一种网络半自动化的综合安全评估方法技术

技术编号:19703012 阅读:16 留言:0更新日期:2018-12-08 14:24
本发明专利技术涉及一种网络半自动化的综合安全评估方法包括:一输入用户信息;二创建项目工程;三用户填写访谈表进行安全摸底;四根据用户信息进行自动测试;五对安全结果分析及测评打分包括:漏洞测试报告;筛选出用户不合规内容、存在的安全风险点和问题缺失;最后输出等级保护安全测评报告并进行可视化处理;所述可视化内容包括:用户总体资产分布,资产清单,风险分布,漏洞个数,安全等级,问题展现;六将不同资产类型进行归类输出与步骤五中输出等级保护安全测评报告进行汇总为综合测试报告,并将综合测试报告输出;八结合综合测试报告输出,可视化用户资产安全态势,从风险性,脆弱性唯度对用户进行评分,并由系统生成相应的解决方案。

【技术实现步骤摘要】
一种网络半自动化的综合安全评估方法
本专利技术涉及网络安全与应用安全领域,具体为一种网络半自动化的综合安全评估方法。
技术介绍
目前网络安全,应用安全行业内各种对用户的资产安全评估方法层出不穷,如等级保护,渗透测试,漏洞扫描,基线核查,风险评估等。每一项都有其各自特点,都不能完全满足各行业的需求。由此带来了巨大工作量和安全建设成本,此外由于各行业安全技术人员缺失,人员素质参差不齐。都不能顺应最新的网络安全需求。因此为弥补这一系统问题,我们提出了一种综合半自动化的安全评估方法。这样可以有效的节约人力成本,避免因人员素质问题而影响安全评估工作。另一方面也能够满足各行业的需求,高效高质量的完成安全评估工作。
技术实现思路
1、所要解决的技术问题:本专利技术提出一种网络半自动化的综合安全评估方法,能够根据用户信息自动产生用户资产安全态势,并针对用户的安全问题产生相应的解决方案。解决了因测试人员技术水平不足,测试不够完整,有了该方法可以给一线安全从业者提供一套完整的测试方案,减少了繁琐的工作流程,提高了安全测试效率。并且该评估方法是目前所有安全评估方案中最全面的,高质量的。能够满足行业要求的合规性和安全性。2、技术方案:一种网络半自动化的综合安全评估方法,包括以下步骤:步骤一:输入用户信息;所述用户信息包括用户行业,用户单位,系统日志,用户安全需求,用户资产信息;步骤二:创建项目工程;包括根据步骤一中获取的用户安全需求与资产情况,建立用户,并制定该用户的推荐测试方案;所述推荐测试方案包括安全摸底、自动测试与安全结果分析及测评打分;步骤三:所述安全摸底为发送访谈表给用户填写;所述访谈表包括:客户资产信息,系统用户数量,系统认方式,账号口令策略,安全防护情况;并根据填写的内容综合判断根据用户安全防护措施,系统安全功能是否完善,用户数量多少,认证方式安全性,登记备案进而得出安全摸底结论;所述安全摸底结论内容包括:用户系统的安全级别,所述用户的自有资产是否漏扫,所述用户等级保护级别,用户采用的基本安全策略,用户系统的风险点,用户系统脆弱点;步骤四:所述自动测试为根据用户信息进行自动测试;所述自动测试包括:对用户资产漏洞进行扫描,对用户的主机扫描,对用户主机的数据库扫描,对主机的中间件扫描,对网络设备扫描,对用户的安全设备扫描;上述的扫描主要涉及应用层漏洞,弱口令,最新设备或者服务器出现的漏洞;并根据扫描的结果对用户的不同资产类型进行归类输出;所述归类输出包括应用系统安全测试报告,网络设备安全测试报告,数据库安全测试报告,中间件测试报告;步骤五:所述安全结果分析及测评打分包括:首先利用漏洞库对步骤四中扫描漏洞进行验证并输出漏洞测试报告;其次根据步骤三中的安全摸底情况与用户资产进行等保合规比对,利用漏洞测试报告和收集来的用户资产,筛选出用户不合规内容、存在的安全风险点和问题缺失;最后输出等级保护安全测评报告并进行可视化处理;所述可视化内容包括:用户总体资产分布,资产清单,风险分布,漏洞个数,安全等级,问题展现;步骤六:将步骤四中用户的不同资产类型进行归类输出与步骤五中输出等级保护安全测评报告进行汇总为综合测试报告,并将综合测试报告输出;步骤八:结合综合测试报告输出与可视化等级保护安全测评报告,从风险性,脆弱性唯度对用户进行评分,并由系统生成相应的解决方案。