一种基于可信度的信息资产风险值计算方法与流程

本发明属于区块链技术领域，具体涉及一种基于可信度的信息资产风险值计算方法。

背景技术：

随着互联网发展，现有信息资产的组成越来越复杂。一般地，一个信息资产由多个子资产或者子部分进行，而这些子资产或者子部分同时提供给其他信息资产用做组成部分。传统风险计算只计算脆弱性及发生概率，信息资产风险计算不够全面，准确度较低。

技术实现要素：

为解决上述问题，本发明提供了一种基于可信度的信息资产风险值计算方法，所述方法包括步骤：

根据每一所述单点的脆弱性和可信度，计算每一所述模块资产的模块资产脆弱性；

根据每一所述模块资产的模块资产脆弱性及权重，计算每一所述信息资产的信息资产风险。

优选地，所述模块资产脆弱性的计算公式为：

v(h)＝log2vs；

其中，vs为所有单点的脆弱性和，vi为单点的脆弱性，wi为可信度，v(h)为所述模块资产脆弱性。

优选地，所述信息资产风险的计算公式为：

其中，v(s)为所述信息资产风险，θi为权重，v(hi)为所述模块资产脆弱性。

优选地，所述单点的脆弱性根据cnnvd通用漏洞评价赋值计算。

优选地，所述单点的脆弱性根据cvss通用漏洞评价赋值计算。

优选地，所述模块资产的权重等于专家系数。

本申请提供的一种基于可信度的信息资产风险值计算方法，可以全面而准确地对信息资产的风险值进行计算，所得到的风险值更接近理想评估状态。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本发明提供的一种基于可信度的信息资产风险值计算方法的流程示意图；

图2是本发明提供的一种基于可信度的信息资产风险值计算方法中信息资产的示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明了，下面结合具体实施方式并参照附图，对本发明进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。

如图1，在本申请实施例中，本申请提供了一种基于可信度的信息资产风险值计算方法，所述方法包括步骤：

s1：根据每一所述单点的脆弱性和可信度，计算每一所述模块资产的模块资产脆弱性；

s2：根据每一所述模块资产的模块资产脆弱性及权重，计算每一所述信息资产的信息资产风险。

在本申请实施例中，所述模块资产脆弱性的计算公式为：

v(h)＝log2vs；

其中，vs为所有单点的脆弱性和，vi为单点的脆弱性，wi为可信度，v(h)为所述模块资产脆弱性。

在本申请实施例中，所述信息资产风险的计算公式为：

其中，v(s)为所述信息资产风险，θi为权重，v(hi)为所述模块资产脆弱性。

在本申请实施例中，所述单点的脆弱性根据cnnvd通用漏洞评价赋值计算。

在其他一些申请实施例中，所述单点的脆弱性根据cvss通用漏洞评价赋值计算。

在本申请实施例中，所述模块资产的权重等于专家系数。

如图2，在本申请实施例中，信息资产包括信息资产a和b，信息资产a包括模块资产a和b，信息资产b包括模块资产c和d，模块资产a包括单点a和b，单点a具有脆弱性1和可信度1，然后按照上述公式进行计算，最后可得信息资产风险值。

下面以具体实施例进行说明。

实施例1

首先工作人员需要获取所有的信息资产，将所有的所述信息资产编号，方便后续按照公式进行计算。当工作人员对信息资产编号时，可以采用数字(如1、2、3……)对其进行编号，也可以采用罗马数字对其进行编号，还可以采用希腊数字(如α、β等)对其进行编号，可以根据自己的喜好选择即可，本申请对其不进行限制。当编好号后，工作人员获取每一个所述信息资产的具体组成，也即获取每一个所述信息资产中所包含的所有的所述模块资产，以及每一个所述模块资产对应的权重，此时权重等于每一个所述模块资产对应的专家系数。此时，工作人员也可以对每一个所述模块资产进行编号，方便后续按照公式进行计算。当工作人员对信息资产编号时，可以采用数字(如1、2、3……)对其进行编号，也可以采用罗马数字对其进行编号，还可以采用希腊数字(如α、β等)对其进行编号，可以根据自己的喜好选择即可，本申请对其不进行限制。当编好号后，工作人员再获取每一个所述模块资产的单点的脆弱性，以及每一个单点的脆弱性的可信度。此时，在本申请实施例中，所述单点的脆弱性根据cnnvd通用漏洞评价赋值计算，计算方法为本领域技术人员所熟知，在此本申请不对其进行赘述。当获取每一所述单点的脆弱性及其对应的可信度之后，可以根据公式计算出每一个所述模块资产的模块资产脆弱性；当计算出每一个所述模块资产的模块资产脆弱性之后，再根据之前获取的权重，根据公式计算每一所述信息资产的信息资产风险。具体可参照下表：

