一种信息系统安全漏洞的风险评级方法、装置、设备及存储介质与流程

1.本发明实施例涉及信息系统安全技术领域，尤其涉及一种信息系统安全漏洞的风险评级方法、装置、设备及存储介质。


背景技术：

2.随着大数据、物联网、云计算的快速发展以及互联网金融科技等新业态的兴起，网络攻击已经成为信息系统安全的新挑战，关键信息基础设施可能时刻受到来自网络攻击的威胁。对于各种安全漏洞威胁，能快速确定风险等级以区分处理的轻重缓急对于更好的保障信息系统安全尤为重要。
3.目前使用最多的为cvss通用漏洞评分系统，该模型在具体应用中可通过预测漏洞风险分数，反映一个系统被成功入侵的可能性大小，但实际运用中，该系统模型指标项较多，需手动选择，耗时耗力，且适用性不强，如对于不熟悉系统的用户容易误判影响结果，进而可能影响处理漏洞威胁的优先级，造成损失。因此对信息系统安全漏洞快速判定风险，且能通过量化结果准确反映漏洞的风险级别以确定处理优先级的评级方法是亟需解决的问题。


技术实现要素：

4.本发明提供一种信息系统安全漏洞的风险评级方法、装置、设备及存储介质，以实现对信息系统的安全漏洞进行快速定级。
5.第一方面，本发明实施例提供了一种信息系统安全漏洞的风险评级方法，该风险评级方法包括：
6.根据待评级漏洞所在的位置确定漏洞类型；
7.根据漏洞类型确定对应的风险评级指标及内容；其中，所述风险评级指标包括漏洞发生概率指标、漏洞危害级别指标和漏洞利用难度指标；
8.对各个风险评级指标内容进行量化，得到各个风险评级指标的量化值；
9.根据各个风险评级指标的量化值，以及所述漏洞发生概率指标、所述漏洞危害级别指标、所述漏洞利用难度指标之间的预设权重比例，确定所述待评级漏洞的风险等级。
10.第二方面，本发明实施例还提供了一种信息系统安全漏洞的风险评级装置，该风险评级装置包括：
11.漏洞类型确定模块，用于根据待评级漏洞所在的位置确定漏洞类型；
12.评级指标及内容确定模块，用于根据漏洞类型确定对应的风险评级指标及内容；其中，所述风险评级指标包括漏洞发生概率指标、漏洞危害级别指标和漏洞利用难度指标；
13.量化模块，用于对各个风险评级指标内容进行量化，得到各个风险评级指标的量化值；
14.风险等级确定模块，用于根据各个风险评级指标的量化值，以及所述漏洞发生概
率指标、所述漏洞危害级别指标、所述漏洞利用难度指标之间的预设权重比例，确定所述待评级漏洞的风险等级。
15.第三方面，本发明实施例还提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如第一方面所述的信息系统安全漏洞的风险评级方法。
16.第四方面，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如第一方面所述的信息系统安全漏洞的风险评级方法。
17.本发明实施例通过提供一种信息系统安全漏洞的风险评级方法、装置、设备及存储介质，该信息系统安全漏洞的风险评级方法包括：根据待评级漏洞所在的位置确定漏洞类型；根据漏洞类型确定对应的风险评级指标及内容；其中，风险评级指标包括漏洞发生概率指标、漏洞危害级别指标和漏洞利用难度指标；对各个风险评级指标内容进行量化，得到各个风险评级指标的量化值；根据各个风险评级指标的量化值，以及漏洞发生概率指标、漏洞危害级别指标、漏洞利用难度指标之间的预设权重比例，确定待评级漏洞的风险等级。由此可知，通过该方法可以实现针对待评级漏洞所属的漏洞类型确定对应的风险评级指标及内容，可以提高风险评级的适用性；然后对评级指标内容进行量化，并根据各指标的量化值、各指标之间的权重比例确定待评级漏洞的风险等级，由此能通过量化结果准确反映漏洞的风险级别。且与现有技术相比，将风险评级指标精简为漏洞发生概率指标、漏洞危害级别指标和漏洞利用难度指标这三个指标，可以优化计算方式，实现快速定级，且从多维度指标进行综合评级，能够减少主观因素，使得评级结果更加客观准确。
附图说明
18.图1是本发明实施例一中的一种信息系统安全漏洞的风险评级方法的流程图；
19.图2是本发明实施例二中的一种信息系统安全漏洞的风险评级方法的流程图；
20.图3是本发明实施例三中的一种信息系统安全漏洞的风险评级方法的流程图；
21.图4是本发明实施例四中的一种信息系统安全漏洞的风险评级装置的结构框图；
22.图5是本发明实施例五中的一种设备的结构示意图。
具体实施方式
23.下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。
24.经发明人研究发现，针对信息系统安全漏洞的风险评级方法中，目前使用最多的为通用漏洞评分系统(common vulnerability scoring system，cvss)，是一个行业公开标准，其被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度。该系统模型是从基础分数、时间分数和环境分数三个维度来评估定级。其中，基础分数代表着漏洞的原始属性，不受时间与环境的影响，又由可执行性与影响程度度量，该维度指标组包含8个指标项，分别是攻击向量、攻击复杂度、所需权限、用户交互、范围、机密性、完整性、可用性。其中，攻击向量、攻击复杂度、所需权限、用户交互为可利用指标，机密性、完整性、可用性为
影响指标，范围的选择不同，可利用指标和影响指标的计算公式不同，且最终计算得到评级结果的计算公式也不同。时间分数反映漏洞随着时间推移的影响而不受环境影响，该维度指标组包含3个指标项，分别是可利用性、修复措施、确认程度，基础分数与这三项指标项对应权重的乘积即为得分。环境分数代表特定环境下执行漏洞的分数，通常由用户给出，允许根据相应业务需求提高或者降低该分值。从11个指标项进行评估，最终根据所选指标项的权重值和时间分数一起计算得到结果。其中基础分数是用户评估漏洞风险严重性的较多的选择。由此可知，该通用漏洞评分系统存在指标项较多，需手动选择，耗时耗力，且适用性不强等弊端。
25.为此，本发明是实施例提供了一种信息系统安全漏洞的风险评级方法、装置、设备及存储介质，以实现对信息系统的安全漏洞进行快速定级。
26.实施例一
27.图1为本发明实施例一中提供的一种信息系统安全漏洞的风险评级方法的流程图，本实施例可适用于在信息系统安全处理平台中，对系统安全漏洞的风险进行快速且准确定级的方法，该方法可以由信息系统安全漏洞的风险评级装置来执行，该装置可以由软件和/或硬件的方式来实现，该装置可配置于处理平台的服务器中，参考图1，具体包括如下步骤：
28.步骤110、根据待评级漏洞所在的位置确定漏洞类型；
29.其中，信息系统的安全漏洞具有多种类型。不同位置处发生的漏洞类型不同，其带来的风险等级也不相同。例如，面向用户应用层面的sql注入漏洞可能会发生数据库信息泄露、网页篡改、网站被挂马、服务器被远程控制、破坏硬盘数据等漏洞危害；再比如，在系统产品软件中的文件上传漏洞，可能会由于网页代码中的文件上传路径变量过滤不严造成。再比如，由于测试脚本对提交的参数数据缺少充分过滤可见，远程攻击者可以利用漏洞以web进程权限在系统上查看任意文件内容，而造成应用程序测试脚本泄露。可见，不同位置处发生的漏洞的风险不同，对其评级难易也不相同。因此，在对漏洞进行风险评级时，为了加快定级速度，适应多种类型的漏洞评级，可以根据待评级漏洞所在的位置先确定出漏洞所属的类型，然后根据具体的漏洞类型，针对性的进行风险评级，由此可以提高定级的准确性，加快定级速度。
30.步骤120、根据漏洞类型确定对应的风险评级指标及内容；其中，风险评级指标包括漏洞发生概率指标、漏洞危害级别指标和漏洞利用难度指标；
31.与现有技术通过综合十多个指标项进行风险定级的方式相比，本发明实施例将风险评级指标从用户、系统所有者和系统攻击者三个维度衡量，将风险评级指标精简为漏洞发生概率指标、漏洞危害级别指标和漏洞利用难度指标，由此可以在确保满足对漏洞进行全面评级的同时，还可以减少风险评级的复杂度，减少主观因素的干扰，优化计算过程，加快定级速度，使得风险评级的结果更加客观准确。
32.其中，漏洞发生概率指标是从用户维度考虑，由于用户访问系统的方式、访问频率、访问用户数量等会引发安全漏洞的发生，因此从用户的角度出发将漏洞发生概率作为风险评级的指标之一，可以确保风险评级内容的有效性；漏洞危害级别指标是从系统所有者维度考虑，由于漏洞带来的危害直接影响的就是系统所有者，且不同程度的危害对系统所有者的影响大小也不相同，因此需要将漏洞危害级别作为风险评级的重要指标之一，以
确保风险评级内容的有效性；漏洞利用难度指标是从系统攻击者维度考虑，由于系统攻击者本身所使用的攻击手段高低会影响漏洞被攻击利用的难易程度，因此，需要将漏洞利用难度作为风险评级的重要指标之一，以确保风险评级内容的有效性。由此，从用户、系统所有者和系统攻击者三个维度衡量，将漏洞发生概率指标、漏洞危害级别指标和漏洞利用难度指标作为风险评级指标，可以确保风险评级内容的有效性和全面性，进而保证风险评级的准确性，以方便后续根据风险定级的大小采用优先级处理对应的安全漏洞。
33.步骤130、对各个风险评级指标内容进行量化，得到各个风险评级指标的量化值；
