[发明专利]一种用于计算机信息系统安全等级保护的综合定级方法

说明书

技术领域

本发明涉及计算机安全技术领域，尤其是一种用于计算机信息系统安全等级保护的综合定级方法。

背景技术

等级保护是：有关单位按照国家相关法律和国家标准，根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民法人和其他组织的合法权益的危害程度等因素，对重要的信息系统确定其应该达到的安全保护等级(分为5个级别)，信息系统安全保护能力随着其被确定的安全保护等级的增高，逐渐增强。在对信息系统进行定级、采取安全防卫措施后，还需要确认该系统是否已经达到相应的保护等级及在未达到的情况下给出整改方案。其中，业务信息安全是指确保信息系统内信息的保密性、完整性和可用性等。系统服务安全是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标。

按照《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统安全保护等级划分准则》等法规和标准，信息系统的安全等级保护流程分为：确定等级、安全建设、等级测评、安全整改、安全检查等五个步骤。本发明专利利用层次分析法，通过定量计算，确定信息系统应达到的信息安全保护等级，从而为开展后续信息系统的安全等级保护工作奠定基础。

现有方法对信息系统的定级流程如附图1所示，分为以下几个步骤：(1)确定作为定级对象的信息系统；(2)确定该定级对象的业务信息安全保护等级；(3)确定该定级对象的系统服务安全保护等级；(4)选择两个保护等级中最高者作为定级对象的最终保护等级。

针对定级流程的第(2)和第(3)步，又具体分为以下几步。

(1)确定业务信息安全受到破坏时所侵害的客体；(2)分别评定业务信息安全和系统服务安全被破坏对客体的侵害程度；(3)分别依据业务信息安全保护等级矩阵和系统服务安全保护等级矩阵，得到业务信息安全保护等级和系统服务安全保护等级。

现有方法在定级流程的第二和第三步，即评定定级对象的业务信息安全保护等级和系统服务安全保护等级时，国家标准GB 17859-1999《信息系统安全保护等级定级指南》(以下简称“指南”)中建议各行业可根据本行业信息特点和系统服务特点，制定客体被侵害程度的综合评定方法。

现实中缺乏一套通用的准则和方法，因此在评价客体被侵害程度时受到人为因素的影响程度较大，主观性强，对定级结果产生不利影响，如果定级不够准确，则将影响该信息系统的后续防护工作，留下较大的信息安全隐患。

现有定级工作只是按照指南给出的建议，主观决定客体受到多大程度的侵害，然后对照两个安全保护等级矩阵确定一个信息系统的安全保护等级，随意性成分很大，未充分考虑定级过程中多个因素对定级准确性的影响，很有可能定义了低于该信息系统实际安全防护等级的级别，给安全防护工作带来较大的隐患。

发明内容

本发明解决的技术问题在于提供一种用于计算机信息系统安全等级保护的综合定级方法；采取定性与定量结合的方式，克服现有定级工作中存在的：定级缺乏可行的准则、定级结果主观成分大、定量不足的缺点，提高信息系统的安全保护等级的定级准确性，从而在接下来的安全建设环节根据定级结果做好重要信息系统的安全防护。

本发明解决上述技术问题的技术方案是：

所述的方法包括：

一、确定定级对象

将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象；作为定级对象的信息系统具有唯一确定的安全责任单位、具有信息系统的基本要素、承载单一或相对独立的业务应用；

二、确定受侵害的客体

定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益；

三、确定对客体的侵害程度

根据不同的受侵害客体、不同危害后果分别确定其危害程度，将不同危害后果的三种危害程度描述如下：一般损害、严重损害、特别严重损害；

四、确定定级对象的安全保护等级

根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据业务信息安全保护等级矩阵表，得到业务信息安全保护等级；

根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据系统服务安全保护等级矩阵表，得到系统服务安全保护等级；

作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。