信息安全态势分析方法与系统

摘要

本发明提供了一种信息安全态势分析方法和系统。涉及网络与信息安全技术领域；解决了有效进行信息安全管理的问题。该方法包括：根据KPI方法确定一级、二级和三级关键评价指标；根据AHP方法确定所述一级、二级和三级关键评价指标中各关键评价指标的权重；根据所述一级、二级和三级关键评价指标和各关键评价指标的权重，构建关键评价指标体系；采集数据，根据所述关键评价指标体系，分析信息安全态势。本发明提供的技术方案适用于网络信息安全，实现了对信息安全信息的分析管理。

说明书

技术领域

本发明涉及网络与信息安全技术领域，具体涉及在TCP/IP网络中的一种 信息安全态势分析方法与系统。

背景技术

目前，随着Internet和网络应用的快速发展，网络逐渐成为人们在工作、 生活和学习中不可缺少的一部分，同时，由于网络安全问题变得日趋严重， 人们对网络中信息的安全性需求越来越迫切和强烈。当前，在信息安全市场 上，防火墙、入侵检测和防病毒等信息安全产品虽然能够提供一定的信息安 全保障，但并没有给人们带来对信息安全效能的信心，为了解决人们关心的 信息安全的两个问题：信息系统是否安全？信息系统的安全程度是多少？

为了有效进行信息安全管理，人们提出了信息安全度量，安全度量通过 持续收集被测对象在一段时间内的安全效能，根据评价指标体系进行分析与 评价，以验证已实施的安全策略与安全目标的一致程度、所能达到的安全效 能级别，并采取相关措施对信息安全进行持续改进。

发明内容

本发明提供了一种信息安全态势分析方法和系统，解决了有效进行信息 安全管理的问题。

一种信息安全态势分析方法，包括：

根据关键绩效指标方法(KPI方法)确定一级、二级和三级关键评价指 标；

根据层次分析方法(AHP方法)确定所述一级、二级和三级关键评价指 标中各关键评价指标的权重；

根据所述一级、二级和三级关键评价指标和各关键评价指标的权重，构 建关键评价指标体系；

采集数据，根据所述关键评价指标体系，分析信息安全态势。

优选的，所述根据KPI方法确定一级、二级和三级关键评价指标包括：

按照KPI方法选取总安全态势指标作为一级关键评价指标；

分解所述总安全态势指标，选取网络安全态势指标、主机安全态势指标、 终端安全态势指标、应用安全态势指标与数据安全态势指标作为二级关键评 价指标；

分解所述的二级关键评价指标，获取三级关键评价指标；

根据KPI方法分别审核所述一级、二级和三级关键评价指标；

在需要对所述一级、二级和三级关键评价指标进行修正时进行修正，在 不需要对进行修正时输出所述一级、二级和三级关键评价指标。

优选的，所述分解所述的二级关键评价指标，获取三级关键评价指标包 括：

选取所述网络安全态势指标的以下子关键评价指标作为三级关键评价指 标：

网络设备安全监控覆盖率、网络设备安全基线符合率、网络设备高风险 漏洞检出率、互联网出口攻击阻断率；和，

选取所述主机安全态势指标的以下子关键评价指标作为三级关键评价指 标：

主机安全监控覆盖率、主机防病毒软件安装率、主机病毒库更新率、主 机病毒无法清除率、主机高风险漏洞检出率、主机开放服务端口漏洞检出率、 主机木马后门活动检出率；和，

选取所述终端安全态势指标的以下子关键评价指标作为三级关键评价指 标：

终端管理软件安装率、终端非法接入指标、终端防病毒软件安装率、终 端病毒库更新率、终端病毒无法清除率、终端补丁更新达标率、终端木马后 门活动检出率；和，

选取所述应用安全态势指标的以下子关键评价指标作为三级关键评价指 标：

公钥基础设施(PKI)系统注册率、电子文档加密软件安装率；和

选取所述数据安全态势指标的违规内容检出率这一子关键评价指标作为 三级关键评价指标。

优选的，所述一级关键评价指标与二级关键评价指标的信息包括：指标 名称、指标描述、计量单位、度量频度、指标权重、指标数值与计算时间。

优选的，所述根据AHP方法确定所述一级、二级和三级关键评价指标中 各关键评价指标的权重包括：

确定一级关键评价指标总安全态势的权重为100分；

按照AHP方法比较二级关键评价指标之间的相对重要性，并确定各二级 关键评价指标的权重，所述二级关键评价指标的权重如下：

所述网络安全态势指标的权重为20％，所述主机安全态势指标的权重为 30％，所述终端安全态势指标的权重为30％，所述应用安全态势指标的权重 为10％，所述数据安全态势指标的权重为10％；

按照AHP方法比较三级关键评价指标之间的相对重要性，并确定各三级 关键评价指标的权重，所述三级关键评价指标的权重如下：

所述网络设备安全监控覆盖率的权重为25分，所述网络设备安全基线符 合率的权重为25分，所述网络设备高风险漏洞检出率的权重为25分，所述 互联网出口攻击阻断率的权重为25分，所述主机安全监控覆盖率的权重为 20分，所述主机防病毒软件安装率、主机病毒库更新率、主机病毒无法清除 率的权重为10分，所述主机高风险漏洞检出率的权重为15分，所述主机开 放服务端口漏洞检出率的权重为10分，所述主机木马后门活动检出率的权重 为15分，所述终端管理软件安装率的权重为20分，所述终端非法接入指标 的初始权重为10分，所述终端防病毒软件安装率的权重为20分，所述终端 病毒库更新率的权重为15分，所述终端病毒无法清除率的权重为10分，所 述终端补丁更新达标率的权重为10分，所述终端木马后门活动检出率的权重 为15分，所述PKI系统注册率的权重为50分，所述电子文档加密软件安装 率的权重为50分，所述违规内容检出率的权重为100分，其中，所述终端非 法接入指标值的权重会在出现一次终端非法接入时即减少2直至减为0为止；

按照AHP依法审核每个一级、二级和三级关键评价指标的权重，在需要 修改时进行修正，在不需要对进行修正时输出所述一级、二级和三级关键评 价指标权重。

优选的，所述根据所述一级、二级和三级关键评价指标和各关键评价指 标的权重，构建关键评价指标体系包括：

确定各三级关键评价指标值的计算方法，所述计算方法如下：

所述网络设备安全监控覆盖率指标的数据来源是安全审计系统设备信息 与统一信息库资产信息，度量频度为月或季度或年，度量单位是百分比，其 计算方法是在统计指定时间范围内根据以下表达式计算

所述网络设备安全基线符合率指标的数据来源是安全配置检查系统与 统一信息库资产信息，度量频度为月或季度或年，度量单位是百分比，其计 算方法是在统计指定时间范围内根据以下表达式计算

所述网络设备高风险漏洞检出率指标的数据来源是漏洞扫描系统，度量 频度为月或季度或年，度量单位是百分比，其计算方法是在统计指定时间范 围内根据以下表达式计算

所述互联网出口攻击阻断率指标的数据来源是部署在互联网出口的安全 防护设备的网络日志，度量频度为月或季度或年，度量单位是百分比，其计 算方法是在统计指定时间范围内，根据源地址为公网IP的攻击入侵类以及信 息刺探和恶意代码类安全事件的累计次数按照以下表达式计算

所述主机安全监控覆盖率指标的数据来源是安全审计系统设备信息与统 一信息库资产信息，度量频度为月或季度或年，度量单位是百分比，其计算 方法是在统计指定时间范围内按照以下表达式计算

所述主机防病毒软件安装率指标的数据来源是网络防病毒系统与统一信 息库资产信息，度量频度为月或季度或年，度量单位是百分比，其计算方法 是在统计指定时间范围内按照以下表达式计算

所述Windows主机病毒无法清除率指标的数据来源是网络防病毒系统， 度量频度为月或季度或年，度量单位是百分比，其计算方法是在统计指定时 间范围内按照以下表达式计算

所述主机病毒库更新率指标的数据来源是网络防病毒系统，度量频度为 月或季度或年，度量单位是百分比，其计算方法是在统计指定时间范围内按 照以下表达式计算

所述主机高风险漏洞检出率指标的数据来源是漏洞扫描系统，度量频度 为月或季度、年，度量单位是百分比，其计算方法是在统计指定时间范围内

主机开放服务端口漏洞检出率的数据来源是漏洞扫描系统，度量频度是 默认为月，可根据调整为季度或年，度量单位是百分比，其计算方法是在统 计指定时间范围内按照以下表达式计算

所述主机木马后门活动检出率指标的数据来源是部署在内网骨干核心交 换机的IDS或IPS的日志，度量频度为月或季度或年，度量单位是百分比， 其计算方法是在统计指定时间范围内，根据源地址为内网终端地址段目的地 址为外网地址类型为信息刺探和恶意代码类的蠕虫/恶意代码类/间谍软件事 件数量，按照以下表达式计算

所述终端管理软件安装率指标的数据来源是终端管理系统，度量频度为 月或季度或年，度量单位是百分比，其计算方法是在统计指定时间范围内按 照以下表达式计算

所述终端非法接入指标的数据来源是终端管理系统，度量频度为月或季 度或年，度量单位是次数，其计算方法是在统计指定时间范围内，非法接入 内网事件的累计次数。

所述终端防病毒软件安装率指标的数据来源是网络防病毒系统与终端管 理系统，度量频度为月或季度或年，度量单位是百分比，其计算方法是在统 计指定时间范围内按照以下表达式计算

所述终端病毒库更新率指标的数据来源是网络防病毒系统与终端管理系 统，度量频度为月或季度或年，度量单位是百分比，其计算方法是在统计指 定时间范围内按照以下表达式计算

所述终端病毒无法清除率指标的数据来源是网络防病毒系统与终端管理 系统，度量频度为月或季度或年，度量单位是百分比，其计算方法是在统计 指定时间范围内按照以下表达式计算

所述终端补丁更新达标率指标的数据来源是终端安全管理系统，度量频 度为月或季度或年，度量单位是百分比，其计算方法是在统计指定时间范围 内按照以下表达式计算

所述终端木马后门活动检出率指标的数据来源是部署在内网骨干核心交 换机的IDS或IPS的日志，度量频度为月或季度或年，度量单位是百分比， 其计算方法是在统计指定时间范围内，根据源地址为内网终端地址段目的地 址为外网地址类型为信息刺探和恶意代码类的蠕虫/恶意代码类/间谍软件事 件的终端数量，按照以下表达式计算

所述PKI系统注册率指标的数据来源是PKI管理系统，度量频度为月或 季度或年，度量单位是百分比，其计算方法是在统计指定时间范围内按照以 下表达式计算

所述电子文档加密软件安装率指标的数据来源是电子文档加密系统，度 量频度为月或季度或年，度量单位是百分比，其计算方法是在统计指定时间 范围内按照以下表达式计算

所述违规内容检出率指标的数据来源是上网行为审计系统，度量频度为 月或季度或年，度量单位是百分比，其计算方法是在统计指定时间范围内按 照以下表达式计算

确定各三级关键评价指标与各二级关键评价指标的关系，所述各三级关 键评价指标值与各二级关键评价指标值的关系如下：

所述网络安全态势指标与三级关键评价指标的关系如以下表达式

网络安全态势指标(100分)＝网络设备安全监控覆盖率×25分+网络设 备安全基线符合率×25分+(1-网络设备高风险漏洞检出率)×25分+互联网 出口攻击阻断率×25分，

所述主机安全态势指标与三级关键评价指标的关系如以下表达式

主机安全态势指标(100分)＝主机安全监控覆盖率×20分+主机防病毒 软件安装率×20分+主机病毒库更新率×15分+(1-主机病毒无法清除率)×10 分+(1-主机高风险漏洞检出率)×15分+(1-主机开放服务端口漏洞检出率) ×10分+(1-主机木马后门活动检出率)×15分，

所述终端安全态势指标与三级关键评价指标的关系如以下表达式

终端安全态势指标(100分)＝终端管理软件安装率×20分+(终端非法 接入指标出现1次扣2分，总分10分，扣完为止)+终端防病毒软件安装率 ×20分+终端病毒库更新率×15分+终端病毒无法清除率×10分+终端补丁更新 达标率×10分+(1-终端木马后门活动检出率)×15分，

所述应用安全态势指标与三级关键评价指标的关系如以下表达式

应用安全态势指标(100分)＝PKI系统注册率×50分+电子文档加密软 件安装率×50分，

所述数据安全态势指标与三级关键评价指标的关系如以下表达式

数据安全态势指标(100分)＝违规内容检出率×100分；

确定各二级关键评价指标值与一级关键评价指标值的关系，该关系如以 下表达式：

总体安全态势指标(100分)＝网络安全态势指标×20％+主机安全态势 指标×30％+终端安全态势指标×30％+应用安全态势指标×10％+数据安全态势 指标×10％。

优选的，所述采集数据，根据所述关键评价指标体系，分析信息安全态 势的步骤之后，还包括：

通过外部显示设备输出分析信息安全态势的结果。

本发明还提供了一种信息安全态势分析系统，包括：

指标选取模块，用于根据KPI方法确定一级、二级和三级关键评价指标；

权重计算模块，用于根据AHP方法确定所述一级、二级和三级关键评价 指标中各关键评价指标的权重；

体系管理模块，用于根据所述一级、二级和三级关键评价指标和各关键 评价指标的权重，构建关键评价指标体系；

分析评价模块，用于采集数据，根据所述体系管理模块构造的关键评价 指标体系，分析信息安全态势。

优选的，上述信息安全态势分析系统还包括：

安全态势展示模块，用于输出分析信息安全态势的结果。

本发明提供了一种信息安全态势分析方法和系统，根据KPI方法确定一 级、二级和三级关键评价指标，再根据AHP方法确定所述一级、二级和三级 关键评价指标中各关键评价指标的权重，然后根据所述一级、二级和三级关 键评价指标和各关键评价指标的权重，构建关键评价指标体系，这样，就可 以在系统这工作时采集数据，根据所述关键评价指标体系，分析信息安全态 势，在全面考虑涉及信息安全的参数同时，参照各参数的影响程度不同得到 各参数的权重，综合全面的考量信息安全态势，解决了有效进行信息安全管 理的问题。

附图说明

图1是本发明的实施例中在TCP/IP网络中信息安全态势评价系统的组网 示意图；

图2是本发明的实施例一提供的一种信息安全态势分析方法的流程；

图3是本发明的实施例一中步骤201进行信息安全态势关键评价指标选 取的流程图；

图4是本发明的实施例一中步骤202进行信息安全态势关键评价指标权 重确定的流程图；

图5是本发明的实施例一中步骤203进行信息安全态势关键评价指标体 系构建的示意图；

图6是本发明的实施例二提供的一种信息安全态势评价系统结构示意 图；

图7是本发明的实施例二信息安全态势评价系统的工作流程图；

图8是本发明的实施例三提供的一种信息安全态势分析系统的结构示意 图。

具体实施方式

为了有效进行信息安全管理，本发明的实施例提供了一种信息安全态势 分析方法和系统。下文中将结合附图对本发明的实施例进行详细说明。需要 说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相 互任意组合。

为了更好的对本发明的实施例所提供的技术方案进行说明，首先对关键 绩效指标法(Key Performance Indicator，KPI)和AHP方法进行介绍。

KPI是企业战略实现与绩效管理的基础，是把企业的战略目标分解为可 运作目标的工具，是通过企业内部某一流程的输入端、输出端的关键参数进 行设置、取样、计算、分析，衡量流程绩效的一种目标式量化管理方法。KPI 强调“关键”，它强调的是对企业成功具有重要影响的方面，反映最能有效影 响企业价值创造的关键驱动因素。设置KPI指标必须遵循两个原则，即 SMART原则与“二八”原则。SMART原则是要求绩效指标必须是明确的 (Specific)、可度量的(Measurable)、可实现的(Attainable)、相关性的 (Relevant)及有时限的(Time-bound)。“二八”原则即在一个企业的价值创 造过程中，存在着“20/80”的规律，即20％的骨干人员创造企业80％的价值； 而且在每一位员工身上“二八原理”同样适用，即80％的工作任务是由20％的 关键行为完成的。因此，必须抓住20％的关键行为，对之进行分析和衡量， 这样就能抓住绩效评价的重点。

当KPI指标设立后，各指标的重要程度不会完全相同，对实际工作产 生的影响区别较大，这就需要利用合理的方法赋予各指标相应的权重，以 更科学地反映出绩效评价结果。层次分析法(Analytic Hierarchy Process， AHP)是设置指标权重的一种常用方法，它是对定性问题进行定量分析的一 种简便、灵活而又实用的多准则决策方法，它的基本思想是将组成复杂问题 的多个元素权重的整体判断转变为对这些元素进行“两两比较”，以确定层次 中诸因素的相对重要性，然后再转为对这些元素的整体权重进行排序判断， 最终确立各元素的权重。

运用KPI与AHP方法确定的信息安全态势关键评价指标及其权重能够 与安全目标相一致、客观、准确，能够使用百分值或分值度量单位进行度量。 在相应关键评价指标体系上实现的评价系统能够真实反映信息安全态势，并 能有效地促进安全保障工作的改进。

下面结合附图，对本发明的实施例一进行说明。

本发明的实施例提供了一种信息安全态势分析方法，根据KPI方法选取 信息安全态势的关键评价指标，根据AHP方法确定关键评价指标权重，合成 关键评价指标体系，管理关键评价指标体系，采集数据，分析、评价并展示 安全态势，并在信息安全审计平台中实现了信息安全态势的评价系统，使得 能够客观、准确、自动及连续地评价信息安全态势。

在TCP/IP中信息安全态势评价系统的组网结构如图1所示。其中，

局域网，包括所有被采集对象设备，其中有网络设备、网络安全设备、 主机与终端。网络设备包括路由器与交换机；网络安全设备包括防火墙、VPN、 网络防病毒系统及入侵检测系统等；主机包括Web服务器、邮件服务器及文 件服务器等；终端包括个人计算机及自助终端。

信息安全态势评价系统，用于分析评价局域网中的信息安全态势，为局 域网提供量化度量的信息安全态势。其中关键评价指标体系管理设备完成关 键评价指标与权重的设置及关键评价指标体系的构建，数据采集设备完成数 据的采集，分析评价设备完成指标的分析与评价，态势展示设备完成信息安 全态势展示，信息库设备完成关键评价指标体系信息与采集数据的存储；

Internet，包括路由器，可以传送和路由网络流量。

本发明实施例提供了一种信息安全态势分析方法，使用该方法完成信息 安全态势分析的流程如图2所示，包括：

步骤201、根据KPI方法确定一级、二级和三级关键评价指标；

参照图3所示的流程图对信息安全态势关键评价指标的选取流程作进一 步的详细说明，包括以下步骤：

步骤301、制定明确的信息安全评价目标为以定量及自动方式评价信息 安全态势；

步骤302、基于该目标，评价指标类型确定为技术安全保障能力指标， 评价指标类型包括技术安全保障能力指标和管理安全保障能力指标；

步骤303、按照KPI方法选取总安全态势指标作为一级关键评价指标；

步骤304、分解总安全态势指标，选取网络安全态势指标、主机安全态 势指标、终端安全态势指标、应用安全态势指标与数据安全态势指标为二级 关键评价指标；

步骤305、分解二级安全态势指标，选取二级关键评价指标分别为：

选取网络设备安全监控覆盖率、网络设备安全基线符合率、网络设备高 风险漏洞检出率、互联网出口攻击阻断率为网络安全态势指标的子关键评价 指标；

选取主机安全监控覆盖率、主机防病毒软件安装率、主机病毒库更新率、 主机病毒无法清除率、主机高风险漏洞检出率、主机开放服务端口漏洞检出 率、主机木马后门活动检出率为主机安全态势指标的子关键评价指标；

选取终端管理软件安装率、终端非法接入指标、终端防病毒软件安装率、 终端病毒库更新率、终端病毒无法清除率、终端补丁更新达标率、终端木马 后门活动检出率为终端安全态势指标的子关键评价指标；

选取PKI系统注册率、电子文档加密软件安装率为应用安全态势指标的 子关键评价指标；

选取违规内容检出率为数据安全态势指标的子关键评价指标；

步骤306、根据KPI方法分别审核一级、二级与三级关键评价指标，若 需要修正则修正相应关键评价指标，若不需要修正则结束。

步骤202、根据AHP方法确定所述一级、二级和三级关键评价指标中各 关键评价指标的权重；

参照图4所示的流程图对确定关键评价指标权重的流程作进一步的详细 说明。包括以下步骤：

步骤401、确定一级关键评价指标总安全态势的权重为100分；

步骤402、按照AHP方法比较二级关键评价指标之间的相对重要性，并 确定权重，可以得出二级关键评价指标权重为如表1所列。

表1 二级关键评价指标权重

  指标名称   指标数值   指标名称   指标数值   网络安全态势   20％   应用安全态势   10％   主机安全态势   30％   数据安全态势   10％

  终端安全态势   30％

步骤403、按照AHP方法比较三级关键评价指标之间的相对重要性，并 确定权重，可以得出为如表2所列。

表2 三级关键评价指标权重

步骤404、按照AHP方法审核每个关键评价指标权重，若需要修正则修 正相应关键评价指标权重，若不需要修正则结束。

步骤203、根据所述一级、二级和三级关键评价指标和各关键评价指标 的权重，构建关键评价指标体系；

参照图5对本发明实施例中信息安全态势关键评价指标体系作详细说 明：

图5对本发明实施例中的信息安全态势关键评价指标及其权重进行了确 定并按照关联关系合成了关键评价指标体系。其中规定了一级与二级关键评 价指标的关系、二级与三级关键评价指标的关系以及三级关键评价指标的获 取方法。具体如下：

1、一级与二级关键评价指标的关系：

总体安全态势指标(100分)＝网络安全态势指标×20％+主机安全态势 指标×30％+终端安全态势指标×30％+应用安全态势指标×10％+数据安全态势 指标×10％。

2、二级关键评价指标与三级关键评价指标的关系：

网络安全态势指标(100分)＝网络设备安全监控覆盖率×25分+网络设 备安全基线符合率×25分+(1-网络设备高风险漏洞检出率)×25分+互联网 出口攻击阻断率×25分；

主机安全态势指标(100分)＝主机安全监控覆盖率×20分+主机防病毒 软件安装率×20分+主机病毒库更新率×15分+(1-主机病毒无法清除率)×10 分+(1-主机高风险漏洞检出率)×15分+(1-主机开放服务端口漏洞检出率) ×10分+(1-主机木马后门活动检出率)×15分

终端安全态势指标(100分)＝终端管理软件安装率×20分+(终端非法 接入指标出现1次扣2分，总分10分，扣完为止)+终端防病毒软件安装率 ×20分+终端病毒库更新率×15分+终端病毒无法清除率×10分+终端补丁更新 达标率×10分+(1-终端木马后门活动检出率)×15分；

应用安全态势指标(100分)＝PKI系统注册率×50分+电子文档加密软 件安装率×50分；

数据安全态势指标(100分)＝违规内容检出率×100分。

3、三级关键评价指标的计算方法：

网络设备安全监控覆盖率指标的数据来源是安全审计系统设备信息与统 一信息库资产信息，度量频度是默认为月，可根据调整为季度、年，度量单 位是百分比，其计算方法是在统计指定时间范围内按照以下表达式计算：

网络设备安全基线符合率指标的数据来源是安全配置检查系统与统一 信息库资产信息，度量频度是默认为月，可根据调整为季度、年，度量单位 是百分比，其计算方法是在统计指定时间范围内按照以下表达式计算：

网络设备高风险漏洞检出率指标的数据来源是漏洞扫描系统，度量频度 是默认为月，可根据调整为季度、年，度量单位是百分比，其计算方法是在 统计指定时间范围内按照以下表达式计算：

互联网出口攻击阻断率指标的数据来源是部署在互联网出口的安全防护 设备的网络日志(防火墙、IPS等)，度量频度是默认为月，可根据调整为 季度、年，度量单位是百分比，其计算方法是在统计指定时间范围内，源地 址为公网IP的攻击入侵类以及信息刺探和恶意代码类安全事件累计次数，按 照以下表达式计算：

主机安全监控覆盖率指标的数据来源是安全审计系统设备信息与统一信 息库资产信息，度量频度是默认为月，可根据调整为季度、年，度量单位是 百分比，其计算方法是在统计指定时间范围内按照以下表达式计算：

主机防病毒软件安装率指标的数据来源是网络防病毒系统与统一信息库 资产信息，度量频度是默认为月，可根据调整为季度、年，度量单位是百分 比，其计算方法是在统计指定时间范围内按照以下表达式计算：

主机病毒无法清除率指标的数据来源是网络防病毒系统，度量频度是默 认为月，可根据调整为季度、年，度量单位是百分比，其计算方法是在统计 指定时间范围内按照以下表达式计算：

主机病毒库更新率指标的数据来源是网络防病毒系统，度量频度是默认 为月，可根据调整为季度、年，度量单位是百分比，其计算方法是在统计指 定时间范围内按照以下表达式计算：

主机高风险漏洞检出率指标的数据来源是漏洞扫描系统，度量频度是默 认为月，可根据调整为季度、年，度量单位是百分比，其计算方法是在统计 指定时间范围内按照以下表达式计算：

主机开放服务端口漏洞检出率的数据来源是漏洞扫描系统，度量频度是 默认为月，可根据调整为季度、年，度量单位是百分比，其计算方法是在统 计指定时间范围内按照以下表达式计算：

主机木马后门活动检出率指标的数据来源是部署在内网骨干核心交换机 的IDS或IPS的日志，度量频度是默认为月，可根据调整为季度、年，度量 单位是百分比，其计算方法是在统计指定时间范围内，根据源地址为内网终 端地址段、目的地址为外网地址、类型为信息刺探和恶意代码类的蠕虫/恶意 代码类/间谍软件事件的主机数量，按照以下表达式计算：

终端管理软件安装率指标的数据来源是终端管理系统，度量频度是默认 为月，可根据调整为季度、年，度量单位是百分比，其计算方法是在统计指 定时间范围内按照以下表达式计算：

终端非法接入指标的数据来源是终端管理系统，度量频度是默认为月， 可根据调整为季度、年，度量单位是次数，其计算方法是在统计指定时间范 围内，非法接入内网事件的累计次数；

终端防病毒软件安装率指标的数据来源是网络防病毒系统与终端管理系 统，度量频度是默认为月，可根据调整为季度、年，度量单位是百分比，其 计算方法是在统计指定时间范围内按照以下表达式计算：

终端病毒库更新率指标的数据来源是网络防病毒系统与终端管理系统， 度量频度是默认为月，可根据调整为季度、年，度量单位是百分比，其计算 方法是在统计指定时间范围内按照以下表达式计算：

终端病毒无法清除率指标的数据来源是网络防病毒系统与终端管理系 统，度量频度是默认为月，可根据调整为季度、年，度量单位是百分比，其 计算方法是在统计指定时间范围内按照以下表达式计算：

终端补丁更新达标率指标的数据来源是终端安全管理系统，度量频度是 默认为月，可根据调整为季度、年，度量单位是百分比，其计算方法是在统 计指定时间范围内按照以下表达式计算：

终端木马后门活动检出率指标的数据来源是部署在内网骨干核心交换机 的IDS或IPS的日志，度量频度是默认为月，可根据调整为季度、年，度量 单位是百分比，其计算方法是在统计指定时间范围内，根据源地址为内网终 端地址段、目的地址为外网地址、类型为信息刺探和恶意代码类的蠕虫/恶意 代码类/间谍软件事件的终端数量，按照以下表达式计算：

PKI系统注册率指标的数据来源是PKI管理系统，度量频度是默认为月， 可根据调整为季度、年，度量单位是百分比，其计算方法是在统计指定时间 范围内按照以下表达式计算：

电子文档加密软件安装率指标的数据来源是电子文档加密系统，度量频 度是默认为月，可根据调整为季度、年，度量单位是百分比，其计算方法是 在统计指定时间范围内按照以下表达式计算：

违规内容检出率指标的数据来源是上网行为审计系统，度量频度是默认 为月，可根据调整为季度、年，度量单位是百分比，其计算方法是在统计指 定时间范围内按照以下表达式计算：

步骤204、采集数据，根据所述关键评价指标体系，分析信息安全态势；

步骤205、通过外部显示设备输出分析信息安全态势的结果；

本步骤中，可通过显示器或打印机等设备输出分析信息安全态势的结果， 将该结果提供给用户。

本发明实施例中所涉及的主机可为但不限于Windows主机。

下面结合附图，对本发明的实施例二进行说明。

本发明实施例提供了一种信息安全态势评价系统，图6对本发明实施例 中信息安全态势评价系统结构作了详细说明：

信息安全态势评价系统包括关键评价指标体系管理模块、数据采集模块、 分析评价模块、安全态势展示模块及信息库。

信息库包括关键评价指标体系信息库、采集数据信息库；

关键评价指标体系管理模块包括关键评价指标设置模块、关键评价指标 权重设置模块与关键评价指标体系合成模块。

为了使本技术领域的人员更好地理解本发明，下面结合图7所示的流程 图对本发明作进一步的详细说明。包括以下步骤：

步骤701、设置信息安全态势关键评价指标体系，具体为：在关键评价 指标体系管理模块中设置关键评价指标的信息并合成关键评价指标体系，关 键评价指标的信息包括指标名称、指标描述、计量单位、度量频度、指标权 重、指标数值与计算时间；

步骤702、在数据采集模块中根据设定的数据采集周期，周期性地采集 包含网络安全、主机安全、终端安全、应用安全与数据安全的日志与扫描信 息，采集数据包括采集数据名称、采集数据描述、采集数据数值、采集数据 源与采集时间；

步骤703、在分析与评价模块中对信息安全态势进行分析与评价；

步骤704、在展示模块中以图形与数值形式实时展示，或者生成报表后 展示给用户。

下面通过一个应用实例对图7的上述流程作进一步说明。

例如：

关键评价指标体系中的各个指标数据如图4的说明，并且在1个月内采 集到的数据如表4中所列。

表4  1个月内采集到的数据列表

根据计算方法得出三级关键评价指标的值为如表5中所列。

表5  三级关键评价指标值

根据关键评价指标体系，可以得出二级与一级关键评价指标的值为如表 6所示。

表6  二级与一级评价指标值

  指标名称   指标值   指标名称   指标值   网络安全态势   89.5分   终端安全态势   61分   主机安全态势   93.75分   应用安全态势   40分   数据安全态势   75分   总安全态势   75.8分

如果将总安全态势分成4个等级，分别为正常(85-100)、轻度异常 (70-85)、中度异常(55-70)、高度异常(＜55)，则经信息安全态势的评 价系统分析评价表明在该月内的总信息安全态势为轻度异常，可以用仪表盘、 柱状图、列表或报表的形式概要和详细地展示给用户。

下面结合附图，对本发明的实施例三进行说明。

本发明实施例提供了一种信息安全态势分析系统，能够与本发明的实施 例一所提供的一种信息安全态势分析方法相结合，共同完成有效的信息安全 管理，该系统结构如图8所示，包括：

指标选取模块801，用于根据KPI方法确定一级、二级和三级关键评价 指标；

权重计算模块802，用于根据AHP方法确定所述一级、二级和三级关键 评价指标中各关键评价指标的权重；

体系管理模块803，用于根据所述一级、二级和三级关键评价指标和各 关键评价指标的权重，构建关键评价指标体系；

分析评价模块804，用于采集数据，根据所述体系管理模块803构造的 关键评价指标体系，分析信息安全态势。

优选的，该系统还包括安全态势展示模块805，用于输出分析信息安全 态势的结果。

本发明的实施例提供了一种信息态势安全方法和系统，根据KPI方法确 定一级、二级和三级关键评价指标，再根据AHP方法确定所述一级、二级和 三级关键评价指标中各关键评价指标的权重，然后根据所述一级、二级和三 级关键评价指标和各关键评价指标的权重，构建关键评价指标体系，这样， 就可以在系统这工作时采集数据，根据所述关键评价指标体系，分析信息安 全态势，在全面考虑涉及信息安全的参数同时，参照各参数的影响程度不同 得到各参数的权重，综合全面的考量信息安全态势，解决了有效进行信息安 全管理的问题。

本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计 算机程序流程来实现，所述计算机程序可以存储于一计算机可读存储介质中， 所述计算机程序在相应的硬件平台上(如系统、设备、装置、器件等)执行， 在执行时，包括方法实施例的步骤之一或其组合。

可选地，上述实施例的全部或部分步骤也可以使用集成电路来实现，这 些步骤可以被分别制作成一个个集成电路模块，或者将它们中的多个模块或 步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬 件和软件结合。

上述实施例中的各装置/功能模块/功能单元可以采用通用的计算装置来 实现，它们可以集中在单个的计算装置上，也可以分布在多个计算装置所组 成的网络上。

上述实施例中的各装置/功能模块/功能单元以软件功能模块的形式实现 并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。 上述提到的计算机可读取存储介质可以是只读存储器，磁盘或光盘等。

任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想 到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范 围应以权利要求所述的保护范围为准。