[发明专利]一种面向信息服务的安全能力水平分级评估方法

说明书

本发明涉及一种面向信息服务的安全能力水平分级评估方法，属于信息安全技术领域。提出一种基于“能力型”的评估方法，相较于“需求型”，可以更全面地评估信息服务的安全能力水平；解决传统安全评估方法中由于信息服务对安全技术的控制需求不同而导致的服务之间的评估指标差异问题；本发明是一种基于“能力型”的评估方法，“能力型”安全评估方法即先将信息服务需要测试的指标项全部测试，根据测试的结果将信息服务的安全能力定级，这种方法可以兼容未来出现的新型信息服务，并解决传统安全评估方法中由于信息服务对安全技术的控制需求不同而导致的服务之间的评估指标差异问题。

技术领域

本发明属于信息安全技术领域，涉及一种面向信息服务的安全能力水平分级评估方法。

背景技术

信息安全等级评估面向安全技术实施的对象，一般包括信息系统、系统运行环境等，根据实施对象在受到安全攻击时产生的危害的影响程度来划分对象安全等级。当前还有基于“需求型”的安全评估方法，“需求型”即先确定根据市场需求，确定信息服务需要达到的安全级别，再根据该安全级别进行相应的指标项测试，若指标项测试未达标即未达到相关等级。基于“需求型”的安全评估方法具有强制性，对于新兴行业中的信息服务适应性不够，对于信息服务的测试程度不够全面，而市场的发展对信息安全评估提出了更高的要求。亦有安全等级评估方法只针对信息系统，包括信息安全等级保护GB/T 22240-2008与美国的FIPS199/NIST SP800-53r4所采用的评估方法；这种安全评估方法一方面仅以信息系统为实施对象，主要进行系统层面、静态的安全评估，其评估方法直接根据系统来源，采用定性方式确定安全等级；另一方面仅将实施对象的保密性(Confidentiality，C)、完整性(Integrity，I)、可用性(Availability，A)作为安全属性来评估。对于在线信息服务，其来源、运行模式和类型均涉及到服务安全等级的评估，且涉及的安全属性除C、I、A外，还包括真实性、抗抵赖性和隐私性。针对信息系统的安全评估方法无法解决在线信息服务涉及的多重属性安全等级评判、新安全属性以及多服务交互关系带来的安全等级评估问题。

现有技术的缺点：

(1)分级方法单一，仅以定性方式评判目标信息系统安全等级，对多重属性的信息服务无法准确评判等级。例如采用现有技术可以评判“某单位”的信息系统安全等级，但对来源于“某(多)单位-某类型-某模式”的在线信息服务安全等级则无法评判；

(2)仅提取信息系统机密性、完整性、可用性三种安全属性特征，对类型多样的新型信息服务属性需求，如隐私性、真实性则无法评估；

(3)基于“需求型”的安全评估方法对在线信息服务的评估不够全面，对当前市场上的信息服务变化的适应度不够高；

(4)仅针对单一信息系统，对通过数据、程序接口调用实现关联的信息服务间的交互安全无法评估。

发明内容

有鉴于此，本发明的目的在于提供一种面向信息服务的安全能力水平分级评估方法，主要以静态信息系统为实施对象，对评估目标的系统特征载体(如操作系统、数据库、防火墙等)进行分析后，首先直接根据系统来源使用定性方式直接确定系统应属的安全等级(如国家省部级部门的直接确定为三级)，然后按实施对象的保密性、完整性、可用性作为安全属性来评估。

为达到上述目的，本发明提供如下技术方案：

一种面向信息服务的安全能力水平分级评估方法，该方法包括以下步骤：

步骤1、对于一个信息服务，根据其安全特征，依照信息服务安全类别表isCatgDB对其安全类别进行分类；根据其服务类别特征，依照信息服务安全支撑体系细化表isSupDet确定其运行模式，形成支撑体系子集；