公开/公告号CN105635112A
专利类型发明专利
公开/公告日2016-06-01
原文格式PDF
申请/专利号CN201510958750.4
申请日2015-12-18
分类号H04L29/06(20060101);H04L12/24(20060101);
代理机构43001 长沙永星专利商标事务所;
代理人周咏;米中业
地址 100031 北京市西城区西长安街86号
入库时间 2023-12-18 15:33:46
法律状态公告日
法律状态信息
法律状态
2019-03-15
授权
授权
2016-06-29
实质审查的生效 IPC(主分类):H04L29/06 申请日:20151218
实质审查的生效
2016-06-01
公开
公开
技术领域
本发明具体涉及一种信息系统安全性能的评估方法。
背景技术
随着国家经济的发展和人民生活水平的日益提高,数据信息已经深入千家万户, 现在人们的衣食住行等均离不开数据信息。数据时代和信息时代的到来,极大地方便了人 们的生活。
信息系统是由计算机硬件、网络、通讯设备、计算机软件、信息资源、用户和一定的 协议组成的以处理信息流为目的的人机一体化系统。信息系统的安全直接关系到数据信息 的安全和信息系统的运行安全。
目前,信息系统的安全评估方法多为针对特定的信息环境进行静态评估,该类方 法无法实时掌握信息系统的信息以及信息系统所处环境所面临的风险。此外,已有的安全 部评估方法主要针对信息资产以及信息系统的总体安全环境,其关注的重点为信息系统的 总体风险,无法针对某个单独的信息系统对象或元素进行风险评估。同时,现有评估方法的 评估结果较为抽象,无法直观的反应信息系统及其各组成部分所面临的风险大小。
发明内容
本发明的目的在于提供一种能够实时直观反应信息系统的安全性的信息系统安 全性能的评估方法。
本发明提供的这种信息系统安全性能的评估方法,包括如下步骤:
S1.根据信息系统的重要程度对信息系统的安全等级、运行维护等级、机密性、完 整性和可用性进行分级评分;
S2.对信息系统下属的资产的重要程度,对资产进行分类,并对资产的机密性、完 整性和可用性进行分级评分;
S3.对信息系统进行检查,并发现信息系统存在的漏洞;
S4.对步骤S3得到的漏洞,获取漏洞所属的资产类别,并根据漏洞的严重程度对漏 洞进行脆弱性评分;
S5.利用如下算式计算信息系统所有漏洞的安全风险值,从而对信息系统安全性 能进行评估:
式中R表示信息系统所有漏洞的安全风险值,R值越大表示信息系统的安全风险越 大;∑l表示所有安全等级的评分总和,Vj表示第j个漏洞的脆弱性评分,L表示信息系统的 安全等级评分,O表示信息系统的运行维护等级评分、Acp表示信息系统p对应的机密性评分, Acj表示漏洞所属资产的机密性评分,Aip表示信息系统p对应的完整性评分,Aij表示漏洞所 属资产的完整性评分,Aap表示信息系统p对应的可用性评分,Aaj表示漏洞所属资产的可用 性评分。
所述信息系统安全性能的评估方法还包括如下步骤:
S6.以100分为满分,采用下式对步骤S4得到的信息系统漏洞的安全风险值进行转 换计算:
Sec=100-X×R
式中Sec为转换后的信息系统安全性能值,X为安全系数,用于将R值转换到0~100 之间,R为信息系统所有漏洞的安全风险值;
S7.根据步骤S6得到的计算结果评定信息系统安全等级:
1)若Sec≥90,则信息系统安全等级为优;
2)若80≤Sec<0,则信息系统安全等级为良好;
3)若60≤Sec<80,则信息系统安全等级为中等;
4)若40≤Sec<60,则信息系统安全等级为较差;
5)若Sec<40,则信息系统安全等级为差。
步骤S1所述的信息系统如表1所示:
表1信息系统
步骤S2所述的资产分类如表2所示:
表2信息系统下属的资产分类
步骤S3所述的检查,为信息安全检查。
步骤S1所述的安全等级共分为5级,信息系统越重要,信息系统对应的安全等级越 高。
步骤S1所述的运行维护等级共分为5级,信息系统越重要,信息系统对应的运行维 护等级越高。
步骤S3所述的对漏洞进行脆弱性评分,为采用表4对漏洞进行脆弱性评分:
表4漏洞脆弱性评分表
本发明提供的信息系统安全性能的评估方法,从信息系统的安全角度出发,对信 息系统进行分级和评分,创新性的对信息系统下属的资产进行分级和评分,同时对信息系 统的漏洞评分,同时根据评分结果对信息系统的安全新型进行定量化计算和评估;本发明 方法通过实时检测并获取信息系统的安全漏洞,同时针对检测到的安全漏洞进行评分,能 够实时直观反应信息系统的安全性,采用定量计算的方法对信息系统进行评估,评估结果 直观可靠,计算方法简单科学。
附图说明
图1为本发明的方法流程图。
具体实施方式
如图1所示,为本发明的方法流程图:本发明提供的信息系统安全性能的评估方 法,包括如下步骤:
S1.根据信息系统的重要程度对信息系统的安全等级、运行维护等级、机密性、完 整性和可用性进行分级评分;
所述的信息系统和信息系统的分级评分,如表1所示:
表1信息系统分类表
S2.对信息系统下属的资产的重要程度,对资产进行分类,并对资产的机密性、完 整性和可用性进行分级评分;
表2信息系统下属资产的分类及机密性、完整性和可用性评分表
S3.对信息系统进行信息安全检查,并发现信息系统存在的漏洞;
S4.对步骤S3得到的漏洞,获取漏洞所属的资产类别,并根据漏洞的严重程度对漏 洞进行脆弱性评分;
所述的对漏洞进行脆弱性评分,如表3所示
表3漏洞脆弱性评分表
S5.利用如下算式计算信息系统所有漏洞的安全风险值,从而对信息系统安全性 能进行评估:
式中R表示信息系统所有漏洞的安全风险值,R值越大表示信息系统的安全风险越 大;∑l表示所有安全等级的评分总和,Vj表示第j个漏洞的脆弱性评分,L表示信息系统的 安全等级评分,O表示信息系统的运行维护等级评分、Acp表示信息系统p对应的机密性评分, Acj表示漏洞所属资产的机密性评分,Aip表示信息系统p对应的完整性评分,Aij表示漏洞所 属资产的完整性评分,Aap表示信息系统p对应的可用性评分,Aaj表示漏洞所属资产的可用 性评分。
S6.以100分为满分,采用下式对步骤S5得到的信息系统漏洞的安全风险值进行转 换计算,从而得到信息系统安全性评分:
Sec=100-X×R
式中Sec为信息系统安全性评分,X为安全系数且取值为0.05,目的是将R值转换到 0~100之间,R为信息系统所有漏洞的安全风险值;
S7.根据步骤S6得到的信息系统安全性评分,评定信息系统安全等级:
1)若Sec≥90,则信息系统安全等级为优;
2)若80≤Sec<90,则信息系统安全等级为良好;
3)若60≤Sec<80,则信息系统安全等级为中等;
4)若40≤Sec<60,则信息系统安全等级为较差;
5)若Sec<40,则信息系统安全等级为差。
以下结合一个具体实施例对本发明的信息系统安全性能的评估方法进行进一步 说明:
针对某信息系统进行全面的信息安全检查后发现,信息系统存在如下漏洞信息:
表4信息系统漏洞列表
针对以上的漏洞,依据表1~表3利用步骤S5的计算公式对该信息系统进行安全性 计算:
然后利用算是Sec=100-X×R得到Sec的值为72.36,因此该信息系统的安全等级 为中。
机译: 评估安全性能评估方法,评估安全性能评估程序,记录用该程序记录的介质,设计,建造,计算过程图或评估安全性能评估评估表
机译: 疏散安全性能评估方法,疏散安全性能评估系统和计划
机译: 评估安全性能评估方法,评估安全性能评估系统和程序