CN106790198A

CN106790198A - 一种信息系统风险评估方法及系统

Info

Publication number: CN106790198A
Application number: CN201611265978.6A
Authority: CN
Inventors: 赵粤征; 肖岩军; 李瀛; 贠珊
Original assignee: NSFOCUS Information Technology Co Ltd; Beijing NSFocus Information Security Technology Co Ltd
Current assignee: NSFOCUS Information Technology Co Ltd; Beijing NSFocus Information Security Technology Co Ltd
Priority date: 2016-12-30
Filing date: 2016-12-30
Publication date: 2017-05-31

Abstract

本发明公开一种信息系统风险评估方法及系统，该方法包括：获取信息系统的安全风险报告；根据所述安全风险报告确定所述信息系统内每个评估对象的各个风险基本要素的值，所述各个风险基本要素至少包括资产、威胁、脆弱性三个基本要素；针对任意一个待评估对象，根据所述待评估对象的脆弱性值和所述待评估对象的资产值，确定风险造成的损失；根据所述待评估对象的脆弱性值和所述待评估对象的威胁值，确定风险发生的可能性；将风险造成的损失和风险发生的可能性相乘之后开方，得到所述待评估对象的风险值。

Description

一种信息系统风险评估方法及系统

技术领域

本发明涉及网络安全领域，尤其涉及一种信息系统风险评估方法及系统。

背景技术

对于计算机系统来说，由于计算机系统中的硬件、软件和/或协议的具体实现或系统安全策略上存在有缺陷，可以使攻击者在未授权的情况下访问或破坏计算机系统。这些缺陷也被称为计算机漏洞。一些处于网络中的计算机由于存在漏洞而存在有网络威胁。随着计算机网络的快速发展，通过计算机网络提供各种服务的计算机系统也越来越普及，而这些计算机系统所存在的漏洞所导致的损失也就越大。

目前传统的风险评估方法通常是建立风险评估模型对计算机系统进行定性分析，实际情况是，由IT技术支持成员和业务所有者组成评估小组进行风险级别定性评估，这样往往导致威胁和脆弱性分析等因素不完全理解；此外，当风险评估量增加时，也会由于主观因素导致风险评估结果变得不可靠。由于现有的各种风险评价机制往往流于主观评价，因评估人员而异其评价结果也往往变得不可用。

发明内容

本发明实施例提供一种信息系统风险评估方法及系统，用以解决提供一种信息系统的风险评估方法，可以准确地评估系统的风险值。

本发明方法包括一种信息系统风险评估方法，该方法包括：获取信息系统的安全风险报告；

根据所述安全风险报告确定所述信息系统内每个评估对象的各个风险基本要素的值，所述各个风险基本要素至少包括资产、威胁、脆弱性三个基本要素；

针对任意一个待评估对象，根据所述待评估对象的脆弱性值和所述待评估对象的资产值，确定风险造成的损失；根据所述待评估对象的脆弱性值和所述待评估对象的威胁值，确定风险发生的可能性；将风险造成的损失和风险发生的可能性相乘之后开方，得到所述待评估对象的风险值。

基于同样的发明构思，本发明实施例进一步地提供信息系统风险评估系统，该系统包括：

获取单元，用于获取信息系统的安全风险报告；

确定单元，用于根据所述安全风险报告确定所述信息系统内每个评估对象的各个风险基本要素的值，所述各个风险基本要素至少包括资产、威胁、脆弱性三个基本要素；

计算单元，用户针对任意一个待评估对象，根据所述待评估对象的脆弱性值和所述待评估对象的资产值，确定风险造成的损失；根据所述待评估对象的脆弱性值和所述待评估对象的威胁值，确定风险发生的可能性；将风险造成的损失和风险发生的可能性相乘之后开方，得到所述待评估对象的风险值。

