信息系统安全性能的评估方法

摘要

本发明公开了一种信息系统安全性能的评估方法，包括对信息系统的安全等级、运行维护等级、机密性、完整性和可用性进行分级评分；对信息系统下属的资产进行分类，并对资产的机密性、完整性和可用性进行分级评分；发现信息系统存在的漏洞；获取漏洞所述的资产分类，对漏洞进行脆弱性评分；计算信息系统所有漏洞的安全风险值，完成对信息系统安全性能进行评估。本发明对信息系统及其下属的资产进行分类和评分，并结合漏洞的脆弱性和所属资产对信息系统进行安全评估，本发明能够实时直观反应信息系统的安全性，采用定量计算的方法对信息系统进行评估，评估结果直观可靠，计算方法简单科学。

说明书

技术领域

本发明具体涉及一种信息系统安全性能的评估方法。

背景技术

随着国家经济的发展和人民生活水平的日益提高，数据信息已经深入千家万户， 现在人们的衣食住行等均离不开数据信息。数据时代和信息时代的到来，极大地方便了人 们的生活。

信息系统是由计算机硬件、网络、通讯设备、计算机软件、信息资源、用户和一定的 协议组成的以处理信息流为目的的人机一体化系统。信息系统的安全直接关系到数据信息 的安全和信息系统的运行安全。

目前，信息系统的安全评估方法多为针对特定的信息环境进行静态评估，该类方 法无法实时掌握信息系统的信息以及信息系统所处环境所面临的风险。此外，已有的安全 部评估方法主要针对信息资产以及信息系统的总体安全环境，其关注的重点为信息系统的 总体风险，无法针对某个单独的信息系统对象或元素进行风险评估。同时，现有评估方法的 评估结果较为抽象，无法直观的反应信息系统及其各组成部分所面临的风险大小。

发明内容

本发明的目的在于提供一种能够实时直观反应信息系统的安全性的信息系统安 全性能的评估方法。

本发明提供的这种信息系统安全性能的评估方法，包括如下步骤：

S1.根据信息系统的重要程度对信息系统的安全等级、运行维护等级、机密性、完 整性和可用性进行分级评分；

S2.对信息系统下属的资产的重要程度，对资产进行分类，并对资产的机密性、完 整性和可用性进行分级评分；

S3.对信息系统进行检查，并发现信息系统存在的漏洞；

S4.对步骤S3得到的漏洞，获取漏洞所属的资产类别，并根据漏洞的严重程度对漏 洞进行脆弱性评分；

S5.利用如下算式计算信息系统所有漏洞的安全风险值，从而对信息系统安全性 能进行评估：

$R=\frac{L}{\Sigma l}\times \underset{j=1}{\overset{n}{\Sigma }}{V}_j\times L\times O\times (A_{cp}\times A_{cj}+A_{ip}\times A_{ij}+A_{ap}\times A_{aj})$

式中R表示信息系统所有漏洞的安全风险值，R值越大表示信息系统的安全风险越 大；∑l表示所有安全等级的评分总和，V_j表示第j个漏洞的脆弱性评分，L表示信息系统的 安全等级评分，O表示信息系统的运行维护等级评分、A_cp表示信息系统p对应的机密性评分， A_cj表示漏洞所属资产的机密性评分，A_ip表示信息系统p对应的完整性评分，A_ij表示漏洞所 属资产的完整性评分，A_ap表示信息系统p对应的可用性评分，A_aj表示漏洞所属资产的可用 性评分。

所述信息系统安全性能的评估方法还包括如下步骤：

S6.以100分为满分，采用下式对步骤S4得到的信息系统漏洞的安全风险值进行转 换计算：

Sec＝100-X×R

式中Sec为转换后的信息系统安全性能值，X为安全系数，用于将R值转换到0～100 之间，R为信息系统所有漏洞的安全风险值；

S7.根据步骤S6得到的计算结果评定信息系统安全等级：

1)若Sec≥90，则信息系统安全等级为优；

2)若80≤Sec<0，则信息系统安全等级为良好；

3)若60≤Sec<80，则信息系统安全等级为中等；

4)若40≤Sec<60，则信息系统安全等级为较差；

5)若Sec<40，则信息系统安全等级为差。

步骤S1所述的信息系统如表1所示：

表1信息系统

步骤S2所述的资产分类如表2所示：

表2信息系统下属的资产分类

技术类资产 运行维护类资产 管理类资产 主机和操作系统安全 防火墙策略 安全方针 数据库安全 数据备份与存储策略 信息安全公司机构 中间件安全 系统运行管理 人员安全管理 web应用 物理环境安全 信息化建设中的安全管理 数据存储 业务连续性安全 信息安全等级保护 网络安全 信息安全评估管理 安全设备 信息安全宣传与培训 信息安全监督与考核 符合性管理

