[发明专利]一种数据安全保护方法、装置及存储介质

说明书

本发明公开了本发明提供了一种数据安全保护方法及装置，该方法包括以下步骤：确定数据安全风险涉及的因素，包括：数据资产Z、数据威胁性T以及数据脆弱性V；根据数据资产Z、数据威胁性级别T以及数据脆弱性级别V确定数据风险程度矩阵R；确定数据资产Z、数据威胁性T以及数据脆弱性V相关的权重向量组G；根据所述数据风险矩阵和所述权重向量组确定数据风险级别隶属度Y＝G*R；根据所述风险级别隶属度确定相应的数据保护方案。通过本发明的技术方案，很好的解决了现有网络安全风险评估方法中存在的评估指标单一、评估过程不合理的问题，便于采取更有针对性的数据保护方案。

技术领域

本发明涉及数据安全领域，具体涉及一种基于向量矩阵乘积的网络安全风险评估方法及装置。

背景技术

按照ITSEC的定义对本发明中涉及的重要概念加以解释：

资产(Asset)：资产是属于某个组织的有价值的信息或者资源，本文指的是与评估对象信息处理有关的信息和信息载体。

风险(Risk)：威胁主体利用资产的漏洞对其造成损失或破坏的可能性。

威胁(Threat)：导致对系统或组织有害的，未预料的事件发生的可能性。

漏洞(Vulnerabmty)：指的是可以被威胁利用的系统缺陷，能够增加系统被攻击的可能性。

随着信息技术翻天覆地的发展，信息产业的发达程度已经成为一个国家的综合国力和国际竞争力强弱的重要标志，信息安全也被国家提至战略层面，信息系统安全风险评估在整个信息安全发展占有重要的地位，是信息系统安全风险管理的基础性工作。

关于安全风险评估的最直接的评估模型就是，以一个简单的类数学模型来计算风险。

即：风险＝威胁+脆弱+资产影响。后演变成逻辑与计算需要乘积而不是和的数学模型。

即：风险＝威胁x脆弱x资产影响。

现有技术的实现方案包括：

(1)现有风险评估的计算公式

根据资产、威胁、脆弱性等评估结果，对评估范围内的每一资产因遭受泄露、修改、不可用和破坏所带来的任何影响，以及这种影响发生的可能性或频率，按照定性的分析方法，客观合理的度量标准，计算各种资产所面临的潜在风险大小。

资产的风险计算公式如下：

其中：R代表信息资产的风险，A代表该信息资产的价值，Ti代表该信息资产面临的威胁列表，Vj代表该信息资产存在的脆弱性列表；Фi，j取值0或1，它代表Vj被Ti利用的可能性，如果可能被利用取值1，如果不可能利用取值0。

(2)风险等级划分方法

根据风险计算方法中所描述的等级划分原则，并结合风险计算结果的定量定性分析，采用下面的赋值矩阵来获得最终的风险等级。等级越大风险越高。

风险等级对应表

(3)风险计算结果

根据风险等级划分方法，某信息系统资产风险等级列表如下表所示：

由资产风险列表，按风险等级统计出风险统计表，如下表所示。