CN112769747B - 一种5g数据安全风险评价方法及评价系统 - Google Patents
一种5g数据安全风险评价方法及评价系统 Download PDFInfo
- Publication number
- CN112769747B CN112769747B CN202011261243.2A CN202011261243A CN112769747B CN 112769747 B CN112769747 B CN 112769747B CN 202011261243 A CN202011261243 A CN 202011261243A CN 112769747 B CN112769747 B CN 112769747B
- Authority
- CN
- China
- Prior art keywords
- evaluation
- data
- service
- security
- risk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了5G数据安全风险评价技术领域的一种5G数据安全风险评价方法及评价系统,5G数据安全风险评价方法的具体步骤为:建立5G数据安全实施框架,实施框架贯穿组织面临5G安全监管;从环境识别、业务威胁识别、数据威胁识别、数据管理梳理以及数据风险评价进行5G数据安全风险评价闭环流程建立;经过完整风险评估流程后,结合评价过程,选择评估模型,进行定量风险评价,同时实现5G安全漏洞库动态更新;根据5G复杂业务模式以及数据安全、业务安全威胁,设计出完成的数据安全架构,同时创新性梳理出七大5G数据安全评估要求,进而创新性地设计了增强5G数据安全评价流程。
Description
技术领域
本发明涉及5G数据安全风险评价技术领域,具体为一种5G数据安全风险评价方法及评价系统。
背景技术
以5G网络和业务作为产业转型升级核心引擎,实现垂直行业产业转型和动能升级,实现数字经济高质量发展,成为国家重要经济和技术政策之一。然而,5G网络和业务将引入非传统安全威胁和管理风险。特别地,集中化的网络控制、通信网络的可编程化、NFV的公共开放等情况导致数据安全管理失控成为5G网络及应用推广发展重要隐患之一。风险评价是经典风险管理手段,指在风险识别和预估的基础上,综合考量风险发生的概率、损失幅度以及其他因素。针对5G数据安全风险,设计风险评价方法和风险评价系统变得十分必要。
2019年10月9日,在欧盟委员会和欧盟网络安全机构的支持下,欧盟成员国发布了名为《report on the EU coordinated risk assessment on cybersecurity in FifthGeneration(5G)networks》(5G网络安全风险评估报告),报告基于所有欧盟成员国网络安全风险评估的结果形成,识别了主要的威胁和威胁单元、最敏感的资产、主要的漏洞。文献[1](林美玉,卢丹.《欧盟5G安全风险评估报告》.信息通信技术与政策,2(2020),50-52),详细论述了5G安全威胁类别,分析欧盟对5G安全的主要观点和未来方向。文献[2(刘婧璇,韩佳琳.《5G网络设备安全评测体系分析》.信息通信技术与政策,2(2020),53-56),介绍通用准则(Common Criteria,CC)和网络设备安全保证计划(Network Equipment SecurityAssurance Scheme,NESAS),并对5G网络设备安全评测工作提出了建议。
目前,从数据保护角度出发,针对5G网络与应用面临数据安全风险提出评价架构、评价模型、评价流程和定量评价方法并设计出5G数据安全评价系统仍是空白。本发明提出了包含基础实现层和评价建模层的完整5G数据安全风险评价架构;提出了创新的威胁识别方法和脆弱性识别方法;结合5G典型业务模式,提出以新鲜度为核心的动态数据安全评价流程;提出了多维度定量评价方法。同时,设计了承载评价方法的5G数据安全风险评价系统,以支持5G数据安全风险评价方法落地实现和闭环管理,为此,我们提出一种5G数据安全风险评价方法及评价系统。
发明内容
本发明的目的在于提供一种5G数据安全风险评价方法及评价系统,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:一种5G数据安全风险评价方法及评价系统,5G数据安全风险评价方法的具体步骤为:
步骤一:建立5G数据安全实施框架,实施框架贯穿组织面临5G安全监管,服务于5G垂直行业,同时,实现安全策略和安全遵从南北向体系,重点完成管理合规、技术防护、安全计划、安全建设以及安全运营;
步骤二:在实施框架基础上,进行5G数据安全评价里程点解析,包含数据法律风险、数据市场地位、数据合规管理、数据技术防护、数据共享合作、用户隐私保护和行业服务;
步骤三:从环境识别、业务威胁识别、数据威胁识别、数据管理梳理以及数据风险评价进行5G数据安全风险评价闭环流程建立;
步骤四:设计关键技术框架,即基础实现层和评估建模层;基础实现层以评估架构和风险库作为基础工作;建模层引入ISRA(Information Security Risk Assessment,信息系统风险评估)、指标评估、信任评估、合规评估4类5大模型;
