专利名称:一种信息系统风险评估方法及系统的制作方法
技术领域:
本发明涉及一种信息系统风险评估方法及系统,属于信息安全领域。
背景技术:
信息系统风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。在现有的定量分析方法中,通常采用的方法是首先考察信息系统内每个资产的漏洞、资产价值和威胁,通过加权求和的方式计算信息系统中每个资产的风险量化值;然后将各个资产的风险量化值进行加权求和得到信息系统的风险量化值,或者依据“短板理论”,取各资产风险量化值中的最大值作为信息系统的风险量化值。这种风险评估方法存在以下局限性 1.通过加权求和的方式计算信息系统的风险量化值,会导致系统的风险值会随着系统规模的增加而增加,难以将风险量化值限制在一个固定的区间,从而为风险等级划分带来不便,同时与网络安全人员的经验不相符。例如,假设有系统1和系统2两个信息系统,其中系统1内包含10个资产,系统2内包含100个资产,每个资产的所采取的安全保护措施均相同,风险量化值均为10。显然可见系统1与系统2的安全风险是大致相同的,但如果通过加权求和方式计算,会得出系统2比系统1的安全风险高10倍的结论。
2.根据“短板理论”确定信息系统风险量化值时,仅仅突出了系统中风险最大的资产对系统风险的影响,忽略了其他资产风险值对系统风险值的累积作用。例如,假设有两个资产完全相同的信息系统,均包含10个资产。其中系统1内某个资产的风险值为100,其他资产风险值均为99;系统2内某个资产风险值为100,其他资产风险值均为0。显然可见系统1的风险值要远大于系统2的风险值,但若通过“短板理论”选值,会将二者的风险值取为相等。
发明内容
为克服现有技术的缺点,本发明提出了一种基于概率模型的网络风险评估方法及系统。能够实现对信息系统内各资产漏洞的扫描,并依据扫描结果将信息系统内各资产的风险评估值、整个信息系统的风险评估值量化在一个固定区间。
本发明对风险值的量化是建立在概率模型的基础上的。在计算资产风险值时,本发明引入了“脆弱概率”的概念,其含义为因资产存在某个漏洞,导致该资产的安全性受到影响的概率。如果某个资产上存在多个漏洞,则该资产的脆弱性量化值为攻击者能够通过一个或多个漏洞,对资产的安全性造成破坏的概率。同理,信息系统的脆弱性被量化为攻击者通过一个或多个有漏洞的资产,对系统的安全性造成破坏的概率。
本发明的目的是这样实现的 一种信息系统风险评估方法,包含如下步骤 (1)计算信息系统内每个资产的风险值; (2)根据每个资产的风险值,计算信息系统的风险值。
此处对资产风险值的计算和信息系统风险值的计算是基于概率模型的。
所述步骤(1)包括 (1.1)根据资产上存在的漏洞的CVSS(Common Vulnerability ScoringSystem,通用漏洞分级评价体系)分值、对该资产上相应服务的保护措施,计算各漏洞的综合分值; (1.2)将漏洞的综合分值转换为一个脆弱性概率; (1.3)利用概率模型,计算包含多个漏洞的资产的脆弱性量化值; (1.4)根据资产脆弱性量化值与资产价值,计算该资产的风险值。
所述步骤(2)包括 (2.1)计算信息系统内每个资产的风险值; (2.2)计算信息系统内所有资产风险值的平均值; (2.3)利用概率模型,计算包含多个资产的信息系统的风险值,并利用信息系统资产平均风险值对计算结果进行修正。
一种信息系统风险评估方法,包括信息系统脆弱性扫描单元,资产价值定义单元,资产保护措施定义单元,信息系统风险评估单元。还包括以下步骤 (1)资产价值定义单元设置信息系统内各个资产的价值; (2)资产保护措施定义单元设置信息系统内,现有的网络安全保护措施对每个资产上的每项服务的保护因子; (3)信息系统脆弱性扫描单元对系统内各资产的漏洞进行扫描; (4)风险评估单元根据各资产的漏洞信息、资产价值、已采取的保护措施,按照概率模型计算各资产的风险值。
