[发明专利]一种信息系统风险评估方法及装置

说明书

技术领域

本发明涉及网络安全领域，尤其涉及一种信息系统风险评估方法及装置。

背景技术

信息系统风险评估就是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，可以根据评估结果预先给出有针对性的抵御威胁的防护对策和整改措施，为防范和化解信息安全风险，将风险控制在可接受的水平，最大限度地保障信息安全提供科学依据。

目前国标GB/T 20984－2007信息系统风险评估规范中介绍了风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度，单资产的风险值分析原理图如图1所示，主要包括：对资产进行识别，并对资产的价值进行赋值；对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性；根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失；根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。其中风险值的计算公式如式[1]所示。

风险值＝f(A,T,V)＝R(L(T,V),F(I_a,V_a))……………..公式[1]

其中，R表示安全风险计算函数，A表示资产，T表示威胁出现的频率，V表示脆弱性，Ia表示安全事件所作用的资产价值，Va表示脆弱性严重程度，L表示威胁利用资产的脆弱性导致安全事件发生的可能性，F表示安全事件发生后的造成的损失。

由于规范中仅介绍了单资产风险分析的基本流程及原理，即如何通过对三大要素(资产、脆弱性、威胁)进行识别和赋值，采用了相乘或者矩阵法计算出风险值，并没有给出由单个资产构成的资产组以及整个安全运维中心的脆弱性值、威胁值、风险值的计算方法，因此现有技术缺乏对资产组以及整个安全运维中心的风险评估方法。

发明内容

本发明实施例提供一种信息系统风险评估方法及装置，用以解决提供一种准确地对资产组以及整个安全运维中心进行风险评估的方法。

本发明方法包括一种信息系统风险评估方法，该方法包括：

确定信息系统内每个评估对象的各个风险基本要素的值，所述各个风险基本要素至少包括资产、威胁、脆弱性三个基本要素；

针对所述信息系统内的任意一个安全域的任意一个风险基本要素，将所述安全域内的各个评估对象的所述风险基本要素的值作为模型因子，利用预设的概率计算模型计算得到所述安全域的所述风险基本要素的值，其中，在所述概率计算模型中所述安全域内的各个评估对象的所述风险基本要素的最大值对应的权重值最大；

根据所述安全域的每个风险基本要素的值，利用风险估算法求得所述安全域的风险值。

基于同样的发明构思，本发明实施例进一步地提供一种信息系统风险评估装置，该装置包括：

确定单元，用于确定信息系统内每个评估对象的各个风险基本要素的值，所述各个风险基本要素至少包括资产、威胁、脆弱性三个基本要素；

计算单元，用于针对所述信息系统内的任意一个安全域的任意一个风险基本要素，将所述安全域内的各个评估对象的所述风险基本要素的值作为模型因子，利用预设的概率计算模型计算得到所述安全域的所述风险基本要素的值，其中，在所述概率计算模型中所述安全域内的各个评估对象的所述风险基本要素的最大值对应的权重值最大；

评估单元，用于根据所述安全域的每个风险基本要素的值，利用风险估算法求得所述安全域的风险值。

本发明实施例通过利用每个安全域下面的多个评估对象的风险基本要素的值，计算得到该安全域的风险基本要素的值，进而利用安全域的各个风险基本要素的值求得该安全域的风险值，计算方法主要是利用预设的概率计算模型，针对该安全域的一个资产基本要素来说，将该安全域下面的各个评估对象的资产基本要素的值输入到该概率计算模型，然后得到该安全域的资产基本要素值，可见，利用这种计算方法可以方便快捷的逐层计算出风险值、威胁值、脆弱性值；系统安全风险通过各个层级的风险值、威胁值、脆弱性值立体呈现，使得用户可以通过下钻快速定位顶层风险域或者顶层风险资产，从而便于根据风险值及时作出风险预警。

附图说明