一种信息安全风险评估方法与流程

本发明涉及信息安全技术领域，尤其涉及一种信息安全风险评估方法。

背景技术：

网络与信息安全是信息产业发展的战略目标之一。《国家长期科学和技术发展规划纲要(2006—2020)》中明确提出：“开发网络信息安全技术及相关产品，建立信息安全技术保障体系”。

目前，在网络与信息安全领域，主要是通过威胁评估的方法进行风险评估，即根据漏洞预警信息与病毒预警信息产生的安全事件，对安全事件进行威胁甄别、标识风险级别，并且关联相对应的信息资产信息，产生风险评估数据。

上述方法是对漏洞与病毒预警信息产生的安全事件的威胁评估，评估项单一，评估范围小，评估忽略潜在威胁，并且不支持自定义规则评估。由于此评估方法不支持自定义评估，导致预警处理方面障碍重重。评估数据方面，内容片面，缺少风险情况描述及处理方案，潜在威胁得不到体现。

技术实现要素：

本发明的目的在于提供一种信息安全风险评估方法，从而解决现有技术中存在的前述问题。

为了实现上述目的，本发明采用的技术方案如下：

一种信息安全风险评估方法，包括如下步骤：

S1，根据待评估资产类型获取该类型的所有资产列表、基本配置信息列表及风险基线；

S2，嵌套循环遍历所述资产列表和基本配置信息列表，获取根据所述资产列表的索引得到的所有信息；

S43，利用基本配置信息列表中的脆弱性或威胁性配置值，根据威胁风险系数的风险取值级别的自定义规则，得到脆弱性或威胁性的实际值；

S4，根据脆弱性和威胁性的实际值计算风险值；

S5，判断所述风险值是否超过所述待评估资产类型的风险基线，如果超过，则根据报警配置信息将报警预警信息发送给收信人，否则，返回资产安全提示。

优选地，还包括步骤，定义用作封装风险评估数据的实体类，以及将S2-S5中得到的数据封装到实体类，所述实体类包括：资产基本信息属性和风险属性，所述资产基本属性包括资产编号、名称和资产价值，所述风险属性包括威胁性、脆弱性、风险值和风险等级。

优选地，还包括步骤，将封装到实体类的风险评估数据储存于数据库中，并用于前台页面或报表展示。

优选地，所述基本配置信息包括：资产价值、威胁风险系数、威胁脆弱性和风险值。

优选地，所述资产价值包括安全属性等级及等级描述，所述安全属性包括可用性、完整性和保密性，用于计算资产的价值；所述威胁风险系数包括风险类型、评判标准、等级和取值级别以及该级别的自定义规则，所述自定义规则配置一定时间段如每天、每月、每年产生的漏洞预警信息和病毒预警信息的发生数量，对应相应的自定义等级，根据此规则的配置计算威胁性和脆弱性的等级；所述风险类型包括脆弱性和威胁性，用于根据所述自定义规则和评判标准评估风险；所述威胁脆弱性包括所属资产类型，风险描述及处理，所述威胁脆弱性是关联威胁风险系数配置的，用于关联资产，根据规则和评判标准评估风险；所述风险值包括等级，上线、下线、标识及风险等级的意义，用于定义风险的级别。

优选地，所述风险基线包括资产类型和风险基线的等级。

优选地，S1之前还包括步骤，构建两个构造函数作为风险评估的入口，一个无参数，一个有参数，参数为资产类型，无参函数用做评估所有类型资产，有参函数用做针对资产类型进行单项评估。

本发明的有益效果是：本发明实施例提供的一种信息安全风险评估方法，评估项全面、评估范围广、支持自定义规则的评估，及时对威胁与潜在威胁的发现，更好的做好预警处理，同时评估数据达到数据内容包含全面，风险可视化高、潜在威胁的体现和风险情况的描述和处理方案清晰。

附图说明

图1是本发明实施例提供的风险评估配置流程图；

图2是本发明实施例提供的风险评估方法流程示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施方式仅仅用以解释本发明，并不用于限定本发明。

数据中心各个系统之间的管理和联系依赖于网络和信息系统，为了更好的管理和联系数据中心各个系统，解决评估项单一、评估范围小、评估信息时间范围、忽略潜在威胁、预警处理等问题，本发明实施例提供的方法，通过针对风险信息评估制定统一规则、设置基线等方式，大大减少潜在威胁的发现，提高预警处理速度和风险信息评估的评估范围。

本发明实施例提供了一种信息安全风险评估方法，包括如下步骤：

S1，根据待评估资产类型获取该类型的所有资产列表、基本配置信息列表及风险基线；

S2，嵌套循环遍历所述资产列表和基本配置信息列表，获取根据所述资产列表的索引得到的所有信息；

S43，利用基本配置信息列表中的脆弱性或威胁性配置值，根据威胁风险系数的风险取值级别的自定义规则，得到脆弱性或威胁性的实际值；

S4，根据脆弱性和威胁性的实际值计算风险值；

S5，判断所述风险值是否超过所述待评估资产类型的风险基线，如果超过，则根据报警配置信息将报警预警信息发送给收信人，否则，返回资产安全提示。

本发明实施例提供的信息安全风险评估方法，还可以包括步骤，定义用作封装风险评估数据的实体类，以及将S2-S5中得到的数据封装到实体类，所述实体类包括：资产基本信息属性和风险属性，所述资产基本属性包括资产编号、名称和资产价值，所述风险属性包括威胁性、脆弱性、风险值和风险等级。

在另一个本发明实施例提供的信息安全风险评估方法中，还可以包括步骤，将封装到实体类的风险评估数据储存于数据库中，并用于前台页面或报表展示。

本实施例中，所述基本配置信息包括：资产价值、威胁风险系数、威胁脆弱性和风险值。

其中，所述资产价值包括安全属性等级及等级描述，所述安全属性包括可用性、完整性和保密性，用于计算资产的价值；所述威胁风险系数包括风险类型、评判标准、等级和取值级别以及该级别的自定义规则，所述自定义规则配置一定时间段如每天、每月、每年产生的漏洞预警信息和病毒预警信息的发生数量，对应相应的自定义等级，根据此规则的配置计算威胁性和脆弱性的等级；所述风险类型包括脆弱性和威胁性，用于根据所述自定义规则和评判标准评估风险；所述威胁脆弱性包括所属资产类型，风险描述及处理，所述威胁脆弱性是关联威胁风险系数配置的，用于关联资产，根据规则和评判标准评估风险；所述风险值包括等级，上线、下线、标识及风险等级的意义，用于定义风险的级别。

所述风险基线包括资产类型和风险基线的等级。

在本发明的一个优选实施例中，S1之前还可以包括步骤，构建两个构造函数作为风险评估的入口，一个无参数，一个有参数，参数为资产类型，无参函数用做评估所有类型资产，有参函数用做针对资产类型进行单项评估。

综上所述，本发明提供的评估方法能够对不同的风险信息根据自定义规则，进行全面、大范围、深度的评估分析，并且做好预警处理，产生数据全面、风险可视化高，风险等级、描述、处理方案清晰的评估数据。

具体实施例：

第一步，定义风险评估数据实体类：

定义实体类属性，资产基本信息属性，如资产编号、名称、资产价值等，风险属性，如威胁性、脆弱性、风险值、风险等级等属性用做封装评估数据。

第二步，配置风险评估规则及风险基线，具体流程可如图1所示：

1.配置资产价值的安全属性等级及等级描述，安全属性包括可用性、完整性、保密性，用于计算资产的价值。

2.配置威胁风险系数的风险类型、评判标准、等级和取值级别并定义该级别的规则，风险类型包括脆弱性和威胁，用于根据规则和评判标准评估风险。

3.配置威胁脆弱性的所属资产类型，风险描述及处理，关联威胁风险系数配置的威胁及脆弱性，用于关联资产，根据规则和评判标准评估风险。

4.配置风险值的等级，上线、下线、标识及风险等级的意义用于定义风险的级别。

5.配置风险基线的资产类型、风险基线和威胁基线等级。

第三步，定义评估入口：

构建两个构造函数作为评估方法的入口，一个无参数，一个有参数，参数为资产类型。无参函数用做评估所有类型资产。有参函数用做针对资产类型进行单项评估。

第四步，实现风险评估，具体流程可参见图2：

1.编写单项评估方法，根据资产类型得到该类型的所有资产列表。

2.根据资产类型得到该类型的所有配置信息。

3.根据资产类型得到该类型基线设置。

4.使用嵌套循环遍历资产列表和资产配置信息列表，使用RA封装根据下标得到的资产信息、通过ip和脆弱性配置值根据自定义规则等到脆弱性实际的值，通过脆弱性和威胁性计算出来的风险值，根据风险值判断是否超过该资产设置的基线。

5.根据资产类型得到该类型的报警配置，根据威胁严重性、脆弱性和是否超过基线等配置及自定义报警收信人配置，选择以派发运维、短信、邮件、日志记录、人工记录等方式通知报警收信人。

6.将RA封装的风险评估数据储存于数据库用于前台页面展示和报表展示。

通过采用本发明公开的上述技术方案，得到了如下有益的效果：本发明实施例提供的一种信息安全风险评估方法，评估项全面、评估范围广、支持自定义规则的评估，及时对威胁与潜在威胁的发现，更好的做好预警处理，同时评估数据达到数据内容包含全面，风险可视化高、潜在威胁的体现和风险情况的描述和处理方案清晰。

本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本领域人员应该理解的是，上述实施例提供的方法步骤的时序可根据实际情况进行适应性调整，也可根据实际情况并发进行。

上述实施例涉及的方法中的全部或部分步骤可以通过程序来指令相关的硬件来完成，所述的程序可以存储于计算机设备可读取的存储介质中，用于执行上述各实施例方法所述的全部或部分步骤。所述计算机设备，例如：个人计算机、服务器、网络设备、智能移动终端、智能家居设备、穿戴式智能设备、车载智能设备等；所述的存储介质，例如：RAM、ROM、磁碟、磁带、光盘、闪存、U盘、移动硬盘、存储卡、记忆棒、网络服务器存储、网络云存储等。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视本发明的保护范围。