CN102799822A - 基于网络环境软件运行安全性度量与评估方法 - Google Patents
基于网络环境软件运行安全性度量与评估方法 Download PDFInfo
- Publication number
- CN102799822A CN102799822A CN201210240586XA CN201210240586A CN102799822A CN 102799822 A CN102799822 A CN 102799822A CN 201210240586X A CN201210240586X A CN 201210240586XA CN 201210240586 A CN201210240586 A CN 201210240586A CN 102799822 A CN102799822 A CN 102799822A
- Authority
- CN
- China
- Prior art keywords
- software
- security
- leak
- network environment
- appraisal procedure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
基于网络环境软件运行安全性度量与评估方法属于网络信息安全分析和评估技术。本发明包括:建立度量体系步骤,选取软件安全的评估指标;威胁建模步骤,对网络环境下软件面临的威胁进行建模;软件安全评估步骤,基于所述评估指标,用基于可靠性的软件安全评估方法,基于漏洞的软件安全评估方法和基于风险的软件安全评估方法,对面临网络环境下威胁的软件进行安全评估。所述建立度量体系步骤进一步包括:选取完整性、不可否认性、机密性、可授权性、可用性和身份可验证性为网络环境下软件安全的评估指标。本发明可提前评估出软件的安全漏洞与风险,及时调整软件的功能与安全模块,有效的控制与防止危险事件的发生。
Description
技术领域
本发明涉及网络信息安全分析和评估技术,更具体地,尤其涉及一种网络环境下软件安全的评估方法。
背景技术
现如今,网络环境下的软件系统已渗透到国民经济、国防、社会生活等各个领域,它改变了人们传统的生产、生活方式,成为人类社会不可缺少的必需品。一方面人们对软件的依赖性越来越高,使得软件系统和功能越来越复杂,另一方面由于软件开发过程的开放性和网络环境的不确定性,使得在网络环境下要保证软件的品质越来越难,比如由于软件漏洞、缺陷和失效带来的系统攻击和故障,由于系统并发用户数量的瞬间突变带来的软件系统瘫痪,由于流氓软件的恶意行为带来的隐私泄漏等安全隐患。因此找到一种能检测软件是否安全的方法显得尤为重要,然而在软件安全性工程中,软件安全性并不能完全依靠常规的软件工程方法和软件测评手段来进行测试,如何在工程中开展软件安全性测试仍然是一个悬而未决的问题。软件安全性测试是检验软件中已存在的软件安全性措施是否有效的测试,是保证系统安全性的重要手段。国外对软件安全性的研究源于实际项目中的成功经验和失败教训。目前,多个国际组织和空间大国在技术研究与应用、标准制订与推广等方面都取得了重要成果。制订了一系列关于软件安全性的标准和指南。而国内相关领域的研究大多参考国外经验,仍停留在理论阶段,不能满足应用的需要。在实际运用中遇到了如下问题:
(1)在软件研制周期中没有开展相应的软件安全性分析和评估工作,造成制定的软件安全性需求不全面,同时缺乏对系统及软件危险的跟踪控制。
(2)对软件安全性测试在工程中的应用缺乏足够的莺视。目前,国内的软件测试虽然包含安全性测试这一测试类型,但在测试中针对性不强,并且由于安全性需求不够全面,也造成了测试依据的缺乏。
(3)国内相关标准中缺乏对软件安全性测试相关技术的完整描述,这也影响了软件安全性测试在软件验证过程中的推广与应用。
根据特点的不同,目前国内外常用的软件安全性测试方法分为3类:基于可靠性分析方法的、基于形式化模型的和基于软件测试方法的软件安全性测试方法。通过对这些软件安全性测试方法进行的分析对比,可以总结出它们的优缺点。这些软件安全性测试方法虽然各具特点,但都存在一定的问题,因此,这些方法在使用时需要综合考虑各方面因素,制定合理的测试策略。比如,在测试时可以先通过FTA、Petri网等分析方法对测试的全面性进行把握.然后运用定理证明法验证设计阶段的程序规范,使用模型检验法提高测试效率,再用猜错法和接口语法测试进行补充。
本发明目的就是提出一个软件安全评估方法,能结合国内外软件安全领域研究的成果与教训,从多个角度着眼,用多种方法综合的测评一个软件的安全程度,继而在最大程度上有效地体现一个软件的安全度,给研究者和使用者一定的参考和预警,可提前评估出软件的安全漏洞与风险,及时调整软件的功能与安全模块,有效的控制与防止危险事件的发生。
发明内容
本发明的目的在于提供一种网络环境下软件安全的评估方法,基于本发明,能够更为有效地对网络环境下软件的安全性进行评估和比较。
一方面,本发明的一种网络环境下软件安全的评估方法,包括:建立度量体系步骤,选取软件安全的评估指标;威胁建模步骤,对网络环境下软件面临的威胁进行建模;软件安全评估步骤,基于所述评估指标,用基于可靠性的软件安全评估方法,基于漏洞的软件安全评估方法和基于风险的软件安全评估方法,对面临网络环境下威胁的软件进行安全评估。
上述网络环境下软件安全评估方法中,优选所述建立度量体系步骤进一步包括:选取完整性、不可否认性、机密性、可授权性、可用性和身份可验证性为网络环境下软件安全的评估指标。
上述网络环境下软件安全评估方法中,优选所述威胁建模步骤进一步包括:威胁映射步骤,把网络环境下面临的具体威胁映射到STRIDE模型上;威胁模型对应步骤,把选取的软件安全评估指标与STRIDE模型一一对应;威胁对应步骤,把网络环境下软件面临的威胁通过STRIDE模型对应到选取的安全指标上。
