[发明专利]信息系统安全性能的评估方法

说明书

本发明公开了一种信息系统安全性能的评估方法，包括对信息系统的安全等级、运行维护等级、机密性、完整性和可用性进行分级评分；对信息系统下属的资产进行分类，并对资产的机密性、完整性和可用性进行分级评分；发现信息系统存在的漏洞；获取漏洞所述的资产分类，对漏洞进行脆弱性评分；计算信息系统所有漏洞的安全风险值，完成对信息系统安全性能进行评估。本发明对信息系统及其下属的资产进行分类和评分，并结合漏洞的脆弱性和所属资产对信息系统进行安全评估，本发明能够实时直观反应信息系统的安全性，采用定量计算的方法对信息系统进行评估，评估结果直观可靠，计算方法简单科学。

技术领域

本发明具体涉及一种信息系统安全性能的评估方法。

背景技术

随着国家经济的发展和人民生活水平的日益提高，数据信息已经深入千家万户，现在人们的衣食住行等均离不开数据信息。数据时代和信息时代的到来，极大地方便了人们的生活。

信息系统是由计算机硬件、网络、通讯设备、计算机软件、信息资源、用户和一定的协议组成的以处理信息流为目的的人机一体化系统。信息系统的安全直接关系到数据信息的安全和信息系统的运行安全。

目前，信息系统的安全评估方法多为针对特定的信息环境进行静态评估，该类方法无法实时掌握信息系统的信息以及信息系统所处环境所面临的风险。此外，已有的安全部评估方法主要针对信息资产以及信息系统的总体安全环境，其关注的重点为信息系统的总体风险，无法针对某个单独的信息系统对象或元素进行风险评估。同时，现有评估方法的评估结果较为抽象，无法直观的反应信息系统及其各组成部分所面临的风险大小。

发明内容

本发明的目的在于提供一种能够实时直观反应信息系统的安全性的信息系统安全性能的评估方法。

本发明提供的这种信息系统安全性能的评估方法，包括如下步骤：

S1.根据信息系统的重要程度对信息系统的安全等级、运行维护等级、机密性、完整性和可用性进行分级评分；

S2.对信息系统下属的资产的重要程度，对资产进行分类，并对资产的机密性、完整性和可用性进行分级评分；

S3.对信息系统进行检查，并发现信息系统存在的漏洞；

S4.对步骤S3得到的漏洞，获取漏洞所属的资产类别，并根据漏洞的严重程度对漏洞进行脆弱性评分；

S5.利用如下算式计算信息系统所有漏洞的安全风险值，从而对信息系统安全性能进行评估：

式中R表示信息系统所有漏洞的安全风险值，R值越大表示信息系统的安全风险越大；∑l表示所有安全等级的评分总和，V_j表示第j个漏洞的脆弱性评分，L表示信息系统的安全等级评分，O表示信息系统的运行维护等级评分、A_cp表示信息系统p对应的机密性评分，A_cj表示漏洞所属资产的机密性评分，A_ip表示信息系统p对应的完整性评分，A_ij表示漏洞所属资产的完整性评分，A_ap表示信息系统p对应的可用性评分，A_aj表示漏洞所属资产的可用性评分。

所述信息系统安全性能的评估方法还包括如下步骤：

S6.以100分为满分，采用下式对步骤S4得到的信息系统漏洞的安全风险值进行转换计算：

Sec＝100-X×R

式中Sec为转换后的信息系统安全性能值，X为安全系数，用于将R值转换到0～100之间，R为信息系统所有漏洞的安全风险值；

S7.根据步骤S6得到的计算结果评定信息系统安全等级：

1)若Sec≥90，则信息系统安全等级为优；