一种保证信息安全的计算机系统

本发明涉及信息安全，具体为一种保证信息安全的计算机系统。

背景技术：

1、随着信息技术的迅猛发展和广泛应用，计算机系统的安全性显得尤为关键。当前，几乎所有行业和领域都依赖计算机系统进行日常运营和管理，从金融、医疗、政府机构到个人用户，无一不依赖计算机系统提供的便捷服务和高效运作。然而，安全漏洞的存在可能导致系统遭受各种威胁，包括数据泄露、服务中断甚至远程攻击。这些漏洞不仅威胁到系统的稳定性和可靠性，更可能对个人隐私、商业机密和国家安全造成严重损害。安全漏洞是指软件或硬件系统中存在的、可被恶意利用的缺陷或弱点。攻击者可以通过这些漏洞进行未授权的访问、数据窃取、恶意破坏等活动，给系统及其用户带来巨大损失。近年来，随着网络攻击技术的不断升级和复杂化，安全漏洞的数量和种类也在迅速增加。面对如此严峻的安全形势，传统的被动防御手段已不足以应对日益复杂的安全威胁。为了有效应对这些安全挑战，基于漏洞修复的信息安全保障计算机系统成为一种重要的技术手段和策略。

2、在申请公布号为cn118101250a的中国发明申请中，公开了一种网络安全检测方法及系统，包括通过自适应算法学习网络行为的认知标准；结合多种检测算法，通过分析网络流量在不同时间窗口内的多种变量构建多维度异常检测模型；引入实时威胁情报，结合现场数据建立动态的漏洞评估模型，并对漏洞进行优先级排序；通过模仿攻击行为制定主动防御策略，并采用强化学习自动更新安全策略；建立反馈循环机制，利用实时检测和分析结果优化多维度异常检测模型，以自适应网络威胁演变。

3、在以上发明申请中，建立动态的漏洞评估模型，漏洞进行优先级排序，通过模仿攻击行为制定主动防御策略，并采用强化学习自动更新安全策略，自适应网络威胁演变，但仅仅只是依据优先级对漏洞进行分析和处理，但并未对整个系统的安全进行分析，可能忽略系统中存在的其他潜在风险，系统安全是一个复杂的整体，包含多个层面和环节，仅关注单个漏洞而忽略整体安全态势，可能导致其他风险未被识别和管理。

4、为此，本发明提供了一种保证信息安全的计算机系统。

技术实现思路

1、（一）解决的技术问题

2、针对现有技术的不足，本发明提供了一种保证信息安全的计算机系统，本发明通过对系统中存在的漏洞进行优先级划分，依据代码复杂度系数和系统复杂度系数计算获得漏洞修复复杂度指数fz，预测每个漏洞的修复时间xsj，计算整个系统的安全指数,分析系统安全等级到达高安全等级的时间as，可以全面评估系统目前和未来的安全状态，有助于有效管理安全风险，通过提前规划和实施必要的安全措施，可以减少系统面临的潜在威胁和攻击风险，从而解决了背景技术中记载的技术问题。

3、（二）技术方案

4、为实现以上目的，本发明通过以下技术方案予以实现：一种保证信息安全的计算机系统，包括：

5、漏洞优先级划分模块，包括漏洞检测单元、漏洞测试单元、严重程度分析单元及优先级确定单元；漏洞检测单元使用漏洞扫描工具定期扫描计算机系统，检测系统中存在的漏洞，并进行分类和编号；漏洞测试单元使用漏洞评分系统获得漏洞的cvss评分cv，并使用dast工具在系统运行时进行测试，获得漏洞的具体触发点个数cf、受影响功能个数gn、资源占用率zy、数据泄露指数xz及远程代码执行度yz；严重程度分析单元对漏洞测试单元测试到的漏斗运行数据进行分析，获得漏斗严重指数；优先级确定单元依据漏斗严重指数对系统中存在的漏洞进行优先级划分；

6、漏洞修复预测模块，包括代码复杂度分析单元、系统复杂度分析单元、漏洞修复复杂度分析单元及漏洞修复预测单元；代码复杂度分析单元对受影响代码进行分析，计算获得代码复杂度系数；系统复杂度分析单元用于分析整个系统的系统圈复杂度、系统代码行数和系统嵌套深度,计算获得系统复杂度系数;漏洞修复复杂度分析单元依据代码复杂度系数和系统复杂度系数计算获得漏洞修复复杂度指数fz；漏洞修复预测单元依据漏洞修复复杂度指数fz预测每个漏洞的修复时间xsj；

7、系统安全分析模块，包括实时安全分析单元和预测达标单元；实时安全分析单元依据检测到的所有漏洞的漏洞严重指数,计算整个系统的安全指数,确定系统安全等级；预测达标单元依据整个系统的安全指数和每个漏洞的修复时间,分析系统安全等级到达高安全等级的时间as。

8、进一步的，通过渗透测试来模拟攻击，确定漏洞被利用的具体攻击条件，记录为漏洞的具体触发点个数cg，监控系统运行时的行为，捕捉漏洞触发时的异常活动，定位受漏洞影响的功能和模块，记为受影响功能个数gn；

