CN103400027A - 信息系统的风险评估算法 - Google Patents
信息系统的风险评估算法 Download PDFInfo
- Publication number
- CN103400027A CN103400027A CN2013102861890A CN201310286189A CN103400027A CN 103400027 A CN103400027 A CN 103400027A CN 2013102861890 A CN2013102861890 A CN 2013102861890A CN 201310286189 A CN201310286189 A CN 201310286189A CN 103400027 A CN103400027 A CN 103400027A
- Authority
- CN
- China
- Prior art keywords
- risk
- evaluation
- value
- factor
- assets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种信息系统的风险评估算法,根据GB/T20984-2007标准将信息系统的资产的评价因素、脆弱性的评价因素及威胁的评价因素建立关联关系,获得安全评估指标体系,得到24对风险关系;将获得的24对风险关系带入公式(1),计算获得资产综合值A;根据资产价值A和脆弱性值V计算安全事件造成的损失综合值F;根据脆弱性值V和威胁值T,计算安全事件可能性综合值L;将安全事件造成的损失F和安全事件可能性L带入公式(2),计算获得风险综合值R;本发明能够消除由于评估因素选择不合理、风险关联关系分析不能客观反应系统状态造成的影响,增强了风险评估的客观性与准确性。
Description
技术领域
本发明涉及计算机技术领域,尤其是一种信息系统的风险评估算法。
背景技术
信息安全分析评估就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,为防范和化解信息安全风险,将风险控制在可接受的水平,最大限度地保障信息安全提供科学依据。
目前GB/T 20984-2007介绍了两种风险值计算方法,矩阵法和相乘法。
安全风险是指在完成资产识别、威胁识别、脆弱性识别后,建立威胁利用脆弱性造成的安全事件发生的可能性,并综合分析由于安全事件导致资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响。其原理如式(3)所示。 
其中:R表示安全风险计算函数,A表示资产,T表示威胁出现的频率,V表示脆弱性,Ia 表示安全事件所作用的资产价值,Va表示脆弱性严重程度,L表示威胁利用资产的脆弱性导致安全事件发生的可能性,F表示安全事件发生后的造成的损失。
在GB/T 20984-2007中介绍了风险分析的基本流程及原理,通过对三大要素(资产、脆弱性、威胁)进行识别、赋值,采用了相乘或者矩阵法计算风险值,但是没有对各要素的属性进行细化和分解,在风险评估实践中很难量化操作。现在的评估算法主观性较大,使评估的结果准确性受到影响。
发明内容
本发明的目的是:提供一种信息系统的风险评估算法,它客观、准确,步骤简单易行,以克服现有技术的不足。
本发明是这样实现的:信息系统的风险评估算法, 1)根据GB/T 20984-2007标准将信息系统的资产的评价因素、脆弱性的评价因素及威胁的评价因素建立由资产、脆弱性及威胁构成的三元组关联关系,获得安全评估指标体系,得到24对风险关系;24对风险关系具
2)被测评单位、专业测评机构及专家独立给出评估矩阵,将上述的评估矩阵进行无量纲化处理后,将获得的24对风险关系带入公式(1),计算获得资产综合值A;根据资产价值A和脆弱性值V计算安全事件造成的损失综合值F;根据脆弱性值V和威胁值T,计算安全事件可能性综合值L;将安全事件造成的损失F和安全事件可能性L带入公式(2),计算获得风险综合值R;
先将信息系统存在的风险根据层次分析法分解为不同层次的评价因素,然后由资产的评价因素、脆弱性的评价因素及威胁的评价因素的初值组成评估矩阵,并作无量纲化,根据群决策方法对评价因素集结,计算出各要评价因素的综合值,最后得到系统的风险值。
资产的评价因素为数据(A1)、软件(A2)、硬件(A3)、服务(A4)及人员(A5);脆弱性的评价因素为物理环境(V1)、网络结构(V2)、系统软件(V3)、应用中间件(V4)、应用系统(V5)、技术管理(V6)及组织管理(V7);威胁的评价因素为软硬件故障(T1)、物理环境影响(T2)、操作失误(T3)、管理不到位(T4)、恶意代码(T5)、越权或滥用(T6)、网络攻击(T7)、物理攻击(T8)、泄密(T9)、篡改(T10)及抵赖(T11)。
信息系统安全模型风险值分解为安全事件可能性和安全事件造成的损失,安全事件造成的损失由资产和脆弱性决定,安全事件可能性由脆弱性和威胁决定,资产值由CIA(机密性、完整性、可能性)决定。
得用式(1)和式(2)作为风险计算函数,按风险属性集结顺利分别计算资产综合值A、安全事件造成的损失综合值F、安全事件可能性综合值L和计算风险综合值R,对风险值等级进行分析。
