本申請涉及一種信息系統(tǒng)資產(chǎn)風(fēng)險評估方法及其裝置和存儲介質(zhì)。所述信息系統(tǒng)資產(chǎn)風(fēng)險評估方法包括：獲取與資產(chǎn)相對應(yīng)的多個安全因子的實時數(shù)據(jù)；根據(jù)實時數(shù)據(jù)和預(yù)設(shè)模型，確定各安全因子的風(fēng)險等級，生成并發(fā)送攜帶各安全因子的風(fēng)險等級的第一審核提醒消息給專家；接收專家響應(yīng)于第一審核提醒消息對各安全因子的風(fēng)險等級的審核報告，并作為當(dāng)前資產(chǎn)的評估結(jié)果；重復(fù)執(zhí)行獲取與資產(chǎn)相對應(yīng)的多個安全因子的實時數(shù)據(jù)步驟，以獲取多個資產(chǎn)的評估結(jié)果，直至對信息系統(tǒng)中的所有資產(chǎn)評估完畢，并輸出評估結(jié)果。通過人機共同評估的方式，保證了風(fēng)險評估結(jié)果的準(zhǔn)確性和實時有效性，為信息系統(tǒng)風(fēng)險控制提供了可靠依據(jù)。

技術(shù)領(lǐng)域

本申請涉及信息安全技術(shù)領(lǐng)域，特別是涉及一種信息系統(tǒng)資產(chǎn)風(fēng)險評估方法及其裝置和存儲介質(zhì)。

背景技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，信息系統(tǒng)及相關(guān)產(chǎn)品大量部署于各行各業(yè)，信息系統(tǒng)所面臨的安全問題成為行業(yè)內(nèi)重點關(guān)注的問題。

為了對信息系統(tǒng)進行風(fēng)險評估，自從上世紀(jì)六十年代，專家們開始研究各種基于模型和知識的、定量等風(fēng)險分析方法。定量的主要包括因子分析法、聚類分析法、時序模型、回歸模型、決策樹法等。定量分析法的風(fēng)險評估結(jié)果直觀，但有時為了量化風(fēng)險值，使得復(fù)雜問題簡單化，導(dǎo)致風(fēng)險評估的準(zhǔn)確性下降，甚至被誤解。

發(fā)明內(nèi)容

基于此，有必要針對上述技術(shù)問題，提供一種能夠提高更顯評估準(zhǔn)確性的信息系統(tǒng)資產(chǎn)風(fēng)險評估方法及其裝置和存儲介質(zhì)。

一種信息系統(tǒng)資產(chǎn)風(fēng)險的評估方法，包括：

獲取與資產(chǎn)相對應(yīng)的多個安全因子的實時數(shù)據(jù)；

根據(jù)實時數(shù)據(jù)和預(yù)設(shè)模型，確定各安全因子的風(fēng)險等級，生成并發(fā)送攜帶各安全因子的風(fēng)險等級的第一審核提醒消息給專家；

接收專家響應(yīng)于第一審核提醒消息對各安全因子的風(fēng)險等級的審核報告，并作為當(dāng)前資產(chǎn)的評估結(jié)果；

重復(fù)執(zhí)行獲取與資產(chǎn)相對應(yīng)的多個安全因子的實時數(shù)據(jù)步驟，以獲取多個資產(chǎn)的評估結(jié)果，直至對信息系統(tǒng)中的所有資產(chǎn)評估完畢，并輸出評估結(jié)果。

在其中一個實施例子中，獲取與資產(chǎn)相對應(yīng)的多個安全因子的實時數(shù)據(jù)前，還包括：

根據(jù)預(yù)設(shè)的安全因子信息創(chuàng)建模糊安全風(fēng)險矩陣和S型隸屬函數(shù)，并將當(dāng)前的模糊安全風(fēng)險矩陣和S型隸屬函數(shù)作為預(yù)設(shè)模型。

在其中一個實施例子中，根據(jù)實時數(shù)據(jù)和預(yù)設(shè)模型，確定各安全因子的風(fēng)險等級前，還包括：

為各安全因子配置一一對應(yīng)的初始風(fēng)險等級和初始權(quán)重值；

根據(jù)實時數(shù)據(jù)和預(yù)設(shè)模型，確定各安全因子的風(fēng)險等級還包括：

根據(jù)各安全因子的實時數(shù)據(jù)以及S型隸屬函數(shù)計算出各安全因子的發(fā)生概率；

根據(jù)各安全因子的實時數(shù)據(jù)和初始權(quán)重值獲取各安全因子一一對應(yīng)的再分配權(quán)重值，并根據(jù)再分配權(quán)重值獲取威脅嚴(yán)重程度；

根據(jù)發(fā)生概率和威脅的嚴(yán)重程度更新模糊安全風(fēng)險矩陣，以獲取更新后的安全風(fēng)險矩陣；

根據(jù)各安全因子的更新后的安全風(fēng)險矩陣獲取各安全因子的風(fēng)險等級。

在其中一個實施例子中，創(chuàng)建模糊安全風(fēng)險矩陣前，還包括：

接收專家定義的各預(yù)設(shè)安全因子的初始發(fā)生概率和初始威脅的嚴(yán)重程度；

創(chuàng)建模糊安全風(fēng)險矩陣，包括：

根據(jù)初始發(fā)生概率和初始威脅的嚴(yán)重程度創(chuàng)建各安全因子的模糊安全風(fēng)險矩陣。

在其中一個實施例子中，根據(jù)預(yù)設(shè)的安全因子信息前，還包括：