CN112052457B - 应用系统的安全状况评估方法及装置 - Google Patents

应用系统的安全状况评估方法及装置 Download PDF

Info

Publication number
CN112052457B
CN112052457B CN202010914873.9A CN202010914873A CN112052457B CN 112052457 B CN112052457 B CN 112052457B CN 202010914873 A CN202010914873 A CN 202010914873A CN 112052457 B CN112052457 B CN 112052457B
Authority
CN
China
Prior art keywords
security
vulnerability
application system
index
source
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010914873.9A
Other languages
English (en)
Other versions
CN112052457A (zh
Inventor
尹本兵
聂朝飞
冯波
郭忠明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bank of China Ltd
Original Assignee
Bank of China Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bank of China Ltd filed Critical Bank of China Ltd
Priority to CN202010914873.9A priority Critical patent/CN112052457B/zh
Publication of CN112052457A publication Critical patent/CN112052457A/zh
Application granted granted Critical
Publication of CN112052457B publication Critical patent/CN112052457B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种应用系统的安全状况评估方法及装置,该方法包括:预定义的安全漏洞格式,实时收集应用系统的安全漏洞数据;根据应用系统的安全漏洞数据,计算每一安全漏洞的漏洞安全指数;根据每一安全漏洞的漏洞安全指数,计算应用系统的系统安全指数;以预设的不同系统安全指数区间段与不同安全程度的对应关系,根据应用系统的系统安全指数,实时评估应用系统的安全状况。本发明可实现对应用系统的安全状况的实时评估,与现有技术对比,可自动化实时评估应用系统的安全状况,避免了应用系统在上线前才可以进行安全评估的情况发生,提高了应用系统的安全状况评估的及时性。从而避免了耽误应用系统上线的运营计划的问题,降低了修复成本。

Description

应用系统的安全状况评估方法及装置
技术领域
本发明涉及计算机技术领域,尤其涉及应用系统的安全状况评估方法及装置。
背景技术
本部分旨在为权利要求书中陈述的本发明实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
在软件开发过程中,产品经理、业务主管、安全经理等角色无法实时准确判断应用系统信息安全状况,无法尽早地识别应用系统存在的安全风险,导致在功能测试阶段或者上线后才发现存在严重安全问题,造成很严重的信息安全隐患,而且修复成本大大增加。
所以在应用系统上线前,需要对应用系统进行实时评估,将安全风险及时识别出来,为产品经理、业务主管、安全经理等角色提供参考。
目前评估应用系统的信息安全状况主要靠上线前的安全评审来实现,安全评审的一般思路如下所述:一是评审是否存在未修复的特高危、高危、中危漏洞,如存在,则不允许上线;二是评审未修复的低危漏洞风险是否可以接受,若不可以接受,则不允许上线。这两种方法虽然可以通过不允许上线的方式避免安全隐患暴露在生产环境,但也仅是在应用系统上线前才可以进行评估。而一旦遇到未修复的高、中危漏洞,就需要耗费大量的时间进行安全漏洞修复,由此就会耽误应用系统上线的运营计划;同时,由于发现时间较晚,也提升了漏洞修复成本。
发明内容
本发明实施例提供一种应用系统的安全状况评估方法,用以实时评估应用系统的安全状况,该方法包括:
以预定义的安全漏洞格式,实时收集应用系统的安全漏洞数据;所述安全漏洞数据包括不同安全漏洞参数的权重;所述安全漏洞参数包括不同安全漏洞的等级,修复状态和来源;
根据应用系统的安全漏洞数据,计算每一安全漏洞的漏洞安全指数;所述漏洞安全指数用于表征安全漏洞的安全程度;
根据每一安全漏洞的漏洞安全指数,计算应用系统的系统安全指数;所述系统安全指数用于表征应用系统的安全程度;
以预设的不同系统安全指数区间段与不同安全程度的对应关系,根据应用系统的系统安全指数,实时评估应用系统的安全状况。
本发明实施例还提供一种应用系统的安全状况评估装置,用以实时评估应用系统的安全状况,该装置包括:
数据收集模块,用于以预定义的安全漏洞格式,实时收集应用系统的安全漏洞数据;所述安全漏洞数据包括不同安全漏洞参数的权重;所述安全漏洞参数包括不同安全漏洞的等级,修复状态和来源;
漏洞安全指数计算模块,用于根据应用系统的安全漏洞数据,计算每一安全漏洞的漏洞安全指数;所述漏洞安全指数用于表征安全漏洞的安全程度;
系统安全指数计算模块,用于根据每一安全漏洞的漏洞安全指数,计算应用系统的系统安全指数;所述系统安全指数用于表征应用系统的安全程度;
安全状况评估模块,用于以预设的不同系统安全指数区间段与不同安全程度的对应关系,根据应用系统的系统安全指数,实时评估应用系统的安全状况。
本发明实施例还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述应用系统的安全状况评估方法。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述应用系统的安全状况评估方法的计算机程序。
本发明实施例中,以预定义的安全漏洞格式,实时收集应用系统的安全漏洞数据;所述安全漏洞数据包括不同安全漏洞参数的权重;所述安全漏洞参数包括不同安全漏洞的等级,修复状态和来源;根据应用系统的安全漏洞数据,计算每一安全漏洞的漏洞安全指数;所述漏洞安全指数用于表征安全漏洞的安全程度;根据每一安全漏洞的漏洞安全指数,计算应用系统的系统安全指数;所述系统安全指数用于表征应用系统的安全程度;以预设的不同系统安全指数区间段与不同安全程度的对应关系,根据应用系统的系统安全指数,实时评估应用系统的安全状况,从而可实现对应用系统的安全状况的实时评估,与现有技术对比,可自动化实时评估应用系统的安全状况,避免了应用系统在上线前才可以进行评估,在发现问题时需要耗费大量的时间修复安全漏洞的情况发生,提高了应用系统的安全状况评估的及时性。从而避免了耽误应用系统上线的运营计划的问题,降低了修复成本。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1为本发明实施例中一种应用系统的安全状况评估方法的流程示意图;
图2为本发明实施例中一种应用系统的安全状况评估装置的结构示意图;
图3为本发明实施例中一种应用系统的安全状况评估装置的具体示例图;
图4为本发明实施例中一种应用系统的安全状况评估装置的具体示例图;
图5为本发明实施例中一种应用系统的安全状况评估装置的具体示例图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合附图对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。
图1是本发明实施例中一种应用系统的安全状况评估方法的流程示意图,如图1所示,本发明实施例提供的一种应用系统的安全状况评估方法,可以包括:
步骤101:以预定义的安全漏洞格式,实时收集应用系统的安全漏洞数据;所述安全漏洞数据包括不同安全漏洞参数的权重;所述安全漏洞参数包括不同安全漏洞的等级,修复状态和来源;
步骤102:根据应用系统的安全漏洞数据,计算每一安全漏洞的漏洞安全指数;所述漏洞安全指数用于表征安全漏洞的安全程度;
步骤103:根据每一安全漏洞的漏洞安全指数,计算应用系统的系统安全指数;所述系统安全指数用于表征应用系统的安全程度;
步骤104:以预设的不同系统安全指数区间段与不同安全程度的对应关系,根据应用系统的系统安全指数,实时评估应用系统的安全状况。
本发明实施例中,以预定义的安全漏洞格式,实时收集应用系统的安全漏洞数据;所述安全漏洞数据包括不同安全漏洞参数的权重;所述安全漏洞参数包括不同安全漏洞的等级,修复状态和来源;根据应用系统的安全漏洞数据,计算每一安全漏洞的漏洞安全指数;所述漏洞安全指数用于表征安全漏洞的安全程度;根据每一安全漏洞的漏洞安全指数,计算应用系统的系统安全指数;所述系统安全指数用于表征应用系统的安全程度;以预设的不同系统安全指数区间段与不同安全程度的对应关系,根据应用系统的系统安全指数,实时评估应用系统的安全状况,从而可实现对应用系统的安全状况的实时评估,与现有技术对比,可自动化实时评估应用系统的安全状况,避免了应用系统在上线前才可以进行安全评估,在发现问题时需要耗费大量的时间修复安全漏洞的情况发生,提高了应用系统的安全状况评估的及时性。从而避免了耽误应用系统上线的运营计划的问题,降低了修复成本。
具体实施时,首先以预定义的安全漏洞格式,实时收集应用系统的安全漏洞数据;安全漏洞数据包括不同安全漏洞参数的权重;安全漏洞参数包括不同安全漏洞的等级,修复状态和来源。
实施例中,可通过应用系统与各个安全测试工具的接口,实时自动化收集来自各个安全测试工具测试出的安全漏洞数据,同时应用系统还可通过手工,录入安全漏洞数据。
安全漏洞数据包括不同安全漏洞参数的权重,安全漏洞参数可以包括:不同安全漏洞对应的漏洞编号、漏洞概述、等级、漏洞发现时间、修复状态、来源和归属应用系统等。
其中安全漏洞的等级可以包括特高危、高危、中危和低危四种;漏洞修复状态可以包括未修复、已临时修复、已修复、已关闭和误报五种;漏洞数据来源可以包括如下十种,分别是:
A.SAST工具(静态应用安全测试工具,如CheckMarx、Fortify工具等,通常在编码阶段分析应用程序的源代码或二进制文件的语法、结构、过程、接口等来发现程序代码存在的安全漏洞);B.DAST工具(动态应用安全测试工具,如AWVS、AppScan等,通常在测试或运行阶段分析应用程序的动态运行状态,模拟黑客行为对应用程序进行动态攻击,分析应用程序的反应,从而确定Web应用程序是否存在漏洞);C.IAST工具(交互式应用安全测试工具,通过代理、VPN或者服务端插桩的方式,收集、监控应用程序运行时函数执行、数据传输,并于扫描器端进行实时交互,高效准确的识别安全漏洞);D.开源SCA工具(开源软件组合分析工具,通过扫描应用程序包中的直接依赖项和间接依赖项,对比漏洞库,判断应用程序包中是否包含已知漏洞);E.移动APP安全检测工具(对移动APP进行静态漏洞扫描,检测移动APP内部存在的安全漏洞);F.安全测试团队;G.SRC安全应急响应中心;H.第三方检测机构;I.监管机构;J.其他。
实施例中,不同安全漏洞参数的权重可由工作人员根据待评估安全状况的应用系统的实际情况进行设置。举一例,如可如表1中所示,设置不同安全漏洞的等级及对应不同等级的权重,不同安全漏洞的修复状态及对应不同修复状态的权重。
表1
在上述实施例中,应用系统的信息安全状况主要的衡量数据是安全漏洞数据,要想计算应用系统的系统安全指数,需要从安全漏洞数据入手,通过安全漏洞的来源及权重、安全漏洞等级(风险级别)及权重、安全漏洞修复状态及权重等多个参数共同确定。
具体实施时,在以预定义的安全漏洞格式,实时收集应用系统的安全漏洞数据后,根据应用系统的安全漏洞数据,计算每一安全漏洞的漏洞安全指数;漏洞安全指数用于表征安全漏洞的安全程度。
实施例中,本发明实施例提供的应用系统的安全状况评估方法,还可以包括:对收集的应用系统的安全漏洞数据进行格式化处理,得到统一格式的安全漏洞数据;根据应用系统的安全漏洞数据,计算每一安全漏洞的漏洞安全指数,可以包括:根据统一格式的安全漏洞数据,计算每一安全漏洞的漏洞安全指数。
在上述实施例中,对安全漏洞数据进行格式化,可将安全漏洞数据存储为统一的格式,有利于在后续步骤中对不同安全漏洞对应的安全漏洞数据进行计算。
具体实施时,根据应用系统的安全漏洞数据,计算每一安全漏洞的漏洞安全指数的方法有多种,例如,可以包括:根据应用系统的安全漏洞数据和预设置的漏洞基础分,计算每一安全漏洞的漏洞安全指数;漏洞基础分为预设置的漏洞安全指数的计算参数。
实施例中,计算每一安全漏洞的漏洞安全指数的方法有多种,例如,可以包括:按如下公式计算每一安全漏洞的漏洞安全指数:
SVSi=BS×VLi×VFSi
其中,SVSi为第i个安全漏洞的漏洞安全指数;BS为预设置的漏洞基础分;VLi为第i个安全漏洞的等级的权重;VFSi为第i个安全漏洞的修复状态的权重。
在上述实施例中,计算每个安全漏洞的漏洞安全指数(Single VulnerabilityScore,简称SVS),需要使用的计算参数包括预设置的漏洞基础分(BaseScore,简称BS)、安全漏洞等级的权重(Vulnerability Level,简称VL)和安全漏洞的修复状态的权重(Vulnerability FixState,简称VFS)。其中,预设置的漏洞基础分可设置为10。
具体实施时,在根据应用系统的安全漏洞数据,计算每一安全漏洞的漏洞安全指数后,根据每一安全漏洞的漏洞安全指数,计算应用系统的系统安全指数;系统安全指数用于表征应用系统的安全程度。而根据每一安全漏洞的漏洞安全指数,计算应用系统的系统安全指数的方法有多种,例如,可以包括:根据每一安全漏洞的漏洞安全指数,计算每一安全漏洞来源的来源安全指数;来源安全指数用于表征安全漏洞来源下应用系统的安全程度;根据每一安全漏洞来源的来源安全指数,计算应用系统的系统安全指数。
实施例中,可按如下公式根据每一安全漏洞的漏洞安全指数,计算每一安全漏洞来源的来源安全指数:
其中,SVOSj为第j个安全漏洞来源的来源安全指数;VOj为第j个安全漏洞来源的权重;为第j个安全漏洞来源下第i个安全漏洞的漏洞安全指数;nj为第j个安全漏洞来源下安全漏洞的总数。
实施例中,不同安全漏洞参数的权重可由工作人员根据待评估安全状况的应用系统的实际情况进行设置。举一例,可如表2中所示,设置不同安全漏洞的来源及对应不同来源的权重。
表2
在上述实施例中,计算安全漏洞来源的来源安全指数(Single VulnerabilityOrigin Score,简称SVOS),需要使用的计算参数包括:漏洞安全指数SVS、安全漏洞的来源的权重(Vulnerability Origin,简称VO)。通过计算安全漏洞来源的来源安全指数,可用于表征安全漏洞来源下应用系统的安全程度,有利于在后续步骤中计算应用系统的系统安全指数。
具体实施时,本发明实施例提供的应用系统的安全状况评估方法,还可以包括:获取应用系统的产品重要程度参数和客户影响参数;产品重要程度参数用于表征应用系统的重要程度;客户影响参数用于区分使用该应用系统的客户群体;根据应用系统的产品重要程度参数和客户影响参数,分别确定产品重要程度参数的权重和客户影响参数的权重;根据每一安全漏洞来源的安全指数,计算应用系统的系统安全指数,可以包括:根据产品重要程度参数的权重,客户影响参数的权重和每一安全漏洞来源的来源安全指数,计算应用系统的系统安全指数。
实施例中,根据应用系统的产品重要程度参数和客户影响参数,分别确定产品重要程度参数的权重和客户影响参数的权重,可以包括:根据应用系统的产品重要程度参数,从预设置的不同应用系统的产品重要程度参数与不同权重的对应关系中,确定产品重要程度参数的权重;根据应用系统的客户影响参数,从预设置的不同应用系统的客户影响参数与不同权重的对应关系中,确定客户影响参数的权重。
实施例中,预设置的不同应用系统的产品重要程度参数与不同权重的对应关系,以及预设置的不同应用系统的客户影响参数与不同权重的对应关系,可由工作人员根据待评估安全状况的应用系统的实际情况进行设置。举一例,可如表3中所示,设置不同应用系统的产品重要程度参数与不同权重的对应关系,以及设置不同应用系统的客户影响参数与不同权重的对应关系。
表3
具体实施时,按如下公式计算应用系统的系统安全指数:
其中,SPS为应用系统的系统安全指数;PI为应用系统的产品重要程度参数的权重;CI为应用系统的客户影响参数的权重;m为全部安全漏洞来源中含有修复状态为未修复和/或临时修复的安全漏洞的安全漏洞来源的数量;SVOSj为第j个安全漏洞来源的来源安全指数。
实施例中,计算产品的应用系统的系统安全指数(Single Product Score,简称SPS),需要使用的计算参数包括来源安全指数SVOS、产品重要程度参数的权重(ProductImportance,简称PI)、客户影响参数的权重(Custom Influence,简称CI)。
在上述实施例中,通过计算应用系统的系统安全指数,提高了应用系统的安全状况评估的通用性,对于应用系统安全指数的判断是通过客观数值来得出的,而不是主观判断出的,具有很强的通用性。
具体实施时,根据每一安全漏洞的漏洞安全指数,计算应用系统的系统安全指数;系统安全指数用于表征应用系统的安全程度的方法有多种,例如,可以包括:以预设的不同系统安全指数区间段与不同安全程度的对应关系,根据应用系统的系统安全指数,实时评估应用系统的安全状况。
实施例中,可如表4所示,预设不同系统安全指数区间段与不同安全程度的对应关系。
表4
应用系统的系统安全指数 安全程度(信息安全程度)
0<=SPS<2.5
2.5<=SPS<7.0
7.0<=SPS<9.0
9.0<=SPS<=10
根据计算出的单一产品的应用系统的安全指数SPS值,可判断应用系统的信息安全状况(如优、良、中和差)。
