[发明专利]利用层次分析法进行网络安全评估的资产评估方法

说明书

利用层次分析法进行网络安全评估的资产评估方法，包括以下步骤：步骤一，建立相应的评估模型，计算出归一化的主要特征向量of，分量代表标准的权重值；步骤二，将评估模型分为业务层、资产层，在业务层中，每个业务都是一个标准，将这些业务进行比较，并给每个业务分配适当的权重；在资产层，每个资产都是每个业务的子标准，并给每个资产分配相应的权重；步骤三，将每项资产的权重加起来，得到相应资产的价值；具有可行性好、结果可靠、提高ISRA的性能，增强评估安全风险的精度的特点。

技术领域

本发明属于网络安全评估技术领域，具体涉及利用层次分析法进行网络安全评估的资产评估方法。

背景技术

如今网络安全是成功经营企业的一个关键因素。为了保持网络的正常运作，组织的信息技术部门必须面对各种威胁，这些威胁可能以完全不同的方式来破坏目标网络。拒绝服务、特洛伊木马、病毒等威胁，以及其他种类的恶意活动不断演变，并对目标网络造成损害。为了避免这些威胁的发生，一个解决方案是不断监测风险状况，并选择适当的技术来减轻风险。为此，信息安全风险评估 (ISRA)可以使一个组织识别脆弱性和威胁，然后决定选择何种对策来应对潜在的威胁。它可以作为一个可靠的工具，帮助网络管理员分析组织的信息基础设施的风险水平，并根据结果做出进一步的决策。在这个问题上已经取得了重大的进展，有一系列的标准，如ISO 27005，COBIT 5等等，界定了便于遵循的评估过程，在ISRA 课题中的许多研究也可以独立使用，而且可以更节省时间。ISRA 中一个最被接受的观点是，风险是利用漏洞的影响和可能性的综合结果。可能性是指特定漏洞被威胁利用的机率，而影响则是指漏洞被利用后造成的损失。从著名的漏洞数据库如国家漏洞数据库(NVD)和其他中检索可能性和影响的信息非常方便。有了这些权威的信息，风险水平可以被快速评估。然而，在大多数情况下，影响也与资产价值高度相关，这意味着为了更精确地评估风险，必须适当地确定资产价值。

在网络安全评估中，需要考虑业务因素。有必要认识到，在不同的业务流程中，一项资产可能有不同的价值。资产为公司或组织的业务服务。业务的重要性直接决定了资产的价值。资产是目标网络中的节点，因此节点价值的计算以邻节点为基础。Beaudoin和Eng提出了一种资产评估方法，从网络拓扑结构中确定每个节点的重要性，这也强调了资产的连接性。这些工作和其他许多工作主要基于资产之间的相互关系和依赖关系，并提供令人信服的结果。然而，如果网络拓扑结构发生了变化，或者数据流发生了变化，依赖关系链就会发生巨大的变化。此外，有些依赖关系是模糊的，很难被发现。

现有技术主要通过资产识别、漏洞识别、威胁识别、风险识别四个必要活动来完成评估，确定资产价值的，其缺点在于资产方面，网络拓扑结构发生了变化，或者数据流发生了变化，依赖关系链就会发生巨大的变化。甚至有些依赖关系是模糊的，很难被发现。还有业务方面，有必要认识到，在不同的业务流程中，一项资产可能有不同的价值。资产为公司或组织的业务服务。业务的重要性直接决定了资产的价值。

发明内容

为克服上述现有技术的不足，本发明的目的在于提供利用层次分析法进行网络安全评估的资产评估方法，具有可行性好、结果可靠、提高ISRA的性能，增强评估安全风险的精度的特点。

为实现上述目的，本发明采用的技术方案是：利用层次分析法进行网络安全评估的资产评估方法，包括以下步骤：

步骤一，建立相应的评估模型，具体做法是：

用AHP软件建立评估模型，建立方形决策矩阵，见式(4)，

式中，方形决策矩阵A中的条目a_ij表示标准i比标准j重要a_ij倍，因此并且方形决策矩阵A中的所有对角线条目都是1，矩阵的条目值在1到9之间，计算出归一化的主要特征向量 W＝{w₁,w₂,...,w_n}of A，分量w_i代表ith标准的权重值；