将安全漏洞关联于资产的系统和方法

专利名称：将安全漏洞关联于资产的系统和方法
技术领域：
本发明一般涉及信息系统安全，并且尤其涉及将安全漏洞关联于信息系统的资产。
背景技术：
在复杂的系统中，例如电信和信息技术(IT)基础设施，即便是被发现并被公开，安全漏洞的潜在影响也是很难及时评估的。这主要是因为这些漏洞的数量和特性，以及这种系统中资产的数量。一些资产也可以具有嵌入式软件层及其他附属物，这进一步复杂化了安全评估。
在漏洞被公开后不久了解并作出明智决定的能力是主动安全的一个关键方面。这种能力允许网络操作员例如在任何给定时刻了解安全状态，即网络基础设施的风险，并且为缓解风险而分配优先动作列表。在提高安全风险期间与对网络段上所存储及传送的数据的依赖相关联的商业风险标识也可以被用来执行全面的安全评估。
一个当前可用的安全评估工具提供了攻击路径的模型。模型可以被用来检查基于已知漏洞的攻击序列是如何使得另一资产被攻击的。然而，所述序列中的资产和漏洞之间的每个关系都被看作是单个关联，以使每个攻击对所述序列中的在先攻击不具有固有的知识。
当前可用的工具不能在漏洞可以利用的资产、可以影响的资产以及可以防止漏洞的资产之间进行区分。同样，这些工具具有有限的能力来对资产之间复杂关系的真实性建模。这会限制资产/漏洞关联和由这种工具生成的安全模型的准确度和完备性。
作为当前工具的限制的简单例子，假设软件应用程序中的安全漏洞可能会致使操作系统中的缓冲器溢出，并且通过计算机系统上的个人防火墙来防止对其上运行了操作系统和软件应用程序的特定计算机系统的远程访问。在这种情况下，对软件应用程序的攻击会影响操作系统，而个人防火墙保护软件应用程序。现有工具仅对漏洞与软件应用程序之间的关系建模。可以在漏洞的描述中捕获操作系统影响，但是现有工具不能根据这种描述来确定操作系统也处于风险中。此外，由个人防火墙所提供的保护机制仅可以被看作是间接的方式，而不是直接与漏洞相关联。
因此，仍然有必要改进用于将安全漏洞关联于资产的技术。

发明内容
本发明的实施例实现了对资产的详细风险评估，所述风险是由于资产中的安全漏洞以及资产之间的关系所造成的。资产关系使得漏洞的影响从通过利用漏洞而被直接影响的资产传播到与该被利用资产有关的资产。可以在利用资产的漏洞、影响资产的漏洞和被资产缓解或防止的漏洞之间进行区分，以由此规定一种更准确的资产的风险级别评估。这些不同的关系也允许向网络和安全操作员提供更详细的信息来补救漏洞。
本发明的一个方面提供了一种装置，其包括比较模块以及有效耦合到该比较模块的关联模块。所述比较模块被配置用来将安全漏洞的定义与信息系统中一个或多个资产的一个或多个定义进行比较。安全漏洞定义包括多个资产特征。所述关联模块被配置用来将安全漏洞关联于一个或多个资产中的特定资产，其中(i)所述特定资产的定义包括所述安全漏洞定义中多个资产特征的第一资产特征，以及(ii)所述特定资产的定义或所述一个或多个资产中与该特定资产有关系的另一资产的定义，包括所述安全漏洞定义中多个资产特征的第二资产特征。
所述第一资产特征标识了可以通过安全漏洞而被利用的资产平台和当该被利用资产平台通过安全漏洞而被利用时受到影响的资产平台中的一个。在这种情况下，所述第二资产特征标识了可以通过安全漏洞而被利用的资产平台和当该被利用资产平台通过安全漏洞而被利用时受到影响的资产平台中的另一个。
所述第一资产特征和所述第二资产特征可以标识共用的资产平台。
所述关联模块还可以被配置用来将安全漏洞关联于另一资产，其中所述特定资产的定义包括所述第一资产特征，而所述另一资产的定义包括所述第二资产特征。
在一些实施例中，所述关联模块被配置用来于通过修改所述安全漏洞定义和所述特定资产定义中的至少一个，将该安全漏洞关联于该特定资产。所述关联模块还可以通过访问存储器来创建所述安全漏洞与特定资产之间的逻辑关联，将该安全漏洞关联于该特定资产。
所述多个资产特征也可以包括第三资产特征，其标识了一种使所述被利用资产平台或受影响资产平台免于安全漏洞的保护资产平台。所述关联模块因而还可以被配置用来创建所述安全漏洞与所述一个或多个资产中的一个资产之间的另一关联，其中(i)所述特定资产的定义包括所述第一资产特征，(ii)所述特定资产的定义或另一资产的定义包括所述第二资产特征，(iii)所述一个或多个资产中的一个资产的定义包括所述第三资产特征，以及(iv)通过包括所述第三资产特征的定义而被定义的资产是所述另一资产和所述特定资产中的一个或与其具有关系，其中所述另一资产的定义包括由所述保护资产平台所保护的资产平台。
如果所述另一关联要被创建，则所述关联模块也可以被配置用来执行从一个组中选出的操作，所述组包括中止所述安全漏洞与特定资产的关联，以及移除所述安全漏洞与特定资产之间的关联。
如果所述第一资产特征标识了可以通过安全漏洞而被利用的资产平台，而所述第二资产特征标识了当该被利用资产平台通过安全漏洞而被利用时受到影响的资产平台，则所述比较模块可以被配置用来将所述第一资产特征与所述一个或多个资产的第一组中每个资产的定义进行比较，并且将所述第二资产特征与所述一个或多个资产的第二组中每个资产的定义进行比较，其中所述第一组中一个或多个资产的至少一个资产的定义包括所述第一资产特征。
在一些实施例中，所述第二组包括至少一个资产，以及与该至少一个资产有关系的每个资产。
本发明的另一方面提供了一种方法，该方法包括将安全漏洞的定义与信息系统中一个或多个资产的一个或多个定义进行比较，其中所述安全漏洞定义包括多个资产特征；确定所述一个或多个资产中一个资产的定义是否包括所述安全漏洞定义中多个资产特征的第一资产特征，其中所述一个或多个资产中一个资产的定义包括所述第一资产特征；确定所述资产的定义或所述一个或多个资产中与该资产有关系的另一资产的定义是否包括所述安全漏洞定义中多个资产特征的第二资产特征；以及将所述安全漏洞关联于所述资产，其中(i)所述资产的定义包括所述第一资产特征，以及(ii)所述资产的定义或所述一个或多个资产中与该资产有关系的另一资产的定义包括所述第二资产特征。
所述方法也可以包括将所述安全漏洞关联于另一资产，其中所述资产的定义包括所述第一资产特征，而所述另一资产的定义包括所述第二资产特征。
如果所述资产的定义包括所述第一资产特征，并且该资产的定义或所述另一资产的定义包括所述第二资产特征，则该方法还包括下列步骤确定所述一个或多个资产中一个资产的定义是否包括所述安全漏洞定义中多个资产特征的第三资产特征，其中该第三资产特征标识了使所述被利用资产平台或受影响资产平台免于所述安全漏洞的保护资产平台；如果所述资产的定义包括该第三资产特征，则确定通过包括该第三资产特征的定义而被定义的资产是否是所述资产和所述另一资产中的一个或与其具有关系，其中该另一资产的定义包括由所述保护资产平台所保护的资产平台；以及将所述安全漏洞关联于通过包括所述第三资产特征的定义而被定义的资产，其中通过包括所述第三资产特征的定义而被定义的资产是所述资产和所述另一资产中的一个或与其具有关系，其中该另一资产的定义包括由所述保护资产平台所保护的资产平台。
所述关联的操作可以包括访问存储器来创建所述安全漏洞与所述资产之间的逻辑关联。
所述方法可以通过例如机器可读介质上所存储的指令来被实现。
还提供了一种图形用户接口(GUI)，其包括安全漏洞的表示，其中信息系统的资产可以通过该安全漏洞而被利用以由此影响该资产或该信息系统中与该资产有关系的另一资产；所述资产的表示；所述安全漏洞与所述资产之间的第一类型关联的表示；以及第二类型关联的表示，其中，如果所述资产可以通过所述安全漏洞而被利用以影响该资产，则该第二类型关联是在所述安全漏洞与所述资产之间的关联，而如果所述资产可以通过所述安全漏洞而被利用以影响另一资产，则该第二类型关联是在所述安全漏洞与该另一资产之间的关联。
如果所述资产可以通过所述安全漏洞而被利用以影响所述信息系统中与该资产有关系的另一资产，则所述GUI也可以包括所述资产与该另一资产之间关系的表示。
如果通过所述信息系统中与所述资产有关系的另一资产来使该资产免于所述安全漏洞，则所述GUI可以包括该另一资产的表示，以及所述资产和该另一资产之间关系的表示。
根据本发明的另一方面，提供了一种存储数据结构的机器可读介质。所述数据结构包括信息系统的资产与安全漏洞之间的第一类型关联的指示，其中所述资产可以通过所述安全漏洞而被利用以由此影响该资产或所述信息系统中与该资产有关系的另一资产；以及第二类型关联的指示，其中，如果所述资产可以通过所述安全漏洞而被利用以影响该资产，则该第二类型关联是在所述安全漏洞与所述资产之间的关联，而如果所述资产可以通过所述安全漏洞而被利用以影响另一资产，则该第二类型关联是在所述安全漏洞与该另一资产之间的关联。
通过查看下面对指定说明性实施例的描述，本发明的其他方面和特征对于本领域的技术人员而言是显而易见的。


现在参考附图详细描述本发明实施例的例子。
图1是说明一般安全概念的框图；图2是说明安全判决模型的框图；图3是其中可以使用漏洞和资产信息的安全风险暴露管理系统的框图；图4是说明安全风险管理方法的流程图；图5是说明资产类型的框图；图6是说明漏洞、资产和它们之间的关联的框图；图7是说明漏洞，资产，关联以及资产关系的框图；图8是用于构建漏洞与资产之间关联的装置的框图；图9是将漏洞关联于资产的方法的流程图；图10是风险计算系统的框图；图11A、11B和11C分别是漏洞、资产和安全状态数据结构的框图；图12是说明风险计算方法的流程图；图13是信息系统的框图，可以结合该信息系统来实现本发明的实施例。
具体实施例方式
如上面简要描述的，当前可用的安全评估和管理工具没有规定完整全面的安全评估，特别是针对例如通信网络的复杂信息系统。
例如，认为四个系统分类提供了针对网络基础设施中的安全和漏洞管理的部分解决方案。这些分类包括网络漏洞扫描器、入侵检测/预防系统、安全事件/信息系统以及暴露风险管理系统。
在这些分类中，所述暴露风险管理系统分类包括最广泛的工具。风险管理系统可能提供例如网络视图，其针对网络单元一个接一个地包括扫描器数据和漏洞数据，所述网络单元例如是防火墙和路由器、服务器或其他主机。典型地，每个单元独自被扫描或被评估，以确定其漏洞。企业网络的可视地图、商业应用和潜在安全问题为安全人员提供了针对每个独立单元的基础设施安全的概观，并且实现了针对与指定单元有关的更详细视图的深入(drill-down)能力。
通过评估如用商业影响变量所度量的攻击和损害潜力的可能性，可以计算一种商业风险。可以详细地确定风险因素，其考虑各种不同的攻击情景和漏洞。
然而，当前已知的工具不能应付大型的通信系统。这些工具不能提供复杂网络的现实视图，或考虑不同的组或资产或者资产之间的关系。
另外，商业风险计算使用基于路径确定的攻击可能性，即确定用于完成攻击的资产和漏洞链。在大型的复杂网络中很难确定每个可能攻击的攻击路径及其可能性，而且因此即使实际上并非不可能，也是不切实际的。
以这种方式减少指定攻击路径的风险计算，对于特定的漏洞或漏洞的组合可能更加有效，但是会导致对更复杂情况的误解。这种简化可以有效地使操作员或其他人员最小化实际风险，其可能对网络安全状态的全面评估有很大的影响。
根据本发明实施例的漏洞与资产之间的关联可以用于例如风险暴露管理技术。灵活的安全模型可以提供灵活的资产表示模型，用于通信网络和网络的物理/逻辑拓扑中所部署的任务指定的资产和/或服务指定的资产。完全可定制的灵活的风险暴露计算也可以考虑常见的安全方法，最好是解决指定商业风险的扩展方案。
图1是说明与本发明技术领域相关的一般安全概念的框图。图1所示的表示10说明了基于信息技术安全评估的公共准则国际标准ISO/IEC 154081999的基础安全范例和导出概念。
图1示出了用户或所有者12、对策14、漏洞16、威胁代理18、威胁22、风险20以及资产24。图1示出的一般安全范例是本领域技术人员所熟知的，因此这里仅对其作简要描述。
用户/所有者12可以包括例如通信网络的所有者或运营商，或者关注资产24的其他利益共享者。
对策14代表动作，例如更新例如计算机系统资产上的操作系统或应用软件，可以采取所述动作来减少漏洞16。漏洞16是使资产易受攻击的资产操作中的条件，或可能是故障。操作系统软件中的安全漏洞是漏洞的一个说明性例子。
威胁代理18是希望滥用或不以其用户/所有者12所期望的方式使用资产24的那一方。威胁22是关于资产24可能被损害的指示，其说明性地是一种可能性。
在通信网络的例子中，资产24是网络的部件，并且既可以是物理的也可以是逻辑的。对于每个类型的资产24都可能存在漏洞16。
如图1所示，用户/所有者12评估资产、希望将资产24的风险20最小化，并且可能意识到会导致资产24的风险20的漏洞16。漏洞16可以由用户/所有者12通过强制对策14而被减少。根据对其的回顾，图1所示的其他概念之间的相互关系对本领域的技术人员是显而易见的。
图2说明了图1所示概念的适配，以及它们是如何关联于本发明的，图2是说明安全判决模型的框图。
图2中的用户/所有者32、威胁代理38、威胁42、风险40、资产44以及漏洞36基本上与图1中类似标记的部件相同，但是根据本发明的实施例与传统技术不同地处理它们。
漏洞和网络库存(inventory)数据库系统46包括数据库，该数据库存储了与漏洞和资产相关联的信息或从中可以导出漏洞和资产信息的信息。在图2所示的例子中，数据库系统46包括安全知识数据库47，其存储了与已知漏洞相关联的信息，或者存储了被转换或被处理以生成漏洞信息的安全信息。这个类型的信息在这里通常称为安全漏洞定义。网络配置文件(profile)数据库48存储网络库存信息。包括与例如通信网络的信息系统中的资产相关联的信息的资产定义，可以从网络配置文件数据库48中获取或从获取自网络配置文件数据库48的信息中导出。
应当认识到，通信网络只是系统的一个例子，这里公开的技术可以应用于该系统。这些技术可以应用于其他类型的信息系统。
数据库系统46的各种不同的实现对于本领域的技术人员而言是显而易见的。例如，任何不同类型的数据存储设备，例如磁盘驱动器和固态存储设备，都可以用来存储数据库47、48。根据本发明的一个特定实施例，数据库47、48被存储在还执行实现安全判决模型30的软件的计算机系统上。然而应当认识到，数据库系统46旨在更一般地表示这样一种系统通过该系统可以访问漏洞和资产信息或可以从中导出漏洞和资产信息的信息。数据库47、48因而可以是远程数据库，模型30可以通过合适的接口和连接来访问该远程数据库。数据库47、48可以例如存在于局域网(LAN)的服务器中，在这种情况下，信息通过网络接口和LAN连接是可访问的。
在操作中，安全判决模型30考虑了资产和漏洞以确定风险评估。风险评估向用户/所有者32提供对当前网络安全状态的指示。
安全判决模型30可以如图3所示地被实现，图3是安全风险暴露管理系统的框图。
系统50的结构包括三个主要单元，即用户接口52、安全模块54以及数据系统56。在一个实施例中，这些单元都在计算机系统中被实现。用户接口52因而可以通过显示器和例如键盘、鼠标和/或触摸屏的输入设备而被提供，安全模块54主要是在存储于计算机系统的存储器中并由处理器执行的软件中被实现的，并且数据系统56包括本地存储设备、至远程存储设备的接口，或其组合。
应当认识到，本发明的实施例可以包括比图3中明确示出的更多、更少或不同的具有不同互连的单元。例如，安全风险管理系统可能不包括图3所示的每个单元。其中实现系统50或本发明另一实施例的计算机系统或其他设备，也可以包括用于其他功能的其他单元。例如，除实现安全风险管理功能的应用软件之外，计算机系统中的处理器还典型地执行操作系统软件。因此，图3和其他附图只是用于进行说明，而不限制发明的范围。
在图3所示的特定示例性实施例中，用户接口52包括仿真接口62、配置接口64、网络地图66以及报告接口68。这些用户接口单元62、64、66、68与安全模块54相连接以接受用户输入和/或提供输出给用户。显示器、键盘、鼠标和触摸屏代表输入和输出设备类型的例子，通过它们可以在用户和安全模块54之间传送信息。这些单元也可以具有关联的软件组件，其由处理器执行以处理并传送输入和输出信息。
仿真接口62、配置接口64、网络地图66以及报告接口68有效耦合到安全模块54。这些单元通过其进行交互的连接形式取决于其中实现系统50的特定类型的设备。例如，内部总线结构通常被用在计算机系统中，并且因此用户接口52及其部件与安全模块54以及数据系统56之间的交互，可以通过在处理器与不同输入/输出设备之间的内部连接、驱动器和接口来被实现。然而，也可以使用其他类型的连接。
安全模块54包括事件管理器72，其有效耦合到仿真接口62、配置接口64、一个或多个外部系统71以及数据系统56；网络模型管理器74，其有效耦合到网络地图66、事件管理器72以及数据系统56；风险分析器76，其有效耦合到配置接口64、网络模型管理器74以及数据系统56；以及报告管理器78，其有效耦合到风险分析器76、报告接口68以及数据系统56。安全模块54的这些部件，像用户接口52的那些部件一样，可以用硬件、由处理器执行的软件或其组合来实现。
数据系统56包括漏洞数据库82，其有效耦合到事件管理器72和风险分析器76；资产数据库84，其有效耦合到事件管理器72、网络模型管理器74以及风险分析器76；安全状态数据库86，其有效耦合到风险分析器76和报告管理器78；以及用户接口数据库88，其有效耦合到用户接口52。这些数据库可以被存储于任何不同类型的存储设备中，例如固态存储设备、磁盘驱动器以及使用固定的、活动的或可拆卸的存储介质的其他类型存储设备。数据系统56可以包括数据存储单元，或通过其可访问远程数据存储单元的接口，如上面结合图2所指出的。尽管图3中被分离的示出，然而多个数据库82、84、86、88可以被存储于一个数据存储单元或存储设备中。
漏洞数据库82存储与漏洞相关联的信息，而资产数据库84存储与资产相关联的信息。这些数据库代表数据库47、48(图2)的例子。以下提供了可以被存储在根据本发明实施例的数据库82、84中的数据结构。
安全状态数据库86存储与历史的和/或当前的系统安全风险状态相关联的信息。与用户接口52相关联的信息，例如不同的网络视图和由用户配置的图标布局，被存储在用户接口数据库88中。