34.其中，各个风险评级指标的内容可根据指标的特点或性质分为多个等级，然后将每个指标内各等级按照等级高低顺序进行量化，可以得到各个风险评级指标的各个等级的量化值。例如，漏洞发生概率指标的内容可根据发生概率分为较大等级、中等等级和较小等级，示例性的，可将较大等级、中等等级和较小等级依次量化为3、2、1；漏洞危害级别指标的内容可根据漏洞危害的程度分为高级、中级和低级，示例性的，可将高级、中级和低级依次量化为3、2、1；漏洞利用难度指标的内容可根据漏洞被利用的难易程度分为简单、中等和困难，示例性的，可将简单、中等和困难依次量化为3、2、1。
35.具体的，将待评级漏洞对应的各个风险评级指标内容与其对应的指标的各个等级进行比对，找出与待评级漏洞对应指标内容相符的等级，并将该等级对应的量化值作为待评级漏洞对应指标的量化值。例如，将待评级漏洞对应的漏洞发生概率指标的内容与漏洞发生概率指标的较大等级、中等等级和较小等级进行比对，找出与待评级漏洞的漏洞发生概率指标的内容相符的等级，并将该等级对应的量化值作为待评级漏洞的漏洞发生概率指标的量化值。将待评级漏洞对应的漏洞危害级别指标的内容与漏洞危害级别指标的高级、中级和低级进行比对，找出与待评级漏洞的漏洞危害级别指标的内容相符的等级，并将该等级对应的量化值作为待评级漏洞的漏洞危害级别指标的量化值。将待评级漏洞对应的漏洞利用难度指标的内容与漏洞利用难度指标的简单、中等和困难各等级进行比对，找出与待评级漏洞的漏洞利用难度指标的内容相符的等级，并将该等级对应的量化值作为待评级漏洞的漏洞利用难度指标的量化值。
36.其中，将待评级漏洞的各个风险评级指标内容进行量化，方便后续利用指标量化结果计算得到待评级漏洞所属的风险等级，且通过量化可以提高风险定级的准确性。
37.步骤140、根据各个风险评级指标的量化值，以及漏洞发生概率指标、漏洞危害级别指标、漏洞利用难度指标之间的预设权重比例，确定待评级漏洞的风险等级。
38.示例性的，漏洞发生概率指标、漏洞危害级别指标、漏洞利用难度指标之间的预设权重比例可以为4:8:3，具体的比例关系可根据实际情况进行设置，在此不做具体的限定。
39.具体的，根据各个风险评级指标的量化值，以及漏洞发生概率指标、漏洞危害级别指标、漏洞利用难度指标之间的预设权重比例之间的数量关系可以计算出待评级漏洞的风险值。其中，安全漏洞的风险等级根据风险值的大小通常可分为低级、中级、高级和严重级别，例如，风险值在大于等于1且小于4的范围时，可将漏洞风险等级判定为低级；风险值在大于等于4且小于7时，可将漏洞风险等级判定为中级；风险值在大于等于7且小于9时，可将漏洞风险等级判定为高级；风险值在大于等于9且小于等于10时，可将漏洞风险等级判定为严重级别。因此，将待评级漏洞的风险值的大小与低级、中级、高级、严重级别的风险值范围进行比对，就可以确定待评级漏洞的风险等级。由此，通过量化结果可以准确反映漏洞的风
险级别，实现快速风险定级。
40.在本实施例的技术方案中，该信息系统安全漏洞的风险评级方法的工作原理为：当需要对安全漏洞进行风险定级时，首先，根据待评级漏洞所在的位置确定漏洞类型；然后，根据漏洞类型确定对应的风险评级指标及内容；其中，风险评级指标包括漏洞发生概率指标、漏洞危害级别指标和漏洞利用难度指标；其次，对待评级漏洞的各个风险评级指标内容进行量化，得到各个风险评级指标的量化值；最后，根据各个风险评级指标的量化值，以及漏洞发生概率指标、漏洞危害级别指标、漏洞利用难度指标之间的预设权重比例，确定待评级漏洞的风险等级。由此可知，当需要对安全漏洞进行风险评级时，只需要将待评级漏洞的数据输入到处理平台的服务器中，通过服务器可以实现针对待评级漏洞所属的漏洞类型确定对应的风险评级指标及内容，然后对评级指标内容进行量化，并根据各指标的量化值、各指标之间的权重比例确定待评级漏洞的风险等级，由此能通过量化结果准确反映漏洞的风险级别。
41.本实施例的技术方案，通过提供一种信息系统安全漏洞的风险评级方法，该信息系统安全漏洞的风险评级方法包括：根据待评级漏洞所在的位置确定漏洞类型；根据漏洞类型确定对应的风险评级指标及内容；其中，风险评级指标包括漏洞发生概率指标、漏洞危害级别指标和漏洞利用难度指标；对各个风险评级指标内容进行量化，得到各个风险评级指标的量化值；根据各个风险评级指标的量化值，以及漏洞发生概率指标、漏洞危害级别指标、漏洞利用难度指标之间的预设权重比例，确定待评级漏洞的风险等级。由此可知，通过该方法可以实现针对待评级漏洞所属的漏洞类型确定对应的风险评级指标及内容，可以提高风险评级的适用性；然后对评级指标内容进行量化，并根据各指标的量化值、各指标之间的权重比例确定待评级漏洞的风险等级，由此能通过量化结果准确反映漏洞的风险级别。且与现有技术相比，将风险评级指标精简为漏洞发生概率指标、漏洞危害级别指标和漏洞利用难度指标这三个指标，可以优化计算方式，实现快速定级，且从多维度指标进行综合评级，能够减少主观因素，使得评级结果更加客观准确。
