CN113822532A - 信息系统资产风险评估方法及其装置和存储介质 - Google Patents

信息系统资产风险评估方法及其装置和存储介质 Download PDF

Info

Publication number
CN113822532A
CN113822532A CN202110968160.5A CN202110968160A CN113822532A CN 113822532 A CN113822532 A CN 113822532A CN 202110968160 A CN202110968160 A CN 202110968160A CN 113822532 A CN113822532 A CN 113822532A
Authority
CN
China
Prior art keywords
safety factor
risk
real
time data
safety
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110968160.5A
Other languages
English (en)
Other versions
CN113822532B (zh
Inventor
马越
孙文龙
李思鉴
伍少成
刘涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Power Supply Co ltd
Original Assignee
Shenzhen Power Supply Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Power Supply Co ltd filed Critical Shenzhen Power Supply Co ltd
Priority to CN202110968160.5A priority Critical patent/CN113822532B/zh
Publication of CN113822532A publication Critical patent/CN113822532A/zh
Application granted granted Critical
Publication of CN113822532B publication Critical patent/CN113822532B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0639Performance analysis of employees; Performance analysis of enterprise or organisation operations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • G06Q10/103Workflow collaboration or project management

Landscapes

  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Engineering & Computer Science (AREA)
  • Strategic Management (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Economics (AREA)
  • Tourism & Hospitality (AREA)
  • Development Economics (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Educational Administration (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Game Theory and Decision Science (AREA)
  • Data Mining & Analysis (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请涉及一种信息系统资产风险评估方法及其装置和存储介质。所述信息系统资产风险评估方法包括:获取与资产相对应的多个安全因子的实时数据;根据实时数据和预设模型,确定各安全因子的风险等级,生成并发送携带各安全因子的风险等级的第一审核提醒消息给专家;接收专家响应于第一审核提醒消息对各安全因子的风险等级的审核报告,并作为当前资产的评估结果;重复执行获取与资产相对应的多个安全因子的实时数据步骤,以获取多个资产的评估结果,直至对信息系统中的所有资产评估完毕,并输出评估结果。通过人机共同评估的方式,保证了风险评估结果的准确性和实时有效性,为信息系统风险控制提供了可靠依据。

