网络资产的风险评估方法、装置、电子设备和存储介质

技术领域

本申请涉及信息安全技术领域，具体涉及网络资产的风险评估方法、装置、电子设备和存储介质。

背景技术

网络资产主要是指计算机或通讯网络中使用的各种设备，在当前网络环境中，网络资产往往会面临各种风险，比如非法人员可能会利用恶意软件、漏洞、病毒等攻击手段，对网络资产进行攻击，以达到其非法目的。因此，通常需要对网络资产所面临的风险进行评估。

发明内容

本申请实施例的目的在于提供网络资产的风险评估方法、装置、电子设备和存储介质，用于对网络资产的风险进行评估。

本申请实施例第一方面提供了一种网络资产的风险评估方法，包括：

确定待评估网络资产的资产脆弱性分值、资产重要性分值和威胁发生可能性分值，其中，所述资产脆弱性分值用于表征所述待评估网络资产的资产脆弱性；所述资产重要性分值用于表征所述待评估网络资产的资产重要性；威胁发生可能性分值用于表征针对所述待评估网络资产的威胁发生的可能性；

根据所述资产脆弱性分值、所述资产重要性分值和所述威胁发生可能性分值，确定所述待评估网络资产的资产风险值，以评估所述待评估网络资产的风险。

于一实施例中，根据所述资产脆弱性分值、所述资产重要性分值和所述威胁发生可能性分值，确定所述待评估网络资产的资产风险值，具体包括：通过如下公式计算所述资产风险值：

其中，risk为所计算得到的资产风险值；Iv为所述资产脆弱性分值；Im为所述资产重要性分值；P为所述威胁发生可能性分值；a和b分别为预设常数，并且a为正数。

于一实施例中，通过如下方式确定所述威胁发生可能性分值：

获取最近的一个统计周期内，所述待评估网络资产的威胁日志数据，其中，各个威胁日志数据包括对应的危险等级评分，所述危险等级评分用于表征对应威胁日志数据所涉及的威胁的危险等级；

根据各个威胁日志数据的危险等级评分，确定在最近的一个统计周期内，所述待评估网络资产的总危险评分；

利用所述总危险评分查询威胁发生可能性赋值表，以确定所述威胁发生可能性分值。

于一实施例中，所述方法还包括通过如下方式预先生成所述威胁发生可能性赋值表：

获取最近的n个统计周期内，多个网络资产的威胁日志数据，其中，n为大于或等于2的正整数；

根据同一网络资产在同一统计周期内的威胁日志数据划分为同一个分组的方式，将所获取的各个威胁日志数据划分为多个分组；

针对各个分组，根据所述分组中各个威胁日志数据的危险等级评分，确定所述分组的总危险评分；

计算各个分组分别对应的总危险评分的多个统计学参数；

根据所述的多个统计学参数，生成所述威胁发生可能性赋值表。

于一实施例中，通过如下方式确定所述资产重要性分值：

确定所述待评估网络资产的保密性分值、完整性分值和可用性分值；

将所述保密性分值、所述完整性分值和所述可用性分值加权求和，以得到所述资产重要性分值。

于一实施例中，确定所述待评估网络资产的保密性分值、完整性分值和可用性分值，具体包括：

根据所述待评估网络资产中所存放的关键数据泄漏后所造成损害的程度，确定所述保密性分值；

根据所述待评估网络资产缺失后，对业务处理所造成影响的程度，确定所述完整性分值；以及，

根据所述待评估网络资产的可用度和中断时长，确定所述可用性分值。

于一实施例中，通过如下方式确定所述资产脆弱性分值：

确定所述待评估网络资产的漏洞脆弱性分值和配置基线脆弱性分值；

根据所述漏洞脆弱性分值和所述配置基线脆弱性分值，确定所述待评估网络资产的资产脆弱性分值。

于一实施例中，通过如下方式确定所述漏洞脆弱性分值：

确定所述待评估网络资产中所存在的漏洞；

根据预设漏洞评分标准，确定各个漏洞分别对应的漏洞危险分值和漏洞危险等级；

针对各个漏洞危险等级，根据所述漏洞危险等级中漏洞的漏洞危险分值，计算所述漏洞危险等级的脆弱性系数；

根据各个漏洞危险等级的脆弱性系数，确定所述漏洞脆弱性分值。

于一实施例中，所述漏洞危险等级具体包括低、中、高和极高，其中，漏洞危险等级为低的漏洞的漏洞危险分值属于[0，L1)，漏洞危险等级为中的漏洞的漏洞危险分值属于[L1，L2)，漏洞危险等级为高的漏洞的漏洞危险分值属于[L2，L3)，漏洞危险等级为极高的漏洞的漏洞危险分值属于[L3，L4]；所述方法还包括：