本发明实施例先获取信息系统的安全风险报告，然后根据信息系统内每个评估对象的各个风险基本要素的值计算险造成的损失和风险发生的可能性，从风险损失和风险可能性两个维度呈现资产风险，并最终聚合为资产的整体风险值；基于风险损失和风险可能性的大小，可以方便客户有针对性的制定安全风险的内控(针对风险损失)和外防(针对风险可能性)措施，从而提升安全风险防控效率。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供一种信息系统风险评估方法流程示意图；

图2为本发明实施例提供一种资产的风险值分析原理示意图；

图3为本发明实施例提供一种资产的风险值分析原理详细示意图；

图4为本发明实施例提供一种信息系统风险评估系统架构示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部份实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

参见图1所示，本发明实施例提供一种信息系统风险评估方法流程示意图，具体地实现方法包括：

步骤S101，获取信息系统的安全风险报告。

步骤S102，根据所述安全风险报告确定所述信息系统内每个评估对象的各个风险基本要素的值，所述各个风险基本要素至少包括资产、威胁、脆弱性三个基本要素。

步骤S103，针对任意一个待评估对象，根据所述待评估对象的脆弱性值和所述待评估对象的资产值，确定风险造成的损失；根据所述待评估对象的脆弱性值和所述待评估对象的威胁值，确定风险发生的可能性；将风险造成的损失和风险发生的可能性相乘之后开方，得到所述待评估对象的风险值。

也就是说，资产的风险值分析原理图如图2所示，主要包括：对资产进行识别，并对资产的价值进行赋值；对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性；根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失；根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。

在执行上述步骤之前，需要预先计算每个评估对象的各个风险基本要素的值，即资产、威胁、脆弱性三个基本要素的值，其中，在风险值分析原理中，保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此，应对组织中的资产进行识别。

对于资产基本因素来说，资产价值应依据资产在保密性、完整性和可用性上的赋值等级，经过综合评定得出。综合评定方法可以根据自身的特点，根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。具体地，按照如下公式将资产的三要素加权后求几何平均值，计算得到待评估对象的资产价值，公式如下：

其中，w_p为待评估对象的资产价值，a为可用性赋值，n1为可用性赋值的权重次数；b为保密性赋值，n2为保密性赋值的权重次数；c为完整性赋值，n3为完整性赋值的权重次数。

具体来说，资产价值的定义取自国标，实际应用时第一安全属性，可用性赋值如表一所示：

表一

第二安全属性，保密性赋值如表二所示：

表二

第三安全属性，完整性赋值如表三所示：

表三

基于这三个安全属性，按照上述公式可以计算得到资产价值等级为表四所示：

表四

本发明实施例中为与上述三个安全属性的赋值相对应，根据最终赋值将资产划分为三级，级别越高表示资产越重要。

对于威胁基本因素来说，威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素，根据威胁的动机，人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其他物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，在保密性、完整性和可用性等方面造成损害；也可能是偶发的或蓄意的事件。

判断威胁出现的频率是威胁赋值的重要内容，评估者应根据经验和(或)有关的统计数据来进行判断。在评估中，需要综合考虑以下三个方面，以形成在某种评估环境中各种威胁出现的频率：a)以往安全事件报告中出现过的威胁及其频率的统计；b)实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计；c)近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。可以对威胁出现的频率进行等级化处理，不同等级分别代表威胁出现的频率的高低。等级数值越大，威胁出现的频率越高。具体地，威胁分类：在国标中，基于表现形式，把威胁分为了11大类，在安全管理系统中，所有的安全事件类型都可以归并到这11个大类中，见表五所示。

表五

完成上述安全事件类型的分类之后，并对所有的安全事件类型进行威胁评级，见如下表六。

表六

具体来说，利用公式五进计算所述资产的任意一个类型的威胁事件的威胁值，所述公式五为：

其中，所述N为所述资产的所述类型的威胁事件的威胁总数，Impact为威胁的影响等级，取值范围[0,5]，Ni为所述类型的威胁事件的威胁频次，k1为所述类型的威胁事件的威胁频度，k2为所述类型的威胁事件的威胁权值。

