一种网络信息安全风险评估系统及其方法与流程

1.本发明涉及网络安全评估技术领域，具体为一种网络信息安全风险评估系统及其方法。


背景技术：

2.银行是依法成立的经营货币信贷业务的金融机构，是商品货币经济发展到一定阶段的产物，由于银行内部的数据庞大，并且价值较高，所以需要对银行的资产信息进行安全风险评估，这也是参照风险评估标准和管理规范。现有的评估方法通常是对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程，评估内容涉及网络系统的脆弱性、网络安全威胁以及脆弱性被威胁者利用后所造成的实际影响，并根据安全事件发生的可能性影响大小来确认网络安全风险等级，在对风险进行处理时，往往会对银行内部的终端进行检测，然而在检查处理过后的终端仍然可能会再次进行违规操作。


技术实现要素：

3.(一)解决的技术问题
4.针对现有技术的不足，本发明提供了一种网络信息安全风险评估系统及其方法，解决了银行内部的终端在检查处理过后的终端仍然可能会再次进行违规操作的问题。
5.(二)技术方案
6.为实现以上目的，本发明通过以下技术方案予以实现：一种网络信息安全风险评估系统，包括确定评估范围，所述确定评估范围连接有银行资产识别、银行威胁分析和银行弱点分析，所述银行资产识别连接有资产赋值，所述银行威胁分析连接有威胁赋值，所述银行弱点分析连接有脆弱性影响程度和脆弱性被利用难易程度，所述资产赋值和脆弱性影响程度连接有安全事件损失，所述脆弱性被利用难易程度和威胁赋值连接有安全事件可能性，所述安全事件损失和安全事件可能性连接有资产风险值；
7.所述资产风险值连接有业务风险值，所述业务风险值连接有现有安全控制有效性评估，所述现有安全控制有效性评估连接有输出显示风险，所述现有安全控制有效性评估连接有安全风险处理，所述安全风险处理连接有存储记录日志。
8.优选的，所述银行威胁分析包括威胁来源、威胁途径、威胁能力、威胁效果、威胁意图、威胁频率。
9.优选的，所述安全风险处理包括管理安全、环境安全、网络安全、应用安全和主机安全。
10.优选的，所述主机安全包括主机安装监管模块，所述主机安装监管模块连接有识别存储介质，所述识别存储介质连接有自动复制介入，所述自动复制介入连接有检测网络连接，所述检测网络连接连接有存储互联网信息，所述存储互联网信息连接有伪装用户访问网页，所述伪装用户访问网页连接有发送相关信息，所述发送相关信息连接有确认违规
行为。
11.优选的，所述银行资产识别包括业务资产、系统资产和系统组件和单元资产，所述业务资产连接有业务功能、业务对象、业务流程、业务范围和覆盖地域，所述系统资产连接有信息系统、数据资源和通信网络，所述系统组件和单元资产连接有系统组件、系统单元、人力资源和其他资产。
12.优选的，一种网络信息安全风险评估方法，具体包括以下步骤：
13.s1.确定范围
14.首先对网络安全风险的评估做好准备，先确定评估的对象与范围，并且根据评估对象和范围得到范围界定撰写报告；
15.s2.资产定义
16.对评估的具体对象进行网络资产的鉴定，确认网络资产的种类以及清单，并且根据cia属性评估出资产的相对价值，得到价值赋值；
17.s3.威胁分析
18.对网络资产有可能受到的安全威胁进行分析，并且根据威胁来源、威胁需要的能力、威胁出现频率等综合分析得出的判定，得到频率赋值；
19.s4.弱点分析
20.对评估网络进行分析，对技术脆弱性以及管理脆弱性进行评估，得到严重程度赋值；
21.s5.有效性评估
22.对评估网络中已采取的各种预防性以及保护性的安全措施进行评估与确认；
23.s6.风险计算
24.根据所述频率赋值与严重程度赋值计算出安全事件发生的可能性，同时对风险等级进行评价，计算时，根据多种业务所涵盖的资产中多种资产风险值计算出业务风险；
25.s7.风险处理
26.根据计算出的风险值以及有效性的评估确定是否采取安全措施，采取措施时，对银行内外部进行管控，最后对原有的安全系统进行开发与维护，保证业务的持续进行。