系统50的针对操作的初始配置可能包括将漏洞信息和资产信息存储在数据库82、84中。漏洞和资产信息可以由网络操作员人工输入，和/或从现有数据存储单元或其他源中引入。数据库82、84可以通过事件管理器72来被填充，如下所述，或可能地通过另一接口(未示出)来被填充，其中数据库82、84通过该另一接口是可访问的。
事件管理器72处理进入的事件，例如初始网络和漏洞配置信息，新漏洞的介绍，或网络拓扑或配置中的变化。信息可以由事件管理器72从仿真接口62、配置接口64或例如通信系统的网络管理系统(NMS)的一个或多个外部系统71来接收。
通过仿真接口62，用户可以进行网络中的试验性或临时性变化。这使用户能够在网络中实际发生这些变化之前调查变化的效果，例如对策。来自仿真接口62的仿真事件以不同于接收自其他源的变化或更新的方式而被优先地处理，以便临时的仿真变化不会影响反映实际网络条件的漏洞和资产。这可以例如通过提供分离的仿真数据库来实现，其中临时的变化可以应用于所述仿真数据库。仿真数据库可以被存储，直到根据数据系统56中可用的存储空间量而被用户明确删除或清除，或当用户关闭或退出仿真接口62时自动被删除。
由事件管理器72从配置接口64或外部系统71接收的信息可以被处理并被写入数据库82、84，其中该信息影响了实际的漏洞或网络资产。由事件管理器72所执行的处理的特性可能例如取决于信息的类型、格式和/或源。
通过配置接口64而被输入的信息可能已经根据用于将信息存储在数据库82、84中的数据结构而被格式化，并且可以被写入数据库中，而无需大量的处理。然而，在接收自外部系统71的信息的情况下，例如格式化和/或内容转换的处理可以由事件管理器72来执行。例如，包括由网络中所用软件的销售商所发现的新漏洞的报告的电子邮件更新，可以由事件管理器72或另一部件来接收和处理，并且被用来更新漏洞数据库82。接收自NMS的网络设备或配置更新可能包括中等级别的处理，通常比来自其他外部系统71的信息的处理要少，但是可能比来自内部配置接口64的信息的处理要多。
事件管理器72因而可以接收与漏洞和资产相关联的信息，并且基于所接收的信息更新当前的漏洞和资产，或更具体地更新数据库82、84中的信息。
网络模型管理器74从事件管理器72、资产数据库84或二者捕获被分析网络的表示，以向用户呈现网络地图66。资产和它们的关系(如在资产数据库84中所指明的)以及可能地漏洞和它们与资产的关联(如在漏洞数据库82和/或资产数据库84中所指明的)被网络模型管理器74用来构建网络的模型。影响当前网络模型的事件可以从事件管理器72被传递到网络模型管理器74，或被存储在资产数据库84中，用于由网络模型管理器74来访问。因此应当认识到，网络模型管理器74不必物理耦合到事件管理器72。在一些实施例中，仿真接口62和配置接口64可以有效耦合到网络模型管理器74，来将变化应用于模型。
风险分析器76执行风险分析和计算。根据本发明的一个方面，风险分析器76通过分析漏洞和资产来确定影响通信网络资产的漏洞，并确定通信网络中的风险。如上所述，与漏洞和资产相关联的信息被存储在数据库82、84中，并且被风险分析器76访问。
资产可以包括物理资产、逻辑资产或二者，其中所述物理资产说明性地是通信网络中的设备，所述逻辑资产例如是运行于通信网络中的设备上的软件和由通信网络中的设备所存储的信息。
风险分析器76所确定风险的指示被提供给网络模型管理器74，以便通信网络的表示和所确定的风险可以通过用户接口52以网络地图66的形式被提供给用户。网络地图66因而包括网络表示和详细的安全风险信息二者。许多不同类型和布局的网络地图66中任一个都可以被用来呈现风险分析的结果。其中利用图标或图像、文本或其组合来示出资产和风险的网络的绘图表示，可以提供网络当前安全状态的最有效指示。在一些实施例中，网络地图66的格式和布局是根据存储于用户接口数据库88中的在先建立的用户接口设置的。
系统50决不限于任何特定类型的表示或输出。例如，也可以设想例如告警或警报的指示，其可以通过用户接口52在本地被提供或被传送给例如寻呼机或电子邮件客户端的远程系统。
根据本发明的实施例，漏洞、资产、漏洞与资产之间的关联以及资产之间的关系中任一个或全部的表示，也可以以图形和/或其他形式而被提供。
风险分析器76也可以向报告管理器78和安全状态数据库86中任一个或二者提供安全风险信息。在图3中，风险分析器76有效耦合到报告管理器78和安全状态数据库86二者。来自风险分析器76的输出还可以通过报告管理器78而被提供给安全状态数据库86。另一个可能选项是将风险分析器76和报告管理器78有效耦合到安全状态数据库86。在这种情况下，来自风险分析器76的输出被提供给安全状态数据库86，并且安全状态数据库86中的信息然后被报告管理器78访问，以通过报告接口68向用户提供报告。
报告接口68也可以接收来自用户的风险报告选择输入，用于配置由风险分析器76所确定风险的报告。风险报告选择输入可以控制报告管理器78所产生的报告的内容、格式或二者。响应于通过报告接口68所接收的风险报告选择输入，报告管理器78访问例如安全状态数据库86中的安全风险信息，并且生成用户的定制报告。
通过配置接口64，用户可以提供与漏洞、资产或二者相关联的网络配置信息，以有效地改变被分析通信网络。
配置接口64也可以用于输入风险分析配置信息，以配置由风险分析器76应用于漏洞和资产的分析过程。该风险分析过程根据用户所提供的风险分析配置信息而被适配。例如，风险分析适配可能包括选择风险计算的指定类型或其参数。
也可以选择特定的通信网络组件(feature)以进行分析。用户可能针对指定网络资产、由网络提供的指定服务或利用通信网络而执行的指定任务而关注于评估风险。
一旦服务、任务或其他网络组件被选择，风险分析器76就说明性地通过访问数据库82、84，来确定影响所选组件或网络中与所选组件相关联的资产的漏洞。风险分析器76接着通过分析漏洞和资产来确定所选组件的风险。指定组件的风险的指示然后可以通过网络模型管理器74、报告管理器78或二者而被提供。
上面主要就系统描述了安全风险分析。图4是说明安全风险管理方法的流程图。
方法90开始于92，即网络和/或风险配置的操作。这个操作可以包括例如以下操作中的任一个或全部填充或更新漏洞和/或资产信息、选择用于安全风险分析的一个或多个指定网络组件，以及适配安全分析过程。
如果在92指明了指定网络组件，则在94确定漏洞，其中该漏洞影响了所选网络组件和/或关联的资产，或在要执行全网络的安全分析的情况下影响了所有资产，并且在96分析所述漏洞和资产以确定通信网络中的风险。在98提供所确定风险的指示。
应当认识到，方法90只是为了进行说明，而不限制发明的范围。本发明的实施例可以用比图4所示更少或更多的操作来被实现，或者所说明的操作可以以不同的顺序来被执行。例如，当网络漏洞和/或资产被更新或用于不同的仿真情景时，方法90可以被重复。
风险分析器76所进行的资产和漏洞的分析还可能包括下面详细描述的风险暴露计算。
例如，风险分析器76也可以考虑资产之间的关系，从而遍及网络地传播漏洞和风险的影响。漏洞的传播允许风险分析不仅考虑影响特定资产的漏洞，而且还考虑影响与该资产有关系的其他资产的漏洞。对特定资产的风险确定因而可以基于其自己的漏洞和影响相关资产的传播漏洞二者。因此，漏洞、风险或二者的影响也可以被传播，并且因此应当相应地解释这里对漏洞和风险传播的参考。
基于漏洞定义和一个或多个资产定义，本发明的实施例提供了特定漏洞与资产的关联。在不止一个资产定义的情况中，关联也取决于资产之间的关系，如下面详细描述的那样。如上所述的传统安全风险管理工具不支持漏洞与资产之间的复杂关联或资产之间的关系。
关于本发明的基于关联和基于关系的方面，首先考虑各类型资产之间可能存在的关系是有益的。图5是说明资产类型的框图，以及资产如何与其他资产相关的例子，即，资产间的关系。
如上所述，资产可以是通信网络的物理或逻辑部件。在图5的系统100中，个人计算机(PC)101和SPARC工作站103是物理资产，而操作系统102、104、互联网(WWW)服务器106以及数据库108是逻辑资产。
图5还示出了这些资产之间的关系。信息系统不仅可以通过资产来描述，也可以通过它们之间的关系来描述。关系描述了如何互连资产和/或它们的功能相关性。
在图5中，PC 101和工作站103具有“连接(cabled-to)”关系，这指示这些资产通过某种通信链路进行通信，例如经由通信网络的物理连接。操作系统102、104由PC 101和工作站103中的处理器来执行，并且因此分别与PC 101以及工作站103具有“运行于其上”的关系。
服务器106和数据库108由软件来支持，该软件也由PC 101和工作站103中的处理器来执行。由于这种类型的软件通常是通过操作系统102、104或在其中被执行，因此服务器106和数据库108与操作系统102、104分别具有“运行于其上”的关系。
