安全風險分析系統和方法

2023-11-04 03:59:42 2

專利名稱：安全風險分析系統和方法
技術領域：
本發明通常涉及通信網絡安全，並且特別涉及分析關聯於通信網絡的資產的安全風險。
背景技術：
在例如電信和信息技術(IT)基礎設施的複雜系統中，安全漏洞(securityvulnerability)的潛在影響，即使是被發現並洩漏，也很難進行及時地評估。這主要是因為這些漏洞的數量和性質，以及在這種系統中的資產的數量。一些資產還可能有嵌入的軟體層和其它從屬物，其更複雜化了安全評估。
在漏洞被洩漏之後不久獲知並作出通知判決的能力，是積極(proactive)安全的一個關鍵的方面。這種能力允許網絡運營商例如在任意給定時刻獲知安全狀態，也就是網絡基礎設施的風險，並且為風險減輕而分配優先級動作列表(priorityaction list)。商業風險的標識在執行全面的安全評估中也是有用的，其中該標識與在提高安全風險期間對網絡段上所傳送並被存儲的數據的依賴相關聯。
儘管曾經增加了安全事件管理系統的數量，然而，對於提供網絡和/或服務級的鞏固風險影響的功能性，沒有當前可用的解決方案。
在風險計算領域中，尤其缺乏當前可用的解決方案，這是因為它們使用專有且固定的風險計算公式。這些公式基於各種固定的假設，所述假設典型地還包括有關以下內容的假設網絡拓撲(網格狀、星狀等)、數據(建模、可用性、不確定性和例如質量或數量的類型)、組織類型(軍事、政府、企業等)和變量(威脅、漏洞、資產值、攻擊路徑)。由這種公式提供的輸出同樣沒有反映出安全的當前複雜性。
因此，仍需要更全面靈活的安全評估和管理工具。
另外還需要更靈活且可配置的安全風險分析工具。

發明內容
本發明的實施例涉及靈活且可配置的安全風險分析系統和方法。根據本發明的方面，提供了一種更靈活的安全模型，以實現在例如通信網絡的大規模複雜系統中的不同類型且更現實的風險評估。
根據本發明的一個方面，提供了一種風險分析器，其被配置用來將影響通信網絡的資產的漏洞關聯於通信網絡中與該資產有關係的另一個資產。
所述關係可以包括有線連接關係(cabled-to)、運行於其上關係和依賴關係中的一個或多個。
在一個實施例中，所述風險分析器還被配置用來將所述漏洞關聯於與該資產有關係的每個其它資產。所述風險分析器還可以將影響每個其它資產的漏洞關聯於所述資產。
可以由所述風險分析器基於影響資產的漏洞和影響每個其它資產並與該資產相關聯的漏洞，來確定資產的安全風險。
在一個實施例中，所述風險分析器包括直接披露(exposure)計算器，其被配置用來基於影響資產的漏洞而確定資產的直接披露風險；間接披露計算器，其被配置用來基於影響每個其它資產並與該資產相關聯的漏洞而確定該資產的間接披露風險；總披露計算器，其被配置用來根據所述直接披露風險和間接披露風險而確定資產的總披露風險；以及風險計算器，其被配置用來基於所述總披露風險而確定資產的安全風險。
基於所述資產的安全風險，還可以由所述風險分析器確定所述通信網絡的特徵的風險。
安全風險分析系統可以包括風險分析器和數據系統，該數據系統有效耦合到該風險分析器，並且被配置用來提供對資產信息、關係信息及漏洞信息的訪問。
在一些實施例中，所述風險分析器還被配置用來確定所述通信系統中多個資產的遍歷順序，並且確定影響在按照該遍歷順序的序列中的多個資產中的每一個的漏洞。
還提供了一種安全風險分析方法，該方法包括通過訪問或者確定例如漏洞信息來提供影響通信網絡資產的漏洞，並且將漏洞關聯於通信網絡中與所述資產有關係的另一個資產。
根據本發明實施例的方法可以以多種不同的方式執行這些操作，和/或包括其它操作，上面已描述了其中一些操作。
本發明的另一方面提供了一種安全風險分析系統，其包括多個風險披露計算器和風險計算器。所述風險披露計算器被配置用來確定關聯於通信網絡的資產對該通信網絡中漏洞的披露的各個類型。所述風險計算器有效耦合到所述多個風險披露計算器，並且被配置用來基於由所述多個風險披露計算器中的一個或多個所選計算器所確定的披露，確定所述通信網絡中的安全風險。
在一個實施例中，所述多個風險披露計算器包括用於確定各個默認披露的一個或多個默認風險披露計算器，所述默認披露被自動選擇以由所述風險計算器用來確定所述安全風險。
所述多個風險披露計算器可以包括被配置用來僅當被選擇用於當前安全風險分析操作時才確定它們各自的披露類型的一個或多個風險披露計算器。
在一個實施例中，所述多個風險披露計算器包括直接披露計算器和間接披露計算器。總披露計算器可以有效耦合到所述直接披露計算器、間接披露計算器和風險計算器，並且被配置用來根據所述直接披露、間接披露或二者來確定資產的總披露。在這種情況下，所述風險計算器被配置用來基於所述總披露而確定所速安全風險。
所述系統還可包括用戶接口，該用戶接口被配置用來從用戶接收風險分析配置信息，該信息與一個或多個所選風險披露計算器相關聯以用於當前安全風險分析操作。所述配置信息可以針對當前安全風險分析操作而指定風險披露計算器和披露類型中的一個或多個。
還提供了相關的安全風險分析方法，該方法包括確定一個或多個披露類型，該一個或多個披露類型是從關聯於通信網絡的資產對該通信網絡中漏洞的披露的多個類型中選出的；並且基於至少一個披露類型來確定該通信網絡中的安全風險。
本發明的其它方面提供了用於存儲資產和安全狀態信息的數據結構。資產數據結構可以包括存儲標識了通信網絡的資產的信息的數據域；以及存儲所述資產的資產配置文件(profile)的數據域，該資產配置文件包括關係信息，該關係信息指明了通信網絡中所述資產與一個或多個其它資產之間的各個關係，根據所述關係，將影響該資產的漏洞關聯於所述一個或多個其它資產。
根據一個實施例，安全狀態數據結構包括存儲標識了通信網絡的資產的信息的數據域；以及存儲安全狀態信息的數據域，該安全狀態信息包括間接披露信息，該間接披露信息涉及所述資產通過通信網絡中這個資產與一個或多個其它資產之間的各個關係而對影響該一個或多個其它資產的漏洞的披露。
通過查看下面對指定說明性實施例的描述，本發明的其它方面和特徵對本領域的技術人員而言將變得顯而易見。


下面將參考附圖詳細描述本發明的實施例，其中圖1是說明一般安全概念的框圖；圖2是說明安全判決模型的框圖；圖3是安全風險披露管理系統的框圖；圖4是說明安全風險管理方法的流程圖；圖5是說明資產的類型的框圖；圖6是風險計算系統的框圖；圖7A、7B和7C分別是漏洞、資產以及安全狀態數據結構的框圖；圖8是說明風險計算方法的流程圖；以及圖9是通信系統的框圖，可以結合該通信系統實現本發明的實施例。
具體實施例方式
如以上簡要描述的，當前沒有可用的安全評估和管理工具提供一種完整全面的安全性評估，特別是對於例如通信網絡的複雜系統。
