面向网络安全等级保护2.0的智能辅助测评方法及系统技术方案

本发明专利技术提供了面向网络安全等级保护2.0的智能辅助测评方法及系统，所述方法包括获取项目基本信息；根据安全保护等级、通用和扩展要求，自动选定测评指标范围；获取测评对象类型信息；根据测评指标范围和测评对象类型，自动形成测评指标、测评方法等智能推荐信息1，支持在线修改形成测评记录；自动计算综合得分；自动形成问题汇总、风险分析范例和整改建议范例等智能推荐信息2，支持在线修改形成风险分析结果；自动形成已有安全措施、主要安全问题等智能推荐信息3，支持在线修改；获取网络拓扑图、被测系统情况等信息；最后自动生成网络安全等级保护测评报告。本方法既提高等保测评工作规范性、准确性和高效性，又能满足复杂多样的测评需求。的测评需求。的测评需求。

【技术实现步骤摘要】
面向网络安全等级保护2.0的智能辅助测评方法及系统


[0001]本专利技术涉及信息安全
，特别是涉及面向网络安全等级保护2.0 的智能辅助测评方法及系统。

技术介绍

[0002]2019年5月，GB/T 22239
‑
2019《信息安全技术网络安全等级保护基本要求》、GB/T 28448
‑
2019《信息安全技术网络安全等级保护测评要求》等国家标准发布，标志着网络安全等级保护从1.0时代进入2.0时代。等级保护2.0测评项包括安全通用要求及扩展要求的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等十个安全子类，覆盖常规信息系统、云计算、移动互联网、物联网、工业控制系统、大数据应用等场景。相对于等级保护1.0，等级保护2.0的测评指标体系更加丰富、测评对象覆盖范围更广泛，包括物理、网络、计算、应用、数据、管理等多个方面，测评报告的页数通常约200
‑
300页。等级保护2.0明显增加了检测、风险分析、综合得分计算和测评报告编写等测评工作的复杂性，对测评工作的准确性、高效性、规范性提出了很高的要求。
[0003]2021年，网络安全等级保护的国家行政主管部门和等保测评机构联盟调整了等级保护2.0的综合得分计算方法，从原先的基于风险评估理论的得分方法，改为缺陷扣分法，明确了量化扣分规则，大大减少了人为主观判断对得分的影响。
[0004]随着信创产业的发展，基于国产CPU的信创计算机、服务器产品的出现，尤其在等级保护重点行业推广应用，比如金融等国民经济重要行业。由于国产CPU指令集与X85指令集不兼容，信创产品适配的信创操作系统，与Windows和国外Linux操作系统都存在明显差异，使得安全配置命令和方法存在不同，甚至导致部分网络安全技术检测工具不支持对信创产品的测试。因此，部分基于技术检查工具的自动化等级保护测评方法和系统不能很好支持信创产品的自动化测试。
[0005]现有等级保护测评技术主要分4大类。第1类，纯人工方式，即利用 Word表单记录测试数据，采用Excel计算测评得分，再人工编写测评报告。这种方法存在以下问题：(1)由于测评人员水平不同，测试方法熟练程度不同，测试数据记录规范性参差不齐，导致测试数据严谨性和准确性存在偏差；(2)由于综合得分计算公式比较复杂，部分测评人员不能熟练理解和掌握计算，导致计算结果出错；(3)等级保护测评报告通常约200
‑
300 页，纯人工编写测评报告的效率低、准确性差。
[0006]第2类，以中国专利“一种面向等级保护的信息系统安全合规性检查方法CN201510141097.2”和“一种基于检查知识库技术的等级保护检查系统及其使用方法CN201610091018.6”为代表，以分离或一体化的方式集成各种网络安全检测工具，结合检查指标库和知识库形成面向等级保护1.0 的自动化检查方法。这类技术存在以下问题：(1)由于检查指标库绑定当时的等级保护1.0标准，与现行的等级保护2.0标准不匹配，导致面向等级保护1.0标准的自动化检查方法无用武之地；(2)无论是分体方式还是一体化方式，此
类技术都集成了一批特定的技术检查工具，都存在对技术检查工具的依赖，虽然提升了自动化程度，但是测试灵活性不足，不能很好地适应复杂多样的测试对象，尤其是不支持国产信创产品。同类型的被测对象会因为生产厂商的不同，导致检查命令和方法存在差异，所以不能用一种方法实现对不同厂家产品的自动化测试。
[0007]第3类，中国专利“一种基于等级保护2.0的自动测评方法及装置 CN202011351946.4”提出了一种方法：根据用户输入的被测设备类型信息自动选取对应的测评项及测评方法；根据被测设备登陆信息与被测设备进行通信连接并自动执行各种测评项测试，获得测评结果；再根据预想设置好的安全基线，通过关键字匹配的方式，对测评结果进行符合状况的判断；最后根据测试项符合状况、权重和标准公式自动计算测评得分。此技术存在以下几个问题：(1)该自动化测试方法只能用于可以在线测评的测试项，不能完全覆盖国家标准GB/T 22239
‑
2019的所有测评项。比如安全物理环境、安全管理制度、安全管理机构、安全管理人员、安全建设管理等测试项不能通过自动化工具完成检查，需要通过现场资料核实、人员访谈等人工方式进行检查；(2)该技术虽然实现了测评得分的自动计算，但是不能自动生成等保测评报告，不能帮助测评机构解决测评报告编写效率和规范性问题；(3)由于2021年调整了等级保护2.0的综合得分计算方法，此方法中的测评结论计算方法已经不符合相关要求。
[0008]第4类，中国专利“基于离线表单的等级保护测评数据采集、分析方法及系统CN202010571569.9”提出了一种方法：根据被测系统特征生成离线数据采集表单；再由人工采集数据并填报，将数据上传系统中；基于知识库对采集数据进行校验、解析和清洗，得到结构化数据；对结构化数据进行计算分析，包括基于风险评估模型自动计算单项风险值，按照标准公式计算控制点得分和综合得分；并根据风险点匹配安全建议，生成可编辑报告。此技术存在如下问题：(1)由于离线的数据采集表单与系统是分离的，在人工填写记录数据时，对测评人员的填写规范指引作用不足，不能有效降低测评人员填写记录不规范情况的出现概率，而导致表单数据不能正常上传，导致需要补充测试或补填记录，降低整个测评工作效率；(2) 虽然具备自动化生成通用安全解决措施、可编辑报告的功能，但是复杂多样的被测对象情况各不相同，存在个性化特征，导致通用安全解决措施存在适用性问题，自动生成的测评报告可用性不强。由于此系统缺乏人工修改的环节，需要测评人员通过导出报告采用离线修改方式来完善报告，而测评报告离线修改后，测评报告的规范性和核对工作依然严重依赖于人员水平，且效率不高，所以测评报告的规范性、准确性、自动核对问题没有很好解决；(3)由于2021年调整了等级保护2.0的综合得分计算方法，此方法中的基于风险评估模型的计算分析方法已经不符合相关要求。
[0009]综上所述，现有的等级保护测评技术要么效率低、准确性差，要么适用范围窄，要么综合得分计算方法不符合最新等级保护2.0要求，不能很好地支撑复杂多样的网络安全等级保护测评工作。