步骤S3所述的检查，为信息安全检查。

步骤S1所述的安全等级共分为5级，信息系统越重要，信息系统对应的安全等级越 高。

步骤S1所述的运行维护等级共分为5级，信息系统越重要，信息系统对应的运行维 护等级越高。

步骤S3所述的对漏洞进行脆弱性评分，为采用表4对漏洞进行脆弱性评分：

表4漏洞脆弱性评分表

漏洞级别 漏洞评分 严重 5 高 4 3 -->中 3 低 2 信息 1

本发明提供的信息系统安全性能的评估方法，从信息系统的安全角度出发，对信 息系统进行分级和评分，创新性的对信息系统下属的资产进行分级和评分，同时对信息系 统的漏洞评分，同时根据评分结果对信息系统的安全新型进行定量化计算和评估；本发明 方法通过实时检测并获取信息系统的安全漏洞，同时针对检测到的安全漏洞进行评分，能 够实时直观反应信息系统的安全性，采用定量计算的方法对信息系统进行评估，评估结果 直观可靠，计算方法简单科学。

附图说明

图1为本发明的方法流程图。

具体实施方式

如图1所示，为本发明的方法流程图：本发明提供的信息系统安全性能的评估方 法，包括如下步骤：

S1.根据信息系统的重要程度对信息系统的安全等级、运行维护等级、机密性、完 整性和可用性进行分级评分；

所述的信息系统和信息系统的分级评分，如表1所示：

表1信息系统分类表

S2.对信息系统下属的资产的重要程度，对资产进行分类，并对资产的机密性、完 整性和可用性进行分级评分；

表2信息系统下属资产的分类及机密性、完整性和可用性评分表

S3.对信息系统进行信息安全检查，并发现信息系统存在的漏洞；

S4.对步骤S3得到的漏洞，获取漏洞所属的资产类别，并根据漏洞的严重程度对漏 洞进行脆弱性评分；

所述的对漏洞进行脆弱性评分，如表3所示

表3漏洞脆弱性评分表

漏洞级别 漏洞评分 严重 5 高 4 中 3 低 2 信息 1

S5.利用如下算式计算信息系统所有漏洞的安全风险值，从而对信息系统安全性 能进行评估：

$R=\frac{L}{\Sigma l}\times \underset{j=1}{\overset{n}{\Sigma }}{V}_j\times L\times O\times (A_{cp}\times A_{cj}+A_{ip}\times A_{ij}+A_{ap}\times A_{aj})$

式中R表示信息系统所有漏洞的安全风险值，R值越大表示信息系统的安全风险越 大；∑l表示所有安全等级的评分总和，V_j表示第j个漏洞的脆弱性评分，L表示信息系统的 安全等级评分，O表示信息系统的运行维护等级评分、A_cp表示信息系统p对应的机密性评分， A_cj表示漏洞所属资产的机密性评分，A_ip表示信息系统p对应的完整性评分，A_ij表示漏洞所 属资产的完整性评分，A_ap表示信息系统p对应的可用性评分，A_aj表示漏洞所属资产的可用 性评分。

S6.以100分为满分，采用下式对步骤S5得到的信息系统漏洞的安全风险值进行转 换计算，从而得到信息系统安全性评分：

Sec＝100-X×R

式中Sec为信息系统安全性评分，X为安全系数且取值为0.05，目的是将R值转换到 0～100之间，R为信息系统所有漏洞的安全风险值；

S7.根据步骤S6得到的信息系统安全性评分，评定信息系统安全等级：

1)若Sec≥90，则信息系统安全等级为优；

2)若80≤Sec<90，则信息系统安全等级为良好；

3)若60≤Sec<80，则信息系统安全等级为中等；

4)若40≤Sec<60，则信息系统安全等级为较差；

5)若Sec<40，则信息系统安全等级为差。

以下结合一个具体实施例对本发明的信息系统安全性能的评估方法进行进一步 说明：

针对某信息系统进行全面的信息安全检查后发现，信息系统存在如下漏洞信息：

表4信息系统漏洞列表

序号 系统名称 漏洞名称 漏洞级别 漏洞名称 1 协同办公 主机和操作系统安全漏洞 高 example1 2 协同办公 业务连续性安全漏洞 中 example2 3 协同办公 中间件安全漏洞 高 example3 4 协同办公 web应用漏洞 高 example4 5 协同办公 数据存储漏洞 中 example5

针对以上的漏洞，依据表1～表3利用步骤S5的计算公式对该信息系统进行安全性 计算：

$\left(\begin{array}{c}R=\frac{L}{\Sigma l}\times \underset{j=1}{\overset{n}{\Sigma }}{V}_j\times L\times O\times \left(A_{cp}\times A_{cj}+A_{ip}\times A_{ij}+A_{ap}\times A_{aj}\right)\\ \begin{array}{c}=\frac{2}{1+2+3+4+5}\times [4\times 2\times 3\times \left(3\times 4+2\times 3+4\times 4\right)\\ +3\times 2\times 3\times \left(2\times 4+3\times 3+4\times 4\right)\\ +4\times 2\times 3\times \left(3\times 4+4\times 3+4\times 4\right)\\ +4\times 2\times 3\times \left(4\times 4+4\times 3+4\times 4\right)\\ +3\times 2\times 3\times \left(4\times 4+4\times 3+4\times 4\right)]\end{array}\\ =552.8\end{array}\right)$

然后利用算是Sec＝100-X×R得到Sec的值为72.36，因此该信息系统的安全等级 为中。