脆弱性赋值可根据通用和专用的漏洞扫描结果赋值,三要素赋值均按照国家标准算法计算。
(1)用户接口层:由保护对象分析、威胁分析、脆弱性分析、现有控制措施分析、风险分析、风险处置、统计分析、项目管理及系统管理等功能模块组成,人工及文档数据的输入处理也由该层的各相关功能模块实现。
(2)数据处理层:负责系统的管理和配置、风险要素的关联分析、智能分析和结果判定、结果提取和统计分析等功能。由于通过人工输入、表单获取和扫描工具等手段获取的数据格式不同,所以系统将在数据处理层提供统一并可供识别的数据格式实现数据的合并处理。
(3)数据获取层:负责各类风险要素的识别和扫描分析,包含内容安全监控器、专用扫描器和通用扫描器等功能模块。
内容安全监控器:主要负责收集信息内容资产及信息内容敏感数据(威胁因素),所收集的信息分别存储在数据存储层的资产数据库和恶意行为及故障数据库中,以便用户接口层的调用分析。
专用扫描器:主要负责Web应用服务的漏洞扫描,并保存在漏洞数据库中,以便对照配合内容安全监控器搜集的资产类及威胁类数据的关联分析。
通用扫描器:主要负责通用漏洞的扫描,其扫描数据按资产和脆弱性类别分别保存在数据存储层的资产数据库和通用脆弱性数据库中。
(4)数据存储层:负责对6类数据库的维护和管理,它们分别是资产数据库、恶意行为及故障数据库、专用漏洞库、通用脆弱性数据库、现有控制措施库和风险分析数据库。这几类数据库除了从数据获取层的 3 大监控扫描工具中自动获取之外,在评估过程中还可以通过各类调研、调查数据及专业人员访谈等手段在评估系统客户端经人工输入补充修订各类数据并保存到相应的数据库中。现有措施控制库的数据主要来源于对被评估对象的实际调研,以人工方式输入到数据库中。人工输入的方式有两种,一是通过功能模块中对各类风险要素的编辑实现增加、删减及修改等的操作;二是按照特定的数据格式将所有已编辑好的各风险要素及其属性数据一次性读取到数据库中,实现批量处理。