The invention discloses an information system risk assessment method and device, the method includes: determining the various risk factors of each evaluation object basic information system in the value of each of the basic elements of risk assets, including at least the threat and vulnerability of three basic elements; arbitrary to the information system within a security domain one of the basic elements of risk, will all the security domain to evaluate the risk of the basic elements of object value as a model to calculate the risk factor, the basic elements of the security domain values, use the default probability calculation model which calculated the security domain model assessment the basic elements of risk of the object corresponding to the maximum weight value in the maximum probability; according to the above method to calculate the risk of the basic elements of each security domain value And, according to the basic elements of the security risk of each domain value, obtained the risk of security domain value using risk estimation method, provides a method to accurately evaluate the risk of the asset group and the security operation center to solve the.
【技术实现步骤摘要】
一种信息系统风险评估方法及装置
本专利技术涉及网络安全领域,尤其涉及一种信息系统风险评估方法及装置。
技术介绍
信息系统风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,可以根据评估结果预先给出有针对性的抵御威胁的防护对策和整改措施,为防范和化解信息安全风险,将风险控制在可接受的水平,最大限度地保障信息安全提供科学依据。目前国标GB/T20984-2007信息系统风险评估规范中介绍了风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度,单资产的风险值分析原理图如图1所示,主要包括:对资产进行识别,并对资产的价值进行赋值;对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性;根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。其中风险值的计算公式如式[1]所示。风险值=f(A,T,V)=R(L(T,V),F(Ia,Va))……………..公式[1]其中,R表示安全风险计算函数,A表示资产,T表示威胁出现的频率,V表示脆弱性,Ia表示安全事件所作用的资产价值,Va表示脆弱性严重程度,L表示威胁利用资产的脆弱性导致安全事件发生的 ...
【技术保护点】
一种信息系统风险评估方法,其特征在于,该方法包括:确定信息系统内每个评估对象的各个风险基本要素的值,所述各个风险基本要素至少包括资产、威胁、脆弱性三个基本要素;针对所述信息系统内的任意一个安全域的任意一个风险基本要素,将所述安全域内的各个评估对象的所述风险基本要素的值作为模型因子,利用预设的概率计算模型计算得到所述安全域的所述风险基本要素的值,其中,在所述概率计算模型中所述安全域内的各个评估对象的所述风险基本要素的最大值对应的权重值最大;根据所述安全域的每个风险基本要素的值,利用风险估算法求得所述安全域的风险值。
【技术特征摘要】
1.一种信息系统风险评估方法,其特征在于,该方法包括:确定信息系统内每个评估对象的各个风险基本要素的值,所述各个风险基本要素至少包括资产、威胁、脆弱性三个基本要素;针对所述信息系统内的任意一个安全域的任意一个风险基本要素,将所述安全域内的各个评估对象的所述风险基本要素的值作为模型因子,利用预设的概率计算模型计算得到所述安全域的所述风险基本要素的值,其中,在所述概率计算模型中所述安全域内的各个评估对象的所述风险基本要素的最大值对应的权重值最大;根据所述安全域的每个风险基本要素的值,利用风险估算法求得所述安全域的风险值。2.如权利要求1所述的方法,其特征在于,还包括:针对所述信息系统内的任意一个风险基本要素,将所述信息系统内的各个安全域的所述风险基本要素的值作为模型因子,利用预设的所述概率计算模型计算得到所述信息系统的所述风险基本要素的值,其中,在所述概率计算模型中所述信息系统内的各个安全域的所述风险基本要素的最大值对应的权重值最大;根据所述信息系统的风险基本要素的值,利用风险评估算法求得所述信息系统的风险值。3.如权利要求1或2所述的方法,其特征在于,所述预设的概率计算模型如公式一所示,所述公式一为:其中,R为资产、威胁、脆弱性三个风险基本要素中的任意一个,R的取值范围为[0,Max(R)],其中Max(R)为大于等于1的理论最大值,R1为所述风险基本要素R的实际最大值,u为收敛系数,取值在0至1/(n+Max(R))之间,n为有n个待计算的风险基本要素值,Ri为除了所述最大值之外的风险基本要素的值,R’为求得的风险基本要素的值。4.如权利要求1或2所述的方法,其特征在于,所述风险估算法如公式二所示,所述公式二为:风险值=Round1{Log2[(A×2The+B×2Vul+C×2Con)/3]}×Asset(value)其中,The代表威胁行为权值;Vul代表脆弱性的权值;Con代表弥补措施的权值;Round函数是按制定位数,对数值四舍五入的函数,Round1表示保留1位小数;Asset(value)代表资产价值;A为威胁行为权值的系数;B为脆弱性的权值的系数;C为弥补措施的权值的系数。5.如权利要求2所述的方法,其特征在于,利用风险评估算法求得所述信息系统的风险值之后,还包括:生成所述信息系统的安全风险报告,其中所述安全风险报告包括:能够导致风险的安全事件和安全漏洞的清单,以及各种安全事件和安全漏洞所对应的安全风险等级。6.一种信息系统风险...
【专利技术属性】
技术研发人员:赵粤征,肖岩军,李瀛,贠珊,
申请(专利权)人:北京神州绿盟信息安全科技股份有限公司,北京神州绿盟科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。