信息安全风险评估方法及装置、设备、存储介质制造方法及图纸

本申请的实施例揭示了一种信息安全风险评估方法及装置、设备、存储介质。该方法包括：分别确定信息系统的资产价值和脆弱性值，并将威胁所述信息系统的各项影响因素按照不同的信息属性分解为若干层次，根据相邻层次中的影响因素之间的关联性确定所述信息系统的威胁值，所述脆弱性值用于描述所述资产在安全方面的薄弱程度；根据所述威胁值和所述脆弱性值计算所述信息系统的风险可能性，以及根据所述脆弱性值和所述资产价值计算所述信息系统的风险后果可能性；根据所述风险可能性和所述风险后果可能性，确定所述信息系统的信息安全风险值。本申请实施例的技术方案能够精确地评估信息系统的安全风险状态。

【技术实现步骤摘要】
信息安全风险评估方法及装置、设备、存储介质
本申请涉及信息安全
，具体涉及一种信息安全风险评估方法、装置、设备和计算机可读存储介质。
技术介绍
随着网络技术的快速发展，信息系统及相关产品大量部署于各行各业，信息系统所面临的安全问题成为行业内重点关注的问题。为了对信息系统进行风险评估，现有技术提出一种基于资产安全事件的风险评估方法，具体地，需要根据服务器中发生不同安全事件的数量和概率计算服务器的风险得分和失分，并根据终端中发现的漏洞、安全基线和端口的数量计算终端的安全得分和失分，然后根据服务器和终端各自的风险得分和失分综合评估信息系统的风险系数。可以看出，现有技术仅从终端和服务器两个维度对信息系统进行风险评估，并且评估过程中仅考虑了发生在信息系统中的安全事件，忽略了信息系统中的威胁因素，因此现有技术无法准确地评估信息系统的风险状态。
技术实现思路
为解决上述技术问题，本申请的实施例提供了一种信息安全风险评估方法、装置、设备以及计算机可读存储介质，本申请的实施例能够对信息系统进行准确的全网风险。其中本文档来自技高网...

【技术保护点】
1.一种信息安全风险评估方法，其特征在于，所述方法应用于信息系统，所述信息系统中包含至少一个资产，所述资产包括软件资源和硬件资源，所述方法包括：/n分别确定所述信息系统的资产价值和脆弱性值，并将威胁所述信息系统的各项影响因素按照不同的信息属性分解为若干层次，根据相邻层次中的影响因素之间的关联性确定所述信息系统的威胁值，所述脆弱性值用于描述所述资产在安全方面的薄弱程度；/n根据所述威胁值和所述脆弱性值计算所述信息系统的风险可能性，以及根据所述脆弱性值和所述资产价值计算所述信息系统的风险后果可能性；/n根据所述风险可能性和所述风险后果可能性，确定所述信息系统的信息安全风险值。/n

【技术特征摘要】
1.一种信息安全风险评估方法，其特征在于，所述方法应用于信息系统，所述信息系统中包含至少一个资产，所述资产包括软件资源和硬件资源，所述方法包括：
分别确定所述信息系统的资产价值和脆弱性值，并将威胁所述信息系统的各项影响因素按照不同的信息属性分解为若干层次，根据相邻层次中的影响因素之间的关联性确定所述信息系统的威胁值，所述脆弱性值用于描述所述资产在安全方面的薄弱程度；
根据所述威胁值和所述脆弱性值计算所述信息系统的风险可能性，以及根据所述脆弱性值和所述资产价值计算所述信息系统的风险后果可能性；
根据所述风险可能性和所述风险后果可能性，确定所述信息系统的信息安全风险值。


2.根据权利要求1所述的方法，其特征在于，将威胁所述信息系统的影响因素按照不同的信息属性分解为若干层次，根据相邻层次中的影响因素之间的关联性确定所述信息系统的威胁值，包括：
构建所述信息系统的威胁层次模型，所述威胁层次模型的最上层包括所述信息系统的威胁值，最下层包括用于确定所述威胁值的各项基础威胁系数，所述影响因素按照不同的信息属性自上而下地分解形成所述威胁层次模型的若干中间层，并且所述威胁层次模型的每个层次中的元素分别与相邻层次中的各个元素相关联；
以所述威胁层次模型的最上层为起始，根据下一层次中任意两个元素之间的相对重要性关系，构建除最下层之外的每个层次的重要性判别矩阵；
根据所述重要性判别矩阵，计算所述威胁层次模型中除最下层之外的各个层次的权向量；
根据所述威胁层次模型中除最下层之外的各个层次的权向量之积，确定所述最下层中各项基础威胁系数的值，并基于所述各项基础威胁系数的值计算所述信息系统的威胁值。


3.根据权利要求2所述的方法，其特征在于，以威胁层次模型的最上层为起始，根据下一层次中任意两个元素之间的相对重要性关系，构建除最下层之外的其它每个层次的重要性判别矩阵，包括：
获取预设的重要性赋值列表，所述重要性赋值列表含有两个元素之间可能存在的所有相对重要性关系，以及与每种相对重要性关系所关联的重要性标度值；
以威胁层次模型的最上层为起始，根据下一层次中任意两个元素之间的相对重要性关系，从所述重要性列表中查找与所述相对重要性关系关联的重要性标度值；
根据所述下一层次中任意两个元素对应的重要性标度值，构建所述除最下层之外的其它每个层次的重要性判别矩阵。


4.根据权利要求2所述的方法，其特征在于，根据所述重要性判别矩阵，计算所述威胁层次模型中除最下层之外的各个层次的权向量，包括：
分别将各个层次所对应的重要性判别矩阵中的元素按行相乘，获得各个层次的第一特征向量；
根据所述重要性判别矩阵的维数，将所述第一特征向量中的每个元素进行开方运算，获得每个层次的第二特征向量；
将所述第二特征向量进行归一化运算，获得各个层次的权向量。


5.根据权利要求2所述的方法，其特征在于，基于所述各项基础威胁系数的值计算所述信息系统的威胁值，包括：
获取所述信息系统发生安全威胁时所产生的安全事件，所述安全事件的类型对应于所述威胁层次模型的最下层中包含的基础威胁系数；
以所述各项基础威胁系数作为相应类型的安全事件的权重，对不同类型的安全事件的数量进行加权和运算，并将运算所得结果与所述安全事件的总数之间的商确定为所述信息系统的威胁值。


6.根据权利要求2所述的方法，其特征在于，在根据所述重要性判别矩阵，计算所述威胁层次模型中除最下层之外的其它每个层次的权向量之后，所述方法还包括：
根据每个层次对应的重要性判别矩阵和权向量，计算每个层次对应的最大特征根；
根据所述最大特征根以及每个层次的重要性判别矩阵的维数，计算每个层次对应的第一校验指标；
如果每个层次对应的所述第一校验指标均小于预设的指标阈值，则执行所述根...

【专利技术属性】
技术研发人员：马超，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东;44