个资产在巡检业务运行过程中可能出现的所有脆弱点,并且在该字典库中,将该可能 出现的所有脆弱点划分为不同危险等级,且不同危险等级的脆弱点设置有不同分值。
[0066] 作为示例,不同危险等级的脆弱点对应的分值如下表1所示:
[0067] 表 1
[0068]
L 」 斗、少;j來只,丨平乃:付少3來/^丄T 1守到H、J ?曰At K厂1工处恨I方迫1J λΧI王T H、J胍羽Μ弓处 检脆弱点字典库中的脆弱点进行比对,当在巡检脆弱点字典库中查找到与步骤Α1中得到的 指定资产在巡检业务运行过程中的脆弱点相匹配的脆弱点后,根据该比对结果标注步骤Α1 中得到的指定资产在巡检业务运行过程中的脆弱点对应的危险等级。并根据该危险等级确 定步骤Α1中得到的指定资产在巡检业务运行过程中的脆弱点的分值。
[0070] A3、累加所述指定资产在巡检业务运行过程中的脆弱点的分值,当累加值达到第 二预设数值后,不再累加,得到的累加值即为所述指定资产的巡检业务脆弱性指数:
[0071] 在本发明实施例中,同一资产的所有巡检脆弱点得分实行累积制。该得分不是无 限制的累加下去,而是设置有一第二预设数值。当累加值达到第二预设数值后,不再累加。 作为示例,第二预设数值可以为100。
[0072] 通过以上方式累加得到的指定资产在巡检业务运行过程中的脆弱点得分的累加 值即为指定资产的巡检业务脆弱性指数。
[0073] 获取指定资产的漏洞业务脆弱性指数,具体包括:
[0074] B1、对指定资产进行漏洞检查业务以获取到所述指定资产存在的安全漏洞。
[0075] B2、将所述指定资产存在的安全漏洞与指定资产的漏洞资源库比对,根据比对结 果标注所述指定资产存在的安全漏洞的危险等级;在所述指定资产的漏洞资源库中,将安 全漏洞划分为不同危险等级,不同危险等级的安全漏洞设置有不同分值:
[0076] 需要说明的是,一个资产对应一个资产的漏洞资源库。一个漏洞资源库中包括一 个资产在漏洞业务运行过程中可能出现的所有安全漏洞。并且,在该漏洞资源库中,将该可 能出现的所有安全漏洞划分为不同危险等级,且不同危险等级的脆弱点设置有不同分值。
[0077] 作为示例,不同危险等级的安全漏洞对应的分值如表2所示。
[0078] 表 2
[0079]
_[0080]~本步骤具体为:将步骤B1中得到的指定资产在漏洞检查业务运行过程中存在的安^ 全漏洞与指定资产的漏洞资源库中的安全漏洞比对,当从指定资产的漏洞资源库中查找到 与步骤B1中得到的指定资产在漏洞检查业务运行过程中存在的安全漏洞相匹配的安全漏 洞后,根据该比对结果标注步骤B1中得到的指定资产在漏洞检查业务运行过程中存在的安 全漏洞对应的危险等级。并根据该危险等级确定步骤B1中得到的指定资产在漏洞检查业务 运行过程中存在的安全漏洞的分值。
[0081] B3、累加所述指定资产在漏洞检查业务运行过程中的安全漏洞的分值,当累加值 达到第三预设数值后,不再累加;得到的累加值即为所述指定资产的漏洞业务脆弱性指数:
[0082] 在本发明实施例中,同一资产的所有安全漏洞得分实行累积制。该得分不是无限 制的累加下去,而是设置有一第三预设数值。当累加值达到第三预设数值后,不再累加。作 为示例,第三预设数值可以为100。
[0083] 通过以上方式累加得到的指定资产在漏洞检查业务运行过程中的安全漏洞得分 的累加值即为指定资产的漏洞业务脆弱性指数。
[0084] 获取指定资产的配置不合规业务脆弱性指数,具体包括:
[0085] C1、对指定资产进行配置合规性检查以获取到指定资产的不符合业务正常运行安 全要求的配置信息。
[0086] C2、将所述不符合业务正常运行安全要求的配置信息与指定资产的配置资源库比 对,标注所述不符合业务正常运行安全要求的配置信息的危险等级;在所述指定资源的配 置资源库中,将不符合业务正常运行安全要求的配置信息划分为不同危险等级,不同危险 等级的不符合业务正常运行安全要求的配置信息设置有不同分值:
[0087] 需要说明的是,一个资产对应一个配置资源库。在配置资源库中包括一个资产在 配置合规性检查过程中可能存在的所有不符合业务正常运行安全要求的配置信息。并且在 配置资源库中,将该可能存在的所有不符合业务正常运行安全要求的配置信息划分为不同 危险等级,并对不同危险等级设置有不同的分值。
[0088] 作为示例,不同危险等级的不合规配置信息对应的分值如下表3所示:
[0089] 表 3
[0090]
[0091] ~本步骤具体为:将步骤C1中得到的指定资产在配置合规性检查运行过程中的不符^ 合业务正常运行安全要求的配置信息与巡检脆弱点字典库中的不合规配置信息进行比对, 当在巡检脆弱点字典库中查找到与步骤C1中得到的指定资产在配置合规性检查运行过程 中的不符合业务正常运行安全要求的配置信息相匹配的配置信息后,根据该比对结果标注 步骤C1中得到的指定资产在配置合规性检查运行过程中的脆弱点对应的危险等级。并根据 该危险等级确定步骤C1中得到的指定资产在配置合规性检查运行过程中的不符合业务正 常运行安全要求的配置信息的分值。
[0092] C3、累加所述指定资产在配置合规性检查过程中的不合规配置信息的分值,当累 加值达到第四预设数值后,不再累加,得到的累加值即为所述指定资产的配置不合规业务 脆弱性指数:
[0093] 在本发明实施例中,同一资产的所有不合规配置信息得分实行累积制。该得分不 是无限制的累加下去,而是设置有一第四预设数值。当累加值达到第四预设数值后,不再累 加。作为示例,第四预设数值可以为1 〇〇。
[0094] 通过以上方式累加得到的指定资产在配置合规性检查运行过程中的不合规配置 信息得分的累加值即为指定资产的配置不合规业务脆弱性指数。
[0095] S22、比较所述指定资产的巡检业务脆弱性指数、漏洞业务脆弱性指数和配置不合 规业务脆弱性指数的大小,当至少有一个指数不为零时,将指定资产的资产脆弱性指数确 定为数值最大的指数;当三个指数均为零时,将指定资产的资产脆弱性指数确定为第一预 设数值:
[0096] 在短板效应中,构成组织的各个部分往往优劣不齐,而劣势部分往往决定整个组 织的水平。因此,当指定资产的巡检业务脆弱性指数、漏洞业务脆弱性指数和配置不合规业 务脆弱性指数中至少有一个指数不为零时,对于指定资产的脆弱性,本发明实施例将指定 资产的资产脆弱性指数确定为巡检业务脆弱性指数、漏洞业务脆弱性指数和配置不合规业 务脆弱性指数中最大的值。这是因为脆弱性指数越大,资产相对越不安全。
[0097] 当指定资产不存在任何脆弱点,该指定资产的巡检业务脆弱性指数、漏洞业务脆 弱性指数和配置不合规业务脆弱性指数均为零时,本发明实施例将指定资产的资产脆弱性 指数确定为第一预设数值。该第一预设数值不等于〇,通常为大于〇的很小的数值。作为示 例,该第一预设数值的取值为〇 . 01。利用该第一预设数值计算得到的资产脆弱性指数对资 产的安全性指数影响甚微。
[0098] 另外,需要说明的是,对于资产而言,其威胁性不仅取决于运行过程中存在的实际 威胁,其还取决于它所依存的实际运行环境。其中,运行过程中存在的实际威胁与资产的安 全事态威胁值、安全告警威胁值和安全事件威胁值相关。
[0099] 其中,获取指定资产的资产威胁指数的过程如图3所示,其具体包括:
[0100] S31、获取指定资产的实际威胁值,所述指定资产的实际威胁值为指定资产的安全 事态威胁值、安全告警威胁值和安全事件威胁值的总和。
[0101] S32、根据所述指定资产的实际运行环境和实际威胁值以及各自对应的权重计算 所述指定资产的资产威胁指数:
[0102] 需要说明的是,指定资产的实际运行环境对资产的威胁无法通过资产自身的检测 数值得到。针对影响资产威胁性的两个因素:实际运行环境和实际威胁值,本发明实施例分 别赋予不同的权重,通过对这两个因素进行加权求和得到指定资产的资产威胁指数。
[0103] 作为示例,实际运行环境所占的权重可以为20%,实际威胁值所占的权重为80%。 另外,本发明实施例还设定实际运行环境对应的分值可以为5分。
[0104] 作为本发明的一个【具体实施方式】,上述获取指定资产的实际威胁值具体包括:
[0105] D1、获取指定资产的安全事态威胁值、安全告警威胁值和安全事件威胁值。
[0106] D2、计算所述指定资产的实际威胁值为指定资产的安全事态威胁值、安全告警威 胁值和安全事件威胁值的总和,得到的结果即为所述指定资产的实际威胁值。
[0107] 其中,获取指定资产的安全事态威胁值,具体包括:
[0108] E1、对指定资产进行安全事态业务,对指定资产的日志进行整合和归一化处理,得 到威胁指定资产安全的信息。
[0109] E2、将所述威胁指定资产安全的信息形成指定资产的安全事态;每条安全事态设 置有第一分值:
[0110]作为示例,设置的第一分值为0.01分。
[0111] E3、统计指定资产的安全事态,并累加所述指定资产的安全事态的分值,当累加值 达到第五预设数值,不再累加,得到的累加值为指定资产的安全事态威胁值:
[0112]作为示例,第五预设数值可以为10。
[0113] 获取指定资产的安全告警威胁值,具体包括:
[0114] F1、对指定资产进行安全告警业务,将指定资产中存在的符合特定规则的安全事 态形成安全告警;每条安全告警设置有第二分值:
[0115] 作为示例,第二分值可以为0.1分。
[0116] F2、统计指定资产的安全告警,并累加所在指定资产的安全告警的分值,当累加值 达到第六预设数值后,不再累加,得到的累加值为指定资产的安全告警威胁值:
[0117]作为示例,第六预设数值可以为30。
[0118]获取指定资产的安全事件威胁值,具体包括:
[0119] G1、对指定资产进行安全事件业务,将指定资产中存在的安全告警进行人为分析、 定性,形成安全事件;每条安全事件设置有第三分值:
[0120]作为示例,第三分值可以为4分。
[0121] G2、统计指定资产的安全事件,并累加所述指定资产的安全事件的分值,当累加值 达到第七预设数值后,不再累加,得到的累