[发明专利]信息安全风险评估方法及装置、设备、存储介质

权利要求书

1.一种信息安全风险评估方法，其特征在于，所述方法应用于信息系统，所述信息系统中包含至少一个资产，所述资产包括软件资源和硬件资源，所述方法包括：

分别确定所述信息系统的资产价值和脆弱性值，并将威胁所述信息系统的各项影响因素按照不同的信息属性分解为若干层次，根据相邻层次中的影响因素之间的关联性确定所述信息系统的威胁值，所述脆弱性值用于描述所述资产在安全方面的薄弱程度；

根据所述威胁值和所述脆弱性值计算所述信息系统的风险可能性，以及根据所述脆弱性值和所述资产价值计算所述信息系统的风险后果可能性；

根据所述风险可能性和所述风险后果可能性，确定所述信息系统的信息安全风险值；

其中，将威胁所述信息系统的各项影响因素按照不同的信息属性分解为若干层次，根据相邻层次中的影响因素之间的关联性确定所述信息系统的威胁值，包括：

构建所述信息系统的威胁层次模型，所述威胁层次模型的最上层包括所述信息系统的威胁值，最下层包括用于确定所述威胁值的各项基础威胁系数，所述各项基础威胁系数包括网络安全威胁系数、数据安全威胁系数和终端安全威胁系数，所述影响因素按照系统因素、威胁因素和架构因素自上而下地分解形成所述威胁层次模型的中间层，并且所述威胁层次模型的每个层次中的元素分别与相邻层次中的各个元素相关联；所述架构因素表示信息系统中的威胁与信息系统的边界、内网、服务器、数据或者终端任一因素有关；所述系统因素表示威胁是否发生于当前信息系统中，所述威胁因素表示信息系统中的威胁对应为威胁事件风险程度、威胁情报精准性度或者风险事件影响范围；

以所述威胁层次模型的最上层为起始，根据下一层次中任意两个元素之间的相对重要性关系，构建除最下层之外的每个层次的重要性判别矩阵；

根据所述重要性判别矩阵，计算所述威胁层次模型中除最下层之外的各个层次的权向量；

根据所述威胁层次模型中除最下层之外的各个层次的权向量之积，确定所述最下层中各项基础威胁系数的值，并基于所述各项基础威胁系数的值计算所述信息系统的威胁值。

2.根据权利要求1所述的方法，其特征在于，以威胁层次模型的最上层为起始，根据下一层次中任意两个元素之间的相对重要性关系，构建除最下层之外的每个层次的重要性判别矩阵，包括：

获取预设的重要性赋值列表，所述重要性赋值列表含有两个元素之间可能存在的所有相对重要性关系，以及与每种相对重要性关系所关联的重要性标度值；

以威胁层次模型的最上层为起始，根据下一层次中任意两个元素之间的相对重要性关系，从所述重要性赋值列表中查找与所述相对重要性关系所关联的重要性标度值；

根据所述下一层次中任意两个元素对应的重要性标度值，构建所述除最下层之外的每个层次的重要性判别矩阵。

3.根据权利要求1所述的方法，其特征在于，根据所述重要性判别矩阵，计算所述威胁层次模型中除最下层之外的各个层次的权向量，包括：

分别将各个层次所对应的重要性判别矩阵中的元素按行相乘，获得各个层次的第一特征向量；

根据所述重要性判别矩阵的维数，将所述第一特征向量中的每个元素进行开方运算，获得每个层次的第二特征向量；

将所述第二特征向量进行归一化运算，获得各个层次的权向量。

4.根据权利要求1所述的方法，其特征在于，基于所述各项基础威胁系数的值计算所述信息系统的威胁值，包括：

获取所述信息系统发生安全威胁时所产生的安全事件，所述安全事件的类型对应于所述威胁层次模型的最下层中包含的基础威胁系数；

以所述各项基础威胁系数作为相应类型的安全事件的权重，对不同类型的安全事件的数量进行加权和运算，并将运算所得结果与所述安全事件的总数之间的商确定为所述信息系统的威胁值。