阅读说明：本技术 一种网络信息系统的安全等级确定方法和装置 (Method and device for determining security level of network information system ) 是由 张治兵 倪平 周开波 于 2018-08-15 设计创作，主要内容包括：本申请提供了一种网络信息系统的安全等级确定方法和装置,该方法包括：获取一类网络信息系统每个风险点的风险等级；根据每个风险点的风险等级确定该类网络信息系统的M个脆弱性的脆弱性等级；根据M个脆弱性及脆弱性等级确定该类网络信息系统中的任一网络信息系统存在的R个脆弱性,以及R个脆弱性分别对应的脆弱性等级,其中,R为不大于M的整数；根据确定的R个脆弱性,以及对应的脆弱性等级确定该网络信息系统的安全等级。该方法能够基于风险和脆弱性评估整个网络信息系统的安全等级。(The application provides a method and a device for determining the security level of a network information system, wherein the method comprises the following steps: acquiring the risk level of each risk point of a network information system; determining the vulnerability grades of M vulnerabilities of the network information system according to the risk grade of each risk point; determining R vulnerabilities existing in any network information system in the network information system according to the M vulnerabilities and the vulnerability grades, and the vulnerability grades corresponding to the R vulnerabilities respectively, wherein R is an integer not greater than M; and determining the security level of the network information system according to the determined R vulnerabilities and the corresponding vulnerability levels. The method can evaluate the security level of the whole network information system based on the risk and the vulnerability.)

一种网络信息系统的安全等级确定方法和装置

技术领域

本发明涉及网络安全和互联网服务的技术领域，特别涉及一种互网络信息系统的安全等级确定方法和装置。

背景技术

互联网服务范围很广泛，包括通过互联网向用户提供的各种服务，例如互联网接入服务(宽带、4G/5G等)、云计算服务(IaaS、PaaS、SaaS等)、社交网络服务(微博、微信等)、电子商务服务(淘宝、京东等)、互联网金融服务等。

云计算服务是一种典型的互联网服务。云计算是通过网络访问可扩展的、灵活的物理或虚拟共享资源池，并可按需自助获取和管理资源的模式。云计算服务就是使用定义的接口，借助云计算提供一种或多种资源的能力。

根据资源共享的对象，可以将云计算服务分为公有云、私有云和混合云。公有云通常指第三方提供商为用户提供的能够使用的云，公有云一般可通过Internet使用。不同的用户被称为租户，共享云计算资源。私有云是为一个用户单独使用而构建的，用户拥有云计算基础设施，并可以控制在此基础设施上部署应用程序的方式。私有云可部署在企业数据中心的防火墙内，也可以将它们部署在一个安全的主机托管场所，私有云的核心属性是专有资源。混合云融合了公有云和私有云，用户一般将数据存放在私有云中，使用公有云的计算资源。

我国现行的通用网络信息系统安全评估包括信息系统等级测评和信息安全风险评估两种。信息系统等级测评流程分为系统定级、系统备案、审核、等保测评等环节。依据的主要标准如下：

(1)、计算机信息系统的安全等级保护划分准则(GB 17859-1999)(基础类标准)；

(2)、信息系统的安全等级保护实施指南(GB/T 25058-2010)(基础类标准)；

(3)、信息系统安全保护等级定级指南(GB/T 22240-2008)(应用类定级标准)；

(4)、信息系统的安全等级保护基本要求(GB/T 22239-2008)(应用类建设标准)；

(5)、信息系统通用安全技术要求(GB/T 20271-2006)(应用类建设标准)；

(6)、信息系统等级保护安全设计技术要求(GB/T 25070-2010)(应用类建设标准)；

(7)、信息系统的安全等级保护测评要求(GB/T 28448-2012)(应用类测评标准)；

(8)、信息系统的安全等级保护测评过程指南(GB/T 28449-2012)(应用类测评标准)；

(9)、信息系统安全管理要求(GB/T 20269-2006)(应用类管理标准)；

(10)、信息系统安全工程管理要求(GB/T 20282-2006)(应用类管理标准)。

信息安全风险评估是信息安全保障的基础性工作和重要环节，贯穿于网络和信息系统建设运行的全过程。服务提供者通过对信息系统提供风险评估服务，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全整改措施，防范和消除信息安全风险，或将风险控制在可接受的水平，为网络和信息安全保障提供科学依据。主要依据的标准是《GB/T20984-2007信息安全技术信息安全风险评估规范》。