图5说明了服务器106和数据库108之间的另一类关系。例如，服务器106可以提供访问数据库108中所存储的库存信息的库存系统。由此，服务器106或其所支持的功能依赖于数据库108，并因此与数据库108具有“依赖”关系。
在一个实施例中，资产之间的关系可以以两级的方式来表示。第一，关系本身按照其类型和资产数量来表示，其中所述类型包括“连接”、“运行于其上”以及“依赖”，在所述资产之间可能存在特定的关系。图5中的“连接”关系例如是“连接”类型的，其需要至少两个端点资产。下面将详细描述的安全参数也可以包含于关系的规范中。
一旦定义了关系，作为特定关系的一部分的资产就与关系相关联。对于一些类型的关系，资产与关系的关联也可以指示资产是否是关系中的“来自”成员或“去往”成员。“来自”和“去往”信息被用于关系，例如“运行于其上”，其中“来自”成员是运行成员，而“去往”成员是运行成员在其上运行的成员。在图5中，操作系统102是操作系统102和PC 101之间关系的“来自”成员，而PC101是“去往”成员，如这些资产之间的箭头方向所指示的。对于“依赖”关系，“来自”成员依赖于“去往”成员。对于具有等价成员的关系类型，例如“连接”关系，“来自”或“去往”值可以被指派为“不可应用”等。
本发明不限于这种类型的关系表示。上面提供的表示仅是说明性的例子。
其他类型的资产和关系也存在于对其评估风险的通信网络或其他系统中。图6和7中示出了其他类型关系的例子以及漏洞与资产之间关联的概念，并且下面将对其进行详细描述。
图6是说明漏洞、资产及它们之间关系的框图。在例子110中，在116、118示出了安全漏洞V1和资产A1。可能包含于漏洞V1和资产A1的定义中的信息也分别在112/114和120被示出。漏洞V1与资产A1之间的关联122、124可以是基于对它们各自定义的比较而产生的。
漏洞V1的定义包括多个资产特征，其形式是被利用平台112和受影响平台114。被利用平台112是可以通过漏洞V1而被利用的软件平台。在漏洞V1实际上用来利用该被利用平台112的情况下，对受影响平台114存在一定的影响。这些平台112、114，以及下面描述的资产平台120，可以按照例如平台名称和版本来被指明。通常，根据能够匹配要检测的特征的标识方案来标识资产特征。
漏洞V1的被利用平台112和受影响平台114是相同的。然而，应当认识到，不同的平台可以被漏洞利用和影响。这将在下面参考图7来详细描述。
资产A1的定义作为资产特征而包括资产平台120。这个资产平台120匹配漏洞V1的被利用平台112，并且因此漏洞V1和资产A1具有“被利用”关联124。资产平台120也匹配受影响平台114，这导致另一个“直接受影响”关联122。在一个实施例中，系统比较漏洞V1的定义与一个或多个资产的定义，即图6中的资产A1，并且特别地比较资产A1的资产平台120与漏洞V1的被利用和受影响平台112、114。在检测资产A1的资产平台120与漏洞V1的被利用和受影响平台112、114之间的匹配之后，所述系统接着利用“被利用”关联124和“受影响”关联122二者来将资产A1关联于漏洞V1。
例如，通过修改漏洞V1的定义和/或资产A1的定义，或例如通过创建存储器中的关联数据结构，可以创建这些关联。
可以从各种不同的源中任一个源获取或导出资产和漏洞的定义。例如与漏洞相关的信息可以以漏洞报告的形式被接收，并且被翻译成具有适当格式和内容的漏洞定义。如上面简要描述的那样，漏洞报告可以特别地标识被利用平台，但是通常不在这种报告的被利用和受影响平台之间进行区分。根据本发明的一个方面，漏洞定义针对每个漏洞而被编辑，并且指明了多个资产特征，这包括一个或多个被利用平台和一个或多个受影响平台。尽管这些定义可以包括漏洞报告中所提供的信息，然而现有报告典型地不以这种方式被使用，以识别漏洞与资产之间关联的不同类型。
图7是说明漏洞、资产、关联以及资产关系的框图。在这个更复杂的例子130中，在138示出的漏洞V2利用了所述被利用平台(即软件应用程序(APP1)132)中的缺陷来影响所述受影响平台(即操作系统(OS2)134)。保护平台(即防病毒软件(AV1)136)可以被用来缓解漏洞V2。
在140示出的资产A2具有包括APP1的资产特征142的定义，所述资产特征这里也称为平台规范。资产A2与如在144示出的另一资产A3具有“运行于其上”的关系，该资产A3具有OS2的平台规范146。由于资产A2的平台被漏洞V2利用，并且资产A2与其平台匹配于漏洞V2的受影响平台的资产A3具有运行于其上的关系，因此资产A2被看作是被漏洞V2利用，如在152所示的那样，而资产A3被看作是被漏洞V2影响，如在154所示的那样。然而，如果资产A3的平台规范146是不同于OS2的平台，则在资产A2和资产A3与漏洞V2之间不会产生关联。在这种情况下，不存在与受漏洞V2影响的平台相匹配的平台规范。平台APP1的利用因而不会影响图7中示出的示例性系统。
在后续风险评估或其他过程期间，例如，当计算漏洞V2对资产A3的影响时，可以考虑资产A3与如在148所示的另一资产A4具有“被保护”关系这一事实，其中资产A4的平台规范150匹配于缓解漏洞V2的平台AV1。这可能导致漏洞V2对资产A2、A3没有影响。保护资产也可能致使漏洞V2与资产A2、A3之间的关联152、154被移除，尽管在一些情况下维持那些关联可能是有益的。例如152、154的关联可以为操作员提供关于信息系统中所存在的漏洞的更准确视图，以及如何使系统免于那些漏洞。
在图7的例子130中，保护平台AV1使受影响平台OS2免于漏洞V1。然而应当认识到，一个或多个保护平台可以保护被利用平台、受影响平台或二者。
本发明的实施例因而支持漏洞与资产之间的不同类型的关联。当前可用的安全风险管理系统没有在被利用平台和受影响平台之间进行区分，并且不具有保护平台的概念。在那些系统中，资产可能与该资产可以通过其而被利用的漏洞相关联，这与是否已经在被管理系统中部署了实际上受漏洞影响的平台无关。当前系统中的漏洞分析也不考虑防止漏洞的保护资产。
图8是用于构建漏洞与资产之间关联的装置的框图。装置160包括关联模块162、有效耦合到关联模块162的比较模块164、有效耦合到关联模块162和比较模块164的漏洞数据库166和资产数据库168，以及有效耦合到漏洞数据库166和资产数据库168的用户接口(UI)169。
本发明决不限于图8所示的指定部件和互连。其他实施例可能包括更多、更少和/或不同的、以类似于或不同于所示方式互连的部件。例如，装置160也可以有效耦合到风险分析系统。在一些实施例中，用户接口169有效耦合到关联模块162和/或比较模块164，以允许用户控制那些部件的操作。也设想了本发明范围内的其他变型。
装置160的部件可以通过物理连接或逻辑连接而彼此有效耦合，其中这些部件中任一个都是利用由一个或多个处理单元所执行的软件而被实现的。
因此显而易见地，装置160的部件可以利用硬件、软件、固件或其组合来被实现。本领域的技术人员对于可用来实现装置160的设备是很熟悉的，这例如包括微处理器、微控制器、专用集成电路(ASIC)、可编程逻辑器件(PLD)和/或现场可编程门阵列(FPGA)。
考虑到图8所示部件的许多可能实现，这里主要就它们的功能来描述这些部件。基于这些功能描述，本领域的技术人员能够以任何不同的方式实现本发明的然而，漏洞数据库166和资产数据库168通常被提供为硬件部件中的数据存储单元，特别是一个或多个存储设备。固态存储设备在一些类型的系统中很常见，尽管装置160也可以包括用于活动的或甚至可拆卸的存储介质的存储设备。
用户接口169通常也利用物理设备而被提供，所述物理设备例如是键盘、鼠标和显示器。触摸屏是既能够从用户接收输入也能够提供输出给用户的设备的一个例子。
比较模块164被配置用来将来自漏洞数据库166的安全漏洞的定义与来自资产数据库168的信息系统的一个或多个资产中每一个的定义进行比较。如上所述，安全漏洞定义包括多个资产特征，其形式可能是例如被利用的和受影响的平台。
如根据上面的描述而变得显而易见的，资产是被安装在例如通信网络的信息系统中的任何硬件或软件。信息系统的每个资产都具有存储在资产数据库168中的定义，其包括资产特征，该资产特征说明性地是定义资产的名称和版本的平台规范。例如，软件资产可能具有“应用程序1版本1.2”的平台规范。类似地，硬件资产可能具有“计算机销售商1版本1c”的平台规范。此外，每个资产都可能与其它资产具有一组相互依赖或关系。具有“应用程序1版本1.2”的平台规范的资产可能与具有“操作系统1更新2”的平台规范的另一资产之间具有“运行于其上”的关系。该另一资产也可能与具有“计算机销售商1版本1c”的平台规范的又一资产具有“运行于其上”的关系。
漏洞定义包括几个资产特征，其也可以是以平台规范的形式。它们可能包括可以通过漏洞而被利用的资产特征(例如一个或多个被利用平台)、如果被利用平台实际上被利用则会受到影响的资产特征(例如一个或多个受影响平台)，以及可以防止或缓解漏洞影响的资产特征(例如一个或多个保护平台)，也可能还包括其它资产特征。
将漏洞定义中指明的资产特征与一个或多个资产中每一个的定义中的那些资产特征进行比较。例如，为确定漏洞和资产是否应当以特定的方式相关联，资产的平台规范可以与漏洞的适当平台规范相比较。通过比较模块164将所述比较的结果提供给关联模块162。
如果资产的定义包括安全漏洞定义中指明的第一资产特征，并且该资产的定义或与该资产有关系的另一资产的定义包括安全漏洞定义中指明的第二资产特征，则关联模块162将安全漏洞关联于特定的资产。漏洞定义、资产定义或二者，都可以被关联模块162修改以创建漏洞/资产关联。分离的数据存储单元和/或数据结构也可以用来创建关联。
所述第一资产特征可以标识被利用平台和受影响平台中的一个，在这种情况下，所述第二资产特征标识了被利用平台和受影响平台中的另一个。因此，如果资产的定义或该资产的定义和另一相关资产的定义包括被利用平台和受影响平台，则关联模块162将该资产关联于漏洞。关联模块162也可以将安全漏洞关联于多个资产，其中被利用和受影响平台是不同的。
保护资产也可以被装置160识别。被利用的或被影响的资产可以与其定义指明第三资产特征的另一资产有关系，该另一资产说明性地是保护平台，该第三资产特征也在漏洞定义中被指明。被利用/受影响的资产与保护资产之间的关系可以是如图7所示的“被保护”关系，或在被利用/受影响平台和保护平台在同一操作系统上运行的情况下是“运行于其上”的关系。如果保护平台被比较模块164发现，则关联模块162也可以将安全漏洞关联于保护资产。在一些实施例中，关联模块162中止将安全漏洞关联于一个或多个资产的功能，或者在信息系统中存在保护平台的情况下移除安全漏洞与一个或多个资产之间的任何关联。然而如上所述，即使是发现了保护平台，建立或维持这些关联可能也是有益的。
UI 169使用户能够访问数据库166、168中漏洞和资产信息，以生成例如资产、漏洞、关联以及图形用户接口(GUI)中的资产关系中的任一个或全部的视图。应当认识到，UI 169可能是共享部件，其也可以用于其它目的，例如用于安全风险评估系统中。
图9是将漏洞关联于资产的方法的流程图，并且详细示出了可以由比较模块164(图8)执行的一系列比较功能的例子。
方法170开始于172，即将安全漏洞定义中指明的第一资产特征与一个或多个资产中每一个的定义中指明的资产特征进行比较。这可能例如包括比较每个资产的平台规范与关联于漏洞的被利用平台。
如果安全漏洞定义中指明的第一资产特征不匹配于任一资产定义中的资产特征，如在174所确定的，则不可能有关联。
如果发现匹配的第一资产特征，则说明性地通过将资产的平台规范与漏洞的受影响平台进行比较，在176进行另一比较以搜索第二资产特征。
如果在资产定义中发现第二资产特征(178)，则在180确定该第二资产特征是出现在与第一资产特征相同的资产的定义中，还是出现在与该第一资产有关系的资产的定义中。在任一情况中，在182将漏洞关联于资产。否则，不需要漏洞与资产的关联，这是因为并没有发现可能通过被利用平台而受影响的平台。
在182的关联操作可能包括创建一个或多个关联。例如，如果被利用平台和受影响平台相同，则认为一个资产与漏洞具有“被利用”和“直接受影响”两个关联。然而，当漏洞利用并影响不同的资产特征时，可以创建多个关联。例如，可以认为资产与漏洞具有“直接受影响”关联，其中该资产的平台匹配于该漏洞的受影响平台，并且与其平台规范匹配于该漏洞的被利用平台的资产具有“运行于其上”的关系。
当确定没有进行关联时，或已经在182进行一个或多个关联之后，方法170可以针对不同的漏洞而被重复。
图9代表根据本发明一个实施例的方法的说明性例子。其他实施例可以包括更多、更少或不同的、以类似于或不同于明确示出的顺序而被执行的操作。
例如，方法可以包括选择操作，即在搜索第二资产特征时选择要考虑的特定资产。例如当资产平台规范与漏洞的被利用平台相匹配时，在搜索漏洞的受影响平台时仅考虑被利用资产以及与该被利用资产具有“运行于其上”关系的那些资产。因此，在172的比较操作中可以考虑第一组资产，而在176可以考虑第二组资产。
方法160的另一可能变型包括比较漏洞和资产定义，以检则另一资产特征，其说明性地是保护平台。被利用或受影响资产上的或与该被利用或受影响资产具有“被保护”或“运行于其上”关系的资产上的保护平台的存在，可能在风险计算期间影响漏洞的后续处理，这是由于漏洞的影响可以通过合适的保护资产而被消除。当资产直接受漏洞影响时，依赖于(例如“依赖”或“运行于其上”关系)该资产的任何其它资产因而可以被看作是与该漏洞具有“间接受影响”的关联。依赖于间接受影响资产的资产也可以与漏洞具有“间接受影响”关联，等等，直到任何依赖链的顶端。如果保护资产防止了漏洞，则漏洞的直接和间接影响中的任一个或二者都可以被排除在风险评估之外。
应当认识到，尽管上面主要从作为第一资产特征的被利用平台和作为第二资产特征的受影响平台的角度描述了方法170，然而漏洞/资产关联过程不必考虑这个指定顺序中的漏洞平台。操作员可能希望确定指定资产是否受到任何漏洞的影响。在这种情况下，资产平台可能首先与漏洞的受影响平台相比较。如果该资产平台与漏洞的受影响平台相匹配，则可以进行另一比较来确定该漏洞的被利用平台是否与该资产或与该资产具有“运行于其上”关系的资产的资产平台相匹配。
图9没有明确示出的但可能受到漏洞/资产关联的影响的附加操作，包括安全风险评估操作。
方法170的其他变型对本领域技术人员而言是显而易见的。
通过确定漏洞与资产之间的关联，以及资产之间的关系，安全风险分析系统或方法可以在相关资产之间传播漏洞的影响。
资产之间的传播类型可能取决于于那些资产之间的关系。例如，资产之间的“依赖”关系可能指示一个资产的可用性依赖于另一资产的可用性，然而在“连接”关系的情况中就不是这样。在后一情况中，仅一个资产为不可用，并不意味着另一资产也不可用。这个情景的一个例子是连接到网络的两个PC。
例如，风险分析器76(图3)可以确定影响与通信网络相关联的资产的漏洞，并且从资产向与该资产有关系的另一资产传播该漏洞的影响。这种传播以及反方向的传播，可以应用在资产和与该资产有关系的每个其它资产之间。
风险分析器也可以基于影响资产的漏洞和从其它资产传播到该资产的漏洞，来确定资产和/或网络、其服务以及其他网络组件的安全风险。
图10是风险计算系统的框图，其可以例如在图3的风险分析器76中被实现。风险计算系统210包括风险计算器212；有效耦合到风险计算器212的总暴露计算器214；有效耦合到总暴露计算器214的直接暴露结算器216；有效耦合到风险计算器212、直接暴露结算器216以及间接暴露计算器218的漏洞数据库222，其中该间接暴露计算器还有效耦合到总暴露计算器214；有效耦合到间接暴露计算机218的可到达性计算器220；以及有效耦合到风险计算器212、直接暴露计算算器216、间接暴露计算机218以及可到达性计算器220的资产数据库224。
计算器212、214、216、218、220可以例如在由处理器执行的软件中被实现，尽管也可以设想基于硬件的实施例以及其中利用硬件和软件的特定组合来实现计算功能的实施例。
风险计算器212使用暴露和资产信息来计算资产、网络服务或其他所选网络组件的安全风险。暴露是在给定资产与影响资产的漏洞之间的映射。如上所述，漏洞是使资产容易受到攻击或故障影响的资产操作中的条件。例如威胁值的其他信息也可以在计算风险时被风险计算器212使用。可以例如由用户针对资产所输入的威胁值是关于资产可能受到损害的指示。例如，没有与网络连接且处于高度受保护房间中的PC可能被标记以比连接到网络的PC低的威胁值，即使是在它上面运行的软件中存在几个漏洞。
风险计算器212的输出实际上优选地是多维的。由于网络复杂度随着提供各自指定服务的设备而增加，因此所确定的风险优选地反映了安全的多个方面，例如机密性、完整性和可用性(C，I，A)。
例如，包含于风险计算器212所提供的输出中的安全维数可以由用户/所有者通过配置接口64(图3)来预先确定或配置。用户/所有者可能希望评估影响服务可用性的服务的安全风险。在这种情况下，风险计算器212提供指示了所选服务可用性的安全风险的输出。
安全维数信息可以以数字的格式被提供，如包含于0和1之间的数字，其指示了重要性级别或资产、服务或其他网络组件的安全维数的相关性。例如，三元组(1，0，0)可以用来指示机密性风险，或如下所述，资产具有针对提供网络中机密性的值。然而应当认识到，其他指示可以用于安全维数，例如关于每个安全维数的资产、风险、漏洞的严重性或重要性的指示。例如，三元组(0.75，0.50，0.25)提供了C、I、A参数具有不同重要性级别的指示。
在系统210中，可以由总暴露计算器214根据直接暴露或间接暴露中任一个或二者来计算暴露。直接暴露是由直接暴露计算器216基于直接影响资产的漏洞来确定的。间接暴露计算器218计算不同类型的暴露，即间接暴露，它从相关资产传播到所述资产。例如，与操作系统相关联的漏洞的影响可以传播送到该操作系统的任一应用程序。在图5中，影响操作系统102、104的漏洞的影响可以被分别传播到服务器106和数据库108。间接暴露计算器118在其对风险的间接暴露的确定中使用与关系、资产以及可到达性有关的信息。
可到达性是由可到达性计算器220基于关系和资产信息来确定的。可到达性计算器220实现了计算网络中资产之间路径的暴露的功能。例如，图5中的服务器106依赖于通过PC 101和工作站103的、在它本身与数据库108之间的物理连接。这种连接的暴露这里称作“可到达性”。
系统210中的计算器可以访问数据库212、224，以获得关于漏洞和资产的信息，/或获得从其他计算器输出的信息，以用于其他计算，如风险计算器212和总暴露计算器214的情况。这个计算器集合可以灵活地应用于风险计算。不同的用户/所有者或团体(例如企业、政府、军队以及公众)可能具有不同的需求或风险评估情景。
例如，通过总暴露计算器214有效耦合到直接和间接暴露计算器216、218的风险计算器212，可以基于由针对当前风险分析操作而选出的特定计算器所确定的暴露来确定安全风险。例如，用户可能选择直接暴露分析，在这种情况下选择直接暴露计算器216。
例如通过经由用户接口输入风险分析配置信息而明确选出特定计算器或要分析的特定类型的暴露，可以实施针对安全风险分析操作的计算器的选择。计算器选择在所执行的一种类型的风险分析中也可以是固有的。在一个例子中，全网络的风险评估自动地致使所有暴露计算器被选择，而更有针对性的风险评估可能致使计算器的各个子集被选择。也可以设想其他选择机制，并且它们对本领域技术人员而言是显而易见的。
计算器选择的实施也可能与实现相关。在一些实施例中，计算器只有在它被选择用于当前风险分析操作时才可用于计算其相应类型的暴露。另一可能实现可能具有在每个风险分析操作期间确定其相应类型的暴露的计算器，同时另一部件(例如总暴露计算器214)选择一个或多个不同类型的暴露以包括在总暴露计算中。
应当认识到，不是每个计算器都必须是可选的。缺省的或基础计算器，说明性地是直接暴露计算器216，可能一直自动被选择并用于每个风险分析操作中。在这种情况下，间接暴露计算器218可以是可选的以提供风险分析中的灵活性。
附加的基于行为的部件也可以与风险计算系统中的这些计算器相结合。例如，遍历代理或功能可以被用来在风险评估期间确定处理与网络相关联的资产的最佳顺序。
根据一个可能的风险评估方案，每个资产被顺次处理而与拓扑无关。在其他方案中，可能以基于更复杂算法的顺序来处理资产，其中该算法基于例如资产关系和资产路径和/或攻击路径来顺次选择资产。也可能在确定遍历顺序中考虑风险传播特征。例如，风险传播特征可以被用于将风险传播限于最多两个关系。在这种情况下，与资产具有不止两个关系的那些资产将不会看到风险对该资产的影响。在分析操作期间使用的特定遍历顺序算法可以是预先确定的，或者是可选择的或可由用户配置。
另一可能的行为部件是资产漏洞构建器，其构建如上所述的漏洞与资产之间的关联。这个部件将漏洞映射到它们所影响的资产，其中暴露计算器216、218可以利用该部件进行交互以确定直接和间接暴露。直接暴露计算器216基于这些映射来计算直接风险。通过关系，间接暴露计算器218可以确定哪些被资产漏洞构建器映射到资产的漏洞传播到其他资产。
在一些实施例中，暴露计算器216、218本身将漏洞映射到资产，而不是利用分离的资产漏洞构建器。
如上所述，资产到漏洞的映射构建网络资产与已知漏洞之间的关联。资产和漏洞数据库222、224存储了被访问并被处理以构建这些关联的资产和漏洞信息。
资产关系可以被搜索以确定每个资产是否与直接受漏洞影响的资产有关系。可以在漏洞与每个资产之间进行关联，其中所述每个资产与直接受影响的资产有关系。例如，关系搜索的深度和类型可以由用户指定。
可以针对漏洞数据库222中的所有漏洞以及资产数据库224中的所有资产，重复上述操作。
确定影响资产的漏洞的过程可以通过用于存储漏洞和资产数据的特定数据结构来促进。图11A和11B分别是漏洞和资产数据结构的框图。漏洞和资产数据库可以包括具有图11A和11B所示结构的多个记录。
如图11A所示，用于将漏洞信息存储到漏洞数据库中的漏洞数据结构230可以包括漏洞标识符232、一个或多个被利用平台中每一个的标识符234、一个或多个受影响平台中每一个的标识符236以及一个或多个保护平台中每一个的标识符238。例如，标识符232用名称标识漏洞，而平台标示符234、236、238用例如名称和版本号来标识作为资产特征的例子的硬件或软件平台。
漏洞数据结构可以包括与图11A明确所示的不同的信息。例如，漏洞描述可以提供其它漏洞信息，例如其影响，其说明性地是按照上述(C，I，A)安全维数的数字三元组，例如访问机制的条件等等，其中针对要利用的漏洞而需要所述条件。例如，根据应用漏洞定义语言(AVDL，Application Vulnerability DefinitionLanguage)、公共漏洞和暴露(CVE，Common Vulnerability and Exposure)和/或普通漏洞评分系统(CVSS，Common Vulnerability Scoring System)，可以指明这个信息。其它漏洞信息选项也是可能的，并且对本领域的技术人员而言是显而易见的。
漏洞数据结构也可能包括漏洞/资产关联的特定形式的指示。例如，当资产被识别为与漏洞具有“被利用”和/或“受影响”关联时，资产标识符和关联类型可以被添加给漏洞数据结构。
图11B的资产数据结构240包括资产标识符242、资产类型244、资产值246以及资产配置文件248。例如，标识符242利用用户定义的名称来唯一地标识资产。资产类型字段244可以将资产的类型指示为如上所述的物理或逻辑资产，和/或提供关于资产特性的细节，例如资产对其来说很关键或很重要的任何服务或任务。资产值246指示了资产的一个或多个值，例如按照(C，I，A)安全维数的值和/或元值(dollar value)。
资产配置文件248包括用于将漏洞映射到资产的信息，这里统称为资产定义。在数据结构230(图11A)中用其名称和版本所标识的操作系统漏洞的上述例子中，PC的资产配置文件248可以标识PC操作系统的名称和版本，并且漏洞由此可以通过将平台标识符匹配于资产配置文件而被映射到它所利用并影响的资产。可用于访问资产的访问机制也可以在资产配置文件248中被指示，以用于将需要特定访问机制的漏洞映射到资产。
还应当认识到，资产和漏洞可以被反向匹配，这是因为与资产相关联的信息可以被用来识别影响该资产的漏洞。
包含于风险评估中的漏洞和资产可以由风险分析器通过访问数据结构230、240中的信息而类似地被识别。参照图3，假设用户/所有者通过配置接口64选择机密性(C)风险评估。在这种情况下，风险分析器76访问数据库82、84，以识别影响机密性的漏洞以及对维持网络中机密性而言有价值的可能资产。
和漏洞与资产之间的关联和/或资产与其他资产之间的关系有关的信息，也可以以关联或关系的类型以及每个关联或关系的漏洞标识符或资产标识符的形式而包含于资产配置文件248中。
关联或关系还可以在分离的数据结构中被指示。这种数据结构可能包括在资产与该资产可能通过其而被利用的漏洞之间的第一类型关联的指示，其说明性地是“被利用”关联，以及第二类型关联的指示，其说明性地是“受影响”关联，其中，如果资产可以通过安全漏洞被利用以影响该资产，则该第二类型关联是在该漏洞与该资产之间的关联，而如果资产可以通过安全漏洞被利用以影响另一资产，则该第二类型关联是该安全漏洞与该另一资产之间的关联。关联数据结构也可能包括每个关联类型的漏洞和资产的标识符，以及可能的附加漏洞或资产信息。
图11C是说明示例性安全状态数据结构235的框图。如所示，安全状态数据结构235包括资产或组件标识符241，和安全状态信息，该安全状态信息包括直接暴露信息243、间接暴露信息245、总暴露信息247和风险信息249。
标识符241例如按照用户定义的名称来标识通信网络的资产或组件。字段243、245、247、249存储安全状态信息，其优选地包括由计算器212、214、216、218(图10)所计算的暴露和风险值。这些值中的任一个或全部都可以被表示为上述(C，I，A)安全维数的值。
应当认识到，字段243、245、247、249也可以存储其他暴露或风险信息，例如另一资产的标识符、关系类型以及间接暴露信息245情况下的传播漏洞。
数据结构235的其他变型包括针对资产或组件的直接和间接暴露提供多个暴露字段。例如，可以针对每个漏洞而提供分别的字段，其中所述漏洞直接或间接影响资产。
例如，数据结构235可以用于安全状态数据库86(图3)中的数据存储。在另一实施例中，暴露和风险信息被添加给资产数据库中的资产记录，在这种情况下，暴露和风险字段243、245、247、249中任一个或全部都可能包含于资产数据结构240中，可能地作为资产配置文件248的一部分。
数据结构230、240、235是可以用于存储漏洞、资产和安全状态信息的数据结构的说明性例子。包括附加的或不同的信息的不同数据结构可以用在其他实施例中。
图12是说明风险计算方法的流程图。在图12中，该方法中的操作被标记以参考号码，并且各个操作的输出邻近于所标记的操作块而被示出。图10所示的计算器的操作也将根据图12及其描述而变得显而易见。
方法250开始于252，即由如上所述的资产漏洞构建器来确定资产和漏洞以生成资产漏洞关联。这个确定可能简单地包括检索所存储的资产和漏洞信息，或者在一些实施例中处理信息以计算资产和漏洞信息，该资产和漏洞信息然后被比较，以映射或关联资产和漏洞。
在254，确定用于处理资产的遍历顺序。接着在256利用资产/漏洞关联来确定以遍历顺序的资产的直接暴露。
在254，可以在(C，I，A)项中确定直接暴露。在这种情况下，每个漏洞都具有表示漏洞对资产所造成的影响的(C，I，A)值。在一些实现中使用规则集来确定如何计算最终的直接暴露值。例如，利用直接造成影响的所有漏洞的(C，I，A)值之和，来生成资产的直接暴露，如在252所确定的资产漏洞关联中所指示的那样。其他可能的直接暴露计算规则可以指明选择漏洞的最大值或每个安全维数的最大值作为最终的直接暴露值。用于直接暴露计算的一个或多个规则可以被预先确定或由用户选择。
应当认识到，对于确定最终的直接暴露，其它选项也是可能的。例如，直接暴露计算器可以考虑附加的信息，例如用户输入的或提供的攻击专家指示。
总暴露在258被确定，尽管在这种情况下在256仅确定了直接暴露，并且因此总暴露与该直接暴露相同。
252到258的操作可以初始化基于软件的计算器和要用在后续风险分析中的数据，该数据特别是对于所有资产的直接暴露和总暴露。然而，应当认识到，用户/所有者可以配置风险分析系统，以便仅分析直接漏洞。在这种情况下，针对所有资产或仅针对与特定服务、任务和/或安全维数相关联的特定资产，在256确定直接暴露。在258的总暴露的确定在这种情况下仍可以被执行，即使总暴露和直接暴露相同。这可能例如在基于软件的系统中十分重要，在该系统中风险计算器被配置用来基于总暴露变量来确定安全风险。
如果风险分析要考虑间接暴露，则方法250接着转换到间接暴露阶段，并且在260继续进行以确定资产的可到达性。
如上所述，资产可能具有例如在它们之间的“依赖”的关系。例如，web服务器A可能依赖于数据库服务器B。在这种情况下，A的功能性依赖于正确运转且通过网络可到达的B。为了确定可到达性，考虑网络中的其他资产，以及A与B之间的“连接”和“运行于其上”关系。
说明性地利用特定形式的Dijkstra算法或基于开放式最短路径优先(OSPE)的算法，确定这些资产之间路径的暴露，以及两个端点资产之间路径中每个资产的暴露。这个算法的输出是可到达性值，如图12所示的包括每个连接的资产对的总暴露的可到达性表。
以在254所确定的遍历顺序或可能以不同的顺序，在262选择资产，并且在264基于其可到达性和关系来确定它的间接暴露。
间接暴露表示资产通过其关系对其他资产的风险或漏洞的暴露。间接暴露的确定可能包括遍历与资产相关联的关系的整个列表，并且评估是否实现了那些关联中的每一个，即关联于一个或多个其它资产。
当一个资产依赖于另一个时，这也意味着被依赖的资产通过网络是可到达的。因此，每个资产的可到达性的风险因而可以包括在间接暴露计算中。
规则集可以用来确定如何基于资产类型和关系来计算间接暴露值。例如，操作系统资产可能与路由器资产不同地看待“依赖”关系。
对于每个关系评估，可能存在要考虑的几个属性，包括关系端点处的资产的类型、那些资产的直接暴露值、与关系相关联的比例因子，以及那些资产之间路径的暴露值。
关系端点的可到达性暴露可以利用上述可到达性表而被评估。这表示资产之间路径的暴露值。
利用包含于间接暴露规则集中的参数，计算来自每个关系的暴露的评估。例如，路径暴露和端点暴露可以被组合，并且接着乘以关系比例因子来确定单个关系的间接暴露。这些操作针对与资产相关联的每个关系而被重复。
一旦确定了所有关系暴露，就基于关系暴露来确定间接暴露。例如，可以对关系暴露求和，或可以选择最大关系暴露或每个安全维数的最大值，从而确定最终的间接暴露。其他算法也可以用来确定间接暴露。
在266确定资产的总暴露，其包括在254所确定的直接暴露和在264所确定的间接暴露。至于上述直接和间接暴露，规则集可以用来定义如何确定总暴露。例如，规则集可以指明总暴露的75％是来自直接暴露而25％来自间接暴露。总暴露计算也可能随资产类型而变化，以例如针对操作系统和硬件平台而提供不同的总暴露计算方案，其中该总暴露计算应用于所述资产。
由于与资产有关系的其他资产的总暴露可能影响该资产的可到达性，因此该资产的可到达性可能在268再次被确定，以更新资产可到达性表。例如，通过路由器连接到网络的PC可能具有对路由器可到达性的高度暴露。因此，PC可能随着路由器的总暴露而具有较小的可到达性。
如在270所示，针对所有要分析的资产重复262到268的操作。这在执行全面的网络分析时可能包括所有的资产，或者在针对特定资产或资产组或者特定服务、任务或安全维数而进行更具针对性的分析时，仅包括特定的资产。
步骤260-268可以被迭代，直到暴露计算收敛，如在272所示，或已经完成预定的迭代数量。
然后，在274利用总暴露确定安全风险的评估，并且提供安全风险的指示。
风险计算，如暴露计算，可以由规则集来控制。相对简单的风险计算器可以实现其中将暴露值乘以资产值的乘法规则。如果使用(C，I，A)值，则这个类型的方案有效地解决了资产和暴露安全参数中的差异。例如，只有当资产值也具有机密性参数1时，暴露值(1，0，0)才生成风险值(1，0，0)。因此，只有当资产具有针对机密性的值时，机密性暴露才会导致机密性风险。机密性暴露不会对仅具有针对完整性和/或可用性的值的资产造成任何风险。
风险的确定也可能包括处理其它信息，例如用户输入的威胁值。在“相乘”风险计算规则的情况下，威胁值可以调节(scale)暴露和资产值的乘积。
图13是信息系统280的框图，可以结合该信息系统实现本发明的实施例。图13中的通信网络282包括可以通过其而建立通信链路的路由器/交换机284、286、用于管理路由器/交换机模块284、286的网络管理系统288、通过路由器/交换机284通信的服务器计算机292和数据库服务器计算机298，以及管理由服务器计算机292和数据库服务器计算机298所提供的服务的服务器管理系统290。
服务器计算机292和数据库服务器计算机298是图5所示的PC和工作站的例子。这些计算机，以及它们的操作系统294、300和服务器与数据库应用软件296、302，进行协作以提供数据库访问服务，例如库存服务。
可以被实现为路由器/交换机284、286、服务器计算机292、298和管理系统288、290以及通信网络282中可能提供的其它设备的设备类型，对本领域的技术人员而言是显而易见的。本发明决不限于任何指定类型的设备或其他通信网络资产。尽管图13中没有明确示出，然而与通信网络282相关联的其他资产，包括容纳通信设备或其他资产的建筑物，也可以包括在通信网络风险分析模型中。
这里公开的安全风险评估技术在网络管理系统288中针对评估通信网络282中资产的风险是有用的。服务管理系统290是另一类型系统的例子，在该系统中这些技术针对管理服务器计算机292、298和提供服务中所涉及的其它资产的风险可能是有用的。
风险分析器可以被实现为现有网络和服务器管理系统的扩展，以提供当前的网络和/或服务安全状态信息。例如考虑电信服务提供商，风险分析器补充了操作支持系统(OSS)并且可以被并入紧邻网络操作中心(NOC)的安全操作中心(SOC)。对于OSS软件销售商，这里公开的风险分析和管理技术提供了这样一个机会即提供了可以作为定制添加的部件而被提供的指定安全扩展。
本发明的实施例提供了用于描述并建模复杂关联的技术，其中所述关联可能是存在于漏洞与被利用、受影响且被保护的资产之间的关联。
通过在漏洞利用的资产与漏洞(直接或间接)影响的资产之间进行区分，用户可以看到漏洞的总影响的最终结果，其可以从被利用资产中移除。此外，用户可以跟随依赖链来找到漏洞可能实际利用的资产，其是可以被修改(例如修补)以防止基于漏洞的利用的资产。
仅将漏洞关联于与漏洞可以影响的资产的解决方案，不允许用户度量并观察该漏洞的(直接和间接)影响。不针对资产如何被另一资产保护来建模的系统，也会导致实际上没有出现在信息系统中的风险的“误报”指示。这浪费了用户的时间和资源，将该时间和资源用来解决实际出现在网络中的风险可能会更好。
已描述的内容仅是本发明原理的应用的说明。本领域的技术人员可以在不脱离本发明范围的情况下实现其他安排和方法。
尽管主要就方法、系统和数据结构进行了描述，然而也可以设想本发明的其他实现，说明性地例如存储于机器可读介质上的指令。
GUI也体现了本发明的方面。如上所述，实际上存在于信息系统中的漏洞和所导致的风险的准确视图可以提供关于以下内容的许多优点识别风险的根源、如何缓解基础漏洞，以及防止特定漏洞的现有资产。
因此，在显示设备上呈现给用户的GUI可能包括信息系统的资产可以通过其而被利用的漏洞的表示，以及该资产的表示。也提供了漏洞与资产之间的第一类型关联的表示，例如“被利用”关联。
如上所述，可以在不同类型的漏洞/资产关联之间进行区分。GUI可以因而包括第二类型关联的表示，说明性地是“受影响”关联，其中，如果资产可以通过漏洞被利用以影响该资产本身，则该第二类型关联是在漏洞与资产之间的关联，而如果资产可以通过漏洞被利用以影响另一资产，则该第二类型关联是在漏洞与该另一资产之间的关联，其中该另一资产与所述资产有关系。在后一情况中，GUI也可以包括资产与另一资产之间关系的表示。
如果通过一个或多个保护资产来使被利用资产和/或受影响资产免于漏洞，则GUI可能包括保护资产的表示和资产与另一资产之间关系的表示。漏洞与保护资产之间的关联也可以被表示。
在一个实施例中，利用图标来表示漏洞和资产，而以图标之间连接的形式来表示关联和关系。因此GUI可以基本上如图6或图7所示的那样出现。
应当认识到，根据资产模型的粒度，资产定义可能包括多个资产特征或平台规范。例如，计算机系统可以利用单个资产定义而被建模，其中该单个资产定义包括硬件平台规范、操作系统平台规范以及应用软件平台规范。相同的计算机系统可以利用多个定义来被建模，例如针对计算机系统硬件的一个定义、针对操作系统软件的一个定义，以及针对应用软件的另一个定义。这里对资产定义的参考应当被相应地解释。
权利要求
1.一种装置，其包括比较模块，其被配置用来将安全漏洞的定义与信息系统中一个或多个资产的一个或多个定义进行比较，所述安全漏洞定义包括多个资产特征；以及关联模块，其有效耦合到所述比较模块，并且被配置用来将所述安全漏洞关联于所述一个或多个资产中的特定资产，其中(i)所述特定资产的定义包括所述安全漏洞定义中多个资产特征中的第一资产特征，并且(ii)所述特定资产的定义或者所述一个或多个资产中与该特定资产有关系的另一资产的定义，包括所述安全漏洞定义中多个资产特征中的第二资产特征。
2.根据权利要求1的装置，其中，所述第一资产特征标识了可能通过所述安全漏洞而被利用的资产平台和当该被利用资产平台通过所述安全漏洞而被利用时受到影响的资产平台中的一个，而所述第二资产特征标识了可能通过所述安全漏洞而被利用的资产平台和当该被利用资产平台通过所述安全漏洞而被利用时受到影响的资产平台中的另一个。
3.根据权利要求2的装置，其中，所述第一资产特征和所述第二资产特征标识了共用资产平台。
4.根据权利要求1的装置，其中，所述关联模块还被配置用来将所述安全漏洞关联于另一资产，其中所述特定资产的定义包括所述第一资产特征，而所述另一资产的定义包括所述第二资产特征。
5.根据权利要求1至4中任一个的装置，其中，所述关联模块被配置用来通过修改所述安全漏洞定义和所述特定资产的定义中的至少一个，将所述安全漏洞关联于所述特定资产。
6.根据权利要求1至4中任一个的装置，其中，所述关联模块被配置用来通过访问存储器以创建所述安全漏洞与所述特定资产之间的逻辑关联，将所述安全漏洞关联于所述特定资产。
7.根据权利要求2或3的装置，其中，所述多个资产特征还包括第三资产特征，该第三资产特征标识了使所述被利用资产平台或受影响资产平台免于所述安全漏洞的保护资产平台，所述关联模块还被配置用来创建在所述安全漏洞与所述一个或多个资产中的一个资产之间的另一关联，其中(i)所述特定资产的定义包括所述第一资产特征，(ii)所述特定资产的定义或所述另一资产的定义包括所述第二资产特征，(iii)所述一个或多个资产中一个资产的定义包括所述第三资产特征，以及(iv)通过包括所述第三资产特征的定义而被定义的资产是所述特定资产和所述另一资产中的一个或与其具有关系，其中所述另一资产的定义包括被所述保护资产平台所保护的资产平台。
8.根据权利要求7的装置，其中，如果要创建所述另一关联，则所述关联模块还被配置用来执行从一个组中选出的操作，所述组包括中止所述安全漏洞与所述特定资产的关联，以及移除所述安全漏洞与所述特定资产之间的关联。
9.根据权利要求1的装置，其中，所述第一资产特征标识了可能通过所述安全漏洞而被利用的资产平台，而所述第二资产特征标识了当所述被利用资产平台通过所述安全漏洞而被利用时受到影响的资产平台，其中，所述比较模块被配置用来将所述第一资产特征与所述一个或多个资产的第一组中每个资产的定义进行比较，并且用来将所述第二资产特征与所述一个或多个资产的第二组中每个资产的定义进行比较，其中所述第一组中一个或多个资产中的至少一个资产的定义包括所述第一资产特征。
10.根据权利要求8的装置，其中，所述第二组包括所述至少一个资产，以及与该至少一个资产有关系的每个资产。
11.一种方法，其包括下列步骤将安全漏洞的定义与信息系统的一个或多个资产的一个或多个定义进行比较，所述安全漏洞定义包括多个资产特征；确定所述一个或多个资产中一个资产的定义是否包括所述安全漏洞定义中多个资产特征中的第一资产特征；如果所述一个或多个资产中一个资产的定义包括所述第一资产特征，则确定所述资产的定义或所述一个或多个资产中与该资产有关系的另一资产的定义，是否包括所述安全漏洞定义中多个资产特征中的第二资产特征；以及将所述安全漏洞关联于所述资产，其中(i)所述资产的定义包括所述第一资产特征，并且(ii)所述资产的定义或所述一个或多个资产中与该资产有关系的另一资产的定义包括所述第二资产特征。
12.根据权利要求11的方法，其中，所述第一资产特征标识了可以通过所述安全漏洞而被利用的资产平台和当该被利用资产平台通过所述安全漏洞而被利用时受到影响的资产平台中的一个，而所述第二资产特征标识了可以通过所述安全漏洞而被利用的资产平台和当该被利用资产平台通过所述安全漏洞而被利用时受到影响的资产平台中的另一个。
13.根据权补要求12的方法，其中，所述第一资产特征和所述第二资产特征标识了共用资产平台。
14.根据权利要求11的方法，其还包括将所述安全漏洞关联于所述另一资产，其中所述资产的定义包括所述第一资产特征，而所述另一资产的定义包括所述第二资产特征。
15.根据权利要求12或13的方法，如果所述资产的定义包括所述第一资产特征，并且所述资产的定义或所述另一资产的定义包括所述第二资产特征，则该方法还包括下列步骤确定所述一个或多个资产中一个资产的定义是否包括所述安全漏洞定义中多个资产特征中的第三资产特征，该第三资产特征标识了使所述被利用资产平台或受影响资产平台免于所述安全漏洞的保护资产平台；如果资产的定义包括所述第三资产特征，则确定通过包括该第三资产特征的定义而被定义的资产是否是所述资产和所述另一资产中的一个或与其具有关系，其中该另一资产的定义包括由所述保护资产平台所保护的资产平台；以及将所述安全漏洞关联于所述通过包括所述第三资产特征的定义而被定义的资产，其中所述通过包括所述第三资产特征的定义而被定义的资产是所述资产和所述另一资产中的一个或与其具有关系，其中该另一资产的定义包括由所述保护资产平台所保护的资产平台。
16.根据权利要求11到14中任一个的方法，其中，所述关联包括访问存储器来创建所述安全漏洞与所述资产之间的逻辑关联。
17.一种存储指令的机器可读介质，当执行所述指令时实现根据权利要求11到14中任一个的方法。
18.一种图形用户接口，其包括安全漏洞的表示，信息系统的资产可以通过该安全漏洞而被利用，以由此影响该资产或所述信息系统中与该资产有关系的另一资产；所述资产的表示；所述安全漏洞与所述资产之间第一类型关联的表示；以及第二类型关联的表示，其中，如果所述资产可以通过所述安全漏洞而被利用以影响该资产，则该第二类型关联是在所述安全漏洞与所述资产之间的关联，而如果所述资产可以通过所述安全漏洞而被利用以影响另一资产，则该第二类型关联是在所述安全漏洞与该另一资产之间的关联。
19.根据权利要求18的图形用户接口，如果所述资产可以通过所述安全漏洞而被利用以影响所述信息系统中与该资产有关系的另一资产，则该图形用户接口还包括所述资产与所述另一资产之间关系的表示。
20.根据权利要求18的图形用户接口，如果通过所述信息系统中与所述资产有关系的另一资产来使该资产免于所述安全漏洞，则该图形用户接口还包括所述另一资产的表示；以及所述资产与所述另一资产之间关系的表示。
21.一种存储数据结构的机器可读介质，该数据结构包括信息系统的资产与安全漏洞之间第一类型关联的指示，其中所述资产可以通过所述安全漏洞而被利用以由此影响该资产或所述信息系统中与该资产有关系的另一资产；以及第二类型关联的指示，其中，如果所述资产可以通过所述安全漏洞而被利用以影响该资产，则该第二类型关联是在所述安全漏洞与所述资产之间的关联，而如果所述资产可以通过所述安全漏洞而被利用以影响另一资产，则该第二类型关联是在所述安全漏洞与该另一资产之间的关联。
全文摘要
公开了将安全漏洞关联于资产的系统和方法，以及相关的图形用户接口和(GUI)数据结构。将安全漏洞的定义与信息系统中一个或多个资产的定义进行比较，其中所述安全漏洞的定义包括多个资产特征，例如可以通过安全漏洞而被利用的资产平台和当被利用资产平台通过安全漏洞而被利用时受到影响的资产平台。如果资产定义包括安全漏洞定义的第一资产特征，并且资产定义或与该资产有关系的另一资产的定义包括安全漏洞定义的第二资产特征，则进行安全漏洞与资产之间的关联。安全漏洞定义也可以标识防止漏洞的资产平台。
文档编号H04L29/06GK1941782SQ200610144429
公开日2007年4月4日 申请日期2006年9月22日 优先权日2005年9月22日
发明者B·K·麦克法兰, D·维默尔, K·麦克纳米 申请人:阿尔卡特公司