信息系统安全等级测评方法和系统与流程

本发明实施例涉及通信技术领域，特别涉及一种信息系统安全等级测评方法和系统。

背景技术：

信息系统安全等级测评(简称“等级测评”)是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力。

如图1所示，等级测评涉及以下内容：

测评项，等级测评的具体要求，每个要求具体对应一种或多种实现措施；测评方法，等级测评的具体实现形式，如访谈、检查、测试等；测评对象，等级测评所针对的对象，如人员、文档、机制、设备等；测评实施，等级测评的具体执行内容，针对待测评对象，采用合适的测评方法对其进行具体操作的过程；结果判定，根据测试实施后的结果判断测评项是否符合相应要求。

如图2所示，传统的等级测评是人工测评，即对等级保护安全建设后的信息系统中的各测评项，采用对应的测评方法(人工访谈、检查、测试等)对测评对象实施测评，并进行结果判定。如果通过测评，则可继续进行后续的等级化系统的系统运行维护过程；如果未通过测评，则需要对原信息系统进行整改，然后对整改后的信息系统继续进行等级测评直至其能够通过测评，满足相应的安全保护等级。

发明人在实现本发明的过程中，发现现有技术存在如下缺陷：传统的等级测评需耗费大量人工和时间成本，测评效率低。

技术实现要素：

本发明实施例提供一种信息系统安全等级测评方法和系统，基于指标规则库，进行智能数据分析，从而使等级测评变得更加智能自动化，以节约等级测评的人工和时间成本。

为达到上述目的，本发明实施例提供了一种信息系统安全等级测评方法，包括：采集用于信息系统安全等级测评的实现措施信息；将所述实现措施信息在指标规则库中进行检索匹配，以确定所述信息系统对应的实现措施信息中是否包含标准实现措施，所述指标规则库中存储有多个安全等级和多个标准实现措施的信息，其中，每个所述安全等级与至少一种所述标准实现措施之间存在映射关系；如果所述信息系统对应的实现措施信息中包含至少一种所述标准实现措施，则将所述标准实现措施对应的安全等级确定为所述信息系统的安全等级。

本发明实施例提供了一种信息系统安全等级测评系统，包括：信息采集模块，用于采集用于信息系统安全等级测评的实现措施信息；检索匹配模块，用于将所述实现措施信息在指标规则库中进行检索匹配，以确定所述信息系统对应的实现措施信息中是否包含标准实现措施，所述指标规则库中存储有多个安全等级和多个标准实现措施的信息，其中，每个所述安全等级与至少一种所述标准实现措施之间存在映射关系；等级确定模块，用于如果所述信息系统对应的实现措施信息中包含至少一种所述标准实现措施，则将所述标准实现措施对应的安全等级确定为所述信息系统的安全等级。

本发明实施例的信息系统安全等级测评方法和系统，将采集的实现措施信息在指标规则库中进行检索匹配，以确定所述信息系统对应的实现措施信息中是否包含标准实现措施，进而确定信息系统的安全等级，使等级测评变得更加智能自动化，以节约等级测评的人工和时间成本。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

图1为针对信息系统进行等级测评所涉及的相关内容框架图；

图2为现有技术中信息系统的传统等级测评方法流程图；

图3为本发明实施例提供的信息系统等级测评方法流程图一；

图4为本发明实施例提供的信息系统等级测评方法流程图二；

图5为本发明实施例提供的信息系统等级测评方法流程图三；

图6为本发明实施例提供的信息系统等级测评系统示意图一；

图7为本发明实施例提供的信息系统等级测评系统示意图二。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

实施例一

图3为本发明实施例提供的信息系统等级测评方法流程图一。与图2相比较，本发明实施例在对信息系统进行等级测评时，采用了自动化的等级测评过程，如通过自动化测评工具采集针对信息系统安全等级测评的实现措施信息，然后基于指标规则库的自动化智能云数据分析平台对实现措施信息进行分析判断，确定信息系统的安全等级结果，进而得到信息系统通过测评报告，或未通过整改报告，以方便后续信息系统的建设操作。

图4为本发明实施例提供的信息系统等级测评方法流程图二，该方法基于图3所示方法流程图的思想，对其方法步骤进行具体说明，涉及的执行主体可以为具有数据采集和处理能力的系统，如云服务器。如4所示，该信息系统等级测评方法包括步骤如下：

S410，采集用于信息系统安全等级测评的实现措施信息。

信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力，通常，通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现相应的安全保护能力，而其中所谓的安全控制的具体手段即可视为用于信息系统安全等级测评的实现措施。

在对信息系统安全等级进行测评时，需要尽可能全面的采集能够体现信息系统安全保护能力的实现措施信息。例如，可以通过人工访谈；针对文档、安全机制的检查；设备的测试等方法来获取实现措施信息。实现措施的具体形式可以是文字、视频图像、图片等。

