[发明专利]一种针对虚拟化环境的风险评估方法

说明书

技术领域

本发明涉及虚拟化技术领域，具体涉及一种针对虚拟化环境的风险评估方法。

背景技术

虚拟化技术是一种新兴的高效的利用物理资源的核心技术，广泛应用于云计算环境之中，目前针对虚拟化环境的安全还没有较为完善的评估方法。

基于虚拟化系统构成的网络环境相对于传统主机系统构成的环境相比，具有明显的区别，前者主要应用于云计算环境之中，提供对于物理资源的零活调度。

针对传统网络环境的风险评估方法已经不能够完全适应虚拟化环境的风险评估，针对虚拟化平台的风险评估可以作为针对云计算环境的风险评估的组成部分。

发明内容

本发明的目的在于提供一种针对虚拟化环境的风险评估方法。

本发明的技术方案是这样实现的：

一种针对虚拟化环境的风险评估方法，包括以下步骤：

步骤1、确定虚拟化环境中的不同类型虚拟化网络资产的资产重要程度，根据资产重要程度得到资产重要性值并对不同类型虚拟化网络资产划分等级；

步骤2、通过对虚拟化环境中的不同类型虚拟化网络资产的脆弱性扫描和检测，确定各虚拟化网络资产的安全脆弱性；

步骤3、利用虚拟化网络资产重要性值、安全脆弱性计算虚拟化网络资产风险评估值；

步骤4、计算当前虚拟化环境的风险评估总值和风险评估指数，即虚拟化环境的风险评估结果。

所述安全脆弱性为某一虚拟化网络资产所有脆弱性严重程度CVSS值中最大值或者对某一虚拟化网络资产所有脆弱性严重程度CVSS值的加权求和值。

所述风险评估指数为每个虚拟化网络资产风险评估值占当前虚拟化环境资产风险评估值最大值的比例。

所述风险评估总值为当前虚拟化环境中的各虚拟化网络资产风险评估值之和。

有益效果：

本发明通过确定虚拟化环境中的不同类型虚拟化网络资产的资产重要性值和安全脆弱性风险值，计算虚拟化网络资产风险评估值，生成当前虚拟化环境不同类型虚拟化网络资产风险评估值对应表，计算当前虚拟化环境的风险评估指数和风险评估总值，可以有效评估当前虚拟化环境中的网络安全风险等级，提供一种评估和识别虚拟化环境安全风险的技术手段，为虚拟化环境管理人员提供了安全控制和降低安全风险的依据。

附图说明

图1是本发明具体实施方式的虚拟化环境的风险评估方法应用环境示意图；

图2是本发明具体实施方式的针对虚拟化环境的风险评估方法流程图。

具体实施方式

下面结合附图对本发明的具体实施方式做详细说明。

本实施方式中，针对如图1所示的虚拟化环境进行风险评估。针对虚拟化环境的风险评估方法，如图2所示，包括以下步骤：

步骤1、确定虚拟化环境中的不同类型虚拟化网络资产的资产重要程度，根据资产重要程度得到资产重要性值A_i并对不同类型虚拟化网络资产划分等级；

虚拟化网络资产包括运行虚拟化操作系统和虚拟化管理系统的设备；虚拟化网络资产重要程度是指虚拟化网络资产一旦受到网络攻击，造成对整个虚拟化环境和应用的破坏程度；虚拟化网络资产重要程度依据虚拟化操作系统或虚拟化管理系统类型及承载的具体应用而不同，重要程度高的资产受到网络攻击造成的影响就越大。

每种虚拟化网络资产重要性为A_i∈[1,A_upper]，其中i＝1,2,…,N，A_upper为上界值。

虚拟化网络资产重要程度是一种网络资产重要性指标，依据该资产承载的应用业务的重要性、资产使用的频繁程度以及资产在网络环境中的角色而确定，可以参考其他通用的资产重要程度评估方法而确定。例如，虚拟化环境通常包括，多种虚拟化系统，如ESXi/Xen/KVM等，虚拟化管理系统，如OpenStack等，通常虚拟化管理系统的重要程度相对较高，所以其资产重要程度相对较高。而承载重要数据业务和应用业务的虚拟化网络资产的重要程度又相对于承载普通业务的虚拟化网络资产重要程度高。

按照一般情况，通常可以将资产重要性划分为5个等级，如下所示，

不重要：安全属性破坏后对环境造成损失很小，对应赋值为1；

不太重要：安全属性破坏后对环境造成较低损失，对应赋值为2；

比较重要：安全属性破坏后可能对环境造成中等程度的损失，对应赋值为3；

重要：安全属性破坏后对环境造成较为严重损失，对应赋值为4；