一种数据安全风险评估方法、装置、介质及电子设备制造方法及图纸

本申请实施例提供数据安全风险评估方法、装置、介质及电子设备，该方法包括：获取待分析数据包括的各数据资源的脆弱性可造成的损失值；获取所述各数据资源的威胁发生的概率值；根据所述损失值要和所述概率值计算所述各数据资源的安全风险值，得到多个安全风险值；根据所述多个安全风险值得到所述待分析数据的总体安全风险值。本申请的一些实施例提出了一种数据安全风险评估的方法，在一定程度上弥补了当前数据安全风险评估方法不足的问题，本申请的一些实施例还提出了数据安全风险评估各阶段的赋值方法和计算公式，提升了数据安全风险评估实施的效率。险评估实施的效率。险评估实施的效率。

【技术实现步骤摘要】
一种数据安全风险评估方法、装置、介质及电子设备


[0001]本申请涉及信息安全领域，具体而言本申请实施例涉及一种数据安全风险评估方法、装置、介质及电子设备。

技术介绍

[0002]信息安全风险评估的对象是信息系统，而数据安全风险评估的对象是数据。数据的时刻流动的属性，决定了信息安全风险评估无法识别数据安全风险，且数据安全风险评估实施方面，目前暂无可参考的标准。
[0003]相关技术无法从数据全生存周期的各业务场景角度对数据安全风险进行识别、分析和评价，无法对数据、威胁和脆弱性等关键要素进行量化分析，计算风险值。

