[发明专利]面向业务流程的关键业务系统识别与风险评估方法

说明书

一种面向业务流程的关键业务系统识别与风险评估方法。其包括建立业务流程关联树与业务流程关联网络、获取关联评价属性矩阵、计算业务系统重要性系数、评估业务流程所面临的风险等步骤。本发明提供的面向业务流程的关键业务系统识别与风险评估方法在计算业务系统重要性系数时，对TOPSIS方法中加权方法与相对接近度计算方法进行改进，进而识别关键业务系统。最后，评估业务系统发生信息安全事件时业务流程面临的损失。实验结果表明，所提模型能准确地识别业务流程中关键业务系统，并能有效地评估业务系统对业务流程造成的影响。

技术领域

本发明属于网络信息安全技术领域，特别是涉及一种面向业务流程的关键业务系统识别与风险评估方法。

背景技术

业务流程是为达到特定的价值目标而由不同的人分别共同完成的一系列活动。活动之间不仅有严格的先后顺序限定，而且活动的内容、方式、责任等也都必须有明确的安排和界定，以使不同活动在不同岗位角色之间进行转手交接成为可能。业务流程包含许多业务系统，业务系统保证业务流程高效稳定地运行，业务系统的安全性是业务流程能否正常运行的关键。

目前，对独立业务系统的安全性研究已经有许多成果，但是，业务流程中存在许多相关联的业务系统，多数网络和系统攻击的目标为业务流程中关键业务系统。因此，识别业务流程中关键业务系统并评估其对业务流程造成的风险，对保障业务流程安全性具有重要意义。

发明内容

为了解决上述问题，本发明的目的在于提供一种面向业务流程的关键业务系统识别与风险评估方法。

为了达到上述目的，本发明提供的面向业务流程的关键业务系统识别与风险评估方法包括按顺序进行的下列步骤：

1)关联建立：根据业务流程中业务系统的组成情况建立业务流程关联树与业务流程关联网络；

2)数据获取与处理：依据先验数据，并根据业务流程关联树与业务流程关联网络得到关联评价属性矩阵；

3)关键业务系统识别：对传统的TOPSIS方法中加权方法与相对接近度计算方法进行改进而得到TOPSIS改进方法，基于关联评价属性矩阵利用TOPSIS改进方法计算出业务系统的重要性系数，并根据业务系统的重要性系数的大小识别出关键业务系统；

4)业务系统分析：根据业务流程实际情况确定业务系统的价值等级与脆弱性等级，计算出每一业务系统性能下降值，然后结合每一业务系统的重要性系数利用定量分析法评估该业务系统发生信息安全事件时对业务流程造成的损失。

在步骤1)中，所述的建立业务流程关联树的具体方法如下：

A)获取业务流程下包含的业务系统；

B)为业务系统选取统一的评价属性；

C)为评价属性选取统一的影响因素；

D)以某个业务流程作为树的顶层，该业务流程中包含的业务系统作为第二层，业务系统的评价属性作为第三层，评价属性的影响因素作为底层而获得业务流程关联树；

所述的建立业务流程关联网络的具体方法如下：

a)将所有业务系统抽象为一组节点；

b)若业务系统之间有数据信息传递，则认为这些业务系统之间存在关联，用一条有向边将存在关联的业务系统相连，有向边指向接受数据信息的业务系统；

c)利用步骤a)和b)的方法，将业务流程中所有存在关联的业务系统相连而获得业务流程关联网络。

在步骤2)中，所述的依据先验数据，并根据业务流程关联树与业务流程关联网络得到关联评价属性矩阵的具体方法如下：