。该方法根据设定的至少一种风险类型信息,扫描网络设备中每种风险类型信息对应的每个风险数据,针对每种风险类型信息,将扫描结果中包含的该风险类型信息对应的每个风险数据,与保存的针对该网络设备设定的安全基线中包含的该风险类型信息对应的每个风险数据进行对比,并输出对比结果。由于本发明实施例中根据保存的针对该网络设备设定的安全基线中包含的每种风险类型信息对应的每个风险数据,对该网络设备进行安全性评估,因此可以更准确的对网络设备的安全性进行评估。
文档编号H04L12/24GK102238038SQ20111021044
公开日2011年11月9日 申请日期2011年7月26日 优先权日2011年7月26日
发明者路娟 申请人:北京神州绿盟信息安全科技股份有限公司