CN109064018A - 一种信息安全风险评估系统及方法 - Google Patents
一种信息安全风险评估系统及方法 Download PDFInfo
- Publication number
- CN109064018A CN109064018A CN201810856858.6A CN201810856858A CN109064018A CN 109064018 A CN109064018 A CN 109064018A CN 201810856858 A CN201810856858 A CN 201810856858A CN 109064018 A CN109064018 A CN 109064018A
- Authority
- CN
- China
- Prior art keywords
- information
- risk
- analysis
- security
- control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
Landscapes
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Engineering & Computer Science (AREA)
- Strategic Management (AREA)
- Entrepreneurship & Innovation (AREA)
- Economics (AREA)
- Operations Research (AREA)
- Game Theory and Decision Science (AREA)
- Development Economics (AREA)
- Marketing (AREA)
- Educational Administration (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开的信息安全风险评估系统,包括资产信息获取模块、风险因素识别模块、风险程度分析模块、风险等级评价模块和风险控制模块,风险因素识别模块用于识别出风险因素;风险程度分析模块用于根据已有安全措施分析信息、威胁源分析信息、威胁行为分析信息、脆弱性分析信息、资产价值分析信息和影响程度分析信息综合得到分析结果;风险等级评价模块用于根据风险评估算法库综合评价风险的等级得到风险评估报告;风险控制模块用于根据风险评估报告作出相应的风险控制措施。通过结合威胁源出现频率、脆弱性被利用性的严重程度和资产价值计算风险等级,评估全面,评估范围更广,能根据评估数据做出相应风险控制措施。
Description
技术领域
本发明涉及信息安全技术领域,具体涉及一种信息安全风险评估系统及方法。
背景技术
国外关于信息系统安全风险评估的研究已有20多年的历史,美国、加拿大等IT发达国家于20世纪70年代和80年代建立了国家认证机构和风险评估认证体系,负责研究并开发相关的评估标准、评估认证方法和评估技术,并进行基于评估标准的信息安全评估和认证,目前这些国家的信息系统风险评估相关的标准体系、技术体系、组织架构和业务体系都已经相当成熟。从已经建立了信息安全评估认证体系的有关国家来看,风险评估及认证机构都是由国家的安全、情报、国家标准化等政府主管部门授权建立,以保证评估结果的可信性和认证的权威性、公正性。
我国信息系统风险评估的研究是近几年才起步的,目前主要工作集中于组织架构和业务体系的建立,相应的标准体系和技术体系还处于研究阶段,但随着电子政务、电子商务的蓬勃发展,信息系统风险评估领域和以该领域为基础和前提的信息系统安全工程在我国已经得到重视。目前的信息系统风险评估主要是通过威胁评估方法进行风险评估,即根据漏洞预警信息与病毒预警信息产生的安全事件,对安全事件进行威胁甄别、标识风险级别并且关联相对应的信息资产信息,产生风险评估数据,这种风险评估方法的评估项单一,评估范围小,评估忽略潜在威胁,不能根据评估数据作相应的风险控制。
发明内容
针对现有技术中的缺陷,本发明的目的之一在于提供一种信息安全风险评估系统,评估项全面,评估范围广,能根据风险评估包括和信息系统的安全需求作出相应的风险控制。
第一方面,本发明实施例提供的一种信息安全风险评估系统,包括资产信息获取模块、风险因素识别模块、风险程度分析模块、风险等级评价模块和风险控制模块,
所述资产信息获取模块用于嵌套循环遍历待评估资产类型获取该类型的所有资产列表和风险等级阈值;
所述风险因素识别模块用于根据信息系统的描述信息、分析信息和安全需求信息识别出需要保护的资产信息;根据威胁库识别出待评估资产面临的威胁得到面临的威胁信息;根据漏洞库识别出待评估资产存在的脆弱性得到存在的脆弱性信息;
所述风险程度分析模块用于确认已有的安全措施得到已有安全措施分析信息;根据信息系统的分析信息和面临的威胁信息进行分析威胁源的动机和威胁行为的能力分别得到威胁源分析信息和威胁行为分析信息;根据信息系统的分析信息、面临的威胁信息和存在的脆弱性信息分析脆弱性的被利用性得到脆弱性分析信息;根据信息系统的分析信息和需要保护的资产信息分析资产的价值和影响程度得到资产价值分析信息和影响程度分析信息,综合前述分析信息得到分析结果;
所述风险等级评价模块用于根据风险程度分析模块的分析结果生成风险评估等级列表,根据风险评估算法库综合评价风险的等级得到风险评估报告;
所述风险控制模块用于根据信息系统的安全需求信息和风险评估报告作出相应的风险控制措施。
可选地,风险控制模块包括现存风险判断单元,所述现存风险判断单元用于根据信息系统的安全需求确定可接受风险等级并判断现存风险是否可接受。
可选地,风险控制模块还包括控制目标确立单元,所述控制目标确立单元用于在不能接受现存风险时,根据信息系统的描述信息、分析信息、安全需求信息识风险评估报告和可接受风险等级分析风险控制需求得到风险控制需求分析信息,根据风险可接受等级信息和风险控制需求分析信息确定风险控制目标,得到风险控制目标信息。
可选地,风险控制模块还包括控制措施选择单元,所述控制措施选择单元用于根据信息系统的安全需求信息、风险控制需求分析信息和风险控制目标信息选择风险控制方法得到入选风险控制方式说明信息,根据入选风险控制方式说明信息和风险控制目标信息选择风险控制措施得到入选风险控制措施说明信息。
可选地,风险控制模块还包括和控制措施实施单元,所述控制措施实施单元用于根据信息系统的安全要求信息、风险控制目标信息和入选风险控制方式说明信息制定风险控制实施计划,得到风险控制实施计划书。
第二方面,本发明实施例提供的一种信息安全风险评估方法,适用于上述信息安全风险评估系统,方法包括以下步骤:
循环遍历待评估资产类型获取该类型的所有资产列表和风险等级阈值;
根据信息系统的描述信息、分析信息和安全需求信息识别出需要保护的资产信息;根据威胁库识别出待评估资产面临的威胁列表;根据漏洞库识别出待评估资产存在的脆弱性列表;
根据信息系统的描述信息、分析信息和安全需求信息识别出需要保护的资产信息;根据威胁库识别出待评估资产面临的威胁得到面临的威胁信息;根据漏洞库识别出待评估资产存在的脆弱性得到存在的脆弱性信息;所述风险程度分析模块用于确认已有的安全措施得到已有安全措施分析信息;根据信息系统的分析信息和面临的威胁信息进行分析威胁源的动机和威胁行为的能力分别得到威胁源分析信息和威胁行为分析信息;根据信息系统的分析信息、面临的威胁信息和存在的脆弱性信息分析脆弱性的被利用性得到脆弱性分析信息;根据信息系统的分析信息和需要保护的资产信息分析资产的价值和影响程度得到资产价值分析信息和影响程度分析信息,综合各种分析信息得到分析结果;
根据分析结果生成风险评估等级列表,根据风险等级阈值综合评价信息系统的风险等级得到风险评估报告;
根据信息系统的安全需求信息和风险评估报告作出相应的风险控制措施。
本发明的有益效果:
本发明实施例提供的信息安全风险评估系统通过结合威胁源出现频率、脆弱性被利用性的严重程度和资产价值计算风险等级,评估全面,评估范围更广,得到的数据全面,风险可视化、风险等级、描述、处理方案清晰的评估数据,根据评估数据做出相应风险控制措施。
本发明实施例的信息安全风险评估系统,能根据风险评估报告作出风险控制措施选择、风险控制实施计划书等,便于工程师根据风险控制实施计划书进行风险控制实施。
本发明实施例提供的信息安全风险评估方法,通过结合威胁源出现频率、脆弱性被利用性的严重程度和资产价值计算风险等级,评估全面,评估范围更广,得到的数据全面,风险可视化、风险等级、描述、处理方案清晰的评估数据,根据评估数据做出相应风险控制措施。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中,类似的元件或部分一般由类似的附图标记标识。附图中,各元件或部分并不一定按照实际的比例绘制。
图1示出了本发明的一种信息安全风险评估系统第一实施例的结构示意图;
图2示出了图1中的风险控制模块的结构示意图;
图3示出了本发明的一种信息安全风险评估方法第一实施例的的流程图。
具体实施方式
下面将结合附图对本发明技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本发明的技术方案,因此只是作为示例,而不能以此来限制本发明的保护范围。
需要注意的是,除非另有说明,本申请使用的技术术语或者科学术语应当为本发明所属领域技术人员所理解的通常意义。
信息安全风险(简称风险)是一种潜在的、负面的东西,处于未发生的状态,安全事件是一种显在的、负面的东西,处于已发生的状态。风险是事件产生的前提,事件是在一定条件下由风险演变而来的。风险的构成包括五个方面:起源、方式、途径、受体和后果。起源是威胁的发起方,叫做威胁源;方式是威胁源所采取的手段,叫做威胁行为;途径是威胁源实施威胁所利用的薄弱环节,叫做脆弱性或漏洞;受体是威胁的承受方,即资产,根据资产的表现形式,可将资产分为数据与文档、书面文件、软件、硬件、服务和人员等类型;后果是威胁源实施威胁所造成的损失,叫做影响。他们之间的关系可表述为:风险的一个或多个起源(威胁源),采用一种或多种方式(威胁行为),通过一种或多种途径(脆弱性或漏洞),侵害一个或多个受体(资产),造成不良后果(影响)。
图1示出了本发明提供的一种信息安全风险评估系统第一实施例的原理框图,该系统包括资产信息获取模块1、风险因素识别模块2、风险程度分析模块3、风险等级评价模块4和风险控制模块5,所述资产信息获取模块1用于嵌套循环遍历待评估资产类型获取该类型的所有资产列表和风险等级阈值;所述风险因素识别模块2用于根据信息系统的描述信息、分析信息和安全需求信息识别出需要保护的资产信息;根据威胁库识别出待评估资产面临的威胁得到面临的威胁信息;根据漏洞库识别出待评估资产存在的脆弱性得到存在的脆弱性信息;所述风险程度分析模块3用于确认已有的安全措施得到已有安全措施分析信息;根据信息系统的分析信息和面临的威胁信息进行分析威胁源的动机和威胁行为的能力分别得到威胁源分析信息和威胁行为分析信息;根据信息系统的分析信息、面临的威胁信息和存在的脆弱性信息分析脆弱性的被利用性得到脆弱性分析信息;根据信息系统的分析信息和需要保护的资产信息分析资产的价值和影响程度得到资产价值分析信息和影响程度分析信息,综合已有安全措施分析信息、威胁源分析信息、威胁行为分析信息、脆弱性分析信息、资产价值分析信息和影响程度分析信息综合得到分析结果;所述风险等级评价模块4用于根据风险程度分析模块的分析结果生成风险评估等级列表,根据风险评估算法库综合评价风险的等级得到风险评估报告;所述风险控制模块5用于根据信息系统的安全需求信息和风险评估报告作出相应的风险控制措施。风险等级从低到高分为五级,依次包括很低、低、中等、高和很高这五级,并对每个风险等级做了相应描述,根据计算出来的风险结果进行等级匹配。风险因素识别模块得到信息系统需要保护的资产信息、信息资产面临的威胁信息和脆弱性信息,已有安全措施分析信息的内容包括确认已有的安全措施,包括技术层(即物理平台、系统平台、通信平台、网络平台和应用平台)的安全功能、组织层面(即结构、岗位和人员)的安全控制和管理层(即策略、规章和制度)的安全对策。
信息获取模块获取待评估所有资产类型的所有资产列表和风险等级阈值;风险因素识别模块识别需要保护的资产、面临的威胁和存在的脆弱性,在确认已有安全措施的基础上,分析威胁源的动机、威胁行为的能力、脆弱性的被利用性、资产的价值和影响的程度得到分析结果,分别对这五个方面的分析结果进行评价,给出相应的等级,根据风险评估算法库和风险等级阈值综合评价风险的等级得到风险评估报告。风险等级评价具体包括:根据威胁源分析信息评价威胁源动机的等级,得到威胁源等级信息;根据威胁源行为分析信息评价威胁行为能力的等级,得到威胁行为等级信息;根据脆弱性分析信息评价脆弱性被利用的等级,得到脆弱性等级信息;根据资产价值分析信息评价资产价值的等级得到资产价值等级信息;根据影响程度分析信息评价影响程度的等级得到影响程度等级信息;综合上述五种分析信息和风险等级阈值综合评价风险的等级,得到风险评估报告。风险控制模块根据信息系统的安全需求信息和风险评估报告选择和实施合适的风险控制措施。风险控制的目的为了使风险始终控制在可接受的范围内。风险控制的方式主要包括规避风险、转移风险和降低风险。通过威胁源的动机和威胁行为的能力可得到威胁源出现频率,通过识别威胁源出现频率和脆弱性的被利用性的严重程度计算出安全事件的可能性,再根据脆弱性的被利用性严重程度和资产价值推算出安全事件的损失,综合安全事件的可能性和安全事件的损失计算出风险等级。
本发明实施例提供的信息安全风险评估系统通过结合威胁源出现频率、脆弱性被利用性的严重程度和资产价值计算风险等级,评估全面,评估范围更广,得到的数据全面,风险可视化、风险等级、描述、处理方案清晰的评估数据,根据评估数据做出相应风险控制措施。
为了确保风险评估的范围和目的,在风险评估之前,还可以先制定风险评估计划、确定风险评估程序、选择风险评估方法和工具等。该系统还包括风险评估计划获取模块,获取信息系统的风险评估计划。
如图2所示,在本实施例中,风险控制模块5包括现存风险判断单元51,所述现存风险判断单元51用于根据信息系统的安全需求确定可接受风险等级并判断现存风险是否可接受。风险控制模块5还包括控制目标确立单元52,所述控制目标确立单元52用于在不能接受现存风险时,根据信息系统的描述信息、分析信息、安全需求信息识风险评估报告和可接受风险等级分析风险控制需求得到风险控制需求分析信息,根据风险可接受等级信息和风险控制需求分析信息确定风险控制目标,得到风险控制目标信息。风险控制模块5还包括控制措施选择单元53,所述控制措施选择单元53用于根据信息系统的安全需求信息、风险控制需求分析信息和风险控制目标信息选择风险控制方法得到入选风险控制方式说明信息,根据入选风险控制方式说明信息和风险控制目标信息选择风险控制措施得到入选风险控制措施说明信息。风险控制模块还包括控制措施实施单元54,所述控制措施实施单元54用于根据信息系统的安全要求信息、风险控制目标信息和入选风险控制方式说明信息制定风险控制实施计划,得到风险控制实施计划书。
信息安全风险评估系统通过对现存风险判断,根据判断结果判断现存风险是否可接受,若可以被接受,就进入审核批准程序,若不能被接受,根据信息系统的描述信息、分析信息、安全需求信息识风险评估报告和可接受风险等级分析风险控制需求得到风险控制需求分析信息,根据风险可接受等级信息和风险控制需求分析信息确定风险控制目标,包括控制对象及其最低保护等级。根据信息系统的安全需求信息、风险控制需求分析信息和风险控制目标信息选择风险控制方法得到入选风险控制方式说明信息,根据入选风险控制方式说明信息和风险控制目标信息选择风险控制措施得到入选风险控制措施说明信息,选择风险控制方法包括规避风险方式、转移风险方式和降低风险的方式,选择时合适的风险控制措施时会考虑被选控制措施的成本、使用方法和注意事项。风险控制实施计划包括风险控制的范围、对象、目标、组织结构、成本预算和进度安排等,形成科学的风险控制实施计划书。
本发明实施例的信息安全风险评估系统,能根据风险评估报告作出风险控制措施选择、风险控制实施计划书等,便于工程师根据风险控制实施计划书进行风险控制实施。
如图3所示,示出了本发明实施例提供的一种信息安全风险评估方法的流程图,适用于上述实施例描述的信息安全风险评估系统,该方法包括以下步骤:
S1:循环遍历待评估资产类型获取该类型的所有资产列表和风险等级阈值;
S2:根据信息系统的描述信息、分析信息和安全需求信息识别出需要保护的资产信息;根据威胁库识别出待评估资产面临的威胁得到面临的威胁信息;根据漏洞库识别出待评估资产存在的脆弱性得到存在的脆弱性信息;
S3:确认已有的安全措施得到已有安全措施分析信息;根据信息系统的分析信息和面临的威胁信息进行分析威胁源的动机和威胁行为的能力分别得到威胁源分析信息和威胁行为分析信息;根据信息系统的分析信息、面临的威胁信息和存在的脆弱性信息分析脆弱性的被利用性得到脆弱性分析信息;根据信息系统的分析信息和需要保护的资产信息分析资产的价值和影响程度得到资产价值分析信息和影响程度分析信息;
S4:根据风险程度分析模块的分析结果生成风险评估等级列表,根据风险等级阈值综合评价信息系统的风险等级得到风险评估报告;
S5:根据信息系统的安全需求信息和风险评估报告作出相应的风险控制措施。
方法还包括:
S6:根据信息系统的安全需求确定可接受风险等级并判断现存风险是否可接受;
S7:在不能接受现存风险时,根据信息系统的描述信息、分析信息、安全需求信息识风险评估报告和可接受风险等级分析风险控制需求得到风险控制需求分析信息,根据风险可接受等级信息和风险控制需求分析信息确定风险控制目标,得到风险控制目标信息;
S8:根据信息系统的安全需求信息、风险控制需求分析信息和风险控制目标信息选择风险控制方法得到入选风险控制方式说明信息,根据入选风险控制方式说明信息和风险控制目标信息选择风险控制措施得到入选风险控制措施说明信息;
S9:根据信息系统的安全要求信息、风险控制目标信息和入选风险控制方式说明信息制定风险控制实施计划,得到风险控制实施计划书。
本发明实施例提供的信息安全风险评估方法,通过结合威胁源出现频率、脆弱性被利用性的严重程度和资产价值计算风险等级,评估全面,评估范围更广,得到的数据全面,风险可视化、风险等级、描述、处理方案清晰的评估数据,根据评估数据做出相应风险控制措施。
发明实施例提供的信息安全风险评估方法还能根据风险评估报告作出风险控制措施选择、风险控制实施计划书等,便于工程师根据风险控制实施计划书进行风险控制实施。
在本申请所提供的几个实施例中,应该理解到,所揭露系统和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。
Claims (10)
1.一种信息安全风险评估系统,其特征在于,包括资产信息获取模块、风险因素识别模块、风险程度分析模块、风险等级评价模块和风险控制模块,
所述资产信息获取模块用于嵌套循环遍历待评估资产类型获取该类型的所有资产列表和风险等级阈值;
所述风险因素识别模块用于根据信息系统的描述信息、分析信息和安全需求信息识别出需要保护的资产信息;根据威胁库识别出待评估资产面临的威胁得到面临的威胁信息;根据漏洞库识别出待评估资产存在的脆弱性得到存在的脆弱性信息;
所述风险程度分析模块用于确认已有的安全措施得到已有安全措施分析信息;根据信息系统的分析信息和面临的威胁信息进行分析威胁源的动机和威胁行为的能力分别得到威胁源分析信息和威胁行为分析信息;根据信息系统的分析信息、面临的威胁信息和存在的脆弱性信息分析脆弱性的被利用性得到脆弱性分析信息;根据信息系统的分析信息和需要保护的资产信息分析资产的价值和影响程度得到资产价值分析信息和影响程度分析信息,综合各种分析信息得到分析结果;
所述风险等级评价模块用于根据风险程度分析模块的分析结果生成风险评估等级列表,根据风险等级阈值综合评价信息系统的风险等级得到风险评估报告;
所述风险控制模块用于根据信息系统的安全需求信息和风险评估报告作出相应的风险控制措施。
2.如权利要求1所述的信息安全风险评估系统,其特征在于,所述风险控制模块包括现存风险判断单元,所述现存风险判断单元用于根据信息系统的安全需求确定可接受风险等级并判断现存风险是否可接受。
3.如权利要求2所述的信息安全风险评估系统,其特征在于,所述风险控制模块还包括控制目标确立单元,所述控制目标确立单元用于在不能接受现存风险时,根据信息系统的描述信息、分析信息、安全需求信息识风险评估报告和可接受风险等级分析风险控制需求得到风险控制需求分析信息,根据风险可接受等级信息和风险控制需求分析信息确定风险控制目标,得到风险控制目标信息。
4.如权利要求3所述的信息安全风险评估系统,其特征在于,所述风险控制模块还包括控制措施选择单元,所述控制措施选择单元用于根据信息系统的安全需求信息、风险控制需求分析信息和风险控制目标信息选择风险控制方法得到入选风险控制方式说明信息,根据入选风险控制方式说明信息和风险控制目标信息选择风险控制措施得到入选风险控制措施说明信息。
5.如权利要求4所述的信息安全风险评估系统,其特征在于,所述风险控制模块还包括和控制措施实施单元,所述控制措施实施单元用于根据信息系统的安全要求信息、风险控制目标信息和入选风险控制方式说明信息制定风险控制实施计划,得到风险控制实施计划书。
6.一种信息安全风险评估方法,其特征在于,适用于权利要求1-5之一所述的信息安全风险评估系统,包括以下步骤:
循环遍历待评估资产类型获取该类型的所有资产列表和风险等级阈值;
根据信息系统的描述信息、分析信息和安全需求信息识别出需要保护的资产信息;根据威胁库识别出待评估资产面临的威胁得到面临的威胁信息;根据漏洞库识别出待评估资产存在的脆弱性得到存在的脆弱性信息;
确认已有的安全措施得到已有安全措施分析信息;根据信息系统的分析信息和面临的威胁信息进行分析威胁源的动机和威胁行为的能力分别得到威胁源分析信息和威胁行为分析信息;根据信息系统的分析信息、面临的威胁信息和存在的脆弱性信息分析脆弱性的被利用性得到脆弱性分析信息;根据信息系统的分析信息和需要保护的资产信息分析资产的价值和影响程度得到资产价值分析信息和影响程度分析信息,综合各种分析信息得到分析结果;
根据所述分析结果生成风险评估等级列表,根据风险等级阈值综合评价信息系统的风险等级得到风险评估报告;
根据信息系统的安全需求信息和风险评估报告作出相应的风险控制措施。
7.如权利要求6所述的信息安全风险评估方法,其特征在于,所述方法还包括:根据信息系统的安全需求确定可接受风险等级并判断现存风险是否可接受。
8.如权利要求7所述的信息安全风险评估方法,其特征在于,所述方法还包括:在不能接受现存风险时,根据信息系统的描述信息、分析信息、安全需求信息识风险评估报告和可接受风险等级分析风险控制需求得到风险控制需求分析信息,根据风险可接受等级信息和风险控制需求分析信息确定风险控制目标,得到风险控制目标信息。
9.如权利要求8所述的信息安全风险评估方法,其特征在于,所述方法还包括:根据信息系统的安全需求信息、风险控制需求分析信息和风险控制目标信息选择风险控制方法得到入选风险控制方式说明信息,根据入选风险控制方式说明信息和风险控制目标信息选择风险控制措施得到入选风险控制措施说明信息。
10.如权利要求9所述的信息安全风险评估方法,其特征在于,所述方法还包括:根据信息系统的安全要求信息、风险控制目标信息和入选风险控制方式说明信息制定风险控制实施计划,得到风险控制实施计划书。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810856858.6A CN109064018A (zh) | 2018-07-31 | 2018-07-31 | 一种信息安全风险评估系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810856858.6A CN109064018A (zh) | 2018-07-31 | 2018-07-31 | 一种信息安全风险评估系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109064018A true CN109064018A (zh) | 2018-12-21 |
Family
ID=64831788
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810856858.6A Pending CN109064018A (zh) | 2018-07-31 | 2018-07-31 | 一种信息安全风险评估系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109064018A (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110298077A (zh) * | 2019-05-27 | 2019-10-01 | 中国汽车技术研究中心有限公司 | 汽车信息安全tara分析方法与数字化建模系统 |
| CN110750795A (zh) * | 2019-10-25 | 2020-02-04 | 华夏银行股份有限公司 | 一种信息安全风险的处理方法及装置 |
| CN111669365A (zh) * | 2020-04-27 | 2020-09-15 | 中国国家铁路集团有限公司 | 网络安全测试方法及装置 |
| CN111865982A (zh) * | 2020-07-20 | 2020-10-30 | 交通运输信息安全中心有限公司 | 基于态势感知告警的威胁评估系统及方法 |
| CN111985789A (zh) * | 2020-07-29 | 2020-11-24 | 惠州市德赛西威智能交通技术研究院有限公司 | 一种车载终端信息安全威胁分析和风险评估系统及方法 |
| CN112053079A (zh) * | 2020-09-15 | 2020-12-08 | 南京工程学院 | 一种电力监控系统供应链安全监测预警系统及方法 |
| CN112351022A (zh) * | 2020-10-30 | 2021-02-09 | 新华三技术有限公司 | 信任区的安全防护方法及装置 |
| CN112688971A (zh) * | 2021-03-18 | 2021-04-20 | 国家信息中心 | 功能损害型网络安全威胁识别装置及信息系统 |
| CN112800437A (zh) * | 2021-04-08 | 2021-05-14 | 国家信息中心 | 信息安全风险评价系统 |
| CN112926864A (zh) * | 2021-03-05 | 2021-06-08 | 浪潮云信息技术股份公司 | 基于配置化的风险评估方法及系统 |
| CN113660227A (zh) * | 2021-07-30 | 2021-11-16 | 北京天融信网络安全技术有限公司 | 网络安全脆弱性评估定量计算方法及设备 |
| CN114884712A (zh) * | 2022-04-26 | 2022-08-09 | 绿盟科技集团股份有限公司 | 一种网络资产风险级别信息确定方法、装置、设备及介质 |
| CN115225402A (zh) * | 2022-07-26 | 2022-10-21 | 华能山东发电有限公司 | 基于isms模型的新能源信息安全风险管理系统及方法 |
| CN116128299A (zh) * | 2023-01-09 | 2023-05-16 | 杭州泰格医药科技股份有限公司 | 临床试验质量风险监控方法、装置、计算机设备及存储介质 |
| CN116232768A (zh) * | 2023-05-08 | 2023-06-06 | 汉兴同衡科技集团有限公司 | 一种信息安全评估方法、系统、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104965972A (zh) * | 2015-06-09 | 2015-10-07 | 南京联成科技发展有限公司 | 一种基于人工智能的信息系统安全风险评估与防护方法 |
| CN106656996A (zh) * | 2016-11-09 | 2017-05-10 | 航天科工智慧产业发展有限公司 | 一种信息安全风险评估方法 |
| CN106713333A (zh) * | 2016-12-30 | 2017-05-24 | 北京神州绿盟信息安全科技股份有限公司 | 一种信息系统风险评估方法及装置 |
| CN107067179A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工业控制系统标准符合性评估系统 |
| US20180146004A1 (en) * | 2016-11-22 | 2018-05-24 | Aon Global Operations Ltd (Singapore Branch) | Systems and methods for cybersecurity risk assessment |
-
2018
- 2018-07-31 CN CN201810856858.6A patent/CN109064018A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104965972A (zh) * | 2015-06-09 | 2015-10-07 | 南京联成科技发展有限公司 | 一种基于人工智能的信息系统安全风险评估与防护方法 |
| CN106656996A (zh) * | 2016-11-09 | 2017-05-10 | 航天科工智慧产业发展有限公司 | 一种信息安全风险评估方法 |
| US20180146004A1 (en) * | 2016-11-22 | 2018-05-24 | Aon Global Operations Ltd (Singapore Branch) | Systems and methods for cybersecurity risk assessment |
| CN106713333A (zh) * | 2016-12-30 | 2017-05-24 | 北京神州绿盟信息安全科技股份有限公司 | 一种信息系统风险评估方法及装置 |
| CN107067179A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工业控制系统标准符合性评估系统 |
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110298077A (zh) * | 2019-05-27 | 2019-10-01 | 中国汽车技术研究中心有限公司 | 汽车信息安全tara分析方法与数字化建模系统 |
| CN110298077B (zh) * | 2019-05-27 | 2023-04-14 | 中国汽车技术研究中心有限公司 | 汽车信息安全tara分析方法与数字化建模系统 |
| CN110750795A (zh) * | 2019-10-25 | 2020-02-04 | 华夏银行股份有限公司 | 一种信息安全风险的处理方法及装置 |
| CN111669365B (zh) * | 2020-04-27 | 2022-05-03 | 中国国家铁路集团有限公司 | 网络安全测试方法及装置 |
| CN111669365A (zh) * | 2020-04-27 | 2020-09-15 | 中国国家铁路集团有限公司 | 网络安全测试方法及装置 |
| CN111865982A (zh) * | 2020-07-20 | 2020-10-30 | 交通运输信息安全中心有限公司 | 基于态势感知告警的威胁评估系统及方法 |
| CN111985789A (zh) * | 2020-07-29 | 2020-11-24 | 惠州市德赛西威智能交通技术研究院有限公司 | 一种车载终端信息安全威胁分析和风险评估系统及方法 |
| CN112053079A (zh) * | 2020-09-15 | 2020-12-08 | 南京工程学院 | 一种电力监控系统供应链安全监测预警系统及方法 |
| CN112053079B (zh) * | 2020-09-15 | 2024-04-16 | 南京工程学院 | 一种电力监控系统供应链安全监测预警系统及方法 |
| CN112351022A (zh) * | 2020-10-30 | 2021-02-09 | 新华三技术有限公司 | 信任区的安全防护方法及装置 |
| CN112351022B (zh) * | 2020-10-30 | 2022-07-12 | 新华三技术有限公司 | 信任区的安全防护方法及装置 |
| CN112926864A (zh) * | 2021-03-05 | 2021-06-08 | 浪潮云信息技术股份公司 | 基于配置化的风险评估方法及系统 |
| CN112688971A (zh) * | 2021-03-18 | 2021-04-20 | 国家信息中心 | 功能损害型网络安全威胁识别装置及信息系统 |
| CN112800437B (zh) * | 2021-04-08 | 2021-07-27 | 国家信息中心 | 信息安全风险评价系统 |
| CN112800437A (zh) * | 2021-04-08 | 2021-05-14 | 国家信息中心 | 信息安全风险评价系统 |
| CN113660227B (zh) * | 2021-07-30 | 2022-11-29 | 北京天融信网络安全技术有限公司 | 网络安全脆弱性评估定量计算方法及设备 |
| CN113660227A (zh) * | 2021-07-30 | 2021-11-16 | 北京天融信网络安全技术有限公司 | 网络安全脆弱性评估定量计算方法及设备 |
| CN114884712A (zh) * | 2022-04-26 | 2022-08-09 | 绿盟科技集团股份有限公司 | 一种网络资产风险级别信息确定方法、装置、设备及介质 |
| CN114884712B (zh) * | 2022-04-26 | 2023-11-07 | 绿盟科技集团股份有限公司 | 一种网络资产风险级别信息确定方法、装置、设备及介质 |
| CN115225402A (zh) * | 2022-07-26 | 2022-10-21 | 华能山东发电有限公司 | 基于isms模型的新能源信息安全风险管理系统及方法 |
| CN116128299A (zh) * | 2023-01-09 | 2023-05-16 | 杭州泰格医药科技股份有限公司 | 临床试验质量风险监控方法、装置、计算机设备及存储介质 |
| CN116128299B (zh) * | 2023-01-09 | 2024-03-19 | 杭州泰格医药科技股份有限公司 | 临床试验质量风险监控方法、装置、计算机设备及存储介质 |
| CN116232768A (zh) * | 2023-05-08 | 2023-06-06 | 汉兴同衡科技集团有限公司 | 一种信息安全评估方法、系统、电子设备及存储介质 |
| CN116232768B (zh) * | 2023-05-08 | 2023-08-01 | 汉兴同衡科技集团有限公司 | 一种信息安全评估方法、系统、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109064018A (zh) | 一种信息安全风险评估系统及方法 | |
| Hug et al. | Vulnerability assessment of AC state estimation with respect to false data injection cyber-attacks | |
| Li et al. | DDOA: A Dirichlet-based detection scheme for opportunistic attacks in smart grid cyber-physical system | |
| Bhattacharjee et al. | Detection and forensics against stealthy data falsification in smart metering infrastructure | |
| Valenzuela et al. | Real-time intrusion detection in power system operations | |
| CN106209817B (zh) | 基于大数据和可信计算的信息网络安全自防御系统 | |
| KR20090039524A (ko) | 위협 관리를 위한 보안 위험도 평가 방법 | |
| CN116781430B (zh) | 用于燃气管网的网络信息安全系统及其方法 | |
| CN113434866B (zh) | 仪表功能安全和信息安全策略的统一风险量化评估方法 | |
| Maglaras et al. | Threats, countermeasures and attribution of cyber attacks on critical infrastructures | |
| Teixeira et al. | Optimal power flow: Closing the loop over corrupted data | |
| CN106209829A (zh) | 一种基于告警策略的网络安全管理系统 | |
| Yan et al. | Power grid resilience against false data injection attacks | |
| Chen et al. | Unified security and safety risk assessment-a case study on nuclear power plant | |
| CN112688971B (zh) | 功能损害型网络安全威胁识别装置及信息系统 | |
| CN113269327A (zh) | 一种基于机器学习的流量异常预测方法 | |
| CN115225402A (zh) | 基于isms模型的新能源信息安全风险管理系统及方法 | |
| CN115021965A (zh) | 一种基于生成式对抗网络的入侵检测系统的攻击数据的生成方法及系统 | |
| Rahman et al. | Adversarial Artificial Intelligence in Blind False Data Injection in Smart Grid AC State Estimation | |
| Kotenko et al. | Security metrics for risk assessment of distributed information systems | |
| Ge et al. | Detecting data integrity attacks in smart grid | |
| Kim et al. | A study on the impact analysis of security flaws between security controls: An empirical analysis of K-ISMS using case-control study | |
| Thakare et al. | Denial-of-service attack detection system | |
| CN107623677A (zh) | 数据安全性的确定方法和装置 | |
| CN115694912B (zh) | 一种网络资产安全指数的计算方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181221 |