为了获得更准确的评估指标,本发明在相关标准的基础上,考虑到风险评估因素众多、评估要素之间关系复杂,各评估参与方知识经验不同等特点,根据信息安全风险评估工作的实际应用需求,采用AHP方法建立风险评估因素关联关系,构造风险值三元组,以及与多属性群决策方法中属性分解原理、权重赋值理论相结合,改进风险评估方法。
由于采用了上述的技术方案,本发明改进的基于层次分析的信息安全风险评估指标体系能够消除由于评估因素选择不合理、风险关联关系分析不能客观反应系统状态造成的影响;多属性群决策评估算法够降低评估人员的主观因素对风险评估结果造成的影响,增强了风险评估的客观性与准确性。同时指标体系简单、全面能够方便的对信息系统安全进行风险评估。本发明简单易行,能对信息系统风险评估量化计算,使用效果好。
附图说明
附图1为本发明的对改进的信息系统安全风险评估层次与多属性分解的示意图。
具体实施方式
本发明的实施例: 信息系统的风险评估算法,
步骤一:识别资产,依据GB/T 20984-2007标准,一种基于表现形式的资产分类如表1所示,分为5大类。数据主要包括在信息媒介上的各种数据资料;软件包括系统软件、应用软件和源程序;硬件包括网络设备、计算机设备、传输线路、保障设备、安全设备等;服务包括信息服务、网络服务、办公服务等;人员指掌握重要信息和核心业务的人员。
步骤二:脆弱性识别,在GB/T 20984-2007标准中列出7大类的脆弱性,包括了技术类脆弱性和管理脆弱性,如表2所示。脆弱性是资产本身存在的,在实际工程实施过程中,主要从技术和管理两方面来识别。7大类评价因素,可以多个方面来进行内容认识。
步骤三:威胁识别,依据GB/T 20984-2007标准,一种基于表现形式的威胁分类如表3所示,一共分为11个大类。判断威胁出现的频率可以根据经验和有关统计数据来判断。可以综合考虑三个方面的数据:(1)历史安全事件报告中统计过的威胁及频率;(2)估计者通过检测工具实际测评和系统日志分析统计威胁及频率;(3)相关国内外权威机构发布的相关威胁及频率数据。11个大类评价因素可以从其子因素来识别。
步骤四:建立资产、脆弱性和威胁之间的关联关系如表4所示,形成了R 1 、R 2 、… R 24 风险关系。
步骤五、根据三类评估专家给出评估矩阵,并作无量纲化;以便计算机计算。
步骤九:由公式(1),根据资产CIA(机密性、完整性、可用性)属性,计算资产综合值A;由公式(1),根据资产价值和脆弱性值,计算安全事件造成的损失综合值F;由公式(1),根据脆弱性值V和威胁值T,计算安全事件可能性综合值L;最后由公式(2),根据安全事件造成的损失F和安全事件可能性L,计算风险综合值R。
最后利用(i∈N)对方案进行排序和择优。
其中:有几点需要说明:
1、参与决策的评估人员有三类:行业专家d1,评估人员d2和组织管理者d3,各决策者权重向量为 λ =(0.4,0.3,0.3)。
2、OWGA(Order weighting geometry average)算子的指数加权向量w a =(0.4,0.35,0.25), CWGA(combination weighting geometry average)算子的指数加权向量 w′=(0.4,0.3,0.3)。
根据图1得知,本发明是信息系统风险值评估是一个模糊的层次化的问题、也是一个多属性分解问题。通过改进建立新的指标体系、运用群决策算法计算风险值。在实际工程应用中,本发明有明显优势,对于其它情况,本发明不保证风险评估的准确性一定优于已有的经典方法。
Claims (3)
1.一种信息系统的风险评估算法,其特征在于:1)根据GB/T 20984-2007标准将信息系统的资产的评价因素、脆弱性的评价因素及威胁的评价因素建立由资产、脆弱性及威胁构成的三元组关联关系,获得安全评估指标体系,得到24对风险关系;24对风险关系具 2)被测评单位、专业测评机构及专家独立给出评估矩阵,将上述的评估矩阵进行无量纲化处理后,将获得的24对风险关系带入公式(1),计算获得资产综合值A;根据资产价值A和脆弱性值V计算安全事件造成的损失综合值F;根据脆弱性值V和威胁值T,计算安全事件可能性综合值L;将安全事件造成的损失F和安全事件可能性L带入公式(2),计算获得风险综合值R;。
2.信息系统的风险评估算法,其特征在于:先将信息系统存在的风险根据层次分析法分解为不同层次的评价因素,然后由资产的评价因素、脆弱性的评价因素及威胁的评价因素的初值组成评估矩阵,并作无量纲化,根据群决策方法对评价因素集结,计算出各要评价因素的综合值,最后得到系统的风险值。