针对各个漏洞，根据所述漏洞所属的漏洞危险等级以及所述漏洞危险等级中漏洞危险分值的上限值，对所述漏洞的漏洞危险分值进行归一化；以及，

针对各个漏洞危险等级，根据所述漏洞危险等级中漏洞的漏洞危险分值，计算所述漏洞危险等级的脆弱性系数，具体包括：

针对各个漏洞危险等级，根据所述漏洞危险等级中漏洞归一化后的漏洞危险分值，计算所述漏洞危险等级的脆弱性系数。

于一实施例中，根据各个漏洞危险等级的脆弱性系数，确定所述漏洞脆弱性分值，具体包括：

确定所述待评估网络资产中所存在的漏洞的最高漏洞危险等级；

将所述最高漏洞危险等级的脆弱性系数，乘以所述最高漏洞危险等级中漏洞危险分值的上限值，以得到所述漏洞脆弱性分值。

于一实施例中，针对各个漏洞危险等级，根据所述漏洞危险等级中漏洞归一化后的漏洞危险分值，计算所述漏洞危险等级的脆弱性系数，具体包括：通过如下各个公式分别计算漏洞危险等级为低、中、高和极高的脆弱性系数：

其中，V

于一实施例中，所述方法还包括：

根据漏洞i所关联的端口的端口信息，确定漏洞i的漏洞权重值，其中，所述端口信息反映所述端口是否为开放端口。

于一实施例中，通过如下方式确定所述配置基线脆弱性分值：

通过基线扫描工具对所述待评估网络资产进行基线扫描，以确定所述待评估网络资产中各个基线检测项的合规性类型和危险程度类型，其中，所述合规性类型具体包括合规、不合规和扫描失败，并且各个合规性类型分别对应相应的合规性权重和合规性编码值；所述危险程度类型具体包括一般、低危、中危和高危，并且各个危险程度类型分别对应相应的危险程度权重和危险程度编码值；

根据各个基线检测项合规性类型所对应的合规性权重和合规性编码值，以及各个基线检测项危险程度类型所对应的危险程度权重和危险程度编码值，确定所述配置基线脆弱性分值。

于一实施例中，根据各个基线检测项合规性类型所对应的合规性权重和合规性编码值，以及各个基线检测项危险程度类型所对应的危险程度权重和危险程度编码值，确定所述配置基线脆弱性分值，具体包括：利用如下公式计算得到所述配置基线脆弱性分值：

其中，BL为所计算得到的配置基线脆弱性分值；F

于一实施例中，根据所述漏洞脆弱性分值和所述配置基线脆弱性分值，确定所述待评估网络资产的资产脆弱性分值，具体包括：

计算所述漏洞脆弱性分值和所述配置基线脆弱性分值的平均值或加权平均值，并将计算结果确定为所述待评估网络资产的资产脆弱性分值。

于一实施例中，预先设置有多个不同的资产风险等级，其中，各个不同的资产风险等级对应不同的资产风险值区间；以及，所述方法还包括：

确定所述待评估网络资产的资产风险值所属的目标资产风险值区间；

根据所述目标资产风险值区间，确定所述待评估网络资产所属的目标资产风险等级。

本申请实施例第二方面提供了一种网络资产的风险评估装置，包括：

分值确定单元，用于确定待评估网络资产的资产脆弱性分值、资产重要性分值和威胁发生可能性分值，其中，所述资产脆弱性分值用于表征所述待评估网络资产的资产脆弱性；所述资产重要性分值用于表征所述待评估网络资产的资产重要性；威胁发生可能性分值用于表征针对所述待评估网络资产的威胁发生的可能性；