在上述实施例中,根据计算出的应用系统的安全指数,从预设的不同系统安全指数区间段与不同安全程度的对应关系(如表4所示的信息安全状况映射表),可映射出各个产品的应用系统的实时的信息安全状况。
具体实施时,本发明实施例提供的应用系统的安全状况评估方法,还可以包括:在应用系统的系统安全指数低于预设数值时,发出告警信息。
实施例中,如果应用系统的系统安全指数,如应用系统的系统安全指数经与预设的不同系统安全指数区间段与不同安全程度的对应关系进行匹配,若匹配结果为:应用系统信息安全状况为差时,可向产品经理、业务主管、安全经理等角色发出告警信息,引起关注,进而进行漏洞修复。
在上述实施例中,应用系统的信息安全状况主要的衡量数据是安全漏洞数据,要想计算应用系统的系统安全指数,需要从安全漏洞数据入手,通过安全漏洞的来源及权重、安全漏洞等级(风险级别)及权重、安全漏洞修复状态及权重、应用系统重要程度参数及权重和客户影响参数及权重等多个参数共同确定。通过实时评估应用系统的安全状况,使得本发明实施例的计算时效性强,对于应用系统安全指数的计算是实时的,对于应用系统信息安全状况的判断也是实时的。一旦出现信息安全状况为差的情况,会实时通知到对应产品的产品经理、业务主管、安全经理等角色予以关注,发现时间较早从而也降低了漏洞修复成本。
本发明实施例中,以预定义的安全漏洞格式,实时收集应用系统的安全漏洞数据;所述安全漏洞数据包括不同安全漏洞参数的权重;所述安全漏洞参数包括不同安全漏洞的等级,修复状态和来源;根据应用系统的安全漏洞数据,计算每一安全漏洞的漏洞安全指数;所述漏洞安全指数用于表征安全漏洞的安全程度;根据每一安全漏洞的漏洞安全指数,计算应用系统的系统安全指数;所述系统安全指数用于表征应用系统的安全程度;以预设的不同系统安全指数区间段与不同安全程度的对应关系,根据应用系统的系统安全指数,实时评估应用系统的安全状况,从而可实现对应用系统的安全状况的实时评估,与现有技术对比,可自动化实时评估应用系统的安全状况,避免了应用系统在上线前才可以进行安全评估,在发现问题时需要耗费大量的时间修复安全漏洞的情况发生,提高了应用系统的安全状况评估的及时性。从而避免了耽误应用系统上线的运营计划的问题,降低了修复成本。
如上所述,本发明实施例的易用性强,且维护简单,通过实时高效计算来评估应用系统的安全状况,其中涉及的多个计算参数的权重均为根据待评估安全状况的应用系统的实际情况进行设置,也可以根据企业的不同来修改计算参数的权重。同时,应用本发明实施例提供的方法进行应用系统的安全状况评估的使用成本低,同时通过自动化获取安全漏洞数据,自动化计算应用系统的系统安全指数,可自动化映射应用系统的信息安全状况。无需人工投入,大大降低了安全评审的人力成本。综上,在评估应用系统的信息安全状况时,通过本发明实施例提供的应用系统的安全状况评估方法,可以变得实时高效,通用性强,适用于各个类型的企业,并且使原本复杂的安全评审过程简单化,从而节省人力成本,具有一定的经济价值和实用价值。
本发明实施例中还提供了一种应用系统的安全状况评估装置,如下面的实施例所述。由于该装置解决问题的原理与应用系统的安全状况评估方法相似,因此该装置的实施可以参见应用系统的安全状况评估方法的实施,重复之处不再赘述。
图2为本发明实施例中一种应用系统的安全状况评估装置的结构示意图,如图2所示,本发明实施例提供的一种应用系统的安全状况评估装置,可以包括:
数据收集模块01,用于以预定义的安全漏洞格式,实时收集应用系统的安全漏洞数据;安全漏洞数据包括不同安全漏洞参数的权重;安全漏洞参数包括对应不同安全漏洞的等级,修复状态和来源;
漏洞安全指数计算模块02,用于根据应用系统的安全漏洞数据,计算每一安全漏洞的漏洞安全指数;漏洞安全指数用于表征安全漏洞的安全程度;
系统安全指数计算模块03,用于根据每一安全漏洞的漏洞安全指数,计算应用系统的系统安全指数;系统安全指数用于表征应用系统的安全程度;
安全状况评估模块04,用于以预设的不同系统安全指数区间段与不同安全程度的对应关系,根据应用系统的系统安全指数,实时评估应用系统的安全状况。
在一个实施例中,本发明实施例提供的应用系统的安全状况评估装置,如图3所示,还可以包括:格式化模块05,用于:对收集的应用系统的安全漏洞数据进行格式化处理,得到统一格式的安全漏洞数据;漏洞安全指数计算模块,具体用于:根据统一格式的安全漏洞数据,计算每一安全漏洞的漏洞安全指数。
在一个实施例中,漏洞安全指数计算模块,具体用于:根据应用系统的安全漏洞数据和预设置的漏洞基础分,计算每一安全漏洞的漏洞安全指数;漏洞基础分为预设置的漏洞安全指数的计算参数。
在一个实施例中,漏洞安全指数计算模块,具体用于:按如下公式计算每一安全漏洞的漏洞安全指数:
SVSi=BS×VLi×VFSi
其中,SVSi为第i个安全漏洞的漏洞安全指数;BS为预设置的漏洞基础分;VLi为第i个安全漏洞的等级的权重;VFSi为第i个安全漏洞的修复状态的权重。
在一个实施例中,系统安全指数计算模块,具体用于:根据每一安全漏洞的漏洞安全指数,计算每一安全漏洞来源的来源安全指数;来源安全指数用于表征安全漏洞来源下应用系统的安全程度;根据每一安全漏洞来源的来源安全指数,计算应用系统的系统安全指数。
在一个实施例中,系统安全指数计算模块,具体用于:按如下公式根据每一安全漏洞的漏洞安全指数,计算每一安全漏洞来源的来源安全指数:
其中,SVOSj为第j个安全漏洞来源的来源安全指数;VOj为第j个安全漏洞来源的权重;为第j个安全漏洞来源下第i个安全漏洞的漏洞安全指数;nj为第j个安全漏洞来源下安全漏洞的总数。
在一个实施例中,本发明实施例提供的应用系统的安全状况评估装置,如图4所示,还可以包括:参数获取模块06,用于:获取应用系统的产品重要程度参数和客户影响参数;产品重要程度参数用于表征应用系统的重要程度;客户影响参数用于区分使用该应用系统的客户群体;根据应用系统的产品重要程度参数和客户影响参数,分别确定产品重要程度参数的权重和客户影响参数的权重;系统安全指数计算模块,具体用于:根据产品重要程度参数的权重,客户影响参数的权重和每一安全漏洞来源的来源安全指数,计算应用系统的系统安全指数。
在一个实施例中,参数获取模块,具体用于:根据应用系统的产品重要程度参数,从预设置的不同应用系统的产品重要程度参数与不同权重的对应关系中,确定产品重要程度参数的权重;根据应用系统的客户影响参数,从预设置的不同应用系统的客户影响参数与不同权重的对应关系中,确定客户影响参数的权重。
在一个实施例中,系统安全指数计算模块,具体用于:
其中,SPS为应用系统的系统安全指数;PI为应用系统的产品重要程度参数的权重;CI为应用系统的客户影响参数的权重;m为全部安全漏洞来源中含有修复状态为未修复和/或临时修复的安全漏洞的安全漏洞来源的数量;SVOSj为第j个安全漏洞来源的来源安全指数。
在一个实施例中,本发明实施例提供的应用系统的安全状况评估装置,如图5所示,还可以包括:告警模块07,用于:在应用系统的系统安全指数低于预设数值时,发出告警信息。
本发明实施例还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述应用系统的安全状况评估方法。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述应用系统的安全状况评估方法的计算机程序。
本发明实施例中,以预定义的安全漏洞格式,实时收集应用系统的安全漏洞数据;所述安全漏洞数据包括不同安全漏洞参数的权重;所述安全漏洞参数包括不同安全漏洞的等级,修复状态和来源;根据应用系统的安全漏洞数据,计算每一安全漏洞的漏洞安全指数;所述漏洞安全指数用于表征安全漏洞的安全程度;根据每一安全漏洞的漏洞安全指数,计算应用系统的系统安全指数;所述系统安全指数用于表征应用系统的安全程度;以预设的不同系统安全指数区间段与不同安全程度的对应关系,根据应用系统的系统安全指数,实时评估应用系统的安全状况,从而可实现对应用系统的安全状况的实时评估,与现有技术对比,可自动化实时评估应用系统的安全状况,避免了应用系统在上线前才可以进行安全评估,在发现问题时需要耗费大量的时间修复安全漏洞的情况发生,提高了应用系统的安全状况评估的及时性。从而避免了耽误应用系统上线的运营计划的问题,降低了修复成本。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种应用系统的安全状况评估方法,其特征在于,包括:
以预定义的安全漏洞格式,实时收集应用系统的安全漏洞数据;所述安全漏洞数据包括不同安全漏洞参数的权重;所述安全漏洞参数包括不同安全漏洞的等级,修复状态和来源;
根据应用系统的安全漏洞数据,计算每一安全漏洞的漏洞安全指数;所述漏洞安全指数用于表征安全漏洞的安全程度;
根据每一安全漏洞的漏洞安全指数,计算应用系统的系统安全指数;所述系统安全指数用于表征应用系统的安全程度;
以预设的不同系统安全指数区间段与不同安全程度的对应关系,根据应用系统的系统安全指数,实时评估应用系统的安全状况;
根据每一安全漏洞的漏洞安全指数,计算应用系统的系统安全指数,包括:
根据每一安全漏洞的漏洞安全指数,计算每一安全漏洞来源的来源安全指数;所述来源安全指数用于表征安全漏洞来源下应用系统的安全程度;
根据每一安全漏洞来源的来源安全指数,计算应用系统的系统安全指数;
还包括:获取应用系统的产品重要程度参数和客户影响参数;所述产品重要程度参数用于表征应用系统的重要程度;所述客户影响参数用于区分使用该应用系统的客户群体;
根据应用系统的产品重要程度参数和客户影响参数,分别确定产品重要程度参数的权重和客户影响参数的权重;
根据每一安全漏洞来源的来源安全指数,计算应用系统的系统安全指数,包括:
根据产品重要程度参数的权重,客户影响参数的权重和每一安全漏洞来源的来源安全指数,计算应用系统的系统安全指数;
按如下公式计算应用系统的系统安全指数:
其中,SPS为应用系统的系统安全指数;PI为应用系统的产品重要程度参数的权重;CI为应用系统的客户影响参数的权重;m为全部安全漏洞来源中含有修复状态为未修复和/或临时修复的安全漏洞的安全漏洞来源的数量;SVOSj为第j个安全漏洞来源的来源安全指数。
2.如权利要求1所述的方法,其特征在于,还包括:
对收集的应用系统的安全漏洞数据进行格式化处理,得到统一格式的安全漏洞数据;
根据应用系统的安全漏洞数据,计算每一安全漏洞的漏洞安全指数,包括:
根据统一格式的安全漏洞数据,计算每一安全漏洞的漏洞安全指数。
3.如权利要求1所述的方法,其特征在于,根据应用系统的安全漏洞数据,计算每一安全漏洞的漏洞安全指数,包括:
根据应用系统的安全漏洞数据和预设置的漏洞基础分,计算每一安全漏洞的漏洞安全指数;所述漏洞基础分为预设置的漏洞安全指数的计算参数。
4.如权利要求3所述的方法,其特征在于,按如下公式计算每一安全漏洞的漏洞安全指数:
SVSi=BS×VLi×VFSi
其中,SVSi为第i个安全漏洞的漏洞安全指数;BS为预设置的漏洞基础分;VLi为第i个安全漏洞的等级的权重;VFSi为第i个安全漏洞的修复状态的权重。
5.如权利要求1所述的方法,其特征在于,按如下公式根据每一安全漏洞的漏洞安全指数,计算每一安全漏洞来源的来源安全指数:
其中,SVOSj为第j个安全漏洞来源的来源安全指数;VOj为第j个安全漏洞来源的权重;SVSi j为第j个安全漏洞来源下第i个安全漏洞的漏洞安全指数;nj为第j个安全漏洞来源下安全漏洞的总数。
6.如权利要求1所述的方法,其特征在于,根据应用系统的产品重要程度参数和客户影响参数,分别确定产品重要程度参数的权重和客户影响参数的权重,包括:
根据应用系统的产品重要程度参数,从预设置的不同应用系统的产品重要程度参数与不同权重的对应关系中,确定产品重要程度参数的权重;
根据应用系统的客户影响参数,从预设置的不同应用系统的客户影响参数与不同权重的对应关系中,确定客户影响参数的权重。
7.如权利要求1所述的方法,其特征在于,还包括:在应用系统的系统安全指数低于预设数值时,发出告警信息。
8.一种应用系统的安全状况评估装置,其特征在于,包括:
数据收集模块,用于以预定义的安全漏洞格式,实时收集应用系统的安全漏洞数据;所述安全漏洞数据包括不同安全漏洞参数的权重;所述安全漏洞参数包括对应不同安全漏洞的等级,修复状态和来源;
漏洞安全指数计算模块,用于根据应用系统的安全漏洞数据,计算每一安全漏洞的漏洞安全指数;所述漏洞安全指数用于表征安全漏洞的安全程度;
系统安全指数计算模块,用于根据每一安全漏洞的漏洞安全指数,计算应用系统的系统安全指数;所述系统安全指数用于表征应用系统的安全程度;
安全状况评估模块,用于以预设的不同系统安全指数区间段与不同安全程度的对应关系,根据应用系统的系统安全指数,实时评估应用系统的安全状况;
系统安全指数计算模块,具体用于:
根据每一安全漏洞的漏洞安全指数,计算每一安全漏洞来源的来源安全指数;所述来源安全指数用于表征安全漏洞来源下应用系统的安全程度;
根据每一安全漏洞来源的来源安全指数,计算应用系统的系统安全指数;
还包括:参数获取模块,用于:获取应用系统的产品重要程度参数和客户影响参数;所述产品重要程度参数用于表征应用系统的重要程度;所述客户影响参数用于区分使用该应用系统的客户群体;
根据应用系统的产品重要程度参数和客户影响参数,分别确定产品重要程度参数的权重和客户影响参数的权重;
系统安全指数计算模块,具体用于:
根据产品重要程度参数的权重,客户影响参数的权重和每一安全漏洞来源的来源安全指数,计算应用系统的系统安全指数;
按如下公式计算应用系统的系统安全指数:
其中,SPS为应用系统的系统安全指数;PI为应用系统的产品重要程度参数的权重;CI为应用系统的客户影响参数的权重;m为全部安全漏洞来源中含有修复状态为未修复和/或临时修复的安全漏洞的安全漏洞来源的数量;SVOSj为第j个安全漏洞来源的来源安全指数。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7任一所述方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有可被计算机执行以实现权利要求1至7任一项所述方法的计算机程序。
CN202010914873.9A 2020-09-03 2020-09-03 应用系统的安全状况评估方法及装置 Active CN112052457B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010914873.9A CN112052457B (zh) 2020-09-03 2020-09-03 应用系统的安全状况评估方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010914873.9A CN112052457B (zh) 2020-09-03 2020-09-03 应用系统的安全状况评估方法及装置

