基于故障树的信息系统风险评估装置及方法制造方法及图纸

本公开提供了一种基于故障树的信息系统风险评估方法，包括：以客户信息泄露事件为顶事件，确定中间事件及基本事件，建立故障树；以及基于故障树分析法对所述信息系统进行风险评估。本公开还提供了一种基于故障树的信息系统风险评估装置。本公开基于故障树的信息系统风险评估方法及装置，实现了通用的定量分析，提高了评估的精准性和稳定性，便于定位风险、分级保护。

【技术实现步骤摘要】
基于故障树的信息系统风险评估装置及方法
本公开涉及信息安全
，具体涉及一种基于故障树的信息系统风险评估装置及方法。
技术介绍
大型信息系统中，例如金融信息系统，往往存在海量的客户信息。随着计算机应用及互联网技术的飞速发展，信息泄露问题也显得越来越突出，安全信息泄露事件可能导致巨大的经济损失，同时信息泄露会造成隐私侵犯、身份假冒及金属诈骗等各种问题，带来不良社会影响。因此，如何对信息系统进行风险评估，一直是信息系统安全
的研究重点。然而，目前，在信息系统安全领域，主要是针对信息系统的运行风险这一主体进行评估；另外，虽然在工业生产安全评估领域存在采用故障树分析方法进行生产安全评估，但是对于客户信息泄露风险的评估，尚未出现有效、精准、定量的评估装置及方法。也就是说，在客户信息系统风险评估领域，现有的客户信息系统的设计、使用者对于信息系统的客户信息泄漏风险，普遍采用的是主观定性判断方法，仅仅停留在直观感觉上，缺乏客观性和准确性，缺乏有效的量化方法。
技术实现思路
(一)要解决的技术问题鉴于上述技术问题，本公开提供了一种基于故障树的信息系统风险评估装置及方法，实现了通用的定量分析，提高本文档来自技高网...

【技术保护点】
一种基于故障树的信息系统风险评估方法，包括：以客户信息泄露事件为顶事件，确定中间事件及基本事件，建立故障树；以及基于故障树分析法对所述信息系统进行风险评估。

【技术特征摘要】
1.一种基于故障树的信息系统风险评估方法，包括：以客户信息泄露事件为顶事件，确定中间事件及基本事件，建立故障树；以及基于故障树分析法对所述信息系统进行风险评估。2.根据权利要求1所述的基于故障树的信息系统风险评估方法，其中，所述顶事件与中间事件之间，中间事件彼此之间，中间事件与底事件之间，底事件彼此之间的事件关系为逻辑与或逻辑或关系。3.根据权利要求2所述的基于故障树的信息系统风险评估方法，其中，所述基于故障树分析法对信息系统进行风险评估的步骤包括：对所述故障树的基本事件进行赋值；根据基本事件的赋值，及各事件之间的事件关系，通过故障树的逻辑算法计算信息系统的风险值。4.根据权利要求3所述的基于故障树的信息系统风险评估方法，其中，所述中间事件为导致顶事件发生的原因事件，所述基本事件为导致顶事件发生的最初始的原因事件；基于事故案例搜集、事故统计确定所述中间事件及基本事件；通过调查或模糊分析确定所述基本事件的取值大小。5.根据权利要求1所述的基于故障树的信息系统风险评估方法，其中，所述中间事件包括：物理泄露事件，以物理存储介质方式承载的客户信息被泄露；网络泄露事件，客户信息通过网络被泄露；以及系统泄露事件，在系统使用时，由于权限过大或功能展现内容或数量过多造成客户信息泄露事件。6.根据权利要求1所述的基于故障树的信息系统风险评估方法，其中，所述基本事件包括：A类基本事件，与所述物理泄露事件相关，包括：无监控、允许打印、允许拷贝、允许转移、允许截屏、系统可导出客户信息文件、临时文件存放了客户信息；B类基本事件，与所述网络泄露事件相关，包括：联通互联网、使用安全扫描程序发现漏洞、内部网络用户存在安全威胁；以及C类基本事件，...

【专利技术属性】
技术研发人员：贾丽，谭晓辉，杨旭，
申请(专利权)人：中国农业银行股份有限公司，
类型：发明
国别省市：北京,11