一种网络半自动化的综合安全评估方法技术

本发明专利技术涉及一种网络半自动化的综合安全评估方法包括：一输入用户信息；二创建项目工程；三用户填写访谈表进行安全摸底；四根据用户信息进行自动测试；五对安全结果分析及测评打分包括：漏洞测试报告；筛选出用户不合规内容、存在的安全风险点和问题缺失；最后输出等级保护安全测评报告并进行可视化处理；所述可视化内容包括：用户总体资产分布，资产清单，风险分布，漏洞个数，安全等级，问题展现；六将不同资产类型进行归类输出与步骤五中输出等级保护安全测评报告进行汇总为综合测试报告，并将综合测试报告输出；八结合综合测试报告输出，可视化用户资产安全态势，从风险性，脆弱性唯度对用户进行评分，并由系统生成相应的解决方案。

【技术实现步骤摘要】
一种网络半自动化的综合安全评估方法
本专利技术涉及网络安全与应用安全领域，具体为一种网络半自动化的综合安全评估方法。
技术介绍
目前网络安全，应用安全行业内各种对用户的资产安全评估方法层出不穷，如等级保护，渗透测试，漏洞扫描，基线核查，风险评估等。每一项都有其各自特点，都不能完全满足各行业的需求。由此带来了巨大工作量和安全建设成本，此外由于各行业安全技术人员缺失，人员素质参差不齐。都不能顺应最新的网络安全需求。因此为弥补这一系统问题，我们提出了一种综合半自动化的安全评估方法。这样可以有效的节约人力成本，避免因人员素质问题而影响安全评估工作。另一方面也能够满足各行业的需求，高效高质量的完成安全评估工作。
技术实现思路
1、所要解决的技术问题：本专利技术提出一种网络半自动化的综合安全评估方法，能够根据用户信息自动产生用户资产安全态势，并针对用户的安全问题产生相应的解决方案。解决了因测试人员技术水平不足，测试不够完整，有了该方法可以给一线安全从业者提供一套完整的测试方案，减少了繁琐的工作流程，提高了安全测试效率。并且该评估方法是目前所有安全评估方案中最全面的，高质量的。能够满足行业要求的合规性本文档来自技高网...

【技术保护点】
1.一种网络半自动化的综合安全评估方法，包括以下步骤：步骤一：输入用户信息；所述用户信息包括用户行业，用户单位，系统日志，用户安全需求，用户资产信息；步骤二：创建项目工程；包括根据步骤一中获取的用户安全需求与资产情况，建立用户，并制定该用户的推荐测试方案；所述推荐测试方案包括安全摸底、自动测试与安全结果分析及测评打分；步骤三：所述安全摸底为发送访谈表给用户填写；所述访谈表包括：客户资产信息，系统用户数量，系统认方式，账号口令策略，安全防护情况；并根据填写的内容综合判断根据用户安全防护措施，系统安全功能是否完善，用户数量多少，认证方式安全性，登记备案进而得出安全摸底结论；所述安全摸底结论内容包括...

【技术特征摘要】
1.一种网络半自动化的综合安全评估方法，包括以下步骤：步骤一：输入用户信息；所述用户信息包括用户行业，用户单位，系统日志，用户安全需求，用户资产信息；步骤二：创建项目工程；包括根据步骤一中获取的用户安全需求与资产情况，建立用户，并制定该用户的推荐测试方案；所述推荐测试方案包括安全摸底、自动测试与安全结果分析及测评打分；步骤三：所述安全摸底为发送访谈表给用户填写；所述访谈表包括：客户资产信息，系统用户数量，系统认方式，账号口令策略，安全防护情况；并根据填写的内容综合判断根据用户安全防护措施，系统安全功能是否完善，用户数量多少，认证方式安全性，登记备案进而得出安全摸底结论；所述安全摸底结论内容包括：用户系统的安全级别，所述用户的自有资产是否漏扫，所述用户等级保护级别，用户采用的基本安全策略，用户系统的风险点，用户系统脆弱点；步骤四：所述自动测试为根据用户信息进行自动测试；所述自动测试包括：对用户资产漏洞进行扫描，对用户的主机扫描，对用户主机的数据库扫描，对主机的中间件扫描，对网络设备扫描，对用户的安全设备扫描；上述的扫描主要涉及应用层漏洞，弱口令，最新设备或者服务器出现的漏洞；并根据扫描的结果对用户的不同资产类型进行归类输出；所述归类输出包括应用系统安全测试报告，网络设备安全测试报告，数据库安全测试报告，中间件测试报告；步骤五：所述安全结果分析及测评打分包括：首先利用漏洞库对步骤四中扫描漏洞进行验证并输出漏洞测试报告；其次根据步骤三中的安全摸底情况与用户资产进行等保合规比...

【专利技术属性】
技术研发人员：吕翌澍，郭吴昊，
申请(专利权)人：江苏安又恒信息科技有限公司，
类型：发明
国别省市：江苏,32