[发明专利]基于SoS体系的多维度信息安全风险评估系统

说明书

本发明公开了基于SoS体系的多维度信息安全风险评估系统，包括有SoS系统、资产识别模块、威胁识别模块、脆弱点识别模块、风险计算模块、风险评估模块、制定风险处理方案模块、风险残值计算模块和风险处理执行模块，资产识别模块收集并识别客户的资产信息，威胁识别模块针对识别出的资产信息分析可能存在的威胁，且判断出存在的脆弱点。本发明中通过基于SoS系统对信息安全风险进行评估，借助SoS系统独立管理和运作的特点，实现由单个系统独立无法实现的结果，同时从资产评估方面、企业威胁方面和脆弱点方面进行评估实现多层面、多方面和多层次进行风险评估的效果，且能够通过评估的风险制定相应的风险处理方案。

技术领域

本发明涉及信息安全风险评估技术领域，具体涉及基于SoS体系的多维度信息安全风险评估系统。

背景技术

随着信息技术的发展，社会信息化运作的程度逐渐加深，信息系统的安全风险问题也越来越多，利用风险评估的手段，可以消除安全漏洞，减低破坏程度；而结合当前的信息安全风险评估的现状，从信息资产价值的角度，运用SoS体系多维度的分析方法，从系统脆弱度、系统控制度和系统破坏度分析风险熵值的计算数值和相应的权重关系，构建风险评估的模型，最后依据模型的计算公式制定风险处理方案，为此提出基于SoS体系的多维度信息安全风险评估系统。

发明内容

本发明的目的是提供基于SoS体系的多维度信息安全风险评估系统，以解决技术中的上述不足之处。

为了实现上述目的，本发明提供如下技术方案：基于SoS体系的多维度信息安全风险评估系统，包括有SoS系统、资产识别模块、威胁识别模块、脆弱点识别模块、风险计算模块、风险评估模块、制定风险处理方案模块、风险残值计算模块和风险处理执行模块；

其中，还包括如下的评估流程：

S1：资产识别模块收集并识别客户的资产信息，威胁识别模块针对识别出的资产信息分析可能存在的威胁，且判断出存在的脆弱点；

S2：风险计算模块针对资产识别模块、威胁识别模块、脆弱点识别模块分析到信息对客户存在的风险进行计算，在由风险评估模块评估后得到风险结果；

S3：制定风险处理方案模块对风险结果相对应地制定风险处理方案，同时风险处理执行模块对风险进行处理，在处理后计算出风险残值，且针对风险残值再次执行风险处理。

作为本发明一种优选的方案，所述SoS系统是可独立管理和/或运作的系统，这些互操作和/或综合集成组成的系统通常产生由单个系统独立无法实现的结果，且SoS系统适用于系统元素本身也是一个系统的系统，是一个更大的目标系统，因此，系统工程方法同样适用于SoS的研究。

作为本发明一种优选的方案，所述资产识别模块通过收集客户的信息，并在系统中生成资产信息登记表，且生成的资产信息登记表能够远程操作查看。

作为本发明一种优选的方案，所述威胁识别模块参考物理安全规范标准和人员安全管理规范标准，通过访查客户企业的相关文档资料、访谈客户企业的相关人员以及实地考察的方式对客户企业的威胁信息进行收集。

作为本发明一种优选的方案，所述脆弱点识别模块还有如下的识别过程：

S1：通过对客户企业的网络信息进行安全扫描，获得全网络的扫描统计；

S2：使用杀毒软件对客户企业的移动终端进行杀毒进行扫描统计；

S3：使用共享资源软件扫描客户企业网络，获得网络中的敏感信息；

S4：使用自动化评估脚本对客户企业的服务器安全信息进行收集；

S5：使用密码强度测试工具对客户企业服务器的密码强度进行测试。