[发明专利]基于关联分析的风险评估方法和系统

权利要求书

1.一种基于关联分析的风险评估方法，其特征在于，包括以下步骤：

1)使用基于关联分析的资产分析方法分析信息系统中的所有资产，确定资产的机密性价值、完整性价值、可用性价值，进而计算得到资产的重要性价值；

2)使用基于关联分析的威胁分析方法对信息系统中的资产进行分析，得到资产面临的威胁集；

3)使用基于关联分析的脆弱性分析方法对信息系统中的资产进行分析，得到资产存在的脆弱性集；

4)根据资产的重要性价值、资产面临的威胁集、资产存在的脆弱性集，使用基于关联分析的风险分析方法对信息系统中的资产进行分析，得到资产面临的风险集；

其中，步骤1)使用基于属性和面向聚类的资产关联方法找到资产的关联资产集；然后，步骤1)采用结合关联资产集的资产分析方法进行资产分析，依次确定资产的机密性价值、完整性价值和可用性价值，然后再根据机密性价值、完整性价值和可用性价值的权重，加权求和得到资产的重要性价值；

其中，基于属性和面向聚类的资产关联方法的步骤包括：首先提取要进行聚类分析的资产A的关联属性p，并设置资产A具有关联属性p的资产集合Ap为空；然后在预期存在关联关系的资产集合M中，查找具有关联属性p的资产Ma，并把查找到的资产加入到集合Ap中；重复上述过程直到没有新的资产可以加入到集合Ap中为止；最后得到的集合Ap就是资产A的具有关联属性p的资产集；

其中，步骤4)所述基于关联分析的风险分析方法，包括：

初始时资产的风险集为自身所面临的风险的集合，即确定信息资产、应用系统、软件资产、硬件资产和人员资产中每一个资产自身所存在的风险集合；设资产M的重要性价值为OV_m，该资产面临的威胁集为T(M)，该资产存在的脆弱性集为V(M)，如果存在某威胁T_mi∈T(M)，且存在某脆弱性V_mi∈V(M)，且脆弱性V_mi可被威胁T_mi利用，则资产M存在安全风险，安全风险等级为OV_m*T_mi*V_mi；

如果某资产存在关联资产集，则把其关联资产集中每个资产的风险集中的风险加入到该资产的风险集中，最后所得的风险集就是该资产面临的风险集。

2.如权利要求1所述的基于关联分析的风险评估方法，其特征在于：步骤1)将信息系统中的资产分为信息资产、应用系统、软件资产、硬件资产和人员资产，并对资产进行分级，把信息资产、应用系统、软件资产为第一级，硬件资产为第二级，人员资产为第三级；依次对信息资产、应用系统、软件资产、硬件资产和人员资产进行分析。

3.如权利要求1所述的基于关联分析的风险评估方法，其特征在于：步骤1)将资产的信息分为资产的基本信息，资产的价值评定信息和资产的其它信息；资产的基本信息包括下列中的一种或多种：系统编号、资产编号、资产名称、所有者、管理员、手工检查人员、数量、IP地址；资产的价值评定信息包括下列中的一种或多种：资产完整性价值、完整性价值权重、资产机密性价值、机密性价值权重、资产可用性价值、可用性价值权重、资产重要性价值；资产的其它信息包括下列中的一种或多种：功能需求、性能需求、备注信息。

4.如权利要求1所述的基于关联分析的风险评估方法，其特征在于：所述结合关联资产集的资产分析方法包括“关联资产价值大者优先”和“关联资产数量多者为大”两大原则；关联资产价值大者优先原则，即在计算资产价值时，以该资产的关联资产集中价值最大的资产的价值为该资产价值的计算基础，最后所得的该资产价值不小于这一最大的资产价值的值；关联资产数量多者为大原则，即对于同一个资产而讲，在其他条件同等的情况下，其关联资产集中关联资产的数量越多，该资产的价值越大。

5.如权利要求1所述的基于关联分析的风险评估方法，其特征在于：步骤2)依次对信息资产、应用系统、软件资产、硬件资产和人员资产进行分析进行威胁分析，所述基于关联分析的威胁分析方法，包括：

初始时资产的威胁集为自身所面临的威胁的集合，如果该资产存在关联资产集，则把其关联资产集中每个资产的威胁集中的威胁加入到该资产的威胁集中，最后所得的威胁集就是该资产的威胁集。