一种面向在线信息服务的安全分级方法技术

本发明专利技术公开了一种面向在线信息服务的安全分级方法，包括步骤：1、建立信息服务属性描述表；2、通过基础功能表，设置信息服务安全属性和信息服务重要性认定特征，并选定具体业务的安全属性偏好；3、建立影响等级的评分模式，将信息服务重要性认定特征进行评分，并把安全属性与影响等级相联系；4、依据信息服务行业和业务类型与安全属性偏好的关系，将安全属性的得分赋值到每个重要性认定特征的安全属性支持项上，然后求得该信息服务在其安全属性上的得分平均值，获得对应的等级，以安全属性全部等级数的排位确定该信息服务的最终安全等级。本发明专利技术解决了现有安全等级评估方法只根据评估对象的机构性质进行定性评级，缺乏灵活性和适应性的问题。

【技术实现步骤摘要】
一种面向在线信息服务的安全分级方法
本专利技术属于信息安全

技术介绍
信息安全等级评估是面向实施对象，根据实施对象在受到安全攻击时产生的危害的影响程度来划分对象安全等级，实施对象包括信息系统和系统运行环境等。现有信息安全等级评估方法只针对信息系统，包括我国的信息安全等级保护GB/T22240-2008和美国的FIPS199/NISTSP800-53r4所采用的评估方法；现有安全等级评估方法仅以信息系统为实施对象进行静态的安全评估，具体地，对系统特征载体(如操作系统、数据库、防火墙等)进行分析后，直接根据信息来源使用定性方式直接确定系统应属的安全等级(如国家省部级部门的直接确定为三级)，然后按实施对象的保密性(Confidentiality，C)、完整性(Integrity，I)、可用性(Availability，A)作为安全属性来评估。现有安全评估方法存在的缺点是：1、仅以定性方式评判特定信息系统安全等级，对信息服务的多重属性无法准确评判等级。例如采用现有技术可以评判“某单位”的信息系统安全等级，但对来源于“某(多)单位-某类型-某模式”的在线信息服务安全等级则无法评判；信本文档来自技高网...

【技术保护点】
1.一种面向在线信息服务的安全分级方法，其特征是，包括以下步骤：步骤1、列出行业和业务的选项表，供信息服务安全等级评估申请方选择；建立信息服务属性描述表isMultiCharDB；步骤2、通过基础功能表，设置信息服务安全属性和信息服务重要性认定特征，并选定具体业务的安全属性偏好；信息服务安全属性包括机密性、完整性、可用性、抗抵赖性、真实性、隐私性；由信息服务重要性认定特征确定信息服务重要程度，并根据具体业务的安全属性偏好确定某种行业及业务类型强调的安全属性；步骤3、建立影响等级的评分模式，将信息服务重要性认定特征进行评分，并把安全属性与影响等级相联系；所述影响等级的评分模式是将影响等级分为高、...

【技术特征摘要】
1.一种面向在线信息服务的安全分级方法，其特征是，包括以下步骤：步骤1、列出行业和业务的选项表，供信息服务安全等级评估申请方选择；建立信息服务属性描述表isMultiCharDB；步骤2、通过基础功能表，设置信息服务安全属性和信息服务重要性认定特征，并选定具体业务的安全属性偏好；信息服务安全属性包括机密性、完整性、可用性、抗抵赖性、真实性、隐私性；由信息服务重要性认定特征确定信息服务重要程度，并根据具体业务的安全属性偏好确定某种行业及业务类型强调的安全属性；步骤3、建立影响等级的评分模式，将信息服务重要性认定特征进行评分，并把安全属性与影响等级相联系；所述影响等级的评分模式是将影响等级分为高、中、低三个等级，对应赋予分值；建立信息服务重要性认定特征评分表isImpVal；根据重要性认定特征与安全属性的关系建立信息服务重要性认定特征与安全属性支持项对照表isImpSecSup和信息服务重要性认定特征与安全属性赋值表isImpSecVal；步骤4、确定信息服务对应的行业和业务类型，依据信息服务行业和业务类型与安全属性偏好的关系，将安全属性的得分赋值到每个重要性认定特征的安全属性支持项上，然后求得该信息服务在其安全属性上的得分平均值，获得对应的等级，以安全属性全部等级数的排位确定该信息服务的最终安全等级。2.根据权利要求1所述的面向在线信息服务的安全分级方法，其特征是：还包括步骤5，信息服务在多层嵌套式调用时，获取该信息服务与其他信息服务之间的交互关系，如果与该信息服务有交互的其他信息服务已完成所述的步骤1～4的安全等级确定，则比较有交互关系的信息服务，以取最高的方式确定该信息服务最终安全等级；如果与该信息服务有交互的其他信息服务未完成所述的步骤1～4的安全等级确定，则保持该信息服务的现有评估等级。3.根据权利要求1或2所述的面向在线信息服务的安全分级方法，其特征是：在步骤1中，所述信息服务属性描述表isMultiCharDB包括信息服务行业描述字段、信息服务业务类型描述字段。4.根据权利要求3所述的面向在线信息服务的安全分级方法，其特征是：在步骤2中，所述基础功能表包括有：信息服务安全属性表isSecAttr、信息服务安全等级评估描述表isArDB、信息服务重要性认定特征描述表isImpAttrDB、信息服务行业及安全属性偏好对照表isIdsAttr、信息服务业务类型及安全属性偏好对照表isCatgAttr；所述信息服务安全属性表isSecAttr包含有安全属性名称字段，安全属性名称有机密性、完整性、可用性、抗抵赖性、真实性、隐私性；所述信息服务安全等级评估描述表isArDB包括有信息服务行业描述字段、信息服务业务类型描述字段以及依据isSecAttr表中信息服务安全属性名称字段取值来定义剩余字段，并增加了最终安全等级字段，用于记录最后评价结果；所述信息服务重要性认定特征描述表isImpAttrDB具有信息服务...

【专利技术属性】
技术研发人员：向宏，夏晓峰，桑军，傅鹂，叶春晓，蔡斌，胡海波，
申请(专利权)人：重庆大学，
类型：发明
国别省市：重庆,50