文献类型：专利

专利类型：发明专利

是否失效：否

是否授权：否

申 请 号：CN201310222440.7

申 请 日：20130606

发 明 人：唐杰 荆博猷

申 请 人：成都浩博依科技有限公司

申请人地址：610041 四川省成都市武侯区科华北路58号c幢18号

公 开 日：20160629

公 开 号：CN103268450B

代 理 人：袁英

代理机构：51218 成都金英专利代理事务所(普通合伙)

语　　种：中文

摘　　要：本发明公开了一种基于测试的移动智能终端系统安全评估体系模型与评估方法，体系模型包括安全评估层和安全测试层，安全评估层位于上层，由上到下分为风险层、威胁层和脆弱性层，安全测试层位于下层，由上到下分为安全功能层、测试层和安全标准层；评估方法包括以下步骤：对测试层进行测试；评估层根据测试结果进行评估；计算指标相对权值；对矩阵进行一致性校验；计算各层安全评估结果的分值向量；由各层评估结果得出评估结果表。本发明结合移动智能终端自身特点，并利用AHP算法结合安全测试的方法，实现对移动智能终端系统客观测试与主观评价、定性判断和定量计算相结合的多层次评估，评估结果说服力强。

主 权 项：1.基于测试的移动智能终端系统安全评估体系模型，其特征在于：它包括用于为终端厂商、用户或使用单位提供安全风险、攻击威胁和系统脆弱性的评估的安全评估层和用于根据安全标准要求测试待测操作系统，评估其符合标准要求的程度的安全测试层，所述的安全评估层位于上层，由上到下分为风险层、威胁层和脆弱性层，所述的安全测试层位于下层，由上到下分为安全功能层、测试层和安全标准层；其中：风险层：在移动智能终端系统中由于遭受到人为的攻击威胁造成每一种资源缺失或遭到破坏时，对智能终端使用者或单位造成的可能损失和影响；威胁层：包含对移动智能终端攻击的威胁行为，威胁行为是攻击者达到特定目的的手段；不同的威胁行为在不同的环境下的攻击能力是不同的，需要对其进行评估；脆弱性层：脆弱性是评估的对象之一，威胁行为可能利用资产载体即移动终端安全机制存在的薄弱性和缺陷造成资产的损失；安全功能层：评估移动智能终端操作系统所必需的具体安全功能符合安全标准要求的程度；安全功能的缺失、不完善或者在安全功能设计实现中的漏洞将造成移动终端系统的脆弱性，安全功能层的评估需在下层的客观测试的结果上进行评估；测试层：体系中最关键的层次，将安全标准层中的安全要求合理的映射成可实现的测评方法，并封装为不同的测试用例，利用算法调度执行各个测试用例，并将测试结果返回给上层；安全标准层：为标准中的具体要求映射为安全功能层中的测试指标和测试层中的测试用例提供依据；根据脆弱性指标和测试层指标找到系统的薄弱环节，改善终端系统安全实现；根据威胁指标和风险指标了解终端系统目前与未来可能存在的威胁、安全风险以及影响程度，有针对性地

关 键 词：安全评估  安全测试 评估结果  评估  移动智能终端系统  体系模型  由上到下  测试层  矩阵  移动智能终端 一致性校验  测试  安全功能  定量计算  定性判断  计算各层  客观测试  主观评价 安全标准 脆弱性 向量  下层  上层  威胁  

IPC专利分类号：G06F21/57(20130101)