[发明专利]一种信息系统风险评估方法及装置

权利要求书

1.一种信息系统风险评估方法，其特征在于，该方法包括：

确定信息系统内每个评估对象的各个风险基本要素的值，所述各个风险基本要素至少包括资产、威胁、脆弱性三个基本要素；

针对所述信息系统内的任意一个安全域的任意一个风险基本要素，将所述安全域内的各个评估对象的所述风险基本要素的值作为模型因子，利用预设的概率计算模型计算得到所述安全域的所述风险基本要素的值，其中，在所述概率计算模型中所述安全域内的各个评估对象的所述风险基本要素的最大值对应的权重值最大；

根据所述安全域的每个风险基本要素的值，利用风险估算法求得所述安全域的风险值。

2.如权利要求1所述的方法，其特征在于，还包括：

针对所述信息系统内的任意一个风险基本要素，将所述信息系统内的各个安全域的所述风险基本要素的值作为模型因子，利用预设的所述概率计算模型计算得到所述信息系统的所述风险基本要素的值，其中，在所述概率计算模型中所述信息系统内的各个安全域的所述风险基本要素的最大值对应的权重值最大；

根据所述信息系统的风险基本要素的值，利用风险评估算法求得所述信息系统的风险值。

3.如权利要求1或2所述的方法，其特征在于，所述预设的概率计算模型如公式一所示，

所述公式一为：

$R^{\′}=R_1+\underset{i=2}{\overset{n}{\mathrm{\Σ}}}\mathrm{\μ}\left(\frac{{R_i}^2}{Max\left(R\right)\×R_1}\right)$

其中，R为资产、威胁、脆弱性三个风险基本要素中的任意一个，R的取值范围为[0,Max(R)]，其中Max(R)为大于等于1的理论最大值，R1为所述风险基本要素R的实际最大值，u为收敛系数，取值在0至1/(n+Max(R))之间，n为有n个待计算的风险基本要素值，R_i为除了所述最大值之外的风险基本要素的值，R’为求得的风险基本要素的值。

4.如权利要求1或2所述的方法，其特征在于，所述风险估算法如公式二所示，

所述公式二为：

风险值＝Round1{Log2[(A×2The+B×2Vul+C×2Con)/3]}×Asset(value)

其中，The代表威胁行为权值；Vul代表脆弱性的权值；Con代表弥补措施的权值；Round函数是按制定位数，对数值四舍五入的函数，Round1表示保留1位小数；Asset(value)代表资产价值；A为威胁行为权值的系数；B为脆弱性的权值的系数；C为弥补措施的权值的系数。

5.如权利要求2所述的方法，其特征在于，利用风险评估算法求得所述信息系统的风险值之后，还包括：

生成所述信息系统的安全风险报告，其中所述安全风险报告包括：能够导致风险的安全事件和安全漏洞的清单，以及各种安全事件和安全漏洞所对应的安全风险等级。