本發明涉及用于量化系統的漏洞使得能直觀和客觀表達系統的狀態的裝置、及其方法。所述用于量化系統的漏洞的裝置包括：漏洞計算單元，用于將每一系統漏洞標識結果的每一個變換為漏洞得分；目標組織安全計算單元，用于基于漏洞得分之中的技術領域安全級別得分和管理領域安全級別得分，來計算與系統對應的目標組織安全得分；網絡分離狀態計算單元，用于將內聯網和外部網絡的系統分離狀態變換為網絡分離得分；中間值計算單元，用于基于目標組織安全得分和網絡分離得分來計算中間得分；和最終得分計算單元，用于通過使用該中間得分和模擬黑客等級計算系統的最終組合得分，來量化系統的漏洞。

技術領域

本發明一般涉及用于量化系統的漏洞的設備和方法，并更具體地涉及為了直觀和客觀表示系統的狀態而量化系統的漏洞的設備和方法。

背景技術

用于分析和評估信息和通信系統的漏洞的技術意欲先前標識在對應系統中存在的漏洞，并基于標識的結果來消除漏洞。因此，用于分析和評估信息和通信系統的漏洞的技術使得漏洞能在被利用用于非法入侵之前被消除，由此防止發生各類入侵。此外，使用分析或評估系統的漏洞的結果，用于向對應組織的管理直觀傳遞系統的安全狀態的方法。

韓國專利第0851521號公開了與用于提供能夠檢測和分析網絡或系統的漏洞的、主動的和自動的集成網路攻擊模型的網路攻擊系統和方法相關的技術，作為用于網絡系統的安全技術。

然而，用于分析或評估漏洞的該傳統技術僅提供能夠檢測和分析網絡或系統的漏洞的、主動的和自動的集成網路攻擊模型，但是沒有公開用于獲取直觀或客觀評估漏洞的結果的技術。

其間，如果沒有對分析或評估系統的漏洞的結果進行量化，則難以使用代表值來表示系統的狀態。

此外，漏洞的分析或評估不是執行一次，而是一般周期性執行。當表示周期性執行的任務的結果時，必須指示當前結果和過去結果之間的比較、以及當前結果。例如，結果闡述“特定系統處于危險狀態，因為由于缺少密碼管理以及存在不必要服務而使得存取控制不充分”可使得用戶糊涂。在該情況下，可提供基于量化的結果闡述。即，能通過在比較當前狀態和過去狀態的同時描述當前狀態，來直觀和客觀地提供當前狀態，而不管沒有提供詳細描述，如同結果闡述“漏洞已增加，因為過去狀態是兩年前的85分(較好級別)而當前狀態是77分(不充分級別)”中那樣。

盡管絕對必須分析或評估漏洞，但是還沒有充分進行相關研究和開發。其第一原因涉及請求修改分析或評估漏洞的結果。系統管理員經常進行請求，以修改在已標識漏洞之后計算的結果，并然后經由模擬的入侵來確定漏洞的惡意利用的可能性。即，系統管理員進行請求以修改結果，因為他們可能不期望向管理報告低得分，或者可能期望向管理報告較低得分，使得他們能使用較低得分來從基于報告的較低得分的管理請求資源的增加，諸如較高預算或額外人員。第二原因在于，他們還沒有嘗試實現用于量化漏洞和模擬入侵結果的方法以及保證前一方法具有客觀性的方法。

盡管已使用特定方法量化了分析或評估漏洞的結果，但是不能實現其客觀性。其第一原因在于用來計算得分的漏洞的類型有限。即，由于僅使用當被惡意使用時施加大影響、并從標識的漏洞中選擇的幾類特有漏洞時，從得分的計算中排除其它類型漏洞。其第二原因在于過分牽涉分析者的主觀性。即使當提供同一系統的同一漏洞標識結果并且請求這些結果的打分時，分析者也計算出不同得分，因為他們將各類漏洞的權重確定為不同的。

由于上述問題，所以分析或評估漏洞的結果具有低客觀性，并且分析者不能幫助修改結果，因為缺少分析者能反駁修改結果的請求的邏輯基礎。

因此，對于能使用數值來量化系統的級別并傳遞信息的技術存在迫切需求。

發明內容

技術問題

因此，已在緊記現有技術中出現的以上問題的情況下作出了本發明，并且本發明的目的是提供為了直觀和客觀表示系統的狀態而量化系統的漏洞的設備和方法。

技術方案