一种基于网络安全风险评估系统的制作方法

[0001]
本发明涉及网络安全领域，尤其是涉及一种基于网络安全风险评估系统。


背景技术：

[0002]
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。
[0003]
为提高国家信息安全保障能力，2015年1月，公安部颁布了《关于加快推进网络与信息安全通报机制建设的通知》(公信安[2015]21号)文件。文件要求建立网络与信息安全信息通报机制，积极推动专门机构建设，建立网络安全监测通报手段和信息通报预警及应急处置体系，明确要求建设网络安全监测通报平台，实现对重要网站和网上重要信息系统的安全监测、网上计算机病毒木马传播监测、通报预警、应急处置、态势分析、安全事件(事故)管理、督促整改等功能，为开展相关工作提供技术保障。
[0004]
安全评估分狭义和广义二种。狭义指对一个具有特定功能的工作系统中固有的或潜在的危险及其严重程度所进行的分析与评估，并以既定指数、等级或概率值作出定量的表示，最后根据定量值的大小决定采取预防或防护对策。广义指利用系统工程原理和方法对拟建或已有工程、系统可能存在的危险性及其可能产生的后果进行综合评价和预测，并根据可能导致的事故风险的大小，提出相应的安全对策措施，以达到工程、系统安全的过程。现有技术中缺少一种结构简单，便于实现的风险评估系统，存在改进之处。


