[发明专利]一种信息安全风险评估方法

说明书

本发明属于信息安全技术领域，尤其是一种信息安全风险评估方法，针对现有的评估方法存在诸多漏洞导致实际运用起来存在信息安全隐患的问题，现提出以下方案，包括评估前对参与该项目的成员信息进行汇总，并对工具包访谈表单和流程框架图下的所有材料进行统一收集存档；之后再对网络硬件和网络环境需要了解记录，制定初步风险评估方案；如轧钢操作车间的相关信息安全，首先需要对参加生产的班组成员进行签订保密合同，并在生产前对当班需要生产的钢坯成分进行了解。本发明可帮助用户灵活、高效地开发和集成复杂的应用软件，一旦被黑客发现漏洞并利用，将影响上下层安全；终端设备固件检测，帮助客户解决各种终端固件最底层的安全隐患。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种信息安全风险评估方法。

背景技术

随着企业信息化程度的不断提高，尤其是网络技术的飞速发展，使得信息安全问题逐渐成为企业管理中关注的重点。信息安全所面临的风险指的是，在业务系统的软件或硬件设备中存在安全风险项，例如，对于有研发、有生产类的公司，需要对它的研发项目、研发方向、加工方法、成本预估造成关键信息泄露，对企业资产和声誉形成潜在威胁。因此，有效的信息安全评估方法成为准确评价和衡量业务系统信息安全状况的有利依据。

但是，现有的安全评估系统仅通过经验分析，即采用基于知识的分析方法来找出目前的安全状况和安全标准之间的差距，进而得出的安全评估方法，而这样的评估方法缺少数据的支撑，从而使该评估方法所得到结果不准确。

发明内容

本发明为了克服现有的评估方法存在诸多漏洞导致实际运用起来存在信息安全隐患的问题，提供一种信息安全风险评估方法。

为了实现上述目的，本发明采用以下技术方案：一种信息安全风险评估方法，包括以下步骤：

步骤一：评估前对参与该项目的成员信息进行汇总，并对工具包访谈表单和流程框架图下的所有材料进行统一收集存档；之后再对网络硬件和网络环境需要了解记录，制定初步风险评估方案；如轧钢操作车间的相关信息安全，首先需要对参加生产的班组成员进行签订保密合同，并在生产前对当班需要生产的钢坯成分进行了解，指定合适的轧制道次和流程之后再将轧制规程上传系统；

步骤二：进入技术评估阶段，需要是基线评估，即对主机、网络设备、数据库中间件进行风险扫描；应用评估，即安全功能的日常维护；最后是渗透测试，即对业务系统、APP程序和微信程度进行检测；

即硬件上初轧机和四辊精轧机的辊子的选材，网络设备及控制轧机每个道次下压厚度的一整套控制系统，产生的下压记录数据存入数据库，对每一块成品钢板都实现建档立卡做到有迹可循；

步骤三：进行管理评估：即物理环境、通信与操作管理、访问控制、系统开发与维护以及业务的连续性进行系统的评估以促成运行平稳的基本保障；其次进行组织管理评估，制定安全策略，维持组织安全，对资产进行分类控制，选用人的时候充分考虑信息安全和物尽其用原则；即作业现场的调度，从加热炉到轧制阶段，再到后期的精整阶段做到调度有序，每一块钢板的具体信息应实时监控，作业长为第一责任人进行生产安全评估；

步骤四：做最终评估报告；首先需列出需要的资产分布，列出脆弱性分布及综合威胁的分布；即班后作评估报告，总结一天的生产经验，对生产后的设备、系统以及数据库信息进行安全审查再进行交接。

作为本发明中进一步的，所述步骤二中的主机风险扫描即支持云上云下主机资产梳理，并对主机进行脆弱性扫描，包括漏洞风险、主机服务可用性、端风险等，帮助企业发现影子资产、影子端口，为客户输出全面的资产分析报告和脆弱性报告，并提供专业的修复建议。

作为本发明中进一步的，所述步骤二中的关于中间件、固件扫描具体的中间件可帮助用户灵活、高效地开发和集成复杂的应用软件，一旦被黑客发现漏洞并利用，将影响上下层安全；终端设备固件检测，帮助客户解决各种终端固件最底层的安全隐患。