一种基于资产的风险扫描方法、装置及系统的制作方法

文档序号:7870613阅读:172来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:一种基于资产的风险扫描方法、装置及系统的制作方法
技术领域
本发明涉及网络安全领域,尤其涉及一种基于资产的风险扫描方法、装置及系统。
背景技术
目前,随着互联网技术的不断发展以及用户对计算机程序依赖程度的不断加深,企业等大型系统中的计算机等物理资产设备也日益庞大起来,网络系统安全问题越来越得到用户的重视,在此基础上,作为计算机等物理资产设备安全的最后屏障的资产系统安全、资产系统漏洞也越来越受到人们的关注,进而,作为系统安全检查工具的扫描器等风险扫描设备也越加受到用户的青睐。但是,申请人发现,由于现有技术中的扫描器等风险扫描设备大部分是作为系统安全检查工具使用的,只有任务的概念,只能够以任务为中心分析系统中的资产的风险情况,很难从宏观角度去审核系统中所有计算机等物理资产设备的当前系统风险情况和历史的风险变化趋势,因而导致扫描器等风险扫描设备的易用性并不佳、用户的使用体验并不闻。

发明内容
本发明实施例提供了一种基于资产的风险扫描方法、装置及系统,用以解决现有技术中存在的以任务为中心进行风险扫描时、无法从宏观角度确定系统中所有资产的当前风险情况和历史风险变化趋势的问题。—种基于资产的风险扫描方法,所述方法包括:风险扫描装置确定系统中的资产以及各资产的资产属性信息,并按照以确定的任一资产属性信息的 各不同属性值为节点的资产树的形式,将系统中的各资产进行分类展示,其中,所述资产为系统中的物理设备资产或虚拟设备资产;风险扫描装置在接收到来自客户端的扫描指令后,对资产树中设定位置处的资产进行风险扫描,得到该资产的漏洞信息以及配置风险值,并根据得到的该资产的漏洞信息以及配置信息,确定该资产的资产风险值,以及,将确定的该资产的资产风险值返回给对应的客户端;或者,在接收到来自客户端的扫描指令后,对资产树中设定位置处的资产节点进行风险扫描,得到该资产节点下的各资产的漏洞信息以及各资产的配置信息,并根据得到的该资产节点下的各资产的漏洞信息以及各资产的配置信息,确定该资产节点的资产风险值,以及,将确定的该资产节点的资产风险值返回给对应的客户端。—种基于资产的风险扫描装置,包括:资产确定模块,用于确定系统中的资产以及各资产的资产属性信息,其中,所述资产为系统中的物理设备资产或虚拟设备资产;资产展示模块,用于按照以确定的任一资产属性信息的各不同属性值为节点的资产树的形式,将系统中的各资产进行分类展示;风险扫描模块,用于在接收到来自客户端的扫描指令后,对资产树中设定位置处的资产进行风险扫描,得到该资产的漏洞信息以及配置信息,或者,在接收到来自客户端的扫描指令后,对资产树中设定位置处的资产节点进行风险扫描,得到该资产节点下的各资产的漏洞信息以及各资产的配置信息;风险分析模块,用于针对任一资产,根据得到的该资产的漏洞信息以及配置信息,确定该资产的资产风险值,,并将确定的该资产的资产风险值返回给对应的客户端,或者,针对任一资产节点,根据得到的该资产节点下的各资产的漏洞信息以及各资产的配置信息,确定该资产节点的资产风险值,并将确定的该资产节点的资产风险值返回给对应的客户端。一种基于资产的风险扫描系统,包括至少一个客户端、至少一个资产以及至少一个基于资产的风险扫描装置:所述风险扫描装置,用于确定系统中的资产以及各资产的资产属性信息,并按照以确定的任一资产属性信息的各不同属性值为节点的资产树的形式,将系统中的各资产进行分类展示,其中,所述资产为系统中的物理设备资产或虚拟设备资产,以及,在接收到来自客户端的扫描指令后,对资产树中设定位置处的资产进行风险扫描,得到该资产的漏洞信息以及配置信息,并根据得到的该资产的漏洞信息以及配置信息,确定该资产的资产风险值,以及,将确定的该资产的资产风险值返回给对应的客户端;或者,在接收到来自客户端的扫描指令后,对资产树中设定位置处的资产节点进行风险扫描,得到该资产节点下的各资产的漏洞信息以及各资产的配置信息,并根据得到的该资产节点下的各资产的漏洞信息以及各资产的配置信息,确定该资产节点的资产风险值,以及,将确定的该资产节点的资产风险值返回给对应的客户端。本发明有益效果如下:本发明实施例提供了一种基于资产的风险扫描方法、装置及系统,所述方法包括:风险扫描装置确定系统中的资产以及各资产的资产属性信息,并按照以确定的任一资产属性信息的各不同属性值为节点的资产树的形式,将各资产进行分类展示,其中,所述资产为系统中的物理设备资产或虚拟设备资产,以及,根据来自客户端的扫描指令,对资产树中设定位置处的资产或资产节点进行风险扫描,得到该资产或该资产节点下的各资产的漏洞信息和配置信息,并根据得到的该资产或该资产节点下的各资产的漏洞信息和配置信息,确定该资产或该资产节点的资产风险值,并将确定的该资产或该资产节点的资产风险值返回给对应的客户端。通过本发明所述技术方案,能够实现以资产为中心的风险扫描和风险分析,解决了现有技术中存在的无法从宏观角度确定系统中所有资产的当前风险情况和历史风险变化趋势的问题,提高了风险扫描产品的易用性。


