网络安全漏洞风险评估方法、装置及存储介质

技术领域

本发明属于网络安全技术领域，具体涉及一种网络安全漏洞风险评估方法、装置及存储介质。

背景技术

随着计算机网络的广泛使用，网络安全漏洞也成为网络信息安全事件和信息泄露的主要原因之一，为提高网络安全，通常会对网络安全漏洞的风险进行评估，并根据评估结果采取相应的漏洞整改措施。

目前，对于网络安全漏洞的风险评估，主要是依托网络安全漏洞管理规范和通用漏洞评分系统(Common Vulnerability Scoring System，CVSS)，这两个标准的最新版本虽然也考虑了业务的因素，但作为通用的标准，无法结合到用户的实际业务，最后的评分还是主要关注漏洞的技术评级，弱化了业务环境，因此通用的评分在用户漏洞整改工作中，只能作为一个参考数值，其并不能够对网络安全漏洞的风险进行准确评估。

发明内容

本发明的目的是提供一种网络安全漏洞风险评估方法、装置及存储介质，用以解决现有技术中存在的上述问题。

为了实现上述目的，本发明采用以下技术方案：

第一方面，本发明提供了一种网络安全漏洞风险评估方法，用于对网络安全漏洞的风险程度进行评估，包括：

获取多个网络安全漏洞中每个网络安全漏洞的漏洞暴露度参数，以及每个网络安全漏洞所在的资产中与资产重要程度相关的资产重要度参数；

基于每个网络安全漏洞的漏洞暴露度参数以及漏洞暴露度参数的评分标准，确定出与每个网络安全漏洞对应的暴露度参数评分；

基于每个网络安全漏洞所在的资产中与资产重要程度相关的资产重要度参数，以及资产重要度参数的评分标准，确定出每个网络安全漏洞所在的资产所对应的资产重要度评分；

基于与每个网络安全漏洞对应的暴露度参数评分、每个网络安全漏洞所在的资产所对应的资产重要度评分以及依据网络安全漏洞评分标准所确定出的每个网络安全漏洞的漏洞基础评分，确定出多个网络安全漏洞中每个网络安全漏洞的综合风险评分，以便基于多个网络安全漏洞中每个网络安全漏洞的综合风险评分确定出所述多个网络安全漏洞中各网络安全漏洞的漏洞修复优先级。

在一个可能的设计中，获取每个网络安全漏洞所在的资产中与资产重要程度相关的资产重要度参数，包括：

解析每个网络安全漏洞所在的资产的资产台账，得到每个网络安全漏洞所在的资产中与资产重要程度相关的资产重要度参数。

在一个可能的设计中，所述漏洞暴露度参数包括漏洞发布天数、是否存在漏洞被公开利用事件、POC/EXP获取难易度、POC/EXP使用难易度、漏洞所处阶段、漏洞是否有补丁、漏洞修复难易程度、漏洞影响范围和/或漏洞来源。

在一个可能的设计中，所述资产重要度参数包括资产是否与其他资产间有访问关系、资产类型、资产所承载的业务类型、资产中是否涉及个人敏感信息、资产允许的访问方式和/或资产部署位置。

在一个可能的设计中，所述基于每个网络安全漏洞的漏洞暴露度参数以及漏洞暴露度参数的评分标准，确定出与每个网络安全漏洞对应的暴露度参数评分，包括：

基于每个网络安全漏洞的漏洞暴露度参数以及漏洞暴露度参数的评分标准，确定出每个网络安全漏洞的漏洞暴露度参数中各项参数的参数得分；

对每个网络安全漏洞的漏洞暴露度参数中各项参数的参数得分求和后向上舍入运算，得到每个网络安全漏洞对应的暴露度参数评分；

所述基于每个网络安全漏洞所在的资产中与资产重要程度相关的资产重要度参数，以及资产重要度参数的评分标准，确定出每个网络安全漏洞所在的资产所对应的资产重要度评分，包括：

