本发明专利技术公开了一种信息安全风险评估方法,涉及信息安全技术领域。该方法评估项全面、评估范围广、支持自定义规则的评估,及时对威胁与潜在威胁的发现,更好的做好预警处理,同时评估数据达到数据内容包含全面,风险可视化高、潜在威胁的体现和风险情况的描述和处理方案清晰。
【技术实现步骤摘要】
一种信息安全风险评估方法
本专利技术涉及信息安全
,尤其涉及一种信息安全风险评估方法。
技术介绍
网络与信息安全是信息产业发展的战略目标之一。《国家长期科学和技术发展规划纲要(2006—2020)》中明确提出:“开发网络信息安全技术及相关产品,建立信息安全技术保障体系”。目前,在网络与信息安全领域,主要是通过威胁评估的方法进行风险评估,即根据漏洞预警信息与病毒预警信息产生的安全事件,对安全事件进行威胁甄别、标识风险级别,并且关联相对应的信息资产信息,产生风险评估数据。上述方法是对漏洞与病毒预警信息产生的安全事件的威胁评估,评估项单一,评估范围小,评估忽略潜在威胁,并且不支持自定义规则评估。由于此评估方法不支持自定义评估,导致预警处理方面障碍重重。评估数据方面,内容片面,缺少风险情况描述及处理方案,潜在威胁得不到体现。
技术实现思路
本专利技术的目的在于提供一种信息安全风险评估方法,从而解决现有技术中存在的前述问题。为了实现上述目的,本专利技术采用的技术方案如下:一种信息安全风险评估方法,包括如下步骤:S1,根据待评估资产类型获取该类型的所有资产列表、基本配置信息列表及风险基线;S2,嵌套循环遍历所述资产列表和基本配置信息列表,获取根据所述资产列表的索引得到的所有信息;S43,利用基本配置信息列表中的脆弱性或威胁性配置值,根据威胁风险系数的风险取值级别的自定义规则,得到脆弱性或威胁性的实际值;S4,根据脆弱性和威胁性的实际值计算风险值;S5,判断所述风险值是否超过所述待评估资产类型的风险基线,如果超过,则根据报警配置信息将报警预警信息发送给收信人,否则,返回资产安全提示。优选地,还包括步骤,定义用作封装风险评估数据的实体类,以及将S2-S5中得到的数据封装到实体类,所述实体类包括:资产基本信息属性和风险属性,所述资产基本属性包括资产编号、名称和资产价值,所述风险属性包括威胁性、脆弱性、风险值和风险等级。优选地,还包括步骤,将封装到实体类的风险评估数据储存于数据库中,并用于前台页面或报表展示。优选地,所述基本配置信息包括:资产价值、威胁风险系数、威胁脆弱性和风险值。优选地,所述资产价值包括安全属性等级及等级描述,所述安全属性包括可用性、完整性和保密性,用于计算资产的价值;所述威胁风险系数包括风险类型、评判标准、等级和取值级别以及该级别的自定义规则,所述自定义规则配置一定时间段如每天、每月、每年产生的漏洞预警信息和病毒预警信息的发生数量,对应相应的自定义等级,根据此规则的配置计算威胁性和脆弱性的等级;所述风险类型包括脆弱性和威胁性,用于根据所述自定义规则和评判标准评估风险;所述威胁脆弱性包括所属资产类型,风险描述及处理,所述威胁脆弱性是关联威胁风险系数配置的,用于关联资产,根据规则和评判标准评估风险;所述风险值包括等级,上线、下线、标识及风险等级的意义,用于定义风险的级别。优选地,所述风险基线包括资产类型和风险基线的等级。优选地,S1之前还包括步骤,构建两个构造函数作为风险评估的入口,一个无参数,一个有参数,参数为资产类型,无参函数用做评估所有类型资产,有参函数用做针对资产类型进行单项评估。本专利技术的有益效果是:本专利技术实施例提供的一种信息安全风险评估方法,评估项全面、评估范围广、支持自定义规则的评估,及时对威胁与潜在威胁的发现,更好的做好预警处理,同时评估数据达到数据内容包含全面,风险可视化高、潜在威胁的体现和风险情况的描述和处理方案清晰。附图说明图1是本专利技术实施例提供的风险评估配置流程图;图2是本专利技术实施例提供的风险评估方法流程示意图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施方式仅仅用以解释本专利技术,并不用于限定本专利技术。数据中心各个系统之间的管理和联系依赖于网络和信息系统,为了更好的管理和联系数据中心各个系统,解决评估项单一、评估范围小、评估信息时间范围、忽略潜在威胁、预警处理等问题,本专利技术实施例提供的方法,通过针对风险信息评估制定统一规则、设置基线等方式,大大减少潜在威胁的发现,提高预警处理速度和风险信息评估的评估范围。本专利技术实施例提供了一种信息安全风险评估方法,包括如下步骤:S1,根据待评估资产类型获取该类型的所有资产列表、基本配置信息列表及风险基线;S2,嵌套循环遍历所述资产列表和基本配置信息列表,获取根据所述资产列表的索引得到的所有信息;S43,利用基本配置信息列表中的脆弱性或威胁性配置值,根据威胁风险系数的风险取值级别的自定义规则,得到脆弱性或威胁性的实际值;S4,根据脆弱性和威胁性的实际值计算风险值;S5,判断所述风险值是否超过所述待评估资产类型的风险基线,如果超过,则根据报警配置信息将报警预警信息发送给收信人,否则,返回资产安全提示。本专利技术实施例提供的信息安全风险评估方法,还可以包括步骤,定义用作封装风险评估数据的实体类,以及将S2-S5中得到的数据封装到实体类,所述实体类包括:资产基本信息属性和风险属性,所述资产基本属性包括资产编号、名称和资产价值,所述风险属性包括威胁性、脆弱性、风险值和风险等级。在另一个本专利技术实施例提供的信息安全风险评估方法中,还可以包括步骤,将封装到实体类的风险评估数据储存于数据库中,并用于前台页面或报表展示。本实施例中,所述基本配置信息包括:资产价值、威胁风险系数、威胁脆弱性和风险值。其中,所述资产价值包括安全属性等级及等级描述,所述安全属性包括可用性、完整性和保密性,用于计算资产的价值;所述威胁风险系数包括风险类型、评判标准、等级和取值级别以及该级别的自定义规则,所述自定义规则配置一定时间段如每天、每月、每年产生的漏洞预警信息和病毒预警信息的发生数量,对应相应的自定义等级,根据此规则的配置计算威胁性和脆弱性的等级;所述风险类型包括脆弱性和威胁性,用于根据所述自定义规则和评判标准评估风险;所述威胁脆弱性包括所属资产类型,风险描述及处理,所述威胁脆弱性是关联威胁风险系数配置的,用于关联资产,根据规则和评判标准评估风险;所述风险值包括等级,上线、下线、标识及风险等级的意义,用于定义风险的级别。所述风险基线包括资产类型和风险基线的等级。在本专利技术的一个优选实施例中,S1之前还可以包括步骤,构建两个构造函数作为风险评估的入口,一个无参数,一个有参数,参数为资产类型,无参函数用做评估所有类型资产,有参函数用做针对资产类型进行单项评估。综上所述,本专利技术提供的评估方法能够对不同的风险信息根据自定义规则,进行全面、大范围、深度的评估分析,并且做好预警处理,产生数据全面、风险可视化高,风险等级、描述、处理方案清晰的评估数据。具体实施例:第一步,定义风险评估数据实体类:定义实体类属性,资产基本信息属性,如资产编号、名称、资产价值等,风险属性,如威胁性、脆弱性、风险值、风险等级等属性用做封装评估数据。第二步,配置风险评估规则及风险基线,具体流程可如图1所示:1.配置资产价值的安全属性等级及等级描述,安全属性包括可用性、完整性、保密性,用于计算资产的价值。2.配置威胁风险系数的风险类型、评判标准、等级和取值级别并定义该级别的规则,风险类型包括脆弱性和威胁,用于根据规则和评判标准评估风险。3.配置威胁脆本文档来自技高网...
【技术保护点】
一种信息安全风险评估方法,其特征在于,包括如下步骤:S1,根据待评估资产类型获取该类型的所有资产列表、基本配置信息列表及风险基线;S2,嵌套循环遍历所述资产列表和基本配置信息列表,获取根据所述资产列表的索引得到的所有信息;S43,利用基本配置信息列表中的脆弱性或威胁性配置值,根据威胁风险系数的风险取值级别的自定义规则,得到脆弱性或威胁性的实际值;S4,根据脆弱性和威胁性的实际值计算风险值;S5,判断所述风险值是否超过所述待评估资产类型的风险基线,如果超过,则根据报警配置信息将报警预警信息发送给收信人,否则,返回资产安全提示。
【技术特征摘要】
1.一种信息安全风险评估方法,其特征在于,包括如下步骤:S1,根据待评估资产类型获取该类型的所有资产列表、基本配置信息列表及风险基线;S2,嵌套循环遍历所述资产列表和基本配置信息列表,获取根据所述资产列表的索引得到的所有信息;S43,利用基本配置信息列表中的脆弱性或威胁性配置值,根据威胁风险系数的风险取值级别的自定义规则,得到脆弱性或威胁性的实际值;S4,根据脆弱性和威胁性的实际值计算风险值;S5,判断所述风险值是否超过所述待评估资产类型的风险基线,如果超过,则根据报警配置信息将报警预警信息发送给收信人,否则,返回资产安全提示。2.根据权利要求1所述的信息安全风险评估方法,其特征在于,还包括步骤,定义用作封装风险评估数据的实体类,以及将S2-S5中得到的数据封装到实体类,所述实体类包括:资产基本信息属性和风险属性,所述资产基本属性包括资产编号、名称和资产价值,所述风险属性包括威胁性、脆弱性、风险值和风险等级。3.根据权利要求2所述的信息安全风险评估方法,其特征在于,还包括步骤,将封装到实体类的风险评估数据储存于数据库中,并用于前台页面或报表展示。4.根据权利要求1所述的信息安全风险评估方法,其特征在于,所述基本配置信息包...
【专利技术属性】
技术研发人员:韩腾飞,
申请(专利权)人:航天科工智慧产业发展有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。