[发明专利]一种计算机信息系统综合风险计算方法和系统

权利要求书

1.一种计算机信息系统综合风险计算系统，其特征在于根据原始要素的风险评测，计算出整个系统的风险信度；包括以下功能模块：

1)原始要素初始风险信度赋值器，形成原始要素的初始风险信度向量；

2)与原始要素初始风险信度赋值器连接的综合风险信度计算器，计算评估对象的综合风险信度；

原始要素初始风险信度赋值器与综合风险信度计算器连接，前者的输出作为后者的输入，其中，所述原始要素初始风险信度赋值器，根据对原始评估要素的评测，对原始评估要素相对于既定的风险级别标准的信度赋值；它包括以下装置：

1)输入装置，输入原始评估要素的初始风险评估值s，以及风险级别标准向量D；

2)与输入装置连接的初始风险信度计算装置，根据原始评估要素的初始风险评估值，计算一个原始评估要素的初始风险信度向量；

3)与初始风险信度计算装置连接的输出装置，输出一个原始评估要素的初始风险信度向量，

所述综合风险信度计算器，根据所有评估要素的风险信度矩阵和评估要素的权重向量，计算评估对象的综合风险信度；它包括以下装置：

1)风险信度矩阵输入装置，输入评估要素的风险信度矩阵R，当评估要素是原始评估要素时，风险信度矩阵R就是由初始风险信度赋值器输出的初始风险信度向量组成的矩阵；

2)评估要素的权重向量输入装置，输入一个评估对象的所有评估要素的权重；

3)与风险信度矩阵输入装置以及评估要素的权重向量输入装置连接的综合风险计算机装置，完成评估对象的综合风险信度的计算；

4)与综合风险计算机装置连接的评估对象的风险信度向量输出装置，输出一个1×n矩阵(b₁，b₂，...，b_n)；b_i表示评估对象的风险属于级别i的信任程度，n表示风险级别的总数。

2.一种计算机信息系统综合风险计算方法，其特征在于包括以下步骤：建立风险级别标准，对象解析并建立权重，原始要素初始风险信度赋值，建立风险信度矩阵，计算综合风险信度和量化综合风险，

其中，所述风险级别标准是一组取值在[0，1]中的数值，每一个数值表示一个风险级别，

其中，在原始要素初始风险信度赋值步骤中，对于原始要素，按下面的步骤进行初始的风险信度指派：

对于被评估系统进行划分后，最后不能再分割的各个评估要素称之为原始要素，这些原始要素的风险信度称为初始风险信度；使用漏洞扫描工具对原始要素进行安全评测，将得到的原始评估要素的风险评估值s归一化，使之变成[0，1]之间的小数；再与设定的风险级别标准比较，找出两个相邻的标准值d_x和d_y，使得归一化后的风险评估值s满足d_x≤s≤d_y，其中，d_x、d_y是风险级别标准中的两个相邻的级别值；然后该原始要素对于级别标准d_i的初始风险信度按下面的方法进行指派：

在所述的综合风险信度计算步骤中，按下面的步骤计算评估对象的综合风险的信度：

设一个评估对象的所有评估要素的风险信度矩阵为R＝(r_i，j)_k×n，评估要素的权重向量W＝(w₁，...，w_k)，其中n表示预设的风险级别数，k表示该评估对象具有的评估要素的数目，则评估对象的综合风险为一个1×n的矩阵B＝{b₁，b₂，...，b_n}，b_j代表最后的综合评估对于第i个风险级别的信度；其中b_j的计算方法如下：

bj=K-1*Πi=1k(wiri,j)(j=1,...,n);]]>

其中是归一化因子。

3.如权利要求2所述的一种计算机信息系统综合风险计算方法，其特征在于：所述风险评估值s是CVE分值。