Description

信息系统资产风险评估方法及其装置和存储介质
技术领域
本申请涉及信息安全技术领域,特别是涉及一种信息系统资产风险评估方法及其装置和存储介质。
背景技术
随着网络技术的快速发展,信息系统及相关产品大量部署于各行各业,信息系统所面临的安全问题成为行业内重点关注的问题。
为了对信息系统进行风险评估,自从上世纪六十年代,专家们开始研究各种基于模型和知识的、定量等风险分析方法。定量的主要包括因子分析法、聚类分析法、时序模型、回归模型、决策树法等。定量分析法的风险评估结果直观,但有时为了量化风险值,使得复杂问题简单化,导致风险评估的准确性下降,甚至被误解。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高更显评估准确性的信息系统资产风险评估方法及其装置和存储介质。
一种信息系统资产风险的评估方法,包括:
获取与资产相对应的多个安全因子的实时数据;
根据实时数据和预设模型,确定各安全因子的风险等级,生成并发送携带各安全因子的风险等级的第一审核提醒消息给专家;
接收专家响应于第一审核提醒消息对各安全因子的风险等级的审核报告,并作为当前资产的评估结果;
重复执行获取与资产相对应的多个安全因子的实时数据步骤,以获取多个资产的评估结果,直至对信息系统中的所有资产评估完毕,并输出评估结果。
在其中一个实施例子中,获取与资产相对应的多个安全因子的实时数据前,还包括:
根据预设的安全因子信息创建模糊安全风险矩阵和S型隶属函数,并将当前的模糊安全风险矩阵和S型隶属函数作为预设模型。
在其中一个实施例子中,根据实时数据和预设模型,确定各安全因子的风险等级前,还包括:
为各安全因子配置一一对应的初始风险等级和初始权重值;
根据实时数据和预设模型,确定各安全因子的风险等级还包括:
根据各安全因子的实时数据以及S型隶属函数计算出各安全因子的发生概率;
根据各安全因子的实时数据和初始权重值获取各安全因子一一对应的再分配权重值,并根据再分配权重值获取威胁严重程度;
根据发生概率和威胁的严重程度更新模糊安全风险矩阵,以获取更新后的安全风险矩阵;
根据各安全因子的更新后的安全风险矩阵获取各安全因子的风险等级。
在其中一个实施例子中,创建模糊安全风险矩阵前,还包括:
接收专家定义的各预设安全因子的初始发生概率和初始威胁的严重程度;
创建模糊安全风险矩阵,包括:
根据初始发生概率和初始威胁的严重程度创建各安全因子的模糊安全风险矩阵。
在其中一个实施例子中,根据预设的安全因子信息前,还包括:
创建与信息系统相关的多个资产信息,生成并发送携带资产信息的第二审核提醒消息给专家;
接收专家响应于第二审核提醒消息确认的各资产信息,分别确定各资产信息对应的多个安全因子,生成并发送携带全部安全因子信息的第三审核提醒消息给专家;
接收专家响应于第二审核提醒消息确认的各安全因子信息,并作为预设的安全因子信息。
在其中一个实施例子中,审核报告分别包括各安全因子的风险等级的审核结果,作为当前资产的评估结果前,还包括:
当至少一个安全因子的风险等级的审核结果为不合格时,根据预设的安全控制措施对审核结果为不合格的安全因子进行整改;
生成并发送携带整改后的各安全因子的风险等级的第一审核提醒消息给专家;
作为当前资产的评估结果,包括;
当全部安全因子的风险等级的审核结果均为合格时,将审核报告作为当前资产的评估结果。
在其中一个实施例子中,根据实时数据和预设模型,确定各安全因子的风险等级前,还包括:
将各安全因子的实时数据进行归一化处理;
根据实时数据和预设模型,确定各安全因子的风险等级,包括:
根据归一化处理的实时数据和预设模型,确定各安全因子的风险等级。
一种信息系统资产风险评估装置,包括:
获取模块,用于获取与资产相对应的多个安全因子的实时数据;
确定模块,用于根据实时数据和预设模型,确定各安全因子的风险等级,生成并发送携带各安全因子的风险等级的第一审核提醒消息给专家;
评估模块,用于接收专家响应于第一审核提醒消息对各安全因子的风险等级的审核报告,并作为当前资产的评估结果;
执行模块,用于重复执行获取与资产相对应的多个安全因子的实时数据步骤,以获取多个资产的评估结果,直至对信息系统中的所有资产评估完毕,并输出评估结果。