现有标准中对信息系统的风险进行了分析评估，并未对信息系统的安全等级进行确定，以及量化。

发明内容

有鉴于此，本申请提供一种网络信息系统的安全等级确定方法和装置，能够基于风险和脆弱性评估整个网络信息系统的安全等级。

为解决上述技术问题，本申请的技术方案是这样实现的：

一种网络信息系统的安全等级确定方法，其特征在于，该方法包括：

获取一类网络信息系统每个风险点的风险等级；

根据每个风险点的风险等级确定该类网络信息系统的M个脆弱性的脆弱性等级；

根据M个脆弱性及脆弱性等级确定该类网络信息系统中的任一网络信息系统存在的R个脆弱性，以及R个脆弱性分别对应的脆弱性等级，其中，R为不大于M的整数；

根据确定的R个脆弱性，以及对应的脆弱性等级确定该网络信息系统的安全等级。

一种网络信息系统的安全等级确定装置，该装置包括：获取单元、第一确定单元、第二确定单元和第三确定单元；

所述获取单元，用于获取一类网络信息系统每个风险点的风险等级；

所述第一确定单元，用于根据每个风险点的风险等级确定所述获取单元获取的该类网络信息系统的M个脆弱性的脆弱性等级；

所述第二确定单元，用于根据所述第一确定单元确定的M个脆弱性及脆弱性等级确定该类网络信息系统中的任一网络信息系统存在的R个脆弱性，以及R个脆弱性分别对应的脆弱性等级，其中，R为不大于M的整数；

所述第三确定单元，用于根据所述第二确定单元确定的R个脆弱性，以及对应的脆弱性等级确定该网络信息系统的安全等级。

由上面的技术方案可知，本申请中通过引用现有确定风险等级的过程反向确定脆弱性的脆弱性等级，再使用确定的脆弱性等级进一步确定网络信息系统的安全等级。该方案能够基于风险和脆弱性评估整个网络信息系统的安全等级。

附图说明

图1为本申请实施例中实现信息系统的安全等级的流程示意图；

图2为本申请实施例中应用于上述技术的装置结构示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，下面结合附图并举实施例，对本发明的技术方案进行详细说明。

本申请实施例中提供一种网络信息系统的安全等级确定方法，通过引用现有确定风险等级的过程反向确定脆弱性的脆弱性等级，再使用确定的脆弱性等级进一步确定网络信息系统的安全等级。该方案能够基于风险和脆弱性评估整个网络信息系统的安全等级。

下面结合附图，详细说明本申请实施例中实现网络信息系统的安全等级确定过程。

在下文为了描述方便，将执行确定网络信息系统的安全等级的设备称为设备，该设备可以执行下述图1的所有步骤，也可以执行每个步骤为一个设备，本申请实施例中以执行图1的所有步骤为1个设备为例。

参见图1，图1为本申请实施例中实现信息系统的安全等级的流程示意图。具体步骤为：

步骤101，设备获取一类网络信息系统每个风险点的风险等级。

本步骤的实现可以获取现有实现的任一种实现方法实现确定的一类网络信息系统的每个风险点的风险等级，也可以是通过某种方式确定后存储的数据库中，直接从数据库中获取即可，下面给出简要确定一类网络信息系统的每个风险点的风险等级过程的描述：

信息安全风险评估是从风险管理角度，运用科学的方法和手段，系统分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度。

风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开，在对基本要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、参与风险等与这些基本要素相关的各类属性。

风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。

风险分析的主要内容为：

a)对资产进行识别，并对资产的价值进行赋值；

b)对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；

c)对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；

d)根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性；

e)根据脆弱性的严重程度及安全事件所作用的资产价值计算安全事件造成的损失；

f)根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。

对网络信息系统进行风险分析，建立风险与脆弱性、资产等要素的映射关系模型；一类网络信息系统中可能存在多个风险点，针对每个风险点建立的模型，可以记为公式R＝E(A,V,T)，其中，A代表资产价值，V代表脆弱性严重程度，T代表威胁程度，E代表风险分析模型，R代表每个风险点的风险等级。