实施例2

首先工作人员需要获取所有的信息资产，将所有的所述信息资产编号，方便后续按照公式进行计算。当工作人员对信息资产编号时，可以采用数字(如1、2、3……)对其进行编号，也可以采用罗马数字对其进行编号，还可以采用希腊数字(如α、β等)对其进行编号，可以根据自己的喜好选择即可，本申请对其不进行限制。当编好号后，工作人员获取每一个所述信息资产的具体组成，也即获取每一个所述信息资产中所包含的所有的所述模块资产，以及每一个所述模块资产对应的权重，此时权重等于每一个所述模块资产对应的专家系数。此时，工作人员也可以对每一个所述模块资产进行编号，方便后续按照公式进行计算。当工作人员对信息资产编号时，可以采用数字(如1、2、3……)对其进行编号，也可以采用罗马数字对其进行编号，还可以采用希腊数字(如α、β等)对其进行编号，可以根据自己的喜好选择即可，本申请对其不进行限制。当编好号后，工作人员再获取每一个所述模块资产的单点的脆弱性，以及每一个单点的脆弱性的可信度。此时，在本申请实施例中，所述单点的脆弱性根据cvss通用漏洞评价赋值计算，计算方法为本领域技术人员所熟知，在此本申请不对其进行赘述。当获取每一所述单点的脆弱性及其对应的可信度之后，可以根据公式计算出每一个所述模块资产的模块资产脆弱性；当计算出每一个所述模块资产的模块资产脆弱性之后，再根据之前获取的权重，根据公式计算每一所述信息资产的信息资产风险。具体可参照下表：

实施例3

首先工作人员需要获取所有的信息资产，将所有的所述信息资产编号，方便后续按照公式进行计算。当工作人员对信息资产编号时，可以采用数字(如1、2、3……)对其进行编号，也可以采用罗马数字对其进行编号，还可以采用希腊数字(如α、β等)对其进行编号，可以根据自己的喜好选择即可，本申请对其不进行限制。当编好号后，工作人员获取每一个所述信息资产的具体组成，也即获取每一个所述信息资产中所包含的所有的所述模块资产，以及每一个所述模块资产对应的权重，此时权重可以参照每一个所述模块资产对应的专家系数设定一个系数，比如权重可以为专家系数的一半。此时，工作人员也可以对每一个所述模块资产进行编号，方便后续按照公式进行计算。当工作人员对信息资产编号时，可以采用数字(如1、2、3……)对其进行编号，也可以采用罗马数字对其进行编号，还可以采用希腊数字(如α、β等)对其进行编号，可以根据自己的喜好选择即可，本申请对其不进行限制。当编好号后，工作人员再获取每一个所述模块资产的单点的脆弱性，以及每一个单点的脆弱性的可信度。此时，在本申请实施例中，所述单点的脆弱性根据cnnvd通用漏洞评价赋值计算，计算方法为本领域技术人员所熟知，在此本申请不对其进行赘述。当获取每一所述单点的脆弱性及其对应的可信度之后，可以根据公式计算出每一个所述模块资产的模块资产脆弱性；当计算出每一个所述模块资产的模块资产脆弱性之后，再根据之前获取的权重，根据公式计算每一所述信息资产的信息资产风险。具体可参照下表：

实施例4

首先工作人员需要获取所有的信息资产，将所有的所述信息资产编号，方便后续按照公式进行计算。当工作人员对信息资产编号时，可以采用数字(如1、2、3……)对其进行编号，也可以采用罗马数字对其进行编号，还可以采用希腊数字(如α、β等)对其进行编号，可以根据自己的喜好选择即可，本申请对其不进行限制。当编好号后，工作人员获取每一个所述信息资产的具体组成，也即获取每一个所述信息资产中所包含的所有的所述模块资产，以及每一个所述模块资产对应的权重，此时权重可以根据需要自行选择的具有同一标准的数值。此时，工作人员也可以对每一个所述模块资产进行编号，方便后续按照公式进行计算。当工作人员对信息资产编号时，可以采用数字(如1、2、3……)对其进行编号，也可以采用罗马数字对其进行编号，还可以采用希腊数字(如α、β等)对其进行编号，可以根据自己的喜好选择即可，本申请对其不进行限制。当编好号后，工作人员再获取每一个所述模块资产的单点的脆弱性，以及每一个单点的脆弱性的可信度。此时，在本申请实施例中，所述单点的脆弱性根据cnnvd通用漏洞评价赋值计算，计算方法为本领域技术人员所熟知，在此本申请不对其进行赘述。当获取每一所述单点的脆弱性及其对应的可信度之后，可以根据公式计算出每一个所述模块资产的模块资产脆弱性；当计算出每一个所述模块资产的模块资产脆弱性之后，再根据之前获取的权重，根据公式计算每一所述信息资产的信息资产风险。具体可参照下表：

本申请提供的一种基于可信度的信息资产风险值计算方法，可以全面而准确地对信息资产的风险值进行计算，所得到的风险值更接近理想评估状态。

应当理解的是，本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理，而不构成对本发明的限制。因此，在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。此外，本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。