[发明专利]一种信息安全风险评估系统及方法

摘要

本发明公开的信息安全风险评估系统，包括资产信息获取模块、风险因素识别模块、风险程度分析模块、风险等级评价模块和风险控制模块，风险因素识别模块用于识别出风险因素；风险程度分析模块用于根据已有安全措施分析信息、威胁源分析信息、威胁行为分析信息、脆弱性分析信息、资产价值分析信息和影响程度分析信息综合得到分析结果；风险等级评价模块用于根据风险评估算法库综合评价风险的等级得到风险评估报告；风险控制模块用于根据风险评估报告作出相应的风险控制措施。通过结合威胁源出现频率、脆弱性被利用性的严重程度和资产价值计算风险等级，评估全面，评估范围更广，能根据评估数据做出相应风险控制措施。

主权项

1.一种信息安全风险评估系统，其特征在于，包括资产信息获取模块、风险因素识别模块、风险程度分析模块、风险等级评价模块和风险控制模块，所述资产信息获取模块用于嵌套循环遍历待评估资产类型获取该类型的所有资产列表和风险等级阈值；所述风险因素识别模块用于根据信息系统的描述信息、分析信息和安全需求信息识别出需要保护的资产信息；根据威胁库识别出待评估资产面临的威胁得到面临的威胁信息；根据漏洞库识别出待评估资产存在的脆弱性得到存在的脆弱性信息；所述风险程度分析模块用于确认已有的安全措施得到已有安全措施分析信息；根据信息系统的分析信息和面临的威胁信息进行分析威胁源的动机和威胁行为的能力分别得到威胁源分析信息和威胁行为分析信息；根据信息系统的分析信息、面临的威胁信息和存在的脆弱性信息分析脆弱性的被利用性得到脆弱性分析信息；根据信息系统的分析信息和需要保护的资产信息分析资产的价值和影响程度得到资产价值分析信息和影响程度分析信息，综合各种分析信息得到分析结果；所述风险等级评价模块用于根据风险程度分析模块的分析结果生成风险评估等级列表，根据风险等级阈值综合评价信息系统的风险等级得到风险评估报告；所述风险控制模块用于根据信息系统的安全需求信息和风险评估报告作出相应的风险控制措施。