应用架构风险评估方法、装置、设备以及存储介质与流程

本申请涉及计算机，尤其涉及一种应用架构风险评估方法、装置、设备以及存储介质。

背景技术：

1、随着应用软件的广泛使用，应用软件逐渐成为人们生活、工作中不可缺少的一部分，应用软件的使用给人们带来了便利，同时应用软件的安全性也为人们开来了极大的困扰，应用软件的安全性也变得尤为重要。随着功能需求的不断扩大，如果不能及时对应用软件的应用框架的风险性进行评估，那么应用框架自身的漏洞和权限将难以及时修复，从而会造成极大的损失。

2、现有技术通常通过安全人员手动对应用软件的应用框架进行测试和风险评估，其准确性较差且一些潜在的风险难以准确进行评估，因此如何准确全面地对应用架构进行风险评估成为亟需解决的问题。

技术实现思路

1、本申请实施例提供一种应用架构风险评估方法、装置、设备以及存储介质，可准确全面地对应用架构进行风险评估。适用性高。

2、一方面，本申请实施例提供一种应用架构风险评估方法，该方法包括：

3、确定目标应用架构以及上述目标应用架构的目标业务场景，基于上述目标应用架构以及上述目标业务场景确定基础风险列表，上述基础风险列表包括至少一个基础风险条目，每个上述基础风险条目对应至少一种预设风险防御措施；

4、从上述基础风险列表中确定至少一个目标风险条目，每个上述目标风险条目为上述目标应用架构涉及且未部署风险防御措施的基础风险条目，或者为上述目标应用架构涉及且部署的各风险防御措施不满足对应预设安全条件的基础风险条目；

5、对于每个上述目标风险条目，基于上述目标应用架构针对该目标风险条目部署的各风险防御措施、以及该目标风险条目对应的各预设风险防御措施，确定该目标风险条目对应的补充风险防御措施；

6、基于上述目标应用架构、上述基础风险列表以及各上述目标风险条目对应的补充风险防御措施生成风险评估报告。

7、另一方面，本申请实施例提供了一种应用架构风险评估装置，该装置包括：

8、信息确定模块，用于确定目标应用架构以及上述目标应用架构的目标业务场景，基于上述目标应用架构以及上述目标业务场景确定基础风险列表，上述基础风险列表包括至少一个基础风险条目，每个上述基础风险条目对应至少一种预设风险防御措施；

9、风险处理模块，用于从上述基础风险列表中确定至少一个目标风险条目，每个上述目标风险条目为上述目标应用架构涉及且未部署风险防御措施的基础风险条目，或者为上述目标应用架构涉及且部署的各风险防御措施不满足对应预设安全条件的基础风险条目；

10、措施确定模块，用于对于每个上述目标风险条目，基于上述目标应用架构针对该目标风险条目部署的各风险防御措施、以及该目标风险条目对应的各预设风险防御措施，确定该目标风险条目对应的补充风险防御措施；

11、报告生成模块，用于基于上述目标应用架构、上述基础风险列表以及各上述目标风险条目对应的补充风险防御措施生成风险评估报告。

12、另一方面，本申请实施例提供了一种电子设备，包括处理器和存储器，该处理器和存储器相互连接；

13、上述存储器用于存储计算机程序；

14、上述处理器被配置用于在调用上述计算机程序时，执行本申请实施例提供的应用架构风险评估方法。

15、另一方面，本申请实施例提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序，该计算机程序被处理器执行以实现本申请实施例提供的应用架构风险评估方法。

16、另一方面，本申请实施例提供了一种计算机程序产品，该计算机程序产品包括计算机程序，上述计算机程序被处理器执行时实现本申请实施例提供的应用架构风险评估方法。

17、在本申请实施例中，通过目标应用架构及其目标业务场景可确定出应用架构可能涉及的各基础风险条目，进而从中确定出目标应用架构涉及且未部署风险防御措施的目标风险条目以及目标应用架构涉及且部署的各风险防御措施不满足对应预设安全条件的目标风险条目，准确得到目标应用架构风险防御不足的风险条目。进一步可确定出目标应用架构针对各目标风险条目需要进一步采取的补充风险防御措施并基于补充风险防御措施以及基础风险列表等信息自动生成风险评估报告，实现准确全面地对目标应用架构进行风险评估，适用性高。

技术特征：

1.一种应用架构风险评估方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述基于所述目标应用架构以及所述目标业务场景确定基础风险列表，包括：

3.根据权利要求1所述的方法，其特征在于，所述从所述基础风险列表中确定至少一个目标风险条目，包括：

4.根据权利要求1所述的方法，其特征在，对于每个所述基础风险条目，所述目标应用架构针对该基础风险条目部署的各风险防御措施不满足对应的预设安全条件，包括以下至少一项：

5.根据权利要求1所述的方法，其特征在于，对于每个所述目标风险条目，所述基于所述目标应用架构针对该目标风险条目部署的各风险防御措施、以及该目标风险条目对应的各预设风险防御措施，确定该目标风险条目对应的补充风险防御措施，包括：

6.根据权利要求1所述的方法，其特征在于，所述基于所述目标应用架构、所述基础风险列表以及各所述目标风险条目对应的补充风险防御措施生成风险评估报告，包括：

7.根据权利要求6所述的方法，其特征在于，对于所述基础风险列表中的每个基础风险条目，所述确定所述目标应用架构对应于该基础风险条目的总风险评分，包括：

8.根据权利要求6所述的方法，其特征在于，所述基于所述目标应用架构确定所述目标应用架构的数据流和架构资产，包括：

9.根据权利要求1所述的方法，其特征在于，所述风险评估报告还包括各所述基础风险条目对应的风险属性，所述风险属性包括冒充身份、篡改信息、否认操作、信息披露、拒绝服务以及权限提升中的至少一项。

10.根据权利要求1所述的方法，其特征在于，所述确定目标应用架构以及所述目标应用架构的目标业务场景，包括：

11.一种应用架构风险评估装置，其特征在于，所述装置包括：

12.一种电子设备，其特征在于，包括处理器和存储器，所述处理器和存储器相互连接；

13.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行以实现权利要求1至10任一项所述的方法。

14.一种计算机程序产品，其特征在于，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时实现权利要求1至10任一项所述的方法。

技术总结
本申请实施例公开了一种应用架构风险评估方法、装置、设备以及存储介质，可适用于计算机技术以及云计算等领域。该方法包括：确定目标应用架构以及目标业务场景，基于目标应用架构以及目标业务场景确定基础风险列表，基础风险列表包括至少一个基础风险条目；对于每个目标风险条目，基于目标应用架构针对该目标风险条目部署的各风险防御措施、以及该目标风险条目对应的各预设风险防御措施，确定该目标风险条目对应的补充风险防御措施；基于目标应用架构、基础风险列表以及各目标风险条目对应的补充风险防御措施生成风险评估报告。采用本申请实施例，可准确全面地对应用架构进行风险评估，适用性高。

技术研发人员：林伟壕
受保护的技术使用者：腾讯科技（深圳）有限公司
技术研发日：
技术公布日：2024/4/7