基于SoS体系的多维度信息安全风险评估系统

基于sos体系的多维度信息安全风险评估系统
技术领域
1.本发明涉及信息安全风险评估技术领域，具体涉及基于sos体系的多维度信息安全风险评估系统。


背景技术：

2.随着信息技术的发展，社会信息化运作的程度逐渐加深，信息系统的安全风险问题也越来越多，利用风险评估的手段，可以消除安全漏洞，减低破坏程度；而结合当前的信息安全风险评估的现状，从信息资产价值的角度，运用sos体系多维度的分析方法，从系统脆弱度、系统控制度和系统破坏度分析风险熵值的计算数值和相应的权重关系，构建风险评估的模型，最后依据模型的计算公式制定风险处理方案，为此提出基于sos体系的多维度信息安全风险评估系统。


技术实现要素：

3.本发明的目的是提供基于sos体系的多维度信息安全风险评估系统，以解决技术中的上述不足之处。
4.为了实现上述目的，本发明提供如下技术方案：基于sos体系的多维度信息安全风险评估系统，包括有sos系统、资产识别模块、威胁识别模块、脆弱点识别模块、风险计算模块、风险评估模块、制定风险处理方案模块、风险残值计算模块和风险处理执行模块；
5.其中，还包括如下的评估流程：
6.s1：资产识别模块收集并识别客户的资产信息，威胁识别模块针对识别出的资产信息分析可能存在的威胁，且判断出存在的脆弱点；
7.s2：风险计算模块针对资产识别模块、威胁识别模块、脆弱点识别模块分析到信息对客户存在的风险进行计算，在由风险评估模块评估后得到风险结果；
8.s3：制定风险处理方案模块对风险结果相对应地制定风险处理方案，同时风险处理执行模块对风险进行处理，在处理后计算出风险残值，且针对风险残值再次执行风险处理。
9.作为本发明一种优选的方案，所述sos系统是可独立管理和/或运作的系统，这些互操作和/或综合集成组成的系统通常产生由单个系统独立无法实现的结果，且sos系统适用于系统元素本身也是一个系统的系统，是一个更大的目标系统，因此，系统工程方法同样适用于sos的研究。
10.作为本发明一种优选的方案，所述资产识别模块通过收集客户的信息，并在系统中生成资产信息登记表，且生成的资产信息登记表能够远程操作查看。
11.作为本发明一种优选的方案，所述威胁识别模块参考物理安全规范标准和人员安全管理规范标准，通过访查客户企业的相关文档资料、访谈客户企业的相关人员以及实地考察的方式对客户企业的威胁信息进行收集。
12.作为本发明一种优选的方案，所述脆弱点识别模块还有如下的识别过程：
等方位词是以附图所示的角度来进行描述的，不应理解为对本技术实施例的限定。此外，在上下文中，还需要理解的是，当提到一个元件连接在另一个元件“上”或者“下”时，其不仅能够直接连接在另一个元件“上”或者“下”，也可以通过中间元件间接连接在另一个元件“上”或者“下”。
28.实施例一
29.参照说明书附图1，基于sos体系的多维度信息安全风险评估系统：
30.资产识别模块收集并识别客户的资产信息，资产识别模块通过收集客户的信息，并在系统中生成资产信息登记表，且生成的资产信息登记表能够远程操作查看，威胁识别模块针对识别出的资产信息分析可能存在的威胁，且判断出存在的脆弱点，威胁识别模块参考物理安全规范标准和人员安全管理规范标准，通过访查客户企业的相关文档资料、访谈客户企业的相关人员以及实地考察的方式对客户企业的威胁信息进行收集，脆弱点识别模块通过对客户企业的网络信息进行安全扫描，获得全网络的扫描统计，使用杀毒软件对客户企业的移动终端进行杀毒进行扫描统计，使用共享资源软件扫描客户企业网络，获得网络中的敏感信息，使用自动化评估脚本对客户企业的服务器安全信息进行收集，使用密码强度测试工具对客户企业服务器的密码强度进行测试；
