[发明专利]一种基于多要素融合的信息系统风险评估方法无效
| 申请号: | 200810147204.2 | 申请日: | 2008-08-22 |
| 公开(公告)号: | CN101374051A | 公开(公告)日: | 2009-02-25 |
| 发明(设计)人: | 王宁;海然;周游;李颖欣;盛丽君;黄莺 | 申请(专利权)人: | 中国航天科工集团第二研究院七○六所 |
| 主分类号: | H04L9/36 | 分类号: | H04L9/36;H04L12/24;H04L12/26 |
| 代理公司: | 中国航天科工集团公司专利中心 | 代理人: | 岳洁菱 |
| 地址: | 100854*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 要素 融合 信息系统 风险 评估 方法 | ||
1.一种基于多要素融合的信息安全风险评估方法,其特征在于具体步骤为:
第一步,搭建基于多要素融合的信息安全风险评估系统;系统包括数据传输模块(10)、数据导入模块(14)、风险评估结果库模块(12)、报告模块(15)、日志模块(16)、风险评估模块(2)和安全检测数据获取模块(13),还包括任务管理模块(1)、评估模板模块(7)、资产调查模块(8)、问卷调查模块(9)、评估库模块(11),其中风险评估模块(2)包括资产评估子模块(3)、威胁评估子模块(4)、脆弱性评估子模块(5)和风险计算子模块(6);任务管理模块(1)分别与风险评估模块(2)、资产调查模块(8)和问卷调查模块(9)连接;风险评估模块(2)分别与评估模板模块(7)、数据传输模块(10)、报告模块(15)和日志模块(16)连接;数据传输模块(10)与评估模板模块(7)连接;资产调查模块(8)、问卷调查模块(9)分别与数据传输模块(10)连接;安全检测数据获取模块(13)、数据导入模块(14)、评估库模块(11)、数据传输模块(10)和风险评估结果库模块(12)顺次连接;风险评估模块(2)中的资产评估子模块(3)、威胁评估子模块(4)、脆弱性评估子模块(5)和风险计算子模块(6)顺次连接;
第二步,确定风险评估要素;
风险评估要素为:资产、安全威胁、安全脆弱性;
用户登录系统后,系统通过任务管理模块(1)下发资产调查任务,根据任务信息,资产调查模块(8)获取被测对象的资产信息,包括资产的组成信息、每个资产的相关属性信息,获取的资产数据通过数据传输模块(10)输入评估库模块(11),并归入评估库模块(11)中的资产分类中;
系统通过任务管理模块(1)下发问卷调查任务,根据任务信息,问卷调查模块(9)获取安全管理方面的安全脆弱性信息,获取的安全脆弱性数据通过数据传输模块(10)输入评估库模块(11),并归入评估库模块(11)中的安全脆弱性分类中;
安全检测数据获取模块(13)获取实现安全脆弱性扫描、渗透性测试、安全威胁检测等技术手段的检测工具得到的安全威胁数据和安全脆弱性数据,获取的安全威胁数据和安全脆弱性数据通过数据导入模块(14)导入评估库模块(11),并归入评估库模块(11)中的安全威胁分类、安全脆弱性分类中;
第三步,确定风险评估要素的融合关系;
风险评估要素融合关系为:资产面临安全威胁、资产存在安全脆弱性、安全威胁利用安全脆弱性导致安全风险;
系统通过任务管理模块(1)下发风险评估任务,开始风险评估;
评估模板模块(7)通过数据传输模块(10)获取评估库模块(11)中的资产分类、安全威胁分类、安全脆弱性分类、资产-安全威胁-安全脆弱性融合关系信息,根据被测对象定制评估中的资产、安全威胁、安全脆弱性、资产面临的安全威胁、资产存在的安全脆弱性、安全威胁可利用的脆弱性以及使用的风险计算方法;
第四步,风险评估;
风险评估模块(2)根据确定的评估要素,分析评估要素间的融合关系,并计算风险值;
资产评估:
资产评估子模块(3)通过数据传输模块(10)从评估库模块(11)获取本次评估的资产信息,为每个资产的属性信息赋值;
资产评估子模块(3)依据每个资产的赋值,计算资产的价值;资产价值的计算公式为:
A=F(U1,U2,U3)
其中:A表示资产价值;
(U1,U2,U3)分别表示决定资产价值的属性;
F为计算函数,定义为:矩阵法/算术平均值法/几何平均值法;
资产评估子模块(3)依据计算得出的资产价值,确定每个资产价值等级,并将资产评估子模块(3)的评估结果通过数据传输模块(10)写入风险评估结果库模块(12);
威胁评估:
威胁评估子模块(4)通过数据传输模块(10)从评估库获取本次评估的安全威胁信息,确定每个安全威胁的发生频率;
威胁评估子模块(4)根据评估模板模块(7)定制的评估模板,确定本次评估中资产面临的安全事件,定义资产-安全威胁间的融合关系,即资产面临的安全威胁为安全事件;
威胁评估子模块(4)根据威胁发生频率、资产评估子模块(3)得到的资产价值,计算安全事件发生的可能性;安全事件发生可能性计算公式为:
I=F(A,T)
其中:I表示安全事件发生的可能性;
A表示资产价值;
T表示威胁发生频率;
威胁评估子模块(4)依据计算得出的安全事件发生可能性,确定每个安全事件等级,并将威胁评估子模块(4)的评估结果通过数据传输模块(10)写入风险评估结果库模块(12);
脆弱性评估:
脆弱性评估子模块(5)根据评估模板模块(7)定制的评估模板,确定本次评估中资产面临的安全脆弱性;
脆弱性评估子模块(5)根据评估模板模块(7)定制的评估模板,确定本次评估中资产面临的风险事件,定义资产-安全威胁-安全脆弱性间的融合关系,即资产的安全脆弱性为风险事件;
脆弱性评估子模块(5)通过数据传输模块(10)从评估库模块(11)获取本次评估的安全脆弱性,确定每个安全脆弱性的严重程度,并将脆弱性评估子模块(5)的评估结果通过数据传输模块(10)写入风险评估结果库模块(12);
风险计算:
风险计算子模块(6)根据威胁评估子模块(4)得到的安全事件发生可能性、脆弱性评估子模块(5)得到的脆弱性严重程度,计算资产面临的风险事件大小;风险事件的值计算公式为:
R=F(I,V)
其中:R表示资产面临的风险事件的值;
V表示脆弱性的严重程度;
风险计算子模块(6)根据计算得出的每个资产面临的风险事件的值,确定风险事件的等级,并将风险计算子模块(6)的评估结果通过数据传输模块(10)写入风险评估结果库模块(12);
用户可选择报告模块(15)查看风险评估结果,也可选择日志模块(16)查看用户对风险评估模块操作信息。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国航天科工集团第二研究院七○六所,未经中国航天科工集团第二研究院七○六所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/200810147204.2/1.html,转载请声明来源钻瓜专利网。
- 上一篇:精细研磨空心球的自由浮球式蒸汽疏水阀
- 下一篇:资源持续指示的授权方法