步骤五:设计出两大创新的数据威胁识别矩阵和业务威胁识别矩阵;
步骤六:经过完整风险评估流程后,结合评价过程,选择风险评估模型,进行定量风险评价,同时实现5G安全漏洞库动态更新;
步骤七:基于前述评价方法,解析5G数据安全评价信息化流程;
步骤八:研发5G数据安全评价系统,实现评价过程数据留存及历史数据查阅,评价任务管理和评价过程审计。
优选的,在基础实现层,首先要求制定5G安全保护计划,要求包含但不限于明确5G业务安全管理目标和原则,明确业务场景,5G安全策略和操作规程;进一步地,逐项识别评估业务清单中业务的活动以及实现方式,并持续维护共享数据保护清单;进一步地,建立5G数据安全保障模型,针对5G数据安全面临的三类风险来源,从数据主体、数据活动、安全保障和风险接受程度4个维度,建立数据安全模型,以便于全面分析数据安全需求和安全保障机制,进而构建数据安全保障框架;进一步地,进行5G应用业务梳理要把握如下要素:业务代码、一级流程、二级流程、系统流程、角色、任务、业务形式、业务规则、业务峰值、日均任务量、业务异常、业务异常处置、业务场景和业务传递;进一步地,优化数据安全流程;按照数据各主体的安全责任,针对数据共享全过程的安全需求,对数据汇集、交换、使用和销毁各阶段采用相应的安全机制进行按需实践,建立多方参与的数据安全共享典型流程;进一步地,设计出通用风险评估模型,即应用场景:5G业务建设过程中上线安全检查中,业务开发或安全运维方或局方进行安全评估;5G业务运营过程中,进行定期常态化安全评估;5G业务开展通信网络防护或等级保护或CII(Critical Information Infrastructure,关键信息基础设施)安全保护中,涉及5G业务风险评估;利用信息系统风险评估是希望通过评估目标信息遇到的安全风险,在综合考虑成本和效益的前提下对风险进行处理,最终将目标信息的风险降低到可容忍或可接受的风险水平,其主要步骤包括环境威胁识别,业务威胁识别,业务威胁识别,数据管理识别,数据资产识别,脆弱性识别,最后形成统一风险评价。
优选的,风险评估模型的风险计算方式为:
R=f(L,I)=f(L(T,V,M),I)=f(L((Te,Td,Tb),(Vh,Ve,Vi),M),I(F,A))
其中,Te表示环境威胁因子,Td表示数据威胁因子,Tb表示业务威胁因子,Vh表示人员脆弱性,Ve表示环境脆弱性,Vi表示设施脆弱性,T表示环境脆弱程度,V表示设施脆弱程度,M表示数据安全管理可靠程度,F表示安全威胁和脆弱性发生概率,A表示数据资产价值,L表示业务环境安全综合值,I表示数据资产安全值。
优选的,设计出风险指标模型,即应用场景:针对组合业务或全新技术,以及现有评估项低覆盖新业务,通过业务专家、网络专家、安全专家、战略规划部、法律事务部同事组合成评估团队,利用风险指标法,进行5G新业务评估项设计;建模技术:结合安全模型以及安全流程,从安全策略匹配指标、平台安全指标、5G业务管理指标、数据隐私安全指标、数据安全泄露指标利用风险指标模型将5G业务指标分为6个维度,确定指标的相对重要性。
优选的,风险指标(绩效评估法)模型的计算公式为:
Rc=(αi-n)/(n-1)
其中,Rc为风险绩效可靠性,ai已明列数据安全风险项,n为数据安全风险总项。
优选的,设计出风险信任评估模型,针对多参与者、可信任级别参与者,动态合作模式场景,如大型科技园区5G应用,较多工业厂商、应用厂商、业务厂商、科技厂商,智能交通、智能生活、智能社区多融合场景,5G业务与应用种类多,接入点多,业务应用随着各企业及企业业务变化而变化,引入动态风险信任评估,可以实现有效行业和跨行业、单园区及综合园区5G+应用的信任评估;建模技术:以客户现场部分合作单位为可信任单位,针对这一情况,建议通过风险信任管理模型进行5G业务策略调整;通过信任度的评估和考核能精细化掌握服务合作伙伴的信任状态,对信任度不高的5G业务请求者不予开放服务;通过引入多元的评价对象来灵活控制评估的权重值,使得最终的信任度评价更加科学和灵活。
优选的,设计出5G业务安全合规评估模型,根据国家和国际标准进行5G业务安全合规评估矩阵建立,并针对业务活动进行合规评估,针对监管单位、集团公司专项检查,以及重大活动保障期间,以及安全能力对外输出,可根据某项权威安全要求进行针对性评估矩阵梳理,得出匹配度,即合规项占比率;结合上文提供通信网和互联网5G安全技术标准合规评估以及欧盟5G安全评估工具箱合规评估,后续在项目执行中,承诺灵活为局方提供合规评估模型。
优选的,通信网和互联网5G安全技术标准合规评估;5G业务明确自己的业务清单,针对关键业务清单,来做针对性的业务安全防护;按照业务访问、业务传输、业务存储、业务处理各个维度的安全提出详细的技术要求,并且针对出境类部分做了技术要求;欧盟5G安全评估工具箱合规评估;站在客户现场立场,体系化和高标准化的安全能力输出将提升行业客户市场占有率,提升客户现场的品牌影响力。
与现有技术相比,本发明的有益效果是:
