[发明专利]一种多维度风险评估方法

说明书

技术领域

本发明涉及一种电力系统的评估方法，具体讲涉及一种多维度风险评估方法。

背景技术

风险计算模型包含信息资产、脆弱性、威胁等关键要素。每个要素有各自的属性，信息资产的属性是资产价值，脆弱性属性是脆弱性或漏洞被威胁利用后对资产带来的影响的严重程度，威胁的属性是威胁发生的可能性。现有的风险评估计算只从一个维度计算风险值，不能反映风险的具体情况，不能准确反映风险范围以及风险的程度。因此需要提供一种能反映风险的具体情况、准确反映风险范围及风险的程度的多维风险评估方法，以满足技术发展的需要。

发明内容

针对现有技术的不足，本发明的目的是提供一种多维度风险评估方法，解决当前风险评估中多维度的信息安全定量的评价，本发明采用定性与定量相结合的方法对风险进行分析计算，并从安全策略、管理风险、技术风险、运维风险等多个维度进行综合风险分析。

本发明的目的是采用下述技术方案实现的：

本发明提供一种多维度风险评估方法，其改进之处在于，所述多维包括策略、管理、运维和技术四维，所述方法包括下述步骤：

(1)确定资产值；

(2)确定威胁值；

(3)确定策略脆弱性；

(4)确定技术脆弱性；

(5)确定管理脆弱性；

(6)确定运维脆弱性；

(7)信息安全风险评估；

(8)拓展所述安全风险评估。

进一步地，所述步骤(1)中，所述资产值包括资产的机密性价值、资产的完整性价值和资产的可用性价值；信息、软件的机密性赋值的最大值用A_c表示；信息、软件、硬件的完整性赋值的最大值用A_i表示；信息、软件、硬件、人员的可用性赋值的最大值用分别A_a表示；A_c、A_i和A_a分别用下述表达式表示：

A_c＝max(A信息_c,A软件_c)*L    ①；

A_i＝max(A信息_i,A软件_i,A硬件_i)*L    ②；

A_a＝max(A信息_a,A软件_a,A硬件_a,A人员_a)*L    ③；

其中：L代表资产所属业务系统的安全等级。

进一步地，所述步骤(2)中，所述威胁值包括威胁的严重程度T_s、威胁发生的可能性T_f、威胁对机密性的严重程度T_sc、威胁对完整性的严重程度T_si和威胁对可用性的严重程度T_sa；各项所述的威胁可能性与机密性严重程度乘积的和用下述的T_c式表示：

T_c＝T_f1*T_sc1+T_f2*T_sc2+T_f3*T_sc3+......+T_f3*T_scq    ④；

各项威胁的可能性与完整性严重程度乘积的和用下述的T_i式表示：

T_i＝T_f1*T_si1+T_f2*T_si2+T_f3*T_si3+......+T_f3*T_siq    ⑤；

各项威胁的可能性与可用性严重程度乘积的和用T_a表示，表达式如下：

T_a＝T_f1*T_sa1+T_f2*T_sa2+T_f3*T_sa3+......+T_f3*T_saq    ⑥；

其中：q＝1，2，3，......。