基于每个网络安全漏洞所在的资产中与资产重要程度相关的资产重要度参数，以及资产重要度参数的评分标准，确定出每个网络安全漏洞所在资产的资产重要度参数中各项参数的参数得分；

对每个网络安全漏洞所在资产的资产重要度参数中各项参数的参数得分求和后向上舍入运算，得到每个网络安全漏洞所在的资产所对应的资产重要度评分。

在一个可能的设计中，网络安全漏洞的综合风险评分为

在一个可能的设计中，所述网络安全漏洞评分标准采用通用漏洞评分系统CVSS的评分标准。

第二方面，本发明提供了一种网络安全漏洞风险评估装置，用于对网络安全漏洞的风险程度进行评估，包括：

获取单元，用于获取多个网络安全漏洞中每个网络安全漏洞的漏洞暴露度参数，以及每个网络安全漏洞所在的资产中与资产重要程度相关的资产重要度参数；

第一确定单元，用于基于每个网络安全漏洞的漏洞暴露度参数以及漏洞暴露度参数的评分标准，确定出与每个网络安全漏洞对应的暴露度参数评分；

第二确定单元，用于基于每个网络安全漏洞所在的资产中与资产重要程度相关的资产重要度参数，以及资产重要度参数的评分标准，确定出每个网络安全漏洞所在的资产所对应的资产重要度评分；

第三确定单元，用于基于与每个网络安全漏洞对应的暴露度参数评分、每个网络安全漏洞所在的资产所对应的资产重要度评分以及依据网络安全漏洞评分标准所确定出的每个网络安全漏洞的漏洞基础评分，确定出多个网络安全漏洞中每个网络安全漏洞的综合风险评分，以便基于多个网络安全漏洞中每个网络安全漏洞的综合风险评分确定出所述多个网络安全漏洞中各网络安全漏洞的漏洞修复优先级。

第三方面，本发明提供了一种网络安全漏洞风险评估装置，包括依次通信相连的存储器、处理器和收发器，其中，所述存储器用于存储计算机程序，所述收发器用于收发消息，所述处理器用于读取所述计算机程序，执行如上述第一方面所述的网络安全漏洞风险评估方法。

第四方面，本发明提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有指令，当所述指令在计算机上运行时，执行第一方面所述的网络安全漏洞风险评估方法。

第五方面，本发明提供了一种包含指令的计算机程序产品，当所述指令在计算机上运行时，使所述计算机执行如第一方面所述的网络安全漏洞风险评估方法。

有益效果：

本发明提供的网络安全漏洞风险评估方案，通过获取多个网络安全漏洞中每个网络安全漏洞的漏洞暴露度参数，以及每个网络安全漏洞所在的资产中与资产重要程度相关的资产重要度参数；基于每个网络安全漏洞的漏洞暴露度参数以及漏洞暴露度参数的评分标准，确定出与每个网络安全漏洞对应的暴露度参数评分；基于每个网络安全漏洞所在的资产中与资产重要程度相关的资产重要度参数，以及资产重要度参数的评分标准，确定出每个网络安全漏洞所在的资产所对应的资产重要度评分；最后基于与每个网络安全漏洞对应的暴露度参数评分、每个网络安全漏洞所在的资产所对应的资产重要度评分以及依据网络安全漏洞评分标准所确定出的每个网络安全漏洞的漏洞基础评分，确定出多个网络安全漏洞中每个网络安全漏洞的综合风险评分，以便基于多个网络安全漏洞中每个网络安全漏洞的综合风险评分确定出多个网络安全漏洞中各网络安全漏洞的漏洞修复优先级。如此，在对网络安全漏洞的风险进行评估时，能够在通用的基于漏洞严重性的技术评分基础上，充分考虑到漏洞暴露度以及网络安全漏洞所在资产的资产重要性等因素，所评估出的网络安全漏洞的风险评分综合考虑到了业务环境，更能准确反映网络安全漏洞的实际风险程度，在实际的漏洞整改工作中能够为漏洞整改工作提供有效的指导，降低网络安全漏洞可能造成的影响。

附图说明

图1为本申请实施例提供的网络安全漏洞风险评估方法的流程图；

图2为本申请实施例提供的网络安全漏洞风险评估装置的结构示意图；

图3为本申请实施例提供的另一网络安全漏洞风险评估装置的结构示意图。

具体实施方式

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将结合附图和实施例或现有技术的描述对本发明作简单地介绍，显而易见地，下面关于附图结构的描述仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在此需要说明的是，对于这些实施例方式的说明用于帮助理解本发明，但并不构成对本发明的限定。

应当理解，尽管本文可能使用术语第一、第二等等来描述各种单元，但是这些单元不应当受到这些术语的限制。这些术语仅用于区分一个单元和另一个单元。例如可以将第一单元称作第二单元,并且类似地可以将第二单元称作第一单元，同时不脱离本发明的示例实施例的范围。

应当理解，对于本文中可能出现的术语“和/或”，其仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，单独存在B，同时存在A和B三种情况；对于本文中可能出现的术语“/和”，其是描述另一种关联对象关系，表示可以存在两种关系，例如，A/和B，可以表示：单独存在A，单独存在A和B两种情况；另外，对于本文中可能出现的字符“/”，一般表示前后关联对象是一种“或”关系。

为了能够对网络安全漏洞的风险进行准确评估，本申请实施例提供了一种网络安全漏洞风险评估方法、装置及存储介质，该网络安全漏洞风险评估方法、装置及存储介质能够在通用的基于漏洞严重性的技术评分基础上，充分考虑到漏洞暴露度以及网络安全漏洞所在资产的资产重要性等因素，更能准确反映网络安全漏洞的实际风险程度，可在实际的漏洞整改工作中能够为漏洞整改工作提供有效的指导。

本申请实施例提供的网络安全漏洞风险评估方法可应用于服务器或用户终端，可以理解，所述执行主体并不构成对本申请实施例的限定。

下面将对本申请实施例提供的网络安全漏洞风险评估方法进行详细说明。

如图1所示，本实施例第一方面提供了一种网络安全漏洞风险评估方法，该网络安全漏洞风险评估方法可以包括如下步骤。

步骤S101.获取多个网络安全漏洞中每个网络安全漏洞的漏洞暴露度参数，以及每个网络安全漏洞所在的资产中与资产重要程度相关的资产重要度参数。

其中，所述多个网络安全漏洞可以位于相同或不同的资产中，资产可以是指计算机网络中的各种软硬件设备，例如操作系统、中间件、数据库、开源组件、安全设备(如防火墙)以及网络设备等。

网络安全漏洞的漏洞暴露度参数可以但不限于漏洞发布天数、是否存在漏洞被公开利用事件、POC(Proof of Concept)/EXP(Exploit)获取难易度、POC/EXP使用难易度、漏洞所处阶段、漏洞是否有补丁、漏洞修复难易程度、漏洞影响范围和/或漏洞来源。本申请实施例中，网络安全漏洞的漏洞暴露度参数包括漏洞发布天数、是否存在漏洞被公开利用事件、POC/EXP获取难易度、POC/EXP使用难易度、漏洞所处阶段、漏洞是否有补丁、漏洞修复难易程度、漏洞影响范围和漏洞来源。

其中，漏洞发布天数可以从漏洞揭露平台获取到，是否存在漏洞被公开利用事件可以从漏洞揭露平台或漏洞相关的专业论坛获取到，POC/EXP获取难易度和POC/EXP使用难易度可以从资产厂商或漏洞相关的专业论坛获取到，漏洞所处阶段可从漏洞相关的专业论坛获取到，如漏洞属于0day漏洞(即漏洞被发现，但尚未公开)或1day漏洞(即漏洞被公开，但尚未发布修复补丁)，漏洞是否有补丁、漏洞修复难易程度和漏洞影响范围等可以从漏洞揭露平台或资产厂商获取到，漏洞来源可以从漏洞揭露平台、通过扫描或上级主管单位通知获取到。

网络安全漏洞所在的资产中与资产重要程度相关的资产重要度参数可以但不限于资产是否与其他资产间有访问关系、资产类型、资产所承载的业务类型、资产中是否涉及个人敏感信息、资产允许的访问方式和/或资产部署位置。本申请实施例中，资产重要度参数包括资产是否与其他资产间有访问关系、资产类型、资产所承载的业务类型、资产中是否涉及个人敏感信息、资产允许的访问方式和资产部署位置。在获取资产重要度参数时，可通过解析每个网络安全漏洞所在的资产的资产台账，得到每个网络安全漏洞所在的资产中与资产重要程度相关的资产重要度参数。

可以理解的，上述漏洞暴露度参数中的多项参数以及资产重要度参数的多项参数仅仅是举例说明，在其他的一些实施例中，漏洞暴露度参数和资产重要度参数中还可以包括其他参数。

另外需要说明的是，本申请实施例中，在不同资产上同一类型的网络安全漏洞也可以别被认为是不同的网络安全漏洞。

步骤S102.基于每个网络安全漏洞的漏洞暴露度参数以及漏洞暴露度参数的评分标准，确定出与每个网络安全漏洞对应的暴露度参数评分。

具体的，确定每个网络安全漏洞对应的暴露度参数评分可以但不限于包括如下步骤S1021-S1022。

步骤S1021.基于每个网络安全漏洞的漏洞暴露度参数以及漏洞暴露度参数的评分标准，确定出每个网络安全漏洞的漏洞暴露度参数中各项参数的参数得分。

本申请实施例中，网络安全漏洞的漏洞暴露度参数中包括多项参数(如漏洞发布天数、是否存在漏洞被公开利用事件、POC/EXP获取难易度、POC/EXP使用难易度、漏洞所处阶段、漏洞是否有补丁、漏洞修复难易程度、漏洞影响范围和漏洞来源)，并针对每项参数对应设置有相应的评分标准，在确定每个网络安全漏洞对应的暴露度参数评分时，可以先基于每个网络安全漏洞的漏洞暴露度参数以及漏洞暴露度参数的评分标准，确定出每个网络安全漏洞的漏洞暴露度参数中各项参数的参数得分。

例如，针对否存在漏洞被公开利用事件这一项参数，若该项参数表征存在漏洞被公开利用事件，则该项参数的参数得分可以取0.77，若该项参数表征不存在漏洞被公开利用事件，则该项参数的参数得分可以取0.44。又例如，针对漏洞是否有补丁这一项参数，若该项参数表征有补丁，则该项参数的参数得分可以取0.50，若该项参数表征无补丁，则该项参数的参数得分可以取0.95。

步骤S1022.对每个网络安全漏洞的漏洞暴露度参数中各项参数的参数得分求和后向上舍入运算，得到每个网络安全漏洞对应的暴露度参数评分。

步骤S103.基于每个网络安全漏洞所在的资产中与资产重要程度相关的资产重要度参数，以及资产重要度参数的评分标准，确定出每个网络安全漏洞所在的资产所对应的资产重要度评分。

具体的，确定每个网络安全漏洞所在的资产所对应的资产重要度评分可以但不限于包括如下步骤S1031-S1032。

步骤S1031.基于每个网络安全漏洞所在的资产中与资产重要程度相关的资产重要度参数，以及资产重要度参数的评分标准，确定出每个网络安全漏洞所在资产的资产重要度参数中各项参数的参数得分。

资产重要度参数中包括多项参数(如资产是否与其他资产间有访问关系、资产类型、资产所承载的业务类型、资产中是否涉及个人敏感信息、资产允许的访问方式和资产部署位置)，同样的，可针对每项参数对应设置有相应的评分标准，在确定网络安全漏洞所在资产的资产重要度参数中各项参数的参数得分时，可基于每个网络安全漏洞所在的资产中与资产重要程度相关的资产重要度参数，以及资产重要度参数的评分标准，确定出每个网络安全漏洞所在资产的资产重要度参数中各项参数的参数得分。其过程与确定漏洞暴露度参数中各项参数的参数得分的过程一致，于此不再举例说明。

步骤S1032.对每个网络安全漏洞所在资产的资产重要度参数中各项参数的参数得分求和后向上舍入运算，得到每个网络安全漏洞所在的资产所对应的资产重要度评分。

步骤S104.基于与每个网络安全漏洞对应的暴露度参数评分、每个网络安全漏洞所在的资产所对应的资产重要度评分以及依据网络安全漏洞评分标准所确定出的每个网络安全漏洞的漏洞基础评分，确定出多个网络安全漏洞中每个网络安全漏洞的综合风险评分。

其中，网络安全漏洞评分标准可以是但不限于通用漏洞评分系统CVSS的评分标准或网络安全漏洞管理规范的评分标准。

根据网络安全漏洞评分标准，可以确定出的每个网络安全漏洞的漏洞基础评分，其具体过程可以参考现有的网络安全漏洞评分标准(如通用漏洞评分系统CVSS的评分标准或网络安全漏洞管理规范的评分标准)，本申请实施例中不再具体说明。

在确定出每个网络安全漏洞对应的暴露度参数评分、每个网络安全漏洞所在的资产所对应的资产重要度评分以及依每个网络安全漏洞的漏洞基础评分之后，可根据每个网络安全漏洞对应的暴露度参数评分、资产重要度评分以及漏洞基础评分，确定出多个网络安全漏洞中每个网络安全漏洞的综合风险评分。

网络安全漏洞的综合风险评分与网络安全漏洞对应的暴露度参数评分、资产重要度评分以及漏洞基础评分正相关，例如可以对网络安全漏洞对应的暴露度参数评分、资产重要度评分以及漏洞基础评分进行加权运算得到网络安全漏洞的综合风险评分，也可以直接对网络安全漏洞对应的暴露度参数评分、资产重要度评分以及漏洞基础评分进行求和运算得到网络安全漏洞的综合风险评分。

本申请实施例中，通过对网络安全漏洞对应的暴露度参数评分、资产重要度评分以及漏洞基础评分进行求和后向上舍入运算，得到网络安全漏洞的综合风险评分。网络安全漏洞的综合风险评分可表示为

在确定出多个网络安全漏洞中每个网络安全漏洞的综合风险评分后，可以基于多个网络安全漏洞中每个网络安全漏洞的综合风险评分确定出多个网络安全漏洞中各网络安全漏洞的漏洞修复优先级，其中综合风险评分越高的网络安全漏洞所对应的漏洞修复优先级越高。

综上，本发明提供的网络安全漏洞风险评估方法，通过获取多个网络安全漏洞中每个网络安全漏洞的漏洞暴露度参数，以及每个网络安全漏洞所在的资产中与资产重要程度相关的资产重要度参数；基于每个网络安全漏洞的漏洞暴露度参数以及漏洞暴露度参数的评分标准，确定出与每个网络安全漏洞对应的暴露度参数评分；基于每个网络安全漏洞所在的资产中与资产重要程度相关的资产重要度参数，以及资产重要度参数的评分标准，确定出每个网络安全漏洞所在的资产所对应的资产重要度评分；最后基于与每个网络安全漏洞对应的暴露度参数评分、每个网络安全漏洞所在的资产所对应的资产重要度评分以及依据网络安全漏洞评分标准所确定出的每个网络安全漏洞的漏洞基础评分，确定出多个网络安全漏洞中每个网络安全漏洞的综合风险评分，以便基于多个网络安全漏洞中每个网络安全漏洞的综合风险评分确定出多个网络安全漏洞中各网络安全漏洞的漏洞修复优先级。如此，在对网络安全漏洞的风险进行评估时，能够在通用的基于漏洞严重性的技术评分基础上，充分考虑到漏洞暴露度以及网络安全漏洞所在资产的资产重要性等因素，所评估出的网络安全漏洞的风险评分综合考虑到了业务环境，更能准确反映网络安全漏洞的实际风险程度，在实际的漏洞整改工作中能够为漏洞整改工作提供有效的指导，降低网络安全漏洞可能造成的影响。同时，还可以促进安全管理部门和业务部门之间履行一致性的安全策略实现双赢，有利于网络安全管理部门和业务部门履行好各自的网络安全职能。

请参阅图2，本申请实施例第二方面提供了一种网络安全漏洞风险评估装置，该网络安全漏洞风险评估装置包括：

获取单元，用于获取多个网络安全漏洞中每个网络安全漏洞的漏洞暴露度参数，以及每个网络安全漏洞所在的资产中与资产重要程度相关的资产重要度参数；

第一确定单元，用于基于每个网络安全漏洞的漏洞暴露度参数以及漏洞暴露度参数的评分标准，确定出与每个网络安全漏洞对应的暴露度参数评分；

第二确定单元，用于基于每个网络安全漏洞所在的资产中与资产重要程度相关的资产重要度参数，以及资产重要度参数的评分标准，确定出每个网络安全漏洞所在的资产所对应的资产重要度评分；

第三确定单元，用于基于与每个网络安全漏洞对应的暴露度参数评分、每个网络安全漏洞所在的资产所对应的资产重要度评分以及依据网络安全漏洞评分标准所确定出的每个网络安全漏洞的漏洞基础评分，确定出多个网络安全漏洞中每个网络安全漏洞的综合风险评分，以便基于多个网络安全漏洞中每个网络安全漏洞的综合风险评分确定出所述多个网络安全漏洞中各网络安全漏洞的漏洞修复优先级。

本实施例第二方面提供的装置的工作过程、工作细节和技术效果，可以参见实施例第一方面，于此不再赘述。

如图3所示，本申请实施例第三方面提供了另一种网络安全漏洞风险评估装置，包括依次通信相连的存储器、处理器和收发器，其中，所述存储器用于存储计算机程序，所述收发器用于收发消息，所述处理器用于读取所述计算机程序，执行如实施例第一方面所述的网络安全漏洞风险评估方法。

具体举例的，所述存储器可以但不限于包括随机存取存储器(RAM)、只读存储器(ROM)、闪存(Flash Memory)、先进先出存储器(FIFO)和/或先进后出存储器(FILO)等等；所述处理器可以不限于采用型号为STM32F105系列的微处理器、ARM(Advanced RISCMachines)、X86等架构处理器或集成NPU(neural-network processing units)的处理器；所述收发器可以但不限于为WiFi(无线保真)无线收发器、蓝牙无线收发器、通用分组无线服务技术(General Packet Radio Service，GPRS)无线收发器、紫蜂协议(基于IEEE802.15.4标准的低功耗局域网协议，ZigBee)无线收发器、3G收发器、4G收发器和/或5G收发器等。

本实施例第四方面提供了一种存储包含有实施例第一方面所述的网络安全漏洞风险评估方法的指令的计算机可读存储介质，即所述计算机可读存储介质上存储有指令，当所述指令在计算机上运行时，执行如第一方面所述的网络安全漏洞风险评估方法。其中，所述计算机可读存储介质是指存储数据的载体，可以但不限于包括软盘、光盘、硬盘、闪存、优盘和/或记忆棒(Memory Stick)等，所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。

本实施例第五方面提供了一种包含指令的计算机程序产品，当所述指令在计算机上运行时，使所述计算机执行如实施例第一方面所述的网络安全漏洞风险评估方法，其中，所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。

应当理解，在下面的描述中提供了特定的细节,以便于对示例实施例的完全理解。然而，本领域普通技术人员应当理解可以在没有这些特定细节的情况下实现示例实施例。例如可以在框图中示出系统，以避免用不必要的细节来使得示例不清楚。在其他实例中，可以不以不必要的细节来示出众所周知的过程、结构和技术，以避免使得示例实施例不清。

最后应说明的是：以上所述仅为本发明的优选实施例而已，并不用于限制本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。