风险评估方法、装置、设备和存储介质
技术领域
本发明涉及信息安全的技术领域,特别是涉及了一种风险评估方法、装置、设备和存储介质。
背景技术
随着移动信息时代的到来,拥有强大计算能力的智能移动终端正从一个简单的通讯工具变成一个综合信息处理平台,智能移动终端的应用也呈现指数形式的增长。但终端上丰富的信息存储和多样化的数据交互也为敏感信息的泄露和恶意软件的传播提供了机会。若不及时加强智能移动终端的敏感信息安全防护能力,将会对人们的工作生活、社会运行乃至国家安全带来巨大的威胁,为移动互联网及云计算、大数据、物联网等相关产业的健康发展带来严重的制约。
通常,对智能终端的风险评估多采用层次分析法(Analytic Hierarchy Process,AHP),通过九标度关系构建判断矩阵,获取智能终端风险评估数据,对智能终端的风险定性问题进行定量化分析。
然而采用上述方法,指标与指标之间的九标度关系是通过人为意见得出的,引入的人为因素过大,导致终端风险评估的结果不准确。
发明内容
基于此,有必要针对终端风险评估引入的人为因素过大,导致终端风险评估的结果不准确的问题,提供一种风险评估方法、装置、设备和存储介质。
第一方面,一种风险评估方法,所述方法包括:
根据预设的多因素层次结构模型,确定终端的各风险因子;所述多因素层次结构模型用于表示所述终端的各风险因子之间的层次关系;
根据各所述风险因子,获取终端风险评估结果。
上述风险评估方法,终端根据预设的多因素层次结构模型,确定终端的各风险因子,其中,多因素层次结构模型用于表示终端的各风险因子之间的层次关系,并根据各风险因子,获取终端风险评估结果。本实施例中,终端根据预设的多因素层次结构模型,确定终端的各风险因子,并根据各风险因子,获取终端风险评估结果,因此终端在获取终端风险评估结果的过程中,避免了人为因素的影响,提高了终端风险评估结果的准确性。
在其中一个实施例中,所述根据各所述风险因子,获取终端的风险评估结果,包括:
采用预设的三标度法,根据预设的多因素层次结构模型,确定各所述风险因子的风险权重;
根据各所述风险因子的风险权重和各所述风险因子的风险基,确定各所述风险因子的风险元;
根据各风险因子的风险元,获取终端的第一风险评估结果。
在其中一个实施例中,所述采用三标度法,根据预设的多因素层次结构模型,确定所述多因素层次结构模型中各风险因子的风险权重,包括,
采用三标度法,通过将各所述风险因子的重要性两两比较,获取判断矩阵;
根据所述判断矩阵,获取各所述风险因子的权重;
获取各所述风险因子的权重的一致性检测结果;
若所述一致性检测结果满足预设的一致性规则,则确定所述风险因子的权重为所述风险权重。
在其中一个实施例中,所述采用三标度法,通过将各所述风险因子的重要性两两比较,获取判断矩阵,包括:
采用所述三标度法,将各所述风险因子的重要性与所述多因素层次结构模型中其他风险因子的重要性两两比较,获取各所述风险因子的量化值;
根据各所述风险因子的量化值,获取所述判断矩阵。
在其中一个实施例中,所述多因素层次结构模型的顶层包括敏感信息安全风险等级;
所述敏感信息安全风险等级的下一层及包括物理安全、网络安全、终端安全和应用安全;
所述物理安全的下一层包括场地选择、温度湿度控制和终端使用安全规范;
所述网络安全的下一层包括网络结构安全、安全准入控制、网络访问控制和网络入侵检测;
所述终端安全的下一层包括登录安全控制、恶意代码防范、终端安全控制、备份与恢复和终端环境架构安全;
所述应用安全的下一层包括数据访问控制、应用系统攻击防护、数据备份与恢复、安全加固与认证、安全审计和漏洞和补丁管理。
在其中一个实施例中,所述根据所述判断矩阵,获取各风险因子的权重,包括:
获取各所述风险因子的局部权重;
根据所述局部权重,获取各所述风险因子的全局权重;
根据所述全局权重,确定各所述风险因子的风险权重。
在其中一个实施例中,所述根据各所述风险因子,获取终端的风险评估结果,包括:
获取所有因素层的影响因子集合;
采用数据包络分析方法,从所述影响因子集合获取目标影响因子和移动因子;
根据所述目标影响因子和所述移动因子,获取所述风险评估结果。
第二方面,一种终端风险评估装置,所述装置包括:
确定模块,用于根据预设的多因素层次结构模型,确定终端的各风险因子;所述多因素层次结构模型用于表示所述终端的各风险因子之间的层次关系;
获取模块,用于根据各所述风险因子,获取终端的风险评估结果。