42.在上述技术方案的基础上，可选地，漏洞类型至少包括应用安全漏洞和系统软件安全漏洞。
43.其中，信息系统的安全漏洞具有多种类型。其中，根据漏洞发生的位置不同可以分为应用安全漏洞和系统软件安全漏洞。其中，不同位置处发生的漏洞类型不同，其带来的风险等级也不相同，因此，在对漏洞进行风险评级时，为了加快定级速度，适应多种类型的漏洞评级，可以根据漏洞所在的位置将漏洞分为应用安全漏洞和系统软件安全漏洞。由此，针对具体的漏洞类型确定与之对应的风险评级指标，可以提高对各个类型的漏洞的风险评级的准确性，且该方法可以实现对应用安全漏洞和系统软件安全漏洞进行快速且准确的风险评级，可以扩大应用范围，增强适应性。
44.可选地，根据各个风险评级指标的量化值，以及漏洞发生概率指标、漏洞危害级别指标、漏洞利用难度指标之间的预设权重比例，确定待评级漏洞的风险等级的计算公式为：
45.r＝a*a b*b c*c-c046.其中，r为风险值，r∈[1，4)风险级别为低，r∈[4，7)风险级别为中，r∈[7，9)风险级别为高，r∈[9，10]，风险级别为严重；a为漏洞危害级别的权重系数，b为漏洞利用难度的权重系数，c为漏洞发生概率的权重系数；a为漏洞危害级别指标的量化值，b为漏洞利用难
度指标的量化值，c为漏洞发生概率指标的量化值；c0为常数。
[0047]
示例性的，经过在实际信息系统漏洞定级场景中多次实验可以确定漏洞发生概率指标、漏洞危害级别指标、漏洞利用难度指标之间的预设权重比例为4:8:3。其中，根据漏洞发生概率指标、漏洞危害级别指标、漏洞利用难度指标之间的预设权重比例，以及风险值r的最大数值10可以确定出漏洞危害级别的权重系数a、漏洞利用难度的权重系数b、漏洞发生概率的权重系数c、常数c0依次为2.4、0.9、1.2、3.5。将各权重系数代入上述公式，可以得到：各个风险评级指标的量化值，以及漏洞发生概率指标、漏洞危害级别指标、漏洞利用难度指标之间的预设权重比例之间的数量关系满足：
[0048]
r＝2.4a 0.9b 1.2c-3.5
[0049]
由此，根据上述公式可以计算出待评级漏洞的风险值，然后根据计算的风险值实际落入的风险等级范围，可以快速实现对漏洞定级。
[0050]
需要说明的是，漏洞危害级别的权重系数a、漏洞利用难度的权重系数b、漏洞发生概率的权重系数c、常数c0，以及漏洞发生概率指标、漏洞危害级别指标、漏洞利用难度指标之间的预设权重比例的具体数值可根据实际情况进行设置，在此不做具体的限定。
[0051]
实施例二
[0052]
图2是本发明实施例二中提供的一种信息系统安全漏洞的风险评级方法的流程图。在上述实施例一的基础上，可选地，参考图2，根据漏洞类型确定对应的风险评级指标及内容，包括如下步骤：
[0053]
步骤210、根据待评级漏洞所在的位置确定漏洞类型；
[0054]
步骤220、当待评级漏洞为应用安全漏洞时，根据信息系统访问量和信息系统访问方式确定漏洞发生概率指标；根据漏洞对信息系统所属方造成的损失大小确定漏洞危害级别指标；根据漏洞本身被使用成功获得利益的难度，确定漏洞利用难度指标。
[0055]
其中，当待评级漏洞为应用安全漏洞时，由于应用安全漏洞需要面向用户，而用户访问系统的方式、访问量等可能会引发安全漏洞的发生，例如，通过外部渠道互联网接入且用户访问量较多时可能会很容易引发漏洞，通过仅能特定局域网接入的访问方式访问且用户访问量较小时会比较安全，不易引发安全漏洞。因而根据信息系统访问量和信息系统访问方式可以确定漏洞发生概率指标。当漏洞一旦发生时，可能会对应用系统造成不同程度的损害，因此，结合经验，根据漏洞对信息系统所属方造成的损失大小确定漏洞危害级别指标。当系统发生漏洞时，信息系统被攻破，系统攻击者会利用漏洞获利，因此，为了准确且合理地对漏洞风险进行评级，需要从系统攻击者的角度，根据漏洞本身被使用成功获得利益的难度，来确定漏洞利用难度指标。由此，针对应用安全漏洞类型，结合其特征，确定与之对应的风险评级指标及内容，可以提高漏洞风险定级的准确性。
[0056]
步骤230、对各个风险评级指标内容进行量化，得到各个风险评级指标的量化值；
[0057]
