CN107862205A - 一种评估准确的信息安全风险评估系统 - Google Patents

一种评估准确的信息安全风险评估系统 Download PDF

Info

Publication number
CN107862205A
CN107862205A CN201711059057.9A CN201711059057A CN107862205A CN 107862205 A CN107862205 A CN 107862205A CN 201711059057 A CN201711059057 A CN 201711059057A CN 107862205 A CN107862205 A CN 107862205A
Authority
CN
China
Prior art keywords
risk
mrow
information security
security risk
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201711059057.9A
Other languages
English (en)
Inventor
龚土婷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN201711059057.9A priority Critical patent/CN107862205A/zh
Publication of CN107862205A publication Critical patent/CN107862205A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供了一种评估准确的信息安全风险评估系统,包括风险识别模块、风险计算模块、风险评估模块和风险管理模块,所述风险识别模块用于对信息安全风险进行识别,所述风险计算模块用于根据识别结果计算信息安全风险值,所述风险评估模块用于根据信息安全风险值对信息安全风险进行评估,所述风险管理模块用于根据评估结果对信息安全风险进行处理和控制;所述风险识别模块包括第一风险识别单元、第二风险识别单元和第三风险识别单元,所述第一风险识别单元用于对信息资产进行识别,所述第二风险识别单元用于对信息系统面临的威胁进行识别,所述第三风险识别单元用于对信息系统本身的抗风险能力进行识别。有益效果:实现了信息安全风险准确评估。