上述网络环境下软件安全评估方法中,优选所述软件安全评估步骤进一步包括:软件安全评估方法选取步骤,选取合适的软件安全评估方法;软件安全评估步骤,输入测试数据,根据选取方法,用基于可靠性、基于漏洞和基于风险的方法对网络环境下安全进行评估;软件安全评估结果归一化步骤,对于生成的各种评估结果进行归一化,得出结论。
相对于现有技术而言,本发明具有以下优点:
量化评估。对软件的安全指标细化,并把网络环境中具体的威胁和安全指标对应起来,可以分类对网络环境下软件的安全性进行量化评估,
对软件安全性可进行分类分析。量化结果中,每项安全指标的评分对最终结果的贡献因素更为精准,体现出了威胁对不同软件安全类别方面的影响差异性,消除了单一评分体系中,威胁在不同方面作用差别被忽视,无法体现该差异性等方面的缺陷;
评估客观,全面。对于网络环境下运行的软件,采用三种方法进行评估,尽可能地有效克服单项评估,建模不全面,主观性强等缺陷,能进行客观地,全面地进行综合评估,通过对结果的比较,用户可以基于安全需求客观地选取软件;
评估方法灵活,扩展性好。对不同测试对象,可以选取不同的数据输入方法和测试方法,设置参数,灵活进行评估。
附图说明
图1为本发明基于网络环境软件运行安全性度量与评估系统实施例的步骤流程图;
图2是按照本发明的一个实施方式的网络环境下软件安全评估方法的示意流程图;
图3是本发明基于漏洞的软件安全评估方法实施例的结构框图;
图4为本发明基于风险的软件安全评估方法实施例的结构框图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
参照图1,图1为本发明网络环境下软件安全评估实施例的步骤流程图,包括如下步骤:建立度量体系步骤S110,选取软件安全的评估指标;威胁建模步骤S120,对网络环境下软件面临的威胁进行建模;软件安全评估步骤S130,基于所述评估指标,用基于可靠性的软件安全评估方法,基于漏洞的软件安全评估方法和基于风险的软件安全评估方法,对面临网络环境下威胁的软件进行安全评估。
图2是按照本发明的一个实施方式的网络环境下软件安全评估方法的示意流程图。本发明是一个实施方式涉及对软件安全的评估,其评估对象是在网络环境下运行软件的动态安全。由于网络环境下,大部分因素都是动态的,会面临新的威胁,因此要对威胁进行建模分类,然后把选的度量指标,与威胁模型一一对应起来,根据度量指标,用三种方法对软件在网络环境中面临的威胁进行评估。本方法的实例是一个网络环境下软件安全评估平台。
建立度量体系:选取完整性、不可否认性、机密性、可授权性、可用性和身份可验证性为网络环境下软件安全的评估指标。
威胁建模过程分为以下三个步骤:
威胁映射,根据网络环境中的威胁对软件的影响,把软件面临的具体威胁映射到STRIDE模型上;
威胁模型对应,把选取的软件安全评估指标与STRIDE模型一一对应;
威胁对应,把网络环境下软件面临的威胁通过STRIDE模型对应到选取的安全指标上。
依照度量指标,对软件在网络环境中面临的威胁进行评估,有以下三个步骤:
软件安全评估方法选取步骤,选取合适的软件安全评估方法;
软件安全评估步骤,输入测试数据,根据选取方法,用基于可靠性、基于漏洞和基于风险的方法对网络环境下安全进行评估;
软件安全评估结果归一化步骤,对于生成的各种评估结果进行归一化,得出结论。
其中软件安全评估步骤,可用三种方法进行评估,具体原理如下:
基于可靠性的评估方法
基于可靠性的评估方法是,借鉴了软件可靠性的计算方法,计算软件的安全性。它将软件运行时的状态分成:正常运行状态、运行错误但安全状态和运行错误且不安全状态,利用软件的状态转移概率C,及测试时间t,计算出软件到达运行错误且不安全状态的期望时间MTTUF`,得出软件安全性的评估结果。根据独立的伯努利实验,软件由正常状态到达运行错误但安全状态的概率是C,则由正常状态到达运行错误且不安全状态的概率是1-C。
具体步骤如下:
对软件进行安全测试,或者输入测试报告,提取测试总时间t,软件安全错误数Ns_s,即软件出现安全错误时,仍能保持正常的运行状态,和软件错误数Ns等数值。
根据上步取得的结果,计算软件的状态转移概率C。根据独立的伯努利实验,软件由正常状态到达运行错误但安全状态的概率是C,则由正常状态到达运行错误且不安全状态的概率是1-C。计算公式如下:
根据上步得出的状态转移概率C,计算软件处于运行错误但安全状态的平均时间MTTSF,计算公式如下:
由软件的运行错误但安全状态的平均时间MTTSF和软件的状态转移概率C,计算出软件运行错误且不安全状态的平均时间MTTUF`,计算公式如下:
基于漏洞的评估方法
根据图3,基于漏洞的软件安全评估方法,将测试完软件所得到的各漏洞参数进行整合,根据不同漏洞对于整个软件完整性、可用性、保密性的影响权重进行计算分析,获得基于漏洞的软件安全性等级结果并将结果参数导入数据库中。
具体步骤如下:
1)漏洞采集工作。用NESSUS(目前全世界最多人使用的系统漏洞扫描与分析软件)对软件进行漏洞扫描,得出扫描报告,这也是测评系统下一步的主要输入。
2)使用CVSS(通用漏洞评分系统)中的基本标准群里的保密性(Integrity)影响、完整性(Confidentiality)影响、可用性(Availability)影响、攻击途径、攻击复杂度和认证这六个方面作为我们的基本度量量。
3)分析漏洞这几个基本安全属性,先是根据报告对每一个漏洞的描述,选出漏洞对软件安全性的保密性影响,完整性影响和可用性影响的分数级,然后根据某一特定软件的特性和功能性,判断与选择某一漏洞对该软件三个方面影响的偏重(即),当三方面安全属性对软件的安全性影响基本相同时,W都取0.33;当偏重于某一方面时,这一方面的属性的权重W取0.5,剩下两个取0.25。(比如银行系统软件对软件的保密性的要求是最高的,因此Wt就取0.5此时。)
计算公式如下:
BaseIm pact=Ix×WI+Ay×WA+Cz×WC (4)