技术实现思路

[0004]本申请实施例的目的在于提供一种数据安全风险评估方法、装置、介质及电子设备，本申请的一些实施例提出了一种数据安全风险评估的方法，在一定程度上弥补了当前数据安全风险评估方法不足的问题，本申请的一些实施例还提出了数据安全风险评估各阶段的赋值方法和计算公式，提升了数据安全风险评估实施的效率。
[0005]第一方面，本申请实施例提供一种数据安全风险评估的方法，所述方法包括：获取待分析数据包括的各数据资源的脆弱性可造成的损失值；获取所述各数据资源的威胁发生的概率值；根据所述损失值要和所述概率值计算所述各数据资源的安全风险值，得到多个安全风险值；根据所述多个安全风险值得到所述待分析数据的总体安全风险值。
[0006]本申请的一些实施例获取与风险对应的各资源的脆弱性可造成的损失值以及各数据资源的威胁发生的概率值，再根据这两个值得到各数据资源的风险值，进而获取总体风险值，提升对数据风险识别的准确性。
[0007]在一些实施例中，所述获取待分析数据包括的各数据资源的脆弱性可造成的损失值，包括：根据与任一数据资源对应的目标等级赋值以及脆弱性严重程度值得到与所述任一数据资源的脆弱性可造成的损失值，其中，所述目标等级赋值属于多个等级赋值中的一个，所述多个等级赋值是依据数据的安全级别或敏感程度对目标对象的所有数据资源进行等级划分并为划分得到的每个等级进行赋值后得到的，所述脆弱性严重程度值与所述任一数据资源所属的所有目标业务场景的脆弱严重程度相关。
[0008]本申请的一些实施例通过与任一数据资源对应的等级赋值以及脆弱性严重程度值得到与所述任一数据资源的脆弱性可造成的损失值，提升得到的损失值的准确性。
[0009]在一些实施例中，在所述根据与任一数据资源对应的目标等级赋值以及脆弱性严重程度值得到与所述任一数据资源的脆弱性可造成的损失值之前，所述方法还包括：从多个等级中，获取与所述任一数据资源对应的等级，得到目标等级，其中，所述多个等级包括：核心数据、重要数据、内部数据、一般数据和公开数据；将与所述目标等级对应的等级赋值作为与所述目标等级赋值。
[0010]本申请的一些实施例将所有数据资源按照等级进行赋值，之后再根据被分析数据资源所对应的等级赋值计算该数据资源的风险值，可以提升得到的风险值的准确性。
[0011]在一些实施例中，所述在所述根据与任一数据资源对应的目标等级赋值以及脆弱性严重程度值得到与所述任一数据资源的脆弱性可造成的损失值之前，所述方法还包括：确定与所述任一数据资源对应的所有业务场景，得到所述多个目标业务场景，其中，所述所有业务场景属于多个备选业务场景中的至少部分场景，所述多个备选业务场景是通过对被分析数据资源在全生存周期内涉及到的业务场景进行梳理得到的，所述多个备选业务场景包括：数据采集、数据传输、数据存储、数据处理、数据交换和数据销毁；获取与各目标业务场景对应的可利用性赋值，其中，所述可利用性赋值用于表征与相应目标业务场景对应的脆弱严重程度；根据所述可利用性赋值得到所述脆弱性严重程度值。
[0012]本申请的一些实施例通过构建的多类业务场景得到与被分析数据资源对应的脆弱性严重程度值，可以提升该值的准确性。
[0013]在一些实施例中，所述获取所述各数据资源的威胁发生的概率值，包括：根据任一数据资源所面临的所有威胁的发生可能性值的和得到与所述任一资源的威胁发生概率值。
[0014]本申请的一些实施例通过将与被分析数据资源对应的所有威胁发生可能性的值得到该数据资源的威胁发生概率值，提升该值的准确性。
[0015]在一些实施例中，在所述根据任一数据资源所面临的所有威胁的发生可能性值的和得到与所述任一资源的威胁发生概率值之前，所述方法还包括：根据与所述任一数据资源对应的目标威胁动机值、目标威胁能力值以及目标威胁频率值得到任一威胁的发生的可能性值。
[0016]本申请的一些实施例通过威胁动机值、威胁能力值以及威胁频率值得到任一威胁发生的可能性值，可以提升得到的该值的准确性。
[0017]在一些实施例中，在所述根据与任一数据资源对应的目标威胁动机值、目标威胁能力值以及目标威胁频率值得到所述任一数据资源的威胁发生的概率值之前，所述方法还包括：从多个威胁动机值中确定与所述任一数据资源对应的威胁动机值，得到所述目标威胁动机值，其中，所述多个威胁动机值是对不同类别的威胁动机进行赋值得到的。
[0018]本申请的一些实施例需要获取被分析数据资源的各种不同类别的威胁动机并对这些不同的威胁动机进行赋值，进而可得到更加准确的威胁动机值。
