(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211298976.2 (22)申请日 2022.10.24 (71)申请人 北京源堡科技有限公司 地址 100084 北京市海淀区中关村东路1号 院8号楼5层A5 03 (72)发明人 赵远杰　胡维　李可　李季　 陈幼雷　韩冰　梁露露　 (74)专利代理 机构 北京清大紫荆知识产权代理 有限公司 1 1718 专利代理师 周晓飞 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 网络安全风险量化方法、 装置、 计算机设备 及存储介质 (57)摘要 本发明实施例提供了一种网络安全风险量 化方法、 装置、 计算机设备及存储介质， 涉及信息 安全技术领域， 其中， 该方法包括： 根据待评估网 络的相关信息， 确定所述待评估网络的各场景要 素的主要内容， 构建主要风险场景； 对所述主要 风险场景中的风险要素进行未来预设时长内的 量化赋值， 其中， 所述赋值包括最有可能值、 最小 值、 最大值以及对于最有可能值赋值的信心程度 值； 根据所述风险要素的赋值， 量化所述待评估 网络的网络安全风险。 该方案提高了量化网络安 全风险的客观性、 合理性、 真实性， 进而有利于提 高量化网络安全风险的准确性。 权利要求书2页 说明书9页 附图3页 CN 115361241 A 2022.11.18 CN 115361241 A 1.一种网络安全风险量 化方法， 其特 征在于， 包括： 根据待评估网络的相关信息， 确定所述待评估网络的各场景要素的主要内容， 构建主 要风险场景； 对所述主要风险场景中的风险要素进行未来预设时长内的量化赋值， 其中， 所述赋值 包括最有可能值、 最小值、 最大值以及对于最有可能值赋值的信心程度值； 根据所述 风险要素的赋值， 量 化所述待评估网络的网络安全风险。 2.如权利要求1所述的网络安全风险量化方法， 其特征在于， 对所述主要风险场景中的 风险要素进行 未来预设时长内的量 化赋值， 包括： 所述风险要素包括资产面临 的威胁源、 资产的脆弱性以及发生安全事件后对资产的影 响， 将发生安全事件后对资产的影响拆分为直接影响、 间接影响以及直接影响带来间接影 响可能性； 对所述资产面临的威胁源、 所述资产的脆弱性、 所述直接影响、 所述间接影响以及所述 直接影响带来间接影响可能性， 进行 未来所述预设时长内的量 化赋值。 3.如权利要求2所述的网络安全风险量化方法， 其特征在于， 根据所述风险要素的赋 值， 量化所述待评估网络的网络安全风险， 包括： 分别根据所述资产面临的威胁源、 所述资产的脆弱性、 所述直接影响、 所述间接影响以 及所述直接影响带来间接影响可能性的赋值， 得到所述资产面临的威胁源、 所述资产的脆 弱性、 所述直接影响、 所述间接影响以及所述直接影响带来间接影响可能性各自对应的 pert分布， 将所述对于最有可能值赋值的信心程度值作为per t分布的g amma参数； 根据所述间接影响的pert分布以及所述直接影响带来间接影响可能性的pert分布， 得 到次要影响的分布曲线； 根据次要影响的分布曲线和所述直接影响的pert分布， 得到综合影响程度的分布曲 线； 根据综合影响程度的分布曲线、 所述资产面临的威胁源的pert分布以及所述资产的脆 弱性的per t分布， 得到所述主 要风险场景的风险分布。 4.如权利要求3所述的网络安全风险量化方法， 其特征在于， 根据所述间接影响的pert 分布以及所述 直接影响带来间接影响可能性的per t分布， 得到次要影响的分布曲线， 包括： 采用蒙特卡洛算法， 将所述间接影响的pert分布和所述直接影响带来间接影响可能性 的pert分布相乘， 得到次要影响的分布曲线； 根据次要影响的分布曲线和所述直接影响的pert分布， 得到综合影响程度的分布曲 线， 包括： 将次要影响的分布曲线和所述直接影响的pert分布叠加， 得到综合影响程度的分布曲 线。 5.如权利要求3所述的网络安全风险量化方法， 其特征在于， 根据综合影响程度的分布 曲线、 所述资产面临的威胁源的pert分布以及所述资产的脆弱性的pert分布， 得到所述主 要风险场景的风险分布， 包括： 采用蒙特卡洛算法， 将综合影响程度的分布曲线、 所述资产面临的威胁源的pert分布 以及所述资产的脆弱性的per t分布相乘， 得到所述主 要风险场景的风险分布。 6.如权利要求3所述的网络安全风险量化方法， 其特征在于， 所述主要风险场景的风险权　利　要　求　书 1/2 页 2 CN 115361241 A 2分布包括所述网络安全风险的量化的风险数值和所述网络安全风险超过或低于所述风险 值的概率。 7.如权利要求1至6  中任一项所述的网络安全风险量化方法， 其特征在于， 根据待评估 网络的相关信息， 确定所述待评估网络的各场景要素的主要内容， 构建主要风险场景， 包 括： 从关键场景要素的知识库中获取 各场景要素的备选内容； 根据所示待评估 网络的相关信 息， 从各场景要素的备选 内容中确定各场景要素的主要 内容， 来构建所述主 要风险场景。 8.如权利要求1至6  中任一项所述的网络安全风险量化方法， 其特征在于， 对所述主要 风险场景中的风险要素进行 未来预设时长内的量 化赋值， 包括： 获取预存的量化参照表， 所述量化参照表包括各个风险要素的量化数值范围， 每个风 险要素的量化数值范围中的量化数值按照预设步长 分段， 不同的量化数值分段对应风险要 素的不同的风险程度； 基于所述量化参照表中的量化数值分段和对应的风险程度， 对所述主要风险场景中的 各个风险要素进行 未来预设时长内的量 化赋值。 9.如权利要求1至 6 中任一项所述的网络安全风险量 化方法， 其特 征在于， 还 包括： 对所述主 要风险场景的网络安全风险进行优先级排序。 10.一种网络安全风险量 化装置， 其特 征在于， 包括： 场景构建模块， 用于根据待评估网络的相关信息， 确定所述待评估网络的各场景要素 的主要内容， 构建主 要风险场景； 风险要素量化模块， 用于对所述主要风险场景中的风险要素进行未来预设时长内的量 化赋值， 其中， 所述赋值包括最有可能值、 最小值、 最大值以及对于最有可能值赋值的信心 程度值； 风险量化模块， 用于根据所述 风险要素的赋值， 量 化所述待评估网络的网络安全风险。 11.一种计算机设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计 算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现权利要求1至9中任一项所 述的网络安全风险量 化方法。 12.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有执行权利 要求1至9中任一项所述的网络安全风险量 化方法的计算机程序。权　利　要　求　书 2/2 页 3 CN 115361241 A 3