[发明专利]基于节点权重的网络安全评估方法

说明书

技术领域

本发明属于网络安全评估技术领域，具体涉及基于节点权重的网络安全评估方法。

背景技术

随着网络技术的发展，网络信息系统也成为了企业和组织日常工作中必不可少的工具和基础设施，各种应用和新业务的不断涌现，产生了巨大的经济效益。与此同时，各种网络安全事件的频发也成为了当前社会的关注焦点。2015年，国家网络应急中心共接收境内外报告的网络安全事件126916起，较2014年增长了125.9％。其中，境内报告的网络安全事件126424起，较2014年增长了128.6％。各种安全事件是黑客利用各种软硬件以及企业组织管理中存在的漏洞实施的攻击。到2016年底中国国家漏洞库中已有漏洞信息8万多条。通过安装各类补丁、杀毒软件、入侵检测系统以及防火墙等设备虽然能降低各类安全事件的发生概率，但无法让企业和组织整体把握安全状态和面临安全威胁，做到有目的进行安全防护。因此信息安全评估技术成为了处理这类问题的重要手段。

从评估的对象上来看，目前大多数评估方法围绕的核心是企业或组织的资产。各类资产对象包括硬件设备、信息数据甚至工作操作手册等。资产的漏洞的产生源于设计思想不完善，抑或是与所组成的系统的匹配程度上出现的问题。这些漏洞对应一些列威胁，这将导致将风险引入到系统当中。因此目前的信息安全风险评估技术重点是分析各类资产上的漏洞，并根据漏洞带来的风险来进行评估。按照评估对象的不同，评估方法可分为针对资产、业务和服务三大类。

图1显示了针对资产进行评估的基本方法，主要是将组织内部的各种资产进行分解，再寻找漏洞以及对应的威胁，最后实现评估。该类方法是采用最多的评估方法。

图2显示了针对业务进行评估的基本方法，该类方法首先要确定业务的价值程度，价值程度不同的业务所含的资产的重要程度也不同，并且各个业务之间还存在一定的关联关系，会间接影响到最终的评估结果。Khanmohammadi就提出这样的一种评估方法，该方法从业务的目标出发，考虑业务流程的关键性、角色以及重要程度来实现综合的风险评估。

图3显示的是基于服务的评估方法的过程，几个服务可能公用一部分设备和资产，因此在评估过程中要考虑服务之间的增值的可能性。Dengfeng提出的SRQC就是一种基于服务的评估方法，主要针对NGN所提供的的服务并考虑服务之间的关系对系统进行评估。从本质上来看，基于业务和基于服务的评估方法有类似的处理方法，即在基于资产的评估过程中加入业务层和服务层，使不同的资产能体现出其在整个评估过程中的作用。

网络信息系统作为现代的信息系统之一，以上风险评估方法也对其适用。但网络信息系统是由多种资产构成的，不同的资产在系统当中承担的角色不同，重要性也因此不同。重要性高的资产的漏洞可能也会带来更大的风险。本申请的研究工作就是根据网络系统中不同资产的权重实现对系统的整体风险评估。

发明内容

为克服上述现有技术的不足，本发明的目的是提供基于节点权重的网络安全评估方法，具有评估方法简单、有效和可行、易推广的特点。

为实现上述目的，本发明采用的技术方案是：基于节点权重的网络安全评估方法，包括以下步骤：

一、资产的风险分析，具体做法是：

首先，查找漏洞，将一个资产的多个漏洞按照漏洞来源、漏洞代码和风险等级列表；

其次，资产的风险值的计算，漏洞风险集合中最大风险值表示当前资产的风险值。当一个资产面临多种风险时，该方法能有效表达出资产面临的最大可能损失；采用最大漏洞风险值来表示资产的综合漏洞，表示方法可用式2.2表示：

Risk(A)＝MAX(R) (2.2)

式中：Rsik是一个函数，计算一个资产A的风险值，资产A有若干个漏洞，每个漏洞对应一个风险值，这些风险值组成一个数组或者是向量R，里面的每个分量代表一个漏洞风险值；MAX是取最大函数，求R里面最大分量的值，用这个值代表A的风险值；如资产A为一个房间，漏洞有1)没有上锁，风险值90；2)没有关窗子，风险值80；3)没有关电源，风险值50；则该房间A的风险值是90；

二、基于节点权重的风险评估，采用针对不同的资产结合权重进行整体网络信息系统的风险评估，具体做法是：

对于一个网络信息系统NW，可设为一个网络中节点的集合，即

NW＝{node₁,node₂,...,node_n}