一种风险评估方法及系统技术方案

本申请公开了一种风险评估方法及系统，方法包括：利用资产的机密性量化值、完整性量化值和可用性量化值，确定资产的资产价值量化值，进一步利用单位时间内资产遭到的攻击事件，以及资产脆弱性扫描结果，确定资产的攻击事件威胁量化值，利用资产价值量化值和攻击事件威胁量化值，确定资产的资产风险量化值，资产风险量化值用于从资产风险角度衡量资产安全性，最后，利用资产的漏洞扫描结果量化值和基线检查结果量化值，确定资产的脆弱性量化值，资产的脆弱性量化值用于从资产脆弱性角度衡量资产安全性。本申请在考虑资产风险量化值的同时，考虑了资产脆弱性量化值，从两个角度评估了资产的安全性。

【技术实现步骤摘要】

本申请涉及信息安全
，更具体地说，涉及一种风险评估方法及系统。
技术介绍
在资产风险评估时，往往需要对资产的风险进行量化，以便对不同资产的风险进行比较。目前常见的风险评估方法只有对资产风险的量化，其从资产风险的角度衡量资产的安全性。但是，这种风险评估方式没有考虑到资产脆弱性对资产安全性的影响，缺少潜在的风险评估。
技术实现思路
有鉴于此，本申请提供了一种风险评估方法及系统，用于解决现有风险评估方法没有考虑资产脆弱性对资产安全性的影响，导致缺少潜在风险评估的问题。为了实现上述目的，现提出的方案如下：一种风险评估方法，包括：利用资产的机密性量化值、完整性量化值和可用性量化值，确定资产的资产价值量化值；利用单位时间内资产遭到的攻击事件，以及资产脆弱性扫描结果，确定资产的攻击事件威胁量化值；利用所述资产价值量化值以及所述攻击事件威胁量化值，确定资产的资产风险量化值；利用资产的漏洞扫描结果量化值和基线检查结果量化值，确定资产的脆弱性量化值；其中，所述资产的资产风险量化值用于从资产风险角度衡量资产安全性，所述资产的脆弱性量化值用于从资产脆弱性角度衡量资产安全性。优选地，还包括：利用目标安全域内各个资产的资产风险量化值，确定所述目标安全域的风险量化值；利用目标安全域内各个资产的脆弱性量化值，确定所述目标安全域的脆弱性量化值。优选地，所述利用资产的机密性量化值、完整性量化值和可用性量化值，确定资产的资产价值量化值，包括：分别将资产的机密性C、完整性I和可用性A划分为五个等级，各等级对应的分值分别为1、2、3、4和5；按照下式计算资产的资产价值量化值M：M=2round[0.8(C+I+A)]212*100]]>其中，M取值区间为[0,100]，round()函数为四舍五入的取整函数。优选地，所述利用单位时间内资产遭到的攻击事件，以及资产脆弱性扫描结果，确定资产的攻击事件威胁量化值，包括：按照下式计算资产的攻击事件威胁量化值T：T＝Evt*f(Evt,Vul)*g(SIP)其中，T取值区间为[0,1]，Evt为攻击事件威胁等级量化值，取值区间为[0,1]，f()为事件-资产相关性判断函数，取值区间为[0,1]，g()为攻击源属性判断函数，取值区间为[0,1]；上述Evt的确定过程为：将攻击事件划分为五个等级，各个等级对应的分值level分别为1、2、3、4和5；Evt=2level-230]]>其中，Evt取值区间为[0,1]，level为攻击事件等级的分值；上述f(Evt,Vul)的确定过程为：f＝1：资产上存在可被攻击利用的漏洞；f＝0.8：资产上不存在可被攻击利用的漏洞，但被攻击端口开放；f＝0.4：漏洞、开放端口均不相符，但操作系统类型相符；f＝0.2：漏洞、开放端口、操作系统类型均不相符，且目标资产存在漏扫结果；f＝0.1：漏洞、开放端口、操作系统类型均不相符，且系统中不存在目标资产的漏扫结果；上述g(SIP)的确定过程为：g＝1：攻击源位于预置黑名单列表中；g＝0.7：攻击源既不在预置黑名单，也不在预置白名单中；g＝0：攻击源位于预置白名单。优选地，所述利用所述资产价值量化值以及所述攻击事件威胁量化值，确定资产的资产风险量化值，包括：计算单个攻击事件造成的资产风险量化值Re：Re＝M*T其中，M为资产价值量化值，T为资产的攻击事件威胁量化值；单位时间内，一个资产遭到的多次攻击所造成的资产风险采取概率求和的方式计算：R=[1-Πi=1n(1-Rei100)]*100]]>其中，Rei为单个攻击事件i造成的风险，n为单位时间内攻击事件总数。优选地，所述利用目标安全域内各个资产的资产风险量化值，确定所述目标安全域的风险量化值，包括：计算目标安全域的风险量化值Ra:Ra=[1-Πj=1n(1-Rj100)]*100]]>Ra为目标安全域的风险量化值，取值区间为[0,100]，Rj为资产j的风险量化值，取值区间为[0,100]，n为目标安全域内的资产总数。优选地，所述利用资产的漏洞扫描结果量化值和基线检查结果量化值，确定资产的脆弱性量化值，包括：计算资产的脆弱性量化值V：V=α*vul+β*basα+β]]>其中，vul为漏洞扫描结果量化值，取值区间为[0,100]，bas为基线检查结果量化值，取值区间为[0,100]，α和β为权重值，二者和为1；其中，vul的确定过程为：对资产上的每个漏洞，将其转换为脆弱性概率值Pk：Pk=2Spk1024,Spk≤90.8,Spk=9]]>其中，Pk为漏洞k的脆弱概率值，取值区间为[0,0.8]，Spk为漏洞k的CVSS分值，取值区间为[1,10]；vul=[1-Πk=1n(1-Pk)]*100;]]>其中，bas的确定过程为：bas＝100-res其中，res为基线检查工具对资产进行扫描后得到的百分制下的评分值。优选地，所述利用目标安全域内各个资产的脆弱性量化值，确定所述目标安全域的脆弱性量化值，包括：计算目标安全域的脆弱性量化值VA：VA=[1-Πj=1n(1-Vj100)]*100]]>其中，Vj为目标域中资产j脆弱性量化值。一种风险评估系统，包括：资产价值量化单元，用于利用资产的机密性量化值、完整性量化值和可用性量化值，确定资产的资产价值量化值；攻击事件威胁量化单元，用于利用单位时间内资产遭到的攻击事件，以及资产脆弱性扫描结果，确定资产的攻击事件威胁量化值；资产风险量化单元，用于利用所述资产价值量化值以及所述攻击事件威胁量化值，确定资产的资产风险量化值，所述资产的资产风险量化值用于从资产风险角度衡量资产安全性，；资产脆弱性量化单元，用于利用资产的漏洞扫描结果量化值和基线检查结果量化值，确定资产的脆弱性量化值，所述资产的脆弱性量化值用于从资产脆弱性角度衡量资产安全性。优选地，还包括：安全域风险量化单元，用于利用目标安全域内各个资产的资产风险量化值，确定所述目标安全域的风险量化值；安全域脆弱性量化单元，用于利用目标安全域内各个资产的脆弱性量化值，确定所述目标安全域的脆弱性量化值。从上述的技术方案可以看出本文档来自技高网...

【技术保护点】
一种风险评估方法，其特征在于，包括：利用资产的机密性量化值、完整性量化值和可用性量化值，确定资产的资产价值量化值；利用单位时间内资产遭到的攻击事件，以及资产脆弱性扫描结果，确定资产的攻击事件威胁量化值；利用所述资产价值量化值以及所述攻击事件威胁量化值，确定资产的资产风险量化值；利用资产的漏洞扫描结果量化值和基线检查结果量化值，确定资产的脆弱性量化值；其中，所述资产的资产风险量化值用于从资产风险角度衡量资产安全性，所述资产的脆弱性量化值用于从资产脆弱性角度衡量资产安全性。

【技术特征摘要】
1.一种风险评估方法，其特征在于，包括：
利用资产的机密性量化值、完整性量化值和可用性量化值，确定资产的资产价值量化
值；
利用单位时间内资产遭到的攻击事件，以及资产脆弱性扫描结果，确定资产的攻击事
件威胁量化值；
利用所述资产价值量化值以及所述攻击事件威胁量化值，确定资产的资产风险量化
值；
利用资产的漏洞扫描结果量化值和基线检查结果量化值，确定资产的脆弱性量化值；
其中，所述资产的资产风险量化值用于从资产风险角度衡量资产安全性，所述资产的
脆弱性量化值用于从资产脆弱性角度衡量资产安全性。
2.根据权利要求1所述的方法，其特征在于，还包括：
利用目标安全域内各个资产的资产风险量化值，确定所述目标安全域的风险量化值；
利用目标安全域内各个资产的脆弱性量化值，确定所述目标安全域的脆弱性量化值。
3.根据权利要求1所述的方法，其特征在于，所述利用资产的机密性量化值、完整性量
化值和可用性量化值，确定资产的资产价值量化值，包括：
分别将资产的机密性C、完整性I和可用性A划分为五个等级，各等级对应的分值分别为
1、2、3、4和5；
按照下式计算资产的资产价值量化值M：
M=2round[0.8(C+I+A)]212*100]]>其中，M取值区间为[0,100]，round()函数为四舍五入的取整函数。
4.根据权利要求1所述的方法，其特征在于，所述利用单位时间内资产遭到的攻击事
件，以及资产脆弱性扫描结果，确定资产的攻击事件威胁量化值，包括：
按照下式计算资产的攻击事件威胁量化值T：
T＝Evt*f(Evt,Vul)*g(SIP)
其中，T取值区间为[0,1]，Evt为攻击事件威胁等级量化值，取值区间为[0,1]，f()为事
件-资产相关性判断函数，取值区间为[0,1]，g()为攻击源属性判断函数，取值区间为[0,
1]；
上述Evt的确定过程为：
将攻击事件划分为五个等级，各个等级对应的分值level分别为1、2、3、4和5；
Evt=2level-230]]>其中，Evt取值区间为[0,1]，level为攻击事件等级的分值；
上述f(Evt,Vul)的确定过程为：
f＝1：资产上存在可被攻击利用的漏洞；
f＝0.8：资产上不存在可被攻击利用的漏洞，但被攻击端口开放；
f＝0.4：漏洞、开放端口均不相符，但操作系统类型相符；
f＝0.2：漏洞、开放端口、操作系统类型均不相符，且目标资产存在漏扫结果；
f＝0.1：漏洞、开放端口、操作系统类型均不相符，且系统中不存在目标资产的漏扫结
果；
上述g(SIP)的确定过程为：
g＝1：攻击源位于预置黑名单列表中；
g＝0.7：攻击源既不在预置黑名单，也不在预置白名单中；
g＝0：攻击源位于预置白名单。
5.根据权利要求1所述的方法，其特征在于，所述利用所述资产价值量化值以及所述攻
击事件威胁量化值，确定资产的资产风险量化值，包括：
计算单个攻击事件造成的资产风险量化值Re：
Re＝M*T
其中，M为资产价值量化值，T为资产的攻击事件威胁量化值；
单位时间...

【专利技术属性】
技术研发人员：诸葛凌啸，
申请(专利权)人：北京华热科技发展有限公司，
类型：发明
国别省市：北京;11