CN101374051A - 一种基于多要素融合的信息系统风险评估方法 - Google Patents
一种基于多要素融合的信息系统风险评估方法 Download PDFInfo
- Publication number
- CN101374051A CN101374051A CNA2008101472042A CN200810147204A CN101374051A CN 101374051 A CN101374051 A CN 101374051A CN A2008101472042 A CNA2008101472042 A CN A2008101472042A CN 200810147204 A CN200810147204 A CN 200810147204A CN 101374051 A CN101374051 A CN 101374051A
- Authority
- CN
- China
- Prior art keywords
- assessment
- module
- assets
- security
- risk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于多要素融合的信息系统风险评估方法,具体步骤为:第一步,搭建信息系统风险评估系统,系统包括风险评估结果库模块(12),还包括风险评估模块(2)、安全检测数据获取模块(13)、资产调查模块(8)、问卷调查模块(9)、评估库模块(11)和评估模板模块(7);评估模板模块(7)与风险评估模块(2)连接;第二步,确定风险评估要素;第三步,确定风险评估要素融合关系;第四步,风险评估,风险评估包括资产评估、威胁评估、脆弱性评估和风险计算。本发明将各种安全检测结果数据进行集中分析和处理,系统的适用性强,风险评估要素全面,实现了资产-安全威胁-安全脆弱性间的融合关系,评估要素间的因果关系突出。
Description
技术领域
本发明涉及一种信息系统风险评估方法,特别是一种基于多要素融合的信息系统风险评估方法。
背景技术
信息系统风险评估是了解网络安全状况的手段,通过风险评估可以实现评估被测对象中资产面临的安全威胁、安全脆弱性以及安全风险。现有的信息系统风险评估方法由风险评估系统实现,其中风险评估系统包括实现风险评估功能的模块、实现安全检测结果数据获取功能的模块、风险评估结果库模块、报告模块、日志模块;其中实现风险评估功能的模块采用安全脆弱性等同安全风险、使用定性或定量的计算方法得出风险评估结论;实现安全检测数据获取功能的模块通过分析单一安全检测结果数据为风险评估系统提供安全脆弱性信息。其不足为:首先,无法有效地将各种实现安全脆弱性扫描、渗透性测试、主机安全性检查、安全威胁检测等手段的安全检测工具的检测结果进行统一的分析和处理,从而导致风险评估结论不全面;其次,无法根据不同的被测对象调整相应的评估要素和要素间的融合关系,从而导致风险评估系统适用性差,针对特性存在较大差异的被测对象可能无法有效地完成评估;再次,未全面考虑导致信息系统面临安全风险的各种要素,以及各要素之间存在的因果关系。
发明内容
本发明的目的在于提供一种基于多要素融合的信息系统风险评估方法,解决无法将各种安全检测结果数据进行集中分析和处理、系统适用性差、风险评估要素不全面以及评估要素间的因果关系不突出的问题。
一种基于多要素融合的信息安全风险评估方法,具体步骤为:
第一步,搭建基于多要素融合的风险评估系统;
系统包括风险评估结果库模块、报告模块、日志模块,还包括任务管理模块、风险评估模块、安全检测数据获取模块、评估模板模块、资产调查模块、问卷调查模块、评估库模块、数据传输模块、数据导入模块,其中风险评估模块包括资产评估子模块、威胁评估子模块、脆弱性评估子模块和风险计算子模块。
任务管理模块分别与风险评估模块、资产调查模块和问卷调查模块连接;风险评估模块分别与评估模板模块、数据传输模块、报告模块和日志模块连接;数据传输模块与评估模板模块连接;资产调查模块、问卷调查模块分别与数据传输模块连接;安全检测数据获取模块、数据导入模块、评估库模块、数据传输模块和风险评估结果库模块顺次连接;风险评估模块中的资产评估子模块、威胁评估子模块、脆弱性评估子模块和风险计算子模块顺次连接。
第二步,确定风险评估要素;
风险评估要素为:资产、安全威胁、安全脆弱性;
用户登录系统后,系统通过任务管理模块下发资产调查任务,根据任务信息,资产调查模块获取被测对象的资产信息,包括资产的组成信息、每个资产的相关属性信息,获取的资产数据通过数据传输模块输入评估库模块,并归入评估库模块中的资产分类中;
系统通过任务管理模块下发问卷调查任务,根据任务信息,问卷调查模块获取安全管理方面的安全脆弱性信息,获取的安全脆弱性数据通过数据传输模块输入评估库模块,并归入评估库模块中的安全脆弱性分类中;
安全检测数据获取模块获取实现安全脆弱性扫描、渗透性测试、安全威胁检测等技术手段的检测工具得到的安全威胁数据和安全脆弱性数据,获取的安全威胁数据和安全脆弱性数据通过数据导入模块导入评估库模块,并归入评估库模块中的安全威胁分类、安全脆弱性分类中。
第三步,确定风险评估要素的融合关系;
风险评估要素融合关系为:资产面临安全威胁、资产存在安全脆弱性、安全威胁利用安全脆弱性导致安全风险;
系统通过任务管理模块下发风险评估任务,开始风险评估;
评估模板模块通过数据传输模块获取评估库模块中的资产分类、安全威胁分类、安全脆弱性分类、资产-安全威胁-安全脆弱性融合关系信息,根据被测对象定制评估中的资产、安全威胁、安全脆弱性、资产面临的安全威胁、资产存在的安全脆弱性、安全威胁可利用的安全脆弱性以及使用的风险计算方法。
第四步,风险评估;
系统根据确定的风险评估要素、风险评估要素间的融合关系,通过风险评估模块实现风险评估;
资产评估:
资产评估子模块通过数据传输模块从评估库模块获取本次评估的资产信息,为每个资产的属性信息赋值。
资产评估子模块依据每个资产的赋值,计算资产的价值。资产价值的计算公式为:
