CN114757594A - 一种网络安全风险货币化量化方法、装置、终端及介质 - Google Patents
一种网络安全风险货币化量化方法、装置、终端及介质 Download PDFInfo
- Publication number
- CN114757594A CN114757594A CN202210670685.5A CN202210670685A CN114757594A CN 114757594 A CN114757594 A CN 114757594A CN 202210670685 A CN202210670685 A CN 202210670685A CN 114757594 A CN114757594 A CN 114757594A
- Authority
- CN
- China
- Prior art keywords
- risk
- data
- monetization
- asset
- simulation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0639—Performance analysis of employees; Performance analysis of enterprise or organisation operations
- G06Q10/06393—Score-carding, benchmarking or key performance indicator [KPI] analysis
Landscapes
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Engineering & Computer Science (AREA)
- Strategic Management (AREA)
- Entrepreneurship & Innovation (AREA)
- Economics (AREA)
- Development Economics (AREA)
- Educational Administration (AREA)
- Operations Research (AREA)
- Marketing (AREA)
- Game Theory and Decision Science (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了一种网络安全风险货币化量化方法、装置、终端及介质。本申请提供的方案先通过构建目标企业的风险场景,结合采集的企业经营数据与企业资产信息,确定风险场景涉及的资产主体以及资产主体关联的风险数据,然后将资产主体、风险数据与防护水平成熟度评分数据,与获取到的行业参考数据进行比较,确定资产主体在风险场景下的风险量化数据与风险货币化量化数据,通过风险模拟方式进行风险模拟,根据风险量化数据与风险货币化量化数据,将模拟结果中产生的风险损失换算成货币财产损失,解决了传统企业风险的风险量化方法因安全语境和财务语境不统一,很难直接应用于企业的生产经营决策的技术问题。
Description
技术领域
本申请涉及安全风险管控技术领域,尤其涉及一种网络安全风险货币化量化方法、装置、终端及介质。
背景技术
近年来,全球数字经济蓬勃发展,带来了企业业务的增长,与此同时,数字化和现代化导致攻击面不断扩大,企业面临的攻击的复杂性不断增长,网络安全管理和风险防范能力急需加强,企业网络安全运营和企业经营需要更精益化的数据提供决策支持。
企业生产经营风险的决策往往以财务货币化数据作为度量单位支持为主。而企业网络安全运营风险的决策,通常是基于定性或非货币化的定量评价为主。然而,传统定性和定量的网络安全风险评估结果很难直接从财务视角度量网络安全风险给企业业务带来的潜在损失,网络安全风险与企业业务风险缺乏统一的风险度量尺度,导致安全语境和财务语境无法统一,很难直接应用于企业的生产经营决策。
发明内容
本申请提供了一种网络安全风险货币化量化方法、装置、终端及介质,用于解决传统企业风险的风险量化方法因安全语境和财务语境不统一,很难直接应用于企业的生产经营决策的技术问题。
为实现以上发明目的,本申请第一方面提供了一种企业安全风险量化方法,包括:
获取目标企业的经营数据与资产信息;
构建所述目标企业的风险场景,根据所述风险场景,结合所述目标企业的经营数据与资产信息,确定所述风险场景涉及的资产主体以及所述资产主体关联的风险数据;
通过专家库评估方式,对所述资产主体以及与所述资产主体对应的安全防护信息进行评估,以获得所述目标企业的防护水平成熟度评分数据;
