[发明专利]一种数据泄露风险评估方法

说明书

本发明公开了一种数据泄露风险评估方法，属于信息安全技术领域，包括：获取信息系统的数据泄露历史信息，并对数据泄露历史信息进行处理，构造数据泄露信息特征词集合；将数据泄露信息特征词集合中的特征词与涉密敏感信息库中的敏感信息进行逐项匹配，并利用与敏感信息匹配成功的特征词来构造特征词匹配集合；利用层次分析法和模糊数学法对特征词匹配集合中的特征词进行处理，得到信息系统的数据泄露风险值。本发明基于层次分析法和模糊数学法对获取的信息系统泄露数据进行处理，实现数据泄露风险的准确评估。

技术领域

本发明涉及信息安全技术领域，特别涉及一种数据泄露风险评估方法。

背景技术

随着通信技术和计算机技术的发展，以及电子设备在社会生活中的普及，敏感信息正经过脆弱的通信线路在计算机之间传输，数据泄露的规模和范围在迅速扩大。

目前，数据泄露风险评估的方法主要包括以下几种：基于层次分析法，基于模糊数学法，基于熵权理论，基于关联规则。存在缺陷在于依靠专家的主观经验判断，难以量化、不便于计算，客观性和准确性差。

发明内容

本发明的目的在于克服上述背景技术中的不足，实现对信息系统数据泄露风险的准确评估。

为实现以上目的，采用一种数据泄露风险评估方法，包括如下步骤：

获取信息系统的数据泄露历史信息，并对数据泄露历史信息进行处理，构造数据泄露信息特征词集合；

将数据泄露信息特征词集合中的特征词与涉密敏感信息库中的敏感信息进行逐项匹配，并利用与敏感信息匹配成功的特征词来构造特征词匹配集合；

利用层次分析法和模糊数学法对特征词匹配集合中的特征词进行处理，得到信息系统的数据泄露风险值。

进一步地，所述获取信息系统的数据泄露历史信息，并对数据泄露历史信息进行处理，构造数据泄露信息特征词集合，包括：

提取所述数据泄露历史信息的文本信息；

利用统计分词法对文本信息进行分词处理，得到分词列表；

对分词列表中的词语进行停用词过滤，利用删除停用词后的词语构造所述数据泄露信息特征词集合。

将数据泄露信息特征词集合中的特征词与涉密敏感信息库中的敏感信息进行逐项匹配，并利用与敏感信息匹配成功的特征词来构造特征词匹配集合，匹配过程是：将数据泄露特征词与敏感信息库中的敏感词逐个进行比对，若与敏感信息库中敏感词相符合，则匹配成功，并记录特征词于特征词集合库；若与敏感信息库中敏感词不相符，则匹配不成功，该数据泄露特征词不记录于特征词集合库，从敏感信息库中选择另一个敏感词重复上述过程，直至敏感信息库中的所有敏感词均比对完成为止。

构建数据泄露信息特征词集合库，包括：提取所述数据泄露历史文本信息；利用统计分词法对文本信息进行分词处理，得到分词列表；对分词列表中的词语进行停用词过滤，删除停用词后的词语与经敏感信息库中的敏感词逐个进行比对获取的特征词集合一起，构建数据泄露信息特征词集合库。

利用层次分析法和模糊数学法对特征词匹配集合中的特征词进行处理，得到信息系统的数据泄露风险值，包括：

构造不同级别的数据泄露风险因素重要度的递阶层次结构；

按照递阶层次结构，采用标度法对不同级别的数据泄露风险因素的相对重要性进行评判，构造判断矩阵；

利用所述层次分析法计算出判断矩阵的排序权向量；

根据数据泄露风险要素构造风险要素集，并根据模糊数学法对每个数据泄露风险要素构造风险评判集；

根据风险要素集和风险评判集，计算隶属度矩阵，并计算出隶属度矩阵的排序权向量；