The invention discloses a whole process management system for security risk assessment, which includes risk and vulnerability information acquisition module, security risk reference database establishment module, security risk assessment module, security risk rectification and verification module, control center module and database module. Through collecting risk and vulnerability information data comprehensively, establishing a unified security risk baseline database and auditing rules, the technical scheme realizes a comprehensive and real-time security risk assessment of host equipment, network equipment, database, middleware, information system, etc. By generating, issuing and tracking security risk sheets, and implementing all risk plans listed in security risk sheets. To carry out simulated attacks on companies, provide a complete control process, achieve comprehensive monitoring of security risks, timely feedback, rapid rectification, and provide a complete security risk rectification process, so as to ensure the safe operation of equipment.
【技术实现步骤摘要】
一种安全风险评估全过程管理系统
本专利技术涉及安全风险评估
,具体为一种安全风险评估全过程管理系统。
技术介绍
随着国网公司信息通信的快速发展,信息安全防护要求的不断提升,国网公司会定期下发安全风险单,要求各网省公司进行安全检查与整改,而许多公司在安全风险检查与整改方面存在以下问题:安全风险督查缺乏统一的标准和体系,存在督查不全面、不深入、覆盖不到位的情况;没有建立统一安全风险督查跟踪机制,无法对安全风险督查全过程进行有效跟踪和控制;在安全风险整改的过程中,缺乏有效的整改手段和过程闭环措施,导致安全隐患整改不到位,无法动态跟踪整改过程,安全风险没有完全消除,给公司带来极大的安全隐患。为进一步提升安全风险督查水平,对安全风险检查、督查、整改过程进行全面的跟踪与监控,必须从安全风险的评估、督查、整改、反馈、跟踪等阶段对安全风险进行全过程闭环管控。基于此,提出一种安全风险评估全过程管理系统。现有技术如公开号为CN107169618A专利技术公开了一种电力通信安全风险评估系统,包括:知识获取装置、第一知识存储数据库、第二知识存储数据库、第三知识存储数据库、第四知识存...
【技术保护点】
1.一种安全风险评估全过程管理系统,其特征在于,包括:风险及漏洞信息采集模块,用于采集国网安全风险单的各种动态风险信息、IDS入侵检测的安全风险以及互联网中最新的安全漏洞信息;安全风险基准库建立模块,用于对采集到的风险信息和安全漏洞信息以及整改措施进行分类并建立安全风险基准库;安全风险评估模块,用于根据安全扫描数据以及安全审计规则把握安全风险单的影响设备清单和重要程度,同时通过建立仿真环境模拟安全风险的成因、评估破坏内容,其包括安全扫描数据采集单元、安全风险审查规则自定义单元、安全风险评估单元以及安全风险评估报告生成单元;安全风险整改及验证模块,用于对各分公司下发安全风险单...
【技术特征摘要】
1.一种安全风险评估全过程管理系统,其特征在于,包括:风险及漏洞信息采集模块,用于采集国网安全风险单的各种动态风险信息、IDS入侵检测的安全风险以及互联网中最新的安全漏洞信息;安全风险基准库建立模块,用于对采集到的风险信息和安全漏洞信息以及整改措施进行分类并建立安全风险基准库;安全风险评估模块,用于根据安全扫描数据以及安全审计规则把握安全风险单的影响设备清单和重要程度,同时通过建立仿真环境模拟安全风险的成因、评估破坏内容,其包括安全扫描数据采集单元、安全风险审查规则自定义单元、安全风险评估单元以及安全风险评估报告生成单元;安全风险整改及验证模块,用于对各分公司下发安全风险单和针对安全风险问题整改进行全过程跟踪,以及根据安全风险报告中所列风险有计划地对各分公司开展模拟攻击,验证各公司的安全风险整改情况,其包括风险单下发及跟踪单元和模拟攻击及验证单元;控制中心模块,用于控制所述管理系统各模块以及各单元之间的协调配合工作;以及数据库模块,用于存储所述管理系统在运行过程中所需的所有数据;其中,所述风险及漏洞信息采集模块、安全风险基准库建立模块以及数据库模块顺次连接,所述数据库模块分别连接安全扫描数据采集单元、安全风险审查规则自定义单元、安全风险评估单元以及安全风险评估报告生成单元,所述安全风险评估报告生成单元分别连接风险单下发及跟踪单元和模拟攻击及验证单元,所述控制中心模块与风险及漏洞信息采集模块、安全风险基准库建立模块、安全风险评估模块以及安全风险整改及验证模块分别连接。2.根据权利要求1所述的一种安全风险评估全过程管理系统,其特征在于,所述安全风险评估单元包括具有审计规则配...
【专利技术属性】
技术研发人员:何兵兵,石海春,张超,沈先波,
申请(专利权)人:合肥优尔电子科技有限公司,
类型:发明
国别省市:安徽,34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。