一种5G数据安全风险评价方法及评价系统技术方案

本发明专利技术公开了5G数据安全风险评价技术领域的一种5G数据安全风险评价方法及评价系统，5G数据安全风险评价方法的具体步骤为：建立5G数据安全实施框架，实施框架贯穿组织面临5G安全监管；从环境识别、业务威胁识别、数据威胁识别、数据管理梳理以及数据风险评价进行5G数据安全风险评价闭环流程建立；经过完整风险评估流程后，结合评价过程，选择评估模型，进行定量风险评价，同时利用“新鲜度”实现5G安全漏洞库动态更新；根据5G复杂业务模式以及数据安全、业务安全威胁，设计出完成的数据安全架构，同时创新性梳理出七大5G数据安全评估要求，进而创新性地设计了增强5G数据安全评价流程（覆盖全流程），创新性地提出“新鲜度”闭环管理。

【技术实现步骤摘要】
一种5G数据安全风险评价方法及评价系统
本专利技术涉及5G数据安全风险评价
，具体为一种5G数据安全风险评价方法及评价系统。
技术介绍
以5G网络和业务作为产业转型升级核心引擎，实现垂直行业产业转型和动能升级，实现数字经济高质量发展，成为国家重要经济和技术政策之一。然而，5G网络和业务将引入非传统安全威胁和管理风险。特别地，集中化的网络控制、通信网络的可编程化、NFV的公共开放等情况导致数据安全管理失控成为5G网络及应用推广发展重要隐患之一。风险评价是经典风险管理手段，指在风险识别和预估的基础上，综合考量风险发生的概率、损失幅度以及其他因素。针对5G数据安全风险，设计风险评价方法和风险评价系统变得十分必要。2019年10月9日，在欧盟委员会和欧盟网络安全机构的支持下，欧盟成员国发布了名为《reportontheEUcoordinatedriskassessmentoncybersecurityinFifthGeneration(5G)networks》(5G网络安全风险评估报告)，报告基于所有欧盟成员国网络安全风险评估的结果形成，识别了主要的威胁和威胁单元、最敏感的资产、主要的漏洞。文献[1](林美玉，卢丹.《欧盟5G安全风险评估报告》.信息通信技术与政策，2(2020)，50-52)，详细论述了5G安全威胁类别，分析欧盟对5G安全的主要观点和未来方向。文献[2(刘婧璇，韩佳琳.《5G网络设备安全评测体系分析》.信息通信技术与政策，2(2020)，53-56)，介绍通用准则(CommonCriteria，CC)和网络设备安全保证计划(NetworkEquipmentSecurityAssuranceScheme，NESAS)，并对5G网络设备安全评测工作提出了建议。目前，从数据保护角度出发，针对5G网络与应用面临数据安全风险提出评价架构、评价模型、评价流程和定量评价方法并设计出5G数据安全评价系统仍是空白。本专利技术提出了包含基础实现层和评价建模层的完整5G数据安全风险评价架构；提出了创新的威胁识别方法和脆弱性识别方法；结合5G典型业务模式，提出以新鲜度为核心的动态数据安全评价流程；提出了多维度定量评价方法。同时，设计了承载评价方法的5G数据安全风险评价系统，以支持5G数据安全风险评价方法落地实现和闭环管理，为此，我们提出一种5G数据安全风险评价方法及评价系统。
技术实现思路
本专利技术的目的在于提供一种5G数据安全风险评价方法及评价系统，以解决上述
技术介绍
中提出的问题。为实现上述目的，本专利技术提供如下技术方案：一种5G数据安全风险评价方法及评价系统，5G数据安全风险评价方法的具体步骤为：步骤一：建立5G数据安全实施框架，实施框架贯穿组织面临5G安全监管，如法律法规、专项行动等；服务于5G垂直行业，如医疗行业、教育行业等；同时，实现安全策略和安全遵从南北向体系，重点完成管理合规、技术防护、安全计划、安全建设以及安全运营；步骤二：在实施框架基础上，进行5G数据安全评价里程点解析，包含数据法律风险、数据市场地位、数据合规管理、数据技术防护、数据共享合作、用户隐私保护和行业服务；步骤三：从环境识别、业务威胁识别、数据威胁识别、数据管理梳理以及数据风险评价进行5G数据安全风险评价闭环流程建立；步骤四：设计关键技术框架，即基础实现层和评估建模层；基础实现层以评估架构和风险库作为基础工作；建模层引入ISRA(InformationSecurityRiskAssessment，信息系统风险评估)、指标评估、信任评估、合规评估4类5大模型；步骤五：设计出两大创新的数据威胁识别矩阵和业务威胁识别矩阵；步骤六：经过完整风险评估流程后，结合评价过程，选择评估模型，进行定量风险评价，同时利用“新鲜度”实现5G安全漏洞库动态更新；步骤七：基于前述评价方法，解析5G数据安全评价信息化流程、控制点和控制矩阵；步骤八：研发5G数据安全评价系统，实现评价过程数据留存及历史数据查阅，评价任务管理和评价过程审计。优选的，在基础实现层，首先要求制定5G安全保护计划，要求包含但不限于明确5G业务安全管理目标和原则，明确业务场景，5G安全策略和操作规程等；进一步地，逐项识别评估业务清单中业务的活动以及实现方式，并持续维护共享数据保护清单；进一步地，建立5G数据安全保障模型，针对5G数据安全面临的三类风险来源，从数据主体、数据活动、安全保障和风险接受程度4个维度，建立数据安全模型，以便于全面分析数据安全需求和安全保障机制，进而构建数据安全保障框架；进一步地，进行5G应用业务梳理要把握如下要素：业务代码、一级流程、二级流程、系统流程、角色(部门、岗位和人员)、任务(工作内容、操作步骤、输入和输出)、业务形式、业务规则、业务峰值(时间)、业务峰值(业务量)、日均任务量、业务异常、业务异常处置、业务场景和业务传递等；进一步地，优化数据安全流程；按照数据各主体的安全责任，针对数据共享全过程的安全需求，对数据汇集、交换、使用和销毁各阶段采用相应的安全机制进行按需实践，建立多方参与的数据安全共享典型流程；进一步地，设计出通用风险评估模型，即应用场景：5G业务建设过程中上线安全检查中，业务开发或安全运维方或局方进行安全评估；5G业务运营过程中，进行定期常态化安全评估；5G业务开展通信网络防护或等级保护或CII(CriticalInformationInfrastructure，关键信息基础设施)安全保护中，涉及5G业务风险评估；利用信息系统风险评估是希望通过评估目标信息可能遇到的安全风险，在综合考虑成本和效益的前提下对风险进行处理，最终将目标信息的风险降低到可容忍或可接受的风险水平，其主要步骤包括环境威胁识别，业务威胁识别，业务威胁识别，数据威胁识别，数据管理识别，数据资产识别，脆弱性识别，最后形成统一风险评价。优选的，风险评估模型的风险计算方式为：R＝f(L,I)＝f(L1(T,V,M),I)＝f((L1(L2(Te,Td,Tb)),(L2(L2(Vh,Ve,Vi)),M),I(F,A))其中，Te表示环境威胁因子，Td表示数据威胁因子，Tb表示业务威胁因子，Vh表示人员脆弱性，Ve表示环境脆弱性，Vi表示设施脆弱性，M表示数据安全管理可靠程度，F表示安全威胁和脆弱性发生概率，A表示数据资产价值。其中，L1与L2计算为指数法，即因子和自定义级别进行联合运算。其中，f为矩阵计算：优选的，设计出风险指标(绩效评估法)模型，即应用场景：针对组合业务(如大连接和高速率组合、高速率与可靠性组合等)或全新技术(如智能机器人、园区级XR(ExtendedReality，扩展现实)、生物基因远程实验等)，以及现有评估项低覆盖新业务(即新业务评估要求与评估矩阵交集少于70％)，通过业务专家、网络专家、安全专家、战略规划部、法律事务部同事组合成评估团队，利用风险指标法，进行5G新业务评估项设计；建模技术：结合安全模型以及安全流程，从安全策略匹配指标(安全政本文档来自技高网...

