本申请公开了一种软件安全感知方法、装置、终端设备以及存储介质,其方法包括:根据设定的安全指数评分模型,从而根据该评分模型能够更好的预测到该应用的安全风险得分;根据模型预测的安全风险得分、预先获取的安全问题风险分析结果及预先构建的软件安全评分模型确定所述被防护应用软件的安全情况。本申请将被防护的软件应用从当前预测到的安全性进行多角度计算并进行汇总分析,提升了被保护应用的软件安全感知的准确性,从而更好的使用模型预测的评测结果来判断该被防护的软件是否安全。而且在常见安全问题风险分析后还加以软件安全风险得分的确定,从而使用该模型解决了软件安全防护领域预警的问题,进而更加有效的进行软件的安全防护。软件的安全防护。软件的安全防护。
【技术实现步骤摘要】
软件安全感知方法、装置、终端设备以及存储介质
[0001]本专利技术涉及软件安全领域,尤其涉及一种软件安全感知方法、装置、终端设备以及存储介质。
技术介绍
[0002]现在的安全态势感知系统都是基于网络安全层面的安全态势分析,随着科技的进步,Web应用遍布各行各业,无所不在,同时安全攻击也时刻存在,防护措施得当与否也是决定Web应用安全的重要举措。
[0003]但是,目前应用软件的自身安全,依靠传统的安全态势感知方法来实现,传统的网络安全态势感知方法不够完善,降低了应用软件的安全性。
技术实现思路
[0004]本申请的主要目的在于提供一种软件安全感知方法、装置、终端设备以及存储介质,旨在解决软件安全防护领域预警的技术问题,提升应用软件的安全性。
[0005]为实现上述目的,本申请提供一种软件安全感知方法,所述方法应用于Web服务器,所述软件安全感知方法包括:
[0006]根据设定的安全指数评分模型,计算得到被防护应用软件的安全风险得分;
[0007]根据所述安全风险得分、预先获取的安全问题风险分析结果及预先构建的软件安全评分模型确定所述被防护应用软件的安全情况。
[0008]可选地,所述根据设定的安全指数评分模型,计算得到被防护应用软件的安全风险得分的步骤包括:
[0009]根据设定的软件安全技术类计分模型,对被防护应用软件进行分析,获得软件技术类得分;
[0010]根据设定的软件管理类计分模型,对被防护应用软件进行分析,获得软件管理类得分;r/>[0011]根据获得的软件技术类得分与软件管理类得分,进行公式计算获得所述被防护应用软件的安全风险得分。
[0012]可选地,所述根据所述安全风险得分、预先获取的安全问题风险分析结果及预先构建的软件安全评分模型确定所述被防护应用软件的安全情况的步骤包括:
[0013]将所述安全风险得分、预先获取的安全问题风险分析结果与预先构建的软件安全评分模型进行匹配,其中:
[0014]当安全风险得分、预先获取的安全问题风险分析结果及预先构建的软件安全评分模型表明被防护应用软件中存在安全问题,但不会导致被测对象面临中、高等级安全风险,且安全风险得分90分及以上,得到评测结论为优秀;
[0015]当安全风险得分、预先获取的安全问题风险分析结果及预先构建的软件安全评分模型表明被防护应用软件中存在安全问题,但不会导致被测对象面临高等级安全风险,且
安全风险得分80分及以上,得到评测结论为良好;
[0016]当安全风险得分、预先获取的安全问题风险分析结果及预先构建的软件安全评分模型表明被防护应用软件中存在安全问题,但不会导致被测对象面临高等级安全风险,且安全风险得分70分及以上,得到评测结论为中等;
[0017]当安全风险得分、预先获取的安全问题风险分析结果及预先构建的软件安全评分模型表明被防护应用软件中存在安全问题,且会导致被测对象面临高等级安全风险,或安全风险得分低于70分,得到评测结论为差。
[0018]可选地,所述根据设定的软件安全技术类计分模型,对被防护应用软件进行评分,获得软件技术类得分的步骤包括:
[0019]根据设定的软件安全技术类计分模型,分析所述被防护应用软件的开源组件的组件漏洞数量及类型,获得软件技术第一类得分Vt1;
[0020]根据设定的软件安全技术类计分模型,分析所述被防护应用软件的开源组件分析的许可冲突相关组件数量,获得软件技术第二类得分Vt2;
[0021]根据设定的软件安全技术类计分模型,分析所述被防护应用软件的完整性篡改数量,获得软件技术第三类得分Vt3;
[0022]根据设定的软件安全技术类计分模型,分析所述被防护应用软件的应用弱点数量及类型,获得软件技术第四类得分Vt4;
[0023]根据设定的软件安全技术类计分模型,分析所述被防护应用软件的代码审计数量及类型,获得软件技术第五类得分Vt5。
[0024]根据软件技术类评分公式,将Vt1、Vt2、Vt3、Vt4与Vt5进行计算,获得软件技术类评分Vt。
[0025]可选的,所述根据设定的软件管理类计分模型,对被防护应用软件进行分析,获得软件管理类得分的步骤包括:
[0026]根据设定的软件安全管理类计分模型,分析软件供应商评估结果,获得软件供应商评估数据;
[0027]根据设定的软件安全管理类计分模型,分析运营商单位软件评估结果,获得运营商单位软件评估数据;
[0028]分析获得的软件供应商评估数据与运营商单位软件评估数据获得软件管理类得分。
[0029]本申请实施例还提出了一种软件安全感知装置,所述软件安全感知装置包括:
[0030]计算模块,用于根据设定的安全指数评分模型,计算得到被防护应用软件的安全风险得分;
[0031]评测模块,用于根据所述安全风险得分及预先构建的软件安全评分模型确定所述被防护应用软件的安全情况。
[0032]本申请实施例还提出一种终端设备,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的软件安全感知方法程序,所述软件安全感知方法程序被所述处理器执行时实现如上所述的软件安全感知方法的步骤。
[0033]本申请实施例还提出了一种计算机可读存储介质,所述计算机可读存储介质上存储有软件安全感知程序,所述软件安全感知程序被处理器执行时实现如上所述的软件安全
感知方法的步骤。
[0034]本申请实施例提出的软件安全感知方法、装置、终端设备以及存储介质,通过根据设定的安全指数评分模型,从而根据该评分模型能够更好的预测到该应用的安全风险得分;根据模型预测的安全风险得分、预先获取的安全问题风险分析结果及预先构建的软件安全评分模型确定所述被防护应用软件的安全情况。本申请将被防护的软件应用从当前预测到的安全性进行多角度计算并进行汇总分析,提升了被保护应用的软件安全感知的准确性,从而更好的使用模型预测的评测结果来判断该被防护的软件是否安全。而且在常见安全问题风险分析后还加以软件安全风险得分的确定,从而使用该模型解决了软件安全防护领域预警的问题,进而更加有效的进行软件的安全防护。
[0035]本申请通过针对软件安全态势感知的相关指标衡量,填补国内外的空白,对软件安全态势感知的相关指标在数学模型方面进行定义和规划,从而形成统一的行业和国家标准。该模型与系统可以解决用户在生产环境中的Web服务器中应用的安全性指标进行评价,从而更有效的进行安全攻击的防御。
附图说明
[0036]图1为本申请软件安全感知装置所属终端设备的功能模块示意图;
[0037]图2为本申请软件安全感知方法一示例性实施例的流程示意图;
[0038]图3为本申请实施例中获得安全风险得分的示意图;
[0039]图4为本申请实施例中软件安全评测标准的示意图。
[0040]本专利技术目的的实现、功能特点及优点将结合实施例,参照附图做进一本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种软件安全感知方法,其特征在于,所述方法应用于Web服务器,所述软件安全感知方法包括:根据设定的安全指数评分模型,计算得到被防护应用软件的安全风险得分;根据所述安全风险得分、预先获取的安全问题风险分析结果及预先构建的软件安全评分模型确定所述被防护应用软件的安全情况。2.根据权利要求1所述的软件安全感知方法,其特征在于,所述根据设定的安全指数评分模型,计算得到被防护应用软件的安全风险得分的步骤包括:根据设定的软件安全技术类计分模型,对被防护应用软件进行分析,获得软件技术类得分;根据设定的软件管理类计分模型,对被防护应用软件进行分析,获得软件管理类得分;根据获得的软件技术类得分与软件管理类得分,进行公式计算获得所述被防护应用软件的安全风险得分。3.根据权利要求1所述的软件安全感知方法,其特征在于,所述根据所述安全风险得分、预先获取的安全问题风险分析结果及预先构建的软件安全评分模型确定所述被防护应用软件的安全情况的步骤包括:将所述安全风险得分、预先获取的安全问题风险分析结果与预先构建的软件安全评分模型进行匹配,其中:当安全风险得分、预先获取的安全问题风险分析结果及预先构建的软件安全评分模型表明被防护应用软件中存在安全问题,但不会导致被测对象面临中、高等级安全风险,且安全风险得分90分及以上,得到评测结论为优秀;当安全风险得分、预先获取的安全问题风险分析结果及预先构建的软件安全评分模型表明被防护应用...
【专利技术属性】
技术研发人员:何成刚,万振华,王颉,李华,董燕,
申请(专利权)人:深圳开源互联网安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。