[发明专利]互联网边界安全策略脆弱性确定方法及装置

说明书

本发明提供了一种互联网边界安全策略脆弱性确定方法及装置，包括：获取目标互联网边界处的已开启的安全防护策略；根据已开启的安全防护策略和预先建立的安全防护策略库确定未开启的安全防护策略；根据未开启的安全防护策略和预先建立的攻击库建立目标互联网的攻击图模型；根据攻击图模型计算攻击成功实施的概率进而确定互联网边界安全策略脆弱性。本发明可以发现网络边界的残余风险，从而评估网络边界的安全态势，尽可能的保证网络的安全，降低攻击带来的损失。解决了现有的安全设备检测或配置核查工具只考虑单一的设备，无法对多种安全设备进行检测或核查，这使得对网络边界的安全评估不全面的问题。

技术领域

本发明涉及网络安全技术，具体的讲是一种互联网边界安全策略脆弱性确定方法及装置。

背景技术

互联网边界作为企业信息外网与互联网之间的横向边界，其安全防护要求侧重点为准入认证、访问控制、恶意代码防护等，同时加强网络通道和终端安全措施。为了保障企业内部网络的安全，企业会在互联网边界处采取安全措施，最常见的方式是在网络边界处部署网络安全防护设备，如防火墙、入侵检测系统(IDS)、防病毒、Web应用防火墙(WAF)等，但是上线的安全防护设备的策略配置的合理性需要验证，若安全防护设备的策略没有开启或配置错误则无法起到应有的防护作用。因此，有必要确认网络安全防护设备配置策略的有效性，即是否真正降低了网络边界的脆弱性，抵御了威胁。根据网络边界安全性检测结果对有效的安全措施继续保持，对确认为不适当的安全措施应核实是否应被取消或对其进行修正。

目前现有技术的网络边界安全检测方案中主要有网络安全设备配置核查和网络边界安全态势检测(预测)等。网络安全设备配置核查关注单个设备的脆弱性，如，某个安全扫描器，能够检测防火墙的配置策略，然后根据扫描结果给予风险描述和相应的修复建议，但无法检测如入侵检测系统等其他安全设备的有效性。网络边界安全态势检测(预测)则是根据网络设备、安全设备日志信息或流经边界的代码安全性进行数学建模从而对边界安全状况进行检测或预测。

现有的安全配置核查工具只针对某一个单独的安全设备或者网络设备，无法对边界所部署的全部安全设备进行配置核查，或者对互联网边界所启用的所有安全策略进行分析，从而综合评估网络边界的整体安全。现有的网络边界安全态势检测(预测)方案中，未全面考虑到企业网络边界安全防护的实际情况，没有考虑企业已经采取的安全防护措施或开启的防护策略，进而不能根据已有的安全防护分析网络边界的脆弱点，发现网络边界的残余风险。并且，现有的网络边界安全态势检测(预测)方案中，未考虑到脆弱点之间的关联性和动态性，以及不同脆弱点相互关联有可能产生更大的安全威胁。

发明内容

为了对部署在互联网边界处的安全防护设备有效性进行检测，综合评估互联网边界的安全态势。本发明提供一种互联网边界安全策略脆弱性确定方法，包括：

获取目标互联网边界处的已开启的安全防护策略；

根据已开启的安全防护策略和预先建立的安全防护策略库确定未开启的安全防护策略；

根据所述未开启的安全防护策略和预先建立的攻击库建立所述目标互联网的攻击图模型；

根据所述攻击图模型计算攻击成功实施的概率进而确定互联网边界安全策略脆弱性。

本发明实施例中，所述的方法还包括：

根据网络边界安全防护要求预先建立安全策略库。

本发明实施例中，所述的根据已开启的安全防护策略和预先建立的安全防护策略库确定未开启的安全防护策略包括：

获取已开启的安全防护策略的特征信息；

根据已开启的安全防护策略的特征信息和安全防护策略库中的安全防护策略的特征信息确定未开启的安全防护策略。

本发明实施例中，所述的特征信息包括：安全防护策略的名称、种类以及功能描述。