CN110110528A - 信息系统的安全风险评估方法、装置及设备 - Google Patents
信息系统的安全风险评估方法、装置及设备 Download PDFInfo
- Publication number
- CN110110528A CN110110528A CN201910405913.4A CN201910405913A CN110110528A CN 110110528 A CN110110528 A CN 110110528A CN 201910405913 A CN201910405913 A CN 201910405913A CN 110110528 A CN110110528 A CN 110110528A
- Authority
- CN
- China
- Prior art keywords
- assets
- parameter
- assessed
- file
- security risk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 69
- 238000012502 risk assessment Methods 0.000 claims abstract description 54
- 238000003860 storage Methods 0.000 claims abstract description 16
- 238000004590 computer program Methods 0.000 claims description 11
- 230000004044 response Effects 0.000 claims description 3
- 235000013399 edible fruits Nutrition 0.000 claims description 2
- 238000012854 evaluation process Methods 0.000 abstract description 6
- 230000000694 effects Effects 0.000 abstract description 5
- 241000208340 Araliaceae Species 0.000 description 3
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 3
- 235000003140 Panax quinquefolius Nutrition 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000011156 evaluation Methods 0.000 description 3
- 235000008434 ginseng Nutrition 0.000 description 3
- 239000011159 matrix material Substances 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000004378 air conditioning Methods 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000033228 biological regulation Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000013278 delphi method Methods 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000005764 inhibitory process Effects 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000003014 reinforcing effect Effects 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了一种信息系统的安全风险评估方法,预先创建了资产描述文件、脆弱性描述文件、威胁描述文件,在评估过程中能够从上述描述文件查找到待评估资产的资产价值参数、脆弱性参数、威胁强度参数,并据此确定待评估资产的损失程度参数和风险概率参数,最终确定待评估资产的安全风险评估结果。可见,该方法通过预先创建分别用于描述资产的价值、脆弱性、威胁性强度的描述文件,在评估过程中能够通过直接查找描述文件确定安全风险参数,最终确定安全风险评估结果,避免了复杂的计算过程,提升了安全风险评估的速度。本申请还提供了一种信息系统的安全风险评估装置、设备及计算机可读存储介质,其作用与上述方法相对应。