A=F(U1,U2,U3)
其中:A表示资产价值;
(U1,U2,U3)分别表示决定资产价值的属性;
F为计算函数,定义为:矩阵法/算术平均值法/几何平均值法。
资产评估子模块依据计算得出的资产价值,确定每个资产价值等级,并将资产评估子模块的评估结果通过数据传输模块写入风险评估结果库模块。
威胁评估:
威胁评估子模块通过数据传输模块从评估库获取本次评估的安全威胁信息,确定每个安全威胁的发生频率。
威胁评估子模块根据评估模板模块定制的评估模板,确定本次评估中资产面临的安全事件,定义资产-安全威胁间的融合关系,即资产面临的安全威胁为安全事件。
威胁评估子模块根据威胁发生频率、资产评估子模块得到的资产价值,计算安全事件发生的可能性。安全事件发生可能性计算公式为:
I=F(A,T)
其中:I表示安全事件发生的可能性;
A表示资产价值;
T表示威胁发生频率。
威胁评估子模块依据计算得出的安全事件发生可能性,确定每个安全事件等级,并将威胁评估子模块的评估结果通过数据传输模块写入风险评估结果库模块。
脆弱性评估:
脆弱性评估子模块根据评估模板模块定制的评估模板,确定本次评估中资产面临的安全脆弱性。
脆弱性评估子模块根据评估模板模块定制的评估模板,确定本次评估中资产面临的风险事件,定义资产-安全威胁-安全脆弱性间的融合关系,即资产面临的安全威胁利用的安全脆弱性为风险事件。
脆弱性评估子模块通过数据传输模块从评估库模块获取本次评估的安全脆弱性,确定每个安全脆弱性的严重程度,并将脆弱性评估子模块的评估结果通过数据传输模块写入风险评估结果库模块。
风险计算:
风险计算子模块根据威胁评估子模块得到的安全事件发生可能性、脆弱性评估子模块得到的脆弱性严重程度,计算资产面临的风险事件大小。风险事件的值计算公式为:
R=F(I,V)
其中:R表示资产面临的风险事件的值;
V表示脆弱性的严重程度。
风险计算子模块根据计算得出的每个资产面临的风险事件的值,确定风险事件的等级,并将风险计算子模块的评估结果通过数据传输模块写入风险评估结果库模块。
用户可选择报告模块查看风险评估结果,也可选择日志模块查看用户对风险评估模块、评估模板模块、资产调查模块、问卷调查模块、评估库模块的操作信息。
本发明的一种基于多要素融合的风险评估方法,使用资产、安全威胁、安全脆弱性多个要素刻画信息系统安全风险,克服了将安全脆弱性等同于安全风险的局限性;实现了资产—安全威胁一安全脆弱性间的融合关系,克服了影响安全风险各要素间因果关系不明确的局限性;将实现不同手段的安全检测工具的检测结果进行统一分析、处理,克服了仅依据单一的安全检测结果进行风险评估存在评估结论不全面的局限性,保证了风险评估结果的全面性;实现了评估库,为风险评估系统提供了评估知识支持,用户可根据被测对象的特点,在评估时应用评估库调整评估要素和评估要素融合关系,使系统具有广泛的适用性。
附图说明
图1 一种基于多要素融合的信息安全风险评估系统的结构示意图。
1.任务管理模块 2.风险评估模块 3.资产评估模块 4.威胁评估模块
5.脆弱性评估模块 6.风险计算模块 7.评估模板模块 8.资产调查模块
9.问卷调查模块 10.数据传输模块 11.评估库模块 12.风险评估结果库模块
13.安全检测数据获取模块 14.数据导入模块 15.报告模块 16.日志模块
具体实施方式
一种基于多要素融合的信息安全风险评估方法,其具体步骤为:
第一步,搭建基于多要素融合的信息安全风险评估系统;
系统包括风险评估结果库模块12、报告模块15、日志模块16、,还包括任务管理模块1、风险评估模块2、安全检测数据获取模块13、评估模板模块7、资产调查模块8、问卷调查模块9、评估库模块11,数据传输模块10、数据导入模块14,其中风险评估模块2包括资产评估子模块3、威胁评估子模块4、脆弱性评估子模块5和风险计算子模块6。
任务管理模块1分别与风险评估模块2、资产调查模块8和问卷调查模块9连接;风险评估模块2分别与评估模板模块7、数据传输模块10、报告模块15和日志模块16连接;数据传输模块10与评估模板模块7连接;资产调查模块8、问卷调查模块9分别与数据传输模块10连接;安全检测数据获取模块13、数据导入模块14、评估库模块11、数据传输模块10和风险评估结果库模块12顺次连接;风险评估模块2中的资产评估子模块3、威胁评估子模块4、脆弱性评估子模块5和风险计算子模块6顺次连接。
第二步,确定风险评估要素;
风险评估要素为:资产、安全威胁、安全脆弱性;
用户登录系统后,系统通过任务管理模块1下发资产调查任务,根据任务信息,资产调查模块8获取被测对象的资产信息,包括资产的组成信息、每个资产的相关属性信息,获取的资产数据通过数据传输模块10输入评估库模块11,并归入评估库模块11中的资产分类中;
系统通过任务管理模块1下发问卷调查任务,根据任务信息,问卷调查模块9获取安全管理方面的安全脆弱性信息,获取的安全脆弱性数据通过数据传输模块10输入评估库模块11,并归入评估库模块11中的安全脆弱性分类中;
安全检测数据获取模块13获取实现安全脆弱性扫描、渗透性测试、安全威胁检测等技术手段的检测工具得到的安全威胁数据和安全脆弱性数据,获取的安全威胁数据和安全脆弱性数据通过数据导入模块14导入评估库模块11,并归入评估库模块11中的安全威胁分类、安全脆弱性分类中。
第三步,确定风险评估要素的融合关系;
风险评估要素融合关系为:资产面临安全威胁、资产存在安全脆弱性、安全威胁利用安全脆弱性导致安全风险;
系统通过任务管理模块1下发风险评估任务,开始风险评估;
评估模板模块7通过数据传输模块10获取评估库模块11中的资产分类、安全威胁分类、安全脆弱性分类、资产-安全威胁-安全脆弱性融合关系信息,根据被测对象定制评估中的资产、安全威胁、安全脆弱性、资产面临的安全威胁、资产存在的安全脆弱性、安全威胁可利用的脆弱性以及使用的风险计算方法。
第四步,风险评估;
