基于产品和服务的信息安全质量评估方法及装置制造方法及图纸

本发明专利技术实施例提供了一种基于产品和服务的信息安全质量评估方法及装置，该方法包括：根据获取的预设的多层安全评估模型，选择待评估系统需要达到的安全目标；多层安全评估模型包括安全目标层、安全对象层、安全保障轮廓层；安全对象层包括属于每个安全目标的不同的安全对象；安全保障轮廓层包括属于每个安全对象的不同的安全保障轮廓；从已选择的安全目标选择待评估系统的安全对象；从已选择的安全保障轮廓中选择待评估系统的安全保障轮廓；按照根据所选择的待评估系统的安全保障轮廓所得到的选择量化方法，对获取的待评估系统的安全保障轮廓的数据进行量化；根据量化后的待评估系统的安全保障轮廓的数据，得出待评估系统的综合评估结果。

【技术实现步骤摘要】
基于产品和服务的信息安全质量评估方法及装置
本专利技术涉及网络信息安全
，特别是涉及一种基于产品和服务的信息安全质量评估方法及装置。
技术介绍
近年来，网络攻击事件频频发生，网络攻击手段层出不穷，信息泄露问题日益严重，对个人、企业甚至国家的利益造成了很大威胁。信息安全评估是依据相关标准和规范，对信息系统中的脆弱性、安全风险、安全技术等进行量化评估，对信息安全的保护具有重大意义。现有的信息安全评估标准主要有可信计算机系统评价标准(TrustedComputerSystemEvaluationCriteria，TCSEC)、信息技术安全评价通用准则(TheCommonCriteriaforInformationTechnologysecurityEvaluation，CC)、我国的国家标准GB系列信息安全标准等。现有的标准中定义了不同的安全目标以及各安全目标下具体的安全保障轮廓，其中安全保护轮廓的数据，包括证据和材料。为了满足一系列的安全目标而提出的一系列功能和保证需求，该系列功能比如为：对用户数据加密的功能、可撤销功能、识别用户身份的功能等。采用现有的信息安全评估标准或准则进行信息安全评估时，确定了待评估系统的安全目标后；先确定待评估系统的安全保障轮廓，然后获取所确定的安全保障轮廓的数据；将获取到的每一个具体的安全保障轮廓的数据作为安全度量模型的输入参数；将安全度量模型的输出结果作为对评估系统的输入参数，将待评估系统的输出参数作为综合评估结果。在实际应用中，现有的评估准则的安全目标下有很多具体的安全保障轮廓，采用现有的评估准则对系统进行评估时，需要从安全目标下所有的安全保障轮廓中选择与待评估系统相对应的安全保障轮廓进行分析。在安全保障轮廓数量较多时，由于安全保障轮廓数量较多，导致选择范围大，选择速度慢，选择准确度也较低，从而导致评估效率较低。
技术实现思路
本专利技术实施例的目的在于提供一种基于产品和服务的信息安全质量评估方法及装置，通过多次缩小选择范围，快速地选择出待评估系统的安全保障轮廓，进而提高评估效率。具体技术方案如下：第一方面，本专利技术实施例提供了一种基于产品和服务的信息安全质量评估方法，包括以下步骤：根据获取的预设的多层安全评估模型，选择待评估系统需要达到的安全目标；所述多层安全评估模型包括安全目标层、安全对象层、安全保障轮廓层；所述安全目标层中包括至少一个安全目标；所述安全对象层包括属于每个安全目标的不同的安全对象；所述安全保障轮廓层包括属于每个安全对象的不同的安全保障轮廓；在所述多层安全评估模型中，从所选择的安全目标包括的安全对象中选择所述待评估系统的安全对象；其中，所选择的安全对象为与所述待评估系统相匹配的安全对象；在所述多层安全评估模型中，从所选择的安全对象包括的安全保障轮廓中选择所述待评估系统的安全保障轮廓；其中，所选择的安全保障轮廓与所述待评估系统需要达到的功能相匹配；根据所选择的待评估系统的安全保障轮廓，从预设量化方法中选择量化方法；按所选择的量化方法，对获取的所述待评估系统的安全保障轮廓的数据进行量化，所述待评估系统的安全保障轮廓的数据与所选择的量化方法的参数对应；根据量化后的待评估系统的安全保障轮廓的数据，得出所述待评估系统的综合评估结果，其中，所述待评估系统包括：产品和服务的信息。进一步的，所述根据所选择的待评估系统的安全保障轮廓，从预设量化方法中选择量化方法，包括：根据所选择的待评估系统的安全保障轮廓，确定待评估系统需要达到的信息安全等级；按所确定的待评估系统需要达到的信息安全等级，从预设量化方法中确定出所需要达到的信息安全等级对应的量化方法。进一步地，所述多层安全评估模型的安全保障轮廓层，还包括指标层，所述指标层包括属于所述安全保障轮廓的保护指标、检测指标、相应指标和恢复指标；其中，每一个所述安全保障轮廓具有相同的指标；所述按所选择的量化方法，对获取的所述待评估系统的安全保障轮廓的数据进行量化，包括：在所述多层安全评估模型中，根据所选择的待评估系统的安全保障轮廓，选择指标；其中，所选择的指标为待评估系统需要进行评估的指标；按所确定的所需要达到的信息安全等级对应的量化方法，获取待评估系统的指标的数据；将所获取的待评估系统的指标的数据作为待评估系统的安全保障轮廓的数据；对获取的所述待评估系统的安全保障轮廓的数据进行量化。进一步地，所述按所选择的量化方法，对获取的所述待评估系统的安全保障轮廓的数据进行量化，包括：获取预先对各个安全保障轮廓中待定性指标数据进行定性，得到的定性指标数据；将所述定性指标数据进行量化，得到定性量化数据；该待定性指标数据包括：重要性、发生概率、成本、收益增加、避免损失及性能；通过定量量化方法，将各个安全保障轮廓的数据中除所述待定性指标数据以外的其余数据进行量化，得到的可定量度量数据。进一步地，根据量化后的待评估系统的安全保障轮廓的数据，得出所述待评估系统的综合评估结果，包括：将所选择的量化方法、量化后的待评估系统的安全保障轮廓的数据作为信息安全度量模型的输入，得到综合度量结果；将所述综合度量结果与预设的评估级别划分准则，确定所述待评估系统的需要达到的信息安全等级；将所述综合度量结果、待评估系统需要达到的信息安全等级中的安全需求对应的定义等级、功能能力对应的定义等级及评估方法对应的定义等级，作为评估计算模型的输入，得到综合评估成绩；将所述综合评估成绩作为综合评估结果。第二方面，本专利技术实施例提供了一种基于产品和服务的信息安全质量评估装置，包括：第一选择模块，用于根据获取的预设的多层安全评估模型，选择待评估系统需要达到的安全目标；所述多层安全评估模型包括安全目标层、安全对象层、安全保障轮廓层；所述安全目标层中包括至少一个安全目标；所述安全对象层包括属于每个安全目标的不同的安全对象；所述安全保障轮廓层包括属于每个安全对象的不同的安全保障轮廓；第二选择模块，用于在所述多层安全评估模型中，从所选择的安全目标包括的安全对象中选择所述待评估系统的安全对象；其中，所选择的安全对象为与所述待评估系统相匹配的安全对象；第三选择模块，用于在所述多层安全评估模型中，从所选择的安全对象包括的安全保障轮廓中选择所述待评估系统的安全保障轮廓；其中，所选择的安全保障轮廓与所述待评估系统需要达到的功能相匹配；第四选择模块，用于根据所选择的待评估系统的安全保障轮廓，从预设量化方法中选择量化方法；量化模块，用于按所选择的量化方法，对获取的所述待评估系统的安全保障轮廓的数据进行量化，所述待评估系统的安全保障轮廓的数据与所选择的量化方法的参数对应，该安全保护轮廓的数据，至少包括产品和服务的信息；处理模块，用于根据量化后的待评估系统的安全保障轮廓的数据，得出所述待评估系统的综合评估结果，其中，所述待评估系统包括：产品和服务的信息。进一步地，所述第四选择模块具体用于：根据所选择的待评估系统的安全保障轮廓，确定待评估系统需要达到的信息安全等级；按所确定的待评估系统需要达到的信息安全等级，从预设量化方法中确定出所需要达到的信息安全等级对应的量化方法。进一步地，所述多层安全评估模型的安全保障轮廓层，还包括指标层，所述指标层包括属于所述安全保障轮廓的保护指标、检测指标、相应指标和恢复指标；其中，每一本文档来自技高网...

【技术保护点】
一种基于产品和服务的信息安全质量评估方法，其特征在于，包括以下步骤：根据获取的预设的多层安全评估模型，选择待评估系统需要达到的安全目标；所述多层安全评估模型包括安全目标层、安全对象层、安全保障轮廓层；所述安全目标层中包括至少一个安全目标；所述安全对象层包括属于每个安全目标的不同的安全对象；所述安全保障轮廓层包括属于每个安全对象的不同的安全保障轮廓；在所述多层安全评估模型中，从所选择的安全目标包括的安全对象中选择所述待评估系统的安全对象；其中，所选择的安全对象为与所述待评估系统相匹配的安全对象；在所述多层安全评估模型中，从所选择的安全对象包括的安全保障轮廓中选择所述待评估系统的安全保障轮廓；其中，所选择的安全保障轮廓与所述待评估系统需要达到的功能相匹配；根据所选择的待评估系统的安全保障轮廓，从预设量化方法中选择量化方法；按所选择的量化方法，对获取的所述待评估系统的安全保障轮廓的数据进行量化，所述待评估系统的安全保障轮廓的数据与所选择的量化方法的参数对应；根据量化后的待评估系统的安全保障轮廓的数据，得出所述待评估系统的综合评估结果，其中，所述待评估系统包括：产品和服务的信息。

【技术特征摘要】
1.一种基于产品和服务的信息安全质量评估方法，其特征在于，包括以下步骤：根据获取的预设的多层安全评估模型，选择待评估系统需要达到的安全目标；所述多层安全评估模型包括安全目标层、安全对象层、安全保障轮廓层；所述安全目标层中包括至少一个安全目标；所述安全对象层包括属于每个安全目标的不同的安全对象；所述安全保障轮廓层包括属于每个安全对象的不同的安全保障轮廓；在所述多层安全评估模型中，从所选择的安全目标包括的安全对象中选择所述待评估系统的安全对象；其中，所选择的安全对象为与所述待评估系统相匹配的安全对象；在所述多层安全评估模型中，从所选择的安全对象包括的安全保障轮廓中选择所述待评估系统的安全保障轮廓；其中，所选择的安全保障轮廓与所述待评估系统需要达到的功能相匹配；根据所选择的待评估系统的安全保障轮廓，从预设量化方法中选择量化方法；按所选择的量化方法，对获取的所述待评估系统的安全保障轮廓的数据进行量化，所述待评估系统的安全保障轮廓的数据与所选择的量化方法的参数对应；根据量化后的待评估系统的安全保障轮廓的数据，得出所述待评估系统的综合评估结果，其中，所述待评估系统包括：产品和服务的信息。2.如权利要求1所述的方法，其特征在于，所述根据所选择的待评估系统的安全保障轮廓，从预设量化方法中选择量化方法，包括：根据所选择的待评估系统的安全保障轮廓，确定待评估系统需要达到的信息安全等级；按所确定的待评估系统需要达到的信息安全等级，从预设量化方法中确定出所需要达到的信息安全等级对应的量化方法。3.根据权利要求2所述的方法，其特征在于，所述多层安全评估模型的安全保障轮廓层，还包括指标层，所述指标层包括属于所述安全保障轮廓的保护指标、检测指标、相应指标和恢复指标；其中，每一个所述安全保障轮廓具有相同的指标；所述按所选择的量化方法，对获取的所述待评估系统的安全保障轮廓的数据进行量化，包括：在所述多层安全评估模型中，根据所选择的待评估系统的安全保障轮廓，选择指标；其中，所选择的指标为待评估系统需要进行评估的指标；按所确定的所需要达到的信息安全等级对应的量化方法，获取待评估系统的指标的数据；将所获取的待评估系统的指标的数据作为待评估系统的安全保障轮廓的数据；对获取的所述待评估系统的安全保障轮廓的数据进行量化。4.根据权利要求1至3任一项所述的方法，其特征在于，所述按所选择的量化方法，对获取的所述待评估系统的安全保障轮廓的数据进行量化，包括：获取预先对各个安全保障轮廓中待定性指标数据进行定性，得到的定性指标数据；将所述定性指标数据进行量化，得到定性量化数据；该待定性指标数据包括：重要性、发生概率、成本、收益增加、避免损失及性能；通过定量量化方法，将各个安全保障轮廓的数据中除所述待定性指标数据以外的其余数据进行量化，得到的可定量度量数据。5.根据权利要求1所述的方法，其特征在于，根据量化后的待评估系统的安全保障轮廓的数据，得出所述待评估系统的综合评估结果，包括：将所选择的量化方法、量化后的待评估系统的安全保障轮廓的数据作为信息安全度量模型的输入，得到综合度量结果；将所述综合度量结果与预设的评估级别划分准则，确定所述待评估系统的需要达到的信息安全等级；将所述综合度量结果、待评估系统需要达到的信息安全等级中的安全需求对应的定义等级、功能能力对应的定义等级及评估方法对应的定义等级，作为评估计算模型的输入，得到综合评估成绩；将所述综合评估成绩作为综合评估结果。6.一种基于...

【专利技术属性】
技术研发人员：陆月明，韩道岐，王冬青，
申请(专利权)人：北京邮电大学，
类型：发明
国别省市：北京,11