本申請提供網絡資產的風險評估方法、裝置、電子設備和存儲介質。該方法包括確定待評估網絡資產的資產脆弱性分值、資產重要性分值和威脅發生可能性分值，其中，所述資產脆弱性分值用于表征所述待評估網絡資產的資產脆弱性；所述資產重要性分值用于表征所述待評估網絡資產的資產重要性；威脅發生可能性分值用于表征針對所述待評估網絡資產的威脅發生的可能性；根據所述資產脆弱性分值、所述資產重要性分值和所述威脅發生可能性分值，確定所述待評估網絡資產的資產風險值，以評估所述待評估網絡資產的風險。

技術領域

本申請涉及信息安全技術領域，具體涉及網絡資產的風險評估方法、裝置、電子設備和存儲介質。

背景技術

網絡資產主要是指計算機或通訊網絡中使用的各種設備，在當前網絡環境中，網絡資產往往會面臨各種風險，比如非法人員可能會利用惡意軟件、漏洞、病毒等攻擊手段，對網絡資產進行攻擊，以達到其非法目的。因此，通常需要對網絡資產所面臨的風險進行評估。

發明內容

本申請實施例的目的在于提供網絡資產的風險評估方法、裝置、電子設備和存儲介質，用于對網絡資產的風險進行評估。

本申請實施例第一方面提供了一種網絡資產的風險評估方法，包括：

確定待評估網絡資產的資產脆弱性分值、資產重要性分值和威脅發生可能性分值，其中，所述資產脆弱性分值用于表征所述待評估網絡資產的資產脆弱性；所述資產重要性分值用于表征所述待評估網絡資產的資產重要性；威脅發生可能性分值用于表征針對所述待評估網絡資產的威脅發生的可能性；

根據所述資產脆弱性分值、所述資產重要性分值和所述威脅發生可能性分值，確定所述待評估網絡資產的資產風險值，以評估所述待評估網絡資產的風險。

于一實施例中，根據所述資產脆弱性分值、所述資產重要性分值和所述威脅發生可能性分值，確定所述待評估網絡資產的資產風險值，具體包括：通過如下公式計算所述資產風險值：

其中，risk為所計算得到的資產風險值；Iv為所述資產脆弱性分值；Im為所述資產重要性分值；P為所述威脅發生可能性分值；a和b分別為預設常數，并且a為正數。

于一實施例中，通過如下方式確定所述威脅發生可能性分值：

獲取最近的一個統計周期內，所述待評估網絡資產的威脅日志數據，其中，各個威脅日志數據包括對應的危險等級評分，所述危險等級評分用于表征對應威脅日志數據所涉及的威脅的危險等級；

根據各個威脅日志數據的危險等級評分，確定在最近的一個統計周期內，所述待評估網絡資產的總危險評分；

利用所述總危險評分查詢威脅發生可能性賦值表，以確定所述威脅發生可能性分值。

于一實施例中，所述方法還包括通過如下方式預先生成所述威脅發生可能性賦值表：

獲取最近的n個統計周期內，多個網絡資產的威脅日志數據，其中，n為大于或等于2的正整數；

根據同一網絡資產在同一統計周期內的威脅日志數據劃分為同一個分組的方式，將所獲取的各個威脅日志數據劃分為多個分組；

針對各個分組，根據所述分組中各個威脅日志數據的危險等級評分，確定所述分組的總危險評分；

計算各個分組分別對應的總危險評分的多個統計學參數；

根據所述的多個統計學參數，生成所述威脅發生可能性賦值表。

于一實施例中，通過如下方式確定所述資產重要性分值：

確定所述待評估網絡資產的保密性分值、完整性分值和可用性分值；