一种信息系统安全测试质量评价方法及系统技术方案

技术编号:21398791 阅读:35 留言:0更新日期:2019-06-19 06:56
本发明专利技术实施例提供一种信息系统安全测试质量评价方法及系统,所提供的方法包括:根据安全测试中系统功能点覆盖率和安全需求验证率,获取信息系统安全测试的测试宽度;根据安全测试中核心业务功能威胁排查率以及边缘业务功能威胁排查率,获取信息系统安全测试的测试深度;根据所述测试宽度和所述测试深度,结合信息系统的复杂度,计算获得信息系统安全测试质量评价。本发明专利技术实施例提供的方法,对信息系统安全测试的评价,通过选取安全测试的相关数据,以及信息系统对应的复杂程度,对安全测试进行评估,选取的数据简单易获取、公式计算简便,一般企业均可引用,保证安全测试的完备性,并且通过记录安全测试威胁验证过程,让传统安全测试可视化。

【技术实现步骤摘要】
一种信息系统安全测试质量评价方法及系统
本专利技术实施例涉及计算机
,尤其涉及一种信息系统安全测试质量评价计算方法及系统。
技术介绍
在信息系统生命周期内,信息系统投产前,大多数金融机构会对信息系统进行一次上线前的安全测试,以测量信息系统的安全性。但是随着安全测试工作常态化,针对安全测试的质量评价却没有一个切实可用的标准,安全测试效果鱼龙混杂,部分系统带病上线,导致企业因为系统漏洞而产生经济损失。随着信息系统安全的监管越来越严格,安全测试工作逐步常态化,部分银行、保险、证券等金融机构已采取安全测试“一票否决”的机制,即针对安全测试发现的问题,针对剩余未修复项,可通过“一票否决”的方式延迟信息系统上线,可见安全测试越来越受到重视。在现有技术中,针对安全测试的评价通常从以下几个要素中进行评价,(1)从测试人员的能力、安全服务商的技术能力等来定性评价安全测试质量;(2)从安全测试报告中高危、中危、低危漏洞数量来评价安全测试质量;(3)根据测试功能覆盖面或常见漏洞验证率来判断安全测试质量。然而,现有技术中,传统安全测试效果和测试时间、测试人员的经验、技能水平等都直接相关,而没有一套完整的方法去评估测试效果;其次,传统针对安全测试质量管控,多从常见漏洞验证率或功能覆盖面着手,视角片面且由于业务系统功能场景的不同,难以推广;进一步的,现有技术缺乏安全测试质量评价理论指导,安全测试不可控。
技术实现思路
本专利技术实施例提供一种信息系统安全测试质量评价方法及系统,用以解决现有技术中安全测试不可控,无法保障测试效果及完备性等问题。第一方面,本专利技术实施例提供一种信息系统安全测试质量评价方法,包括:根据安全测试中系统功能点覆盖率和安全需求验证率,获取信息系统安全测试的测试宽度;根据安全测试中核心业务功能威胁排查率以及边缘业务功能威胁排查率,获取信息系统安全测试的测试深度;根据所述测试宽度和所述测试深度,结合信息系统的复杂度,计算获得信息系统安全测试质量评价。第二方面,本专利技术实施例提供一种信息系统安全测试质量评价系统,包括:测试宽度计算模块,用于根据安全测试中系统功能点覆盖率和安全需求验证率,获取信息系统安全测试的测试宽度;测试深度计算模块,用于根据安全测试中核心业务功能威胁排查率以及边缘业务功能威胁排查率,获取信息系统安全测试的测试深度;评价模块,用于根据所述测试宽度和所述测试深度,结合信息系统的复杂度,计算获得信息系统安全测试质量评价。第三方面,本专利技术实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述第一方面所提供的信息系统安全测试质量评价方法的步骤。第四方面,本专利技术实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述第一方面所提供的信息系统安全测试质量评价方法的步骤。本专利技术实施例提供的信息系统安全测试质量评价方法及系统,通过选取安全测试的相关数据,以及信息系统对应的复杂程度,对安全测试进行评估,选取的数据简单易获取、公式计算简便,一般企业均可引用,同时,从“功能点”、“安全需求”、“安全威胁”、“系统复杂度”四个要素评价安全测试质量,保证安全测试的完备性,并且通过记录安全测试威胁验证过程,让传统安全测试可视化。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术一实施例提供的信息系统安全测试质量评价方法的流程示意图;图2为本专利技术一实施例提供的安全测试可靠度评价模型示意图;图3为本专利技术一实施例提供的信息系统安全测试质量评价系统的结构示意图;图4为本专利技术一实施例提供的电子设备的结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。参考图1,图1为本专利技术一实施例提供的信息系统安全测试质量评价方法的流程示意图,所提供的方法包括:S1,根据安全测试中系统功能点覆盖率和安全需求验证率,获取信息系统安全测试的测试宽度。S2,根据安全测试中核心业务功能威胁排查率以及边缘业务功能威胁排查率,获取信息系统安全测试的测试深度。S3,根据所述测试宽度和所述测试深度,结合信息系统的复杂度,计算获得信息系统安全测试质量评价。具体的,基于金融行业安全测试大数据,本实施例从安全测试可靠度评估角度评价安全测试的质量,通过引用层次分析法,计算得到各安全要素的权值,提出以下安全测试可靠度评估模型:安全测试可靠度=测试宽度*测试深度*1/系统复杂度根据上述公式,在信息系统安全测试质量评价中,通过获取本次安全测试的测试宽度和测试深度,再根据系统的复杂度,可以计算获得安全测试的可靠度,其中,如图2所示,图2为本专利技术一实施例提供的安全测试可靠度评价模型示意图,其中,测试宽度通过安全测试中系统功能点覆盖率和安全需求验证率计算获得;测试深度通过安全测试中核心业务功能威胁排查率以及边缘业务功能威胁排查率计算获得。系统复杂度通过信息系统的访问渠道、等级保护等级、数据敏感程度、业务连续性和架构复杂度等因素进行评估。表1示出了信息系统安全测试可靠度的评价点权重取值范围和权重值。表1根据表1中对测试宽度和测试深度以及系统复杂度中的各项评价内容进行不同的权重分配,从而可以对信息系统的安全测试可靠度进行评价,进而获得信息系统安全测试的质量评价。通过此方法,对信息系统安全测试的评价,通过选取安全测试的相关数据,以及信息系统对应的复杂程度,对安全测试进行评估,选取的数据简单易获取、公式计算简便,一般企业均可引用,同时,从“功能点”、“安全需求”、“安全威胁”、“系统复杂度”四个要素评价安全测试质量,保证安全测试的完备性,并且通过记录安全测试威胁验证过程,让传统安全测试可视化。在上述实施例的基础上,所述根据安全测试中系统功能点覆盖率和安全需求验证率,获取信息系统安全测试的测试宽度的步骤,具体包括:根据所述信息系统中已检测功能点的数量和所述信息系统中全部的功能点数量,计算获得所述安全测试中的功能点覆盖率;根据所述信息系统中已验证安全需求数量和所述信息系统中全部安全需求数量,计算获得所述安全测试中的安全需求验证率;根据所述功能点覆盖率和所述安全需求验证率,计算获得所述安全测试的测试宽度。具体的,测试宽度评价主要考核安全测试对安全需求的验证覆盖率,安全测试对系统功能点的覆盖率,计算方式如下:测试宽度=功能点覆盖率*α1+安全需求验证率*α2。功能点覆盖率=(已测功能点数量/系统全部功能点数量)*100%。安全需求验证率=(已验证安全需求数量/系统全部安全需求数量)*100%。其中,α1和α2为权重值,可以根据系统实际情况进行调整。在上述实施例的基础上,根据安全测试中核心业务功能威本文档来自技高网...

【技术保护点】
1.一种信息系统安全测试质量评价方法,其特征在于,包括:根据安全测试中系统功能点覆盖率和安全需求验证率,获取信息系统安全测试的测试宽度;根据安全测试中核心业务功能威胁排查率以及边缘业务功能威胁排查率,获取信息系统安全测试的测试深度;根据所述测试宽度和所述测试深度,结合信息系统的复杂度,计算获得信息系统安全测试质量评价。

【技术特征摘要】
1.一种信息系统安全测试质量评价方法,其特征在于,包括:根据安全测试中系统功能点覆盖率和安全需求验证率,获取信息系统安全测试的测试宽度;根据安全测试中核心业务功能威胁排查率以及边缘业务功能威胁排查率,获取信息系统安全测试的测试深度;根据所述测试宽度和所述测试深度,结合信息系统的复杂度,计算获得信息系统安全测试质量评价。2.根据权利要求1所述的方法,其特征在于,所述根据安全测试中系统功能点覆盖率和安全需求验证率,获取信息系统安全测试的测试宽度的步骤,具体包括:根据所述信息系统中已检测功能点的数量和所述信息系统中全部的功能点数量,计算获得所述安全测试中的功能点覆盖率;根据所述信息系统中已验证安全需求数量和所述信息系统中全部安全需求数量,计算获得所述安全测试中的安全需求验证率;根据所述功能点覆盖率和所述安全需求验证率,计算获得所述安全测试的测试宽度。3.根据权利要求1所述的方法,其特征在于,所述根据安全测试中核心业务功能威胁排查率以及边缘业务功能威胁排查率,获取信息系统安全测试的测试深度的步骤,具体包括:获取所述安全测试中,所述信息系统核心业务功能威胁排查率和边缘业务功能威胁排查率;根据所述核心业务功能威胁排查率和边缘业务功能威胁排查率,计算获得所述安全测试中的测试深度。4.根据权利要求3所述的方法,其特征在于,所述获取所述安全测试中,所述信息系统核心业务功能威胁排查率和边缘业务功能威胁排查率的步骤具体包括:根据公式:核心业务功能威胁排查率=(核心业务功能1威胁验证数量/核心业务功能1威胁数量+核心业务功能2威胁验证数量/核心业务功能2威胁数量+…+核心业务功能n威胁验证数量/核心业务功能n威胁数量)*100%/n,计算获得所述信息系统核心业务功能威胁排查率;根据公式:边缘业务功能威胁排查率=(边缘业务功能1威胁验证数量/边缘业务功能1威胁数量+边缘业务功能2威胁验证数量/边缘业务功能2威胁数量+…...

【专利技术属性】
技术研发人员:丁勉姜强胡云汤志刚
申请(专利权)人:北京国舜科技股份有限公司
类型:发明
国别省市:北京,11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1