信息系统安全风险评价方法
【专利摘要】本发明公开了一种信息系统安全风险评价方法。该方法以防危性增长测评方法中得出的安全关键运行为决策单元,以能动态反映系统运行的指标量为投入,以风险值为产出,得到各个时刻的风险产出前沿面和风险值,进而得到各个时刻间的Malmquist指数,而该Malmquist指数就表示风险迁移的情况,因此该方法能动态跟踪风险变化情况,为后续的风险防范和解除提供依据。
【专利说明】信息系统安全风险评价方法
【技术领域】
[0001]本发明属于安全风险评价技术,特别是一种信息系统安全风险评价方法。
【背景技术】
[0002]随着软件技术发展和网络规模的不断增大,对信息系统的安全风险评价也越来越重要。其主要原因在于信息系统一般存在软件缺陷,进而存在软件安全风险问题。信息系统风险评估已得到国际社会的普遍重视,风险评估的重点也从操作系统、网络环境发展到整个管理体系。
[0003]目前,风险评估方法主要是采用定性与定量相结合的方法,一般分以定性为主的评估方法和定量为主的评估方法2大类。以定性分析为主的评估放方法是通过界定风险源,初步判明风险的严重程度,并对系统风险进行评估的方法。以定量分析为主的评估方法是在定性分析的逻辑基础上,基于定性风险分析的数学处理,得出各个风险源的风险量化指标,再经过合成,得到所要评估的风险大小或重要程度。目前,比较成熟的以定量分析为主的风险评估方法有蒙特卡洛模拟法、概率风险评估法、风险评审技术等。(吕彬,杜红梅,陈庆华.基于概率分布的风险评估方法研究.装备指挥技术学院学报.2006.17(4):5-9)。
【发明内容】
[0004]本发明的目的在于提供一种信息系统安全风险评价方法,从而实现对风险变化动态跟踪,为后续的风险防范和解除提供依据。
[0005]实现本发明目的的技术解决方案为:信息系统安全风险评价方法,步骤如下:
[0006]第一步,对于第m次运行,设定一个初始风险级别Smtl和一个警戒风险级别S?,特别地,对于第一次运行,设定系数a lt的值。
[0007]第二步,将整个运行分为若干个时刻,初始为0时刻,总时刻数记为T。
[0008]第三步,对于两个时刻s时刻和t时刻,计算这两个时刻间的Malmquist指数值
【权利要求】
1.一种信息系统安全风险评价方法,其特征在于步骤如下: 第一步,对于第m次运行,设定一个初始风险级别Smtl和一个警戒风险级别S?,特别地,对于第一次运行,设定系数a lt的值; 第二步,将整个运行分为若干个时刻,初始为O时刻,总时刻数记为T ; 第三步,对于两个时刻s时刻和t时刻,计算这两个时刻间的Malmquist指数值M:? (Im? Rml.1imJiim) ’ IfflO Iffls分别反映失效、缺陷的指标量在第m次运行t时刻和S时刻的值,Rmt> Rms分别表示系统在第m次运行t时刻和s时刻的风险值。将该Malmquist指数值作为两个时刻的风险变化情况,即&.5 = M:n X Sml; 第四步,求得每个时刻的风险级别,。若某个时刻t'的风险级别Smt, >警戒风险级别S? ,则产生报警并进行后续操作。
【文档编号】G06F19/00GK103678857SQ201210365054
【公开日】2014年3月26日 申请日期:2012年9月26日 优先权日:2012年9月26日
【发明者】李千目, 路国翠, 戚湧, 侯君, 徐建, 张功萱, 倪辰辰, 倪铭, 李嘉, 李宗骍 申请人:无锡南理工科技发展有限公司