在上述公式[2]中，a)威胁值T_i：体现当前资产遭受外部威胁的程度，为了跟国标定义的5级威胁相对应，我们定义威胁值的取值范围是0～10之间；b)Ni威胁频次：在某一段时间内，威胁事件发生的次数；c)k1威胁频度：为实现威胁频次到威胁值的转化，我们采用双曲正切函数法将频次转化为威胁频度，使得威胁频度的值在0-2之间；其计算公式见公式[3]所示。

其中，α为双曲正切系数，调整威胁频度范围。当α＝π/4时，威胁频度范围为0～2之间，N为威胁频次，M为威胁频次系数，可以根据实际情况进行调整。

对于公式[2]中的威胁权值k2，针对某一类威胁计算其威胁值时，我们要根据其IPS已经对相应的威胁作为防护确定当前威胁的权重，其取值范围为0～1之间的数，其计算公式如下：

威胁权值＝(某类威胁频次–已防护威胁次数)/某类威胁频次

针对这个资产，我们统计出所有的威胁事件类型的频次，并利用以上公式，计算出所有11类威胁之后，按照威胁程度从高到低排列的威胁值为：T₁，T₂，T₃，…,T₁₁，单个资产T’的计算方法如下：

根据待评估对象的资产域的每个资产的每个威胁事件的威胁值，按照公式三，计算得到所述待评估对象的资产域的所述每个资产的威胁值，所述公式四为：

其中，其中，T₁为n个威胁事件中的最大威胁值，u为收敛系数，n为有n个威胁事件，T_i为除了所述最大值之外的威胁值，T'为求得的所述待评估对象的资产域的所述每个资产的威胁值，取值范围为[0,10]。

对于资产脆弱性基本因素来说，脆弱性是资产本身存在的，如果没有被相应的威胁利用，单纯的脆弱性本身不会对资产造成损害。而且如果系统足够强健，严重的威胁也不会导致安全事件发生，并造成损失。即，威胁总是要利用资产的脆弱性才可能造成危害。资产的脆弱性具有隐蔽性，有些脆弱性只有在一定条件和环境下才能显现，这是脆弱性识别中最为困难的部分。不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱性脆弱性识别是风险评估中最重要的一个环节。脆弱性识别可以以资产为核心，针对每一项需要保护的资产，识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估；也可以从物理、网络、系统、应用等层次进行识别，然后与资产、威胁对应起来。脆弱性识别的依据可以是国际或国家安全标准，也可以是行业规范、应用流程的安全要求。对应用在不同环境中的相同的弱点，其脆弱性严重程度是不同的，评估者应从组织安全策略的角度考虑、判断资产的脆弱性及其严重程度。信息系统所采用的协议、应用流程的完备与否、与其他网络的互联等也应考虑在内。

可以根据脆弱性对资产的暴露程度、技术实现的难易程度、流行程度等，采用等级方式对已识别的脆弱性的严重程度进行赋值。由于很多脆弱性反映的是同一方面的问题，或可能造成相似的后果，赋值时应综合考虑这些脆弱性，以确定这一方面脆弱性的严重程度。对某个资产，其技术脆弱性的严重程度还受到组织管理脆弱性的影响。因此，资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。

在完成了资产识别、威胁识别、脆弱性识别，以及已有安全措施确认后，将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响，即风险值，如图3所示。

具体地，步骤一，计算安全事件发生的可能性

根据威胁出现频率及脆弱性的状况，计算威胁利用脆弱性导致安全事件发生的可能性，即按照公式三计算得到风险发生的可能性，所述公式三为：

其中，r_h为待评估对象的脆弱性值；t为威胁值，范围0～10；R_p为风险可能性，取值范围为[0,10]。

在具体评估中，应综合攻击者技术能力(专业技术程度、攻击设备等)、脆弱性被利用的难易程度(可访问时间、设计和操作知识公开程度等)、资产吸引力等因素来判断安全事件发生的可能性。