9、追踪漏洞运行时的数据流动路径，记录单位时间内敏感数据的泄露量xm和篡改量cg，计算获得数据泄露指数xz：

10、

11、通过压力测试和边界测试，评估漏洞对系统资源的占用率zy，并分析漏洞是否允许攻击者注入恶意代码，记为远程代码执行度yz，允许远程代码执行则远程代码执行度yz记为1，反之为0。

12、进一步的，获取漏洞的cvss评分、具体触发点个数、受影响功能个数、资源占用率、数据泄露指数及远程代码执行度，计算获得漏洞严重指数：

13、

14、其中，i表示漏洞检测系统中存在漏洞的顺序编号，；

15、将漏洞严重指数从大到小排序，依据漏洞严重指数的排序先后确定每个漏洞的处理优先级，即排序在前的漏洞优先级高。

16、进一步的，从漏洞扫描工具给出的漏洞报告中提取出受影响代码的具体位置，并使用静态代码分析工具来评估每个受影响位置代码的复杂度指标，包括圈复杂度、代码行数和嵌套深度，计算获得代码复杂度系数：

17、

18、其中，j表示同一漏洞每个受影响位置代码的顺序编号，。

19、受影响代码指的是漏洞扫描工具在分析应用程序或系统时发现的存在潜在漏洞的代码部分。具体来说，当漏洞扫描工具检测到一个漏洞时，它通常会提供有关漏洞的详细信息，包括漏洞出现在哪些代码文件中、具体的代码行或函数位置，以及可能的漏洞类型和影响。

20、进一步的，使用静态代码分析工具分析整个系统的系统圈复杂度、系统代码行数和系统嵌套深度，计算获得系统复杂度系数：

21、其中，k表示每次使用静态代码分析工具分析整个系统的时间顺序编号，。

22、进一步的，获取代码复杂度系数和系统复杂度系数，计算获得漏洞修复复杂度指数fz：

23、

24、其中，是指最近一次用静态代码分析工具分析整个系统获得的系统圈复杂度；

25、进一步的，获取历史漏洞维修记录，包括历史漏洞的漏洞修复复杂度指数fz和修复时间xsj，将数据划分为训练集和测试集，基于线性回归模型构建漏洞修复时间预测模型，在经过训练及测试后，将漏洞修复时间预测模型输出，依据漏洞修复时间预测模型预测每个漏洞的修复时间xsj。

26、进一步的，获取所有漏洞的漏洞严重指数，依据修复优先级顺序重新编号为，计算整个系统的安全指数：

27、

28、其中，依据修复优先级顺序重新编号为，优先级越高排序越小；

29、进一步的，依据整个系统的安全指数确定系统安全等级，并选择对应的安全预警处理策略，具体为：

30、当第二安全阈值时，反馈当前系统的安全等级高，无需采取任何措施，继续保持监测，以防发生异常情况。

31、当第二安全阈值第一安全阈值时，反馈当前系统的安全等级中等，向外发出二级安全预警命令，需要加快漏洞修复速度，确保系统的基本安全性。

32、当第一安全阈值时，反馈当前系统的安全等级低，向外发出一级安全预警命令，需要采取漏洞修复应急措施，排除安全隐患。

33、进一步的，当系统的安全等级为中等或低时，获取整个系统的安全指数，预测每修复完一个漏洞后整个系统的安全指数，记为预测系统安全指数：

34、其中，c为修复漏洞数量，。

35、进一步的，获取预测系统安全指数，依序判断每个预测系统安全指数与第一安全阈值和第二安全阈值的大小关系，确定其对应的系统安全等级，直至系统安全等级达到高等级时，输出此时的预测系统安全指数，记为达标系统安全指数。

36、进一步的，获取达标系统安全指数和每个漏洞的修复时间，计算系统安全等级到达高安全等级的时间as：

37、

38、对应的系统安全等级到达高安全等级的时间as的计算公式如上。

39、（三）有益效果

40、本发明提供了一种保证信息安全的计算机系统，具备以下有益效果：

41、1、检测系统中存在的漏洞，分析获得漏洞的cvss评分cv、具体触发点个数cf、受影响功能个数gn、资源占用率zy、数据泄露指数xz及远程代码执行度yz，分析后获得漏洞严重指数，对系统中存在的漏洞进行优先级划分，可以帮助有效地分配资源和精力，高优先级漏洞可以优先得到修复，更快速地响应和修复关键漏洞，减少安全风险的影响。

42、2、对受漏洞影响代码进行分析，计算获得代码复杂度系数，并分析整个系统的系统圈复杂度、系统代码行数和系统嵌套深度，计算获得系统复杂度系数，依据代码复杂度系数和系统复杂度系数计算获得漏洞修复复杂度指数fz，预测每个漏洞的修复时间xsj，有助于进行合理的时间管理和资源分配，避免低估或高估修复工作，安排适当的人员和工具，提高修复效率，减少不必要的延迟。

43、3、依据检测到的所有漏洞的漏洞严重指数，计算整个系统的安全指数，并依据整个系统的安全指数和每个漏洞的修复时间，分析系统安全等级到达高安全等级的时间as。可以全面评估系统目前的安全状态，有助于有效管理安全风险，通过提前规划和实施必要的安全措施，可以减少系统面临的潜在威胁和攻击风险。