[发明专利]一种风险评估方法及系统

说明书

技术领域

本申请涉及信息安全技术领域，更具体地说，涉及一种风险评估方法及系统。

背景技术

在资产风险评估时，往往需要对资产的风险进行量化，以便对不同资产的风险进行比较。

目前常见的风险评估方法只有对资产风险的量化，其从资产风险的角度衡量资产的安全性。但是，这种风险评估方式没有考虑到资产脆弱性对资产安全性的影响，缺少潜在的风险评估。

发明内容

有鉴于此，本申请提供了一种风险评估方法及系统，用于解决现有风险评估方法没有考虑资产脆弱性对资产安全性的影响，导致缺少潜在风险评估的问题。

为了实现上述目的，现提出的方案如下：

一种风险评估方法，包括：

利用资产的机密性量化值、完整性量化值和可用性量化值，确定资产的资产价值量化值；

利用单位时间内资产遭到的攻击事件，以及资产脆弱性扫描结果，确定资产的攻击事件威胁量化值；

利用所述资产价值量化值以及所述攻击事件威胁量化值，确定资产的资产风险量化值；

利用资产的漏洞扫描结果量化值和基线检查结果量化值，确定资产的脆弱性量化值；

其中，所述资产的资产风险量化值用于从资产风险角度衡量资产安全性，所述资产的脆弱性量化值用于从资产脆弱性角度衡量资产安全性。

优选地，还包括：

利用目标安全域内各个资产的资产风险量化值，确定所述目标安全域的风险量化值；

利用目标安全域内各个资产的脆弱性量化值，确定所述目标安全域的脆弱性量化值。

优选地，所述利用资产的机密性量化值、完整性量化值和可用性量化值，确定资产的资产价值量化值，包括：

分别将资产的机密性C、完整性I和可用性A划分为五个等级，各等级对应的分值分别为1、2、3、4和5；

按照下式计算资产的资产价值量化值M：

M=2round[0.8(C+I+A)]212*100]]>

其中，M取值区间为[0,100]，round()函数为四舍五入的取整函数。

优选地，所述利用单位时间内资产遭到的攻击事件，以及资产脆弱性扫描结果，确定资产的攻击事件威胁量化值，包括：

按照下式计算资产的攻击事件威胁量化值T：

T＝Evt*f(Evt,Vul)*g(SIP)

其中，T取值区间为[0,1]，Evt为攻击事件威胁等级量化值，取值区间为[0,1]，f()为事件-资产相关性判断函数，取值区间为[0,1]，g()为攻击源属性判断函数，取值区间为[0,1]；

上述Evt的确定过程为：

将攻击事件划分为五个等级，各个等级对应的分值level分别为1、2、3、4和5；

Evt=2level-230]]>

其中，Evt取值区间为[0,1]，level为攻击事件等级的分值；

上述f(Evt,Vul)的确定过程为：

f＝1：资产上存在可被攻击利用的漏洞；

f＝0.8：资产上不存在可被攻击利用的漏洞，但被攻击端口开放；

f＝0.4：漏洞、开放端口均不相符，但操作系统类型相符；