本发明专利技术涉及一种多维度风险评估方法,该方法采用定性与定量相结合的方法对风险进行分析计算,并从安全策略、管理风险、技术风险、运维风险等多个维度进行综合风险分析。本发明专利技术从电力行业信息安全管理的角度出发,充分考虑策略、管理、运维、技术四个维度,实现了四维一体的风险评估方法,将风险计算模型立体化,主要用于解决电力信息系统风险评估中定量评价扁平化,单一化的问题。
【技术实现步骤摘要】
【专利摘要】本专利技术涉及,该方法采用定性与定量相结合的方法对风险进行分析计算,并从安全策略、管理风险、技术风险、运维风险等多个维度进行综合风险分析。本专利技术从电力行业信息安全管理的角度出发,充分考虑策略、管理、运维、技术四个维度,实现了四维一体的风险评估方法,将风险计算模型立体化,主要用于解决电力信息系统风险评估中定量评价扁平化,单一化的问题。【专利说明】
本专利技术涉及一种电力系统的评估方法,具体讲涉及。
技术介绍
风险计算模型包含信息资产、脆弱性、威胁等关键要素。每个要素有各自的属性, 信息资产的属性是资产价值,脆弱性属性是脆弱性或漏洞被威胁利用后对资产带来的影响 的严重程度,威胁的属性是威胁发生的可能性。现有的风险评估计算只从一个维度计算风 险值,不能反映风险的具体情况,不能准确反映风险范围以及风险的程度。因此需要提供一 种能反映风险的具体情况、准确反映风险范围及风险的程度的多维风险评估方法,以满足 技术发展的需要。
技术实现思路
针对现有技术的不足,本专利技术的目的是提供,解决当前 风险评估中多维度的信息安全定量的评价,本专利技术采用定性与定量相结合的方法对风险进 行分析计算,并从安全策略、管理风险、技术风险、运维风险等多个维度进行综合风险分析。 本专利技术的目的是采用下述技术方案实现的: 本专利技术提供,其改进之处在于,所述多维包括策略、管 理、运维和技术四维,所述方法包括下述步骤: (1)确定资产值; ⑵确定威胁值; (3)确定策略脆弱性; (4)确定技术脆弱性; (5)确定管理脆弱性; (6)确定运维脆弱性; (7)信息安全风险评估; (8)拓展所述安全风险评估。 进一步地,所述步骤(1)中,所述资产值包括资产的机密性价值、资产的完整性价 值和资产的可用性价值;信息、软件的机密性赋值的最大值用A。表示;信息、软件、硬件的 完整性赋值的最大值用A表示;信息、软件、硬件、人员的可用性赋值的最大值用分别A a表 示;A。、&和Aa分别用下述表达式表示: Ac = max (A 信息 c, A 软件 c) *L ①; Ai = max (A 信息 i, A 软件 i, A 硬件 D *L ②; Aa = max (A 信息 a, A 软件 a, A 硬件 a, A 人员 a) *L ③; 其中:L代表资产所属业务系统的安全等级。 进一步地,所述步骤(2)中,所述威胁值包括威胁的严重程度Ts、威胁发生的可能 性T f、威胁对机密性的严重程度Ts。、威胁对完整性的严重程度Tsi和威胁对可用性的严重程 度Tsa;各项所述的威胁可能性与机密性严重程度乘积的和用下述的T。式表示: Tc = Tfl*Tscl+Tf2*Tsc2+T f3*Tsc3+......+Tf3*Tscq ④; 各项威胁的可能性与完整性严重程度乘积的和用下述的?\式表示: Tj = Tfl*Tsil+Tf2*Tsi2+T f3*Tsi3+......+Tf3*Tsiq ⑤; 各项威胁的可能性与可用性严重程度乘积的和用Ta表示,表达式如下: Ta = Tfl*Tsal+Tf2*Tsa2+T f3*Tsa3+......+Tf3*Tsaq ⑥; 其中:q = 1,2, 3,....... 进一步地,所述步骤(3)中,所述策略脆弱性用机密性相关策略脆弱性最大值的 和Vp。、完整性相关策略脆弱性最大值的和V pi以及可用性相关策略脆弱性最大值的和Vpa表 示; 当 【权利要求】1. ,其特征在于,所述多维包括策略、管理、运维和技术四维, 所述方法包括下述步骤: (1) 确定资产值; (2) 确定威胁值; (3) 确定策略脆弱性; (4) 确定技术脆弱性; (5) 确定管理脆弱性; (6) 确定运维脆弱性; (7) 信息安全风险评估; (8) 拓展所述安全风险评估。2. 如权利要求1所述的多维度风险评估方法,其特征在于,所述步骤(1)中,所述资产 值包括资产的机密性价值、资产的完整性价值和资产的可用性价值;信息、软件的机密性赋 值的最大值用A。表示;信息、软件、硬件的完整性赋值的最大值用A i表示;信息、软件、硬 件、人员的可用性赋值的最大值用分别Aa表示;A。、Ai和A a分别用下述表达式表示: Ac = max (A 信息。,A 软件。)*L ①; Ai = max (A信息i, A软件i, A硬件i) *L ②; Aa = max (A信息a, A软件a, A硬件a, A人员a) *L ③; 其中:L代表资产所属业务系统的安全等级。3. 如权利要求1所述的多维度风险评估方法,其特征在于,所述步骤(2)中,所述威胁 值包括威胁的严重程度Ts、威胁发生的可能性T f、威胁对机密性的严重程度Ts。、威胁对完整 性的严重程度Tsi和威胁对可用性的严重程度T sa;各项所述的威胁可能性与机密性严重程 度乘积的和用下述的T。式表示: Tc = Tfl*Tscl+Tf2*Tsc2+T f3*Tsc3+......+Tf3^Tscq ④; 各项威胁的可能性与完整性严重程度乘积的和用下述的Ti式表示: Ti = Tfl*Tsil+Tf2*Tsi2+T f3*Tsi3+......+Tf3^Tsiq ⑤; 各项威胁的可能性与可用性严重程度乘积的和用Ta表示,表达式如下: Ta = Tfl*Tsal+Tf2*Tsa2+T f3*Tsa3+......+Tf3^Tsaq ⑥; 其中:q = 1,2,3,.......4. 如权利要求1所述的多维度风险评估方法,其特征在于,所述步骤(3)中,所述策略 脆弱性用机密性相关策略脆弱性最大值的和V p。、完整性相关策略脆弱性最大值的和Vpi以 及可用性相关策略脆弱性最大值的和Vpa表示; 当时机密性相关策略脆弱性最大值的和Vp。为: Vpc=Vpcl+Vpc2+Vpc3+...... +Vpcq ⑦; 其中:IVpcJ表示资产的机密性相关策略脆弱性值的全集,max {Vpm}表示{Vpm}中所有 最大值的集合,IVpwJ表示集合max {Vpm}的一个包含q个元素的子集; 当(Vpj ^max {'^时完整性相关策略脆弱性最大值的和Vpi为: Vpi=Vpil+Vpi2+Vpi3+...... +Vpiq ⑧; 其中:IVpiJ表示资产的完整性相关策略脆弱性值的全集,max {Vpin}表示{Vpin}中所有 最大值的集合,IVpitJ表示集合max{Vpin}的一个包含q个元素的子集; 当{Vflaq}gmax 时可用性相关策略脆弱性最大值的和Vpa为: Vpa = Vpal+Vpa2+Vpa3+...... +Vpaq ⑨; 其中:IVpaJ表示资产的可用性相关策略脆弱性值的全集,max{Vpan}表示IVpaJ中所有 最大值的集合,IV1J表示集合max{Vpan}的一个包含q个元素的子集;n= 1,2, 3,......; q= 1,2,3,.......5. 如权利要求1所述的多维度风险评估方法,其特征在于,所述步骤(4)中,本文档来自技高网...
【技术保护点】
一种多维度风险评估方法,其特征在于,所述多维包括策略、管理、运维和技术四维,所述方法包括下述步骤:(1)确定资产值;(2)确定威胁值;(3)确定策略脆弱性;(4)确定技术脆弱性;(5)确定管理脆弱性;(6)确定运维脆弱性;(7)信息安全风险评估;(8)拓展所述安全风险评估。
【技术特征摘要】
【专利技术属性】
技术研发人员:俞庚申,郭骞,李尼格,余勇,张小建,冯谷,范杰,蒋诚智,高鹏,鲍兴川,曹宛恬,
申请(专利权)人:国家电网公司,中国电力科学研究院,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。