信息系统安全性能的评估方法
【技术领域】
[0001 ]本发明具体设及一种信息系统安全性能的评估方法。
【背景技术】
[0002] 随着国家经济的发展和人民生活水平的日益提高,数据信息已经深入千家万户, 现在人们的衣食住行等均离不开数据信息。数据时代和信息时代的到来,极大地方便了人 们的生活。
[0003] 信息系统是由计算机硬件、网络、通讯设备、计算机软件、信息资源、用户和一定的 协议组成的W处理信息流为目的的人机一体化系统。信息系统的安全直接关系到数据信息 的安全和信息系统的运行安全。
[0004] 目前,信息系统的安全评估方法多为针对特定的信息环境进行静态评估,该类方 法无法实时掌握信息系统的信息W及信息系统所处环境所面临的风险。此外,已有的安全 部评估方法主要针对信息资产W及信息系统的总体安全环境,其关注的重点为信息系统的 总体风险,无法针对某个单独的信息系统对象或元素进行风险评估。同时,现有评估方法的 评估结果较为抽象,无法直观的反应信息系统及其各组成部分所面临的风险大小。
【发明内容】
[0005] 本发明的目的在于提供一种能够实时直观反应信息系统的安全性的信息系统安 全性能的评估方法。
[0006] 本发明提供的运种信息系统安全性能的评估方法,包括如下步骤:
[0007] SI.根据信息系统的重要程度对信息系统的安全等级、运行维护等级、机密性、完 整性和可用性进行分级评分;
[000引S2.对信息系统下属的资产的重要程度,对资产进行分类,并对资产的机密性、完 整性和可用性进行分级评分;
[0009] S3.对信息系统进行检查,并发现信息系统存在的漏桐;
[0010] S4.对步骤S3得到的漏桐,获取漏桐所属的资产类别,并根据漏桐的严重程度对漏 桐进行脆弱性评分;
[0011] S5.利用如下算式计算信息系统所有漏桐的安全风险值,从而对信息系统安全性 能进行评估:
[0013]式中R表示信息系统所有漏桐的安全风险值,R值越大表示信息系统的安全风险越 大;21表示所有安全等级的评分总和,Vj表示第j个漏桐的脆弱性评分,L表示信息系统的 安全等级评分,0表示信息系统的运行维护等级评分、Aep表示信息系统P对应的机密性评分, A。康示漏桐所属资产的机密性评分,Aip表示信息系统P对应的完整性评分,Al康示漏桐所 属资产的完整性评分,Aap表示信息系统P对应的可用性评分,Aa康示漏桐所属资产的可用 性评分。
[0014] 所述信息系统安全性能的评估方法还包括如下步骤:
[0015] S6. Wioo分为满分,采用下式对步骤S4得到的信息系统漏桐的安全风险值进行转 换计算:
[0016] Sec = IOO-XXR
[0017] 式中Sec为转换后的信息系统安全性能值,X为安全系数,用于将R值转换到0~100 之间,R为信息系统所有漏桐的安全风险值;
[0018] S7.根据步骤S6得到的计算结果评定信息系统安全等级:
[0019] 1)若Sec > 90,则信息系统安全等级为优;
[0020] 2)若80 < Se^O,则信息系统安全等级为良好;
[0021] 3)若60 < Se^SO,则信息系统安全等级为中等;
[0022] 4)若40 < Se^eo,则信息系统安全等级为较差;
[0023] 5)若Se^40,则信息系统安全等级为差。
[0024] 步骤Sl所述的信息系统如表1所示:
[0025] 表1信息系统
[0028] 步骤S2所述的资产分类如表2所示:
[0029] 表2信息系统下属的资产分类
[0031] 步骤S3所述的检查,为信息安全检查。
[0032] 步骤Sl所述的安全等级共分为5级,信息系统越重要,信息系统对应的安全等级越 局。
[0033] 步骤Sl所述的运行维护等级共分为5级,信息系统越重要,信息系统对应的运行维 护等级越高。
[0034] 步骤S3所述的对漏桐进行脆弱性评分,为采用表4对漏桐进行脆弱性评分:
[0035] 表4漏桐脆弱性评分表
[0037] 本发明提供的信息系统安全性能的评估方法,从信息系统的安全角度出发,对信 息系统进行分级和评分,创新性的对信息系统下属的资产进行分级和评分,同时对信息系 统的漏桐评分,同时根据评分结果对信息系统的安全新型进行定量化计算和评估;本发明 方法通过实时检测并获取信息系统的安全漏桐,同时针对检测到的安全漏桐进行评分,能 够实时直观反应信息系统的安全性,采用定量计算的方法对信息系统进行评估,评估结果 直观可靠,计算方法简单科学。
【附图说明】
[0038] 图1为本发明的方法流程图。
【具体实施方式】
[0039] 如图1所示,为本发明的方法流程图:本发明提供的信息系统安全性能的评估方 法,包括如下步骤:
[0040] SI.根据信息系统的重要程度对信息系统的安全等级、运行维护等级、机密性、完 整性和可用性进行分级评分;
[0041] 所述的信息系统和信息系统的分级评分,如表1所示:
[0042] 表1信息系统分类表
[0045] S2.对信息系统下属的资产的重要程度,对资产进行分类,并对资产的机密性、完 整性和可用性进行分级评分;
[0046] 表2信息系统下属资产的分类及机密性、完整性和可用性评分表
[0049] S3.对信息系统进行信息安全检查,并发现信息系统存在的漏桐;
[0050] S4.对步骤S3得到的漏桐,获取漏桐所属的资产类别,并根据漏桐的严重程度对漏 桐进行脆弱性评分;
[0051 ]所述的对漏桐进行脆弱性评分,如表3所示 [0052]表3漏桐脆弱性评分表
[0054] S5.利用如下算式计算信息系统所有漏桐的安全风险值,从而对信息系统安