CN114021154A - 一种网络安全风险评估系统 - Google Patents

一种网络安全风险评估系统 Download PDF

Info

Publication number
CN114021154A
CN114021154A CN202111405407.9A CN202111405407A CN114021154A CN 114021154 A CN114021154 A CN 114021154A CN 202111405407 A CN202111405407 A CN 202111405407A CN 114021154 A CN114021154 A CN 114021154A
Authority
CN
China
Prior art keywords
module
risk
risk assessment
asset
assessment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111405407.9A
Other languages
English (en)
Other versions
CN114021154B (zh
Inventor
王蓓
李勇
刘妍蕾
俞超宇
潘涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inner Mongolia Electric Power Research Institute of Inner Mongolia Power Group Co Ltd
Original Assignee
Inner Mongolia Electric Power Research Institute of Inner Mongolia Power Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inner Mongolia Electric Power Research Institute of Inner Mongolia Power Group Co Ltd filed Critical Inner Mongolia Electric Power Research Institute of Inner Mongolia Power Group Co Ltd
Priority to CN202111405407.9A priority Critical patent/CN114021154B/zh
Publication of CN114021154A publication Critical patent/CN114021154A/zh
Application granted granted Critical
Publication of CN114021154B publication Critical patent/CN114021154B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Strategic Management (AREA)
  • Economics (AREA)
  • Mathematical Physics (AREA)
  • Educational Administration (AREA)
  • Game Theory and Decision Science (AREA)
  • Development Economics (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及网络风险评估领域,具体为一种网络安全风险评估系统,其包括服务器端和客户端;服务器端包括服务模块、资产评估标准模块、资产识别模块、资产赋值及排序模块、风险评估模块a、评估结果展示模块、现有安全手段分析模块和风险评估模块b;资产赋值及排序模块用来根据重要性对资产进行赋值,并进行排序;风险评估模块a用来对用户选取的资产进行风险评估;现有安全手段分析模块用来分析统计现有网络上设置的内部安全手段;风险评估模块b用来结合现有的安全手段得出具体资产的风险等级;客户端包括登录模块和显示模块。本发明中,能根据客户需求,对特定的资产进行风险评估,大大降低了信息风险管理预算,适用范围广。

Description

一种网络安全风险评估系统
技术领域
本发明涉及网络风险评估领域,具体是一种网络安全风险评估系统。
背景技术
网络安全风险评估可帮助组织了解、控制和减轻所有形式的网络风险。它是风险管理策略和数据保护工作的重要组成部分。现有的网络安全风险评估通常围绕资产识别、威胁识别和脆弱性识别三个方面展开,现有的安全风险评估识别资产后对资产进行赋值,再结合威胁识别和脆弱性识别得出风险排序,此种识别方式需要对所有资产进行风险评估,成本极高,但在实际过程中,企业没有无限的信息风险管理预算,导致此种风险评估方式难以运行。
授权公告号为CN112351028A的中国专利公开了一种基于网络安全风险评估系统,该系统包括控制单元、资产识别单元、资产赋值单元、威胁识别单元、威胁赋值单元、脆弱性识别单元、脆弱性赋值单元、确认单元、判断单元、损失计算单元、风险计算单元和评估单元。可进行安全数据的分类、关联、聚类、回归等大数据处理,为用户提供安全态势感知、资产安全评估、安全状况统计分析、安全预警、资源查询等功能。
但是上述已公开方案存在如下不足之处:资产识别单元对用户所有资产进行处理,后续再对所有识别的资产进行风险评估,成本巨大,无法对小范围、高风险的资产进行风险评估。
发明内容
本发明目的是针对背景技术中存在的问题,提出一种能够根据客户需求对小范围、高风险的资产进行风险评估的网络安全风险评估系统。
本发明的技术方案:一种网络安全风险评估系统,包括服务器端和客户端;
服务器端包括服务模块、资产评估标准模块、资产识别模块、资产赋值及排序模块、风险评估模块a、评估结果展示模块、现有安全手段分析模块和风险评估模块b;
服务模块用于接收客户端的登录请求、修改参数请求、修改资产评估标准请求和执行风险评估请求;资产评估标准模块用来存储用户输入的资产评估标准;资产识别模块用来识别系统的构成元素进行资产分类和标记;资产赋值及排序模块用来根据重要性对资产进行赋值,赋值越高,资产重要性越高,并根据赋值大小进行排序;风险评估模块a用来对用户选取的资产进行风险评估,生成各项资产的网络安全风险评估报告;评估结果展示模块用来将各项资产的网络安全风险评估报告发送至客户端供用户查看;现有安全手段分析模块用来分析统计现有网络上设置的内部安全手段,内部安全手段包括入侵检测、入侵拦截、系统强制更新、病毒查杀和信息自毁;风险评估模块b用来结合现有的安全手段得出具体资产的风险等级,出具最终风险评估报告并发送至客户端供用户查看;
客户端包括登录模块和显示模块;登录模块用来向服务器端的服务模块发送用户名和密码,并请求登陆,登陆验证通过后,显示模块上分区显示风险评估参数调整区、资产评估标准调整区和风险评估执行确认区;显示模块用来完成客户的各项操作,实现人机交互。
优选的,风险评估模块a中,风险评估手段包括漏洞评估、病毒查杀、日志告警分析和评估目标系统代理端返回的异常检测结果。
优选的,资产评估标准模块内设置资产评估参照单元,资产评估参照单元内存储众多网络已知的资产评估标准,供用户参考。
优选的,风险评估模块a中,风险评估手段还包括物理风险评估,具体包括自然灾害评估、系统故障评估、人为错误评估和对抗性威胁评估,客户端设置对应的物理风险评估模块,物理风险评估由用户填写,最终的网络安全风险评估报告结合物理风险评估得出。
优选的,现有安全手段分析模块中安全手段还包括外部安全手段,外部安全手段包括重要设备上锁和身份验证,外部安全手段由用户从客户端填入,客户端对应设置有外部安全手段填写界面。
优选的,服务器端还包括风险确认模块;风险确认模块用来向客户端发送风险确认信息,即具体资产的风险用户是否接受,对于用户接受风险的资产保持现有的安全手段,将所有用户不接受风险的资产按照最终风险评估进行排序整理并发送至客户端,提示用户制定风险处理计划。
优选的,风险评估参数调整区内包括赋值参数和百分比参数两种,赋值参数是根据资产赋值模块对资产进行的赋值选择后续对哪些资产进行风险评估,例如输入赋值参数A,即表明后续风险评估只对赋值为A或A以上的资产进行风险评估,再例如输入百分比参数B%,即表明对风险排名前B%的资产进行后续的风险评估。
优选的,风险评估执行确认区内的操作,在向服务器端发送信息表明根据设定好的参数开展后续的风险评估操作之前,需要进行二次身份验证。
与现有技术相比,本发明具有如下有益的技术效果:能根据客户需求,对小范围、高风险的资产进行风险评估,不需要对所有资产进行风险评估,大大降低了信息风险管理预算,便于适用于低预算的风险评估环境,适用范围广。
