[发明专利]信息安全风险评估方法及装置、设备、存储介质

说明书

本申请的实施例揭示了一种信息安全风险评估方法及装置、设备、存储介质。该方法包括：分别确定信息系统的资产价值和脆弱性值，并将威胁所述信息系统的各项影响因素按照不同的信息属性分解为若干层次，根据相邻层次中的影响因素之间的关联性确定所述信息系统的威胁值，所述脆弱性值用于描述所述资产在安全方面的薄弱程度；根据所述威胁值和所述脆弱性值计算所述信息系统的风险可能性，以及根据所述脆弱性值和所述资产价值计算所述信息系统的风险后果可能性；根据所述风险可能性和所述风险后果可能性，确定所述信息系统的信息安全风险值。本申请实施例的技术方案能够精确地评估信息系统的安全风险状态。

技术领域

本申请涉及信息安全技术领域，具体涉及一种信息安全风险评估方法、装置、设备和计算机可读存储介质。

背景技术

随着网络技术的快速发展，信息系统及相关产品大量部署于各行各业，信息系统所面临的安全问题成为行业内重点关注的问题。

为了对信息系统进行风险评估，现有技术提出一种基于资产安全事件的风险评估方法，具体地，需要根据服务器中发生不同安全事件的数量和概率计算服务器的风险得分和失分，并根据终端中发现的漏洞、安全基线和端口的数量计算终端的安全得分和失分，然后根据服务器和终端各自的风险得分和失分综合评估信息系统的风险系数。

可以看出，现有技术仅从终端和服务器两个维度对信息系统进行风险评估，并且评估过程中仅考虑了发生在信息系统中的安全事件，忽略了信息系统中的威胁因素，因此现有技术无法准确地评估信息系统的风险状态。

发明内容

为解决上述技术问题，本申请的实施例提供了一种信息安全风险评估方法、装置、设备以及计算机可读存储介质，本申请的实施例能够对信息系统进行准确的全网风险。

其中，本申请所采用的技术方案为：

一种信息安全风险评估方法，所述方法应用于信息系统，所述信息系统中包含至少一个资产，所述资产包括软件资源和硬件资源，所述方法包括：分别确定所述信息系统的资产价值和脆弱性值，并将威胁所述信息系统的各项影响因素按照不同的信息属性分解为若干层次，根据相邻层次中的影响因素之间的关联性确定所述信息系统的威胁值，所述脆弱性值用于描述所述资产在安全方面的薄弱程度；根据所述威胁值和所述脆弱性值计算所述信息系统的风险可能性，以及根据所述脆弱性值和所述资产价值计算所述信息系统的风险后果可能性；根据所述风险可能性和所述风险后果可能性，确定所述信息系统的信息安全风险值。

一种信息安全风险评估装置，所述装置应用于信息系统，所述信息系统中包含至少一个资产，所述资产包括软件资源和硬件资源，所述装置包括：安全风险信息获取模块，用于分别确定所述信息系统的资产价值和脆弱性值，并将威胁所述信息系统的各项影响因素按照不同的信息属性分解为若干层次，根据相邻层次中的影响因素之间的关联性确定所述信息系统的威胁值，所述脆弱性值用于描述所述资产在安全方面的薄弱程度；风险可能性获取模块，用于根据所述威胁值和所述脆弱性值计算所述信息系统的风险可能性，以及根据所述脆弱性值和所述资产价值计算所述信息系统的风险后果可能性；安全风险值评估模块，用于根据所述风险可能性和所述风险后果可能性，确定所述信息系统的信息安全风险值。

一种信息安全风险评估设备，包括处理器及存储器，所述存储器上存储有计算机可读指令，所述计算机可读指令被所述处理器执行时实现如上所述的信息安全风险评估方法。

一种计算机可读存储介质，其上存储有计算机可读指令，当所述计算机可读指令被计算机的处理器执行时，使计算机执行如上所述的信息安全风险评估方法。

根据本申请实施例的一个方面，提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述各种可选实施例中提供的信息安全风险评估方法。