步骤240、根据各个风险评级指标的量化值，以及漏洞发生概率指标、漏洞危害级别指标、漏洞利用难度指标之间的预设权重比例，确定待评级漏洞的风险等级。
[0058]
在上述技术方案的基础上，可选地，当待评级漏洞为应用安全漏洞时，漏洞发生概率指标的内容为：外部渠道为较多用户利用的缺陷，漏洞发生概率为较大等级；外部渠道仅为少数人利用，或利用场景较为特殊的缺陷，漏洞发生概率为中等等级；仅能通过特定渠道访问，且用户量较小的信息系统，漏洞发生概率为较小等级；
[0059]
漏洞危害级别指标的内容为：通过缺陷造成严重损害的，漏洞危害级别为高级；通过缺陷造成一般损害的，漏洞危害级别为中级；通过缺陷造成较小损害的，漏洞危害级别为低级；
[0060]
漏洞利用难度指标的内容为：借助专业工具或手工直接利用的缺陷，漏洞利用难度为简单；借助特定的学科、场景、工具利用的缺陷，漏洞利用难度为中等；借助特殊的学科、场景、工具利用的缺陷，漏洞利用难度为困难。
[0061]
其中，外部渠道为较多用户利用的缺陷，漏洞发生概率为较大等级是指：外部渠道如互联网被较多用户用作访问方式，其存在较多可利用的缺陷，容易引发安全漏洞，或者被较多用户利用的缺陷也容易引发漏洞，这种情况漏洞发生概率为较大等级。外部渠道仅为少数人利用，或利用场景较为特殊的缺陷，漏洞发生概率为中等等级是指：外部接入渠道仅为少数人知道，或利用场景较为特殊的缺陷，发生概率为中等。
[0062]
其中，通过缺陷造成严重损害的，漏洞危害级别为高级是指：通过缺陷能够获取应用系统管理员权限，造成应用系统拒绝服务或其他严重异常，或造成关键数据泄露或财产损失的，危害级别为“高”。通过缺陷造成一般损害的，漏洞危害级别为中级是指：通过缺陷能够上传恶意文件，造成一般数据泄露，造成局部功能异常，部分用户数据或功能异常，或造成应用系统资源浪费的，危害级别为“中”。通过缺陷造成较小损害的，漏洞危害级别为低级是指：通过缺陷能够造成应用系统异常信息泄露，个别功能异常，个别用户数据或功能异常的，或安全配置存在隐患可以和其他漏洞联动利用的，危害级别为“低”。
[0063]
其中，借助特定的学科、场景、工具利用的缺陷，漏洞利用难度为中等是指：借助社会工程学、特定的场景、专业工具和一定的程序编写可以利用的缺陷，利用难度为“中等”。借助特殊的学科、场景、工具利用的缺陷，漏洞利用难度为困难是指：借助高超的社会工程学、特殊的场景、专业工具和较高难度的程序编写可以利用的缺陷，利用难度为“困难”。
[0064]
示例性的，当待评级漏洞为应用安全漏洞时，将漏洞发生概率指标的内容进行量化，即将较大等级、中等等级、较小等级依次量化为3、2、1；将漏洞危害级别指标的内容进行量化，即将高级、中级、低级依次量化为3、2、1；由于漏洞越容易被利用，风险越大，量化值也应该越大，因此，将漏洞利用难度指标的内容进行量化，即将简单、中等、困难依次量化为3、2、1。
[0065]
具体的，当待评级漏洞为应用安全漏洞时，将待评级漏洞的漏洞发生概率指标内容与上述漏洞发生概率指标的较大等级、中等等级以及较小等级的内容进行比对，将内容相符的等级作为待评级漏洞的漏洞发生概率指标，并将相符的等级对应的量化值作为待评级漏洞的漏洞发生概率指标内容的量化值。将待评级漏洞的漏洞危害级别指标内容与上述漏洞危害级别指标的高级、中级以及低级的内容进行比对，将内容相符的等级作为待评级漏洞的漏洞危害级别指标，并将相符的等级对应的量化值作为待评级漏洞的漏洞危害级别指标内容的量化值。将待评级漏洞的漏洞利用难度指标内容与上述漏洞利用难度指标的简单、中等、困难等级的内容进行比对，将内容相符的等级作为待评级漏洞的漏洞利用难度指标，并将相符的等级对应的量化值作为待评级漏洞的漏洞利用难度指标内容的量化值。然后将待评级漏洞的漏洞发生概率指标的量化值、漏洞危害级别指标的量化值、漏洞利用难度指标的量化值，以及漏洞发生概率指标、漏洞危害级别指标、漏洞利用难度指标之间的预设权重比例，代入到风险等级的计算公式，计算出待评级漏洞的风险值，并将计算所得的风
险值与漏洞风险等级范围进行比对，以确定待评级漏洞的风险等级。由此，可以实现对应用安全漏洞进行快速且准确定级。
[0066]
实施例三
[0067]
图3是本发明实施例三中提供的一种信息系统安全漏洞的风险评级方法的流程图。在上述实施例的基础上，可选地，参考图3，根据漏洞类型确定对应的风险评级指标及内容，还包括如下步骤：
[0068]
步骤310、根据待评级漏洞所在的位置确定漏洞类型；
[0069]
步骤320、当待评级漏洞为系统软件安全漏洞时，根据漏洞扫描工具在扫描前的登录状态确定漏洞发生概率指标；根据漏洞扫描工具扫描结果中漏洞危害评级结果确定漏洞危害级别指标；根据漏洞扫描工具在得到初步扫描结果后是否能自动利用成功确定漏洞利用难度指标。