附图说明
图1为本发明一种实施例的结构示意图;
图2为网络安全风险评估方法的流程图。
具体实施方式
实施例一
如图1所示,本发明提出的一种网络安全风险评估系统,包括服务器端和客户端;
服务器端包括服务模块、资产评估标准模块、资产识别模块、资产赋值及排序模块、风险评估模块a、评估结果展示模块、现有安全手段分析模块和风险评估模块b;
服务模块用于接收客户端的登录请求、修改参数请求、修改资产评估标准请求和执行风险评估请求;资产评估标准模块用来存储用户输入的资产评估标准,资产评估标准模块内设置资产评估参照单元,资产评估参照单元内存储众多网络已知的资产评估标准,供用户参考;资产识别模块用来识别系统的构成元素进行资产分类和标记;资产赋值及排序模块用来根据重要性对资产进行赋值,赋值越高,资产重要性越高,并根据赋值大小进行排序;风险评估模块a用来对用户选取的资产进行风险评估,风险评估手段包括漏洞评估、病毒查杀、日志告警分析和评估目标系统代理端返回的异常检测结果,风险评估手段还包括物理风险评估,具体包括自然灾害评估、系统故障评估、人为错误评估和对抗性威胁评估,客户端设置对应的物理风险评估模块,物理风险评估由用户填写,最终的网络安全风险评估报告结合物理风险评估得出;评估结果展示模块用来将各项资产的网络安全风险评估报告发送至客户端供用户查看;现有安全手段分析模块用来分析统计现有网络上设置的内部安全手段,内部安全手段包括入侵检测、入侵拦截、系统强制更新、病毒查杀和信息自毁,现有安全手段分析模块中安全手段还包括外部安全手段,外部安全手段包括重要设备上锁和身份验证,外部安全手段由用户从客户端填入,客户端对应设置有外部安全手段填写界面;风险评估模块b用来结合现有的安全手段得出具体资产的风险等级,出具最终风险评估报告并发送至客户端供用户查看;
客户端包括登录模块和显示模块;登录模块用来向服务器端的服务模块发送用户名和密码,并请求登陆,登陆验证通过后,显示模块上分区显示风险评估参数调整区、资产评估标准调整区和风险评估执行确认区,风险评估执行确认区内的操作,在向服务器端发送信息表明根据设定好的参数开展后续的风险评估操作之前,需要进行二次身份验证;显示模块用来完成客户的各项操作,实现人机交互。
本实施例中,能根据客户需求,对小范围、高风险的资产进行风险评估,不需要对所有资产进行风险评估,大大降低了信息风险管理预算,便于适用于低预算的风险评估环境,适用范围广。
实施例二
如图1所示,本发明提出的一种网络安全风险评估系统,相较于实施例一,服务器端还包括风险确认模块;风险确认模块用来向客户端发送风险确认信息,即具体资产的风险用户是否接受,对于用户接受风险的资产保持现有的安全手段,将所有用户不接受风险的资产按照最终风险评估进行排序整理并发送至客户端,提示用户制定风险处理计划。对于用户无法接受的风险,将对应的资产整理发送至客户端,便于用户查看,同时提示用户制定风险处理计划,提高风险处理有效性和针对性。
实施例三
如图1所示,本发明提出的一种网络安全风险评估系统,相较于实施例一,风险评估参数调整区内包括赋值参数和百分比参数两种,赋值参数是根据资产赋值模块对资产进行的赋值选择后续对哪些资产进行风险评估,例如输入赋值参数A,即表明后续风险评估只对赋值为A或A以上的资产进行风险评估,再例如输入百分比参数B%,即表明对风险排名前B%的资产进行后续的风险评估。设定两种确认参数,便于根据实际情况进行合理选择。
实施例四
如图2所示,基于上述网络安全风险评估系统实施例的网络安全风险评估方法,包括以下步骤:
S1、用户通过客户端输入用户和密码登录系统;
S2、用户修改资产评估标准和修改风险评估参数,前者作为资产评估的标准,后者确定后续风险评估的范围;
S3、服务器对资产进行识别和赋值,并根据赋值进行排序;
S4、根据用户设定的参数对特定范围或赋值的资产进行风险评估;
S5、结合现有的安全手段出具最终风险评估报告并发送至客户端;
S6、用户确认风险是否接受,服务器端将用户不接受的风险对应的资产统一整理发送至客户端,并提示用户制定风险处理计划。
本实施例中,能根据客户需求,对小范围、高风险的资产进行风险评估,不需要对所有资产进行风险评估,大大降低了信息风险管理预算,便于适用于低预算的风险评估环境,适用范围广。
上面结合附图对本发明的实施方式作了详细说明,但是本发明并不限于此,在所属技术领域的技术人员所具备的知识范围内,在不脱离本发明宗旨的前提下还可以作出各种变化。

Claims (8)

1.一种网络安全风险评估系统,其特征在于,包括服务器端和客户端;
服务器端包括服务模块、资产评估标准模块、资产识别模块、资产赋值及排序模块、风险评估模块a、评估结果展示模块、现有安全手段分析模块和风险评估模块b;
服务模块用于接收客户端的登录请求、修改参数请求、修改资产评估标准请求和执行风险评估请求;资产评估标准模块用来存储用户输入的资产评估标准;资产识别模块用来识别系统的构成元素进行资产分类和标记;资产赋值及排序模块用来根据重要性对资产进行赋值,赋值越高,资产重要性越高,并根据赋值大小进行排序;风险评估模块a用来对用户选取的资产进行风险评估,生成各项资产的网络安全风险评估报告;评估结果展示模块用来将各项资产的网络安全风险评估报告发送至客户端供用户查看;现有安全手段分析模块用来分析统计现有网络上设置的内部安全手段,内部安全手段包括入侵检测、入侵拦截、系统强制更新、病毒查杀和信息自毁;风险评估模块b用来结合现有的安全手段得出具体资产的风险等级,出具最终风险评估报告并发送至客户端供用户查看;
客户端包括登录模块和显示模块;登录模块用来向服务器端的服务模块发送用户名和密码,并请求登陆,登陆验证通过后,显示模块上分区显示风险评估参数调整区、资产评估标准调整区和风险评估执行确认区;显示模块用来完成客户的各项操作,实现人机交互。
2.根据权利要求1所述的网络安全风险评估系统,其特征在于,风险评估模块a中,风险评估手段包括漏洞评估、病毒查杀、日志告警分析和评估目标系统代理端返回的异常检测结果。
3.根据权利要求1所述的网络安全风险评估系统,其特征在于,资产评估标准模块内设置资产评估参照单元,资产评估参照单元内存储众多网络已知的资产评估标准,供用户参考。
4.根据权利要求1所述的网络安全风险评估系统,其特征在于,风险评估模块a中,风险评估手段还包括物理风险评估,具体包括自然灾害评估、系统故障评估、人为错误评估和对抗性威胁评估,客户端设置对应的物理风险评估模块,物理风险评估由用户填写,最终的网络安全风险评估报告结合物理风险评估得出。
5.根据权利要求1所述的网络安全风险评估系统,其特征在于,现有安全手段分析模块中安全手段还包括外部安全手段,外部安全手段包括重要设备上锁和身份验证,外部安全手段由用户从客户端填入,客户端对应设置有外部安全手段填写界面。
6.根据权利要求1所述的网络安全风险评估系统,其特征在于,服务器端还包括风险确认模块;风险确认模块用来向客户端发送风险确认信息,即具体资产的风险用户是否接受,对于用户接受风险的资产保持现有的安全手段,将所有用户不接受风险的资产按照最终风险评估进行排序整理并发送至客户端,提示用户制定风险处理计划。
7.根据权利要求1所述的网络安全风险评估系统,其特征在于,风险评估参数调整区内包括赋值参数和百分比参数两种,赋值参数是根据资产赋值模块对资产进行的赋值选择后续对哪些资产进行风险评估,例如输入赋值参数A,即表明后续风险评估只对赋值为A或A以上的资产进行风险评估,再例如输入百分比参数B%,即表明对风险排名前B%的资产进行后续的风险评估。
8.根据权利要求1所述的网络安全风险评估系统,其特征在于,风险评估执行确认区内的操作,在向服务器端发送信息表明根据设定好的参数开展后续的风险评估操作之前,需要进行二次身份验证。
CN202111405407.9A 2021-11-24 2021-11-24 一种网络安全风险评估系统 Active CN114021154B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111405407.9A CN114021154B (zh) 2021-11-24 2021-11-24 一种网络安全风险评估系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111405407.9A CN114021154B (zh) 2021-11-24 2021-11-24 一种网络安全风险评估系统

Publications (2)

Publication Number Publication Date
CN114021154A true CN114021154A (zh) 2022-02-08
CN114021154B CN114021154B (zh) 2024-08-27

Family

ID=80066114

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111405407.9A Active CN114021154B (zh) 2021-11-24 2021-11-24 一种网络安全风险评估系统

Country Status (1)

Country Link
CN (1) CN114021154B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114640527A (zh) * 2022-03-21 2022-06-17 重庆市规划和自然资源信息中心 基于日志审计的不动产登记业务网络安全风险识别方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103930918A (zh) * 2011-05-30 2014-07-16 传康证券有限公司 财务管理系统
US20180146004A1 (en) * 2016-11-22 2018-05-24 Aon Global Operations Ltd (Singapore Branch) Systems and methods for cybersecurity risk assessment
CN110322055A (zh) * 2019-06-18 2019-10-11 阿里巴巴集团控股有限公司 一种提高数据风险模型评分稳定性的方法和系统
CN112351028A (zh) * 2020-11-04 2021-02-09 内蒙古电力(集团)有限责任公司内蒙古电力科学研究院分公司 一种基于网络安全风险评估系统
CN113225358A (zh) * 2021-07-09 2021-08-06 四川大学 网络安全风险评估系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103930918A (zh) * 2011-05-30 2014-07-16 传康证券有限公司 财务管理系统
US20180146004A1 (en) * 2016-11-22 2018-05-24 Aon Global Operations Ltd (Singapore Branch) Systems and methods for cybersecurity risk assessment
CN110322055A (zh) * 2019-06-18 2019-10-11 阿里巴巴集团控股有限公司 一种提高数据风险模型评分稳定性的方法和系统
CN112351028A (zh) * 2020-11-04 2021-02-09 内蒙古电力(集团)有限责任公司内蒙古电力科学研究院分公司 一种基于网络安全风险评估系统
CN113225358A (zh) * 2021-07-09 2021-08-06 四川大学 网络安全风险评估系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
安庆权;王希忠;马遥;: "信息安全风险评估系统的设计", 信息技术, no. 06, 25 June 2011 (2011-06-25) *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114640527A (zh) * 2022-03-21 2022-06-17 重庆市规划和自然资源信息中心 基于日志审计的不动产登记业务网络安全风险识别方法

Also Published As

Publication number Publication date
CN114021154B (zh) 2024-08-27

Similar Documents

Publication Publication Date Title
CN110324310B (zh) 网络资产指纹识别方法、系统及设备
CN107239707B (zh) 一种用于信息系统的威胁数据处理方法
EP3989505A1 (en) Dynamically injecting security awareness training prompts into enterprise user flows
CN111859400B (zh) 风险评估方法、装置、计算机系统和介质
US20160248798A1 (en) Method and apparatus for automating threat model generation and pattern identification
US20140040394A1 (en) Method and device for processing messages
US20140115704A1 (en) Homoglyph monitoring
CN111859393A (zh) 基于态势感知告警的风险评估系统及方法
CN112926048B (zh) 一种异常信息检测方法和装置
CN111460404A (zh) 双录数据处理方法、装置、计算机设备及存储介质
CN110049028B (zh) 监控域控管理员的方法、装置、计算机设备及存储介质
CN104539604B (zh) 网站防护方法和装置
KR102589662B1 (ko) 인프라 자산 취약점 자동 진단을 통한 컴플라이언스 관리 시스템 및 그 방법
CN112688971B (zh) 功能损害型网络安全威胁识别装置及信息系统
CN109583056A (zh) 一种基于仿真平台的网络攻防工具效能评估方法及系统
CN114021154B (zh) 一种网络安全风险评估系统
CN114021109A (zh) 一种用于实现烟草行业车间级工控系统身份认证与访问管理的系统与方法
CN116938590A (zh) 一种基于虚拟化技术的云安全管理方法与系统
CN113535823B (zh) 异常访问行为检测方法、装置及电子设备
CN110881186A (zh) 非法设备识别方法、装置、电子设备及可读存储介质
CN116915515B (zh) 用于工控网络的访问安全控制方法及系统
CN112861142A (zh) 数据库的风险等级确定方法和装置、存储介质及电子装置
CN110378120A (zh) 应用程序接口攻击检测方法、装置以及可读存储介质
CN114124531B (zh) 基于旁路攻击模拟的网络防御体系风险评估方法、电子设备和存储介质
CN113949578B (zh) 基于流量的越权漏洞自动检测方法、装置及计算机设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant