一種信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法及系統(tǒng)與流程

文檔序號(hào)：12493741閱讀：來(lái)源：國(guó)知局

導(dǎo)航： X技術(shù)> 最新專利>電子通信裝置的制造及其應(yīng)用技術(shù)>一種信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法及系統(tǒng)與流程

技術(shù)特征：

1.一種信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法，其特征在于，該方法包括：

獲取信息系統(tǒng)的安全風(fēng)險(xiǎn)報(bào)告；

根據(jù)所述安全風(fēng)險(xiǎn)報(bào)告確定所述信息系統(tǒng)內(nèi)每個(gè)評(píng)估對(duì)象的各個(gè)風(fēng)險(xiǎn)基本要素的值，所述各個(gè)風(fēng)險(xiǎn)基本要素至少包括資產(chǎn)、威脅、脆弱性三個(gè)基本要素；

針對(duì)任意一個(gè)待評(píng)估對(duì)象，根據(jù)所述待評(píng)估對(duì)象的脆弱性值和所述待評(píng)估對(duì)象的資產(chǎn)值，確定風(fēng)險(xiǎn)造成的損失；根據(jù)所述待評(píng)估對(duì)象的脆弱性值和所述待評(píng)估對(duì)象的威脅值，確定風(fēng)險(xiǎn)發(fā)生的可能性；將風(fēng)險(xiǎn)造成的損失和風(fēng)險(xiǎn)發(fā)生的可能性相乘之后開方，得到所述待評(píng)估對(duì)象的風(fēng)險(xiǎn)值。

2.如權(quán)利要求1所述的方法，其特征在于，所述根據(jù)待評(píng)估對(duì)象的脆弱性值和待評(píng)估對(duì)象的資產(chǎn)值，確定風(fēng)險(xiǎn)造成的損失，包括：

按照公式一根據(jù)資產(chǎn)值及脆弱性嚴(yán)重程度，計(jì)算安全事件一旦發(fā)生后風(fēng)險(xiǎn)造成的損失，所述公式一為：

$<mrow> <msub> <mi>R</mi> <mi>l</mi> </msub> <mo>=</mo> <msqrt> <mfrac> <mrow> <msub> <mi>r</mi> <mi>h</mi> </msub> <mo>×</mo> <msub> <mi>r</mi> <mi>h</mi> </msub> <mo>×</mo> <msub> <mi>w</mi> <mi>p</mi> </msub> </mrow> <mn>3</mn> </mfrac> </msqrt> </mrow>$

其中，所述r_h為待評(píng)估對(duì)象的脆弱性值；w_p為待評(píng)估對(duì)象的資產(chǎn)值；R_l為風(fēng)險(xiǎn)造成的損失。

3.如權(quán)利要求2所述的方法，其特征在于，還包括：

確定資產(chǎn)的三個(gè)安全屬性的賦值，所述資產(chǎn)的三個(gè)安全屬性為可用性、保密性、完整性；

按照公式二計(jì)算得到待評(píng)估對(duì)象的資產(chǎn)值，所述公式二為：

$<mrow> <msub> <mi>w</mi> <mi>p</mi> </msub> <mo>=</mo> <mi>Σ</mi> <mroot> <mrow> <msup> <mi>a</mi> <mrow> <mi>n</mi> <mn>1</mn> </mrow> </msup> <mo>×</mo> <msup> <mi>b</mi> <mrow> <mi>n</mi> <mn>2</mn> </mrow> </msup> <mo>×</mo> <msup> <mi>c</mi> <mrow> <mi>n</mi> <mn>3</mn> </mrow> </msup> </mrow> <msub> <mi>n</mi> <mi>i</mi> </msub> </mroot> </mrow>$

其中，w_p為待評(píng)估對(duì)象的資產(chǎn)值；a為可用性賦值；n1為可用性賦值的權(quán)重次數(shù)；b為保密性賦值；n2為保密性賦值的權(quán)重次數(shù)；c為完整性賦值；n3為完整性賦值的權(quán)重次數(shù)。

