[发明专利]计算机安全风险评估方法和设备有效
| 申请号: | 201110292996.4 | 申请日: | 2011-09-30 |
| 公开(公告)号: | CN102354355A | 公开(公告)日: | 2012-02-15 |
| 发明(设计)人: | 张增骏 | 申请(专利权)人: | 北京神州绿盟信息安全科技股份有限公司 |
| 主分类号: | G06F21/00 | 分类号: | G06F21/00 |
| 代理公司: | 中国专利代理(香港)有限公司 72001 | 代理人: | 谢建云;刘鹏 |
| 地址: | 100089 北京*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 计算机 安全 风险 评估 方法 设备 | ||
1.一种对计算机的安全风险进行评估的安全风险评估方法,包括步骤:
获取所述计算机中存在的一个或者多个安全漏洞;
根据安全漏洞的危险程度为所述一个或者多个安全漏洞中的每个分配风险等级(n),其中每个风险等级具有对应的风险等级值,且风险等级值越高,漏洞越危险;
从最低的风险等级开始,逐个等级地计算每个风险等级的安全风险评估值(Vn),直到计算了所述计算机中的安全漏洞所具有的最高风险等级为止;以及
基于所述最高风险等级的安全风险评估值来确定所述计算机的安全风险值(Vh),
其中所述计算每个风险等级的安全风险评估值(Vn)包括:
为该风险等级确定该风险等级的初始风险值(Vn,0),该初始风险值取决于上一风险等级的安全风险评估值(Vn-1)和是否存在属于该风险等级的安全漏洞;以及
根据该风险等级的初始风险值(Vn,0)来确定该风险等级的安全风险评估值(Vn),其中该风险等级的安全风险评估值还取决于属于该风险等级的安全漏洞数量(Nn)。
2.如权利要求1所述的安全风险评估方法,其中所述为风险等级确定该风险等级的初始风险值(Vn,0)的步骤包括:
将该风险等级的初始风险值(Vn,0)设置为与该风险等级相对应的风险等级值(n);
如果存在属于该风险等级的安全漏洞数量,则该风险等级的初始风险值(Vn,0)还包括与上一风险等级的安全风险评估值Vn-1相关的第一值,其中所述安全风险评估值Vn-1越大,所述初始风险值Vn,0也越大,但是不会超过n+1。
3.如权利要求1或者2所述的安全风险评估方法,其中根据该风险等级的初始风险值(Vn,0)来确定该风险等级的该风险等级的安全风险评估值(Vn)包括:
如果该风险等级的安全漏洞数量(Nn)为零,则将该风险等级的安全风险评估值(Vn)设置为与该风险等级相对应的风险等级值(n)和与上一风险等级的安全风险评估值(Vn-1)相关的第二值之和,其中所述第二值随着上一风险等级的安全风险评估值(Vn-1)的增大而增大,但是不会超过1;
如果该风险等级的安全漏洞数量(Nn)为1个,则将该风险等级的安全风险评估值(Vn)设置为该风险等级的初始风险值(Vn,0);以及
如果该风险等级的安全漏洞数量(Nn)不止1个,则将该风险等级的安全风险评估值(Vn)设置为与该风险等级的初始风险值(Vn,0)和该风险等级的安全漏洞数量(Nn)相关联的第三值,其中安全漏洞数量(Nn)越多,该第三值越接近与下一个风险等级相对应的风险等级值(n+1),但是不会超过n+1。
4.如权利要求1-3中的任一个所述的安全风险评估方法,其中
当该上一风险等级的安全风险评估值(Vn-1)等于与上一风险等级相对应的风险等级值(n-1)时,所述第一值被设置为:
;
以及当该上一风险等级的安全风险评估值(Vn-1)大于与上一风险等级相对应的风险等级值(n-1)时,所述第一值被设置为:
,
其中Vn-1为上一风险等级的安全风险评估值(Vn-1),n为风险等级,其为从1到10的整数值,每个风险等级n的风险等级值同样为n,a和b为特定系数,其中a和b的取值如下:
当n<=4时,a=0.1,b=1.1;
当4<n<8时,a=0.2,b=1.3;以及
当n>=8时,a=1,b=2。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京神州绿盟信息安全科技股份有限公司,未经北京神州绿盟信息安全科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201110292996.4/1.html,转载请声明来源钻瓜专利网。
