发明内容
基于此,有必要针对上述技术问题,提供一种能够降低风险评估成本的业务系统的风险评估方法、装置、评估终端和存储介质。
一种业务系统的风险评估方法,所述方法包括:
识别业务系统的多个风险因子;
获取业务系统中风险因子分别对应的标准数据,以及业务系统中各个风险因子当前的实际数据;
根据实际数据与标准数据的符合度,确定各个风险因子当前对于业务系统风险的降低赋值;
获取业务系统发生某种风险的概率,以及发生某种风险时对业务系统的影响程度值;
根据某种风险对应的影响程度值、概率和各个风险因子的降低赋值,确定业务系统当前受到某种风险影响的实际影响程度。
在其中一个实施例中,上述根据某种风险对应的影响程度值、概率和各个风险因子的降低赋值,确定业务系统当前受到某种风险影响的实际影响程度包括:
根据某种风险对应的影响程度值、概率和各个风险因子的降低赋值计算风险评估参数;
根据风险评估参数确定业务系统当前受到某种风险影响的实际影响程度。
作为一个实施例,上述根据风险评估参数确定业务系统当前受到某种风险影响的实际影响程度包括:
检测风险评估参数所处的评估参数范围;
根据风险评估参数所处的评估参数范围,以及预设的风险级别-评估参数范围关系,确定业务系统当前受到某种风险影响所处的风险级别;风险级别-评估参数范围关系为风险级别与评估参数范围之间的对应关系。
作为一个实施例,在检测风险评估参数所处的评估参数范围之前,上述方法还包括:
设置业务系统面临的各级风险;
识别各级风险中的中间级别风险,确定中间级别风险对应的评估参数范围;
根据第一范围长度设置风险级别高于中间级别风险的各级风险分别对应的评估参数范围,根据第二范围长度设置风险级别低于中间级别风险的各级风险分别对应的评估参数范围。
作为一个实施例,在检测风险评估参数所处的评估参数范围之前,上述方法还包括:
设置业务系统面临的各级风险;
识别各级风险中的中间级别风险,确定中间级别风险对应的评估参数范围;
根据第一范围长度设置风险级别高于中间级别风险的各级风险分别对应的评估参数范围,根据第二范围长度设置风险级别低于中间级别风险的各级风险分别对应的评估参数范围。
在其中一个实施例中,上述确定各个风险因子当前对于业务系统风险的降低赋值包括:
在预设的符合度-赋值关系中查找各个风险因子的符合度分别对应的赋值;符合度-赋值关系为符合度与赋值之间的对应关系;
根据查找到的各个赋值确定各个风险因子对应的降低赋值。
在其中一个实施例中,上述风险因子包括人员资源数据、环境类型数据、技术评估参数、合规性和知名度中的至少一种。
一种业务系统的风险评估装置,所述装置包括:
第一识别模块,用于识别业务系统的多个风险因子;
第一获取模块,用于获取业务系统中风险因子分别对应的标准数据,以及业务系统中各个风险因子当前的实际数据;
第一确定模块,用于根据实际数据与标准数据的符合度,确定各个风险因子当前对于业务系统风险的降低赋值;
第二获取模块,用于获取业务系统发生某种风险的概率,以及发生某种风险时对业务系统的影响程度值;
第二确定模块,用于根据某种风险对应的影响程度值、概率和各个风险因子的降低赋值,确定业务系统当前受到某种风险影响的实际影响程度。
一种评估终端,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
识别业务系统的多个风险因子;
获取业务系统中风险因子分别对应的标准数据,以及业务系统中各个风险因子当前的实际数据;
根据实际数据与标准数据的符合度,确定各个风险因子当前对于业务系统风险的降低赋值;
获取业务系统发生某种风险的概率,以及发生某种风险时对业务系统的影响程度值;
根据某种风险对应的影响程度值、概率和各个风险因子的降低赋值,确定业务系统当前受到某种风险影响的实际影响程度。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
识别业务系统的多个风险因子;
获取业务系统中风险因子分别对应的标准数据,以及业务系统中各个风险因子当前的实际数据;
根据实际数据与标准数据的符合度,确定各个风险因子当前对于业务系统风险的降低赋值;
获取业务系统发生某种风险的概率,以及发生某种风险时对业务系统的影响程度值;
根据某种风险对应的影响程度值、概率和各个风险因子的降低赋值,确定业务系统当前受到某种风险影响的实际影响程度。
