CN110991906A - 云系统信息安全风险评估方法 - Google Patents

云系统信息安全风险评估方法 Download PDF

Info

Publication number
CN110991906A
CN110991906A CN201911238146.9A CN201911238146A CN110991906A CN 110991906 A CN110991906 A CN 110991906A CN 201911238146 A CN201911238146 A CN 201911238146A CN 110991906 A CN110991906 A CN 110991906A
Authority
CN
China
Prior art keywords
value
module
infection
threat
vulnerability
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911238146.9A
Other languages
English (en)
Other versions
CN110991906B (zh
Inventor
刘旭生
穆松鹤
韩维
李志民
杨自兴
何学东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Co Ltd Customer Service Center
Original Assignee
State Grid Co Ltd Customer Service Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Co Ltd Customer Service Center filed Critical State Grid Co Ltd Customer Service Center
Priority to CN201911238146.9A priority Critical patent/CN110991906B/zh
Publication of CN110991906A publication Critical patent/CN110991906A/zh
Application granted granted Critical
Publication of CN110991906B publication Critical patent/CN110991906B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0639Performance analysis of employees; Performance analysis of enterprise or organisation operations
    • G06Q10/06393Score-carding, benchmarking or key performance indicator [KPI] analysis

Landscapes

  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Engineering & Computer Science (AREA)
  • Strategic Management (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Economics (AREA)
  • Development Economics (AREA)
  • Educational Administration (AREA)
  • Operations Research (AREA)
  • Marketing (AREA)
  • Game Theory and Decision Science (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及一种云系统信息安全风险评估方法。包括如下步骤:步骤1:根据云系统虚拟块进行模块划分,对每个模块进行资产、威胁和脆弱性识别,并获取资产的资产价值Qj,威胁的威胁值thi(t)、脆弱性的脆弱性值;步骤2:依据模块间的实际权限关系获取相邻模块i到j的风险传染系数Ci‑j;步骤3:依次计算传染源对系统内每一个模块的总传染系数Cj;步骤4:计算出由传染源对整个系统造成的风险值,公式:
Figure DDA0002305428570000011
本发明考虑到风险传播源对整个系统的传染情况,可以较准确地获取云系统信息安全风险评估结果。

Description

云系统信息安全风险评估方法
技术领域:
本发明属于网络安全领域,具体涉及云系统信息安全风险评估方法。
背景技术:
随着信息产业迅猛发展。信息技术日新月异,“云计算”、“云存储”等迅速兴起和发展,云系统的主要应用形式是通过互联网实现一种可以通过浏览器随时随地按需访问和使用资源的全新的服务模式和业务模式,它在节约使用成本、提高业务灵活性的同时,面临更大的系统信息安全挑战,这是云系统应用急需解决的问题。所以对云系统进行合理的信息安全风险研究具有重要意义。
现有的云系统信息安全风险评估方法中,绝大部分采用传统的信息安全评估方法,即寻找基本评估指标,然后进行赋值后求得最后的风险值,但是这些方法没有考虑到实际应用情况下,系统风险是互相影响的,即某处出现的风险将会在系统中传播对其他地方造成风险。但在现有计算风险传染的方法中,考虑风险传播时主要考虑的是某一天路径的传播,并且没有充分考虑到系统资源间的权限关系等。这些与现实情况下某处的威胁对整个网络的资源均存在一定程度的威胁不符,也与资源间的权限将会影响到资源间的访问难易程度的情况不符。目前对云系统的资产价值识别方法中,主要采取的也是传统的方法,而针对云系统的特点,本专利结合云系统特点,将云系统的计算量等级、存储量等级和服务性等级作为该系统的资产进行资产价值量化。
发明内容:
本发明目的是提供一种基于风险传染的云系统信息安全风险评估方法,可以较准确地获取云系统信息安全风险评估结果,为提供云系统的安全防护水平提供科学指导。技术方案如下:
云系统信息安全风险评估方法,包括如下步骤:
步骤1:根据云系统虚拟块进行模块划分,即每个云服务器或者云调度器看做一个模块;对云信息系统的每个模块进行资产、威胁和脆弱性识别,并获取资产的资产价值Qj,威胁的威胁值thi(t)、脆弱性的脆弱性值;
步骤2:依据模块间的实际权限关系获取相邻模块i对j的权限系数ai-j,再结合模块j的脆弱性得到相邻模块i到j的风险传染系数Ci-j
步骤3:依据云系统模块间的连接关系,已被攻击或威胁的模块定义为传染源,找出传染源到系统内其他每一个模块的所有传染路径,依据相邻模块间的风险传染系数,依次计算传染源对系统内每一个模块的总传染系数Cj
步骤4:依据步骤2计算出来的每个模块的资产价值、威胁值和脆弱性值,以及步骤3里获取的总传染系数,计算出由传染源对整个系统造成的风险值,公式如下:
Figure BDA0002305428550000021
式中,R是整个系统的风险,J是云系统模块总数,Qj是模块j的资产价值,Cj是模块j被传染的系数,Fi是模块i被检测出威胁信息t,威胁利用模块i的漏洞产生安全事件的影响值,计算公式为:
Figure BDA0002305428550000022
其中,thi(t)是模块i上的威胁t的威胁值,Vi(t)和Si(t)分别是威胁t与模块i上的漏洞的相关度和与安全措施的不相关度;w1和w2分别是Vi(t)和Si(t)的权重值,并且权重之和为1;Pi是威胁t导致发生安全事件的可能性大小,Pi=w1Vi(t)+w2Si(t)。
优选方案一,所述步骤1中获取模块资产价值的过程如下:资产价值由固有实体价值和实际服务性价值组成,其中,固有实体价值由存储能力价值和计算能力价值组成:
Figure BDA0002305428550000031
其中,l1,l2和l3分别指云计算价值、云存储价值和服务性价值的价值等级值,将等级划分为:很低、低、中等、高、很高,并且这5个等级依次对应的值为1-5,求值之后进行四舍五入取最终值。
所述步骤1中获取每个模块的脆弱性的脆弱性值的过程如下:根据通用漏洞评分系统获取脆弱性所属等级,然后依据脆弱性等级与脆弱性值之间的对应关系获取所述评估信息系统的脆弱性的脆弱性值。其中,脆弱性分为很低、低、中等、高、很高五个等级,依次对应的脆弱性值为1,2,3,4,5;对应关系如下表1。
表1:脆弱性等级与脆弱性值对应关系
脆弱性等级 脆弱性值
很低 1
2
中等 3
4
很高 5
进一步地,所述步骤2中获取模块i对j的权限ai-j的过程如下:
遍历云系统中的每一个模块,依据模块间的实际权限关系映射为权限ai-j表,权限关系值如下表3所示:
表3:模块间权限值及说明
Figure BDA0002305428550000041
模块i到j的风险传染系数Ci-j计算公式为:
Ci-j=ai-j·vj
式中,Ci-j表示模块i到模块j的风险传染系数,ai-j表示模块i对模块j具有的权限值,vj表示归一化后的模块j的整体脆弱性值。
更进一步,步骤3中方法,获取威胁总传播系数过程如下:
根据云系统的模块之间的连接关系,可以找出传染源到其他每一个模块的所有传染路径,依据模块间的风险传染系数Ci-j,计算出每一条传染路径的总传染系数Cj;假设i是传染源模块,j是传染目标,则j被传染的系数为:
Figure BDA0002305428550000051
式中,Cj是模块j被传染的传染系数,Cl(i,j)是模块i到j的其中一条传染路径的传染系数,l(i,j)是i到j的传染路径,L是i到j的所有传染路径集,其中若模块i到j的有向路径为l(i,j)=l(i,x)l(x,y)…l(s,j),则结合模块间风险传染系数值可得:
Cl(i,j)=Ci-x·Cx-y…Cs-j
优选方案二,步骤1中获取传染源所受威胁的威胁值的过程如下:
通过云系统日志或入侵检测系统(IDS)方法检测追溯包括未授权访问、恶意代码和未授权扫描在内的安全威胁类型;
当检测出威胁类型时,利用入侵检测系统记录的历史统计数据对该类型威胁进行评估,具体方法是使用滚动式预测技术进行计算,公式如下:
Figure BDA0002305428550000052
其中,x(t,m)是指在第m个周期内威胁t引起的安全事件数,与第m、m-1和m+1三个周期内发生的同类安全事件的比例,即
Figure BDA0002305428550000053
而y(t,m)表示威胁t在第m个周期内引起的安全事件数量占该周期内所有类型安全事件数量的比例,即
Figure BDA0002305428550000054
当计算出动态威胁值后,根据下表2将其转换为威胁值。
表2:动态威胁值与威胁值对应表
动态威胁值 威胁等级 威胁值
[0,0.1) 很低 1
[0.1,0.2) 2
[0.2,0.3) 中等 3
[0.3,0.4) 4
[0.4,∞) 很高 5
与现有技术相比,本发明的优点有:考虑到风险传播源对整个系统的传染情况,并且考虑到了传染系数除了与模块脆弱性有关,还与模块间的权限有关,并且对云系统的资产价值计算方式上进行了改进,考虑了云系统主要的实体价值:计算量和存储量价值,和模块的服务性价值,因为即使是两个相同的模块,它们处在不同的系统位置时,所承担的服务性价值不一样。这样使得资产价值衡量更加准确。
附图说明:
图1是本发明的整体评估流程图。
图2是云系统集中式架构下权限关系说明图。
图3是云系统分布式架构下权限关系说明图。
图4是云系统分层式架构下权限关系说明图。
图5是云系统分散式架构下权限关系说明图。
图6是实施例系统模块间有向连接关系图。
具体实施方式:
实施例:
下面将结合实施例对本发明做进一步的说明。
云系统是由云计算、云存储技术作为支撑的操作系统,通过各地的数据中心设置计算机服务器集群,通过网络为用户提供不同的应用;云存储亦然,将用户数据存储在云端,避免使用本地资源存储,达到异地使用和异地存储的目的,云系统里除了云服务器,还需要任务调度器等服务模块;因此,我们可将云系统看成不同的虚拟模块组成的系统;即把每个云服务器或调度器等划归为一个模块;
步骤1:根据云系统虚拟块进行模块划分,即每个云服务器或者云调度器等看做一个模块;对云信息系统的每个模块进行资产、威胁和脆弱性识别,并获取资产的资产价值,威胁的威胁值及脆弱性的脆弱性值;
根据云系统的特点,可知其主要的资产形式为云计算和云存储,并且即使是具有相同规模大小和脆弱性等的模块,在不同的区域所提供的服务类型或者服务程度不一样,从而具有的价值也不一样;所以结合每个模块自身实际的服务性能、云计算和云存储等级三个指标;
步骤1中对云系统的资产价值进行计算,相关计算公式如下:
Figure BDA0002305428550000071
其中,l1,l2和l3分别指云计算价值、云存储价值和服务性价值的价值等级值,将等级划分为:很低、低、中等、高、很高,并且这5个等级依次对应的值为1-5,求值之后进行四舍五入取最终值;权重和价值等级均可以通过专家打分后,打分范围为(1,5),然后再用德尔菲方法进行最后打分综合值的获取;
步骤1中获取每个模块的脆弱性的脆弱性值的过程如下:根据通用漏洞评分系统获取脆弱性所属等级,然后依据脆弱性等级与脆弱性值之间的对应关系获取所述评估信息系统的脆弱性的脆弱性值;其中,脆弱性分为很低、低、中等、高、很高五个等级,依次对应的脆弱性值为1,2,3,4,5;对应关系如上表2所示;
步骤1中获取威胁的威胁值的过程如下:
一般而言,云系统面临的安全威胁是指能够对云系统以及资产造成威胁的实体或者现象,包括自然灾害或者人为破坏等;常见的威胁有:未授权访问,恶意代码和未授权扫描等;这些均可通过云系统日志、入侵检测系统(IDS)等方法检测追溯;我们也可以根据系统检测数据对各类威胁进行威胁值评估;当检测出威胁类型时,利用入侵检测系统记录的历史统计数据对该类型威胁进行评估,具体方法是使用滚动式预测技术进行计算,公式如下:
Figure BDA0002305428550000081
其中,x(t,m)是指在第m个周期内威胁t引起的安全事件数,与第m、m-1和m+1三个周期内发生的同类安全事件的比例,即
Figure BDA0002305428550000082
而y(t,m)表示威胁t在第m个周期内引起的安全事件数量占该周期内所有类型安全事件数量的比例,即
Figure BDA0002305428550000083
当计算出动态威胁值后,根据上述表3将其转换为威胁值;
步骤2:依据模块间的实际权限关系获取相邻模块i对j的权限系数ai-j,再结合模块j的脆弱性得到相邻模块i到j的风险传染系数Ci-j;风险传染系数获取过程如下:
将云系统看成不同的虚拟模块组成的系统,模块与模块之间存在不同等级的权限关系;
如图2集中式的架构里,云调度器对其所管辖的云服务器具有可全权调度管理权限,可完全控制云服务器模块的所有资源;反之,被管辖的云服务器对其云调度器仅有信息告知权限,即仅具有故障告知等权限;
在图3分布式调度关系里,云调度器1和2之间具有平行调度权限,可互相控制对方模块的部分系统和用户资源;本地云调度器对邻域云调度器管辖的云服务器具有间接调度权限,可控制邻域云调度器模块的少量资源;
在图4的层次调度关系架构里,顶层云调度器对第二层调度器和第二层调度器对第三次云服务器仍然是具有类似于图2中的可全权调度管理权限;
在图5的扩散式架构里,系统仅由云服务器构成,云服务器之间具有任务转载或接受权限,模块之间不能进行互相管理或资源控制;当某个模块被攻击并发生安全事件时,便成为了传染源,该传染源处发生的安全事件将会对该系统其它所有模块都存在不同程度的风险传染;
依据信息安全防御体系里的“木桶原理”可知,当某一节点被攻击成为传染源时,风险传播选择与该节点所连节点的脆弱性有关,即脆弱性越强被传染的几率越大;而本发明考虑到风险传播系数除了与所连接模块的脆弱性有关,模块间的权限关系也是重要因素之一,因此,结合步骤1中获取的模块的脆弱性值,可求得模块间的风险传染系数为:
Ci-j=ai-j·vj
式中,Ci-j表示模块i到模块j的风险传染系数,ai-j表示模块i对模块j具有的权限值,vj表示模块j的归一化后的整体脆弱性值;其中,模块间i对j的实际权限值的获取方法根据上述表1所示获取;
步骤3:依据云系统模块间的连接关系,找出传染源到系统内其他每一个模块的所有传染路径,依据相邻模块间的风险传染系数,依次计算传染源对系统内每一个模块的总传染系数Cj;过程如下:
传染源到网络中其余每一模块的所有风险传染路径,计算传染源对全网每一个模块的传染系数的过程如下:系统的模块之间是有向连接关系,所以可以根据网络连接关系找出传染源到其他每一个模块的所有传染路径,依据模块间的风险传染系数Ci-j,计算出每一条传染路径的总传染系数;从而得到每个模块可能被传染的系数大小;假设i是传染源,j是传染目标,则传染系数为:
Figure BDA0002305428550000101
式中,Cj是模块j被传染的系数,Cl(i,j)是模块传染源i到其余任一模块j的其中一条传染路径的传染系数,l(i,j)是i到j的传染路径,并且当某模块已被传染时,不再重复传染,即传染路径是单调的;L是i到j的所有传染路径集;若i到j的其中一条有向路径为l(i,j)=l(i,x)l(x,y)…l(s,j),则Cl(i,j)=Ci-x·Cx-y…Cs-j,即该路径的整体传染系数值为该路径上模块间的传染系数乘积值;
如图6所示是依据系统的权限关系转化的有向连接关系图,图中i、1、2、3、4、j是系统模块,模块i受到威胁可能发生安全事件,需要求出i处检测到威胁信息可能发生安全事件的情况下,对全网其余每一个模块造成的风险值;此处以模块j为例求解;
首先找出模块i到j的所有可达路径L,如图所示:
L={l(i,j)1=l(i,1)l(1,2)l(2,j),l(i,j)2=l(i,1)l(1,3)l(3,j),
l(i,j)3=l(i,1)l(1,3)l(3,4)l(4,j),l(i,j)4=l(i,4)l(4,j)},
由此可知每条路径的传染系数为:
Figure BDA0002305428550000111
而由步骤2可知Ci-j=ai-j·vj是模块间的传染系数,vj是模块j的脆弱性值;进一步得到:
Figure BDA0002305428550000112
综上,可知模块j的被传染系数值为:
Figure BDA0002305428550000113
步骤4:依据步骤2计算出来的每个模块的资产价值、威胁值和脆弱性值,以及步骤3里获取的总传染系数,计算出由传染源对整个系统造成的风险值;计算公式如下所示:
Figure BDA0002305428550000114
Figure BDA0002305428550000115
获取相关度值:
Figure BDA0002305428550000116
Figure BDA0002305428550000121
式中,R是整个系统的风险,J是云系统模块总数,Qj是模块j的资产价值,Cj是模块j被传染的系数,Fi是模块i被检测出威胁信息t,威胁利用模块i的漏洞产生安全事件的影响值,计算公式为:
Figure BDA0002305428550000122
其中,thi(t)是模块i上的威胁t的威胁值,Vi(t)和Si(t)分别是威胁t与模块i上的漏洞的相关度和已采取的安全措施的不相关度,安全配置相关性则表现为对相关攻击的抑制或过滤防护作用,当威胁与采取的安全措施不匹配时越容易发生安全事件,即威胁与安全措施不相关度值Si(t)越大发生安全事件的可能性越大;Vi(t)和Si(t)取值范围均为(0,1),获取相关度值由上述公式可得;w1和w2分别是归一化之后的Vi(t)和Si(t)的权重值;Pi是威胁t导致发生安全事件的可能性大小,即:
Pi=w1Vi(t)+w2Si(t);
如图6所示,可知模块i上检测到T个威胁,依据上述法分别获取T个威胁与系统检测出来的漏洞相关度和与已采取的安全措施的不相关度值,再由步骤1里获取的威胁值,可算出Fi;再根据步骤1中获取的资产价值Qj和步骤3中获取的传染系数Cj,即可求得最后的风险值。

Claims (6)

1.云系统信息安全风险评估方法,其特征在于,包括如下步骤:
步骤1:根据云系统虚拟块进行模块划分,即每个云服务器或者云调度器看做一个模块;对云信息系统的每个模块进行资产、威胁和脆弱性识别,并获取资产的资产价值Qj,威胁的威胁值thi(t)、脆弱性的脆弱性值;
步骤2:依据模块间的实际权限关系获取相邻模块i对j的权限系数ai-j,再结合模块j的脆弱性得到相邻模块i到j的风险传染系数Ci-j
步骤3:依据云系统模块间的连接关系,已被攻击或威胁的模块定义为传染源,找出传染源到系统内其他每一个模块的所有传染路径,依据相邻模块间的风险传染系数,依次计算传染源对系统内每一个模块的总传染系数Cj
步骤4:依据步骤2计算出来的每个模块的资产价值、威胁值和脆弱性值,以及步骤3里获取的总传染系数,计算出由传染源对整个系统造成的风险值,公式如下:
Figure FDA0002305428540000011
式中,R是整个系统的风险,J是云系统模块总数,Qj是模块j的资产价值,Cj是模块j被传染的系数,Fi是模块i被检测出威胁信息t,威胁利用模块i的漏洞产生安全事件的影响值,计算公式为:
Figure FDA0002305428540000012
其中,thi(t)是模块i上的威胁t的威胁值,Vi(t)和Si(t)分别是威胁t与模块i上的漏洞的相关度和与安全措施的不相关度;w1和w2分别是Vi(t)和Si(t)的权重值,并且权重之和为1;Pi是威胁t导致发生安全事件的可能性大小,Pi=w1Vi(t)+w2Si(t)。
2.根据权利要求1所述云系统信息安全风险评估方法,其特征在于,步骤1中获取模块资产价值的过程如下:资产价值由固有实体价值和实际服务性价值组成,其中,固有实体价值由存储能力价值和计算能力价值组成:
Figure FDA0002305428540000021
其中,l1,l2和l3分别指云计算价值、云存储价值和服务性价值的价值等级值,将等级划分为:很低、低、中等、高、很高,并且这5个等级依次对应的值为1-5,求值之后进行四舍五入取最终值。
3.根据权利要求1所述云系统信息安全风险评估方法,其特征在于,步骤1中获取每个模块的脆弱性的脆弱性值的过程如下:根据通用漏洞评分系统获取脆弱性所属等级,然后依据脆弱性等级与脆弱性值之间的对应关系获取所述评估信息系统的脆弱性的脆弱性值;其中,脆弱性分为很低、低、中等、高、很高五个等级,依次对应的脆弱性值为1,2,3,4,5;对应关系如下表1。
表1:脆弱性等级与脆弱性值对应关系
脆弱性等级 脆弱性值 很低 1 2 中等 3 4 很高 5
4.根据权利要求1所述云系统信息安全风险评估方法,其特征在于,步骤1中获取传染源所受威胁的威胁值的过程如下:
通过云系统日志或入侵检测系统(IDS)方法检测追溯包括未授权访问、恶意代码和未授权扫描在内的安全威胁类型;
当检测出威胁类型时,利用入侵检测系统记录的历史统计数据对该类型威胁进行评估,具体方法是使用滚动式预测技术进行计算,公式如下:
Figure FDA0002305428540000031
其中,x(t,m)是指在第m个周期内威胁t引起的安全事件数,与第m、m-1和m+1三个周期内发生的同类安全事件的比例,即
Figure FDA0002305428540000032
而y(t,m)表示威胁t在第m个周期内引起的安全事件数量占该周期内所有类型安全事件数量的比例,即
Figure FDA0002305428540000033
当计算出动态威胁值后,根据下表2将其转换为威胁值。
表2:动态威胁值与威胁值对应表
动态威胁值 威胁等级 威胁值 [0,0.1) 很低 1 [0.1,0.2) 2 [0.2,0.3) 中等 3 [0.3,0.4) 4 [0.4,∞) 很高 5
5.根据权利要求3所述的云系统信息安全风险评估方法,其特征在于,步骤2中获取模块i对j的权限ai-j的过程如下:
遍历云系统中的每一个模块,依据模块间的实际权限关系映射为权限ai-j表,权限关系值如下表3所示:
表3:模块间权限值及说明
Figure FDA0002305428540000041
模块i到j的风险传染系数Ci-j计算公式为:
Ci-j=ai-j·vj
式中,Ci-j表示模块i到模块j的风险传染系数,ai-j表示模块i对模块j具有的权限值,vj表示归一化后的模块j的整体脆弱性值。
6.根据权利要求5所述的云系统信息安全风险评估方法,其特征在于,步骤3中方法,获取威胁总传播系数过程如下:
根据云系统的模块之间的连接关系,可以找出传染源到其他每一个模块的所有传染路径,依据模块间的风险传染系数Ci-j,计算出每一条传染路径的总传染系数Cj;假设i是传染源模块,j是传染目标,则j被传染的系数为:
Figure FDA0002305428540000051
式中,Cj是模块j被传染的传染系数,Cl(i,j)是模块i到j的其中一条传染路径的传染系数,l(i,j)是i到j的传染路径,L是i到j的所有传染路径集,其中若模块i到j的有向路径为l(i,j)=l(i,x)l(x,y)…l(s,j),则结合模块间风险传染系数值可得:
Cl(i,j)=Ci-x·Cx-y…Cs-j
CN201911238146.9A 2019-12-06 2019-12-06 云系统信息安全风险评估方法 Active CN110991906B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911238146.9A CN110991906B (zh) 2019-12-06 2019-12-06 云系统信息安全风险评估方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911238146.9A CN110991906B (zh) 2019-12-06 2019-12-06 云系统信息安全风险评估方法

Publications (2)

Publication Number Publication Date
CN110991906A true CN110991906A (zh) 2020-04-10
CN110991906B CN110991906B (zh) 2023-11-17

Family

ID=70090895

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911238146.9A Active CN110991906B (zh) 2019-12-06 2019-12-06 云系统信息安全风险评估方法

Country Status (1)

Country Link
CN (1) CN110991906B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113347200A (zh) * 2021-06-25 2021-09-03 东莞市汇学汇玩教育科技有限公司 基于互联网行为大数据的信息提示方法及云计算ai系统

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101436967A (zh) * 2008-12-23 2009-05-20 北京邮电大学 一种网络安全态势评估方法及其系统
US7552480B1 (en) * 2002-04-23 2009-06-23 Citibank, N.A. Method and system of assessing risk using a one-dimensional risk assessment model
US8201257B1 (en) * 2004-03-31 2012-06-12 Mcafee, Inc. System and method of managing network security risks
US8984643B1 (en) * 2014-02-14 2015-03-17 Risk I/O, Inc. Ordered computer vulnerability remediation reporting
KR20160004791A (ko) * 2014-07-04 2016-01-13 (주)비트러스트 정보자산의 위험평가시스템 및 그 방법
CN107204876A (zh) * 2017-05-22 2017-09-26 成都网络空间安全技术有限公司 一种网络安全风险评估方法
CN107819771A (zh) * 2017-11-16 2018-03-20 国网湖南省电力有限公司 一种基于资产依赖关系的信息安全风险评估方法及系统
CN108494787A (zh) * 2018-03-29 2018-09-04 北京理工大学 一种基于资产关联图的网络风险评估方法
CN109146240A (zh) * 2018-07-03 2019-01-04 北京航空航天大学 一种面向智能网联车辆的信息安全风险评估方法及系统
CN109636224A (zh) * 2018-12-19 2019-04-16 广东工业大学 一种智能变电站继电保护脆弱性评估方法
CN110472419A (zh) * 2019-07-18 2019-11-19 北京理工大学 一种基于损失效应的网络安全风险评估方法

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7552480B1 (en) * 2002-04-23 2009-06-23 Citibank, N.A. Method and system of assessing risk using a one-dimensional risk assessment model
US8201257B1 (en) * 2004-03-31 2012-06-12 Mcafee, Inc. System and method of managing network security risks
CN101436967A (zh) * 2008-12-23 2009-05-20 北京邮电大学 一种网络安全态势评估方法及其系统
US8984643B1 (en) * 2014-02-14 2015-03-17 Risk I/O, Inc. Ordered computer vulnerability remediation reporting
KR20160004791A (ko) * 2014-07-04 2016-01-13 (주)비트러스트 정보자산의 위험평가시스템 및 그 방법
CN107204876A (zh) * 2017-05-22 2017-09-26 成都网络空间安全技术有限公司 一种网络安全风险评估方法
CN107819771A (zh) * 2017-11-16 2018-03-20 国网湖南省电力有限公司 一种基于资产依赖关系的信息安全风险评估方法及系统
CN108494787A (zh) * 2018-03-29 2018-09-04 北京理工大学 一种基于资产关联图的网络风险评估方法
CN109146240A (zh) * 2018-07-03 2019-01-04 北京航空航天大学 一种面向智能网联车辆的信息安全风险评估方法及系统
CN109636224A (zh) * 2018-12-19 2019-04-16 广东工业大学 一种智能变电站继电保护脆弱性评估方法
CN110472419A (zh) * 2019-07-18 2019-11-19 北京理工大学 一种基于损失效应的网络安全风险评估方法

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
M. UGUR AKSU等: "A quantitative CVSS-based cyber security risk assessment methodology for IT systems" *
M. UGUR AKSU等: "A quantitative CVSS-based cyber security risk assessment methodology for IT systems", 《2017 INTERNATIONAL CARNAHAN CONFERENCE ON SECURITY TECHNOLOGY (ICCST)》 *
刘守澜;卿昱;: "信息系统安全风险评估方法的研究", no. 02 *
梁智强: "基于电力系统的信息安全风险评估机制研究基于电力系统的信息安全风险评估机制研究", no. 4 *
梁智强等: "基于电力系统的信息安全风险评估机制研究", 《信息网络安全》, no. 4 *
陈亮;: "信息系统安全风险评估模型研究", 中国人民公安大学学报(自然科学版), no. 04 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113347200A (zh) * 2021-06-25 2021-09-03 东莞市汇学汇玩教育科技有限公司 基于互联网行为大数据的信息提示方法及云计算ai系统

Also Published As

Publication number Publication date
CN110991906B (zh) 2023-11-17

Similar Documents

Publication Publication Date Title
CN110620759B (zh) 基于多维关联的网络安全事件危害指数评估方法及其系统
WO2019100967A1 (zh) 用于识别异常交易社团的方法和装置
CN105516130B (zh) 一种数据处理方法和装置
CN107454105B (zh) 一种基于ahp与灰色关联的多维网络安全评估方法
US7634482B2 (en) System and method for data integration using multi-dimensional, associative unique identifiers
CN101150432A (zh) 一种信息系统风险评估方法及系统
KR20130113653A (ko) 대용량 데이터의 클러스터 결과 분석 시스템 및 방법
CN108924120B (zh) 一种多维状态感知的动态访问控制方法
Gulyás et al. An efficient and robust social network de-anonymization attack
Raza et al. DEWMA control charts for censored data using R ayleigh lifetimes
CN113411303A (zh) 基于层次聚类和层次分析法的评估指标体系构建方法
CN111934954A (zh) 宽带的检测方法、装置、电子设备及存储介质
CN115987544A (zh) 一种基于威胁情报的网络安全威胁预测方法及系统
CN110991906A (zh) 云系统信息安全风险评估方法
CN113778806A (zh) 一种安全告警事件的处理方法、装置、设备和存储介质
CN114065220B (zh) 一种基于分布式系统的双重层次分析态势评估方法
CN116405242A (zh) 一种面向数据采集与监控系统的安全状态识别方法
Liu et al. Parallelizing uncertain skyline computation against n‐of‐N data streaming model
CN116521511A (zh) 风险代码事前检测方法、装置、设备及存储介质
Simms et al. An information processing model of a police organization
CN113191674A (zh) 一种安全风险评估方法、装置、存储介质及电子设备
CN113256422A (zh) 分仓账户识别方法、装置、计算机设备和存储介质
CN112039893A (zh) 私密交易处理方法、装置、电子设备及可读存储介质
Yin et al. A network security situation assessment model based on BP neural network optimized by DS evidence theory
Gao et al. A scalable network event detection framework for darknet traffic

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant