[发明专利]基于关联分析的风险评估方法和系统

说明书

本发明提供一种基于关联分析的风险评估方法和系统。该方法首先使用基于关联分析的资产分析方法，采用基于属性和面向聚类的资产关联方法找到资产的关联资产集，并采用分级的方式依次对信息资产、应用系统、软件资产、硬件资产和人员资产进行分析，确定资产的机密性价值、完整性价值、可用性价值，进而得到资产的重要性价值；其次使用基于关联分析的威胁分析方法对信息系统进行威胁分析，得到信息系统所面临的威胁；然后使用基于关联分析的脆弱性分析方法进行脆弱性分析，得到系统存在的脆弱性信息的集合；接着采用基于关联分析的风险分析方法进行风险分析，确定存在的风险和风险等级；最后采用威胁和脆弱性关联分析方法调整其中某些风险的等级。

技术领域

本发明属于网络安全技术领域，尤其涉及针对信息系统的风险评估领域，具体涉及一种基于关联分析的风险评估方法和系统。

背景技术

随着人们对信息系统安全性的重视，如何有效的评估信息系统面临的风险变得越来越重要，并越来越受到人们的重视。风险评估则是最常用的一种评估信息系统风险的方法：一方面风险评估可以让安全管理人员了解系统目前和未来的风险所在，并评估风险发生的可能性和造成的后果，进而为安全策略的制定和信息系统的安全运行提供支撑；另一方面通过风险评估可以进一步确定风险控制的优先等级，从而对信息系统的风险实施有效控制，将其控制在可以接受的范围之内。所以针对信息系统开展风险评估是十分必要且迫切的。

目前的风险评估一般包括资产分析、威胁分析、脆弱性分析、安全措施有效性分析和风险分析及风险计算的全部或者部分，风险评估方法的过程一般为：首先通过资产分析确定被评估信息系统中资产的重要性价值；然后通过威胁分析得出资产面临的威胁，通过脆弱性分析得出资产具有的脆弱性并通过安全措施有效性分析得出当前已有安全措施的有效性；最后综合上述分析结果确定风险发生的可能性和风险可能产生的影响，进而得到信息系统面临的风险。上述方法一方面只是孤立的考虑了每一个资产的情况，没有考虑由于资产互相关联、互相影响对资产重要性价值计算的影响；另一方面没有考虑由于资产间存在着关联关系而对脆弱性分析和风险分析的影响。

发明内容

本发明的目的是提供一种风险评估方法，在现有风险评估方法的基础上引入关联分析，考虑关联关系的存在对风险评估中资产分析、威胁分析、脆弱性分析、威胁和脆弱性关联分析和风险分析的影响，提供了一种新的基于关联分析的风险评估方法和系统。

本发明的技术方案如下：

一种基于关联分析的风险评估方法，包括以下步骤：

1)用基于关联分析的资产分析方法分析信息系统中的所有资产，确定资产的CIA(机密性、完整性、可用性)价值和资产的重要性价值；

2)用基于关联分析的威胁分析方法进行威胁分析，确定信息系统中资产所面临的威胁(威胁集)；

3)用基于关联分析的脆弱性分析方法进行脆弱性分析，确定信息系统中资产的脆弱性信息(脆弱性集)；

4)根据资产的重要性价值、资产面临的威胁、资产的脆弱性，用基于关联分析的风险分析方法确定信息系统中资产存在的风险(风险集)。

进一步地，步骤1)中基于关联分析的资产分析方法把所有资产分为信息资产、应用系统、软件资产、硬件资产和人员资产；其中，信息资产是指在服务器或个人终端上以文档、视频、音频等形式呈现的信息，应用系统是指Web应用、FTP应用、邮件应用等系统应用以及实际的业务应用，软件资产是指应用系统内部署的操作系统、数据库、浏览器等基础性，硬件资产是指路由器、交换机、网关等信息交互资产以及防火墙、入侵检测设备、流量清洗设备等信息安全防护设备，人员资产是指应用系统的审计管理员、安全管理员、普通用户等。

进一步地，步骤1)中基于关联分析的资产分析方法把分类后的资产进行分级处理，信息资产、应用系统和软件资产为第一级，硬件资产为第二级，人员资产为第三级；