[发明专利]信息系统的风险评估算法

权利要求书

1.一种信息系统的风险评估算法，其特征在于：1）根据GB/T 20984-2007标准将信息系统的资产的评价因素、脆弱性的评价因素及威胁的评价因素建立由资产、脆弱性及威胁构成的三元组关联关系，获得安全评估指标体系，得到24对风险关系；24对风险关系具                                               2）被测评单位、专业测评机构及专家独立给出评估矩阵，将上述的评估矩阵进行无量纲化处理后，将获得的24对风险关系带入公式（1），计算获得资产综合值A；根据资产价值A和脆弱性值V计算安全事件造成的损失综合值F；根据脆弱性值V和威胁值T，计算安全事件可能性综合值L；将安全事件造成的损失F和安全事件可能性L带入公式（2），计算获得风险综合值R；。

2.信息系统的风险评估算法，其特征在于：先将信息系统存在的风险根据层次分析法分解为不同层次的评价因素，然后由资产的评价因素、脆弱性的评价因素及威胁的评价因素的初值组成评估矩阵，并作无量纲化，根据群决策方法对评价因素集结，计算出各要评价因素的综合值，最后得到系统的风险值。

3.信息系统的风险评估算法，其特征在于：资产的评价因素为数据(A₁)、软件(A₂)、硬件(A₃)、服务(A₄)及人员(A₅)；脆弱性的评价因素为物理环境(V₁)、网络结构(V₂)、系统软件(V₃)、应用中间件(V₄)、应用系统(V₅)、技术管理(V₆)及组织管理(V₇)；威胁的评价因素为软硬件故障(T₁)、物理环境影响(T₂)、操作失误(T₃)、管理不到位(T₄)、恶意代码(T₅)、越权或滥用(T₆)、网络攻击(T₇)、物理攻击(T₈)、泄密(T₉)、篡改(T₁₀)及抵赖(T₁₁)。