上述业务系统的风险评估方法、装置、评估终端和存储介质,通过识别业务系统的多个风险因子,获取业务系统中风险因子分别对应的标准数据,以及业务系统中各个风险因子当前的实际数据,根据实际数据与标准数据的符合度,确定各个风险因子当前对于业务系统风险的降低赋值,获取业务系统发生某种风险的概率,以及发生某种风险时对业务系统的影响程度值,根据某种风险对应的影响程度值、概率和各个风险因子的降低赋值,确定业务系统当前受到某种风险影响的实际影响程度,以实现上述业务系统当前受到某种风险影响的风险评估,可以简化对业务系统进行风险评估的过程,降低业务系统的风险评估成本。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
本申请提供的业务系统的风险评估方法,可以应用于针对公有云基础服务、公有云Paas服务以及Saas OA服务等提供网络服务的业务系统进行风险评估的评估终端。上述评估终端可以识别业务系统的多个风险因子;获取业务系统中风险因子分别对应的标准数据,以及业务系统中各个风险因子当前的实际数据;根据实际数据与标准数据的符合度,确定各个风险因子当前对于业务系统风险的降低赋值;获取业务系统发生某种风险的概率,以及发生某种风险时对业务系统的影响程度值;根据某种风险对应的影响程度值、概率和各个风险因子的降低赋值,确定业务系统当前受到某种风险影响的实际影响程度,以实现对业务系统在开展对应业务时所受风险的评估。上述评估终端可以但不限于是各种个人计算机、笔记本电脑、智能手机和平板电脑。
在一个实施例中,如图1所示,提供了一种业务系统的风险评估方法,以该方法应用于评估终端为例进行说明,包括以下步骤:
S210,识别业务系统的多个风险因子。
上述风险因子可以包括人员资源数据、环境类型数据、技术评估参数、合规性、和/或知名度等多个系统因子。一个风险因子对应的数据可以表征业务系统在一个方面的配置特征或者水平特征,如业务系统配置的人员资源数据可以表征业务系统的人力资源配置特征,知名度可以表征业务系统在相应领域的名气水平等等。
S230,获取业务系统中风险因子分别对应的标准数据,以及业务系统中各个风险因子当前的实际数据。
风险因子的实际数据可以从业务系统的配置信息、环境信息、技术介绍信息等相关系统信息中获取,还可以从业务系统所在领域的相关平台所发布的评估数据中提取。
各类业务系统的大部分风险因子均具有相应的标准数据。某业务系统中风险因子的标准数据可以由该业务系统的管理机构或者该业务系统所在领域的质量检测平台发布。例如针对某业务系统的人员资源数据这一风险因子,可以从该业务系统的管理机构处读取其需要配备的各类人员、所配备的人员需要具备的技能以及人员组织结构等标准数据。
S250,根据实际数据与标准数据的符合度,确定各个风险因子当前对于业务系统风险的降低赋值。
某些风险因子可以包括多个单元因子,各个单元因子分别可以具有相应的实际数据和标准数据,比如人员资源数据这一风险因子可以包括人员配比、技术结构和人员组织结构等多个单元因子。
确定某风险因子的降低赋值的过程中,评估终端可以分别检测该风险因子的各个单元因子中实际数据与相应标准数据的匹配度度,以此确定该风险因子与相应标准数据的符合度(比如依据各单元因子对应的匹配度的平均值确定相应风险因子的符合度),进而确定各个风险因子的降低赋值,以保证所确定的降低赋值的准确性。评估终端也可以直接从业务系统的管理机构或者业务系统所在领域的质量检测平台直接读取业务系统某个或者某些风险因子的符合度。
S270,获取业务系统发生某种风险的概率,以及发生某种风险时对业务系统的影响程度值。
评估终端具体可以获取业务系统在第二设定时段发生某种风险的概率。上述某种风险为业务系统面临的各级风险中的一种风险,如业务系统面临的后果最严重的风险(灾难性风险)。上述第二设定时段可以为当前时刻之后的一个时段,如当前时刻之后的48小时等时段。
上述影响程度值可以依据相应风险的具体特征设置,比如可以设置为0至100之间的某个值。
S290,根据某种风险对应的影响程度值、概率和各个风险因子的降低赋值,确定业务系统当前受到某种风险影响的实际影响程度。
上述步骤可以根据某种风险对应的影响程度值、概率和各个风险因子的降低赋值进行风险评估参数的计算,以依据上述风险评估参数可以检测业务系统当前受到某种风险影响时所面临的风险级别,依据检测确定的风险级别确定业务系统当前受到某种风险影响的实际影响程度,从而实现业务系统开展对应业务时的风险评估,简化业务系统风险评估的过程,降低风险评估成本。
上述业务系统的风险评估方法,通过识别业务系统的多个风险因子,获取业务系统中风险因子分别对应的标准数据,以及业务系统中各个风险因子当前的实际数据,根据实际数据与标准数据的符合度,确定各个风险因子当前对于业务系统风险的降低赋值,获取业务系统发生某种风险的概率,以及发生某种风险时对业务系统的影响程度值,根据某种风险对应的影响程度值、概率和各个风险因子的降低赋值,确定业务系统当前受到某种风险影响的实际影响程度,以实现上述业务系统当前受到某种风险影响的风险评估,可以简化对业务系统进行风险评估的过程,降低业务系统的风险评估成本。
在一个实施例中,上述根据某种风险对应的影响程度值、概率和各个风险因子的降低赋值,确定业务系统当前受到某种风险影响的实际影响程度包括:
根据某种风险对应的影响程度值、概率和各个风险因子的降低赋值计算风险评估参数;
根据风险评估参数确定业务系统当前受到某种风险影响的实际影响程度。
具体地,可以将某种风险对应的影响程度值、概率和各个风险因子的降低赋值分别代入相应评估参数计算公式计算风险评估参数,上述评估参数计算公式包括:
式中,T2表示风险评估参数,T1表示影响程度值,Ai表示第i个风险因子的降低赋值,n表示风险因子的个数,p表示业务系统发生某种风险的概率。
作为一个实施例,上述根据风险评估参数确定业务系统当前受到某种风险影响的实际影响程度包括:
检测风险评估参数所处的评估参数范围;
根据风险评估参数所处的评估参数范围,以及预设的风险级别-评估参数范围关系,确定业务系统当前受到某种风险影响所处的风险级别;风险级别-评估参数范围关系为风险级别与评估参数范围之间的对应关系。
业务系统面临的风险包括第一级风险、第二级风险、第三级风险、第四级风险、第五级风险和第六级风险等多个级别的风险,各级风险均具有相应的评估参数范围。在获得业务系统的风险评估参数后,可以检测上述风险评估参数所处的评估参数范围,将上述评估参数范围对应的风险级别确定为业务系统对应的风险级别。
本实施例在确定业务系统当前受到某种风险影响所处的风险级别之后,可以依据具体的风险级别确定业务系统将受到的实际影响程度。其通过预先设置风险级别-评估参数范围关系,使业务系统的风险评估过程从其受相应风险影响程度和后果出发,反向推导受影响的范围,能够提高检测业务系统风险的效率,以便更有针对性地进行风险应对。
作为一个实施例,在检测风险评估参数所处的评估参数范围之前,上述方法还包括:
设置业务系统面临的各级风险;
识别各级风险中的中间级别风险,确定中间级别风险对应的评估参数范围;
根据第一范围长度设置风险级别高于中间级别风险的各级风险分别对应的评估参数范围,根据第二范围长度设置风险级别低于中间级别风险的各级风险分别对应的评估参数范围。
上述评估参数范围可以包括一个数值区间,也可以包括一个数值。
业务系统的各级风险可以按照所产生的后果严重程度由高至低进行排序,将排列在中间位置的一级风险确定为中间级别风险,若中间位置存在两个级别的风险,可以将后果严重程度相对轻的一级风险确定为中间级别风险。后果严重程度大于上述中间级别风险对应后果的各级风险为中间级别风险一侧的风险,后果严重程度小于上述中间级别风险对应后果的各级风险为中间级别风险另一侧的风险。
业务系统的风险评估参数具有相应的取值区间,该取值区间具有区间上限和区间下限。评估终端可以根据确定风险评估参数的各个依据设置中间级别风险对应的评估参数范围,识别中间级别风险对应的评估参数范围的范围上限和范围下限,依据上述范围上限与区间上限之间的数据长度以及中间级别风险一侧(风险级别高于中间级别风险)的风险级数确定中间级别风险一侧的各级风险分别对应的评估参数范围,例如可以依据范围上限与区间上限之间的数据长度平均分配中间级别风险一侧的各个评估参数范围的范围长度,即将第一长度范围确定为范围上限与区间上限之间的数据长度与中间级别风险一侧的级别数之间的商;评估终端还可以依据上述范围下限与区间下限之间的数据长度以及中间级别风险另一侧(风险级别低于中间级别风险)的风险级数确定中间级别风险另一侧的各级风险分别对应的评估参数范围,例如可以依据范围下限与区间下限之间的数据长度平均分配中间级别风险另一侧的各个评估参数范围的范围长度,即将第二长度范围确定为范围下限与区间下限之间的数据长度与中间级别风险另一侧的级别数之间的商。