S420，将实现措施信息在指标规则库中进行检索匹配，以确定信息系统对应的实现措施信息中是否包含标准实现措施，指标规则库中存储有多个安全等级和多个标准实现措施的信息；其中，每个安全等级与至少一种标准实现措施之间存在映射关系。

具体地，在对信息系统进行安全等级测评时，每个安全等级都对应有等级测评指标，即等级保护的具体要求。对应于每个具体要求，其具体的实现措施又可以有多种。因此，为实现自动化的等级测评过程，本实施例设置了一个指标规则库，在该指标规则库中存储有多个等级测评指标，每个等级测评指标又对应有至少一个实现措施。通过该指标规则库，可以方便检索每个等级测评指标与其对应的实现措施的对应关系。

例如：三级等级测评指标中关于主机安全要求，是对身份鉴别有如下要求：

“应检查主要服务器操作系统和主要数据库管理系统，查看身份鉴别是否采用两个及两个以上身份鉴别技术的组合来进行身份鉴别；”

针对此要求的实现措施可以有多种，对于已知的实现措施如下：

1、BIOS密码+系统密码

2、U-key+系统密码

3、指纹识别+系统密码

对应的指标规则库中至少存储有：BIOS密码、系统密码、U-key、指纹识别这4种基本实现措施。同时还要存储有上述三种实现措施与三级等级测评指标的对应关系。这三种实现措施中，每种实现措施均可作为关于主机安全要求的三级等级测评指标对应的一种标准实现措施。

将采集的实现措施信息在指标规则库中进行检索匹配，以确定信息系统对应的实现措施信息中是否包含标准实现措施。在进行检索匹配时，可采用以下中的一种，或两种结合的方式进行检索匹配：相似度匹配、正则匹配。

其中，相似度匹配，是通过信息之间的文字、视频图像、图片等信息的相似性来进行匹配；正则匹配，是通过正则表达式的方式进行相似度匹配。

S430，如果信息系统对应的实现措施信息中包含至少一种标准实现措施，则将标准实现措施对应的安全等级确定为信息系统的安全等级。

在指标规则库中，每种安全等级均与至少一种标准实现措施存在映射关系，而每种标准实现措施均可作为相应安全等级的充分条件，即被测评的信息系统只要满足某一安全等级对应的一种标准实现措施，则确定该信息系统满足该安全等级。

本发明实施例的信息系统安全等级测评方法，将采集的用于信息系统安全等级测评的实现措施信息在指标规则库中进行检索匹配，以确定所述信息系统对应的实现措施信息中是否包含标准实现措施，进而确定信息系统的安全等级，使等级测评变得更加智能自动化，以节约等级测评的人工和时间成本。

实施例二

图5为本发明实施例提供的信息系统等级测评方法流程图三，该方法可视为图4所示方法实施例的具体实现方式，具体可通过设置在云端的自动化测评工具及分析平台执行完成。如图5所示，上述信息系统等级测评方法包括步骤如下：

S510，采集用于信息系统安全等级测评的实现措施信息。步骤S510与步骤S410内容相似。

具体地，在云端的自动化测评工具上，可设置针对信息系统测评的数据上传通道。例如可通过访谈软件工具(对话窗口的形式)对如信息系统的管理员进行访谈、和/或通过检查软件工具对信息系统进行检查(提供针对用于等级测评的相关文档、图片、视频数据的上传途径)，和/或通过测试软件工具对信息系统进行测试(提供测试脚本及测试平台进行测试)，以获取针对信息系统安全等级测评的实现措施信息。

S520，获取信息系统欲通过的目标安全等级。

通常，每个信息系统在等级保护安全建设时都会遵循一个目标安全等级，以使建设完成的信息系统能够具有相应的安全等级要求。这也是测评信息系统安全等级的目的。该目标安全等级的信息可通过云端的数据自动化测评工具一并上传至云端的数据分析平台。

S530，将实现措施信息与指标规则库中目标安全等级对应的标准实现措施进行检索匹配，以确定信息系统对应的实现措施信息中是否包含该目标安全等级下的标准实现措施。S530可作为步骤S420的细化步骤。

具体地，云端的数据分析平台根据待测评信息系统所要测评通过的目标安全等级，从指标规则库中调取该目标安全等级对应的标准实现措施的信息，并将其与从自动化测评工具采集的实现措施信息进行匹配，以确定信息系统对应的实现措施信息中是否包含该目标安全等级下的标准实现措施。

S540，如果信息系统对应的实现措施信息中包含至少一种标准实现措施，则将标准实现措施对应的安全等级确定为信息系统的安全等级。步骤S540与S430相似。

具体地，基于步骤S530中，将信息系统的实现措施信息与目标安全等级对应的标准实现措施进行匹配，当采集的实现措施信息包含至少一种该目标安全等级对应的标准实现措施时，则确定信息系统满足目标安全等级的要求，即信息系统通过等级测评。

S550，如果确定信息系统对应的实现措施信息中包含目标安全等级下的标准实现措施，则生成信息系统的通过测评报告；否则，生成信息系统的未通过整改报告。

如果信息系统对应的实现措施信息中包含目标安全等级下的标准实现措施，即信息系统通过目标安全等级的等级测评，则云端分析平台生成信息系统的通过测评报告。该通过测评报告中可记载有目标安全等级的具体要求、对应的标准实现措施，以及本信息系统采取的所有实现措施的信息。

如果信息系统对应的实现措施信息中不包含目标安全等级下的任一种标准实现措施，即信息系统未通过目标安全等级的等级测评，则云端分析平台生成信息系统的未通过整改报告。该未通过整改报告中可记载有被测评目标安全等级的具体要求、对应的标准实现措施，本信息系统采取的所有实现措施的信息，以及该实现措施信息与标准实现措施相比需要整改的实现措施项。

进一步地，在将采集的实现措施信息与指标规则库中的标准实现措施进行匹配后，还可执行步骤S560，即对采集的实现措施信息中的非标准实现措施信息进行提取整合，并作为标准实现措施添加到指标规则库中。

具体地，随着信息技术的发展，越来越多的可提高信息安全等级的技术不断涌现出来，从而使得测评信息系统安全等级的实现措施不断的丰富。为了能够与时俱进，全面的测评信息系统的安全等级，需要对指标规则库中的标准实现措施进行不断的补充和更新。基于这种需要，数据分析平台对自动化测评工具上传的数据，智能识别出指标规则库中不存在的实现措施，并对其提取和整合，筛选出比较好的用于测评安全顶级的实现措施，并添加到指标规则库中，以不断健壮指标规则库。

本发明实施例提供的信息系统安全等级测评方法，在图1所示实施例的基础上，通过自动化测评工具不断采集新的实现措施并添加到指标规则库，使指标规则库不断壮大；同时云端的数据分析平台，依据各待测信息系统所要针对的目标安全等级进行有针对性的安全等级测评，使等级测评不断准确化、自动化、智能化。

实施例三

图6为本发明实施例提供的信息系统安全等级测评系统示意图一，可以用于执行如图4所示的方法步骤。如图6所示，该信息系统安全等级测评系统包括：信息采集模块610、检索匹配模块620和等级确定模块630，其中：

信息采集模块610，用于采集用于信息系统安全等级测评的实现措施信息；检索匹配模块620，用于将实现措施信息在指标规则库中进行检索匹配，以确定信息系统对应的实现措施信息中是否包含标准实现措施，指标规则库中存储有多个安全等级和多个标准实现措施的信息，其中，每个安全等级与至少一种标准实现措施之间存在映射关系；等级确定模块630，用于如果信息系统对应的实现措施信息中包含至少一种标准实现措施，则将标准实现措施对应的安全等级确定为信息系统的安全等级。

本发明实施例的信息系统安全等级测评系统，将采集的用于信息系统安全等级测评的实现措施信息在指标规则库中进行检索匹配，以确定所述信息系统对应的实现措施信息中是否包含标准实现措施，进而确定信息系统的安全等级，使等级测评变得更加智能自动化，以节约等级测评的人工和时间成本。

实施例四

图7为本发明实施例提供的信息系统安全等级测评系统示意图二，可视为图6所示系统实施例的细化结构，并可用于执行如图5所示的方法步骤，如图7所示，在图6所示结构的基础上：

信息采集模块610具体可包括：

访谈软件单元611，用于通过访谈软件工具对管理员进行访谈，以获取实现措施信息；和/或，检查软件单元612，用于通过检查软件工具对信息系统进行检查，以获取实现措施信息；和/或，测试软件单元613，用于通过测试软件工具对信息系统进行测试，以获取实现措施信息。

进一步地，上述将实现措施信息在指标规则库中进行检索匹配的方式包括以下中的至少一种：相似度匹配、正则匹配。

进一步地，上述信息系统安全等级测评系统还包括：安全等级获取模块640，用于获取信息系统欲通过的目标安全等级。

在此基础上，上述检索匹配模块620，具体用于将实现措施信息与指标规则库中目标安全等级对应的标准实现措施进行检索匹配，以确定信息系统对应的实现措施信息中是否包含该目标安全等级下的标准实现措施。

进一步地，上述信息系统安全等级测评系统还包括：报告生成模块650，用于如果确定信息系统对应的实现措施信息中包含目标安全等级下的标准实现措施，则生成信息系统的通过测评报告；否则，生成信息系统的未通过整改报告。

进一步地，上述信息系统安全等级测评系统还包括：措施添加模块660，用于对采集的实现措施信息中的非标准实现措施信息进行提取整合，并作为标准实现措施添加到指标规则库中。

本发明实施例提供的信息系统安全等级测评系统，在图5所示实施例的基础上，通过自动化测评工具不断采集新的实现措施并添加到指标规则库，使指标规则库不断壮大；同时云端的数据分析平台，依据各待测信息系统所要针对的目标安全等级进行有针对性的安全等级测评，使等级测评不断准确化、自动化、智能化。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。