Description
技术领域
本申请涉及信息安全领域,特别涉及一种信息系统的安全风险评估方法、装置、设备及计算机可读存储介质。
背景技术
随着网络技术的发展及互联网信息化进程的深入,信息系统及相关产品大量部署于各行各业,成为信息化的支撑工具,但随之而来所面临的安全问题也日趋严峻,这对于国家、组织或个人都带来巨大的挑战,因此及时了解或全面掌握所运营的信息系统所面临的风险成为信息安全界重点关注的事情,而风险评估正是解决这一问题主要手段或工具。
从网络与信息安全来看,风险评估工作就是运用相关安全技术手段对信息资产所面临的威胁、存在的脆弱点、造成的损失进行综合研判,分析及评估出风险发生的可能性的过程。
目前,风险评估工作手段多样化,例如一种基于多要素融合的信息系统风险评估方法,其步骤包括搭建信息系统风险评估系统、确定风险评估要素、确定风险评估要素融合关系以及进行详细地风险评估过程。此外,还有一种基于资产依赖关系的信息安全的风险评估方法及系统,其步骤包括获取待评估信息系统内资产范围,并对资产进行区块划分、识别待评估信息系统的威胁、脆弱性以及资产的重要性、利用依赖结构矩阵计算构建资产之间的安全依赖关系矩阵,以及依据所计算出的风险值进行评估信息系统的整体风险值。
但是,上述第一种技术方案的主要依赖于搭建的信息安全风险评估系统,另一种技术方案主要利用了依赖结构矩阵的计算及德尔菲方法进行评估。两种方案的风险评估过程均过于复杂,不适用于快速评估出信息系统面临的风险情况,无法实现让运维人员及时了解所管理的信息系统的风险状态。
发明内容
本申请的目的是提供一种信息系统的安全风险评估方法、装置、设备及计算机可读存储介质,用以解决传统的安全风险评估方案的评估速度较低的问题。具体方案如下:
第一方面,本申请提供了一种信息系统的安全风险评估方法,包括:
通过查询预先创建的资产描述文件、脆弱性描述文件、威胁描述文件,分别确定待评估资产的资产价值参数、脆弱性参数、威胁强度参数;
根据所述资产价值参数和所述脆弱性参数,确定所述待评估资产的损失程度参数,并根据所述脆弱性参数和所述威胁强度参数,确定所述待评估资产的风险概率参数;
根据所述损失程度参数和所述风险概率参数,确定所述待评估资产的安全风险评估结果。
可选的,所述根据所述资产价值参数和所述脆弱性参数,确定所述待评估资产的损失程度参数,包括:
通过查询预先创建的损失程度描述文件,确定与所述资产价值参数和所述脆弱性参数对应的损失程度参数。
可选的,所述根据所述损失程度参数和所述风险概率参数,确定所述待评估资产的安全风险评估结果,包括:
通过查询预先创建的安全风险描述文件,确定与所述损失程度参数和所述风险概率参数对应的安全风险参数以作为所述待评估资产的安全风险评估结果。
可选的,所述通过查询预先创建的资产描述文件、脆弱性描述文件、威胁描述文件,分别确定待评估资产的资产价值参数、脆弱性参数、威胁强度参数,包括:
通过查询预先创建的资产描述表格、脆弱性描述表格、威胁描述表格,分别确定待评估资产的资产价值参数、脆弱性参数、威胁强度参数。
可选的,所述通过查询预先创建的资产描述表格、脆弱性描述表格、威胁描述表格,分别确定待评估资产的资产价值参数、脆弱性参数、威胁强度参数,包括:
通过查询预先创建的资产描述表格、脆弱性描述表格、威胁描述表格,分别确定待评估资产的资产价值等级、脆弱性等级、威胁强度等级。
可选的,在所述通过查询预先创建的资产描述文件、脆弱性描述文件、威胁描述文件,分别确定待评估资产的资产价值参数、脆弱性参数、威胁强度参数之前,还包括:
确定信息系统中的待评估资产。
可选的,在所述根据所述损失程度参数和所述风险概率参数,确定所述待评估资产的安全风险评估结果之后,还包括:
响应描述文件的查看请求以显示以下任意一项或多项:资产描述文件、脆弱性描述文件、威胁描述文件。
第二方面,本申请提供了一种信息系统的安全风险评估装置,包括:
第一参数确定模块:用于通过查询预先创建的资产描述文件、脆弱性描述文件、威胁描述文件,分别确定待评估资产的资产价值参数、脆弱性参数、威胁强度参数;
第二参数确定模块:用于根据所述资产价值参数和所述脆弱性参数,确定所述待评估资产的损失程度参数,并根据所述脆弱性参数和所述威胁强度参数,确定所述待评估资产的风险概率参数;
第三参数确定模块:用于根据所述损失程度参数和所述风险概率参数,确定所述待评估资产的安全风险评估结果。
第三方面,本申请提供了一种信息系统的安全风险评估设备,包括:
存储器:用于存储计算机程序;
处理器:用于执行所述计算机程序以实现如上任意一项所述的信息系统的安全风险评估方法的步骤。
第四方面,本申请提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时用于实现如上任意一项所述的信息系统的安全风险评估方法的步骤。
本申请所提供的一种信息系统的安全风险评估方法,预先创建了资产描述文件、脆弱性描述文件、威胁描述文件,在评估过程中能够从上述描述文件查找到待评估资产的资产价值参数、脆弱性参数、威胁强度参数,并据此确定待评估资产的损失程度参数和风险概率参数,最终根据损失程度参数和风险概率参数,确定待评估资产的安全风险评估结果。可见,该方法通过预先创建分别用于描述资产的价值、脆弱性、威胁性强度的描述文件,在评估过程中能够通过直接查找描述文件确定安全风险参数,最终确定安全风险评估结果,避免了复杂的计算过程,提升了安全风险评估的速度。
此外,本申请还提供了一种信息系统的安全风险评估装置、设备及计算机可读存储介质,其作用与上述方法相对应,这里不再赘述。
附图说明
为了更清楚的说明本申请实施例或现有技术的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请所提供的一种信息系统的安全风险评估方法实施例一的实现流程图;
图2为本申请所提供的一种信息系统的安全风险评估方法实施例二的实现流程图;
图3为本申请所提供的一种信息系统的安全风险评估方法实施例二的原理示意图;
图4为本申请所提供的一种信息系统的安全风险评估装置实施例的功能框图;
图5为本申请所提供的一种信息系统的安全风险评估设备实施例的结构示意图。
具体实施方式
本申请的核心是提供一种信息系统的安全风险评估方法、装置、设备及计算机可读存储介质,提升了安全风险评估的速度。
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
下面对本申请提供的一种信息系统的安全风险评估方法实施例一进行介绍,参见图1,实施例一包括:
步骤S101:通过查询预先创建的资产描述文件、脆弱性描述文件、威胁描述文件,分别确定待评估资产的资产价值参数、脆弱性参数、威胁强度参数;
信息系统(Information system)是由计算机硬件、网络和通信设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。信息系统中的软件及硬件均可以称为信息资产,安全风险是信息资产潜在的、未发生的危险,由于安全风险的存在,信息资产在一定条件下会发生危险,即安全事件。在本实施例中,主要通过三个方面对安全风险进行评估,分别为资产价值、脆弱性、威胁强度,其中,脆弱性是指信息资产在安全方面的薄弱环节的薄弱程度,威胁强度是指安全事件的发起方的强度。
具体的,本实施例预先创建了资产描述文件、脆弱性描述文件、威胁描述文件,其中,资产描述文件用于描述资产的资产价值,脆弱性描述文件用于描述资产的脆弱性,威胁描述文件用于描述资产所受威胁的强度。具体的,为了便于查找,上述资产描述文件、脆弱性描述文件、威胁描述文件可以均以表格的形式存在。作为一种具体的实施方式,上述资产价值、脆弱性、威胁强度可以通过等级来进行描述,也就是说,上述资产价值参数、脆弱性参数、威胁强度参数分别为资产价值等级、脆弱性等级、威胁强度等级。此外,为了增强本实施例的场景适应性,在描述文件中可以不陈列信息系统中的各个信息资产,而是依据信息资产的类别对其安全风险进行描述,具体的,先对信息资产进行分类,然后在上述描述文件中分别描述各类信息资产的资产价值、脆弱性、威胁强度。
步骤S102:根据所述资产价值参数和所述脆弱性参数,确定所述待评估资产的损失程度参数,并根据所述脆弱性参数和所述威胁强度参数,确定所述待评估资产的风险概率参数;
具体的,当上述资产价值参数、脆弱性参数、威胁强度参数为数值参数的时候,可以以预设的加权的方式分别求得损失程度参数和风险概率参数。而当上述资产价值参数、脆弱性参数、威胁强度参数为等级参数的时候,相应的,上述损失程度参数和风险概率参数也可以为等级参数。作为一种具体的实施方式,可以预先创建在所述资产价值参数和所述脆弱性参数已知的情况下可以唯一确定损失程度参数的损失程度描述文件,并创建在所述脆弱性参数和所述威胁强度参数已知的情况下可以唯一确定风险概率参数的风险概率描述文件,然后通过查询损失程度描述文件确定损失程度参数,并通过查询风险概率描述文件确定风险概率参数。
