本发明专利技术公开了基于SoS体系的多维度信息安全风险评估系统,包括有SoS系统、资产识别模块、威胁识别模块、脆弱点识别模块、风险计算模块、风险评估模块、制定风险处理方案模块、风险残值计算模块和风险处理执行模块,资产识别模块收集并识别客户的资产信息,威胁识别模块针对识别出的资产信息分析可能存在的威胁,且判断出存在的脆弱点。本发明专利技术中通过基于SoS系统对信息安全风险进行评估,借助SoS系统独立管理和运作的特点,实现由单个系统独立无法实现的结果,同时从资产评估方面、企业威胁方面和脆弱点方面进行评估实现多层面、多方面和多层次进行风险评估的效果,且能够通过评估的风险制定相应的风险处理方案。制定相应的风险处理方案。制定相应的风险处理方案。
【技术实现步骤摘要】
基于SoS体系的多维度信息安全风险评估系统
[0001]本专利技术涉及信息安全风险评估
,具体涉及基于SoS体系的多维度信息安全风险评估系统。
技术介绍
[0002]随着信息技术的发展,社会信息化运作的程度逐渐加深,信息系统的安全风险问题也越来越多,利用风险评估的手段,可以消除安全漏洞,减低破坏程度;而结合当前的信息安全风险评估的现状,从信息资产价值的角度,运用SoS体系多维度的分析方法,从系统脆弱度、系统控制度和系统破坏度分析风险熵值的计算数值和相应的权重关系,构建风险评估的模型,最后依据模型的计算公式制定风险处理方案,为此提出基于SoS体系的多维度信息安全风险评估系统。
技术实现思路
[0003]本专利技术的目的是提供基于SoS体系的多维度信息安全风险评估系统,以解决技术中的上述不足之处。
[0004]为了实现上述目的,本专利技术提供如下技术方案:基于SoS体系的多维度信息安全风险评估系统,包括有SoS系统、资产识别模块、威胁识别模块、脆弱点识别模块、风险计算模块、风险评估模块、制定风险处理方案模块、风险残值计算模块和风险处理执行模块;
[0005]其中,还包括如下的评估流程:
[0006]S1:资产识别模块收集并识别客户的资产信息,威胁识别模块针对识别出的资产信息分析可能存在的威胁,且判断出存在的脆弱点;
[0007]S2:风险计算模块针对资产识别模块、威胁识别模块、脆弱点识别模块分析到信息对客户存在的风险进行计算,在由风险评估模块评估后得到风险结果;/>[0008]S3:制定风险处理方案模块对风险结果相对应地制定风险处理方案,同时风险处理执行模块对风险进行处理,在处理后计算出风险残值,且针对风险残值再次执行风险处理。
[0009]作为本专利技术一种优选的方案,所述SoS系统是可独立管理和/或运作的系统,这些互操作和/或综合集成组成的系统通常产生由单个系统独立无法实现的结果,且SoS系统适用于系统元素本身也是一个系统的系统,是一个更大的目标系统,因此,系统工程方法同样适用于SoS的研究。
[0010]作为本专利技术一种优选的方案,所述资产识别模块通过收集客户的信息,并在系统中生成资产信息登记表,且生成的资产信息登记表能够远程操作查看。
[0011]作为本专利技术一种优选的方案,所述威胁识别模块参考物理安全规范标准和人员安全管理规范标准,通过访查客户企业的相关文档资料、访谈客户企业的相关人员以及实地考察的方式对客户企业的威胁信息进行收集。
[0012]作为本专利技术一种优选的方案,所述脆弱点识别模块还有如下的识别过程:
等方位词是以附图所示的角度来进行描述的,不应理解为对本申请实施例的限定。此外,在上下文中,还需要理解的是,当提到一个元件连接在另一个元件“上”或者“下”时,其不仅能够直接连接在另一个元件“上”或者“下”,也可以通过中间元件间接连接在另一个元件“上”或者“下”。
[0028]实施例一
[0029]参照说明书附图1,基于SoS体系的多维度信息安全风险评估系统:
[0030]资产识别模块收集并识别客户的资产信息,资产识别模块通过收集客户的信息,并在系统中生成资产信息登记表,且生成的资产信息登记表能够远程操作查看,威胁识别模块针对识别出的资产信息分析可能存在的威胁,且判断出存在的脆弱点,威胁识别模块参考物理安全规范标准和人员安全管理规范标准,通过访查客户企业的相关文档资料、访谈客户企业的相关人员以及实地考察的方式对客户企业的威胁信息进行收集,脆弱点识别模块通过对客户企业的网络信息进行安全扫描,获得全网络的扫描统计,使用杀毒软件对客户企业的移动终端进行杀毒进行扫描统计,使用共享资源软件扫描客户企业网络,获得网络中的敏感信息,使用自动化评估脚本对客户企业的服务器安全信息进行收集,使用密码强度测试工具对客户企业服务器的密码强度进行测试;
[0031]风险计算模块针对资产识别模块、威胁识别模块、脆弱点识别模块分析到信息对客户存在的风险进行计算,在由风险评估模块评估后得到风险结果,而所述风险评估模块通过网络拓扑结构分析客户企业信息,同时结合数据安全规范对数据进行安全调查,并对客户企业的安全管理制度根据安全管理制度规范进行审查,根据安全管理机构规范对客户企业的安全管理机构进行审查,以及根据系统建设运维管理规范对客户企业的系统进行审查,制定风险处理方案模块根据资产风险、信息系统安全存在的漏洞制定相应的处理方案,制定风险处理方案模块对风险结果相对应地制定风险处理方案,同时风险处理执行模块对风险进行处理,在处理后计算出风险残值,且针对风险残值再次执行风险处理。
[0032]实施例二
[0033]基于实施例一,参照说明书附图1,基于SoS体系的多维度信息安全风险评估系统:
[0034]资产识别模块收集并识别客户的资产信息,资产识别模块通过收集客户的信息,并在系统中生成资产信息登记表,且生成的资产信息登记表能够远程操作查看,威胁识别模块针对识别出的资产信息分析可能存在的威胁,且判断出存在的脆弱点,威胁识别模块参考物理安全规范标准和人员安全管理规范标准,通过访查客户企业的相关文档资料、访谈客户企业的相关人员以及实地考察的方式对客户企业的威胁信息进行收集,脆弱点识别模块通过对客户企业的网络信息进行安全扫描,获得全网络的扫描统计,使用杀毒软件对客户企业的移动终端进行杀毒进行扫描统计,使用共享资源软件扫描客户企业网络,获得网络中的敏感信息,使用自动化评估脚本对客户企业的服务器安全信息进行收集,使用密码强度测试工具对客户企业服务器的密码强度进行测试;
[0035]风险计算模块针对资产识别模块、威胁识别模块、脆弱点识别模块分析到信息对客户存在的风险进行计算,在由风险评估模块评估后得到风险结果,而所述风险评估模块通过网络拓扑结构分析客户企业信息,同时结合数据安全规范对数据进行安全调查,并对客户企业的安全管理制度根据安全管理制度规范进行审查,根据安全管理机构规范对客户企业的安全管理机构进行审查,以及根据系统建设运维管理规范对客户企业的系统进行审
查,制定风险处理方案模块根据资产风险、信息系统安全存在的漏洞制定相应的处理方案,制定风险处理方案模块对风险结果相对应地制定风险处理方案,同时风险处理执行模块对风险进行处理,在处理后计算出风险残值,且针对风险残值再次执行风险处理;
[0036]采用风险转移的手段将一些可以预见但发生概率较低的风险,通过购买保险、设备维修外包等形式,转移给保险公司和机房设备服务商,如购买财产保险,可将机房风险(机房建筑物风险、火灾风险等)转移给保险公司;通过机房设备外包的方式,可将UPS、精密空调等设备故障风险转移给设备维修服务公司。
[0037]实施例三
[0038]基于实施例二,参照说明书附图1,基于SoS体系的多维度信息安全风险评估系统:
[0039]资产识别模块收集并识别客户的资产信息,资产识别模块通过收集客户的信息,并在系统中生成资产信息登记表,且生成的资产信息登记表能够本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.基于SoS体系的多维度信息安全风险评估系统,其特征在于:包括有SoS系统、资产识别模块、威胁识别模块、脆弱点识别模块、风险计算模块、风险评估模块、制定风险处理方案模块、风险残值计算模块和风险处理执行模块;其中,还包括如下的评估流程:S1:资产识别模块收集并识别客户的资产信息,威胁识别模块针对识别出的资产信息分析可能存在的威胁,且判断出存在的脆弱点;S2:风险计算模块针对资产识别模块、威胁识别模块、脆弱点识别模块分析到信息对客户存在的风险进行计算,在由风险评估模块评估后得到风险结果;S3:制定风险处理方案模块对风险结果相对应地制定风险处理方案,同时风险处理执行模块对风险进行处理,在处理后计算出风险残值,且针对风险残值再次执行风险处理。2.根据权利要求1所述的基于SoS体系的多维度信息安全风险评估系统,其特征在于:所述SoS系统是可独立管理和/或运作的系统,这些互操作和/或综合集成组成的系统通常产生由单个系统独立无法实现的结果,且SoS系统适用于系统元素本身也是一个系统的系统,是一个更大的目标系统,因此,系统工程方法同样适用于SoS的研究。3.根据权利要求1所述的基于SoS体系的多维度信息安全风险评估系统,其特征在于:所述资产识别模块通过收集客户的信息,并在系统中生成资产信息登记表,且生成的资产信息登记表能够远程操作查看。4.根据权利要求1...
【专利技术属性】
技术研发人员:黄敏,
申请(专利权)人:广州南洋理工职业学院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。