[发明专利]一种网络信息安全风险评估模型和方法

说明书

本申请公开了一种网络信息安全风险评估模型和方法，通过对企业信息系统的风险场景进行威胁源属性因子分析、脆弱性属性因子分析和负面影响因素分析，对威胁源属性因子、脆弱性属性因子和负面影响因素进行量化，从而根据量化结果计算出企业信息系统发生预置风险场景类型风险的发生概率和风险值，使得风险评估结果定量化，评估结果的精确性得到提高，能够准确有效地对网络安全风险进行定量评估。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种网络信息安全风险评估模型和方法。

背景技术

随着互联网技术的普及，网络安全的重要性越加显现，为降低企业信息的安全风险，需要对网络安全风险进行有效管理。网络安全风险管理的前提是企业需要对系统内的网络安全风险有充分的认识，因而需要对网络安全风险进行评估，包括企业面临的威胁及可能产生的影响等。如何准确有效地对网络安全风险进行定量评估，是本领域技术人员亟待解决的技术问题。

发明内容

本申请提供了一种网络信息安全风险评估模型和方法，用于准确有效地对网络安全风险进行定量评估。

有鉴于此，本申请第一方面提供了一种网络信息安全风险评估模型，包括：风险场景获取模块、风险要素识别模块、风险要素量化模块和风险计算评估模块；

所述风险场景获取模块，用于获取根据海量已发生网络安全事件归类的风险场景类型；

所述风险要素识别模块包括第一风险要素识别模块、第二风险要素识别模块和第三风险要素识别模块；

所述第一风险要素识别模块，用于对企业信息系统发生预置风险场景类型风险的威胁源进行分析，得到威胁源属性因子；

所述第二风险要素识别模块，用于对企业信息系统发生所述预置风险场景类型风险的脆弱性进行分析，得到脆弱性属性因子；

所述第三风险要素识别模块，用于根据所述威胁源属性因子和所述脆弱性属性因子对企业信息系统发生所述预置风险场景类型风险造成的负面影响进行分析，得到负面影响因素；

所述风险要素量化模块，用于对所述威胁源属性因子、所述脆弱性属性因子和所述负面影响因素进行量化，得到所述威胁源属性因子的量化值、所述脆弱性属性因子的量化值和所述负面影响因素的量化值；

所述风险计算评估模块，用于根据所述风险要素量化模块的输出结果计算企业信息系统发生所述预置风险场景类型风险的发生概率和风险值。

可选地，所述威胁源属性因子包括能力子因子、动机子因子、机会子因子和规模子因子。

可选地，所述负面影响因素包括技术影响和商业负面影响。

可选地，所述企业信息系统发生所述预置风险场景类型风险的发生概率的计算公式为：

Probability＝ThreatorScore*VulnerabilityScore，

其中，Probability为发生概率，ThreatorScore为脆弱性属性因子的量化值，VulnerabilityScore为脆弱性属性因子的量化值。

可选地，所述企业信息系统发生所述预置风险场景类型风险的风险值的计算公式为：

RiskValue＝Probability*ImpactScore，

其中，RiskValue为风险值，ImpactScore为负面影响因素的量化值。

本申请第二方面提供了一种网络信息安全风险评估方法，包括：

根据海量已发生网络安全事件对企业信息系统的风险场景进行归类，得到风险场景类型；