例如，四種類別的系統可以被看成是對網絡基礎設施中的安全和漏洞管理提供部分解決方案。這些類別包括網絡漏洞掃描器、入侵檢測/預防系統、安全事件/信息系統和披露風險管理系統。
這些類別中，披露風險管理系統包括最廣泛的工具。風險管理系統可以提供例如網絡視圖，其包括用於網絡單元的基於每個單元的掃描器數據和漏洞數據，該網絡單元例如是防火牆和路由器、伺服器和其它主機。典型地，每個單元獨立地被掃描或被評估，以確定其漏洞。公司網絡、企業應用和潛在安全問題的可視地圖，為安全人員給出了每個獨立單元的基礎設施安全的概觀，並且實現了對於相關指定單元的更詳細視圖的向下挖掘(drill-down)能力。
企業風險的形式可以通過評估如通過企業衝擊變量(business impactvariable)所測量的潛在破壞性和攻擊可能性二者來被計算。風險因素可以在考慮各種攻擊情景和漏洞的情況下被詳細地確定。
然而，當前已知的工具不能處理大型的電信系統，也不能處理服務和「任務」級的問題。為了對給定的服務或任務建模，這些工具不能為複雜的網絡提供實際視圖，或考慮不同的組或資產。
另外，企業風險計算使用基於路徑確定的攻擊可能性，即確定用於完成攻擊的漏洞和資產鏈。確定每個可能攻擊的攻擊路徑以及因而其可能性，在大型複雜的網絡中非常困難，並且因此在可能的情況下也是不切實際的。
以這種方式減少指定攻擊路徑的風險計算，對於特定的漏洞或漏洞組合可能更加有效，但是不會導致對更複雜情況的誤解。這種簡化會有效地使運營商或其它人能使實際風險減到最小，該實際風險對網絡安全狀態的總評估會有很大的影響。更重要的是提供了這樣的可能性將一些附加的方法或公式併入風險計算中以更實際地處理攻擊的可能性，這在當前已知的工具中不是固有的。
本發明的實施例提供了高級的風險披露管理技術。一種靈活的安全模型提供了一種靈活的資產表示模型，用於在通信網絡和網絡的物理/邏輯拓撲中所部署的任務和/或服務指定的資產。一種完全可定製且靈活的披露風險計算也可以在一些實施例中被提供，以考慮一般的安全方法和擴展方案，該擴展方案解決了指定的商務企業風險。
圖1是表示一般安全概念的框圖。圖1所示的表示10說明了一種基本的安全範例和導出的概念，其是基於資訊技術安全評估共同準則國際標準ISO/IEC15408:1999。
圖1示出了用戶或所有者12、對策14、漏洞16、威脅代理18、威脅22、風險20和資產24。本領域的技術人員將熟悉圖1所示的一般安全範例，因此這裡僅對其進行簡要描述。
用戶/所有者12可以包括例如通信網絡的所有者或運營商，或其它對資產24感興趣的利益相關者。
對策14代表動作，例如計算機系統資產上的作業系統或應用軟體的升級，其可以用來減少漏洞16。漏洞16是在資產的操作中的條件，其使得漏洞對攻擊或可能地對故障很敏感。作業系統軟體中的安全空洞是漏洞的一個說明性例子。
威脅代理18是指希望以並非是運營商/所有者12所期望的方式濫用或使用資產24的那一方。威脅22是資產24可能被損害的指示，其說明了一種可能性。
在通信網絡的例子中，資產24是網絡的組件，其可以是物理的或邏輯的。漏洞16可以針對資產24的每個類型而存在。
如圖1所示，用戶/所有者12評估資產、希望最小化資產24的風險20，並且可以知道導致資產24的風險20的漏洞16。漏洞16可以通過用戶/所有者12強制對策14而被減少。通過查看圖1，圖中所示的其它概念之間的內部關係對於本領域的技術人員而言是顯而易見的。
圖2示出了圖1所示的概念的適配以及它們如何有關於本發明，圖2是示出本發明實施例的安全判決模型的框圖。
圖2中的用戶/所有者32、威脅代理38、威脅42、風險40、資產44和漏洞36基本類似於圖1中標註的部件，但是根據本發明的實施例不同於傳統技術地被處理。
漏洞和網絡庫存(inventory)資料庫系統46包括資料庫，其用來存儲與漏洞和資產關聯的信息或可以從中導出漏洞和資產信息的信息。在圖2所示的例子中，資料庫系統46包括安全知識資料庫47，其存儲與已知漏洞相關聯的信息，或者被轉換或處理以生成漏洞信息的安全信息。網絡配置文件(profile)資料庫48存儲網絡庫存信息。網絡中與資產關聯的信息可以從網絡配置文件資料庫48中獲得，或者根據從網絡配置文件資料庫48中獲得的信息來推導。
資料庫系統46的各種實現對於本領域的技術人員而言是顯而易見的。例如，許多不同類型數據存儲設備中的任一個，例如磁碟驅動器和固態存儲設備，可以被用於存儲資料庫47、48。根據本發明的一個特定實施例，資料庫47、48被存儲在也執行實現安全判決模型30的軟體的計算機系統中。然而應當認識到，資料庫系統46更通常代表這樣一種系統通過該系統可以訪問漏洞和資產信息或者訪問可從中導出這些信息的信息。資料庫47、48因而可以是遠程資料庫，模型30可以通過合適的接口和連接來訪問該資料庫。例如，資料庫47、48可以位於區域網(LAN)中的伺服器，該情況下信息通過網絡接口和LAN連接是可訪問的。
在操作中，安全判決模型30考慮資產和漏洞以確定風險評估。風險評估提供了當前網絡安全狀態的指示給用戶/所有者32。
安全判決模型30可以如圖3所示那樣被實現，圖3是根據本發明實施例的安全風險披露管理系統的框圖。
系統50的結構包括三個主要元件，也就是用戶接口52、安全模塊54和數據系統56。在一個實施例中，在計算機系統中實現這些元件。因而可以通過顯示器和例如鍵盤、滑鼠和/或觸控螢幕的輸入設備來提供用戶接口52，安全模塊54可以主要在軟體中被實現，該軟體存儲在計算機系統的存儲器中並且由處理器來執行，並且數據系統56可以包括本地存儲器、到遠程存儲器的接口及其一些組合。
應當認識到，利用不同的互連，本發明的實施例可以包括比圖3中明確示出的更多、更少或者不同的元件。例如，安全風險管理系統可以不包括圖3所示的每個元件。其中實現本發明的系統50或另一實施例的計算機系統或其它設備，還可以包括用於其它功能的更多元件。計算機系統中的處理器典型地執行作業系統軟體以及例如實現安全風險管理功能的應用軟體。因此，圖3和其它圖的內容僅用於說明的目的，而不限制本發明的範圍。
在圖3所示的特定示例性實施例中，用戶接口52包括模擬接口62、配置接口64、網絡地圖66和報告接口68。用戶接口元件62、64、66、68與安全模塊54交互以接受用戶輸入和/或提供輸出給用戶。顯示器、鍵盤、滑鼠和觸控螢幕代表了輸入和輸出設備類型的例子，信息通過它們可以在用戶和安全模塊54之間被傳送。這些單元還可以具有關聯的軟體組件，用於由處理器執行以處理並傳送輸入和輸出信息。
模擬接口62、配置接口64、網絡地圖66和報告接口68，有效耦合到安全模塊54。這些元件通過其進行交互的連接的形式，取決於其中實現系統50的特定類型的設備。例如，內部總線結構常用在計算機系統中，且因此用戶接口52與其具有安全模塊54的部件之間的交互，以及數據系統56，可以通過內部連接、驅動器和處理器和各種輸入/輸出設備之間的接口來被啟動。然而，也可以使用其它類型的連接。
安全模塊54包括事件管理器72，其有效耦合到模擬接口62、配置接口64、一個或多個外部系統71、以及數據系統56；網絡模型管理器74，其有效耦合到網絡地圖66、事件管理器72、以及數據系統56；風險分析器76，其有效耦合到配置接口64、網絡模型管理器74和數據系統56；以及報告管理器78，其有效耦合到風險分析器76、報告接口68和數據系統56。安全分析器54的這些部件，像用戶接口52的那些部件一樣，可以被實現在硬體、由處理器執行的軟體或其一些組合中。
數據系統56包括漏洞資料庫82，其有效耦合到事件管理器72和風險分析器76；資產資料庫84，其有效耦合到事件管理器72、網絡模型管理器74和風險分析器76；安全狀態資料庫86，其有效耦合到風險分析器76和報告管理器78；以及用戶接口資料庫88，其有效耦合到用戶接口52。這些資料庫可以被存儲在各種類型的存儲設備的任一個中，例如固態存儲設備、磁碟驅動器以及使用固定、移動或可能地可拆卸的存儲介質的其它類型的存儲設備。數據系統56可以包括數據存儲器或者可通過其訪問遠程數據存儲器的接口，如以上結合圖2所述。儘管在圖3中被分離地示出，然而多個資料庫82、84、86和88可以被存儲在一個數據存儲器或存儲設備中。
漏洞資料庫82存儲與漏洞相關聯的信息，而資產資料庫84存儲與資產相關聯的信息。這些資料庫代表資料庫47、48(圖2)的例子。以下提供了根據本發明實施例的可被存儲在資料庫82、84中的數據結構。
安全狀態資料庫86存儲與系統的歷史和/或當前的安全風險狀態相關聯的信息。與用戶接口52相關聯的信息，例如已經由用戶配置的不同的網絡視圖和圖標布局，被存儲在用戶接口資料庫88中。
用於操作的系統50的初始配置可能涉及在資料庫82、84中存儲漏洞信息和資產信息。漏洞和資產信息可以由例如網絡操作人員人工輸入，和/或從現有數據存儲器或其它資源中引入。如下文所述，資料庫82、84可以通過事件管理器72來被填充(populate)，或者可能地通過另一個接口(未示出)來被填充，其中可以通過該另一個接口訪問資料庫82、84。
事件管理器72處理輸入的事件，例如初始網絡和漏洞配置信息，新漏洞的引入，或網絡拓撲或配置中的變化。信息可以由事件管理器72從模擬接口62、配置接口64或例如通信網絡的網絡管理系統(NMS)的一個或多個外部系統71來接收。
通過模擬接口62，用戶可以在網絡中進行試驗性或臨時性的變化。這允許用戶在這些變化實際在網絡中發生之前調查變化的影響，例如對策。用與接收自其它源的變化或更新不同的方式，優選地處理來自模擬接口62的模擬事件，以使臨時的模擬變化不會影響反映實際網絡條件的漏洞和資產。這可以例如通過提供分離的模擬資料庫來實現，其中臨時變化應用於該模擬資料庫。根據數據系統56中可用存儲空間的量，模擬資料庫可以被存儲直到被用戶明確刪除或清空，或者當用戶關閉或退出模擬接口62時被自動刪除。
由事件管理器72從影響實際漏洞或網絡資產的配置接口64或一個或多個外部系統71所接收的信息，可以被處理並寫入資料庫82、84。由事件管理器72執行的處理的性質，可能取決於例如信息的類型、格式和/或資源。
通過配置接口64所輸入的信息可能已經根據用來存儲信息到資料庫82、84中的數據結構而被格式化，並且可以被寫入所述資料庫中而不需要大量的處理。然而，在接收自外部系統71的信息的情況下，例如格式和/或內容轉換的處理可以由事件管理器72來執行。例如，包括由用在網絡中的軟體的銷售商所發現的新漏洞的告警的電子郵件更新，可以由事件管理器72來接收並處理，並被用於更新漏洞資料庫82。接收自NMS的網絡設備或配置更新可能涉及處理的中間級，該處理通常比來自其它外部系統71的信息少，但是比來自內部配置接口64的信息多。
事件管理器72因而可以接收與漏洞和資產相關聯的信息，並且更新當前的漏洞和資產，或者更特別地基於所接收的信息更新資料庫82、84中的信息。
網絡模型管理器74捕獲從事件管理器72、資產資料庫84或二者來分析的網絡的表示，以呈現網絡地圖66給用戶。資產和它們的關係，如在資產資料庫84中所指定的，由網絡模型管理器74使用以構建網絡的模型。影響當前網絡模型的事件可以從事件管理器72被傳遞給網絡模型管理器74，或者被存儲在資產資料庫84中用於由網絡模型管理器74訪問。因此應當認識到，網絡模型管理器74不必有效耦合到事件管理器72。在一些實施例中，模擬接口62和配置接口64可以有效耦合到網絡模型管理器74以將變化應用於模型。
風險分析器76執行風險分析和計算。根據本發明的一個方面，風險分析器76確定影響通信網絡的資產的漏洞，並通過分析漏洞和資產確定通信網絡中的風險。如上所述，與漏洞和資產相關聯的信息被存儲在資料庫82、84中，並且由風險分析器76訪問。
資產可以包括物理資產和邏輯資產中任一個或二者，該物理資產說明性地是通信網絡中的設備，該邏輯資產例如是運行在通信網絡中設備上的軟體和由通信網絡中設備所存儲的信息。
由風險分析器76確定的風險的指示被提供給網絡模型管理器74，以使通信網絡的表示和所確定的風險可以通過用戶接口52以網絡地圖66的形式被提供給用戶。網絡地圖66因而包括網絡的表示和詳細的安全風險信息二者。網絡地圖66的多種不同類型和設計中的任一個，可以被用於呈現風險分析的結果。其中利用圖標或圖像、文本或其一些組合來示出資產和風險的網絡的圖解表示，可以提供網絡當前安全狀態的最有效指示。在一些實施例中，網絡地圖66的格式和設計是根據存儲在用戶接口資料庫88中先前建立的用戶接口設置的。
本發明決不限於任何特定類型的表示或輸出。例如，也設想了例如警報或告警的指示，其可以通過用戶接口52被本地提供或傳送給例如傳呼機或電子郵件客戶端的遠程系統。
風險分析器76還可以提供安全風險信息給報告管理器78和安全狀態資料庫86中任一個或二者。在圖3中，風險分析器76有效耦合到報告管理器78和安全狀態資料庫86二者。風險分析器76的輸出可以替代地通過報告管理器78被提供給安全狀態資料庫86。另一可能的選項是將風險分析器76和報告管理器78有效耦合到安全狀態資料庫86。在這種情況中，風險分析器76的輸出被提供給安全狀態資料庫86，並且安全狀態資料庫86中的信息因而由報告管理器78訪問，以通過報告接口68提供報告給用戶。
報告接口68還可以從用戶接收風險報告選擇輸入，用於配置由風險分析器76所確定的風險的報告。風險報告選擇輸入可以控制由報告管理器78生成的報告的內容、格式或二者。響應於通過報告接口68所接收的風險報告選擇輸入，報告管理器78訪問例如安全狀態資料庫86中的安全風險信息，並為用戶生成定製的報告。
如上所述，這裡公開的技術的另一個優點是靈活性。通過配置接口64，用戶可以提供與漏洞、資產或二者相關聯的網絡配置信息，從而有效改變被分析的通信網絡。
配置接口64還可以被用於輸入風險分析配置信息，以配置由風險分析器76應用於漏洞和資產的分析過程。根據由用戶提供的風險分析配置信息來適配該風險分析過程。例如，風險分析適配可能涉及選擇風險計算或參數的指定類型。
本發明的實施例還規定了用於分析的特定通信網絡特徵的選擇。用戶可能關注評估指定網絡資產的風險、由網絡提供的指定服務的風險，或者利用通信網絡而被執行的指定任務的風險。
一旦選擇了服務、任務或其它網絡特徵，風險分析器76就說明性地通過訪問資料庫82、84來確定影響與所選特徵相關聯的網絡中的所選特徵或資產的漏洞。風險分析器76然後通過分析漏洞和資產來確定所選特徵的風險。特徵指定的風險的指示因而可以通過網絡模型管理器74、報告管理器78或二者而被提供。
以上主要就系統描述了本發明的實施例。圖4是說明根據本發明實施例的方法的流程圖。
方法90開始於步驟92，即網絡和/或風險配置的操作。這個操作可能包括以下操作中的任一個或全部例如填充或更新漏洞和/或資產信息、選擇一個或多個用於安全風險分析的指定網絡特徵，以及適配風險分析過程。
如果在步驟92指明了指定網絡特徵，則在步驟94確定影響所選網絡特徵的漏洞和/或關聯的資產，或在執行網絡範圍安全分析的情況下確定所有的資產，並且在步驟96分析該漏洞和資產以確定通信網絡中的風險。在步驟98提供了所確定風險的指示。
應當認識到，方法90僅用於說明的目的，而不限制本發明的範圍。可以用比圖4所示更少或更多的操作來實現本發明的實施例，或者可以用不同的順序來執行所說明的操作。例如，當網絡漏洞和/或資產被更新時，或者對於不同的模擬情景，方法90可以被重複。
本發明的另一方面提供了一種風險計算引擎和關聯的技術，以計算網絡安全風險披露。參考圖3，由風險分析器76對資產和漏洞進行的分析，可能包括下面詳細描述的風險披露計算。
例如，根據一個實施例，風險分析器76還可以考慮資產之間的關係，以便遍及整個網絡地傳播漏洞和風險的影響。漏洞的傳播允許風險分析，從而不僅考慮影響特定資產的漏洞，還考慮影響與該資產有關係的其它資產的漏洞。特定資產的風險確定因而可以基於其自身漏洞和影響相關資產的被傳播漏洞二者。因此，本發明的這個方面可以被看作是傳播漏洞的影響、傳播風險或者二者，並且應當相應地解釋這裡對漏洞和風險的傳播的參考。
靈活的風險計算公式向例如通信網絡運營商或服務提供商的用戶/所有者提供了實質的利益。如上所述，傳統的安全風險管理工具在它們的風險評估引擎中實現固定的邏輯。在另一個實施例中，風險計算被分解為基於計算器的部件。可以進一步為這些計算器裝配基於行為的部件。每個部件本身可以是可定製的，從而允許風險計算的各種實現以滿足不同風險評估的需求，例如針對像企業、政府、軍對和公眾的用戶/所有者或團體。
關於風險傳播，首先考慮存在於資產類型之間的關係可能是有益的。圖5是說明資產的類型以及資產如何與其它資產相關的例子(即資產間的關係)的框圖。
如上所述，資產可以是通信網絡的物理或邏輯部件。在圖5的系統100中，個人記算機(PC)101和SPARC工作站103是物理資產，而作業系統102、104、網際網路(www)伺服器106和資料庫108是邏輯資產。
圖5中還示出了這些資產之間的關係。網絡不僅通過資產被描述，還通過它們之間的關係被描述。關係描述了資產如何被互連和/或它們的功能相關性。
在圖5中，PC 101和工作站103具有「有線連接(cabled-to)」關係，以指示這些資產通過某種類型的通信鏈路進行通信，例如通過通信網絡的物理連接。作業系統102、104由PC 101和工作站103處的處理器來執行，且因而分別與PC 101和工作站103具有「運行於其上」的關係。
伺服器106和資料庫108由軟體來支持，該軟體也由PC 101和工作站103中的處理器來執行。由於這種類型的軟體通常通過作業系統102，104或在該系統內而被執行，因此伺服器106和資料庫108分別具有與作業系統102、104的「運行於其上」的關係。
圖5中說明了在伺服器106和資料庫108之間的另一種類型的關係。例如，伺服器106可以提供訪問存儲在資料庫108中的庫存信息的庫存系統。伺服器106或其支持的功能由此取決於資料庫108，並且因此與資料庫108具有「依賴」關係。
在一個實施例中，可以以二級的方式說明資產之間的關係。首先，該關係本身根據其類型而被表示，包括「有線連接」、「運行於其上」和「依賴」，以及在其間可能存在特定關係的資產的數量。圖5中的「有線連接」關係，例如是「有線連接」類型，需要至少兩個端點資產。下文將進一步描述的安全參數還可以被包括在關係規範中。
一旦已經定義了關係，作為特定關係一方的資產就被關聯於所述關係。對於一些類型的關係，資產與關係的關聯還可以指示資產是「來自」關係的成員還是「到」關係的成員。「來自」和「到」信息被用於例如「運行於其上」的關係，其中「來自」成員是運行成員，而「到」成員是運行成員在其上運行的成員。在圖5中，作業系統102是作業系統102和PC 101之間的關係的「來自」成員，而PC 101是「到」成員，如通過這些資產之間的箭頭方向所指示的。對於「依賴」關係，「來自」成員取決於「到」成員。對於具有等價成員的關係的類型，例如「有線連接」，「來自」或「到」的值可以被指定為「不可應用」等。
本發明不限於這種類型的關係的表示。以上表示僅作為說明性例子而被提供。
資產和關係的其它類型也可以存在於通信網絡或要為其評估風險的其它系統中。本發明決不限於圖5所示的特定的資產和關係。例如，風險傳播和可定製的風險計算可以被應用於與通信網絡相關聯的其它資產。不同的利益相關者或用戶/所有者可能具有不同的風險評估目標，並且可能因而以不同的方式建模或配置資產。
儘管一個用戶/所有者可能只關注針對通信網絡中通信設備的評估風險，然而另一個用戶/所有者可能希望實施與通信網絡相關聯的所有資產的更詳細分析。在這個例子中，第一用戶/所有者可以只對通信設備和它們的作業系統建模，而第二用戶/所有者可以對通信設備的子部件建模，該子部件包括電源、通信設備處於其中的建築物，以及與通信網絡相關聯但並不嚴格地是通信網絡的一部分的其它資產。
通過確定與通信網絡相關聯的資產之間的關係，安全風險分析系統或方法可以傳播相關資產之間的漏洞的影響。
