本发明专利技术涉及一种基于因子分解的风险评估方法和系统,包括:构建特定场景生产控制系统的风险评估模型和风险评估指标体系,形成指标库;根据特定业务特征将指标库中的风险评估指标分解成多个指标因子,形成相应的因子库,包括指标因子、因子间关系;基于因子库建立特定场景生产控制系统风险评估的知识库,根据因子库和知识库进行现场评估,编制风险评估报告。本发明专利技术采用指标因子拆分和组合,基于因子的依赖关系,围绕着国家和行业规范的总体要求和不可突破的管理红线,建立一套基于特定场景便于快速进行风险评估的因子库和知识库,形成业务场景、指标规则、风险预判三者关联的风险评估,大幅提高了信息安全风险评估的准确性和评估报告编制的效率。报告编制的效率。报告编制的效率。
【技术实现步骤摘要】
一种基于因子分解的风险评估方法和系统
[0001]本专利技术涉及信息安全风险评估
,特别是涉及一种基于因子分解的风险评估方法和系统。
技术介绍
[0002]近年来,网络攻击技术发展迅猛,网络安全问题日益严重,随着信息系统的应用规模不断扩大,对系统的安全性和稳定性也提出了更高的要求。为提升网络安全性及网络安全管理水平,优化网络资源,保障业务的安全运行,通常的技术手段是对信息系统进行安全风险评估。
[0003]风险评估是信息系统安全的基础性工作,只有在正确、全面地了解和理解安全风险后,才能决定如何处理安全风险,从而在信息安全的投资、信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策。风险评估工作主要通过专业的人工检测分析和工具测试服务,识别出信息系统中存在的技术和管理脆弱性,对发展战略及业务、资产、威胁、脆弱性、安全措施等层面进行综合分析,计算和评估客户的安全风险及风险级别,并提出风险控制与管理建议。
[0004]目前风险评估工作存在的不足有:
[0005]1、由于信息系统风险的影响因素多、变化较为复杂,多种指标复杂性以及指标间的相关性会严重干扰信息系统风险评估;同时,由于风险评估活动往往依靠评估人员的个人能力,对风险评估指标体系理解,脆弱性、威胁的识别以及风险程度分析依赖评估人员的能力和经验,因此导致风险评估指标的准确性不足。
[0006]2、信息安全风险评估报告,依据评估人员的检查记录和工具扫描分析来编制,评估按照资产对象的测评指标进行采集信息,测评表单编写耗时耗力,评估报告编制按照风险评估模型编制,编制过程费时费力,在一定程度上降低了工作效率。
[0007]3、针对电力领域变电站、光伏电站、风电场这类工业控制领域固定业务场景,有行业规定的防护要求和不可突破的管理红线,需要根据行业规范做出有针对性风险识别和整改建议。
[0008]然而,这种依据特定场景的风险评估需要技术人员具备评估对象专业知识和行业背景,还需要具备风险评估专业的技能,依靠人员能力很难提升风险评估的水平。
技术实现思路
[0009]本专利技术的目的是针对特定业务场景实施风险评估依靠人员能力实施,评估工作质量不稳定的现状,提出一种基于因子分解的风险评估方法和系统,将评估指标分拆为因子和因子间的依赖关系,依赖因子库和知识库的支撑,提升测评人员对特定场景风险评估的专业分析能力,帮助测评专业技术人员和审核人员减轻工作量,提高风险评估工作的准确率和报告编制的效率,提升公司的管理能力。
[0010]为实现上述目的,本专利技术提供了如下方案:
[0011]一种基于因子分解的风险评估方法,包括:
[0012]构建特定场景生产控制系统的风险评估模型,基于所述风险评估模型,以及行业安全防护要求建立风险评估指标体系,形成指标库;
[0013]根据特定场景的特定业务特征将所述指标库中的风险评估指标分解成多个指标因子,形成相应的因子库,其中,所述因子库包括所述指标因子和因子间关系;
[0014]基于所述因子库建立特定场景生产控制系统风险评估的知识库,根据所述因子库和所述知识库进行现场评估,完成风险评估报告的编制。
[0015]进一步地,所述风险评估模型包括:业务、资产、威胁、脆弱性和安全保障能力;
[0016]所述风险评估指标包括:物理环境、网络、平台和安全管理;
[0017]其中,所述脆弱性包括:物理环境脆弱性、网络脆弱性、计算环境脆弱性和安全管理脆弱性。
[0018]进一步地,所述因子为最小指标单元,所述因子间关系包括递进关系、并列关系、互斥关系、多选关系。
[0019]进一步地,所述因子间关系的表达过程包括:
[0020]设定所述因子间关系公用表示标志,根据所述因子间关系的种类,对所述公用表示标志赋值,根据赋值结果采用不同的表示方式表达所述因子间关系。