资产风险值确定单元，用于根据所述资产脆弱性分值、所述资产重要性分值和所述威胁发生可能性分值，确定所述待评估网络资产的资产风险值，以评估所述待评估网络资产的风险

本申请实施例第三方面提供了一种电子设备，包括：

处理器；

用于存储处理器可执行指令的存储器；其中，所述处理器被配置为执行上述第一方面任一项所述的方法。

本申请实施例第四方面提供了一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序可由处理器执行以完成上述第一方面任一项所述的方法。

采用本申请实施例所提供的网络资产的风险评估方法，先确定待评估网络资产的资产脆弱性分值、资产重要性分值和威胁发生可能性分值，然后根据该资产脆弱性分值、该资产重要性分值和该威胁发生可能性分值，来确定该待评估网络资产的资产风险值，从而能够评估出该待评估网络资产的风险。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请一实施例提供的电子设备的具体结构示意图；

图2为本申请一实施例提供的，网络资产的风险评估方法的具体流程示意图；

图3为本申请一实施例提供的，确定威胁发生可能性分值的方法的具体流程示意图；

图4为本申请一实施例提供的，确定资产重要性分值的方法的具体流程示意图；

图5为本申请一实施例提供的，确定资产脆弱性分值的方法的具体流程示意图；

图6为本申请一实施例提供的，网络资产的风险评估装置的具体结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。在本申请的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性或先后顺序。

如前所述，在当前网络环境中，网络资产往往会面临各种风险，比如非法人员可能会利用恶意软件、漏洞、病毒等攻击手段，对网络资产进行攻击，以达到其非法目的。因此，通常需要对网络资产所面临的风险进行评估。

有鉴于此，本申请实施例提供了网络资产的风险评估方法、装置、电子设备和存储介质，能够用于相似字符序列的查询。如图1所示为本实施例所提供的一种电子设备1，该电子设备1包括：至少一个处理器11和存储器12，图1中以一个处理器为例。处理器11和存储器12可以通过总线10连接，存储器12存储有可被处理器11执行的指令，指令被处理器11执行，以使电子设备1可执行下述的实施例中方法的全部或部分流程。

在实际应用中，该电子设备1可以是笔记本电脑、台式电脑、或其组成的服务器、服务器集群等。于一实施例中，电子设备1作为服务器接收到用户的请求之后，对网络资产的风险进行评估。

为了便于理解，这里可以对本申请实施例所提供的网络资产风险评估方法的发明构思进行简单说明，本申请实施例所提供的方法，结合中华人民共和国国家标准GB/T20984-2007《信息安全技术—信息安全风险评估规范》一文，从风险资产的资产脆弱性、资产重要性和威胁发生可能性三个角度出发，对三者进行估值，并根据三者的分值最终得到网络资产的资产风险值，从而评估出该网络资产的风险。

如图2所示为本申请一实施例所提供的，网络资产的风险评估方法的流程示意图，该方法部分或全部步骤可由图1所示的电子设备1，作为服务器来执行，该方法包括如下步骤：

步骤S21：确定待评估网络资产的资产脆弱性分值、资产重要性分值和威胁发生可能性分值。

其中，结合中华人民共和国国家标准GB/T 20984-2007《信息安全技术—信息安全风险评估规范》一文，该资产脆弱性分值用于表征该待评估网络资产的资产脆弱性，比如该资产脆弱性分值越大，说明该待评估网络资产的资产脆弱性越高，反之，该资产脆弱性分值越小，说明该待评估网络资产的资产脆弱性越低；该资产重要性分值用于表征该待评估网络资产的资产重要性，比如该资产重要性分值越大，说明该待评估网络资产的资产重要性越高，反之，该资产重要性分值越小，说明该待评估网络资产的资产重要性越低；威胁发生可能性分值用于表征针对该待评估网络资产的威胁发生的可能性，比如威胁发生可能性分值越大，说明针对该待评估网络资产的威胁发生的可能性越高，反之，威胁发生可能性分值越小，说明针对该待评估网络资产的威胁发生的可能性越低。

