[发明专利]基于SoS体系的多维度信息安全风险评估系统

权利要求书

1.基于SoS体系的多维度信息安全风险评估系统，其特征在于：包括有SoS系统、资产识别模块、威胁识别模块、脆弱点识别模块、风险计算模块、风险评估模块、制定风险处理方案模块、风险残值计算模块和风险处理执行模块；

其中，还包括如下的评估流程：

S1：资产识别模块收集并识别客户的资产信息，威胁识别模块针对识别出的资产信息分析可能存在的威胁，且判断出存在的脆弱点；

S2：风险计算模块针对资产识别模块、威胁识别模块、脆弱点识别模块分析到信息对客户存在的风险进行计算，在由风险评估模块评估后得到风险结果；

S3：制定风险处理方案模块对风险结果相对应地制定风险处理方案，同时风险处理执行模块对风险进行处理，在处理后计算出风险残值，且针对风险残值再次执行风险处理。

2.根据权利要求1所述的基于SoS体系的多维度信息安全风险评估系统，其特征在于：所述SoS系统是可独立管理和/或运作的系统，这些互操作和/或综合集成组成的系统通常产生由单个系统独立无法实现的结果，且SoS系统适用于系统元素本身也是一个系统的系统，是一个更大的目标系统，因此，系统工程方法同样适用于SoS的研究。

3.根据权利要求1所述的基于SoS体系的多维度信息安全风险评估系统，其特征在于：所述资产识别模块通过收集客户的信息，并在系统中生成资产信息登记表，且生成的资产信息登记表能够远程操作查看。

4.根据权利要求1所述的基于SoS体系的多维度信息安全风险评估系统，其特征在于：所述威胁识别模块参考物理安全规范标准和人员安全管理规范标准，通过访查客户企业的相关文档资料、访谈客户企业的相关人员以及实地考察的方式对客户企业的威胁信息进行收集。

5.根据权利要求1所述的基于SoS体系的多维度信息安全风险评估系统，其特征在于：所述脆弱点识别模块还有如下的识别过程：

S1：通过对客户企业的网络信息进行安全扫描，获得全网络的扫描统计；

S2：使用杀毒软件对客户企业的移动终端进行杀毒进行扫描统计；

S3：使用共享资源软件扫描客户企业网络，获得网络中的敏感信息；

S4：使用自动化评估脚本对客户企业的服务器安全信息进行收集；

S5：使用密码强度测试工具对客户企业服务器的密码强度进行测试。

6.根据权利要求1所述的基于SoS体系的多维度信息安全风险评估系统，其特征在于：所述风险评估模块通过网络拓扑结构分析客户企业信息，同时结合数据安全规范对数据进行安全调查，并对客户企业的安全管理制度根据安全管理制度规范进行审查，根据安全管理机构规范对客户企业的安全管理机构进行审查，以及根据系统建设运维管理规范对客户企业的系统进行审查。

7.根据权利要求1所述的基于SoS体系的多维度信息安全风险评估系统，其特征在于：所述制定风险处理方案模块根据资产风险、信息系统安全存在的漏洞制定相应的处理方案。