[0070]
其中，当待评级漏洞为系统软件安全漏洞时，由于系统软件产品不直接与用户进行交互，其漏洞发生的概率较小，因此，可先利用漏洞扫描工具对待评级漏洞进行扫描得到初步结果，然后根据漏洞扫描工具在扫描前的登录状态确定漏洞发生概率指标，根据漏洞扫描工具扫描结果中漏洞危害评级结果确定漏洞危害级别指标，根据漏洞扫描工具在得到初步扫描结果后是否能自动利用成功确定漏洞利用难度指标。由此，根据待评级漏洞的漏洞类型，确定适合对应类型的风险评级指标和内容，可以提高风险评级的准确性和快速性，扩大适用范围。
[0071]
步骤330、对各个风险评级指标内容进行量化，得到各个风险评级指标的量化值；
[0072]
步骤340、根据各个风险评级指标的量化值，以及漏洞发生概率指标、漏洞危害级别指标、漏洞利用难度指标之间的预设权重比例，确定待评级漏洞的风险等级。
[0073]
在上述技术方案的基础上，可选地，当待评级漏洞为系统软件安全漏洞时，漏洞发生概率指标的内容为：由于系统软件不直接与用户交互，漏洞发生概率为较小等级；漏洞危害级别指标的内容为：根据漏洞扫描工具的扫描结果的严重程度分为高级、中级和低级；
[0074]
漏洞利用难度指标的内容为：若利用漏洞扫描工具能直接自动化攻击利用成功，则漏洞利用难度为简单；若利用漏洞扫描工具扫描结果显示不明确，且根据扫描获取的信息结合其它技术手段能成功利用，则漏洞利用难度为中等；若利用漏洞扫描工具扫描结果显示不成功，则漏洞利用难度为困难。
[0075]
其中，由于系统产品软件不直接与用户可视交互，漏洞发生概率较小，因此，漏洞发生概率指标的内容均为较小等级。漏洞扫描工具可以选择nessus，也可使用其他漏洞扫描工具。
[0076]
示例性的，当待评级漏洞为系统软件安全漏洞时，将漏洞发生概率指标的内容进行量化，即将较大等级、中等等级、较小等级依次量化为3、2、1；将漏洞危害级别指标的内容进行量化，即将高级、中级、低级依次量化为3、2、1；由于漏洞越容易被利用，风险越大，量化值也应该越大，因此，将漏洞利用难度指标的内容进行量化，即将简单、中等、困难依次量化为3、2、1。
[0077]
具体的，当待评级漏洞为系统软件安全漏洞时，将待评级漏洞的漏洞发生概率指标内容与上述漏洞发生概率指标的较大等级、中等等级以及较小等级的内容进行比对，将内容相符的等级作为待评级漏洞的漏洞发生概率指标，并将相符的等级对应的量化值作为
待评级漏洞的漏洞发生概率指标内容的量化值。将待评级漏洞的漏洞危害级别指标内容与上述漏洞危害级别指标的高级、中级以及低级的内容进行比对，将内容相符的等级作为待评级漏洞的漏洞危害级别指标，并将相符的等级对应的量化值作为待评级漏洞的漏洞危害级别指标内容的量化值。将待评级漏洞的漏洞利用难度指标内容与上述漏洞利用难度指标的简单、中等、困难等级的内容进行比对，将内容相符的等级作为待评级漏洞的漏洞利用难度指标，并将相符的等级对应的量化值作为待评级漏洞的漏洞利用难度指标内容的量化值。然后将待评级漏洞的漏洞发生概率指标的量化值、漏洞危害级别指标的量化值、漏洞利用难度指标的量化值，以及漏洞发生概率指标、漏洞危害级别指标、漏洞利用难度指标之间的预设权重比例，代入到风险等级的计算公式，计算出待评级漏洞的风险值，并将计算所得的风险值与漏洞风险等级范围进行比对，以确定待评级漏洞的风险等级。由此，可以实现对系统软件安全漏洞进行快速且准确定级。
[0078]
示例性的，以漏洞发生概率指标、漏洞危害级别指标、漏洞利用难度指标之间的预设权重比例为4:8:3，漏洞危害级别的权重系数a、漏洞利用难度的权重系数b、漏洞发生概率的权重系数c、常数c0依次为2.4、0.9、1.2、3.5为例。风险评级的所有情况如表1：
[0079]
表1风险评级所有取值情况
[0080]
[0081][0082]
示例性的，将本发明实施例提供的信息系统安全漏洞的风险评级方法与现有技术通用漏洞评分模型cvss3.0在实际场景中进行实验比对。经过两个季度，近300个信息系统，开展两轮的风险评级中实际运用以及按照评级结果的响应解决评估。最终发现本发明的模型与cvss3.0评级准确性相近，但在快速风险评级方面具备明显优势。其中，针对系统软件安全漏洞类型，根据本发明实施例提供信息系统安全漏洞的风险评级方法，直接通过漏洞扫描工具批量完成风险评级并自动化导出结果的时间不到0.1s；针对应用安全漏洞类型，当其漏洞发生概率确定的情况下，由于评级情况只有9种(即漏洞危害级别指标内容有高级、中级和低级三种情况，漏洞利用难度指标内容有简单、中等和困难三种情况，两种结合相乘共9种情况)，使用频率较多时，可免于计算，直接定级。
