[发明专利]网站系统安全指数评估的方法和装置

权利要求书

1.一种网站系统安全指数评估的方法，其特征在于，所述方法包括：

根据预设频率获取网站系统安全评估指令，根据所述安全评估指令获取所述网站系统的资产信息；

根据所述资产信息，获取所述网站系统的防护信息和访问信息，根据评估规则，计算所述防护信息的防护评分和所述访问信息的访问评分；

根据加权后的所述防护评分和加权后的所述访问评分，对所述网站系统的安全指数进行评估，得到所述网站系统的安全评估指数。

2.根据权利要求1所述的方法，其特征在于，所述防护信息包括所述网站系统的漏洞信息，计算所述漏洞信息的漏洞评分包括：

获取网站监测平台给出的漏洞等级，根据所述漏洞等级对应的评分，计算所有所述漏洞的评分之和，作为所述网站系统的漏洞评分，其中，每个所述漏洞等级具有评分上限阈值。

3.根据权利要求1所述的方法，其特征在于，所述防护信息还包括所述网站系统的服务器信息，计算所述服务器信息的服务器评分包括：

获取所述网站系统的服务安全措施，根据所述服务安全措施是否施行，计算所述网站系统的服务器评分。

4.根据权利要求1所述的方法，其特征在于，所述访问信息包括对所述网站系统的攻击信息，计算所述攻击信息的攻击评分包括：

根据所述攻击的攻击次数、攻击频率、攻击来源和攻击目标，计算所述网站系统的攻击评分。

5.根据权利要求1所述的方法，其特征在于，所述访问信息还包括所述网站系统的流量信息，计算所述流量信息的流量评分包括：

根据所述流量信息的带宽占比、所述流量达到预设占比的次数，计算所述网站系统的流量评分。

6.根据权利要求1所述的方法，其特征在于，在所述根据所述安全评估指令获取所述网站系统的资产信息之后，所述方法还包括：

根据所述资产信息，获取所述网站系统的安全事件信息，根据评估规则，计算所述安全事件信息的事件评分；

根据加权后的所述防护评分、加权后的所述访问评分和加权后的所述事件评分对所述网站系统的安全性能进行评估。

7.根据权利要求6所述的方法，其特征在于，所述根据评估规则，计算所述安全事件信息的事件评分包括：

获取安全事件模块发送的安全事件和所述安全事件的等级，根据安全事件评估规则和所述安全事件的等级，计算所述事件评分。

8.根据权利要求1所述的方法，其特征在于，在所述根据所述安全评估指令获取所述网站系统的资产信息之前，所述方法包括：

在获取到网络威胁的情况下，触发所述网站系统安全评估指令，其中，所述网络威胁至少包括以下之一：系统漏洞、安全事件、网站系统受到攻击、流量峰值大于流量阈值、所述安全服务措施未施行。

9.根据权利要求1所述的方法，其特征在于，在所述得到所述网站系统的安全评估指数之后，所述方法还包括：

在所述安全评估指数高于安全阈值的情况下，所述网站系统发出警示信息。

10.一种网站系统安全指数评估的装置，其特征在于，所述装置包括信息模块、监测模块和评估模块：

网站系统根据预设频率发送安全评估指令，所述信息模块根据所述安全评估指令获取所述网站系统的资产信息；

所述监测模块根据所述资产信息，获取所述网站系统的防护信息和访问信息；

所述评估模块根据评估规则，计算所述防护信息的防护评分和所述访问信息的访问评分，根据加权后的所述防护评分和加权后的所述访问评分，对所述网站系统的安全指数进行评估，得到所述网站系统的安全评估指数。