4.如權(quán)利要求1所述的方法，其特征在于，根據(jù)待評(píng)估對(duì)象的脆弱性值和待評(píng)估對(duì)象的威脅值，確定風(fēng)險(xiǎn)發(fā)生的可能性，包括：

確定所述待評(píng)估對(duì)象的各威脅事件的威脅值；

根據(jù)所述各威脅事件的威脅值，確定所述待評(píng)估對(duì)象的威脅值；

按照公式三確定風(fēng)險(xiǎn)發(fā)生的可能性，所述公式三為：

$<mrow> <msub> <mi>R</mi> <mi>p</mi> </msub> <mo>=</mo> <mfenced open = "{" close = ""> <mtable> <mtr> <mtd> <msqrt> <mrow> <msub> <mi>r</mi> <mi>h</mi> </msub> <mo>×</mo> <mi>t</mi> </mrow> </msqrt> </mtd> <mtd> <mrow> <mn>0</mn> <mo><</mo> <mi>t</mi> <mo>≤</mo> <mn>10</mn> </mrow> </mtd> </mtr> </mtable> </mfenced> </mrow>$

其中，r_h為待評(píng)估對(duì)象的脆弱性值；t為待評(píng)估對(duì)象的威脅值，范圍0～10；R_p為風(fēng)險(xiǎn)可能性。

5.如權(quán)利要求4所述的方法，其特征在于，還包括：

按照公式四確定所述待評(píng)估對(duì)象的威脅值，所述公式四為：

$<mrow> <msup> <mi>T</mi> <mo>′</mo> </msup> <mo>=</mo> <msub> <mi>T</mi> <mn>1</mn> </msub> <mo>+</mo> <munderover> <mo>Σ</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>2</mn> </mrow> <mi>n</mi> </munderover> <mi>μ</mi> <msup> <mrow> <mo>(</mo> <mfrac> <msub> <mi>T</mi> <mi>i</mi> </msub> <msub> <mi>T</mi> <mn>1</mn> </msub> </mfrac> <mo>)</mo> </mrow> <mn>2</mn> </msup> </mrow>$

其中，T₁為n個(gè)威脅事件中的最大威脅值；u為收斂系數(shù)；n為有n個(gè)威脅事件；T_i為除了所述最大值之外的威脅值；T'為求得的所述待評(píng)估對(duì)象的威脅值。

6.如權(quán)利要求4所述的方法，其特征在于，還包括：

針對(duì)任意一個(gè)資產(chǎn)，利用公式五進(jìn)計(jì)算所述待評(píng)估對(duì)象的任意一個(gè)威脅事件的威脅值，所述公式五為：

$<mrow> <msub> <mi>T</mi> <mi>i</mi> </msub> <mo>=</mo> <mfrac> <mrow> <munderover> <mo>Σ</mo> <mn>1</mn> <mn>5</mn> </munderover> <mi>Im</mi> <mi>p</mi> <mi>a</mi> <mi>c</mi> <mi>t</mi> <mo>×</mo> <msub> <mi>N</mi> <mi>i</mi> </msub> </mrow> <mi>N</mi> </mfrac> <mo>×</mo> <mi>k</mi> <mn>1</mn> <mo>×</mo> <mi>k</mi> <mn>2</mn> </mrow>$

其中，所述N為所述待評(píng)估對(duì)象的所述類型的威脅事件的威脅總數(shù)；Impact為威脅的影響等級(jí)，取值范圍[0,5]；Ni為所述類型的威脅事件的威脅頻次；k1為所述類型的威脅事件的威脅頻度；k2為所述類型的威脅事件的威脅權(quán)值。

7.一種信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估系統(tǒng)，其特征在于，該系統(tǒng)包括：

獲取單元，用于獲取信息系統(tǒng)的安全風(fēng)險(xiǎn)報(bào)告；

確定單元，用于根據(jù)所述安全風(fēng)險(xiǎn)報(bào)告確定所述信息系統(tǒng)內(nèi)每個(gè)評(píng)估對(duì)象的各個(gè)風(fēng)險(xiǎn)基本要素的值，所述各個(gè)風(fēng)險(xiǎn)基本要素至少包括資產(chǎn)、威脅、脆弱性三個(gè)基本要素；

計(jì)算單元，用戶針對(duì)任意一個(gè)待評(píng)估對(duì)象，根據(jù)所述待評(píng)估對(duì)象的脆弱性值和所述待評(píng)估對(duì)象的資產(chǎn)值，確定風(fēng)險(xiǎn)造成的損失；根據(jù)所述待評(píng)估對(duì)象的脆弱性值和所述待評(píng)估對(duì)象的威脅值，確定風(fēng)險(xiǎn)發(fā)生的可能性；將風(fēng)險(xiǎn)造成的損失和風(fēng)險(xiǎn)發(fā)生的可能性相乘之后開方，得到所述待評(píng)估對(duì)象的風(fēng)險(xiǎn)值。

8.如權(quán)利要求7所述的系統(tǒng)，其特征在于，所述計(jì)算單元具體用于：

按照公式一根據(jù)資產(chǎn)值及脆弱性嚴(yán)重程度，計(jì)算安全事件一旦發(fā)生后風(fēng)險(xiǎn)造成的損失，所述公式一為：

其中，所述r_h為待評(píng)估對(duì)象的脆弱性值；w_p為待評(píng)估對(duì)象的資產(chǎn)值；R_l為風(fēng)險(xiǎn)造成的損失。

9.如權(quán)利要求8所述的系統(tǒng)，其特征在于，所述確定單元還用于：確定資產(chǎn)的三個(gè)安全屬性的賦值，所述資產(chǎn)的三個(gè)安全屬性為可用性、保密性、完整性；

所述計(jì)算單元具體用于：按照公式二計(jì)算得到待評(píng)估對(duì)象的資產(chǎn)值，所述公式二為：

10.如權(quán)利要求7所述的系統(tǒng)，其特征在于，所述確定單元還用于：確定所述待評(píng)估對(duì)象的各威脅事件的威脅值；根據(jù)所述各威脅事件的威脅值，確定所述待評(píng)估對(duì)象的威脅值；

所述計(jì)算單元還用于：按照公式三確定風(fēng)險(xiǎn)發(fā)生的可能性，所述公式三為：

其中，r_h為待評(píng)估對(duì)象的脆弱性值；t為待評(píng)估對(duì)象的威脅值，范圍0～10；R_p為風(fēng)險(xiǎn)可能性。

11.如權(quán)利要求10所述的系統(tǒng)，其特征在于，所述計(jì)算單元還用于：

按照公式四確定所述待評(píng)估對(duì)象的威脅值，所述公式四為：

12.如權(quán)利要求10所述的系統(tǒng)，其特征在于，所述計(jì)算單元還用于：

針對(duì)任意一個(gè)資產(chǎn)，利用公式五進(jìn)計(jì)算所述待評(píng)估對(duì)象的任意一個(gè)威脅事件的威脅值，所述公式五為：

完整全部詳細(xì)技術(shù)資料下載

當(dāng)前第2頁(yè)1 2 3

相關(guān)技術(shù)

網(wǎng)友詢問留言已有0條留言

還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊！

精彩留言，會(huì)給你點(diǎn)贊！

信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估相關(guān)技術(shù)

信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估報(bào)告相關(guān)技術(shù)

信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估相關(guān)技術(shù)

管理信息系統(tǒng)開發(fā)方法相關(guān)技術(shù)

欧美在线观看视频网站,亚洲熟妇色自偷自拍另类,啪啪伊人网,中文字幕第13亚洲另类,中文成人久久久久影院免费观看 ,精品人妻人人做人人爽,亚洲a视频

一種信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法及系統(tǒng)與流程