本申請提供了一種確定網絡設備安全性的方法，該方法包括：針對網絡設備進行漏洞掃描，根據漏洞掃描發現的已知漏洞采用線性加權的方式確定已知漏洞指數值；針對網絡設備進行漏洞挖掘，根據漏洞挖掘發現的未知漏洞的CVSS值確定未知漏洞指數值；針對網絡設備進行安全功能測試，根據安全功能測試結果確定安全功能指數值；根據確定的已知漏洞指數值、未知漏洞指數值和安全功能指數值，確定網絡設備的安全值；當安全值大于預設安全閾值時，確定該網絡設備的安全性低；否則，確定該網絡設備的安全性高。該方案能夠綜合網絡設備的脆弱性和安全功能測試結果，更全面、通用地確定網絡設備的安全性。

技術領域

本發明涉及通信技術領域，特別涉及一種確定網絡設備安全性的方法。

背景技術

2017年6月1日開始實施的《中華人民共和國網絡安全法》中明確指出，國家實行網絡安全等級保護制度。網絡安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。

信息系統安全保護等級的劃分是根據信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。信息系統的安全保護等級共分五級。

參見表1，表1為網絡安全等級保護制度等級劃分示意。

表1

根據這一制度，業界制定了一份國家標準GB/T18018《信息安全技術路由器安全技術要求》，該標準分三個等級規定了路由器的安全技術要求。安全等級由低到高，安全要求逐級增強。對每一級，從技術和管理兩個方面，提出了安全要求。依據該標準，可以定性地將路由器分為三個級別。

該種等級劃分法存在如下問題：

僅考慮了安全功能要求，對于脆弱性方面的要求，僅僅從文檔審查方面進行了規范，并不能真正反映出設備的安全性；

該標準只是針對路由器的等級劃分，交換機等其他網絡設備不適用；

該標準僅僅是定性的分級標準，無法定量的描述設備整體的安全性。

信息技術安全評價通用準則(The Common Criteria for InformationTechnology security Evaluation，CC)，簡稱CC標準，它綜合了已有的信息安全的準則和標準，形成了一個更全面的框架。CC標準是信息技術安全性評估標準，用來評估信息系統、信息產品的安全性。CC標準的評估分為兩個方面：安全功能需求和安全保證需求。

我國GB/T 18336國家標準等同采用了CC。在GB/T 18336中定義了以下7個評估保證級：

(1)評估保證級1(EAL1)——功能測試；

(2)評估保證級2(EAL2)——結構測試；

(3)評估保證級3(EAL3)——系統地測試和檢查；

(4)評估保證級4(EAL4)——系統地設計、測試和復查；

(5)評估保證級5(EAL5)——半形式化設計和測試；

(6)評估保證級6(EAL6)——半形式化驗證的設計和測試；

(7)評估保證級7(EAL7)——形式化驗證的設計和測試。

GB/T 21050《信息安全技術網絡交換機安全技術要求(評估保證級3)》明確了EAL3級別的網絡交換機需要滿足的安全技術要求。該體系存在如下問題：