第三方面,一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
根据预设的多因素层次结构模型,确定终端的各风险因子;所述多因素层次结构模型用于表示所述终端的各风险因子之间的层次关系;
根据各所述风险因子,获取终端风险评估结果。
第四方面,一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
根据预设的多因素层次结构模型,确定终端的各风险因子;所述多因素层次结构模型用于表示所述终端的各风险因子之间的层次关系;
根据各所述风险因子,获取终端风险评估结果。
附图说明
图1为一个实施例中风险评估的方法的流程示意图;
图2为一个实施例中风险评估的方法的流程示意图;
图3为一个实施例中风险评估的方法的流程示意图;
图4为一个实施例中风险评估的方法的流程示意图;
图5为一个实施例中风险评估的方法的流程示意图;
图6为一个实施例中多因素层级结构模型的示意图;
图7为一个实施例中风险评估的方法的流程示意图;
图8为一个实施例提供的风险评估装置的结构示意图;
图9为一个实施例提供的风险评估装置的结构示意图;
图10为一个实施例提供的风险评估装置的结构示意图;
图11为一个实施例提供的风险评估装置的结构示意图;
图12为一个实施例提供的计算结设备的内部结构图。
具体实施方式
随着智能移动终端的应用呈现指数形式的增长,终端上丰富的信息存储和多样化的数据交互也为敏感信息的泄露和恶意软件的传播提供了机会。若不及时加强智能移动终端的敏感信息安全防护能力,将会对人们的工作生活、社会运行乃至国家安全带来巨大的威胁,通常,对终端的风险评估多采用层次分析法,通过九标度关系构建判断矩阵,获取智能终端风险评估数据,对智能终端的风险定性问题进行定量化分析。然而采用上述方法,指标与指标之间的九标度关系是通过人为意见得出的,引入的人为因素过大,导致终端风险评估的结果不准确。本申请提供的风险评估方法、装置、设备和存储介质,旨在解决终端风险评估的结果不准确的问题。
本实施例提供的风险评估方法,可以适用于风险评估终端中,风险评估终端可以为智能手机、平板电脑、笔记本电脑、台式电脑或个人数字助理等具有数据处理功能的电子设备,本实施例对终端风险评估终端的具体形式不做限定。
需要说明的是,本发明实施例提供的风险评估的方法,其执行主体可以是终端风险评估的装置,该装置可以通过软件、硬件或者软硬件结合的方式实现成为终端风险评估终端的部分或者全部
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为一个实施例提供的风险评估方法的流程示意图。本实施例涉及的是通过各风险因子,获取终端风险评估结果的过程,如图1所示,该方法包括以下步骤:
S101、根据预设的多因素层次结构模型,确定终端的各风险因子;多因素层次结构模型用于表示终端的各风险因子之间的层次关系。
具体的,风险因子可以是影响终端风险评估的因素,其可以是根据终端使用过程中应用的各种因素进行划分,获得的影响终端风险评估的因素;例如,其可以包括物理安全、网络安全、终端安全及应用安全;还可以包括将物理安全、网络安全、终端安全及应用安全继续细化,得到的更加详细的影响终端风险评估的因素;本申请实施例对此不做限定。预设的多因素层次结构模型用于表示各风险因子之间的层次关系,其可以根据各风险因子之间的关系进行层次划分,获得的风险因子之间的层次关系;也可以是先确定上层的风险因子,进而将上层的风险因子细分获得该层下一层的风险因子,获得的风险因子之间的层次关系;本申请实施例对此不做限制。
在具体的根据预设的多因素层次结构模型,确定终端的各风险因子的过程中,其可以是分别获取每一层的各风险因子,也可以是直接获取预设的多因素层次结构模型中所有的风险因子,本申请实施例对此不做限制。
S102、根据各风险因子,获取终端风险评估结果。
具体的,风险评估结果可以是具体的风向评估数值,也可以是各风险因子的排序,申请实施例对此不做限制。在上述实施例的基础上,确定了预设的多因素层次结构模型中的各风险因子后,可以根据各风险因子获得各风险因子的风险权重,进而根据各风险因子的风险权重和用于表示各风险因子信息量化态势风险值单元,确定用于表示各风险因子信息安全态势的基本构成元素,再根据用于表示各风险因子信息安全态势的基本构成元素,获取终端的风险评估结果;也可以根据各风险因子,获取所有因素层的影响因子集合,并从影响因子集合中确定有效影响因子,进而对有效影响因子进行排序,获取风险评估结果;还可以是在上述两种方式的基础上,分别获得第一风险评估结果和第二风险评估结果,将第一风险评估结果和第二风险评估结果结合,获得风险评估结果;本申请实施例对此不做限制。
