信息安全态势分析方法与系统的制作方法

信息安全态势分析方法与系统的制作方法
【专利摘要】本发明提供了一种信息安全态势分析方法和系统。涉及网络与信息安全【技术领域】；解决了有效进行信息安全管理的问题。该方法包括：根据KPI方法确定一级、二级和三级关键评价指标；根据AHP方法确定所述一级、二级和三级关键评价指标中各关键评价指标的权重；根据所述一级、二级和三级关键评价指标和各关键评价指标的权重，构建关键评价指标体系；采集数据，根据所述关键评价指标体系，分析信息安全态势。本发明提供的技术方案适用于网络信息安全，实现了对信息安全信息的分析管理。
【专利说明】信息安全态势分析方法与系统
【技术领域】
[0001]本发明涉及网络与信息安全【技术领域】，具体涉及在TCP/IP网络中的一种信息安全态势分析方法与系统。
【背景技术】
[0002]目前，随着Internet和网络应用的快速发展，网络逐渐成为人们在工作、生活和学习中不可缺少的一部分，同时，由于网络安全问题变得日趋严重，人们对网络中信息的安全性需求越来越迫切和强烈。当前，在信息安全市场上，防火墙、入侵检测和防病毒等信息安全产品虽然能够提供一定的信息安全保障，但并没有给人们带来对信息安全效能的信心，为了解决人们关心的信息安全的两个问题:信息系统是否安全？信息系统的安全程度是多少？
[0003]为了有效进行信息安全管理，人们提出了信息安全度量，安全度量通过持续收集被测对象在一段时间内的安全效能，根据评价指标体系进行分析与评价，以验证已实施的安全策略与安全目标的一致程度、所能达到的安全效能级别，并采取相关措施对信息安全进行持续改进。

【发明内容】

[0004]本发明提供了一种信息安全态势分析方法和系统，解决了有效进行信息安全管理的问题。
[0005]一种信息安全态势分析方法，包括:
[0006]根据关键绩效指标方法(KPI方法)确定一级、二级和三级关键评价指标；
[0007]根据层次分析方法(AHP方法)确定所述一级、二级和三级关键评价指标中各关键评价指标的权重；
[0008]根据所述一级、二级和三级关键评价指标和各关键评价指标的权重，构建关键评价指标体系；
[0009]采集数据，根据所述关键评价指标体系，分析信息安全态势。
[0010]优选的，所述根据KPI方法确定一级、二级和三级关键评价指标包括:
[0011]按照KPI方法选取总安全态势指标作为一级关键评价指标；
[0012]分解所述总安全态势指标，选取网络安全态势指标、主机安全态势指标、终端安全态势指标、应用安全态势指标与数据安全态势指标作为二级关键评价指标；
[0013]分解所述的二级关键评价指标，获取三级关键评价指标；
[0014]根据KPI方法分别审核所述一级、二级和三级关键评价指标；
[0015]在需要对所述一级、二级和三级关键评价指标进行修正时进行修正，在不需要对进行修正时输出所述一级、二级和三级关键评价指标。
[0016]优选的，所述分解所述的二级关键评价指标，获取三级关键评价指标包括:
[0017]选取所述网络安全态势指标的以下子关键评价指标作为三级关键评价指标:[0018]网络设备安全监控覆盖率、网络设备安全基线符合率、网络设备高风险漏洞检出率、互联网出口攻击阻断率；和，
[0019]选取所述主机安全态势指标的以下子关键评价指标作为三级关键评价指标:
[0020]主机安全监控覆盖率、主机防病毒软件安装率、主机病毒库更新率、主机病毒无法清除率、主机高风险漏洞检出率、主机开放服务端口漏洞检出率、主机木马后门活动检出率；和，
[0021]选取所述终端安全态势指标的以下子关键评价指标作为三级关键评价指标:
[0022]终端管理软件安装率、终端非法接入指标、终端防病毒软件安装率、终端病毒库更新率、终J而病毒无法清除率、终J而补丁更新达标率、终J而木马后丨]活动检出率；和，
[0023]选取所述应用安全态势指标的以下子关键评价指标作为三级关键评价指标:
[0024]公钥基础设施(PKI)系统注册率、电子文档加密软件安装率；和
[0025]选取所述数据安全态势指标的违规内容检出率这一子关键评价指标作为三级关键评价指标。
[0026]优选的，所述一级关键评价指标与二级关键评价指标的信息包括:指标名称、指标描述、计量单位、度量频度、指标权重、指标数值与计算时间。
[0027]优选的，所述根据AHP方法确定所述一级、二级和三级关键评价指标中各关键评价指标的权重包括:
[0028]确定一级关键评价指标总安全态势的权重为100分；
[0029]按照AHP方法比较二级关键评价指标之间的相对重要性，并确定各二级关键评价指标的权重，所述二级关键评价指标的权重如下:
[0030]所述网络安全态势指标的权重为20%，所述主机安全态势指标的权重为30%，所述终端安全态势指标的权重为30%，所述应用安全态势指标的权重为10%，所述数据安全态势指标的权重为10% ；
[0031]按照AHP方法比较三级关键评价指标之间的相对重要性，并确定各三级关键评价指标的权重，所述三级关键评价指标的权重如下:
[0032]所述网络设备安全监控覆盖率的权重为25分，所述网络设备安全基线符合率的权重为25分，所述网络设备高风险漏洞检出率的权重为25分，所述互联网出口攻击阻断率的权重为25分，所述主机安全监控覆盖率的权重为20分，所述主机防病毒软件安装率、主机病毒库更新率、主机病毒无法清除率的权重为10分，所述主机高风险漏洞检出率的权重为15分，所述主机开放服务端口漏洞检出率的权重为10分，所述主机木马后门活动检出率的权重为15分，所述终端管理软件安装率的权重为20分，所述终端非法接入指标的初始权重为10分，所述终端防病毒软件安装率的权重为20分，所述终端病毒库更新率的权重为15分，所述终端病毒无法清除率的权重为10分，所述终端补丁更新达标率的权重为10分，所述终端木马后门活动检出率的权重为15分，所述PKI系统注册率的权重为50分，所述电子文档加密软件安装率的权重为50分，所述违规内容检出率的权重为100分，其中，所述终端非法接入指标值的权重会在出现一次终端非法接入时即减少2直至减为O为止；
[0033]按照AHP依法审核每个一级、二级和三级关键评价指标的权重，在需要修改时进行修正，在不需要对进行修正时输出所述一级、二级和三级关键评价指标权重。
[0034]优选的，所述根据所述一级、二级和三级关键评价指标和各关键评价指标的权重，构建关键评价指标体系包括:
[0035]确定各三级关键评价指标值的计算方法，所述计算方法如下:
[0036]所述网络设备安全监控覆盖率指标的数据来源是安全审计系统设备信息与统一信息库资产信息，度量频度为月或季度或年，度量单位是百分比，其计算方法是在统计指定时间范围内根据以下表达式计算
[0037]
将I ?志发送到安令ΨΙΚ系统的M络设备数量
'个部W络设格数Μ:Χ /0，
[0038]所述网络设备安全基线符合率指标的数据来源是安全配置检查系统与统一信息库资产信息，度量频度为月或季度或年，度量单位是百分比，其计算方法是在统计指定时间范围内根据以下表达式计算
[0039]
符介安个基线要求__络设备数a ιηΛ0/
令部M络设备数量Χ.°，
[0040]所述网络设备高风险漏洞检出率指标的数据来源是漏洞扫描系统，度量频度为月或季度或年，度量单位是百分比，其计算方法是在统计指定时间范围内根据以下表达式计算
[0041]
被ft出存在Λ缓或中高缓漏調_W鋳设备數
^涵丽涵涵^ /?’