[0019]在一些实施例中，在所述根据与任一数据资源对应的目标威胁动机值、目标威胁能力值以及目标威胁频率值得到所述任一数据资源的威胁发生的概率值之前，所述方法还包括：从多个威胁能力值中确定与所述任一数据资源对应的威胁能力值，得到所述目标威胁能力值，其中，所述多个威胁能力值是对不同类别的威胁能力进行赋值得到的。
[0020]本申请的一些实施例需要获取被分析数据资源的各种不同类别的威胁能力并对这些不同的威胁能力进行赋值，进而可得到更加准确的威胁能力值。
[0021]在一些实施例中，在所述根据与任一数据资源对应的目标威胁动机值、目标威胁能力值以及目标威胁频率值得到所述任一数据资源的威胁发生的概率值之前，所述方法还包括：从多个威胁发生频率值中确定与所述任一数据资源对应的威胁发生频率值，得到所述目标威胁发生频率值，其中，所述多个威胁发生频率值是对威胁发生的不同频率进行等级划分并为划分得到的各等级进行赋值得到的。
[0022]本申请的一些实施例需要获取被分析数据资源的各种不同类别的威胁发生频率并对这些不同的威胁发生频率进行赋值，进而可得到更加准确的威胁发生频率值。
[0023]在一些实施例中，所述根据所述多个安全风险值得到所述待分析数据的总体安全风险值，包括：根据与任一安全风险值和与所述任一安全风险值对应的目标等级赋值，得到所述总体安全风险值。
[0024]本申请的一些实施例还根据被分析的数据资源的目标等级赋值得到总体风险值，提升得到的总体风险值的准确性。
[0025]在一些实施例中，所述根据与任一安全风险值和与所述任一安全风险值对应的目标等级赋值，得到所述总体安全风险值，包括：计算每个数据资源分别的安全风险值以及等级赋值的乘积，得到多个乘积；求本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数据安全风险评估的方法，其特征在于，所述方法包括：获取待分析数据包括的各数据资源的脆弱性可造成的损失值；获取所述各数据资源的威胁发生的概率值；根据所述损失值要和所述概率值计算所述各数据资源的安全风险值，得到多个安全风险值；根据所述多个安全风险值得到所述待分析数据的总体安全风险值。2.如权利要求1所述的方法，其特征在于，所述获取待分析数据包括的各数据资源的脆弱性可造成的损失值，包括：根据与任一数据资源对应的目标等级赋值以及脆弱性严重程度值得到与所述任一数据资源的脆弱性可造成的损失值，其中，所述目标等级赋值属于多个等级赋值中的一个，所述多个等级赋值是依据数据的安全级别或敏感程度对所有数据资源进行等级划分并为划分得到的每个等级进行赋值后得到的，所述脆弱性严重程度值与所述任一数据资源所属的所有目标业务场景的脆弱严重程度相关。3.如权利要求2所述的方法，其特征在于，在所述根据与任一数据资源对应的目标等级赋值以及脆弱性严重程度值得到与所述任一数据资源的脆弱性可造成的损失值之前，所述方法还包括：从多个等级中，获取与所述任一数据资源对应的等级，得到目标等级，其中，所述多个等级包括：核心数据、重要数据、内部数据、一般数据和公开数据；将与所述目标等级对应的等级赋值作为与所述任一数据资源对应的所述目标等级赋值。4.如权利要求2
‑
3任一项所述的方法，其特征在于，所述在所述根据与任一数据资源对应的目标等级赋值以及脆弱性严重程度值得到与所述任一数据资源的脆弱性可造成的损失值之前，所述方法还包括：确定与所述任一数据资源对应的所有业务场景，得到所述所有目标业务场景，其中，所述所有业务场景属于多个备选业务场景中的至少部分场景，所述多个备选业务场景是通过对被分析数据资源在全生存周期内涉及到的业务场景进行梳理得到的，所述多个备选业务场景包括：数据采集、数据传输、数据存储、数据处理、数据交换和数据销毁；获取与各目标业务场景对应的可利用性赋值，其中，所述可利用性赋值用于表征与相应目标业务场景对应的脆弱严重程度；根据所述可利用性赋值得到所述脆弱性严重程度值。5.如权利要求1所述的方法，其特征在于，所述获取所述各数据资源的威胁发生的概率值，包括：根据任一数据资源所面临的所有威胁的发生可能性值的和得到与所述任一资源的威胁发生概率值。6.如权利要求5所述的方法，其特征在于，在所述根据任一数据资源所面临的所有威胁的发生可能性值的和得到与所述任一资源的威胁发生概率值之前，所述方法还包括：根据与所述任一数据资源对应的目标威胁动机值、目标威胁能力值以及目标威胁频率值得到任一威胁的发生可能性值。7.如权利要求6所述的方法，其特征在于，在所述根据与任一数据资源对应的目标威胁
动机值、目标威胁能力值以及目标威胁频率值得到所述任一数据资源的威胁发生的概率值之前，所述方法还包括：...

【专利技术属性】
技术研发人员：杨岁立，艾龙，王鹏，
申请(专利权)人：北京天融信网络安全技术有限公司北京天融信科技有限公司北京天融信软件有限公司，
类型：发明
国别省市：