技術(shù)特征：

1.一種信息系統(tǒng)風(fēng)險評估方法，其特征在于，該方法包括：

獲取信息系統(tǒng)的安全風(fēng)險報告；

根據(jù)所述安全風(fēng)險報告確定所述信息系統(tǒng)內(nèi)每個評估對象的各個風(fēng)險基本要素的值，所述各個風(fēng)險基本要素至少包括資產(chǎn)、威脅、脆弱性三個基本要素；

針對任意一個待評估對象，根據(jù)所述待評估對象的脆弱性值和所述待評估對象的資產(chǎn)值，確定風(fēng)險造成的損失；根據(jù)所述待評估對象的脆弱性值和所述待評估對象的威脅值，確定風(fēng)險發(fā)生的可能性；將風(fēng)險造成的損失和風(fēng)險發(fā)生的可能性相乘之后開方，得到所述待評估對象的風(fēng)險值。

2.如權(quán)利要求1所述的方法，其特征在于，所述根據(jù)待評估對象的脆弱性值和待評估對象的資產(chǎn)值，確定風(fēng)險造成的損失，包括：

按照公式一根據(jù)資產(chǎn)值及脆弱性嚴重程度，計算安全事件一旦發(fā)生后風(fēng)險造成的損失，所述公式一為：

$R_l=\sqrt{\frac{r_h\×r_h\×w_p}{3}}$

其中，所述r_h為待評估對象的脆弱性值；w_p為待評估對象的資產(chǎn)值；R_l為風(fēng)險造成的損失。

3.如權(quán)利要求2所述的方法，其特征在于，還包括：

確定資產(chǎn)的三個安全屬性的賦值，所述資產(chǎn)的三個安全屬性為可用性、保密性、完整性；

按照公式二計算得到待評估對象的資產(chǎn)值，所述公式二為：

$w_p=\mathrm{\Σ}\sqrt[n_i]{a^{n1}\×b^{n2}\×c^{n3}}$

其中，w_p為待評估對象的資產(chǎn)值；a為可用性賦值；n1為可用性賦值的權(quán)重次數(shù)；b為保密性賦值；n2為保密性賦值的權(quán)重次數(shù)；c為完整性賦值；n3為完整性賦值的權(quán)重次數(shù)。

4.如權(quán)利要求1所述的方法，其特征在于，根據(jù)待評估對象的脆弱性值和待評估對象的威脅值，確定風(fēng)險發(fā)生的可能性，包括：

確定所述待評估對象的各威脅事件的威脅值；

根據(jù)所述各威脅事件的威脅值，確定所述待評估對象的威脅值；

按照公式三確定風(fēng)險發(fā)生的可能性，所述公式三為：

$R_p=\left\{\begin{array}{cc}\sqrt{r_h\×t}& 0\<t\≤10\end{array}\right.$

其中，r_h為待評估對象的脆弱性值；t為待評估對象的威脅值，范圍0～10；R_p為風(fēng)險可能性。

5.如權(quán)利要求4所述的方法，其特征在于，還包括：

按照公式四確定所述待評估對象的威脅值，所述公式四為：

$T^{\′}=T_1+\underset{i=2}{\overset{n}{\Σ}}\mathrm{\μ}{\left(\frac{T_i}{T_1}\right)}^2$

其中，T₁為n個威脅事件中的最大威脅值；u為收斂系數(shù)；n為有n個威脅事件；T_i為除了所述最大值之外的威脅值；T'為求得的所述待評估對象的威脅值。

6.如權(quán)利要求4所述的方法，其特征在于，還包括：

針對任意一個資產(chǎn)，利用公式五進計算所述待評估對象的任意一個威脅事件的威脅值，所述公式五為：

$T_i=\frac{\underset{1}{\overset{5}{\Σ}}\mathrm{Im}pact\×N_i}{N}\×k1\×k2$

其中，所述N為所述待評估對象的所述類型的威脅事件的威脅總數(shù)；Impact為威脅的影響等級，取值范圍[0,5]；Ni為所述類型的威脅事件的威脅頻次；k1為所述類型的威脅事件的威脅頻度；k2為所述類型的威脅事件的威脅權(quán)值。

7.一種信息系統(tǒng)風(fēng)險評估系統(tǒng)，其特征在于，該系統(tǒng)包括：

獲取單元，用于獲取信息系統(tǒng)的安全風(fēng)險報告；

確定單元，用于根據(jù)所述安全風(fēng)險報告確定所述信息系統(tǒng)內(nèi)每個評估對象的各個風(fēng)險基本要素的值，所述各個風(fēng)險基本要素至少包括資產(chǎn)、威脅、脆弱性三個基本要素；

計算單元，用戶針對任意一個待評估對象，根據(jù)所述待評估對象的脆弱性值和所述待評估對象的資產(chǎn)值，確定風(fēng)險造成的損失；根據(jù)所述待評估對象的脆弱性值和所述待評估對象的威脅值，確定風(fēng)險發(fā)生的可能性；將風(fēng)險造成的損失和風(fēng)險發(fā)生的可能性相乘之后開方，得到所述待評估對象的風(fēng)險值。

8.如權(quán)利要求7所述的系統(tǒng)，其特征在于，所述計算單元具體用于：

按照公式一根據(jù)資產(chǎn)值及脆弱性嚴重程度，計算安全事件一旦發(fā)生后風(fēng)險造成的損失，所述公式一為：

$R_l=\sqrt{\frac{r_h\×r_h\×w_p}{3}}$

其中，所述r_h為待評估對象的脆弱性值；w_p為待評估對象的資產(chǎn)值；R_l為風(fēng)險造成的損失。

9.如權(quán)利要求8所述的系統(tǒng)，其特征在于，所述確定單元還用于：確定資產(chǎn)的三個安全屬性的賦值，所述資產(chǎn)的三個安全屬性為可用性、保密性、完整性；

所述計算單元具體用于：按照公式二計算得到待評估對象的資產(chǎn)值，所述公式二為：

$w_p=\mathrm{\Σ}\sqrt[n_i]{a^{n1}\×b^{n2}\×c^{n3}}$

其中，w_p為待評估對象的資產(chǎn)值；a為可用性賦值；n1為可用性賦值的權(quán)重次數(shù)；b為保密性賦值；n2為保密性賦值的權(quán)重次數(shù)；c為完整性賦值；n3為完整性賦值的權(quán)重次數(shù)。

10.如權(quán)利要求7所述的系統(tǒng)，其特征在于，所述確定單元還用于：確定所述待評估對象的各威脅事件的威脅值；根據(jù)所述各威脅事件的威脅值，確定所述待評估對象的威脅值；

所述計算單元還用于：按照公式三確定風(fēng)險發(fā)生的可能性，所述公式三為：

$R_p=\left\{\begin{array}{cc}\sqrt{r_h\×t}& 0\<t\≤10\end{array}\right.$

其中，r_h為待評估對象的脆弱性值；t為待評估對象的威脅值，范圍0～10；R_p為風(fēng)險可能性。

11.如權(quán)利要求10所述的系統(tǒng)，其特征在于，所述計算單元還用于：

按照公式四確定所述待評估對象的威脅值，所述公式四為：

$T^{\′}=T_1+\underset{i=2}{\overset{n}{\Σ}}\mathrm{\μ}{\left(\frac{T_i}{T_1}\right)}^2$

其中，T₁為n個威脅事件中的最大威脅值；u為收斂系數(shù)；n為有n個威脅事件；T_i為除了所述最大值之外的威脅值；T'為求得的所述待評估對象的威脅值。

12.如權(quán)利要求10所述的系統(tǒng)，其特征在于，所述計算單元還用于：

針對任意一個資產(chǎn)，利用公式五進計算所述待評估對象的任意一個威脅事件的威脅值，所述公式五為：

$T_i=\frac{\underset{1}{\overset{5}{\Σ}}\mathrm{Im}pact\×N_i}{N}\×k1\×k2$

其中，所述N為所述待評估對象的所述類型的威脅事件的威脅總數(shù)；Impact為威脅的影響等級，取值范圍[0,5]；Ni為所述類型的威脅事件的威脅頻次；k1為所述類型的威脅事件的威脅頻度；k2為所述類型的威脅事件的威脅權(quán)值。