本發(fā)明涉及網(wǎng)絡安全領(lǐng)域，尤其涉及一種信息系統(tǒng)風險評估方法及系統(tǒng)。

背景技術(shù)：

對于計算機系統(tǒng)來說，由于計算機系統(tǒng)中的硬件、軟件和/或協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在有缺陷，可以使攻擊者在未授權(quán)的情況下訪問或破壞計算機系統(tǒng)。這些缺陷也被稱為計算機漏洞。一些處于網(wǎng)絡中的計算機由于存在漏洞而存在有網(wǎng)絡威脅。隨著計算機網(wǎng)絡的快速發(fā)展，通過計算機網(wǎng)絡提供各種服務的計算機系統(tǒng)也越來越普及，而這些計算機系統(tǒng)所存在的漏洞所導致的損失也就越大。

目前傳統(tǒng)的風險評估方法通常是建立風險評估模型對計算機系統(tǒng)進行定性分析，實際情況是，由IT技術(shù)支持成員和業(yè)務所有者組成評估小組進行風險級別定性評估，這樣往往導致威脅和脆弱性分析等因素不完全理解；此外，當風險評估量增加時，也會由于主觀因素導致風險評估結(jié)果變得不可靠。由于現(xiàn)有的各種風險評價機制往往流于主觀評價，因評估人員而異其評價結(jié)果也往往變得不可用。

技術(shù)實現(xiàn)要素：

本發(fā)明實施例提供一種信息系統(tǒng)風險評估方法及系統(tǒng)，用以解決提供一種信息系統(tǒng)的風險評估方法，可以準確地評估系統(tǒng)的風險值。

本發(fā)明方法包括一種信息系統(tǒng)風險評估方法，該方法包括：獲取信息系統(tǒng)的安全風險報告；

根據(jù)所述安全風險報告確定所述信息系統(tǒng)內(nèi)每個評估對象的各個風險基本要素的值，所述各個風險基本要素至少包括資產(chǎn)、威脅、脆弱性三個基本要素；

針對任意一個待評估對象，根據(jù)所述待評估對象的脆弱性值和所述待評估對象的資產(chǎn)值，確定風險造成的損失；根據(jù)所述待評估對象的脆弱性值和所述待評估對象的威脅值，確定風險發(fā)生的可能性；將風險造成的損失和風險發(fā)生的可能性相乘之后開方，得到所述待評估對象的風險值。

基于同樣的發(fā)明構(gòu)思，本發(fā)明實施例進一步地提供信息系統(tǒng)風險評估系統(tǒng)，該系統(tǒng)包括：

獲取單元，用于獲取信息系統(tǒng)的安全風險報告；

確定單元，用于根據(jù)所述安全風險報告確定所述信息系統(tǒng)內(nèi)每個評估對象的各個風險基本要素的值，所述各個風險基本要素至少包括資產(chǎn)、威脅、脆弱性三個基本要素；

計算單元，用戶針對任意一個待評估對象，根據(jù)所述待評估對象的脆弱性值和所述待評估對象的資產(chǎn)值，確定風險造成的損失；根據(jù)所述待評估對象的脆弱性值和所述待評估對象的威脅值，確定風險發(fā)生的可能性；將風險造成的損失和風險發(fā)生的可能性相乘之后開方，得到所述待評估對象的風險值。

本發(fā)明實施例先獲取信息系統(tǒng)的安全風險報告，然后根據(jù)信息系統(tǒng)內(nèi)每個評估對象的各個風險基本要素的值計算險造成的損失和風險發(fā)生的可能性，從風險損失和風險可能性兩個維度呈現(xiàn)資產(chǎn)風險，并最終聚合為資產(chǎn)的整體風險值；基于風險損失和風險可能性的大小，可以方便客戶有針對性的制定安全風險的內(nèi)控(針對風險損失)和外防(針對風險可能性)措施，從而提升安全風險防控效率。

附圖說明

為了更清楚地說明本發(fā)明實施例中的技術(shù)方案，下面將對實施例描述中所需要使用的附圖作簡要介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域的普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明實施例提供一種信息系統(tǒng)風險評估方法流程示意圖；

