[发明专利]一种面向应用系统的风险处理方法及装置

权利要求书

1.一种面向应用系统的风险处理确定方法，其特征在于，包括：

基于应用系统的资产信息确定安全检测项目，并执行与所述安全检测项目对应的安全检测；

基于所述资产信息和所述安全检测的检测结果生成系统规范风险信息；

确定实际安全漏洞，所述实际安全漏洞基于所述系统规范风险信息确定；

对确定的实际安全漏洞进行漏洞加固；

若加固成功，返回所述基于所述资产信息确定安全检测项目，并执行与所述安全检测项目对应的安全检测的步骤；

若加固失败或没有加固，根据实际安全漏洞的风险等级、漏洞对象载体数值和应用系统等保级别计算所述应用系统的残余风险，其中的漏洞对象载体包括业务应用、基础环境和代码程序；

根据所述残余风险和风险调节因子计算确定所述应用系统的当前风险值，其中所述风险调节因子的确定包括：确定历史各责任开发公司的漏洞数量的平均值和标准差值；确定所述应用系统所属责任开发公司的当前漏洞数量；计算当前漏洞差值，所述当前漏洞差值＝(当前漏洞数量-漏洞数量的平均值)；根据所述当前漏洞差值与所述漏洞数量的标准差值的比值确定调节值1；分别确定历史各责任开发公司的高风险、中风险和低风险漏洞的整改时间的平均值和标准差值；分别确定所述应用系统所属责任开发公司的高风险、中风险和低风险漏洞的当前整改时间；分别计算高风险、中风险和低风险的当前整改时间差值，所述当前整改时间差值＝(当前整改时间-整改时间的平均值)；根据不同风险级别的当前整改时间差值与对应风险级别的整改时间的标准差值的比值，以及所述调节值1确定不同风险级别的调节值2，分别为高风险调节值2、中风险调节值2和低风险调节值2；根据所述高风险调节值2、中风险调节值2和低风险调节值2以及预设算法确定风险调节因子；

根据所述当前风险值及预设规则确定风险处理类型。

2.根据权利要求1所述的面向应用系统的风险处理确定方法，其特征在于，所述基于应用系统的资产信息确定安全检测项目，并执行与所述安全检测项目对应的安全检测，包括：

基于应用系统的资产信息确定安全检测项目，并采用多种安全工具执行与所述安全检测项目对应的安全检测；

其中包括：采用不同类型的安全工具对同一个安全检测项目进行安全检测；

则所述确定实际安全漏洞，包括：

将至少有2个安全工具检测出的同一个安全漏洞确定为实际安全漏洞。

3.根据权利要求1所述的面向应用系统的风险处理确定方法，其特征在于，所述确定实际安全漏洞，包括：

对于只有一个安全工具检测出的安全漏洞，根据用户输入的确定信息，将其确定为实际安全漏洞。

4.根据权利要求1所述的面向应用系统的风险处理确定方法，其特征在于，所述根据实际安全漏洞的风险等级、漏洞对象载体数值和应用系统等保级别计算所述应用系统的残余风险，包括：

将各个实际安全漏洞的风险值求和，得到所述应用系统的残余风险，其中所述风险值＝(漏洞风险等级*漏洞对象载体数值*应用系统等保级别)。

5.根据权利要求1所述的面向应用系统的风险处理确定方法，其特征在于，所述根据所述残余风险和风险调节因子计算确定所述应用系统的当前风险值，包括：

根据公式风险值＝残余风险*风险调节因子，计算确定所述应用系统的当前风险值。

6.根据权利要求1所述的面向应用系统的风险处理确定方法，其特征在于，所述根据所述当前风险值及预设规则确定风险处理类型，包括：

根据所述当前风险值与预设阈值的比较结果，确定风险处理类型为回避风险、减少风险、转移风险或接受风险。