[发明专利]计算机安全风险评估方法和设备

说明书

技术领域

本发明涉及计算机信息安全领域，尤其涉及用于对计算机的安全状况进行评估的计算机安全风险评估设备和方法。

背景技术

对于计算机系统来说，由于计算机系统中的硬件、软件和/或协议的具体实现或系统安全策略上存在有缺陷，可以使攻击者在未授权的情况下访问或破坏计算机系统。这些缺陷也被称为计算机漏洞。一些处于网络中的计算机由于存在漏洞而存在有网络威胁。随着计算机网络的快速发展，通过计算机网络提供各种服务的计算机系统也越来越普及，而这些计算机系统所存在的漏洞所导致的损失也就越大。

目前，存在各种网络漏洞扫描类产品，旨在从攻防角度对计算机系统进行漏洞扫描，以便找出计算机系统中脆弱或者存在漏洞的地方，以便进行安全加固。由漏洞扫描工具对计算机系统进行漏洞扫描时，需要对扫描结果进行分析，从而对计算机系统的安全风险进行评估。然而，目前的计算机系统风险评估方法要么是基于入侵检测结果进行分析，要么是直接对服务器的风险进行评估。这些方法都没有直接对系统的漏洞进行分析，都不能很好的反映一个计算机系统的安全风险情况，甚至有时候错误地给出了评估结果。

因此，需要一种可以准确地基于漏洞分析的结果来对计算机系统的安全风险情况给出评估的计算机安全风险评估方方式。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决或者减缓上述问题的漏洞检测设备和方法。

根据本发明的一个方面，提供了一种对计算机的安全风险进行评估的安全风险评估方法，包括步骤：获取计算机中存在的一个或者多个安全漏洞；根据安全漏洞的危险程度为一个或者多个安全漏洞中的每个分配风险等级，其中每个风险等级具有对应的风险等级值，且风险等级值越高，漏洞越危险；从最低的风险等级开始，逐个等级地计算每个风险等级的安全风险评估值，直到计算了计算机中的安全漏洞所具有的最高风险等级为止；以及基于最高风险等级的安全风险评估值来确定所述计算机的安全风险值，其中计算每个风险等级的安全风险评估值包括：为该风险等级确定该风险等级的初始风险值，该初始风险值取决于上一风险等级的安全风险评估值和是否存在属于该风险等级的安全漏洞；以及根据该风险等级的初始风险值来确定该风险等级的安全风险评估值，其中该风险等级的安全风险评估值还取决于属于该风险等级的安全漏洞数量。

根据本发明的另一个方面，提供了一种对计算机的安全风险进行评估的安全风险评估设备，包括：漏洞获取装置，获取所述计算机中存在的一个或者多个安全漏洞；漏洞分级装置，根据安全漏洞的危险程度为所述一个或者多个安全漏洞中的每个分配风险等级，其中每个风险等级具有对应的风险等级值，且风险等级值越高，漏洞越危险；以及主机风险确定装置，用于根据所述一个或者多个安全漏洞以及相应的风险等级来确定所述计算机的安全风险值，该主机风险确定装置包括：初始值计算装置，用于为某个风险等级确定该风险等级的初始风险值，该初始风险值取决于上一风险等级的安全风险评估值和是否存在属于该风险等级的安全漏洞；等级值计算装置，用于根据该风险等级的初始风险值来确定该风险等级的安全风险评估值，其中该风险等级的安全风险评估值还取决于属于该风险等级的安全漏洞数量；以及主机值确定装置，用于基于最高风险等级的安全风险评估值来确定所述计算机的安全风险值。

根据本发明的方法和设备可以为目标计算机提供一个直观且全面地反映该目标计算机的风险程度的安全风险值。由本发明的方法和设备提供的安全风险值不仅取决于漏洞的数量，而且还取决于漏洞的风险程度。具体而言，漏洞数越多，给目标计算机带来的安全风险也越大。当存在较高级别的安全漏洞时，目标计算机系统的安全性受到更大的威胁，其安全风险会较大。总的趋势来说，计算机安全风险曲线走势是一个对数曲线。当安全漏洞数量增加到一定程度后，整个计算机就处在一个极度不安全的状态，这个时候漏洞数的变化对计算机风险的影响就会比较小，所以漏洞数有一个极限值，计算机风险值会收敛在这个漏洞数上。收敛速度根据漏洞风险值的高低有所不同，低风险值的漏洞对漏洞利用成功和危害都比较小，需要较多的漏洞才会对系统有大的影响，所以收敛速度就会小。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了根据本发明一个实施例的安全风险评估方法；

图2示出了根据本发明一个实施例的安全风险评估设备；