IxAyCz的权值的获取如下表标准,(参考某论文的结果)。CVSS系统也是类似的取法,此篇论文的取法更细致,更可取,相当于对CVSS的改进。
Xyz分别代表三个安全属性的等级。WI、WA、WC分别为完整性、可用性和保密性的权重。经过这步的简单线性计算可得出基本的一个漏洞影响分数。
4)利用CVSS中另外三个安全属性:攻击途径、攻击复杂度和认证,得出漏洞的可利用率分数,可利用率就是体现软件中存在漏洞的可被利用概率,计算公式如下:
Exploitability=AV×AC×AU(5)
AV,AC,AU的选择标准如下表所示:
AV(Access Vector)代表攻击途径,AC(Access Complexity)代表攻击复杂度,AU(Authentication)代表认证。他们都是介于0到1的一个小数。漏洞可利用率数值越大表明该漏洞越容易被恶意破坏所利用。表明该漏洞造成的伤害的可能性就越大。
5)由以上两步得出了BI和EX,两者相乘即为一个漏洞对安全性的最终实际影响分数。如下式:
Impact Score=BI×EX(6)原创
6)根据第一步NESSUS的扫描报告的到的漏洞等级,提取出报告中每一个等级的漏洞数量,然后为四个等级分别附上权重。每一级漏洞算出平均分数再线性加权得出最终的结果。具体计算公式如下:
j即对应报告中漏洞的四类等级:致命、高、中、低。n为每类等级的漏洞数量,i从1取到nj。W为每类等级漏洞对应的权重。线性加权计算后所得结果SRS即为security risk score,分数越高表明软件系统越不安全,危险越大。
基于风险的评估方法
基于风险的软件安全评估方法是将软件面临的威胁风险,定义为威胁危害等级和威胁发生概率的一个函数。计算公式如下:
Rc=PcIc (8)
c,是一个具体的威胁事件;Pc是威胁事件c发生的概率;Ic是威胁的影响因子,威胁事件c发生时,对软件的危害程度。本方法是威胁建模后,软件面临的威胁根据对软件安全评估指标的影响,归为六大类,每一个威胁对应一个或多个软件安全指标。先计算出每一类威胁对安全指标的风险,再把六类风险进行加权平均,求出整个软件在网络环境中面临的风险。
图4是本发明基于风险的软件安全评估方法实施例的结构框图,具体步骤如下:
扫描软件,或通过输入测试报告的扩展方式,提取软件在网络环境下面临的威胁,并取得威胁的(权重)危害影响因子Ic
获取和添加威胁库信息。选择在测试报告中要提取的威胁信息,从威胁库中提取,如影响因子、一般威胁级别等数据。对于未知的漏洞,通过学习机制将其添加到漏洞库中。
根据历史统计数据或专家打分法,取得威胁事件发生的概率。
计算有m个威胁事件影响的软件安全指标B面临的风险,对m个事件的风险总和取平均数,计算公式如下:
由上步计算结果,加入每个软件安全指标所占被测对象的安全权重,计算出网络环境下软件面临的风险,计算公式如下:
(10) 原创
WB是分配在每个软件安全指标的权重。
测试对比结果
对比测试中使用的测试对象分别为:在实验室环境下搭建的某地铁平台,地址为192.168.198.25;以及公网环境下的某高校的主页入口,地址为www.????.edu.cn。
对比安全威胁统计可以看出地铁平台的安全威胁数量,分别为:致命威胁数6,高危威胁数11,中等威胁数31,低危威胁数9,且均高于高校主页的数量,分别为:致命威胁数2,高危威胁数3,中等威胁数15,低危威胁数5。
测试结果中基于可靠性分析的结果体现的是一个软件能够安全运行不出现致命错误的期望时间,其取值越高表示期望时间越短,对比两组数据地铁平台的8.8394和高校主页的0.0589,可以得知高校主页相对地铁平台来说更为安全,能够运行更长的时间而不出现致命错误。
测试结果中的基于系统漏洞分析的结果体现的是一个软件所处于的运行系统环境的安全状况,其取值越高表示安全状况越差,对比两组数据地铁平台的4.4681和高校主页的4.2153,可以得知高校主页和地铁平台均有一定量的系统漏洞,系统安全状态相似。
测试结果中的基于风险评估分析的结果体现的是一个软件Web应用的安全状况,其取值越高表示安全状况越差,对比两组数据地铁平台的7.2943和高校主页的0.0013,可以得知地铁平台在Web应用方面较之高校平台,有更多的安全问题,安全状况较差。
综合评分环节是综合了基于可靠性分析、基于系统漏洞分析以及基于风险评估分析三方面所得出的评价,能较为全面的反应一个软件各方面的安全状况的综合情况,其取值越高表示安全状况越差,对比综合评分结果,地铁平台的6.8673和高校主页的1.4252,以及上述分析,可以得出结论,即为高校平台比地铁平台更为安全。
分析上述结论产生的原因,可以发现,首先高校平台更为成熟、完善,已经经过了多次的修改、修正,而地铁平台仅为测试版本,仍需要长时间的运行和修正;其次,高校平台搭建与公网环境,使用Linux系统,服务器安全配置更高,而实验室搭建的地铁平台,由于受到资源限制,服务器安全配置较低,使用windows server2003版本,同时使用的较低版本的中间软件,例如低版本的Apache Tomcat就有很多已知的安全威胁等。上述两方面的原因,导致了地铁平台对比于较为完善的高校主页,具有一定的安全缺陷,安全等级较低,与软件实例测试结果吻合,能够反映软件的客观情况,具有较好的可行性。
下面为使用JSky和Nessus对地铁平台和高校平台的测试数据列表。
JSKY测试结果:
某地铁平台(192.168.198.25)
某高校(www.????.edu.cn)
Nessus测试结果:
某地铁平台(192.168.198.25)
某高校(www.????.edu.cn)
以上对本发明所提供的一种基于网络环境软件运行安全性度量与评估系统进行详细介绍,本文中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。
Claims (5)
1.一种基于网络环境软件运行安全性度量与评估方法,其特征在于,包括:
建立度量体系步骤,选取软件安全的评估指标;
