本發(fā)明涉及安全風(fēng)險追溯技術(shù)領(lǐng)域，更具體地說，涉及一種信息安全風(fēng)險全生命周期管理控制方法和系統(tǒng)。

背景技術(shù)：

傳統(tǒng)的基于漏洞掃描報告的管理流程實施的是開環(huán)管理，如圖1。這樣的流程通常是通過定期的掃描不斷地發(fā)現(xiàn)現(xiàn)存的漏洞，隨即進(jìn)行整改，整改結(jié)果匯報后不做追蹤。威脅定級為靜態(tài)定級，不依賴于生命周期與等級保護(hù)備案等其它信息進(jìn)行評估，這種基于掃描報告的漏洞管理方式，是古老的人工挖掘信息系統(tǒng)安全漏洞的自動化實現(xiàn)，目前被各大公司廣泛使用，只是部分替代了人工。但從管理者角度看，該方案存在以下缺點：

1、危害定級是靜態(tài)方法，不能根據(jù)系統(tǒng)重要性動態(tài)定級，且定級層次過少，通常只有高危、中危、低危三級；

2、輸出信息過少，通常只有漏洞名稱、IP、危害級別等極少數(shù)信息。只能給運(yùn)維人員提供尋找依據(jù)；

3、開環(huán)管理，無法追蹤后續(xù)信息：每一次報告都是全新的數(shù)據(jù)，無法與以往數(shù)據(jù)進(jìn)行比對，即每期報告反應(yīng)的漏洞信息是孤立信息，而不是隨時間發(fā)展的生命周期數(shù)據(jù)。

4、安全風(fēng)險情報種類不足，多個不同的系統(tǒng)間安全風(fēng)險情報不能有效整合。

因此，如何追溯信息系統(tǒng)的安全風(fēng)險是本領(lǐng)域技術(shù)人員需要解決的問題。

技術(shù)實現(xiàn)要素：

本發(fā)明的目的在于提供一種信息安全風(fēng)險全生命周期管理控制方法和系統(tǒng)，以實現(xiàn)追溯信息系統(tǒng)的安全風(fēng)險。

為實現(xiàn)上述目的，本發(fā)明實施例提供了如下技術(shù)方案：

一種信息安全風(fēng)險全生命周期管理控制方法，包括：

獲取安全風(fēng)險的情報信息；

分析所述情報信息的情報類型，并根據(jù)所述情報類型將所述情報信息進(jìn)行標(biāo)準(zhǔn)化處理，生成預(yù)定格式的標(biāo)準(zhǔn)化數(shù)據(jù)；

分析所述標(biāo)準(zhǔn)化數(shù)據(jù)，生成與所述安全風(fēng)險對應(yīng)的生命周期歷史信息，并根據(jù)安全風(fēng)險信息庫存儲的數(shù)據(jù)生成脆弱性向量；

分析所述生命周期歷史信息，確定與所述安全風(fēng)險對應(yīng)的增幅因子；

根據(jù)所述脆弱性向量和所述增幅因子，確定所述安全風(fēng)險的量化脆弱性。

其中，根據(jù)所述脆弱性向量和所述增幅因子，確定所述安全風(fēng)險的量化脆弱性，包括：

利用量化脆弱性計算公式：W＝a||V||，計算所述量化脆弱性；

其中，W為量化脆弱性，a為增幅因子，V為脆弱性向量，||V||為脆弱性向量的范數(shù)。

其中，分析所述標(biāo)準(zhǔn)化數(shù)據(jù)，生成與所述安全風(fēng)險對應(yīng)的生命周期歷史信息，包括：

將所述標(biāo)準(zhǔn)化數(shù)據(jù)提交至安全風(fēng)險信息庫；

在接收到第一生命周期歷史信息獲取指令時，從所述安全風(fēng)險信息庫中獲取所述安全風(fēng)險的歷史記錄信息，并按照預(yù)定規(guī)則進(jìn)行排序生成安全風(fēng)險序列；按照預(yù)定轉(zhuǎn)換規(guī)則，將所述安全風(fēng)險序列轉(zhuǎn)換為生命周期歷史信息。

