可视化威胁分析和风险评估系统及信息安全评估方法技术方案

本申请公开了可视化威胁分析和风险评估系统及信息安全评估方法，其系统包括：包括相互连接的应用层和功能层；应用层用于将功能层提供的各种TARA功能集成为前端工具；其中，功能层包括：系统建模单元、威胁分析单元、风险评估及处置单元、以及结果报告生成单元；其中，系统建模单元包括：图文建模模块、资产管理和识别模块；威胁分析单元包括：损害场景管理和分析模块、威胁场景管理和分析模块、以及攻击管理和分析模块；风险评估以及处置单元包括：风险分数评估模块、以及风险处置模块。本申请可使用户轻松、快速、准确、全面地实现TARA方法，为网联车的设计和优化提供指导意见。为网联车的设计和优化提供指导意见。为网联车的设计和优化提供指导意见。

【技术实现步骤摘要】
可视化威胁分析和风险评估系统及信息安全评估方法


[0001]本申请涉及信息安全
，具体涉及一种可视化威胁分析和风险评估系统及信息安全评估方法。

技术介绍

[0002]随着智能网联车技术的高速发展，网联车中各个部件已高度智能化，且网联车可融合多种智能设备与外界进行信息交互，这给网联车带来很多技术革新以及便利，但同时也对网联车的信息安全提出了极大的挑战，使得涉及车辆功能安全、驾驶人身安全、财产、个人隐私等敏感信息存在泄漏或篡改的风险，从而造成个人隐私、企业经济损失，还可能对人身安全造成严重的后果。
[0003]威胁分析和风险评估(Threat analysis and risk assessment,简称TARA)是通过提供系统化的分析和评估方法，用以确定网络安全风险的程度，从而得出相应的网络安全目标，为后续形成网络安全需求，输入给设计开发提供基础，以期在概念设计阶段，最大程度上降低网联车信息安全漏洞的存在；在开发和后开发阶段，对于已经暴露的漏洞，进行风险等级的评估以及处理决策的确定。
[0004]但是，目前还没有一套完整的技本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种可视化威胁分析和风险评估系统，其特征在于，所述系统包括相互连接的应用层和功能层；其中，所述功能层用于将各种威胁分析和风险评估功能进行模块化并提供至所述应用层，所述应用层用于将所述功能层提供的各种功能集成为前端工具，以及对应用和项目进行管理；其中，所述功能层包括：系统建模单元、威胁分析单元、风险评估及处置单元、以及结果报告生成单元；其中，所述系统建模单元包括：图文建模模块、资产管理和识别模块；所述威胁分析单元包括：损害场景管理和分析模块、威胁场景管理和分析模块、以及攻击管理和分析模块；所述风险评估以及处置单元包括：风险分数评估模块、以及风险处置模块。2.根据权利要求1所述的系统，其特征在于，所述图文建模模块，用于提供图文建模界面并显示于所述前端工具，并响应于对所述图文建模界面的用户操作，建立联网车的威胁分析和风险评估模型；其中，所述前端图文建模界面包括画布栏、步骤条栏、左边栏、右边栏、下边栏；所述步骤栏包括：系统建模步骤、网络安全资产识别步骤、损害场景步骤、威胁场景步骤、攻击树建模步骤、风险评估步骤、安全目标步骤、以及导出报告步骤；所述左边栏包括：元素栏、组件栏、以及项目文件栏；其中，所述元素栏包括：数据元素、数据流元素、部件元素、信道元素、以及系统边界元素；所述组件栏包括：个人组件、第三方组件、以及自定义组件；所述下边栏包括：元素列表、以及功能列表；所述右边栏包括：部件编辑器、数据编辑器、信道编辑器、以及功能编辑器；所述画布栏包括：元素创建项、画布工具项、缩略图项、拖动画布项、框选项、以及画布下钻项。3.根据权利要求2所述的系统，其特征在于，所述资产管理和识别模块，用于提供资产管理界面并显示于所述前端工具，并响应于对所述资产管理界面的用户操作，对各所述元素栏中各元素进行资产管理，以及对建立的威胁分析和风险评估模型中的各元素进行资产认定；所述资产管理界面包括：元素名、元素类型、元素描述、资产或非资产、以及与所述资产关联的安全属性和利益相关者；其中，所述安全属性包括机密性、完整性、以及可用性。4.根据权利要求1所述的系统，其特征在于，所述损害场景管理和分析模块，用于提供损害场景管理界面并显示于所述前端工具，并响应于对所述损害场景管理界面的用户操作，对损害场景进行管理、对建立的威胁分析和风险评估模型中的各元素进行损害场景关联、以及对建立的威胁分析和风险评估模型存在的至少一项风险进行影响评级，所述影响评级结果包括：严重的、重大的、中等的、以及忽略不计中的一种；所述损害场景管理界面包括：损害场景列表和关联损害场景项；其中，所述损害场景列表中包含对多个对资产的安全属性具有影响的预设损害场景；所述关联损害场景项与所述安全属性相关联，可实现所述安全属性中各项与所述预设损害场景的关联，以及损害场景影响等级自动计算和标记，其中，所述关联损害场景项包括：损害场景添加、损害场景编辑、损害场景删除。
5.根据权利要求1所述的系统，其特征在于，所述威胁场景管理和分析模块，用于提供威胁场景管理界面并显示于所述前端工具，并响应于对所述威胁场景管理界面的用户操作，对威胁场景进行管理，以及对建立的威胁分析和风险评估模型中的各损害场景进行威胁场景关联；所述威胁场景管理界面包括：威胁场景列表和关联威胁场景项；其中，所述威胁场景列表中包含对多个对预设损害场景具有影响的预设威胁场景；所述关联威胁场景项与所述预设损害场景相关联，可实现所述预设损害场景与至少一个所述预设威胁场景的关联；其中，所述关联威胁场景项包括：威胁...

【专利技术属性】
技术研发人员：刘文浩，李均，阿一伦，范明非，
申请(专利权)人：北京犬安科技有限公司，
类型：发明
国别省市：