(5)风险评估单元根据各资产的风险值,按照概率模型计算整个信息系统的风险值。
一种信息系统风险评估方法,按照概率模型,将资产风险值和信息系统风险值量化在一个事先设定的固定数值区间之内。
一种信息系统风险评估系统,所述系统安装在互联网的用户终端上, 至少有一个对系统内各资产的漏洞进行扫描的信息系统脆弱性扫描单元; 至少有一个设置信息系统内各个资产的价值的资产价值定义单元; 至少有一个资产保护措施定义单元,用于设置信息系统内,现有的网络安全保护措施对每个资产上的每项服务的保护因子; 至少有一个根据各资产的漏洞信息、资产价值、已采取的保护措施,按照概率模型计算各资产的风险值;或根据各资产的风险值,按照概率模型计算整个信息系统的风险值的信息系统风险评估单元。
风险评估单元的输入为脆弱性扫描单元、资产价值定义单元、资产保护措施定义单元的输出。
本发明产生的有益效果是 1.单个漏洞的脆弱概率值与该漏洞的综合分值之间的关系为指数关系,综合分值高的漏洞对资产脆弱性的影响远远大于综合分值低的漏洞的影响,突出了高危漏洞对资产脆弱性的影响,这与安全人员的经验一致。例如,一个分值为9的漏洞的脆弱概率值为一个分值为l的漏洞的脆弱概率值为二者相差了256倍。
2.主机脆弱性量化值随漏洞的数量、漏洞的危险程度的增加而增加,但无论漏洞数量与危险程度如何增加,其最终值不会大于1,始终处于0~1之间。这种归一化的处理使得更容易比较两个主机之间脆弱性的相对值。
3.资产脆弱性量化值会随漏洞数量的增加而增加,但二者并非是线性关系,而是一个概率关系,这种方式比加权求和方式更准确地描述了资产脆弱性与资产漏洞的关系。
4.信息系统脆弱性量化值会随有脆弱性的资产的数量增加而增加,但二者并非是线性关系,而是一个概率关系,这种方式比加权求和方式更准确地描述了资产脆弱性与信息系统脆弱性的关系。
5.在对信息系统风险进行量化时,该量化模型即考虑了系统中每一个资产的脆弱性对信息系统脆弱性的影响,又突出了脆弱性最为严重的资产对系统整体脆弱性的影响,同时体现出了资产的平均脆弱性量化值对系统整体脆弱性的影响,这种量化方式从多个角度全面体现了整个系统的风险值。
6.可以方便地将资产风险量化值和信息系统风险量化值转换为0~N之间,N为事先设定的任意数字,同时其上述优点保持不变。例如,如果觉得资产脆弱性量化值定义在0~1之间数字太小,不利于用户比较,可以将其乘以5,这样量化值区间将变为0~5。
图1为风险评估方法运行示意图; 图2为风险评估系统结构示意图。
为了进一步说明本发明的原理及特性,以下结合附图和实例进行详细的说明。
具体实施例方式 实施例1 本实施例为信息系统风险评估方法的具体实施方式
,主要运行过程如图1所示。本实施例的具体过程包括以下几个步骤 1.定义资产价值 主机的资产价值A可由管理员根据该主机的重要性和价值,划分为5个等级。等级越高,资产价值越高,资产价值A的取值范围为0~1。本发明中采用的划分方式为 资产价值很小A=0.2; 资产价值较小A=0.4; 资产价值中等A=0.6; 资产价值较大A=0.8; 资产价值极大A=1。
2.定义资产保护措施 资产保护措施是指系统中现有的安全设备和措施,能够使资产对针对某种服务的攻击的防范程度。资产保护措施是与具体的资产、该资产上相应的服务相关的。资产保护措施用保护因子f表示,保护因子f的取值范围为0~1,具体赋值方式为 缺乏保护现有的保护措施不能阻止对此类漏洞的利用,取f=0。
中等保护现有的保护措施能够部分阻止对此类漏洞的利用,取f=0.3; 严格保护现有的保护措施能够有效的阻止对此类漏洞的利用,取f=0.7。
3.对资产进行脆弱性扫描 对资产进行脆弱性扫描的目的是发现资产上运行的操作系统、应用软件上的漏洞,并根据漏洞数据库的相关信息,为每个漏洞指定一个CVSS分值。漏洞CVSS评分Sc的取值范围为0~10,漏洞的严重程度越高,对应的CVSS分值也越高。根据漏洞CVSS评分Sc的大小,本发明将漏洞的严重程度分为以下5个等级 0<Sc<2低危漏洞 2≤Sc<4较低危漏洞 4≤Sc<6中危漏洞 6≤Sc<8高危漏洞 8≤Sc<10极高危漏洞 4.计算各资产风险量化值 资产风险量化值R取决于两个因素一是资产的脆弱性,二是资产本身的价值。其计算公式如下 R=V×A(1) 其中V——资产脆弱性量化值,取值范围为0~1。 A——资产价值,取值范围为0~1。
其中资产价值是在第一步设置的,下面重点介绍资产脆弱性量化值的计算方法。
资产的脆弱性取决于资产上存在的漏洞数量和严重程度,以及已采取的保护措施。本发明定义漏洞的“综合分值”表示一个漏洞对资产安全性的危害程度,漏洞综合分值Sp的计算公式如下 Sp=round[Sc×(1-f)](2) 其中Sc——漏洞CVSS分值,取值范围为0~10。 f——系统现有防护措施对该漏洞的保护因子,取值范围为0~1。 round——四舍五入的取整函数。
前面提到本发明引入了“脆弱概率”的概念来表示一个漏洞对资产的安全性造成的影响,脆弱概率的计算公式为 其中Spi——漏洞i的综合分值,取值范围为0~10。
这样本发明就将一个漏洞对资产的安全性的影响,转换为一个0~0.8之间的概率值。对于包含n个漏洞的资产的脆弱性V,其整体脆弱性为攻击者利用至少一个漏洞,对资产的安全性造成破坏的概率。依概率模型可知,资产脆弱性V的计算公式为 其中Pi——漏洞i的脆弱概率值,取值范围为0~0.8。
在完成对资产脆弱性V的计算后,根据该资产的价值A,代入公式(1),即可得到该资产的风险量化值R。根据风险量化值R的大小,可以将资产的风险划分为不同等级。本发明采用了一种非等间距的划分方式,将资产风险划分为5个等级 低风险 较低风险 中等风险 高风险 极高风险 上述计算过程将资产的风险值量化在了0~1之间,如果管理员认为这个数值过小,不便于资产之间风险值的比较,可以将其乘以一个事先制定的数值N,将风险值量化在0~N之间,而此时资产风险值高低的概率关系保持不变。
5.计算信息系统风险值 信息系统风险值的含义为因系统中存在有脆弱性的资产,使得攻击者可以利用这些资产的脆弱性对整个系统的安全性造成破坏的概率。对包含n个资产的信息系统,本发明所采用的信息系统风险值N的计算公式为 其中Ri——资产i风险量化值,取值范围为0~1,如果在第4步中将风险量化值乘以N进行了转换,此处需要将其除以N转换回0~1之间。
——所有资产风险量化的平均值, 可根据信息系统风险值的大小将其划分为不同的等级,本发明将信息系统的风险划分为5个等级 低风险 较低风险 中等风险 高风险 极高风险 实施例2 本实施例为资产风险评估过程举例,主要运行过程如图2所示。风险评估系统1通过网络2对系统内各资产进行脆弱性扫描,然后依据资产价值、资产采取的保护措施、脆弱性扫描结果,结合漏洞信息库,完成对各个资产及整个信息系统的风险值计算。假设资产1为一台计算机,该计算机上存在的漏洞,该漏洞的CVSS分值、各个漏洞对应的服务如下表1所示表1 假设各个服务的保护因子如下表2所示表2 假设该主机的资产价值A为0.9,对该资产的风险值的计算过程为 1.计算该资产各漏洞的综合分值 根据公式(2)在考虑现有的保护措施后,各漏洞的综合分值为如下表3所示表3 2.计算该资产的脆弱性量化值。
根据公式(3)、(4),该主机的脆弱性量化值为 3.计算该资产的风险量化值 根据公式(1),该主机的风险量化值为 R=V·A=0.814×0.9=0.733 该资产的风险等级为极高风险。
如果管理员欲将主机风险值量化在0~100之间,可以将该数值乘以100,变换后的风险量化值为73.3。
实施例3 本实施例为信息系统风险评估过程举例。假设有系统1和系统2两个信息系统。信息系统1内包含100台计算机,其中1台计算机为极高风险,风险值为0.95;其余99台均不含任何漏洞,风险值为0。信息系统2内包含10台计算机,其中1台计算机为极高风险,风险值为0.95;其余9台均不含任何漏洞,风险值为0。根据公式(5),信息系统1的风险值为 信息系统2的风险值为 根据计算结果,信息系统1与信息系统2均属于极高风险等级,因为二者均包含一台存在着极高安全风险的主机,很容易被攻击者利用。但是,信息系统1的风险值略低于信息系统2的风险值,这是因为信息系统1的规模比信息系统2大10倍,但存在安全风险的主机均只有一台。考虑到网络规模对攻击者的影响,攻击者要在100台主机内发现一台可利用的主机,其难度要大于在10台主机内发现一台可利用的主机,因此系统1的风险值要低于系统2的风险值。
权利要求
1.一种信息系统风险评估方法,包含如下步骤
(1)计算信息系统内每个资产的风险值;
(2)根据每个资产的风险值,计算信息系统的风险值;
其特征在于,对资产风险值的计算和信息系统风险值的计算是基于概率模型的。
2.根据权利要求1所述的信息系统风险评估方法,其特征在于所述步骤(1)包含以下步骤
(1.1)根据资产上存在的漏洞的CVSS分值、对该资产上相应服务的保护措施,计算各漏洞的综合分值;
(1.2)将漏洞的综合分值转换为一个脆弱性概率;
(1.3)利用概率模型,计算包含多个漏洞的资产的脆弱性量化值;
(1.4)根据资产脆弱性量化值与资产价值,计算该资产的风险值。
3.根据权利要求1所述的一种信息系统风险评估方法,其特征在于所述步骤(2)包括以下步骤
(2.1)计算信息系统内每个资产的风险值;
(2.2)计算信息系统内所有资产风险值的平均值;
(2.3)利用概率模型,计算包含多个资产的信息系统的风险值,并利用信息系统资产平均风险值对计算结果进行修正。
4.一种信息系统风险评估方法,包括信息系统脆弱性扫描单元,资产价值定义单元,资产保护措施定义单元,信息系统风险评估单元,其特征在于包括以下步骤
(1)资产价值定义单元设置信息系统内各个资产的价值;
(2)资产保护措施定义单元设置信息系统内,现有的网络安全保护措施对每个资产上的每项服务的保护因子;
(3)信息系统脆弱性扫描单元对系统内各资产的漏洞进行扫描;
(4)风险评估单元根据各资产的漏洞信息、资产价值、已采取的保护措施,按照概率模型计算各资产的风险值;
(5)风险评估单元根据各资产的风险值,按照概率模型计算整个信息系统的风险值。
5.根据权利要求4所述的一种信息系统风险评估方法,其特征在于按照概率模型,将资产风险值和信息系统风险值量化在一个事先设定的固定数值区间之内。
6.一种信息系统风险评估系统,安装在互联网的用户终端上,其特征在于,
至少有一个对系统内各资产的漏洞进行扫描的信息系统脆弱性扫描单元;
至少有一个设置信息系统内各个资产的价值的资产价值定义单元;
至少有一个资产保护措施定义单元,用于设置信息系统内,现有的网络安全保护措施对每个资产上的每项服务的保护因子;
至少有一个根据各资产的漏洞信息、资产价值、已采取的保护措施,按照概率模型计算各资产的风险值;或根据各资产的风险值,按照概率模型计算整个信息系统的风险值的信息系统风险评估单元;
风险评估单元的输入为脆弱性扫描单元、资产价值定义单元、资产保护措施定义单元的输出。
全文摘要
本发明公开了一种信息系统风险评估方法及系统,风险评估方法包括计算信息系统内每个资产的风险值;根据每个资产的风险值,计算信息系统的风险值;此处对资产风险值的计算和信息系统风险值的计算是基于概率模型的。风险评估系统安装在互联网的用户终端上,包含脆弱性扫描单元,资产价值定义单元,资产保护措施定义单元,以及基于概率模型的信息系统风险评估单元。本发明能够将资产的风险值和信息系统的风险值量化在一个指定的固定区间内,量化结果从概率上体现了资产或信息系统脆弱性的大小。本发明适用于网络安全风险评估。
文档编号H04L12/24GK101150432SQ20071012072
公开日2008年3月26日 申请日期2007年8月24日 优先权日2007年8月24日
发明者涛 周, 许金鹏, 虹 王, 航 尹, 吴海民, 谢瑞璇 申请人:北京启明星辰信息技术有限公司