CN115361241A - 网络安全风险量化方法、装置、计算机设备及存储介质 - Google Patents

网络安全风险量化方法、装置、计算机设备及存储介质 Download PDF

Info

Publication number
CN115361241A
CN115361241A CN202211298976.2A CN202211298976A CN115361241A CN 115361241 A CN115361241 A CN 115361241A CN 202211298976 A CN202211298976 A CN 202211298976A CN 115361241 A CN115361241 A CN 115361241A
Authority
CN
China
Prior art keywords
risk
influence
value
distribution
scene
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211298976.2A
Other languages
English (en)
Inventor
赵远杰
胡维
李可
李季
陈幼雷
韩冰
梁露露
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Yuanbao Technology Co ltd
Original Assignee
Beijing Yuanbao Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Yuanbao Technology Co ltd filed Critical Beijing Yuanbao Technology Co ltd
Priority to CN202211298976.2A priority Critical patent/CN115361241A/zh
Publication of CN115361241A publication Critical patent/CN115361241A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明实施例提供了一种网络安全风险量化方法、装置、计算机设备及存储介质,涉及信息安全技术领域,其中,该方法包括:根据待评估网络的相关信息,确定所述待评估网络的各场景要素的主要内容,构建主要风险场景;对所述主要风险场景中的风险要素进行未来预设时长内的量化赋值,其中,所述赋值包括最有可能值、最小值、最大值以及对于最有可能值赋值的信心程度值;根据所述风险要素的赋值,量化所述待评估网络的网络安全风险。该方案提高了量化网络安全风险的客观性、合理性、真实性,进而有利于提高量化网络安全风险的准确性。