1.本发明根据5G复杂业务模式以及数据安全、业务安全威胁,设计出完成的数据安全架构,同时创新性梳理出七大5G数据安全评估要求,进而创新性地设计了增强5G数据安全评价流程;
2.本发明根据5G网络及应用实现开展环境,引入基础实现层和评估建模层技术框架,引入风险评估、指标评估、信任评估、合规评估4类模型,可以根据客户现场5G业务形态,进行模型选用,并设计出高可用性的5G数据安全漏洞库;
3.本发明研发出支持线下无痕测评,过程线上处理,评价业务化操作的5G数据安全风险评价系统以实现5G数据安全评价动态管理。
附图说明
图1为本发明5G数据安全实施框架示意图;
图2为本发明5G数据安全评估要点示意图;
图3为本发明5G数据安全评估流程示意图;
图4为本发明5G数据安全模型示意图;
图5为本发明数据威胁梳理示意表;
图6为本发明业务威胁梳理示意表;
图7为本发明业务威胁梳理示意框图;
图8为本发明5G数据安全漏洞库示意表;
图9为本发明5G数据评价系统功能流程示意图;
图10为本发明5G数据评价系统SAAS模式部署示意图;
图11为本发明5G数据评价系统本地模式部署示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1-11,本发明提供一种技术方案:一种5G数据安全风险评价方法及评价系统,5G数据安全风险评价方法的具体步骤为:
步骤一:建立5G数据安全实施框架,实施框架贯穿组织面临5G安全监管,如法律法规、专项行动等;服务于5G垂直行业,如医疗行业、教育行业等;同时,实现安全策略和安全遵从南北向体系,重点完成管理合规、技术防护、安全计划、安全建设以及安全运营;
步骤二:在实施框架基础上,进行5G数据安全评价里程点解析,包含数据法律风险、数据市场地位、数据合规管理、数据技术防护、数据共享合作、用户隐私保护和行业服务;
步骤三:从环境识别、业务威胁识别、数据威胁识别、数据管理梳理以及数据风险评价进行5G数据安全风险评价闭环流程建立;
步骤四:设计关键技术框架,即基础实现层和评估建模层;基础实现层以评估架构和风险库作为基础工作;建模层引入ISRA(Information Security Risk Assessment,信息系统风险评估)、指标评估、信任评估、合规评估4类5大模型;
步骤五:设计出两大创新的数据威胁识别矩阵和业务威胁识别矩阵;
步骤六:经过完整风险评估流程后,结合评价过程,选择风险评估模型,进行定量风险评价,同时实现5G安全漏洞库动态更新;
步骤七:基于前述评价方法,解析5G数据安全评价信息化流程;
步骤八:研发5G数据安全评价系统,实现评价过程数据留存及历史数据查阅,评价任务管理和评价过程审计。
根据图1完成5G安全实施框架,重点完成安全策略,即企业规划、业务战略、安全政策等;管理合规,即安全制度、事件管理、应急响应等;技术防护,即资产管理、资产价值、数据审计等;以及法律法规监管(含产业链上下游)。
结合上一步,参考图2完成组织5G应用主要风险评估点梳理,支持三级指标梳理。
如图3,完成整个覆盖多威胁因子梳理和数据安全管理梳理。数据安全管理梳理重点梳理组织、人员、操作、防护,同时,进行数据资产识别以及平台脆弱性、设施脆弱性、人员脆弱性识别。
如图4,建立5G数据安全主体模型,包含数据主体、数据活动、安全保障和风险可接受程度。
如图5和图6,能够利用多种方法进行业务威胁和数据威胁识别。
如图7,可以一次风险评价模型选择以及计算方法甄选,把识别好的模型进行量化,并带入计算公式完成量化评价。
如图8,进行完整漏洞库台账设计。
开展某次5G数据安全评价时,如图9,进行系统登录和信息录入,同步开展针对性运作。
如图10和图11,进行系统管理可对用户管理以及权限进行管理,支持使用用户名称进行查询,创建、编辑账号,根据账号对应的角色确定账号权限,通过角色进行分组,通过配置角色权限,然后对相应角色的账号生效。
本实施例要求评价方法与评价系统配套使用,评价方法所使用的算法、公式,利用系统管理员配置的策略写入共享库,可支持形式:规范要求、评测矩阵和评测问卷,其他用户配置的策略亦支持写入本地私有库。
进一步地,在基础实现层,首先要求制定5G安全保护计划,要求包含但不限于明确5G业务安全管理目标和原则,明确业务场景,5G安全策略和操作规程等;进一步地,逐项识别评估业务清单中业务的活动以及实现方式,并持续维护共享数据保护清单;进一步地,建立5G数据安全保障模型,针对5G数据安全面临的三类风险来源,从数据主体、数据活动、安全保障和风险接受程度4个维度,建立数据安全模型,以便于全面分析数据安全需求和安全保障机制,进而构建数据安全保障框架;进一步地,进行5G应用业务梳理要把握如下要素:业务代码、一级流程、二级流程、系统流程、角色、任务、业务形式、业务规则、业务峰值、日均任务量、业务异常、业务异常处置、业务场景和业务传递等;进一步地,优化数据安全流程;按照数据各主体的安全责任,针对数据共享全过程的安全需求,对数据汇集、交换、使用和销毁各阶段采用相应的安全机制进行按需实践,建立多方参与的数据安全共享典型流程;进一步地,设计出通用风险评估模型,即应用场景:5G业务建设过程中上线安全检查中,业务开发或安全运维方或局方进行安全评估;5G业务运营过程中,进行定期常态化安全评估;5G业务开展通信网络防护或等级保护或CII(Critical Information Infrastructure,关键信息基础设施)安全保护中,涉及5G业务风险评估;利用信息系统风险评估是希望通过评估目标信息遇到的安全风险,在综合考虑成本和效益的前提下对风险进行处理,最终将目标信息的风险降低到可容忍或可接受的风险水平,其主要步骤包括环境威胁识别,业务威胁识别,业务威胁识别,数据管理识别,数据资产识别,脆弱性识别,最后形成统一风险评价。