威胁建模步骤,对网络环境下软件面临的威胁进行建模;
软件安全评估步骤,基于所述评估指标,用基于可靠性的软件安全评估方法,基于漏洞的软件安全评估方法和基于风险的软件安全评估方法,对面临网络环境下威胁的软件进行安全评估。
2.根据权利要求1所述的基于网络环境软件运行安全性度量与评估方法,其特征在于,所述建立度量体系步骤中,选取完整性、不可否认性、机密性、可授权性、可用性和身份可验证性为网络环境下软件安全的评估指标。
3.根据权利要求1所述的基于网络环境软件运行安全性度量与评估方法,其特征在于,所述威胁建模步骤进一步包括:
威胁映射步骤,把网络环境下面临的具体威胁映射到STRIDE模型上;
威胁模型对应步骤,把选取的软件安全评估指标与STRIDE模型一一对应;
威胁对应步骤,把网络环境下软件面临的威胁通过STRIDE模型对应到选取的安全指标上。
4.根据权利要求1所述的基于网络环境软件运行安全性度量与评估方法,其特征在于,所述软件安全评估步骤进一步包括:
软件安全评估步骤,输入测试数据,根据选取方法,用基于可靠性、基于漏洞和基于风险的方法对网络环境下安全进行评估;
软件安全评估结果归一化步骤,对于生成的各种评估结果进行归一化,得出结论。
5.根据权利要求1所述的基于网络环境软件运行安全性度量与评估方法,其特征在于:
其中软件安全评估步骤,用三种方法进行评估,具体如下:
基于可靠性的评估方法
基于可靠性的评估方法是,借鉴了软件可靠性的计算方法,计算将软件运行时的状态分成:正常运行状态、运行错误但安全状态和运行错误且不安全状态,利用软件的状态转移概率C,及测试时间t,计算出软件到达运行错误且不安全状态的期望时间MTTUF`,得出软件安全性的评估结果;根据独立的伯努利实验,软件由正常状态到达运行错误但安全状态的概率是C,则由正常状态到达运行错误且不安全状态的概率是1-C;
具体步骤如下:
1)对软件进行安全测试,或者输入测试报告,提取测试总时间t,软件安全错误数Ns_s,即软件出现安全错误时,仍能保持正常的运行状态,和软件错误数Ns;
2)根据上步取得的结果,计算软件的状态转移概率C;根据独立的伯努利实验,软件由正常状态到达运行错误但安全状态的概率是C,则由正常状态到达运行错误且不安全状态的概率是1-C;计算公式如下:
3)根据上步得出的状态转移概率C,计算软件处于运行错误但安全状态的平均时间MTTSF,计算公式如下:
4)由软件的运行错误但安全状态的平均时间MTTSF和软件的状态转移概率C,计算出软件运行错误且不安全状态的平均时间MTTUF`,计算公式如下:
基于漏洞的评估方法
将测试完软件所得到的各漏洞参数进行整合,根据不同漏洞对于整个软件完整性、可用性、保密性的影响权重进行计算分析,获得基于漏洞的软件安全性等级结果并将结果参数导入数据库中;
具体步骤如下:
1)漏洞采集工作;对软件进行漏洞扫描,得出扫描报告,这也是测评系统下一步的主要输入;
2)使用漏洞评分系统中的基本标准群里的保密性Integrity影响、完整性Confidentiality影响、可用性Availability影响、攻击途径、攻击复杂度和认证这六个方面作为基本度量量;
3)分析漏洞这几个基本安全属性,先是根据报告对每一个漏洞的描述,选出漏洞对软件安全性的保密性影响,完整性影响和可用性影响的分数级,选择某一漏洞对该软件三个方面影响的偏重,即WIWAWC;
计算公式如下:
BI=BaseIm pact=Ix×WI+Ay×WA+Cz×WC (4)
IxAyCz的中xyz分别代表三个安全属性的等级,其数值通过现有技术可知;WI、WA、WC分别为完整性、可用性和保密性的权重;
4)利用另外三个安全属性:攻击途径、攻击复杂度和认证,得出漏洞的可利用率分数,可利用率就是体现软件中存在漏洞的可被利用概率,计算公式如下:
EX=Exploitability=AV×AC×AU(5)
AV(Access Vector)代表攻击途径,AC(Access Complexity)代表攻击复杂度,AU(Authentication)代表认证;他们都是介于0到1的一个小数;其数值通过现有技术可知;
5)由以上两步得出了BI和EX,两者相乘即为一个漏洞对安全性的最终实际影响分数;如下式:
Impact Score=BI×EX(6)
6)根据扫描报告得到的漏洞等级,提取出报告中每一个等级的漏洞数量,然后为四个等级分别附上权重;每一级漏洞算出平均分数再线性加权得出最终的结果;具体计算公式如下:
j即对应报告中漏洞的四类等级:致命、高、中、低;n为每类等级的漏洞数量,i从1取到nj;W为每类等级漏洞对应的权重;线性加权计算后所得结果SRS即为security risk score,分数越高表明软件系统越不安全,危险越大;
基于风险的评估方法
基于风险的软件安全评估方法是将软件面临的威胁风险,定义为威胁危害等级和威胁发生概率的一个函数;计算公式如下:
Rc=PcIc (8)
c是一个具体的威胁事件;Pc是威胁事件c发生的概率;Ic是威胁的影响因子,威胁事件c发生时,对软件的危害程度;
扫描软件,或通过输入测试报告的扩展方式,提取软件在网络环境下面临的威胁,并取得威胁的权重危害影响因子Ic
根据历史统计数据或专家打分法,取得威胁事件发生的概率Pc;
计算有m个威胁事件影响的软件安全指标B面临的风险,对m个事件的风险总和取平均数,计算公式如下:
由上步计算结果,加入每个软件安全指标所占被测对象的安全权重,计算出网络环境下软件面临的风险,计算公式如下:
WB是分配在每个软件安全指标的权重。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210240586.XA CN102799822B (zh) | 2012-07-11 | 2012-07-11 | 基于网络环境软件运行安全性度量与评估方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210240586.XA CN102799822B (zh) | 2012-07-11 | 2012-07-11 | 基于网络环境软件运行安全性度量与评估方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102799822A true CN102799822A (zh) | 2012-11-28 |
CN102799822B CN102799822B (zh) | 2015-06-17 |
Family
ID=47198927
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210240586.XA Active CN102799822B (zh) | 2012-07-11 | 2012-07-11 | 基于网络环境软件运行安全性度量与评估方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102799822B (zh) |
Cited By (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103023889A (zh) * | 2012-11-29 | 2013-04-03 | 武汉华中电力电网技术有限公司 | 一种安全域风险量化方法 |
CN103383722A (zh) * | 2013-05-30 | 2013-11-06 | 北京航空航天大学 | 一种结合产品和过程的软件安全性举证开发方法 |
CN104317725A (zh) * | 2014-11-18 | 2015-01-28 | 电信科学技术第十研究所 | 一种软件测试的计算机实现的方法、计算机和系统 |
CN104376266A (zh) * | 2014-11-21 | 2015-02-25 | 工业和信息化部电信研究院 | 应用软件安全级别的确定方法及装置 |
CN104376264A (zh) * | 2014-07-11 | 2015-02-25 | 腾讯科技(深圳)有限公司 | 一种软件漏洞处理方法、装置和系统 |
WO2017152742A1 (zh) * | 2016-03-08 | 2017-09-14 | 中兴通讯股份有限公司 | 一种网络安全设备的风险评估方法和装置 |
CN107194259A (zh) * | 2017-04-14 | 2017-09-22 | 华中科技大学 | 一种基于攻击过程的漏洞严重度综合评估方法和系统 |
CN107220549A (zh) * | 2017-05-26 | 2017-09-29 | 中国民航大学 | 基于cvss的漏洞风险基础评估方法 |
CN107292178A (zh) * | 2017-05-12 | 2017-10-24 | 北京计算机技术及应用研究所 | 一种基于多层次影响因子的安全漏洞威胁量化方法 |
CN108121656A (zh) * | 2016-11-30 | 2018-06-05 | 西门子公司 | 一种软件评估方法和装置 |
CN108369542A (zh) * | 2015-11-09 | 2018-08-03 | 西普霍特公司 | 用于检测横向运动和数据泄漏的系统和方法 |
CN108881157A (zh) * | 2018-05-04 | 2018-11-23 | 国家计算机网络与信息安全管理中心 | 一种基于pc终端行为的个体信息安全能力评价方法及系统 |
CN109145579A (zh) * | 2018-08-18 | 2019-01-04 | 北京航空航天大学 | 智能网联汽车信息安全认证测试方法和系统 |
CN109426911A (zh) * | 2017-08-31 | 2019-03-05 | 华为技术有限公司 | 一种设备的软件运行环境质量的评估方法及装置 |
CN109450959A (zh) * | 2019-01-08 | 2019-03-08 | 四川九洲电器集团有限责任公司 | 一种基于威胁等级的多因子身份认证方法 |
CN109617910A (zh) * | 2019-01-08 | 2019-04-12 | 平安科技(深圳)有限公司 | 漏洞风险评估方法、装置及存储介质、服务器 |
CN109688159A (zh) * | 2019-01-23 | 2019-04-26 | 平安科技(深圳)有限公司 | 网络隔离违规识别方法、服务器及计算机可读存储介质 |
CN109840688A (zh) * | 2018-12-28 | 2019-06-04 | 全球能源互联网研究院有限公司 | 一种电力移动终端安全评估方法及装置 |
CN110414855A (zh) * | 2019-08-01 | 2019-11-05 | 广州运达智能科技有限公司 | 一种基于分类的地铁车辆安全性评价方法 |
CN110489970A (zh) * | 2018-05-14 | 2019-11-22 | 阿里巴巴集团控股有限公司 | 漏洞检测方法、装置及系统 |
CN110708342A (zh) * | 2019-11-18 | 2020-01-17 | 国电南瑞科技股份有限公司 | 恶意攻击对信息物理电力系统影响的量化方法及系统 |
CN110704848A (zh) * | 2019-09-27 | 2020-01-17 | 百度在线网络技术(北京)有限公司 | 脆弱点量化评估方法及装置 |
CN111914408A (zh) * | 2020-07-15 | 2020-11-10 | 中国民航信息网络股份有限公司 | 面向威胁建模的信息处理方法、系统及电子设备 |
CN112784279A (zh) * | 2021-01-04 | 2021-05-11 | 北京交通大学 | 基于依赖库版本信息的软件产品安全风险评估方法 |
CN113014569A (zh) * | 2021-02-22 | 2021-06-22 | 深圳供电局有限公司 | 一种智能录波器网络安全管理方法及系统 |
CN113051582A (zh) * | 2021-04-28 | 2021-06-29 | 重庆电子工程职业学院 | 一种计算机软件技术开发调试系统 |
CN113254944A (zh) * | 2021-06-08 | 2021-08-13 | 工银科技有限公司 | 漏洞处理方法、系统、电子设备、存储介质及程序产品 |
CN114257519A (zh) * | 2021-11-02 | 2022-03-29 | 中国人民解放军战略支援部队信息工程大学 | 多功能等价执行体系统的异构度评估方法及装置 |
US11405410B2 (en) | 2014-02-24 | 2022-08-02 | Cyphort Inc. | System and method for detecting lateral movement and data exfiltration |
CN117057681A (zh) * | 2023-10-12 | 2023-11-14 | 航天中认软件测评科技(北京)有限责任公司 | 软件质量评估方法、装置、设备和存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101017458A (zh) * | 2007-03-02 | 2007-08-15 | 北京邮电大学 | 基于源代码静态分析的软件安全代码分析器及其检测方法 |
CN101681328A (zh) * | 2007-03-16 | 2010-03-24 | 普利瓦里公司 | 网络风险的预测评估 |
CN101950271A (zh) * | 2010-10-22 | 2011-01-19 | 中国人民解放军理工大学 | 一种基于建模技术的软件安全性测试方法 |
CN102521496A (zh) * | 2011-12-02 | 2012-06-27 | 北京启明星辰信息安全技术有限公司 | 评估指标的重要性级别的获取方法和系统 |
-
2012
- 2012-07-11 CN CN201210240586.XA patent/CN102799822B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101017458A (zh) * | 2007-03-02 | 2007-08-15 | 北京邮电大学 | 基于源代码静态分析的软件安全代码分析器及其检测方法 |
CN101681328A (zh) * | 2007-03-16 | 2010-03-24 | 普利瓦里公司 | 网络风险的预测评估 |
CN101950271A (zh) * | 2010-10-22 | 2011-01-19 | 中国人民解放军理工大学 | 一种基于建模技术的软件安全性测试方法 |
CN102521496A (zh) * | 2011-12-02 | 2012-06-27 | 北京启明星辰信息安全技术有限公司 | 评估指标的重要性级别的获取方法和系统 |
Cited By (45)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103023889A (zh) * | 2012-11-29 | 2013-04-03 | 武汉华中电力电网技术有限公司 | 一种安全域风险量化方法 |
CN103383722A (zh) * | 2013-05-30 | 2013-11-06 | 北京航空航天大学 | 一种结合产品和过程的软件安全性举证开发方法 |
CN103383722B (zh) * | 2013-05-30 | 2016-03-30 | 北京航空航天大学 | 一种结合产品和过程的软件安全性举证开发方法 |
US11902303B2 (en) | 2014-02-24 | 2024-02-13 | Juniper Networks, Inc. | System and method for detecting lateral movement and data exfiltration |
US11405410B2 (en) | 2014-02-24 | 2022-08-02 | Cyphort Inc. | System and method for detecting lateral movement and data exfiltration |
CN104376264A (zh) * | 2014-07-11 | 2015-02-25 | 腾讯科技(深圳)有限公司 | 一种软件漏洞处理方法、装置和系统 |
CN104317725A (zh) * | 2014-11-18 | 2015-01-28 | 电信科学技术第十研究所 | 一种软件测试的计算机实现的方法、计算机和系统 |
CN104376266A (zh) * | 2014-11-21 | 2015-02-25 | 工业和信息化部电信研究院 | 应用软件安全级别的确定方法及装置 |
CN104376266B (zh) * | 2014-11-21 | 2017-09-15 | 工业和信息化部电信研究院 | 应用软件安全级别的确定方法及装置 |
CN108369542A (zh) * | 2015-11-09 | 2018-08-03 | 西普霍特公司 | 用于检测横向运动和数据泄漏的系统和方法 |
WO2017152742A1 (zh) * | 2016-03-08 | 2017-09-14 | 中兴通讯股份有限公司 | 一种网络安全设备的风险评估方法和装置 |
CN108121656A (zh) * | 2016-11-30 | 2018-06-05 | 西门子公司 | 一种软件评估方法和装置 |