Description

网络安全风险量化方法、装置、计算机设备及存储介质
技术领域
本发明涉及信息安全技术领域,特别涉及一种网络安全风险量化方法、装置、计算机设备及存储介质。
背景技术
企业网络安全风险评估通过对企业当前面临的主要威胁、脆弱性识别、影响的资产和业务等进行全面的风险识别与分析,从而清晰的了解企业当前面临的主要风险,为企业网络安全建设提供有益的指导。
目前对于风险的评估,通常有两种方法,定性的风险评估和定量的风险评估。
方法一:定性的风险评估,通过对威胁源、脆弱性被利用的难易程度、对资产的影响程度等进行定性的描述,从而得出企业面临风险的程度。
方法二:定量的风险评估,目前也存在许多定量的风险评估手段和方法,但通常是给威胁源、脆弱性被利用的难易程度、对资产的影响程度根据其等级,赋予一定的数值(通常是1-10之间),进一步根据一定的风险模型,得出风险的量化数值。
方法一最大的问题在于定性的风险评估结论,很难满足对于风险精益化管理的需求,其结论难以支撑网络安全风险处置的优先级决策。
方法二最大的问题在于:因网络安全风险存在巨大的不确定性,尤其是网络安全的风险场景,其威胁源往往是未知的,或者是变动的,很难通过对威胁源的单一赋值,完成对威胁源的合理描述。同理,与威胁源相似,其脆弱性的程度以及发生安全事件后对资产造成的潜在影响,同样具备该特征。因此,通过对威胁源、脆弱性被利用的难易程度以及对资产造成的影响进行单一赋值,很难得出客观合理的风险评估结果,使得影响了风险评估的准确性。
发明内容
有鉴于此,本发明实施例提供了一种网络安全风险量化方法,以解决现有技术中网络安全风险存在的无法满足风险精益化管理的需求、风险评估结果不准确的技术问题。该方法包括:
根据待评估网络的相关信息,确定所述待评估网络的各场景要素的主要内容,构建主要风险场景;
对所述主要风险场景中的风险要素进行未来预设时长内的量化赋值,其中,所述赋值包括最有可能值、最小值、最大值以及对于最有可能值赋值的信心程度值;
根据所述风险要素的赋值,量化所述待评估网络的网络安全风险。
本发明实施例还提供了一种网络安全风险量化装置,以解决现有技术中网络安全风险存在的无法满足风险精益化管理的需求、风险评估结果不准确的技术问题。该装置包括:
场景构建模块,用于根据待评估网络的相关信息,确定所述待评估网络的各场景要素的主要内容,构建主要风险场景;
风险要素量化模块,用于对所述主要风险场景中的风险要素进行未来预设时长内的量化赋值,其中,所述赋值包括最有可能值、最小值、最大值以及对于最有可能值赋值的信心程度值;
风险量化模块,用于根据所述风险要素的赋值,量化所述待评估网络的网络安全风险。
本发明实施例还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任意的网络安全风险量化方法,以解决现有技术中网络安全风险存在的无法满足风险精益化管理的需求、风险评估结果不准确的技术问题。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述任意的网络安全风险量化方法的计算机程序,以解决现有技术中网络安全风险存在的无法满足风险精益化管理的需求、风险评估结果不准确的技术问题。
与现有技术相比,本说明书实施例采用的上述至少一个技术方案能够达到的有益效果至少包括:通过确定待评估网络的各场景要素的主要内容,构建主要风险场景,对主要风险场景中的风险要素进行未来预设时长内的量化赋值,进而基于风险要素的赋值,量化量化待评估网络的网络安全风险。实现了构建待评估网络的主要风险场景,并基于主要风险场景来对风险要素进行未来预设时长内的量化赋值,即将风险量化过程聚焦在待评估网络的主要风险场景上,可以实现有针对性地量化待评估网络的主要风险,有利于更客观、真实、准确地量化待评估网络的风险;同时,在对风险要素量化赋值的过程中,是对风险要素进行未来预设时长内的量化赋值,即风险要素的量化赋值考虑了时间因素,可以避免当下或瞬间风险要素的量化赋值带来的动态、不确定性,且对风险要素进行多角度量化赋值,避免单一赋值,使得对风险要素的描述更符合网络安全风险具有动态、不确定性大等特点,使得对风险要素的描述更客观、合理、真实,进而基于风险要素的量化赋值量化网络安全风险,有利于提高量化网络安全风险的客观性、合理性、真实性,进而有利于提高量化网络安全风险的准确性;同时,实现了客观、准确的定量的网络安全风险评估,有利于满足风险精益化管理等场景的数据需求,可以为支撑网络安全风险处置的优先级决策等应用场景提供可靠的数据依据。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明实施例提供的一种网络安全风险量化方法的流程图;
图2是本发明实施例提供的一种网络安全风险量化方法的原理示意图;
图3是本发明实施例提供的一种风险分布曲线示意图;
图4是本发明实施例提供的一种时间周期内网络安全风险分析的示意图;
图5是本发明实施例提供的一种计算机设备的结构框图;
图6是本发明实施例提供的一种网络安全风险量化装置的结构框图。
具体实施方式
下面结合附图对本申请实施例进行详细描述。
以下通过特定的具体实例说明本申请的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本申请的其他优点与功效。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。本申请还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本申请的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
网络安全的风险评估,需要重点对网络安全风险场景中,资产面临的威胁源、资产的脆弱性以及安全事件发生后对资产的影响等要素完成量化,从而更为合理的判定该风险场景的风险特征。但本申请发明人发现,网络安全风险具有动态、不确定性大等特点,尤其是对于威胁源的量化、对于脆弱性的量化以及发生安全事件后对于资产影响的量化,都具有不确定性,很难通过单一赋值的方法完成客观的风险量化。另外,传统的风险量化,通常不考虑时间要素,也即对风险的评估,往往是基于当下风险的特征进行风险量化,但时间对于风险的影响是非常关键的要素,比如随着新系统上线,企业面临潜在威胁的情况可能会发生较为明显的变化,因此,在对于风险的描述时,应该将时间要素考虑在内,才能完成对风险的客观描述。另外,不同的风险场景其威胁源、脆弱性和对资产的影响差异非常大,因此在考虑对风险的评估时,首要的工作应该是对主要风险场景的构建,通过对不同风险场景的构建、不同风险场景基于时间周期内的风险量化,来实现对网络安全风险更为客观、准确的描述。因此,提出了上述基于风险场景、时间概念的网络安全风险量化方法,以提高网络安全风险量化的客观性、合理性、准确性。
在本发明实施例中,提供了一种网络安全风险量化方法,如图1所示,该方法包括:
步骤S101:根据待评估网络的相关信息,确定所述待评估网络的各场景要素的主要内容,构建主要风险场景;
步骤S102:对所述主要风险场景中的风险要素进行未来预设时长内的量化赋值,其中,所述赋值包括最有可能值、最小值、最大值以及对于最有可能值赋值的信心程度值;
步骤S103:根据所述风险要素的赋值,量化所述待评估网络的网络安全风险。
由图1所示的流程可知,在本发明实施例中,通过确定待评估网络的各场景要素的主要内容,构建主要风险场景,对主要风险场景中的风险要素进行未来预设时长内的量化赋值,进而基于风险要素的赋值,量化量化待评估网络的网络安全风险。实现了构建待评估网络的主要风险场景,并基于主要风险场景来对风险要素进行未来预设时长内的量化赋值,即将风险量化过程聚焦在待评估网络的主要风险场景上,可以实现有针对性地量化待评估网络的主要风险,有利于更客观、真实、准确地量化待评估网络的风险;同时,在对风险要素量化赋值的过程中,是对风险要素进行未来预设时长内的量化赋值,即风险要素的量化赋值考虑了时间因素,可以避免当下或瞬间风险要素的量化赋值带来的动态、不确定性,且对风险要素进行多角度量化赋值,避免单一赋值,使得对风险要素的描述更符合网络安全风险具有动态、不确定性大等特点,使得对风险要素的描述更客观、合理、真实,进而基于风险要素的量化赋值量化网络安全风险,有利于提高量化网络安全风险的客观性、合理性、真实性,进而有利于提高量化网络安全风险的准确性;同时,实现了客观、准确的定量的网络安全风险评估,有利于满足风险精益化管理等场景的数据需求,可以为支撑网络安全风险处置的优先级决策等应用场景提供可靠的数据依据。
具体实施时,为了快速、准确地对待评估网络构建主要风险场景,在本实施例中,提出了构建主要风险场景的方法,例如,如图2所示,从关键场景要素的知识库中获取各场景要素的备选内容,进而根据待评估网络的相关信息,从各场景要素的备选内容中确定各场景要素的主要内容,来实现构建待评估网络的主要风险场景。
具体实施时,上述构建主要风险场景的过程实质是判定各场景要素的主要内容的过程,即各场景要素的主要内容判定后即完成了主要风险场景的构建,以便将网络安全风险量化的过程聚焦、约束在主要风险场景上,进而实现有针对性的对主要的风险进行量化。
具体的,上述场景要素可以包括但不限于四个核心的场景要素:威胁源、风险资产、攻击方法和攻击造成的影响类型。
具体实施时,为了提供一致性、连贯性、标准性的风险评估要素,关键场景要素的知识库中可以预存各个场景要素的多个备选内容,进而在构建主要风险场景的过程中,可以根据主要风险场景的相关信息来从每个场景要素的多个备选内容中确定出每个场景要素的主要内容。例如,1、威胁源,在关键场景要素的知识库中,威胁源定义为有主动威胁行为的主体,可以包括以下备选内容:外部恶意人员、内部恶意人员、内部非恶意人员、第三方服务商、外界环境以及病毒代理等;在构建主要风险场景的过程中,可以根据威胁源的能力、数量、意图、规模等信息,确定出威胁源的主要内容,例如,威胁源的主要内容是外部恶意人员或者第三方服务商等等。2、场景中主要的风险资产的识别模块,在关键场景要素的知识库中,针对风险资产,可以包括以下备选内容:数据库、服务器、业务系统等等;在构建主要风险场景的过程中,可以根据风险资产的数据价值、业务支撑能力等信息来确定出风险资产的主要内容,例如,风险资产的主要内容是数据库。3、主要的攻击方法,在关键场景要素的知识库中,针对攻击方法,可以提供标准的攻击方法库,后续用户可根据场景进行攻击方法的补充,攻击方法可以包括以下备选内容:内部网络的移动插件连接(如,优盘插接)、外部网络的恶意访问、黑客攻击等等;服务器、业务系统等等;在构建主要风险场景的过程中,可以根据攻击方法的攻击路经、攻击对象等信息来确定出攻击方法的主要内容,例如,攻击方法的主要内容是优盘插接。4、攻击造成的影响类型,在关键场景要素的知识库中,针对攻击造成的影响类型可以包括以下备选内容:数据破坏、荣誉破坏、业务中断等等;在构建主要风险场景的过程中,可以根据攻击造成的影响类型的数据可用性影响、数据完整性影响、保密性的影响、业务中断程度等信息来确定出攻击造成的影响类型的主要内容,例如,攻击造成的影响类型的主要内容是数据破坏。
具体实施时,构建主要风险场景后,可以对主要风险场景中的风险要素进行未来预设时长内的量化赋值,即对风险要素的量化赋值是未来预设时长内的赋值,在未来预设时长内风险要素的量化赋值保持不变。传统的风险量化,通常不考虑时间要素,也即对风险的评估,往往是当下或瞬时对风险要素进行量化赋值,这样是得到当下风险的特征,但时间对于风险的影响是非常关键的要素,比如随着新系统上线,企业面临潜在威胁的情况可能会发生较为明显的变化,因此,在对于风险的描述时,将时间要素考虑在内,才能完成对风险的客观、真实描述。
具体的,上述预设时长的具体时长可以根据具体风险量化需求来确定,例如,一个月、半年、一年等,以该预设时长为时间周期来进行风险量化。
具体实施时,为了实现更细致、准确的风险量化,在本实施例中,提出了基于拆分的风险要素进行未来预设时长内的量化赋值的过程,例如,所述风险要素包括资产面临的威胁源、资产的脆弱性以及发生安全事件后对资产的影响,将发生安全事件后对资产的影响拆分为直接影响、间接影响以及直接影响带来间接影响可能性;对所述资产面临的威胁源、所述资产的脆弱性、所述直接影响、所述间接影响以及所述直接影响带来间接影响可能性,进行未来所述预设时长内的量化赋值。
具体实施时,为了提供风险要素量化赋值的参考标准,实现标准、统一的风险要素的量化赋值过程,在本实施例中,提出了基于预存的量化参照表来进行风险要素的量化赋值,例如,如图2所示,预存的量化参照表可以包括各个风险要素的量化数值范围,每个风险要素的量化数值范围中的量化数值按照预设步长分段,不同的量化数值分段对应风险要素的不同的风险程度,进而基于预存的量化参照表中的量化数值分段和对应的风险程度,确定主要风险场景中的各个风险要素的量化赋值。
具体的,例如,上述量化参照表可以存储在上述关键场景要素的知识库中,在量化参照表中各个风险要素的量化数值范围是固定的,该量化数值范围为固定数值,量化数值范围中的量化数值按照预设步长分段,不同的量化数值分段对应风险要素的不同的风险程度,风险要素的不同的风险程度可以通过风险要素的情景说明来呈现,情景说明可以包括表示不同风险程度的多个角度的信息描述。例如,量化数值范围可以为1-100,预设步长可以为10。例如,风险要素以威胁源为例,量化数值范围为1-100,按照预设步长10分段,数值越大代表面临的威胁水平越高,每个量化数值分段对应有从动机、能力、机会以及规模等角度描述的风险程度,如量化数值分段0-为威胁源无任何动机、能力、机会、以及规模对场景的资产发起影响。量化数值分段10-为:威胁源的规模是普通的攻击者,具备较低层次的攻击能力,但在接触资产机会方面几乎无可能,规模较小,其他量化数值分段依次类推,根据不同量化数值分段对应的风险程度的描述来为威胁源的最有可能值、最大值以及最小值量化赋值。同理,其他风险要素的量化赋值过程与威胁源的量化赋值过程类似,如脆弱性程度的量化数值范围为1-100,按照预设步长10分段,数值越高,代表脆弱性越高;如发生安全事件后对资产的影响的量化数值范围为1-100,按照预设步长10分段,数值越高,代表影响越大。
例如,对上述风险要素的量化赋值采用多维度赋值的方式,不再采用传统的单一赋值模式,例如,
对威胁源的量化赋值:需要根据量化参照表,完成威胁源潜在威胁能力的赋值,对于威胁源的赋值维度可以包括最有可能值、最大值、最小值以及对于最有可能值赋值的信心程度值,量化参照表中可以包括各个赋值维度分别对应的量化数值范围,赋值过程即为基于量化参照表对最有可能值、最大值、最小值以及对于最有可能值赋值的信心程度值进行赋值。最有可能值、最大值、最小值对应的量化数值范围可以为1-100;对于最有可能值赋值的信心程度值对应的量化数值范围可以为1-16,数值越大,代表对最有可能值赋值的信心程度越高。
对于脆弱性的量化赋值:需要根据量化参照表,完成脆弱性程度的赋值,其赋值维度可以包括最有可能值、最大值、最小值以及对于最有可能值赋值的信心程度值,量化参照表中可以包括各个赋值维度分别对应的量化数值范围,赋值过程即为基于量化参照表对最有可能值、最大值、最小值以及对于最有可能值赋值的信心程度值进行赋值。最有可能值、最大值、最小值对应的量化数值范围可以为1-100;对于最有可能值赋值的信心程度值对应的量化数值范围可以为1-16,数值越大,代表对最有可能值赋值的信心程度越高。
对资产的影响的赋值:可以将对资产的影响分解为三个核心要素:直接影响,间接影响以及直接影响带来间接影响可能性。这三个核心要素也可以根据量化参照表对其进行量化赋值:对直接影响的最有可能值、最小值、最大值以及对于最有可能值赋值的信心程度值进行赋值;对间接影响的最有可能值、最小值、最大值以及对于最有可能值赋值的信心程度值进行赋值;对直接影响带来间接影响可能性的最有可能值、最小值、最大值以及对于最有可能值赋值的信心程度值进行的赋值。其中,最有可能值、最大值、最小值对应的量化数值范围可以为1-100;对于最有可能值赋值的信心程度值对应的量化数值范围可以为1-16,数值越大,代表对最有可能值赋值的信心程度越高。
具体实施时,如图2所示,对风险要素进行量化赋值后,即可根据风险要素的赋值,量化待评估网络的网络安全风险。为了实现准确、客观地量化网络安全风险,在本实施例中,通过以下步骤实现量化网络安全风险:
分别根据所述资产面临的威胁源、所述资产的脆弱性、所述直接影响、所述间接影响以及所述直接影响带来间接影响可能性的赋值,得到所述资产面临的威胁源、所述资产的脆弱性、所述直接影响、所述间接影响以及所述直接影响带来间接影响可能性各自对应的pert(Program/Project Evaluation and Review Technique,计划评审技术,pert分布表示为概率分布)分布,将所述对于最有可能值赋值的信心程度值作为pert分布的gamma参数;
根据所述间接影响的pert分布以及所述直接影响带来间接影响可能性的pert分布,得到次要影响的分布曲线;
根据次要影响的分布曲线和所述直接影响的pert分布,得到综合影响程度的分布曲线;
根据综合影响程度的分布曲线、所述资产面临的威胁源的pert分布以及所述资产的脆弱性的pert分布,得到所述主要风险场景的风险分布。
具体的,根据间接影响的pert分布以及直接影响带来间接影响可能性的pert分布,得到次要影响的分布曲线的过程为:采用蒙特卡洛算法,将所述间接影响的pert分布和所述直接影响带来间接影响可能性的pert分布相乘,得到次要影响的分布曲线。
根据次要影响的分布曲线和直接影响的pert分布,得到综合影响程度的分布曲线的过程为:将次要影响的分布曲线和所述直接影响的pert分布叠加,得到综合影响程度的分布曲线。
根据综合影响程度的分布曲线、所述资产面临的威胁源的pert分布以及所述资产的脆弱性的pert分布,得到所述主要风险场景的风险分布的过程为:采用蒙特卡洛算法,将综合影响程度的分布曲线、所述资产面临的威胁源的pert分布以及所述资产的脆弱性的pert分布相乘,得到所述主要风险场景的风险分布。
具体实施时,根据风险要素的赋值,计算待评估网络的网络安全风险的过程可以包括以下步骤:
1、为上述每个风险要素根据其量化赋值的四个赋值维度(最大值、最小值、最有可能值、对于最有可能值赋值的信心程度值)作为pert分布的四个核心参数值的输入,其中,对于最有可能值赋值的信心程度值对标pert分布的gamma参数参与计算。分别得到威胁源T、脆弱性程度V、直接影响PL、间接影响SL、直接影响带来间接影响可能性SLP这 5个核心风险评估参数的pert分布,其pert计算的模拟次数可以自由设定,但需要所有的模拟次数保持一致。
2、得到次要影响SLV的分布曲线,其计算过程为:采用蒙特卡洛算法,依据SL*SLP的计算逻辑,得到次要影响SLV的分布曲线。
3、得到综合影响(TotalLoss)的分布曲线,其计算过程为:采用蒙特卡洛算法,依据PL+SLV的计算逻辑,得到综合影响的分布曲线。
4、得到风险的分布,其计算过程为:采用蒙特卡洛算法,依据T*V* TotalLoss,得到主要风险场景的风险分布曲线,如图3所示,其横坐标为风险数值,纵坐标为发生的频率。
至此,可以通过上述的算法,完成对于风险R的分布。其结果的描述为网络安全风险的量化的风险数值和网络安全风险超过或低于风险值的概率,即为风险超过或低于一定量化的风险数值Y的概率为X%。
具体实施时,如图2所示,得到风险分布曲线后,可以进行风险数据的可视化呈现,以便直观的分析风险的特征,某时间周期T内的网络安全风险分析结果可以图4的方式呈现,其横坐标的网络安全风险的风险数值,纵坐标为超过或低于对应风险数值的概率,通过图4的曲线可以直观的了解到网络安全风险的不同风险数值发生的大概情况。
具体实施时,如图2所示,为了进一步直观地呈现网络安全风险的特征,还提出了对所述主要风险场景的网络安全风险进行优先级排序。该优先级可以根据最大风险数值的大小、最有可能风险数值的大小或达到风险数值Y的概率的大小来确定,例如,基于最大风险数值的大小、最有可能风险数值的大小或者根据超过风险数值Y的概率的大小进行风险排序。
在本实施例中,提供了一种计算机设备,如图5所示,包括存储器501、处理器502及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任意的网络安全风险量化方法。
具体的,该计算机设备可以是计算机终端、服务器或者类似的运算装置。
在本实施例中,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述任意的网络安全风险量化方法的计算机程序。
具体的,计算机可读存储介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机可读存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读存储介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
基于同一发明构思,本发明实施例中还提供了一种网络安全风险量化装置,如下面的实施例所述。由于网络安全风险量化装置解决问题的原理与网络安全风险量化方法相似,因此网络安全风险量化装置的实施可以参见网络安全风险量化方法的实施,重复之处不再赘述。以下所使用的,术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图6是本发明实施例的网络安全风险量化装置的一种结构框图,如图6所示,该装置包括:
场景构建模块601,用于根据待评估网络的相关信息,确定所述待评估网络的各场景要素的主要内容,构建主要风险场景;
风险要素量化模块602,用于对所述主要风险场景中的风险要素进行未来预设时长内的量化赋值,其中,所述赋值包括最有可能值、最小值、最大值以及对于最有可能值赋值的信心程度值;
风险量化模块603,用于根据所述风险要素的赋值,量化所述待评估网络的网络安全风险。
在一个实施例中,风险要素量化模块,用于所述风险要素包括资产面临的威胁源、资产的脆弱性以及发生安全事件后对资产的影响,将发生安全事件后对资产的影响拆分为直接影响、间接影响以及直接影响带来间接影响可能性;对所述资产面临的威胁源、所述资产的脆弱性、所述直接影响、所述间接影响以及所述直接影响带来间接影响可能性,进行未来所述预设时长内的量化赋值。
在一个实施例中,风险量化模块,用于分别根据所述资产面临的威胁源、所述资产的脆弱性、所述直接影响、所述间接影响以及所述直接影响带来间接影响可能性的赋值,得到所述资产面临的威胁源、所述资产的脆弱性、所述直接影响、所述间接影响以及所述直接影响带来间接影响可能性各自对应的pert分布,将所述对于最有可能值赋值的信心程度值作为pert分布的gamma参数;根据所述间接影响的pert分布以及所述直接影响带来间接影响可能性的pert分布,得到次要影响的分布曲线;根据次要影响的分布曲线和所述直接影响的pert分布,得到综合影响程度的分布曲线;根据综合影响程度的分布曲线、所述资产面临的威胁源的pert分布以及所述资产的脆弱性的pert分布,得到所述主要风险场景的风险分布。
在一个实施例中,风险量化模块,用于采用蒙特卡洛算法,将所述间接影响的pert分布和所述直接影响带来间接影响可能性的pert分布相乘,得到次要影响的分布曲线;将次要影响的分布曲线和所述直接影响的pert分布叠加,得到综合影响程度的分布曲线。
在一个实施例中,风险量化模块,用于采用蒙特卡洛算法,将综合影响程度的分布曲线、所述资产面临的威胁源的pert分布以及所述资产的脆弱性的pert分布相乘,得到所述主要风险场景的风险分布。
在一个实施例中,场景构建模块,用于从关键场景要素的知识库中获取各场景要素的备选内容;根据所示待评估网络的相关信息,从各场景要素的备选内容中确定各场景要素的主要内容,来构建所述主要风险场景。
在一个实施例中,风险要素量化模块,用于获取预存的量化参照表,所述量化参照表包括各个风险要素的量化数值范围,每个风险要素的量化数值范围中的量化数值按照预设步长分段,不同的量化数值分段对应风险要素的不同的风险程度;基于所述量化参照表中的量化数值分段和对应的风险程度,对所述主要风险场景中的各个风险要素进行未来预设时长内的量化赋值。
在一个实施例中,上述装置还包括:
排序模块,用于对所述主要风险场景的网络安全风险进行优先级排序。
本发明实施例实现了如下技术效果:通过确定待评估网络的各场景要素的主要内容,构建主要风险场景,对主要风险场景中的风险要素进行未来预设时长内的量化赋值,进而基于风险要素的赋值,量化量化待评估网络的网络安全风险。实现了构建待评估网络的主要风险场景,并基于主要风险场景来对风险要素进行未来预设时长内的量化赋值,即将风险量化过程聚焦在待评估网络的主要风险场景上,可以实现有针对性地量化待评估网络的主要风险,有利于更客观、真实、准确地量化待评估网络的风险;同时,在对风险要素量化赋值的过程中,是对风险要素进行未来预设时长内的量化赋值,即风险要素的量化赋值考虑了时间因素,可以避免当下或瞬间风险要素的量化赋值带来的动态、不确定性,且对风险要素进行多角度量化赋值,避免单一赋值,使得对风险要素的描述更符合网络安全风险具有动态、不确定性大等特点,使得对风险要素的描述更客观、合理、真实,进而基于风险要素的量化赋值量化网络安全风险,有利于提高量化网络安全风险的客观性、合理性、真实性,进而有利于提高量化网络安全风险的准确性;同时,实现了客观、准确的定量的网络安全风险评估,有利于满足风险精益化管理等场景的数据需求,可以为支撑网络安全风险处置的优先级决策等应用场景提供可靠的数据依据。
显然,本领域的技术人员应该明白,上述的本发明实施例的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明实施例不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明实施例可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (12)

1.一种网络安全风险量化方法,其特征在于,包括:
根据待评估网络的相关信息,确定所述待评估网络的各场景要素的主要内容,构建主要风险场景;
对所述主要风险场景中的风险要素进行未来预设时长内的量化赋值,其中,所述赋值包括最有可能值、最小值、最大值以及对于最有可能值赋值的信心程度值;
根据所述风险要素的赋值,量化所述待评估网络的网络安全风险。
2.如权利要求1所述的网络安全风险量化方法,其特征在于,对所述主要风险场景中的风险要素进行未来预设时长内的量化赋值,包括:
所述风险要素包括资产面临的威胁源、资产的脆弱性以及发生安全事件后对资产的影响,将发生安全事件后对资产的影响拆分为直接影响、间接影响以及直接影响带来间接影响可能性;
对所述资产面临的威胁源、所述资产的脆弱性、所述直接影响、所述间接影响以及所述直接影响带来间接影响可能性,进行未来所述预设时长内的量化赋值。
3.如权利要求2所述的网络安全风险量化方法,其特征在于,根据所述风险要素的赋值,量化所述待评估网络的网络安全风险,包括:
分别根据所述资产面临的威胁源、所述资产的脆弱性、所述直接影响、所述间接影响以及所述直接影响带来间接影响可能性的赋值,得到所述资产面临的威胁源、所述资产的脆弱性、所述直接影响、所述间接影响以及所述直接影响带来间接影响可能性各自对应的pert分布,将所述对于最有可能值赋值的信心程度值作为pert分布的gamma参数;
根据所述间接影响的pert分布以及所述直接影响带来间接影响可能性的pert分布,得到次要影响的分布曲线;
根据次要影响的分布曲线和所述直接影响的pert分布,得到综合影响程度的分布曲线;
根据综合影响程度的分布曲线、所述资产面临的威胁源的pert分布以及所述资产的脆弱性的pert分布,得到所述主要风险场景的风险分布。
4.如权利要求3所述的网络安全风险量化方法,其特征在于,根据所述间接影响的pert分布以及所述直接影响带来间接影响可能性的pert分布,得到次要影响的分布曲线,包括:
采用蒙特卡洛算法,将所述间接影响的pert分布和所述直接影响带来间接影响可能性的pert分布相乘,得到次要影响的分布曲线;
根据次要影响的分布曲线和所述直接影响的pert分布,得到综合影响程度的分布曲线,包括:
将次要影响的分布曲线和所述直接影响的pert分布叠加,得到综合影响程度的分布曲线。
5.如权利要求3所述的网络安全风险量化方法,其特征在于,根据综合影响程度的分布曲线、所述资产面临的威胁源的pert分布以及所述资产的脆弱性的pert分布,得到所述主要风险场景的风险分布,包括:
采用蒙特卡洛算法,将综合影响程度的分布曲线、所述资产面临的威胁源的pert分布以及所述资产的脆弱性的pert分布相乘,得到所述主要风险场景的风险分布。
6.如权利要求3所述的网络安全风险量化方法,其特征在于,所述主要风险场景的风险分布包括所述网络安全风险的量化的风险数值和所述网络安全风险超过或低于所述风险值的概率。
7.如权利要求1至6 中任一项所述的网络安全风险量化方法,其特征在于,根据待评估网络的相关信息,确定所述待评估网络的各场景要素的主要内容,构建主要风险场景,包括:
从关键场景要素的知识库中获取各场景要素的备选内容;
根据所示待评估网络的相关信息,从各场景要素的备选内容中确定各场景要素的主要内容,来构建所述主要风险场景。
8.如权利要求1至6 中任一项所述的网络安全风险量化方法,其特征在于,对所述主要风险场景中的风险要素进行未来预设时长内的量化赋值,包括:
获取预存的量化参照表,所述量化参照表包括各个风险要素的量化数值范围,每个风险要素的量化数值范围中的量化数值按照预设步长分段,不同的量化数值分段对应风险要素的不同的风险程度;
基于所述量化参照表中的量化数值分段和对应的风险程度,对所述主要风险场景中的各个风险要素进行未来预设时长内的量化赋值。
9.如权利要求1至6 中任一项所述的网络安全风险量化方法,其特征在于,还包括:
对所述主要风险场景的网络安全风险进行优先级排序。
10.一种网络安全风险量化装置,其特征在于,包括:
场景构建模块,用于根据待评估网络的相关信息,确定所述待评估网络的各场景要素的主要内容,构建主要风险场景;
风险要素量化模块,用于对所述主要风险场景中的风险要素进行未来预设时长内的量化赋值,其中,所述赋值包括最有可能值、最小值、最大值以及对于最有可能值赋值的信心程度值;
风险量化模块,用于根据所述风险要素的赋值,量化所述待评估网络的网络安全风险。
11.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至9中任一项所述的网络安全风险量化方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1至9中任一项所述的网络安全风险量化方法的计算机程序。
CN202211298976.2A 2022-10-24 2022-10-24 网络安全风险量化方法、装置、计算机设备及存储介质 Pending CN115361241A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211298976.2A CN115361241A (zh) 2022-10-24 2022-10-24 网络安全风险量化方法、装置、计算机设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211298976.2A CN115361241A (zh) 2022-10-24 2022-10-24 网络安全风险量化方法、装置、计算机设备及存储介质

Publications (1)

Publication Number Publication Date
CN115361241A true CN115361241A (zh) 2022-11-18

Family

ID=84008087

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211298976.2A Pending CN115361241A (zh) 2022-10-24 2022-10-24 网络安全风险量化方法、装置、计算机设备及存储介质

Country Status (1)

Country Link
CN (1) CN115361241A (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1996326A (zh) * 2005-09-22 2007-07-11 阿尔卡特公司 信息系统服务级安全风险分析
US20180146004A1 (en) * 2016-11-22 2018-05-24 Aon Global Operations Ltd (Singapore Branch) Systems and methods for cybersecurity risk assessment
US20190052664A1 (en) * 2017-08-08 2019-02-14 American International Group, Inc. System and method for assessing cybersecurity risk of computer network
CN111507597A (zh) * 2020-04-10 2020-08-07 南京源堡科技研究院有限公司 一种网络信息安全风险评估模型和方法
CN113542279A (zh) * 2021-07-16 2021-10-22 北京源堡科技有限公司 一种网络安全风险评估方法、系统及装置
CN114757594A (zh) * 2022-06-15 2022-07-15 北京源堡科技有限公司 一种网络安全风险货币化量化方法、装置、终端及介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1996326A (zh) * 2005-09-22 2007-07-11 阿尔卡特公司 信息系统服务级安全风险分析
US20180146004A1 (en) * 2016-11-22 2018-05-24 Aon Global Operations Ltd (Singapore Branch) Systems and methods for cybersecurity risk assessment
US20190052664A1 (en) * 2017-08-08 2019-02-14 American International Group, Inc. System and method for assessing cybersecurity risk of computer network
CN111507597A (zh) * 2020-04-10 2020-08-07 南京源堡科技研究院有限公司 一种网络信息安全风险评估模型和方法
CN113542279A (zh) * 2021-07-16 2021-10-22 北京源堡科技有限公司 一种网络安全风险评估方法、系统及装置
CN114757594A (zh) * 2022-06-15 2022-07-15 北京源堡科技有限公司 一种网络安全风险货币化量化方法、装置、终端及介质

Similar Documents

Publication Publication Date Title
CN109241461B (zh) 一种用户画像构建方法及装置
US10445496B2 (en) Product risk profile
CN115643107B (zh) 网络安全风险评估方法、装置、计算机设备及存储介质
CN111539005A (zh) 一种面向数据安全策略的区块链数据识别方法和相关装置
CN111598360A (zh) 服务策略确定方法、装置及电子设备
CN113553583A (zh) 信息系统资产安全风险评估方法与装置
CN110826311B (zh) 对象识别方法以及装置
CN116846619A (zh) 一种自动化网络安全风险评估方法、系统及可读存储介质
Catalano et al. Security Testing Reuse Enhancing Active Cyber Defence in Public Administration.
CN116542520A (zh) 漏洞的处理方法及装置、存储介质和电子设备
CN111275106A (zh) 对抗样本生成方法、装置及计算机设备
Paulsson et al. Cloud ERP systems architectural challenges on cloud adoption in large international organizations: A sociomaterial perspective
Gnatyuk et al. Method of Cybersecurity Level Determining for the Critical Information Infrastructure of the State.
CN112613974A (zh) 一种风险预警方法、装置、设备及可读存储介质
CN115361241A (zh) 网络安全风险量化方法、装置、计算机设备及存储介质
US11757919B2 (en) System and method for catastrophic event modeling
Chandramohan et al. HPPC-hierarchical Petri-net based privacy nominal model approach for cloud
US20140359780A1 (en) Anti-cyber attacks control vectors
Alshehri An integrated AHP MCDM based Type-2 Neutrosophic Model for Assessing the Effect of Security in Fog-based IoT Framework.
Salvaggio et al. The European framework for cybersecurity: strong assets, intricate history
US10397312B2 (en) Automated server deployment platform
Srinivas Security analytics tools and implementation success factors: Instrument development using Delphi approach and exploratory factor analysis
Tziakouris et al. Market‐inspired framework for securing assets in cloud computing environments
Panteleev Cybersecurity for the Stimulation of Entrepreneurship Development in the Digital Economy Markets
Oriola et al. A collaborative approach for national cybersecurity incident management

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20221118

RJ01 Rejection of invention patent application after publication