在一个示例中,第一级风险为灾难性风险,第二级风险局部灾难风险,第三级风险为局部危机风险,第四级风险为普通风险,第五级风险为静默风险,第六级风险为无影响级风险。上述六个级别的风险可以造成如下后果:
灾难性风险:业务不可恢复,数据不可恢复,数据外泄;
局部灾难风险:业务长时间恢复,数据长时间恢复;
局部危机风险:业务局部不可恢复,数据局部不可恢复,业务可用性严重影响,数据可用性严重影响;
普通风险:业务和数据可用性受影响,需要一定时间恢复;
静默风险:业务和数据可用性受影响,业务连续性预案启动,秒级恢复;
无影响级风险:业务和数据可用性无影响。
上述六个级别的风险中中间级别风险为普通风险,中间级别风险一侧的风险包括灾难性风险、局部灾难风险和局部危机风险,中间级别风险另一侧的风险包括静默风险和无影响级风险,各级风险对应的评估参数范围可以参考表1所示,表1中,业务系统的风险评估参数的取值区间为[0,100],即区间下限为0,区间上限为100。普通风险这一中间级别风险对应的评估参数范围可以设置为60这一数值;普通风险一侧包括3个级别的风险(灾难性风险、局部灾难风险和局部危机风险),按威胁比例进行均分,普通风险一侧各个评估参数范围的范围长度为40/3=13,普通风险另一侧包括2个级别的风险(静默风险和无影响级风险),普通风险另一侧各个评估参数范围的范围长度为60/2=30。
表1
风险级别 |
评估参数范围 |
灾难性 |
(86,100] |
局部灾难 |
(73,86] |
局部危机 |
(60,73] |
普通 |
60 |
静默 |
[30,60) |
无影响 |
[0,30) |
可选地,评估终端可以穷举各级风险包括的风险名称,在检测到业务系统所处的风险级别后,可以依据相应风险级别对应的风险名称对业务系统所面临的具体风险进行预估,以获知业务系统可能面临的具体风险,从而更有针对性的进行风险应对。
在一个实施例中,上述确定各个风险因子当前对于业务系统风险的降低赋值包括:
在预设的符合度-赋值关系中查找各个风险因子的符合度分别对应的赋值;符合度-赋值关系为符合度与赋值之间的对应关系;
根据查找到的各个赋值确定各个风险因子对应的降低赋值。
一个风险因子可以对应0、30%、60%、80%和100%等多个符合度。在确定某风险因子对应的符合度的过程中,可以依据该风险因子对应的实际数据与标准数据的匹配程度或者相应发布平台针对相应业务系统该风险因子发布的评测数据确定。通常情况下,与上述匹配程度或者评测数据最接近的符合度作为该风险因子对应的符合度。一个风险因子的降低赋值具有相应的取值范围,可以依据降低赋值对应的最大取值确定各个符合度分别对应的赋值,比如降低赋值对应的最大取值为20;0对应的赋值为0,30%对应的赋值为6,60%对应的赋值为12,80%对应的赋值为16,100%对应的赋值为20等等。
在一个示例中,业务系统各个风险因子的实际数据与标准数据的符合状态、符合度和降低赋值之间的对应关系可以参考表2所示。
表2
符合状态 |
符合度 |
降低赋值 |
完全符合 |
100% |
20 |
大部分符合 |
80% |
16 |
基本符合 |
60% |
12 |
少部分符合 |
30% |
6 |
不符合 |
0 |
0 |
在一个实施例中,获取业务系统发生某种风险的概率包括:
检测业务系统的当前运行状态;
获取业务系统在第一设定时段发生的故障事件和检修事件;
根据当前运行状态、故障事件和检修事件确定业务系统发生某种风险的概率。
上述第一设定时段可以为当前时刻之前的一个时段,如当前时刻之前的两周内等时段。依据业务系统的当前运行状态,在第一设定时段发生的故障事件和检修事件可以对业务系统在当前时刻之后的一定时间内(如第二设定时段)发生某种风险的概率进行准确预估。
在一个示例中,可以预先设定业务系统在第二设定时段发生某种风险能够取到的概率值,再依据当前运行状态、故障事件和检修事件确定业务系统在预先设定的概率值中的取值,以提高确定业务系统发生某种风险的概率的效率。业务系统在第二设定时段发生某特定风险(如灾难性风险)能够取到的概率值可以参考表3所示。表3所选取的概率值参考了《GBT 20984-2007信息安全技术信息安全风险评估规范》威胁概率,可以从1至5这一范围选值,以3为1,进行的数值比例推算。
表3
概率状态 |
概率值 |
极低概率 |
0.33 |
低概率 |
0.67 |
中概率 |
1 |
高概率 |
1.3 |
极高概率 |
1.67 |
在一个实施例中,上述风险因子包括人员资源数据、环境类型数据、技术评估参数、合规性和知名度中的至少一种。
上述人员资源数据可以包括括人员配比、技术结构和人员组织结构(可以通过计算关键路径节点确定)等单元因子;上述环境类型数据可以包括生产环境、预生产环境、测试环境、开发环境、办公环境和第三方环境等单元因子;上述技术评估参数可以包括漏洞数据、漏洞利用程度数据、技术架构数据和系统整体风险(可从20984/等级保护等标准说明获得)等单元因子。
上述合规性可以依据业务系统的具体服务特征、发布格式与相关管理机构设立的规范之间的一致性确定。上述知名度可以依据业务系统所在领域的评测平台或者专家针对相应业务系统进行评定。
本实施例中,对业务系统进行业务风险评估的过程中,采用的风险因子可以参考图2所示,包括:人员、技术、环境、合规性和知名度等方面的要素,以保证风险评估过程中所依据要素的全面性,从而提高检测结果的准确性。
作为一个实施例,根据实际数据与标准数据的符合度,确定各个风险因子当前对于业务系统风险的降低赋值包括:
从人员资源数据中提取业务系统的人员配比、技术结构和人员组织结构,根据人员配比、技术结构和人员组织结构分别与业务系统对应的人员资源配置标准的匹配度确定人员资源数据的降低赋值;
从环境类型数据中提取业务系统对应的生产环境、预生产环境、测试环境、开发环境、办公环境和第三方环境,根据生产环境、预生产环境、测试环境、开发环境、办公环境和第三方环境分别与业务系统对应的环境配置标准的匹配度确定环境类型数据的降低赋值;
从技术评估参数中提取业务系统的漏洞数据、漏洞利用程度数据和技术架构数据,根据漏洞数据、漏洞利用程度数据和技术架构数据业务系统对应的技术配置标准的匹配度确定技术评估参数的降低赋值。
本实施例中人员资源数据、环境类型数据、和技术评估参数均包括多个单元因子。在确定一个风险因子对应的符合度的过程中,可以依据各个单元因子分别对应的符合度的平均值或者中间值等能表征该风险因子整体上与相应标准数据的符合程度的值确定该风险因子的符合度,进而确定相应降低赋值,以保证所确定的降低赋值的准确性。
在一个示例中,采用上述业务系统的风险评估方法评估公有云基础服务、公有云Paas服务和Saas OA服务等业务系统在不同时段不同运行状态下受到某种风险影响所面临的风险级别,可以得到如表4所示的风险评估结果。依据上述评估结果还可以确定上述风险评估参数对应的风险级别以及可能面临的风险名称。表4示出的检测过程中采用了人员、技术、环境、合规性和知名度这些方面的要素,表4中各个业务系统分别得到的风险评估参数均在普通风险的另一侧,分别面临的风险较低,相对安全。在对上述各个业务系统进行风险评估的过程中,从业务的风险后果直接出发,贴近业务进行风险识别,基于后果去评估风险具有较高的准确性,还可以避免冗长的资产识别过程。
表4
应该理解的是,虽然图1的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图1中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图3所示,提供了一种业务系统的风险评估装置,包括:第一识别模块210、第一获取模块230、第一确定模块250、第二获取模块270和第二确定模块290,其中:
第一识别模块210,用于识别业务系统的多个风险因子;
第一获取模块230,用于获取业务系统中风险因子分别对应的标准数据,以及业务系统中各个风险因子当前的实际数据;
第一确定模块250,用于根据实际数据与标准数据的符合度,确定各个风险因子当前对于业务系统风险的降低赋值;
第二获取模块270,用于获取业务系统发生某种风险的概率,以及发生某种风险时对业务系统的影响程度值;
第二确定模块290,用于根据某种风险对应的影响程度值、概率和各个风险因子的降低赋值,确定业务系统当前受到某种风险影响的实际影响程度。
在一个实施例中,上述第二确定模块进一步用于:
根据某种风险对应的影响程度值、概率和各个风险因子的降低赋值计算风险评估参数;
根据风险评估参数确定业务系统当前受到某种风险影响的实际影响程度。
作为一个实施例,上述第二确定模块进一步用于:
检测风险评估参数所处的评估参数范围;
根据风险评估参数所处的评估参数范围,以及预设的风险级别-评估参数范围关系,确定业务系统当前受到某种风险影响所处的风险级别;风险级别-评估参数范围关系为风险级别与评估参数范围之间的对应关系。
作为一个实施例,上述业务系统的风险评估装置还包括:
第一设置模块,用于设置业务系统面临的各级风险;
第二识别模块,用于识别各级风险中的中间级别风险,确定中间级别风险对应的评估参数范围;
第二设置模块,用于根据第一范围长度设置风险级别高于中间级别风险的各级风险分别对应的评估参数范围,根据第二范围长度设置风险级别低于中间级别风险的各级风险分别对应的评估参数范围。
在一个实施例中,上述第一确定模块进一步用于:
在预设的符合度-赋值关系中查找各个风险因子的符合度分别对应的赋值;符合度-赋值关系为符合度与赋值之间的对应关系;
根据查找到的各个赋值确定各个风险因子对应的降低赋值。
在一个实施例中,上述第二获取模块进一步用于:
检测业务系统的当前运行状态;
获取业务系统在第一设定时段发生的故障事件和检修事件;
根据当前运行状态、故障事件和检修事件确定业务系统发生某种风险的概率。
在一个实施例中,上述风险因子包括人员资源数据、环境类型数据、技术评估参数、合规性和知名度中的至少一种。
关于业务系统的风险评估装置的具体限定可以参见上文中对于业务系统的风险评估方法的限定,在此不再赘述。上述业务系统的风险评估装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于评估终端中的处理器中,也可以以软件形式存储于评估终端中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种评估终端,该评估终端内部结构图可以如图4所示。该评估终端包括通过系统总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中,该评估终端的处理器用于提供计算和控制能力。该评估终端的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该评估终端的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种业务系统的风险评估方法。该评估终端的显示屏可以是液晶显示屏或者电子墨水显示屏,该评估终端的输入装置可以是显示屏上覆盖的触摸层,也可以是评估终端外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图4中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的评估终端的限定,具体的评估终端可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种评估终端,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现以下步骤:
识别业务系统的多个风险因子;
获取业务系统中风险因子分别对应的标准数据,以及业务系统中各个风险因子当前的实际数据;
根据实际数据与标准数据的符合度,确定各个风险因子当前对于业务系统风险的降低赋值;
获取业务系统发生某种风险的概率,以及发生某种风险时对业务系统的影响程度值;
根据某种风险对应的影响程度值、概率和各个风险因子的降低赋值,确定业务系统当前受到某种风险影响的实际影响程度。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
根据某种风险对应的影响程度值、概率和各个风险因子的降低赋值计算风险评估参数;根据风险评估参数确定业务系统当前受到某种风险影响的实际影响程度。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
检测风险评估参数所处的评估参数范围;根据风险评估参数所处的评估参数范围,以及预设的风险级别-评估参数范围关系,确定业务系统当前受到某种风险影响所处的风险级别;风险级别-评估参数范围关系为风险级别与评估参数范围之间的对应关系。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
设置业务系统面临的各级风险;识别各级风险中的中间级别风险,确定中间级别风险对应的评估参数范围;根据第一范围长度设置风险级别高于中间级别风险的各级风险分别对应的评估参数范围,根据第二范围长度设置风险级别低于中间级别风险的各级风险分别对应的评估参数范围。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
在预设的符合度-赋值关系中查找各个风险因子的符合度分别对应的赋值;符合度-赋值关系为符合度与赋值之间的对应关系;根据查找到的各个赋值确定各个风险因子对应的降低赋值。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
检测业务系统的当前运行状态;获取业务系统在第一设定时段发生的故障事件和检修事件;根据当前运行状态、故障事件和检修事件确定业务系统发生某种风险的概率。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
识别业务系统的多个风险因子;
获取业务系统中风险因子分别对应的标准数据,以及业务系统中各个风险因子当前的实际数据;
根据实际数据与标准数据的符合度,确定各个风险因子当前对于业务系统风险的降低赋值;
获取业务系统发生某种风险的概率,以及发生某种风险时对业务系统的影响程度值;
根据某种风险对应的影响程度值、概率和各个风险因子的降低赋值,确定业务系统当前受到某种风险影响的实际影响程度。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据某种风险对应的影响程度值、概率和各个风险因子的降低赋值计算风险评估参数;根据风险评估参数确定业务系统当前受到某种风险影响的实际影响程度。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
检测风险评估参数所处的评估参数范围;根据风险评估参数所处的评估参数范围,以及预设的风险级别-评估参数范围关系,确定业务系统当前受到某种风险影响所处的风险级别;风险级别-评估参数范围关系为风险级别与评估参数范围之间的对应关系。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
设置业务系统面临的各级风险;识别各级风险中的中间级别风险,确定中间级别风险对应的评估参数范围;根据第一范围长度设置风险级别高于中间级别风险的各级风险分别对应的评估参数范围,根据第二范围长度设置风险级别低于中间级别风险的各级风险分别对应的评估参数范围。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
在预设的符合度-赋值关系中查找各个风险因子的符合度分别对应的赋值;符合度-赋值关系为符合度与赋值之间的对应关系;根据查找到的各个赋值确定各个风险因子对应的降低赋值。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
检测业务系统的当前运行状态;获取业务系统在第一设定时段发生的故障事件和检修事件;根据当前运行状态、故障事件和检修事件确定业务系统发生某种风险的概率。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
需要说明的是,本申请实施例所涉及的术语“第一\第二\第三”仅仅是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序。应该理解“第一\第二\第三”区分的对象在适当情况下可以互换,以使这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
本申请实施例的术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或模块的过程、方法、装置、产品或设备没有限定于已列出的步骤或模块,而是可选地还包括没有列出的步骤或模块,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或模块。
在本文中提及的“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。