公开(公告)号：CN105046155B

公开(公告)日：2018-05-08

申请号：CN201510355563.7

申请日：2015-06-24

Applicant: 北京系统工程研究所

Inventor： 王兵 ,  邓波 ,  李海龙 ,  赵亮 ,  王峰 ,  施寅生 ,  许帅

IPC: G06F21/57 ,  G06F21/56 ,  H04L29/06

Abstract: 本发明实施例公开了一种软件系统漏洞风险评估方法及装置，涉及信息安全技术领域，解决了现有技术中不能直观准确地对软件系统存在的安全风险进行综合评估的问题。所述软件系统漏洞风险评估方法包括：对软件系统中的软件包依赖元数据进行预处理，构建软件依赖网络；获取漏洞信息，根据所述漏洞信息构建漏洞与软件包之间的关联关系；根据所述软件依赖网络和所述漏洞与软件包之间的关联关系，查询存在漏洞的软件包以及直接或间接依赖所述软件包的其他软件包，构建软件包依赖关系子图；基于所述软件包依赖关系子图中各节点的重要程度，评估漏洞对整体软件系统的安全风险。本发明的实施例主要用于对复杂软件系统漏洞风险进行评估。

公开(公告)号：CN105046155A

公开(公告)日：2015-11-11

申请号：CN201510355563.7

申请日：2015-06-24

Applicant: 北京系统工程研究所

Inventor： 王兵 ,  邓波 ,  李海龙 ,  赵亮 ,  王峰 ,  施寅生 ,  许帅

IPC: G06F21/57 ,  G06F21/56 ,  H04L29/06

CPC classification number: G06F21/577 ,  G06F21/56 ,  G06F21/563 ,  H04L63/1433

Abstract: 本发明实施例公开了一种软件系统漏洞风险评估方法及装置，涉及信息安全技术领域，解决了现有技术中不能直观准确地对软件系统存在的安全风险进行综合评估的问题。所述软件系统漏洞风险评估方法包括：对软件系统中的软件包依赖元数据进行预处理，构建软件依赖网络；获取漏洞信息，根据所述漏洞信息构建漏洞与软件包之间的关联关系；根据所述软件依赖网络和所述漏洞与软件包之间的关联关系，查询存在漏洞的软件包以及直接或间接依赖所述软件包的其他软件包，构建软件包依赖关系子图；基于所述软件包依赖关系子图中各节点的重要程度，评估漏洞对整体软件系统的安全风险。本发明的实施例主要用于对复杂软件系统漏洞风险进行评估。