[0042]所述互联网出口攻击阻断率指标的数据来源是部署在互联网出口的安全防护设备的网络日志，度量频度为月或季度或年，度量单位是百分比，其计算方法是在统计指定时间范围内，根据源地址为公网IP的攻击入侵类以及信息刺探和恶意代码类安全事件的累计次数按照以下表达式计算
[0043]
令部累i丨_次数—欠?!Β>祈JPiiI,成功粱?丨.次数，
-χ 00% ,
个部尜〖H欠数+
[0044]所述主机安全监控覆盖率指标的数据来源是安全审计系统设备信息与统一信息库资产信息，度量频度为月或季度或年，度量单位是百分比，其计算方法是在统计指定时间范围内按照以下表达式计算
[0045]
将丨j志发送到安全系统的+:机数.M 1ΛΛ0/






X I \J\J /0 H
全部屮机数量
[0046]所述主机防病毒软件安装率指标的数据来源是网络防病毒系统与统一信息库资产信息，度量频度为月或季度或年，度量单位是百分比，其计算方法是在统计指定时间范围内按照以下表达式计算
[0047]
證χ ιοο%，

个部ι.:机数M
[0048]所述Windows主机病毒无法清除率指标的数据来源是网络防病毒系统，度量频度为月或季度或年，度量单位是百分比，其计算方法是在统计指定时间范围内按照以下表达式计算
[0049]
【权利要求】
1.一种信息安全态势分析方法,其特征在于,包括: 根据关键绩效指标方法(KPI方法)确定一级、二级和三级关键评价指标； 根据层次分析方法(AHP方法)确定所述一级、二级和三级关键评价指标中各关键评价指标的权重； 根据所述一级、二级和三级关键评价指标和各关键评价指标的权重，构建关键评价指标体系； 采集数据，根据所述关键评价指标体系，分析信息安全态势。
2.根据权利要求1所述的信息安全态势分析方法，其特征在于，所述根据KPI方法确定一级、二级和三级关键评价指标包括: 按照KPI方法选取总安全态势指标作为一级关键评价指标； 分解所述总安全态势指标，选取网络安全态势指标、主机安全态势指标、终端安全态势指标、应用安全态势指标与数据安全态势指标作为二级关键评价指标； 分解所述的二级关键评价指标，获取三级关键评价指标； 根据KPI方法分别审核所述一级、二级和三级关键评价指标； 在需要对所述一级、二级和三级关键评价指标进行修正时进行修正，在不需要对进行修正时输出所述一级、二级和三级关键评价指标。
3.根据权利要求2所述的信息安全态势分析方法，其特征在于，所述分解所述的二级关键评价指标，获取二级关键评价指标包括: 选取所述网络安全态势指标的以下子关键评价指标作为三级关键评价指标: 网络设备安全监控覆盖率、网络设备安全基线符合率、网络设备高风险漏洞检出率、互联网出口攻击阻断率；和， 选取所述主机安全态势指标的以下子关键评价指标作为三级关键评价指标: 主机安全监控覆盖率、主机防病毒软件安装率、主机病毒库更新率、主机病毒无法清除率、主机高风险漏洞检出率、主机开放服务端口漏洞检出率、主机木马后门活动检出率；和，选取所述终端安全态势指标的以下子关键评价指标作为三级关键评价指标: 终端管理软件安装率、终端非法接入指标、终端防病毒软件安装率、终端病毒库更新率、终％5病毒无法清除率、终补丁更新达标率、终％5木马后丨]活动检出率；和， 选取所述应用安全态势指标的以下子关键评价指标作为三级关键评价指标: 公钥基础设施(PKI)系统注册率、电子文档加密软件安装率；和选取所述数据安全态势指标的违规内容检出率这一子关键评价指标作为三级关键评价指标。
4.根据权利要求3所述的信息安全态势分析方法，其特征在于，所述一级关键评价指标与二级关键评价指标的信息包括:指标名称、指标描述、计量单位、度量频度、指标权重、指标数值与计算时间。
5.根据权利要求2所述的信息安全态势分析方法，其特征在于，所述根据AHP方法确定所述一级、二级和三级关键评价指标中各关键评价指标的权重包括: 确定一级关键评价指标总安全态势的权重为100分； 按照AHP方法比较二级关键评价指标之间的相对重要性，并确定各二级关键评价指标的权重，所述二级关键评价指标的权重如下:所述网络安全态势指标的权重为20%，所述主机安全态势指标的权重为30%，所述终端安全态势指标的权重为30%，所述应用安全态势指标的权重为10%，所述数据安全态势指标的权重为10% ； 按照AHP方法比较三级关键评价指标之间的相对重要性，并确定各三级关键评价指标的权重，所述三级关键评价指标的权重如下: 所述网络设备安全监控覆盖率的权重为25分，所述网络设备安全基线符合率的权重为25分，所述网络设备高风险漏洞检出率的权重为25分，所述互联网出口攻击阻断率的权重为25分，所述主机安全监控覆盖率的权重为20分，所述主机防病毒软件安装率、主机病毒库更新率、主机病毒无法清除率的权重为10分，所述主机高风险漏洞检出率的权重为15分，所述主机开放服务端口漏洞检出率的权重为10分，所述主机木马后门活动检出率的权重为15分,所述终端管理软件安装率的权重为20分,所述终端非法接入指标的初始权重为10分，所述终端防病毒软件安装率的权重为20分，所述终端病毒库更新率的权重为15分，所述终端病毒无法清除率的权重为10分，所述终端补丁更新达标率的权重为10分，所述终端木马后门活动检出率的权重为15分，所述PKI系统注册率的权重为50分，所述电子文档加密软件安装率的权重为50分，所述违规内容检出率的权重为100分，其中，所述终端非法接入指标值的权重会在出现一次终端非法接入时即减少2直至减为O为止； 按照AHP依法审核每个 一级、二级和三级关键评价指标的权重，在需要修改时进行修正，在不需要对进行修正时输出所述一级、二级和三级关键评价指标权重。
6.根据权利要求5所述的息安全态势分析方法，其特征在于，所述根据所述一级、二级和二级关键评价指标和各关键评价指标的权重，构建关键评价指标体系包括: 确定各三级关键评价指标值的计算方法，所述计算方法如下: 所述网络设备安全监控覆盖率指标的数据来源是安全审计系统设备信息与统一信息库资产信息，度量频度为月或季度或年，度量单位是百分比，其计算方法是在统计指定时间范围内根据以下表达式计算
将日志发送到安令审汁系统的M络设备数......................................个部网_路__设茶数泣...............................0， 所述网络设备安全基线符合率指标的数据来源是安全配置检查系统与统一信息库资产信息，度量频度为月或季度或年，度量单位是百分比，其计算方法是在统计指定时间范围内根据以下表达式计算符介安个基线耍求_网络设备数S、,1Λ/?η/
全部M络设备数量 所述网络设备高风险漏洞检出率指标的数据来源是漏洞扫描系统，度量频度为月或季度或年，度量单位是百分比，其计算方法是在统计指定时间范围内根据以下表达式计算被检出存在高级或中f5级漏洞的M络设备数1:--命部隨職数麗-X100% ’ 所述互联网出口攻击阻断率指标的数据来源是部署在互联网出口的安全防护设备的网络日志，度量频度为月或季度或年，度量单位是百分比，其计算方法是在统计指定时间范围内，根据源地址为公网IP的攻击入侵类以及信息刺探和恶意代码类安全事件的累计次数按照以下表达式计算
7.根据权利要求1所述的信息安全态势分析方法，其特征在于，所述采集数据，根据所述关键评价指标体系，分析信息安全态势的步骤之后，还包括: 通过外部显示设备输出分析信息安全态势的结果。
8.一种信息安全态势分析系统，其特征在于，包括: 指标选取模块，用于根据KPI方法确定一级、二级和三级关键评价指标； 权重计算模块，用于根据AHP方法确定所述一级、二级和三级关键评价指标中各关键评价指标的权重； 体系管理模块，用于根据所述一级、二级和三级关键评价指标和各关键评价指标的权重，构建关键评价指标体系； 分析评价模块，用于采集数据，根据所述体系管理模块构造的关键评价指标体系，分析信息安全态势。
9.根据权利要求8所述的信息安全态势分析系统，其特征在于，该系统还包括: 安全态势展示模块，用于输出分析信息安全态势的结果。
【文档编号】H04L12/24GK103581155SQ201210282254
【公开日】2014年2月12日 申请日期:2012年8月8日 优先权日:2012年8月8日
【发明者】邹庆, 刘毅, 陈曦, 樊凯, 王玮, 白雪, 王皓然 申请人:贵州电网公司信息通信分公司