一种风险评估方法及系统的制作方法
【技术领域】
[0001] 本申请涉及信息安全技术领域,更具体地说,涉及一种风险评估方法及系统。
【背景技术】
[0002] 在资产风险评估时,往往需要对资产的风险进行量化,以便对不同资产的风险进 行比较。
[0003]目前常见的风险评估方法只有对资产风险的量化,其从资产风险的角度衡量资产 的安全性。但是,这种风险评估方式没有考虑到资产脆弱性对资产安全性的影响,缺少潜在 的风险评估。
【发明内容】
[0004]有鉴于此,本申请提供了一种风险评估方法及系统,用于解决现有风险评估方法 没有考虑资产脆弱性对资产安全性的影响,导致缺少潜在风险评估的问题。
[0005]为了实现上述目的,现提出的方案如下:
[0006] -种风险评估方法,包括:
[0007] 利用资产的机密性量化值、完整性量化值和可用性量化值,确定资产的资产价值 量化值;
[0008] 利用单位时间内资产遭到的攻击事件,以及资产脆弱性扫描结果,确定资产的攻 击事件威胁量化值;
[0009] 利用所述资产价值量化值以及所述攻击事件威胁量化值,确定资产的资产风险量 化值;
[0010] 利用资产的漏洞扫描结果量化值和基线检查结果量化值,确定资产的脆弱性量化 值;
[0011] 其中,所述资产的资产风险量化值用于从资产风险角度衡量资产安全性,所述资 产的脆弱性量化值用于从资产脆弱性角度衡量资产安全性。
[0012]优选地,还包括:
[0013]利用目标安全域内各个资产的资产风险量化值,确定所述目标安全域的风险量化 值;
[0014]利用目标安全域内各个资产的脆弱性量化值,确定所述目标安全域的脆弱性量化 值。
[0015] 优选地,所述利用资产的机密性量化值、完整性量化值和可用性量化值,确定资产 的资产价值量化值,包括:
[0016]分别将资产的机密性C、完整性I和可用性A划分为五个等级,各等级对应的分值分 别为1、2、3、4和5;
[0017]按照下式计算资产的资产价值量化值M:
[0018]
[0019] 其中,Μ取值区间为[0,100],round〇函数为四舍五入的取整函数。
[0020]优选地,所述利用单位时间内资产遭到的攻击事件,以及资产脆弱性扫描结果,确 定资产的攻击事件威胁量化值,包括:
[0021 ]按照下式计算资产的攻击事件威胁量化值T:
[0022] T=Evt*f(Evt,Vul)*g(SIP)
[0023] 其中,T取值区间为[0,1 ],Evt为攻击事件威胁等级量化值,取值区间为[0,1],f() 为事件-资产相关性判断函数,取值区间为[0,1],g()为攻击源属性判断函数,取值区间为 [0,1];
[0024] 上述Evt的确定过程为:
[0025] 将攻击車件创分为石个等级,各个等级对应的分值level分别为1、2、3、4和5;
[0026]
[0027]其中,Evt取值区间为[0,1],leve1为攻击事件等级的分值;
[0028] 上述f(Evt,Vul)的确定过程为:
[0029] f=l:资产上存在可被攻击利用的漏洞;
[0030] f= 0.8:资产上不存在可被攻击利用的漏洞,但被攻击端口开放;
[0031 ] f= 0.4:漏洞、开放端口均不相符,但操作系统类型相符;
[0032] f= 0.2:漏洞、开放端口、操作系统类型均不相符,且目标资产存在漏扫结果;
[0033] f= 0.1:漏洞、开放端口、操作系统类型均不相符,且系统中不存在目标资产的漏 扫结果;
[0034]上述g(SIP)的确定过程为:
[0035]g=l:攻击源位于预置黑名单列表中;
[0036]g=0.7:攻击源既不在预置黑名单,也不在预置白名单中;
[0037] g= 0:攻击源位于预置白名单。
[0038] 优选地,所述利用所述资产价值量化值以及所述攻击事件威胁量化值,确定资产 的资产风险量化值,包括:
[0039] 计算单个攻击事件造成的资产风险量化值Re:
[0040] Re=M*T
[0041] 其中,Μ为资产价值量化值,T为资产的攻击事件威胁量化值;
[0042]单位时间内,一个资产遭到的多次攻击所造成的资产风险采取概率求和的方式计 算:
[0043]
[0044]其中,Rh为单个攻击事件i造成的风险,η为单位时间内攻击事件总数。
[0045]优选地,所述利用目标安全域内各个资产的资产风险量化值,确定所述目标安全 域的风险量化值,包括:
[0046]计算目标安全域的风险量化值Ra:
[0047]
[0048]Ra为目标安全域的风险量化值,取值区间为[0,100],Rj为资产j的风险量化值,取 值区间为[0,l00],n为目标安全域内的资产总数。
[0049]优选地,所述利用资产的漏洞扫描结果量化值和基线检查结果量化值,确定资产 的脆弱性量化值,包括:
[0050]计算资产的脆弱性量化值V:
[0051]
[0052]其中,vul为漏洞扫描结果量化值,取值区间为[0,100],bas为基线检查结果量化 值,取值区间为[0, 100],α和β为权重值,二者和为1;
[0053] 其中,vul的确定过程为:
[0054]对资产上的每个漏洞,将其转换为脆弱性概率值Pk:
[0055]
[0056]其中,Pk为漏洞k的脆弱概率值,取值区间为[0,0.8],Spk为漏洞k的CVSS分值,取值 区间为[1,10];
[0057] :^-1
[0058] 其中,bas的确定过程为:
[0059]bas= 10〇-res
[0060]其中,res为基线检查工具对资产进行扫描后得到的百分制下的评分值。
[0061]优选地,所述利用目标安全域内各个资产的脆弱性量化值,确定所述目标安全域 的脆弱性量化值,包括:
[0062]计算目标安全域的脆弱性量化值VA:
[0063]
[0064]其中,V」为目标域中资产j脆弱性量化值。
[0065] 一种风险评估系统,包括:
[0066]资产价值量化单元,用于利用资产的机密性量化值、完整性量化值和可用性量化 值,确定资产的资产价值量化值;
[0067]攻击事件威胁量化单元,用于利用单位时间内资产遭到的攻击事件,以及资产脆 弱性扫描结果,确定资产的攻击事件威胁量化值;
[0068]资产风险量化单元,用于利用所述资产价值量化值以及所述攻击事件威胁量化 值,确定资产的资产风险量化值,所述资产的资产风险量化值用于从资产风险角度衡量资 产安全性,;
[0069]资产脆弱性量化单元,用于利用资产的漏洞扫描结果量化值和基线检查结果量化 值,确定资产的脆弱性量化值,所述资产的脆弱性量化值用于从资产脆弱性角度衡量资产 安全性。
[0070] 优选地,还包括:
[0071] 安全域风险量化单元,用于利用目标安全域内各个资产的资产风险量化值,确定 所述目标安全域的风险量化值;
[0072] 安全域脆弱性量化单元,用于利用目标安全域内各个资产的脆弱性量化值,确定 所述目标安全域的脆弱性量化值。
[0073] 从上述的技术方案可以看出,本申请实施例提供的风险评估方法,利用资产的机 密性量化值、完整性量化值和可用性量化值,确定资产的资产价值量化值,进一步利用单位 时间内资产遭到的攻击事件,以及资产脆弱性扫描结果,确定资产的攻击事件威胁量化值, 利用资产价值量化值和攻击事件威胁量化值,确定资产的资产风险量化值,资产风险量化 值用于从资产风险角度衡量资产安全性,最后,利用资产的漏洞扫描结果量化值和基线检 查结果量化值,确定资产的脆弱性量化值,资产的脆弱性量化值用于从资产脆弱性角度衡 量资产安全性。本申请在考虑资产风险量化值的同时,考虑了资产脆弱性量化值,从两个角 度评估了资产的安全性。
【附图说明