[发明专利]网络安全脆弱性评估系统及方法

说明书

本公开描述了一种网络安全脆弱性评估系统，是对目标信息系统的目标资产的脆弱性进行评估的系统，其包括：资产评估模块，其对目标信息系统的目标资产的种类进行识别，并对目标资产的进行评估和赋值，从而获得目标资产的资产价值评分；脆弱性评估模块，其对目标信息系统的目标资产涉及的漏洞和配置项进行检查，获得漏洞风险值和配置项脆弱性值，以获取脆弱性评分；以及评价模块，其基于资产价值评分和脆弱性评分获得当发生安全事件时目标资产对应的损失估计。由此能够对目标信息系统的目标资产的脆弱性进行较为高效且较为准确的评估。

技术领域

本公开具体涉及一种网络安全脆弱性评估系统及方法。

背景技术

随着政府部门、企事业单位以及各行各业对信息系统依赖程度的日益增强，信息系统中的资产安全问题受到普遍关注。

针对信息系统中的资产评估是运用科学的方法和手段，系统地分析信息系统存在的脆弱性，评估安全事件一旦发生可能造成的损失或危害程度。信息系统的资产评估可以在很大程度上防范信息安全风险产生，或将风险控制在可接受的水平，最大限度地保障信息系统的安全，是提升信息系统整体安全防护水平的重要科学方法之一。

然而，目前针对信息系统的脆弱性评估，通常在分析信息系统中资产所存在的脆弱性时往往存在效率较低或考虑不全面的问题，会导致对资产进行评估的过程不够高效和获得的评估结果不够准确。

发明内容

本公开是有鉴于上述的状况而提出的，其目的在于提供一种较为高效且较为准确的网络安全脆弱性评估系统及方法。

为此，本公开的第一方面提供了一种网络安全脆弱性评估系统，是对目标信息系统的目标资产的脆弱性进行评估的系统，其特征在于，包括：资产评估模块，其对所述目标信息系统的目标资产的种类进行识别，基于所述目标资产的种类和预先设定的资产评分标准对所述目标资产的保密性、完整性和可用性进行赋值，从而获得所述目标资产的资产价值评分；脆弱性评估模块，其对所述目标信息系统进行漏洞扫描获得所述目标信息系统涉及的系统漏洞以及数量，并且所述脆弱性评估模块对所述系统漏洞中的各个漏洞进行评估获得各个漏洞的漏洞评分，所述脆弱性评估模块从所述系统漏洞中获得与所述目标资产对应的目标漏洞及其数量和与各个目标漏洞分别对应的漏洞评分，从而获得漏洞风险值，所述脆弱性评估模块对所述目标信息系统涉及的配置项进行检查获得配置项脆弱性值，并基于所述漏洞风险值和所述配置项脆弱性值获取脆弱性评分；以及评价模块，其基于所述资产价值评分和所述脆弱性评分获得当发生安全事件时所述目标资产对应的损失估计，其中，所述资产评分标准包含所述目标信息系统所涉及的各类资产分别在保密性、完整性和可用性的评分。

在本公开中，通过资产评估模块和脆弱性评估模块分别获得目标资产的资产价值评分和脆弱性评分，然后评价模块基于资产价值评分和脆弱性评分获得当发生安全事件时目标资产对应的损失估计。由此能够对目标信息系统的目标资产进行较为高效且较为准确的评估。

本公开的第一方面所涉及的网络安全脆弱性评估系统中，可选地，所述目标信息系统包括多个资产，所述网络安全脆弱性评估系统依次将多个资产作为目标资产进行评估，获得当发生安全事件时各个资产对应的损失估计。由此能够对目标信息系统中的各个资产进行评估。

本公开的第一方面所涉及的网络安全脆弱性评估系统中，可选地，所述漏洞风险值满足：其中，N表示为系统漏洞数量，b_i表示为第i个漏洞的漏洞评分，表示为影响系数，表示为收敛系数，n表示为目标漏洞的数量。由此能够获得漏洞风险值。

本公开的第一方面所涉及的网络安全脆弱性评估系统中，可选地，所述损失估计基于所述资产价值评分与所述脆弱性评分相乘获得。由此能够获得损失估计。

本公开的第一方面所涉及的网络安全脆弱性评估方法中，可选地，所述资产评分标准经由价值基准和各个资产的种类而获得，所述价值基准基于所述目标信息系统的种类确定。由此能够获得资产评分标准，能够便于后续对目标资产的保密性、完整性和可用性进行赋值。