【技术实现步骤摘要】
一种基于数据汇聚过程的风险评估方法及系统
[0001]本专利技术涉及一种基于数据汇聚过程的风险评估方法及系统,属于网络安全
技术介绍
[0002]伴随着数字化经济的蓬勃发展与传统行业的数字化转型不断落实,数据价值化加速推进,怎样能系统、全面、有效地发展和提高数据安全防护能力,在数据经济、数据价值和数据安全之间实现稳定,是当下国家、行业以及各企业和组织都非常关注的问题,解决信息安全问题普遍采用的方法是风险评估。
[0003]数据采集汇聚是数据全生命周期中的第一步,也是最重要的一步之一,关系到数据的完整性、机密性和可用性(如数据源来源的可靠性、数据采集过程中的完整性、数据采集设备的可用性、数据采集系统的保密性等)直接影响到整个数据全生命周期中的数据质量,只有数据安全、可靠,才能为后续的数据分析应用提供数据基础。
[0004]而目前有关风险评估方法,往往对数据存储和数据传输过程中可能存在的弱点进行分析和评估,但无针对数据汇聚过程可能存在的弱点和威胁进行评估,使得数据利用率较低,覆盖面不全,无法给出全面的风
【技术保护点】
【技术特征摘要】
1.一种基于数据汇聚过程的风险评估方法,其特征在于,包括以下步骤:从各数据资源单位采集敏感数据并进行数据汇聚;对数据汇聚过程进行汇聚系统识别、汇聚数据价值识别、威胁识别、弱点识别和已有保护措施识别;根据识别结果进行风险分析,计算数据汇聚过程面临的风险值;将计算出的风险值映射到五个等级的风险并输出最终报告,根据风险等级报告和处置的难易度,将风险按照降低、转移、规避和接受四个方向进行处置。2.根据权利要求1所述的一种基于数据汇聚过程的风险评估方法,其特征在于,所述汇聚系统识别,包括:根据数据汇聚过程确定汇聚系统范围,获取汇聚系统、使用操作系统和数据库管理系统;根据汇聚系统可用性、完整性和机密性矩阵对获取的汇聚系统、使用操作系统和数据库管理系统进行识别、赋值,确定资产价值S:T=(C+I+A)/3S=MAX(C,I,A)/3+2*T/3其中,C表示系统的机密性,I表示系统的完整性,A表示系统的可用性,T表示系统机密性、完整性和可用性的平均值。3.根据权利要求1所述的一种基于数据汇聚过程的风险评估方法,其特征在于,所述汇聚数据价值识别,包括:获取数据汇聚过程中的数据,根据数据分类分级情况,并参照汇聚数据识别矩阵中的数据敏感程度和影响程度,确定汇聚数据价值D:其中,S表示汇聚数据敏感程度,I表示影响程度。4.根据权利要求1所述的一种基于数据汇聚过程的风险评估方法,其特征在于,所述威胁识别,包括:根据威胁的来源、种类和动机,结合威胁频率,识别威胁;根据威胁种类矩阵和威胁频率矩阵确定威胁识别结果T:其中,T
r
表示威胁种类,T
f
表示威胁发生频率。5.根据权利要求4所述的一种基于数据汇聚过程的风险评估方法,其特征在于,所述根据威胁的来源、种类和动机,结合威胁频率,识别威胁,包括:根据威胁来源,划分为环境、意外和人为;根据威胁种类,划分为物理损坏、自然灾害、信息损害、技术失效、未授权行为、功能损害和供应链失效;根据威胁动机,划分为恶意和非恶意。6.根据权利要求1所述的一种基于数据汇聚过程的风险评估方法,其特征在于,所述弱点识别,包括:主动弱点识别通过渗透测试、系统扫描主动发现配置管理漏洞、账户认证漏洞、会话管
理漏洞、账户授权漏洞、业务逻辑漏洞、数据验证漏洞、数据阻断漏洞、WEB漏洞、AJAX漏洞;被动弱点识别通过现场检查、威胁情报、流量嗅探接收相关被动弱点信息;根据弱点利用难易度矩阵和弱点影响度矩阵计算得出主动、被动弱点识别结果V:其中,V
d
表示弱点利用难易度,V
r
表示弱点利用影响度。7.根据权利要求1所述的一种基于数据汇聚过程的风险评估方法,其特征在于,所述已有保护措施识别,包括:所述已有安全措施分为预防性安全措施和保...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。