将所述经营数据、所述资产主体、所述风险数据与所述防护水平成熟度评分数据,与获取到的行业参考数据进行比较,确定所述资产主体在所述风险场景下的风险量化数据与风险货币化量化数据,其中,所述风险量化数据具体包括:风险威胁程度量化数据、资产脆弱程度量化数据与业务影响程度量化数据,所述风险货币化量化数据包括:风险事件发生概率与发生风险所造成的损失;
根据所述风险量化数据与所述风险货币化量化数据,通过风险模拟方式进行风险模拟,以根据模拟结果中产生的风险情况,确定所述目标企业的网络安全风险损失的货币化量化结果。
优选地,所述风险事件发生概率具体包括:主风险事件发生概率与伴随风险事件发生概率;
所述发生风险所造成的损失具体包括:发生主风险事件所造成的主要损失与发生伴随风险所造成次要损失。
优选地,所述将所述经营数据、所述资产主体、所述风险数据与所述防护水平成熟度评分数据,与获取到的行业参考数据进行比较,确定所述资产主体在所述风险场景下的风险量化数据与风险货币化量化数据之后还包括:
通过专家库评估方式,对所述风险量化数据与所述风险货币化量化数据进行数值调整,以便利用调整后的数据企业风险模拟。
优选地,所述根据所述风险量化数据与所述风险货币化量化数据,通过风险模拟方式进行风险模拟,以根据模拟结果中产生的风险情况,确定所述目标企业的网络安全风险损失的货币化量化结果具体包括:
根据所述风险货币化量化数据,按照所述风险货币化量化数据的数据数值与置信数值的对应关系,确定所述风险货币化量化数据的置信数值;
采用BetaPert分布,将所述置信数值映射到BetaPert分布的gamma参数,对所述风险货币化量化数据的取值进行预测模拟;
根据所述风险量化数据与所述风险货币化量化数据的预测模拟值,通过蒙特卡洛模拟方式进行风险模拟,以根据模拟结果中产生的风险情况,确定所述目标企业的网络安全风险损失的货币化量化结果。
优选地,所述风险货币化量化数据的数值表征方式包括:最大值、最小值以及最有可能值。
优选地,所述根据所述风险货币化量化数据,按照所述风险货币化量化数据的数据数值与置信数值的对应关系,确定所述风险货币化量化数据的置信数值具体包括:
根据所述风险货币化量化数据中各项数据的最有可能值,按照所述风险货币化量化数据的数据数值与置信数值的对应关系,确定所述风险货币化量化数据的置信数值。
优选地,所述主风险事件发生概率具体为:主风险事件的年度发生概率,所述伴随风险事件发生概率具体为:伴随风险事件的年度发生概率。
同时,本申请第二方面还提供了一种网络安全风险货币化量化装置,包括:
企业信息获取单元,用于获取目标企业的经营数据与资产信息;
风险数据确定单元,用于构建所述目标企业的风险场景,根据所述风险场景,结合所述目标企业的经营数据与资产信息,确定所述风险场景涉及的资产主体以及所述资产主体关联的风险数据;
防护水平评估单元,用于通过专家库评估方式,对所述资产主体以及与所述资产主体对应的安全防护信息进行评估,以获得所述目标企业的防护水平成熟度评分数据;
风险货币化量化数据确定单元,用于将所述经营数据、所述资产主体、所述风险数据与所述防护水平成熟度评分数据,与获取到的行业参考数据进行比较,确定所述资产主体在所述风险场景下的风险量化数据与风险货币化量化数据,其中,所述风险量化数据具体包括:风险威胁程度量化数据、资产脆弱程度量化数据与业务影响程度量化数据,所述风险货币化量化数据包括:风险事件发生概率与发生风险所造成的损失;
风险模拟处理单元,用于根据所述风险量化数据与所述风险货币化量化数据,通过风险模拟方式进行风险模拟,以根据模拟结果中产生的风险情况,确定所述目标企业的网络安全风险损失的货币化量化结果。
本申请第三方面还提供了一种网络安全风险货币化量化终端,包括:存储器和处理器;
所述存储器用于存储程序代码,所述程序代码与如本申请第一方面提供的网络安全风险货币化量化方法相对应;
所述处理器用于执行所述程序代码。
本申请第四方面还提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中保存有与如本申请第一方面提供的网络安全风险货币化量化方法相对应程序代码。
从以上技术方案可以看出,本申请实施例具有以下优点:
本申请提供的方案先通过构建目标企业的风险场景,结合采集的企业经营数据与企业资产信息,确定风险场景涉及的资产主体以及资产主体关联的风险数据,然后将资产主体、风险数据与防护水平成熟度评分数据,与获取到的行业参考数据进行比较,确定资产主体在风险场景下的风险量化数据与风险货币化量化数据,通过风险模拟方式进行风险模拟,根据风险量化数据与风险货币化量化数据,将模拟结果中产生的风险损失换算成货币财产损失,解决了传统企业风险的风险量化方法因安全语境和财务语境不统一,很难直接应用于企业的生产经营决策的技术问题。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1为本申请提供的一种网络安全风险货币化量化方法的一个实施例的流程示意图。
图2为本申请提供的一种网络安全风险货币化量化方法的另一个实施例的流程示意图。
图3为本申请提供的一种网络安全风险货币化量化装置的一个实施例的流程示意图。
具体实施方式
本申请实施例提供了一种网络安全风险货币化量化方法、装置、终端及介质,用于解决传统企业风险的风险量化方法因安全语境和财务语境不统一,很难直接应用于企业的生产经营决策的技术问题。
为使得本申请的发明目的、特征、优点能够更加的明显和易懂,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本申请一部分实施例,而非全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
请参阅图1,本申请第一个实施例提供的一种网络安全风险货币化量化方法,包括:
步骤101、获取目标企业的经营数据与资产信息。
首先,获取企业的经营数据与资产信息,其中,以上提及的据包括:行业、年营业额、人员数、IT依赖度、年毛利润率等数据。进一步地,行业、年营业额、人员数数据,IT依赖度、年毛利润率可通过行业数值推荐引擎结合行业平均水平进行数值推荐的方式获取;而资产信息一般是指以依据企业所能获取的内部网络安全数据为数据源,通过对网络安全风险数据进行相关的资产标记,得到资产信息。
步骤102、构建目标企业的风险场景,根据风险场景,结合目标企业的经营数据与资产信息,确定风险场景涉及的资产主体以及资产主体关联的风险数据。
需要说明的是,风险场景的构建是风险评估的最小评估单元,通过构建目标企业的风险场景,利用构建的风险场景结合上前序步骤获得的经营数据与资产信息,完成该风险场景下的资产识别、威胁识别、攻击方法识别、以及影响类型(可用性、完整性、机密性)识别,进而该风险场景下受影响的资产主体的识别。当完成资产识别后,将根据资产信息,完成与该场景下资产主体相关风险数据的提取。
步骤103、通过专家库评估方式,对资产主体以及与资产主体对应的安全防护信息进行评估,以获得目标企业的防护水平成熟度评分数据。
需要说明的是,依据资产所属场景,通过专家库评估方式,由网络安全专家负责对防护该资产的网络安全该资产的网络安全措施的防护水平进行量化,具体检查的维度包括安全识别、安全防护、检测评估、监测分析以及响应恢复等维度。专家将通过分属于5类维度的子检查项并根据成熟度的水平进行量化,得到防护水平成熟度评分数据。
步骤104、将经营数据、资产主体、风险数据与防护水平成熟度评分数据,与获取到的行业参考数据进行比较,确定资产主体在风险场景下的风险量化数据与风险货币化量化数据。
需要说明的是,在前序步骤的基础上,该场景相关的核心成熟度检查项以及根据资产标签,将该资产相关的风险数据、防护水平成熟度评分数据等数据自动映射到构建的风险场景中,通过统一的算法,比较该场景下与默认推荐值之间的差异水平情况,得出该风险场景下的风险量化数据与风险货币化量化数据的推荐数值。
其中,风险量化数据具体包括:用于反映资产主体的面临的威胁程度的风险威胁程度量化数据,用于反映资产的脆弱性程度的资产脆弱程度量化数据以及用于反映风险发生时资产对业务产生的影响程度的业务影响程度量化数据,其中,风险货币化量化数据包括:风险事件发生概率与发生风险所造成的损失。
步骤105、根据风险量化数据与风险货币化量化数据,通过风险模拟方式进行风险模拟,以根据模拟结果中产生的风险情况,确定目标企业的网络安全风险损失的货币化量化结果。
然后,根据前序步骤获得的风险量化数据与风险货币化量化数据,通过风险模拟方式进行风险模拟计算,以根据模拟结果中产生的风险情况,将风险决策参考值转换成以货币化为度量单位的风险量化数据,从而得到该目标企业的网络安全风险损失的货币化量化结果。
以上内容便是本申请提供的一种网络安全风险货币化量化方法的第一个实施例的详细说明,本实施例提供的方案先通过构建目标企业的风险场景,结合采集的企业经营数据与企业资产信息,确定风险场景涉及的资产主体以及资产主体关联的风险数据,然后将资产主体、风险数据与防护水平成熟度评分数据,与获取到的行业参考数据进行比较,确定资产主体在风险场景下的风险量化数据与风险货币化量化数据,通过风险模拟方式进行风险模拟,根据风险量化数据与风险货币化量化数据,将模拟结果中产生的风险损失换算成货币财产损失,解决了传统企业风险的风险量化方法因安全语境和财务语境不统一,很难直接应用于企业的生产经营决策的技术问题。
此外,在上述实施例的基础上,本申请还提供了一种网络安全风险货币化量化方法的第二个实施例。
请参阅图2,本申请第二个实施例提供的一种网络安全风险货币化量化方法具体包括:
进一步地,风险事件发生概率具体包括:主风险事件发生概率与伴随风险事件发生概率;发生风险所造成的损失具体包括:发生主风险事件所造成的主要损失与发生伴随风险所造成次要损失。其中,本实施例提及的伴随风险发生概率指的是主风险事件发生的情况下,还发生伴随风险的概率。
更具体地,主风险事件发生概率具体为:主风险事件的年度发生概率,伴随风险事件发生概率具体为:伴随风险事件的年度发生概率,通过对风险的描述加入时间要素控制,实现年度风险敞口计算。
风险货币化量化数据的数值表征方式包括:最大值、最小值以及最有可能值。
需要说明的是,本实施例提供的风险货币化量化数据,其关键要素包括:发生事件概率赋值、损失关键要素赋值。其中发生事件可能性赋值由三个核心要素组成,包括最大值、最有可能值、最小值,用以描述对不确定性数值的描述方式,单位为次/年。损失关键要素赋值包括两个类别,包括主要损失、次要损失、以及次要损失发生可能性赋值。其中主要损失、次要损失、以及次要损失发生可能性参考值的描述方式均为最大值、最有可能值、最小值,用以描述对不确定性数值的描述方式,主要损失、次要损失的推荐参考为每发生一次安全事件引发的损失数值。通过将企业经营属性信息、场景成熟度水平、资产的风险数据、参考值之间建立数据之间的融合计算方法。根据当前企业的经营水平、当前风险场景的威胁水平、脆弱性水平、业务影响度水平的量化数值与默认数值之间的差异,根据年度安全发生事件可能性参考值、损失关键要素参考值获得该次风险评估的货币化风险要素推荐数值。推荐数值的形式仍然为最大值、最有可能值、最小值,用以描述对不确定性数值的描述方式,避免了采用一个确定的数值描述不确定的风险,会导致对风险描述不够客观的不足。
进一步地,第一个实施例提及的步骤104,此步骤之后还可以包括:
步骤1041、通过专家库评估方式,对风险量化数据与风险货币化量化数据进行数值调整,以便利用调整后的数据企业风险模拟。
需要说明的是,在步骤104确定了风险量化数据与风险货币化量化数据的推荐数值的基础上,还可以进一步通过专家库评估方式,由专家库的专家依据上述步骤得出的自动化推荐数值,结合企业自身特点,对上述推荐数值进行针对性调整,并在后续步骤里,优先采用调整后的数据进行处理,若未进行调整,则仍优先采用初始的推荐数值进行后续的处理。
进一步地,第一个实施例提及的步骤105,此步骤具体包括:
步骤1051、根据风险货币化量化数据,按照风险货币化量化数据的数据数值与置信数值的对应关系,确定风险货币化量化数据的置信数值。
首先,按照风险货币化量化数据的数据数值与置信数值的对应关系,确定风险货币化量化数据的置信判定结果,按照置信判定结果确定对应的置信数值,其中,置信判定选择项可为高、中、低、较高、较低等选项。参与计算的数值根据较低、低、中、高、较高做指数级或倍数级区分。如,若较低可设置为1、则低、中、高、较高可设置为2、4、8、16、32。
步骤1052、采用BetaPert分布,将置信数值映射到BetaPert分布的gamma参数,对风险货币化量化数据的取值进行预测模拟。
根据步骤1051获得的置信数值,采用BetaPert分布,其中,置信数值映射到BetaPert分布的gamma参数。对安全事件发生可能性数值、主要损失、次要损失、次要损失发生可能性数值的预测模拟。
步骤1053、根据风险量化数据与风险货币化量化数据的预测模拟值,通过蒙特卡洛模拟方式进行风险模拟,以根据模拟结果中产生的风险情况,确定目标企业的网络安全风险损失的货币化量化结果。
再接着,根据步骤1052获得的预测模拟数值,依据R=年度主风险事件发生概率*(发生一次主风险事件所产生的主要损失+发生一次伴随风险事件所产生的次要损失*伴随风险事件发生概率)模式按照蒙特卡洛模拟进行模拟计算,以根据模拟结果中产生的风险情况,确定目标企业的网络安全风险损失的货币化量化结果。
以上内容便是本申请提供的一种网络安全风险货币化量化方法的第二个实施例的详细说明,下面内容是本申请提供的一种网络安全风险货币化量化装置、终端以及介质的各个实施例的详细说明。
请参阅图3,本申请第三个实施例提供的一种网络安全风险货币化量化装置,包括:
企业信息获取单元201,用于获取目标企业的经营数据与资产信息;
风险数据确定单元202,用于构建目标企业的风险场景,根据风险场景,结合目标企业的经营数据与资产信息,确定风险场景涉及的资产主体以及资产主体关联的风险数据;
防护水平评估单元203,用于通过专家库评估方式,对资产主体以及与资产主体对应的安全防护信息进行评估,以获得目标企业的防护水平成熟度评分数据;
风险货币化量化数据确定单元204,用于将经营数据、资产主体、风险数据与防护水平成熟度评分数据,与获取到的行业参考数据进行比较,确定资产主体在风险场景下的风险量化数据与风险货币化量化数据,其中,风险量化数据具体包括:风险威胁程度量化数据、资产脆弱程度量化数据与业务影响程度量化数据,风险货币化量化数据包括:风险事件发生概率与发生风险所造成的损失;
风险模拟处理单元205,用于根据风险量化数据与风险货币化量化数据,通过风险模拟方式进行风险模拟,以根据模拟结果中产生的风险情况,确定目标企业的网络安全风险损失的货币化量化结果。
本申请第四个实施例提供了一种网络安全风险货币化量化终端,包括:存储器和处理器;
存储器用于存储程序代码,程序代码与如本申请第一个实施例或第二个实施例提及提供的网络安全风险货币化量化方法相对应;
处理器用于执行程序代码,以实现如第一个实施例或第二个实施例提及的网络安全风险货币化量化方法。
本申请第五个实施例提供了一种计算机可读存储介质,其特征在于,计算机可读存储介质中保存有与如本申请第一个实施例或第二个实施例提及提供的网络安全风险货币化量化方法相对应程序代码。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的终端,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的终端,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
本申请的说明书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例,例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (10)
1.一种网络安全风险货币化量化方法,其特征在于,包括:
获取目标企业的经营数据与资产信息;
构建所述目标企业的风险场景,根据所述风险场景,结合所述目标企业的经营数据与资产信息,确定所述风险场景涉及的资产主体以及所述资产主体关联的风险数据;
通过专家库评估方式,对所述资产主体以及与所述资产主体对应的安全防护信息进行评估,以获得所述目标企业的防护水平成熟度评分数据;
将所述经营数据、所述资产主体、所述风险数据与所述防护水平成熟度评分数据,与获取到的行业参考数据进行比较,确定所述资产主体在所述风险场景下的风险量化数据与风险货币化量化数据,其中,所述风险量化数据具体包括:风险威胁程度量化数据、资产脆弱程度量化数据与业务影响程度量化数据,所述风险货币化量化数据包括:风险事件发生概率与发生风险所造成的损失;
根据所述风险量化数据与所述风险货币化量化数据,通过风险模拟方式进行风险模拟,以根据模拟结果中产生的风险情况,确定所述目标企业的网络安全风险损失的货币化量化结果。
2.根据权利要求1所述的一种网络安全风险货币化量化方法,其特征在于,所述风险事件发生概率具体包括:主风险事件发生概率与伴随风险事件发生概率;
所述发生风险所造成的损失具体包括:发生主风险事件所造成的主要损失与发生伴随风险所造成次要损失。
3.根据权利要求1所述的一种网络安全风险货币化量化方法,其特征在于,所述将所述经营数据、所述资产主体、所述风险数据与所述防护水平成熟度评分数据,与获取到的行业参考数据进行比较,确定所述资产主体在所述风险场景下的风险量化数据与风险货币化量化数据之后还包括:
通过专家库评估方式,对所述风险量化数据与所述风险货币化量化数据进行数值调整,以便利用调整后的数据企业风险模拟。
4.根据权利要求1所述的一种网络安全风险货币化量化方法,其特征在于,所述根据所述风险量化数据与所述风险货币化量化数据,通过风险模拟方式进行风险模拟,以根据模拟结果中产生的风险情况,确定所述目标企业的网络安全风险损失的货币化量化结果具体包括:
根据所述风险货币化量化数据,按照所述风险货币化量化数据的数据数值与置信数值的对应关系,确定所述风险货币化量化数据的置信数值;
采用BetaPert分布,将所述置信数值映射到BetaPert分布的gamma参数,对所述风险货币化量化数据的取值进行预测模拟;
根据所述风险量化数据与所述风险货币化量化数据的预测模拟值,通过蒙特卡洛模拟方式进行风险模拟,以根据模拟结果中产生的风险情况,确定所述目标企业的网络安全风险损失的货币化量化结果。
5.根据权利要求4所述的一种网络安全风险货币化量化方法,其特征在于,所述风险货币化量化数据的数值表征方式包括:最大值、最小值以及最有可能值。
6.根据权利要求5所述的一种网络安全风险货币化量化方法,其特征在于,所述根据所述风险货币化量化数据,按照所述风险货币化量化数据的数据数值与置信数值的对应关系,确定所述风险货币化量化数据的置信数值具体包括:
根据所述风险货币化量化数据中各项数据的最有可能值,按照所述风险货币化量化数据的数据数值与置信数值的对应关系,确定所述风险货币化量化数据的置信数值。
7.根据权利要求2所述的一种网络安全风险货币化量化方法,其特征在于,所述主风险事件发生概率具体为:主风险事件的年度发生概率,所述伴随风险事件发生概率具体为:伴随风险事件的年度发生概率。
8.一种网络安全风险货币化量化装置,其特征在于,包括:
企业信息获取单元,用于获取目标企业的经营数据与资产信息;
风险数据确定单元,用于构建所述目标企业的风险场景,根据所述风险场景,结合所述目标企业的经营数据与资产信息,确定所述风险场景涉及的资产主体以及所述资产主体关联的风险数据;
防护水平评估单元,用于通过专家库评估方式,对所述资产主体以及与所述资产主体对应的安全防护信息进行评估,以获得所述目标企业的防护水平成熟度评分数据;
风险货币化量化数据确定单元,用于将所述经营数据、所述资产主体、所述风险数据与所述防护水平成熟度评分数据,与获取到的行业参考数据进行比较,确定所述资产主体在所述风险场景下的风险量化数据与风险货币化量化数据,其中,所述风险量化数据具体包括:风险威胁程度量化数据、资产脆弱程度量化数据与业务影响程度量化数据,所述风险货币化量化数据包括:风险事件发生概率与发生风险所造成的损失;
风险模拟处理单元,用于根据所述风险量化数据与所述风险货币化量化数据,通过风险模拟方式进行风险模拟,以根据模拟结果中产生的风险情况,确定所述目标企业的网络安全风险损失的货币化量化结果。
9.一种网络安全风险货币化量化终端,其特征在于,包括:存储器和处理器;
所述存储器用于存储程序代码,所述程序代码与如权利要求1至7任意一项所述的网络安全风险货币化量化方法相对应;
所述处理器用于执行所述程序代码。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中保存有与如权利要求1至7任意一项所述的网络安全风险货币化量化方法相对应程序代码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210670685.5A CN114757594A (zh) | 2022-06-15 | 2022-06-15 | 一种网络安全风险货币化量化方法、装置、终端及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210670685.5A CN114757594A (zh) | 2022-06-15 | 2022-06-15 | 一种网络安全风险货币化量化方法、装置、终端及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114757594A true CN114757594A (zh) | 2022-07-15 |
Family
ID=82336309
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210670685.5A Pending CN114757594A (zh) | 2022-06-15 | 2022-06-15 | 一种网络安全风险货币化量化方法、装置、终端及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114757594A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115361241A (zh) * | 2022-10-24 | 2022-11-18 | 北京源堡科技有限公司 | 网络安全风险量化方法、装置、计算机设备及存储介质 |
-
2022
- 2022-06-15 CN CN202210670685.5A patent/CN114757594A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115361241A (zh) * | 2022-10-24 | 2022-11-18 | 北京源堡科技有限公司 | 网络安全风险量化方法、装置、计算机设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106951984B (zh) | 一种系统健康度动态分析预测方法及装置 | |
| KR20180013998A (ko) | 계정 도난 위험 식별 방법, 식별 장치, 예방 및 통제 시스템 | |
| Woods et al. | Towards integrating insurance data into information security investment decision making | |
| Dobrynin et al. | Use of approaches to the methodology of factor analysis of information risks for the quantitative assessment of information risks based on the formation of cause-and-effect links | |
| CN111192140A (zh) | 客户违约概率预测的方法及装置 | |
| CN114757594A (zh) | 一种网络安全风险货币化量化方法、装置、终端及介质 | |
| CN115860471A (zh) | 一种网络安全风险评估方法 | |
| CN112990989B (zh) | 价值预测模型输入数据生成方法、装置、设备和介质 | |
| Rahma et al. | Detection of Fraud Financial Statements through the Hexagon Model Vousinas Fraud Dimensions: Review on Jakarta Islamic Index 70 | |
| KR20040104853A (ko) | 정보 자산의 위험 분석 시스템 | |
| Fagade et al. | Towards effective cybersecurity resource allocation: the Monte Carlo predictive modelling approach | |
| Tusikov et al. | Threat and risk assessments | |
| CN113691552B (zh) | 威胁情报有效性评估方法、装置、系统及计算机存储介质 | |
| TW201539217A (zh) | 文件分析系統、文件分析方法、以及文件分析程式 | |
| EP2089840A1 (en) | Organisation assessment and representation system and method | |
| CN110570301B (zh) | 风险识别方法、装置、设备及介质 | |
| CN114092216A (zh) | 企业信贷评级方法、装置、计算机设备和存储介质 | |
| Wahlgren et al. | IT security risk management model for handling IT-related security incidents: the need for a new escalation approach | |
| Alceu et al. | A cpfl energia fraud detection model based on geographic census sectors analysis | |
| RU2419155C1 (ru) | Система минимизации рисков | |
| Lien Yai et al. | Calculating Financial Business Risk to Identify Supply Chain Vulnerabilities | |
| CN110046910B (zh) | 判断客户通过电子支付平台所进行交易合法性的方法和设备 | |
| Peter-Bombik | Risk management in public organizations | |
| Shen et al. | Modelling the predictive performance of credit scoring | |
| Sui Pheng et al. | Survey Results Analysis and Discussion |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220715 |
|
| RJ01 | Rejection of invention patent application after publication |