一种计算机设备,包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现上述的方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述的方法的步骤。
上述信息系统资产风险的评估方法,包括:获取与资产相对应的多个安全因子的实时数据;根据实时数据和预设模型,确定各安全因子的风险等级,生成并发送携带各安全因子的风险等级的第一审核提醒消息给专家;接收专家响应于第一审核提醒消息对各安全因子的风险等级的审核报告,并作为当前资产的评估结果;重复执行获取与资产相对应的多个安全因子的实时数据步骤,以获取多个资产的评估结果,直至对信息系统中的所有资产评估完毕,并输出评估结果。通过人机共同评估的方式,保证了风险评估结果的准确性和实时有效性,为信息系统风险控制提供了可靠依据。
附图说明
为了更清楚地说明本申请实施例或传统技术中的技术方案,下面将对实施例或传统技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一个实施例中信息系统资产风险评估方法流程示意图之一;
图2为一个实施例中信息系统资产风险评估方法流程示意图之二;
图3为一个实施例中信息系统资产风险评估方法流程示意图之三;
图4为一个实施例中信息系统资产风险评估方法流程示意图之四;
图5为一个实施例中信息系统资产风险评估方法流程示意图之五;
图6为一个实施例中信息系统资产风险评估方法流程示意图之六;
图7为一个实施例中信息系统资产风险评估方法流程示意图之七;
图8为一个实施例中信息系统资产风险评估装置结构示意图;
图9为一个实施例中计算机设备的内部结构图。
具体实施方式
为了便于理解本申请,下面将参照相关附图对本申请进行更全面的描述。附图中给出了本申请的实施例。但是,本申请可以以许多不同的形式来实现,并不限于本文所描述的实施例。相反地,提供这些实施例的目的是使本申请的公开内容更加透彻全面。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中在本申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请。
可以理解,本申请所使用的术语“第一”、“第二”等可在本文中用于描述各种元件,但这些元件不受这些术语限制。这些术语仅用于将第一个元件与另一个元件区分。
在此使用时,单数形式的“一”、“一个”和“所述/该”也可以包括复数形式,除非上下文清楚指出另外的方式。还应当理解的是,术语“包括/包含”或“具有”等指定所陈述的特征、整体、步骤、操作、组件、部分或它们的组合的存在,但是不排除存在或添加一个或更多个其他特征、整体、步骤、操作、组件、部分或它们的组合的可能性。同时,在本说明书中使用的术语“和/或”包括相关所列项目的任何及所有组合。
在本说明书的描述中,参考术语“有些实施例”、“其他实施例”、“理想实施例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特征包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性描述不一定指的是相同的实施例或示例。
在其中一个实施例中,如图1所示,提供一种信息系统资产风险的评估方法流程示意图,包括步骤S102~S108。
步骤S102,获取与资产相对应的多个安全因子的实时数据。
其中,与资产相对应的多个安全因子的实时数据中,包括了可被感知的实时数据和不可被感知的实时数据。在这之中,可被感知的实时数据的采集,例如,资产为“服务器”,与服务器相关的其中一个安全因子为“服务器局部温度”,那么,可以通过温度传感器采集服务器的局部温度;不可被感知的实时数据的采集,例如,资产为“软件源代码”,与软件源代码相关的其中一个安全因子为“使用未定义的过滤器”,此时,可以人为的根据是否使用了未定义的过滤器定义实时数据,比如将未使用未定义的过滤器指定为“1”,将使用未定义的过滤器指定为“0”。可以理解的是,获取与资产相对应的多个安全因子的实时数据并不仅仅局限为上述的举例,只要能获取资产相关的数据即可。
