[发明专利]应用系统的安全状况评估方法及装置

说明书

本发明公开了一种应用系统的安全状况评估方法及装置，该方法包括：预定义的安全漏洞格式，实时收集应用系统的安全漏洞数据；根据应用系统的安全漏洞数据，计算每一安全漏洞的漏洞安全指数；根据每一安全漏洞的漏洞安全指数，计算应用系统的系统安全指数；以预设的不同系统安全指数区间段与不同安全程度的对应关系，根据应用系统的系统安全指数，实时评估应用系统的安全状况。本发明可实现对应用系统的安全状况的实时评估，与现有技术对比，可自动化实时评估应用系统的安全状况，避免了应用系统在上线前才可以进行安全评估的情况发生，提高了应用系统的安全状况评估的及时性。从而避免了耽误应用系统上线的运营计划的问题，降低了修复成本。

技术领域

本发明涉及计算机技术领域，尤其涉及应用系统的安全状况评估方法及装置。

背景技术

本部分旨在为权利要求书中陈述的本发明实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。

在软件开发过程中，产品经理、业务主管、安全经理等角色无法实时准确判断应用系统信息安全状况，无法尽早地识别应用系统存在的安全风险，导致在功能测试阶段或者上线后才发现存在严重安全问题，造成很严重的信息安全隐患，而且修复成本大大增加。

所以在应用系统上线前，需要对应用系统进行实时评估，将安全风险及时识别出来，为产品经理、业务主管、安全经理等角色提供参考。

目前评估应用系统的信息安全状况主要靠上线前的安全评审来实现，安全评审的一般思路如下所述：一是评审是否存在未修复的特高危、高危、中危漏洞，如存在，则不允许上线；二是评审未修复的低危漏洞风险是否可以接受，若不可以接受，则不允许上线。这两种方法虽然可以通过不允许上线的方式避免安全隐患暴露在生产环境，但也仅是在应用系统上线前才可以进行评估。而一旦遇到未修复的高、中危漏洞，就需要耗费大量的时间进行安全漏洞修复，由此就会耽误应用系统上线的运营计划；同时，由于发现时间较晚，也提升了漏洞修复成本。

发明内容

本发明实施例提供一种应用系统的安全状况评估方法，用以实时评估应用系统的安全状况，该方法包括：

以预定义的安全漏洞格式，实时收集应用系统的安全漏洞数据；所述安全漏洞数据包括不同安全漏洞参数的权重；所述安全漏洞参数包括不同安全漏洞的等级，修复状态和来源；

根据应用系统的安全漏洞数据，计算每一安全漏洞的漏洞安全指数；所述漏洞安全指数用于表征安全漏洞的安全程度；

根据每一安全漏洞的漏洞安全指数，计算应用系统的系统安全指数；所述系统安全指数用于表征应用系统的安全程度；

以预设的不同系统安全指数区间段与不同安全程度的对应关系，根据应用系统的系统安全指数，实时评估应用系统的安全状况。

本发明实施例还提供一种应用系统的安全状况评估装置，用以实时评估应用系统的安全状况，该装置包括：

数据收集模块，用于以预定义的安全漏洞格式，实时收集应用系统的安全漏洞数据；所述安全漏洞数据包括不同安全漏洞参数的权重；所述安全漏洞参数包括不同安全漏洞的等级，修复状态和来源；

漏洞安全指数计算模块，用于根据应用系统的安全漏洞数据，计算每一安全漏洞的漏洞安全指数；所述漏洞安全指数用于表征安全漏洞的安全程度；

系统安全指数计算模块，用于根据每一安全漏洞的漏洞安全指数，计算应用系统的系统安全指数；所述系统安全指数用于表征应用系统的安全程度；

安全状况评估模块，用于以预设的不同系统安全指数区间段与不同安全程度的对应关系，根据应用系统的系统安全指数，实时评估应用系统的安全状况。

本发明实施例还提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述应用系统的安全状况评估方法。