进一步地,风险评估模型的风险计算方式为:
R=f(L,I)=f(L(T,V,M),I)=f(L((Te,Td,Tb),(Vh,Ve,Vi),M),I(F,A))
其中,Te表示环境威胁因子,Td表示数据威胁因子,Tb表示业务威胁因子,Vh表示人员脆弱性,Ve表示环境脆弱性,Vi表示设施脆弱性,T表示环境脆弱程度,V表示设施脆弱程度,M表示数据安全管理可靠程度,F表示安全威胁和脆弱性发生概率,A表示数据资产价值,L表示业务环境安全综合值,I表示数据资产安全值;
进一步地,设计出风险指标模型,即应用场景:针对组合业务或全新技术,以及现有评估项低覆盖新业务,通过业务专家、网络专家、安全专家、战略规划部、法律事务部同事组合成评估团队,利用风险指标法,进行5G新业务评估项设计;建模技术:结合安全模型以及安全流程,从安全策略匹配指标、平台安全指标、5G业务管理指标、数据隐私安全指标、数据安全泄露指标利用风险指标模型将5G业务指标分为6个维度,确定指标的相对重要性。
进一步地,风险指标(绩效评估法)模型的计算公式为:
Rc=(αi-n)/(n-1)
其中,Rc为风险绩效可靠性,ai已明列数据安全风险项,n为数据安全风险总项。
进一步地,设计出风险信任评估模型,针对多参与者、可信任级别参与者,动态合作模式场景,如大型科技园区5G应用,较多工业厂商、应用厂商、业务厂商、科技厂商,智能交通、智能生活、智能社区等多融合场景,5G业务与应用种类多,接入点多,业务应用随着各企业及企业业务变化而变化,引入动态风险信任评估,可以实现有效行业和跨行业、单园区及综合园区5G+应用的信任评估;建模技术:以客户现场部分合作单位为可信任单位,针对这一情况,建议通过风险信任管理模型进行5G业务策略调整;通过信任度的评估和考核能精细化掌握服务合作伙伴的信任状态,对信任度不高的5G业务请求者不予开放服务;通过引入多元的评价对象来灵活控制评估的权重值,使得最终的信任度评价更加科学和灵活。
进一步地,设计出5G业务安全合规评估模型,根据国家和国际标准进行5G业务安全合规评估矩阵建立,并针对业务活动进行合规评估,针对监管单位、集团公司专项检查,以及重大活动保障期间,以及安全能力对外输出,可根据某项权威安全要求进行针对性评估矩阵梳理,得出匹配度,即合规项占比率;结合上文提供通信网和互联网5G安全技术标准合规评估以及欧盟5G安全评估工具箱合规评估,后续在项目执行中,承诺灵活为局方提供合规评估模型。
进一步地,通信网和互联网5G安全技术标准合规评估;5G业务明确自己的业务清单,针对关键业务清单,来做针对性的业务安全防护;按照业务访问、业务传输、业务存储、业务处理各个维度的安全提出详细的技术要求,并且针对出境类部分做了技术要求;欧盟5G安全评估工具箱合规评估;站在客户现场立场,体系化和高标准化的安全能力输出将提升行业客户市场占有率,提升客户现场的品牌影响力。
对风险进行甄别,可用方法包含头脑风暴法、德尔菲法(专家调查法)、情景分析法、核对表法、鱼骨图法、影响图法等;5G数据安全漏洞库表单,包含统一编码、风险类别、风险描述、风险识别、已有安全措施、安全建议、风险缓解措施、保鲜期、安全指导来源。
设计出包含检查方、被检方、系统管理员等角色的5G数据安全评价流程;评价系统主要功能为:规范要求管理、评测矩阵管理。可对规范文件、发布部门、规范名称等内容进行文件上传,留存规范发布原始信息素材,并对规范要求形成列表预览清单,形成规范体系知识库,便于可通过名称、录入时间等要素进行查阅、下载。同时,针对每一规范要求,创建矩阵知识信息,包含但不限于一下字段:测评大类、测评想、测评子项、测评标准、合规标准、所需测评材料、对应规范等,用于规范要求落地实施,也可基于矩阵内容设计评测问卷,自动计算安全评价程度。
评价系统创建评价自行填报评测问卷任务,或将任务下发给被评价者填报评测问卷,再进行审核评分;此菜单下包含两个子菜单:自主完成任务、下发完成任务;自主完成任务指创建任务时,选择的完成方式为“自主完成”的任务,此类任务要求任务创建人自行完成填报和评分,下发完成任务指创建任务时,创建任务并将任务下发给指定对象进行填写,基于账号情况,对数据进行分割显示,任务内容为矩阵关联的评测问卷,基于相关的材料和证据,将问卷填报完毕后,进行问卷评分,按矩阵的方式显示每个测评的项的得分情况,最终得出评测合规结果;完成后去评分可输出测评报告,留存评价过程痕迹,实现评价责任制。
本评价系统支持SAAS部署,SAAS部署时,将所有数据写入共享库,通过权限的方式限定每个账号能访问和使用的数据内容,本评价系统支持本地部署。本地部署时,数据写入本地私有库,但策略库需要拆分为共享库和私有库,共享库可以在云端共享。
以上显示和描述了本发明的基本原理和主要特征以及本发明的优点。本行业的技术人员了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (8)
1.一种5G数据安全风险评价方法,其特征在于:5G数据安全风险评价方法的具体步骤为:
步骤一:建立5G数据安全实施框架,实施框架贯穿组织面临5G安全监管,服务于5G垂直行业,同时,实现安全策略和安全遵从南北向体系,重点完成管理合规、技术防护、安全计划、安全建设以及安全运营;
步骤二:在实施框架基础上,进行5G数据安全评价里程点解析,包含数据法律风险、数据市场地位、数据合规管理、数据技术防护、数据共享合作、用户隐私保护和行业服务;
步骤三:从环境识别、业务威胁识别、数据威胁识别、数据管理梳理以及数据风险评价进行5G数据安全风险评价闭环流程建立;
步骤四:设计关键技术框架,即基础实现层和评估建模层;基础实现层以评估架构和风险库作为基础工作;建模层引入ISRA(Information Security Risk Assessment,信息系统风险评估)、指标评估、信任评估、合规评估4类5大模型;
步骤五:设计出两大创新的数据威胁识别矩阵和业务威胁识别矩阵;
步骤六:经过完整风险评估流程后,结合评价过程,选择风险评估模型,进行定量风险评价,同时实现5G安全漏洞库动态更新;
步骤七:基于前述评价方法,解析5G数据安全评价信息化流程;
步骤八:研发5G数据安全评价系统,实现评价过程数据留存及历史数据查阅,评价任务管理和评价过程审计。
2.一种5G数据安全风险评价系统,其特征在于:在基础实现层,首先要求制定5G安全保护计划,要求包含但不限于明确5G业务安全管理目标和原则,明确业务场景,5G安全策略和操作规程;进一步地,逐项识别评估业务清单中业务的活动以及实现方式,并持续维护共享数据保护清单;进一步地,建立5G数据安全保障模型,针对5G数据安全面临的三类风险来源,从数据主体、数据活动、安全保障和风险接受程度4个维度,建立数据安全模型,以便于全面分析数据安全需求和安全保障机制,进而构建数据安全保障框架;进一步地,进行5G应用业务梳理要把握如下要素:业务代码、一级流程、二级流程、系统流程、角色、任务、业务形式、业务规则、业务峰值、日均任务量、业务异常、业务异常处置、业务场景和业务传递;进一步地,优化数据安全流程;按照数据各主体的安全责任,针对数据共享全过程的安全需求,对数据汇集、交换、使用和销毁各阶段采用相应的安全机制进行按需实践,建立多方参与的数据安全共享典型流程;进一步地,设计出通用风险评估模型,即应用场景:5G业务建设过程中上线安全检查中,业务开发或安全运维方或局方进行安全评估;5G业务运营过程中,进行定期常态化安全评估;5G业务开展通信网络防护或等级保护或CII(CriticalInformation Infrastructure,关键信息基础设施)安全保护中,涉及5G业务风险评估;利用信息系统风险评估是希望通过评估目标信息遇到的安全风险,在综合考虑成本和效益的前提下对风险进行处理,最终将目标信息的风险降低到可容忍或可接受的风险水平,其主要步骤包括环境威胁识别,业务威胁识别,数据管理识别,数据资产识别,脆弱性识别,最后形成统一风险评价。
3.根据权利要求2所述的一种5G数据安全风险评价系统,其特征在于:风险评估模型的风险计算方式为:
R=f(L,I)=f(L(T,V,M),I)=f(L((Te,Td,Tb),(Vh,Ve,Vi),M),I(F,A))
其中,Te表示环境威胁因子,Td表示数据威胁因子,Tb表示业务威胁因子,Vh表示人员脆弱性,Ve表示环境脆弱性,Vi表示设施脆弱性,T表示环境脆弱程度,V表示设施脆弱程度,M表示数据安全管理可靠程度,F表示安全威胁和脆弱性发生概率,A表示数据资产价值,L表示业务环境安全综合值,I表示数据资产安全值。
4.根据权利要求2所述的一种5G数据安全风险评价系统,其特征在于:设计出风险指标模型,即应用场景:针对组合业务或全新技术,以及现有评估项低覆盖新业务,通过业务专家、网络专家、安全专家、战略规划部、法律事务部同事组合成评估团队,利用风险指标法,进行5G新业务评估项设计;建模技术:结合安全模型以及安全流程,从安全策略匹配指标、平台安全指标、5G业务管理指标、数据隐私安全指标、数据安全泄露指标利用风险指标模型将5G业务指标分为6个维度,确定指标的相对重要性。
5.根据权利要求4所述的一种5G数据安全风险评价系统,其特征在于:风险指标(绩效评估法)模型的计算公式为:
Rc=(αi-n)/(n-1)
其中,Rc为风险绩效可靠性,ai已明列数据安全风险项,n为数据安全风险总项。
6.根据权利要求2所述的一种5G数据安全风险评价系统,其特征在于:设计出风险信任评估模型,针对多参与者、可信任级别参与者,动态合作模式场景,如大型科技园区5G应用,较多工业厂商、应用厂商、业务厂商、科技厂商,智能交通、智能生活、智能社区多融合场景,5G业务与应用种类多,接入点多,业务应用随着各企业及企业业务变化而变化,引入动态风险信任评估,可以实现有效行业和跨行业、单园区及综合园区5G+应用的信任评估;建模技术:以客户现场部分合作单位为可信任单位,针对这一情况,建议通过风险信任管理模型进行5G业务策略调整;通过信任度的评估和考核能精细化掌握服务合作伙伴的信任状态,对信任度不高的5G业务请求者不予开放服务;通过引入多元的评价对象来灵活控制评估的权重值,使得最终的信任度评价更加科学和灵活。
7.根据权利要求2所述的一种5G数据安全风险评价系统,其特征在于:设计出5G业务安全合规评估模型,根据国家和国际标准进行5G业务安全合规评估矩阵建立,并针对业务活动进行合规评估,针对监管单位、集团公司专项检查,以及重大活动保障期间,以及安全能力对外输出,可根据某项权威安全要求进行针对性评估矩阵梳理,得出匹配度,即合规项占比率;结合上文提供通信网和互联网5G安全技术标准合规评估以及欧盟5G安全评估工具箱合规评估,后续在项目执行中,承诺灵活为局方提供合规评估模型。
8.根据权利要求7所述的一种5G数据安全风险评价系统,其特征在于:通信网和互联网5G安全技术标准合规评估;5G业务明确自己的业务清单,针对关键业务清单,来做针对性的业务安全防护;按照业务访问、业务传输、业务存储、业务处理各个维度的安全提出详细的技术要求,并且针对出境类部分做了技术要求;欧盟5G安全评估工具箱合规评估;站在客户现场立场,体系化和高标准化的安全能力输出将提升行业客户市场占有率,提升客户现场的品牌影响力。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011261243.2A CN112769747B (zh) | 2020-11-12 | 2020-11-12 | 一种5g数据安全风险评价方法及评价系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011261243.2A CN112769747B (zh) | 2020-11-12 | 2020-11-12 | 一种5g数据安全风险评价方法及评价系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112769747A CN112769747A (zh) | 2021-05-07 |
| CN112769747B true CN112769747B (zh) | 2022-11-04 |
Family
ID=75693105
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011261243.2A Active CN112769747B (zh) | 2020-11-12 | 2020-11-12 | 一种5g数据安全风险评价方法及评价系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112769747B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114648256A (zh) * | 2022-05-19 | 2022-06-21 | 杭州世平信息科技有限公司 | 一种数据安全检查方法和系统及设备 |
| CN115222303B (zh) * | 2022-09-20 | 2022-11-25 | 北京共识数信科技有限公司 | 基于大数据的行业风险数据分析方法、系统及存储介质 |
| CN116050840B (zh) * | 2023-01-28 | 2023-12-29 | 国家信息中心 | 信息安全风险发现方法及发现系统 |
| CN116187766B (zh) * | 2023-04-24 | 2023-07-14 | 北京信联数安科技有限公司 | 一种基于动态风险评估的数据出境安全合规管控方法及系统 |
| CN116208429B (zh) * | 2023-04-27 | 2023-07-21 | 中国信息通信研究院 | 零信任体系架构的安全能力评价方法及装置 |
| CN117596078B (zh) * | 2024-01-18 | 2024-04-02 | 成都思维世纪科技有限责任公司 | 一种基于规则引擎实现的模型驱动用户风险行为判别方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102360485A (zh) * | 2011-09-30 | 2012-02-22 | 广东电网公司信息中心 | 一种增量风险评估的软件方法及系统 |
| CN104144166A (zh) * | 2014-08-18 | 2014-11-12 | 中国人民解放军信息工程大学 | 面向可重构服务承载网的安全管控模型建立方法 |
| CN106790294A (zh) * | 2017-03-10 | 2017-05-31 | 北京科技大学 | 一种5g网络安全风险评估方法 |
| CN106790198A (zh) * | 2016-12-30 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种信息系统风险评估方法及系统 |
| CN107204876A (zh) * | 2017-05-22 | 2017-09-26 | 成都网络空间安全技术有限公司 | 一种网络安全风险评估方法 |
| CN107249015A (zh) * | 2017-04-28 | 2017-10-13 | 西安财经学院 | 基于风险评估的可信云服务选择方法、云系统及云服务器 |
| CN109450956A (zh) * | 2018-12-29 | 2019-03-08 | 北京奇安信科技有限公司 | 网络安全性评估方法、系统、介质和计算设备 |
| CN109657976A (zh) * | 2018-12-19 | 2019-04-19 | 重庆誉存大数据科技有限公司 | 一种基于Cox回归预测的企业风险失信模型 |
-
2020
- 2020-11-12 CN CN202011261243.2A patent/CN112769747B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102360485A (zh) * | 2011-09-30 | 2012-02-22 | 广东电网公司信息中心 | 一种增量风险评估的软件方法及系统 |
| CN104144166A (zh) * | 2014-08-18 | 2014-11-12 | 中国人民解放军信息工程大学 | 面向可重构服务承载网的安全管控模型建立方法 |
| CN106790198A (zh) * | 2016-12-30 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种信息系统风险评估方法及系统 |
| CN106790294A (zh) * | 2017-03-10 | 2017-05-31 | 北京科技大学 | 一种5g网络安全风险评估方法 |
| CN107249015A (zh) * | 2017-04-28 | 2017-10-13 | 西安财经学院 | 基于风险评估的可信云服务选择方法、云系统及云服务器 |
| CN107204876A (zh) * | 2017-05-22 | 2017-09-26 | 成都网络空间安全技术有限公司 | 一种网络安全风险评估方法 |
| CN109657976A (zh) * | 2018-12-19 | 2019-04-19 | 重庆誉存大数据科技有限公司 | 一种基于Cox回归预测的企业风险失信模型 |
| CN109450956A (zh) * | 2018-12-29 | 2019-03-08 | 北京奇安信科技有限公司 | 网络安全性评估方法、系统、介质和计算设备 |
Non-Patent Citations (5)
| Title |
|---|
| Risk evaluation of IT outsourcing using Risk-matrix;Fuqiang Lu;《Proceeding of the 11th World Congress on Intelligent Control and Automation》;20150305;全文 * |
| 一种基于实体行为风险评估的信任模型;张润莲等;《计算机学报》;20090415(第04期);全文 * |
| 基于云模型和风险评估的信任模型研究;蔡红云等;《计算机工程》;20121205(第23期);全文 * |
| 基于大数据的电商异常交易风险评估仿真;王颖等;《计算机仿真》;20180315(第03期);全文 * |
| 高层管理者视角下的企业信息化风险评价模型;李泽建等;《科技与经济》;20180419(第02期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112769747A (zh) | 2021-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112769747B (zh) | 一种5g数据安全风险评价方法及评价系统 | |
| Kure et al. | An integrated cyber security risk management framework and risk predication for the critical infrastructure protection | |
| Ali et al. | A proposed hybrid model for adopting cloud computing in e-government | |
| Lai et al. | Evaluating blockchain technology for reducing supply chain risks | |
| Nguyen et al. | Risk assessment of maritime container shipping blockchain-integrated systems: An analysis of multi-event scenarios | |
| Golovina et al. | Prospects for the development of information technologies in the modern management system | |
| Dhameliya et al. | Blockchain-Integrated HR Analytics for Improved Employee Management | |
| van Erp | New governance of corporate cybersecurity: a case study of the petrochemical industry in the Port of Rotterdam | |
| Christensen et al. | A System under Stress: The I celandic Volcano Ash Crisis | |
| Viira | Lessons Learned: Critical Information Infrastructure Protection: How to protect critical information infrastructure | |
| von Rosing et al. | Using a business ontology for structuring artefacts: example-northern health | |
| Muncinelli et al. | Components of the preliminary conceptual model for process capability in lgpd (brazilian data protection regulation) context | |
| Eybers et al. | Responsible Data Sharing in the Digital Economy: Big Data Governance Adoption in Bancassurance | |
| Al Omari et al. | Data Strategy and Its Impact on Open Government Data Quality | |
| Baldwin et al. | Using assurance models to aid the risk and governance life cycle | |
| Bakari | A Holistic Approach for Managing ICT Security in Non-Commercial Organisations: A Case Study in a Developing Country | |
| Frenz | Handbook Industry 4.0: Law, Technology, Society | |
| Artemenko et al. | Digital transformation of an institutional environment | |
| Yashkin et al. | SGRC system as a basis for building business processes and measuring the digital sustainability of a business | |
| Shan et al. | Road vehicles Cybersecurity system evaluation method | |
| CN116208429B (zh) | 零信任体系架构的安全能力评价方法及装置 | |
| Wu et al. | A smart contract-based risk warning blockchain symbiotic system for cross-border products | |
| El Amin et al. | Blockchain-based multi-organizational cyber risk management framework for collaborative environments | |
| Rahmani | The main approaches to evaluating the effectiveness of applying the risk analysis and management methodology at energy company | |
| Bransden et al. | The application of mbse to inform workforce decision making |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |