【技术实现步骤摘要】
一种5G数据安全风险评价方法及评价系统
本专利技术涉及5G数据安全风险评价
,具体为一种5G数据安全风险评价方法及评价系统。
技术介绍
以5G网络和业务作为产业转型升级核心引擎,实现垂直行业产业转型和动能升级,实现数字经济高质量发展,成为国家重要经济和技术政策之一。然而,5G网络和业务将引入非传统安全威胁和管理风险。特别地,集中化的网络控制、通信网络的可编程化、NFV的公共开放等情况导致数据安全管理失控成为5G网络及应用推广发展重要隐患之一。风险评价是经典风险管理手段,指在风险识别和预估的基础上,综合考量风险发生的概率、损失幅度以及其他因素。针对5G数据安全风险,设计风险评价方法和风险评价系统变得十分必要。2019年10月9日,在欧盟委员会和欧盟网络安全机构的支持下,欧盟成员国发布了名为《reportontheEUcoordinatedriskassessmentoncybersecurityinFifthGeneration(5G)networks》(5G网络安全风险评估报告),报告基于所有欧盟成员国网络安全风险评估的结果形成,识别了主要的威胁和威胁单元、最敏感的资产、主要的漏洞。文献[1](林美玉,卢丹.《欧盟5G安全风险评估报告》.信息通信技术与政策,2(2020),50-52),详细论述了5G安全威胁类别,分析欧盟对5G安全的主要观点和未来方向。文献[2(刘婧璇,韩佳琳.《5G网络设备安全评测体系分析》.信息通信技术与政策,2(2020),53-56),介绍通用准则(CommonCriteria ...
【技术保护点】
1.一种5G数据安全风险评价方法及评价系统,其特征在于:5G数据安全风险评价方法的具体步骤为:/n步骤一:建立5G数据安全实施框架,实施框架贯穿组织面临5G安全监管,如法律法规、专项行动等;服务于5G垂直行业,如医疗行业、教育行业等;同时,实现安全策略和安全遵从南北向体系,重点完成管理合规、技术防护、安全计划、安全建设以及安全运营;/n步骤二:在实施框架基础上,进行5G数据安全评价里程点解析,包含数据法律风险、数据市场地位、数据合规管理、数据技术防护、数据共享合作、用户隐私保护和行业服务;/n步骤三:从环境识别、业务威胁识别、数据威胁识别、数据管理梳理以及数据风险评价进行5G数据安全风险评价闭环流程建立;/n步骤四:设计关键技术框架,即基础实现层和评估建模层;基础实现层以评估架构和风险库作为基础工作;建模层引入ISRA(Information Security Risk Assessment,信息系统风险评估)、指标评估、信任评估、合规评估4类5大模型;/n步骤五:设计出两大创新的数据威胁识别矩阵和业务威胁识别矩阵;/n步骤六:经过完整风险评估流程后,结合评价过程,选择评估模型,进行定 ...
【技术特征摘要】
1.一种5G数据安全风险评价方法及评价系统,其特征在于:5G数据安全风险评价方法的具体步骤为:
步骤一:建立5G数据安全实施框架,实施框架贯穿组织面临5G安全监管,如法律法规、专项行动等;服务于5G垂直行业,如医疗行业、教育行业等;同时,实现安全策略和安全遵从南北向体系,重点完成管理合规、技术防护、安全计划、安全建设以及安全运营;
步骤二:在实施框架基础上,进行5G数据安全评价里程点解析,包含数据法律风险、数据市场地位、数据合规管理、数据技术防护、数据共享合作、用户隐私保护和行业服务;
步骤三:从环境识别、业务威胁识别、数据威胁识别、数据管理梳理以及数据风险评价进行5G数据安全风险评价闭环流程建立;
步骤四:设计关键技术框架,即基础实现层和评估建模层;基础实现层以评估架构和风险库作为基础工作;建模层引入ISRA(InformationSecurityRiskAssessment,信息系统风险评估)、指标评估、信任评估、合规评估4类5大模型;
步骤五:设计出两大创新的数据威胁识别矩阵和业务威胁识别矩阵;
步骤六:经过完整风险评估流程后,结合评价过程,选择评估模型,进行定量风险评价,同时利用“新鲜度”实现5G安全漏洞库动态更新;
步骤七:基于前述评价方法,解析5G数据安全评价信息化流程、控制点和控制矩阵;
步骤八:研发5G数据安全评价系统,实现评价过程数据留存及历史数据查阅,评价任务管理和评价过程审计。
2.根据权利要求1所述的一种5G数据安全风险评价方法及评价系统,其特征在于:在基础实现层,首先要求制定5G安全保护计划,要求包含但不限于明确5G业务安全管理目标和原则,明确业务场景,5G安全策略和操作规程等;进一步地,逐项识别评估业务清单中业务的活动以及实现方式,并持续维护共享数据保护清单;进一步地,建立5G数据安全保障模型,针对5G数据安全面临的三类风险来源,从数据主体、数据活动、安全保障和风险接受程度4个维度,建立数据安全模型,以便于全面分析数据安全需求和安全保障机制,进而构建数据安全保障框架;进一步地,进行5G应用业务梳理要把握如下要素:业务代码、一级流程、二级流程、系统流程、角色(部门、岗位和人员)、任务(工作内容、操作步骤、输入和输出)、业务形式、业务规则、业务峰值(时间)、业务峰值(业务量)、日均任务量、业务异常、业务异常处置、业务场景和业务传递等;进一步地,优化数据安全流程;按照数据各主体的安全责任,针对数据共享全过程的安全需求,对数据汇集、交换、使用和销毁各阶段采用相应的安全机制进行按需实践,建立多方参与的数据安全共享典型流程;进一步地,设计出通用风险评估模型,即应用场景:5G业务建设过程中上线安全检查中,业务开发或安全运维方或局方进行安全评估;5G业务运营过程中,进行定期常态化安全评估;5G业务开展通信网络防护或等级保护或CII(CriticalInformationInfrastructure,关键信息基础设施)安全保护中,涉及5G业务风险评估;利用信息系统风险评估是希望通过评估目标信息可能遇到的安全风险,在综合考虑成本和效益的前提下对风险进行处理,最终将目标信息的风险降低到可容忍或可接受的风险水平,其主要步骤包括环境威胁识别,业务威胁识别,业务威胁识别,数据威胁识别,数据管理识别,数据资产识别,脆弱性识别,最后形成统一风险评价。
3.根据权利要求2所述的一种5G数据安全风险评价方法及评价系统,其特征在于:风险评估模型的风险计算方式为:
R=f(L,I)=f(L1(T,V,M),I)=f((L1(L2(Te,Td,Tb)),(L2(L2(Vh,Ve,Vi)),M),I(F,A))
其中,Te表示环境威胁因子,Td表示数据威胁因子,Tb表示业务威胁因子,Vh表示人员脆弱性,Ve表示环境脆弱性,Vi表示设施脆弱性,M表示数据安全管理可靠程度,F表示安全威胁和脆弱性发生概率,A表示数据资产价值。
其中,L1与L2计算为指数法,即因子和自定义级别进行联合运算。
其中,f为矩...
【专利技术属性】
技术研发人员:刘晓光,钟立,
申请(专利权)人:成都思维世纪科技有限责任公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。