[发明专利]面向业务流程的关键业务系统识别与风险评估方法

权利要求书

1.一种面向业务流程的关键业务系统识别与风险评估方法，所述的面向业务流程的关键业务系统识别与风险评估方法包括按顺序进行的下列步骤：

1)关联建立：根据业务流程中业务系统的组成情况建立业务流程关联树与业务流程关联网络；

2)数据获取与处理：依据先验数据，并根据业务流程关联树与业务流程关联网络得到关联评价属性矩阵；

3)关键业务系统识别：对传统的TOPSIS方法中加权方法与相对接近度计算方法进行改进而得到TOPSIS改进方法，基于关联评价属性矩阵利用TOPSIS改进方法计算出业务系统的重要性系数，并根据业务系统的重要性系数的大小识别出关键业务系统；

4)业务系统分析：根据业务流程实际情况确定业务系统的价值等级与脆弱性等级，计算出每一业务系统性能下降值，然后结合每一业务系统的重要性系数利用定量分析法评估该业务系统发生信息安全事件时对业务流程造成的损失；

其特征在于：在步骤2)中，所述的依据先验数据，并根据业务流程关联树与业务流程关联网络得到关联评价属性矩阵的具体方法如下：

2.1)由专家根据以往的评估经验为业务系统中评价属性的影响因素进行评分，分值取值范围为[0，1]的实数；

2.2)设评价属性的影响因素的评分值S＝{S_ijk}；将各影响因素的评分值总和作为对应的评价属性的数值p_ij，使用式(1)将评价属性的数值p_ij转化到[0，1]之间，由所有转化后的评价属性的数值p_ij构成评价属性矩阵P：

其中，0≤p_ij≤1，i代表第i个业务系统，i＝{1，2，…，n}，j代表第j个评价属性，j＝{1，2，…，m}，k代表第k个评价属性的影响因素，k＝{1，2，…，q}，p_ij代表第i个业务系统第j个评价属性的数值，S_ijk代表第i个业务系统第j个评价属性中第k个影响因素的评分值；

2.3)由业务流程关联网络可知业务系统之间是否存在关联，将业务系统抽象为节点，若存在从节点i出发指向节点j的有向边，则表示节点i到节点j有关联；设t_ij表示节点i到节点j之间的关联关系，t_ij＝0代表节点i到节点j无关联，t_ij＝1代表节点i到节点j有关联，由此得到系统关联矩阵T；

2.4)根据业务流程关联网络，以节点作为边终点的次数之和称为节点的入度，节点作为边始点的次数之和称为节点的出度；设I_j为节点的入度，O_i为节点的出度；节点i的入度和出度之和与所有节点的入度和出度之和的比值作为节点i的关联度a_i，取值范围为[0，1]，根据系统关联矩阵T使用式(2)至(4)可得到节点的关联度a_i，由所有节点的关联度a_i构成系统关联度矩阵A：

2.5)由于业务流程中存在多个业务系统，且各个业务系统之间存在关联关系，将评价属性矩阵与系统关联度矩阵结合得出关联评价属性矩阵Z，用关联评价属性矩阵作为业务流程中业务系统的评价结果。