当前位置: 首页 > 专利查询>中国软件评测中心工业和信息化部软件与集成电路促进中心专利>正文

基于风险危害性与资产结构分解的信息安全风险量化方法技术

技术编号：43638797 阅读：12 留言：0更新日期：2024-12-13 12:37

本公开涉及信息安全技术领域，特别地涉及一种基于风险危害性与资产结构分解的信息安全风险量化方法，包括基于业务信息化资产系统所面临的每种脆弱性在每一底层资产上产生每种信息安全风险的概率值和影响值，计算每种脆弱性在每一底层资产上产生每种信息安全风险的危害性量化值；合并至少两个资产种类及该两个资产种类对应的底层资产，采用网络分析法生成合并后底层资产的加权超矩阵，基于所述加权超矩阵求解每一底层资产的权重；基于所述危害性量化值和所述权重计算业务信息化资产系统的整体信息安全风险值。综合了资产系统结构和脆弱性风险分布结构，灵活利用网络分析方法进行资产关联重要性分析，进行体系的综合信息安全风险评估与分析。

全部详细技术资料下载

【技术实现步骤摘要】

本公开涉及信息安全，特别地涉及一种基于风险危害性与资产结构分解的信息安全风险量化方法。

技术介绍

1、随着信息化技术及其应用的高速迭代和发展，信息化已深入经济社会发展的方方面面，业务领域的信息化水平，某种程度上代表着生产力的先进性，管理水平的高效性，直接决定市场竞争力。业务逻辑的信息化落地，伴随电子化程度的提高及业务数据的积累，在复杂多变的外部环境和内部技术管理缺陷的共同作用下，信息业务的脆弱性凸显，即便安全技术能力和管理水平不断优化提升，信息安全仍面临全方位威胁和隐患，导致信息业务及资产面临复杂多变的安全风险，影响业务实施及生产制造的持续产出及交付能力，不利于业务发展的稳定性、安全性，更有甚者可能导致灾难性后果。保障信息安全是组织面临的共同问题，信息安全风险评估是信息安全保护和管理的关键工作和根本依据，是信息化风险管理的重要环节，通过信息安全风险评估，在信息系统的规划、设计、实施、运行维护以及废弃各个阶段识别风险，以采取相应应对措施，全面分析风险因素，指导信息系统安全管理体系的建设，制定全面、有针对性的安全策略和整改措施，为防范、化解和控制信息安全风险，保障信息安全水平提供科学依据和决策支撑。

2、传统的安全风险评估方法，主要是采取定性的评估方式，结合预估的安全事件发生情况及事件损失情况，进行安全风险评估。传统方法在进行风险评估时，对于风险要素仅做识别和风险定级，整合计算形成风险评估结果，没有综合考虑风险及其危害的分布特点、资产结构的关联属性等，对于风险评估缺乏关联性分析及体系考量，因此风险评估结果不体系不全面。</p>

技术实现思路

1、本公开提供一种基于风险危害性与资产结构分解的信息安全风险量化方法，以得到体系全面的风险评估结果。

2、第一方面，本公开提供一种基于风险危害性与资产结构分解的信息安全风险量化方法，包括：

3、基于业务信息化资产系统所面临的每种脆弱性在每一底层资产上产生每种信息安全风险的概率值和影响值，计算每种脆弱性在每一底层资产上产生每种信息安全风险的危害性量化值，其中，所述业务信息化资产系统中的资产结构包括多个资产种类和每个资产种类下的底层资产；

4、合并至少两个资产种类及该两个资产种类对应的底层资产，采用网络分析法生成合并后底层资产的加权超矩阵，基于所述加权超矩阵求解每一底层资产的权重；

5、基于所述危害性量化值和所述权重计算业务信息化资产系统的整体信息安全风险值。

6、在一些实施例中，所述的信息安全风险量化方法，还包括：

7、采用第一计算式计算业务信息化资产系统所面临的每种脆弱性在每一底层资产上产生每种信息安全风险的概率值；

8、采用第二计算式计算业务信息化资产系统所面临的每种脆弱性在每一底层资产上产生每种信息安全风险的影响值；

9、所述第一计算式如下：

10、

11、式中，pr(i)(j)(p)表示第i个脆弱性在第j个底层资产上产生第p个信息安全风险的概率值，区间为[0,1]，rh(i)(j)(p)表示第i个脆弱性在第j个底层资产上会产生第p个信息安全风险的投票数量，na表示第一评估人员数量；

12、所述第二计算式如下：

13、

14、式中，ef(i)(j)(p)表示在第i个脆弱性在第j个底层资产上产生的第p个信息安全风险的情况下第p个信息安全风险对第j个底层资产的影响，ef(i)(j)(p)(a)表示在第i个脆弱性在第j个底层资产上产生的第p个信息安全风险的情况下第a个评估人员给出的信息安全风险的影响值，l表示第二评估人员数量。

15、在一些实施例中，采用第三计算式计算每种脆弱性在每一底层资产上产生每种信息安全风险的危害性量化值；

16、所述第三计算式如下：

17、rc(i)(j)(p)＝ef(i)(j)(p)×pr(i)(j)(p)

18、式中，rc(i)(j)(p)表示第i个脆弱性在第j个底层资产上产生的第p个信息安全风险的危害性量化值，ef(i)(j)(p)表示在第i个脆弱性在第j个底层资产上产生的第p个信息安全风险的情况下第p个信息安全风险对第j个底层资产的影响，pr(i)(j)(p)表示第i个脆弱性在第j个底层资产上产生第p个信息安全风险的概率值。

