[发明专利]一种基于资产CIA的信息安全事件的定级管理方法和装置

说明书

技术领域

本发明涉及信息安全技术领域，特别是涉及一种基于资产CIA的信息安全事件的定级管理方法和装置。

背景技术

目前，为了应对企业内、外部的安全挑战，企业先后部署了大量的安全系统，但却往往形成各个防御孤岛，使得系统间缺乏协同，由此，各种安全系统产生了大量告警，出现信息过载，造成很多误报和漏报。此外，企业还面临着不断增长的内控和信息系统审计的压力。为了解决上述问题，现在一般采用SIM(Security Information Manager，安全信息管理)技术实现面向全网的安全信息集中管理平台。

SIM是一个面向企业IT(Information Technology，信息技术)计算环境的安全集中管理平台，该平台能够收集来自企业计算环境中的各种设备、应用的安全日志和事件，并进行集中存储、监控、分析、报警、响应和报告，变被动的单点防御为全网的综合防御。在SIM系统中，需要通过对信息安全事件的定级，来明确信息安全事件需要被关注的程度，为企业和组织对信息安全事件的事前准备、事中应对、事后处理提供有效依据。

目前普遍采用基于事件分类映射的方法进行信息安全事件的定级，即预先运用信息安全专家对事件的分类构建信息安全事件的定级知识库，根据知识库的知识在运行环境中映射信息安全事件的级别。该方法是建立在事件分类知识库的基础上的，是专家知识的精髓，具有很好的普适性。

但采用该方法时，经常出现与企业和组织的环境结合不够紧密，不能更准确、更有效的指导企业和组织进行信息安全事件的管理。该方法从信息安全事件分类的角度关注级别，意味着所有在企业和组织内的同类信息安全事件都属于该级别，不会因企业和组织对资产的关注度不同而有区别。该方法无法很好的解决：高关注度资产即便发生中级别的信息安全事件也需要被关注；低关注度资产即便发生高级别信息安全事件也无须关注等问题。因此，该方法不能更有效的适应企业和组织的环境要求，指导企业和组织进行信息安全事件的处理以及辅助企业和组织进行信息安全建设规划的制定。

发明内容

本发明要解决的问题是提供一种基于资产CIA的信息安全事件的定级管理方法和装置，以克服现有技术中信息安全事件定级方法不能很好的与企业和组织的资产相结合的缺陷。

为达到上述目的，本发明的技术方案提供一种基于资产CIA的信息安全事件的定级管理方法，所述方法包括以下步骤：A、利用事件分类映射获取信息安全事件的初始级别；B、确定所述信息安全事件的主要受影响资产；C、根据所述主要受影响资产的CIA和所述信息安全事件的初始级别，计算所述信息安全事件的最终级别；D、根据所述信息安全事件的最终级别进行信息安全事件的管理。

进一步，所述信息安全事件包括：事件产生者、行为发起者、行为、行为承受者和行为结果。

进一步，在所述步骤A之前，还包括步骤E：将信息安全事件格式化为统一的数据表示形式。

进一步，在所述步骤B中，具体包括：B1、判断所述信息安全事件是否为内部事件，如果是，则转步骤B2，否则转步骤B3；B2、判断所述事件产生者是否为资产，如果是，则确定信息安全事件的主要受影响资产为事件产生者资产；否则确定信息安全事件不与任何资产相关；B3、判断所述行为承受者是否为资产，如果是，则确定信息安全事件的主要受影响资产为行为承受者资产；否则转步骤B4；B4、判断所述行为发起者是否为资产，如果是，则确定信息安全事件的主要受影响资产为行为发起者资产；否则确定信息安全事件不与任何资产相关。

进一步，所述步骤C具体包括：C1、获取所述主要受影响资产的CIA值，所述CIA值由用户预先设定；C2、根据公式计算信息安全事件的最终级别，其中P_a为信息安全事件的最终级别，P_t为中间结果级别，P_t＝A_cia/C_s*P_m(0≤A_cia≤a，0≤C_s≤a，0≤P_m≤b，a为用户设定的资产的最大级别、b为用户设定的事件的最大级别，且a、b为整数)，A_cia为主要受影响资产的CIA值，P_m为信息安全事件的初始级别，C_s为预先设定的常量系数。

进一步，在所述步骤C中，如果信息安全事件不与任何资产相关，则信息安全事件的最终级别为信息安全事件的初始级别。