[发明专利]一种烟草信息系统网络安全风险测评系统和方法

权利要求书

1.一种烟草信息系统网络安全风险测评系统，其特征在于，包括：风险测评模型和风险预测模型；

风险测评模型，用于识别信息系统网络安全风险，并建立网络信息安全历史测评数据；

所述风险测评模型包括资产价值评估模块、风险系数评估模块、风险权重评估模块和分析模块；

其中，所述资产价值评估模块用于评估资产的价值，所述风险系数评估模块用于评估风险的严重程度，所述风险权重评估模块用于评估风险大小，所述分析模块用于分别根据所述资产价值评估模块、所述风险系数评估模块和所述风险权重评估模块得到的数值进行分析，得到测评值，并建立网络信息安全历史测评数据；

风险预测模型，用于根据网络信息安全历史测评数据对风险进行预测；

所述风险预测模型包括获取模块、分类模块和关联分析模块；

其中，所述获取模块用于获取所述风险测评模型得到的网络信息安全历史测评数据，所述分类模块用于对网络信息安全历史测评数据进行分类得到分类数据，所述关联分析模块用于对分类数据进行分析得到预测结果数据。

2.如权利要求1所述的一种烟草信息系统网络安全风险测评系统，其特征在于，所述分析模块得到的测评值计算公式为：

P＝Σ(V×(1-RPN×W_i))

其中，在本公式中，V表示资产价值；

RPN表示风险系数；

W_i表示风险系数权重；

P表示测评值。

3.如权利要求1所述的一种烟草信息系统网络安全风险测评系统，其特征在于，所述资产价值评估模块用于评估资产的机密性、完整性和可用性，所述资产价值评估模块的计算公式为：

其中，在本公式中，C表示机密性；

I表示完整性；

A表示可用性；

V表示资产价值。

4.如权利要求1所述的一种烟草信息系统网络安全风险测评系统，其特征在于，所述风险系数评估模块用于评估风险的严重程度、频率和监测可能性，所述风险系数评估模块的计算公式为：

RPN＝S×O×D

其中，在本公式中，S表示严重程度；

O表示频率；

D表示监测可能性；

RPN表示风险系数。

5.如权利要求1所述的一种烟草信息系统网络安全风险测评系统，其特征在于，所述风险权重评估模块的计算公式为：

其中，在本公式中，W_i表示风险系数权重；

w_ij表示每个测评专家对每个风险测评项给出的分值；

k为测评项数。

6.如权利要求1所述的一种烟草信息系统网络安全风险测评系统，其特征在于，所述分析模块采用加权平均的方式进行计算得到测评值。

7.如权利要求1所述的一种烟草信息系统网络安全风险测评系统，其特征在于，所述分类模块用于将所述风险测评模型得到的网络信息安全历史测评数据分为A，B，C三个类别，其中，A代表不符合项，B代表弱符合项，C代表符合项。

8.如权利要求1所述的一种烟草信息系统网络安全风险测评系统，其特征在于，网络安全风险测评和预测的方向为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个技术层面，安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个管理层面。

9.一种烟草信息系统网络安全风险测评方法，应用于如权利要求1-8任一项所述的一种烟草信息系统网络安全风险测评系统，其特征在于，包括以下步骤：

S1，识别信息系统网络安全风险控制过程和功能需求，识别确认信息系统网络安全对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个技术层面，安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个管理层面等十个测评层面提出的要求；

S2，分析潜在的失效模式及其后果，针对十个测评层面的所有测评项，分别输入风险测评模型逐一进行分析评估得到测评值；

S3，评定每个风险后果的严重程度等级，根据测评值评定每个风险后果的严重程度；

S4，评定每个风险的频度等级，根据测评值评定每个风险的频度等级；

S5，计算每个风险事件的风险等级划分，根据风险测评的计算公式，计算每个风险事件的风险值，根据风险值划分为A、B、C三个不同的等级；

S6，对高风险级数事件进行改进，根据测评结果，对于不符合项A和弱符合项B实施改进和控制。