一種風(fēng)險(xiǎn)評(píng)估方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本申請(qǐng)涉及信息安全技術(shù)領(lǐng)域�����,更具體地說(shuō)���,涉及一種風(fēng)險(xiǎn)評(píng)估方法及系統(tǒng)��。
【背景技術(shù)】
[0002] 在資產(chǎn)風(fēng)險(xiǎn)評(píng)估時(shí)���,往往需要對(duì)資產(chǎn)的風(fēng)險(xiǎn)進(jìn)行量化,以便對(duì)不同資產(chǎn)的風(fēng)險(xiǎn)進(jìn) 行比較����。
[0003]目前常見(jiàn)的風(fēng)險(xiǎn)評(píng)估方法只有對(duì)資產(chǎn)風(fēng)險(xiǎn)的量化,其從資產(chǎn)風(fēng)險(xiǎn)的角度衡量資產(chǎn) 的安全性�。但是,這種風(fēng)險(xiǎn)評(píng)估方式?jīng)]有考慮到資產(chǎn)脆弱性對(duì)資產(chǎn)安全性的影響�,缺少潛在 的風(fēng)險(xiǎn)評(píng)估。
【發(fā)明內(nèi)容】
[0004]有鑒于此��,本申請(qǐng)?zhí)峁┝艘环N風(fēng)險(xiǎn)評(píng)估方法及系統(tǒng)��,用于解決現(xiàn)有風(fēng)險(xiǎn)評(píng)估方法 沒(méi)有考慮資產(chǎn)脆弱性對(duì)資產(chǎn)安全性的影響����,導(dǎo)致缺少潛在風(fēng)險(xiǎn)評(píng)估的問(wèn)題��。
[0005]為了實(shí)現(xiàn)上述目的���,現(xiàn)提出的方案如下:
[0006] -種風(fēng)險(xiǎn)評(píng)估方法�,包括:
[0007] 利用資產(chǎn)的機(jī)密性量化值、完整性量化值和可用性量化值���,確定資產(chǎn)的資產(chǎn)價(jià)值 量化值��;
[0008] 利用單位時(shí)間內(nèi)資產(chǎn)遭到的攻擊事件�,以及資產(chǎn)脆弱性掃描結(jié)果����,確定資產(chǎn)的攻 擊事件威脅量化值;
[0009] 利用所述資產(chǎn)價(jià)值量化值以及所述攻擊事件威脅量化值�����,確定資產(chǎn)的資產(chǎn)風(fēng)險(xiǎn)量 化值����;
[0010] 利用資產(chǎn)的漏洞掃描結(jié)果量化值和基線檢查結(jié)果量化值,確定資產(chǎn)的脆弱性量化 值�����;
[0011] 其中�,所述資產(chǎn)的資產(chǎn)風(fēng)險(xiǎn)量化值用于從資產(chǎn)風(fēng)險(xiǎn)角度衡量資產(chǎn)安全性����,所述資 產(chǎn)的脆弱性量化值用于從資產(chǎn)脆弱性角度衡量資產(chǎn)安全性��。
[0012]優(yōu)選地�����,還包括:
[0013]利用目標(biāo)安全域內(nèi)各個(gè)資產(chǎn)的資產(chǎn)風(fēng)險(xiǎn)量化值��,確定所述目標(biāo)安全域的風(fēng)險(xiǎn)量化 值��;
[0014]利用目標(biāo)安全域內(nèi)各個(gè)資產(chǎn)的脆弱性量化值�����,確定所述目標(biāo)安全域的脆弱性量化 值���。
[0015] 優(yōu)選地����,所述利用資產(chǎn)的機(jī)密性量化值�����、完整性量化值和可用性量化值�,確定資產(chǎn) 的資產(chǎn)價(jià)值量化值,包括:
[0016]分別將資產(chǎn)的機(jī)密性C�����、完整性I和可用性A劃分為五個(gè)等級(jí)����,各等級(jí)對(duì)應(yīng)的分值分 別為1、2��、3����、4和5;
[0017]按照下式計(jì)算資產(chǎn)的資產(chǎn)價(jià)值量化值M:
[0018]
[0019] 其中,Μ取值區(qū)間為[0,100]����,round〇函數(shù)為四舍五入的取整函數(shù)。
[0020]優(yōu)選地�����,所述利用單位時(shí)間內(nèi)資產(chǎn)遭到的攻擊事件,以及資產(chǎn)脆弱性掃描結(jié)果�����,確 定資產(chǎn)的攻擊事件威脅量化值�,包括:
[0021 ]按照下式計(jì)算資產(chǎn)的攻擊事件威脅量化值T:
[0022] T=Evt*f(Evt,Vul)*g(SIP)
[0023] 其中��,T取值區(qū)間為[0�,1 ],Evt為攻擊事件威脅等級(jí)量化值���,取值區(qū)間為[0�,1]���,f() 為事件-資產(chǎn)相關(guān)性判斷函數(shù)���,取值區(qū)間為[0,1]��,g()為攻擊源屬性判斷函數(shù)�����,取值區(qū)間為 [0,1];
[0024] 上述Evt的確定過(guò)程為:
[0025] 將攻擊車件創(chuàng)分為石個(gè)等級(jí)�,各個(gè)等級(jí)對(duì)應(yīng)的分值level分別為1、2�、3、4和5;
[0026]
[0027]其中����,Evt取值區(qū)間為[0,1]�����,leve1為攻擊事件等級(jí)的分值��;
[0028] 上述f(Evt���,Vul)的確定過(guò)程為:
[0029] f=l:資產(chǎn)上存在可被攻擊利用的漏洞��;
[0030] f= 0.8:資產(chǎn)上不存在可被攻擊利用的漏洞�,但被攻擊端口開(kāi)放����;
[0031 ] f= 0.4:漏洞、開(kāi)放端口均不相符�,但操作系統(tǒng)類型相符;
[0032] f= 0.2:漏洞、開(kāi)放端口����、操作系統(tǒng)類型均不相符,且目標(biāo)資產(chǎn)存在漏掃結(jié)果����;
[0033] f= 0.1:漏洞、開(kāi)放端口�、操作系統(tǒng)類型均不相符,且系統(tǒng)中不存在目標(biāo)資產(chǎn)的漏 掃結(jié)果��;
[0034]上述g(SIP)的確定過(guò)程為:
[0035]g=l:攻擊源位于預(yù)置黑名單列表中����;
[0036]g=0.7:攻擊源既不在預(yù)置黑名單,也不在預(yù)置白名單中����;
[0037] g= 0:攻擊源位于預(yù)置白名單。
[0038] 優(yōu)選地�,所述利用所述資產(chǎn)價(jià)值量化值以及所述攻擊事件威脅量化值,確定資產(chǎn) 的資產(chǎn)風(fēng)險(xiǎn)量化值���,包括:
[0039] 計(jì)算單個(gè)攻擊事件造成的資產(chǎn)風(fēng)險(xiǎn)量化值Re:
[0040] Re=M*T
[0041] 其中�,Μ為資產(chǎn)價(jià)值量化值,T為資產(chǎn)的攻擊事件威脅量化值����;
[0042]單位時(shí)間內(nèi)�����,一個(gè)資產(chǎn)遭到的多次攻擊所造成的資產(chǎn)風(fēng)險(xiǎn)采取概率求和的方式計(jì) 算:
[0043]
[0044]其中�,Rh為單個(gè)攻擊事件i造成的風(fēng)險(xiǎn),η為單位時(shí)間內(nèi)攻擊事件總數(shù)�����。
[0045]優(yōu)選地��,所述利用目標(biāo)安全域內(nèi)各個(gè)資產(chǎn)的資產(chǎn)風(fēng)險(xiǎn)量化值����,確定所述目標(biāo)安全 域的風(fēng)險(xiǎn)量化值,包括:
[0046]計(jì)算目標(biāo)安全域的風(fēng)險(xiǎn)量化值Ra:
[0047]
[0048]Ra為目標(biāo)安全域的風(fēng)險(xiǎn)量化值��,取值區(qū)間為[0��,100]�,Rj為資產(chǎn)j的風(fēng)險(xiǎn)量化值���,取 值區(qū)間為[0,l00]���,n為目標(biāo)安全域內(nèi)的資產(chǎn)總數(shù)���。
[0049]優(yōu)選地,所述利用資產(chǎn)的漏洞掃描結(jié)果量化值和基線檢查結(jié)果量化值���,確定資產(chǎn) 的脆弱性量化值���,包括:
[0050]計(jì)算資產(chǎn)的脆弱性量化值V:
[0051]
[0052]其中,vul為漏洞掃描結(jié)果量化值��,取值區(qū)間為[0,100]�,bas為基線檢查結(jié)果量化 值,取值區(qū)間為[0, 100]����,α和β為權(quán)重值,二者和為1;
[0053] 其中���,vul的確定過(guò)程為:
[0054]對(duì)資產(chǎn)上的每個(gè)漏洞����,將其轉(zhuǎn)換為脆弱性概率值Pk:
[0055]
[0056]其中,Pk為漏洞k的脆弱概率值���,取值區(qū)間為[0,0.8]����,Spk為漏洞k的CVSS分值���,取值 區(qū)間為[1,10];
[0057] :^-1
[0058] 其中���,bas的確定過(guò)程為:
[0059]bas= 10〇-res
[0060]其中����,res為基線檢查工具對(duì)資產(chǎn)進(jìn)行掃描后得到的百分制下的評(píng)分值����。
[0061]優(yōu)選地,所述利用目標(biāo)安全域內(nèi)各個(gè)資產(chǎn)的脆弱性量化值��,確定所述目標(biāo)安全域 的脆弱性量化值�����,包括:
[0062]計(jì)算目標(biāo)安全域的脆弱性量化值VA:
[0063]
[0064]其中,V」為目標(biāo)域中資產(chǎn)j脆弱性量化值�。
[0065] 一種風(fēng)險(xiǎn)評(píng)估系統(tǒng),包括:
[0066]資產(chǎn)價(jià)值量化單元�����,用于利用資產(chǎn)的機(jī)密性量化值���、完整性量化值和可用性量化 值����,確定資產(chǎn)的資產(chǎn)價(jià)值量化值��;
[0067]攻擊事件威脅量化單元���,用于利用單位時(shí)間內(nèi)資產(chǎn)遭到的攻擊事件���,以及資產(chǎn)脆 弱性掃描結(jié)果,確定資產(chǎn)的攻擊事件威脅量化值�;
[0068]資產(chǎn)風(fēng)險(xiǎn)量化單元,用于利用所述資產(chǎn)價(jià)值量化值以及所述攻擊事件威脅量化 值����,確定資產(chǎn)的資產(chǎn)風(fēng)險(xiǎn)量化值�,所述資產(chǎn)的資產(chǎn)風(fēng)險(xiǎn)量化值用于從資產(chǎn)風(fēng)險(xiǎn)角度衡量資 產(chǎn)安全性����,;
[0069]資產(chǎn)脆弱性量化單元�,用于利用資產(chǎn)的漏洞掃描結(jié)果量化值和基線檢查結(jié)果量化 值,確定資產(chǎn)的脆弱性量化值����,所述資產(chǎn)的脆弱性量化值用于從資產(chǎn)脆弱性角度衡量資產(chǎn) 安全性�����。
[0070] 優(yōu)選地�,還包括:
[0071] 安全域風(fēng)險(xiǎn)量化單元,用于利用目標(biāo)安全域內(nèi)各個(gè)資產(chǎn)的資產(chǎn)風(fēng)險(xiǎn)量化值����,確定 所述目標(biāo)安全域的風(fēng)險(xiǎn)量化值;
[0072] 安全域脆弱性量化單元�����,用于利用目標(biāo)安全域內(nèi)各個(gè)資產(chǎn)的脆弱性量化值,確定 所述目標(biāo)安全域的脆弱性量化值����。
[0073] 從上述的技術(shù)方案可以看出,本申請(qǐng)實(shí)施例提供的風(fēng)險(xiǎn)評(píng)估方法�,利用資產(chǎn)的機(jī) 密性量化值、完整性量化值和可用性量化值�����,確定資產(chǎn)的資產(chǎn)價(jià)值量化值����,進(jìn)一步利用單位 時(shí)間內(nèi)資產(chǎn)遭到的攻擊事件,以及資產(chǎn)脆弱性掃描結(jié)果���,確定資產(chǎn)的攻擊事件威脅量化值��, 利用資產(chǎn)價(jià)值量化值和攻擊事件威脅量化值�,確定資產(chǎn)的資產(chǎn)風(fēng)險(xiǎn)量化值����,資產(chǎn)風(fēng)險(xiǎn)量化 值用于從資產(chǎn)風(fēng)險(xiǎn)角度衡量資產(chǎn)安全性,最后,利用資產(chǎn)的漏洞掃描結(jié)果量化值和基線檢 查結(jié)果量化值�����,確定資產(chǎn)的脆弱性量化值�,資產(chǎn)的脆弱性量化值用于從資產(chǎn)脆弱性角度衡 量資產(chǎn)安全性。本申請(qǐng)?jiān)诳紤]資產(chǎn)風(fēng)險(xiǎn)量化值的同時(shí)�����,考慮了資產(chǎn)脆弱性量化值�����,從兩個(gè)角 度評(píng)估了資產(chǎn)的安全性���。
【附圖說(shuō)明