3.信息系统的风险评估算法,其特征在于:资产的评价因素为数据(A1)、软件(A2)、硬件(A3)、服务(A4)及人员(A5);脆弱性的评价因素为物理环境(V1)、网络结构(V2)、系统软件(V3)、应用中间件(V4)、应用系统(V5)、技术管理(V6)及组织管理(V7);威胁的评价因素为软硬件故障(T1)、物理环境影响(T2)、操作失误(T3)、管理不到位(T4)、恶意代码(T5)、越权或滥用(T6)、网络攻击(T7)、物理攻击(T8)、泄密(T9)、篡改(T10)及抵赖(T11)。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013102861890A CN103400027A (zh) | 2013-07-09 | 2013-07-09 | 信息系统的风险评估算法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013102861890A CN103400027A (zh) | 2013-07-09 | 2013-07-09 | 信息系统的风险评估算法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103400027A true CN103400027A (zh) | 2013-11-20 |
Family
ID=49563655
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2013102861890A Pending CN103400027A (zh) | 2013-07-09 | 2013-07-09 | 信息系统的风险评估算法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103400027A (zh) |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106656996A (zh) * | 2016-11-09 | 2017-05-10 | 航天科工智慧产业发展有限公司 | 一种信息安全风险评估方法 |
| CN106960269A (zh) * | 2017-02-24 | 2017-07-18 | 浙江鹏信信息科技股份有限公司 | 基于层次分析法的安全应急处置方法及系统 |
| CN107871081A (zh) * | 2017-11-30 | 2018-04-03 | 梅州市联安科技有限公司 | 一种计算机信息安全系统 |
| CN108833416A (zh) * | 2018-06-21 | 2018-11-16 | 北京市劳动保护科学研究所 | 一种scada系统信息安全风险评估方法及系统 |
| CN109146240A (zh) * | 2018-07-03 | 2019-01-04 | 北京航空航天大学 | 一种面向智能网联车辆的信息安全风险评估方法及系统 |
| CN109214662A (zh) * | 2018-08-20 | 2019-01-15 | 田金荣 | 一种金融风险在线监控系统 |
| CN109359893A (zh) * | 2018-11-21 | 2019-02-19 | 国家电网有限公司 | 移动作业平台的风险评估方法及装置 |
| CN109840688A (zh) * | 2018-12-28 | 2019-06-04 | 全球能源互联网研究院有限公司 | 一种电力移动终端安全评估方法及装置 |
| CN110110528A (zh) * | 2019-05-15 | 2019-08-09 | 广东电网有限责任公司 | 信息系统的安全风险评估方法、装置及设备 |
| CN110289995A (zh) * | 2019-06-11 | 2019-09-27 | 同济大学 | 基于利用属性攻击图的社交网络行为监控方法及装置 |
| CN110472839A (zh) * | 2019-07-25 | 2019-11-19 | 上海电力大学 | 基于sa-pso-ahp的火电厂控制系统信息安全评估系统 |
| US10693886B2 (en) * | 2015-08-17 | 2020-06-23 | Nippon Telegraph And Telephone Corporation | Computation system, computation device, method thereof, and program to perform information processing |
| CN111507597A (zh) * | 2020-04-10 | 2020-08-07 | 南京源堡科技研究院有限公司 | 一种网络信息安全风险评估模型和方法 |
| CN111614615A (zh) * | 2020-04-16 | 2020-09-01 | 国网浙江省电力有限公司湖州供电公司 | 一种变电站电力监控系统网络安全量化评估方法 |
| CN112039704A (zh) * | 2020-08-31 | 2020-12-04 | 中国民航大学 | 一种基于风险传播的信息系统风险评估方法 |
| CN112330141A (zh) * | 2020-11-03 | 2021-02-05 | 中国船舶工业综合技术经济研究院 | 船舶网络安全评估方法、系统、存储介质及终端 |
| CN112348371A (zh) * | 2020-11-11 | 2021-02-09 | 奇安信科技集团股份有限公司 | 云资产的安全风险评估方法、装置、设备、及存储介质 |