[0083]
实施例四
[0084]
图4是本发明实施例四中提供的一种信息系统安全漏洞的风险评级装置的结构框图。参考图4，该信息系统安全漏洞的风险评级装置100包括：
[0085]
漏洞类型确定模块10，用于根据待评级漏洞所在的位置确定漏洞类型；
[0086]
评级指标及内容确定模块20，用于根据漏洞类型确定对应的风险评级指标及内容；其中，风险评级指标包括漏洞发生概率指标、漏洞危害级别指标和漏洞利用难度指标；
[0087]
量化模块30，用于对各个风险评级指标内容进行量化，得到各个风险评级指标的量化值；
[0088]
风险等级确定模块40，用于根据各个风险评级指标的量化值，以及漏洞发生概率指标、漏洞危害级别指标、漏洞利用难度指标之间的预设权重比例，确定待评级漏洞的风险等级。
[0089]
在本实施例的技术方案中，通过提供一种信息系统安全漏洞的风险评级装置，该信息系统安全漏洞的风险评级装置包括：漏洞类型确定模块，用于根据待评级漏洞所在的位置确定漏洞类型；评级指标及内容确定模块，用于根据漏洞类型确定对应的风险评级指标及内容；其中，风险评级指标包括漏洞发生概率指标、漏洞危害级别指标和漏洞利用难度指标；量化模块，用于对各个风险评级指标内容进行量化，得到各个风险评级指标的量化值；风险等级确定模块，用于根据各个风险评级指标的量化值，以及漏洞发生概率指标、漏
洞危害级别指标、漏洞利用难度指标之间的预设权重比例，确定待评级漏洞的风险等级。由此可知，通过该方法可以实现针对待评级漏洞所属的漏洞类型确定对应的风险评级指标及内容，可以提高风险评级的适用性；然后对评级指标内容进行量化，并根据各指标的量化值、各指标之间的权重比例确定待评级漏洞的风险等级，由此能通过量化结果准确反映漏洞的风险级别。且与现有技术相比，将风险评级指标精简为漏洞发生概率指标、漏洞危害级别指标和漏洞利用难度指标这三个指标，可以优化计算方式，实现快速定级，且从多维度指标进行综合评级，能够减少主观因素，使得评级结果更加客观准确。
[0090]
可选地，漏洞类型至少包括应用安全漏洞和系统软件安全漏洞。
[0091]
可选地，评级指标及内容确定模块20，包括：
[0092]
应用安全漏洞的评级指标及内容确定单元，用于当待评级漏洞为应用安全漏洞时，根据信息系统访问量和信息系统访问方式确定漏洞发生概率指标；根据漏洞对信息系统所属方造成的损失大小确定漏洞危害级别指标；根据漏洞本身被使用成功获得利益的难度，确定漏洞利用难度指标。
[0093]
可选地，应用安全漏洞的评级指标及内容确定单元，还用于当待评级漏洞为应用安全漏洞时，
[0094]
漏洞发生概率指标的内容为：外部渠道为较多用户利用的缺陷，漏洞发生概率为较大等级；外部渠道仅为少数人利用，或利用场景较为特殊的缺陷，漏洞发生概率为中等等级；仅能通过特定渠道访问，且用户量较小的信息系统，漏洞发生概率为较小等级；
[0095]
漏洞危害级别指标的内容为：通过缺陷造成严重损害的，漏洞危害级别为高级；通过缺陷造成一般损害的，漏洞危害级别为中级；通过缺陷造成较小损害的，漏洞危害级别为低级；
[0096]
漏洞利用难度指标的内容为：借助专业工具或手工直接利用的缺陷，漏洞利用难度为简单；借助特定的学科、场景、工具利用的缺陷，漏洞利用难度为中等；借助特殊的学科、场景、工具利用的缺陷，漏洞利用难度为困难。
[0097]
可选地，评级指标及内容确定模块20，包括：
[0098]
系统软件安全漏洞的评级指标及内容确定单元，用于当待评级漏洞为系统软件安全漏洞时，根据漏洞扫描工具在扫描前的登录状态确定所述漏洞发生概率指标；根据漏洞扫描工具扫描结果中漏洞危害评级结果确定所述漏洞危害级别指标；根据漏洞扫描工具在得到初步扫描结果后是否能自动利用成功确定漏洞利用难度指标。
[0099]
系统软件安全漏洞的评级指标及内容确定单元，还用于当待评级漏洞为系统软件安全漏洞时，
[0100]
漏洞发生概率指标的内容为：由于系统软件不直接与用户交互，漏洞发生概率为较小等级；
[0101]
漏洞危害级别指标的内容为：根据漏洞扫描工具的扫描结果的严重程度分为高级、中级和低级；
[0102]
漏洞利用难度指标的内容为：若利用漏洞扫描工具能直接自动化攻击利用成功，则漏洞利用难度为简单；若利用漏洞扫描工具扫描结果显示不明确，且根据扫描获取的信息结合其它技术手段能成功利用，则漏洞利用难度为中等；若利用漏洞扫描工具扫描结果显示不成功，则漏洞利用难度为困难。
[0103]
可选地，风险等级确定模块40，包括：
[0104]
计算单元，用于待评级漏洞的风险等级的计算公式确定待评级漏洞的风险等级。其中，待评级漏洞的风险等级的计算公式为：
[0105]
r＝a*a b*b c*c-c0[0106]
其中，r为风险值，r∈[1，4)风险级别为低，r∈[4，7)风险级别为中，r∈[7，9)风险级别为高，r∈[9，10]，风险级别为严重；a为漏洞危害级别的权重系数，b为漏洞利用难度的权重系数，c为漏洞发生概率的权重系数；a为漏洞危害级别指标的量化值，b为漏洞利用难度指标的量化值，c为漏洞发生概率指标的量化值；c0为常数。
[0107]
本发明实施例所提供的信息系统安全漏洞的风险评级装置可执行本发明任意实施例所提供的信息系统安全漏洞的风险评级方法，具备执行方法相应的功能模块和有益效果。
[0108]
实施例五
[0109]
图5为本发明实施例五提供的一种设备的结构示意图，如图5所示，该设备包括处理器70、存储器71、输入装置72和输出装置73；设备中处理器70的数量可以是一个或多个，图5中以一个处理器70为例；设备中的处理器70、存储器71、输入装置72和输出装置73可以通过总线或其他方式连接，图5中以通过总线连接为例。
[0110]
存储器71作为一种计算机可读存储介质，可用于存储软件程序、计算机可执行程序以及模块，如本发明实施例中的信息系统安全漏洞的风险评级方法对应的程序指令/模块(例如，信息系统安全漏洞的风险评级装置中的漏洞类型确定模块10、评级指标及内容确定模块20、量化模块30和风险等级确定模块40)。处理器70通过运行存储在存储器71中的软件程序、指令以及模块，从而执行设备的各种功能应用以及数据处理，即实现上述的信息系统安全漏洞的风险评级方法。
[0111]
存储器71可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据终端的使用所创建的数据等。此外，存储器71可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中，存储器71可进一步包括相对于处理器70远程设置的存储器，这些远程存储器可以通过网络连接至设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
[0112]
输入装置72可用于接收输入的数字或字符信息，以及产生与设备的用户设置以及功能控制有关的键信号输入。输出装置73可包括显示屏等显示设备。
[0113]
实施例六
[0114]
本发明实施例六还提供一种包含计算机可执行指令的存储介质，所述计算机可执行指令在由计算机处理器执行时用于执行一种信息系统安全漏洞的风险评级方法，该方法包括：
[0115]
根据待评级漏洞所在的位置确定漏洞类型；
[0116]
根据漏洞类型确定对应的风险评级指标及内容；其中，所述风险评级指标包括漏洞发生概率指标、漏洞危害级别指标和漏洞利用难度指标；
[0117]
对各个风险评级指标内容进行量化，得到各个风险评级指标的量化值；
[0118]
根据各个风险评级指标的量化值，以及所述漏洞发生概率指标、所述漏洞危害级
别指标、所述漏洞利用难度指标之间的预设权重比例，确定所述待评级漏洞的风险等级。
[0119]
当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的信息系统安全漏洞的风险评级方法中的相关操作。
[0120]
通过以上关于实施方式的描述，所属领域的技术人员可以清楚地了解到，本发明可借助软件及必需的通用硬件来实现，当然也可以通过硬件实现，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如计算机的软盘、只读存储器(read-only memory,rom)、随机存取存储器(random access memory,ram)、闪存(flash)、硬盘或光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。
[0121]
值得注意的是，上述搜索装置的实施例中，所包括的各个单元和模块只是按照功能逻辑进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另外，各功能单元的具体名称也只是为了便于相互区分，并不用于限制本发明的保护范围。
[0122]
注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。