步骤S103:根据所述损失程度参数和所述风险概率参数,确定所述待评估资产的安全风险评估结果。
具体的,当上述损失程度参数和风险概率参数为数值参数的时候,可以以预设的加权的方式分别求得安全风险参数,以作为最终的安全风险评估结果。而当上述损失程度参数和风险概率参数为等级参数的时候,相应的,上述安全风险评估结果也可以为等级参数。作为一种具体的实施方式,可以预先创建在损失程度参数和风险概率参数已知的情况下可以唯一确定安全风险评估结果的安全风险描述文件,然后通过查询安全风险描述文件确定安全风险评估结果。
本实施例所提供一种信息系统的安全风险评估方法,预先创建了资产描述文件、脆弱性描述文件、威胁描述文件,在评估过程中能够从上述描述文件查找到待评估资产的资产价值参数、脆弱性参数、威胁强度参数,并据此确定待评估资产的损失程度参数和风险概率参数,最终根据损失程度参数和风险概率参数,确定待评估资产的安全风险评估结果。可见,该方法通过预先创建分别用于描述资产的价值、脆弱性、威胁性强度的描述文件,在评估过程中能够通过直接查找描述文件确定安全风险参数,最终确定安全风险评估结果,避免了复杂的计算过程,提升了安全风险评估的速度。
下面开始详细介绍本申请提供的一种信息系统的安全风险评估方法实施例二,实施例二基于上述实施例一实现,并在实施例一的基础上进行了一定程度上的拓展。
参见图2,实施例二具体包括:
步骤S201:确定信息系统中的待评估资产;
具体的确定方式可以为依据用户请求确定,也可以依据预设规则从信息系统中筛选出待评估资产,本实施例不限定待评估资产的数量。
步骤S202:通过查询预先创建的资产描述表格、脆弱性描述表格、威胁描述表格,分别确定待评估资产的资产价值等级、脆弱性等级、威胁强度等级;
对于资产描述表格,创建过程如下:创建资产描述表格,在表格中划分资产不同的分类及子类,并标识不同类别的资产价值,具体的,标识等级可分为“很低”、“低”、“中等”、“高”、“很高”。如表1所示,资产描述表格主要包括软件类资产、计算机设备、网络设备、安全保障设备、存储设备、传输线路、物理保障设备、后勤设备以及文档等内容。更进一步地,软件类资产包括应用系统、操作系统、中间件、数据库;计算机设备包括小型机、应用系统类服务器、补丁升级服务器、备份服务器、缓存服务器、文件服务器、域控服务器、负载均衡服务器、工作站、台式机、移动计算机;网络设备包括网关、交换机、路由器、集线器;安全保障设备包括防火墙、IDS、IPS、WAF;存储设备包括磁带机、磁盘阵列、磁带、光盘、移动硬盘;传输线路包括光纤、双绞线;物理保障设备包括动力保障设备、空调、保险柜、文件柜、门禁、消防设施;后勤设备包括打印机、复印机、扫描仪、传真机、摄像机;文档包括纸质文件、电子文档。需要说明的是,当资产涉及多级别应用系统,则以最高级别为准,例如,对于中间件来说,若其关联的应用系统为多级别应用系统,分别为四级和二级应用系统,则以四级应用系统的资产价值等级为准。
表1
对于脆弱性描述表格,其构建过程如下:构建脆弱性描述表格,描述具体的安全脆弱性子项,标识脆弱性严重程序等级,具体的,标识等级可以分为“很低”、“低”、“中等”、“高”、“很高”。如表2所示,本实施例主要将脆弱性类别分为主机层面脆弱性、中间件层面脆弱性、应用层面的脆弱性、物理层面的脆弱性、网络层面的脆弱性、数据库层面的脆弱性、管理层面的脆弱性以及CVE安全漏洞等。
表2
对于威胁描述表格,其构建过程如下:构建威胁描述表格,列出威胁种类,标识威胁严重程序等级,具体的,标识等级可分为“很低”、“低”、“中等”、“高”、“很高”。如表3所示,本实施例将威胁类别分为恶意代码和病毒、网络攻击、物理攻击、篡改、抵赖、越权或滥用、泄密、无作为或操作失误、软硬件故障、物理环境影响、管理不到位等。
表3
如上所述,本实施例中表1、表2、表3分别对资产、脆弱环节、威胁来源进行了分类,并为各个类别对应的资产价值等级、脆弱性等级、威胁强度等级进行了等级赋值,需要说明的是,在实际的应用场景中,上述分类以及等级赋值的过程可以依据实际使用需求来确定,以上仅仅作为本实施例所提供的一种实现方式,而非必要限定。
步骤S203:通过查询预先创建的损失程度描述表格,确定与所述资产价值等级和所述脆弱性等级对应的损失程度等级;