其中，资产脆弱性是网络资产自身存在的固有特性，如果没有被相应的威胁所利用，资产脆弱性本身不会对网络资产造成损害，即威胁利用网络资产的资产脆弱性才能造成危害。

其中，该待评估网络资产可以为实际应用中，需要进行风险评估的任意一个网络资产，也可以为用户指定的某个指定网络资产。比如，可以接受用户请求，该用户请求携带指定网络资产的标识，然后根据该用户请求中指定网络资产的标识，将该指定网络资产作为待评估网络资产。当然，在实际应用中，当需要对多个网络资产分别进行风险评估时，还可以将该多个网络资产依次作为该待评估网络资产。

步骤S22：根据该资产脆弱性分值、该资产重要性分值和该威胁发生可能性分值，确定该待评估网络资产的资产风险值，以评估该待评估网络资产的风险。

在实际应用中，根据资产脆弱性分值、资产重要性分值和威胁发生可能性分值，确定资产风险值的方式可以有多种，比如第一种方式可以是先计算资产脆弱性分值和资产重要性分值之和或算数平均值，然后将计算结果乘以威胁发生可能性分值，从而计算出该资产风险值；第二种方式还可以是先计算资产脆弱性分值和资产重要性分值之积或几何平均值，然后将计算结果乘以威胁发生可能性分值，从而计算出该资产风险值。

第三种方式中，还可以通过如下的公式一，来计算该资产风险值：

在该公式一种，risk为所计算得到的资产风险值；Iv为该资产脆弱性分值；Im为资产重要性分值；P为威胁发生可能性分值；a和b分别为预设常数，并且a为正数，比如，在实际应用中，a可以为1，并且b可以为0。

采用上述的方式一来计算出的资产风险值，该资产风险值的大小通常会小于max{计算资产脆弱性分值，资产重要性分值}，因此所计算出的资产风险值可能会存在偏小的情况；因此，再需要精确计算出资产风险值的情况下，可以采用上述的方式二或方式三来计算出资产风险值。

另外，在通过上述的步骤S22确定出资产风险值之后，可以利用该资产风险值来评估该待评估网络资产的风险，比如，该资产风险值越大，说明该待评估网络资产的风险越高，反之，该资产风险值越小，说明该待评估网络资产的风险越低；通常还可以将所确定出的资产风险值与预设阈值进行比较，在该资产风险值大于预设阈值的情况下，说明该待评估网络资产的风险过高，可能存在导致该待评估网络资产贬值的威胁，此时该方法还可以包括：生成并发送预警信息，从而通过该预警信息告知相关人员，资产风险值过高。

另外，还可以预先设置多个不同的资产风险等级，各个不同的资产风险等级对应不同的资产风险值区间。这样，在通过上述步骤S22确定该待评估网络资产的资产风险值之后，可以进一步确定该待评估网络资产的资产风险值所属的目标资产风险值区间，然后根据该目标资产风险值区间，确定出与该目标资产风险值区间对应的资产风险等级，作为该待评估网络资产所属的目标资产风险等级。

采用本申请实施例所提供的网络资产的风险评估方法，先确定待评估网络资产的资产脆弱性分值、资产重要性分值和威胁发生可能性分值，然后根据该资产脆弱性分值、该资产重要性分值和该威胁发生可能性分值，来确定该待评估网络资产的资产风险值，从而能够评估出待评估网络资产的风险。

在上述的步骤S21中，可以结合图3所示的方法，来确定出待评估网络资产的威胁发生可能性分值，该方法包括如下步骤：

步骤S31：获取最近的一个统计周期内，该待评估网络资产的威胁日志数据，其中，各个威胁日志数据包括对应的危险等级评分。

其中，该危险等级评分用于表征对应威胁日志数据所涉及的威胁的危险等级。比如，根据实际需要，通常将威胁的危险等级划分为极高危、高危、中危、低危、信息等5个等级，各个危险等级分别对应不同的危险等级评分。比如，极高危的危险等级所对应的危险等级评分为s1，高危的危险等级所对应的危险等级评分为s2，中危的危险等级所对应的危险等级评分为s3，低危的危险等级所对应的危险等级评分为s4，信息的危险等级所对应的危险等级评分为s5。

