发明名称 |
软件系统漏洞风险评估方法及装置 |
摘要 |
本发明实施例公开了一种软件系统漏洞风险评估方法及装置,涉及信息安全技术领域,解决了现有技术中不能直观准确地对软件系统存在的安全风险进行综合评估的问题。所述软件系统漏洞风险评估方法包括:对软件系统中的软件包依赖元数据进行预处理,构建软件依赖网络;获取漏洞信息,根据所述漏洞信息构建漏洞与软件包之间的关联关系;根据所述软件依赖网络和所述漏洞与软件包之间的关联关系,查询存在漏洞的软件包以及直接或间接依赖所述软件包的其他软件包,构建软件包依赖关系子图;基于所述软件包依赖关系子图中各节点的重要程度,评估漏洞对整体软件系统的安全风险。本发明的实施例主要用于对复杂软件系统漏洞风险进行评估。 |
申请公布号 |
CN105046155A |
申请公布日期 |
2015.11.11 |
申请号 |
CN201510355563.7 |
申请日期 |
2015.06.24 |
申请人 |
北京系统工程研究所 |
发明人 |
王兵;邓波;李海龙;赵亮;王峰;施寅生;许帅 |
分类号 |
G06F21/57(2013.01)I;G06F21/56(2013.01)I;H04L29/06(2006.01)I |
主分类号 |
G06F21/57(2013.01)I |
代理机构 |
北京汇泽知识产权代理有限公司 11228 |
代理人 |
张瑾 |
主权项 |
一种软件系统漏洞风险评估方法,其特征在于,包括:对软件系统中的软件包依赖元数据进行预处理,构建软件依赖网络,其中,所述软件包依赖元数据为所述软件系统中记录所有软件包信息的文件;获取漏洞信息,根据所述漏洞信息构建漏洞与软件包之间的关联关系;根据所述软件依赖网络和所述漏洞与软件包之间的关联关系,查询存在漏洞的软件包以及直接或间接依赖所述软件包的其他软件包,构建软件包依赖关系子图;基于所述软件包依赖关系子图中各节点的重要程度,评估漏洞对整体软件系统的安全风险。 |
地址 |
100101 北京市朝阳区北京9702信箱19号 |