一种信息系统安全漏洞的风险评级方法、装置、设备及存储介质与流程

技术特征：
1.一种信息系统安全漏洞的风险评级方法，其特征在于，包括：根据待评级漏洞所在的位置确定漏洞类型；根据漏洞类型确定对应的风险评级指标及内容；其中，所述风险评级指标包括漏洞发生概率指标、漏洞危害级别指标和漏洞利用难度指标；对各个风险评级指标内容进行量化，得到各个风险评级指标的量化值；根据各个风险评级指标的量化值，以及所述漏洞发生概率指标、所述漏洞危害级别指标、所述漏洞利用难度指标之间的预设权重比例，确定所述待评级漏洞的风险等级。2.根据权利要求1所述的信息系统安全漏洞的风险评级方法，其特征在于，所述漏洞类型包括应用安全漏洞和系统软件安全漏洞。3.根据权利要求2所述的信息系统安全漏洞的风险评级方法，其特征在于，所述根据漏洞类型确定对应的风险评级指标及内容，包括：当所述待评级漏洞为所述应用安全漏洞时，根据信息系统访问量和信息系统访问方式确定所述漏洞发生概率指标；根据漏洞对信息系统所属方造成的损失大小确定所述漏洞危害级别指标；根据漏洞本身被使用成功获得利益的难度，确定所述漏洞利用难度指标。4.根据权利要求3所述的信息系统安全漏洞的风险评级方法，其特征在于，当所述待评级漏洞为所述应用安全漏洞时，所述漏洞发生概率指标的内容为：外部渠道为较多用户利用的缺陷，漏洞发生概率为较大等级；外部渠道仅为少数人利用，或利用场景较为特殊的缺陷，漏洞发生概率为中等等级；仅能通过特定渠道访问，且用户量较小的信息系统，漏洞发生概率为较小等级；所述漏洞危害级别指标的内容为：通过缺陷造成严重损害的，漏洞危害级别为高级；通过缺陷造成一般损害的，漏洞危害级别为中级；通过缺陷造成较小损害的，漏洞危害级别为低级；所述漏洞利用难度指标的内容为：借助专业工具或手工直接利用的缺陷，漏洞利用难度为简单；借助特定的学科、场景、工具利用的缺陷，漏洞利用难度为中等；借助特殊的学科、场景、工具利用的缺陷，漏洞利用难度为困难。5.根据权利要求2所述的信息系统安全漏洞的风险评级方法，其特征在于，所述根据漏洞类型确定对应的风险评级指标及内容，还包括：当所述待评级漏洞为所述系统软件安全漏洞时，根据漏洞扫描工具在扫描前的登录状态确定所述漏洞发生概率指标；根据漏洞扫描工具扫描结果中漏洞危害评级结果确定所述漏洞危害级别指标；根据漏洞扫描工具在得到初步扫描结果后是否能自动利用成功确定所述漏洞利用难度指标。6.根据权利要求5所述的信息系统安全漏洞的风险评级方法，其特征在于，当所述待评级漏洞为所述系统软件安全漏洞时，所述漏洞发生概率指标的内容为：由于系统软件不直接与用户交互，漏洞发生概率为较小等级；所述漏洞危害级别指标的内容为：根据漏洞扫描工具的扫描结果的严重程度分为高级、中级和低级；所述漏洞利用难度指标的内容为：若利用漏洞扫描工具能直接自动化攻击利用成功，则漏洞利用难度为简单；若利用漏洞扫描工具扫描结果显示不明确，且根据扫描获取的信
息结合其它技术手段能成功利用，则漏洞利用难度为中等；若利用漏洞扫描工具扫描结果显示不成功，则漏洞利用难度为困难。7.根据权利要求1所述的信息系统安全漏洞的风险评级方法，其特征在于，所述根据各个风险评级指标的量化值，以及所述漏洞发生概率指标、所述漏洞危害级别指标、所述漏洞利用难度指标之间的预设权重比例，确定所述待评级漏洞的风险等级的计算公式为：r＝a*a b*b c*c-c0其中，r为风险值，r∈[1，4)风险级别为低，r∈[4，7)风险级别为中，r∈[7，9)风险级别为高，r∈[9，10]，风险级别为严重；a为漏洞危害级别的权重系数，b为漏洞利用难度的权重系数，c为漏洞发生概率的权重系数；a为漏洞危害级别指标的量化值，b为漏洞利用难度指标的量化值，c为漏洞发生概率指标的量化值；c0为常数。8.一种信息系统安全漏洞的风险评级装置，其特征在于，包括：漏洞类型确定模块，用于根据待评级漏洞所在的位置确定漏洞类型；评级指标及内容确定模块，用于根据漏洞类型确定对应的风险评级指标及内容；其中，所述风险评级指标包括漏洞发生概率指标、漏洞危害级别指标和漏洞利用难度指标；量化模块，用于对各个风险评级指标内容进行量化，得到各个风险评级指标的量化值；风险等级确定模块，用于根据各个风险评级指标的量化值，以及所述漏洞发生概率指标、所述漏洞危害级别指标、所述漏洞利用难度指标之间的预设权重比例，确定所述待评级漏洞的风险等级。9.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1-7中任一所述的信息系统安全漏洞的风险评级方法。10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1-7中任一所述的信息系统安全漏洞的风险评级方法。

技术总结
本发明实施例公开了一种信息系统安全漏洞的风险评级方法、装置、设备及存储介质。该信息系统安全漏洞的风险评级方法包括：根据待评级漏洞所在的位置确定漏洞类型；根据漏洞类型确定对应的风险评级指标及内容；其中，风险评级指标包括漏洞发生概率指标、漏洞危害级别指标和漏洞利用难度指标；对各个风险评级指标内容进行量化，得到各个风险评级指标的量化值；根据各个风险评级指标的量化值，以及漏洞发生概率指标、漏洞危害级别指标、漏洞利用难度指标之间的预设权重比例，确定待评级漏洞的风险等级。通过该方法可以实现对信息系统的安全漏洞进行快速定级。洞进行快速定级。洞进行快速定级。


技术研发人员：袁庶轶 白艳珂
受保护的技术使用者：上海浦东发展银行股份有限公司
技术研发日：2021.10.28
技术公布日：2022/1/28