CN105721459A - 一种针对虚拟化环境的风险评估方法 - Google Patents
一种针对虚拟化环境的风险评估方法 Download PDFInfo
- Publication number
- CN105721459A CN105721459A CN201610064014.9A CN201610064014A CN105721459A CN 105721459 A CN105721459 A CN 105721459A CN 201610064014 A CN201610064014 A CN 201610064014A CN 105721459 A CN105721459 A CN 105721459A
- Authority
- CN
- China
- Prior art keywords
- virtualization
- risk assessment
- networked asset
- environment
- virtual environment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种针对虚拟化环境的风险评估方法,包括:确定虚拟化环境中的不同类型虚拟化网络资产的资产重要程度,根据资产重要程度得到资产重要性值并对不同类型虚拟化网络资产划分等级;通过对虚拟化环境中的不同类型虚拟化网络资产的脆弱性扫描和检测,确定各虚拟化网络资产的安全脆弱性;利用虚拟化网络资产重要性值、安全脆弱性计算虚拟化网络资产风险评估值;计算当前虚拟化环境的风险评估总值和风险评估指数,即虚拟化环境的风险评估结果。本发明可以有效评估当前虚拟化环境中的网络安全风险等级,提供一种评估和识别虚拟化环境安全风险的技术手段,为虚拟化环境管理人员提供了安全控制和降低安全风险的依据。
Description
技术领域
本发明涉及虚拟化技术领域,具体涉及一种针对虚拟化环境的风险评估方法。
背景技术
虚拟化技术是一种新兴的高效的利用物理资源的核心技术,广泛应用于云计算环境之中,目前针对虚拟化环境的安全还没有较为完善的评估方法。
基于虚拟化***构成的网络环境相对于传统主机***构成的环境相比,具有明显的区别,前者主要应用于云计算环境之中,提供对于物理资源的零活调度。
针对传统网络环境的风险评估方法已经不能够完全适应虚拟化环境的风险评估,针对虚拟化平台的风险评估可以作为针对云计算环境的风险评估的组成部分。
发明内容
本发明的目的在于提供一种针对虚拟化环境的风险评估方法。
本发明的技术方案是这样实现的:
一种针对虚拟化环境的风险评估方法,包括以下步骤:
步骤1、确定虚拟化环境中的不同类型虚拟化网络资产的资产重要程度,根据资产重要程度得到资产重要性值并对不同类型虚拟化网络资产划分等级;
步骤2、通过对虚拟化环境中的不同类型虚拟化网络资产的脆弱性扫描和检测,确定各虚拟化网络资产的安全脆弱性;
步骤3、利用虚拟化网络资产重要性值、安全脆弱性计算虚拟化网络资产风险评估值;
步骤4、计算当前虚拟化环境的风险评估总值和风险评估指数,即虚拟化环境的风险评估结果。
所述安全脆弱性为某一虚拟化网络资产所有脆弱性严重程度CVSS值中最大值或者对某一虚拟化网络资产所有脆弱性严重程度CVSS值的加权求和值。
所述风险评估指数为每个虚拟化网络资产风险评估值占当前虚拟化环境资产风险评估值最大值的比例。
所述风险评估总值为当前虚拟化环境中的各虚拟化网络资产风险评估值之和。
有益效果:
本发明通过确定虚拟化环境中的不同类型虚拟化网络资产的资产重要性值和安全脆弱性风险值,计算虚拟化网络资产风险评估值,生成当前虚拟化环境不同类型虚拟化网络资产风险评估值对应表,计算当前虚拟化环境的风险评估指数和风险评估总值,可以有效评估当前虚拟化环境中的网络安全风险等级,提供一种评估和识别虚拟化环境安全风险的技术手段,为虚拟化环境管理人员提供了安全控制和降低安全风险的依据。
附图说明
图1是本发明具体实施方式的虚拟化环境的风险评估方法应用环境示意图;
图2是本发明具体实施方式的针对虚拟化环境的风险评估方法流程图。
具体实施方式
下面结合附图对本发明的具体实施方式做详细说明。
本实施方式中,针对如图1所示的虚拟化环境进行风险评估。针对虚拟化环境的风险评估方法,如图2所示,包括以下步骤:
步骤1、确定虚拟化环境中的不同类型虚拟化网络资产的资产重要程度,根据资产重要程度得到资产重要性值Ai并对不同类型虚拟化网络资产划分等级;
虚拟化网络资产包括运行虚拟化操作***和虚拟化管理***的设备;虚拟化网络资产重要程度是指虚拟化网络资产一旦受到网络攻击,造成对整个虚拟化环境和应用的破坏程度;虚拟化网络资产重要程度依据虚拟化操作***或虚拟化管理***类型及承载的具体应用而不同,重要程度高的资产受到网络攻击造成的影响就越大。
每种虚拟化网络资产重要性为Ai∈[1,Aupper],其中i=1,2,…,N,Aupper为上界值。
虚拟化网络资产重要程度是一种网络资产重要性指标,依据该资产承载的应用业务的重要性、资产使用的频繁程度以及资产在网络环境中的角色而确定,可以参考其他通用的资产重要程度评估方法而确定。例如,虚拟化环境通常包括,多种虚拟化***,如ESXi/Xen/KVM等,虚拟化管理***,如OpenStack等,通常虚拟化管理***的重要程度相对较高,所以其资产重要程度相对较高。而承载重要数据业务和应用业务的虚拟化网络资产的重要程度又相对于承载普通业务的虚拟化网络资产重要程度高。
按照一般情况,通常可以将资产重要性划分为5个等级,如下所示,
不重要:安全属性破坏后对环境造成损失很小,对应赋值为1;
不太重要:安全属性破坏后对环境造成较低损失,对应赋值为2;
比较重要:安全属性破坏后可能对环境造成中等程度的损失,对应赋值为3;
重要:安全属性破坏后对环境造成较为严重损失,对应赋值为4;
非常重要:安全属性破坏后对环境造成非常严重的损失,对应赋值为5。
图1中目标虚拟化环境由非核心计算应用和核心数据库应用两部分组成,包括4台虚拟化操作***和2台虚拟化管理***构成,标记为N01至N06,对应的下标i为1至6。核心数据库应用是整个环境最为重要的部分,需要保证***的安全可靠,所以重要程度较高,而虚拟化管理***重要性更高,所以设定A4=5,A5=4,A6=4。而非核心计算应用重要性相对较低,设定A1=4,A2=2,A3=2。
步骤2、通过对虚拟化环境中的不同类型虚拟化网络资产的脆弱性扫描和检测,确定各虚拟化网络资产的安全脆弱性Vi;
脆弱性扫描和检测主要基于端口扫描、基于漏洞知识库的比对等通用扫描和检测方法,得到虚拟化网络资产的脆弱性数量及严重程度CVSS。
安全脆弱性为Vi∈[0,Vupper],其中i=1,2,…,N,Vupper为上界值,本实施方式中Vupper=10。
对于当前虚拟化环境中的第i个虚虚拟化拟化网络资产,计算安全脆弱性Vi主要依据脆弱性(vulnerability)数量和脆弱性严重程度CVSS来进行确定,可依照实际情况定义安全脆弱性Vi=function(脆弱性数量,脆弱性严重程度),下面给出几个可选方案:
设第i个虚拟化网络资产具有的脆弱性个数为P,每个脆弱性对应的严重程度为CVSSj∈[1,10],CVSSmax=max(CVSSi),其中j=1,2,…,P。
方法1,最大值法求安全脆弱性:第i个虚拟化网络资产所有脆弱性严重程度CVSS值中最大值即第i个虚拟化网络资产的安全脆弱性Vi;
Vi=[CVSSmax]
方法2,加权求和法:对第i个虚拟化网络资产所有脆弱性严重程度CVSS值进行加权求和,得到第i个虚拟化网络资产的安全脆弱性Vi,第j个脆弱性的权重值为ωj;
通过端口扫描、基于已有漏洞库的脆弱性检测等方法对图1中目标虚拟化环境进行脆弱性扫描和检测,得到目标虚拟化环境中每个虚拟化网络资产的脆弱性数量和脆弱性严重程度CVSS,并采用上述方法1计算Vi,见表1;
表1脆弱性扫描和检测结果及安全脆弱性
步骤3、利用虚拟化网络资产重要性值Ai、安全脆弱性Vi计算虚拟化网络资产风险评估值 其中i=1,2,…,N, 是虚拟化网络资产重要性值为Ai、安全脆弱性为Vi的虚拟化网络资产风险评估值。
虚拟化网络资产风险评估值对应表中的可以通过一种或者多种方法生成,三种可选方法如下:
方法(1),
方法(2),α,β∈R,α,β分别为安全脆弱性Vi、虚拟化网络资产重要性值Ai的系数,为常数,根据实际情况而定;
方法(3),α,β∈R,α,β分别为安全脆弱性Vi、虚拟化网络资产重要性值Ai的系数,为常数,根据实际情况而定;
本实施方式中,虚拟化网络资产风险评估值对应表中的M可以通过一种或者多种方法生成,M*,1可由方法(1)生成,而表中其他M值可由方法(2)生成,虚拟化网络资产风险评估值对应表见表2:
表2虚拟化网络资产风险评估值对应表
目标虚拟环境评估值对应表采用方法2,取α=β=1,得到的Gi见表3:
表3虚拟化网络资产风险评估值
步骤4、计算当前虚拟化环境的风险评估总值T和风险评估指数S,即当前虚拟化环境的风险评估结果;
风险评估总值T,即当前虚拟化环境中的各虚拟化网络资产风险评估值之和:
风险评估指数S,即每个虚拟化网络资产风险评估值占当前虚拟化环境资产风险评估值最大值的比例:
S最大值为1,将风险评估指数S分为10个等级,1~3级表明虚拟化环境威胁较低,4~7级表明虚拟化环境面临较为严重安全威胁,8~10级表明虚拟化威胁极为严重。
本实施方式中目标虚拟化环境评估结果得到S=0.61,T=55,图1目标虚拟化环境评估结果为6级,评估结果表明存在较为严重安全威胁。
Claims (4)
1.一种针对虚拟化环境的风险评估方法,其特征在于,包括以下步骤:
步骤1、确定虚拟化环境中的不同类型虚拟化网络资产的资产重要程度,根据资产重要程度得到资产重要性值并对不同类型虚拟化网络资产划分等级;
步骤2、通过对虚拟化环境中的不同类型虚拟化网络资产的脆弱性扫描和检测,确定各虚拟化网络资产的安全脆弱性;
步骤3、利用虚拟化网络资产重要性值、安全脆弱性计算虚拟化网络资产风险评估值;
步骤4、计算当前虚拟化环境的风险评估总值和风险评估指数,即虚拟化环境的风险评估结果。
2.根据权利要求1所述的针对虚拟化环境的风险评估方法,其特征在于,所述安全脆弱性为某一虚拟化网络资产所有脆弱性严重程度CVSS值中最大值或者对某一虚拟化网络资产所有脆弱性严重程度CVSS值的加权求和值。
3.根据权利要求1所述的针对虚拟化环境的风险评估方法,其特征在于,所述风险评估指数为每个虚拟化网络资产风险评估值占当前虚拟化环境资产风险评估值最大值的比例。
4.根据权利要求1所述的针对虚拟化环境的风险评估方法,其特征在于,所述风险评估总值为当前虚拟化环境中的各虚拟化网络资产风险评估值之和。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610064014.9A CN105721459A (zh) | 2016-01-29 | 2016-01-29 | 一种针对虚拟化环境的风险评估方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610064014.9A CN105721459A (zh) | 2016-01-29 | 2016-01-29 | 一种针对虚拟化环境的风险评估方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105721459A true CN105721459A (zh) | 2016-06-29 |
Family
ID=56154385
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610064014.9A Pending CN105721459A (zh) | 2016-01-29 | 2016-01-29 | 一种针对虚拟化环境的风险评估方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105721459A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106789955A (zh) * | 2016-11-30 | 2017-05-31 | 山东省计算中心(国家超级计算济南中心) | 一种网络安全态势评估方法 |
CN107220549A (zh) * | 2017-05-26 | 2017-09-29 | 中国民航大学 | 基于cvss的漏洞风险基础评估方法 |
CN110460481A (zh) * | 2019-09-12 | 2019-11-15 | 南京经纬信安科技有限公司 | 一种网络关键资产的识别方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101150432A (zh) * | 2007-08-24 | 2008-03-26 | 北京启明星辰信息技术有限公司 | 一种信息***风险评估方法及*** |
KR100955281B1 (ko) * | 2007-10-18 | 2010-04-30 | 한국정보보호진흥원 | 위협 관리를 위한 보안 위험도 평가 방법 |
CN102402723A (zh) * | 2011-11-03 | 2012-04-04 | 北京谷安天下科技有限公司 | 一种信息资产安全的检测方法及*** |
CN103023889A (zh) * | 2012-11-29 | 2013-04-03 | 武汉华中电力电网技术有限公司 | 一种安全域风险量化方法 |
CN103716177A (zh) * | 2013-11-18 | 2014-04-09 | 国家电网公司 | 安全风险评估方法和装置 |
-
2016
- 2016-01-29 CN CN201610064014.9A patent/CN105721459A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101150432A (zh) * | 2007-08-24 | 2008-03-26 | 北京启明星辰信息技术有限公司 | 一种信息***风险评估方法及*** |
KR100955281B1 (ko) * | 2007-10-18 | 2010-04-30 | 한국정보보호진흥원 | 위협 관리를 위한 보안 위험도 평가 방법 |
CN102402723A (zh) * | 2011-11-03 | 2012-04-04 | 北京谷安天下科技有限公司 | 一种信息资产安全的检测方法及*** |
CN103023889A (zh) * | 2012-11-29 | 2013-04-03 | 武汉华中电力电网技术有限公司 | 一种安全域风险量化方法 |
CN103716177A (zh) * | 2013-11-18 | 2014-04-09 | 国家电网公司 | 安全风险评估方法和装置 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106789955A (zh) * | 2016-11-30 | 2017-05-31 | 山东省计算中心(国家超级计算济南中心) | 一种网络安全态势评估方法 |
CN107220549A (zh) * | 2017-05-26 | 2017-09-29 | 中国民航大学 | 基于cvss的漏洞风险基础评估方法 |
CN107220549B (zh) * | 2017-05-26 | 2020-12-01 | 中国民航大学 | 基于cvss的漏洞风险基础评估方法 |
CN110460481A (zh) * | 2019-09-12 | 2019-11-15 | 南京经纬信安科技有限公司 | 一种网络关键资产的识别方法 |
CN110460481B (zh) * | 2019-09-12 | 2022-02-25 | 南京经纬信安科技有限公司 | 一种网络关键资产的识别方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104956376B (zh) | 虚拟化环境中应用和设备控制的方法和技术 | |
CN104506522B (zh) | 漏洞扫描方法及装置 | |
CN105282131B (zh) | 基于风险项扫描的信息安全评估方法、装置及*** | |
CN105635112B (zh) | 信息***安全性能的评估方法 | |
US10164995B1 (en) | Determining malware infection risk | |
CN106776214B (zh) | 一种服务器健康度评估方法 | |
CN104732079B (zh) | 一种遥感卫星体系效能确定方法 | |
US9692779B2 (en) | Device for quantifying vulnerability of system and method therefor | |
CN106295349A (zh) | 账号被盗的风险识别方法、识别装置及防控*** | |
CN101150432A (zh) | 一种信息***风险评估方法及*** | |
CN110266723A (zh) | 一种云服务安全风险评估方法 | |
CN106779278A (zh) | 资产信息的评价***及其信息的处理方法和装置 | |
US8918285B1 (en) | Testing water contamination in geographic areas | |
CN105721459A (zh) | 一种针对虚拟化环境的风险评估方法 | |
US20200186409A1 (en) | Holo-entropy based alarm scoring approach | |
CN104320271B (zh) | 一种网络设备安全评估方法及装置 | |
CN105183546A (zh) | 基于可信资源池的虚拟机安全迁移方法 | |
CN103996006A (zh) | 一种信息***安全风险评估的方法和装置 | |
CN111030972A (zh) | 一种资产信息管理及可视化展示的方法、装置及存储设备 | |
Soo Lon Wah et al. | Damage detection under temperature conditions using PCA–an application to the Z24 Bridge | |
CN113312560A (zh) | 群组检测方法、装置及电子设备 | |
CN110839000B (zh) | 一种网络信息***的安全等级确定方法和装置 | |
Anikin | Information security risks assessment in telecommunication network of the university | |
CN107563639A (zh) | 基于故障树的信息***风险评估装置及方法 | |
Zhang | Information security risk assessment based on cloud computing and bp neural network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160629 |