| CN112801453A (zh) * | 2020-12-30 | 2021-05-14 | 哈尔滨工大天创电子有限公司 | 一种风险评估方法、装置、终端和存储介质 |
| CN114019942A (zh) * | 2021-11-04 | 2022-02-08 | 哈尔滨工业大学 | 一种基于分时频率的工业机器人系统安全威胁评价方法 |
| CN114997607A (zh) * | 2022-05-17 | 2022-09-02 | 保利长大工程有限公司 | 一种基于工程检测数据的异常评估预警方法及系统 |
| CN115883262A (zh) * | 2023-03-02 | 2023-03-31 | 天津市职业大学 | 用于智能网联汽车的信息安全风险评估方法及设备、介质 |
| CN116094747A (zh) * | 2022-11-18 | 2023-05-09 | 北京卓识网安技术股份有限公司 | 一种基于因子分解的风险评估方法和系统 |
| CN116389171A (zh) * | 2023-06-05 | 2023-07-04 | 汉兴同衡科技集团有限公司 | 一种信息安全评估检测方法、系统、装置及介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101150432A (zh) * | 2007-08-24 | 2008-03-26 | 北京启明星辰信息技术有限公司 | 一种信息系统风险评估方法及系统 |
| CN101727627A (zh) * | 2009-12-16 | 2010-06-09 | 工业和信息化部电子第五研究所 | 一种基于组合评估法的信息系统安全风险评估模型 |
-
2013
- 2013-07-09 CN CN2013102861890A patent/CN103400027A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101150432A (zh) * | 2007-08-24 | 2008-03-26 | 北京启明星辰信息技术有限公司 | 一种信息系统风险评估方法及系统 |
| CN101727627A (zh) * | 2009-12-16 | 2010-06-09 | 工业和信息化部电子第五研究所 | 一种基于组合评估法的信息系统安全风险评估模型 |
Non-Patent Citations (3)
| Title |
|---|
| 中国国家标准化管理委员会: "《GB/T 20984-2007信息安全技术 信息安全风险评估规范》", 14 June 2007 * |
| 唐作其等: "多属性群决策理论信息安全风险评估方法研究", 《计算机工程与应用》 * |
| 宋艳等: "信息系统安全风险评估综述", 《情报理论与实践》 * |
Cited By (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10693886B2 (en) * | 2015-08-17 | 2020-06-23 | Nippon Telegraph And Telephone Corporation | Computation system, computation device, method thereof, and program to perform information processing |
| CN106656996A (zh) * | 2016-11-09 | 2017-05-10 | 航天科工智慧产业发展有限公司 | 一种信息安全风险评估方法 |
| CN106656996B (zh) * | 2016-11-09 | 2020-09-15 | 航天科工智慧产业发展有限公司 | 一种信息安全风险评估方法 |
| CN106960269A (zh) * | 2017-02-24 | 2017-07-18 | 浙江鹏信信息科技股份有限公司 | 基于层次分析法的安全应急处置方法及系统 |
| CN106960269B (zh) * | 2017-02-24 | 2021-03-02 | 浙江鹏信信息科技股份有限公司 | 基于层次分析法的安全应急处置方法及系统 |
| CN107871081A (zh) * | 2017-11-30 | 2018-04-03 | 梅州市联安科技有限公司 | 一种计算机信息安全系统 |
| CN108833416A (zh) * | 2018-06-21 | 2018-11-16 | 北京市劳动保护科学研究所 | 一种scada系统信息安全风险评估方法及系统 |
| CN108833416B (zh) * | 2018-06-21 | 2020-12-15 | 北京市劳动保护科学研究所 | 一种scada系统信息安全风险评估方法及系统 |
| CN109146240A (zh) * | 2018-07-03 | 2019-01-04 | 北京航空航天大学 | 一种面向智能网联车辆的信息安全风险评估方法及系统 |
| CN109214662A (zh) * | 2018-08-20 | 2019-01-15 | 田金荣 | 一种金融风险在线监控系统 |