資產之間的傳播的類型可能取決於那些資產之間的關係。例如，A和B之間的依賴關係可以指示資產A的可用性取決於資產B的可用性，但是在有線連接關係中，可能不是這樣的情況。在後一情況中，僅由於資產A不可用並不一定意味著資產B不可用。這種情景的一個例子是連接到網絡的兩個PC。
例如，風險分析器76(圖3)可以確定影響與通信網絡相關聯的資產的漏洞，並且從該資產向另一資產傳播漏洞的影響，其中該另一資產與該資產有關係。這種傳播，以及相反方向的傳播，可以被應用在資產和與該資產有關係的每個其它資產之間。
在一些實施例中，基於影響資產的漏洞和從其它資產傳播到該資產的漏洞，風險分析器還確定了資產的安全風險，和/或網絡、其服務以及其它網絡特徵的安全風險。
圖6是風險計算系統的框圖，其例如可以被實現在圖3的風險分析器76中。風險計算系統110包括風險計算器112；有效耦合到風險計算器112的總披露計算器114；有效耦合到總披露計算器114的直接披露計算器116；有效耦合到風險計算器112、直接披露計算器116和還有效耦合到總披露計算器114的間接披露計算器118的漏洞資料庫122；有效耦合到間接披露計算器118的可達到性計算器120；以及有效耦合到風險計算器112、直接披露計算器116、間接披露計算器118和可達到性計算器120的資產資料庫124。
計算器112、114、116、118、120可以被實現在例如由處理器執行的軟體中，儘管也設想了基於硬體的實施例和其中利用硬體和軟體的某種組合來實現計算功能的實施例。
風險計算器112使用披露和資產信息來計算資產、網絡服務或其它一些所選網絡特徵的安全風險。披露是在給定資產和影響該資產的漏洞之間的映射。如上所述，漏洞是在資產的操作中的條件，該操作使得漏洞對於攻擊或故障很敏感。其它信息，例如威脅值，也可以由風險計算器112在計算風險時使用。可以例如由用戶針對資產輸入的威脅值，是資產可能被損害的指示。例如，可以用比連接到網絡的PC更低的威脅值來標記沒有連接到網絡且位於高度受保護場所中的PC，即使在運行於其上的軟體中具有幾個漏洞。
風險計算器112的輸出實際上優選地是多維的。當網絡的複雜度隨提供各個指定服務的設備而增加時，所確定的風險優選地反映了安全的多個方面，例如保密性、完整性和可用性(C，I，A)。
包含於由風險計算器112提供的輸出中的安全維數可以被預先確定，或者由用戶/所有者通過配置接口64(圖3)來配置，例如。用戶/所有者可能希望評估影響服務的可用性的服務的安全風險。在這種情況中，風險計算器112提供了指示所選服務可用性的安全風險的輸出。
根據一個實施例，安全維數信息是以數字格式而被提供的，如在0和1之間的數字，以指示資產、服務或其它網絡特徵的安全維數的重要性和相關性的等級。例如，三元組(1，0，0)可以被用於指示保密性風險，或如下所述，資產具有用於提供網絡中的保密性的值。然而應當認識到，其它指示可以被用於安全維數，例如風險的嚴重性或重要性的指示、漏洞的指示，或關於每個安全維數的資產的指示。例如三元組(0.75，0.50，0.25)提供了C，I，A參數具有不同重要性等級的指示。
在系統110中，披露可以由總披露計算器114根據直接披露和間接披露之一或二者來計算。直接披露是由直接披露計算器116基於直接影響資產的漏洞來確定的。間接披露計算器118計算不同類型的披露，即從相關資產傳播到資產的間接披露。例如，與作業系統相關聯的漏洞可以傳播到其應用中的任一個。在圖5中，影響作業系統102、104的漏洞，可以分別傳播到伺服器106和資料庫108。間接披露計算器118在其確定風險的間接披露時使用關於關係、資產和可達到性的信息披露。
可達到性由可達到性計算器120基於關係和資產信息來確定。可達到性計算器120實現一種功能來計算網絡中資產之間的路徑的披露。例如，圖5中的伺服器106依賴於其本身與資料庫108之間、通過PC 101和工作站103的物理連通性。這種連通性的披露這裡主要稱作「可達到性」。
系統110中的計算器可以訪問資料庫112、124以獲得關於漏洞和資產的信息，和/或獲得從用於其它計算的其它計算器所輸出的信息，如在風險計算器112和總披露計算器114的情況下。
根據一個實施例，這組計算器能夠被靈活地應用於風險計算器。不同的用戶/所有者或團體(例如企業、政府、軍隊和公眾)可以有不同的需求或風險評估情景。
例如，通過總披露計算器114而有效耦合到直接和間接披露計算器116、118的風險計算器112，可以因而基於由針對當前風險分析操作所選擇的特定計算器所確定的披露，來確定安全風險。例如，用戶可以選擇直接披露分析，在該情況下選擇直接披露計算器116。
用於安全風險分析操作的計算器的選擇，可以例如通過明確選擇特定計算器或要分析的披露的特定類型來被實現，例如通過經由用戶接口輸入風險分析配置信息。計算器選擇還可能在被執行風險分析的類型中是固有的。在一個實施例中，儘管更多的目標風險評估可能致使計算器的各個子集被選擇，然而網絡範圍風險評估自動地致使所有披露計算器被選擇。其它的選擇機制也可以被設想，並且對於本領域的技術人員是顯而易見的。
計算器的選擇結果也可以是與實現相關的。在一些實施例中，計算器僅當針對當前風險分析操作而被選擇時可以用來計算披露的相應類型。另一可能的實現可以具有這樣的計算器在每個風險分析操作期間確定它們的披露的相應類型，同時另一個部件，例如總披露計算器114，選擇披露的一個或多個不同類型以包括到總披露計算中。
應當認識到，不是每個計算器都必需是可選擇的。根據一個可能的實施例，默認或基本計算器，說明性地是直接披露計算器116，總是被自動選擇並用於每個風險分析操作中。在這種情況中，間接披露計算器118可以是可選擇的以提供風險分析中的靈活性。
附加的基於行為的部件也可以與風險計算系統中的這些計算器相組合。遍歷(traversal)代理或功能可以被用於確定處理在風險評估期間與網絡相關聯的資產的最佳順序。
在一些實施例中，每個資產被順序地處理而不考慮拓撲。在其它實施例中，資產可以以基於更複雜算法的順序而被處理，該算法基於例如資產關係和資產路徑、和/或攻擊路徑來順序地選擇資產。風險傳播特徵還可以是在確定遍歷順序時被考慮。風險傳播特徵可以被用於到例如最多兩個關係的嚴格的風險傳播。在這種情況中，認為與一個資產具有不止兩個關係的資產對於該資產沒有風險影響。在分析操作期間使用的特定遍歷順序算法可以被預先確定，或者是可由用戶來選擇或配置的。
另一個可能的行為部件是資產漏洞建立器，其構建了漏洞和資產之間的關聯。這個部件將漏洞映射到該漏洞所影響的資產，其中披露計算器116、118可以通過該部件交互以確定直接和間接披露。直接披露計算器116基於這些映射計算直接風險。通過關係，間接披露計算器118可以確定由資產漏洞建立器映射到資產的哪些漏洞傳播到其它資產。
在一些實施例中，披露計算器116、118本身映射漏洞到資產，而不是使用分離的資產漏洞建立器。
資產到漏洞的映射構建了網絡的資產和已知漏洞之間的關聯。資產和漏洞資料庫124、122存儲了被訪問並被處理以構建這些關聯的資產和漏洞信息。
根據本發明的一個實施例，對於指定的資產，映射過程包括比較資產信息和開發的資源。資源可以是特定的平臺，其通過名稱和版本號而在資產和漏洞資料庫中被標識。其它資產和漏洞信息也可以在資產與漏洞匹配期間被處理。平臺漏洞以及其它類型的漏洞可能具有其它的需求，例如必須被用於開發漏洞的特定訪問機制。在這種情況中，將資產的訪問機制與該漏洞所需求的訪問機制相比較。
如果資產信息匹配於漏洞信息，則在漏洞和資產之間創建關聯。在以上的例子中，如果在資產和漏洞平臺名稱、平臺版本和訪問機制之間存在匹配，則創建關聯。可以創建資產和漏洞之間的關聯，例如通過存儲具有漏洞的被影響資產的標識符到漏洞資料庫122中、存儲具有被影響資產的漏洞的標識符到資產資料庫124中，或者存儲被影響資產和漏洞的標識符到分離的資產漏洞表中。
對於其它資產，可以搜索資產關係以確定每個其它資產是否與被漏洞直接影響的資產具有關係。在漏洞和與被直接影響的資產具有關係的每個其它資產之間進行關聯。例如，關係搜索的深度和類型可以是用戶指定的。
對於漏洞資料庫122中的所有漏洞和資產資料庫124中的所有資產，可以重複以上的操作。
確定影響資產的漏洞的過程可以通過用來存儲漏洞和資產數據的特定數據結構而被簡化。圖7A和7B分別是漏洞和資產數據結構的框圖。漏洞和資產資料庫可以包括具有圖7A和7B所示的結構的多個記錄。
如圖7A所示，用於存儲漏洞信息到漏洞資料庫中的漏洞數據結構130，可以包括漏洞標識符132和漏洞描述134。標識符132標識了漏洞，例如像作業系統名稱和版本號，而描述134定義了漏洞的方面，例如其影響，說明性地如根據以上(C、I、A)安全維數的數字三元組，條件，例如是要開發的漏洞所需求的訪問機制，等等。
數據域132、134的內容在風險分析實現之間可能是不同的。本發明決不限於用於指明漏洞的任何特定的方案。例如，可以根據應用漏洞描述語言(AVDL，Application Vulnerability Definition Language)、通用漏洞披露(CVE，CommonVulnerabilities and Exposures)或通用漏洞評估系統(CVSS，CommonVulnerability Scoring System)來指明漏洞。其它漏洞信息選項也是可能的，並且對於本領域的技術人員是顯而易見的。
圖7B的資產數據結構140包括資產標識符142、資產類型144、資產值146和資產配置文件148。標識符142例如利用用戶定義的名稱而唯一地標識了資產。資產類型域144可以指示資產的類型，像如上所述的物理或邏輯資產，和/或提供關於資產特性的更多細節，例如資產對其很關鍵或很重要的任何服務或任務。資產值146指示資產的一個或多個值，例如根據(C、I、A)安全維數和/或元值(dollarvalue)的值。
資產配置文件148包括用於映射漏洞到資產的信息。在以上通過其名稱和版本在數據結構130(圖7A)中識別的作業系統漏洞的例子中，PC的資產配置文件148標識了PC的作業系統的名稱和版本，並且可以通過將漏洞標識符與資產配置文件相匹配而由此將漏洞映射到其影響的資產。對於訪問資產可用的訪問機制還可以在資產配置文件148中被指示，用於將需要特定訪問機制的漏洞映射到資產。
還應當認識到，資產和漏洞可以在相反的方向中被匹配，這是由於與資產關聯的信息可以被用於標識影響該資產的漏洞。
包含於風險評估中的漏洞和資產類似地可以由風險分析器通過訪問數據結構130、140中的信息來識別。參考圖3，假設用戶/所有者通過配置接口64選擇保密性(C)風險評估。在這種情況下，風險分析器76訪問資料庫82、84以識別影響保密性的漏洞，和對於維持網絡中的保密性有價值的可能資產。
在資產和其它資產之間的關聯於關係的信息，還可以以關係類型和每個關係的資產標識符的形式而包含於資產配置文件148中。
圖7C是安全狀態數據結構135的說明性例子。如所示，安全狀態數據結構135包括資產或特徵標識符141，並且安全狀態信息包括直接披露信息143、間接披露信息145、總披露信息147和風險信息149。
標識符141標識了通信網絡的資產或特徵，例如根據用戶定義的名稱。域143、145、147、149存儲安全狀態信息，該信息優選地包括由計算器112、114、116、118(圖6)計算的披露和風險值。這些值中任一個或全部可以被表示為以上(C、I、A)安全維數的值。
應當認識到，域143、145、147、149還可以存儲其它披露或風險信息，例如另一個資產的標識符，關係類型以及在間接披露信息145情況下的被傳播漏洞。
數據結構135的其它變型包括提供資產或特徵的直接和間接披露的多個披露域。例如，可以為每個漏洞提供分離的域，該漏洞直接或間接地影響資產。
例如，數據結構135可以被用於存儲數據到安全狀態資料庫86(圖3)中。在另一個實施例中，披露和風險信息被添加到資產資料庫中的資產記錄，在該情況下，披露和風險域143、145、147、149中的任一個或全部可以包含於資產數據結構140中，可能地作為資產配置文件148的一部分。
數據結構130、140、135是數據結構的說明性例子，其可以被用於存儲漏洞、資產和安全狀態信息。包括附加或不同信息的不同數據結構可以被用於其它實施例中。
圖8是說明風險計算方法的流程圖。在圖8中，用參考號碼來標記該方法中的操作，且鄰近於被標記操作塊而示出了各種操作的輸出。根據本發明實施例的圖6所示的計算器的操作，也將根據圖8及其描述而變得顯而易見。
方法150開始於152，即通過例如以上描述的資產漏洞建立器來確定資產和漏洞以生成資產漏洞關聯。這種確定可能包括簡單地檢索被存儲資產和漏洞信息以計算資產和漏洞信息，或在一些實施例中處理信息以計算資產和漏洞信息，該信息然後被比較，以映射或關聯資產和漏洞。
在154，確定了用於處理資產的遍歷順序。按照遍歷順序的資產的直接披露然後在156利用資產/漏洞關聯而被確定。
在步驟154，根據(C、I、A)確定了直接披露。在這種情況中，每個漏洞具有(C、I、A)值，其表示該漏洞對資產所具有的影響。在一些實施例中使用規則集合(rule set)來確定如何計算最終的直接披露值。例如，資產的直接披露可以利用所有直接影響的漏洞的(C、I、A)值的總和而被生成，如在152所確定的資產漏洞關聯中所指示的。其它可能的直接披露計算規則可以指明漏洞的最大值或者每個安全維數的最大值被選擇為最終的直接披露值。用於直接披露計算的一個或多個規則可以被預先確定或由用戶選擇。
應當認識到，其它選項對於確定最終直接披露也是可能的。例如，直接披露計算器可以考慮其它信息，例如用戶輸入或提供的攻擊者專家經驗的指示。
在158確定總披露，儘管在這種情況下僅直接披露已經在156被確定，並且因此總披露與直接披露相同。
在一個實施例中，通過158的在152的操作初始化了基於軟體的計算器和數據，特別是用於所有資產的直接和總披露，其被用於後續的風險分析。然而應當認識到，用戶/所有者可以配置風險分析系統，以使只有直接漏洞被分析。在這種情況下，可以在156為所有資產確定直接披露，或者僅為與特定服務、任務和/或安全維數相關聯的某些資產確定直接披露。在158的總披露的確定也可以在該情況下被執行，即使總披露與直接披露相同。例如，這在基於軟體的實施例中可能很重要，在該實施例中風險計算器被配置用來基於總披露變量確定安全風險。
方法150然後在風險分析考慮間接披露的情況下轉變為間接披露階段，並且繼續在160確定資產的可達到性。
如上所述，資產可以具有關係，例如它們之間的「依賴」關係。例如，web伺服器可能取決於資料庫伺服器B。在這種情況下，A的功能性依賴於正確運行且通過網絡可達到的B。為了確定可達到性，網絡中的其它資產以及A和B之間的「有線連接」和「運行於其上」關係都被考慮到了。
說明性地利用Dijkstra算法或基於開放最短路徑優先(OSPF)的算法的某種形式，確定了這些資產之間的路徑的披露，以及兩個端點資產之間的路徑中每個資產的披露。這個算法的輸出是可達到性值，其在圖8中示為包括每個連接的資產對的總披露的可達到性表。
在162，以在154確定的遍歷順序或者可能以不同的順序來選擇資產，並且其間接披露在164基於其可達到性和關係而被確定。
間接披露表示資產通過其關係對於其它資產的風險或漏洞的披露。間接披露的確定可能包括遍歷與資產相關聯的關係的整個列表，並且評估是否滿足的那些關係中的每一個，即與一個或多個其它資產相關聯。
當一個資產依賴於另一個資產時，其還意味著被依賴的資產通過網絡是可達到的。每個資產的可達到性的風險因而可以包含於間接披露計算中。
規則集合可以被用於確定如何基於資產類型和關係計算間接披露值。例如，作業系統資產可以與路由器資產不同地處理依賴關係。
對於每個關係評估，考慮了幾個屬性，包括在關係的端點的資產的類型、那些資產的直接披露值、與關係相關聯的換算因數(scaling factor)，以及那些資產之間的路徑的披露值。
關係的端點的可達到性披露可以利用上述可達到性表而被評估。這表示了資產之間的路徑的披露值。
利用間接披路規則集合中所包括的參數，計算來自每個關係的披露的評估。例如，路徑披露和端點披露能夠被組合，並且然後乘以關係換算因數以確定單個關係的間接披露。對於每個與資產相關聯的關係重複這些操作。
一旦所有關係披露已經被確定，就基於關係披路來確定間接披露。例如，關係披露可以被累加，或者最大關係披露或每個安全維數的最大值可以被選擇，以確定最終的間接披露。其它算法還可以被用於確定間接披露。
在166，確定資產的總披露，包括如在154確定的其直接披露，以及如在164確定的其間接披露。如上面對於直接和間接披露所描述的，規則集合可以被用於定義如何確定總披露。例如，規則集合可以指明總披露的75％是來自直接披露，而25％是來自間接披露。總披露計算還可以根據其被應用於的資產的類型而變化，以向例如作業系統和硬體平臺提供不同的總披露計算方案。
由於與資產有關係的其它資產的總披露可能影響其可達到性，資產的可達到性可以在168再次被確定，以更新資產可達到性表。例如，通過路由器連接到網絡的PC可能具有對路由器的可用性的高度披露。因此，該PC根據路由器的總披露而不太容易達到。
如在170所示，通過168的在162的操作針對要分析的所有資產而被重複。這可能在執行全面網絡分析時包括所有的資產，或者在針對例如特定資產或資產組或者特定服務、任務或安全維數而實施更目標化的分析時僅包括某些資產。
在一些實施例中，迭代步驟160-168，直到如在172所示的披露計算收斂或者迭代的某個預定數量已經被完成。
然後利用總披露和資產值在174確定安全風險的估計，並且提供安全風險的指示。
風險計算，像披露計算那樣，可以被規則集合控制。相對簡單的風險計算器可以執行乘法規則，其中乘以披露和資產值。使用(C、I、A)值時，這種類型的方案有效解決了在資產和披露安全參數中的不同性。例如，只有當資產值也具有保密性參數1時，披露值(1、0、0)才生成風險值(1、0、0)。因此，只有當資產具有保密性目的的值時，保密性披露才導致保密性風險。保密性披露不會導致資產的任何風險，該資產具有僅針對完整性和/或可用性的值。
風險的確定還可能包括處理更多的信息，例如用戶輸入的威肋值。在「相乘」風險計算規則的情況下，威脅值可以擴縮(scale)披露和資產值的乘積。
圖9是可以結合其來實現本發明實施例的通信網絡的框圖。圖9中的通信網絡182包括通過其可以建立通信鏈路的路由器/交換機184、186、用於管理路由器/交換機模塊184、186的網絡管理系統188、通過路由器/交換機184進行通信的伺服器計算機192和資料庫伺服器計算機198，以及管理由伺服器計算機192和資料庫伺服器計算機198所提供的服務的服務管理系統190。
伺服器計算機192和資料庫伺服器計算機198是圖5所示的PC和工作站的例子。這些計算機，以及它們的作業系統194、200和伺服器和資料庫應用軟體196、202，相互協作以提供資料庫訪問服務，例如庫存服務。
設備的類型對於本領域的技術人員是顯而易見的，其可以被實現為路由器/交換機184、186、伺服器計算機192、198和管理系統188、190，以及通信網絡中可以提供的其它設備。本發明決不限於設備或其它通信網絡資產的任何指定類型。儘管沒有在圖9中明確示出，然而其它與通信網絡182相關聯的資產，包括通信設備或其它資產處於其中的建築物，也可以包含於通信網絡風險分析模式中。
如這裡公開的本發明實施例在用於評估通信網絡182中資產的風險的網絡管理系統188中是有用的。服務管理系統190是另一類型系統的例子，用來管理伺服器計算機192、198和涉及提供服務的其它資產的風險，其中本發明的實施例在該系統中是有用的。
風險分析器可以被實現為現有網絡和服務管理系統的擴展，以提供網絡和/或服務的當前安全狀態信息。例如考慮電信服務提供商，本發明的實施例可以補足操作支持系統(OSS)，並且可以被併入鄰近網絡操作中心(NOC)的安全操作中心(SOC)中。對於OSS軟體銷售商，這裡公開的風險分析和管理技術提供了一種可以提供指定安全擴展的機會，其中該指定安全擴展可以作為定製添加的部件而被提供。
