信息系统测评方法、装置、可读存储介质及计算机设备

摘要

一种信息系统测评方法、装置、可读存储介质及计算机设备，该测评方法包括：确定所述信息系统受到破坏时所侵害的客体，以及确定所述客体的受侵害等级；根据所侵害的客体以及所述客体的受侵害等级，确定所述信息系统的当前保护等级；根据所述当前保护等级确定所述信息系统的各个评价指标的参考值；获取所述信息系统中各个所述评价指标的信息，并根据所述信息计算各个所述评价指标的当前评分值；比较各个所述评价指标的当前评分值与所述参考值，并根据比较结果确定所述信息系统是否符合要求。本发明可对信息系统的可快速定级和测评，实现信息系统的等级测评的智能化，降低了等级测评的人工成本和时间成本。

说明书

技术领域

本发明涉及电子技术领域，特别是涉及一种信息系统测评方法、装置、可读存储介质及计算机设备。

背景技术

信息系统安全等级测评是验证信息系统是否满足相应安全当前保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力。

现阶段信息系统的测评大多依赖于专业的测评机构，但是面对信息系统基数不断扩大的趋势，目前的测评机构已无法满足现阶段的测评需求，并且针对以往已测评的信息系统，也会提出变更复测等情况，部分待测评单位需求比较紧急，可能会造成测评机构疲于应付，测评效率的降低并给客户单位造成很多不必要的损失。并且，全权委托测评公司进行测评工作，需要大量的人力和物力，其成本较高，且测评效率低。

发明内容

鉴于上述状况，有必要提供一种信息系统测评方法、装置、可读存储介质及计算机设备，以降低等级测评成本和提高测评效率。

一种信息系统测评方法，包括：

确定所述信息系统受到破坏时所侵害的客体，以及确定所述客体的受侵害等级；

根据所侵害的客体以及所述客体的受侵害等级，确定所述信息系统的当前保护等级；

根据所述当前保护等级确定所述信息系统的各个评价指标的参考值；

获取所述信息系统中各个所述评价指标的信息，并根据所述信息计算各个所述评价指标的当前评分值；

比较各个所述评价指标的当前评分值与所述参考值，并根据比较结果确定所述信息系统是否符合要求。

进一步的，上述信息系统测评方法，其中，所述确定所述信息系统受到破坏时所侵害的客体，以及确定所述客体的受侵害等级的步骤包括：

获取用户导入的数据，并根据预先设置的等保测评策略按照定级、备案阶段要求对所述数据进行清洗、过滤、整合处理，形成满足等级保护测评模块的可定级数据；

根据所述可定级数据确定所述信息系统受到破坏时所侵害的客体，以及确定所述客体的受侵害等级。

进一步的，上述信息系统测评方法，其中，所述根据所侵害的客体以及所述客体的受侵害等级，确定所述信息系统的当前保护等级的步骤包括：

将所侵害的客体以及所述客体的受侵害等级与预设的等保测评策略进行匹配，以确定所述信息系统的当前保护等级，所述等保测评策略包括多个保护等级和每个保护等级对应的客体信息。

进一步的，上述信息系统测评方法，其中，所述评价指标包括系统漏洞指标和系统攻击指标，所述获取所述信息系统中各个所述评价指标的信息的步骤包括：

采用测评工具安全扫描所述信息系统，并根据扫描结果获取所述信息系统的漏洞信息和攻击信息，以得到所述系统漏洞指标和所述系统攻击指标的信息。

进一步的，上述信息系统测评方法，其中，所述攻击信息包括各个安全告警和对应的告警等级，以及攻击次数，所述漏洞信息包括各个安全漏洞和对应的漏洞等级，所述根据所述信息计算各个所述评价指标的当前评分值的步骤包括：

根据每个所述安全告警的告警等级确定对应的第一基数，并根据所述攻击次数确定对应的校正系数；

根据所述第一基数所述校正系数计算每个安全告警的评分，并根据各个安全告警的评分计算所述系统攻击指标的当前评分值；

获取每个安全漏洞的漏洞等级，并根据所述漏洞等级确定对应的第二基数；

根据各个所述漏洞等级对应的第二基数计算系统漏洞指标的当前评分值。

进一步的，上述信息系统测评方法，其中，所述根据比较结果确定所述信息系统是否符合要求的步骤之后还包括：

根据所述比较结果生成所述信息系统的测评报告。

进一步的，上述信息系统测评方法，其中，所述根据比较结果确定所述信息系统是否符合要求的步骤之后还包括：

根据所述比较结果以及所述当前保护等级对应的要求生成所述信息系统的整改建议。

本发明实施例还提供了一种信息系统测评装置，包括：

第一确定模块，用于确定所述信息系统受到破坏时所侵害的客体，以及确定所述客体的受侵害等级；

第二确定模块，用于根据所侵害的客体以及所述客体的受侵害等级，确定所述信息系统的当前保护等级；

第三确定模块，用于根据所述当前保护等级确定所述信息系统的各个评价指标的参考值；

计算模块，用于获取所述信息系统中各个所述评价指标的信息，并根据所述信息计算各个所述评价指标的当前评分值；

比较模块，用于比较各个所述评价指标的当前评分值与所述参考值，并根据比较结果确定所述信息系统是否符合要求。

进一步的，上述信息系统测评装置，其中，所述确定所述信息系统受到破坏时所侵害的客体，以及确定所述客体的受侵害等级的步骤包括：

获取用户导入的数据，并根据预先设置的等保测评策略按照定级、备案阶段要求对所述数据进行清洗、过滤、整合处理，形成满足等级保护测评模块的可定级数据；

根据所述可定级数据确定所述信息系统受到破坏时所侵害的客体，以及确定所述客体的受侵害等级。

进一步的，上述信息系统测评装置，其中，所述根据所侵害的客体以及所述客体的受侵害等级，确定所述信息系统的当前保护等级的步骤包括：

将所侵害的客体以及所述客体的受侵害等级与预设的等保测评策略进行匹配，以确定所述信息系统的当前保护等级，所述等保测评策略包括多个保护等级和每个保护等级对应的客体信息。

进一步的，上述信息系统测评装置，其中，所述评价指标包括系统漏洞指标和系统攻击指标，所述获取所述信息系统中各个所述评价指标的信息的步骤包括：

采用测评工具安全扫描所述信息系统，并根据扫描结果获取所述信息系统的漏洞信息和攻击信息，以得到所述系统漏洞指标和所述系统攻击指标的信息。

进一步的，上述信息系统测评装置，其中，所述攻击信息包括各个安全告警和对应的告警等级，以及攻击次数，所述漏洞信息包括各个安全漏洞和对应的漏洞等级，所述根据所述信息计算各个所述评价指标的当前评分值的步骤包括：

根据每个所述安全告警的告警等级确定对应的第一基数、根据所述攻击次数确定对应的校正系数；

根据所述第一基数和所述校正系数计算每个安全告警的评分，并根据各个安全告警的评分计算所述系统攻击指标的当前评分值；

获取每个安全漏洞的漏洞等级，并根据所述漏洞等级确定对应的第二基数；

根据各个所述漏洞等级对应的第二基数计算系统漏洞指标的当前评分值。

进一步的，上述信息系统测评装置，还包括：

第一生成模块，用于根据所述比较结果生成所述信息系统的测评报告。

进一步的，上述信息系统测评装置，还包括：

第二生成模块，用于根据所述比较结果以及所述当前保护等级对应的要求生成所述信息系统的整改建议。

本发明实施例还提供了一种可读存储介质，其上存储有程序，所述程序被处理器执行时实现上述任一所述的方法。

本发明实施例还提供了一种计算机设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的程序，所述处理器执行所述程序时实现上述任意一项所述的方法。

本发明根据信息系统的受侵害的客体和受侵害客体的受侵害等级来确定该信息系统的当前保护等级，并根据当前保护等级可确定各个测评指标的参考值。比较信息系统的各个测评指标的当前评分值和对应的参考值即可确定该信息系统是否符合当前等级保护的要求。本发明可对信息系统的可快速定级和测评，实现信息系统的等级测评的智能化，降低了等级测评的人工成本和时间成本。同时，可以加强单位内对信息安全等级保护管理要求规范的理解，真正从本单位落实响应等级保护要求。

附图说明

图1为本发明第一实施例中的信息系统测评方法的流程图；

图2为本发明第二实施例中的信息系统测评方法的流程图；

图3为本发明第三实施例中的信息系统测评装置的结构框图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能理解为对本发明的限制。

参照下面的描述和附图，将清楚本发明的实施例的这些和其他方面。在这些描述和附图中，具体公开了本发明的实施例中的一些特定实施方式，来表示实施本发明的实施例的原理的一些方式，但是应当理解，本发明的实施例的范围不受此限制。相反，本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。

请参阅图1，为本发明第一实施例中的信息系统测评方法，包括步骤S11～S15。

步骤S11，确定所述信息系统受到破坏时所侵害的客体，以及确定所述客体的受侵害等级。

该信息系统受到破坏时所侵害的客体和该客体的受侵害等级可根据用户提交的各类数据中获取，依据预先设置的等保测评策略按照定级、备案阶段要求对数据进行清洗、过滤、整合处理，形成满足等级保护测评模块的可定级数据。

信息系统受到破坏时会对社会、企业或公民造成一定影响，该客体即为该信息系统破坏时所侵害的对象。该受侵害的客体包括但不限于国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益中的至少一种。根据被侵害客体的危害后果确定其受侵害等级，一般来说，可将客体的受侵害等级分为三个等级，即一般损害、严重损害和特别严重损害。

具体实施时，可将该信息系统所侵害的客体以及该客体的受侵害等级与等保测评策略进行匹配，以确定所述信息系统的当前保护等级。根据预设的等保测评策略可将该信息系统的保护等级分为5个等级：

第一级为自主保护级，即信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；

第二级为指导保护级，即信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；

第三级为监督保护级，即信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；

第四级为强制保护级，即信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；

第五级为专控保护级，即信息系统受到破坏后，会对国家安全造成特别严重损害。

根据信息系统安全等级划分，不同安全等级的信息系统应用场景不同，具体的，第一级信息系统：一般适用于乡镇所属信息系统、县级某些单位中一般的信息系统、小型私营、个体企业、中小学的信息系统。第二级信息系统：一般适用于县级某些单位中的重要信息系统，地市级以上国家机关、企业、事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。第三级信息系统：一般适用于地市级以上国家机关、重要企事业单位内部重要的信息系统。例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统，重要领域、重要部门跨省、跨市或全国(省)联网运行的用于生产、调度、管理、作业、指挥等方面的重要信息系统，跨省或全国联网运行的重要信息系统在省、地市的分支系统，中央各部委、省(区、市)门户网站和重要网站，跨省联接的网络系统等。第四级信息系统：一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如全国铁路、民航、电力等部门的调度系统，银行、证券、保险、税务、海关等几十个重要行业，部门中的涉及国计民生的核心系统。第五级信息系统：一般适用于国家重要领域、重要部门中的极端重要系统。

步骤S12，根据所侵害的客体以及所述客体的受侵害等级，确定所述信息系统的当前保护等级。

根据所侵害的客体以及客体的受侵害等级，即可确定该信息系统的当前保护等级。例如，所侵害的客体为公民、法人和其他组织的合法权益，该客体所受侵害等级为严重损害时，或所侵害的客体为社会秩序和公共利益，受侵害等级为一般损害时，可确定该信息系统的当前保护等级为指导保护级(第二级)。

进一步的，平台专家可根据定级的特殊场景自定义(增删查改)定级的要求，同时，针对已定级但是有疑问的情况支持定级回退，重新调整定级信息后继续复定级，保证定级的准确性。

步骤S13，根据所述当前保护等级确定所述信息系统的各个评价指标的参考值。

步骤S14，获取所述信息系统中各个所述评价指标的信息，并根据所述信息计算各个所述评价指标的当前评分值。

具体的，评价信息系统的保护等级时，可从物理安全、网络安全、主机安全、应用安全和系统安全四种安全类型判断。本实施例中，可根据各个指标对该信息系统的影响程度的不同，选择影响因素程度最大的两个指标，如选择系统漏洞指标和系统攻击指标作为该信息系统的评价指标。每个保护等级中针对该两个评价指标均设置有对应的参考值，该参考值用户确定该信息系统是否达到等级保护要求。

可以理解的，根据信息系统的用途和保护等级的不同，在本发明的其他实施例中该信息系统的评价指标除了系统漏洞指标和系统攻击指标外，还可以包括其他的指标，如硬件安全指标，或者还可以选择其他的指标作为该信息系统的评价指标，此处不予限定。

具体的，该系统漏洞指标和系统攻击指标可通过测评工具获取。该测评工具例如为基线配置核查工具、漏洞扫描工具或弱口令扫描工具。通过测评工具安全扫描该信息系统，可得到系统漏洞指标的信息和系统攻击指标的信息。该系统漏洞指标的信息包括该信息系统的主机、网络、系统、数据库等的漏洞信息，该系统攻击指标的信息包括该信息系统的主机、网络、系统、数据库等的攻击信息。

该攻击信息包括各个安全告警和对应的告警等级，以及攻击次数和攻击间隔时间。该攻击系统攻击指标的当前评分值的计算步骤包括：

根据每个所述安全告警的告警等级确定对应的第一基数，并根据所述攻击次数确定对应的校正系数；

根据所述第一基数和所述第一系数计算每个安全告警的评分，并进行求和计算得到所述物联网设备的系统攻击指标的当前评分值。

具体的，该告警等级可分为三个等级，即高等级、中等级和低等级。将告警等级作为第一基数，如，高等级的第一基数为10，中等级对应的第一基数为5，低等级对应的第一基数为2。本实施例中针对不同攻击次数的范围设置有对应的校正系数，例如攻击次数小于或等于为1次对应的系数为1，2至5次对应的系数为1.5，6次及以上对应的系数为2。该攻击间隔作为第二系数，例如1周内对应的系数为1，一个月内对应的系数为0.5，一个月以上对应的系数为0.1。

进一步的，该系统攻击指标的当前评分值设置有第一上限值，该第一上限值例如为10，该系统攻击指标的当前评分值的计算公式为：

Score

其中，Score

具体的，该漏洞信息包括各个安全漏洞和对应的漏洞等级。该系统漏洞指标的当前评分值计算步骤包括：

获取每个安全漏洞的漏洞等级，并根据所述漏洞等级确定对应的第二基数；

根据各个所述漏洞等级对应的第二基数计算系统漏洞指标的当前评分值。

该漏洞等级例如可设置为三个等级，每个等级对应一个第二基数，例如高等级对应的第二基数为10，中等级对应的第二基数为5，低等级对应的基数为2。

进一步的，该系统漏洞指标的当前评分值设置有第二上限值，该第二上限值例如为50，该系统漏洞指标的当前评分值计算公式为：

Score

其中，Score

步骤S15，比较各个所述评价指标的当前评分值与所述参考值，并根据比较结果确定所述信息系统是否符合要求。

不同安全等级的信息系统其评价指标的参考值一般设置不同，安全等级越高其参考值设置的越大。

比较该系统漏洞指标的当前评分值和对应的参考值，以及比较该系统攻击指标的当前评分值和对应的参考值，当该系统漏洞指标和系统攻击指标的当前评分值均小于对应的参考值时，说明该信息系统满足该当前安全等级的要求。

本实施例中，根据信息系统的受侵害的客体和受侵害客体的受侵害等级来确定该信息系统的当前保护等级，并根据当前保护等级可确定各个测评指标的参考值。比较信息系统的各个测评指标的当前评分值和对应的参考值即可确定该信息系统是否符合当前等级保护的要求。本实施例可对信息系统的可快速定级和测评，实现信息系统的等级测评的智能化，降低了等级测评的人工成本和时间成本。同时，可以加强单位内对信息安全等级保护管理要求规范的理解，真正从本单位落实响应等级保护要求。

进一步的，如图2所示，在本发明第二实施例中该步骤S15之后还包括：

步骤S16，根据所述比较结果生成所述信息系统的测评报告。

步骤S17，根据所述比较结果以及所述当前保护等级对应的要求生成所述信息系统的整改建议。

本实施例中，通过测评工具，对物理安全、网络安全、主机安全、应用安全、系统安全进行全面的监测扫描，以获得各个评价指标的信息，并对该评价指标信息进行分析形成测评报告，同时新增管理要求入口，支持导入安全管理机构、安全管理制度、人员安全管理、系统运维管理等管理情况，根据获的的数据生成测评报表以及整改建议等。

请参阅图3，为本发明第三实施例中的信息系统测评装置，包括：

第一确定模块10，用于确定所述信息系统受到破坏时所侵害的客体，以及确定所述客体的受侵害等级；

第二确定模块20，用于根据所侵害的客体以及所述客体的受侵害等级，确定所述信息系统的当前保护等级；

第三确定模块30，用于根据所述当前保护等级确定所述信息系统的各个评价指标的参考值；

计算模块40，用于获取所述信息系统中各个所述评价指标的信息，并根据所述信息计算各个所述评价指标的当前评分值；

比较模块50，用于比较各个所述评价指标的当前评分值与所述参考值，并根据比较结果确定所述信息系统是否符合要求。

进一步的，上述信息系统测评装置，其中，所述确定所述信息系统受到破坏时所侵害的客体，以及确定所述客体的受侵害等级的步骤包括：

获取用户导入的数据，并根据预先设置的等保测评策略按照定级、备案阶段要求对所述数据进行清洗、过滤、整合处理，形成满足等级保护测评模块的可定级数据；

根据所述可定级数据确定所述信息系统受到破坏时所侵害的客体，以及确定所述客体的受侵害等级。

进一步的，上述信息系统测评装置，其中，所述根据所侵害的客体以及所述客体的受侵害等级，确定所述信息系统的当前保护等级的步骤包括：

将所侵害的客体以及所述客体的受侵害等级与预设的等保测评策略进行匹配，以确定所述信息系统的当前保护等级，所述等保测评策略包括多个保护等级和每个保护等级对应的客体信息。

进一步的，上述信息系统测评装置，其中，所述评价指标包括系统漏洞指标和系统攻击指标，所述获取所述信息系统中各个所述评价指标的信息的步骤包括：

采用测评工具安全扫描所述信息系统，并根据扫描结果获取所述信息系统的漏洞信息和攻击信息，以得到所述系统漏洞指标和所述系统攻击指标的信息。

进一步的，上述信息系统测评装置，其中，所述攻击信息包括各个安全告警和对应的告警等级，以及攻击次数，所述漏洞信息包括各个安全漏洞和对应的漏洞等级，所述根据所述信息计算各个所述评价指标的当前评分值的步骤包括：

根据每个所述安全告警的告警等级确定对应的第一基数，并根据所述攻击次数确定对应的校正系数；

根据所述第一基数和所述校正系数计算每个安全告警的评分，并根据各个安全告警的评分计算所述系统攻击指标的当前评分值；

获取每个安全漏洞的漏洞等级，并根据所述漏洞等级确定对应的第二基数；

根据各个所述漏洞等级对应的第二基数计算系统漏洞指标的当前评分值。

进一步的，上述信息系统测评装置，还包括：

第一生成模块60，用于根据所述比较结果生成所述信息系统的测评报告。

进一步的，上述信息系统测评装置，还包括：

第二生成模块70，用于根据所述比较结果以及所述当前保护等级对应的要求生成所述信息系统的整改建议。

本发明实施例所提供的信息系统测评装置，其实现原理及产生的技术效果和前述方法实施例相同，为简要描述，装置实施例部分未提及之处，可参考前述方法实施例中相应内容。

本发明还提供了一种可读存储介质，其上存储有程序，其特征在于，所述程序被处理器执行时实现上述任一所述的方法。

本发明还提供了一种计算机设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的程序，其特征在于，所述处理器执行所述程序时实现上述任意一项所述的方法。

在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。

计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(RAM)，只读存储器(ROM)，可擦除可编辑只读存储器(EPROM或闪速存储器)，光纤装置，以及便携式光盘只读存储器(CDROM)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。

应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(PGA)，现场可编程门阵列(FPGA)等。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。