技术实现要素：

[0005]
本发明旨在至少解决现有技术中存在的技术问题之一。为此，本发明的第一个目的在于提供一种一种基于网络安全风险评估系统。
[0006]
本发明的技术方案如下：一种基于网络安全风险评估系统，其特征在于，包括：
[0007]
控制单元；
[0008]
资产识别单元，所述资产识别单元与所述控制单元相连，所述资产识别单元被配置成用于对系统的构成元素进行资产分类和标记；
[0009]
资产赋值单元，所述资产赋值单元与所述控制单元相连，所述资产赋值单元被配置成用于对所述构成元素的机密性、完整性和可用性进行赋值，并计算资产赋值；
[0010]
威胁识别单元，所述威胁识别单元与所述控制单元相连，所述威胁识别单元被配置成用于对需要保护的每一项关键资产进行威胁识别和标记；
[0011]
威胁赋值单元，所述威胁赋值单元与所述控制单元相连，所述威胁赋值单元被配置成用于根据对威胁发生的可能性和威胁发生对资产机密性、可用性和完整性造成损害的严重程度进行威胁赋值；
[0012]
脆弱性识别单元，所述脆弱性识别单元与所述控制单元相连，所述脆弱性识别单元被配置成用于识别每个资产存在的弱点并根据识别到的弱点评价该资产的脆弱性；
[0013]
脆弱性赋值单元，所述脆弱性赋值单元与所述控制单元相连，所述脆弱性赋值单
元被配置成用于采用等级方式对已识别的脆弱性的严重程度进行脆弱性赋值；
[0014]
确认单元，所述确认单元与所述控制单元相连，所述确认单元被配置成用于对已采取的安全措施的有效性进行识别和确认。
[0015]
判断单元，所述判断单元与所述控制单元相连，所述判断单元被配置成用于根据所述威胁赋值和所述脆弱性赋值判断安全事件发生的可能性；
[0016]
损失计算单元，所述计算单元与所述控制单元相连，所述计算单元被配置成用于根据所述脆弱性赋值及所述资产赋值计算安全事件造成的损失；
[0017]
风险计算单元，所述风险计算单元与所述控制单元相连，所述风险计算单元被配置成用于根据所述资产赋值、所述脆弱性赋值和所述威胁赋值代入安全风险计算算公式算出风险值并根据所述风险值查找风险等级。
[0018]
评估单元，所述评估单元与所述控制单元相连，所述评估单元被配置成用于生成风险评估报告。
[0019]
进一步地，所述安全事件发生的可能性＝所述威胁赋值*所述脆弱性赋值；
[0020]
所述安全事件造成的损失＝所述脆弱性赋值*所述资产赋值；
[0021]
所述风险值＝所述安全事件发生的可能性值*所述安全事件造成的损失值。
[0022]
进一步地，所述脆弱性赋值包括脆弱性名称、脆弱性分类和脆弱性严重程度赋值。
[0023]
进一步地，还包括历史风险查询单元，所述历史风险查询单元与所述控制单元相连，所述历史风险查询单元用于查风险评估历史信息。
[0024]
进一步地，所述风险等级包括风险值范围、风险等级值和严重程度。
[0025]
和现有技术相比，本发明的有益效果如下：
[0026]
本发明建立了一个风险评估系统，在风险分析中主要涉及资产、威胁、脆弱性三个基本要素，最终依据风险值自动生成风险评估方案，从而可对安全评测人员设计风险应对方案时提供依据，本系统结构简单，逻辑性强，便于实现。
[0027]
本发明的附加方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。
附图说明
[0028]
为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图：
[0029]
图1是本发明的一种基于网络安全风险评估系统的模块连接图。
具体实施方式
[0030]
为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0031]
下面详细描述本发明的实施例，实施例的示例在附图中示出，其中自始至终相同
或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。在本发明的描述中，需要理解的是，术语“上”、“下”、“前”、“后”、“左”、“右”、“内”、“外”、“竖向”、“周向”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。
[0032]
在本发明的描述中，“第一特征”、“第二特征”可以包括一个或者更多个该特征。此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。
[0033]
在本发明中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或成一体；可以是机械连接，也可以是电连接或可以互相通讯；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。
[0034]
下面参考附图1描述根据本发明实施例的一种基于网络安全风险评估系统，该系统包括控制单元、资产识别单元、资产赋值单元、威胁识别单元、威胁赋值单元、脆弱性识别单元、脆弱性赋值单元、确认单元、判断单元、损失计算单元、风险计算单元、评估单元。
[0035]
资产识别单元与控制单元相连，资产识别单元被配置成用于对系统的构成元素进行资产分类和标记；资产赋值单元与控制单元相连，资产赋值单元被配置成用于对构成元素的机密性、完整性和可用性进行赋值，并计算资产赋值；
[0036]
威胁识别单元与控制单元相连，威胁识别单元被配置成用于对需要保护的每一项关键资产进行威胁识别和标记；威胁赋值单元与控制单元相连，威胁赋值单元被配置成用于根据对威胁发生的可能性和威胁发生对资产机密性、可用性和完整性造成损害的严重程度进行威胁赋值；
[0037]
脆弱性识别单元与控制单元相连，脆弱性识别单元被配置成用于识别每个资产存在的弱点并根据识别到的弱点评价该资产的脆弱性；脆弱性赋值单元与控制单元相连，脆弱性赋值单元被配置成用于采用等级方式对已识别的脆弱性的严重程度进行脆弱性赋值；
[0038]
确认单元与控制单元相连，确认单元被配置成用于对已采取的安全措施的有效性进行识别和确认；判断单元与控制单元相连，判断单元被配置成用于根据威胁赋值和脆弱性赋值判断安全事件发生的可能性；损失计算单元与控制单元相连，损失计算单元被配置成用于根据脆弱性赋值及资产赋值计算安全事件造成的损失；
[0039]
风险计算单元与控制单元相连，风险计算单元被配置成用于根据资产赋值、脆弱性赋值和威胁赋值代入安全风险计算算公式算出风险值并根据风险值查找风险等级。评估单元与控制单元相连，评估单元被配置成用于生成风险评估报告。
[0040]
本发明建立了一个风险评估系统，在风险分析中主要涉及资产、威胁、脆弱性三个基本要素，最终依据风险值自动生成风险评估方案，从而可对安全评测人员设计风险应对方案时提供依据，本系统结构简单，逻辑性强，便于实现。
[0041]
具体而言，安全事件发生的可能性＝威胁赋值*脆弱性赋值；安全事件造成的损失＝脆弱性赋值*资产赋值；风险值＝安全事件发生的可能性值*安全事件造成的损失值，由
此可实现对安全事件发生的可能性、安全事件造成的损失和风险值进行一个定量的计算，得到精确直观的结果。
[0042]
本实施例中，脆弱性赋值包括脆弱性名称、脆弱性分类和脆弱性严重程度赋值。
[0043]
本实施例中，该系统还包括历史风险查询单元，历史风险查询单元与控制单元相连，历史风险查询单元用于查风险评估历史信息。
[0044]
本实施例中，风险等级包括风险值范围、风险等级值和严重程度。
[0045]
尽管已经示出和描述了本发明的实施例，本领域的普通技术人员可以理解：在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由权利要求及其等同物限定。