一种网络信息安全评估方法、装置、电子设备及介质与流程

本申请涉及计算机，具体而言，涉及一种网络信息安全评估处理方法、装置、电子设备及介质。

背景技术：

1、随着互联网的快速发展，网络信息安全问题日益突出。为了保护网络资产的安全，需要对网络资产中的数据进行风险评估。信息评估技术是一种重要的网络安全防护手段，它通过对数据进行分析和评估，识别出可能存在的风险，从而采取相应的防护措施。然而，由于网络资产中的数据量庞大，且数据类型多样，传统的信息评估技术往往无法全面和准确地评估所有数据的风险。

2、现有的解决方案主要是通过定期对网络资产中的数据进行采样，然后对采样的数据进行风险评估。这种方法虽然可以一定程度上评估网络资产的风险，但是由于采样的周期性和固定性，可能会导致一些突发性的风险无法被及时发现和处理。

3、现有技术在该领域中存在的问题主要有以下几点：首先，现有的采样方法通常是周期性和固定性的，这可能导致一些突发性的风险无法被及时发现和处理。其次，现有的风险评估方法通常只对采样的数据进行部分评估，例如关键字敏感度评估、威胁评估等，这可能会导致评估结果的不准确和不全面。最后，现有的技术在确定数据的风险等级时，往往只是根据初步风险评估的结果，这可能会导致风险等级的判定不准确。

技术实现思路

1、本申请提供一种网络信息安全风险评估方法、装置、电子设备及介质，旨在改善上述问题。

2、第一方面，本申请提供的一种网络信息安全风险评估方法，所述方法包括：随机且不定期地对网络资产中的待评估数据进行采样；对采样的所述待评估数据进行初步风险评估；其中，所述初步风险评估包括对所述待评估数据进行关键字敏感度评估、威胁评估和弱点评估中的至少一种；若初步风险评估结果显示所述待评估数据的风险度超过预设阈值，则继续对所述待评估数据进行二次风险评估；其中，所述二次风险评估包括对所述待评估数据进行全字段评估、价值评估、影响评估和分发范围评估中的至少一种；依照初步风险评估结果或二次风险评估结果确定所述待评估数据的风险等级。

3、在一个实施例中，所述依照初步风险评估结果或二次风险评估结果确定所述待评估数据的风险等级的步骤，包括：若初步风险评估结果显示表征所述关键字敏感度的指标、表征所述威胁的指标和表征所述弱点的指标中的任意两项均未超过对应预设标准，则确定所述待评估数据的风险等级为无风险等级；若初步风险评估结果显示表征所述关键字敏感度的指标、表征所述威胁的指标和表征所述弱点的指标中的至少两项指标超过对应预设标准，则确定所述待评估数据的风险等级为低风险等级。

4、在一个实施例中，所述依照初步风险评估结果或二次风险评估结果确定所述待评估数据的风险等级的步骤，包括：若二次风险评估结果显示表征所述全字段的指标、表征所述价值的指标、表征所述影响的指标和表征所述分发范围的指标中的任意三项均未超过对应预设标准，则确定所述待评估数据的风险等级为中风险等级；若二次风险评估结果显示表征所述全字段的指标、表征所述价值的指标、表征所述影响的指标和表征所述分发范围的指标中的至少三项指标均超过对应预设标准，则确定所述待评估数据的风险等级为高风险等级。

5、在一个实施例中，还包括：依照所述风险等级对所述网络资产进行分级分类标记，并依照所述分级分类标记结果对敏感数据所有者进行溯源。

6、在一个实施例中，还包括：依照溯源结果将分类的所述网络资产划分为不同的敏感级别；通过用户自定义规则或自带的规则，自动评估敏感数据。

7、在一个实施例中，还包括：为已进行过风险评估的信息附上风险评估标识。

8、在一个实施例中，还包括：依照所述风险评估标识判断所述待评估数据是否已进行过风险评估；若是，则跳过对所述待评估数据的评估。

9、第二方面，本申请提供的一种网络信息安全评估装置，所述装置包括：

10、采样单元，用于随机且不定期地对网络资产中的待评估数据进行采样；

11、初步风险评估单元，用于对采样的所述待评估数据进行初步风险评估；其中，所述初步风险评估包括对所述待评估数据进行关键字敏感度评估、威胁评估和弱点评估中的至少一种；

12、二次风险评估单元，用于在初步风险评估结果显示所述待评估数据的风险度超过预设阈值时，则继续对所述待评估数据进行二次风险评估；其中，所述二次风险评估包括对所述待评估数据进行全字段评估、价值评估、影响评估和分发范围评估中的至少一种；

13、风险等级确定单元，用于依照初步风险评估结果或二次风险评估结果确定所述待评估数据的风险等级。

14、与现有的技术相比，本技术方案至少具有以下有益效果：1、随机且不定期地对网络资产中的待评估数据进行采样，相比于现有的周期性和固定性的采样方法，能够更及时地发现和处理突发性的风险，提高了风险评估的实时性和有效性。2、对采样的待评估数据进行初步风险评估和二次风险评估，包括关键字敏感度评估、威胁评估、弱点评估、全字段评估、价值评估、影响评估和分发范围评估等，相比于现有的风险评估方法只对采样的数据进行部分评估，本技术方案能够更全面和准确地评估数据的风险，提高了风险评估的准确性。3、依照初步风险评估结果或二次风险评估结果确定待评估数据的风险等级，相比于现有的技术在确定数据的风险等级时，只是根据初步风险评估的结果，本技术方案能够更准确地判定数据的风险等级，提高了风险评估的准确性。

技术特征：

1.一种网络信息安全风险评估方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述依照初步风险评估结果或二次风险评估结果确定所述待评估数据的风险等级的步骤，包括：

3.根据权利要求1所述的方法，其特征在于，所述依照初步风险评估结果或二次风险评估结果确定所述待评估数据的风险等级的步骤，包括：

4.根据权利要求1所述的方法，其特征在于，还包括：

5.根据权利要求4所述的方法，其特征在于，还包括：

6.根据权利要求1所述的方法，其特征在于，还包括：

7.根据权利要求6所述的方法，其特征在于，还包括：

8.一种网络信息安全评估装置，其特征在于，所述装置包括：

9.一种电子设备，其特征在于，包括：

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理设备运行时执行如权利要求1-7的任一项所述的网络信息安全评估处理方法的步骤。

技术总结本申请实施例提供的一种网络信息安全风险评估方法、装置、电子设备及介质，属于计算机技术领域。所述方法包括：随机且不定期地对网络资产中的待评估数据进行采样；对采样的所述待评估数据进行初步风险评估；其中，所述初步风险评估包括对所述待评估数据进行关键字敏感度评估、威胁评估和弱点评估中的至少一种；若初步风险评估结果显示所述待评估数据的风险度超过预设阈值，则继续对所述待评估数据进行二次风险评估；其中，所述二次风险评估包括对所述待评估数据进行全字段评估、价值评估、影响评估和分发范围评估中的至少一种；依照初步风险评估结果或二次风险评估结果确定所述待评估数据的风险等级。本申请可提高评估准确性。技术研发人员：杨晶,李秀美,刘佩津受保护的技术使用者：威海天屹信息安全技术有限公司技术研发日：技术公布日：2024/7/18