【技术实现步骤摘要】
本申请涉及信息安全
,更具体地说,涉及一种风险评估方法及系统。
技术介绍
在资产风险评估时,往往需要对资产的风险进行量化,以便对不同资产的风险进行比较。目前常见的风险评估方法只有对资产风险的量化,其从资产风险的角度衡量资产的安全性。但是,这种风险评估方式没有考虑到资产脆弱性对资产安全性的影响,缺少潜在的风险评估。
技术实现思路
有鉴于此,本申请提供了一种风险评估方法及系统,用于解决现有风险评估方法没有考虑资产脆弱性对资产安全性的影响,导致缺少潜在风险评估的问题。为了实现上述目的,现提出的方案如下:一种风险评估方法,包括:利用资产的机密性量化值、完整性量化值和可用性量化值,确定资产的资产价值量化值;利用单位时间内资产遭到的攻击事件,以及资产脆弱性扫描结果,确定资产的攻击事件威胁量化值;利用所述资产价值量化值以及所述攻击事件威胁量化值,确定资产的资产风险量化值;利用资产的漏洞扫描结果量化值和基线检查结果量化值,确定资产的脆弱性量化值;其中,所述资产的资产风险量化值用于从资产风险角度衡量资产安全性,所述资产的脆弱性量化值用于从资产脆弱性角度衡量资产安全性。优选地,还包括:利用目标安全域内各个资产的资产风险量化值,确定所述目标安全域的风险量化值;利用目标安全域内各个资产的脆弱性量化值,确定所述目标安全域的脆弱性量化值。优选地,所述利用资产的 ...
【技术保护点】
一种风险评估方法,其特征在于,包括:利用资产的机密性量化值、完整性量化值和可用性量化值,确定资产的资产价值量化值;利用单位时间内资产遭到的攻击事件,以及资产脆弱性扫描结果,确定资产的攻击事件威胁量化值;利用所述资产价值量化值以及所述攻击事件威胁量化值,确定资产的资产风险量化值;利用资产的漏洞扫描结果量化值和基线检查结果量化值,确定资产的脆弱性量化值;其中,所述资产的资产风险量化值用于从资产风险角度衡量资产安全性,所述资产的脆弱性量化值用于从资产脆弱性角度衡量资产安全性。
【技术特征摘要】
1.一种风险评估方法,其特征在于,包括:
利用资产的机密性量化值、完整性量化值和可用性量化值,确定资产的资产价值量化
值;
利用单位时间内资产遭到的攻击事件,以及资产脆弱性扫描结果,确定资产的攻击事
件威胁量化值;
利用所述资产价值量化值以及所述攻击事件威胁量化值,确定资产的资产风险量化
值;
利用资产的漏洞扫描结果量化值和基线检查结果量化值,确定资产的脆弱性量化值;
其中,所述资产的资产风险量化值用于从资产风险角度衡量资产安全性,所述资产的
脆弱性量化值用于从资产脆弱性角度衡量资产安全性。
2.根据权利要求1所述的方法,其特征在于,还包括:
利用目标安全域内各个资产的资产风险量化值,确定所述目标安全域的风险量化值;
利用目标安全域内各个资产的脆弱性量化值,确定所述目标安全域的脆弱性量化值。
3.根据权利要求1所述的方法,其特征在于,所述利用资产的机密性量化值、完整性量
化值和可用性量化值,确定资产的资产价值量化值,包括:
分别将资产的机密性C、完整性I和可用性A划分为五个等级,各等级对应的分值分别为
1、2、3、4和5;
按照下式计算资产的资产价值量化值M:
M=2round[0.8(C+I+A)]212*100]]>其中,M取值区间为[0,100],round()函数为四舍五入的取整函数。
4.根据权利要求1所述的方法,其特征在于,所述利用单位时间内资产遭到的攻击事
件,以及资产脆弱性扫描结果,确定资产的攻击事件威胁量化值,包括:
按照下式计算资产的攻击事件威胁量化值T:
T=Evt*f(Evt,Vul)*g(SIP)
其中,T取值区间为[0,1],Evt为攻击事件威胁等级量化值,取值区间为[0,1],f()为事
件-资产相关性判断函数,取值区间为[0,1],g()为攻击源属性判断函数,取值区间为[0,
1];
上述Evt的确定过程为:
将攻击事件划分为五个等级,各个等级对应的分值level分别为1、2、3、4和5;
Evt=2level-230]]>其中,Evt取值区间为[0,1],level为攻击事件等级的分值;
上述f(Evt,Vul)的确定过程为:
f=1:资产上存在可被攻击利用的漏洞;
f=0.8:资产上不存在可被攻击利用的漏洞,但被攻击端口开放;
f=0.4:漏洞、开放端口均不相符,但操作系统类型相符;
f=0.2:漏洞、开放端口、操作系统类型均不相符,且目标资产存在漏扫结果;
f=0.1:漏洞、开放端口、操作系统类型均不相符,且系统中不存在目标资产的漏扫结
果;
上述g(SIP)的确定过程为:
g=1:攻击源位于预置黑名单列表中;
g=0.7:攻击源既不在预置黑名单,也不在预置白名单中;
g=0:攻击源位于预置白名单。
5.根据权利要求1所述的方法,其特征在于,所述利用所述资产价值量化值以及所述攻
击事件威胁量化值,确定资产的资产风险量化值,包括:
计算单个攻击事件造成的资产风险量化值Re:
Re=M*T
其中,M为资产价值量化值,T为资产的攻击事件威胁量化值;
单位时间...
【专利技术属性】
技术研发人员:诸葛凌啸,
申请(专利权)人:北京华热科技发展有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。