至于风险等级分几等，可以根据采用的具体实现方式确定，本申请实施例中对此不进行限制。一般来说，可以根据现行的国际、国内标准、专家经验等形成等级化的一类网络信息系统风险值。

在具体实现时，针对风险等级的值与风险等级的关系，可以如下：

当风险等级的值越大，系统风险越高；

或，

当风险等级的值越大，系统风险越低。

本申请对此不做限制，如果现有的某种实现风险等级的方式为：高、中、低，可以对应本申请的具体实现方式将其量化为1、2、3，或3、2、1。

步骤102，该设备根据每个风险点的风险等级确定该类网络信息系统的M个脆弱性的脆弱性等级。

本步骤中根据确定的每个风险点的风险等级确定该网络信息系统的M个脆弱性的脆弱性等级，具体包括：

当任一脆弱性对应一个风险点时，确定该脆弱性的脆弱性等级为该风险点的风险等级；

当任一脆弱性对应多个风险点时，确定该脆弱性的脆弱性等级为所述多个风险点中风险等级值最高的风险点的风险等级。

M为大于0的整数。

下面以M为3，系统配置的安全等级的总个数为4为例。

针对该网络信息系统对应的脆弱性确定为3个，分别为V1、V2、V3，系统安全等级分别为第一级、第二级、第三级和第四级。第一等级对应的值为1，第二等级对应的值为2，第三等级对应的值为3，第四等级对应的值为4。脆弱性的脆弱性等级对应的值越大，对信息系统的危害越大。

若V1对应一个风险点，则V1的安全等级为该风险点对应的风险等级；如对应的风险等级为第二级，则V1的脆弱性等级的值为2；

若V2对应多个风险点，则V2的安全等级为所述多个风险等级中风险等级值最高的风险点的风险等级；如对应的风险等级为第三级，则V1的脆弱性等级的值为3；

若V3对应一个风险点，则V3的安全等级为该风险点对应的风险等级；如对应的风险等级为第三级，则V1的脆弱性等级的值为3。

本申请实施例是应用于网络信息系统提供同一类服务的场景中，在该场景中，无论服务提供者是谁，所面临的威胁是一致的，这样威胁程度就是一致的；由于脆弱性是资产自身的属性，因此，脆弱性和资产之间存在函数关系，可以相互转换，即可以使用脆弱性来表示资产，这样在进行安全等级确定时，仅考虑脆弱性是一种完全可行的方案。

因此，建立的风险模型R＝E(A,V,T)可以简化为R＝E(V(A),C(T))；

其中，T为常量，可以记为C(T)，脆弱性V是资产自身的属性，V和A是相关量，记为V(A)。

这样简化后，每个风险点的等级只同脆弱性这个变量有关，因此，使用风险等级来确定脆弱性的脆弱性等级是合理的。

步骤103，该设备根据M个脆弱性及脆弱性等级确定该类网络信息系统中的任一网络信息系统存在的R个脆弱性，以及R个脆弱性分别对应的脆弱性等级，其中，R为不大于M的整数。

本步骤中根据M个脆弱性及脆弱性等级确定该类网络信息系统中的任一网络信息系统存在的R个脆弱性，以及R个脆弱性分别对应的脆弱性等级，具体包括：

使用该类信息系统中的M个脆弱性过滤所述信息系统中存在针对对应脆弱性措施的脆弱性，将过滤后的所述信息系统中存在的R个脆弱性作为该信息系统的脆弱性，并根据所述M个脆弱性确定该R个脆弱性的脆弱性等级。

即将一个信息系统中存在对应安全措施的脆弱性过滤掉，只留下与该类型信息系统中匹配且不存在安全措施的脆弱性。

如M为100，该网络信息系统中存在100个中的80个脆弱性，且其中的30个脆弱性存在安全措施，则经过过滤后，该网络信息系统存在50个脆弱性。

步骤104，该设备根据确定的R个脆弱性，以及对应的脆弱性等级确定该网络信息系统的安全等级。

本步骤中根据确定的R个脆弱性，以及对应的脆弱性等级确定该网络信息系统的安全等级，包括：

当所述R个脆弱性的脆弱等级的值中存在N-i，且不存在大于N-i的值时，确定该信息系统的安全等级的值为i+1；其中，N为系统配置的安全等级的总个数；i为0到N-1的整数；当R为0时，系统的安全等级为最高等级。R等于0时，说明该网络信息系统中不存在脆弱性，则该网络信息系统的安全性最高。