圖2為本發(fā)明實施例提供一種資產(chǎn)的風險值分析原理示意圖；

圖3為本發(fā)明實施例提供一種資產(chǎn)的風險值分析原理詳細示意圖；

圖4為本發(fā)明實施例提供一種信息系統(tǒng)風險評估系統(tǒng)架構(gòu)示意圖。

具體實施方式

為了使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚，下面將結(jié)合附圖對本發(fā)明作進一步地詳細描述，顯然，所描述的實施例僅僅是本發(fā)明一部份實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其它實施例，都屬于本發(fā)明保護的范圍。

參見圖1所示，本發(fā)明實施例提供一種信息系統(tǒng)風險評估方法流程示意圖，具體地實現(xiàn)方法包括：

步驟S101，獲取信息系統(tǒng)的安全風險報告。

步驟S102，根據(jù)所述安全風險報告確定所述信息系統(tǒng)內(nèi)每個評估對象的各個風險基本要素的值，所述各個風險基本要素至少包括資產(chǎn)、威脅、脆弱性三個基本要素。

步驟S103，針對任意一個待評估對象，根據(jù)所述待評估對象的脆弱性值和所述待評估對象的資產(chǎn)值，確定風險造成的損失；根據(jù)所述待評估對象的脆弱性值和所述待評估對象的威脅值，確定風險發(fā)生的可能性；將風險造成的損失和風險發(fā)生的可能性相乘之后開方，得到所述待評估對象的風險值。

也就是說，資產(chǎn)的風險值分析原理圖如圖2所示，主要包括：對資產(chǎn)進行識別，并對資產(chǎn)的價值進行賦值；對威脅進行識別，描述威脅的屬性，并對威脅出現(xiàn)的頻率賦值；對脆弱性進行識別，并對具體資產(chǎn)的脆弱性的嚴重程度賦值；根據(jù)威脅及威脅利用脆弱性的難易程度判斷安全事件發(fā)生的可能性；根據(jù)脆弱性的嚴重程度及安全事件所作用的資產(chǎn)的價值計算安全事件造成的損失；根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失，計算安全事件一旦發(fā)生對組織的影響，即風險值。

在執(zhí)行上述步驟之前，需要預先計算每個評估對象的各個風險基本要素的值，即資產(chǎn)、威脅、脆弱性三個基本要素的值，其中，在風險值分析原理中，保密性、完整性和可用性是評價資產(chǎn)的三個安全屬性。風險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價值來衡量，而是由資產(chǎn)在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使資產(chǎn)具有不同的價值，而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對資產(chǎn)安全屬性的達成程度產(chǎn)生影響。為此，應對組織中的資產(chǎn)進行識別。

對于資產(chǎn)基本因素來說，資產(chǎn)價值應依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級，經(jīng)過綜合評定得出。綜合評定方法可以根據(jù)自身的特點，根據(jù)資產(chǎn)保密性、完整性和可用性的不同等級對其賦值進行加權(quán)計算得到資產(chǎn)的最終賦值結(jié)果。具體地，按照如下公式將資產(chǎn)的三要素加權(quán)后求幾何平均值，計算得到待評估對象的資產(chǎn)價值，公式如下：

其中，w_p為待評估對象的資產(chǎn)價值，a為可用性賦值，n1為可用性賦值的權(quán)重次數(shù)；b為保密性賦值，n2為保密性賦值的權(quán)重次數(shù)；c為完整性賦值，n3為完整性賦值的權(quán)重次數(shù)。

具體來說，資產(chǎn)價值的定義取自國標，實際應用時第一安全屬性，可用性賦值如表一所示：

表一

第二安全屬性，保密性賦值如表二所示：

表二

第三安全屬性，完整性賦值如表三所示：

表三

基于這三個安全屬性，按照上述公式可以計算得到資產(chǎn)價值等級為表四所示：

表四

本發(fā)明實施例中為與上述三個安全屬性的賦值相對應，根據(jù)最終賦值將資產(chǎn)劃分為三級，級別越高表示資產(chǎn)越重要。

對于威脅基本因素來說，威脅可以通過威脅主體、資源、動機、途徑等多種屬性來描述。造成威脅的因素可分為人為因素和環(huán)境因素，根據(jù)威脅的動機，人為因素又可分為惡意和非惡意兩種。環(huán)境因素包括自然界不可抗的因素和其他物理因素。威脅作用形式可以是對信息系統(tǒng)直接或間接的攻擊，在保密性、完整性和可用性等方面造成損害；也可能是偶發(fā)的或蓄意的事件。

判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容，評估者應根據(jù)經(jīng)驗和(或)有關(guān)的統(tǒng)計數(shù)據(jù)來進行判斷。在評估中，需要綜合考慮以下三個方面，以形成在某種評估環(huán)境中各種威脅出現(xiàn)的頻率：a)以往安全事件報告中出現(xiàn)過的威脅及其頻率的統(tǒng)計；b)實際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計；c)近一兩年來國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅及其頻率統(tǒng)計，以及發(fā)布的威脅預警。可以對威脅出現(xiàn)的頻率進行等級化處理，不同等級分別代表威脅出現(xiàn)的頻率的高低。等級數(shù)值越大，威脅出現(xiàn)的頻率越高。具體地，威脅分類：在國標中，基于表現(xiàn)形式，把威脅分為了11大類，在安全管理系統(tǒng)中，所有的安全事件類型都可以歸并到這11個大類中，見表五所示。

表五

完成上述安全事件類型的分類之后，并對所有的安全事件類型進行威脅評級，見如下表六。

表六

具體來說，利用公式五進計算所述資產(chǎn)的任意一個類型的威脅事件的威脅值，所述公式五為：

其中，所述N為所述資產(chǎn)的所述類型的威脅事件的威脅總數(shù)，Impact為威脅的影響等級，取值范圍[0,5]，Ni為所述類型的威脅事件的威脅頻次，k1為所述類型的威脅事件的威脅頻度，k2為所述類型的威脅事件的威脅權(quán)值。

在上述公式[2]中，a)威脅值T_i：體現(xiàn)當前資產(chǎn)遭受外部威脅的程度，為了跟國標定義的5級威脅相對應，我們定義威脅值的取值范圍是0～10之間；b)Ni威脅頻次：在某一段時間內(nèi)，威脅事件發(fā)生的次數(shù)；c)k1威脅頻度：為實現(xiàn)威脅頻次到威脅值的轉(zhuǎn)化，我們采用雙曲正切函數(shù)法將頻次轉(zhuǎn)化為威脅頻度，使得威脅頻度的值在0-2之間；其計算公式見公式[3]所示。

其中，α為雙曲正切系數(shù)，調(diào)整威脅頻度范圍。當α＝π/4時，威脅頻度范圍為0～2之間，N為威脅頻次，M為威脅頻次系數(shù)，可以根據(jù)實際情況進行調(diào)整。

對于公式[2]中的威脅權(quán)值k2，針對某一類威脅計算其威脅值時，我們要根據(jù)其IPS已經(jīng)對相應的威脅作為防護確定當前威脅的權(quán)重，其取值范圍為0～1之間的數(shù)，其計算公式如下：

威脅權(quán)值＝(某類威脅頻次–已防護威脅次數(shù))/某類威脅頻次

針對這個資產(chǎn)，我們統(tǒng)計出所有的威脅事件類型的頻次，并利用以上公式，計算出所有11類威脅之后，按照威脅程度從高到低排列的威脅值為：T₁，T₂，T₃，…,T₁₁，單個資產(chǎn)T’的計算方法如下：

根據(jù)待評估對象的資產(chǎn)域的每個資產(chǎn)的每個威脅事件的威脅值，按照公式三，計算得到所述待評估對象的資產(chǎn)域的所述每個資產(chǎn)的威脅值，所述公式四為：

其中，其中，T₁為n個威脅事件中的最大威脅值，u為收斂系數(shù)，n為有n個威脅事件，T_i為除了所述最大值之外的威脅值，T'為求得的所述待評估對象的資產(chǎn)域的所述每個資產(chǎn)的威脅值，取值范圍為[0,10]。

對于資產(chǎn)脆弱性基本因素來說，脆弱性是資產(chǎn)本身存在的，如果沒有被相應的威脅利用，單純的脆弱性本身不會對資產(chǎn)造成損害。而且如果系統(tǒng)足夠強健，嚴重的威脅也不會導致安全事件發(fā)生，并造成損失。即，威脅總是要利用資產(chǎn)的脆弱性才可能造成危害。資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱性識別中最為困難的部分。不正確的、起不到應有作用的或沒有正確實施的安全措施本身就可能是一個脆弱性脆弱性識別是風險評估中最重要的一個環(huán)節(jié)。脆弱性識別可以以資產(chǎn)為核心，針對每一項需要保護的資產(chǎn)，識別可能被威脅利用的弱點，并對脆弱性的嚴重程度進行評估；也可以從物理、網(wǎng)絡、系統(tǒng)、應用等層次進行識別，然后與資產(chǎn)、威脅對應起來。脆弱性識別的依據(jù)可以是國際或國家安全標準，也可以是行業(yè)規(guī)范、應用流程的安全要求。對應用在不同環(huán)境中的相同的弱點，其脆弱性嚴重程度是不同的，評估者應從組織安全策略的角度考慮、判斷資產(chǎn)的脆弱性及其嚴重程度。信息系統(tǒng)所采用的協(xié)議、應用流程的完備與否、與其他網(wǎng)絡的互聯(lián)等也應考慮在內(nèi)。

可以根據(jù)脆弱性對資產(chǎn)的暴露程度、技術(shù)實現(xiàn)的難易程度、流行程度等，采用等級方式對已識別的脆弱性的嚴重程度進行賦值。由于很多脆弱性反映的是同一方面的問題，或可能造成相似的后果，賦值時應綜合考慮這些脆弱性，以確定這一方面脆弱性的嚴重程度。對某個資產(chǎn)，其技術(shù)脆弱性的嚴重程度還受到組織管理脆弱性的影響。因此，資產(chǎn)的脆弱性賦值還應參考技術(shù)管理和組織管理脆弱性的嚴重程度。

在完成了資產(chǎn)識別、威脅識別、脆弱性識別，以及已有安全措施確認后，將采用適當?shù)姆椒ㄅc工具確定威脅利用脆弱性導致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴重程度，判斷安全事件造成的損失對組織的影響，即風險值，如圖3所示。

具體地，步驟一，計算安全事件發(fā)生的可能性

根據(jù)威脅出現(xiàn)頻率及脆弱性的狀況，計算威脅利用脆弱性導致安全事件發(fā)生的可能性，即按照公式三計算得到風險發(fā)生的可能性，所述公式三為：

其中，r_h為待評估對象的脆弱性值；t為威脅值，范圍0～10；R_p為風險可能性，取值范圍為[0,10]。

在具體評估中，應綜合攻擊者技術(shù)能力(專業(yè)技術(shù)程度、攻擊設(shè)備等)、脆弱性被利用的難易程度(可訪問時間、設(shè)計和操作知識公開程度等)、資產(chǎn)吸引力等因素來判斷安全事件發(fā)生的可能性。

步驟二，計算安全事件發(fā)生后造成的損失

根據(jù)資產(chǎn)價值及脆弱性嚴重程度，計算安全事件一旦發(fā)生后造成的損失，即：按照公式一計算得到風險造成的損失，所述公式一為：

其中，所述r_h為待評估對象的脆弱性值，w_p為待評估對象的資產(chǎn)價值，R_l為風險造成的損失，取值范圍為[0,10]。

其中，部分安全事件的發(fā)生造成的損失不僅僅是針對該資產(chǎn)本身，還可能影響業(yè)務的連續(xù)性；不同安全事件的發(fā)生對組織的影響也是不一樣的，在計算某個安全事件的損失時，應將對組織的影響也考慮在內(nèi)。部分安全事件造成的損失的判斷還應參照安全事件發(fā)生可能性的結(jié)果，對發(fā)生可能性極小的安全事件(如處于非地震帶的地震威脅、在采取完備供電措施狀況下的電力故障威脅等)可以不計算其損失。

步驟三，如圖2所示，根據(jù)計算出的安全事件的可能性以及安全事件造成的損失，計算風險值，即：

其中，R_l為風險損失，范圍[0,10]，Rp為風險可能性取值范圍[0,10]。

基于相同的技術(shù)構(gòu)思，本發(fā)明實施例還提供一種信息系統(tǒng)風險評估系統(tǒng)，該系統(tǒng)可執(zhí)行上述方法實施例。本發(fā)明實施例提供的系統(tǒng)如圖4所示，包括：獲取單元301、確定單元302，計算單元303，其中：

獲取單元301，用于獲取信息系統(tǒng)的安全風險報告；

確定單元302，用于根據(jù)所述安全風險報告確定所述信息系統(tǒng)內(nèi)每個評估對象的各個風險基本要素的值，所述各個風險基本要素至少包括資產(chǎn)、威脅、脆弱性三個基本要素；

計算單元303，用戶針對任意一個待評估對象，根據(jù)所述待評估對象的脆弱性值和所述待評估對象的資產(chǎn)值，確定風險造成的損失；根據(jù)所述待評估對象的脆弱性值和所述待評估對象的威脅值，確定風險發(fā)生的可能性；將風險造成的損失和風險發(fā)生的可能性相乘之后開方，得到所述待評估對象的風險值。

進一步地，所述計算單元303具體用于：按照公式一根據(jù)資產(chǎn)值及脆弱性嚴重程度，計算安全事件一旦發(fā)生后風險造成的損失，所述公式一為：

其中，所述r_h為待評估對象的脆弱性值；w_p為待評估對象的資產(chǎn)值；R_l為風險造成的損失。

進一步地，所述確定單元302還用于：確定資產(chǎn)的三個安全屬性的賦值，所述資產(chǎn)的三個安全屬性為可用性、保密性、完整性；

所述計算單元303具體用于：按照公式二計算得到待評估對象的資產(chǎn)值，所述公式二為：

其中，w_p為待評估對象的資產(chǎn)值；a為可用性賦值；n1為可用性賦值的權(quán)重次數(shù)；b為保密性賦值；n2為保密性賦值的權(quán)重次數(shù)；c為完整性賦值；n3為完整性賦值的權(quán)重次數(shù)。

進一步地，所述確定單元302還用于：確定所述待評估對象的各威脅事件的威脅值；根據(jù)所述各威脅事件的威脅值，確定所述待評估對象的威脅值；

所述計算單元303還用于：按照公式三確定風險發(fā)生的可能性，所述公式三為：

其中，r_h為待評估對象的脆弱性值；t為待評估對象的威脅值，范圍0～10；R_p為風險可能性。

進一步地，所述計算單元303還用于：按照公式四確定所述待評估對象的威脅值，所述公式四為：

其中，T₁為n個威脅事件中的最大威脅值；u為收斂系數(shù)；n為有n個威脅事件；T_i為除了所述最大值之外的威脅值；T'為求得的所述待評估對象的威脅值。

進一步地，所述計算單元303還用于：針對任意一個資產(chǎn)，利用公式五進計算所述待評估對象的任意一個威脅事件的威脅值，所述公式五為：

其中，所述N為所述待評估對象的所述類型的威脅事件的威脅總數(shù)；Impact為威脅的影響等級，取值范圍[0,5]；Ni為所述類型的威脅事件的威脅頻次；k1為所述類型的威脅事件的威脅頻度；k2為所述類型的威脅事件的威脅權(quán)值。

綜上，本發(fā)明實施例先獲取信息系統(tǒng)的安全風險報告，然后根據(jù)信息系統(tǒng)內(nèi)每個評估對象的各個風險基本要素的值計算險造成的損失和風險發(fā)生的可能性，從風險損失和風險可能性兩個維度呈現(xiàn)資產(chǎn)風險，并最終聚合為資產(chǎn)的整體風險值；基于風險損失和風險可能性的大小，可以方便客戶有針對性的制定安全風險的內(nèi)控(針對風險損失)和外防(針對風險可能性)措施，從而提升安全風險防控效率。

本發(fā)明是參照根據(jù)本發(fā)明實施例的方法、設(shè)備(系統(tǒng))、和計算機程序產(chǎn)品的流程圖和/或方框圖來描述的。應理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合?？商峁┻@些計算機程序指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個機器，使得通過計算機或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。

這些計算機程序指令也可存儲在能引導計算機或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計算機可讀存儲器中，使得存儲在該計算機可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品，該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。

這些計算機程序指令也可裝載到計算機或其他可編程數(shù)據(jù)處理設(shè)備上，使得在計算機或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理，從而在計算機或其他可編程設(shè)備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。

盡管已描述了本發(fā)明的優(yōu)選實施例，但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念，則可對這些實施例作出另外的變更和修改。所以，所附權(quán)利要求意欲解釋為包括優(yōu)選實施例以及落入本發(fā)明范圍的所有變更和修改。

顯然，本領(lǐng)域的技術(shù)人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精神和范圍。這樣，倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)，則本發(fā)明也意圖包含這些改動和變型在內(nèi)。