【技术实现步骤摘要】
本专利技术涉及计算机安全
,尤其是一种用于计算机信息系统安全等级保护 的综合定级方法。
技术介绍
等级保护是:有关单位按照国家相关法律和国家标准,根据信息系统在国家安全、 经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益 以及公民法人和其他组织的合法权益的危害程度等因素,对重要的信息系统确定其应该达 到的安全保护等级(分为5个级别),信息系统安全保护能力随着其被确定的安全保护等级 的增高,逐渐增强。在对信息系统进行定级、采取安全防卫措施后,还需要确认该系统是否 已经达到相应的保护等级及在未达到的情况下给出整改方案。其中,业务信息安全是指确 保信息系统内信息的保密性、完整性和可用性等。系统服务安全是指确保信息系统可以及 时、有效地提供服务,以完成预定的业务目标。 按照《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统安全保 护等级划分准则》等法规和标准,信息系统的安全等级保护流程分为:确定等级、安全建设、 等级测评、安全整改、安全检查等五个步骤。本专利技术专利利用层次分析法,通过定量计算,确 定信息系统应达到的信息安全保护等级,从而为开展后续信息系统的安全等级保护工作奠 定基础。 现有方法对信息系统的定级流程如附图1所示,分为以下几个步骤:(1)确定作 为定级对象的信息系统;(2)确定该定级对象的业务信息安全保护等级;(3)确定该定级对 象的系统服务安全保护等级;(4)选择两个保护等级中最高者作为定级对象的最终保护等 级。 针对定级流程的第(2)和第(3)步,又具...
【技术保护点】
一种用于计算机信息系统安全等级保护的综合定级方法,其特征在于:所述的方法包括:一、确定定级对象将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象;作为定级对象的信息系统具有唯一确定的安全责任单位、具有信息系统的基本要素、承载单一或相对独立的业务应用;二、确定受侵害的客体定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益;三、确定对客体的侵害程度根据不同的受侵害客体、不同危害后果分别确定其危害程度,将不同危害后果的三种危害程度描述如下:一般损害、严重损害、特别严重损害;四、确定定级对象的安全保护等级根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据业务信息安全保护等级矩阵表,得到业务信息安全保护等级;根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据系统服务安全保护等级矩阵表,得到系统服务安全保护等级;作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。
【技术特征摘要】
1. 一种用于计算机信息系统安全等级保护的综合定级方法,其特征在于:所述的方法 包括: 一、 确定定级对象 将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象;作 为定级对象的信息系统具有唯一确定的安全责任单位、具有信息系统的基本要素、承载单 一或相对独立的业务应用; 二、 确定受侵害的客体 定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人 和其他组织的合法权益; 三、 确定对客体的侵害程度 根据不同的受侵害客体、不同危害后果分别确定其危害程度,将不同危害后果的三种 危害程度描述如下:一般损害、严重损害、特别严重损害; 四、 确定定级对象的安全保护等级 根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据业务信息 安全保护等级矩阵表,得到业务信息安全保护等级; 根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据系统服务 安全保护等级矩阵表,得到系统服务安全保护等级; 作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全 保护等级的较高者决定。2. 根据权利要求1所述的综合定级方法,其特征在于:所述的受侵害的客体确定是首 先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公 民、法人和其他组织的合法权益;从而确定本行业各类信息和各类信息系统受到破坏时所 侵害的客体。3. 根据权利要求1所述的综合定级方法,其特征在于:所述的业务信息安全保护等级 如下表所示:所述的系统服务安全保护等级如下表所示:4.根据权利要求2所述的综合定级方法,其特征在于:所述的业务信息安全保护等级 如下表所示:所述的系统服务安全保护等级如下表所示:5.根据权利要求1至4任一项所述的综合定级方法,其特征在于:采用层次分析法来 进客体被侵害程度的定量确定;包括建立层次分析模型、构造成对比较矩阵和计算客体被 侵害的程度; 所述的建立层次分析模型,是在深入分析实际问题的基础上,将有关的因素按照不同 属性自上而下地划分为若干层次,同一层的所有因素从属于上一层的因素或对影响上层因 素,同时也支配下一层的因素或被下层因素所影响; 所述的构造成对比较矩阵; 从层次分析模型的第2层开始,对于从属于或影响上一层每个因素的同一层诸因素, 用成对比较法和1-9比较尺度构建成对比较矩阵,直到最下层; 在比较第i个元素与第j个元素相对上一层某个因素的重要性时,使用数量化的相对 权重Hiij来描述;设共有η个元素参与比较,则M = Oiiij)n*n称为成对比较矩阵;对成对比 较矩阵中的取值可参考按下述标度进行赋值;mi j在1-9及其倒数中间取值; mi j = 1,元素 i同元素 j对上一层次因素的重要性相同; mi j = 3,元素 i比元素 j略重要; mij = 5,元素 i比元素 j重要; mi j = 7,元素 i比元素 j重要得多; mij = 9,元素 i比元素 j极其重要; 111;[」=211,11=1,2,3,4,元素 ;[与元素」的重要性在111;[」=211-1与111;[」=211+1之间; mij = 1/η, η = 1,2, · · ·,9,当且仅当 mji = η ; 因此,mij>0, mij = 1,mij = 1/mij ; 所述的计算客体被侵害的程度,是在计算出每个评价因素的权重后,在同一标准体系 下进行评价,将每个评价因素的实际数值采用Decimal scaling小数定标标准化方法进行 归一化,通过归一化因子,将每个评价因素的取值范围限定于[〇,1]; 定义:损害值D (Oi)为客体Oi被侵害的分值; D(Oi) e (〇,〇. 3],则定义该客体受到的损害为一般损害; D(Oi) e (0.3,0.8],则定义该客体受到的损害为严重损害; D(Oi) e (〇.8,1],则该客体受到的损害为特别严重损害; 实践中,可根据需要调整区间大小。6. 根据权利要求5所述的综合定级方法,其特征在于:所述的构造成对比较矩阵后,计 算权向量并做一致性检验; 检验成对比较矩阵M-致性的步骤如下:计算衡量一个成对比矩阵Μ(η>1阶方阵)不 一致程度的指标CI为:其中入,(M)是矩阵M的最大特征值,η为矩阵的阶数; CI = 0,有完全的一致性;CI接近于0,有满意的一致性;反之,CI越大,不一致越严重; 桉公式计算成对比较矩阵M的随机一致性比率CR :RI称为平均随机一致性指标,它只与矩阵的阶数有关,可从有关资料查出检验成对比 较矩阵M -致性的标准RI ; 判断方法如下: (1) 当CR〈0. 1时,判定成对比较矩阵M具有可接受的一致性,或者说其不一致程度是可 以接受的; (2) 若CR彡0. 1,则需要调整成对比较矩阵M,直到其达到可接受的一致性为止; 若检验通...
【专利技术属性】
技术研发人员:王伟,岳强,
申请(专利权)人:广东电子工业研究院有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。