[發明專利]一種面向應用系統的風險處理方法及裝置有效
| 申請號: | 201811244378.0 | 申請日: | 2018-10-24 |
| 公開(公告)號: | CN109214192B | 公開(公告)日: | 2021-01-29 |
| 發明(設計)人: | 王照文;鄒幫山;秦旭果 | 申請(專利權)人: | 吉林億聯銀行股份有限公司 |
| 主分類號: | G06F21/57 | 分類號: | G06F21/57 |
| 代理公司: | 北京集佳知識產權代理有限公司 11227 | 代理人: | 王寶筠 |
| 地址: | 130022 吉林省長春市南關區*** | 國省代碼: | 吉林;22 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 面向 應用 系統 風險 處理 方法 裝置 | ||
1.一種面向應用系統的風險處理確定方法,其特征在于,包括:
基于應用系統的資產信息確定安全檢測項目,并執行與所述安全檢測項目對應的安全檢測;
基于所述資產信息和所述安全檢測的檢測結果生成系統規范風險信息;
確定實際安全漏洞,所述實際安全漏洞基于所述系統規范風險信息確定;
對確定的實際安全漏洞進行漏洞加固;
若加固成功,返回所述基于所述資產信息確定安全檢測項目,并執行與所述安全檢測項目對應的安全檢測的步驟;
若加固失敗或沒有加固,根據實際安全漏洞的風險等級、漏洞對象載體數值和應用系統等保級別計算所述應用系統的殘余風險,其中的漏洞對象載體包括業務應用、基礎環境和代碼程序;
根據所述殘余風險和風險調節因子計算確定所述應用系統的當前風險值,其中所述風險調節因子的確定包括:確定歷史各責任開發公司的漏洞數量的平均值和標準差值;確定所述應用系統所屬責任開發公司的當前漏洞數量;計算當前漏洞差值,所述當前漏洞差值=(當前漏洞數量-漏洞數量的平均值);根據所述當前漏洞差值與所述漏洞數量的標準差值的比值確定調節值1;分別確定歷史各責任開發公司的高風險、中風險和低風險漏洞的整改時間的平均值和標準差值;分別確定所述應用系統所屬責任開發公司的高風險、中風險和低風險漏洞的當前整改時間;分別計算高風險、中風險和低風險的當前整改時間差值,所述當前整改時間差值=(當前整改時間-整改時間的平均值);根據不同風險級別的當前整改時間差值與對應風險級別的整改時間的標準差值的比值,以及所述調節值1確定不同風險級別的調節值2,分別為高風險調節值2、中風險調節值2和低風險調節值2;根據所述高風險調節值2、中風險調節值2和低風險調節值2以及預設算法確定風險調節因子;
根據所述當前風險值及預設規則確定風險處理類型。
2.根據權利要求1所述的面向應用系統的風險處理確定方法,其特征在于,所述基于應用系統的資產信息確定安全檢測項目,并執行與所述安全檢測項目對應的安全檢測,包括:
基于應用系統的資產信息確定安全檢測項目,并采用多種安全工具執行與所述安全檢測項目對應的安全檢測;
其中包括:采用不同類型的安全工具對同一個安全檢測項目進行安全檢測;
則所述確定實際安全漏洞,包括:
將至少有2個安全工具檢測出的同一個安全漏洞確定為實際安全漏洞。
3.根據權利要求1所述的面向應用系統的風險處理確定方法,其特征在于,所述確定實際安全漏洞,包括:
對于只有一個安全工具檢測出的安全漏洞,根據用戶輸入的確定信息,將其確定為實際安全漏洞。
4.根據權利要求1所述的面向應用系統的風險處理確定方法,其特征在于,所述根據實際安全漏洞的風險等級、漏洞對象載體數值和應用系統等保級別計算所述應用系統的殘余風險,包括:
將各個實際安全漏洞的風險值求和,得到所述應用系統的殘余風險,其中所述風險值=(漏洞風險等級*漏洞對象載體數值*應用系統等保級別)。
5.根據權利要求1所述的面向應用系統的風險處理確定方法,其特征在于,所述根據所述殘余風險和風險調節因子計算確定所述應用系統的當前風險值,包括:
根據公式風險值=殘余風險*風險調節因子,計算確定所述應用系統的當前風險值。
6.根據權利要求1所述的面向應用系統的風險處理確定方法,其特征在于,所述根據所述當前風險值及預設規則確定風險處理類型,包括:
根據所述當前風險值與預設閾值的比較結果,確定風險處理類型為回避風險、減少風險、轉移風險或接受風險。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于吉林億聯銀行股份有限公司,未經吉林億聯銀行股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201811244378.0/1.html,轉載請聲明來源鉆瓜專利網。