27.(三)有益效果
28.本发明提供了一种网络信息安全风险评估系统及其方法。具备以下有益效果：
29.1、本发明提供了一种网络信息安全风险评估系统及其方法，本系统在银行现有的风险处理方式达不到效果时，会自动进行风险的处理，其中通过在银行内部使用的终端设备操作系统上安装系统客户端程序，在终端违规连接到异常互联网时，监管模块就会主动向互联网监测服务器发送信息，并且被监控的终端在安装移动存储介质时，智能代理会自动复制到存储介质，当存储介质再次接入互联网时，会主动向互联网发送信息，从而实现了安装监管模块后内部终端违规操作的快速发现，并且方便了精准的阻断。
30.2、本发明提供了一种网络信息安全风险评估系统及其方法，本系统在进行安全风险评估时，首先对银行当前的网络环境进行评估，并且根据当前网络已有的安全措施进行判断，在风险可接收的范围时，会保持原有的安全措施，并且将风险显示出来方便银行内部网络进行优化，当风险不在接受的范围时，会启动新制订的风险处理措施，从而降低了风险处理的成本。
附图说明
31.图1为本发明的系统流程图；
32.图2为本发明银行威胁分析的系统流程图；
33.图3为本发明银行资产识别的系统流程图；
34.图4为本发明安全风险处理的系统流程图；
35.图5为本发明主机安全的系统流程图。
36.其中，1、确定评估范围；2、银行资产识别；3、银行威胁分析；4、银行弱点分析；5、输出显示风险；6、现有安全控制有效性评估；7、资产赋值；8、安全风险处理；9、存储记录日志；10、威胁赋值；11、脆弱性被利用难易程度；12、安全事件可能性；13、安全事件损失；14、脆弱性影响程度；15、资产风险值；16、业务风险值；201、业务资产；202、系统资产；203、系统组件和单元资产；204、业务功能；205、业务对象；206、业务流程；207、业务范围；208、覆盖地域；209、信息系统；210、数据资源；211、通信网络；212、系统组件；213、系统单元；214、人力资源；215、其他资产；301、威胁来源；302、威胁途径；303、威胁能力；304、威胁效果；305、威胁意图；306、威胁频率；801、管理安全；802、环境安全；803、网络安全；804、应用安全；805、主机安全；80501、主机安装监管模块；80502、识别存储介质；80503、自动复制介入；80504、检测网络连接；80505、存储互联网信息；80506、伪装用户访问网页；80507、发送相关信息；80508、确认违规行为。
具体实施方式
37.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
38.实施例：
39.如图1-5所示，本发明实施例提供一种网络信息安全风险评估系统，包括确定评估范围1，确定评估范围1连接有银行资产识别2、银行威胁分析3和银行弱点分析4，银行资产识别2连接有资产赋值7，银行威胁分析3连接有威胁赋值10，银行弱点分析4连接有脆弱性影响程度14和脆弱性被利用难易程度11，资产赋值7和脆弱性影响程度14连接有安全事件损失13，脆弱性被利用难易程度11和威胁赋值10连接有安全事件可能性12，安全事件损失13和安全事件可能性12连接有资产风险值15，通过对银行风险进行评估后，根据现有的处理方法进行判断，当风险较小时可将所具有的风险进行显示，方便银行做出进一步的优化；
40.资产风险值15连接有业务风险值16，可计算出多种业务所涵盖的资产，接着根据多种资产风险值15计算出业务风险值16，最终使得计算出的结果更加准确，业务风险值16连接有现有安全控制有效性评估6，现有安全控制有效性评估6连接有输出显示风险5，现有安全控制有效性评估6连接有安全风险处理8，安全风险处理8连接有存储记录日志9，当风险较大并且现有的处理方法实现不了时，可自动对风险进行处理。
