本發(fā)明涉及一種信息安全風(fēng)險(xiǎn)評(píng)估方法、裝置、終端設(shè)備和存儲(chǔ)介質(zhì)，通過確定待評(píng)估對(duì)象對(duì)應(yīng)的威脅行為；根據(jù)威脅行為的特性，確定與威脅行為對(duì)應(yīng)的影響因素；根據(jù)威脅行為和影響因素，確定威脅行為對(duì)應(yīng)的安全防護(hù)措施；根據(jù)安全防護(hù)措施的重要程度，確定每個(gè)安全防護(hù)措施的權(quán)重；根據(jù)每個(gè)安全防護(hù)措施的現(xiàn)場(chǎng)查驗(yàn)結(jié)果，確定每個(gè)安全防護(hù)措施的有效性值；根據(jù)安全防護(hù)措施的權(quán)重和安全防護(hù)措施的有效性值，確定待評(píng)估對(duì)象的脆弱值，脆弱值用于對(duì)待評(píng)估對(duì)象進(jìn)行風(fēng)險(xiǎn)評(píng)估，通過確定與威脅行為對(duì)應(yīng)的安全防護(hù)措施，進(jìn)而計(jì)算不同威脅行為對(duì)應(yīng)的脆弱性值，提供安全風(fēng)險(xiǎn)評(píng)估中的風(fēng)險(xiǎn)識(shí)別的準(zhǔn)確性。

技術(shù)領(lǐng)域

本發(fā)明涉及信息安全技術(shù)領(lǐng)域，尤其涉及一種信息安全風(fēng)險(xiǎn)評(píng)估方法、裝置、終端設(shè)備和存儲(chǔ)介質(zhì)。

背景技術(shù)

近年來，隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、人工智能等新技術(shù)新應(yīng)用大規(guī)模發(fā)展，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)融合疊加并快速演變。互聯(lián)網(wǎng)技術(shù)應(yīng)用不斷模糊物理世界和虛擬世界界限，對(duì)整個(gè)經(jīng)濟(jì)社會(huì)發(fā)展的融合、滲透、驅(qū)動(dòng)作用日益明顯，帶來的風(fēng)險(xiǎn)挑戰(zhàn)也不斷增大，網(wǎng)絡(luò)空間威脅和風(fēng)險(xiǎn)日益增多。隨之而來的，信息安全風(fēng)險(xiǎn)評(píng)估也越來越重要了，也有越來越多的標(biāo)準(zhǔn)對(duì)信息安全風(fēng)險(xiǎn)評(píng)估提出了具體的要求。

信息安全風(fēng)險(xiǎn)評(píng)估包括評(píng)估準(zhǔn)備、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)等四個(gè)主要階段，同時(shí)整個(gè)過程中會(huì)涉及溝通與協(xié)商、文檔留存等內(nèi)容。風(fēng)險(xiǎn)識(shí)別是信息安全風(fēng)險(xiǎn)評(píng)估過程中的核心環(huán)節(jié)，風(fēng)險(xiǎn)識(shí)別的一個(gè)核心識(shí)別的內(nèi)容是對(duì)脆弱性的識(shí)別。

現(xiàn)有技術(shù)中，將信息安全風(fēng)險(xiǎn)評(píng)估的中威脅行為部分進(jìn)行了調(diào)整，但是當(dāng)前威脅行為與現(xiàn)有防護(hù)措施對(duì)應(yīng)不足，而且也沒有脆弱性識(shí)別和計(jì)算，因而對(duì)安全風(fēng)險(xiǎn)評(píng)估中的風(fēng)險(xiǎn)識(shí)別的準(zhǔn)確性不高。

發(fā)明內(nèi)容

本發(fā)明意在提供一種信息安全風(fēng)險(xiǎn)評(píng)估方法、裝置、終端設(shè)備和存儲(chǔ)介質(zhì)，以解決現(xiàn)有技術(shù)中存在的不足，本發(fā)明要解決的技術(shù)問題通過以下技術(shù)方案來實(shí)現(xiàn)。

第一個(gè)方面，本發(fā)明實(shí)施例提供一種信息安全風(fēng)險(xiǎn)評(píng)估方法，所述方法包括：

確定待評(píng)估對(duì)象對(duì)應(yīng)的威脅行為；

根據(jù)所述威脅行為的特性，確定與所述威脅行為對(duì)應(yīng)的影響因素；

根據(jù)所述威脅行為和所述影響因素，確定所述威脅行為對(duì)應(yīng)的安全防護(hù)措施；

根據(jù)所述安全防護(hù)措施的重要程度，確定每個(gè)所述安全防護(hù)措施的權(quán)重；

根據(jù)每個(gè)安全防護(hù)措施的現(xiàn)場(chǎng)查驗(yàn)結(jié)果，確定每個(gè)安全防護(hù)措施的有效性值；

根據(jù)所述安全防護(hù)措施的權(quán)重和所述安全防護(hù)措施的有效性值，確定所述待評(píng)估對(duì)象的脆弱值，所述脆弱值用于對(duì)所述待評(píng)估對(duì)象進(jìn)行風(fēng)險(xiǎn)評(píng)估。

可選地，所述確定待評(píng)估對(duì)象對(duì)應(yīng)的威脅行為，包括：

根據(jù)預(yù)設(shè)威脅行為標(biāo)準(zhǔn)、待評(píng)估對(duì)象的屬性和威脅行為統(tǒng)計(jì)信息，確定所述待評(píng)估對(duì)象對(duì)應(yīng)的威脅行為，其中，所述預(yù)設(shè)威脅行為標(biāo)準(zhǔn)包括威脅類型和與所述威脅類型對(duì)應(yīng)的威脅行為；所述威脅行為統(tǒng)計(jì)信息是根據(jù)歷史威脅行為類型和所述歷史威脅行為的發(fā)生的頻率值確定的。

可選地，所述影響因素包括保密性、可用性和完整性，所述根據(jù)所述威脅行為的特性，確定與所述威脅行為對(duì)應(yīng)的影響因素，包括：

根據(jù)所述威脅行為的特性，確定所述威脅行為對(duì)所述待評(píng)估對(duì)象產(chǎn)生的保密性影響因素；

或

根據(jù)所述威脅行為的特性，確定所述威脅行為對(duì)所述待評(píng)估對(duì)象產(chǎn)生的可用性影響因素；

或

根據(jù)所述威脅行為的特性，確定所述威脅行為對(duì)所述待評(píng)估對(duì)象產(chǎn)生的完整性影響因素。

可選地，所述根據(jù)所述威脅行為和所述影響因素，確定所述威脅行為對(duì)應(yīng)的安全防護(hù)措施，包括：