[发明专利]安全评估方法、装置、设备与计算机可读存储介质

权利要求书

1.一种安全评估方法，其特征在于，所述安全评估方法包括以下步骤：

建立层次结构模型，所述层次结构模型包括分系统层及分系统层下属的分部件层，所述分系统层中包括一个或多个分系统，所述分部件层中包括一个或多个分部件；

计算所述分系统内各个部件的攻击手段量化值；

计算所述分系统内各个部件的攻击效果量化值；

基于所述攻击手段量化值和所述攻击效果量化值，计算所述各个部件的安全脆弱性水平值，所述安全脆弱性水平值通过C2R-DEA方法计算，其中，所述C2R-DEA方法的输入值为所述攻击手段量化值，输出值为所述攻击效果量化值；

根据所述安全脆弱性水平值，计算所述分系统的安全风险值；

将所述分系统层中所有分系统的安全风险值相加，计算整体安全态势评估值；

其中，所述计算所述分系统内各个部件的攻击手段量化值的步骤，包括：

划分所述攻击手段的第一评价维度，所述第一评价维度包括攻击向量、攻击复杂度、权限要求、用户交互、利用代码成熟度、补丁完善水平；

获取各个部件各个所述第一评价维度对应的第一评价分值；

基于所述第一评价分值，计算得到所述攻击手段量化值Xij＝10*AV*AC*PR*UI*(1+E*RL)，所述AV为所述攻击向量对应的第一评价分值，所述AC为所述攻击复杂度对应的第一评价分值，所述PR为所述权限要求对应的第一评价分值，所述UI为所述用户交互对应的第一评价分值，所述E为所述利用代码成熟度对应的第一评价分值，所述RL为所述补丁完善水平对应的第一评价分值；

所述计算所述分系统内各个部件的攻击效果量化值的步骤,包括：

划分所述攻击效果的第二评价维度，所述第二评价维度包括危害性、重复再现性、利用难度、受影响客体、发现难度；

获取各个部件各个所述第二评价维度对应的第二评价分值；

基于所述第二评价分值，计算得到所述攻击效果量化值Yrj＝Da+Re+Ex+Af+Di，所述Da为所述危害性对应的第二评价分值，所述Re为所述重复再现性对应的第二评价分值，所述Ex为所述利用难度对应的第二评价分值，所述Af为所述受影响客体对应的第二评价分值，所述Di为所述发现难度对应的第二评价分值。

2.如权利要求1所述的安全评估方法，其特征在于，所述基于所述攻击手段量化值和所述攻击效果量化值，计算所述分系统内各个部件的安全脆弱性水平值的步骤包括：

获取所述攻击手段的第一权值和所述攻击效果的第二权值；

基于所述第一权值、所述第二权值、所述攻击手段量化值和所述攻击效果量化值，计算分系统内各个部件的安全脆弱性水平值。

3.如权利要求2所述的安全评估方法，其特征在于，所述获取所述攻击手段的第一权值和所述攻击效果的第二权值的步骤包括：

获取攻击手段的第一评分分数和所述攻击效果的第二评分分数；

分别计算所述第一评分分数的第一平均值和所述第二评分分数的第二平均值；

基于所述第一平均值和所述第二平均值，得到所述第一权值和所述第二权值。

4.如权利要求1所述的安全评估方法，其特征在于，所述根据所述安全脆弱性水平值，计算所述分系统的安全风险值的步骤包括：

将所述分系统内各个部件的安全脆弱性水平值进行两两比较，得到安全风险重要度指数；

基于所述安全风险重要度指数，构建安全风险判断矩阵；

将所述分系统内各个部件的安全脆弱性水平值转化为向量形式，得到所述各个部件的安全脆弱性水平值向量；

基于所述安全脆弱性水平值向量和所述安全风险判断矩阵，计算得到该分系统的安全风险值。

5.如权利要求1所述的安全评估方法，其特征在于，所述计算所述分系统内各个部件的攻击手段量化值的步骤之后，所述方法还包括：

判断攻防技术是否有更新；

若是，则执行所述计算所述分系统内各个部件的攻击手段量化值的步骤。