一种数据安全风险量化评估方法与流程

本发明涉及一种数据的评估方法，尤其是一种数据安全风险量化评估方法。

背景技术：

1、随着《数据安全法》等一系列法律法规的颁布实施，我国网络空间的法律法规秩序体系逐步完善，网络安全工作迈入了新时代。在促进关键信息基础设施和数字经济发展的同时，需要进一步提升数据安全保障能力、风险发现能力，确保数据安全风险可控在控，对切实维护国家主权、国家安全和社会发展利益等方面具有重大意义。

2、数据安全风险评估的发展是以《数据安全法》为根本出发点，以网络安全风险评估的理论框架为准绳，且风险评估的内容和指标围绕数据为核心对象，以发现数据安全风险为主要目的。数据安全风险评估无法以某个标准作为基准来设置评估项，也无法固化出一个固定模式去开展，主要是由于数据是一类特殊的评估对象，是具备动态性的，随着数据在不同环境下的流动，其面临的安全风险也是不同的。因此，这也大大增加了针对数据安全风险的量化评估难度。

技术实现思路

1、本发明设计了一种数据安全风险量化评估方法，其解决的技术问题是现有技术中的数据安全风险评估无法以某个标准作为基准来设置评估项，也无法固化出一个固定模式去开展。

2、为了解决上述存在的技术问题，本发明采用了以下方案：

3、一种数据安全风险量化评估方法，包括以下步骤：步骤1、建立威胁与脆弱性之间的关联关系；步骤2、根据威胁的能力和频率，以及脆弱性被利用的难易程度，计算安全事件发生的可能；步骤3、根据脆弱性被利用的影响程度和资产价值，计算安全事件一旦发生后造成的损失；步骤4、根据安全事件发生的可能性和安全事件发生后造成的损失，计算安全事件风险值；步骤5、根据单个资产在不同应用场景下的安全事件，综合计算资产风险值；步骤6、根据业务所涵盖的资产风险值，综合计算业务风险值。

4、优选地，步骤1中当服务器，同时检测到威胁和脆弱性，分别梳理威胁和脆弱性所属类型，基于专家经验进行关联分析，若能建立关联规则，则认为有发生安全事件的可能性，应计算该事件的风险值。

5、优选地，步骤1中建立威胁与脆弱性的关联规则，如下表：

6、

7、优选地，步骤2中根据威胁的能力和频率对威胁赋值：

8、

9、其中，rthreat为威胁事件风险值，n表示存在的威胁种类数，ri_threat表示威胁i的风险值评分，m表示威胁种类i发生的次数。

10、优选地，步骤2中脆弱性的风险值计算如下：

11、rweak＝f×rbase+g×rpass+h×rvul

12、其中，rweak为脆弱性风险值，f、g、h为预先设置的权重参数，且f∈[0，1]，g∈[0，1]，h∈[0，1]，f+g+h＝1。

13、优选地，步骤3中资产价值是为了便于量化计算，考虑从服务器物理节点的角度出发，进行单个资产的边界划分，既根据服务器的不同类型，分别进行资产cia属性的赋值。

14、优选地，步骤3中资产的cia属性a计算如下：

15、a＝log2(a×2c+b×2i+c×2av)

16、其中，a表示资产cia属性值，i表示资产完整性，c表示资产保密性，av表示资产可用性，a∈[0，1]，b∈[0，1]，c∈[0，1]，a+b+c＝1，暂平均分配，c∈[1，5]，i∈[1，5]，av∈[1，5]；

17、资产活跃度计算如下：

18、

19、

20、其中，表示平均活跃度，bk表示第k个时间单位的单次活跃度；gik表示第k个时间单位对应的网络流量，k表示目标时间段包括的时间单位总数，n表示目标网络资产的总数量；

21、在当前评估时间段内，根据目标资产的cia属性值和活跃度，计算资产价值；

22、

23、其中，v表示资产价值，a表示资产cia属性值，表示平均活跃度，d、e为预先设置的权重参数，且d∈[0，1]，e∈[0，1]，d+e＝1，按照实际情况分配权值。

24、优选地，步骤4中采用相乘法进行信息系统安全风险值的计算安全事件发生的可能性l：

25、

26、t为，威胁值rthreat，av为脆弱值rweak；

27、步骤4中安全事件发生后的损失f计算公式如下：

28、

29、v为资产价值v，di为脆弱值rweak；

30、步骤4中安全事件的安全风险值：

31、

32、其中r表示安全事件的风险值，表示取整数下界。

33、优选地，步骤5中的单个资产既单台服务器，可能存在多个安全事件，因此，单个资产风险值计算公式如下：

34、

35、

36、其中，ra为该资产(服务器)风险值，ri为第i个安全事件的风险值；wai为第i个安全事件的权重，wai为第i个安全事件的安全级别。

37、优选地，步骤6中业务风险值计算公式如下：

38、

39、

40、其中，rb为业务风险值，rai为第i个服务器的风险值，wbi为第i个服务器的权重，wbi为第i个服务器的级别，参见下表进行赋值：

41、

42、该数据安全风险量化评估方法具有以下有益效果：

43、(1)本发明提出了一种数据安全风险量化评估方案，该方案将资产、威胁、脆弱性作为基础元素，建立威胁与脆弱性的关联关系，并针对各基础元素分别从不同维度提出量化计算的方法，降低人工评估的比重，提高方案的准确性、客观性。

44、(2)本发明方法对数据安全风险量化评估具有客观性：在数据资产价值计算方面，通过收集数据资产实际访问会话频次，综合资产cia属性值，提高数据资产价值计算结果的客观性。在脆弱值计算方面，综合考虑安全配置、安全策略、弱口令、漏洞扫描的检测结果，提高脆弱值计算的客观性；在威胁值计算方面，依据威胁能力及一定时间内威胁出现的频次，综合计算威胁值以提高其结果的客观性；

45、(3)本发明方法对数据安全风险量化评估具有准确性：根据各类威胁与其可利用的脆弱性，制定出安全事件关联规则，用以指导风险值计算，免去无关的威胁与脆弱性之间的计算，提高总体评估的准确性。

技术特征：

1.一种数据安全风险量化评估方法，包括以下步骤：

2.根据权利要求1所述的数据安全风险量化评估方法，其特征在于：步骤1中当服务器，同时检测到威胁和脆弱性，分别梳理威胁和脆弱性所属类型，基于专家经验进行关联分析，若能建立关联规则，则认为有发生安全事件的可能性，应计算该事件的风险值。

3.根据权利要求2所述的数据安全风险量化评估方法，其特征在于：步骤1中建立威胁与脆弱性的关联规则，如下表：

4.根据权利要求3所述的数据安全风险量化评估方法，其特征在于：步骤2中根据威胁的能力和频率对威胁赋值：

5.根据权利要求4所述的数据安全风险量化评估方法，其特征在于：步骤2中脆弱性的风险值计算如下：

6.根据权利要求5所述的数据安全风险量化评估方法，其特征在于：步骤3中资产价值是为了便于量化计算，考虑从服务器物理节点的角度出发，进行单个资产的边界划分，既根据服务器的不同类型，分别进行资产cia属性的赋值。

7.根据权利要求6所述的数据安全风险量化评估方法，其特征在于：步骤3中资产的cia属性a计算如下：

8.根据权利要求7所述的数据安全风险量化评估方法，其特征在于：

9.根据权利要求8所述的数据安全风险量化评估方法，其特征在于：步骤5中的单个资产既单台服务器，可能存在多个安全事件，因此，单个资产风险值计算公式如下：

10.根据权利要求9所述的数据安全风险量化评估方法，其特征在于：步骤6中业务风险值计算公式如下：

技术总结
本发明涉及一种数据安全风险量化评估方法，包括以下步骤：建立威胁与脆弱性之间的关联关系；根据威胁的能力和频率，以及脆弱性被利用的难易程度，计算安全事件发生的可能；根据脆弱性被利用的影响程度和资产价值，计算安全事件一旦发生后造成的损失；根据安全事件发生的可能性和安全事件发生后造成的损失，计算安全事件风险值；根据单个资产在不同应用场景下的安全事件，综合计算资产风险值；根据业务所涵盖的资产风险值，综合计算业务风险值。本发明将资产、威胁、脆弱性作为基础元素，建立威胁与脆弱性的关联关系，并针对各基础元素分别从不同维度提出量化计算的方法，降低人工评估的比重，提高方案的准确性、客观性。

技术研发人员：孟媛媛,梁宵,蓝江艳,刘春娜,卞芳,耿方,庞胜民,陈宏远,郑皓,何丽飞
受保护的技术使用者：宁波爱信诺航天信息有限公司
技术研发日：
技术公布日：2024/1/11