该威胁日志数据通常是在该待评估网络资产受到威胁时所生成，并且记录有该威胁的基本信息，包括威胁来源端的IP地址、端口号，威胁的类型，威胁的影响范围等，因此能够根据威胁的基本信息来确定该威胁的危险等级，进而得到对应的危险等级评分，并使威胁日志数据携带该危险等级评分。因此，在该步骤S31中，可以获取最近的一个统计周期内，该待评估网络资产的威胁日志数据，并且各个威胁日志数据包括对应的危险等级评分。其中，该统计周期可以为1天、1周、10天、15天、30天或其他时间，这里对该统计周期的具体长短并不限定。

另外，考虑到待评估网络资产的威胁发生可能性分值的大小，可能会随时间而变化，为了准确确定出待评估网络资产最近的威胁发生可能性分值，在该步骤S31中，所获取的是最近的一个统计周期内，该待评估网络资产的威胁日志数据，比如获取的是最近1周，该待评估网络资产的威胁日志数据，这样该威胁日志数据的时效性更强，更能够反映出待评估网络资产最近的威胁发生可能性分值的大小。

步骤S32：根据各个威胁日志数据的危险等级评分，确定在最近的一个统计周期内，该待评估网络资产的总危险评分。

在上述步骤S31获取到最近的一个统计周期内，该待评估网络资产的威胁日志数据之后，由于各个威胁日志数据包括对应的危险等级评分，因此可以根据各个威胁日志数据的危险等级评分，确定在最近的一个统计周期内，该待评估网络资产的总危险评分，比如可以将各个威胁日志数据分别所对应的危险等级评分进行求和，或加权求和，从而将求和或加权求和的计算结果，作为在最近的一个统计周期内，该待评估网络资产的总危险评分待评估网络资产的总危险评分。

步骤S33：利用该总危险评分查询威胁发生可能性赋值表，以确定待评估网络资产的威胁发生可能性分值。

在通过上述的步骤S32确定出在最近的一个统计周期内，该待评估网络资产的总危险评分，在该步骤S33中，可以利用该总危险评分查询威胁发生可能性赋值表，从而确定出该待评估网络资产的威胁发生可能性分值。

如表1所示为实际应用中的一种威胁发生可能性赋值表，该威胁发生可能性赋值表包括危险评分范围字段和可能性赋值字段。

表1

根据该表1所示的威胁发生可能性赋值表，当总危险评分S∈[X1,+∞)时，相应的威胁发生可能性分值为P1，当总危险评分S∈[X2,X1)时，相应的威胁发生可能性分值为P2，当总危险评分S∈[X3,X2)时，相应的威胁发生可能性分值为P3，当总危险评分S∈[X4,X3)时，相应的威胁发生可能性分值为P4，当总危险评分S∈(-∞,X4)时，相应的威胁发生可能性分值为P5。

因此，在步骤步骤S33中，可以利用步骤S32中所确定出的总危险评分，查询该表1所示的威胁发生可能性赋值表，从而得到待评估网络资产的威胁发生可能性分值。

当然，在实际应用中，威胁发生可能性赋值表还可以是如表2所示，在该表2中，与上述的表1相比，增加了可能性等级字段，其他字段均与表1相同。其中，该可能性等级的枚举值可以包括极高、高、中、低和极低这5个等级，分别反映威胁发生的可能性为极高、高、中、低和极低。

表2

需要进一步说明的是，对于上述步骤S33中所提到的威胁发生可能性赋值表，在实际应用中，可以通过如下方式来预先生成：先获取最近的n个统计周期内，多个网络资产的威胁日志数据，其中，n为大于或等于2的正整数；比如，可以先获取最近的3个统计周期内，多个网络资产的威胁日志数据，这里的各个威胁日志数据也包括对应的危险等级评分。

然后根据同一网络资产在同一统计周期内的威胁日志数据划分为同一个分组的方式，将所获取的各个威胁日志数据划分为多个分组，比如，获取了最近的3个统计周期内，m个网络资产的威胁日志数据，此时将这些威胁日志数据划分为3m个分组，并且，相同分组中的威胁日志数据属于同一网络资产在同一统计周期内的威胁日志数据，不同分组中的威胁日志数据所属的网络资产不同或不属于同一统计周期。

