[发明专利]一种风险自动化评估预测方法及终端

说明书

本发明公开了一种风险自动化评估预测方法及终端，获取待预测设备的资产指纹信息，能够从资产指纹信息中计算出对应的资产以及该资产的关联资产，及其脆弱性可利用程度，从而准确且全面地识别到设备中所有可能被黑客利用的资产；通过评估访问控制策略和访问口令来计算资产的访问保护脆弱性，能够从常规风险攻击时最经常利用的弱点入手进行访问保护脆弱性评估，提高风险评估预测的准确性；通过评估资产合规配置以及资产漏洞，能够更全面准确地进行风险评估预测；因此，本发明能够对设备中的资产进行风险评估预测，实现了细颗粒度的资产风险评估预测，提高了风险评估预测的准确性与全面性。

技术领域

本发明涉及设备风险评估预测技术领域，特别涉及一种风险自动化评估预测方法及终端。

背景技术

请参照图1，目前在ISO27001的风险评估预测方法里，常用的风险评估预测流程为：

1.资产识别：通过资产识别进行资产清点，获取基于安全方面的资产价值，得出资产综合安全价值，生成资产清单；

2.威胁评估预测：识别出可能对需要保护的资产会产生破坏影响的因素，生成威胁清单；

3.脆弱性评估预测：管理弱点为评估对象相关的策略或者管理流程方面的弱点，技术弱点包括技术设计与实现缺陷、参数配置等方面的弱点，生成脆弱性清单；

4.风险评价：风险指的是资产中具有威胁的弱点会产生的风险，根据检测到的风险生成风险清单。

传统的风险评估预测中，在资产识别、威胁评估预测、脆弱性评估预测等方面，理论指导均非常完整，但是面临大量资产时，风险评估预测在具体操作时实践性不够、量化效果不佳：一般的风险评估预测中，主机安全被笼统地归纳为操作系统安全，把整个操作系统看作一个整体进行风险评估预测；应用安全把整个应用系统，例如数据库、中间件等，当作一个整体进行风险评估预测，因此目前风险评估预测、等级保护评估预测均是大颗粒度地进行处理。

此外，目前的漏洞公告，或者是大颗粒度的，例如：漏洞CVE-2021-34527，一个Windows Print Spooler 服务的漏洞，其检测规则没有具体到Print Spooler，而是针对Windows这个大颗粒度资产来制定的；或者具体到组件，缺乏资产信息，例如漏洞CVE-2021-3450，是一个openssl组件的漏洞，其检测规则仅限于openssl本身和部分可能使用此组件的资产，而漏洞检测的目标是检测到真实使用此openssl组件的资产，由于缺乏足够的资产信息和资产与组件的关联信息，所以，难以准确检测到受此漏洞影响的资产。

现有的资产识别通常是使用外部扫描进行识别，但是外部扫描的过程中，识别到的资产是由识别协议分析推测得到的，可能识别到的资产并不存在，并且没有探测到的资产仍然可能存在被黑客利用的风险，因此由于外部扫描的局限性，不能很准确、深入地探测到被检测设备上的资产。

发明内容

本发明所要解决的技术问题是：提供了一种风险自动化评估预测方法及终端，能够提高设备风险评估预测的准确性与全面性。

为了解决上述技术问题，本发明采用的技术方案为：

一种风险自动化评估预测方法，包括步骤：

获取待预测设备的资产指纹信息，识别所述资产指纹信息对应的资产及其关联资产；

计算每一个识别到的所述资产的脆弱性可利用程度，根据预设选取规则得到待预测资产；

评估每一个所述待预测资产的访问控制策略和访问口令，计算每一个所述待预测资产的访问保护脆弱性；

评估每一个所述待预测资产的合规配置，得到每一个所述待预测资产的合规脆弱性；

建立每一个所述待预测资产与已知的漏洞的对应关系，根据所述对应关系计算每一个所述待预测资产的漏洞脆弱性；