本申请提出了一种信息安全评估的实施用例的生成方法及系统,涉及信息安全领域。一种信息安全评估的实施用例的生成方法包括:获取信息安全评估信息中各基本要素值及源数据信息;根据基本要素值及源数据信息建立评估用例模型,评估用例模型包括各项评估标准对应的安全评估内容;利用评估用例模型计算得到待信息安全评估的风险要素值,断定是否处于安全或者不安全的状态。能够增强相关活动的规范性和一致性,改善评价效果,提高评估效率,提高评估项目的自动化管理水平。此外本申请还提出了一种信息安全评估的实施用例的生成系统,包括:信息采集模块、模型建立模块及信息安全评估模块。块。块。
【技术实现步骤摘要】
一种信息安全评估的实施用例的生成方法及系统
[0001]本申请涉及信息安全领域,具体而言,涉及一种信息安全评估的实施用例的生成方法及系统。
技术介绍
[0002]目前,信息安全领域中的系统安全评估在实际的操作过程中一般是依据相关国家信息安全评估标准,采用以人工操作为主的方式实施。因此每个评估项目都会因实施人员的差异带有强烈的个性化特征,导致在相同的标准下,最终评估用的实施用例会也各不相同,评估的质量难以保证。
[0003]现有的以计算机为平台的评估系统通常提供一个保存了大量测试用例的数据库,在实际评估时调用相应的测试用例;而信息安全领域的评估中,情况较为复杂多变,评估标准、行业类型、应用场景、系统对象类型繁多,由其组合而成的实际评估项目的情况更是多种多样;如果照搬常规的测试用例数据库的组织思想,针对不同类型特点的系统安全评估项目分别设计一套实施用例,那么最后数据库中的实施用例数量规模将非常庞大,而且仍然有可能无法涵盖所有类型的评估项目;另外每当出现新的标准或新的行业应用时,都需要重新编写相关测试用例,工作很繁复、容易出错,应用的灵活性和扩展性都较差。因此现有的基于计算机实现的评估系统无法很好的适用于信息安全领域。
技术实现思路
[0004]本申请的目的在于提供一种信息安全评估的实施用例的生成方法,其能够增强相关活动的规范性和一致性,改善评价效果,提高评估效率,提高评估项目的自动化管理水平。
[0005]本申请的另一目的在于提供一种信息安全评估的实施用例的生成系统,其能够运行一种信息安全评估的实施用例的生成方法。
[0006]本申请的实施例是这样实现的:
[0007]第一方面,本申请实施例提供一种信息安全评估的实施用例的生成方法,其包括获取信息安全评估信息中各基本要素值及源数据信息;根据基本要素值及源数据信息建立评估用例模型,评估用例模型包括各项评估标准对应的安全评估内容;利用评估用例模型计算得到待信息安全评估的风险要素值,断定是否处于安全或者不安全的状态。
[0008]在本申请的一些实施例中,上述获取信息安全评估信息中各基本要素值及源数据信息包括:获取基本要素值及源数据信息中的基础数据、业务类型信息、行业类型信息、测试对象信息。
[0009]在本申请的一些实施例中,上述还包括:对源数据信息进行网络抓包,进行网络传输安全测试,得到网络传输安全测试信息,然后将网络传输安全测试信息作为信息安全评估信息。
[0010]在本申请的一些实施例中,上述根据基本要素值及源数据信息建立评估用例模
型,评估用例模型包括各项评估标准对应的安全评估内容包括:根据各项评估标准的层次化关联关系,在信息安全标准库中建立层次逻辑、多个类别。
[0011]在本申请的一些实施例中,上述还包括:在建立评估用例模型时,建立安全评估内容和所保存的基本要素值及源数据信息之间的关联关系。
[0012]在本申请的一些实施例中,上述利用评估用例模型计算得到待信息安全评估的风险要素值,断定是否处于安全或者不安全的状态包括:生成的风险要素值对应的风险要素值,包括能够导致风险的安全事件和安全漏洞的概率,以及各种安全事件和安全漏洞所对应的安全风险等级。
[0013]在本申请的一些实施例中,上述还包括:利用评估用例模型计算得到待信息安全评估的风险要素值,其中,在评估用例模型中的各个安全域的风险基本要素的最大值对应的权重值最大。
[0014]第二方面,本申请实施例提供一种信息安全评估的实施用例的生成系统,其包括信息采集模块,用于获取信息安全评估信息中各基本要素值及源数据信息;
[0015]模型建立模块,用于根据基本要素值及源数据信息建立评估用例模型,评估用例模型包括各项评估标准对应的安全评估内容;
[0016]信息安全评估模块,用于利用评估用例模型计算得到待信息安全评估的风险要素值,断定是否处于安全或者不安全的状态。
[0017]在本申请的一些实施例中,上述包括:用于存储计算机指令的至少一个存储器;与上述存储器通讯的至少一个处理器,其中当上述至少一个处理器执行上述计算机指令时,上述至少一个处理器使上述系统执行:信息采集模块、模型建立模块及信息安全评估模块。
[0018]第三方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如一种信息安全评估的实施用例的生成方法中任一项的方法。
[0019]相对于现有技术,本申请的实施例至少具有如下优点或有益效果:
[0020]可以建立一种标准化、自动化、组件化的通用信息安全实施用例,包括评估用例实例及与之相关联的测试用例实例,生成、任务规划和评估数据采集、汇总分析的软件实现框架,从而支持类似的信息安全评估活动能够采用规范、一致的评估要求和实施方法,高效地开展,从而提高评估工作的数据采集效率和评估分析效果。安全风险通过各个层级的风险值、威胁值、脆弱性值立体呈现,使得用户可以通过下钻快速定位顶层风险域或者顶层风险资产,从而便于根据风险值及时作出风险预警。还可以扩展到其他基于特定实施标准的评估活动中,从而增强相关活动的规范性和一致性,改善评价效果,提高评估效率,提高评估项目的自动化管理水平。
附图说明
[0021]为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0022]图1为本申请实施例提供的一种信息安全评估的实施用例的生成方法步骤示意
图;
[0023]图2为本申请实施例提供的一种信息安全评估的实施用例的生成方法详细步骤示意图;
[0024]图3为本申请实施例提供的一种信息安全评估的实施用例的生成系统模块示意图;
[0025]图4为本申请实施例提供的一种电子设备。
[0026]图标:10
‑
信息采集模块;20
‑
模型建立模块;30
‑
信息安全评估模块;101
‑
存储器;102
‑
处理器;103
‑
通信接口。
具体实施方式
[0027]为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
[0028]因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0029]应注意到:相本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种信息安全评估的实施用例的生成方法,其特征在于,包括:获取信息安全评估信息中各基本要素值及源数据信息;根据基本要素值及源数据信息建立评估用例模型,评估用例模型包括各项评估标准对应的安全评估内容;利用评估用例模型计算得到待信息安全评估的风险要素值,断定是否处于安全或者不安全的状态。2.如权利要求1所述的一种信息安全评估的实施用例的生成方法,其特征在于,所述获取信息安全评估信息中各基本要素值及源数据信息包括:获取基本要素值及源数据信息中的基础数据、业务类型信息、行业类型信息、测试对象信息。3.如权利要求2所述的一种信息安全评估的实施用例的生成方法,其特征在于,还包括:对源数据信息进行网络抓包,进行网络传输安全测试,得到网络传输安全测试信息,然后将网络传输安全测试信息作为信息安全评估信息。4.如权利要求1所述的一种信息安全评估的实施用例的生成方法,其特征在于,所述根据基本要素值及源数据信息建立评估用例模型,评估用例模型包括各项评估标准对应的安全评估内容包括:根据各项评估标准的层次化关联关系,在信息安全标准库中建立层次逻辑、多个类别。5.如权利要求4所述的一种信息安全评估的实施用例的生成方法,其特征在于,还包括:在建立评估用例模型时,建立安全评估内容和所保存的基本要素值及源数据信息之间的关联关系。6.如权利要求1所述的一种信息安全评估的实施用例的生成方法,其特征在于,所述利用评估用例模型计...
【专利技术属性】
技术研发人员:娄屹萍,金晖,童朱珏,
申请(专利权)人:方圆标志认证集团浙江有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。