对于损失程度描述表格,其创建过程如下:根据资产价值及脆弱性严重程度,即根据上述资产价值等级和脆弱性等级描述安全事件发生所造成的损失,构建损失程度描述表格,如表4所示,本实施例依据资产价值等级和脆弱性等级确定损失程度等级,具体的,本实施例将损失程度等级划分为五个等级,分别为很低、低、中等、高、很高。
表4
步骤S204:根据所述脆弱性等级和所述威胁强度等级,通过查询预先创建的风险概率描述表格,确定所述待评估资产的风险概率等级;
对于风险概率描述表格,其创建过程如下:根据威胁严重程度及脆弱性严重程度,即根据脆弱性等级和所述威胁强度等级描述安全事件发生的可能性,构建风险概率描述表格,如表4所示,本实施例依据脆弱性等级和所述威胁强度等级确定风险概率等级,具体的,本实施例将风险概率等级划分为五个等级,分别为很低、低、中等、高、很高。
表5
需要说明的是,本实施例不限定步骤S203和步骤S204的先后顺序。
步骤S205:通过查询预先创建的安全风险描述表格,确定与所述损失程度等级和所述风险概率等级对应的安全风险等级以作为所述待评估资产的安全风险评估结果;
对于安全风险描述表格,其创建过程如下:根据安全事件发生的可能性及安全事件所造成的损失程度,即根据损失程度等级和所述风险概率等级描述信息安全风险等级,创建安全风险描述表格,如表6所示,本实施例依据损失程度等级和所述风险概率等级确定安全风险等级,具体的,本实施例将安全风险等级划分为五个等级,分别为很低、低、中等、高、很高。
表6
步骤S206:响应查看请求以显示以下任意一项或多项:资产描述表格、脆弱性描述表格、威胁描述表格、待评估资产的安全风险评估结果。
如上所述,本实施例可以实现依据查看请求以显示资产描述表格、脆弱性描述表格、威胁描述表格、待评估资产的安全风险评估结果的功能,需要说明的是,本实施例不限定显示资产描述表格、脆弱性描述表格、威胁描述表格的时间节点,也就是说,资产描述表格、脆弱性描述表格、威胁描述表格的显示过程的时间节点不一定在得到安全风险评估结果之后。
综上所述,本实施例的实施过程如图3所示,主要包括:通过查询资产描述表格、脆弱性描述表格、威胁描述表格,分别确定待评估资产的资产价值等级、脆弱性等级、威胁强度等级,进而通过查询损失程度描述表格和风险概率描述表格,分别确定损失程度等级和风险概率等级,最终通过查询安全风险描述表格确定最终的安全风险等级以作为安全风险评估结果。
可见,本实施例提供的一种信息系统的安全风险评估方法,从资产、脆弱性、威胁等三方面梳理出信息系统风险评估要求项,并根据资产价值、脆弱性严重程序、威胁严重程序对这些要求项进行等级标识,分别建立资产描述表格、脆弱性描述表格以及威胁描述表格,基于这三个表格准确地描述出安全事件发生的可能性以及安全事件发生后所造成的损失程度,最终得到待评估资产的安全风险评估结果。便于检查、运维及相关人员及时了解系统的风险状态,加快安全整改加固进程,确保信息系统安全稳定运行。
下面对本申请实施例提供的一种信息系统的安全风险评估装置进行介绍,下文描述的一种信息系统的安全风险评估装置与上文描述的一种信息系统的安全风险评估方法可相互对应参照。
如图4所示,该装置包括:
第一参数确定模块401:用于通过查询预先创建的资产描述文件、脆弱性描述文件、威胁描述文件,分别确定待评估资产的资产价值参数、脆弱性参数、威胁强度参数;
第二参数确定模块402:用于根据所述资产价值参数和所述脆弱性参数,确定所述待评估资产的损失程度参数,并根据所述脆弱性参数和所述威胁强度参数,确定所述待评估资产的风险概率参数;
第三参数确定模块403:用于根据所述损失程度参数和所述风险概率参数,确定所述待评估资产的安全风险评估结果。
本实施例的信息系统的安全风险评估装置用于实现前述的信息系统的安全风险评估方法,因此该装置中的具体实施方式可见前文中的信息系统的安全风险评估方法的实施例部分,例如,第一参数确定模块401、第二参数确定模块402、第三参数确定模块403,分别用于实现上述的信息系统的安全风险评估方法中步骤S101,S102,S103。所以,其具体实施方式可以参照相应的各个部分实施例的描述,在此不再展开介绍。
另外,由于本实施例的信息系统的安全风险评估装置用于实现前述的信息系统的安全风险评估方法,因此其作用与上述方法的作用相对应,这里不再赘述。
此外,本申请还提供了一种信息系统的安全风险评估设备,如图5所示,包括:
存储器501:用于存储计算机程序;
处理器502:用于执行所述计算机程序以实现如上任意一项所述的信息系统的安全风险评估方法的步骤。
最后,本申请提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时用于实现如上任意一项所述的信息系统的安全风险评估方法的步骤。
