典型文献
多因素漏洞评价方法研究
文献摘要:
漏洞引起的网络安全问题日益突出,信息系统运营者和安全技术人员正面临着前所未有的压力,仅凭CNNVD等漏洞库给出的漏洞技术等级或评分,无法完全体现漏洞在实际场景中信息资产上的危害程度.该文提出了一种综合计算机系统分级评价、网络防护与联通性、资产使用率、利益相关者风险承受度、漏洞技术评价指标等多种因素的漏洞风险量化评价方法,并给出了详细计算过程.该方法中计算机系统分级评价指标可使用信息安全等级保护指标综合反映系统的重要程度.网络防护与联通性指标进行等级细分后,可定量反映系统受保护程度.资产使用率可通过资产管理系统或在线监测等技术手段获取,反映出系统的影响范围.利益相关者风险承受度指标通过主观打分反映系统风险承受能力.漏洞技术评价指标则通过漏洞客观特性反映危害程度.经模拟数据统计分析显示,该方法能够较全面地分析实际环境中漏洞潜在威胁程度,科学合理地给出不同信息资产上漏洞的消控优先级排序,可供信息系统运营者和安全技术人员用于漏洞危害程度的量化评估.
文献关键词:
漏洞;消控;通用漏洞评分体系;安全;风险
中图分类号:
作者姓名:
杨一未
作者机构:
中国信息安全测评中心,北京 100085
文献出处:
引用格式:
[1]杨一未-.多因素漏洞评价方法研究)[J].计算机技术与发展,2022(12):88-94
A类:
CNNVD,通用漏洞评分体系
B类:
网络安全问题,运营者,安全技术,仅凭,洞库,中信,信息资产,危害程度,综合计算,计算机系统,分级评价,网络防护,联通,利益相关者,承受度,技术评价,风险量化评价,量化评价方法,中计,信息安全等级保护,重要程度,资产管理系统,在线监测,影响范围,打分,系统风险,风险承受能力,模拟数据,数据统计分析,消控,优先级排序,量化评估
AB值:
0.312972
机标中图分类号,由域田数据科技根据网络公开资料自动分析生成,仅供学习研究参考。