[0021]进一步地,所述知识库包括:业务场景、指标规则、风险预判,其中,所述业务场景为各种有设计规范的场景;所述指标规则为脆弱性指标的集合;所述风险预判为脆弱性分析。
[0022]进一步地,所述脆弱性分析根据所述业务场景下的风险评估模型,融合行业专家知识经验、重大安全风险事件经验以及所述指标因子的因子间关系,形成脆弱性分析级别赋值存入,并在工作中不断完善。
[0023]进一步地,进行所述现场评估包括:
[0024]根据评估系统类型从所述因子库中拉取相对应的指标因子,按照所述指标因子的因子间关系初始化指标因子测评记录数据,作为符合的结果记录;
[0025]根据现场评估采集的指标因子数据,在符合的结果记录中将不符合的指标因子修改为不符合,匹配所述因子库生成不符合的结果记录,并比对知识库进行脆弱性分析,完成所述现场评估,生成测评表单。
[0026]进一步地,编制所述风险评估报告包括:
[0027]整理所述现场评估中生成的测评表单;依据所述风险评估模型和所述知识库完成特定业务场景的实施风险分析,并计算风险分值,综合研判风险等级;从所述知识库中选取高风险记录的风险处置,结合所述实施风险分析以及所述风险等级,完成风险评估报告的编制。
[0028]为了实现上述目的,本申请还提供了一种基于因子分解的风险评估系统,包括:
[0029]采集模块:用于通过现场查看、访谈系统管理人员、手工检查相关设备配置、采用工具执行扫描的方式采集数据,所述数据通过因子选择的方式生成采集记录;
[0030]分析模块:用于将所述采集记录输入至所述风险评估模型,获取输出结果,所述输出结果即为目标信息数据的信息安全风险等级的评估结果;
[0031]报告生成模块:用于根据各类业务数据,以预设的数据规则,以及所述各类业务数
据的业务需求和风险评估模型做出分析,按照报告模板的要求,写出报告。
[0032]本专利技术的有益效果为:
[0033](1)本专利技术采用指标因子拆分和组合。因子库是根据历史积累和专家知识拆解的,指标按照规则拆解成因子库后,能够减少测评表的编写工作,提高数据的准确性,提升了工作效率;基于因子的依赖关系,能够把一些信息重叠、具有错综复杂关系的变量归结为综合因子分析的方式。
[0034](2)本专利技术在数据采集环节使用了指标选择,在分析环节依赖于因子组合和相关权限,依赖知识库记性评估报告编制,在一定程度上提升了工作效率。
[0035](3)本专利技术基于行业规定的总体要求和不可突破的管理红线,围绕着国家和行业规范需要建立一套基于特定场景便于快速进行风险评估的知识库,形成业务场景、指标规则、风险预判三者关联的风险评估,大幅提高了信息安全风险评估的准确性和报告编制效率。
附图说明
[0036]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于因子分解的风险评估方法,其特征在于,包括:构建特定场景生产控制系统的风险评估模型,基于所述风险评估模型,以及行业安全防护要求建立风险评估指标体系,形成指标库;根据特定场景的特定业务特征将所述指标库中的风险评估指标分解成多个指标因子,形成相应的因子库,其中,所述因子库包括所述指标因子和因子间关系;基于所述因子库建立特定场景生产控制系统风险评估的知识库,根据所述因子库和所述知识库进行现场评估,完成风险评估报告的编制。2.根据权利要求1所述的基于因子分解的风险评估方法,其特征在于,所述风险评估模型包括:业务、资产、威胁、脆弱性和安全保障能力;所述风险评估指标包括:物理环境、网络、平台和安全管理;其中,所述脆弱性包括:物理环境脆弱性、网络脆弱性、计算环境脆弱性和安全管理脆弱性。3.根据权利要求1所述的基于因子分解的风险评估方法,其特征在于,所述指标因子为最小指标单元,所述因子间关系包括递进关系、并列关系、互斥关系、多选关系。4.根据权利要求1所述的基于因子分解的风险评估方法,其特征在于,所述因子间关系的表达过程包括:设定所述因子间关系公用表示标志,根据所述因子间关系的种类,对所述公用表示标志赋值,根据赋值结果采用不同的表示方式表达所述因子间关系。5.根据权利要求1所述的基于因子分解的风险评估方法,其特征在于,所述知识库包括:业务场景、指标规则和风险预判,其中,所述业务场景为各种有设计规范的场景;所述指标规则为脆弱性指标的集合;所述风险预判为脆弱性分析。6.根据权利要求5所述的基于因子分解的风险评估方法,其特征在于,所述...
【专利技术属性】
技术研发人员:刘韧,隋子鹏,丁鲁彬,刘凯华,仲青青,陈杰,焦安春,
申请(专利权)人:北京卓识网安技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。