[发明专利]一种用于计算机信息系统安全等级保护的综合定级方法

权利要求书

1.一种用于计算机信息系统安全等级保护的综合定级方法，其特征在于：所述的方法包括：

一、确定定级对象

将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象；作为定级对象的信息系统具有唯一确定的安全责任单位、具有信息系统的基本要素、承载单一或相对独立的业务应用；

二、确定受侵害的客体

定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益；

三、确定对客体的侵害程度

根据不同的受侵害客体、不同危害后果分别确定其危害程度，将不同危害后果的三种危害程度描述如下：一般损害、严重损害、特别严重损害；

四、确定定级对象的安全保护等级

根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据业务信息安全保护等级矩阵表，得到业务信息安全保护等级；

根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据系统服务安全保护等级矩阵表，得到系统服务安全保护等级；

作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。

2.根据权利要求1所述的综合定级方法，其特征在于：所述的受侵害的客体确定是首先判断是否侵害国家安全，然后判断是否侵害社会秩序或公众利益，最后判断是否侵害公民、法人和其他组织的合法权益；从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。

3.根据权利要求1所述的综合定级方法，其特征在于：所述的业务信息安全保护等级如下表所示：

所述的系统服务安全保护等级如下表所示：

4.根据权利要求2所述的综合定级方法，其特征在于：所述的业务信息安全保护等级如下表所示：

所述的系统服务安全保护等级如下表所示：

5.根据权利要求1至4任一项所述的综合定级方法，其特征在于：采用层次分析法来进客体被侵害程度的定量确定；包括建立层次分析模型、构造成对比较矩阵和计算客体被侵害的程度；

所述的建立层次分析模型，是在深入分析实际问题的基础上，将有关的因素按照不同属性自上而下地划分为若干层次，同一层的所有因素从属于上一层的因素或对影响上层因素，同时也支配下一层的因素或被下层因素所影响；

所述的构造成对比较矩阵；

从层次分析模型的第2层开始，对于从属于或影响上一层每个因素的同一层诸因素，用成对比较法和1-9比较尺度构建成对比较矩阵，直到最下层；

在比较第i个元素与第j个元素相对上一层某个因素的重要性时，使用数量化的相对权重m_ij来描述；设共有n个元素参与比较，则M＝(m_ij)n*n称为成对比较矩阵；对成对比较矩阵中m_ij的取值可参考按下述标度进行赋值；mij在1-9及其倒数中间取值；

mij＝1，元素i同元素j对上一层次因素的重要性相同；

mij＝3，元素i比元素j略重要；

mij＝5，元素i比元素j重要；

mij＝7，元素i比元素j重要得多；

mij＝9，元素i比元素j极其重要；

mij＝2n，n＝1，2，3，4，元素i与元素j的重要性在mij＝2n-1与mij＝2n+1之间；

mij＝1/n，n＝1，2，...，9，当且仅当mji＝n；

因此，mij>0，mij＝1，mij＝1/mij；

所述的计算客体被侵害的程度，是在计算出每个评价因素的权重后，在同一标准体系下进行评价，将每个评价因素的实际数值采用Decimal scaling小数定标标准化方法进行归一化，通过归一化因子，将每个评价因素的取值范围限定于[0，1]；

定义：损害值D(Oi)为客体Oi被侵害的分值；

D(Oi)∈(0，0.3]，则定义该客体受到的损害为一般损害；

D(Oi)∈(0.3，0.8]，则定义该客体受到的损害为严重损害；

D(Oi)∈(0.8，1]，则该客体受到的损害为特别严重损害；

实践中，可根据需要调整区间大小。