上述风险评估方法,终端根据预设的多因素层次结构模型,确定终端的各风险因子,其中,多因素层次结构模型用于表示终端的各风险因子之间的层次关系,并根据各风险因子,获取终端风险评估结果。本实施例中,终端根据预设的多因素层次结构模型,确定终端的各风险因子,并根据各风险因子,获取终端风险评估结果,因此终端在获取终端风险评估结果的过程中,避免了人为因素的影响,提高了终端风险评估结果的准确性。
上述实施例通过预设的多因素层次结构模型,确定终端的各风险因子,并根据各风险因子获取终端风险评估结果。下面通过图2-7来详细描述终端具体如何通过各风险因子获取终端风险评估结果。
图2为一个实施例提供的风险评估方法的流程示意图。本实施例涉及的是根据各风险因子的风险元,获取终端的第一风向评估结果的具体过程,如图2所示,该方法包括以下步骤:
S201、采用预设的三标度法,根据预设的多因素层次结构模型,确定各风险因子的风险权重。
具体的,风险权重(Sensitive Message Risk Weight,SMRW)可以是一种衡量风险数值,其可以衡量各风险因子的重要性。预设的三标度法,可以是对九标度法的简化方法,在九标度法的基础上,对其进行简化,使得各风险因子的重要性的量化数值,可以包括3种数值,即为三标度法。进一步地,采用三标度法,风险评估终端根据预设的多因素层次结构模型,确定多因素层次结构模型中的部分或全部风险因子,进而采用三标度法,获取其对应的风险权重。其中,风险权重可以是对上述各风险因子的重要性的量化数值,也可以是将该重要性的量化数值进行处理,获得准确度更高的量化数值,即为风险权重,本申请实施例对此不做限制。
S202、根据各风险因子的风险权重和各风险因子的风险基,确定各风险因子的风险元。
具体的,风险基(Sensitive Message Risk Base,SMRB)可以表示信息量化态势风险值单元,其可以通过专家的评估获得。在上述实施例的基础上,在确定了各风险因子的风险权重后,根据专家评估获得的风险基,进而根据各风险因子的风险权重和各风险因子的风险基,确定各风险因子的风险元(Sensitive Message Risk Element,SMRE),风险元可以表示信息安全态势的基本构成元素。可选地,在具体确定各风险因子的风险元时,可以通过公式RE=RW*RB获得,其中,RE为各风险因子的风险元,RW为各风险因子的风险权重,RB为各风险因子的风险基。
S203、根据各风险因子的风险元,获取终端的第一风险评估结果。
具体的,第一风险评估结果可以用于表示终端整体的风险,其可以是根据各风险因子的风险元获得的数值,在具体获得终端的第一风向评估结果时,在上述实施例的基础上,获得了各风险因子的风险元后,可以通过将所有风险因子的风险元求和获得终端的第一风险评估结果,例如,可以通过公式获得终端的第一风险评估结果,其中,N表示需要分析的敏感信息风险评估终端的风险因子的数量,REi表示指标i的风险元,RWi表示指标i的风险权重,RBi表示指标i的风险基。
上述风险评估方法,风险评估终端采用预设的三标度法,根据预设的多因素层次结构模型,确定各风险因子的风险权重,并根据各风险因子的风险权重和各风险因子的风险基,确定各风险因子的风险元,进而根据各风险因子的风险元,获取终端的第一风险评估结果。本实施例中,风险评估终端在获取终端的第一风险评估结果的过程中,其中,采用对九标度法进行简化的三标度法,根据预设的多因素层次结构模型,确定各风险因子的风险权重,并根据各风险因子的风险权重和风险基,确定各风险因子的风险元,进而根据各风险因子的风险元,获取终端的第一风险评估结果,使得在获得终端的第一风险评估结果的过程中,避免了采用九标度法,其中,九标度法是根据预设的多因素层次结构模型中的各风险因子,确定各风险因子的重要性的量化数值,该量化数值可以包括9种数值,由于九标度法的主观性较强,在实际应用中,人为因素较多,可能影响风险评估的结果;因此,本申请实施例采用三标度法来减小人为主观判断对风险评估结果的影响,提高了风险评估的结果准确性。