CN107194259B (zh) * | 2017-04-14 | 2019-06-28 | 华中科技大学 | 一种基于攻击过程的漏洞严重度综合评估方法和系统 |
CN107194259A (zh) * | 2017-04-14 | 2017-09-22 | 华中科技大学 | 一种基于攻击过程的漏洞严重度综合评估方法和系统 |
CN107292178A (zh) * | 2017-05-12 | 2017-10-24 | 北京计算机技术及应用研究所 | 一种基于多层次影响因子的安全漏洞威胁量化方法 |
CN107292178B (zh) * | 2017-05-12 | 2020-12-01 | 北京计算机技术及应用研究所 | 一种基于多层次影响因子的安全漏洞威胁量化方法 |
CN107220549A (zh) * | 2017-05-26 | 2017-09-29 | 中国民航大学 | 基于cvss的漏洞风险基础评估方法 |
CN107220549B (zh) * | 2017-05-26 | 2020-12-01 | 中国民航大学 | 基于cvss的漏洞风险基础评估方法 |
US11263112B2 (en) | 2017-08-31 | 2022-03-01 | Huawei Technologies Co., Ltd. | Method and apparatus for evaluating quality of software running environment of device |
CN109426911B (zh) * | 2017-08-31 | 2022-04-05 | 华为技术有限公司 | 一种设备的软件运行环境质量的评估方法及装置 |
CN109426911A (zh) * | 2017-08-31 | 2019-03-05 | 华为技术有限公司 | 一种设备的软件运行环境质量的评估方法及装置 |
CN108881157A (zh) * | 2018-05-04 | 2018-11-23 | 国家计算机网络与信息安全管理中心 | 一种基于pc终端行为的个体信息安全能力评价方法及系统 |
CN108881157B (zh) * | 2018-05-04 | 2021-01-22 | 国家计算机网络与信息安全管理中心 | 一种基于pc终端行为的个体信息安全能力评价方法及系统 |
CN110489970A (zh) * | 2018-05-14 | 2019-11-22 | 阿里巴巴集团控股有限公司 | 漏洞检测方法、装置及系统 |
CN109145579A (zh) * | 2018-08-18 | 2019-01-04 | 北京航空航天大学 | 智能网联汽车信息安全认证测试方法和系统 |
CN109840688A (zh) * | 2018-12-28 | 2019-06-04 | 全球能源互联网研究院有限公司 | 一种电力移动终端安全评估方法及装置 |
CN109450959A (zh) * | 2019-01-08 | 2019-03-08 | 四川九洲电器集团有限责任公司 | 一种基于威胁等级的多因子身份认证方法 |
CN109617910A (zh) * | 2019-01-08 | 2019-04-12 | 平安科技(深圳)有限公司 | 漏洞风险评估方法、装置及存储介质、服务器 |
CN109617910B (zh) * | 2019-01-08 | 2023-03-24 | 平安科技(深圳)有限公司 | 漏洞风险评估方法、装置及存储介质、服务器 |
CN109688159A (zh) * | 2019-01-23 | 2019-04-26 | 平安科技(深圳)有限公司 | 网络隔离违规识别方法、服务器及计算机可读存储介质 |
CN110414855A (zh) * | 2019-08-01 | 2019-11-05 | 广州运达智能科技有限公司 | 一种基于分类的地铁车辆安全性评价方法 |
CN110704848A (zh) * | 2019-09-27 | 2020-01-17 | 百度在线网络技术(北京)有限公司 | 脆弱点量化评估方法及装置 |
CN110704848B (zh) * | 2019-09-27 | 2022-06-10 | 阿波罗智联(北京)科技有限公司 | 脆弱点量化评估方法及装置 |
CN110708342A (zh) * | 2019-11-18 | 2020-01-17 | 国电南瑞科技股份有限公司 | 恶意攻击对信息物理电力系统影响的量化方法及系统 |
CN110708342B (zh) * | 2019-11-18 | 2022-04-19 | 国电南瑞科技股份有限公司 | 恶意攻击对信息物理电力系统影响的量化方法及系统 |
CN111914408A (zh) * | 2020-07-15 | 2020-11-10 | 中国民航信息网络股份有限公司 | 面向威胁建模的信息处理方法、系统及电子设备 |
CN111914408B (zh) * | 2020-07-15 | 2024-03-08 | 中国民航信息网络股份有限公司 | 面向威胁建模的信息处理方法、系统及电子设备 |
CN112784279B (zh) * | 2021-01-04 | 2023-03-28 | 北京交通大学 | 基于依赖库版本信息的软件产品安全风险评估方法 |
CN112784279A (zh) * | 2021-01-04 | 2021-05-11 | 北京交通大学 | 基于依赖库版本信息的软件产品安全风险评估方法 |
CN113014569A (zh) * | 2021-02-22 | 2021-06-22 | 深圳供电局有限公司 | 一种智能录波器网络安全管理方法及系统 |
CN113051582A (zh) * | 2021-04-28 | 2021-06-29 | 重庆电子工程职业学院 | 一种计算机软件技术开发调试系统 |
CN113254944A (zh) * | 2021-06-08 | 2021-08-13 | 工银科技有限公司 | 漏洞处理方法、系统、电子设备、存储介质及程序产品 |
CN114257519A (zh) * | 2021-11-02 | 2022-03-29 | 中国人民解放军战略支援部队信息工程大学 | 多功能等价执行体系统的异构度评估方法及装置 |
CN117057681A (zh) * | 2023-10-12 | 2023-11-14 | 航天中认软件测评科技(北京)有限责任公司 | 软件质量评估方法、装置、设备和存储介质 |
CN117057681B (zh) * | 2023-10-12 | 2024-01-16 | 航天中认软件测评科技(北京)有限责任公司 | 软件质量评估方法、装置、设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN102799822B (zh) | 2015-06-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102799822B (zh) | 基于网络环境软件运行安全性度量与评估方法 | |
CN104125112B (zh) | 基于物理‑信息模糊推理的智能电网攻击检测方法 | |
Li et al. | System reliability analysis of rock slope stability involving correlated failure modes | |
Liu et al. | Reliability effects of test strategies on safety-instrumented systems in different demand modes | |
CN105975863A (zh) | 一种配电自动化终端设备信息安全风险测评与计算方法 | |
CN105045574A (zh) | 一种基于复杂网络故障传播的软件关键函数辨识方法 | |
Abercrombie et al. | Risk assessment methodology based on the NISTIR 7628 guidelines | |
CN107612927B (zh) | 电力调度自动化系统的安全检测方法 | |
CN107491694A (zh) | 用于量化评估scada系统信息安全脆弱性的方法 | |
CN109118105A (zh) | 山火灾害下的电网群发故障的风险分析方法及系统 | |
CN105844425A (zh) | 一种用于电力信息物理系统的安全威胁态势综合评判方法 | |
CN110287703A (zh) | 车辆安全风险检测的方法及装置 | |
Ruo-xin et al. | Model for cloud computing security assessment based on AHP and FCE | |
CN106067882A (zh) | 一种基于网络熵的计算机网络攻击效果定量评估方法 | |
Li | Research on network information security service model based on user requirements under artificial intelligence technology | |
KR20200142719A (ko) | 노후 발전 구조물 내 내진 안전도 평가 시스템 | |
CN106161432A (zh) | 一种基于网络熵的计算机网络攻击效果定量评估方法 | |
Najafian et al. | Signature-based method and stream data mining technique performance evaluation for security and intrusion detection in advanced metering infrastructures (ami) | |
CN102708041A (zh) | 一种软件可信性质最小测试用例数的计算方法 | |
CN113408117A (zh) | 一种评估电力监控系统网络攻击破坏力程度的方法及系统 | |
Gao et al. | Management process based cloud service security model | |
Chernov et al. | Determining the Hazard Quotient of Destructive Actions of Automated Process Control Systems Information Security Violator | |
Kim et al. | Input-domain software testing for failure probability estimation of safety-critical applications in consideration of past input sequence | |
Radack | Security metrics: measurements to support the continued development of information security technology | |
Rehak et al. | Application of composite indicator in evaluation of resilience in critical infrastructure system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |