[发明专利]一种基于渗透测试的定性与定量相结合的安全评估方法

说明书

技术领域

本发明属于网络安全领域，涉及安全性测试，尤其涉及一种基于渗透测试的定性与定量相结合的安全评估方法。

背景技术

渗透测试从攻击者的角度出发对目标网络与信息系统进行安全性测试，是风险评估的重要手段之一。具体包括对系统的任何弱点、技术缺陷或漏洞的主动分析，从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。所谓“漏洞”指的是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。

但是，从渗透测试的具体实施来看，测试中对渗透测试结果的处理通常有两种，一是单独出具渗透测试报告，列举测试内容与结果；二是将渗透测试中反映的问题较为概括地融入到风险评估报告中去。这两种处理方法都不能很好地体现渗透测试的价值，缺乏明确而系统定位问题的能力。

而且，目前渗透测试的随意性很大，不但缺乏统一的策略，而且由于测试系统通常是一个工具集，测试效果在很大程度上取决于测试员的能力，即使进行同样内容的测试，不同测试员得到的结果也会不同。因此，这导致了渗透测试在安全评估中的具体作用难以得到客观。

为此，本发明提出了一种渗透测试的定性与定量相结合的安全评估方法，通过对渗透测试中安全评估方法进行定性与定量化的规范，来有效解决测试中存在的上述问题。

发明内容

为解决上述技术问题，提供一种规范化的基于渗透测试的定性与定量相结合的安全评估方法，

本发明提供一种基于渗透测试的定性与定量相结合的安全评估方法，其特征在于，包括如下步骤：

（1）根据安全评估对象的属性信息，从测试用例数据库中自动筛选适用的测试用例，构成匹配测试用例集；

（2）针对所述安全评估对象，依次执行所述匹配测试用例集中的每一个测试用例，并记录每一个测试用例的测试过程和测试结果；

（3）根据所述测试过程和测试结果，对所述安全评估对象进行定性与定量相结合的安全评估。

上述安全评估方法中的步骤S3中定性与定量相结合的安全评估的具体步骤又包括：

（3-1）对每个测试用例的所有关键节点，对比预期结果和实际测试结果，根据测试结果评判依据，得出所有关键节点是否通过测试的定性评估结论，并在对通过测试和不通过测试定量赋值的基础上，计算得到每个关键节点的定量评估结果；

（3-2）根据关键节点加权值和关键节点的定量评估结果，计算得出每个测试用例的定量评估结果，进而根据测试用例的测试结果评判依据，得到每个测试用例是否通过测试的定性评估结果；

（3-3）统计所有测试用例的定性评估结果和定量评估结果，得到安全评估对象的定性和定量相结合的安全评估结论。

有益效果：与现有技术相比，本发明是为针对渗透测试提供一种规范化的测试方法，使测试方法、测试环境、测试内容和测试结果评判等测试要素得到明确，从而解决目前测试中存在的种种问题，促进测试标准化水平的提高，以及测试能力和效率。

附图说明

图1为本发明实施例中一种渗透测试的定性与定量相结合的安全评估方法的流程图。

图2是本发明实施例中定性与定量相结合的安全评估方法的流程图。

具体实施方式

以下结合说明书附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明，并且 在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

图1描述了按照本发明实施例的基于渗透测试的定性和定量相结合的安全评估方法的流程图。

所述基于渗透测试的安全评估方法包括:

S1：根据评估对象属性信息筛选测试用例构成测试用例集，测试用例中规定包括了渗透测试的方法、步骤、工具、关键节点、关键节点加权值、预期结果和测试结果评判依据。

其中，安全评估对象的属性信息包括：

1. 安全评估对象的类型数据，其指明了安全评估对象的具体类型，包括终端主机、服务器、网络设备、网络安全设备、网站、业务应用系统和网络信息系统。

2. 安全评估对象的配置数据，其指明了安全评估对象的具体配置，包括操作系统、数据库、应用软件、安全软件和网络服务。

3. 安全评估对象的规模数据，其指明了安全评估对象的组成规模，包括终端主机、服务器、网络设备和/或网络安全设备的数量和网络拓扑结构。