[发明专利]信息安全风险评估方法、装置、终端设备和存储介质

说明书

本发明涉及一种信息安全风险评估方法、装置、终端设备和存储介质，通过确定待评估对象对应的威胁行为；根据威胁行为的特性，确定与威胁行为对应的影响因素；根据威胁行为和影响因素，确定威胁行为对应的安全防护措施；根据安全防护措施的重要程度，确定每个安全防护措施的权重；根据每个安全防护措施的现场查验结果，确定每个安全防护措施的有效性值；根据安全防护措施的权重和安全防护措施的有效性值，确定待评估对象的脆弱值，脆弱值用于对待评估对象进行风险评估，通过确定与威胁行为对应的安全防护措施，进而计算不同威胁行为对应的脆弱性值，提供安全风险评估中的风险识别的准确性。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种信息安全风险评估方法、装置、终端设备和存储介质。

背景技术

近年来，随着云计算、大数据、物联网、工业互联网、人工智能等新技术新应用大规模发展，网络安全风险融合叠加并快速演变。互联网技术应用不断模糊物理世界和虚拟世界界限，对整个经济社会发展的融合、渗透、驱动作用日益明显，带来的风险挑战也不断增大，网络空间威胁和风险日益增多。随之而来的，信息安全风险评估也越来越重要了，也有越来越多的标准对信息安全风险评估提出了具体的要求。

信息安全风险评估包括评估准备、风险识别、风险分析、风险评价等四个主要阶段，同时整个过程中会涉及沟通与协商、文档留存等内容。风险识别是信息安全风险评估过程中的核心环节，风险识别的一个核心识别的内容是对脆弱性的识别。

现有技术中，将信息安全风险评估的中威胁行为部分进行了调整，但是当前威胁行为与现有防护措施对应不足，而且也没有脆弱性识别和计算，因而对安全风险评估中的风险识别的准确性不高。

发明内容

本发明意在提供一种信息安全风险评估方法、装置、终端设备和存储介质，以解决现有技术中存在的不足，本发明要解决的技术问题通过以下技术方案来实现。

第一个方面，本发明实施例提供一种信息安全风险评估方法，所述方法包括：

确定待评估对象对应的威胁行为；

根据所述威胁行为的特性，确定与所述威胁行为对应的影响因素；

根据所述威胁行为和所述影响因素，确定所述威胁行为对应的安全防护措施；

根据所述安全防护措施的重要程度，确定每个所述安全防护措施的权重；

根据每个安全防护措施的现场查验结果，确定每个安全防护措施的有效性值；

根据所述安全防护措施的权重和所述安全防护措施的有效性值，确定所述待评估对象的脆弱值，所述脆弱值用于对所述待评估对象进行风险评估。

可选地，所述确定待评估对象对应的威胁行为，包括：

根据预设威胁行为标准、待评估对象的属性和威胁行为统计信息，确定所述待评估对象对应的威胁行为，其中，所述预设威胁行为标准包括威胁类型和与所述威胁类型对应的威胁行为；所述威胁行为统计信息是根据历史威胁行为类型和所述历史威胁行为的发生的频率值确定的。

可选地，所述影响因素包括保密性、可用性和完整性，所述根据所述威胁行为的特性，确定与所述威胁行为对应的影响因素，包括：

根据所述威胁行为的特性，确定所述威胁行为对所述待评估对象产生的保密性影响因素；

或

根据所述威胁行为的特性，确定所述威胁行为对所述待评估对象产生的可用性影响因素；

或

根据所述威胁行为的特性，确定所述威胁行为对所述待评估对象产生的完整性影响因素。

可选地，所述根据所述威胁行为和所述影响因素，确定所述威胁行为对应的安全防护措施，包括：