[发明专利]一种信息安全风险评估系统及方法

说明书

本发明公开的信息安全风险评估系统，包括资产信息获取模块、风险因素识别模块、风险程度分析模块、风险等级评价模块和风险控制模块，风险因素识别模块用于识别出风险因素；风险程度分析模块用于根据已有安全措施分析信息、威胁源分析信息、威胁行为分析信息、脆弱性分析信息、资产价值分析信息和影响程度分析信息综合得到分析结果；风险等级评价模块用于根据风险评估算法库综合评价风险的等级得到风险评估报告；风险控制模块用于根据风险评估报告作出相应的风险控制措施。通过结合威胁源出现频率、脆弱性被利用性的严重程度和资产价值计算风险等级，评估全面，评估范围更广，能根据评估数据做出相应风险控制措施。

技术领域

本发明涉及信息安全技术领域，具体涉及一种信息安全风险评估系统及方法。

背景技术

国外关于信息系统安全风险评估的研究已有20多年的历史，美国、加拿大等IT发达国家于20世纪70年代和80年代建立了国家认证机构和风险评估认证体系，负责研究并开发相关的评估标准、评估认证方法和评估技术，并进行基于评估标准的信息安全评估和认证，目前这些国家的信息系统风险评估相关的标准体系、技术体系、组织架构和业务体系都已经相当成熟。从已经建立了信息安全评估认证体系的有关国家来看，风险评估及认证机构都是由国家的安全、情报、国家标准化等政府主管部门授权建立，以保证评估结果的可信性和认证的权威性、公正性。

我国信息系统风险评估的研究是近几年才起步的，目前主要工作集中于组织架构和业务体系的建立，相应的标准体系和技术体系还处于研究阶段，但随着电子政务、电子商务的蓬勃发展，信息系统风险评估领域和以该领域为基础和前提的信息系统安全工程在我国已经得到重视。目前的信息系统风险评估主要是通过威胁评估方法进行风险评估，即根据漏洞预警信息与病毒预警信息产生的安全事件，对安全事件进行威胁甄别、标识风险级别并且关联相对应的信息资产信息，产生风险评估数据，这种风险评估方法的评估项单一，评估范围小，评估忽略潜在威胁，不能根据评估数据作相应的风险控制。

发明内容

针对现有技术中的缺陷，本发明的目的之一在于提供一种信息安全风险评估系统，评估项全面，评估范围广，能根据风险评估包括和信息系统的安全需求作出相应的风险控制。

第一方面，本发明实施例提供的一种信息安全风险评估系统，包括资产信息获取模块、风险因素识别模块、风险程度分析模块、风险等级评价模块和风险控制模块，

所述资产信息获取模块用于嵌套循环遍历待评估资产类型获取该类型的所有资产列表和风险等级阈值；

所述风险因素识别模块用于根据信息系统的描述信息、分析信息和安全需求信息识别出需要保护的资产信息；根据威胁库识别出待评估资产面临的威胁得到面临的威胁信息；根据漏洞库识别出待评估资产存在的脆弱性得到存在的脆弱性信息；

所述风险程度分析模块用于确认已有的安全措施得到已有安全措施分析信息；根据信息系统的分析信息和面临的威胁信息进行分析威胁源的动机和威胁行为的能力分别得到威胁源分析信息和威胁行为分析信息；根据信息系统的分析信息、面临的威胁信息和存在的脆弱性信息分析脆弱性的被利用性得到脆弱性分析信息；根据信息系统的分析信息和需要保护的资产信息分析资产的价值和影响程度得到资产价值分析信息和影响程度分析信息，综合前述分析信息得到分析结果；

所述风险等级评价模块用于根据风险程度分析模块的分析结果生成风险评估等级列表，根据风险评估算法库综合评价风险的等级得到风险评估报告；

所述风险控制模块用于根据信息系统的安全需求信息和风险评估报告作出相应的风险控制措施。

可选地，风险控制模块包括现存风险判断单元，所述现存风险判断单元用于根据信息系统的安全需求确定可接受风险等级并判断现存风险是否可接受。