[发明专利]一种面向应用系统的风险处理方法及装置

说明书

本申请公开了一种面向应用系统的风险处理确定方法及装置，能够根据应用系统自身资产情况，采用多种类型的安全工具对应用系统进行多维度的安全检测，并动态综合评估应用系统的当前风险值，根据当前风险值确定风险处理类型。通过本申请所述的面向应用系统的风险处理确定方法及装置，能够实现在应用系统层级进行多维度的安全检测及统一的风险处理，过程中将应用系统安全问题发现、整改、跟踪一体化，满足企业发展对安全漏洞管理的全面性、整体性和流程化的要求。

技术领域

本发明涉及信息安全技术领域，更具体的说，是涉及一种面向应用系统的风险处理方法及装置。

背景技术

随着互联网技术的不断发展，网络上各种各样的安全威胁也层出不穷，企业如何有效的对已知漏洞进行发现和处置，一直是网络安全领域的重要研究课题。

当前的网络安全产品通常是具有针对性领域的安全产品，例如，在安全检测领域的基础环境漏洞扫描产品、源代码安全检测产品、WEB安全扫描产品，APP安全扫描产品等，每个产品的安全领域和方向不同。目前尚不存在能够在应用系统层级进行全方位、多维度的安全检测及风险处置的技术。

发明内容

有鉴于此，本发明提供了一种面向应用系统的风险处理方法及装置，以在应用系统层级进行多维度的安全检测及统一的风险处理。

为实现上述目的，本发明提供如下技术方案：

一种面向应用系统的风险处理确定方法，包括：

基于应用系统的资产信息确定安全检测项目，并执行与所述安全检测项目对应的安全检测；

基于所述资产信息和所述安全检测的检测结果生成系统规范风险信息；

确定实际安全漏洞，所述实际安全漏洞基于所述系统规范风险信息确定；

对确定的实际安全漏洞进行漏洞加固；

若加固成功，返回所述基于所述资产信息确定安全检测项目，并执行与所述安全检测项目对应的安全检测的步骤；

若加固失败或没有加固，计算所述应用系统的当前风险值；

根据所述当前风险值及预设规则确定风险处理类型。

可选的，所述基于应用系统的资产信息确定安全检测项目，并执行与所述安全检测项目对应的安全检测，包括：

基于应用系统的资产信息确定安全检测项目，并采用多种安全工具执行与所述安全检测项目对应的安全检测；

其中包括：采用不同类型的安全工具对同一个安全检测项目进行安全检测；

则所述确定实际安全漏洞，包括：

将至少有2个安全工具检测出的同一个安全漏洞确定为实际安全漏洞。

可选的，所述确定实际安全漏洞，包括：

对于只有一个安全工具检测出的安全漏洞，根据用户输入的确定信息，将其确定为实际安全漏洞。

可选的，所述计算所述应用系统的当前风险值，包括：

根据实际安全漏洞的风险等级、漏洞对象载体数值和应用系统等保级别计算所述应用系统的残余风险；

根据所述残余风险和风险调节因子计算确定所述应用系统的当前风险值。

可选的，所述根据实际安全漏洞的风险等级、漏洞对象载体数值和应用系统等保级别计算所述应用系统的残余风险，包括：

将各个实际安全漏洞的风险值求和，得到所述应用系统的残余风险，其中所述风险值＝(漏洞风险等级*漏洞对象载体数值*应用系统等保级别)。