系统根据确定的风险评估要素、风险评估要素间的融合关系,通过风险评估模块2实现风险评估;
资产评估:
资产评估子3模块通过数据传输模块10从评估库模块11获取本次评估的资产信息,为每个资产的属性信息赋值。
被评估的资产为:资产A1、资产A2,资产A1的属性赋值为:机密性=2,可用性=3,完整性=3;资产A2的属性赋值为:机密性=3,可用性=4,完整性=5。
资产评估子模块3依据每个资产的赋值,计算资产的价值。根据资产价值的
计算公式
A=F(U1,U2,U3)
其中:A表示资产价值;
(U1,U2,U3)分别表示决定资产价值的属性;
F为计算函数;
计算矩阵如表1:
表1 计算矩阵
可知,资产A1的价值=10,资产A2的价值=20。
资产评估子模块3根据计算得出的资产价值,确定每个资产价值等级,并将资产评估子模块3的评估结果通过数据传输模块10写入风险评估结果库模块12。等级划分如表2:
表2 等级划分原则
可知,资产A1的等级=2,低;资产A2的等级=4,高。
威胁评估:
威胁评估子模块4通过数据传输模块10从评估库11获取本次评估的安全威胁信息,确定每个安全威胁的发生频率。
被测对象可能面临的威胁为:威胁T1、威胁T2、威胁T3,威胁T1的发生频率=2、威胁T2的发生频率=4、威胁T3的发生频率=5。
威胁评估子模块4根据评估模板模块7定制的评估模板,确定本次评估中资产面临的安全事件,定义资产-安全威胁间的融合关系,即资产面临的安全威胁为安全事件。
威胁评估子模块4根据威胁发生频率、资产评估子模块3得到的资产价值,计算安全事件发生的可能性。根据安全事件发生可能性计算公式
I=F(A,T)
其中:I表示安全事件发生的可能性;
A表示资产价值;
T表示威胁发生频率;
结合表1可知,安全事件I1发生可能性=14,安全事件I2发生可能性=17,安全事件I3发生可能性=20。
威胁评估子模块4依据计算得出的安全事件发生可能性,确定每个安全事件等级,并将威胁评估子模块4的评估结果通过数据传输模块10写入风险评估结果库模块12。
根据表2,安全事件I1发生可能性等级=3,中;安全事件I2发生可能性等级=4,高;安全事件I3发生可能性等级=4,高。
脆弱性评估:
脆弱性评估子模块5根据评估模板模块7定制的评估模板,确定本次评估中资产面临的安全脆弱性。
被测对象可能存在的安全脆弱性为:脆弱性V1、脆弱性V2、脆弱性V3、脆弱性V4。
脆弱性评估子模块5根据评估模板模块7定制的评估模板,确定本次评估中资产面临的风险事件,定义资产-安全威胁-安全脆弱性间的融合关系,即资产的安全脆弱性为风险事件。
脆弱性评估子模块5通过数据传输模块10从评估库模块11获取本次评估的安全脆弱性,确定每个安全脆弱性的严重程度,并将脆弱性评估子模块5的评估结果通过数据传输模块写入风险评估结果库模块12。
脆弱性V1的严重程度=2、脆弱性V2的严重程度=5、脆弱性V3的严重程度=3、脆弱性V4的严重程度=4。
风险计算:
风险计算子模块6根据威胁评估子模块4得到的安全事件发生可能性、脆弱性评估子模块5得到的脆弱性严重程度,计算资产面临的风险事件大小。风险事件的值计算公式为:
R=F(I,V)
其中:R表示资产面临的风险事件的值;
V表示脆弱性的严重程度。
风险计算子模块6依据计算得出的每个资产面临的风险事件的值,确定风险事件的等级,并将风险计算子模块6的评估结果通过数据传输模块10写入风险评估结果库模块12。风险评估结果如表3:
表3 风险评估结果
用户可选择报告模块15查看风险评估结果,结果以饼状图或柱状图的形式显示;也可选择日志模块16查看用户对风险评估模块2、评估模板模块7、资产调查模块9、问卷调查模块9、评估库模块11的操作信息。
Claims (1)
1.一种基于多要素融合的信息安全风险评估方法,其特征在于具体步骤为:
第一步,搭建基于多要素融合的信息安全风险评估系统;系统包括数据传输模块(10)、数据导入模块(14)、风险评估结果库模块(12)、报告模块(15)、日志模块(16)、风险评估模块(2)和安全检测数据获取模块(13),还包括任务管理模块(1)、评估模板模块(7)、资产调查模块(8)、问卷调查模块(9)、评估库模块(11),其中风险评估模块(2)包括资产评估子模块(3)、威胁评估子模块(4)、脆弱性评估子模块(5)和风险计算子模块(6);任务管理模块(1)分别与风险评估模块(2)、资产调查模块(8)和问卷调查模块(9)连接;风险评估模块(2)分别与评估模板模块(7)、数据传输模块(10)、报告模块(15)和日志模块(16)连接;数据传输模块(10)与评估模板模块(7)连接;资产调查模块(8)、问卷调查模块(9)分别与数据传输模块(10)连接;安全检测数据获取模块(13)、数据导入模块(14)、评估库模块(11)、数据传输模块(10)和风险评估结果库模块(12)顺次连接;风险评估模块(2)中的资产评估子模块(3)、威胁评估子模块(4)、脆弱性评估子模块(5)和风险计算子模块(6)顺次连接;
第二步,确定风险评估要素;
风险评估要素为:资产、安全威胁、安全脆弱性;
用户登录系统后,系统通过任务管理模块(1)下发资产调查任务,根据任务信息,资产调查模块(8)获取被测对象的资产信息,包括资产的组成信息、每个资产的相关属性信息,获取的资产数据通过数据传输模块(10)输入评估库模块(11),并归入评估库模块(11)中的资产分类中;
系统通过任务管理模块(1)下发问卷调查任务,根据任务信息,问卷调查模块(9)获取安全管理方面的安全脆弱性信息,获取的安全脆弱性数据通过数据传输模块(10)输入评估库模块(11),并归入评估库模块(11)中的安全脆弱性分类中;
安全检测数据获取模块(13)获取实现安全脆弱性扫描、渗透性测试、安全威胁检测等技术手段的检测工具得到的安全威胁数据和安全脆弱性数据,获取的安全威胁数据和安全脆弱性数据通过数据导入模块(14)导入评估库模块(11),并归入评估库模块(11)中的安全威胁分类、安全脆弱性分类中;
第三步,确定风险评估要素的融合关系;
风险评估要素融合关系为:资产面临安全威胁、资产存在安全脆弱性、安全威胁利用安全脆弱性导致安全风险;
系统通过任务管理模块(1)下发风险评估任务,开始风险评估;
评估模板模块(7)通过数据传输模块(10)获取评估库模块(11)中的资产分类、安全威胁分类、安全脆弱性分类、资产-安全威胁-安全脆弱性融合关系信息,根据被测对象定制评估中的资产、安全威胁、安全脆弱性、资产面临的安全威胁、资产存在的安全脆弱性、安全威胁可利用的脆弱性以及使用的风险计算方法;
第四步,风险评估;
风险评估模块(2)根据确定的评估要素,分析评估要素间的融合关系,并计算风险值;
资产评估:
资产评估子模块(3)通过数据传输模块(10)从评估库模块(11)获取本次评估的资产信息,为每个资产的属性信息赋值;
资产评估子模块(3)依据每个资产的赋值,计算资产的价值;资产价值的计算公式为:
A=F(U1,U2,U3)
其中:A表示资产价值;
(U1,U2,U3)分别表示决定资产价值的属性;
F为计算函数,定义为:矩阵法/算术平均值法/几何平均值法;
资产评估子模块(3)依据计算得出的资产价值,确定每个资产价值等级,并将资产评估子模块(3)的评估结果通过数据传输模块(10)写入风险评估结果库模块(12);
威胁评估:
威胁评估子模块(4)通过数据传输模块(10)从评估库获取本次评估的安全威胁信息,确定每个安全威胁的发生频率;
威胁评估子模块(4)根据评估模板模块(7)定制的评估模板,确定本次评估中资产面临的安全事件,定义资产-安全威胁间的融合关系,即资产面临的安全威胁为安全事件;
威胁评估子模块(4)根据威胁发生频率、资产评估子模块(3)得到的资产价值,计算安全事件发生的可能性;安全事件发生可能性计算公式为:
I=F(A,T)
其中:I表示安全事件发生的可能性;
A表示资产价值;
T表示威胁发生频率;
威胁评估子模块(4)依据计算得出的安全事件发生可能性,确定每个安全事件等级,并将威胁评估子模块(4)的评估结果通过数据传输模块(10)写入风险评估结果库模块(12);
脆弱性评估:
脆弱性评估子模块(5)根据评估模板模块(7)定制的评估模板,确定本次评估中资产面临的安全脆弱性;
脆弱性评估子模块(5)根据评估模板模块(7)定制的评估模板,确定本次评估中资产面临的风险事件,定义资产-安全威胁-安全脆弱性间的融合关系,即资产的安全脆弱性为风险事件;
脆弱性评估子模块(5)通过数据传输模块(10)从评估库模块(11)获取本次评估的安全脆弱性,确定每个安全脆弱性的严重程度,并将脆弱性评估子模块(5)的评估结果通过数据传输模块(10)写入风险评估结果库模块(12);
风险计算:
风险计算子模块(6)根据威胁评估子模块(4)得到的安全事件发生可能性、脆弱性评估子模块(5)得到的脆弱性严重程度,计算资产面临的风险事件大小;风险事件的值计算公式为:
R=F(I,V)
其中:R表示资产面临的风险事件的值;
V表示脆弱性的严重程度;
风险计算子模块(6)根据计算得出的每个资产面临的风险事件的值,确定风险事件的等级,并将风险计算子模块(6)的评估结果通过数据传输模块(10)写入风险评估结果库模块(12);
用户可选择报告模块(15)查看风险评估结果,也可选择日志模块(16)查看用户对风险评估模块操作信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008101472042A CN101374051A (zh) | 2008-08-22 | 2008-08-22 | 一种基于多要素融合的信息系统风险评估方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008101472042A CN101374051A (zh) | 2008-08-22 | 2008-08-22 | 一种基于多要素融合的信息系统风险评估方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101374051A true CN101374051A (zh) | 2009-02-25 |
Family
ID=40448004
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2008101472042A Pending CN101374051A (zh) | 2008-08-22 | 2008-08-22 | 一种基于多要素融合的信息系统风险评估方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101374051A (zh) |
Cited By (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102360485A (zh) * | 2011-09-30 | 2012-02-22 | 广东电网公司信息中心 | 一种增量风险评估的软件方法及系统 |
| CN102402723A (zh) * | 2011-11-03 | 2012-04-04 | 北京谷安天下科技有限公司 | 一种信息资产安全的检测方法及系统 |
| CN103366121A (zh) * | 2012-03-26 | 2013-10-23 | 腾讯科技(深圳)有限公司 | 安全检测方法、装置和系统 |
| CN103996006A (zh) * | 2013-02-17 | 2014-08-20 | 中国移动通信集团山西有限公司 | 一种信息系统安全风险评估的方法和装置 |
| GB2525719A (en) * | 2014-02-27 | 2015-11-04 | Intuit Inc | Method and system for providing a vulnerability management and verification service |
| CN105844169A (zh) * | 2015-01-15 | 2016-08-10 | 中国移动通信集团安徽有限公司 | 信息安全度量方法及装置 |
| US9516044B2 (en) | 2014-07-31 | 2016-12-06 | Intuit Inc. | Method and system for correlating self-reporting virtual asset data with external events to generate an external event identification database |
| CN106713333A (zh) * | 2016-12-30 | 2017-05-24 | 北京神州绿盟信息安全科技股份有限公司 | 一种信息系统风险评估方法及装置 |
| CN106779270A (zh) * | 2015-11-23 | 2017-05-31 | 全球能源互联网研究院 | 一种电力监控系统测控设备的信息安全风险评估方法 |
| US9742794B2 (en) | 2014-05-27 | 2017-08-22 | Intuit Inc. | Method and apparatus for automating threat model generation and pattern identification |
| US9923909B2 (en) | 2014-02-03 | 2018-03-20 | Intuit Inc. | System and method for providing a self-monitoring, self-reporting, and self-repairing virtual asset configured for extrusion and intrusion detection and threat scoring in a cloud computing environment |
| CN107862205A (zh) * | 2017-11-01 | 2018-03-30 | 龚土婷 | 一种评估准确的信息安全风险评估系统 |
| CN108108624A (zh) * | 2017-12-18 | 2018-06-01 | 北京邮电大学 | 基于产品和服务的信息安全质量评估方法及装置 |
| US10102082B2 (en) | 2014-07-31 | 2018-10-16 | Intuit Inc. | Method and system for providing automated self-healing virtual assets |
| CN108712275A (zh) * | 2018-04-19 | 2018-10-26 | 平安科技(深圳)有限公司 | 数据传输风险评估方法、装置、计算机设备和存储介质 |
| US10121007B2 (en) | 2014-02-21 | 2018-11-06 | Intuit Inc. | Method and system for providing a robust and efficient virtual asset vulnerability management and verification service |
| CN109359893A (zh) * | 2018-11-21 | 2019-02-19 | 国家电网有限公司 | 移动作业平台的风险评估方法及装置 |
| CN109376537A (zh) * | 2018-11-06 | 2019-02-22 | 杭州安恒信息技术股份有限公司 | 一种基于多因子融合的资产评分方法及系统 |
| CN110633369A (zh) * | 2019-09-16 | 2019-12-31 | 潘利娟 | 基于可信度计算的信息安全风险评估系统及方法 |
| CN111212069A (zh) * | 2019-12-31 | 2020-05-29 | 重庆邮电大学 | 一种5g功能开放设备接口的脆弱性评估方法 |
| US10757133B2 (en) | 2014-02-21 | 2020-08-25 | Intuit Inc. | Method and system for creating and deploying virtual assets |
| CN111859393A (zh) * | 2020-07-20 | 2020-10-30 | 交通运输信息安全中心有限公司 | 基于态势感知告警的风险评估系统及方法 |
| CN112801453A (zh) * | 2020-12-30 | 2021-05-14 | 哈尔滨工大天创电子有限公司 | 一种风险评估方法、装置、终端和存储介质 |
| US11294700B2 (en) | 2014-04-18 | 2022-04-05 | Intuit Inc. | Method and system for enabling self-monitoring virtual assets to correlate external events with characteristic patterns associated with the virtual assets |
| US11431746B1 (en) | 2021-01-21 | 2022-08-30 | T-Mobile Usa, Inc. | Cybersecurity system for common interface of service-based architecture of a wireless telecommunications network |
| CN114997607A (zh) * | 2022-05-17 | 2022-09-02 | 保利长大工程有限公司 | 一种基于工程检测数据的异常评估预警方法及系统 |
| CN115225402A (zh) * | 2022-07-26 | 2022-10-21 | 华能山东发电有限公司 | 基于isms模型的新能源信息安全风险管理系统及方法 |
| US11546767B1 (en) | 2021-01-21 | 2023-01-03 | T-Mobile Usa, Inc. | Cybersecurity system for edge protection of a wireless telecommunications network |
| CN115879774A (zh) * | 2023-02-24 | 2023-03-31 | 北京华源芯电科技有限公司 | 基于电力安全风险的智慧管理系统 |
| CN112801453B (zh) * | 2020-12-30 | 2024-11-05 | 哈尔滨工大天创电子有限公司 | 一种风险评估方法、装置、终端和存储介质 |
-
2008
- 2008-08-22 CN CNA2008101472042A patent/CN101374051A/zh active Pending
Cited By (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102360485B (zh) * | 2011-09-30 | 2014-04-09 | 广东电网公司信息中心 | 一种增量风险评估的软件方法及系统 |
| CN102360485A (zh) * | 2011-09-30 | 2012-02-22 | 广东电网公司信息中心 | 一种增量风险评估的软件方法及系统 |
| CN102402723A (zh) * | 2011-11-03 | 2012-04-04 | 北京谷安天下科技有限公司 | 一种信息资产安全的检测方法及系统 |
| CN103366121A (zh) * | 2012-03-26 | 2013-10-23 | 腾讯科技(深圳)有限公司 | 安全检测方法、装置和系统 |
| CN103366121B (zh) * | 2012-03-26 | 2015-10-07 | 腾讯科技(深圳)有限公司 | 安全检测方法、装置和系统 |
| CN103996006A (zh) * | 2013-02-17 | 2014-08-20 | 中国移动通信集团山西有限公司 | 一种信息系统安全风险评估的方法和装置 |
| CN103996006B (zh) * | 2013-02-17 | 2018-09-04 | 中国移动通信集团山西有限公司 | 一种信息系统安全风险评估的方法和装置 |
| US9923909B2 (en) | 2014-02-03 | 2018-03-20 | Intuit Inc. | System and method for providing a self-monitoring, self-reporting, and self-repairing virtual asset configured for extrusion and intrusion detection and threat scoring in a cloud computing environment |
| US10360062B2 (en) | 2014-02-03 | 2019-07-23 | Intuit Inc. | System and method for providing a self-monitoring, self-reporting, and self-repairing virtual asset configured for extrusion and intrusion detection and threat scoring in a cloud computing environment |
| US10757133B2 (en) | 2014-02-21 | 2020-08-25 | Intuit Inc. | Method and system for creating and deploying virtual assets |
| US10121007B2 (en) | 2014-02-21 | 2018-11-06 | Intuit Inc. | Method and system for providing a robust and efficient virtual asset vulnerability management and verification service |
| GB2525719B (en) * | 2014-02-27 | 2021-06-30 | Intuit Inc | Method and system for providing a vulnerability management and verification service |
| US9888025B2 (en) | 2014-02-27 | 2018-02-06 | Intuit Inc. | Method and system for providing an efficient asset management and verification service |
| GB2525719A (en) * | 2014-02-27 | 2015-11-04 | Intuit Inc | Method and system for providing a vulnerability management and verification service |
| US11294700B2 (en) | 2014-04-18 | 2022-04-05 | Intuit Inc. | Method and system for enabling self-monitoring virtual assets to correlate external events with characteristic patterns associated with the virtual assets |
| US10055247B2 (en) | 2014-04-18 | 2018-08-21 | Intuit Inc. | Method and system for enabling self-monitoring virtual assets to correlate external events with characteristic patterns associated with the virtual assets |
| US9742794B2 (en) | 2014-05-27 | 2017-08-22 | Intuit Inc. | Method and apparatus for automating threat model generation and pattern identification |
| US9516044B2 (en) | 2014-07-31 | 2016-12-06 | Intuit Inc. | Method and system for correlating self-reporting virtual asset data with external events to generate an external event identification database |
| US10102082B2 (en) | 2014-07-31 | 2018-10-16 | Intuit Inc. | Method and system for providing automated self-healing virtual assets |
| CN105844169B (zh) * | 2015-01-15 | 2019-09-13 | 中国移动通信集团安徽有限公司 | 信息安全度量方法及装置 |
| CN105844169A (zh) * | 2015-01-15 | 2016-08-10 | 中国移动通信集团安徽有限公司 | 信息安全度量方法及装置 |
| CN106779270A (zh) * | 2015-11-23 | 2017-05-31 | 全球能源互联网研究院 | 一种电力监控系统测控设备的信息安全风险评估方法 |
| CN106713333A (zh) * | 2016-12-30 | 2017-05-24 | 北京神州绿盟信息安全科技股份有限公司 | 一种信息系统风险评估方法及装置 |
| CN107862205A (zh) * | 2017-11-01 | 2018-03-30 | 龚土婷 | 一种评估准确的信息安全风险评估系统 |
| CN108108624A (zh) * | 2017-12-18 | 2018-06-01 | 北京邮电大学 | 基于产品和服务的信息安全质量评估方法及装置 |
| CN108712275A (zh) * | 2018-04-19 | 2018-10-26 | 平安科技(深圳)有限公司 | 数据传输风险评估方法、装置、计算机设备和存储介质 |
| CN109376537A (zh) * | 2018-11-06 | 2019-02-22 | 杭州安恒信息技术股份有限公司 | 一种基于多因子融合的资产评分方法及系统 |
| CN109359893A (zh) * | 2018-11-21 | 2019-02-19 | 国家电网有限公司 | 移动作业平台的风险评估方法及装置 |
| CN110633369A (zh) * | 2019-09-16 | 2019-12-31 | 潘利娟 | 基于可信度计算的信息安全风险评估系统及方法 |
| CN111212069A (zh) * | 2019-12-31 | 2020-05-29 | 重庆邮电大学 | 一种5g功能开放设备接口的脆弱性评估方法 |
| CN111212069B (zh) * | 2019-12-31 | 2022-02-25 | 重庆邮电大学 | 一种5g功能开放设备接口的脆弱性评估方法 |
| CN111859393A (zh) * | 2020-07-20 | 2020-10-30 | 交通运输信息安全中心有限公司 | 基于态势感知告警的风险评估系统及方法 |
| CN112801453A (zh) * | 2020-12-30 | 2021-05-14 | 哈尔滨工大天创电子有限公司 | 一种风险评估方法、装置、终端和存储介质 |
| CN112801453B (zh) * | 2020-12-30 | 2024-11-05 | 哈尔滨工大天创电子有限公司 | 一种风险评估方法、装置、终端和存储介质 |
| US11431746B1 (en) | 2021-01-21 | 2022-08-30 | T-Mobile Usa, Inc. | Cybersecurity system for common interface of service-based architecture of a wireless telecommunications network |
| US11546767B1 (en) | 2021-01-21 | 2023-01-03 | T-Mobile Usa, Inc. | Cybersecurity system for edge protection of a wireless telecommunications network |
| US11799897B2 (en) | 2021-01-21 | 2023-10-24 | T-Mobile Usa, Inc. | Cybersecurity system for common interface of service-based architecture of a wireless telecommunications network |
| US11863990B2 (en) | 2021-01-21 | 2024-01-02 | T-Mobile Usa, Inc. | Cybersecurity system for edge protection of a wireless telecommunications network |
| CN114997607A (zh) * | 2022-05-17 | 2022-09-02 | 保利长大工程有限公司 | 一种基于工程检测数据的异常评估预警方法及系统 |
| CN115225402A (zh) * | 2022-07-26 | 2022-10-21 | 华能山东发电有限公司 | 基于isms模型的新能源信息安全风险管理系统及方法 |
| CN115879774A (zh) * | 2023-02-24 | 2023-03-31 | 北京华源芯电科技有限公司 | 基于电力安全风险的智慧管理系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101374051A (zh) | 一种基于多要素融合的信息系统风险评估方法 | |
| CN111178760B (zh) | 风险监测方法、装置、终端设备及计算机可读存储介质 | |
| WO2022205808A1 (en) | Cyberrisk governance system and method to automate cybersecurity detection and resolution in a network | |
| CN112702342B (zh) | 网络事件处理方法、装置、电子设备及可读存储介质 | |
| Mantha et al. | Cyber security threat modeling in the AEC industry: An example for the commissioning of the built environment | |
| US20080082380A1 (en) | Method for evaluating system risk | |
| US11671435B2 (en) | Process for automated investigation of flagged users based upon previously collected data and automated observation on a go-forward basis | |
| CN107146150A (zh) | 审计对象的审计方法、装置、存储介质及处理器 | |
| US20230156043A1 (en) | System and method of supporting decision-making for security management | |
| CN113626825A (zh) | 一种安全漏洞管控方法、装置、设备及计算机可读介质 | |
| CN109684863A (zh) | 数据防泄漏方法、装置、设备及存储介质 | |
| KR100891345B1 (ko) | 상이한 정보보호수준지표의 상호매핑을 지원하는 정보보호운영관리시스템 및 방법 | |
| KR20180060616A (ko) | Rba기반 통합 취약점 진단 방법 | |
| CN117009186B (zh) | 贴片机软硬件交互信息实时监控分析方法及系统 | |
| CN116915463B (zh) | 一种调用链数据安全分析方法、装置、设备及存储介质 | |
| CN116886440A (zh) | 一种威胁情报生产方法、装置、设备及存储介质 | |
| US20200052988A1 (en) | Determining the health of an iot application | |
| CN110493254A (zh) | 工业云安全评估方法及装置 | |
| Tahmid | Accounting in the cloud: a new era of streamlining accounting with cloud technology | |
| JP2007183807A (ja) | 業務プロセス評価システム | |
| US20190236508A1 (en) | Kpi spotlight for manufacturing process | |
| Stocker | Time-based trace clustering for evolution-aware security audits | |
| US20120116852A1 (en) | Methods and systems for identifying, quantifying, analyzing, and optimizing the level of engagement of components within a defined ecosystem or context | |
| Teggi et al. | AIOPS Prediction for server stability based on ARIMA model | |
| Shivhare et al. | Addressing Security Issues of Small and Medium Enterprises through Enhanced SIEM Technology |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20090225 |