【技术实现步骤摘要】
一种面向信息服务的安全能力水平分级评估方法
本专利技术属于信息安全
,涉及一种面向信息服务的安全能力水平分级评估方法。
技术介绍
信息安全等级评估面向安全技术实施的对象,一般包括信息系统、系统运行环境等,根据实施对象在受到安全攻击时产生的危害的影响程度来划分对象安全等级。当前还有基于“需求型”的安全评估方法,“需求型”即先确定根据市场需求,确定信息服务需要达到的安全级别,再根据该安全级别进行相应的指标项测试,若指标项测试未达标即未达到相关等级。基于“需求型”的安全评估方法具有强制性,对于新兴行业中的信息服务适应性不够,对于信息服务的测试程度不够全面,而市场的发展对信息安全评估提出了更高的要求。亦有安全等级评估方法只针对信息系统,包括信息安全等级保护GB/T22240-2008与美国的FIPS199/NISTSP800-53r4所采用的评估方法;这种安全评估方法一方面仅以信息系统为实施对象,主要进行系统层面、静态的安全评估,其评估方法直接根据系统来源,采用定性方式确定安全等级;另一方面仅将实施对象的保密性(Confide...
【技术保护点】
1.一种面向信息服务的安全能力水平分级评估方法,其特征在于:该方法包括以下步骤:/n步骤1、对于一个信息服务,根据其安全特征,依照信息服务安全类别表isCatgDB对其安全类别进行分类;根据其服务类别特征,依照信息服务安全支撑体系细化表isSupDet确定其运行模式,形成支撑体系子集;/n步骤2、根据服务类别和信息服务安全控制表isConrDB,依照信息服务类型与安全控制点对照表isCatConr,对比得出该信息服务应测的信息服务安全控制点;将步骤1得出的支撑体系子集与此信息服务安全控制点按支撑对象与信息服务安全控制点表isDetConr横向与纵向联合,提取出该信息服务具体...
【技术特征摘要】
1.一种面向信息服务的安全能力水平分级评估方法,其特征在于:该方法包括以下步骤:
步骤1、对于一个信息服务,根据其安全特征,依照信息服务安全类别表isCatgDB对其安全类别进行分类;根据其服务类别特征,依照信息服务安全支撑体系细化表isSupDet确定其运行模式,形成支撑体系子集;
步骤2、根据服务类别和信息服务安全控制表isConrDB,依照信息服务类型与安全控制点对照表isCatConr,对比得出该信息服务应测的信息服务安全控制点;将步骤1得出的支撑体系子集与此信息服务安全控制点按支撑对象与信息服务安全控制点表isDetConr横向与纵向联合,提取出该信息服务具体的信息服务安全控制点;
步骤3、根据信息服务安全技术控制点,对照信息服务安全控制点与指标项对应总表isConrIdx,通用和扩展该信息服务安全技术控制点,得出相应的信息服务安全指标集;
步骤4、根据信息服务安全指标集,依据信息服务安全控制点与指标项对应总表isConrIdx,对信息服务安全指标集进行指标分类,分为定性指标和定量指标两种类型;
步骤5、根据信息服务安全定性指标与信息服务安全定量指标两种类型进行指标评测,得出指标评测结果,将信息服务安全能力水平划分为4个等级,根据木桶原理对每一个信息服务安全技术控制点进行评级;再对该信息服务包含的所有信息服务安全技术控制点运用木桶原理,得出最终的信息服务安全分级。
2.根据权利要求1所述的一种面向信息服务的安全能力水平分级评估方法,其特征在于:所述步骤1中,信息服务安全分级分类评估安全类别表isCatgDB包含有3种字段,分别为服务类型名称字段、服务类型解释字段、服务类型举例字段;其中服务类型名称字段根据信息服务不同的特性和业务,将信息服务分为9种不同的类型;服务类型解释字段将每种类型的信息服务的业务和特性进行总体的解释;服务类型举例字段对每种服务类型举出典型的实例;
信息服务安全支撑体系包含基础设施、服务运行、服务应用三部分,其中基础设施是指信息服务的硬件载体、计算环境、通信在内的信息服务安全支撑对象;服务运行是指服务应用程序在基础设施上运行的情况;服务应用是指信息服务的应用和访问;
信息服务安全支撑体系细化表isSupDet即为信息服务基础设施、信息服务运行、信息服务应用这三个层次所对应的支撑体系子项的集合,包含支撑对象类型和具体支撑对象名称两个字段。
3.根据权利要求1所述的一种面向信息服务的安全能力...
【专利技术属性】
技术研发人员:向宏,夏晓峰,桑军,傅鹂,叶春晓,蔡斌,胡海波,周旭,胡开友,朱英豪,
申请(专利权)人:重庆大学,
类型:发明
国别省市:重庆;50
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。