在划分得到多个分组之后，针对各个分组，根据该分组中各个威胁日志数据的危险等级评分，确定该分组的总危险评分，比如针对该分组，将该分组中各个威胁日志数据的危险等级评分进行求和或加权求和，从而将求和或加权求和的计算结果作为该分组的总危险评分。

然后计算各个分组分别对应的总危险评分的多个统计学参数，该多个统计学参数比如可以包括数学期望μ和标准差σ等；然后进一步根据该多个统计学参数，生成威胁发生可能性赋值表。

比如，在该多个统计学参数比如可以包括数学期望和标准差的情况下，结合统计学规律，生成威胁发生可能性赋值表的方式可以是，将上述表1或表2中的X1设置为μ+2σ，X2设置为μ+σ，X3设置为μ-σ，X4设置为μ-2σ，从而得到所生成的威胁发生可能性赋值表。

在上述的步骤S21中，可以结合图4所示的方法，来确定出待评估网络资产的资产重要性分值，该方法包括如下步骤：

步骤S41：确定该待评估网络资产的保密性分值、完整性分值和可用性分值。

步骤S42：将该保密性分值、该完整性分值和该可用性分值加权求和，以得到待评估网络资产的资产重要性分值。

这里可以对上述的步骤S41和步骤S42进行统一说明。

其中，从保密性的角度来说，该待评估网络资产中所存放的关键数据越重要，其泄露后所造成损害的程度越大，则该保密性分值也越高。因此可以根据该待评估网络资产中所存放的关键数据泄漏后所造成损害的程度，来确定该保密性分值。比如，可以将该损害的程度查询如表3所示的保密性赋值表，从而确定出保密性分值。

表3

比如，对于待评估网络资产中所存放的关键数据，若包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性的影响，泄露后会造成灾难性的损害，则查询如表3所示的保密性赋值表后，得到的保密性分值为10；若该关键数据包含组织的一般性秘密，其泄露后会使组织的安全和利益受到损害，则查询如表3所示的保密性赋值表后，得到的保密性分值为6。

从待评估网络资产缺失时对整个组织影响的角度来说，能够根据该待评估网络资产缺失后，对业务处理所造成影响的程度，来确定该完整性分值。比如，可以根据该影响的程度来查询，如表4所示的完整性赋值表，从而确定出该完整性分值。

比如，对于待评估网络资产，若该待评估网络资产完整性价值非常关键，未经授权的修改或破坏(会导致缺失)会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补，则查询如表4所示的完整性赋值表，所确定出完整性分值为10。

表4

从待评估网络资产的可用性来说，通常能够通过可用度和中断时长来反映该待评估网络资产的可用性。因此，能够根据待评估网络资产的可用度和中断时长，确定该待评估网络资产的可用性分值，比如，利用待评估网络资产的可用度和中断时长，查询如图5所示的可用性赋值表，来确定该待评估网络资产的可用性分值。

表5

比如，若该待评估网络资产的可用度达到年度99.9％以上，并且系统没有出现中断，则可用性分值可以为10。其中，该可用度是度量系统性能好坏的指标之一，通常表示为任一时刻t系统处在正常状态的概率，因此可以通过统计历史数据或分析待评估网络资产当前运行参数等方式，来确定其可用度。

对于上述的步骤S42，在通过步骤S41确定出该待评估网络资产的保密性分值、完整性分值和可用性分值之后，可以进行加权求和，从而得到待评估网络资产的资产重要性分值。比如，利用公式二来计算得到该资产重要性分值。

Im＝Cω

在该公式二中，Im为所计算得到该资产重要性分值；C为待评估网络资产的保密性分值；I为待评估网络资产的完整性分值；A为待评估网络资产的可用性分值；ω

在上述的步骤S21中，可以结合图5所示的方法，来确定出待评估网络资产的资产脆弱性分值，该方法包括如下步骤：

步骤S51：确定待评估网络资产的漏洞脆弱性分值和配置基线脆弱性分值。

步骤S52：根据漏洞脆弱性分值和配置基线脆弱性分值，确定待评估网络资产的资产脆弱性分值。

在该待评估网络资产中可能存在漏洞，因此该漏洞脆弱性分值反映的是，这些漏洞导致该待评估网络资产的脆弱性高低，比如该漏洞脆弱性分值越大，说明这些漏洞导致该待评估网络资产的脆弱性高，反之，该漏洞脆弱性分值越小，说明这些漏洞导致该待评估网络资产的脆弱性低；配置基线脆弱性分值反映的是，该待评估网络资产中配置基线导致该待评估网络资产的脆弱性高低，比如该配置基线脆弱性分值越大，说明这些漏洞导致该待评估网络资产的脆弱性高，反之，该配置基线脆弱性分值越小，说明这些漏洞导致该待评估网络资产的脆弱性低。

在实际应用中，可以通过如下方式确定该待评估网络资产的漏洞脆弱性分值：先确定该待评估网络资产中所存在的漏洞，比如可以通过漏洞扫描工具对该待评估网络资产进行漏洞扫描，从而确定出该待评估网络资产中所存在的漏洞。

然后，根据预设漏洞评分标准，确定各个漏洞分别对应的漏洞危险分值和漏洞危险等级，比如该预设漏洞评分标准可以为国家信息安全漏洞库(CNNVD)的漏洞评分标准，根据该CNNVD的漏洞评分标准，可以从漏洞的可利用性、复杂度、影响程度等维度，来计算出漏洞对应的漏洞危险分值和漏洞危险等级，其中，根据该CNNVD的漏洞评分标准，该漏洞危险分值的取值范围为0～10之间，漏洞危险等级为低、中、高、极高4个等级。

在确定出各个漏洞分别对应的漏洞危险分值和漏洞危险等级之后，可以针对各个漏洞危险等级，根据该漏洞危险等级中漏洞的漏洞危险分值，计算该漏洞危险等级的脆弱性系数；然后，进一步根据各个漏洞危险等级的脆弱性系数，来确定出漏洞脆弱性分值。

比如，上述提到根据CNNVD的漏洞评分标准，漏洞危险等级具体包括低、中、高和极高，因此针对各个漏洞危险等级，通过如下公式计算各个漏洞危险等级的脆弱性系数。

在该公式三～公式六中，V′

并且对于漏洞i的漏洞权重值ω′

在上述漏洞危险等级具体包括低、中、高和极高的基础上，这里进一步设定漏洞危险等级为低的漏洞的漏洞危险分值属于[0，L1)，漏洞危险等级为中的漏洞的漏洞危险分值属于[L1，L2)，漏洞危险等级为高的漏洞的漏洞危险分值属于[L2，L3)，漏洞危险等级为极高的漏洞的漏洞危险分值属于[L3，L4]，其中，由于漏洞危险分值的取值范围为0～10，因此，该L4＝10；这样，当漏洞危险等级为低时，该漏洞危险等级的漏洞危险分值的上限值为L1，当漏洞危险等级为中时，该漏洞危险等级的漏洞危险分值的上限值为L2，当漏洞危险等级为高时，该漏洞危险等级的漏洞危险分值的上限值为L3，当漏洞危险等级为极高时，该漏洞危险等级的漏洞危险分值的上限值为10。

因此在通过上述的公式三～公式六计算出V′

在实际应用中，为了是使所得到的漏洞脆弱性分值更加准确，通常还可以对漏洞危险分值进行归一化，比如可以针对各个漏洞，根据该漏洞所属的漏洞危险等级以及该漏洞危险等级中漏洞危险分值的上限值，对漏洞的漏洞危险分值进行归一化，从而得到该漏洞归一化后的漏洞危险分值。

比如，对于漏洞危险等级为低的漏洞，

这样，针对各个漏洞危险等级，根据所述漏洞危险等级中漏洞的漏洞危险分值，计算所述漏洞危险等级的脆弱性系数，可以具体是，针对各个漏洞危险等级，根据该漏洞危险等级中漏洞归一化后的漏洞危险分值，计算该漏洞危险等级的脆弱性系数。漏洞危险等级分别为低、中、高和极高，针对该各个漏洞危险等级，可以通过如下公式计算各个漏洞危险等级的脆弱性系数。

