一種多維度風(fēng)險(xiǎn)評估方法
【專利摘要】本發(fā)明涉及一種多維度風(fēng)險(xiǎn)評估方法���,該方法采用定性與定量相結(jié)合的方法對風(fēng)險(xiǎn)進(jìn)行分析計(jì)算,并從安全策略�、管理風(fēng)險(xiǎn)��、技術(shù)風(fēng)險(xiǎn)����、運(yùn)維風(fēng)險(xiǎn)等多個(gè)維度進(jìn)行綜合風(fēng)險(xiǎn)分析��。本發(fā)明從電力行業(yè)信息安全管理的角度出發(fā),充分考慮策略���、管理���、運(yùn)維、技術(shù)四個(gè)維度���,實(shí)現(xiàn)了四維一體的風(fēng)險(xiǎn)評估方法,將風(fēng)險(xiǎn)計(jì)算模型立體化���,主要用于解決電力信息系統(tǒng)風(fēng)險(xiǎn)評估中定量評價(jià)扁平化����,單一化的問題。
【專利說明】一種多維度風(fēng)險(xiǎn)評估方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種電力系統(tǒng)的評估方法���,具體講涉及一種多維度風(fēng)險(xiǎn)評估方法。
【背景技術(shù)】
[0002] 風(fēng)險(xiǎn)計(jì)算模型包含信息資產(chǎn)�����、脆弱性、威脅等關(guān)鍵要素����。每個(gè)要素有各自的屬性, 信息資產(chǎn)的屬性是資產(chǎn)價(jià)值���,脆弱性屬性是脆弱性或漏洞被威脅利用后對資產(chǎn)帶來的影響 的嚴(yán)重程度�����,威脅的屬性是威脅發(fā)生的可能性?���,F(xiàn)有的風(fēng)險(xiǎn)評估計(jì)算只從一個(gè)維度計(jì)算風(fēng) 險(xiǎn)值���,不能反映風(fēng)險(xiǎn)的具體情況�,不能準(zhǔn)確反映風(fēng)險(xiǎn)范圍以及風(fēng)險(xiǎn)的程度。因此需要提供一 種能反映風(fēng)險(xiǎn)的具體情況���、準(zhǔn)確反映風(fēng)險(xiǎn)范圍及風(fēng)險(xiǎn)的程度的多維風(fēng)險(xiǎn)評估方法,以滿足 技術(shù)發(fā)展的需要�����。
【發(fā)明內(nèi)容】
[0003] 針對現(xiàn)有技術(shù)的不足,本發(fā)明的目的是提供一種多維度風(fēng)險(xiǎn)評估方法���,解決當(dāng)前 風(fēng)險(xiǎn)評估中多維度的信息安全定量的評價(jià)���,本發(fā)明采用定性與定量相結(jié)合的方法對風(fēng)險(xiǎn)進(jìn) 行分析計(jì)算�����,并從安全策略�、管理風(fēng)險(xiǎn)���、技術(shù)風(fēng)險(xiǎn)�����、運(yùn)維風(fēng)險(xiǎn)等多個(gè)維度進(jìn)行綜合風(fēng)險(xiǎn)分析�����。
[0004] 本發(fā)明的目的是采用下述技術(shù)方案實(shí)現(xiàn)的:
[0005] 本發(fā)明提供一種多維度風(fēng)險(xiǎn)評估方法���,其改進(jìn)之處在于����,所述多維包括策略、管 理����、運(yùn)維和技術(shù)四維����,所述方法包括下述步驟:
[0006] (1)確定資產(chǎn)值;
[0007] ⑵確定威脅值;
[0008] (3)確定策略脆弱性;
[0009] (4)確定技術(shù)脆弱性����;
[0010] (5)確定管理脆弱性;
[0011] (6)確定運(yùn)維脆弱性��;
[0012] (7)信息安全風(fēng)險(xiǎn)評估����;
[0013] (8)拓展所述安全風(fēng)險(xiǎn)評估���。
[0014] 進(jìn)一步地�,所述步驟(1)中��,所述資產(chǎn)值包括資產(chǎn)的機(jī)密性價(jià)值��、資產(chǎn)的完整性價(jià) 值和資產(chǎn)的可用性價(jià)值;信息�����、軟件的機(jī)密性賦值的最大值用A�����。表示�;信息、軟件���、硬件的 完整性賦值的最大值用A表示����;信息、軟件�����、硬件�����、人員的可用性賦值的最大值用分別A a表 示;A��。���、&和Aa分別用下述表達(dá)式表示:
[0015] Ac = max (A 信息 c, A 軟件 c) *L ①����;
