本發明涉及一種網絡半自動化的綜合安全評估方法包括：一輸入用戶信息；二創建項目工程；三用戶填寫訪談表進行安全摸底；四根據用戶信息進行自動測試；五對安全結果分析及測評打分包括：漏洞測試報告；篩選出用戶不合規內容、存在的安全風險點和問題缺失；最后輸出等級保護安全測評報告并進行可視化處理；所述可視化內容包括：用戶總體資產分布，資產清單，風險分布，漏洞個數，安全等級，問題展現；六將不同資產類型進行歸類輸出與步驟五中輸出等級保護安全測評報告進行匯總為綜合測試報告，并將綜合測試報告輸出；八結合綜合測試報告輸出，可視化用戶資產安全態勢，從風險性，脆弱性唯度對用戶進行評分，并由系統生成相應的解決方案。

技術領域

本發明涉及網絡安全與應用安全領域，具體為一種網絡半自動化的綜合安全評估方法。

背景技術

目前網絡安全，應用安全行業內各種對用戶的資產安全評估方法層出不窮，如等級保護，滲透測試，漏洞掃描，基線核查，風險評估等。每一項都有其各自特點，都不能完全滿足各行業的需求。由此帶來了巨大工作量和安全建設成本，此外由于各行業安全技術人員缺失，人員素質參差不齊。都不能順應最新的網絡安全需求。因此為彌補這一系統問題，我們提出了一種綜合半自動化的安全評估方法。這樣可以有效的節約人力成本，避免因人員素質問題而影響安全評估工作。另一方面也能夠滿足各行業的需求，高效高質量的完成安全評估工作。

發明內容

1、所要解決的技術問題：

本發明提出一種網絡半自動化的綜合安全評估方法，能夠根據用戶信息自動產生用戶資產安全態勢，并針對用戶的安全問題產生相應的解決方案。解決了因測試人員技術水平不足，測試不夠完整，有了該方法可以給一線安全從業者提供一套完整的測試方案，減少了繁瑣的工作流程，提高了安全測試效率。并且該評估方法是目前所有安全評估方案中最全面的，高質量的。能夠滿足行業要求的合規性和安全性。

2、技術方案：

一種網絡半自動化的綜合安全評估方法，包括以下步驟：步驟一：輸入用戶信息；所述用戶信息包括用戶行業，用戶單位，系統日志，用戶安全需求，用戶資產信息； 步驟二：創建項目工程；包括根據步驟一中獲取的用戶安全需求與資產情況，建立用戶，并制定該用戶的推薦測試方案；所述推薦測試方案包括安全摸底、自動測試與安全結果分析及測評打分；

步驟三：所述安全摸底為發送訪談表給用戶填寫；所述訪談表包括：客戶資產信息，系統用戶數量，系統認方式，賬號口令策略，安全防護情況；并根據填寫的內容綜合判斷根據用戶安全防護措施，系統安全功能是否完善，用戶數量多少，認證方式安全性，登記備案進而得出安全摸底結論；所述安全摸底結論內容包括：用戶系統的安全級別，所述用戶的自有資產是否漏掃，所述用戶等級保護級別，用戶采用的基本安全策略，用戶系統的風險點，用戶系統脆弱點；步驟四：所述自動測試為根據用戶信息進行自動測試；所述自動測試包括：對用戶資產漏洞進行掃描，對用戶的主機掃描，對用戶主機的數據庫掃描，對主機的中間件掃描，對網絡設備掃描，對用戶的安全設備掃描；上述的掃描主要涉及應用層漏洞，弱口令，最新設備或者服務器出現的漏洞； 并根據掃描的結果對用戶的不同資產類型進行歸類輸出；所述歸類輸出包括應用系統安全測試報告，網絡設備安全測試報告，數據庫安全測試報告，中間件測試報告；步驟五：所述安全結果分析及測評打分包括：首先利用漏洞庫對步驟四中掃描漏洞進行驗證并輸出漏洞測試報告；其次根據步驟三中的安全摸底情況與用戶資產進行等保合規比對，利用漏洞測試報告和收集來的用戶資產，篩選出用戶不合規內容、存在的安全風險點和問題缺失；最后輸出等級保護安全測評報告并進行可視化處理；所述可視化內容包括：用戶總體資產分布，資產清單，風險分布，漏洞個數，安全等級，問題展現；步驟六：將步驟四中用戶的不同資產類型進行歸類輸出與步驟五中輸出等級保護安全測評報告進行匯總為綜合測試報告，并將綜合測試報告輸出；步驟八：結合綜合測試報告輸出與可視化等級保護安全測評報告，從風險性，脆弱性唯度對用戶進行評分，并由系統生成相應的解決方案。