| CN109359893A (zh) * | 2018-11-21 | 2019-02-19 | 国家电网有限公司 | 移动作业平台的风险评估方法及装置 |
| CN109840688A (zh) * | 2018-12-28 | 2019-06-04 | 全球能源互联网研究院有限公司 | 一种电力移动终端安全评估方法及装置 |
| CN110110528A (zh) * | 2019-05-15 | 2019-08-09 | 广东电网有限责任公司 | 信息系统的安全风险评估方法、装置及设备 |
| CN110289995A (zh) * | 2019-06-11 | 2019-09-27 | 同济大学 | 基于利用属性攻击图的社交网络行为监控方法及装置 |
| CN110289995B (zh) * | 2019-06-11 | 2021-02-02 | 同济大学 | 基于利用属性攻击图的社交网络行为监控方法及装置 |
| CN110472839A (zh) * | 2019-07-25 | 2019-11-19 | 上海电力大学 | 基于sa-pso-ahp的火电厂控制系统信息安全评估系统 |
| CN111507597A (zh) * | 2020-04-10 | 2020-08-07 | 南京源堡科技研究院有限公司 | 一种网络信息安全风险评估模型和方法 |
| CN111614615A (zh) * | 2020-04-16 | 2020-09-01 | 国网浙江省电力有限公司湖州供电公司 | 一种变电站电力监控系统网络安全量化评估方法 |
| CN112039704A (zh) * | 2020-08-31 | 2020-12-04 | 中国民航大学 | 一种基于风险传播的信息系统风险评估方法 |
| CN112330141A (zh) * | 2020-11-03 | 2021-02-05 | 中国船舶工业综合技术经济研究院 | 船舶网络安全评估方法、系统、存储介质及终端 |
| CN112330141B (zh) * | 2020-11-03 | 2023-09-19 | 中国船舶工业综合技术经济研究院 | 船舶网络安全评估方法、系统、存储介质及终端 |
| CN112348371A (zh) * | 2020-11-11 | 2021-02-09 | 奇安信科技集团股份有限公司 | 云资产的安全风险评估方法、装置、设备、及存储介质 |
| CN112801453A (zh) * | 2020-12-30 | 2021-05-14 | 哈尔滨工大天创电子有限公司 | 一种风险评估方法、装置、终端和存储介质 |
| CN114019942A (zh) * | 2021-11-04 | 2022-02-08 | 哈尔滨工业大学 | 一种基于分时频率的工业机器人系统安全威胁评价方法 |
| CN114019942B (zh) * | 2021-11-04 | 2023-08-29 | 哈尔滨工业大学 | 一种基于分时频率的工业机器人系统安全威胁评价方法 |
| CN114997607A (zh) * | 2022-05-17 | 2022-09-02 | 保利长大工程有限公司 | 一种基于工程检测数据的异常评估预警方法及系统 |
| CN116094747B (zh) * | 2022-11-18 | 2023-10-20 | 北京卓识网安技术股份有限公司 | 一种基于因子分解的风险评估方法和系统 |
| CN116094747A (zh) * | 2022-11-18 | 2023-05-09 | 北京卓识网安技术股份有限公司 | 一种基于因子分解的风险评估方法和系统 |
| CN115883262A (zh) * | 2023-03-02 | 2023-03-31 | 天津市职业大学 | 用于智能网联汽车的信息安全风险评估方法及设备、介质 |
| CN116389171A (zh) * | 2023-06-05 | 2023-07-04 | 汉兴同衡科技集团有限公司 | 一种信息安全评估检测方法、系统、装置及介质 |
| CN116389171B (zh) * | 2023-06-05 | 2023-08-11 | 汉兴同衡科技集团有限公司 | 一种信息安全评估检测方法、系统、装置及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103400027A (zh) | 信息系统的风险评估算法 | |
| US10630713B2 (en) | Method and tool to quantify the enterprise consequences of cyber risk | |
| Dobrynin et al. | Use of approaches to the methodology of factor analysis of information risks for the quantitative assessment of information risks based on the formation of cause-and-effect links | |
| Khanmohammadi et al. | Business process-based information security risk assessment | |
| CN108228412A (zh) | 一种基于系统健康度监测系统故障及隐患的方法及装置 | |
| Abercrombie et al. | Risk assessment methodology based on the NISTIR 7628 guidelines | |
| Alosaimi et al. | Risk management frameworks for cloud computing: a critical review | |
| CN106101098A (zh) | 一种信息资产识别方法及装置 | |
| US10089475B2 (en) | Detection of security incidents through simulations | |
| Wang | Research on the construction of accounting information audit quality control system based on blockchain | |
| Zhao et al. | Fuzzy risk assessment of the network security | |
| Kotenko et al. | An approach to modeling the decision support process of the security event and incident management based on Markov chains | |
| Suhartana et al. | Modeling of risk factors in determining network security level | |
| Lv et al. | A ranking method for information security risk management based on ahp and promethee | |
| CN110750795B (zh) | 一种信息安全风险的处理方法及装置 | |
| RU135435U1 (ru) | Автоматизированное рабочее место для контроля эффективности работы персонала и предотвращения инсайдерских атак | |
| Kim et al. | A study on the impact analysis of security flaws between security controls: An empirical analysis of K-ISMS using case-control study | |
| Tripathi et al. | Estimating risk levels for vulnerability categories using CVSS | |
| Azarov et al. | Changing the information system’s protection level from social engineering attacks, in case of reorganizing the information system’s users’ structure | |
| Wahlgren et al. | IT security risk management model for handling IT-related security incidents: the need for a new escalation approach | |
| van den Hooven | Quantitative Risk Calculation in Cybersecurity: The Value of Quantifying Risk | |
| Gulzira et al. | The audit method of enterprise's Information security | |
| Serrelis et al. | An empirical model for quantifying security based on services | |
| Engemann et al. | Disaster management of information resources using fuzzy and attitudinal modelling | |
| Zuo et al. | An Information Security Evaluation Model Supporting Measurement Model Adaptation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20131120 |