(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210970535.6 (22)申请日 2022.08.12 (71)申请人 深圳聚果科技有限公司 地址 518000 广东省深圳市前海深港合作 区前湾一路1号A栋201室 (72)发明人 王贵明　张赟　叶金燕　 (51)Int.Cl. H04W 12/121(2021.01) H04L 9/40(2022.01) (54)发明名称 一种移动互联网用安全评估系统及方法 (57)摘要 本发明公开了一种移动互联网用安全评估 系统及其方法， 具体涉及互联网安全评估领域， 包括风险评估准备模块、 识别模块、 已有安全措 施的确认模块、 风险分析模块、 评估记录存储反 馈模块以及实施风险控制模块， 本发 明通过脆弱 性识别模块采用基于特权提升的多维量化属性 弱点分类的方法来进行脆弱性识别， 将互联网服 务的特权集 分为6个等级， 通过资产识别模块、 威 胁识别模块、 脆弱性识别模块进行每个可能的安 全事件的风险等级的计算， 给每个安全事件定义 风险等级， 从而可以对这些潜在的安全事件根据 发生的可能性大小和发生 以后影响的大小从大 到小进行排序， 并且赋上不同的权重， 利用加权 平均的方法， 计算出网络的总风险值， 进而保证 网络的安全。 权利要求书2页 说明书8页 附图2页 CN 115499840 A 2022.12.20 CN 115499840 A 1.一种移动互联网用安全评估系统， 其特征在于： 包括风险评估准备模块、 识别模块、 已有安全措施的确认模块、 风险分析模块、 评估记录存储反馈模块以及实施风险控制模块， 所述风险评估准备模块是整个风险评估过程有效性的保证， 其主要作用是在风险评估实施 前， 能够对获得支持和配合、 确定风险评估的目标、 确定风险评估的内容、 组建风险评估团 队、 对被评估对 象进行调研以及确定评估依据和方法等方面进行准备工作， 将准备完成的 结果传输至识别模块， 所述识别模块根据风险评估模块的结果进行风险识别， 所述识别模 块包含资产识别模块、 威胁识别模块和 脆弱性识别模块三大模块， 并且在三大模块完成识 别后将数据传输给已有安全措施确认模块， 所述已有安全措施确认模块是用于对已经采取 的安全措施的有效性进行确认， 对于有效的安全措施继续保持， 以避免不必要的工作和费 用， 防止安全措施的重复实施， 对于确认为不适当的安全揩施应核实是否应被取消， 或者用 更合适的安全措施替代， 并且在完成后 将风险评估文件记录发送至评估记录存储反馈模块 进行数据存储和更新， 经过所述已有安全措施确认模块确认后的数据传输到风险分析模 块， 所述风险分析模块用于对在完成了资产识别、 威胁识别、 脆弱性识别后， 将采用适当的 方法确定威胁利用脆弱性导致安全事件发生的可能性， 综合资产价值及脆弱性的严重程度 判断安全事件一旦发生造成的损失， 最终得到风险值， 并且在该过程中实时地将数据发送 至评估记录存储反馈模块， 然后将最 终的风险分析数值结果 发送至已有安全措施的确认模 块， 所述已有安全措施的确认模块根据风险分析模块传输的数据结果向实施风险控制模块 发出维持确认现有的安全措施的指 令， 所述评估记录存储 反馈模块是用于记录评估过程的 文档并保持该内部存 储文档的可读取分析功能。 2.根据权利要求1所述的一种移动互联网用安全评估系统， 其特征在于： 所述识别模块 中脆弱性识别模块添加了对系统网络漏洞的渗透性测试。 3.根据权利要求1所述的一种移动互联网用安全评估系统， 其特征在于： 所述风险评估 准备模块中风险评估的内容主 要包含管理安全的风险和技 术安全的风险。 4.根据权利要求3所述的一种移动互联网用安全评估系统， 其特征在于： 所述风险评估 准备模块中管理安全的风险评估内容包括安全管 理机构、 安全 管理制度、 人员安全管理、 系 统建设管理、 系统运 维管理等， 技术安全的风险评估内容包括业务/应用安全、 网络安全、 设 备安全、 物理环境 安全等内容。 5.根据权利要求1所述的一种移动互联网用安全评估， 其特征在于： 所述识别模块包括 资产识别模块、 威胁识别模块和脆弱性识别模块。 6.根据权利要求5所述的一种移动互联网用安全评估， 其特征在于： 所述识别模块中资 产识别模块的资产价 值的影响计算公式如下： AssetValue＝Round1{L og2[( α *2I+β *2V+γ*2A)]} 其中， I代表社会影响力赋值； V代表业务价值赋值； A代表可用性赋值； Roundl{}表示四 舍五入处理， 保留1位小数； Lo g[]表示取以2为底的对数； α、 β和γ分别表示社会影响力、 业 务价值和可用性所占的权 重， α ≥0， β ≥0， γ≥0， 且α +β +γ＝1。 7.根据权利要求5所述的一种移动互联网用安全评估系统， 其特征在于： 所述识别模块 中威胁识别模块的因素来源包含人为因素包括外部人员的蓄意破坏、 内部人员的蓄意破坏 和内部人员的非恶意破坏。 8.根据权利要求1所述的一种移动互联网用安全评估系统， 其特征在于： 所述分析模块权　利　要　求　书 1/2 页 2 CN 115499840 A 2中对数据的分析过程为： 风险计算、 风险结果对否接收的判断、 制定和实施风险处理计划并 评估残余风险以及是否结构残余风险的判断， 其中风险计算在完成资产识别、 威胁识别以 及脆弱性识别后开始进行。 9.根据权利要求8所述的一种移动互联网用安全评估系统， 其特征在于： 所述风险分析 模块中的风险计算分为 三个步骤进行， 具体如下： A1、 计算安全事件发生的可能性； 根据威胁出现的频率及脆弱性状况， 计算威胁利用脆弱性导致安全事件发生的可能 性， 即： 安全事件发生的可能性＝L(威胁出现频率， 脆弱性)＝L(Ta， Vb)＝威胁识别赋值*是否 存在脆弱性 ＝威胁识别赋值； A2、 计算安全事件的损失； 根据资产价 值及脆弱性 严重程度， 计算 安全事件一旦发生造成的损失， 即： 安全事件的损失＝F(资产 价值， 脆弱性严重程度)＝F(Ia， Va)＝资产识别赋值*脆弱性 的识别赋值； 部分安全事件发生造成的损失不仅仅是针对该资产本身， 还可能影响其提供业务的连 续性， 不同安全事件对组织造成的影响也不一样， 在计算某个安全事件的损失时， 应将对组 织的影响也 考虑在内。 A3、 计算风险值； 根据计算出的安全 事件发生的可能性以及安全 事件的损失， 计算 风险值， 即： 风险值＝R(安全事件发生 的可能性， 安全事件的损失)＝R(L(Ta， Vb)， F(Ia， Va))＝资 产赋值*脆弱性赋值*威胁赋值； 其中威胁出现的频率赋值， 脆弱性严重程度 赋值， 资产价值赋值就是所说的威胁识别、 脆弱性识别和资产识别后的赋值， 存在的脆弱性是指脆弱性出现的概率， 依据该模型采用 相乘法来计算潜在安全 事件的风险值； 风险值＝资产价 值*威胁值*脆弱性 值 采用相乘法计算的风险值取值范围为1 ‑125， 分为五个等级， 分别为一级对应风险值1 ‑ 15， 二级对应风险值16 ‑20， 三级对应风险值31 ‑60， 四级对应风险值61 ‑90， 五级对应风险值 91‑125， 进而根据数值判断当前安全 事件的风险等级。 10.根据权利要求1 ‑9任一所述的一种移动互联网用安全评估系统的方法， 其特征在 于： 具体包括下列步骤： S1、 通过风险评估准备模块进行操作得到风险评估的目标； S2、 根据风险评估准备模块得 出的结果传输 到识别模块进行针对性的识别； S3、 通过已有安全措施确认模块确认后的数据分别传输到风险分析模块和评估记录存 储反馈模块进行分析； S4、 通过风险分析模块将结果传输至已有安全措施的确认模块并控制保持实施风险控 制模块进行措施命令的下达 。权　利　要　求　书 2/2 页 3 CN 115499840 A 3