技術領域

本發明涉及一種信息系統風險評估方法，特別是一種基于多要素融合的信息系統風險評估方法。

背景技術

信息系統風險評估是了解網絡安全狀況的手段，通過風險評估可以實現評估被測對象中資產面臨的安全威脅、安全脆弱性以及安全風險。現有的信息系統風險評估方法由風險評估系統實現，其中風險評估系統包括實現風險評估功能的模塊、實現安全檢測結果數據獲取功能的模塊、風險評估結果庫模塊、報告模塊、日志模塊；其中實現風險評估功能的模塊采用安全脆弱性等同安全風險、使用定性或定量的計算方法得出風險評估結論；實現安全檢測數據獲取功能的模塊通過分析單一安全檢測結果數據為風險評估系統提供安全脆弱性信息。其不足為:首先，無法有效地將各種實現安全脆弱性掃描、滲透性測試、主機安全性檢查、安全威脅檢測等手段的安全檢測工具的檢測結果進行統一的分析和處理，從而導致風險評估結論不全面；其次，無法根據不同的被測對象調整相應的評估要素和要素間的融合關系，從而導致風險評估系統適用性差，針對特性存在較大差異的被測對象可能無法有效地完成評估；再次，未全面考慮導致信息系統面臨安全風險的各種要素，以及各要素之間存在的因果關系。

發明內容

本發明的目的在于提供一種基于多要素融合的信息系統風險評估方法，解決無法將各種安全檢測結果數據進行集中分析和處理、系統適用性差、風險評估要素不全面以及評估要素間的因果關系不突出的問題。

一種基于多要素融合的信息安全風險評估方法，具體步驟為:

第一步，搭建基于多要素融合的風險評估系統；

系統包括風險評估結果庫模塊、報告模塊、日志模塊，還包括任務管理模塊、風險評估模塊、安全檢測數據獲取模塊、評估模板模塊、資產調查模塊、問卷調查模塊、評估庫模塊、數據傳輸模塊、數據導入模塊，其中風險評估模塊包括資產評估子模塊、威脅評估子模塊、脆弱性評估子模塊和風險計算子模塊。

任務管理模塊分別與風險評估模塊、資產調查模塊和問卷調查模塊連接；風險評估模塊分別與評估模板模塊、數據傳輸模塊、報告模塊和日志模塊連接；數據傳輸模塊與評估模板模塊連接；資產調查模塊、問卷調查模塊分別與數據傳輸模塊連接；安全檢測數據獲取模塊、數據導入模塊、評估庫模塊、數據傳輸模塊和風險評估結果庫模塊順次連接；風險評估模塊中的資產評估子模塊、威脅評估子模塊、脆弱性評估子模塊和風險計算子模塊順次連接。

第二步，確定風險評估要素；

風險評估要素為:資產、安全威脅、安全脆弱性；

用戶登錄系統后，系統通過任務管理模塊下發資產調查任務，根據任務信息，資產調查模塊獲取被測對象的資產信息，包括資產的組成信息、每個資產的相關屬性信息，獲取的資產數據通過數據傳輸模塊輸入評估庫模塊，并歸入評估庫模塊中的資產分類中；

系統通過任務管理模塊下發問卷調查任務，根據任務信息，問卷調查模塊獲取安全管理方面的安全脆弱性信息，獲取的安全脆弱性數據通過數據傳輸模塊輸入評估庫模塊，并歸入評估庫模塊中的安全脆弱性分類中；

安全檢測數據獲取模塊獲取實現安全脆弱性掃描、滲透性測試、安全威脅檢測等技術手段的檢測工具得到的安全威脅數據和安全脆弱性數據，獲取的安全威脅數據和安全脆弱性數據通過數據導入模塊導入評估庫模塊，并歸入評估庫模塊中的安全威脅分類、安全脆弱性分類中。

第三步，確定風險評估要素的融合關系；

風險評估要素融合關系為:資產面臨安全威脅、資產存在安全脆弱性、安全威脅利用安全脆弱性導致安全風險；

系統通過任務管理模塊下發風險評估任務，開始風險評估；

評估模板模塊通過數據傳輸模塊獲取評估庫模塊中的資產分類、安全威脅分類、安全脆弱性分類、資產-安全威脅-安全脆弱性融合關系信息，根據被測對象定制評估中的資產、安全威脅、安全脆弱性、資產面臨的安全威脅、資產存在的安全脆弱性、安全威脅可利用的安全脆弱性以及使用的風險計算方法。

第四步，風險評估；

系統根據確定的風險評估要素、風險評估要素間的融合關系，通過風險評估模塊實現風險評估；

資產評估:

資產評估子模塊通過數據傳輸模塊從評估庫模塊獲取本次評估的資產信息，為每個資產的屬性信息賦值。

資產評估子模塊依據每個資產的賦值，計算資產的價值。資產價值的計算公式為:

A＝F(U₁，U₂，U₃)

其中:A表示資產價值；