一种网络安全设备的风险评估方法和装置与流程
本发明涉及网络安全技术领域,尤指一种网络安全设备的风险评估方法和装置。
背景技术:
目前,随着互联网技术的不断发展,网络安全问题日益突出,企业网络中的多个位置都会部署防火墙、入侵防御系统、防病毒等安全产品,其中,企业与外网、商业合作伙伴之间的业务需求会时刻发生变化,并且公共漏洞和暴露(commonvulnerabilities&exposures,简称:cve)、国家信息安全漏洞共享平台(chinanationalvulnerabilitydatabase,简称:cnvd)等权威机构时刻发布新发现的漏洞,这些都要求企业网络管理人员对网络安全设备的配置进行变更,从而保障企业网络的安全。
现有技术中,企业网络管理人员会通过开放防火墙某个端口,以便与商业合作伙伴进行业务交流,或者关闭某个端口,避免被某个漏洞利用等等办法来对网络安全设备的配置进行变更,同时通过特定的产品对网络安全设备的配置进行核查,以便及时发现配置中的漏洞。
但是,采用现有的技术,通过特定的产品来对网络安全设备配置结果的分析考虑并不全面,使得最终评估的结果不能准确、有效、多方面的反映网络安全设备的安全状态。
技术实现要素:
为了解决上述技术问题,本发明提供了一种网络安全设备的风险评估方法和装置,能够更直观、准确、有效的表明当前设备安全状态。
为了达到本发明目的,第一方面,本发明提供了一种网络安全设备的风 险评估方法,该方法包括:
确定预定的风险库,所述风险库包括多条风险项;
提取出待评估设备中与所述风险项相关的有效配置信息,并根据有效配置信息的风险分析结果获取所述待评估设备触发的风险项;
分别分析预定的风险库中的风险项和所述待评估设备触发的风险项,采取相应的计算方法,得到所述待评估设备的安全状态值。
与现有技术相比,本发明提供了一种网络安全设备的风险评估方法,通过确定预定的风险库,提取出待评估设备中与所述风险项相关的有效配置信息,并根据有效配置信息的风险分析结果获取触发所述待评估设备的风险项,分别分析预定的风险库中风险项和所述待评估设备已触发的风险项,采取相应的计算方法,得到所述待评估设备的安全状态值风险值,这样分析风险项的风险值、风险项之间的关联关系、所述待评估设备的风险项已触发的每条风险项的触发次数来进行相应地计算得到待评估设备的安全状态值,使得更直观、准确、有效的表明当前设备安全状态。
第二方面,本发明提供了一种网络安全设备的风险评估装置,该装置包括:确定模块、提取模块和评估模块;
所述确定模块,设置于确定预定的风险库,所述风险库包括多条风险项的配置信息,所述配置信息包括风险项的识别码和描述内容;
所述提取模块,设置于提取出待评估设备中与所述风险项相关的有效配置信息,并根据有效配置信息的风险分析结果获取所述待评估设备触发的风险项;
所述评估模块,设置于分别分析预定的风险库中的风险项和所述待评估设备触发的风险项,采取相应的计算方法,得到所述待评估设备的安全状态值。
与现有技术相比,本发明提供了一种网络安全设备的风险评估装置,通过确定模块确定预定的风险库,提取模块提取出待评估设备中与所述风险项相关的有效配置信息,并根据有效配置信息的风险分析结果获取触发所述待评估设备的风险项,评估模块分别分析预定的风险库中风险项和所述待评估 设备已触发的风险项,采取相应的计算方法,得到所述待评估设备的安全状态值风险值,这样分析风险项的风险值、风险项之间的关联关系、所述待评估设备的风险项已触发的每条风险项的触发次数来进行相应地计算得到待评估设备的安全状态值,使得更直观、准确、有效的表明当前设备安全状态。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1为本发明提供的一种网络安全设备的风险评估方法实施例一的流程示意图;
图2为本发明提供的一种网络安全设备的风险评估装置实施例一的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本发明实施例涉及的方法可以应用于网络安全系统中的单个设备,该网络安全设备可以是路由器、防火墙、行为管理器和核心交换机等设备,但并不限于此。
本发明实施例涉及的方法,旨在解决现有技术中通过特定的产品来对网 络安全设备配置结果的分析考虑并不全面,使得最终评估的结果不能准确、有效、多方面的反映网络安全设备的安全状态的技术问题。
下面以具体地实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
图1为本发明提供的一种网络安全设备的风险评估方法实施例一的流程示意图。本实施例涉及的是实现网络安全设备的风险评估方法的具体过程。如图1所示,该方法包括:
s101、确定预定的风险库,所述风险库包括多条风险项。
具体的,用户可以根据统一安全策略管控系统提供的标准风险库,也可以根据业务需求,自定义风险库来适合企业的需求,其中,该风险库包括了设备的所有漏洞信息,这里定义每个漏洞为一条风险项,例如:设备的管理员密码为默认值,设备开放了telnet服务等等,但并不限于此。
具体的,每条风险项都有风险项的识别码和描述内容,对每个风险项(也简称:漏洞)进行了详细的分析,并用相应的字段进行表示,这里每个风险项包含的字段有:风险项识别码、描述内容、风险项带来的风险值大小、风险项和风险项之间的关联关系等等,但并不限于此。
s102、提取出待评估设备中与所述风险项相关的有效配置信息,并根据有效配置信息的风险分析结果获取所述待评估设备触发的风险项。
具体的,可以根据统一安全策略管控系统通过ssh远程连接到待评估的设备,根据风险库中风险项的配置信息对待评估设备的原始配置信息进行提取,提取待评估设备中与所述风险项相关的有效信息,即提取可能存在漏洞的所有相关的有效配置信息形成规范化数据,将所述规范化数据按照预定的风险库进行风险分析,获取所述待评估设备已触发的风险项,例如,风险库中存在一条关于管理员密码有效期的风险项,则需提取该待评估设备的原始配置信息中的有效数据,即密码有效期的信息,并在规范化的格式中设定密码有效期的字段,且该字段值即为采集到的密码有效期的值,但并不以此为限。
s103、分别分析预定的风险库中风险项和所述待评估设备触发的风险项,采取相应的计算方法,得到所述待评估设备的安全状态值。
具体的,可根据用户选择的风险库分析所选择的风险库中的风险项,并对所述待评估设备触发的风险项进行分析,可以分析风险项的风险值、风险项之间的关联关系、触发风险项的风险值、触发风险项之间的关联关系等等,将分别分析后的结果采取相应的计算方法,获取所述待评估设备的安全状态值。
本发明实施例提供的一种网络安全设备的风险评估方法,通过确定预定的风险库,提取出待评估设备中与所述风险项相关的有效配置信息,并根据有效配置信息的风险分析结果获取触发所述待评估设备的风险项,分析预定的风险库中风险项和所述待评估设备已触发的风险项,采取相应的计算方法,得到所述待评估设备的安全状态值风险值,通过分析风险项的风险值、风险项之间的关联关系、所述待评估设备的风险项已触发的每条风险项的触发次数来进行相应地计算得到待评估设备的安全状态值,使得更直观、准确、有效的表明当前设备安全状态。
进一步地,在上述实施例的基础上,在上述步骤101确定预定的风险库之前,还包括:
预先收集各配置类型的风险库,所述配置类型包括基线库和/或访问控制列表acl库。
具体的,本发明实施例的风险评估是从风险项的角度触发,通过预定的分析方法来判断待评估设备的配置是否存在风险项,并结合这些风险项存在的风险值来判断待评估设备的安全状态值,因此,预处理中需要对待评估设备的配置信息进行收集和描述,形成基线分析和/或acl风险分析等配置类型所需的风险库,其中,风险库的形成参考了当前知名漏洞库,如cve;也可以参考设备配置规范要求,如nist关于防火墙配置规范,还可以参考通用的一些标准,如基线标准、合规标准、pci标准等等,但并不限于此。
具体的,预先收集的风险库可以根据配置类型进行分类,将风险库具体区分为基线模块的基线库和acl风险库,从而可以分别用于基线分析和acl风险分析。
进一步地,在上述实施例的基础上,分析预定的风险库中的风险项,包括:
统计预定的风险库中的风险项的总数;
采用cvss3.0评分方法分析获取预定的风险库中的风险项的风险值;
确定预定风险库中任意两条风险项之间的关联关系,其中,触发第一条风险项必定会触发第二条风险项,且触发所述第二条风险项不会触发所述第一条风险项,则确定所述第一条风险项和第二条风险项之间存在关联。
具体的,这里用于分析的风险库可以是统一安全策略管控系统提供的标准库、风险总库,也可以由用户根据自己的业务需求,组合而成的适合自身企业的自定义风险库,统计预定的风险库中的风险项的总数,并采用cvss3.0评分方法分析获取预定的风险库中的风险项的风险值,统一安全策略管控系统采用官方最新的cvss3.0评分方法,从漏洞的攻击途径、攻击复杂度、特权、用户交互、机密性、完整性、可用性等角度进行考虑,利用cvss3.0评分公式,评估当前漏洞的风险值,并对漏洞得分进行定性分析,划分成严重、高、中、低、轻微五个等级,用以直观的判断当前漏洞的严重程度,采用公认的cvss3.0评分方法,使得漏洞的风险值更加准确、可靠、可信。
其中,对于风险项与风险项之间的关联关系,主要是用来分析预定的风险库中的不同的风险项(即漏洞)之间的关联关系,这里关联关系的定义为:对风险库中任意两条风险项(即漏洞)a、b,如果触发风险项a的所有风险库规则必定会触发风险项b,并且触发风险项b的风险库规则不一定触发风险项a,则认为风险a与风险项b存在关联关系,其中风险项b包含风险项a。从定义可以看出,若不考虑这种包含关系,在对设备的安全得分进行计算时,则会导致触发被包含的风险项(即漏洞)的acl规则被计算多次,导致设备的风险得分变高,安全得分降低。实际中,依据上述关联关系的定义,对风险库中的风险项进行关联关系分析,分析步骤如下:
(1)对预定的风险库任意的两条风险项a、b,依据关联关系的定义,分析这两条风险项是否存在关联关系;
(2)若(1)中的风险项a、b存在关联关系,且b包含a,则在风险项b的“漏洞关联关系”字段添加风险项a的漏洞id。
例如:风险项r1检查外网到内网是否开放服务为any类型的规则,风险项r2检查外网到内网是否开放telnet服务,风险项r3检查外网到内网是否开放x11服务,通过分析r1、r2、r3之间的关联关系可以得出结论:触发风险项r1的acl规则必然会触发风险项r2、r3,因此,需在风险项r2和r3的“漏洞关联关系”字段添加值r1。这里若不考虑它们之间的关联关系,则会出现触发风险项r1的acl规则被计算多次(例中可得出触发r1的每条acl规则都被计算了3次)。将这种包含关系考虑进去,去除重复计算的acl规则,提高了系统设备acl模块和设备综合安全状态分析结果的准确性。
进一步地,在上述实施例的基础上,分析所述待评估设备触发的风险项,包括:
若预定的风险库包括访问控制列表acl库时,分析所述待评估设备触发的每条风险项的触发次数、风险项的风险值以及风险项之间的关联关系这三者中的一个或者多个。
具体的,若预定的风险库中是多种类型的acl风险库,用户可根据选择的acl风险库分析触发所述待评估设备的每条风险项的触发次数、风险项的风险值以及风险项之间的关联关系这三者中一个或者多个。需要说明的是,采用不同的风险库进行分析,检测出的漏洞信息也是不同的。下面将通过实施例来进行详细说明,具体如下:
(1)根据用户选择的风险库对规范化的acl策略数据进行风险分析,统计触发每条风险项(即漏洞)的acl策略的识别码号;
(2)对步骤(1)中的结果依据风险项与风险项之间的关联关系进行处理,去除重复计算的acl策略的id号,得到处理后的触发每条风险项的acl策略的id号;
(3)根据(2)中的处理结果统计触发每条风险项的次数,其中一个acl策略id号则代表触发一次。例如,对于一个风险值较低的风险项,触发了1次和触发了100次,评估这个风险项给系统造成的安全影响是不同的,触发次数较多的风险项,表明这个风险项被使用的次数较高,而越多次的被使用,则说明存在恶意的使用次数相对是比较多的,从而增加了待评估设备的风险 值。
(4)根据(1)、(2)、(3)的分析结果,获取待评估设备acl安全状态值。
对于上述的分析过程(4),下面给出一种计算过程,具体如下:
统计预定的风险库中风险项总数m和触发每条风险项的acl规则总数xi(i=1,2,…,n),按照计算公式
上述的流程中,通过分析acl风险分析检测出的已触发的风险项(即漏洞)、风险项的风险值、风险项被触发的次数,分析了系统设备acl模块的安全状态,并得出相应的安全状态值。
此方法在分析时,相对已有的技术考虑了风险项之间的关联关系、风险项被触发的次数问题,分析更加全面。而风险值的计算采用cvss3.0评分技术,相对取经验值的方法,该方法更加可靠、可信。此外,计算得到系统安全状态值更直观、准确、有效的表明当前设备安全状态。
进一步地,在上述实施例的基础上,分析所述待评估设备触发的风险项,包括:
若预定的风险库包括基线库时,分析所述待评估设备触发的风险项的风险值。
具体的,若确定预定的风险库是多种类型的基线风险库,用户可根据选择的基线风险库分析每条风险项的风险值,并根据归一化的基线模块的数据,进行基线模块的风险分析。这里用于分析的基线库可以是统一安全策略管控系统自带的基线库,也可以是用户根据自身业务需求自定义的基线库,选择的基线库不同,最终的评估结果也不相同。下面将通过实施例来进行详细说明,具体如下:
(1)从风险库中选择出与基线相关的所有基线库,用户依据选择的基线库,对所述待评估设备的归一化基线数据进行基线分析;
(2)根据(1)中检查出的已触发的风险项(即漏洞),风险项的风险值,进行安全状态值的计算;
(3)对于上述的分析过程(2),下面给出一种计算过程,具体如下:统计预定的风险库中风险项总数m,按照计算公式:
得到安全状态值,其中,所述s'n为触发的风险项总分,所述st'为未触发的风险项总分,所述
上述的流程中,通过分析基线分析检测出的已触发的风险项(即漏洞)、风险项的风险值、分析了系统设备基线模块的安全状态,并得出相应的安全状态值。
此方法在分析时,对风险项(即漏洞)的风险值的计算采用cvss3.0评分技术,相对取经验值的方法,该方法更加可靠、可信。此外,计算得到系统安全状态值更直观、准确、有效的表明当前设备安全状态。
进一步地,在上述实施例的基础上,若确定预定的风险库包括基线库和访问控制列表acl库时,分别分析预定的风险库中的风险项和所述待评估设备触发的风险项,采取相应的计算方法,得到所述待评估设备的安全状态值,下面将通过实施例来进行详细说明,具体如下:
(1)判断待评估设备是否支持acl风险分析,若支持则执行acl模块的安全状态分析,具体执行方法,同上述实施例中acl风险库,若不支持,则不执行;
(2)对待分析的设备执行基线模块的安全状态分析,具体执行方法,同实施例中基线库;
(3)根据(1)和(2)的分析结果,分析设备的综合安全状态。
对于上述的分析过程(3),按照计算公式进行计算:
其中,所述sn为访问控制列表acl库时所触发的风险项总分,所述st为为访问控制列表acl库时未触发的风险项总分,所述s'n为基线库时所触发的触发的风险项总分,所述st'为为基线库时未触发的风险项总分。
通过对待评估设备综合安全状态分析,分析了基线分析和acl分析检测出的已触发风险项(即漏洞)信息、风险项的风险值、风险项被触发的次数,分析了系统设备综合安全状态,并得出相应的安全状态值。
此方法在分析时,相对已有的技术考虑风险项之间的关联关系、风险项被触发的次数问题,分析更加全面。而风险值的计算采用cvss3.0评分技术,相对取经验值的方法,该方法更加可靠、可信。此外,计算得到系统安全状态值更直观、准确、有效的表明当前设备安全状态。
图2为本发明提供的一种网络安全设备的风险评估装置实施例一的结构示意图,如图2所示,一种网络安全设备的风险评估装置,包括确定模块10、提取模块20和评估模块30;
所述确定模块10,设置于确定预定的风险库,所述风险库包括多条风险项的配置信息,所述配置信息包括风险项的识别码和描述内容;
所述提取模块20,设置于提取出待评估设备中与所述风险项相关的有效配置信息,并根据有效配置信息的风险分析结果获取所述待评估设备已触发的风险项;
所述评估模块30,设置于分别分析预定的风险库中的风险项和所述待评估设备触发的风险项,采取相应的计算方法,得到所述待评估设备的安全状态值。
本发明实施例提供的一种网络安全设备的风险评估装置,包括:确定模块、提取模块和评估模块,通过确定模块确定预定的风险库,提取模块提取出待评估设备中与所述风险项相关的有效配置信息,并根据有效配置信息的风险分析结果获取触发所述待评估设备的风险项,评估模块分别分析预定的风险库中风险项和所述待评估设备已触发的风险项,采取相应的计算方法, 得到所述待评估设备的安全状态值风险值,通过分析风险项的风险值、风险项之间的关联关系、所述待评估设备的风险项已触发的每条风险项的触发次数来进行相应地计算得到待评估设备的安全状态值,使得更直观、准确、有效的表明当前设备安全状态。
进一步地,在上述实施例的基础上,还包括:预处理模块40;
所述预处理模块40,设置于在确定预定的风险库之前,预先收集各配置类型的风险库,所述配置类型至少包括基线库和/或访问控制列表acl库。
本发明实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
进一步地,在上述实施例的基础上,所述评估模块30设置于分析预定的风险库中的风险项,是指:
所述评估模块设置于统计预定的风险库中的风险项的总数;
采用cvss3.0评分方法分析获取预定的风险库中的风险项的风险值;
确定预定风险库中任意两条风险项之间的关联关系,其中,触发第一条风险项必定会触发第二条风险项,且触发所述第二条风险项不会触发所述第一条风险项,则确定所述第一条风险项和第二条风险项之间存在关联。
进一步地,在上述实施例的基础上,所述评估模块30设置于分析所述待评估设备已触发的风险项,是指:
所述评估模块设置于若预定的风险库包括访问控制列表acl库时,分析触发所述待评估设备触发的每条风险项的触发次数、风险项的风险值以及风险项之间的关联关系这三者中的一个或者多个。
本发明实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
进一步地,在上述实施例的基础上,所述评估模块30设置于分析所述待评估设备触发的风险项,是指:
所述评估模块30设置于若预定的风险库包括基线库时,分析所述待评估设备触发的风险项的风险值。
本发明实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
虽然本发明所揭露的实施方式如上,但所述的内容仅为便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
- 还没有人留言评论。精彩留言会获得点赞!