本实施例的信息系统的安全风险评估设备、计算机可读存储介质用于实现前述的信息系统的安全风险评估方法,因此该设备、计算机可读存储介质的具体实施方式可见前文中的信息系统的安全风险评估方法的实施例部分,且二者的作用与上述方法相对应,这里不再赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的信息系统的安全风险评估方法、装置、设备及计算机可读存储介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种信息系统的安全风险评估方法,其特征在于,包括:
通过查询预先创建的资产描述文件、脆弱性描述文件、威胁描述文件,分别确定待评估资产的资产价值参数、脆弱性参数、威胁强度参数;
根据所述资产价值参数和所述脆弱性参数,确定所述待评估资产的损失程度参数,并根据所述脆弱性参数和所述威胁强度参数,确定所述待评估资产的风险概率参数;
根据所述损失程度参数和所述风险概率参数,确定所述待评估资产的安全风险评估结果。
2.如权利要求1所述的方法,其特征在于,所述根据所述资产价值参数和所述脆弱性参数,确定所述待评估资产的损失程度参数,包括:
通过查询预先创建的损失程度描述文件,确定与所述资产价值参数和所述脆弱性参数对应的损失程度参数。
3.如权利要求2所述的方法,其特征在于,所述根据所述损失程度参数和所述风险概率参数,确定所述待评估资产的安全风险评估结果,包括:
通过查询预先创建的安全风险描述文件,确定与所述损失程度参数和所述风险概率参数对应的安全风险参数以作为所述待评估资产的安全风险评估结果。
4.如权利要求1所述的方法,其特征在于,所述通过查询预先创建的资产描述文件、脆弱性描述文件、威胁描述文件,分别确定待评估资产的资产价值参数、脆弱性参数、威胁强度参数,包括:
通过查询预先创建的资产描述表格、脆弱性描述表格、威胁描述表格,分别确定待评估资产的资产价值参数、脆弱性参数、威胁强度参数。
5.如权利要求4所述的方法,其特征在于,所述通过查询预先创建的资产描述表格、脆弱性描述表格、威胁描述表格,分别确定待评估资产的资产价值参数、脆弱性参数、威胁强度参数,包括:
通过查询预先创建的资产描述表格、脆弱性描述表格、威胁描述表格,分别确定待评估资产的资产价值等级、脆弱性等级、威胁强度等级。
6.如权利要求1所述的方法,其特征在于,在所述通过查询预先创建的资产描述文件、脆弱性描述文件、威胁描述文件,分别确定待评估资产的资产价值参数、脆弱性参数、威胁强度参数之前,还包括:
确定信息系统中的待评估资产。
7.如权利要求1-6任意一项所述的方法,其特征在于,在所述根据所述损失程度参数和所述风险概率参数,确定所述待评估资产的安全风险评估结果之后,还包括:
响应描述文件的查看请求以显示以下任意一项或多项:资产描述文件、脆弱性描述文件、威胁描述文件。
8.一种信息系统的安全风险评估装置,其特征在于,包括:
第一参数确定模块:用于通过查询预先创建的资产描述文件、脆弱性描述文件、威胁描述文件,分别确定待评估资产的资产价值参数、脆弱性参数、威胁强度参数;
第二参数确定模块:用于根据所述资产价值参数和所述脆弱性参数,确定所述待评估资产的损失程度参数,并根据所述脆弱性参数和所述威胁强度参数,确定所述待评估资产的风险概率参数;
第三参数确定模块:用于根据所述损失程度参数和所述风险概率参数,确定所述待评估资产的安全风险评估结果。
9.一种信息系统的安全风险评估设备,其特征在于,包括:
存储器:用于存储计算机程序;
处理器:用于执行所述计算机程序以实现如权利要求1-7任意一项所述的信息系统的安全风险评估方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时用于实现如权利要求1-7任意一项所述的信息系统的安全风险评估方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910405913.4A CN110110528A (zh) | 2019-05-15 | 2019-05-15 | 信息系统的安全风险评估方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910405913.4A CN110110528A (zh) | 2019-05-15 | 2019-05-15 | 信息系统的安全风险评估方法、装置及设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110110528A true CN110110528A (zh) | 2019-08-09 |