【技术保护点】
1.一种5G数据安全风险评价方法及评价系统，其特征在于：5G数据安全风险评价方法的具体步骤为：/n步骤一：建立5G数据安全实施框架，实施框架贯穿组织面临5G安全监管，如法律法规、专项行动等；服务于5G垂直行业，如医疗行业、教育行业等；同时，实现安全策略和安全遵从南北向体系，重点完成管理合规、技术防护、安全计划、安全建设以及安全运营；/n步骤二：在实施框架基础上，进行5G数据安全评价里程点解析，包含数据法律风险、数据市场地位、数据合规管理、数据技术防护、数据共享合作、用户隐私保护和行业服务；/n步骤三：从环境识别、业务威胁识别、数据威胁识别、数据管理梳理以及数据风险评价进行5G数据安全风险评价闭环流程建立；/n步骤四：设计关键技术框架，即基础实现层和评估建模层；基础实现层以评估架构和风险库作为基础工作；建模层引入ISRA(Information Security Risk Assessment，信息系统风险评估)、指标评估、信任评估、合规评估4类5大模型；/n步骤五：设计出两大创新的数据威胁识别矩阵和业务威胁识别矩阵；/n步骤六：经过完整风险评估流程后，结合评价过程，选择评估模型，进行定量风险评价，同时利用“新鲜度”实现5G安全漏洞库动态更新；/n步骤七：基于前述评价方法，解析5G数据安全评价信息化流程、控制点和控制矩阵；/n步骤八：研发5G数据安全评价系统，实现评价过程数据留存及历史数据查阅，评价任务管理和评价过程审计。/n...

【技术特征摘要】
1.一种5G数据安全风险评价方法及评价系统，其特征在于：5G数据安全风险评价方法的具体步骤为：
步骤一：建立5G数据安全实施框架，实施框架贯穿组织面临5G安全监管，如法律法规、专项行动等；服务于5G垂直行业，如医疗行业、教育行业等；同时，实现安全策略和安全遵从南北向体系，重点完成管理合规、技术防护、安全计划、安全建设以及安全运营；
步骤二：在实施框架基础上，进行5G数据安全评价里程点解析，包含数据法律风险、数据市场地位、数据合规管理、数据技术防护、数据共享合作、用户隐私保护和行业服务；
步骤三：从环境识别、业务威胁识别、数据威胁识别、数据管理梳理以及数据风险评价进行5G数据安全风险评价闭环流程建立；
步骤四：设计关键技术框架，即基础实现层和评估建模层；基础实现层以评估架构和风险库作为基础工作；建模层引入ISRA(InformationSecurityRiskAssessment，信息系统风险评估)、指标评估、信任评估、合规评估4类5大模型；
步骤五：设计出两大创新的数据威胁识别矩阵和业务威胁识别矩阵；
步骤六：经过完整风险评估流程后，结合评价过程，选择评估模型，进行定量风险评价，同时利用“新鲜度”实现5G安全漏洞库动态更新；
步骤七：基于前述评价方法，解析5G数据安全评价信息化流程、控制点和控制矩阵；
步骤八：研发5G数据安全评价系统，实现评价过程数据留存及历史数据查阅，评价任务管理和评价过程审计。


2.根据权利要求1所述的一种5G数据安全风险评价方法及评价系统，其特征在于：在基础实现层，首先要求制定5G安全保护计划，要求包含但不限于明确5G业务安全管理目标和原则，明确业务场景，5G安全策略和操作规程等；进一步地，逐项识别评估业务清单中业务的活动以及实现方式，并持续维护共享数据保护清单；进一步地，建立5G数据安全保障模型，针对5G数据安全面临的三类风险来源，从数据主体、数据活动、安全保障和风险接受程度4个维度，建立数据安全模型，以便于全面分析数据安全需求和安全保障机制，进而构建数据安全保障框架；进一步地，进行5G应用业务梳理要把握如下要素：业务代码、一级流程、二级流程、系统流程、角色(部门、岗位和人员)、任务(工作内容、操作步骤、输入和输出)、业务形式、业务规则、业务峰值(时间)、业务峰值(业务量)、日均任务量、业务异常、业务异常处置、业务场景和业务传递等；进一步地，优化数据安全流程；按照数据各主体的安全责任，针对数据共享全过程的安全需求，对数据汇集、交换、使用和销毁各阶段采用相应的安全机制进行按需实践，建立多方参与的数据安全共享典型流程；进一步地，设计出通用风险评估模型，即应用场景：5G业务建设过程中上线安全检查中，业务开发或安全运维方或局方进行安全评估；5G业务运营过程中，进行定期常态化安全评估；5G业务开展通信网络防护或等级保护或CII(CriticalInformationInfrastructure，关键信息基础设施)安全保护中，涉及5G业务风险评估；利用信息系统风险评估是希望通过评估目标信息可能遇到的安全风险，在综合考虑成本和效益的前提下对风险进行处理，最终将目标信息的风险降低到可容忍或可接受的风险水平，其主要步骤包括环境威胁识别，业务威胁识别，业务威胁识别，数据威胁识别，数据管理识别，数据资产识别，脆弱性识别，最后形成统一风险评价。


3.根据权利要求2所述的一种5G数据安全风险评价方法及评价系统，其特征在于：风险评估模型的风险计算方式为：
R＝f(L,I)＝f(L1(T,V,M),I)＝f((L1(L2(Te,Td,Tb)),(L2(L2(Vh,Ve,Vi)),M),I(F,A))
其中，Te表示环境威胁因子，Td表示数据威胁因子，Tb表示业务威胁因子，Vh表示人员脆弱性，Ve表示环境脆弱性，Vi表示设施脆弱性，M表示数据安全管理可靠程度，F表示安全威胁和脆弱性发生概率，A表示数据资产价值。



其中，L1与L2计算为指数法，即因子和自定义级别进行联合运算。
其中，f为矩...

【专利技术属性】
技术研发人员：刘晓光，钟立，
申请(专利权)人：成都思维世纪科技有限责任公司，
类型：发明
国别省市：四川;51