[发明专利]信息系统资产安全风险评估方法与装置

权利要求书

1.一种信息系统资产安全风险评估方法，其特征在于，所述方法包括：

获取安全域内资产安全风险数据；

分析资产安全风险数据，获取资产的风险可能性和影响性；

根据资产的风险可能性和影响性构建风险矩阵；

根据所述风险矩阵进行资产安全风险评估。

2.根据权利要求1所述的方法，其特征在于，所述根据所述风险矩阵进行资产安全风险评估包括：

根据所述风险矩阵，获取资产对应的价值维度数据、脆弱维度数据以及威胁维度数据；

根据所述资产对应的价值维度数据、脆弱维度数据以及威胁维度数据，计算资产安全风险值；

根据所述资产安全风险值进行资产安全风险评估。

3.根据权利要求2所述的方法，其特征在于，根据所述资产对应的价值维度数据、脆弱维度数据以及威胁维度数据，计算资产安全风险值包括：

根据所述资产对应的价值维度数据、脆弱维度数据以及威胁维度数据，分析获取资产对应的价值等级、弱点值、威胁严重性等级以及威胁频度；

计算所述资产对应的价值等级、弱点值、威胁严重性等级以及威胁频度的乘积，得到资产安全风险值。

4.根据权利要求3所述的方法，其特征在于，还包括：

获取预设价值等级划分表；

根据所述预设价值等级划分表以及资产对应的价值，获取所述资产对应的价值等级。

5.根据权利要求3所述的方法，其特征在于，还包括：

根据所述资产对应的脆弱性，提取所述资产的脆弱点总数以及每个脆弱点的严重性等级，并统计脆弱点严重性等级对应脆弱点数量；

计算所述脆弱点严重性等级的加权平均值，得到弱点值，其中，所述脆弱点严重性等级的加权值与所述脆弱点严重性等级对应脆弱点数量正相关。

6.根据权利要求3所述的方法，其特征在于，还包括：

根据资产对应的威胁，提取所述资产的威胁总数以及每个威胁对应的威胁影响等级，并统计每个威胁影响等级对应的威胁数量；

计算所述威胁影响等级的加权平均值，得到威胁严重性等级，其中，所述威胁影响等级的加权值与所述威胁影响等级对应的威胁数量正相关。

7.根据权利要求1所述的方法，其特征在于，所述根据所述风险矩阵进行资产安全风险评估之后，还包括：

将资产风险评估结果导入至预设风险评估报告模板中，生成风险评估报告；

推送所述风险评估报告。

8.一种信息系统资产安全风险评估装置，其特征在于，所述装置包括：

数据获取模块，用于获取安全域内资产安全风险数据；

分析模块，用于分析资产安全风险数据，获取资产的风险可能性和影响性；

矩阵构建模块，用于根据资产的风险可能性和影响性构建风险矩阵；

评估模块，用于根据所述风险矩阵进行资产安全风险评估。

9.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。