步骤二，计算安全事件发生后造成的损失

根据资产价值及脆弱性严重程度，计算安全事件一旦发生后造成的损失，即：按照公式一计算得到风险造成的损失，所述公式一为：

其中，所述r_h为待评估对象的脆弱性值，w_p为待评估对象的资产价值，R_l为风险造成的损失，取值范围为[0,10]。

其中，部分安全事件的发生造成的损失不仅仅是针对该资产本身，还可能影响业务的连续性；不同安全事件的发生对组织的影响也是不一样的，在计算某个安全事件的损失时，应将对组织的影响也考虑在内。部分安全事件造成的损失的判断还应参照安全事件发生可能性的结果，对发生可能性极小的安全事件(如处于非地震带的地震威胁、在采取完备供电措施状况下的电力故障威胁等)可以不计算其损失。

步骤三，如图2所示，根据计算出的安全事件的可能性以及安全事件造成的损失，计算风险值，即：

其中，R_l为风险损失，范围[0,10]，Rp为风险可能性取值范围[0,10]。

基于相同的技术构思，本发明实施例还提供一种信息系统风险评估系统，该系统可执行上述方法实施例。本发明实施例提供的系统如图4所示，包括：获取单元301、确定单元302，计算单元303，其中：

获取单元301，用于获取信息系统的安全风险报告；

确定单元302，用于根据所述安全风险报告确定所述信息系统内每个评估对象的各个风险基本要素的值，所述各个风险基本要素至少包括资产、威胁、脆弱性三个基本要素；

计算单元303，用户针对任意一个待评估对象，根据所述待评估对象的脆弱性值和所述待评估对象的资产值，确定风险造成的损失；根据所述待评估对象的脆弱性值和所述待评估对象的威胁值，确定风险发生的可能性；将风险造成的损失和风险发生的可能性相乘之后开方，得到所述待评估对象的风险值。

进一步地，所述计算单元303具体用于：按照公式一根据资产值及脆弱性严重程度，计算安全事件一旦发生后风险造成的损失，所述公式一为：

其中，所述r_h为待评估对象的脆弱性值；w_p为待评估对象的资产值；R_l为风险造成的损失。

进一步地，所述确定单元302还用于：确定资产的三个安全属性的赋值，所述资产的三个安全属性为可用性、保密性、完整性；

所述计算单元303具体用于：按照公式二计算得到待评估对象的资产值，所述公式二为：

其中，w_p为待评估对象的资产值；a为可用性赋值；n1为可用性赋值的权重次数；b为保密性赋值；n2为保密性赋值的权重次数；c为完整性赋值；n3为完整性赋值的权重次数。

进一步地，所述确定单元302还用于：确定所述待评估对象的各威胁事件的威胁值；根据所述各威胁事件的威胁值，确定所述待评估对象的威胁值；

所述计算单元303还用于：按照公式三确定风险发生的可能性，所述公式三为：

其中，r_h为待评估对象的脆弱性值；t为待评估对象的威胁值，范围0～10；R_p为风险可能性。

进一步地，所述计算单元303还用于：按照公式四确定所述待评估对象的威胁值，所述公式四为：

其中，T₁为n个威胁事件中的最大威胁值；u为收敛系数；n为有n个威胁事件；T_i为除了所述最大值之外的威胁值；T'为求得的所述待评估对象的威胁值。

进一步地，所述计算单元303还用于：针对任意一个资产，利用公式五进计算所述待评估对象的任意一个威胁事件的威胁值，所述公式五为：

其中，所述N为所述待评估对象的所述类型的威胁事件的威胁总数；Impact为威胁的影响等级，取值范围[0,5]；Ni为所述类型的威胁事件的威胁频次；k1为所述类型的威胁事件的威胁频度；k2为所述类型的威胁事件的威胁权值。