已經公開了用於網絡和服務運營商和其它通信網絡利益相關者的靈活的安全風險管理和評估。例如，如這裡公開的靈活的安全模型可以被配置用來反映網絡和企業優先級。風險分析還可以基於指定網絡、服務和其它相關性而被定製。
所描述的內容僅是本發明原理的應用的說明。其它安排和方法可以由本領域的技術人員在不脫離本發明的範圍前提下實現。
儘管主要就方法和系統進行了描述，然而也設想了本發明的其它實現，例如說明性地作為存儲在機器可讀介質上的指令。
權利要求
1.一種風險分析器，其被配置用來將影響通信網絡資產的漏洞關聯於和所述資產有關係的通信網絡的另一個資產。
2.根據權利要求1的風險分析器，其中，所述關係包括有線連接關係、運行於其上關係和依賴關係中的一個或多個。
3.根據權利要求1的風險分析器，其中，所述風險分析器還被配置用來將所述漏洞關聯於和所述資產有關係的每個其它資產。
4.根據權利要求3的風險分析器，其中，所述風險分析器還被配置用來將影響每個其它資產的漏洞關聯於所述資產。
5.根據權利要求4的風險分析器，其中，所述風險分析器還被配置用來基於影響所述資產的漏洞和影響每個其它資產並與所述資產相關聯的漏洞，確定所述資產的安全風險。
6.根據權利要求5的風險分析器，其中，所述風險分析器包括直接披露計算器，其被配置用來基於所述影響資產的漏洞而確定該資產的直接披露風險；間接披露計算器，其被配置用來基於影響每個其它資產並與所述資產相關聯的漏洞，確定該資產的間接披露風險；總披露計算器，其被配置用來根據所述直接披露風險和間接披露風險而確定所述資產的總披露風險；以及風險計算器，其被配置用來基於所述總披露風險而確定所述資產的安全風險。
7.根據權利要求6的風險分析器，其中，所述風險計算器還被配置用來基於所述資產的安全風險而確定所述通信網絡的特徵的安全風險。
8.一種安全風險分析系統，其包括根據權利要求1至7中任一個的風險分析器；以及數據系統，其有效耦合到所述風險分析器，並且被配置用來提供對資產信息、關係信息和漏洞信息的訪問。
9.根據權利要求1至7中任一個的風險分析器，其中，所述風險分析器還被配置用來確定所述通信網絡中多個資產的遍歷順序，並且確定影響在按照該遍歷順序的序列中的多個資產中的每一個的漏洞。
10.一種安全風險分析方法，其包括提供影響通信網絡的資產的漏洞；以及將所述漏洞關聯於和該資產有關係的通信網絡的另一個資產。
11.根據權利要求10的方法，其中，所述關聯包括將所述漏洞關聯於和該資產有關係的每個其它資產。
12.根據權利要求11的方法，還包括將影響每個其它資產的漏洞關聯於所述資產。
13.根據權利要求12的方法，還包括基於所述影響資產的漏洞和影響每個其它資產並與該資產相關聯的漏洞，確定所述資產的安全風險。
14.根據權利要求13的方法，其中，所述確定安全風險包括基於所述影響資產的漏洞，確定該資產的直接披露風險；基於影響每個其它資產並與所述資產相關聯的漏洞，確定該資產的間接披露風險；根據所述直接披露風險和間接披露風險，確定所述資產的總披露風險；以及基於所述總披露風險，確定所述資產的安全風險。
15.根據權利要求14的方法，還包括基於所述資產的安全風險，確定所述通信網絡的特徵的安全風險。
16.一種安全風險分析系統，其包括多個風險披露計算器，其被配置用來確定關聯於通信網絡的資產對該通信網絡中漏洞的披露的各個類型；以及風險計算器，其有效耦合到所述多個風險披露計算器，並且被配置用來基於由所述多個風險披露計算器中一個或多個所選計算器所確定的披露，來確定所述通信網絡中的安全風險。
17.根據權利要求16的系統，其中，所述多個風險披露計算器包括用於確定各個默認披露的一個或多個默認風險披露計算器，其中所述默認披露被自動選定以由所述風險計算器用於確定所述安全風險。
18.根據權利要求16或權利要求17的系統，其中，所述多個風險披露計算器包括被配置用來僅當被選定用於當前安全風險分析操作時才確定它們各自的披露類型的一個或多個風險披露計算器。
19.根據權利要求16的系統，其中，所述多個風險披露計算器包括直接披露計算器，其被配置用來基於影響所述資產的漏洞而確定資產的直接披露；以及間接披露計算器，其被配置用來基於通過其它資產而影響所述資產的漏洞來確定資產的間接披露，其中所述其它資產與所述資產有各自的關係。
20.根據權利要求19的系統，還包括總披露計算器，其有效耦合到所述直接披露計算器、間接披露計算器以及風險計算器，並且被配置用來根據所述直接披露、間接披露或者直接披露和間接披露二者，確定資產的總披露，其中，所述風險計算器被配置用來基於所述總披露而確定所述安全風險。
21.根據權利要求16、17、19和20中任一個的系統，還包括用戶接口，其被配置用來從用戶接收風險分析配置信息，該風險分析配置信息與一個或多個所選風險披露計算器相關聯以用於當前安全風險分析操作。
22.根據權利要求21的系統，其中，所述配置信息針對當前安全風險分析操作而指定了風險披露計算器和披露類型中的一個或多個。
23.一種安全風險分析方法，其包括確定一個或多個披露類型，其中該一個或多個披露類型是從關聯於通信網絡的資產對該通信網絡中漏洞的披露的多個類型中選出的；以及基於所述一個或多個披露類型，確定所述通信網絡中的安全風險。
24.一種存儲數據結構的機器可讀介質，所述數據結構包括存儲標識了通信網絡的資產的信息的數據域；以及存儲所述資產的資產配置文件的數據域，所述資產配置文件包括關係信息，該關係信息指定了所述通信網絡中所述資產和一個或多個其它資產之間的各個關係，根據所述關係，將影響所述資產的漏洞關聯於所述一個或多個其它資產。
25.一種存儲數據結構的機器可讀介質，所述數據結構包括存儲標識了通信網絡的資產的信息的數據域；以及存儲安全狀態信息的數據域，所述安全狀態信息包括間接披露信息，該間接披露信息涉及所述資產通過通信網絡中這個資產與一個或多個其它資產之間的各個關係而對影響該一個或多個其它資產的漏洞的披露。
全文摘要
公開了安全風險分析系統和方法。根據資產之間的關係，將影響通信網絡的資產的漏洞關聯於通信網絡的其它資產。因此可以基於直接影響資產的漏洞和通過它們與其它資產的關係而間接影響資產的漏洞二者，來評估安全風險。風險披露計算器是可選擇的以提供可定製的安全風險分析，該風險披露計算器確定資產對漏洞的披露的各個類型，說明性地是直接和間接的披露。
文檔編號H04L9/36GK1874228SQ20061009960
公開日2006年12月6日 申請日期2006年5月18日 優先權日2005年5月18日
發明者Y·勒克萊爾, S·D·德蘇扎, F·J·N·科斯凱 申請人:阿爾卡特公司