本發(fā)明提供了一種互聯(lián)網(wǎng)邊界安全策略脆弱性確定方法及裝置，包括：獲取目標(biāo)互聯(lián)網(wǎng)邊界處的已開(kāi)啟的安全防護(hù)策略；根據(jù)已開(kāi)啟的安全防護(hù)策略和預(yù)先建立的安全防護(hù)策略庫(kù)確定未開(kāi)啟的安全防護(hù)策略；根據(jù)未開(kāi)啟的安全防護(hù)策略和預(yù)先建立的攻擊庫(kù)建立目標(biāo)互聯(lián)網(wǎng)的攻擊圖模型；根據(jù)攻擊圖模型計(jì)算攻擊成功實(shí)施的概率進(jìn)而確定互聯(lián)網(wǎng)邊界安全策略脆弱性。本發(fā)明可以發(fā)現(xiàn)網(wǎng)絡(luò)邊界的殘余風(fēng)險(xiǎn)，從而評(píng)估網(wǎng)絡(luò)邊界的安全態(tài)勢(shì)，盡可能的保證網(wǎng)絡(luò)的安全，降低攻擊帶來(lái)的損失。解決了現(xiàn)有的安全設(shè)備檢測(cè)或配置核查工具只考慮單一的設(shè)備，無(wú)法對(duì)多種安全設(shè)備進(jìn)行檢測(cè)或核查，這使得對(duì)網(wǎng)絡(luò)邊界的安全評(píng)估不全面的問(wèn)題。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)，具體的講是一種互聯(lián)網(wǎng)邊界安全策略脆弱性確定方法及裝置。

背景技術(shù)

互聯(lián)網(wǎng)邊界作為企業(yè)信息外網(wǎng)與互聯(lián)網(wǎng)之間的橫向邊界，其安全防護(hù)要求側(cè)重點(diǎn)為準(zhǔn)入認(rèn)證、訪問(wèn)控制、惡意代碼防護(hù)等，同時(shí)加強(qiáng)網(wǎng)絡(luò)通道和終端安全措施。為了保障企業(yè)內(nèi)部網(wǎng)絡(luò)的安全，企業(yè)會(huì)在互聯(lián)網(wǎng)邊界處采取安全措施，最常見(jiàn)的方式是在網(wǎng)絡(luò)邊界處部署網(wǎng)絡(luò)安全防護(hù)設(shè)備，如防火墻、入侵檢測(cè)系統(tǒng)(IDS)、防病毒、Web應(yīng)用防火墻(WAF)等，但是上線的安全防護(hù)設(shè)備的策略配置的合理性需要驗(yàn)證，若安全防護(hù)設(shè)備的策略沒(méi)有開(kāi)啟或配置錯(cuò)誤則無(wú)法起到應(yīng)有的防護(hù)作用。因此，有必要確認(rèn)網(wǎng)絡(luò)安全防護(hù)設(shè)備配置策略的有效性，即是否真正降低了網(wǎng)絡(luò)邊界的脆弱性，抵御了威脅。根據(jù)網(wǎng)絡(luò)邊界安全性檢測(cè)結(jié)果對(duì)有效的安全措施繼續(xù)保持，對(duì)確認(rèn)為不適當(dāng)?shù)陌踩胧?yīng)核實(shí)是否應(yīng)被取消或?qū)ζ溥M(jìn)行修正。

目前現(xiàn)有技術(shù)的網(wǎng)絡(luò)邊界安全檢測(cè)方案中主要有網(wǎng)絡(luò)安全設(shè)備配置核查和網(wǎng)絡(luò)邊界安全態(tài)勢(shì)檢測(cè)(預(yù)測(cè))等。網(wǎng)絡(luò)安全設(shè)備配置核查關(guān)注單個(gè)設(shè)備的脆弱性，如，某個(gè)安全掃描器，能夠檢測(cè)防火墻的配置策略，然后根據(jù)掃描結(jié)果給予風(fēng)險(xiǎn)描述和相應(yīng)的修復(fù)建議，但無(wú)法檢測(cè)如入侵檢測(cè)系統(tǒng)等其他安全設(shè)備的有效性。網(wǎng)絡(luò)邊界安全態(tài)勢(shì)檢測(cè)(預(yù)測(cè))則是根據(jù)網(wǎng)絡(luò)設(shè)備、安全設(shè)備日志信息或流經(jīng)邊界的代碼安全性進(jìn)行數(shù)學(xué)建模從而對(duì)邊界安全狀況進(jìn)行檢測(cè)或預(yù)測(cè)。

現(xiàn)有的安全配置核查工具只針對(duì)某一個(gè)單獨(dú)的安全設(shè)備或者網(wǎng)絡(luò)設(shè)備，無(wú)法對(duì)邊界所部署的全部安全設(shè)備進(jìn)行配置核查，或者對(duì)互聯(lián)網(wǎng)邊界所啟用的所有安全策略進(jìn)行分析，從而綜合評(píng)估網(wǎng)絡(luò)邊界的整體安全。現(xiàn)有的網(wǎng)絡(luò)邊界安全態(tài)勢(shì)檢測(cè)(預(yù)測(cè))方案中，未全面考慮到企業(yè)網(wǎng)絡(luò)邊界安全防護(hù)的實(shí)際情況，沒(méi)有考慮企業(yè)已經(jīng)采取的安全防護(hù)措施或開(kāi)啟的防護(hù)策略，進(jìn)而不能根據(jù)已有的安全防護(hù)分析網(wǎng)絡(luò)邊界的脆弱點(diǎn)，發(fā)現(xiàn)網(wǎng)絡(luò)邊界的殘余風(fēng)險(xiǎn)。并且，現(xiàn)有的網(wǎng)絡(luò)邊界安全態(tài)勢(shì)檢測(cè)(預(yù)測(cè))方案中，未考慮到脆弱點(diǎn)之間的關(guān)聯(lián)性和動(dòng)態(tài)性，以及不同脆弱點(diǎn)相互關(guān)聯(lián)有可能產(chǎn)生更大的安全威脅。

發(fā)明內(nèi)容

為了對(duì)部署在互聯(lián)網(wǎng)邊界處的安全防護(hù)設(shè)備有效性進(jìn)行檢測(cè)，綜合評(píng)估互聯(lián)網(wǎng)邊界的安全態(tài)勢(shì)。本發(fā)明提供一種互聯(lián)網(wǎng)邊界安全策略脆弱性確定方法，包括：

獲取目標(biāo)互聯(lián)網(wǎng)邊界處的已開(kāi)啟的安全防護(hù)策略；

根據(jù)已開(kāi)啟的安全防護(hù)策略和預(yù)先建立的安全防護(hù)策略庫(kù)確定未開(kāi)啟的安全防護(hù)策略；

根據(jù)所述未開(kāi)啟的安全防護(hù)策略和預(yù)先建立的攻擊庫(kù)建立所述目標(biāo)互聯(lián)網(wǎng)的攻擊圖模型；

根據(jù)所述攻擊圖模型計(jì)算攻擊成功實(shí)施的概率進(jìn)而確定互聯(lián)網(wǎng)邊界安全策略脆弱性。

本發(fā)明實(shí)施例中，所述的方法還包括：

根據(jù)網(wǎng)絡(luò)邊界安全防護(hù)要求預(yù)先建立安全策略庫(kù)。

本發(fā)明實(shí)施例中，所述的根據(jù)已開(kāi)啟的安全防護(hù)策略和預(yù)先建立的安全防護(hù)策略庫(kù)確定未開(kāi)啟的安全防護(hù)策略包括：

獲取已開(kāi)啟的安全防護(hù)策略的特征信息；

根據(jù)已開(kāi)啟的安全防護(hù)策略的特征信息和安全防護(hù)策略庫(kù)中的安全防護(hù)策略的特征信息確定未開(kāi)啟的安全防護(hù)策略。

本發(fā)明實(shí)施例中，所述的特征信息包括：安全防護(hù)策略的名稱、種類以及功能描述。