综上，本发明实施例先获取信息系统的安全风险报告，然后根据信息系统内每个评估对象的各个风险基本要素的值计算险造成的损失和风险发生的可能性，从风险损失和风险可能性两个维度呈现资产风险，并最终聚合为资产的整体风险值；基于风险损失和风险可能性的大小，可以方便客户有针对性的制定安全风险的内控(针对风险损失)和外防(针对风险可能性)措施，从而提升安全风险防控效率。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

1.一种信息系统风险评估方法，其特征在于，该方法包括：

获取信息系统的安全风险报告；

2.如权利要求1所述的方法，其特征在于，所述根据待评估对象的脆弱性值和待评估对象的资产值，确定风险造成的损失，包括：

按照公式一根据资产值及脆弱性严重程度，计算安全事件一旦发生后风险造成的损失，所述公式一为：

R_{l} = \sqrt{\frac{r_{h} \times r_{h} \times w_{p}}{3}}

3.如权利要求2所述的方法，其特征在于，还包括：

确定资产的三个安全属性的赋值，所述资产的三个安全属性为可用性、保密性、完整性；

按照公式二计算得到待评估对象的资产值，所述公式二为：

w_{p} = Σ \sqrt[n_{i}]{a^{n 1} \times b^{n 2} \times c^{n 3}}

4.如权利要求1所述的方法，其特征在于，根据待评估对象的脆弱性值和待评估对象的威胁值，确定风险发生的可能性，包括：

确定所述待评估对象的各威胁事件的威胁值；

根据所述各威胁事件的威胁值，确定所述待评估对象的威胁值；

按照公式三确定风险发生的可能性，所述公式三为：

R_{p} = \{\begin{matrix} \sqrt{r_{h} \times t} & 0 < t \leq 10 \end{matrix}

5.如权利要求4所述的方法，其特征在于，还包括：

按照公式四确定所述待评估对象的威胁值，所述公式四为：

T^{'} = T_{1} + Σ_{i = 2}^{n} μ {(\frac{T_{i}}{T_{1}})}^{2}

6.如权利要求4所述的方法，其特征在于，还包括：

针对任意一个资产，利用公式五进计算所述待评估对象的任意一个威胁事件的威胁值，所述公式五为：

T_{i} = \frac{Σ_{1}^{5} Im p a c t \times N_{i}}{N} \times k 1 \times k 2

7.一种信息系统风险评估系统，其特征在于，该系统包括：

获取单元，用于获取信息系统的安全风险报告；

8.如权利要求7所述的系统，其特征在于，所述计算单元具体用于：

R_{l} = \sqrt{\frac{r_{h} \times r_{h} \times w_{p}}{3}}

9.如权利要求8所述的系统，其特征在于，所述确定单元还用于：确定资产的三个安全属性的赋值，所述资产的三个安全属性为可用性、保密性、完整性；

所述计算单元具体用于：按照公式二计算得到待评估对象的资产值，所述公式二为：

w_{p} = Σ \sqrt[n_{i}]{a^{n 1} \times b^{n 2} \times c^{n 3}}

10.如权利要求7所述的系统，其特征在于，所述确定单元还用于：确定所述待评估对象的各威胁事件的威胁值；根据所述各威胁事件的威胁值，确定所述待评估对象的威胁值；

所述计算单元还用于：按照公式三确定风险发生的可能性，所述公式三为：

R_{p} = \{\begin{matrix} \sqrt{r_{h} \times t} & 0 < t \leq 10 \end{matrix}

11.如权利要求10所述的系统，其特征在于，所述计算单元还用于：

按照公式四确定所述待评估对象的威胁值，所述公式四为：

T^{'} = T_{1} + Σ_{i = 2}^{n} μ {(\frac{T_{i}}{T_{1}})}^{2}

12.如权利要求10所述的系统，其特征在于，所述计算单元还用于：

T_{i} = \frac{Σ_{1}^{5} Im p a c t \times N_{i}}{N} \times k 1 \times k 2