多因素漏洞评价方法研究

扫码查看

原文链接

万方数据
维普

中文摘要：漏洞引起的网络安全问题日益突出,信息系统运营者和安全技术人员正面临着前所未有的压力,仅凭CNNVD等漏洞库给出的漏洞技术等级或评分,无法完全体现漏洞在实际场景中信息资产上的危害程度.该文提出了一种综合计算机系统分级评价、网络防护与联通性、资产使用率、利益相关者风险承受度、漏洞技术评价指标等多种因素的漏洞风险量化评价方法,并给出了详细计算过程.该方法中计算机系统分级评价指标可使用信息安全等级保护指标综合反映系统的重要程度.网络防护与联通性指标进行等级细分后,可定量反映系统受保护程度.资产使用率可通过资产管理系统或在线监测等技术手段获取,反映出系统的影响范围.利益相关者风险承受度指标通过主观打分反映系统风险承受能力.漏洞技术评价指标则通过漏洞客观特性反映危害程度.经模拟数据统计分析显示,该方法能够较全面地分析实际环境中漏洞潜在威胁程度,科学合理地给出不同信息资产上漏洞的消控优先级排序,可供信息系统运营者和安全技术人员用于漏洞危害程度的量化评估.

外文标题：Research on Multi-factor Vulnerability Scoring System

作者：

杨一未

展开 >

作者单位：

中国信息安全测评中心,北京 100085

关键词：

漏洞消控通用漏洞评分体系安全风险

基金：

信息安全国家标准项目经费资助项目

项目编号：

2020BZYJ-WG5-001

出版年：

2022

DOI：

10.3969/j.issn.1673-629X.2022.12.014

计算机技术与发展

陕西省计算机学会

计算机技术与发展

CSTPCD

影响因子：0.621

ISSN：1673-629X

年,卷(期)：2022.32(12)

被引量1
参考文献量1