图3为一个实施例提供的风险评估方法的流程示意图。本实施例涉及的是采用预设的三标度法,根据预设的多因素层次结构模型,确定各风险因子的风险权重具体过程,如图3所示,S201“采用预设的三标度法,根据预设的多因素层次结构模型,确定各风险因子的风险权重”一种可能的实现方法包括:
S301、采用三标度法,通过将各风险因子的重要性两两比较,获取判断矩阵。
具体的,可以通过三标度法,通过将各风险因子的重要性两两比较,获取判断矩阵。在具体获得判断矩阵的过程中,可以采用分别获取各风险因子相对于多因素层次结构模型中其他风险因子的权重,其可以将各风险因子的权重集合获得的矩阵确定为判断矩阵,也可以先将各风险因子的权重进行一致化检测,将满足一致化检测结果的权重集合获得的矩阵确定为判断矩阵,本申请实施例对此不做限制。
S302、根据判断矩阵,获取各风险因子的权重。
具体的,在上述实施例的基础上,获取了判断矩阵,根据判断矩阵,获取各风险因子的权重。其中,各风险因子的权重可以包括各风险因子的局部权重向量,也可以包括各层风险因子的全局权重,还可以包括各风险因子的局部权重向量和各层风险因子的全局权重相结合获得的权重,本申请实施例对此不做限制。例如,当各风险因子的权重为局部权重时,其可以通过对判断矩阵的多个行向量进行归一化和平均化处理获得。
S303、获取各风险因子的权重的一致性检测结果。
具体的,在上述实施例的基础上,可以对各风险因子的权重进行一致性检测,获得各风险因子的一致性检测结果。其可以通过先获取判断矩阵的最大特征根,进而根据该最大特征根来获得各风险因子的权重的一致性检测结果。例如,可以首先通过公式获得判断矩阵的最大特征根为其中,表示最大特征根,ωi表示单个风险因子的权重值,表示判断矩阵总体权重值,n表示输入风险因子个数,根据最大特征根通过公式计算一致性比例,其中,表示总体一致性指标,R.I.表示平均一致性指标,可以通过查表的方式得到。例如,平均一致性指标R.I.如表1所示:
表1平均随机一致性指标R.I.
S304、若一致性检测结果满足预设的一致性规则,则确定风险因子的权重为风险权重。
具体的,在上述实施例的基础上,当获得判断矩阵的一致性检测结果时,可以根据一致性检测结果是否满足预设的一致性规则,确定风险权重。预设的一致性规则可以是,一致性检测结果大于预设阈值各风险因子的权重为风险权重,也可以是一致性检测结果不大于预设阈值的各风险因子的权重为风险权重,本申请实施例对此不做限制。例如,在上述实施例的基础上,当C.R.=0时,具有完全一致性;当C.R.<0.1时,认为具有可接受的一致性;其对应的各风险因子的权重即为风险权重;当C.R.≥0.1时,则对适当修正或予以舍弃。也即C.R.<0.1的风险因子的权重为风险权重。
上述风险评估方法,风险评估终端采用三标度法,通过将各风险因子的重要性两两比较,获取判断矩阵,并根据判断矩阵,获取各风险因子的权重,进而获取各风险因子的权重的一致性检测结果,当一致性检测结果满足预设的一致性规则,则确定风险因子的权重为风险权重。本实施例中,在获取各风险因子的风险权重的过程中,通过将各风险因子的重要性两两比较,获取判断矩阵,并根据判断矩阵,获取各风险因子的权重,进而对各风险因子的权重进行一致性检测,确定一致性检测结果满足预设的一致性规则的风险因子的权重为风险权重,进而根据风险权重和风险基获得风险元,在根据各风险因子的风险元获得第一风险评估结果,使得获得的第一风险评估结果时,对风险权重的准确性进行一致性判断,获得更加准确的风险权重,进一步的提高了终端风向评估结果的准确性。
进一步地,在用三标度法,通过将各风险因子的重要性两两比较,获取判断矩阵的过程中,可以通过获取各风险因子重要性的量化值,来获取判断矩阵。下面通过图4所示的实施例来详细描述。
图4为一个实施例提供的风险评估方法的流程示意图。本实施例涉及的是采用三标度法,通过将各风险因子的重要性两两比较,获取判断矩阵的具体过程,如图4所示,S301“采用三标度法,通过将各风险因子的重要性两两比较,获取判断矩阵”一种可能的实现方法包括:
S401、采用三标度法,将各风险因子的重要性与多因素层次结构模型中其他风险因子的重要性两两比较,获取各风险因子的量化值。
具体的,各风险因子的量化值可以用于表示各风险影子的重要性。在上述实施例的基础上,采用三标度法,将各风险因子的重要性与多因素层次结构模型中其他风险因子的重要性两两比较,获取各风险因子的量化值。其中,获取各风险因子的重要性的量化值,可以通过查表的方法获得。例如通过表1获取各风险因子的重要性的量化值,如表2所示,三标度法元素比较指标分为标度和含义层,当两个风险因子进行比较时,将两个风险因子的重要性的定性的问题,转化为标度,即定量的结果。例如,当A元素的重要性与B元素相比,获得的重要性的比较结果为B元素重要性明显高于A元素,则根据表2所示,A元素相对于B元素的重要性标度为2,B元素相对于A元素的重要性标度为1/2。
表2三标度法元素比较指标
S402、根据各风险因子量化值,获取判断矩阵。
具体的,在上述实施例的基础上,获得了各风险因子重要性的量化值后,根据各风险因子重要性的量化值,获取判断矩阵。例如,将各风险因子重要性的量化值集合获得的矩阵集合即为判断矩阵,T[k][j]表示第k层第j个风险因子C的子指标个数T[k-1][j]=n,则多层次结构模型中其他风险因子u1,u2,…un关于C的判断矩阵为其中,m为指标体系阶数,aij是元素ui和uj相对于C的重要性的比例程度,aij可以是通过查表获得量化值。
上述风险评估方法,风险评估终端采用三标度法,将各风险因子的重要性与多因素层次结构模型中其他风险因子的重要性两两比较,获取各风险因子的重要性的量化值,并根据各风险因子重要性的量化值,获取判断矩阵。本实施例中,通过将各风险因子的重要性与多因素层次结构模型中其他风险因子的重要性两两比较,获取各风险因子的重要性的量化值,并根据各风险因子重要性的量化值,获取判断矩阵。进而根据判断矩阵获得各风险因子的风险权重,进而获得终端风险评估结果,使得获得的终端风险评估结果为量化数值,进而使得终端风险评估结果更加准确。
可选地,在具体根据判断矩阵,获取各风险因子的权重的过程中,可以先获取各风险因子的局部权重,进而获得各风险因子的全局权重,进而根据全局权重,获取各风险因子的风险权重。下面通过图5所示的实施例来具体说明。
图5为一个实施例提供的风险评估方法的流程示意图。本实施例涉及的是根据判断矩阵,获取各风险因子的权重的具体过程,如图5所示,S302“根据判断矩阵,获取各风险因子的权重”的一种可能的实现方式包括:
S501、获取各风险因子的局部权重。
具体的,可以将各风险因子的判断矩阵进行行向量归一化和平均化处理,获得各风险因子的局部权重。例如,假设风险因子C的局部权重向量分别为u1,u2,…un的局部权重,通过对的n个行向量做归一化后和平均化处理,代入公式得到各风险因子的局部权重ωi。
S502、根据局部权重,获取各风险因子的全局权重。
具体的,在上述实施例的基础上,在获得了各风险因子的局部权重后,可以根据各层的风险因子的局部权重,获得其对应的全局权重。其可以通过对各风险因子预设一个全局权重向量,在获得各风险因子的局部权重后,通过预设的全局权重向量和局部权重,获得全局权重。例如,为第k-1层上第nk-1个风险因子的预设的全局权重向量,为第k层风险因子对第k-1层风险因子的局部权重,其中与风险因子j不相关的风险因子的权重为0。第k层指标对第k-1层的风险因子的局部权重矩阵为第k层指标的全局权重向量将此公式迭代,最终获得全局权重Wk=PkPk-1…W2。
S503、根据全局权重,确定各风险因子的风险权重。
具体的,在上述实施例的基础上,获取了全局权重后,可以通过逐层进行总体一致性检验,获得各风险因子的风险权重。其可以对全局权重进行某一层的总体一致性检测,获得该层中各风险因子的一致性检测结果,进而根据该层中满足一致性检测结果的风险因子的数量,和不满足一致性检测结果的风险因子的熟虑,获取总体一致性率。进而根据总体一致性率,确定该全局权重是否满足一致性检测结果,满足一致性检测结果的全局权重即为风险权重,不满足一致性检测结果的,需要重新调整或舍弃。例如,计算第k层的总体一致性率为:
总平均随机一致性率为:
总一致性比率为:
当C.R.(k)<0.1时,第k层水平的所有判断具有整体满意的一致性,则其对应的全局权重为风险权重,否则重新调整或舍弃。进一步地,在获取第k层风险权重后,第k层RW值为代入可求得终端风险评估结果。
上述风险评估方法,风险评估终端通过获取各风险因子的局部权重,并根据局部权重,获取各风险因子的全局权重,进而根据全局权重,确定各风险因子的风险权重。本实施例中,风险评估终端通过局部权重获取全局权重,并根据全局权重确定各风险因子的风险权重,进而获得终端风险评估结果,使得所获得的终端风险评估结果为量化的数值,提高了终端风险评估结果的准确性。
可选地,如图6所示,因素层次结构模型的顶层包括敏感信息安全风险等级;敏感信息安全风险等级的下一层及包括物理安全、网络安全、终端安全和应用安全;物理安全的下一层包括场地选择、温度湿度控制和终端使用安全规范;网络安全的下一层包括网络结构安全、安全准入控制、网络访问控制和网络入侵检测;终端安全的下一层包括登录安全控制、恶意代码防范、终端安全控制、备份与恢复和终端环境架构安全;应用安全的下一层包括数据访问控制、应用系统攻击防护、数据备份与恢复、安全加固与认证、安全审计和漏洞和补丁管理。
进一步地,还可以采用数据包络分析方法来获取第二风险评估结果,下面通过图7来详细说明。
图7为一个实施例提供的风险评估方法的流程示意图。本实施例涉及的是根据各风险因子,获取终端的风险评估结果的另一种可能的实现方式,如图7所示,S103“根据各风险因子,获取终端风险评估结果”的一种可能的实现方式包括:
S601、获取所有因素层的影响因子集合。
具体的,风险评估终端可以将因素层中可能出现的风险状况组成集合,对该集合采用输入输出的模型进行评价,获得影响因子集合。例如,所有因素层的影响因子组成的集体为:S={Ri|i=1,2,…,n},其中,Ri为可能出现的风险状况,n为因素层影响因子的个数,其中,模型(D)为:
其中,模型(D)中,eT表示转置矩阵,VD表示最小输入,S表示所有决策单元组成的集合,Ri表示可能出现的风险状况,λi表示特征根,R0表示输出模型的最大风险,当eT=(1,1,…,1)∈Es,S=(s1,s2,s3,…,sn)T≥0,通过对只有输入输出的模型(D)对其进行评价,获得影响因子集合S。
S602、采用数据包络分析方法,从影响因子集合获取目标影响因子和移动因子。
具体的,数据包括分析方法是用于评估各影响因子之间有效性的一种方法,其可以通过获取影子因子的集合,从影响因子集合获取目标影响因子和移动因子。例如,在上述实施例的基础上,因素层DEA影响因子集合为SD,其中,g>0为风险移动因子,其中,gSD={gRi=(gR1i,…,gRmi)T|Ri∈S},其中,Rmi表示(请补充),对S中的影响因子应用模型(D)进行评价,选取一组影响因子集合及一组移动因子:gSD={gRi=(gR1i,…,gRmi)T|Ri∈S}。
S603、根据目标影响因子和移动因子,获取第二风险评估结果。
具体的,在上述实施例的基础上,可以对目标影响因子集合进行有效性评估,获得目标影响因子集合的排序,即为第二风险评估结果。例如,定义DEA目标影响因子的集合根据公式计算集合相对有效性,循环执行至(k>K),得到循环执行至由此获得因素层影响因子集合S的一个排序:即为第二风险评估结果。
上述风险评估方法,风险评估终端通过获取所有因素层的影响因子集合,并采用数据包络分析方法,从影响因子集合获取目标影响因子和移动因子,进而根据目标影响因子和移动因子,获取第二风险评估结果。本实施例中,风险评估终端通过影响因子集合,采用数据包括分析方法,选取目标影响因子和移动因子,进而根据目标影响因子和移动因子,获取第二风险评估结果,使得获取的风险评估结果更加准确。
应该理解的是,虽然图1-7的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图1-7中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行。
图8为一个实施例提供的风险评估装置的结构示意图。如图8所示,该风险评估装置,包括:确定模块10和获取模块20,其中:
确定模块10,用于根据预设的多因素层次结构模型,确定终端的各风险因子;所述多因素层次结构模型用于表示所述终端的各风险因子之间的层次关系;
获取模块20,用于根据各所述风险因子,获取终端的风险评估结果。
本发明实施例提供的风险评估装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
图9为一个实施例提供的风险评估装置的结构示意图。在图8所示实施例的基础上,如图9所示,获取模块20,包括:第一确定单元201、第二确定单元202和获取单元203,其中:
第一确定单元201,用于采用预设的三标度法,根据预设的多因素层次结构模型,确定各所述风险因子的风险权重;
第二确定单元202,用于根据各所述风险因子的风险权重和各所述风险因子的风险基,确定各所述风险因子的风险元;
获取单元203,用于根据各风险因子的风险元,获取终端的第一风险评估结果。
本发明实施例提供的风险评估装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
图10为一个实施例提供的风险评估装置的结构示意图。在图8或图9所示实施例的基础上,如图10所示,第一确定单元201,包括:比较子单元2011、获取子单元2012、一致性子单元2013和确定子单元2014,其中:
比较子单元2011用于采用三标度法,通过将各所述风险因子的重要性两两比较,获取判断矩阵;
获取子单元2012用于根据所述判断矩阵,获取各所述风险因子的权重;
一致性子单元2013用于获取各所述风险因子的权重的一致性检测结果;
确定子单元2014用于若所述一致性检测结果满足预设的一致性规则,则确定所述风险因子的权重为所述风险权重。
在其中一个实施例中,比较子单元2011具体用于采用所述三标度法,将各所述风险因子的重要性与所述多因素层次结构模型中其他风险因子的重要性两两比较,获取各所述风险因子的量化值;根据各所述风险因子的量化值,获取所述判断矩阵。
在其中一个实施例中,获取子单元2012具体用于获取各所述风险因子的局部权重;根据所述局部权重,获取各所述风险因子的全局权重;根据所述全局权重,确定各所述风险因子的风险权重。
在其中一个实施例中,所述多因素层次结构模型的顶层包括敏感信息安全风险等级;所述敏感信息安全风险等级的下一层及包括物理安全、网络安全、终端安全和应用安全;所述物理安全的下一层包括场地选择、温度湿度控制和终端使用安全规范;所述网络安全的下一层包括网络结构安全、安全准入控制、网络访问控制和网络入侵检测;所述终端安全的下一层包括登录安全控制、恶意代码防范、终端安全控制、备份与恢复和终端环境架构安全;所述应用安全的下一层包括数据访问控制、应用系统攻击防护、数据备份与恢复、安全加固与认证、安全审计和漏洞和补丁管理。
本发明实施例提供的风险评估装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
图11为一个实施例提供的风险评估装置的结构示意图。在图8-10任一项所示实施例的基础上,如图11所示,获取模块20还包括评估单元204,其中:
评估单元204具体用于获取所有因素层的影响因子集合;采用数据包络分析方法,从所述影响因子集合获取目标影响因子和移动因子;根据所述目标影响因子和所述移动因子,获取第二风险评估结果。
本发明实施例提供的风险评估装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
关于一种风险评估装置的具体限定可以参见上文中对于风险评估方法的限定,在此不再赘述。上述风险评估装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图12所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机设备被处理器执行时以实现一种风险评估方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图12中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
根据预设的多因素层次结构模型,确定终端的各风险因子;所述多因素层次结构模型用于表示所述终端的各风险因子之间的层次关系;
根据各所述风险因子,获取终端风险评估结果。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:采用预设的三标度法,根据预设的多因素层次结构模型,确定各所述风险因子的风险权重;根据各所述风险因子的风险权重和各所述风险因子的风险基,确定各所述风险因子的风险元;根据各风险因子的风险元,获取终端的第一风险评估结果。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:采用三标度法,通过将各所述风险因子的重要性两两比较,获取判断矩阵;根据所述判断矩阵,获取各所述风险因子的权重;获取各所述风险因子的权重的一致性检测结果;若所述一致性检测结果满足预设的一致性规则,则确定所述风险因子的权重为所述风险权重。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:采用所述三标度法,将各所述风险因子的重要性与所述多因素层次结构模型中其他风险因子的重要性两两比较,获取各所述风险因子的量化值;根据各所述风险因子的量化值,获取所述判断矩阵。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:获取各所述风险因子的局部权重;根据所述局部权重,获取各所述风险因子的全局权重;根据所述全局权重,确定各所述风险因子的风险权重。
