【技术实现步骤摘要】
一种面向智能网联车辆的信息安全风险评估方法及系统
本专利技术属于网络安全领域,具体涉及一种面向智能网联车辆的信息安全风险评估方法及系统。
技术介绍
目前对智能网联车辆风险分析的内容大多都是渗透测试实验和攻击路径、攻击场景分析,缺少整体的信息安全风险评估流程及计算方法,而利用信息安全风险评估方法对其信息系统资产、技术与管理手段、威胁、脆弱性等进行识别,及时发现系统的安全薄弱环节,最大程度上避免有可能发生的影响巨大的信息安全事件,有针对性的采取安全控制措施,有效提升信息安全防护水平。
技术实现思路
为了克服现有技术中存在的缺陷,本专利技术提供一种面向智能网联车辆的信息安全风险评估方法及系统,可以准确地获取智能网联车辆的信息安全风险评估结果,为提升系统的安全防护水平提供科学指导。本专利技术提供一种面向智能网联车辆的信息安全风险评估方法,包括如下步骤:步骤1:定义待评估信息系统内信息资产范围,并根据域的概念将智能网联车信息系统的资产进行子系统划分;步骤2:识别待评估信息系统的资产、威胁、脆弱性、已有安全控制措施,并通过问卷形式获取资产价值、威胁行为发生的可能性、脆弱性的严重程度、已有安全控制措施有效性的评分;步骤3:利用模糊理论确定上述基本安全要素的最终分值,并结合资产价值、威胁值、脆弱性值、已有安全控制措施值计算安全事件发生的可能性和安全事件发生的损失值;步骤4:依据步骤3计算出的安全事件发生的可能性和损失值,利用二维矩阵法确定待评估信息系统的风险值,并进行风险等级划分。在上述技术方案中,所述步骤3中安全事件发生的可能性由威胁行为发生的可能性、脆弱性的可利用性、预防 ...
【技术保护点】
1.一种面向智能网联车辆的信息安全风险评估方法,其特征在于,包括以下步骤:步骤1、定义待评估信息系统内信息资产范围,并根据域的概念将智能网联车信息系统的资产进行子系统划分;步骤2、识别待评估信息系统的资产、威胁、脆弱性、已有安全控制措施,并通过问卷形式获取资产价值、威胁行为发生的可能性、脆弱性的严重程度、已有安全控制措施有效性的评分;步骤3、利用模糊理论确定上述基本安全要素的最终分值,并结合资产价值、威胁值、脆弱性值、已有安全控制措施值计算安全事件发生的可能性和安全事件发生的损失值;步骤4、依据步骤3计算出的安全事件发生的可能性和损失值,利用二维矩阵法确定待评估信息系统的风险值,并进行风险等级划分。
【技术特征摘要】
1.一种面向智能网联车辆的信息安全风险评估方法,其特征在于,包括以下步骤:步骤1、定义待评估信息系统内信息资产范围,并根据域的概念将智能网联车信息系统的资产进行子系统划分;步骤2、识别待评估信息系统的资产、威胁、脆弱性、已有安全控制措施,并通过问卷形式获取资产价值、威胁行为发生的可能性、脆弱性的严重程度、已有安全控制措施有效性的评分;步骤3、利用模糊理论确定上述基本安全要素的最终分值,并结合资产价值、威胁值、脆弱性值、已有安全控制措施值计算安全事件发生的可能性和安全事件发生的损失值;步骤4、依据步骤3计算出的安全事件发生的可能性和损失值,利用二维矩阵法确定待评估信息系统的风险值,并进行风险等级划分。2.根据权利要求1所述的一种面向智能网联车辆的信息安全风险评估方法,其特征在于:所述步骤3中安全事件发生的可能性由威胁行为发生的可能性、脆弱性的可利用性、预防性安全控制措施的有效性确定。3.根据权利要求1所述的一种面向智能网联车辆的信息安全风险评估方法,其特征在于:所述步骤3中安全事件发生的损失值由资产价值、脆弱性的严重程度、保护性安全控制措施的有效性确定。4.根据权利要求1所述的一种面向智能网联车辆的信息安全风险评估方法,其特征在于:所述步骤3中安全事件发生的可能性计算公式如下:L(Ni)=L(Va,Ta,Me1)式中,Ni为待评估子系统,Va为脆弱性的可利用性,Ta为威胁行为发生的可能性,Me1为预防性安全控制措施的有效性;其中,设评价对象为L(风险事件发生的可能性);其因素集=U:{u1,u2,u3}={漏洞的可利用性,威胁发生的可能性,预防性安全控制措施的有效性};评判目标集=V:{v1,v2,v3,v4,v5}={1级,2级,3级,4级,5级}={很低,低,中等,高,很高}。设ui隶属于评判等级vj的频数为fij,则ui所属评价等级的隶属度为:单评价因子的模糊评价向量:Li=(ui1,ui2,ui3,ui4,ui5)对模糊评价矩阵进行归一化处理:式中,rij是某风险事件仅就第i因素ui而言对第j级评价目标的归一化隶属度,因而可得模糊评价矩阵L;安全事件发生可能性的综合评价矩阵为B=WoL,按最大隶属度原则确定安全事件发生可能性等级,安全事件发生的可能性分为5个等级,等级越高,安全事件发生的可能性越大。5.根据权利要求1所述的一种面向智能网联车辆的信息安全风险评估方法,其特征在于:所述步骤3中安全事件发生的损失值计算公式如下:Q(Ni)=Q(Vs,A,Me2)式中,Ni为待评估子系统,Vs为脆弱性的严重程度,A为资产重要性,即资产价值,Me2为保护性安全控制措施的有效性。其中安全事件发生的损失值的数据处理及计算过程与安全事件发生可能性的计算过程相同。6.根据权利要求2所述的一种面向智能网联车辆的信息安全风险评估方法,其特征在于:所述步骤4中待评估信息系统子系统Ni的风险值R(Ni)为:R(Ni)=F(A,V,T,M)=F(L,Q)=F{L(Va,Ta,Me1),Q(Vs,A,Me2)}式中,A为资产值,V为脆弱性值,T为威胁值,M为已有安全控制措施值,L为安全事件发生的可能性,Q为安全事件发生的损失值;利用二维...
【专利技术属性】
技术研发人员:王云鹏,王颖会,秦洪懋,李宏刚,于海洋,高哈尔·达吾力,
申请(专利权)人:北京航空航天大学,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。