Family
ID=67490402
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910405913.4A Pending CN110110528A (zh) | 2019-05-15 | 2019-05-15 | 信息系统的安全风险评估方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110110528A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111460459A (zh) * | 2020-04-01 | 2020-07-28 | 中国银行股份有限公司 | 风险信息的处理方法和装置 |
| CN111552973A (zh) * | 2020-06-02 | 2020-08-18 | 奇安信科技集团股份有限公司 | 对设备进行风险评估的方法、装置、电子设备及介质 |
| CN111669365A (zh) * | 2020-04-27 | 2020-09-15 | 中国国家铁路集团有限公司 | 网络安全测试方法及装置 |
| CN113822532A (zh) * | 2021-08-23 | 2021-12-21 | 深圳供电局有限公司 | 信息系统资产风险评估方法及其装置和存储介质 |
| CN113822532B (zh) * | 2021-08-23 | 2024-06-07 | 深圳供电局有限公司 | 信息系统资产风险评估方法及其装置和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103400027A (zh) * | 2013-07-09 | 2013-11-20 | 贵州大学 | 信息系统的风险评估算法 |
| CN106790198A (zh) * | 2016-12-30 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种信息系统风险评估方法及系统 |
| CN107819771A (zh) * | 2017-11-16 | 2018-03-20 | 国网湖南省电力有限公司 | 一种基于资产依赖关系的信息安全风险评估方法及系统 |
| CN109146240A (zh) * | 2018-07-03 | 2019-01-04 | 北京航空航天大学 | 一种面向智能网联车辆的信息安全风险评估方法及系统 |
-
2019
- 2019-05-15 CN CN201910405913.4A patent/CN110110528A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103400027A (zh) * | 2013-07-09 | 2013-11-20 | 贵州大学 | 信息系统的风险评估算法 |
| CN106790198A (zh) * | 2016-12-30 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种信息系统风险评估方法及系统 |
| CN107819771A (zh) * | 2017-11-16 | 2018-03-20 | 国网湖南省电力有限公司 | 一种基于资产依赖关系的信息安全风险评估方法及系统 |
| CN109146240A (zh) * | 2018-07-03 | 2019-01-04 | 北京航空航天大学 | 一种面向智能网联车辆的信息安全风险评估方法及系统 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111460459A (zh) * | 2020-04-01 | 2020-07-28 | 中国银行股份有限公司 | 风险信息的处理方法和装置 |
| CN111669365A (zh) * | 2020-04-27 | 2020-09-15 | 中国国家铁路集团有限公司 | 网络安全测试方法及装置 |
| CN111669365B (zh) * | 2020-04-27 | 2022-05-03 | 中国国家铁路集团有限公司 | 网络安全测试方法及装置 |
| CN111552973A (zh) * | 2020-06-02 | 2020-08-18 | 奇安信科技集团股份有限公司 | 对设备进行风险评估的方法、装置、电子设备及介质 |
| CN111552973B (zh) * | 2020-06-02 | 2023-10-20 | 奇安信科技集团股份有限公司 | 对设备进行风险评估的方法、装置、电子设备及介质 |
| CN113822532A (zh) * | 2021-08-23 | 2021-12-21 | 深圳供电局有限公司 | 信息系统资产风险评估方法及其装置和存储介质 |
| CN113822532B (zh) * | 2021-08-23 | 2024-06-07 | 深圳供电局有限公司 | 信息系统资产风险评估方法及其装置和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ganin et al. | Multicriteria decision framework for cybersecurity risk assessment and management | |
| US10140453B1 (en) | Vulnerability management using taxonomy-based normalization | |
| CN106295349A (zh) | 账号被盗的风险识别方法、识别装置及防控系统 | |
| CN109446817A (zh) | 一种大数据检测与审计系统 | |
| CN111726353A (zh) | 基于数控系统的敏感数据分级保护方法及分级保护系统 | |
| CN110110528A (zh) | 信息系统的安全风险评估方法、装置及设备 | |
| CN112560046B (zh) | 一种业务数据安全指数的评估方法及装置 | |
| CN104320271B (zh) | 一种网络设备安全评估方法及装置 | |
| Maheshwari et al. | Integrating risk assessment and threat modeling within SDLC process | |
| CN111030972A (zh) | 一种资产信息管理及可视化展示的方法、装置及存储设备 | |
| CN110289995A (zh) | 基于利用属性攻击图的社交网络行为监控方法及装置 | |
| CN108809928B (zh) | 一种网络资产风险画像方法及装置 | |
| CN117478433B (zh) | 一种网络与信息安全动态预警系统 | |
| CN114428962A (zh) | 漏洞风险优先级处置方法和装置 | |
| Iskra et al. | On the identification of threats to information security using the method of systemic dynamics | |
| Lee et al. | Quantum computing threat modelling on a generic cps setup | |
| CN111460459A (zh) | 风险信息的处理方法和装置 | |
| Meriah et al. | A survey of quantitative security risk analysis models for computer systems | |
| WO2020228564A1 (zh) | 一种应用服务方法与装置 | |
| Tan et al. | Penetration Testing Process: A Preliminary Study | |
| CN105718767A (zh) | 一种基于风险识别的信息处理方法及装置 | |
| CN117195297B (zh) | 基于erp的数据安全与隐私保护系统及方法 | |
| CN117294530B (zh) | 工业互联网标识解析二级节点数据安全管理方法及系统 | |
| CN115632882B (zh) | 非法网络攻击检测方法、计算机设备及介质 | |
| US20240193280A1 (en) | Risk scoring system for vulnerability mitigation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190809 |