CN107360047-CN201710818481-基于CIA属性的网络安全评估方法.pdfVIP

(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 CN 107360047 A (43)申请公布日 2017.11.17 (21)申请号 201710818481.0 (22)申请日 2017.09.12 (71)申请人 西安邮电大学 地址 710061 陕西省西安市雁塔区长安南 路563号 (72)发明人 刘意先　刘建华　惠馨雅　王合　 (74)专利代理机构 西安西达专利代理有限责任 公司 61202 代理人 刘华 (51)Int.Cl. H04L 12/24(2006.01) H04L 29/06(2006.01) 权利要求书1页 说明书4页 附图1页 (54)发明名称 基于CIA属性的网络安全评估方法 (57)摘要 基于CIA属性的网络安全评估方法，包括以 下步骤：步骤1，对预评估系统资产进行分解，分 解后的系统资产可以用集合A表示；步骤2，通过 漏洞扫描器扫描获取系统资产的漏洞，漏洞扫描 器扫描后得到对应的风险集合V；步骤3，安全属 性的评分，开始评分前选择合适的属性，结合安 全属性的影响程度，采用CIA属性作为评分的指 标，获得若风险等级的量化值R，利用公式综合计 算出相应的风险程度，并将风险等级的量化值进 行类型转换，最终得到资产安全风险的定性表达 方式。 A 7 4 0 0 6 3 7 0 1 N C CN 107360047 A 权　利　要　求　书 1/1 页 1.基于CIA属性的网络安全评估方法，其特征在于，包括以下步骤： 步骤1，对预评估系统资产进行分解，分解后的系统资产可以用集合A来表示，其中 A＝{a ,a ,…,a }   (1) 1 2 n 式(1)中，ai代表系统中的第i个资产，n为是系统中资产的数量，构成复杂的系统会得 到更大资产集合，评估的过程也会更长，因此在资产分解时有必要考虑是否对某些资产采 用合并的处理方式，这样可以加快评估的过程； 步骤2，通过漏洞扫描器扫描获取系统资产的漏洞，对资产的漏洞发现，并能够从许多 统一的安全漏洞库中得到漏洞信息；漏洞扫描器扫描后得到对应的风险集合V，其中 V＝{v ,v ,…,v }   (2) 1 2 n 式(2)中，vi代表资产ai对应的最严重漏洞； 步骤3，安全属性的评分，评分前选择合适的属性，系统资产的漏洞信息对应的CIA影响 的属性值从漏洞库NVD上取得，形成评分结果，利用式(3)综合计算出相应的系统资产的风 险值， Risk ＝W ·L +W ·L +W ·L   (3) asset c c i i a a 式(3)中，Risk 为被评估的系统资产的风险等级的量化值R，W 、W 、W 分别对应机密 asset c i a 性、完整性以及可用性的权重，L 、L 、L 分别对应资产CIA三个属性的风险等级的量化值R， c i a 量化值R取值为0,1,2中的一种，并将风险等级的量化值进行类型转换，最终得到资产安全 风险的定性表达方式； 若风险等级的量化值R为：0≤R≤0.5，风险等级为低； 若风险等级的量化值R为：0.5＜R≤1，风险等级为中等； 若风险等级的量化值R为：1＜R≤1.5，风险等级为较高； 若风险等级