[发明专利]一种基于渗透测试的定性与定量相结合的安全评估方法

权利要求书

1.一种基于渗透测试的定性与定量相结合的安全评估方法，其特征在于，包括如下步骤：

S1：根据安全评估对象的属性信息，从测试用例数据库中自动筛选适用的测试用例，构成匹配测试用例集；所述属性信息包括安全评估对象的类型数据、配置数据、规模数据和用途数据；

S2：针对所述安全评估对象，依次执行所述匹配测试用例集中的每一个测试用例，并记录每一个测试用例的测试过程和测试结果；

S3：根据所述测试过程和测试结果，对所述安全评估对象进行定性与定量相结合的安全评估。

2.根据权利要求1所述的安全评估方法，其特征在于，所述步骤S1中的类型数据指明了安全评估对象的具体类型，包括终端主机、服务器、网络设备、网络安全设备、网站、业务应用系统和网络信息系统。

3.根据权利要求1所述的安全评估方法，其特征在于，所述步骤S1中的配置数据指明了安全评估对象的具体配置，包括操作系统、数据库、应用软件、安全软件和网络服务。

4.根据权利要求1所述的安全评估方法，其特征在于，所述步骤S1中的规模数据指明了安全评估对象的组成规模，包括终端主机、服务器、网络设备和/或网络安全设备的数量和网络拓扑结构。

5.根据权利要求1所述的安全评估方法，其特征在于，所述步骤S1中的用途数据指明了安全评估对象的用途，包括上网浏览、业务办公、信息服务、安全管理、安全防护、网络连接和业务应用。

6.根据权利要求1所述的安全评估方法，其特征在于，所述测试用例规定渗透测试的方法、步骤、工具、关键节点、关键节点加权值、预期结果和测试结果评判依据。

7.根据权利要求1或6所述的安全评估方法，其特征在于，所述步骤S3中定性与定量相结合的安全评估的具体步骤为：

S301：对每个测试用例的所有关键节点，对比预期结果和实际测试结果，根据测试结果评判依据，得出所有关键节点是否通过测试的定性评估结论，并在对通过测试和不通过测试定量赋值的基础上，计算得到每个关键节点的定量评估结果；

S302：根据关键节点加权值和关键节点的定量评估结果，计算得出每个测试用例的定量评估结果，进而根据测试用例的测试结果评判依据，得到每个测试用例是否通过测试的定性评估结果；

S303：统计所有测试用例的定性评估结果和定量评估结果，得到安全评估对象的定性和定量相结合的安全评估结论。

8.根据权利要求1所述的安全评估方法，其特征在于，在所述步骤S3之后，可以对两个或两个以上的具有相似属性信息的安全评估对象进行对比安全评估。