[发明专利]基于配置核查的网络安全评估方法和装置

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于配置核查的网络安全评估方法和装置。

背景技术

工业控制系统(Industrial Control System，简称：ICS)控制现代工业基础设施(例如电力系统、石油与天然气系统、化工业系统、水利系统、交通控制系统以及工业制造系统等)的运行。随着现代工业基础设施的发展，ICS由封闭孤立式的系统向开放互联式的系统转变。上述转变过程给ICS的信息安全带来风险性，一般需对ICS进行风险评估，以对ICS的安全性进行评价以及及时针对ICS面临的风险采取补救措施。

一般大型工业客户的ICS包括来自不同厂商的设备，不同的设备可能采用不同的上位机应用系统以及采用不同的工业控制通信协议(例如厂商的私有协议)。现有技术中的对ICS的风险评时，针对于ICS内的设备，根据待设备的信息不同(例如不同的设备采用的应用系统等)而分别进行风险评估，根据待风险评估设备的采用的工业控制通信协议对此待风险评估设备进行识别，并进一步对此待风险评估设备进行设备的资产价值进行评估，从而完成此待风险评估设备的风险评估，得到ICS内每个进行上述风险评估的设备对应的风险值。

然而，现有的ICS的风险评估方法直观性差。

发明内容

本发明实施例提供了一种基于配置核查的网络安全评估方法和装置，以解决现有的ICS的风险评估方法直观性差的问题。

本发明实施例第一方面提供的一种基于配置核查的网络安全评估方法，包括：

获取目标系统的M个目标设备的信息，其中，上述目标设备的信息包括：上述目标设备的类型和上述目标设备的网际协议(Internet Protocol，简称：IP)，M为大于等于1的整数；其中，上述目标系统为ICS；

针对每个上述目标设备，获取上述目标设备的类型对应的基线检查模板，上述基线检查模板中包含基线检查项和上述基线检查项对应的基线安全判别规则；根据上述目标设备的IP和上述基线检查模板中包含基线检查项，获取上述目标设备的基线待检查项的配置信息；根据上述基线待检查项的配置信息和上述基线安全判别规则，确定上述目标设备的风险值；

根据M个上述目标设备的风险值，确定上述目标系统的风险值。

可选的，上述基线检查模板中包含N_i个基线检查项；上述N_i为大于等于1的整数；

上述根据上述基线待检查项的配置信息和上述基线安全判别规则，确定上述目标设备的风险值，包括：

针对每个基线检查项，根据上述基线待检查项的配置信息和上述基线安全判别规则，获取上述基线检查项的检查结果；

根据N_i个基线检查项的检查结果进行第一加权计算，获取上述目标设备的风险值。

可选的，上述根据M个上述目标设备的风险值，确定上述目标系统的风险值，包括：

根据上述M个上述目标设备的风险值进行第二加权计算，确定上述目标系统的风险值。

可选的，上述获取上述目标系统的M个目标设备的信息，包括：

通过将上述M个目标设备对应的指纹信息与预设的指纹库中的指纹信息进行比对，获得上述目标系统的M个目标设备的信息。

可选的，上述方法还包括：

对上述目标设备进行漏洞扫描，获得上述目标设备对应的漏洞扫描结果；

上述根据N_i个基线检查项的检查结果进行第一加权计算，获取上述目标设备的风险值，包括：

根据上述N_i个基线检查项的检查结果和上述漏洞扫描结果进行第一加权计算，获取上述目标设备的风险值。

本发明实施例第二方面提供一种基于配置核查的网络安全评估装置，包括：识别模块、任务设置模块和评估模块；

上述识别模块用于：获取上述目标系统的M个目标设备的信息，其中，上述目标设备的信息包括：上述目标设备的类型和上述目标设备的IP，M为大于等于1的整数；

上述任务设置模块用于：针对每个上述目标设备，获取上述目标设备的类型对应的基线检查模板，上述基线检查模板中包含基线检查项和上述基线检查项对应的基线安全判别规则；根据上述目标设备的IP和上述基线检查模板中包含基线检查项，获取上述目标设备的基线待检查项的配置信息；根据上述基线待检查项的配置信息和上述基线安全判别规则，确定上述目标设备的风险值；

上述评估模块用于：根据M个上述目标设备的风险值，确定上述目标系统的风险值。