[发明专利]高速列车运行控制系统的安全漏洞风险评估方法及装置

权利要求书

1.一种高速列车运行控制系统的安全漏洞风险评估方法，其特征在于，包括：

获取高速列车运行控制系统的表征安全漏洞风险的基本指标参数、时间指标参数和环境指标参数；

根据所述基本指标参数、时间指标参数和环境指标参数，基于相应的计算方式分别计算基本指标分数、时间指标分数和环境指标分数；

根据基本指标分数、时间指标分数、环境指标分数以及高速列车运行控制系统的业务范围，计算高速列车运行控制系统的安全漏洞风险程度。

2.根据权利要求1所述的安全漏洞风险评估方法，其特征在于，所述基本指标参数包括可利用度指标、影响度指标和范围指标，其中，所述可利用度指标包括攻击向量参数、攻击复杂度参数、权限要求参数和用户要求参数，所述影响度指标包括机密性影响参数、完整性影响参数、可用性影响参数。

3.根据权利要求2所述的安全漏洞风险评估方法，其特征在于，通过如下计算方式计算影响度指标子分数：

ISS＝1-[(1–机密性影响参数)×(1–完整性影响参数)×(1–可用性影响参数)]；

若所述范围指标不变，则影响度指标分数为：

Impact＝6.42×ISS；

若所述范围指标变化，则影响度指标分数为：

Impact＝7.52×(ISS-0.029)-3.25×(ISS-0.02)¹⁵；

通过如下计算方式计算可利用度指标分数：

Exploitability＝8.22×攻击向量参数×攻击复杂度参数×极限要求参数×用户要求参数；

通过如下方式计算所述基本指标分数：

若所述影响指标分数Impact＝0，则基本指标分数BaseScore＝0；

若影响度指标分Impact0，且所述范围指标不变；则基本指标分数BaseScore＝Roundup(Minimum[(影响度指标分数+可利用度指标分数),10])；

如果影响度指标分Impact0，且所述范围指标变，则基本指标分数BaseScore＝Roundup(Minimum[1.08×(影响度指标分+可利用度指标分),10])；

其中，Minimum的含义为返回其两个参数中的较小者，Roundup为舍入函数。

4.根据权利要求1所述的安全漏洞风险评估方法，其特征在于，所述时间指标参数包括可利用性成熟度参数、补丁水平参数和报告可信度参数。

5.根据权利要求4所述的安全漏洞风险评估方法，其特征在于，通过如下计算方式计算时间指标分数：

TemporalScore＝Roundup(基本指标分数×可利用性成熟度参数×补丁水平参数×报告可信度参数)；

其中，Roundup为舍入函数。

6.根据权利要求1所述的安全漏洞风险评估方法，其特征在于，所述环境指标参数包括修改后的基本指标参数、机密性需求、完整性需求和可用性需求，所述修改后的基本指标参数包括修改后的可利用度指标参数和修改后的影响度指标参数，所述修改后的可利用度指标参数包括修改后的攻击向量参数、修改后的攻击复杂度参数、修改后的权限要求参数和修改后的用户要求参数，所述修改后的影响度指标包括修改后的机密性影响参数、完整性影响参数和可用性影响参数。