技术实现思路

[0010]为了克服现有技术的缺陷，本专利技术提出面向网络安全等级保护2.0的智能辅助测评方法及系统，以智能推荐和智能辅助的技术手段辅助测评人员，并支持在线修改智能推荐信息，来完成网络安全等级保护2.0测评，既提高测评工作的规范性、准确性和高效性，又
具有适用范围广的特点，能很好满足复杂多样的等保测评需求。
[0011]根据本专利技术的第一方面，提供面向网络安全等级保护2.0的智能辅助测评方法，所述方法包括：
[0012]项目基本信息模块获取被测系统的项目基本信息，项目基本信息包括：系统名称、测评时间、安全保护本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.面向网络安全等级保护2.0的智能辅助测评方法，其特征在于，包括：项目基本信息模块获取被测系统的项目基本信息，项目基本信息包括：系统名称、测评时间、安全保护等级、安全通用要求及扩展要求的信息；根据项目的安全保护等级、安全通用要求及扩展要求，智能推荐引擎依据标准指标库自动完成测评指标范围选定；测评对象管理模块获取十个安全子类的各个测评对象基本信息，测评对象基本信息包括：测评对象编号、测评对象名称、测评对象描述、测评对象类型的信息；根据测评指标范围和测评对象类型，智能推荐引擎从标准指标库中读取相关知识库信息形成智能推荐信息1，自动推送给测评对象管理模块。所述智能推荐信息1，包括：测评指标、测评指标权重ω、高风险提示、测评方法、测评记录填写范例和判定准则、不适用标注的信息；测评对象管理模块支持在智能推荐信息1基础上，根据测评对象实际情况在线修改和确定测评方法、测评记录和判定准则，再根据判定准则确定测评对象的符合情况，符合情况分为符合、部分符合、不符合和不适用4种；根据测评对象的符合情况，自动得出每个测评对象得分k并显示在界面上，还自动以不同颜色高亮显示不同符合情况的测评对象记录，形成最终的测评对象记录；支持一键更新和导出导入测评记录的方式快捷修改和汇总测评对象记录；综合得分计算模块从测评对象管理模块中提取本项目的总测评对象数量n、所有测评对象得分k和测评指标权重ω，再依据综合得分计算公式，自动计算得到基准分S、每个测评指标得分X
k
、综合得分V；根据所有测评对象记录，智能推荐引擎自动按测评指标维度汇总多个同类型测评对象存在的问题形成问题汇总信息，再从标准指标库中读取相关知识库信息，依据高风险判定指引和符合情况自动判断测评指标项的风险等级，并为高风险项、中风险项以明显标志自动标注为主要安全问题，形成智能推荐信息2，自动推送给问题风险分析模块。所述智能推荐信息2，包括：问题汇总信息、风险等级、主要安全问题标注、风险分析范例和整改建议范例的信息；问题风险分析模块支持在智能推荐信息2基础上在线修改问题汇总、风险等级、主要安全问题标志、风险分析、整改建议的信息，确认后形成问题风险分析结果；支持导出导入问题风险分析结果的方式快速汇总问题风险分析结果；支持根据问题风险分析结果自动生成整改建议书；根据项目基本信息、测评对象记录、问题风险分析结果的信息，智能推荐引擎自动按十个安全子类维度分别汇总已有安全控制措施和主要安全问题，再从标准指标库中读取相关知识库信息形成智能推荐信息3，自动推送给修改报告信息模块。所述智能推荐信息3，包括：测评依据、已有安全控制措施汇总、主要安全问题汇总分析的信息；修改报告信息模块支持在智能推荐信息3的基础上在线修改和确认测评依据、已有安全控制措施汇总、主要安全问题汇总分析的信息，并以不同颜色分别高亮显示已有安全控制措施汇总和主要安全问题汇总分析；导入网络拓扑图、测试接入点示意图、漏洞扫描结果，获取被测系统情况信息；从测评对象管理模块、问题风险分析模块、修改报告信息模块、综合得分计算模块中自
动提取测评报告各要素信息，生成网络安全等级保护测评报告。2.根据权利要求1所述的面向网络安全等级保护2.0的智能辅助测评方法，其特征在于，所述安全保护等级，包括：业务信息安全等级、系统服务保证等级、通用安全保护要求等级的三个方面，每个方面分为4级；上述三个方面通过组合形成安全保护等级，分为第一级、第二级、第三级和第四级。3.根据权利要求1所述的面向网络安全等级保护2.0的智能辅助测评方法，其特征在于，所述安全通用要求及扩展要求，分为：安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求、大数据参考安全控制措施的6个方面。4.根据权利要求1所述的面向网络安全等级保护2.0的智能辅助测评方法，其特征在于，所述标准指标库集成了网络安全等级保护测评相关的知识库，包括国家标准GB/T 22239
‑
2019测评指标、高风险判定指引、测评指标权重ω、不同测评指标和测评对象类型的测评方法、测评记录填写范例和判定准则、不适用情况、风险分析范例、整改建议范例；标准指标库以测评指标为索引，建立测评指标与其他知识库信息的关联关系。5.根据权利要求1所述的面向网络安全等级保护2.0的智能辅助测评方法，其特征在于，所述测评指标范围，覆盖国家标准GB/T 22239
‑
2019规定的安全通用要求和扩展要求的十个安全子类的测评指标；十个安全子类分别...

【专利技术属性】
技术研发人员：刘健，霍珊珊，张益，金达，刘赫，刘润一，杨龙，刘琛，孙琪，王磊，裴帅，李艳俊，
申请(专利权)人：中电科北京信息测评认证有限公司，
类型：发明
国别省市：