步骤S104,根据实时数据和预设模型,确定各安全因子的风险等级,生成并发送携带各安全因子的风险等级的第一审核提醒消息给专家。
其中,将第一审核提醒消息发送给专家时,还可以携带当前审核状态信息。例如,当第一审核提醒消息给专家时,审核状态为“待审核”,当专家审核完成之后,审核状态更改为“已审核”。
步骤S106,接收专家响应于第一审核提醒消息对各安全因子的风险等级的审核报告,并作为当前资产的评估结果。
步骤S108,重复执行获取与资产相对应的多个安全因子的实时数据步骤,以获取多个资产的评估结果,直至对信息系统中的所有资产评估完毕,并输出评估结果。
其中,重复执行获取与资产相对应的多个安全因子的实时数据步骤包括了重复执行步骤S102、S104和S106。
上述信息系统资产风险的评估方法,通过获取与资产相关的安全因子的实时数据,并根据该实时数据和预设的模型生成对应安全因子的风险等级,该过程通过定量的方式实现对信息系统资产风险的初步评估,并将初步评估的结果发送给专家审核,获取最终的评估结果,该过程通过定性的方式实现对信息系统资产风险的最终评估,本发明通过整体构建人机交互既定量又定性的方式共同对信息系统资产风险进行评估,保证了风险评估结果的准确性和实时有效性,为信息系统风险控制提供了可靠依据。
在其中一个实施例中,继续参看图1,步骤S102前,还包括步骤S110。
步骤S110,根据预设的安全因子信息创建模糊安全风险矩阵和S型隶属函数,并将当前的模糊安全风险矩阵和S型隶属函数作为预设模型。
其中,S形(Sigmoid)函数有其独特的性质,是其他函数无法比拟的。S型函数具有光滑平稳的过渡特性,同时还具有连续可微分的非线性特征。如果给其赋予参数
Figure BDA0003224675190000071
负值,θ正值,则μA(xi)为一单调增函数,如果赋予参数
Figure BDA0003224675190000072
正值,θ负值,则μA(xi)为一单调减函数,而将两者组合在一起,则反应了适中型分布(适度指标)。
Figure BDA0003224675190000081
式中
Figure BDA0003224675190000082
为总加权输入,
Figure BDA0003224675190000083
为函数的倾斜角,θ为函数的x轴移动量,xi为实时数据,比如,环境温度监测点等,i=1,2,...m是监测点个数。
Figure BDA0003224675190000084
和θ为待定参数,可以本方程式求解,根据实时数据可以计算出安全因子的隶属度。
在其中一个实施例中,如图2所示,提供一种信息系统资产风险的评估方法流程示意图。其中,步骤S102前还包括步骤S112,另外,步骤S104还包括步骤S1041~S1047。
步骤S112,为各安全因子配置一一对应的初始风险等级和初始权重值。
其中,可以根据该资产的类型,定义风险等级,风险等级设置在此不做限定,例如1-4级,数字越高,风险越高,风险等级还可以对应于文字中的“不可容忍的”、“不希望的”、“容忍的”和“可忽略的”。类似的,可以根据该资产的类型,定义安全因子的初始权重值,初始权重值在此也不做限定,但是多个安全因子的初始权重值的总和需为一定值,例如,“1”或者“100”。
步骤S1041,根据各安全因子的实时数据以及S型隶属函数计算出各安全因子的发生概率。
其中,可以根据隶属度函数计算出各安全因子的隶属度,将隶属度作为各安全因子的发生概率。
步骤S1043,根据各安全因子的实时数据和初始权重值获取各安全因子一一对应的再分配权重值,并根据再分配权重值获取威胁严重程度。
其中,当安全因子采集到的实时数据中缺少其中一个数据时,可以根据初次分配的初始权重值总和为定值的原则进行再次分配,获取再分配权重值。根据分配在分配的权重值定义各安全因子的威胁严重程度。例如,定义威胁的严重程度,5级,4级,3级,2级和1级数字越高,威胁越大,威胁严重程度还可以对应于文字中的“阻断”、“严重”、“主要”、“次要”以及“提示”。
步骤S1045,根据发生概率和威胁的严重程度更新模糊安全风险矩阵,以获取更新后的安全风险矩阵。
步骤S1047,根据各安全因子更新后的安全风险矩阵获取各安全因子的风险等级,生成并发送携带各安全因子的风险等级的第一审核提醒消息给专家。
通过连续的S型函数准确的计算出各安全因子实时数据的隶属度,以及权重值初次分配和再次分配获取准确的威胁严重程度,可以获取准确的风险评估矩阵,进而获取的风险等级准确性更高。
在其中一个实施例中,如图3所示,提供一种信息系统资产风险的评估方法流程示意图。步骤S110,根据预设的安全因子信息创建模糊安全风险矩阵和S型隶属函数,并将当前的模糊安全风险矩阵和S型隶属函数作为预设模型中,在创建模糊安全风险矩阵前,还包括步骤S114,则步骤S110还包括S1101和步骤S1103。
步骤S114,接收专家定义的各预设安全因子的初始发生概率和初始威胁的严重程度。
步骤S1101,根据预设的安全因子的初始发生概率和初始威胁的严重程度创建各安全因子的模糊安全风险矩阵。
步骤S1103,根据预设的安全因子信息创建S型隶属函数,并将当前的模糊安全风险矩阵和S型隶属函数作为预设模型。
相比较其他隶属度函数模型,S型函数模型更加适合风险评估模型的建立。
在其中一个实施例中,如图4所示,提供一种信息系统资产风险的评估方法流程示意图。步骤S110根据预设的安全因子信息创建模糊安全风险矩阵和S型隶属函数,并将当前的模糊安全风险矩阵和S型隶属函数作为预设模型中,在根据预设的安全因子信息前,还包括步骤S116-S120。
步骤S116,创建与信息系统相关的多个资产信息,生成并发送携带资产信息的第二审核提醒消息给专家。
其中,将第二审核提醒消息发送给专家时,还可以携带当前审核状态信息。如前所述,在此不再赘述。
步骤S118,接收专家响应于第二审核提醒消息确认的各资产信息,分别确定各资产信息对应的多个安全因子,生成并发送携带全部安全因子信息的第三审核提醒消息给专家。
其中,将第二审核提醒消息发送给专家时,还可以携带当前审核状态信息。如前所述,在此不再赘述。
步骤S120,接收专家响应于第二审核提醒消息确认的各安全因子信息,并作为预设的安全因子信息。
在其中一个实施例中,如图5所示,提供一种信息系统资产风险的评估方法流程示意图。步骤S106,接收专家响应于第一审核提醒消息对各安全因子的风险等级的审核报告,并作为当前资产的评估结果中,其中,审核报告分别包括各安全因子的风险等级的审核结果,步骤S106还包括步骤S1061~S1065。
步骤S1061,接收专家响应于第一审核提醒消息对各安全因子的风险等级的审核报告。
步骤S1062,当至少一个安全因子的风险等级的审核结果为不合格时,根据预设的安全控制措施对审核结果为不合格的安全因子进行整改。
其中,当其中一个安全因子的风险等级审核结果为不合格时,还可以将审核的状态更改为“不合格”。
步骤S1063,生成并发送携带整改后的各安全因子的风险等级的第一审核提醒消息给专家。
步骤S1065,当全部安全因子的风险等级的审核结果均为合格时,将审核报告作为当前资产的评估结果。
其中,当所有安全因子的风险等级审核结果为合格时,还可以将审核的状态更改为“合格”。
在其中一个实施例中,如图6所示,提供一种信息系统资产风险的评估方法流程示意图。步骤S104前,还包括步骤S122,其中,步骤S104还包括步骤S1049。
步骤S122,将各安全因子的实时数据进行归一化处理。
步骤S104,根据实时数据和预设模型,确定各安全因子的风险等级,生成并发送携带各安全因子的风险等级的第一审核提醒消息给专家,包括:
步骤S1049,根据归一化处理的实时数据和预设模型,确定各安全因子的风险等级,生成并发送携带各安全因子的风险等级的第一审核提醒消息给专家。
其中,由于各实时数据的大小范围各不相同,没有统一的度量标准,不能直接使用实时数据来进行风险评估,因此在评估之前,必须将所有输入实时数据都统一进行归一化处理,方便数据的计算管理。
在其中一个实时例中,如图7所示,提供一种信息系统资产风险的评估方法流程示意图,包括步骤S701~S717。
步骤S701,创建与信息系统相关的多个资产信息,生成并发送携带资产信息的第二审核提醒消息给专家。
步骤S702,接收专家响应于第二审核提醒消息确认的各资产信息,分别确定各资产信息对应的多个安全因子,生成并发送携带全部安全因子信息的第三审核提醒消息给专家。
步骤S703,接收专家响应于第二审核提醒消息确认的各安全因子信息,并作为预设的安全因子信息。
步骤S704,接收专家定义的各预设安全因子的初始发生概率和初始威胁的严重程度。
步骤S705,根据预设的安全因子的初始发生概率和初始威胁的严重程度创建各安全因子的模糊安全风险矩阵。
步骤S706,根据预设的安全因子信息创建S型隶属函数,并将当前的模糊安全风险矩阵和S型隶属函数作为预设模型。
步骤S707,为各安全因子配置一一对应的初始风险等级和初始权重值。
步骤S708,获取与资产相对应的多个安全因子的实时数据。
步骤S709,将各安全因子的实时数据进行归一化处理。
步骤S710,根据归一化处理的实时数据以及S型隶属函数计算出各安全因子的发生概率。
步骤S711,根据归一化处理的实时数据和初始权重值获取各安全因子一一对应的再分配权重值,并根据再分配权重值获取威胁严重程度。
步骤S712,根据发生概率和威胁的严重程度更新模糊安全风险矩阵,以获取更新后的安全风险矩阵。
步骤S713,根据各安全因子的再分配权重值和更新后的安全风险矩阵获取各安全因子的风险等级,生成并发送携带各安全因子的风险等级的第一审核提醒消息给专家。
步骤S714,接收专家响应于第一审核提醒消息对各安全因子的风险等级的审核报告。
步骤S715,当至少一个安全因子的风险等级的审核结果为不合格时,根据预设的安全控制措施对审核结果为不合格的安全因子进行整改。
步骤S716,当全部安全因子的风险等级的审核结果均为合格时,将审核报告作为当前资产的评估结果。
步骤S717,重复执行获取与资产相对应的多个安全因子的实时数据步骤,以获取多个资产的评估结果,直至对信息系统中的所有资产评估完毕,并输出评估结果。
上述信息系统资产风险的评估方法,通过人机共同评估的方式,保证了风险评估结果的准确性和实时有效性,为信息系统风险控制提供了可靠依据。
应该理解的是,虽然图1-图7的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图1-图7中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在其中一个实施例中,如图8所示,提供一种信息系统资产风险评估装置100结构示意图,信息系统资产风险评估装置100包括获取模块110、确定模块120、评估模块130和执行模块140。获取模块110用于获取与资产相对应的多个安全因子的实时数据;确定模块120用于根据实时数据和预设模型,确定各安全因子的风险等级,生成并发送携带各安全因子的风险等级的第一审核提醒消息给专家;评估模块130用于接收专家响应于第一审核提醒消息对各安全因子的风险等级的审核报告,并作为当前资产的评估结果;执行模块140用于重复执行获取与资产相对应的多个安全因子的实时数据步骤,以获取多个资产的评估结果,直至对信息系统中的所有资产评估完毕,并输出评估结果。
关于信息系统资产风险评估控制装置的具体限定可以参见上文中对于信息系统资产风险评估方法的限定,在此不再赘述。上述信息系统资产风险评估装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
在其中一个实施例中,如图9所示,还提供了一种计算机设备结构示意图,计算机设备包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在其中一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种信息系统资产风险的评估方法,其特征在于,包括:
获取与资产相对应的多个安全因子的实时数据;
根据所述实时数据和预设模型,确定各所述安全因子的风险等级,生成并发送携带各所述安全因子的风险等级的第一审核提醒消息给专家;
接收专家响应于所述第一审核提醒消息对各所述安全因子的风险等级的审核报告,并作为当前资产的评估结果;
重复执行所述获取与资产相对应的多个安全因子的实时数据步骤,以获取多个资产的评估结果,直至对信息系统中的所有资产评估完毕,并输出评估结果。
2.根据权利要求1所述的方法,其特征在于,所述获取与资产相对应的多个安全因子的实时数据前,还包括:
根据预设的安全因子信息创建模糊安全风险矩阵和S型隶属函数,并将当前的所述模糊安全风险矩阵和S型隶属函数作为预设模型。
3.根据权利要求2所述的方法,其特征在于,所述根据所述实时数据和预设模型,确定各所述安全因子的风险等级前,还包括:
为各所述安全因子配置一一对应的初始风险等级和初始权重值;
所述根据所述实时数据和预设模型,确定各所述安全因子的风险等级还包括:
根据各所述安全因子的实时数据以及S型隶属函数计算出各所述安全因子的发生概率;
根据各所述安全因子的实时数据和所述初始权重值获取各所述安全因子一一对应的再分配权重值,并根据所述再分配权重值获取威胁严重程度;
根据所述发生概率和所述威胁的严重程度更新所述模糊安全风险矩阵,以获取更新后的安全风险矩阵;
根据各所述安全因子的更新后的安全风险矩阵获取各所述安全因子的风险等级。
4.根据权利要求2所述的方法,其特征在于,所述创建模糊安全风险矩阵前,还包括:
接收专家定义的各预设所述安全因子的初始发生概率和初始威胁的严重程度;
所述创建模糊安全风险矩阵,包括:
根据所述初始发生概率和初始威胁的严重程度创建各所述安全因子的模糊安全风险矩阵。
5.根据权利要求2所述的方法,其特征在于,所述根据预设的安全因子信息前,还包括:
创建与信息系统相关的多个资产信息,生成并发送携带所述资产信息的第二审核提醒消息给专家;
接收专家响应于所述第二审核提醒消息确认的各所述资产信息,分别确定各所述资产信息对应的多个安全因子,生成并发送携带全部所述安全因子信息的第三审核提醒消息给专家;
接收专家响应于所述第二审核提醒消息确认的各所述安全因子信息,并作为所述预设的安全因子信息。
6.根据权利要求1所述的方法,其特征在于,所述审核报告分别包括各所述安全因子的风险等级的审核结果,所述作为当前资产的评估结果前,还包括:
当至少一个所述安全因子的风险等级的审核结果为不合格时,根据预设的安全控制措施对审核结果为不合格的所述安全因子进行整改;
生成并发送携带整改后的各所述安全因子的风险等级的第一审核提醒消息给专家;
所述作为当前资产的评估结果,包括;
当全部所述安全因子的风险等级的审核结果均为合格时,将所述审核报告作为当前资产的评估结果。
7.根据权利要求1所述的方法,其特征在于,所述根据所述实时数据和预设模型,确定各所述安全因子的风险等级前,还包括:
将各所述安全因子的实时数据进行归一化处理;
所述根据所述实时数据和预设模型,确定各所述安全因子的风险等级,包括:
根据归一化处理的所述实时数据和预设模型,确定各所述安全因子的风险等级。
8.一种信息系统资产风险评估装置,其特征在于,包括:
获取模块,用于获取与资产相对应的多个安全因子的实时数据;
确定模块,用于根据所述实时数据和预设模型,确定各所述安全因子的风险等级,生成并发送携带各所述安全因子的风险等级的第一审核提醒消息给专家;
评估模块,用于接收专家响应于所述第一审核提醒消息对各所述安全因子的风险等级的审核报告,并作为当前资产的评估结果;
执行模块,用于重复执行所述获取与资产相对应的多个安全因子的实时数据步骤,以获取多个资产的评估结果,直至对信息系统中的所有资产评估完毕,并输出评估结果。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
CN202110968160.5A 2021-08-23 2021-08-23 信息系统资产风险评估方法及其装置和存储介质 Active CN113822532B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110968160.5A CN113822532B (zh) 2021-08-23 2021-08-23 信息系统资产风险评估方法及其装置和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110968160.5A CN113822532B (zh) 2021-08-23 2021-08-23 信息系统资产风险评估方法及其装置和存储介质

Publications (2)

Publication Number Publication Date
CN113822532A true CN113822532A (zh) 2021-12-21
CN113822532B CN113822532B (zh) 2024-06-07

Family

ID=78923187

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110968160.5A Active CN113822532B (zh) 2021-08-23 2021-08-23 信息系统资产风险评估方法及其装置和存储介质

Country Status (1)

Country Link
CN (1) CN113822532B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108446563A (zh) * 2018-02-09 2018-08-24 桂林电子科技大学 一种基于模糊层次分析法的ics信息安全评估方法
CN109377034A (zh) * 2018-10-11 2019-02-22 国网新疆电力有限公司信息通信公司 基于智能电网信息通信系统的风险态势评估方法
CN109379373A (zh) * 2018-11-23 2019-02-22 中国电子科技网络信息安全有限公司 一种云安全评估系统及方法
CN110110528A (zh) * 2019-05-15 2019-08-09 广东电网有限责任公司 信息系统的安全风险评估方法、装置及设备
CN110555630A (zh) * 2019-09-11 2019-12-10 北京奇艺世纪科技有限公司 一种数据处理方法及装置
CN113283767A (zh) * 2021-06-01 2021-08-20 中铁十六局集团北京轨道交通工程建设有限公司 一种基于信息融合的基坑施工风险评估方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108446563A (zh) * 2018-02-09 2018-08-24 桂林电子科技大学 一种基于模糊层次分析法的ics信息安全评估方法
CN109377034A (zh) * 2018-10-11 2019-02-22 国网新疆电力有限公司信息通信公司 基于智能电网信息通信系统的风险态势评估方法
CN109379373A (zh) * 2018-11-23 2019-02-22 中国电子科技网络信息安全有限公司 一种云安全评估系统及方法
CN110110528A (zh) * 2019-05-15 2019-08-09 广东电网有限责任公司 信息系统的安全风险评估方法、装置及设备
CN110555630A (zh) * 2019-09-11 2019-12-10 北京奇艺世纪科技有限公司 一种数据处理方法及装置
CN113283767A (zh) * 2021-06-01 2021-08-20 中铁十六局集团北京轨道交通工程建设有限公司 一种基于信息融合的基坑施工风险评估方法

Also Published As

Publication number Publication date
CN113822532B (zh) 2024-06-07

Similar Documents

Publication Publication Date Title
Mousseau et al. Using assignment examples to infer weights for ELECTRE TRI method: Some experimental results
CN115497272B (zh) 一种基于数字化建造的工期智能化预警系统及方法
Lam et al. Tail analysis without parametric models: A worst-case perspective
CN112613789A (zh) 风险管控数据处理方法、风险预警规则前置数据监控方法
CN112559023B (zh) 一种变更风险的预测方法、装置、设备及可读存储介质
CN113469570A (zh) 信息质量评价模型构建方法、装置、设备及存储介质
CN111600761A (zh) 一种基于运维业务风险告警分析归并方法
CN113283924A (zh) 需求预测方法以及需求预测装置
CN112711757A (zh) 一种基于大数据平台的数据安全集中管控方法及系统
CN112559305A (zh) 不间断电源系统内部关键模块性能预测方法、装置和设备
You et al. A new modeling and inference approach for the belief rule base with attribute reliability
CN113268929A (zh) 短期负荷区间预测方法及装置
CN114430361A (zh) 一种异常带宽检测方法、装置、电子设备及存储介质
CN117575564A (zh) 可扩展的基础设施网络组件维修与改造决策评估方法及系统
CN113822532B (zh) 信息系统资产风险评估方法及其装置和存储介质
Tesfamariam et al. Probabilistic risk analysis using ordered weighted averaging (OWA) operators
CN116049765A (zh) 数据分析处理方法、装置及设备
CN116187675A (zh) 任务分配方法、装置、设备及存储介质
KR20200112495A (ko) 상권 분석 서비스 제공 서버 및 그 방법
CN115204501A (zh) 企业评估方法、装置、计算机设备和存储介质
CN114153683A (zh) 基于综合评价算法的网络化软件健康度评价方法
CN114140023A (zh) 一种项目风险确定方法、装置、电子设备及存储介质
Shah et al. Safety Value Index: Computation and Evaluation of Safety of Geographical Area using Fuzzy Logic
CN113537363B (zh) 一种异常对象检测方法及装置、电子设备及存储介质
Fu et al. Using entropy weight-based TOPSIS to implement failure mode and effects analysis

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant