[发明专利]一种网络半自动化的综合安全评估方法

权利要求书

1.一种网络半自动化的综合安全评估方法，包括以下步骤：

步骤一：输入用户信息；所述用户信息包括用户行业，用户单位，系统日志，用户安全需求，用户资产信息；

步骤二：创建项目工程；包括根据步骤一中获取的用户安全需求与资产情况，建立用户，并制定该用户的推荐测试方案；所述推荐测试方案包括安全摸底、自动测试与安全结果分析及测评打分；

步骤三：所述安全摸底为发送访谈表给用户填写；所述访谈表包括：客户资产信息，系统用户数量，系统认方式，账号口令策略，安全防护情况；并根据填写的内容综合判断根据用户安全防护措施，系统安全功能是否完善，用户数量多少，认证方式安全性，登记备案进而得出安全摸底结论；所述安全摸底结论内容包括：用户系统的安全级别，所述用户的自有资产是否漏扫，所述用户等级保护级别，用户采用的基本安全策略，用户系统的风险点，用户系统脆弱点；

步骤四：所述自动测试为根据用户信息进行自动测试；所述自动测试包括：对用户资产漏洞进行扫描，对用户的主机扫描，对用户主机的数据库扫描，对主机的中间件扫描，对网络设备扫描，对用户的安全设备扫描；上述的扫描主要涉及应用层漏洞，弱口令，最新设备或者服务器出现的漏洞； 并根据扫描的结果对用户的不同资产类型进行归类输出；所述归类输出包括应用系统安全测试报告，网络设备安全测试报告，数据库安全测试报告，中间件测试报告；

步骤五：所述安全结果分析及测评打分包括：首先利用漏洞库对步骤四中扫描漏洞进行验证并输出漏洞测试报告；其次根据步骤三中的安全摸底情况与用户资产进行等保合规比对，利用漏洞测试报告和收集来的用户资产，筛选出用户不合规内容、存在的安全风险点和问题缺失；最后输出等级保护安全测评报告并对等级保护安全测评报告进行可视化处理；所述可视化内容包括：用户总体资产分布，资产清单，风险分布，漏洞个数，安全等级，问题展现；

步骤六：将步骤四中用户的不同资产类型进行归类输出与步骤五中输出等级保护安全测评报告进行汇总为综合测试报告，并将综合测试报告输出；

步骤八：结合综合测试报告输出与可视化等级保护安全测评报告，从风险性，脆弱性唯度对用户进行评分，并由系统生成相应的解决方案。

2.根据权利要求1所述的一种网络半自动化的综合安全评估方法，其特征在于：步骤一中获取用户信息时，如果客户不清楚自身资产则选择开启系统搜索引擎，自动去发掘客户自有资产。

3.根据权利要求1所述的一种网络半自动化的综合安全评估方法，其特征在于：步骤八中的解决方案包括面临病毒木马攻击解决方案；所述面临病毒木马攻击解决方案包括：增加防病毒软件和产品，定期及时查收系统中病毒，可疑文件不要打开，加强网络安全监测等可行性建议。

4.根据权利要求1所述的一种网络半自动化的综合安全评估方法，其特征在于：步骤八中的解决方案包括对于应用系统存在安全漏洞的解决方案；所述对于应用系统存在安全漏洞的解决方案为根据具体漏洞提出修复建议；如果为注入型漏洞，修复建议为要求过滤参数，保证输入合法性；如果为业务逻辑漏洞，修复建议为要求严格校验业务流程，防止出现逻辑错误；如果为系统漏洞：修复建议为要求及时升级补丁，更新插件。