其中，分析所述標(biāo)準(zhǔn)化數(shù)據(jù)，生成與所述安全風(fēng)險對應(yīng)的生命周期歷史信息，包括：

從安全風(fēng)險信息庫中獲取與所述安全風(fēng)險相關(guān)聯(lián)的關(guān)聯(lián)生命周期信息；

根據(jù)所述關(guān)聯(lián)生命周期信息及所述標(biāo)準(zhǔn)化數(shù)據(jù)，確定所述安全風(fēng)險的生命周期當(dāng)前狀態(tài)信息，并將所述生命周期當(dāng)前狀態(tài)信息提交至所述安全風(fēng)險信息庫；

在接收到第二生命周期歷史信息獲取指令時，直接從所述安全風(fēng)險信息庫中獲取所述安全風(fēng)險的生命周期歷史信息；其中，所述生命周期歷史信息中包括所述生命周期當(dāng)前狀態(tài)信息。

其中，所述增幅因子與所述生命周期歷史信息中的復(fù)發(fā)狀態(tài)次數(shù)成正相關(guān)；和/或，

所述增幅因子與所述生命周期歷史信息中的未整改狀態(tài)的持續(xù)時間成正相關(guān)。

其中，所述根據(jù)安全風(fēng)險信息庫存儲的數(shù)據(jù)生成脆弱性向量，包括：

獲取所述安全風(fēng)險信息庫中的情報事件信息、潛在威脅信息、安全風(fēng)險信息、信息系統(tǒng)資產(chǎn)信息和后果信息，生成所述脆弱性向量。

一種信息安全風(fēng)險全生命周期管理控制系統(tǒng)，包括：

獲取模塊，用于獲取安全風(fēng)險的情報信息；

標(biāo)準(zhǔn)化數(shù)據(jù)處理模塊，用于分析所述情報信息的情報類型，并根據(jù)所述情報類型將所述情報信息進(jìn)行標(biāo)準(zhǔn)化處理，生成預(yù)定格式的標(biāo)準(zhǔn)化數(shù)據(jù)；

生命周期歷史信息分析模塊，用于分析所述標(biāo)準(zhǔn)化數(shù)據(jù)，生成與所述安全風(fēng)險對應(yīng)的生命周期歷史信息；

脆弱性向量生成模塊，用于并根據(jù)安全風(fēng)險信息庫存儲的數(shù)據(jù)生成脆弱性向量；

增幅因子確定模塊，用于分析所述生命周期歷史信息，確定與所述安全風(fēng)險對應(yīng)的增幅因子；

量化脆弱性確定模塊，根據(jù)所述脆弱性向量和所述增幅因子，確定所述安全風(fēng)險的量化脆弱性。

其中，所述量化脆弱性確定模塊利用量化脆弱性計算公式：W＝a||V||，計算所述量化脆弱性；

其中，W為量化脆弱性，a為增幅因子，V為脆弱性向量，||V||為脆弱性向量的范數(shù)。

其中，所述生命周期歷史信息分析模塊包括靜態(tài)分析模塊；

所述靜態(tài)分析模塊包括：

第一提交單元，用于將所述標(biāo)準(zhǔn)化數(shù)據(jù)提交至安全風(fēng)險信息庫；

第一獲取單元，用于在接收到第一生命周期歷史信息獲取指令時，從所述安全風(fēng)險信息庫中獲取所述安全風(fēng)險的歷史記錄信息，并按照預(yù)定規(guī)則進(jìn)行排序生成安全風(fēng)險序列；

轉(zhuǎn)換單元，用于按照預(yù)定轉(zhuǎn)換規(guī)則，將所述安全風(fēng)險序列轉(zhuǎn)換為生命周期歷史信息。

其中，所述生命周期歷史信息分析模塊包括動態(tài)分析模塊；

所述動態(tài)分析模塊包括：

第二獲取單元，用于從安全風(fēng)險信息庫中獲取與所述安全風(fēng)險相關(guān)聯(lián)的關(guān)聯(lián)生命周期信息；

確定單元，用于根據(jù)所述關(guān)聯(lián)生命周期信息及所述標(biāo)準(zhǔn)化數(shù)據(jù)，確定所述安全風(fēng)險的生命周期當(dāng)前狀態(tài)信息；

第二提交單元，用于將所述生命周期當(dāng)前狀態(tài)信息提交至所述安全風(fēng)險信息庫；

第三獲取單元，用于在接收到第二生命周期歷史信息獲取指令時，直接從所述安全風(fēng)險信息庫中獲取所述安全風(fēng)險的生命周期歷史信息；其中，所述生命周期歷史信息中包括所述生命周期當(dāng)前狀態(tài)信息。

通過以上方案可知，本發(fā)明實施例提供的一種信息安全風(fēng)險全生命周期管理控制方法和系統(tǒng)，包括：獲取安全風(fēng)險的情報信息；分析所述情報信息的情報類型，并根據(jù)所述情報類型將所述情報信息進(jìn)行標(biāo)準(zhǔn)化處理，生成預(yù)定格式的標(biāo)準(zhǔn)化數(shù)據(jù)；分析所述標(biāo)準(zhǔn)化數(shù)據(jù)，生成與所述安全風(fēng)險對應(yīng)的生命周期歷史信息，并根據(jù)安全風(fēng)險信息庫存儲的數(shù)據(jù)生成脆弱性向量；分析所述生命周期歷史信息，確定與所述安全風(fēng)險對應(yīng)的增幅因子；根據(jù)所述脆弱性向量和所述增幅因子，確定所述安全風(fēng)險的量化脆弱性；

可見，在本實施例中，情報信息標(biāo)準(zhǔn)化使本方案可以支持更多的安全風(fēng)險情報，對安全風(fēng)險管理提供了更全面的數(shù)據(jù)源支持；脆弱性向量能提供包括生命周期信息在內(nèi)的眾多細(xì)化的輸出信息，可以供管理人員更好的認(rèn)識信息系統(tǒng)安全風(fēng)險的狀況；通過利用生命周期進(jìn)行閉環(huán)管理，可以有效的追蹤安全風(fēng)險的發(fā)現(xiàn)、整改、復(fù)發(fā)、消失的流程，并可以利用全生命周期信息評價安全風(fēng)險狀況；并且通過生命周期歷史信息計算量化脆弱性是動態(tài)的，相比傳統(tǒng)的靜態(tài)高危、中危、低危定級方法，能夠更有意義的評價資產(chǎn)安全風(fēng)險帶來的脆弱性。

附圖說明

為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明實施例公開的基于掃描報告的管理流程示意圖；

圖2為本發(fā)明實施例公開的一種信息安全風(fēng)險全生命周期管理控制方法流程示意圖；

圖3為本發(fā)明實施例公開的另一種信息安全風(fēng)險全生命周期管理控制方法流程示意圖；

圖4為本發(fā)明實施例公開的靜態(tài)處理流程示意圖；

圖5為本發(fā)明實施例公開的動態(tài)處理流程示意圖；

圖6為本發(fā)明實施例公開的一種信息安全風(fēng)險全生命周期管理控制系統(tǒng)結(jié)構(gòu)示意圖。

具體實施方式

下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護(hù)的范圍。

本發(fā)明實施例公開了一種信息安全風(fēng)險全生命周期管理控制方法和系統(tǒng)，以實現(xiàn)追溯信息系統(tǒng)的安全風(fēng)險。

參見圖2，本發(fā)明實施例提供的一種信息安全風(fēng)險全生命周期管理控制方法，包括：

S101、獲取安全風(fēng)險的情報信息；

S102、分析所述情報信息的情報類型，并根據(jù)所述情報類型將所述情報信息進(jìn)行標(biāo)準(zhǔn)化處理，生成預(yù)定格式的標(biāo)準(zhǔn)化數(shù)據(jù)；

具體的，在本實施例中，首先要收集安全風(fēng)險的情報信息，針對不同的情報采用定制的方法進(jìn)行標(biāo)準(zhǔn)化處理，使來自于不同情報源的情報格式化為統(tǒng)一的格式；例如：針對漏洞掃描報告和安全基線掃描報告可以開發(fā)處理工具來自動處理，對于漏洞反饋則需要進(jìn)行人工判斷進(jìn)行標(biāo)準(zhǔn)化處理。

S103、分析所述標(biāo)準(zhǔn)化數(shù)據(jù)，生成與所述安全風(fēng)險對應(yīng)的生命周期歷史信息，并根據(jù)安全風(fēng)險信息庫存儲的數(shù)據(jù)生成脆弱性向量；

具體的，獲取到標(biāo)準(zhǔn)化數(shù)據(jù)后，可以采用靜態(tài)分析方法、動態(tài)分析方法或者兩種連用的方法取得生命周期分析結(jié)果。參見圖3，本實施例提供的處理流程圖。

其中，靜態(tài)分析方法指：在提交進(jìn)入安全風(fēng)險信息庫前，不進(jìn)行處理，在需要獲取分析結(jié)果時，針對信息庫中的風(fēng)險脆弱性標(biāo)準(zhǔn)模型的原始數(shù)據(jù)進(jìn)行離線計算并獲取分析結(jié)果，分析結(jié)果可以作為其它分析的數(shù)據(jù)源寫回安全風(fēng)險信息庫中。

相應(yīng)的，分析所述標(biāo)準(zhǔn)化數(shù)據(jù)，生成與所述安全風(fēng)險對應(yīng)的生命周期歷史信息，包括：

將所述標(biāo)準(zhǔn)化數(shù)據(jù)提交至安全風(fēng)險信息庫；

在接收到第一生命周期歷史信息獲取指令時，從所述安全風(fēng)險信息庫中獲取所述安全風(fēng)險的歷史記錄信息，并按照預(yù)定規(guī)則進(jìn)行排序生成安全風(fēng)險序列；按照預(yù)定轉(zhuǎn)換規(guī)則，將所述安全風(fēng)險序列轉(zhuǎn)換為生命周期歷史信息。

具體的，本實施例中的預(yù)定規(guī)則，可以是按照時間順序進(jìn)行排序。參見圖4，為本實施例提供的靜態(tài)處理流程，可以看出，首次出現(xiàn)“有風(fēng)險”的一期生命周期狀態(tài)定義為“發(fā)現(xiàn)”；“發(fā)現(xiàn)”或“未整改”之后的“有風(fēng)險”狀態(tài)，其生命周期定義為“未整改”；“無風(fēng)險”狀態(tài)定義為“已修復(fù)”；“已修復(fù)”之后出現(xiàn)的“有風(fēng)險”狀態(tài)定義為“復(fù)發(fā)”；連續(xù)若干期(人為定義)“無風(fēng)險”狀態(tài)后，定義為“消失”，表明該風(fēng)險已徹底修復(fù)，且消失后的無風(fēng)險不記錄生命周期。例如：信息庫中記載的已發(fā)現(xiàn)風(fēng)險，連續(xù)半年不再出現(xiàn)，可認(rèn)為消失。消失狀態(tài)后的“無風(fēng)險”狀態(tài)不錄入歷史信息庫；消失狀態(tài)后出現(xiàn)的“有風(fēng)險”狀態(tài)視為新的安全風(fēng)險，不與已“消失”的同樣的安全風(fēng)險混淆。這是因為“消失”后出現(xiàn)的“有風(fēng)險”有很大的可能是由不同的原因?qū)е?，“消失”前出現(xiàn)的“有風(fēng)險”一般由相同的原因?qū)е?。因而需要將兩種情況區(qū)別對待。脆弱性向量中生命周期當(dāng)前狀態(tài)即為該項安全風(fēng)險的最后一期生命周期狀態(tài)。

可以理解的是，生命周期的第一期一定為“有風(fēng)險”，即生命周期“發(fā)現(xiàn)”狀態(tài)前的“無風(fēng)險”或“消失”后的“無風(fēng)險”并不算作生命周期。即對一個從沒出現(xiàn)過的問題不應(yīng)記錄“已修復(fù)”，已經(jīng)“消失”的問題也不應(yīng)該繼續(xù)記錄其“已修復(fù)”。

動態(tài)分析方法指：在將風(fēng)險脆弱性標(biāo)準(zhǔn)模型提交進(jìn)安全風(fēng)險信息庫前，結(jié)合以往的信息庫數(shù)據(jù)進(jìn)行處理，在需要獲取分析結(jié)果時，直接從安全風(fēng)險信息庫中獲取結(jié)果。

相應(yīng)的，分析所述標(biāo)準(zhǔn)化數(shù)據(jù)，生成與所述安全風(fēng)險對應(yīng)的生命周期歷史信息，包括：

從安全風(fēng)險信息庫中獲取與所述安全風(fēng)險相關(guān)聯(lián)的關(guān)聯(lián)生命周期信息；

根據(jù)所述關(guān)聯(lián)生命周期信息及所述標(biāo)準(zhǔn)化數(shù)據(jù)，確定所述安全風(fēng)險的生命周期當(dāng)前狀態(tài)信息，并將所述生命周期當(dāng)前狀態(tài)信息提交至所述安全風(fēng)險信息庫；

在接收到第二生命周期歷史信息獲取指令時，直接從所述安全風(fēng)險信息庫中獲取所述安全風(fēng)險的生命周期歷史信息；其中，所述生命周期歷史信息中包括所述生命周期當(dāng)前狀態(tài)信息。

其中，參見圖5，本實施例提供的動態(tài)處理流程，所述關(guān)聯(lián)生命周期信息為上一次的生命周期信息，根據(jù)關(guān)聯(lián)生命周期信息及所述標(biāo)準(zhǔn)化數(shù)據(jù)，確定所述安全風(fēng)險的生命周期歷史信息是指：根據(jù)上一次的生命周期信息和本次是否存在風(fēng)險的狀態(tài)，確定生命周期當(dāng)前狀態(tài)信息，將安全風(fēng)險信息庫中存儲的以前時期的生命周期歷史信息和生命當(dāng)前狀態(tài)信息組成了生命周期歷史信息。

表1

參見表1所述的狀態(tài)轉(zhuǎn)移關(guān)系，可以理解確定生命當(dāng)前狀態(tài)信息的方法為：

所述關(guān)聯(lián)生命周期信息為未找到，若所述標(biāo)準(zhǔn)化數(shù)據(jù)記錄的狀態(tài)為：有風(fēng)險，則建立生命周期記錄，所述生命周期當(dāng)前狀態(tài)信息為發(fā)現(xiàn)；

所述關(guān)聯(lián)生命周期信息為發(fā)現(xiàn)，若所述標(biāo)準(zhǔn)化數(shù)據(jù)記錄的狀態(tài)為：有風(fēng)險，則所述生命周期當(dāng)前狀態(tài)信息為未整改；若所述標(biāo)準(zhǔn)化數(shù)據(jù)記錄的狀態(tài)為：無風(fēng)險，則所述生命周期當(dāng)前狀態(tài)信息為已修復(fù)；

所述關(guān)聯(lián)生命周期信息為未整改，若所述標(biāo)準(zhǔn)化數(shù)據(jù)記錄的狀態(tài)為：有風(fēng)險，則所述生命周期當(dāng)前狀態(tài)信息為未整改；若所述標(biāo)準(zhǔn)化數(shù)據(jù)記錄的狀態(tài)為：無風(fēng)險，則所述生命周期當(dāng)前狀態(tài)信息為已修復(fù)；

所述關(guān)聯(lián)生命周期信息為已修復(fù)，若所述標(biāo)準(zhǔn)化數(shù)據(jù)記錄的狀態(tài)為：有風(fēng)險，則所述生命周期當(dāng)前狀態(tài)信息為復(fù)發(fā)；若所述標(biāo)準(zhǔn)化數(shù)據(jù)記錄的狀態(tài)為：無風(fēng)險，則所述生命周期當(dāng)前狀態(tài)信息為已修復(fù)；其中，若檢測連續(xù)預(yù)定次數(shù)為已修復(fù)或檢測連續(xù)預(yù)定時間期間為已修復(fù)，則所述生命周期當(dāng)前狀態(tài)信息為消失；

所述關(guān)聯(lián)生命周期信息為復(fù)發(fā)，若所述標(biāo)準(zhǔn)化數(shù)據(jù)記錄的狀態(tài)為：有風(fēng)險，則所述生命周期當(dāng)前狀態(tài)信息為復(fù)發(fā)；若所述標(biāo)準(zhǔn)化數(shù)據(jù)記錄的狀態(tài)為：無風(fēng)險，則所述生命周期當(dāng)前狀態(tài)信息為已修復(fù)；

所述關(guān)聯(lián)生命周期信息為消失，若所述標(biāo)準(zhǔn)化數(shù)據(jù)記錄的狀態(tài)為：有風(fēng)險，則建立新的生命周期記錄，上次狀態(tài)視為未找到，所述生命周期當(dāng)前狀態(tài)信息為發(fā)現(xiàn)。

靜態(tài)分析方法與動態(tài)分析方法連用是指：針對從未計算生命周期的歷史累積數(shù)據(jù)，采用靜態(tài)分析法建立生命周期歷史；對于未來新數(shù)據(jù)的提交，采用動態(tài)分析法進(jìn)行更新。

其中，所述根據(jù)安全風(fēng)險信息庫存儲的數(shù)據(jù)生成脆弱性向量，包括：

獲取所述安全風(fēng)險信息庫中的情報事件信息、潛在威脅信息、安全風(fēng)險信息、信息系統(tǒng)資產(chǎn)信息和后果信息，生成所述脆弱性向量。

具體的，脆弱性向量從原理上可以表示為：V＝[情報事件，潛在威脅，安全風(fēng)險，信息系統(tǒng)資產(chǎn)，后果]；

若用詳細(xì)的數(shù)據(jù)進(jìn)行表示，則脆弱性向量為：V＝[脆弱性唯一標(biāo)識，系統(tǒng)名稱，IP地址，域名，情報來源，發(fā)現(xiàn)時間，整改時間，危害級別，漏洞名稱，ID(CVEID等漏洞標(biāo)識)，利用途徑(外部直接/外部間接/內(nèi)部直接/內(nèi)部間接)，漏洞披露時間，威脅后果，獲取的權(quán)限，域，受影響的人/組織，生命周期歷史,生命周期當(dāng)前狀態(tài)(首發(fā)/復(fù)發(fā)/部分整改/完全整改)，風(fēng)險產(chǎn)生階段(設(shè)計/開發(fā)/運(yùn)維)，補(bǔ)丁方案，等級保護(hù)數(shù)據(jù),運(yùn)維單位與人員，開發(fā)單位與人員，業(yè)務(wù)使用部門，ICP備案號，版本號，第三方測評信息，資產(chǎn)價值，無形資產(chǎn)損失，競爭力損失]。

S104、分析所述生命周期歷史信息，確定與所述安全風(fēng)險對應(yīng)的增幅因子；

其中，所述增幅因子與所述生命周期歷史信息中的復(fù)發(fā)狀態(tài)次數(shù)成正相關(guān)；和/或，

所述增幅因子與所述生命周期歷史信息中的未整改狀態(tài)的持續(xù)時間成正相關(guān)。

具體的，在本實施例中的增幅因子，是根據(jù)生命周期歷史信息進(jìn)行確定的，其計算方式很多，但遵守的原則為：

1、對于同一項安全風(fēng)險而言，復(fù)發(fā)次數(shù)越多，越需要提高增幅因子。因為反復(fù)發(fā)作的風(fēng)險需要得到管理者的密切重視，這往往意味著風(fēng)險發(fā)作的單位存在業(yè)務(wù)違規(guī)問題；

2、問題產(chǎn)生后持續(xù)時間越長，越需要提高增幅因子。因為持續(xù)時間越長，被攻擊者利用的可能性越高，需要提高解決的緊迫性。

下面列舉常用的幾種計算方式：

根據(jù)生命周期歷史信息，設(shè)發(fā)現(xiàn)狀態(tài)增幅因子為a＝1，已修復(fù)或關(guān)閉狀態(tài)則取之前的增幅因子為本期增幅因子。對于未整改狀態(tài)，假設(shè)有連續(xù)n期未整改狀態(tài)，則增幅因子為a＝1+n*k。對于復(fù)發(fā)狀態(tài)，假設(shè)修復(fù)m次(對應(yīng)復(fù)發(fā)m次)，且第m次復(fù)發(fā)已持續(xù)n期，則增幅因子為a＝1+m*h+n*k。其中h和k可以自行定義。

以上是計算增幅因子的一的典型方法。也可以采用其他公式：例如a＝1+klogn+h^m，或根據(jù)每次歷史信息迭代計算(本期用前一期遞推)，公式可自定義設(shè)計，在此并不做具體限定。

S105、根據(jù)所述脆弱性向量和所述增幅因子，確定所述安全風(fēng)險的量化脆弱性。

其中，根據(jù)所述脆弱性向量和所述增幅因子，確定所述安全風(fēng)險的量化脆弱性，包括：

利用量化脆弱性計算公式：W＝a||V||，計算所述量化脆弱性；

其中，W為量化脆弱性，a為增幅因子，V為脆弱性向量，||V||為脆弱性向量的范數(shù)。

具體的，在本實施例中量化脆弱性是一個非負(fù)實數(shù)，是由量化脆弱性向量與增幅因子計算所得，數(shù)值越高表明越脆弱，解決的急迫性越高。

||V||在此表示：脆弱性向量可以通過定義范數(shù)來獲得數(shù)值。依照數(shù)學(xué)原理，范數(shù)定義是可以自由定義的(范數(shù)是絕對值概念的推廣，用于表達(dá)廣義的距離、大小等概念)，實際上，是用程序?qū)崿F(xiàn)的，代碼比較復(fù)雜。在此通過簡化案例進(jìn)行解釋：

不妨設(shè)V＝[系統(tǒng)名稱，漏洞名稱，危害級別，生命周期當(dāng)前狀態(tài)，風(fēng)險產(chǎn)生階段，資產(chǎn)價值，無形資產(chǎn)損失,競爭力損失]。則||V||＝a*b*c*(d+e/D+f*E)/C。其中，C、D、E是用于調(diào)整顯示數(shù)值的常數(shù)。a,b,c,d,e,f的確定如下：

危害級別即傳統(tǒng)的靜態(tài)定級“高中低”，當(dāng)危害級別為“高”時，a＝3，當(dāng)危害級別為“中”時，a＝1，危害級別為低時，a＝0.05；

當(dāng)生命周期當(dāng)前狀態(tài)為發(fā)現(xiàn)、未整改、復(fù)發(fā)時，b＝1，否則b＝0；

當(dāng)風(fēng)險產(chǎn)生階段為“設(shè)計”時，c＝10；“開發(fā)”時，c＝1；“運(yùn)維”時，c＝0.1；

資產(chǎn)價值即d，無形資產(chǎn)損失為e，競爭力損失為f，三者都可以量化為金額，本身即實數(shù)，這三點需要由公司高層確定。

可以看到，系統(tǒng)名稱、漏洞名稱實際上在計算范數(shù)時被忽略了。這是允許的。

參見圖6，本發(fā)明實施例提供的一種信息安全風(fēng)險全生命周期管理控制系統(tǒng)，包括：

獲取模塊100，用于獲取安全風(fēng)險的情報信息；

標(biāo)準(zhǔn)化數(shù)據(jù)處理模塊200，用于分析所述情報信息的情報類型，并根據(jù)所述情報類型將所述情報信息進(jìn)行標(biāo)準(zhǔn)化處理，生成預(yù)定格式的標(biāo)準(zhǔn)化數(shù)據(jù)；

生命周期歷史信息分析模塊300，用于分析所述標(biāo)準(zhǔn)化數(shù)據(jù)，生成與所述安全風(fēng)險對應(yīng)的生命周期歷史信息；

脆弱性向量生成模塊400，用于并根據(jù)安全風(fēng)險信息庫存儲的數(shù)據(jù)生成脆弱性向量；

增幅因子確定模塊500，用于分析所述生命周期歷史信息，確定與所述安全風(fēng)險對應(yīng)的增幅因子；

量化脆弱性確定模塊600，根據(jù)所述脆弱性向量和所述增幅因子，確定所述安全風(fēng)險的量化脆弱性。

基于上述技術(shù)方案，所述量化脆弱性確定模塊利用量化脆弱性計算公式：W＝a||V||，計算所述量化脆弱性；

其中，W為量化脆弱性，a為增幅因子，V為脆弱性向量，||V||為脆弱性向量的范數(shù)。

基于上述技術(shù)方案，所述生命周期歷史信息分析模塊包括靜態(tài)分析模塊；

所述靜態(tài)分析模塊包括：

第一提交單元，用于將所述標(biāo)準(zhǔn)化數(shù)據(jù)提交至安全風(fēng)險信息庫；

第一獲取單元，用于在接收到第一生命周期歷史信息獲取指令時，從所述安全風(fēng)險信息庫中獲取所述安全風(fēng)險的歷史記錄信息，并按照預(yù)定規(guī)則進(jìn)行排序生成安全風(fēng)險序列；

轉(zhuǎn)換單元，用于按照預(yù)定轉(zhuǎn)換規(guī)則，將所述安全風(fēng)險序列轉(zhuǎn)換為生命周期歷史信息。

基于上述技術(shù)方案，所述生命周期歷史信息分析模塊包括動態(tài)分析模塊；

所述動態(tài)分析模塊包括：

第二獲取單元，用于從安全風(fēng)險信息庫中獲取與所述安全風(fēng)險相關(guān)聯(lián)的關(guān)聯(lián)生命周期信息；

確定單元，用于根據(jù)所述關(guān)聯(lián)生命周期信息及所述標(biāo)準(zhǔn)化數(shù)據(jù)，確定所述安全風(fēng)險的生命周期當(dāng)前狀態(tài)信息；

第二提交單元，用于將所述生命周期當(dāng)前狀態(tài)信息提交至所述安全風(fēng)險信息庫；

第三獲取單元，用于在接收到第二生命周期歷史信息獲取指令時，直接從所述安全風(fēng)險信息庫中獲取所述安全風(fēng)險的生命周期歷史信息；其中，所述生命周期歷史信息中包括所述生命周期當(dāng)前狀態(tài)信息。

本發(fā)明實施例提供的一種信息安全風(fēng)險全生命周期管理控制方法及系統(tǒng)，包括：獲取安全風(fēng)險的情報信息；分析所述情報信息的情報類型，并根據(jù)所述情報類型將所述情報信息進(jìn)行標(biāo)準(zhǔn)化處理，生成預(yù)定格式的標(biāo)準(zhǔn)化數(shù)據(jù)；分析所述標(biāo)準(zhǔn)化數(shù)據(jù)，生成與所述安全風(fēng)險對應(yīng)的生命周期歷史信息，并根據(jù)安全風(fēng)險信息庫存儲的數(shù)據(jù)生成脆弱性向量；分析所述生命周期歷史信息，確定與所述安全風(fēng)險對應(yīng)的增幅因子；根據(jù)所述脆弱性向量和所述增幅因子，確定所述安全風(fēng)險的量化脆弱性；

可見，在本實施例中，情報信息標(biāo)準(zhǔn)化使本方案可以支持更多的安全風(fēng)險情報，對安全風(fēng)險管理提供了更全面的數(shù)據(jù)源支持；脆弱性向量能提供包括生命周期信息在內(nèi)的眾多細(xì)化的輸出信息，可以供管理人員更好的認(rèn)識信息系統(tǒng)安全風(fēng)險的狀況；通過利用生命周期進(jìn)行閉環(huán)管理，可以有效的追蹤安全風(fēng)險的發(fā)現(xiàn)、整改、復(fù)發(fā)、消失的流程，并可以利用全生命周期信息評價安全風(fēng)險狀況；并且通過生命周期歷史信息計算量化脆弱性是動態(tài)的，相比傳統(tǒng)的靜態(tài)高危、中危、低危定級方法，能夠更有意義的評價資產(chǎn)安全風(fēng)險帶來的脆弱性。

本說明書中各個實施例采用遞進(jìn)的方式描述，每個實施例重點說明的都是與其他實施例的不同之處，各個實施例之間相同相似部分互相參見即可。

對所公開的實施例的上述說明，使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明。對這些實施例的多種修改對本領(lǐng)域的專業(yè)技術(shù)人員來說將是顯而易見的，本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下，在其它實施例中實現(xiàn)。因此，本發(fā)明將不會被限制于本文所示的這些實施例，而是要符合與本文所公開的原理和新穎特點相一致的最寬的范圍。