[0016] Ai = max (A 信息 i, A 軟件 i, A 硬件 D *L ②����;
[0017] Aa = max (A 信息 a, A 軟件 a, A 硬件 a, A 人員 a) *L ③��;
[0018] 其中:L代表資產(chǎn)所屬業(yè)務(wù)系統(tǒng)的安全等級���。
[0019] 進(jìn)一步地,所述步驟(2)中,所述威脅值包括威脅的嚴(yán)重程度Ts��、威脅發(fā)生的可能 性T f、威脅對機(jī)密性的嚴(yán)重程度Ts。����、威脅對完整性的嚴(yán)重程度Tsi和威脅對可用性的嚴(yán)重程 度Tsa;各項(xiàng)所述的威脅可能性與機(jī)密性嚴(yán)重程度乘積的和用下述的T�����。式表示:
[0020] Tc = Tfl*Tscl+Tf2*Tsc2+T f3*Tsc3+......+Tf3*Tscq ④;
[0021] 各項(xiàng)威脅的可能性與完整性嚴(yán)重程度乘積的和用下述的?\式表示:
[0022] Tj = Tfl*Tsil+Tf2*Tsi2+T f3*Tsi3+......+Tf3*Tsiq ⑤;
[0023] 各項(xiàng)威脅的可能性與可用性嚴(yán)重程度乘積的和用Ta表示���,表達(dá)式如下:
[0024] Ta = Tfl*Tsal+Tf2*Tsa2+T f3*Tsa3+......+Tf3*Tsaq ⑥;
[0025] 其中:q = 1�,2, 3,.......
[0026] 進(jìn)一步地����,所述步驟(3)中����,所述策略脆弱性用機(jī)密性相關(guān)策略脆弱性最大值的 和Vp。�����、完整性相關(guān)策略脆弱性最大值的和V pi以及可用性相關(guān)策略脆弱性最大值的和Vpa表 示;
[0027] 當(dāng)
【權(quán)利要求】
1. 一種多維度風(fēng)險(xiǎn)評估方法,其特征在于����,所述多維包括策略��、管理���、運(yùn)維和技術(shù)四維, 所述方法包括下述步驟: (1) 確定資產(chǎn)值���; (2) 確定威脅值����; (3) 確定策略脆弱性����; (4) 確定技術(shù)脆弱性; (5) 確定管理脆弱性�; (6) 確定運(yùn)維脆弱性���; (7) 信息安全風(fēng)險(xiǎn)評估�; (8) 拓展所述安全風(fēng)險(xiǎn)評估����。
2. 如權(quán)利要求1所述的多維度風(fēng)險(xiǎn)評估方法���,其特征在于����,所述步驟(1)中����,所述資產(chǎn) 值包括資產(chǎn)的機(jī)密性價(jià)值、資產(chǎn)的完整性價(jià)值和資產(chǎn)的可用性價(jià)值;信息���、軟件的機(jī)密性賦 值的最大值用A���。表示;信息�、軟件、硬件的完整性賦值的最大值用A i表示���;信息����、軟件���、硬 件��、人員的可用性賦值的最大值用分別Aa表示�����;A。�����、Ai和A a分別用下述表達(dá)式表示: Ac = max (A 信息���。�,A 軟件�。)*L ①�; Ai = max (A信息i, A軟件i, A硬件i) *L ②; Aa = max (A信息a, A軟件a, A硬件a, A人員a) *L ③; 其中:L代表資產(chǎn)所屬業(yè)務(wù)系統(tǒng)的安全等級。
3. 如權(quán)利要求1所述的多維度風(fēng)險(xiǎn)評估方法����,其特征在于,所述步驟(2)中�,所述威脅 值包括威脅的嚴(yán)重程度Ts、威脅發(fā)生的可能性T f、威脅對機(jī)密性的嚴(yán)重程度Ts���。、威脅對完整 性的嚴(yán)重程度Tsi和威脅對可用性的嚴(yán)重程度T sa;各項(xiàng)所述的威脅可能性與機(jī)密性嚴(yán)重程 度乘積的和用下述的T。式表示: Tc = Tfl*Tscl+Tf2*Tsc2+T f3*Tsc3+......+Tf3^Tscq ④���; 各項(xiàng)威脅的可能性與完整性嚴(yán)重程度乘積的和用下述的Ti式表示: Ti = Tfl*Tsil+Tf2*Tsi2+T f3*Tsi3+......+Tf3^Tsiq ⑤��; 各項(xiàng)威脅的可能性與可用性嚴(yán)重程度乘積的和用Ta表示�,表達(dá)式如下: Ta = Tfl*Tsal+Tf2*Tsa2+T f3*Tsa3+......+Tf3^Tsaq ⑥�����; 其中:q = 1����,2,3,.......
4. 如權(quán)利要求1所述的多維度風(fēng)險(xiǎn)評估方法��,其特征在于�����,所述步驟(3)中,所述策略 脆弱性用機(jī)密性相關(guān)策略脆弱性最大值的和V p。�����、完整性相關(guān)策略脆弱性最大值的和Vpi以 及可用性相關(guān)策略脆弱性最大值的和Vpa表示��; 當(dāng)時(shí)機(jī)密性相關(guān)策略脆弱性最大值的和Vp����。為: Vpc=Vpcl+Vpc2+Vpc3+...... +Vpcq ⑦����; 其中:IVpcJ表示資產(chǎn)的機(jī)密性相關(guān)策略脆弱性值的全集����,max {Vpm}表示{Vpm}中所有 最大值的集合����,IVpwJ表示集合max {Vpm}的一個(gè)包含q個(gè)元素的子集; 當(dāng)(Vpj ^max {'^時(shí)完整性相關(guān)策略脆弱性最大值的和Vpi為: Vpi=Vpil+Vpi2+Vpi3+...... +Vpiq ⑧�����; 其中:IVpiJ表示資產(chǎn)的完整性相關(guān)策略脆弱性值的全集�����,max {Vpin}表示{Vpin}中所有 最大值的集合��,IVpitJ表示集合max{Vpin}的一個(gè)包含q個(gè)元素的子集���; 當(dāng){Vflaq}gmax 時(shí)可用性相關(guān)策略脆弱性最大值的和Vpa為: Vpa = Vpal+Vpa2+Vpa3+...... +Vpaq ⑨����; 其中:IVpaJ表示資產(chǎn)的可用性相關(guān)策略脆弱性值的全集,max{Vpan}表示IVpaJ中所有 最大值的集合�����,IV1J表示集合max{Vpan}的一個(gè)包含q個(gè)元素的子集�����;n= 1,2, 3,......���; q= 1,2,3,.......
5. 如權(quán)利要求1所述的多維度風(fēng)險(xiǎn)評估方法,其特征在于���,所述步驟(4)中���,所述技術(shù) 脆弱性用機(jī)密性相關(guān)技術(shù)脆弱性最大值的和Vt�。��、完整性相關(guān)技術(shù)脆弱性最大值的和Vti以 及可用性相關(guān)技術(shù)脆弱性最大值的和Vta表示���; 當(dāng)gmax|Vtm_機(jī)密性相關(guān)技術(shù)脆弱性最大值的和Vt����。為: Vtc = Vtcl+Vtc2+Vtc3 +......+Vtcq ⑦; 其中:{VtoJ表不資產(chǎn)的機(jī)密性相關(guān)技術(shù)脆弱性值的全集,maX{VtoJ表不{VteJ中所有 最大值的集合�����,IVtwJ表示集合max{Vtm}的一個(gè)包含q個(gè)元素的子集�����; 當(dāng)IvtilJ^max{Vtin}時(shí)完整性相關(guān)技術(shù)脆弱性最大值的和Vti為: Vti = Vtil+Vti2+Vti3 +......+Vtiq ⑧��; 其中:IVtiJ表示資產(chǎn)的完整性相關(guān)技術(shù)脆弱性值的全集�,max{Vtin}表示{Vtin}中所有 最大值的集合�����,IVtitJ表示集合max{Vtin}的一個(gè)包含q個(gè)元素的子集; 當(dāng)[VtacJemaxfVtaiJ時(shí)可用性相關(guān)技術(shù)脆弱性最大值的和Vta為: Vta = Vtal+Vta2+Vta3 +......+Vtaq @ ; 其中:IVtaJ表示資產(chǎn)的可用性相關(guān)技術(shù)脆弱性值的全集��,max{Vtan}表示IVtaJ中所有 最大值的集合��,IVtatJ表示集合max{Vtan}的一個(gè)包含q個(gè)元素的子集��;n= 1��,2, 3,......���; q= 1,2,3,.......
6. 如權(quán)利要求1所述的多維度風(fēng)險(xiǎn)評估方法���,其特征在于,所述步驟(5)中�,所述管理 脆弱性用機(jī)密性相關(guān)管理脆弱性最大值的和Vm�����。�、完整性相關(guān)管理脆弱性最大值的和Vmi以 及可用性相關(guān)管理脆弱性最大值的和Vma表示�����; 管理方面的各個(gè)機(jī)密性方面的脆弱值表示為Vnim: Vmc = Vmcl+Vmc2+Vmc3 +......+Vmcn ^ ����; 管理方面的各個(gè)完整性方面的脆弱值表示為Vmin: Vmi = Vmil+Vmi2+Vmi3 +......+Vmin ?����; 管理方面的各個(gè)可用性方面的脆弱值表示為V_ : Vma = Vmal+Vma2+Vma3 +......+Vman @ ; 其中:n= 1,2, 3,.......
7. 如權(quán)利要求1所述的多維度風(fēng)險(xiǎn)評估方法,其特征在于��,所述步驟(6)中�����,所述運(yùn)維 脆弱性用機(jī)密性相關(guān)運(yùn)維脆弱性最大值的和V。����。����、完整性相關(guān)運(yùn)維脆弱性最大值的和Vtji以 及可用性相關(guān)運(yùn)維脆弱性最大值的和Vm表示����; 運(yùn)維方面的各個(gè)機(jī)密性方面的脆弱值表示為V_: Voc = Vocl+Voc2+Voc3+...... +Vocn ? �; 運(yùn)維方面的各個(gè)完整性方面的脆弱值表示為Vtjin : Voi = Voil+Voi2+Voi3+......+Voin ? �; 運(yùn)維方面的各個(gè)可用性方面的脆弱值表示為v_ Voa = Voal+Voa2+Voa3+...... +Voan ^ ����; 其中:n= 1����,2, 3,.......
8. 如權(quán)利要求1所述的多維度風(fēng)險(xiǎn)評估方法,其特征在于���,所述步驟(7)中,所述風(fēng)險(xiǎn) 值用R表示���,資產(chǎn)價(jià)值用A表示,表威脅值用T表示�,脆弱性值用V表示�����,資產(chǎn)損失產(chǎn)生的影 響用E表不,資產(chǎn)暴露程度用D表不: 風(fēng)險(xiǎn)的計(jì)算方法為: R=AXTXV=EXD?����; T=TsXTflE=AXTslD=TfXV?�; 其中=Ts表示威脅的嚴(yán)重程度����;Tf表示威脅發(fā)生的可能性。
9. 如權(quán)利要求1所述的多維度風(fēng)險(xiǎn)評估方法�����,其特征在于����,所述步驟(8)中�,所述策略 脆弱性相關(guān)風(fēng)險(xiǎn)用Rp表示��,技術(shù)脆弱性相關(guān)風(fēng)險(xiǎn)用Rt表示���,管理脆弱性相關(guān)風(fēng)險(xiǎn)用Rm表示���, 運(yùn)行維護(hù)脆弱性相關(guān)風(fēng)險(xiǎn)用R����。表示;對所述安全風(fēng)險(xiǎn)評估進(jìn)行擴(kuò)展: Rp = AcXTcXVp^AiXTiXVpi+AaXTaXVpa ?; Rt = AcXTcXVt^AiXTiXVt^AaXTaXVta ?����; Rffl = AcXTcXVffl^AiXTiXVffli+AaXTaXVfflaQ); R0 = AcXTcXV0^AiXTiXVoi+AaXTaXVoa @)����。
【文檔編號】G06Q50/06GK104268714SQ201410538514
【公開日】2015年1月7日 申請日期:2014年10月13日 優(yōu)先權(quán)日:2014年10月13日
【發(fā)明者】俞庚申, 郭騫, 李尼格, 余勇, 張小建, 馮谷, 范杰, 蔣誠智, 高鵬, 鮑興川, 曹宛恬 申請人:國家電網(wǎng)公司, 中國電力科學(xué)研究院