19、在一些实施例中，所述资产种类包括技术栈资产、组织管理资产和技术管理资产；所述合并至少两个资产种类及该两个资产种类对应的底层资产，采用网络分析法生成合并后底层资产的加权超矩阵，包括：

20、合并组织管理资产和技术管理资产，同时合并组织管理资产和技术管理资产下的底层资产；

21、分别以技术栈资产、合并后的组织管理资产和技术管理资产中的每个底层资产为准则，形成判断矩阵并计算对应的权重向量，得到初始超矩阵，将初始超矩阵的合并部分对应的列向量拆分还原成合并前相应部分的列向量并进行归一化，得到最终的超矩阵

22、分别以技术栈资产、组织管理资产和技术管理资产为准则，形成判断矩阵并计算对应的权重向量，得到加权矩阵；

23、加权矩阵中每个元素与超矩阵中表征各类资产下底层资产间支配关系的块相乘构成加权超矩阵。

24、在一些实施例中，分别以技术栈资产、合并后的组织管理资产和技术管理资产中的每个底层资产为准则，形成判断矩阵并计算对应的权重向量，得到初始超矩阵，将初始超矩阵的合并部分对应的列向量拆分还原成合并前相应部分的列向量并进行归一化，得到最终的超矩阵，包括：

25、对于技术栈资产中的每个底层资产，分别以每个底层资产为准则形成该底层资产所支配底层资产的判断矩阵，基于该判断矩阵计算对应的权重向量，作为超矩阵的前m行的列向量，m表示技术栈资产中的底层资产数量；

26、对于合并后的组织管理资产和技术管理资产下的底层资产，分别以每个底层资产为准则形成该底层资产所支配底层资产的判断矩阵，基于该判断矩阵计算对应的权重向量，将该权重向量按照组织管理资产和技术管理资产对应的底层资产的分割边界，拆分还原为两个列向量，该两个列向量分别对应合并前的两部分，分别对两个列向量进行归一化，分别作为超矩阵的第m+1行至第m+n行的列向量和第m+n+1行至第m+n+q行的列向量，n表示组织管理资产中的底层资产数量，q表示技术管理资产中的底层资产数量。

27、在一些实施例中，基于所述加权超矩阵求解每一底层资产的权重，包括：

28、迭代计算whman＝whman-1×whma；

29、迭代计算的终止条件如下：

30、

31、其中，whma表示加权超矩阵，i表示whman的行索引，j表示whman的列索引，whmanij表示whman的第i行第j列元素，max表示取向量的最大值，min表示取向量的最小值，cov表示阈值，n表示当前迭代次数；

32、取whman每行的中值，形成whman的行中值列向量rmc，行本文档来自技高网...

【技术保护点】

1.一种基于风险危害性与资产结构分解的信息安全风险量化方法，其特征在于，包括：

2.根据权利要求1所述的信息安全风险量化方法，其特征在于，还包括：

3.根据权利要求1所述的信息安全风险量化方法，其特征在于，采用第三计算式计算每种脆弱性在每一底层资产上产生每种信息安全风险的危害性量化值；

4.根据权利要求1所述的信息安全风险量化方法，其特征在于，所述资产种类包括技术栈资产、组织管理资产和技术管理资产；

5.根据权利要求4所述的信息安全风险量化方法，其特征在于，分别以技术栈资产、合并后的组织管理资产和技术管理资产中的每个底层资产为准则，形成判断矩阵并计算对应的权重向量，得到初始超矩阵，将初始超矩阵的合并部分对应的列向量拆分还原成合并前相应部分的列向量并进行归一化，得到最终的超矩阵，包括：

6.根据权利要求4所述的信息安全风险量化方法，其特征在于，基于所述加权超矩阵求解每一底层资产的权重，包括：

7.根据权利要求1所述的信息安全风险量化方法，其特征在于，基于所述危害性量化值和所述权重计算业务信息化资产系统的整体信息

8.根据权利要求1所述的信息安全风险量化方法，其特征在于，还包括：

9.根据权利要求1所述的信息安全风险量化方法，其特征在于，还包括：

10.根据权利要求1所述的信息安全风险量化方法，其特征在于，还包括：

11.一种基于风险危害性与资产结构分解的信息安全风险量化装置，其特征在于，包括：

12.一种计算机设备，包括存储器、处理器及存储在存储器上的计算机程序，其特征在于，所述处理器执行所述计算机程序以实现权利要求1至10中任一项所述方法的步骤。

13.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现权利要求1至10中任一项所述方法的步骤。

14.一种计算机程序产品，包括计算机程序/指令，其特征在于，该计算机程序被处理器执行时实现权利要求1至10中任一项所述方法的步骤。

...

【技术特征摘要】

1.一种基于风险危害性与资产结构分解的信息安全风险量化方法，其特征在于，包括：

2.根据权利要求1所述的信息安全风险量化方法，其特征在于，还包括：

4.根据权利要求1所述的信息安全风险量化方法，其特征在于，所述资产种类包括技术栈资产、组织管理资产和技术管理资产；

6.根据权利要求4所述的信息安全风险量化方法，其特征在于，基于所述加权超矩阵求解每一底层资产的权重，包括：

7.根据权利要求1所述的信息安全风险量...

【专利技术属性】
技术研发人员：刘云龙，
申请(专利权)人：中国软件评测中心工业和信息化部软件与集成电路促进中心，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人