[发明专利]脆弱点量化评估方法及装置

说明书

本申请公开了一种脆弱点量化评估方法及装置，涉及信息安全技术领域。具体实现方案为：获取待处理脆弱点的潜在漏洞；对获取的每一潜在漏洞，根据预先存储的漏洞转化评价表获取每一评价维度的权重，得到漏洞转化评价结果，漏洞转化评价表包括评价维度、评价值、权重和评价值说明；根据漏洞转化评价结果确定每一潜在漏洞的漏洞转化系数；根据所有潜在漏洞的漏洞转化系数和潜在漏洞的量化评估值确定待处理脆弱点的量化评估值。从而，解决了如何对非漏洞类型的脆弱点进行量化评估的问题。

技术领域

本申请涉及计算机技术领域中的信息安全技术。

背景技术

在信息安全领域中，可将漏洞、安全防护措施缺陷、暴露某个脆弱的攻击面等信息资产所面临的风险来源统一称作“信息资产的脆弱点”，对脆弱点进行量化评估可以让信息资产拥有者客观地认识到资产所面临的安全风险。

其中，“漏洞”指的是可以攻击成功的信息系统安全缺陷，通常指一个或多个黑客可以利用的已知资产(资源)弱点。换句话说，它是一种使攻击能够成功实现的已知问题。漏洞具备可确定的特性，例如攻击路径、影响范围、信息安全危害，因此漏洞是可以定性，甚至定量评价的。非漏洞类型的脆弱点如安全防护措施缺陷、暴露某个脆弱的攻击面等存在着不确定性，其不能直接造成信息资产被攻击利用，其只表现了信息资产的脆弱性，暗示着信息资产可能存在的漏洞或其它可被攻击的可能性，无法定性或定量地描述该类脆弱点可以给信息资产造成的风险，但是，多数情况下，该类脆弱点的攻击利用是通过从脆弱性中挖掘确定的漏洞进而进行攻击。

现有的对脆弱点进行量化评估的方法中，主要是对漏洞进行量化评估，无法对非漏洞类型的脆弱点进行量化评估。

发明内容

本申请提供一种脆弱点量化评估方法及装置，以解决如何对非漏洞类型的脆弱点进行量化评估的问题。

第一方面，本申请提供一种脆弱点量化评估方法，包括：

获取待处理脆弱点的潜在漏洞；

对获取的每一潜在漏洞，根据预先存储的漏洞转化评价表获取每一评价维度的权重，得到漏洞转化评价结果，所述漏洞转化评价表包括评价维度、评价值、权重和评价值说明；

根据所述漏洞转化评价结果确定每一潜在漏洞的漏洞转化系数；

根据所有潜在漏洞的漏洞转化系数和潜在漏洞的量化评估值确定所述待处理脆弱点的量化评估值。

上述申请中的一个实施例具有如下优点或有益效果：通过获取脆弱点的潜在漏洞，接着对获取的每一潜在漏洞，根据预先存储的漏洞转化评价表获取每一评价维度的权重，得到漏洞转化评价结果，然后根据漏洞转化评价结果确定每一潜在漏洞的漏洞转化系数，最后根据所有潜在漏洞的漏洞转化系数和潜在漏洞的量化评估值确定待处理脆弱点的量化评估值，从而解决了对非漏洞类型的脆弱点进行量化评估的问题。

可选的，所述获取待处理脆弱点的潜在漏洞，包括：

从预先存储的潜在漏洞库中查找与所述待处理脆弱点对应的至少一个潜在漏洞，所述潜在漏洞库中存储脆弱点与潜在漏洞的对应关系。

上述申请中的一个实施例具有如下优点或有益效果：通过从预先存储的潜在漏洞库中查找与所述待处理脆弱点对应的至少一个潜在漏洞，接着对获取的每一潜在漏洞，根据预先存储的漏洞转化评价表获取每一评价维度的权重，得到漏洞转化评价结果，然后根据漏洞转化评价结果确定每一潜在漏洞的漏洞转化系数，最后根据所有潜在漏洞的漏洞转化系数和潜在漏洞的量化评估值确定待处理脆弱点的量化评估值，从而解决了对非漏洞类型的脆弱点进行量化评估的问题。

可选的，所述获取待处理脆弱点的潜在漏洞，包括：

接收用户输入的所述待处理脆弱点的至少一个潜在漏洞。

上述可选方式所具有的其他效果将在下文中结合具体实施例加以说明。