[发明专利]漏洞测评的处理方法和装置

说明书

技术领域

本发明涉及信息技术领域，尤其涉及一种漏洞测评的处理方法和装置。

背景技术

计算机系统在硬件、软件和协议层的设计上总是会存在缺陷和不足，这些缺陷和不足称为系统的漏洞，该漏洞可被非法用户利用以获得系统权限，进而对系统执行非法操作，造成严重的后果，例如黑客攻击企业的服务器，导致企业运营系统瘫痪，或盗取核心业务，从而给企业造成经济损失等。

为了防患于未然，需要对系统进行漏洞检测，在漏洞被利用之前发现漏洞并修补漏洞。通常，系统经过漏洞扫描器会检测到多个漏洞，并根据漏洞库中对各个漏洞的测评结果获知各个漏洞的风险等级，从而根据各个漏洞不同的风险等级制定漏洞修复方案。具体的，上述漏洞库按照测评标准，例如CVSS（Common Vulnerability Scoring System，通用漏洞评分系统）标准，对各个漏洞被非法用户利用时采用的攻击方式、攻击破坏度等多个要素进行评分计算，以评定各漏洞的风险等级。

但采用上述漏洞测评方案制定修复方案时发现，上述漏洞库按照测评标准评定的各漏洞的风险等级并不符合实际中各漏洞对系统的危害，从而制定的漏洞修复方案不够合理，不能有效地起到防范作用。

发明内容

本发明实施例提供一种漏洞测评的处理方法和装置，用于优化漏洞测评过程，以使漏洞的风险等级符合系统实际受到的影响，从而可合理制定漏洞修复方案。

第一方面，本发明实施例提供一种漏洞测评的处理方法，包括：

获取系统的漏洞信息，所述漏洞信息包括漏洞标识和所述漏洞与所述系统之间的关联参数；

根据所述漏洞标识确定所述漏洞的参考风险值；

根据所述关联参数获取系统内与所述漏洞关联的业务的权重值；

根据所述漏洞的参考风险值和所述业务的权重值确定所述漏洞的风险测评等级。

结合第一方面，在第一实施方式中，根据所述漏洞标识确定所述漏洞的参考风险值，包括：

根据所述漏洞的标识在本地或远程的漏洞库中确认各项测评要素，并根据各项所述测评要素的标准参数值确定所述漏洞的参考风险值。

结合第一方面或第一方面的第一实施方式，在第二实施方式中，所述根据所述关联参数获取所述系统内与所述漏洞关联的业务的权重值，包括：

根据所述关联参数在资产库中查询所述业务对应的各项属性的参数值；

根据预设的阈值将所述属性参数值解析为所述业务对应的重要等级和暴露系数；

根据IV=BIV×EF确定所述业务的权重值，其中，IV为所述业务的权重值；BIV为所述业务的重要等级，EF为所述业务的暴露系数。

结合第一方面至第一方面第二实施方式中任意一种实施方式，第三实施方式中，根据所述漏洞的参考风险值和所述业务的权重值确定所述漏洞的风险测评等级，包括：

根据AVR=IV×PI确定所述漏洞的风险测评等级；

其中，AVR为所述漏洞的风险测评等级，PI为所述参考风险值。

结合第一方面至第一方面第三实施方式中任意一种实施方式，第四实施方式中，在所述根据所述漏洞的参考风险值和所述业务的权重值确定所述漏洞的风险测评等级之后，还包括：

存储所述漏洞标识和对应所述漏洞标识的风险测评等级；

根据所述风险测评等级确定所述漏洞的修复方案。

第二方面，本发明实施例提供一种漏洞测评的处理装置，包括：

获取模块，用于获取系统的漏洞信息，所述漏洞信息包括漏洞标识和所述漏洞与所述系统之间的关联参数；

确定模块，用于根据所述漏洞标识确定所述漏洞的参考风险值；

所述确定模块还用于根据所述关联参数获取系统内与所述漏洞关联的业务的权重值；

还用于根据所述漏洞的参考风险值和所述业务的权重值确定所述漏洞的风险测评等级。

结合第二方面，在第一实施方式中，所述确定模块包括第一确定单元，用于根据所述漏洞的标识在本地或远程的漏洞库中确认各项测评要素，并根据各项所述测评要素的标准参数值确定所述漏洞的参考风险值。

结合第二方面或第二方面的第一实施方式，在第二实施方式中，所述确定模块包括第二确定单元，用于根据所述关联参数在资产库中查询所述业务对应的各项属性的参数值；

还用于根据预设的阈值将所述属性参数值解析为所述业务对应的重要等级和暴露系数；

还用于根据IV=BIV×EF确定所述业务的权重值，其中，IV为所述业务的权重值；BIV为所述业务的重要等级，EF为所述业务的暴露系数。