[发明专利]一种网络信息安全风险评估模型和方法

权利要求书

1.一种网络信息安全风险评估模型，其特征在于，包括：风险场景获取模块、风险要素识别模块、风险要素量化模块和风险计算评估模块；

所述风险场景获取模块，用于获取根据海量已发生网络安全事件归类的风险场景类型；

所述风险要素识别模块包括第一风险要素识别模块、第二风险要素识别模块和第三风险要素识别模块；

所述第一风险要素识别模块，用于对企业信息系统发生预置风险场景类型风险的威胁源进行分析，得到威胁源属性因子；

所述第二风险要素识别模块，用于对企业信息系统发生所述预置风险场景类型风险的脆弱性进行分析，得到脆弱性属性因子；

所述第三风险要素识别模块，用于根据所述威胁源属性因子和所述脆弱性属性因子对企业信息系统发生所述预置风险场景类型风险造成的负面影响进行分析，得到负面影响因素；

所述风险要素量化模块，用于对所述威胁源属性因子、所述脆弱性属性因子和所述负面影响因素进行量化，得到所述威胁源属性因子的量化值、所述脆弱性属性因子的量化值和所述负面影响因素的量化值；

所述风险计算评估模块，用于根据所述风险要素量化模块的输出结果计算企业信息系统发生所述预置风险场景类型风险的发生概率和风险值。

2.根据权利要求1所述的网络信息安全风险评估模型，其特征在于，所述威胁源属性因子包括能力子因子、动机子因子、机会子因子和规模子因子。

3.根据权利要求1所述的网络信息安全风险评估模型，其特征在于，所述负面影响因素包括技术影响和商业负面影响。

4.根据权利要求1所述的网络信息安全风险评估模型，其特征在于，所述企业信息系统发生所述预置风险场景类型风险的发生概率的计算公式为：

Probability＝ThreatorScore*VulnerabilityScore，

其中，Probability为发生概率，ThreatorScore为脆弱性属性因子的量化值，VulnerabilityScore为脆弱性属性因子的量化值。

5.根据权利要求4所述的网络信息安全风险评估模型，其特征在于，所述企业信息系统发生所述预置风险场景类型风险的风险值的计算公式为：

RiskValue＝Probability*ImpactScore，

其中，RiskValue为风险值，ImpactScore为负面影响因素的量化值。

6.一种网络信息安全风险评估方法，其特征在于，包括：

根据海量已发生网络安全事件对企业信息系统的风险场景进行归类，得到风险场景类型；

对企业信息系统发生预置风险场景类型风险的威胁源进行分析，得到威胁源属性因子；

对企业信息系统发生所述预置风险场景类型风险的脆弱性进行分析，得到脆弱性属性因子；

根据所述威胁源属性因子和所述脆弱性属性因子对企业信息系统发生所述预置风险场景类型风险造成的负面影响进行分析，得到负面影响因素；

对所述威胁源属性因子、所述脆弱性属性因子和所述负面影响因素进行量化，得到所述威胁源属性因子的量化值、所述脆弱性属性因子的量化值和所述负面影响因素的量化值；

根据所述风险要素量化模块的输出结果计算企业信息系统发生所述预置风险场景类型风险的发生概率和风险值。

7.根据权利要求6所述的网络信息安全风险评估方法，其特征在于，所述威胁源属性因子包括能力子因子、动机子因子、机会子因子和规模子因子。

8.根据权利要求6所述的网络信息安全风险评估方法，其特征在于，所述负面影响因素包括技术影响和商业负面影响。