如针对步骤102中的举例，假设M＝3，R＝3，则三个脆弱性对应的脆弱性等级的值分别为：2、3、3。

针对本步骤中N等于4时，最大值为3，相当于i＝1的情况，则确定该信息系统的安全等级为i+1，即1+1＝2。

本申请实施例中，当风险等级的值越大，系统风险越高时，系统脆弱性的值越大，系统脆弱性越高，即对系统危害越大；系统安全等级的值越大，系统安全性越高；

当风险等级的值越大，系统风险越低时，系统脆弱性的值越大，系统脆弱性越低；系统安全等级的值越大，系统安全性越低。

基于同样的发明构思，本申请实施例中还提出一种网络信息系统的安全等级确定装置。参见图2，图2为本申请实施例中应用于上述技术的装置结构示意图。该装置包括：获取单元201、第一确定单元202、第二确定单元203和第三确定单元204；

获取单元201，用于获取一类网络信息系统每个风险点的风险等级；

第一确定单元202，用于根据每个风险点的风险等级确定获取单元201获取的该类网络信息系统的M个脆弱性的脆弱性等级；

第二确定单元203，用于根据第一确定单元202确定的M个脆弱性及脆弱性等级确定该类网络信息系统中的任一网络信息系统存在的R个脆弱性，以及R个脆弱性分别对应的脆弱性等级，其中，R为不大于M的整数；

第三确定单元204，用于根据第二确定单元203确定的R个脆弱性，以及对应的脆弱性等级确定该网络信息系统的安全等级。

较佳地，

第一确定单元202，具体用于根据每个风险点的风险等级确定该类网络信息系统的M个脆弱性的脆弱性等级时：当任一脆弱性对应一个风险点时，确定该脆弱性的脆弱性等级为该风险点的风险等级；当任一脆弱性对应多个风险点时，确定该脆弱性的脆弱性等级为所述多个风险点中风险等级值最高的风险点的风险等级。

较佳地，

第三确定单元204，具体用于根据确定的R个脆弱性，以及对应的脆弱性等级确定该网络信息系统的安全等级时：当所述R个脆弱性的脆弱等级的值中存在N-i，且不存在大于N-i的值时，确定该信息系统的安全等级的值为i+1；当R为0时，系统的安全等级为最高等级；其中，N为系统配置的该类网络信息系统的安全等级的总个数；i为0到N-1的整数。

较佳地，

当风险等级的值越大，系统风险越高时，系统脆弱性的值越大，系统脆弱性越高；系统安全等级的值越大，系统安全性越高；

当风险等级的值越大，系统风险越低时，系统脆弱性的值越大，系统脆弱性越低；系统安全等级的值越大，安全性越低。

较佳地，

第二确定单元203，具体用于根据M个脆弱性及脆弱性等级确定该类网络信息系统中的任一网络信息系统存在的R个脆弱性，以及R个脆弱性分别对应的脆弱性等级时：使用该类信息系统中的M个脆弱性过滤所述信息系统中存在针对对应脆弱性措施的脆弱性，将过滤后的所述信息系统中存在的R个脆弱性作为该信息系统的脆弱性，并根据所述M个脆弱性确定该R个脆弱性的脆弱性等级。

上述实施例的单元可以集成于一体，也可以分离部署；可以合并为一个单元，也可以进一步拆分成多个子单元。

综上所述，本申请通过引用现有确定风险等级的过程反向确定脆弱性的脆弱性等级，再使用确定的脆弱性等级进一步确定网络信息系统的安全等级。该方案能够基于风险和脆弱性评估整个网络信息系统的安全等级。

从风险的角度来评估整个互联网服务的安全性，而不是单纯的拘泥于一些具体的技术要求。这种方式一是，能够涉及到互联网服务的方方面面，能够全盘考虑整个系统的安全性；二是，能够适应技术的发展，当互联网有了新的技术，其安全要求必然也要更新，而采用基于风险的互联网服务安全评价模型，可以不受新技术的影响。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。