[发明专利]一种增量风险评估的软件方法及系统

权利要求书

1.一种增量风险评估的软件方法，其特征在于，包括步骤：

A、获取资产评估信息数据，将获取的资产评估信息数据与之前的资产评估信息数据进行比较判断，判断是前次风险评估，还是增量风险评估，并相应标记不同参数;其中，标记参数为：如果是新增资产状态的风险评估，风险评估状态参数取值是0；如果是在前次风险评估完成的，则风险评估状态参数被赋予值为1；

B、对获取的资产评估信息数据进行威胁和脆弱性识别，根据资产的状态来判断是否需要启动新的威胁和脆弱性识别动作；当获取到风险评估状态参数取值是0时，则判断该资产状态为新增加的，进行新的威胁和脆弱性识别；当获取到风险评估状态参数取值是1时，则判断该资产状态为以前的，则自动地把原来威胁和脆弱性识别结果的威胁列表和脆弱性列表输出；

C、根据资产的状态自动判断是否需要启动新的风险分析：当获取到风险评估状态参数取值是0时，则判断该资产状态为新增加的，则进行新的风险分析；当获取到风险评估状态参数取值是1时，则判断该资产状态为以前的，则自动地把原来的分析结果风险列表输出；

D、根据资产状态自动的判断是否需要识别新的风险控制措施：当获取到风险评估状态参数取值是0时，则判断该资产状态为新增加的，则自动采用新的控制措施；当获取到风险评估状态参数取值是1时，则判断该资产状态为以前的，则自动地把原来的风险控制措施输出。

2.根据权利要求1所述的增量风险评估的软件方法，其特征在于，所述步骤A还包括：如果是本次风险评估新增加的，则自动标记资产状态为新增加的，并对风险评估状态参数取值为0；如果是本次风险评估不再存在的，则从资产列表中删除。

3.根据权利要求1所述的增量风险评估的软件方法，其特征在于，所述步骤B中的脆弱性识别是对系统中涉及的重要资产中被对应威胁利用的脆弱性进行识别，并对其等级进行评估，形成脆弱性识别表；

威胁识别是对系统中涉及的重要资产中遇到的威胁进行识别，并对其等级进行评估，形成威胁识别表。

4.根据权利要求1所述的增量风险评估的软件方法，其特征在于，所述步骤C中的风险分析具体包括：风险分析对每个资产信息数据，利用已经获得的威胁列表和脆弱性列表，进行风险值计算、区分和确认风险等级因素。

5.根据权利要求1所述的增量风险评估的软件方法，其特征在于，所述步骤D中的如果资产状态为新增加的，则自动采用新的控制措施具体的包括：当检测到一个新资产数据库系统的脆弱性是密码强度不够，则措施是增加密码的强度。

6.根据权利要求1所述的增量风险评估的软件方法，其特征在于，所述增量风险评估为：建立在原来已作的风险评估基础之上的第二次或者多次进行风险评估。

7.一种增量风险评估的系统，其特征在于，包括：

比较判断模块，用于获取资产评估信息数据，将获取的资产评估信息数据与之前的资产评估信息数据进行比较判断，判断是前次风险评估，还是增量风险评估，并相应标记不同参数;其中，标记参数为：如果是新增资产状态的风险评估，风险评估状态参数取值是0；在前次风险评估完成的时候，风险评估状态参数被赋予值为1；

威胁和脆弱性识别数据处理模块，用于对获取的资产评估信息数据进行威胁和脆弱性识别，根据资产的状态来判断是否需要启动新的威胁和脆弱性识别动作；当获取到风险评估状态参数取值是0时，则判断该资产状态为新增加的，进行新的威胁和脆弱性识别；当获取到风险评估状态参数取值是1时，则判断该资产状态为以前的，则自动地把原来威胁和脆弱性识别结果的威胁列表和脆弱性列表输出；

风险分析数据处理模块，用于根据资产的状态自动判断是否需要启动新的风险分析：当获取到风险评估状态参数取值是0时，则判断该资产状态为新增加的，则进行新的风险分析；当获取到风险评估状态参数取值是1时，则判断该资产状态为以前的，则自动地把原来的分析结果风险列表输出；

风险控制措施数据处理模块，用于根据资产状态自动的判断是否需要识别新的风险控制措施：当获取到风险评估状态参数取值是0时，则判断该资产状态为新增加的，则自动采用新的控制措施；当获取到风险评估状态参数取值是1时，则判断该资产状态为以前的，则自动地把原来的风险控制措施输出。