41.银行威胁分析3包括威胁来源301、威胁途径302、威胁能力303、威胁效果304、威胁意图305、威胁频率306，其中，威胁途径302为威胁资产的方法和过程步骤，一般为计算机病毒，威胁效果304为网络威胁成功后的后果，威胁意图305为实施威胁的目的，威胁频率306
为出现威胁活动的可能性，具体的，威胁频率306为1时，几乎不可能发生，威胁频率306为2时，频率很小，威胁频率306为3时，频率中等，半年大于一次发生，威胁频率306为4时，频率很高，一月发生一次及以上，威胁频率306为5时，频率很高，一周发生一次及以上。
42.安全风险处理8包括管理安全801、环境安全802、网络安全803、应用安全804和主机安全805，通过对银行内部管理、物理环境比如出入门禁，以及软件和硬件的使用安全进行检测，其中具体的，主机安全805包括主机安装监管模块80501，主机安装监管模块80501连接有识别存储介质80502，识别存储介质80502连接有自动复制介入80503，自动复制介入80503连接有检测网络连接80504，检测网络连接80504连接有存储互联网信息80505，存储互联网信息80505连接有伪装用户访问网页80506，伪装用户访问网页80506连接有发送相关信息80507，发送相关信息80507连接有确认违规行为80508，具体的，在银行内部使用的终端设备操作系统上安装系统客户端程序，在终端违规连接到异常互联网时，监管模块就会主动向互联网监测服务器发送信息，并且被监控的终端在安装移动存储介质时，智能代理会自动复制到存储介质，当存储介质再次接入互联网时，会主动向互联网发送信息，从而实现了违规操作的快速发现，再根据tdi接口过滤和ndis中间层驱动过滤技术，控制应用程序的网络访问行为，并且方便了精准的阻断。
43.银行资产识别2包括业务资产201、系统资产202和系统组件和单元资产203，业务资产201连接有业务功能204、业务对象205、业务流程206、业务范围207和覆盖地域208，系统资产202连接有信息系统209、数据资源210和通信网络211，系统组件和单元资产203连接有系统组件212、系统单元213、人力资源214和其他资产215，业务识别数据应来自熟悉组织业务结构的业务人员或管理人员。业务识别既可通过访谈，文档查阅、资料查阅，还可通过对信息系统209进行梳理后总结整理进行补充，并且应根据业务的重要程度进行等级划分，并对其重要性进行赋值，并且根据业务在规划、发展规划中的业务属性及职能定位层面，以及规划的发展目标层面中短期目标或长期目标中占据的地位分为很高、高、中等、低以及很低五个重要性赋值。
44.一种网络信息安全风险评估方法，具体包括以下步骤：
45.s1.确定范围
46.首先对网络安全风险的评估做好准备，先确定评估的对象与范围，并且根据评估对象和范围得到范围界定撰写报告；
47.s2.资产定义
48.对评估的具体对象进行网络资产的鉴定，确认网络资产的种类以及清单，并且根据cia属性评估出资产的相对价值，得到价值赋值；
49.s3.威胁分析
50.对网络资产有可能受到的安全威胁进行分析，并且根据威胁来源、威胁需要的能力、威胁出现频率等综合分析得出的判定，得到频率赋值；
51.s4.弱点分析
52.对评估网络进行分析，对技术脆弱性以及管理脆弱性进行评估，得到严重程度赋值；
53.s5.有效性评估
54.对评估网络中已采取的各种预防性以及保护性的安全措施进行评估与确认；
55.s6.风险计算
56.根据所述频率赋值与严重程度赋值计算出安全事件发生的可能性，同时对风险等级进行评价，计算时，根据多种业务所涵盖的资产中多种资产风险值计算出业务风险；
57.s7.风险处理
58.根据计算出的风险值以及有效性的评估确定是否采取安全措施，采取措施时，对银行内外部进行管控，最后对原有的安全系统进行开发与维护，保证业务的持续进行。
59.尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

技术特征：
1.一种网络信息安全风险评估系统，包括确定评估范围(1)，其特征在于：所述确定评估范围(1)连接有银行资产识别(2)、银行威胁分析(3)和银行弱点分析(4)，所述银行资产识别(2)连接有资产赋值(7)，所述银行威胁分析(3)连接有威胁赋值(10)，所述银行弱点分析(4)连接有脆弱性影响程度(14)和脆弱性被利用难易程度(11)，所述资产赋值(7)和脆弱性影响程度(14)连接有安全事件损失(13)，所述脆弱性被利用难易程度(11)和威胁赋值(10)连接有安全事件可能性(12)，所述安全事件损失(13)和安全事件可能性(12)连接有资产风险值(15)；所述资产风险值(15)连接有业务风险值(16)，所述业务风险值(16)连接有现有安全控制有效性评估(6)，所述现有安全控制有效性评估(6)连接有输出显示风险(5)，所述现有安全控制有效性评估(6)连接有安全风险处理(8)，所述安全风险处理(8)连接有存储记录日志(9)。2.根据权利要求1所述的一种网络信息安全风险评估系统，其特征在于：所述银行威胁分析(3)包括威胁来源(301)、威胁途径(302)、威胁能力(303)、威胁效果(304)、威胁意图(305)、威胁频率(306)。3.根据权利要求1所述的一种网络信息安全风险评估系统，其特征在于：所述安全风险处理(8)包括管理安全(801)、环境安全(802)、网络安全(803)、应用安全(804)和主机安全(805)。4.根据权利要求3所述的一种网络信息安全风险评估系统，其特征在于：所述主机安全(805)包括主机安装监管模块(80501)，所述主机安装监管模块(80501)连接有识别存储介质(80502)，所述识别存储介质(80502)连接有自动复制介入(80503)，所述自动复制介入(80503)连接有检测网络连接(80504)，所述检测网络连接(80504)连接有存储互联网信息(80505)，所述存储互联网信息(80505)连接有伪装用户访问网页(80506)，所述伪装用户访问网页(80506)连接有发送相关信息(80507)，所述发送相关信息(80507)连接有确认违规行为(80508)。5.根据权利要求1所述的一种网络信息安全风险评估系统，其特征在于：所述银行资产识别(2)包括业务资产(201)、系统资产(202)和系统组件和单元资产(203)，所述业务资产(201)连接有业务功能(204)、业务对象(205)、业务流程(206)、业务范围(207)和覆盖地域(208)，所述系统资产(202)连接有信息系统(209)、数据资源(210)和通信网络(211)，所述系统组件和单元资产(203)连接有系统组件(212)、系统单元(213)、人力资源(214)和其他资产(215)。6.一种网络信息安全风险评估方法，其特征在于，具体包括以下步骤：s1.确定范围首先对网络安全风险的评估做好准备，先确定评估的对象与范围，并且根据评估对象和范围得到范围界定撰写报告；s2.资产定义对评估的具体对象进行网络资产的鉴定，确认网络资产的种类以及清单，并且根据cia属性评估出资产的相对价值，得到价值赋值；s3.威胁分析对网络资产有可能受到的安全威胁进行分析，并且根据威胁来源、威胁需要的能力、威
胁出现频率等综合分析得出的判定，得到频率赋值；s4.弱点分析对评估网络进行分析，对技术脆弱性以及管理脆弱性进行评估，得到严重程度赋值；s5.有效性评估对评估网络中已采取的各种预防性以及保护性的安全措施进行评估与确认；s6.风险计算根据所述频率赋值与严重程度赋值计算出安全事件发生的可能性，同时对风险等级进行评价，计算时，根据多种业务所涵盖的资产中多种资产风险值计算出业务风险；s7.风险处理根据计算出的风险值以及有效性的评估确定是否采取安全措施，采取措施时，对银行内外部进行管控，最后对原有的安全系统进行开发与维护，保证业务的持续进行。

技术总结
本发明提供一种网络信息安全风险评估系统及其方法，涉及网络安全评估技术领域。该网络信息安全风险评估系统及其方法，包括确定评估范围，所述确定评估范围连接有银行资产识别、银行威胁分析和银行弱点分析，所述银行资产识别连接有资产赋值，所述银行威胁分析连接有威胁赋值，所述银行弱点分析连接有脆弱性影响程度和脆弱性被利用难易程度，所述资产赋值和脆弱性影响程度连接有安全事件损失，所述脆弱性被利用难易程度和威胁赋值连接有安全事件可能性。通过在银行内部使用的终端设备操作系统上安装系统客户端程序，可对终端进行实时监控，最后实现了违规操作的快速发现，并且方便了精准的阻断。便了精准的阻断。便了精准的阻断。


技术研发人员：张杰利
受保护的技术使用者：张杰利
技术研发日：2023.03.14
技术公布日：2023/7/11