[发明专利]信息系统的安全风险评估方法、装置及设备

权利要求书

1.一种信息系统的安全风险评估方法，其特征在于，包括：

通过查询预先创建的资产描述文件、脆弱性描述文件、威胁描述文件，分别确定待评估资产的资产价值参数、脆弱性参数、威胁强度参数；

根据所述资产价值参数和所述脆弱性参数，确定所述待评估资产的损失程度参数，并根据所述脆弱性参数和所述威胁强度参数，确定所述待评估资产的风险概率参数；

根据所述损失程度参数和所述风险概率参数，确定所述待评估资产的安全风险评估结果。

2.如权利要求1所述的方法，其特征在于，所述根据所述资产价值参数和所述脆弱性参数，确定所述待评估资产的损失程度参数，包括：

通过查询预先创建的损失程度描述文件，确定与所述资产价值参数和所述脆弱性参数对应的损失程度参数。

3.如权利要求2所述的方法，其特征在于，所述根据所述损失程度参数和所述风险概率参数，确定所述待评估资产的安全风险评估结果，包括：

通过查询预先创建的安全风险描述文件，确定与所述损失程度参数和所述风险概率参数对应的安全风险参数以作为所述待评估资产的安全风险评估结果。

4.如权利要求1所述的方法，其特征在于，所述通过查询预先创建的资产描述文件、脆弱性描述文件、威胁描述文件，分别确定待评估资产的资产价值参数、脆弱性参数、威胁强度参数，包括：

通过查询预先创建的资产描述表格、脆弱性描述表格、威胁描述表格，分别确定待评估资产的资产价值参数、脆弱性参数、威胁强度参数。

5.如权利要求4所述的方法，其特征在于，所述通过查询预先创建的资产描述表格、脆弱性描述表格、威胁描述表格，分别确定待评估资产的资产价值参数、脆弱性参数、威胁强度参数，包括：

通过查询预先创建的资产描述表格、脆弱性描述表格、威胁描述表格，分别确定待评估资产的资产价值等级、脆弱性等级、威胁强度等级。

6.如权利要求1所述的方法，其特征在于，在所述通过查询预先创建的资产描述文件、脆弱性描述文件、威胁描述文件，分别确定待评估资产的资产价值参数、脆弱性参数、威胁强度参数之前，还包括：

确定信息系统中的待评估资产。

7.如权利要求1-6任意一项所述的方法，其特征在于，在所述根据所述损失程度参数和所述风险概率参数，确定所述待评估资产的安全风险评估结果之后，还包括：

响应描述文件的查看请求以显示以下任意一项或多项：资产描述文件、脆弱性描述文件、威胁描述文件。

8.一种信息系统的安全风险评估装置，其特征在于，包括：

第一参数确定模块：用于通过查询预先创建的资产描述文件、脆弱性描述文件、威胁描述文件，分别确定待评估资产的资产价值参数、脆弱性参数、威胁强度参数；

第二参数确定模块：用于根据所述资产价值参数和所述脆弱性参数，确定所述待评估资产的损失程度参数，并根据所述脆弱性参数和所述威胁强度参数，确定所述待评估资产的风险概率参数；

第三参数确定模块：用于根据所述损失程度参数和所述风险概率参数，确定所述待评估资产的安全风险评估结果。

9.一种信息系统的安全风险评估设备，其特征在于，包括：

存储器：用于存储计算机程序；

处理器：用于执行所述计算机程序以实现如权利要求1-7任意一项所述的信息系统的安全风险评估方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时用于实现如权利要求1-7任意一项所述的信息系统的安全风险评估方法的步骤。