进一步地,步骤一中获取用户信息时,如果客户不清楚自身资产则选择开启系统搜索引擎,自动去发掘客户自有资产。进一步地,步骤八中的解决方案包括面临病毒木马攻击解决方案;所述面临病毒木马攻击解决方案包括:增加防病毒软件和产品,定期及时查收系统中病毒,可疑文件不要打开,加强网络安全监测等可行性建议。进一步地,步骤八中的解决方案包括对于应用系统存在安全漏洞的解决方案;所述对于应用系统存在安全漏洞的解决方案为根据具体漏洞提出修复建议;如果为注入型漏洞,修复建议为要求过滤参数,保证输入合法性;如果为业务逻辑漏洞,修复建议为要求严格校验业务流程,防止出现逻辑错误;如果为系统漏洞,修复建议为要求及时升级补丁,更新插件。3、有益效果:1)本专利技术可以利用系统登录分析出用户所有资产,并协助客户去主动发现一些疏于管理的资产。2)本专利技术中通过按照等保的要求对用户进行快速安全摸底,平时测试就包含了等保的合规性检查,后期测评可以高效通过。3)本专利技术中在风险评估和等保基础下完成了漏洞扫描工作,可以从应用系统、操作系统、中间件以及数据库等多维度发现更多安全问题。4)本专利技术的可视化处理及相应解决方案生成给用户出现问题提供了有效的应对方法。5)本专利技术将渗透测试,风险评估,等级保护,漏洞扫描,基线检查等一系统安全评估工作融为一体,并且根据客户需求进行自我选择。能够从完整的对用户资产进行评估,多层面发现问题。附图说明图1为本专利技术的安全评估基本流程图;图2为本专利技术中的自动化测试的具体内容。具体实施方式下面结合附图对本专利技术进行说明。如附图1与2所示,一种网络半自动化的综合安全评估方法,包括以下步骤:步骤一:输入用户信息;所述用户信息包括用户行业,用户单位,系统日志,用户安全需求,用户资产信息;步骤二:创建项目工程;包括根据步骤一中获取的用户安全需求与资产情况,建立用户,并制定该用户的推荐测试方案;所述推荐测试方案包括安全摸底、自动测试与安全结果分析及测评打分;步骤三:所述安全摸底为发送访谈表给用户填写;所述访谈表包括:客户资产信息,系统用户数量,系统认方式,账号口令策略,安全防护情况;并根据填写的内容综合判断根据用户安全防护措施,系统安全功能是否完善,用户数量多少,认证方式安全性,登记备案进而得出安全摸底结论;所述安全摸底结论内容包括:用户系统的安全级别,所述用户的自有资产是否漏扫,所述用户等级保护级别,用户采用的基本安全策略,用户系统的风险点,用户系统脆弱点;步骤四:所述自动测试为根据用户信息进行自动测试;所述自动测试包括:对用户资产漏洞进行扫描,对用户的主机扫描,对用户主机的数据库扫描,对主机的中间件扫描,对网络设备扫描,对用户的安全设备扫描;上述的扫描主要涉及应用层漏洞,弱口令,最新设备或者服务器出现的漏洞;并根据扫描的结果对用户的不同资产类型进行归类输出;所述归类输出包括应用系统安全测试报告,网络设备安全测试报告,数据库安全测试报告,中间件测试报告;步骤五:所述安全结果分析及测评打分包括:首先利用漏洞库对步骤四中扫描漏洞进行验证并输出漏洞测试报告;其次根据步骤三中的安全摸底情况与用户资产进行等保合规比对,利用漏洞测试报告和收集来的用户资产,筛选出用户不合规内容、存在的安全风险点和问题缺失;最后输出等级保护安全测评报告并进行可视化处理;所述可视化内容包括:用户总体资产分布,资产清单,风险分布,漏洞个数,安全等级,问题展现;步骤六:将步骤四中用户的不同资产类型进行归类输出与步骤五中输出等级保护安全测评报告进行汇总为综合测试报告,并将综合测试报告输出;步骤八:结合综合测试报告输出,可视化用户资产安全态势,从风险性,脆弱性唯度对用户进行评分,并由系统生成相应的解决方案。虽然本专利技术已以较佳实施例公开如上,但它们并不是用来限定本专利技术的,任何熟习此技艺者,在不脱离本专利技术之精神和范围内,自当可作各种变化或润饰,因此本专利技术的保护本文档来自技高网...

【技术保护点】
1.一种网络半自动化的综合安全评估方法,包括以下步骤:步骤一:输入用户信息;所述用户信息包括用户行业,用户单位,系统日志,用户安全需求,用户资产信息;步骤二:创建项目工程;包括根据步骤一中获取的用户安全需求与资产情况,建立用户,并制定该用户的推荐测试方案;所述推荐测试方案包括安全摸底、自动测试与安全结果分析及测评打分;步骤三:所述安全摸底为发送访谈表给用户填写;所述访谈表包括:客户资产信息,系统用户数量,系统认方式,账号口令策略,安全防护情况;并根据填写的内容综合判断根据用户安全防护措施,系统安全功能是否完善,用户数量多少,认证方式安全性,登记备案进而得出安全摸底结论;所述安全摸底结论内容包括:用户系统的安全级别,所述用户的自有资产是否漏扫,所述用户等级保护级别,用户采用的基本安全策略,用户系统的风险点,用户系统脆弱点;步骤四:所述自动测试为根据用户信息进行自动测试;所述自动测试包括:对用户资产漏洞进行扫描,对用户的主机扫描,对用户主机的数据库扫描,对主机的中间件扫描,对网络设备扫描,对用户的安全设备扫描;上述的扫描主要涉及应用层漏洞,弱口令,最新设备或者服务器出现的漏洞; 并根据扫描的结果对用户的不同资产类型进行归类输出;所述归类输出包括应用系统安全测试报告,网络设备安全测试报告,数据库安全测试报告,中间件测试报告;步骤五:所述安全结果分析及测评打分包括:首先利用漏洞库对步骤四中扫描漏洞进行验证并输出漏洞测试报告;其次根据步骤三中的安全摸底情况与用户资产进行等保合规比对,利用漏洞测试报告和收集来的用户资产,筛选出用户不合规内容、存在的安全风险点和问题缺失;最后输出等级保护安全测评报告并对等级保护安全测评报告进行可视化处理;所述可视化内容包括:用户总体资产分布,资产清单,风险分布,漏洞个数,安全等级,问题展现;步骤六:将步骤四中用户的不同资产类型进行归类输出与步骤五中输出等级保护安全测评报告进行汇总为综合测试报告,并将综合测试报告输出;步骤八:结合综合测试报告输出与可视化等级保护安全测评报告,从风险性,脆弱性唯度对用户进行评分,并由系统生成相应的解决方案。...

【技术特征摘要】
1.一种网络半自动化的综合安全评估方法,包括以下步骤:步骤一:输入用户信息;所述用户信息包括用户行业,用户单位,系统日志,用户安全需求,用户资产信息;步骤二:创建项目工程;包括根据步骤一中获取的用户安全需求与资产情况,建立用户,并制定该用户的推荐测试方案;所述推荐测试方案包括安全摸底、自动测试与安全结果分析及测评打分;步骤三:所述安全摸底为发送访谈表给用户填写;所述访谈表包括:客户资产信息,系统用户数量,系统认方式,账号口令策略,安全防护情况;并根据填写的内容综合判断根据用户安全防护措施,系统安全功能是否完善,用户数量多少,认证方式安全性,登记备案进而得出安全摸底结论;所述安全摸底结论内容包括:用户系统的安全级别,所述用户的自有资产是否漏扫,所述用户等级保护级别,用户采用的基本安全策略,用户系统的风险点,用户系统脆弱点;步骤四:所述自动测试为根据用户信息进行自动测试;所述自动测试包括:对用户资产漏洞进行扫描,对用户的主机扫描,对用户主机的数据库扫描,对主机的中间件扫描,对网络设备扫描,对用户的安全设备扫描;上述的扫描主要涉及应用层漏洞,弱口令,最新设备或者服务器出现的漏洞;并根据扫描的结果对用户的不同资产类型进行归类输出;所述归类输出包括应用系统安全测试报告,网络设备安全测试报告,数据库安全测试报告,中间件测试报告;步骤五:所述安全结果分析及测评打分包括:首先利用漏洞库对步骤四中扫描漏洞进行验证并输出漏洞测试报告;其次根据步骤三中的安全摸底情况与用户资产进行等保合规比...

【专利技术属性】
技术研发人员:吕翌澍郭吴昊
申请(专利权)人:江苏安又恒信息科技有限公司
类型:发明
国别省市:江苏,32

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1