【技术实现步骤摘要】
本专利技术具体涉及一种信息系统安全性能的评估方法。
技术介绍
随着国家经济的发展和人民生活水平的日益提高,数据信息已经深入千家万户,现在人们的衣食住行等均离不开数据信息。数据时代和信息时代的到来,极大地方便了人们的生活。信息系统是由计算机硬件、网络、通讯设备、计算机软件、信息资源、用户和一定的协议组成的以处理信息流为目的的人机一体化系统。信息系统的安全直接关系到数据信息的安全和信息系统的运行安全。目前,信息系统的安全评估方法多为针对特定的信息环境进行静态评估,该类方法无法实时掌握信息系统的信息以及信息系统所处环境所面临的风险。此外,已有的安全部评估方法主要针对信息资产以及信息系统的总体安全环境,其关注的重点为信息系统的总体风险,无法针对某个单独的信息系统对象或元素进行风险评估。同时,现有评估方法的评估结果较为抽象,无法直观的反应信息系统及其各组成部分所面临的风险大小。
技术实现思路
本专利技术的目的在于提供一种能够实时直观反应信息系统的安全性的信息系统安全性能的评估方法。本专利技术提供的这种信息系统安全性能的评估方法,包括如下步骤:S1.根据信息系统的重要程度对信息系统的安全等级、运行维护等级、机密性、完整性和可用性进行分级评分;S2.对信息系统下属的资产的重要程度,对资产进行分类,并对资产的机密性、完整性和可用性进行分级评分;S3.对信息系统进行检查,并发现信息系统存在的漏洞;
【技术保护点】
一种信息系统安全性能的评估方法,包括如下步骤:S1.根据信息系统的重要程度对信息系统的安全等级、运行维护等级、机密性、完整性和可用性进行分级评分;S2.对信息系统下属的资产的重要程度,对资产进行分类,并对资产的机密性、完整性和可用性进行分级评分;S3.对信息系统进行检查,并发现信息系统存在的漏洞;S4.对步骤S3得到的漏洞,获取漏洞所属的资产类别,并根据漏洞的严重程度对漏洞进行脆弱性评分;S5.利用如下算式计算信息系统所有漏洞的安全风险值,从而对信息系统安全性能进行评估:R=LΣl×Σj=1nVj×L×O×(Acp×Acj+Aip×Aij+Aap×Aaj)]]>式中R表示信息系统所有漏洞的安全风险值,R值越大表示信息系统的安全风险越大;∑l表示所有安全等级的评分总和,Vj表示第j个漏洞的脆弱性评分,L表示信息系统的安全等级评分,O表示信息系统的运行维护等级评分、Acp表示信息系统p对应的机密性评分,Acj表示漏洞所属资产的机密性评分,Aip表示信息系统p对应的完整性评分,Aij表...
【技术特征摘要】
1.一种信息系统安全性能的评估方法,包括如下步骤:
S1.根据信息系统的重要程度对信息系统的安全等级、运行维护等级、机密性、完整性
和可用性进行分级评分;
S2.对信息系统下属的资产的重要程度,对资产进行分类,并对资产的机密性、完整性
和可用性进行分级评分;
S3.对信息系统进行检查,并发现信息系统存在的漏洞;
S4.对步骤S3得到的漏洞,获取漏洞所属的资产类别,并根据漏洞的严重程度对漏洞进
行脆弱性评分;
S5.利用如下算式计算信息系统所有漏洞的安全风险值,从而对信息系统安全性能进
行评估:
R=LΣl×Σj=1nVj×L×O×(Acp×Acj+Aip×Aij+Aap×Aaj)]]>式中R表示信息系统所有漏洞的安全风险值,R值越大表示信息系统的安全风险越大;
∑l表示所有安全等级的评分总和,Vj表示第j个漏洞的脆弱性评分,L表示信息系统的安全
等级评分,O表示信息系统的运行维护等级评分、Acp表示信息系统p对应的机密性评分,Acj表示漏洞所属资产的机密性评分,Aip表示信息系统p对应的完整性评分,Aij表示漏洞所属
资产的完整性评分,Aap表示信息系统p对应的可用性评分,Aaj表示漏洞所属资产的可用性
评分。
2.根据权利要求1所述的信息系统安全性能的评估方法,其特征在于还包括如下步骤:
S6.以100分为满分,采用下式对步骤S4得到的信息系统漏洞的安全风险值进行转换计
算:
Sec=100-X×R
式中Sec为转换后的信息系统安全性能值,X为安全系数,用于将R值转换到0~100之
间,R为信息系统所有漏洞的安全风险值;
S7.根据步骤S6得到的计算结果评定信息系统安全等级:
1)若Sec≥90,则信息系统安全等级为优;
2)若80≤Sec<0,则信息系统安全等级为良好...
【专利技术属性】
技术研发人员:陈中伟,童一维,陈传鹏,刘淼,杨启,严庆伟,陈龚,
申请(专利权)人:国家电网公司,国网湖南省电力公司,国网湖南省电力公司信息通信公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。