在一个实施例中,所述多因素层次结构模型的顶层包括敏感信息安全风险等级;所述敏感信息安全风险等级的下一层及包括物理安全、网络安全、终端安全和应用安全;所述物理安全的下一层包括场地选择、温度湿度控制和终端使用安全规范;所述网络安全的下一层包括网络结构安全、安全准入控制、网络访问控制和网络入侵检测;所述终端安全的下一层包括登录安全控制、恶意代码防范、终端安全控制、备份与恢复和终端环境架构安全;所述应用安全的下一层包括数据访问控制、应用系统攻击防护、数据备份与恢复、安全加固与认证、安全审计和漏洞和补丁管理。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:获取所有因素层的影响因子集合;采用数据包络分析方法,从所述影响因子集合获取目标影响因子和移动因子;根据所述目标影响因子和所述移动因子,获取第二风险评估结果。
本实施例提供的计算机设备,其实现原理和技术效果与上述方法实施例类似,在此不再赘述。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
根据预设的多因素层次结构模型,确定终端的各风险因子;所述多因素层次结构模型用于表示所述终端的各风险因子之间的层次关系;
根据各所述风险因子,获取终端风险评估结果。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:采用预设的三标度法,根据预设的多因素层次结构模型,确定各所述风险因子的风险权重;根据各所述风险因子的风险权重和各所述风险因子的风险基,确定各所述风险因子的风险元;根据各风险因子的风险元,获取终端的第一风险评估结果。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:采用三标度法,通过将各所述风险因子的重要性两两比较,获取判断矩阵;根据所述判断矩阵,获取各所述风险因子的权重;获取各所述风险因子的权重的一致性检测结果;若所述一致性检测结果满足预设的一致性规则,则确定所述风险因子的权重为所述风险权重。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:采用所述三标度法,将各所述风险因子的重要性与所述多因素层次结构模型中其他风险因子的重要性两两比较,获取各所述风险因子的量化值;根据各所述风险因子的量化值,获取所述判断矩阵。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:获取各所述风险因子的局部权重;根据所述局部权重,获取各所述风险因子的全局权重;根据所述全局权重,确定各所述风险因子的风险权重。
在一个实施例中,所述多因素层次结构模型的顶层包括敏感信息安全风险等级;所述敏感信息安全风险等级的下一层及包括物理安全、网络安全、终端安全和应用安全;所述物理安全的下一层包括场地选择、温度湿度控制和终端使用安全规范;所述网络安全的下一层包括网络结构安全、安全准入控制、网络访问控制和网络入侵检测;所述终端安全的下一层包括登录安全控制、恶意代码防范、终端安全控制、备份与恢复和终端环境架构安全;所述应用安全的下一层包括数据访问控制、应用系统攻击防护、数据备份与恢复、安全加固与认证、安全审计和漏洞和补丁管理。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:获取所有因素层的影响因子集合;采用数据包络分析方法,从所述影响因子集合获取目标影响因子和移动因子;根据所述目标影响因子和所述移动因子,获取第二风险评估结果。
本实施例提供的计算机可读存储介质,其实现原理和技术效果与上述方法实施例类似,在此不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。