再改公式七～公式十中，V

在通过上述的公式七～公式十计算出V

在实际应用中，可以通过如下方式确定待评估网络资产的配置基线脆弱性分值：先通过基线扫描工具对该待评估网络资产进行基线扫描，以确定该待评估网络资产中各个基线检测项的合规性类型和危险程度类型，其中，合规性类型可以具体包括合规、不合规和扫描失败，并且各个合规性类型分别对应相应的合规性权重和合规性编码值；危险程度类型可以具体包括一般、低危、中危和高危，并且各个危险程度类型分别对应相应的危险程度权重和危险程度编码值。

比如，合规所对应的合规性权重可以为ωf

然后，根据各个基线检测项合规性类型所对应的合规性权重和合规性

编码值，以及各个基线检测项危险程度类型所对应的危险程度权重和危险5程度编码值，确定该配置基线脆弱性分值，具体来说，可以利用如下公式十

一来计算得到该配置基线脆弱性分值：

在该公式十一中，BL为所计算得到的配置基线脆弱性分值；F

为根据各个基线检测项合规性类型所对应的合规性权重，所生成矩阵的转置矩阵；S

在通过上述的步骤计算出漏洞脆弱性分值和配置基线脆弱性分值，在上述步骤S52中，可以根据该漏洞脆弱性分值和该配置基线脆弱性分值，来确定出待评估网络资产的资产脆弱性分值，比如可以先计算该漏洞脆弱性分值和该配置基线脆弱性分值的平均值或加权平均值，并将计算结果确定为该待评估网络资产的资产脆弱性分值。比如，可以通过公式十二来计算得到该待评估网络资产的资产脆弱性分值。

Iv＝μ

在该公式十二中，BL为配置基线脆弱性分值；V为漏洞脆弱性分值μ

基于与本申请实施例所提供的，网络资产的风险评估方法相同的发明构思，本申请实施例还提供了一种网络资产的风险评估装置，对于该装置实施例，如有不清楚之处，可以参考方法实施例的相应内容。如图6所示为装置60的具体结构示意图，该装置60包括分值确定单元601和资产风险值确定单元602，其中：

分值确定单元601，用于确定待评估网络资产的资产脆弱性分值、资产重要性分值和威胁发生可能性分值，其中，所述资产脆弱性分值用于表征所述待评估网络资产的资产脆弱性；所述资产重要性分值用于表征所述待评估网络资产的资产重要性；威胁发生可能性分值用于表征针对所述待评估网络资产的威胁发生的可能性；

资产风险值确定单元602，用于根据所述资产脆弱性分值、所述资产重要性分值和所述威胁发生可能性分值，确定所述待评估网络资产的资产风险值，以评估所述待评估网络资产的风险。

采用本申请实施例所提供的装置60，由于该装置60采用与本申请实施例所提供的，网络资产的风险评估方法相同的发明构思，在该方法能够解决技术问题的前提下，该装置60也能够解决技术问题，这里对此不再赘述。

另外，在实际应用中，通过将该装置60与具体硬件设备相结合所取得的技术效果，也在本申请的保护范围之内，比如采用分布式集群的方式将该装置60中的不同单元布设于分布式集群中的不同节点中，从而进一步提高处理效率等；或，结合云技术以降低成本等。

本发明实施例还提供了一种计算机可读存储介质，该存储介质储有计算机程序，该计算机程序可由处理器执行，以完成上述实施例中方法的全部或部分流程。其中，存储介质可为磁盘、光盘、只读存储记忆体(Read-Only Memory，ROM)、随机存储记忆体(RandomAccess Memory，RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive，缩写：HDD)或固态硬盘(Solid-State Drive，SSD)等。存储介质还可以包括上述种类的存储器的组合。

虽然结合附图描述了本发明的实施例，但是本领域技术人员可以在不脱离本发明的精神和范围的情况下作出各种修改和变型，这样的修改和变型均落入由所附权利要求所限定的范围之内。