31.风险计算模块针对资产识别模块、威胁识别模块、脆弱点识别模块分析到信息对客户存在的风险进行计算，在由风险评估模块评估后得到风险结果，而所述风险评估模块通过网络拓扑结构分析客户企业信息，同时结合数据安全规范对数据进行安全调查，并对客户企业的安全管理制度根据安全管理制度规范进行审查，根据安全管理机构规范对客户企业的安全管理机构进行审查，以及根据系统建设运维管理规范对客户企业的系统进行审查，制定风险处理方案模块根据资产风险、信息系统安全存在的漏洞制定相应的处理方案，制定风险处理方案模块对风险结果相对应地制定风险处理方案，同时风险处理执行模块对风险进行处理，在处理后计算出风险残值，且针对风险残值再次执行风险处理。
32.实施例二
33.基于实施例一，参照说明书附图1，基于sos体系的多维度信息安全风险评估系统：
34.资产识别模块收集并识别客户的资产信息，资产识别模块通过收集客户的信息，并在系统中生成资产信息登记表，且生成的资产信息登记表能够远程操作查看，威胁识别模块针对识别出的资产信息分析可能存在的威胁，且判断出存在的脆弱点，威胁识别模块参考物理安全规范标准和人员安全管理规范标准，通过访查客户企业的相关文档资料、访谈客户企业的相关人员以及实地考察的方式对客户企业的威胁信息进行收集，脆弱点识别模块通过对客户企业的网络信息进行安全扫描，获得全网络的扫描统计，使用杀毒软件对客户企业的移动终端进行杀毒进行扫描统计，使用共享资源软件扫描客户企业网络，获得网络中的敏感信息，使用自动化评估脚本对客户企业的服务器安全信息进行收集，使用密码强度测试工具对客户企业服务器的密码强度进行测试；
35.风险计算模块针对资产识别模块、威胁识别模块、脆弱点识别模块分析到信息对客户存在的风险进行计算，在由风险评估模块评估后得到风险结果，而所述风险评估模块通过网络拓扑结构分析客户企业信息，同时结合数据安全规范对数据进行安全调查，并对客户企业的安全管理制度根据安全管理制度规范进行审查，根据安全管理机构规范对客户企业的安全管理机构进行审查，以及根据系统建设运维管理规范对客户企业的系统进行审
查，制定风险处理方案模块根据资产风险、信息系统安全存在的漏洞制定相应的处理方案，制定风险处理方案模块对风险结果相对应地制定风险处理方案，同时风险处理执行模块对风险进行处理，在处理后计算出风险残值，且针对风险残值再次执行风险处理；
36.采用风险转移的手段将一些可以预见但发生概率较低的风险，通过购买保险、设备维修外包等形式，转移给保险公司和机房设备服务商，如购买财产保险，可将机房风险(机房建筑物风险、火灾风险等)转移给保险公司；通过机房设备外包的方式，可将ups、精密空调等设备故障风险转移给设备维修服务公司。
37.实施例三
38.基于实施例二，参照说明书附图1，基于sos体系的多维度信息安全风险评估系统：
39.资产识别模块收集并识别客户的资产信息，资产识别模块通过收集客户的信息，并在系统中生成资产信息登记表，且生成的资产信息登记表能够远程操作查看，威胁识别模块针对识别出的资产信息分析可能存在的威胁，且判断出存在的脆弱点，威胁识别模块参考物理安全规范标准和人员安全管理规范标准，通过访查客户企业的相关文档资料、访谈客户企业的相关人员以及实地考察的方式对客户企业的威胁信息进行收集，脆弱点识别模块通过对客户企业的网络信息进行安全扫描，获得全网络的扫描统计，使用杀毒软件对客户企业的移动终端进行杀毒进行扫描统计，使用共享资源软件扫描客户企业网络，获得网络中的敏感信息，使用自动化评估脚本对客户企业的服务器安全信息进行收集，使用密码强度测试工具对客户企业服务器的密码强度进行测试；
40.风险计算模块针对资产识别模块、威胁识别模块、脆弱点识别模块分析到信息对客户存在的风险进行计算，在由风险评估模块评估后得到风险结果，而所述风险评估模块通过网络拓扑结构分析客户企业信息，同时结合数据安全规范对数据进行安全调查，并对客户企业的安全管理制度根据安全管理制度规范进行审查，根据安全管理机构规范对客户企业的安全管理机构进行审查，以及根据系统建设运维管理规范对客户企业的系统进行审查，制定风险处理方案模块根据资产风险、信息系统安全存在的漏洞制定相应的处理方案，制定风险处理方案模块对风险结果相对应地制定风险处理方案，同时风险处理执行模块对风险进行处理，在处理后计算出风险残值，且针对风险残值再次执行风险处理；
41.采用风险转移的手段将一些可以预见但发生概率较低的风险，通过购买保险、设备维修外包等形式，转移给保险公司和机房设备服务商，如购买财产保险，可将机房风险(机房建筑物风险、火灾风险等)转移给保险公司；通过机房设备外包的方式，可将ups、精密空调等设备故障风险转移给设备维修服务公司；
42.同时利用科学监控，通过健全科学的实时监控措施，对发生故障随机性强的机房保障系统进行长期实时检测，通过对采集的运行参数进行有机分析，可以及时采取有效的规避风险的措施，由实时监控系统组成的预警系统，可以对其监控的设备进行运行状态检测、运行异常警告、运行故障原因分析，从而达到防范运行故障和及时处置风险的目的。
43.实施例四
44.基于实施例三，参照说明书附图1，基于sos体系的多维度信息安全风险评估系统：
45.资产识别模块收集并识别客户的资产信息，资产识别模块通过收集客户的信息，并在系统中生成资产信息登记表，且生成的资产信息登记表能够远程操作查看，威胁识别模块针对识别出的资产信息分析可能存在的威胁，且判断出存在的脆弱点，威胁识别模块
参考物理安全规范标准和人员安全管理规范标准，通过访查客户企业的相关文档资料、访谈客户企业的相关人员以及实地考察的方式对客户企业的威胁信息进行收集，脆弱点识别模块通过对客户企业的网络信息进行安全扫描，获得全网络的扫描统计，使用杀毒软件对客户企业的移动终端进行杀毒进行扫描统计，使用共享资源软件扫描客户企业网络，获得网络中的敏感信息，使用自动化评估脚本对客户企业的服务器安全信息进行收集，使用密码强度测试工具对客户企业服务器的密码强度进行测试；
46.风险计算模块针对资产识别模块、威胁识别模块、脆弱点识别模块分析到信息对客户存在的风险进行计算，在由风险评估模块评估后得到风险结果，而所述风险评估模块通过网络拓扑结构分析客户企业信息，同时结合数据安全规范对数据进行安全调查，并对客户企业的安全管理制度根据安全管理制度规范进行审查，根据安全管理机构规范对客户企业的安全管理机构进行审查，以及根据系统建设运维管理规范对客户企业的系统进行审查，制定风险处理方案模块根据资产风险、信息系统安全存在的漏洞制定相应的处理方案，制定风险处理方案模块对风险结果相对应地制定风险处理方案，同时风险处理执行模块对风险进行处理，在处理后计算出风险残值，且针对风险残值再次执行风险处理；
47.采用风险转移的手段将一些可以预见但发生概率较低的风险，通过购买保险、设备维修外包等形式，转移给保险公司和机房设备服务商，如购买财产保险，可将机房风险(机房建筑物风险、火灾风险等)转移给保险公司；通过机房设备外包的方式，可将ups、精密空调等设备故障风险转移给设备维修服务公司；
48.同时利用科学监控，通过健全科学的实时监控措施，对发生故障随机性强的机房保障系统进行长期实时检测，通过对采集的运行参数进行有机分析，可以及时采取有效的规避风险的措施，由实时监控系统组成的预警系统，可以对其监控的设备进行运行状态检测、运行异常警告、运行故障原因分析，从而达到防范运行故障和及时处置风险的目的；
49.并根据网络系统组织结构，对企业网络的安全状态分层描述，以攻击报警、扫描结果、资产和网络流量等信息为原始数据，发现各个系统所提供服务存在的情况，进而评估各项服务的安全状况，然后综合评估网络系统中各关键设备的安全状况，根据网络系统结构，评估多个局部范围网络的安全态势，最后再综合分析和统计整个宏观网络的安全态势。
50.以上只通过说明的方式描述了本发明的某些示范性实施例，毋庸置疑，对于本领域的普通技术人员，在不偏离本发明的精神和范围的情况下，可以用各种不同的方式对所描述的实施例进行修正。因此，上述附图和描述在本质上是说明性的，不应理解为对本发明权利要求保护范围的限制。