一种信息系统风险评估方法及装置制造方法及图纸

本发明专利技术公开一种信息系统风险评估方法及装置，该方法包括：确定信息系统内每个评估对象的各个风险基本要素的值，所述各个风险基本要素至少包括资产、威胁、脆弱性三个基本要素；针对所述信息系统内的任意一个安全域的任意一个风险基本要素，将所述安全域内的各个评估对象的所述风险基本要素的值作为模型因子，利用预设的概率计算模型计算得到所述安全域的所述风险基本要素的值，其中，在所述概率计算模型中所述安全域内的各个评估对象的所述风险基本要素的最大值对应的权重值最大；按照上述方法计算得到所述安全域的每个风险基本要素的值，并根据所述安全域的每个风险基本要素的值，利用风险估算法求得所述安全域的风险值，用以解决提供一种准确地对资产组以及整个安全运维中心进行风险评估的方法。

Information system risk assessment method and device

The invention discloses an information system risk assessment method and device, the method includes: determining the various risk factors of each evaluation object basic information system in the value of each of the basic elements of risk assets, including at least the threat and vulnerability of three basic elements; arbitrary to the information system within a security domain one of the basic elements of risk, will all the security domain to evaluate the risk of the basic elements of object value as a model to calculate the risk factor, the basic elements of the security domain values, use the default probability calculation model which calculated the security domain model assessment the basic elements of risk of the object corresponding to the maximum weight value in the maximum probability; according to the above method to calculate the risk of the basic elements of each security domain value And, according to the basic elements of the security risk of each domain value, obtained the risk of security domain value using risk estimation method, provides a method to accurately evaluate the risk of the asset group and the security operation center to solve the.

【技术实现步骤摘要】
一种信息系统风险评估方法及装置
本专利技术涉及网络安全领域，尤其涉及一种信息系统风险评估方法及装置。
技术介绍
信息系统风险评估就是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，可以根据评估结果预先给出有针对性的抵御威胁的防护对策和整改措施，为防范和化解信息安全风险，将风险控制在可接受的水平，最大限度地保障信息安全提供科学依据。目前国标GB/T20984－2007信息系统风险评估规范中介绍了风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度，单资产的风险值分析原理图如图1所示，主要包括：对资产进行识别，并对资产的价值进行赋值；对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性；根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失；根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。其中风险值的计算公式如式[1]所示。风险值＝f(A,T,V)＝R(L(T,V),F(Ia,Va))……………..公式[1]其中，R表示安全风险计算函数，A表示资产，T表示威胁出现的频率，V表示脆弱性，Ia表示安全事件所作用的资产价值，Va表示脆弱性严重程度，L表示威胁利用资产的脆弱性导致安全事件发生的可能性，F表示安全事件发生后的造成的损失。由于规范中仅介绍了单资产风险分析的基本流程及原理，即如何通过对三大要素(资产、脆弱性、威胁)进行识别和赋值，采用了相乘或者矩阵法计算出风险值，并没有给出由单个资产构成的资产组以及整个安全运维中心的脆弱性值、威胁值、风险值的计算方法，因此现有技术缺乏对资产组以及整个安全运维中心的风险评估方法。
技术实现思路
本专利技术实施例提供一种信息系统风险评估方法及装置，用以解决提供一种准确地对资产组以及整个安全运维中心进行风险评估的方法。本专利技术方法包括一种信息系统风险评估方法，该方法包括：确定信息系统内每个评估对象的各个风险基本要素的值，所述各个风险基本要素至少包括资产、威胁、脆弱性三个基本要素；针对所述信息系统内的任意一个安全域的任意一个风险基本要素，将所述安全域内的各个评估对象的所述风险基本要素的值作为模型因子，利用预设的概率计算模型计算得到所述安全域的所述风险基本要素的值，其中，在所述概率计算模型中所述安全域内的各个评估对象的所述风险基本要素的最大值对应的权重值最大；根据所述安全域的每个风险基本要素的值，利用风险估算法求得所述安全域的风险值。基于同样的专利技术构思，本专利技术实施例进一步地提供一种信息系统风险评估装置，该装置包括：确定单元，用于确定信息系统内每个评估对象的各个风险基本要素的值，所述各个风险基本要素至少包括资产、威胁、脆弱性三个基本要素；计算单元，用于针对所述信息系统内的任意一个安全域的任意一个风险基本要素，将所述安全域内的各个评估对象的所述风险基本要素的值作为模型因子，利用预设的概率计算模型计算得到所述安全域的所述风险基本要素的值，其中，在所述概率计算模型中所述安全域内的各个评估对象的所述风险基本要素的最大值对应的权重值最大；评估单元，用于根据所述安全域的每个风险基本要素的值，利用风险估算法求得所述安全域的风险值。本专利技术实施例通过利用每个安全域下面的多个评估对象的风险基本要素的值，计算得到该安全域的风险基本要素的值，进而利用安全域的各个风险基本要素的值求得该安全域的风险值，计算方法主要是利用预设的概率计算模型，针对该安全域的一个资产基本要素来说，将该安全域下面的各个评估对象的资产基本要素的值输入到该概率计算模型，然后得到该安全域的资产基本要素值，可见，利用这种计算方法可以方便快捷的逐层计算出风险值、威胁值、脆弱性值；系统安全风险通过各个层级的风险值、威胁值、脆弱性值立体呈现，使得用户可以通过下钻快速定位顶层风险域或者顶层风险资产，从而便于根据风险值及时作出风险预警。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为现有技术提供的一种资产的风险值分析原理示意图；图2为本专利技术实施例提供一种信息系统风险评估方法流程示意图；图3为本专利技术实施例提供一种资产的风险值分析原理详细示意图；图4为本专利技术实施例提供一种多层的网络系统的风险评估方法流程示意图；图5为本专利技术实施例提供一种信息系统风险评估装置架构示意图。具体实施方式为了使本专利技术的目的、技术方案和优点更加清楚，下面将结合附图对本专利技术作进一步地详细描述，显然，所描述的实施例仅仅是本专利技术一部份实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本专利技术保护的范围。参见图2所示，本专利技术实施例提供一种信息系统风险评估方法流程示意图，具体地实现方法包括：步骤S101，确定信息系统内每个评估对象的各个风险基本要素的值，所述各个风险基本要素至少包括资产、威胁、脆弱性三个基本要素。步骤S102，针对所述信息系统内的任意一个安全域的任意一个风险基本要素，将所述安全域内的各个评估对象的所述风险基本要素的值作为模型因子，利用预设的概率计算模型计算得到所述安全域的所述风险基本要素的值，其中，在所述概率计算模型中所述安全域内的各个评估对象的所述风险基本要素的最大值对应的权重值最大。步骤S103，根据所述安全域的每个风险基本要素的值，利用风险估算法求得所述安全域的风险值。需要说明的是，在执行步骤S101时，需要先确定出每个评估对象的各个风险基本要素的值，关于评估对象的各个风险基本要素的值计算原理如
技术介绍
的图1单资产的风险值分析原理所述。在风险值分析原理中，保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此，应对组织中的资产进行识别。对于资产基本因素来说，资产价值应依据资产在保密性、完整性和可用性上的赋值等级，经过综合评定得出，如图3所示。综合评定方法可以根据自身的特点，选择对资产保密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果；也可以根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。本专利技术实施例中，为与上述安全属性的赋值相对应，根据最终赋值将资产划分为五级，级别越高表示资产越重要，也可以根据组织的实际情况确定资产识别中的赋值依据和等级。对于威胁基本因素来说，威胁可以通过威胁主体、资源、动机、途径等多种属本文档来自技高网...

【技术保护点】
一种信息系统风险评估方法，其特征在于，该方法包括：确定信息系统内每个评估对象的各个风险基本要素的值，所述各个风险基本要素至少包括资产、威胁、脆弱性三个基本要素；针对所述信息系统内的任意一个安全域的任意一个风险基本要素，将所述安全域内的各个评估对象的所述风险基本要素的值作为模型因子，利用预设的概率计算模型计算得到所述安全域的所述风险基本要素的值，其中，在所述概率计算模型中所述安全域内的各个评估对象的所述风险基本要素的最大值对应的权重值最大；根据所述安全域的每个风险基本要素的值，利用风险估算法求得所述安全域的风险值。

【技术特征摘要】
1.一种信息系统风险评估方法，其特征在于，该方法包括：确定信息系统内每个评估对象的各个风险基本要素的值，所述各个风险基本要素至少包括资产、威胁、脆弱性三个基本要素；针对所述信息系统内的任意一个安全域的任意一个风险基本要素，将所述安全域内的各个评估对象的所述风险基本要素的值作为模型因子，利用预设的概率计算模型计算得到所述安全域的所述风险基本要素的值，其中，在所述概率计算模型中所述安全域内的各个评估对象的所述风险基本要素的最大值对应的权重值最大；根据所述安全域的每个风险基本要素的值，利用风险估算法求得所述安全域的风险值。2.如权利要求1所述的方法，其特征在于，还包括：针对所述信息系统内的任意一个风险基本要素，将所述信息系统内的各个安全域的所述风险基本要素的值作为模型因子，利用预设的所述概率计算模型计算得到所述信息系统的所述风险基本要素的值，其中，在所述概率计算模型中所述信息系统内的各个安全域的所述风险基本要素的最大值对应的权重值最大；根据所述信息系统的风险基本要素的值，利用风险评估算法求得所述信息系统的风险值。3.如权利要求1或2所述的方法，其特征在于，所述预设的概率计算模型如公式一所示，所述公式一为：其中，R为资产、威胁、脆弱性三个风险基本要素中的任意一个，R的取值范围为[0,Max(R)]，其中Max(R)为大于等于1的理论最大值，R1为所述风险基本要素R的实际最大值，u为收敛系数，取值在0至1/(n+Max(R))之间，n为有n个待计算的风险基本要素值，Ri为除了所述最大值之外的风险基本要素的值，R’为求得的风险基本要素的值。4.如权利要求1或2所述的方法，其特征在于，所述风险估算法如公式二所示，所述公式二为：风险值＝Round1{Log2[(A×2The+B×2Vul+C×2Con)/3]}×Asset(value)其中，The代表威胁行为权值；Vul代表脆弱性的权值；Con代表弥补措施的权值；Round函数是按制定位数，对数值四舍五入的函数，Round1表示保留1位小数；Asset(value)代表资产价值；A为威胁行为权值的系数；B为脆弱性的权值的系数；C为弥补措施的权值的系数。5.如权利要求2所述的方法，其特征在于，利用风险评估算法求得所述信息系统的风险值之后，还包括：生成所述信息系统的安全风险报告，其中所述安全风险报告包括：能够导致风险的安全事件和安全漏洞的清单，以及各种安全事件和安全漏洞所对应的安全风险等级。6.一种信息系统风险...

【专利技术属性】
技术研发人员：赵粤征，肖岩军，李瀛，贠珊，
申请(专利权)人：北京神州绿盟信息安全科技股份有限公司，北京神州绿盟科技有限公司，
类型：发明
国别省市：北京,11