图1所示为本发明实施例一中所述基于资产的风险扫描方法的流程示意图;图2所示为本发明实施例二中所述基于资产的风险扫描装置的结构示意图;图3所示为本发明实施例三中所述基于资产的风险扫描系统的结构示意图。
具体实施例方式下面结合说明书附图对本发明实施例作进一步说明,但本发明不局限于下面的实施例。实施例一:如图1所示,其为本发明实施例一中所述基于资产的风险扫描方法的流程示意图,所述风险扫描方法包括以下步骤:步骤101:风险扫描装置确定系统中的资产以及各资产的资产属性信息,其中,所述资产为系统中的物理设备资产或虚拟设备资产。具体地,所述资产可以为系统中的以IP (网络协议)地址为单位的服务器等主机设备,本发明实施例对此不作任何限定。具体地,在本步骤101中,所述风险扫描装置可以通过以下方式来确定系统中的
资产:方式一:所述风险扫描装置接收客户端导入的具备特定格式的IP地址列表文件,并确定与所述IP地址列表文件相对应的资产,以及,将确定的与所述IP地址列表文件相对应的资产作为系统中的资产。方式二:所述风险扫描装置通过 ICMP (Internet Control Message Protocol,互联网控制报文协议)PING (Packet Internet Grope,因特网包探索器)、UDP (User DatagramProtocol,用户数据报协议)PING 或者 TCP (TransmissionControI Protocol,传输控制协议)PING的方式向在设定资产范围内的目标资产发送数据报文,并根据目标资产返回的数据报文确定该目标资产是否存活,以及,将确定的存活资产作为系统中的资产。具体地,所述风险扫描装置在采用ICMP PING的方式来确定设定资产范围内的存活资产时,可以利用ICMP类型码中的Echo Request和Echo Reply来判断,具体地,所述风险扫描装置可以向目标主机发送Echo Request的ICMP数据报文,若接收到目标主机返回的Echo Reply的ICMP数据报文,则说明该目标主机处于存活状态;进一步地,所述风险扫描装置在采用TCP PING的方式来确定设定资产范围内的存活资产时,可以向目标主机的指定端口发送TCP ACK数据报文,并根据目标主机返回的TCPRST或ICMP Echo Reply数据报文来确定该目标主机是否存活,具体地,当该目标主机返回的为ICMP Echo R印Iy数据报文时,则说明该目标主机处于存活状态;进一步地,所述风险扫描装置在采用UDP PING的方式来确定设定资产范围内的存活资产时,可以发送一个UDP数据包到目标主机的指定端口,若没有任何程序在这个端口接收数据,目标主机的TCP/IP协议栈就会默认回复一个“端口不可达”的ICMP报文信息,以此来确定该目标主机的存活;特殊地,若该指定端口有监听、从而导致该目标主机并没有任何ICMP报文信息返回,则所述风险扫描装置需要向该目标主机的其他指定端口重新发送UDP数据包。进一步地,所述风险扫描装置在采用上述方式确定系统中的各资产后,可以采用自动扫描的方式或接收客户端发送的补充登记信息或修改信息的方式来确定各资产的资产属性信息;具体地,所述资产属性信息至少包括以下信息中的一种或多种:资产风险值(默认为安全)、资产的操作系统类型、资产所有者信息以及资产所在部门信息等。进一步地,所述资产属性信息还可以包括资产的标记名称、资产登录用户名和密码、资产管理员的名称和邮箱地址、资产的实际用途以及根据资产的安全重要性所设定的资产的安全权重信息等,本发明实施例对此不作任何限定。
需要说明的是,对于系统中的各资产来说,对于同一资产属性信息,各资产可能具有相同或不同的资产属性信息属性值,本发明实施例对此不作任何限定。例如,对于资产的操作系统类型这一资产属性信息来说,系统中的资产A的操作系统类型可能为A,系统中的资产B的操作系统类型可能为B,系统中的资产C的操作系统类型可能为C,即系统中资产A、资产B以及资产C三者的同属于操作系统类型这一资产属性信息的属性值各不相同。进一步地,所述风险扫描装置在确定系统中的各资产以及各资产的资产属性信息之后,可以将确定的各资产以及各资产的资产属性信息以资产数据表(host表)的形式进行存储,并在该资产数据表中标明各资产的ID (身份标识)字段以及任一资产的各资产属性信息对应的字段等内容。步骤102:所述风险扫描装置按照以确定的任一资产属性信息的各不同属性值为节点的资产树的形式,将系统中的各资产进行分类展示。具体地,在本步骤102中,所述风险扫描装置可以根据客户端当前所需要的资产分类情况和分类标准建立不同的资产节点展示方式,例如,若客户端需要按照资产的操作系统类型这一资产属性信息对各资产进行分类展示时,则可以根据确定的各资产中同属于资产的操作系统类型这一资产属性信息的不同属性值(例如,操作系统A、操作系统B、操作系统C等),对各资产进行分类,并按照以该资产属性信息的各不同属性值为资产节点的资产树的形式,将各资产进行分类展示。具体地,所得到的资产树的根节点可以为资产的操作系统类型这一资产属性信息,根节点下的各子节点可以为该资产属性信息的不同属性值(该资产属性信息的不同属性值可以从资产数据表中获得),而任一子节点下的各叶子节点则为同属于该子节点所对应的资产属性信息属性值的各个资产。进一步地,所述风险扫描装置在进行资产分类展示时,可以只展示以资产属性信息的不同属性值为资产节点的资产树框架,本发明实施例对此不作任何限定。进一步地,所述风险扫描装置还可以按照资产所有者信息、资产所在部门信息以及资产风险值等资产属性信息对各资产进行分类展示,本发明实施例对此不作任何限定。步骤103:所述风险扫描装置在接收到来自客户端的扫描指令后,对资产树中设定位置处的资产进行风险扫描,得到该资产的漏洞信息以及配置信息,并根据得到的该资产的漏洞信息以及配置信息,确定该资产的资产风险值,以及,将确定的该资产的资产风险值返回给对应的客户端;或者,在接收到来自客户端的扫描指令后,对资产树中设定位置处的资产节点进行风险扫描,得到该资产节点下的各资产的漏洞信息以及各资产的配置信息,并根据得到的该资产节点下的各资产的漏洞信息以及各资产的配置信息,确定该资产节点的资产风险值,以及,将确定的该资产节点的资产风险值返回给对应的客户端。具体地,在本步骤103中,所述风险扫描装置可以根据客户端的当前扫描需求,对资产树中设定位置处的资产或资产节点进行风险扫描,进行风险扫描所需的资产登录用户名和密码以及扫描模板的类型等信息可以从保存的资产数据表中获取;再有,所述风险扫描装置在得到对应的资产(或资产节点下的各资产)的漏洞信息或配置信息之后,可以通过保存的资产数据表中的资产管理员的名称和邮箱地址,将得到的该资产(或该资产节点下的各资产)的漏洞信息或配置信息发送给对应的客户端或资产管理员,由相应的资产管理员对发现的该资产(或该资产节点下的各资产)的漏洞进行修复或该资产(或该资产节点下的各资产)的配置信息进行调整。具体地,在本步骤103中,所述风险扫描装置根据得到的设定位置处的资产的漏洞信息以及配置信息,确定该资产的资产风险值,可以包括:分别根据得到的该资产的漏洞信息以及配置信息,确定该资产的漏洞风险值和配置风险值,并根据该资产的安全权重系数,对确定的该资产的漏洞风险值、配置风险值进行加权计算,并将计算得到的加权结果作为该资产的资产风险值。需要说明的是,各资产的安全权重系数需要根据实际情况进行设定,本发明实施例对此不作任何限定。进一步地,针对任一资产,根据得到的该资产的漏洞信息,确定该资产的漏洞风险值,可以包括:确定该资产的属于不同危险等级的漏洞数量,并根据确定的该资产的各危险等级的漏洞数量以及各危险等级漏洞的安全权重系数,对该资产的各危险等级的漏洞数量进行加权运算,得到该资产的漏洞加权值,并根据该漏洞加权值所在数值区间,确定该资产的漏洞风险值;或者,将将漏洞加权值作为该资产的漏洞风险值。其中,各危险等级漏洞的安全权重系数可以根据实际情况进行设定,本发明实施例对此不作任何限定。例如,假定将该资产的各漏洞的危险等级划分为高、中、低三种,且确定的该资产的高危漏洞的数量为L、中危漏洞的数量为M、低危漏洞的数量为N (所述L、M、N均为正整数),同时,假定高危漏洞的安全权重系数为0.6、中危漏洞的安全权重系数为0.3、低危漏洞的安全权重系数为0.1,则所得到的该资产的漏洞加权值F可以表示为:F=0.6L+0.3M+0.1N。进一步地,在得到该资产的漏洞加权值F后,可以根据该漏洞加权值F所在数值区间,按照设定的规则,确定该资产的漏洞风险值。例如,若该漏洞加权值F大于设定的第一阈值,可认为该资产的漏洞风险值为高,若该漏洞加权值F小于设定的第一阈值且大于设定的第二阈值,可认为该资产的漏洞风险值为中,若该漏洞加权值小于设定的第二阈值,可认为该资产的漏洞风险值为低;其中,所述第一阈值大于第二阈值,且所述第一阈值和第二阈值可以根据实际情况进行调整,本发明实施例对此不作任何限定。进一步地,由于配置风险是由资产的系统配置问题所导致的风险,以资产的密码配置为例,若用户将资产的密码长度配置过短或过简单,则可认为该资产存在较高的配置风险,即该资产对应的配置风险值较高;因此,在本发明各实施例中,根据得到的该资产的配置信息,确定该资产的配置风险值,可以为:根据得到的该资产的配置信息的复杂程度,确定该配置信息对应的安全等级,并根据该安全等级的高低或该安全等级对应的安全权重系数的高低,确定该资产的配置风险值。其中,各安全等级对应的安全权重系数可以根据实际情况进行设定,本发明实施例对此不作任何限定。进一步地,所述风险扫描装置根据得到的该资产节点下的各资产的漏洞信息以及各资产的配置信息,确定该资产节点的资产风险值,可以包括:针对该资产节点下的任一资产,分别根据得到的该资产的漏洞信息以及配置信息,确定该资产的漏洞风险值和配置风险值,并根据该资产的安全权重系数,对确定的该资产的漏洞风险值、配置风险值进行加权计算,得到该资产的资产风险值,以及,根据确定的该资产节点下的各资产的资产风险值以及各资产的安全权重系数,对该资产节点下的各资产的资产风险值进行加权运算,得到该资产节点的资产风险值。需要说明的是,在本发明各实施例中,还可以根据确定的任一资产(或任一资产节点下的各资产)的漏洞信息或配置信息,采用其他方式确定该资产或该资产节点的风险值,本发明实施例对此不作任何限定。另外需要说明的是,在本发明实施例中,所述资产的漏洞风险值、配置风险值以及资产风险值可以为一具体数值或者用于表示风险等级高低的范围数值,本发明实施例对此不作任何限定。再有,需要说明的是,所述风险扫描装置在得到本次风险扫描所对应的单个资产或资产节点的当前漏洞信息、当前配置风险值以及当前资产风险值等信息之后,可以将得到的该资产或该资产节点的当前漏洞信息、当前配置风险值以及当前资产风险值以数据表的形式进行缓冲存储,以便后续根据该资产或该资产节点的当前漏洞信息、当前配置风险值以及当前资产风险值对该资产进行风险分析操作时,提高资产分析页面的性能,避免页面输出缓慢的问题。进一步地,所述风险扫描装置在得到本次风险扫描所对应的单个资产或资产节点的当前资产风险值等信息之后,可以将得到的该资产或该资产节点的当前资产风险值标示在资产树上,以便客户端查看。进一步地,在执行完上述步骤之后,所述方法还可以包括:所述风险扫描装置根据接收到的来自客户端的分析指令,针对资产树中的设定位置处的资产,统计设定时长内该资产的漏洞信息、配置风险值以及资产风险值,并分别根据统计的设定时长内该资产的漏洞信息、配置风险值以及资产风险值,确定该资产在所述设定时长内的漏洞变化趋势、配置风险变化趋势以及资产风险变化趋势;或者,针对资产树中的设定位置处的资产节点,统计设定时长内该资产节点下的各资产的漏洞信息、配置风险值,并分别根据统计的设定时长内该资产节点下的各资产的漏洞信息以及配置风险值,确定该资产节点在所述设定时长内的漏洞变化趋势以及配置风险变化趋势,以及,统计设定时长内该资产节点的资产风险值,并根据统计的设定时长内的该资产节点的资产风险值,确定该资产节点在所述设定时长内的资产风险变化趋势。其中,所述设定时长可以根据实际情况进行设定,本发明实施例对此不作任何限定。进一步地,所述风险扫描装置在得到任一资产或任一资产节点在设定时长内的漏洞变化趋势、配置风险变化趋势以及资产风险变化趋势之后,还可以以数据表的形式将其存储以及将其发送给对应的客户端,本发明实施例对此不作任何限定。进一步地,在本发明各实施例中,在确定任一资产或任一资产节点下的各资产的漏洞信息和配置风险值之后,所述方法还可以包括:根据接收到的来自客户端的修复指令,根据确定的各资产的漏洞信息和配置风险值,对各资产的漏洞进行修复,以及对大于设定阈值的各资产的配置风险值进行下调处理(即对不合规的配置进行调整),并根据接收到的来自客户端的再次扫描指令,对已进行漏洞修复和配置风险值下调处理的各资产重新进行风险扫描,即对该资产或该资产节点重新执行步骤103的操作,从而形成以资产为核心的风险扫描的闭环操作系统。本发明实施例一提供了一种基于资产的风险扫描方法,所述方法包括:风险扫描装置确定系统中的资产以及各资产的资产属性信息,并按照以确定的任一资产属性信息的各不同属性值为节点的资产树的形式,将各资产进行分类展示,其中,所述资产为系统中的物理设备资产或虚拟设备资产,以及,在接收到来自客户端的扫描指令后,对资产树中设定位置处的资产进行风险扫描,得到该资产的漏洞信息以及配置信息,并根据得到的该资产的漏洞信息以及配置信息,确定该资产的资产风险值,以及将确定的该资产的资产风险值返回给对应的客户端;或者,在接收到来自客户端的扫描指令后,对资产树中设定位置处的资产节点进行风险扫描,得到该资产节点下的各资产的漏洞信息以及各资产的配置信息,并根据得到的该资产节点下的各资产的漏洞信息以及各资产的配置信息,确定该资产节点的资产风险值,以及将确定的该资产节点的资产风险值返回给对应的客户端。通过本发明实施例一所述技术方案,所述风险扫描装置能够实现以资产为中心的风险扫描和风险分析,解决了现有技术中存在的以任务为中心对资产进行扫描时所造成的无法从宏观角度确定系统中所有资产的当前风险情况和历史风险变化趋势的问题,很大程度上提高了风险扫描装置的易用性;同时,在本发明实施例一所述方案中,所述风险扫描装置可以根据多种资产属性信息中的任一资产属性信息,对各资产进行分类,并动态生成以该资产属性信息的各不同属性值为节点的资产树,并在对资产进行风险扫描后,能够对资产从不同的纬度进行分析,从而解决了不同类型的用户使用风险扫描产品的侧重点不同的问题,更好地满足了用户的使用需求,提高了用户的使用体验。实施例二:如图2所示,其为本发明实施例二中所述基于资产的风险扫描装置的结构示意图,所述装置包括资产确定模块11、资产展示模块12、风险扫描模块13以及风险分析模块14,其中:所述资产确定模块11用于确定系统中的资产以及各资产的资产属性信息;其中,所述资产为系统中的物理设备资产或虚拟设备资产,如可以为系统中的服务器等主机设备,本发明实施例对此不作任何限定;具体地,所述资产确定模块11用于接收客户端导入的具备特定格式的网络协议IP地址列表文件,并将确定的与客户端导入的具备特定格式的网络协议IP地址列表文件相对应的资产作为系统中的资产,或者,通过ICMP-PING、UDP-PING或者TCP-PING的方式向设定资产范围内的目标资产发送数据报文,并根据目标资产返回的数据报文确定该目标资产是否存活,以及,将确定的存活资产作为系统中的资产。进一步地,所述资产确定模块11可以采用自动扫描的方式或接收客户端发送的补充登记信息或修改信息的方式来确定各资产的资产属性信息;所述资产属性信息至少包括以下信息中的一种或多种:资产风险值、资产的操作系统类型、资产所有者信息以及资产所在部门信息等。进一步地,所述资产属性信息还可以包括资产的标记名称、资产登录用户名和密码、资产管理员的名称和邮箱地址、资产的实际用途以及根据资产的安全重要性所设定的资产的安全权重信息等,本发明实施例对此不作任何限定。
所述资产展示模块12用于按照以确定的任一资产属性信息的各不同属性值为节点的资产树的形式,将系统中的各资产进行分类展示;具体地,所得到的资产树的根节点可以为资产属性信息,根节点下的各子节点可以为该资产属性信息的不同属性值,而任一子节点下的各叶子节点则为同属于该子节点所对应的资产属性信息属性值的各个资产。所述风险扫描模块13用于在接收到来自客户端的扫描指令后,根据当前扫描需求,对资产树中设定位置处的资产进行风险扫描,得到该资产的漏洞信息以及配置信息,或者,在接收到来自客户端的扫描指令后,对资产树中设定位置处的资产节点进行风险扫描,得到该资产节点下的各资产的漏洞信息以及各资产的配置信息。所述风险分析模块14用于针对任一资产,根据得到的该资产的漏洞信息以及配置信息,确定该资产的资产风险值,并将确定的该资产的资产风险值返回给对应的客户端或者,针对任一资产节点,根据得到的该资产节点下的各资产的漏洞信息以及各资产的配置信息,确定该资产节点的资产风险值,并将确定的该资产节点的资产风险值返回给对应的客户端。具体地,所述风险分析模块14具体用于针对任一资产,分别根据得到的该资产的漏洞信息以及配置信息,确定该资产的漏洞风险值和配置风险值,并根据该资产的安全权重系数,对确定的该资产的漏洞风险值、配置风险值进行加权计算,得到该资产的资产风险值;或者,针对任一资产节点,分别根据得到的该资产节点下的任一资产的漏洞信息以及配置信息,确定该资产的漏洞风险值和配置风险值,并根据该资产的安全权重系数,对确定的该资产的漏洞风险值、配置风险值进行加权计算,得到该资产的资产风险值,以及,根据确定的该资产节点下的各资产的资产风险值以及各资产的安全权重系数,对该资产节点下的各资产的资产风险值进行加权运算,得到该资产节点的资产风险值。。其中,各危险等级漏洞的安全权重系数以及各资产的安全权重系数可以根据实际情况进行设定,本发明实施例对此不作任何限定。进一步地,所述风险分析模块14还用于根据接收到的来自客户端的分析指令,针对资产树中的设定位置处的资产,统计设定时长内该资产的漏洞信息、配置风险值以及资产风险值,并分别根据统计的设定时长内该资产的漏洞信息、配置风险值以及资产风险值,确定该资产在所述设定时长内的漏洞变化趋势、配置风险变化趋势以及资产风险变化趋势;或者,根据接收到的来自客户端的分析指令,针对资产树中的设定位置处的资产节点,统计设定时长内该资产节点下的各资产的漏洞信息、配置风险值,并分别根据统计的设定时长内该资产节点下的各资产的漏洞信息以及配置风险值,确定该资产节点在所述设定时长内的漏洞变化趋势以及配置风险变化趋势,以及,统计设定时长内该资产节点的资产风险值,并根据统计的设定时长内的该资产节点的资产风险值,确定该资产节点在所述设定时长内的资产风险变化趋势。进一步地,所述装置还包括风险调整模块15:所述风险调整模块15用于根据接收到的来自客户端的修复指令,根据确定的各资产的漏洞信息和配置风险值,对各资产的漏洞进行修复,以及对大于设定阈值的各资产的配置风险值进行下调处理;进一步地,所述风险扫描模块13还用于根据接收到的来自客户端的再次扫描指令,对已进行漏洞修复和配置风险值下调处理的各资产重新进行风险扫描。进一步地,所述装置还可以包括信息存储模块16:所述信息存储模块16用于将确定的各资产以及各资产的资产属性信息,各资产或各资产节点的当前漏洞信息、当前配置风险值以及当前资产风险值,各资产或各资产节点的设定时长内的漏洞变化趋势、配置风险变化趋势以及资产风险变化趋势等信息以数据表的形式或其他形式进行存储,本发明实施例对此不作任何限定。实施例三:如图3所示,其为本发明实施例三中所述基于资产的风险扫描系统的结构示意图,所述系统包括至少一个基于资产的风险扫描装置21、至少一个资产22以及至少一个客户端23,所述风险扫描装置21可以为一独立设备或集成在服务器等主机设备中的集成设备,本发明实施例对此不作任何限定,其中:所述风险扫描装置21用于确定系统中的资产22以及各资产22的资产属性信息,并按照以确定的任一资产属性信息的各不同属性值为节点的资产树的形式,将系统中的各资产22进行分类展示,其中,所述资产22为系统中的物理设备资产或虚拟设备资产,以及,在接收到来自客户端23的扫描指令后,对资产树中设定位置处的资产22进行风险扫描,得到该资产22的漏洞信息以及配置风险值,并根据得到的该资产22的漏洞信息以及配置信息,确定该资产22的资产风险值,以及将确定的该资产22的资产风险值返回给对应的客户端23 ;或者,在接收到来自客户端23的扫描指令后,对资产树中设定位置处的资产节点进行风险扫描,得到该资产节点下的各资产22的漏洞信息以及各资产22的配置信息,并根据得到的该资产节点下的各资产22的漏洞信息以及各资产22的配置信息,确定该资产节点的资产风险值,以及将确定的该资产节点的资产风险值返回给对应的客户端23。其中,所述资产22可以为系统中的以IP地址为单位的服务器等主机设备;所述资产属性信息至少包括以下信息中的一种或多种:资产风险值、资产的操作系统类型、资产所有者信息以及资产所在部门信息等。进一步地,所述资产属性信息还可以包括资产的标记名称、资产登录用户名和密码、资产管理员的名称和邮箱地址、资产的实际用途以及根据资产的安全重要性所设定的资产的安全权重信息等,本发明实施例对此不作任何限定。具体地,所述风险扫描装置21用于接收客户端23导入的具备特定格式的IP地址列表文件,并将确定的与客户端23导入的具备特定格式的IP地址列表文件相对应的资产22作为系统中的资产22 ;或者,通过ICMP-PING、UDP-PING或者TCP-PING的方式向设定资产范围内的目标资产22发送数据报文,并根据目标资产22返回的数据报文确定该目标资产22是否存活,以及,将确定的存活资产22作为系统中的资产22。进一步地,所述风险扫描装置21具体可用于针对任一资产22,分别根据得到的该资产22的漏洞信息以及配置信息,确定该资产22的漏洞风险值以及配置信息,并根据该资产22的安全权重系数,对确定的该资产22的漏洞风险值、配置风险值进行加权计算,得到该资产22的资产风险值;或者,针对任一资产节点,分别根据得到的该资产节点下的任一资产22的漏洞信息以及配置信息,确定该资产22的漏洞风险值以及配置信息,并根据该资产22的安全权重系数,对确定的该资产22的漏洞风险值、配置风险值进行加权计算,得到该资产22的资产风险值,以及,根据确定的该资产节点下的各资产22的资产风险值以及各资产22的安全权重系数,对该资产节点下的各资产22的资产风险值进行加权运算,得到该资产节点的资产风险值。其中,各危险等级漏洞的安全权重系数以及各资产22的安全权重系数可以根据实际情况进行设定,本发明实施例对此不作任何限定。进一步地,所述风险扫描装置21还可用于根据接收到的来自客户端22的分析指令,针对资产树中的设定位置处的资产22,统计设定时长内该资产22的漏洞信息、配置风险值以及资产风险值,并分别根据统计的设定时长内该资产22的漏洞信息、配置风险值以及资产风险值,确定该资产22在所述设定时长内的漏洞变化趋势、配置风险变化趋势以及资产风险变化趋势;或者,根据接收到的来自客户端的分析指令,针对资产树中的设定位置处的资产节点,统计设定时长内该资产节点下的各资产22的漏洞信息、配置风险值,并分别根据统计的设定时长内该资产节点下的各资产22的漏洞信息以及配置风险值,确定该资产节点在所述设定时长内的漏洞变化趋势以及配置风险变化趋势,以及,统计设定时长内该资产节点的资产风险值,并根据统计的设定时长内的该资产节点的资产风险值,确定该资产节点在所述设定时长内的资产风险变化趋势。进一步地,所述风险扫描装置21还可用于根据接收到的来自客户端23的修复指令,根据确定的各资产22的漏洞信息和配置风险值,对各资产22的漏洞进行修复,以及对大于设定阈值的各资产22的配置风险值进行下调处理,并在设定时长后,根据接收到的来自客户端23的再次扫描指令,对已进行漏洞修复和配置风险值下调处理的各资产22重新进行风险扫描。进一步地,所述风险扫描装置21还可用于将确定的各资产22以及各资产22的资产属性信息,各资产22或各资产节点的当前漏洞信息、当前配置风险值以及当前资产风险值,各资产22或各资产节点的设定时长内的漏洞变化趋势、配置风险变化趋势以及资产风险变化趋势等信息以数据表的形式或其他形式进行存储,本发明实施例对此不作任何限定。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台终端设备(可以是手机、平板电脑、个人计算机、服务器或者网络设备等)执行本发明各个实施例所述的方法。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1.一种基于资产的风险扫描方法,其特征在于,所述方法包括: 风险扫描装置确定系统中的资产以及各资产的资产属性信息,并按照以确定的任一资产属性信息的各不同属性值为节点的资产树的形式,将系统中的各资产进行分类展示,其中,所述资产为系统中的物理设备资产或虚拟设备资产; 风险扫描装置在接收到来自客户端的扫描指令后,对资产树中设定位置处的资产进行风险扫描,得到该资产的漏洞信息以及配置信息,并根据得到的该资产的漏洞信息以及配置信息,确定该资产的资产风险值,以及,将确定的该资产的资产风险值返回给对应的客户端;或者,在接收到来自客户端的扫描指令后,对资产树中设定位置处的资产节点进行风险扫描,得到该资产节点下的各资产的漏洞信息以及各资产的配置信息,并根据得到的该资产节点下的各资产的漏洞信息以及各资产的配置信息,确定该资产节点的资产风险值,以及,将确定的该资产节点的资产风险值返回给对应的客户端。
2.如权利要求1所述的基于资产的风险扫描方法,其特征在于, 所述资产属性信息至少包括以下信息中的一种或多种:资产风险值、资产的操作系统类型、资产所有者信息以及资产所在部门信息。
3.如权利要求1所述的基于资产的风险扫描方法,其特征在于,所述风险扫描装置通过以下方式来确定系统中的资产: 所述风险扫描装置接收客户端导入的具备特定格式的网络协议IP地址列表文件,并将确定的与客户端导入的具备特定格式的IP地址列表文件相对应的资产作为系统中的资产;或者, 所述风险扫描装置通过互联网控制报文协议-因特网包探索器ICMP-PING、用户数据报协议-因特网包探索器UDP-PING或者传输控制协议-因特网包探索器TCP-PING的方式向设定资产范围内的目标资产发送数据报文,并根据目标资产返回的数据报文确定该目标资产是否存活,以及,将确定的存活资产作为系统中的资产。
4.如权利要求1所述的基于资产的风险扫描方法,其特征在于,所述风险扫描装置根据得到的该资产的漏洞信息以及配置信息,确定该资产的资产风险值,包括: 所述风险扫描装置分别根据得到的该资产的漏洞信息以及配置信息,确定该资产的漏洞风险值和配置风险值,并根据该资产的安全权重系数,对确定的该资产的漏洞风险值、配置风险值进行加权计算,得到该资产的资产风险值; 所述风险扫描装置根据得到的该资产节点下的各资产的漏洞信息以及各资产的配置信息,确定该资产节点的资产风险值,包括: 针对该资产节点下的任一资产,所述风险扫描装置分别根据得到的该资产的漏洞信息以及配置信息,确定该资产的漏洞风险值和配置风险值,并根据该资产的安全权重系数,对确定的该资产的漏洞风险值、配置风险值进行加权计算,得到该资产的资产风险值,以及,根据确定的该资产节点下的各资产的资产风险值以及各资产的安全权重系数,对该资产节点下的各资产的资产风险值进行加权运算,得到该资产节点的资产风险值。
5.如权利要求4所述的基于资产的风险扫描方法,其特征在于,所述方法还包括: 所述风险扫描装置根据 接收到的来自客户端的分析指令,针对资产树中的设定位置处的资产,统计设定时长内该资产的漏洞信息、配置风险值以及资产风险值,并分别根据统计的设定时长内该资产的漏洞信息、配置风险值以及资产风险值,确定该资产在所述设定时长内的漏洞变化趋势、配置风险变化趋势以及资产风险变化趋势;或者, 所述风险扫描装置根据接收到的来自客户端的分析指令,针对资产树中的设定位置处的资产节点,统计设定时长内该资产节点下的各资产的漏洞信息、配置风险值,并分别根据统计的设定时长内该资产节点下的各资产的漏洞信息以及配置风险值,确定该资产节点在所述设定时长内的漏洞变化趋势以及配置风险变化趋势,以及,统计设定时长内该资产节点的资产风险值,并根据统计的设定时长内的该资产节点的资产风险值,确定该资产节点在所述设定时长内的资产风险变化趋势。
6.如权利要求4所述的基于资产的风险扫描方法,其特征在于,所述方法还包括: 根据接收到的来自客户端的修复指令,所述风险扫描装置根据确定的各资产的漏洞信息,对各资产的漏洞进行修复,并根据确定的各资产的配置风险值,对大于设定阈值的各资产的配置风险值进行下调处理,以及,根据接收到的来自客户端的再次扫描指令,对已进行漏洞修复和配置风险值下调处理的各资产重新进行风险扫描。
7.一种基于资产的风险扫描装置,其特征在于,包括: 资产确定模块,用于确定系统中的资产以及各资产的资产属性信息,其中,所述资产为系统中的物理设备资产或虚拟设备资产; 资产展示模块,用于按照以确定的任一资产属性信息的各不同属性值为节点的资产树的形式,将系统中的各资产进行分类展示; 风险扫描模块,用于在接收到来自客户端的扫描指令后,根据当前扫描需求,对资产树中设定位置处的资产进行风险扫描,得到该资产的漏洞信息以及配置信息,或者,在接收到来自客户端的扫描指令后,对资产树中设定位置处的资产节点进行风险扫描,得到该资产节点下的各资产的漏洞信息以及各资产的配置信息; 风险分析模块,用于针 对任一资产,根据得到的该资产的漏洞信息以及配置信息,确定该资产的资产风险值,并将确定的该资产的资产风险值返回给对应的客户端,或者,针对任一资产节点,根据得到的该资产节点下的各资产的漏洞信息以及各资产的配置信息,确定该资产节点的资产风险值,并将确定的该资产节点的资产风险值返回给对应的客户端。
8.如权利要求7所述的基于资产的风险扫描装置,其特征在于, 所述资产属性信息至少包括以下信息中的一种或多种:资产风险值、资产的操作系统类型、资产所有者信息以及资产所在部门信息。
9.如权利要求7所述的基于资产的风险扫描装置,其特征在于, 所述资产确定模块,具体用于接收客户端导入的具备特定格式的网络协议IP地址列表文件,并将确定的与客户端导入的具备特定格式的网络协议IP地址列表文件相对应的资产作为系统中的资产;或者,通过互联网控制报文协议-因特网包探索器ICMP-PING、用户数据报协议-因特网包探索器m)P-PING或者传输控制协议-因特网包探索器TCP-PING的方式向设定资产范围内的目标资产发送数据报文,并根据目标资产返回的数据报文确定该目标资产是否存活,以及,将确定的存活资产作为系统中的资产。
10.如权利要求7所述的基于资产的风险扫描装置,其特征在于, 所述风险分析模块,具体用于针对任一资产,分别根据得到的该资产的漏洞信息以及配置信息,确定该资产的漏洞风险值和配置风险值,并根据该资产的安全权重系数,对确定的该资产的漏洞风险值、配置风险值进行加权计算,得到该资产的资产风险值;或者,针对任一资产节点,分别根据得到的该资产节点下的任一资产的漏洞信息以及配置信息,确定该资产的漏洞风险值和配置风险值,并根据该资产的安全权重系数,对确定的该资产的漏洞风险值、配置风险值进行加权计算,得到该资产的资产风险值,以及,根据确定的该资产节点下的各资产的资产风险值以及各资产的安全权重系数,对该资产节点下的各资产的资产风险值进行加权运算,得到该资产节点的资产风险值。
11.如权利要求10所述的基于资产的风险扫描装置,其特征在于, 所述风险分析模块,还用于根据接收到的来自客户端的分析指令,针对资产树中的设定位置处的资产,统计设定时长内该资产的漏洞信息、配置风险值以及资产风险值,并分别根据统计的设定时长内该资产的漏洞信息、配置风险值以及资产风险值,确定该资产在所述设定时长内的漏洞变化趋势、配置风险变化趋势以及资产风险变化趋势;或者, 根据接收到的来自客户端的分析指令,针对资产树中的设定位置处的资产节点,统计设定时长内该资产节点下的各资产的漏洞信息、配置风险值,并分别根据统计的设定时长内该资产节点下的各资产的漏洞信息以及配置风险值,确定该资产节点在所述设定时长内的漏洞变化趋势以及配置风险变化趋势,以及,统计设定时长内该资产节点的资产风险值,并根据统计的设定时长内的该资产节点的资产风险值,确定该资产节点在所述设定时长内的资产风险变化趋势。
12.如权利要求10所述的基于资产的风险扫描装置,其特征在于,所述装置还包括风险调整模块: 所述风险调整模块,用于根据接收到的来自客户端的修复指令,根据确定的各资产的漏洞信息,对各资产的漏 洞进行修复,并根据确定的各资产的配置风险值,对大于设定阈值的各资产的配置风险值进行下调处理; 所述风险扫描模块,还用于根据接收到的来自客户端的再次扫描指令,对已进行漏洞修复和配置风险值下调处理的各资产重新进行风险扫描。
13.一种基于资产的风险扫描系统,其特征在于,所述系统包括至少一个客户端、至少一个资产以及至少一个基于资产的风险扫描装置: 所述风险扫描装置,用于确定系统中的资产以及各资产的资产属性信息,并按照以确定的任一资产属性信息的各不同属性值为节点的资产树的形式,将系统中的各资产进行分类展示,其中,所述资产为系统中的物理设备资产或虚拟设备资产,以及,在接收到来自客户端的扫描指令后,对资产树中设定位置处的资产进行风险扫描,得到该资产的漏洞信息以及配置信息,并根据得到的该资产的漏洞信息以及配置信息,确定该资产的资产风险值,以及,将确定的该资产的资产风险值返回给对应的客户端;或者,在接收到来自客户端的扫描指令后,对资产树中设定位置处的资产节点进行风险扫描,得到该资产节点下的各资产的漏洞信息以及各资产的配置信息,并根据得到的该资产节点下的各资产的漏洞信息以及各资产的配置信息,确定该资产节点的资产风险值,以及,将确定的该资产节点的资产风险值返回给对应的客户端。
全文摘要
本发明公开了一种基于资产的风险扫描方法、装置及系统,该方法包括风险扫描装置确定系统中的资产以及各资产的资产属性信息,并按照以确定的任一资产属性信息的各不同属性值为节点的资产树的形式,将各资产进行分类展示,以及,根据客户端的扫描指令,对资产树中设定位置处的资产或资产节点进行风险扫描,得到该资产或该资产节点下的各资产的漏洞信息和配置信息,并根据得到的该资产或该资产节点下的各资产的漏洞信息和配置信息,确定该资产或该资产节点的资产风险值。通过本发明所述技术方案,能够实现以资产为中心的风险扫描和风险分析,解决了现有技术中存在的无法从宏观角度确定系统中所有资产的当前风险情况和历史风险变化趋势的问题。
文档编号H04L29/06GK103118003SQ20121058144
公开日2013年5月22日 申请日期2012年12月27日 优先权日2012年12月27日
发明者路娟 申请人:北京神州绿盟信息安全科技股份有限公司, 北京神州绿盟科技有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:路娟
  • 技术所有人:北京神州绿盟信息安全科技股份有限公司;北京神州绿盟科技有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
装置开停车风险识别相关技术
化工装置开车风险评估相关技术
风险资产相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2