Description

一种评估准确的信息安全风险评估系统
技术领域
本发明涉及信息安全技术领域,具体涉及一种评估准确的信息安全风险评估系统。
背景技术
随着信息化和经济全球化的发展,互联网已经深入到人们生活的方方面面,给人们的生活带来了巨大的变化。一方面,由于互联网的开放性,信息系统自身的缺陷、敏感信息的泄露、计算机病毒的泛滥以及黑客入侵等,导致各种信息系统和平台面临着巨大的安全隐患,信息安全问题日渐凸显;另一方面,新的网络环境不断涌现,如大数据、云计算等,使得信息安全问题进一步加剧。
信息安全风险评估是指电网各企业通过识别、衡量、分析风险,其目的是为了在评估的基础上有效控制风险,用经济合理的方法来综合处置风险因素,将风险导致的各种不利后果减少到最低限度。如何高效准确的对信息安全风险进行评估,成为摆在科学家面前的难题。
发明内容
针对上述问题,本发明旨在提供一种评估准确的信息安全风险评估系统。
本发明的目的采用以下技术方案来实现:
提供了一种评估准确的信息安全风险评估系统,包括风险识别模块、风险计算模块、风险评估模块和风险管理模块,所述风险识别模块用于对信息安全风险进行识别,所述风险计算模块用于根据识别结果计算信息安全风险值,所述风险评估模块用于根据信息安全风险值对信息安全风险进行评估,所述风险管理模块用于根据评估结果对信息安全风险进行处理和控制;所述风险识别模块包括第一风险识别单元、第二风险识别单元和第三风险识别单元,所述第一风险识别单元用于对信息资产进行识别,所述第二风险识别单元用于对信息系统面临的威胁进行识别,所述第三风险识别单元用于对信息系统本身的抗风险能力进行识别。
本发明的有益效果为:实现了信息安全风险的准确评估和风险管理,降低了信息安全风险,提高信息安全水平。
附图说明
利用附图对本发明作进一步说明,但附图中的实施例不构成对本发明的任何限制,对于本领域的普通技术人员,在不付出创造性劳动的前提下,还可以根据以下附图获得其它的附图。
图1是本发明的结构示意图;
附图标记:
风险识别模块1、风险计算模块2、风险评估模块3、风险管理模块4。
具体实施方式
结合以下实施例对本发明作进一步描述。
参见图1,本实施例的一种评估准确的信息安全风险评估系统,包括风险识别模块1、风险计算模块2、风险评估模块3和风险管理模块4,所述风险识别模块1用于对信息安全风险进行识别,所述风险计算模块2用于根据识别结果计算信息安全风险值,所述风险评估模块3用于根据信息安全风险值对信息安全风险进行评估,所述风险管理模块4用于根据评估结果对信息安全风险进行处理和控制;所述风险识别模块1包括第一风险识别单元、第二风险识别单元和第三风险识别单元,所述第一风险识别单元用于对信息资产进行识别,所述第二风险识别单元用于对信息系统面临的威胁进行识别,所述第三风险识别单元用于对信息系统本身的抗风险能力进行识别。
本实施例实现了信息安全风险的准确评估和风险管理,降低了信息安全风险,提高信息安全水平。
优选的,所述风险计算模块2包括赋值单元和风险值计算单元,所述赋值单元采用五分制对信息资产、信息系统面临的威胁和信息系统的抗风险能力进行赋值,所述风险值计算单元用于根据赋值计算信息安全风险值。
本优选实施例风险计算模块通过对信息资产、信息系统面临的威胁和信息系统的抗风险能力进行赋值,为后续计算信息安全风险值奠定了基础,采用五分制赋值,简化了运算。
优选的,所述风险值计算单元用于根据赋值计算信息安全风险值,具体为:
计算风险发生的可能性:
上述式子中,P表示风险发生的可能性因子,wj表示信息系统面临的第j个威胁的赋值,n表示信息系统面临的威胁的个数,赋值越大,威胁对风险影响越大,ql表示信息系统中的第l个组成部分抗风险能力的赋值,k表示信息系统的组成部分的个数,赋值越小,该组成部分对风险影响越大;风险发生的可能性因子越大,则风险发生的可能性越大;
计算风险可能造成的损失:
上述式子中,S表示风险可能造成的损失因子,xi表示第i个信息资产对应的赋值,赋值越大,信息资产对风险影响越大,m表示信息资产的数目;风险可能造成的损失因子越大,则风险可能造成的损失越大;
根据风险发生的可能性和风险可能造成的损失计算信息安全风险值:
上述式子中,F表示信息安全风险值。
本优选实施例风险值计算单元通过建立风险发生的可能性因子,实现了风险发生的可能性的量化表示,通过建立风险可能造成的损失因子,实现了风险可能造成的损失的量化,对信息风险值计算时充分考虑了风险发生的可能性和风险可能造成的损失,为后续风险评估提供了准确的依据。
优选的,所述风险评估模块3包括第一评估单元、第二评估单元和综合评估单元,所述第一评估单元根据信息安全风险值对信息安全风险进行主观评估,所述第二评估单元根据信息安全风险值对信息安全风险进行客观评估,所述综合评估单元用于根据主观评估结果和客观评估结果对信息安全风险进行综合评估。
本优选实施例风险评估模块采用第一评估单元、第二评估单元和综合评估单元对信息安全风险进行评估,能够保证信息安全。
优选的,所述第一评估单元根据信息安全风险值对信息安全风险进行主观评估,具体为:
专家根据信息安全风险值对安全风险进行评估,给出安全风险等级,安全风险等级由重到轻依次为严重风险、中度风险和轻度风险;
所述第二评估单元根据信息安全风险值对信息安全风险进行客观评估,具体为:
计算客观评估值:
上述式子中,C表示信息安全风险客观评估值。
本优选实施例风险评估模块采用第一评估单元对信息安全风险进行评估,简单易行,有助于提高评估效率,采用第二评估单元对信息安全风险进行评估,能够有效减少评估过程中的主观影响,有助于提高评估准确性,
优选的,所述综合评估单元用于根据主观评估结果和客观评估结果对信息安全风险进行综合评估,具体为:
若主观评价结果为轻度风险,无需对信息安全风险进行客观评估,判定信息安全风险安全;
若主观评价结果为中度风险,计算信息安全风险客观评估值,设定第一风险阈值T1,若C>T1,则发出风险预警;
若主观评价结果为严重风险,计算信息安全风险客观评估值,设定第二风险阈值T2,若C>T2,则发出风险预警。
本优选实施例综合评估单元结合主观评估结果和客观评估结果对风险进行综合评估,既提高了评估效率,又提高了评估准确性,有助于更好的实现风险控制。
采用本发明评估准确的信息安全风险评估系统对信息安全风险进行评估,选取5个信息系统进行实验,分别为信息系统1、信息系统2、信息系统3、信息系统4、信息系统5,对评估效率和评估准确性进行统计,同现有信息安全风险评估系统相比,产生的有益效果如下表所示:
评估效率提高 评估准确性提高
信息系统1 29% 23%
信息系统2 27% 24%
信息系统3 26% 25%
信息系统4 25% 27%
信息系统5 24% 26%
最后应当说明的是,以上实施例仅用以说明本发明的技术方案,而非对本发明保护范围的限制,尽管参照较佳实施例对本发明作了详细地说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的实质和范围。

Claims (6)

1.一种评估准确的信息安全风险评估系统,其特征在于,包括风险识别模块、风险计算模块、风险评估模块和风险管理模块,所述风险识别模块用于对信息安全风险进行识别,所述风险计算模块用于根据识别结果计算信息安全风险值,所述风险评估模块用于根据信息安全风险值对信息安全风险进行评估,所述风险管理模块用于根据评估结果对信息安全风险进行处理和控制;所述风险识别模块包括第一风险识别单元、第二风险识别单元和第三风险识别单元,所述第一风险识别单元用于对信息资产进行识别,所述第二风险识别单元用于对信息系统面临的威胁进行识别,所述第三风险识别单元用于对信息系统本身的抗风险能力进行识别。
2.根据权利要求1所述的评估准确的信息安全风险评估系统,其特征在于,所述风险计算模块包括赋值单元和风险值计算单元,所述赋值单元采用五分制对信息资产、信息系统面临的威胁和信息系统的抗风险能力进行赋值,所述风险值计算单元用于根据赋值计算信息安全风险值。
3.根据权利要求2所述的评估准确的信息安全风险评估系统,其特征在于,所述风险值计算单元用于根据赋值计算信息安全风险值,具体为:
计算风险发生的可能性:
<mrow> <mi>P</mi> <mo>=</mo> <msup> <mrow> <mo>(</mo> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>j</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>n</mi> </munderover> <msub> <mi>w</mi> <mi>j</mi> </msub> <mo>+</mo> <mfrac> <mn>1</mn> <mrow> <msubsup> <mi>&amp;Sigma;</mi> <mrow> <mi>l</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>k</mi> </msubsup> <msub> <mi>q</mi> <mi>l</mi> </msub> </mrow> </mfrac> <mo>)</mo> </mrow> <mn>2</mn> </msup> <mo>+</mo> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>j</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>n</mi> </munderover> <msub> <mi>w</mi> <mi>j</mi> </msub> <mo>&amp;times;</mo> <mfrac> <mn>1</mn> <mrow> <msubsup> <mi>&amp;Sigma;</mi> <mrow> <mi>l</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>k</mi> </msubsup> <msub> <mi>q</mi> <mi>l</mi> </msub> </mrow> </mfrac> </mrow>
上述式子中,P表示风险发生的可能性因子,wj表示信息系统面临的第j个威胁的赋值,n表示信息系统面临的威胁的个数,赋值越大,威胁对风险影响越大,ql表示信息系统中的第l个组成部分抗风险能力的赋值,k表示信息系统的组成部分的个数,赋值越小,该组成部分对风险影响越大;风险发生的可能性因子越大,则风险发生的可能性越大;
计算风险可能造成的损失:
<mrow> <mi>S</mi> <mo>=</mo> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>m</mi> </munderover> <msub> <mi>x</mi> <mi>i</mi> </msub> <mo>+</mo> <msqrt> <mrow> <mn>1</mn> <mo>+</mo> <msup> <mrow> <mo>(</mo> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>m</mi> </munderover> <msub> <mi>x</mi> <mi>i</mi> </msub> <mo>&amp;times;</mo> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>j</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>n</mi> </munderover> <msub> <mi>w</mi> <mi>j</mi> </msub> <mo>)</mo> </mrow> <mn>2</mn> </msup> </mrow> </msqrt> </mrow>
上述式子中,S表示风险可能造成的损失因子,xi表示第i个信息资产对应的赋值,赋值越大,信息资产对风险影响越大,m表示信息资产的数目;风险可能造成的损失因子越大,则风险可能造成的损失越大;
根据风险发生的可能性和风险可能造成的损失计算信息安全风险值:
<mrow> <mi>F</mi> <mo>=</mo> <mn>2</mn> <mroot> <mrow> <msup> <mrow> <mo>(</mo> <mi>P</mi> <mo>+</mo> <mi>S</mi> <mo>)</mo> </mrow> <mn>2</mn> </msup> <mo>+</mo> <msup> <mrow> <mo>(</mo> <mi>P</mi> <mo>+</mo> <mi>S</mi> <mo>)</mo> </mrow> <mn>3</mn> </msup> </mrow> <mn>4</mn> </mroot> <mo>&amp;times;</mo> <mfrac> <mrow> <mi>P</mi> <mo>+</mo> <mi>S</mi> </mrow> <msup> <mi>e</mi> <mrow> <mo>-</mo> <mrow> <mo>(</mo> <mi>P</mi> <mo>+</mo> <mi>S</mi> <mo>)</mo> </mrow> </mrow> </msup> </mfrac> </mrow>
上述式子中,F表示信息安全风险值。
4.根据权利要求3所述的评估准确的信息安全风险评估系统,其特征在于,所述风险评估模块包括第一评估单元、第二评估单元和综合评估单元,所述第一评估单元根据信息安全风险值对信息安全风险进行主观评估,所述第二评估单元根据信息安全风险值对信息安全风险进行客观评估,所述综合评估单元用于根据主观评估结果和客观评估结果对信息安全风险进行综合评估。
5.根据权利要求4所述的评估准确的信息安全风险评估系统,其特征在于,所述第一评估单元根据信息安全风险值对信息安全风险进行主观评估,具体为:
专家根据信息安全风险值对安全风险进行评估,给出安全风险等级,安全风险等级由重到轻依次为严重风险、中度风险和轻度风险;
所述第二评估单元根据信息安全风险值对信息安全风险进行客观评估,具体为:
计算客观评估值:
<mrow> <mi>C</mi> <mo>=</mo> <mi>l</mi> <mi>n</mi> <mo>&amp;lsqb;</mo> <msqrt> <mrow> <mo>(</mo> <mi>F</mi> <mo>+</mo> <mn>1</mn> <mo>)</mo> </mrow> </msqrt> <mo>+</mo> <mn>1</mn> <mo>&amp;rsqb;</mo> <mo>+</mo> <msup> <mi>e</mi> <mrow> <mi>F</mi> <mo>+</mo> <mn>1</mn> </mrow> </msup> </mrow>
上述式子中,C表示信息安全风险客观评估值。
6.根据权利要求5所述的评估准确的信息安全风险评估系统,其特征在于,所述综合评估单元用于根据主观评估结果和客观评估结果对信息安全风险进行综合评估,具体为:
若主观评价结果为轻度风险,无需对信息安全风险进行客观评估,判定信息安全风险安全;
若主观评价结果为中度风险,计算信息安全风险客观评估值,设定第一风险阈值T1,若C>T1,则发出风险预警;
若主观评价结果为严重风险,计算信息安全风险客观评估值,设定第二风险阈值T2,若C>T2,则发出风险预警。
CN201711059057.9A 2017-11-01 2017-11-01 一种评估准确的信息安全风险评估系统 Pending CN107862205A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711059057.9A CN107862205A (zh) 2017-11-01 2017-11-01 一种评估准确的信息安全风险评估系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711059057.9A CN107862205A (zh) 2017-11-01 2017-11-01 一种评估准确的信息安全风险评估系统

Publications (1)

Publication Number Publication Date
CN107862205A true CN107862205A (zh) 2018-03-30

Family

ID=61697584

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711059057.9A Pending CN107862205A (zh) 2017-11-01 2017-11-01 一种评估准确的信息安全风险评估系统

Country Status (1)

Country Link
CN (1) CN107862205A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108537453A (zh) * 2018-04-15 2018-09-14 肖鑫茹 区块链支付风险管理系统
CN108804655A (zh) * 2018-06-07 2018-11-13 福建江夏学院 一种基于大数据的无形资产评估方法及系统
CN109740865A (zh) * 2018-12-13 2019-05-10 平安科技(深圳)有限公司 风险评估方法、系统、设备及存储介质
CN110188541A (zh) * 2019-04-18 2019-08-30 招银云创(深圳)信息技术有限公司 业务系统的风险评估方法、装置、评估终端和存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101374051A (zh) * 2008-08-22 2009-02-25 中国航天科工集团第二研究院七○六所 一种基于多要素融合的信息系统风险评估方法
CN106656996A (zh) * 2016-11-09 2017-05-10 航天科工智慧产业发展有限公司 一种信息安全风险评估方法
CN106790198A (zh) * 2016-12-30 2017-05-31 北京神州绿盟信息安全科技股份有限公司 一种信息系统风险评估方法及系统
CN107204876A (zh) * 2017-05-22 2017-09-26 成都网络空间安全技术有限公司 一种网络安全风险评估方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101374051A (zh) * 2008-08-22 2009-02-25 中国航天科工集团第二研究院七○六所 一种基于多要素融合的信息系统风险评估方法
CN106656996A (zh) * 2016-11-09 2017-05-10 航天科工智慧产业发展有限公司 一种信息安全风险评估方法
CN106790198A (zh) * 2016-12-30 2017-05-31 北京神州绿盟信息安全科技股份有限公司 一种信息系统风险评估方法及系统
CN107204876A (zh) * 2017-05-22 2017-09-26 成都网络空间安全技术有限公司 一种网络安全风险评估方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
中国国家标准化管理委员会: "信息安全技术信息安全风险评估规范", 《中国标准信息服务网 HTTP://C.GB688.CN/BZGK/GB/SHOWGB?TYPE=ONLINE&HCNO=D7E8428EEFB1EBA4ED9AA78601AD5434》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108537453A (zh) * 2018-04-15 2018-09-14 肖鑫茹 区块链支付风险管理系统
CN108804655A (zh) * 2018-06-07 2018-11-13 福建江夏学院 一种基于大数据的无形资产评估方法及系统
CN109740865A (zh) * 2018-12-13 2019-05-10 平安科技(深圳)有限公司 风险评估方法、系统、设备及存储介质
CN110188541A (zh) * 2019-04-18 2019-08-30 招银云创(深圳)信息技术有限公司 业务系统的风险评估方法、装置、评估终端和存储介质
CN110188541B (zh) * 2019-04-18 2021-06-04 招银云创信息技术有限公司 业务系统的风险评估方法、装置、评估终端和存储介质

Similar Documents

Publication Publication Date Title
CN107862205A (zh) 一种评估准确的信息安全风险评估系统
WO2006130874A3 (en) Comprehensive identity protection system
Fearnside Carbon credit for hydroelectric dams as a source of greenhouse-gas emissions: The example of Brazil’s Teles Pires Dam
CN111611524B (zh) 一种燃气风险评估与安全监管资源匹配方法及装置
Kim et al. Compliance risk assessment measures of financial information security using system dynamics
RU2014133082A (ru) Системы и способы динамического агрегирования показателей для обнаружения сетевого мошенничества
WO2012097171A3 (en) Systems and methods for using online social footprint for affecting lending performance and credit scoring
Al Arif Spin-off and its impact on the third party funds of Indonesian Islamic banking industry
CN106295349A (zh) 账号被盗的风险识别方法、识别装置及防控系统
CN106779492A (zh) 一种城市道路网络资产评估方法
CN104881741B (zh) 基于支持向量机的电力系统暂态稳定判断方法
CN106845830A (zh) 一种对用户信用进行评定的方法和装置
CN110310119A (zh) 面向跨区块链交易的可扩容存储方法
CN108494787A (zh) 一种基于资产关联图的网络风险评估方法
Rui et al. An analysis of inaccuracy in pipeline construction cost estimation
CN107292174A (zh) 一种云计算系统安全性评估方法及装置
CN102521496A (zh) 评估指标的重要性级别的获取方法和系统
CN107122440A (zh) 基于舆情大数据的电网物资风控预警系统
CN107862452A (zh) 一种监测准确的网络设备监测系统
CN105721459A (zh) 一种针对虚拟化环境的风险评估方法
CN104732338B (zh) 云环境下基于模糊理论的服务评价方法
Abdel-Latif et al. Asymmetric growth impact of fiscal policy: A post-shock policy scenario for Egypt
Zhang et al. Buffer sizing method with considering effect of various uncertainties based on fuzzy comprehensive evaluation method in critical chain scheduling
CN103810180A (zh) 一种网站体检评分标准的方法
CN105335891A (zh) 一种企业偿债风险评估方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20180330