本发明专利技术公开了一种基于资产CIA的信息安全事件的定级管理方法,包括:A、利用事件分类映射获取信息安全事件的初始级别;B、确定信息安全事件的主要受影响资产;C、根据主要受影响资产的CIA和信息安全事件的初始级别,计算信息安全事件的最终级别;D、根据信息安全事件的最终级别进行信息安全事件的管理。本发明专利技术还公开了一种基于资产CIA的信息安全事件定级管理装置。本发明专利技术通过主要受影响资产的CIA和信息安全事件的初始级别计算出来的信息安全事件的最终级别,对信息安全事件进行管理,更准确、有效的反应信息安全事件在企业和组织中需要被关注的程度,提高企业与组织对信息安全事件的管理效率,更有效的满足企业和组织对信息安全事件的管理需求。
【技术实现步骤摘要】
本专利技术涉及信息安全
,特别是涉及一种基于资产CIA的信息安全事件的 定级管理方法和装置。
技术介绍
目前,为了应对企业内、外部的安全挑战,企业先后部署了大量的安全系统,但却 往往形成各个防御孤岛,使得系统间缺乏协同,由此,各种安全系统产生了大量告警,出现 信息过载,造成很多误报和漏报。此外,企业还面临着不断增长的内控和信息系统审计的压 力。为了解决上述问题,现在一般采用SIM (Security Information Manager,安全信息管 理)技术实现面向全网的安全信息集中管理平台。SIM是一个面向企业IT (Information Technology,信息技术)计算环境的安全集 中管理平台,该平台能够收集来自企业计算环境中的各种设备、应用的安全日志和事件,并 进行集中存储、监控、分析、报警、响应和报告,变被动的单点防御为全网的综合防御。在SIM 系统中,需要通过对信息安全事件的定级,来明确信息安全事件需要被关注的程度,为企业 和组织对信息安全事件的事前准备、事中应对、事后处理提供有效依据。目前普遍采用基于事件分类映射的方法进行信息安全事件的定级,即预先运用信 息安全专家对事件的分类构建信息安全事件的定级知识库,根据知识库的知识在运行环境 中映射信息安全事件的级别。该方法是建立在事件分类知识库的基础上的,是专家知识的 精髓,具有很好的普适性。但采用该方法时,经常出现与企业和组织的环境结合不够紧密,不能更准确、更有 效的指导企业和组织进行信息安全事件的管理。该方法从信息安全事件分类的角度关注 级别,意味着所有在企业和组织内的同类信息安全事件都属于该级别,不会因企业和组织 对资产的关注度不同而有区别。该方法无法很好的解决高关注度资产即便发生中级别的 信息安全事件也需要被关注;低关注度资产即便发生高级别信息安全事件也无须关注等问 题。因此,该方法不能更有效的适应企业和组织的环境要求,指导企业和组织进行信息安全 事件的处理以及辅助企业和组织进行信息安全建设规划的制定。
技术实现思路
本专利技术要解决的问题是提供一种基于资产CIA的信息安全事件的定级管理方法 和装置,以克服现有技术中信息安全事件定级方法不能很好的与企业和组织的资产相结合 的缺陷。为达到上述目的,本专利技术的技术方案提供一种基于资产CIA的信息安全事件的定 级管理方法,所述方法包括以下步骤A、利用事件分类映射获取信息安全事件的初始级别; B、确定所述信息安全事件的主要受影响资产;C、根据所述主要受影响资产的CIA和所述信 息安全事件的初始级别,计算所述信息安全事件的最终级别;D、根据所述信息安全事件的 最终级别进行信息安全事件的管理。进-为结果。进-表示形式。进--步,所述信息安全事件包括事件产生者、行为发起者、行为、行为承受者和行-步,在所述步骤A之前,还包括步骤E 将信息安全事件格式化为统一的数据-步,在所述步骤B中,具体包括B1、判断所述信息安全事件是否为内部事件,如果是,则转步骤B2,否则转步骤B3 ;B2、判断所述事件产生者是否为资产,如果是,则确定 息安全事件的主要受影响资产为事件产生者资产;否则确定信息安全事件不与任何资产信相关;B3、判断所述行为承受者是否为资产,如果是,则确定信息安全事件的主要受影响资 产为行为承受者资产;否则转步骤B4 ;B4、判断所述行为发起者是否为资产,如果是,则确 定信息安全事件的主要受影响资产为行为发起者资产;否则确定信息安全事件不与任何资 产相关。 进一步,所述步骤C具体包括Cl、获取所述主要受影响资产的CIA值,所述CIA值由用户预先设定;C2、根据公式Pa =Pt (0 < Pt < b)计算信息安全事件的最终级别,(Pt > b)其中Pa为信息安全事件的最终级别,Pt为中间结果级别,Pt = A。ia/Cs*pm(0 ( Acia ( a, O^ Cs ^ a,O^ Pffl ^ b,a为用户设定的资产的最大级别、b为用户设定的事件的最大级别, 且a、b为整数),A。ia为主要受影响资产的CIA值,Pffl为信息安全事件的初始级别,Cs为预 先设定的常量系数。进一步,在所述步骤C中,如果信息安全事件不与任何资产相关,则信息安全事件 的最终级别为信息安全事件的初始级别。本专利技术的技术方案还提供一种基于资产CIA的信息安全事件的定级管理装置,所 述装置包括初始级别获取单元,用于利用事件分类映射获取信息安全事件的初始级别; 资产确定单元,用于确定信息安全事件的主要受影响资产;最终级别获取单元,用于根据所 述主要受影响资产的CIA和信息安全事件的初始级别,计算信息安全事件的最终级别;事 件管理单元,用于根据所述信息安全事件的最终级别进行信息安全事件的管理。进一步,所述装置还包括格式化单元,用于将信息安全事件格式化为统一的数据 表示形式。与现有技术相比,本专利技术的有益效果如下本专利技术通过主要受影响资产的CIA(Confidentiality、Integrity、Availability, 可用性、完整性和保密性)和信息安全事件的初始级别计算出来的信息安全事件的最终级 别,对信息安全事件进行管理,从而可以更准确、有效的反应信息安全事件在企业和组织中 需要被关注的程度,提高企业与组织对信息安全事件的管理效率,更有效的满足企业和组 织对信息安全事件的管理需求,节省企业和组织的管理成本。附图说明 图1是本专利技术实施例的一种基于资产CIA的信息安全事件的定级管理方法的流程 5图2是本专利技术实施例的确定信息安全事件的主要受影响资产的流程图;图3是本专利技术实施例的一种基于资产CIA的信息安全事件的定级管理装置的结构 示意图。具体实施例方式下面结合附图和实施例,对本专利技术的具体实施方式作进一步详细描述。以下实施 例用于说明本专利技术,但不用来限制本专利技术的范围。本专利技术实施例的一种基于资产CIA的信息安全事件的定级管理方法如图1所示, 包括以下步骤步骤slOl,将信息安全事件格式化为统一的数据表示形式。信息安全事件是行为 的记录,包括事件产生者、行为发起者、行为、行为承受者和行为结果。本实施例中,格式化 过程抽取这些要素作为信息安全事件格式化数据的基本组成。步骤S102,利用事件分类映射获取信息安全事件的初始级别。本实施例中,本步骤 采用传统的基于专家知识映射信息安全事件的级别。步骤S103,确定信息安全事件的主要受影响资产。步骤sl04,根据主要受影响资产的CIA和信息安全事件的初始级别,计算信息安 全事件的最终级别。本实施例中,首先获取所述主要受影响资产的CIA值,所述CIA值由用户预先设定;然后根据公式=Pt (0<Pt< b)计算信息安全事件的最终级别,其中Pab (Pt > b)为信息安全事件的最终级别,Pt为中间结果级别,Pt = A。ia/Cs*pm (0 ( Acia彡a,0彡Cs彡a, O^ Pffl ^ b,a为用户设定的资产的最大级别、b为用户设定的事件的最大级别,且a、b为整 数),A。ia为主要受影响资产的CIA值,Pffl为信息安全事件的初始级别,Cs为预先设定的常 量系数。如果信息安全事件不与任何资产相关,则信息安全事件的最终级别为信息安全事 件的初始级别。本文档来自技高网...
【技术保护点】
一种基于资产CIA的信息安全事件的定级管理方法,其特征在于,所述方法包括以下步骤:A、利用事件分类映射获取信息安全事件的初始级别;B、确定所述信息安全事件的主要受影响资产;C、根据所述主要受影响资产的CIA和所述信息安全事件的初始级别,计算所述信息安全事件的最终级别;D、根据所述信息安全事件的最终级别进行信息安全事件的管理。
【技术特征摘要】
一种基于资产CIA的信息安全事件的定级管理方法,其特征在于,所述方法包括以下步骤A、利用事件分类映射获取信息安全事件的初始级别;B、确定所述信息安全事件的主要受影响资产;C、根据所述主要受影响资产的CIA和所述信息安全事件的初始级别,计算所述信息安全事件的最终级别;D、根据所述信息安全事件的最终级别进行信息安全事件的管理。2.如权利要求1所述的基于资产CIA的信息安全事件的定级管理方法,其特征在于,所 述信息安全事件包括事件产生者、行为发起者、行为、行为承受者和行为结果。3.如权利要求1所述的基于资产CIA的信息安全事件的定级管理方法,其特征在于,在 所述步骤A之前,还包括步骤E 将信息安全事件格式化为统一的数据表示形式。4.如权利要求2所述的基于资产CIA的信息安全事件的定级管理方法,其特征在于,在 所述步骤B中,具体包括Bi、判断所述信息安全事件是否为内部事件,如果是,则转步骤B2,否则转步骤B3 ;B2、判断所述事件产生者是否为资产,如果是,则确定信息安全事件的主要受影响资产 为事件产生者资产;否则确定信息安全事件不与任何资产相关;B3、判断所述行为承受者是否为资产,如果是,则确定信息安全事件的主要受影响资产 为行为承受者资产;否则转步骤B4 ;B4、判断所述行为发起者是否为资产,如果是,则确定信息安全事件的主要受影响资产 为行为发起者资产;否则确定信息安全事件不与任何资产相关。5.如权利要求1至4任一项所述的基于资产CIA的信息安全事件...
【专利技术属性】
技术研发人员:汤泰鼎,张利,胡卫华,班晓芳,姚轶崭,
申请(专利权)人:中国信息安全测评中心,北京天融信科技有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。