Publications (2)

Publication Number Publication Date
CN112052457A CN112052457A (zh) 2020-12-08
CN112052457B true CN112052457B (zh) 2023-09-19

Family

ID=73607286

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010914873.9A Active CN112052457B (zh) 2020-09-03 2020-09-03 应用系统的安全状况评估方法及装置

Country Status (1)

Country Link
CN (1) CN112052457B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112765611B (zh) * 2021-01-19 2022-11-25 上海微盟企业发展有限公司 一种越权漏洞检测方法、装置、设备及存储介质
CN112836219B (zh) * 2021-02-04 2022-10-25 清华大学 一种目标系统的安全性评估装置及方法
CN113127882B (zh) * 2021-04-23 2023-06-09 杭州安恒信息安全技术有限公司 一种终端安全防护方法、装置、设备及可读存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107204876A (zh) * 2017-05-22 2017-09-26 成都网络空间安全技术有限公司 一种网络安全风险评估方法
CN111126836A (zh) * 2019-12-23 2020-05-08 中国铁道科学研究院集团有限公司电子计算技术研究所 高速列车运行控制系统的安全漏洞风险评估方法及装置
CN111556037A (zh) * 2020-04-21 2020-08-18 杭州安恒信息技术股份有限公司 网站系统安全指数评估的方法和装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107204876A (zh) * 2017-05-22 2017-09-26 成都网络空间安全技术有限公司 一种网络安全风险评估方法
CN111126836A (zh) * 2019-12-23 2020-05-08 中国铁道科学研究院集团有限公司电子计算技术研究所 高速列车运行控制系统的安全漏洞风险评估方法及装置
CN111556037A (zh) * 2020-04-21 2020-08-18 杭州安恒信息技术股份有限公司 网站系统安全指数评估的方法和装置

Also Published As

Publication number Publication date
CN112052457A (zh) 2020-12-08

Similar Documents

Publication Publication Date Title
CN112052457B (zh) 应用系统的安全状况评估方法及装置
JP6978541B2 (ja) 動的外れ値偏り低減のコンピュータ実装方法、コンピュータシステム及びコンピュータ装置
CN113434485B (zh) 一种基于多维分析技术的数据质量健康度分析方法及系统
WO2008088652A2 (en) Method and system for generating a predictive analysis of the performance of peer reviews
Raja et al. Modeling software evolution defects: a time series approach
CN107228753A (zh) 一种光纤质量数据的分析方法及系统
Salamea et al. Influence of developer factors on code quality: A data study
CN111752833A (zh) 一种软件质量体系准出方法、装置、服务器及存储介质
CN115952081A (zh) 一种软件测试方法、装置、存储介质及设备
CA3168223A1 (en) Method of managing and controlling security vulnerability, device, equipment, and computer-readable medium
Nguyen Using control charts for detecting and understanding performance regressions in large software
CN112819262A (zh) 存储器、工艺管道检维修决策方法、装置和设备
CN112668159A (zh) 基于改进fmea系统日志文件的故障排查方法和装置
CN116383048A (zh) 软件质量信息处理方法及装置
CN115373984A (zh) 代码覆盖率确定方法及装置
CN115062315A (zh) 一种基于多工具检查的安全代码审查方法及系统
Turhan et al. Regularities in learning defect predictors
CN110532158B (zh) 操作数据的安全评估方法、装置、设备及可读存储介质
CN112945535A (zh) 一种基于数值模拟的旋转机械故障检测方法及装置
CN101313193B (zh) 用于执行结构筛选的方法和系统
CN112732272A (zh) 一种应用程序的发布方法和装置
CN115473788B (zh) 一种存储告警测试方法、装置、设备、存储介质
Kanzler How reliable are the results of my NDT process? A scientific answer to a practical everyday question
CN115858403B (zh) 一种电子系统的虚警率预计方法
Luo Research on damage diagnosis for civil engineering structures

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant