识结果中选择的与管理相关的漏洞结果来计算管理领域安全级别得分。在该情况下,与管理相关的漏洞结果是分析和评估系统的与管理相关的漏洞的结果。
[0045]更具体地,管理领域安全级别计算单元130可使用以下等式2来计算管理领域安全级别得分:
[0046]管理领域安全级别得分
[0047]= 100 -(与管理相关的漏洞结果得分/最大漏洞得分)*100 (2)
[0048]在等式2中,最大漏洞得分与等式I的最大漏洞得分相同,并且是与系统的漏洞标识结果对应的漏洞得分之和。
[0049]目标组织安全级别计算单元140通过分别基于比率α和β将技术领域安全级别得分和管理领域安全级别得分相加,来计算目标组织安全级别得分。在该情况下,所设置的比率(即,要向技术领域安全级别得分应用的比率和要向管理领域安全级别得分应用的比率)被设置为使得其和(α + β )为I。
[0050]目标组织安全级别得分可使用以下等式3来计算:
[0051 ] 目标组织安全级别得分
[0052]=(技术领域安全级别得分*α ) + (管理领域安全级别得分* β ) (3)
[0053]网络分离状态计算单元150将与外部网络(例如,因特网)分离的系统的本地网的状态变换为网络分离得分。
[0054]例如,在政府办公室和公共机构中,存在其中工作人员在其上执行他们的任务的本地网络与能经由其使用因特网的外部网络分离的情况。在该情况下,网络分离状态计算单元150可根据本地网络与外部网络分离的状态(见图2的网络分离状态)来分配网络分离得分,如图2中图示的那样。
[0055]中间值计算单元160通过基于设置的比率丫将目标组织安全级别得分和网络分离得分相加,来计算中间得分。
[0056]级别管理单元170通过组合与系统的漏洞标识结果对应的漏洞结果、并向沿着多个路径的模拟入侵应用组合的漏洞结果,来计算模拟入侵成功级别。
[0057]更具体地,级别管理单元170组合与系统的漏洞标识结果对应的漏洞结果,并沿着多个路径尝试模拟入侵。其后,级别管理单元170根据入侵尝试地点和成功模拟入侵的入侵结果,来计算模拟入侵成功级别。例如,级别管理单元170可根据入侵尝试地点和成功模拟入侵的入侵结果,来计算模拟入侵成功级别,如图3中图示的。在该情况下,入侵结果可包括管理员权限的获取、一般用户权限的获取、以及有助于模拟入侵的系统的正常操作的妨碍,并且入侵尝试地点可包括外部地点(因特网)、其中存在前一系统的组织中的另一系统、和同一系统。
[0058]最终得分计算单元180通过向中间得分应用模拟入侵成功级别,来计算综合得分。更具体地,最终得分计算单元180通过根据模拟入侵成功级别向中间得分应用权重δ ( e {80%,85%,90%,95%,100% }),来计算综合得分。例如,如图4中图示,如果中间得分是94,则最终得分计算单元180可基于模拟入侵成功级别来计算综合得分。
[0059]接下来,将参考图5来详细描述用于量化系统的漏洞的方法。
[0060]图5是图示了根据本发明实施例的用于量化系统的漏洞的方法的流程图。
[0061]参考图5,用于量化系统的漏洞的设备100在步骤S510将系统的漏洞标识结果变换为漏洞得分。在该情况下,每一漏洞得分可由例如从O到10的范围内的得分表示。
[0062]用于量化系统的漏洞的设备100在步骤S520通过综合从系统的漏洞标识结果中选择的与技术相关的漏洞结果,来计算技术领域安全级别得分。在步骤S520,技术领域安全级别得分可通过等式I来计算。
[0063]用于量化系统的漏洞的设备100在步骤S530通过综合从系统的漏洞标识结果中选择的与管理相关的漏洞结果,来计算管理领域安全级别得分。在步骤S530,管理领域安全级别得分可通过等式2来计算。
[0064]用于量化系统的漏洞的设备100在步骤S540通过分别基于比率α和β将技术领域安全级别得分和管理领域安全级别得分相加,来计算目标组织安全级别得分。在该情况下,所设置的比率(即,要向技术领域安全级别得分应用的比率和要向管理领域安全级别得分应用的比率)被设置为使得其和(α+β)为I。在步骤S540,目标组织安全级别得分可通过等式3来计算。
[0065]用于量化系统的漏洞的设备100在步骤S550将系统的本地网络与外部网络(例如,因特网)分离的状态变换为网络分离得分。在该情况下,用于量化系统的漏洞的设备100可根据系统的本地网络与外部网络分离的状态分配网络分离得分,如图2中图示的那样。
[0066]用于量化系统的漏洞的设备100在步骤S560通过基于设置的比率丫将目标组织安全级别得分和网络分离得分相加,来计算中间得分。
[0067]用于量化系统的漏洞的设备100在步骤S570组合与系统的漏洞标识结果对应的漏洞结果,沿着多个路径尝试模拟入侵,并根据入侵尝试地点和成功模拟入侵的入侵结果,来计算模拟入侵成功级别。在该情况下,用于量化系统的漏洞的设备100可根据入侵尝试地点和入侵结果,来计算模拟入侵成功级别,如图3中图示的。
[0068]用于量化系统的漏洞的设备100在步骤S580通过向中间得分应用模拟入侵成功级别来计算综合得分,由此量化系统的漏洞。
[0069]如上所述,根据本发明实施例的用于量化系统的漏洞的设备100量化分析或评估系统的漏洞的结果,由此直观和客观地表示系统的状态。
[0070]尽管已为了示意性目的而公开了本发明的特定实施例,但是本领域技术人员将理解的是,各种修改、添加和替换是可能的,而不脱离所附权利要求中公开的本发明的范围和精神。
【主权项】
1.一种用于量化系统的漏洞的方法,包括: 将系统的漏洞标识结果中的每一个变换为漏洞得分,使得能向得分的计算应用系统的对应漏洞标识结果; 基于漏洞得分之中的技术领域安全级别得分和管理领域安全级别得分,来计算与系统对应的目标组织安全级别得分; 将系统的本地网络与外部网络分离的状态变换为网络分离得分; 基于目标组织安全级别得分和网络分离得分来计算中间得分;和 通过使用该中间得分和模拟入侵成功级别最终计算系统的综合得分,来量化系统的漏洞。2.根据权利要求1的方法,其中所述计算目标组织安全级别得分的步骤包括通过分别基于设置的比率将技术领域安全级别得分和管理领域安全级别得分相加,来计算目标组织安全级别得分。3.根据权利要求1的方法,其中所述计算目标组织安全级别得分的步骤包括: 将从系统的漏洞标识结果之中选择的与技术相关的漏洞结果变换为技术领域安全级别得分;和 将从系统的漏洞标识结果之中选择的与管理相关的漏洞结果变换为管理领域安全级别得分。4.根据权利要求3的方法,其中使用对应于与技术相关的漏洞结果的得分之和以及漏洞得分之和,来执行变换为技术领域安全级别。5.根据权利要求3的方法,其中使用对应于与管理相关的漏洞结果的得分之和以及漏洞得分之和,来执行变换为管理领域安全级别得分。6.根据权利要求1的方法,进一步包括,在计算系统的综合得分之前: 组合与系统的相应漏洞标识结果对应的漏洞结果,并基于组合的漏洞结果沿着多个路径尝试模拟入侵;和 根据入侵尝试地点和成功模拟入侵的入侵结果,来计算模拟入侵成功级别。7.根据权利要求1的方法,其中所述量化系统的漏洞的步骤包括通过根据模拟入侵成功级别向中间得分应用权重来计算综合得分。8.一种用于量化系统的漏洞的设备,包括: 漏洞计算单元,被配置为将系统的漏洞标识结果的每一个变换为漏洞得分,使得能向得分的计算应用系统的对应漏洞标识结果; 目标组织安全级别计算单元,被配置为基于漏洞得分之中的技术领域安全级别得分和管理领域安全级别得分,来计算与系统对应的目标组织安全级别得分; 网络分离状态计算单元,被配置为将系统的本地网络与外部网络分离的状态变换为网络分呙得分; 中间值计算单元,被配置为基于目标组织安全级别得分和网络分离得分来计算中间得分;和 最终得分计算单元,被配置为通过使用该中间得分和模拟入侵成功级别最终计算系统的综合得分,来量化系统的漏洞。9.根据权利要求8的设备,其中该目标组织安全级别计算单元通过分别基于设置的比率将技术领域安全级别得分和管理领域安全级别得分相加,来计算目标组织安全级别得分。10.根据权利要求8的设备,进一步包括: 技术领域安全级别计算单元,被配置为将从系统的漏洞标识结果之中选择的与技术相关的漏洞结果变换为技术领域安全级别得分;和 管理领域安全级别计算单元,被配置为将从系统的漏洞标识结果之中选择的与管理相关的漏洞结果变换为管理领域安全级别得分。11.根据权利要求8的设备,进一步包括级别管理单元,被配置为组合与系统的相应漏洞标识结果对应的漏洞结果,基于组合的漏洞结果沿着多个路径尝试模拟入侵,并根据入侵尝试地点和成功模拟入侵的入侵结果来计算模拟入侵成功级别。12.根据权利要求8的设备,其中该最终得分计算单元通过根据模拟入侵成功级别向中间得分应用权重,来计算综合得分。
【专利摘要】本发明涉及用于量化系统的漏洞使得能直观和客观表达系统的状态的装置、及其方法。所述用于量化系统的漏洞的装置包括:漏洞计算单元,用于将每一系统漏洞标识结果的每一个变换为漏洞得分;目标组织安全计算单元,用于基于漏洞得分之中的技术领域安全级别得分和管理领域安全级别得分,来计算与系统对应的目标组织安全得分;网络分离状态计算单元,用于将内联网和外部网络的系统分离状态变换为网络分离得分;中间值计算单元,用于基于目标组织安全得分和网络分离得分来计算中间得分;和最终得分计算单元,用于通过使用该中间得分和模拟黑客等级计算系统的最终组合得分,来量化系统的漏洞。
【IPC分类】G06F21/57
【公开号】CN105210078
【申请号】CN201380076524
【发明人】孟永宰, 李钟厚, 朴炫东, 朴商雨, 朴应纪
【申请人】韩国电子通信研究院
【公开日】2015年12月30日
【申请日】2013年10月21日
【公告号】US20160057164, WO2014157797A1