[发明专利]一种网络安全成熟度的计算方法和模型

权利要求书

1.一种网络安全成熟度的计算方法，其特征在于，包括网络安全成熟度指标的建立；成熟度指标的权重确定；成熟度数值的计算；成熟度评定。

2.根据权利要求1所述的网络安全成熟度的计算方法，其特征在于，成熟度模型指标包括五个域：安全识别，安全防护，检测评估，监测分析，响应恢复。

3.根据权利要求2所述的网络安全成熟度的计算方法，其特征在于，包括6个对象：制度体系，组织架构，资产识别，风险管理，漏洞管理，供应链管理，其中，上述6个对象分别包含m_i(i≤6)个安全控制措施。

4.根据权利要求2所述的网络安全成熟度的计算方法，其特征在于，包括12个对象：访问控制，物理安全，表示鉴别，网络安全，数据安全，安全审计，配置管理，介质保护，人员安全，意识培训，系统开发，运营维护，其中，上述12个对象分别包含n_i(i≤12)个安全控制措施。

5.根据权利要求2所述的网络安全成熟度的计算方法，其特征在于，包括5个对象：合规管理，等级保护，渗透测试，安全检查，风险评估，其中，上述5个对象分别包含r_i(i≤5)个安全控制措施。

6.根据权利要求2所述的网络安全成熟度的计算方法，其特征在于，包括8个对象：监测制度体系，物理访问监测，人员行为监测，网络攻击监测，恶意代码监测，垃圾邮件监测，网络状态监测，应用状态监测，其中，上述8个对象分别包含q_i(i≤8)个安全控制措施。

7.根据权利要求2所述的网络安全成熟度的计算方法，其特征在于，包括多6个对象：应急响应计划，灾难恢复管理，安全事件管理，安全事件报告，安全事件处置，沟通优化改进，其中，上述6个对象分别包含t_i(i≤6)个安全控制措施。

8.根据权利要求1所述的网络安全成熟度的计算方法，其特征在于，可根据评估领域和范围，调整模型中指标的权重，根据模型中指标的层级，可将权重分为三级：域指标权重，对象指标权重，措施指标权重。

9.根据权利要求8所述的网络安全成熟度的计算方法，其特征在于，第j个域指标权重可表示为满足其中j为整数，上标d表示域；第j个域中的第k个对象指标的权重可表示为满足其中k的取值范围由不同的域中对象个数决定，上标o表示Object；第j个域中的第k个对象的第l个安全措施的权重可表示为满足其中l的取值范围由不同的对象中措施的个数决定。

10.根据权利要求1所述的网络安全成熟度的计算方法，其特征在于，通过对每个安全措施进行打分赋值，每个安全措施的打分分为0～5分，间隔为1，利用加权平均法，从安全措施到对象再到域进行加权计算，从而得到组织网络系统的成熟度值。

11.根据权利要求1所述的网络安全成熟度的计算方法，其特征在于，将成熟度分为5个等级。

12.根据权利要求11所述的网络安全成熟度的计算方法，其特征在于，结合成熟度数值计算结果，可定级出组织的网络安全成熟度。

13.一种网络安全成熟度的计算模型，其特征在于，包括：网络安全成熟度指标的建立模块；成熟度指标的权重确定模块；成熟度数值的计算模块；成熟度评定模块。

14.根据权利要求13所述的网络安全成熟度的计算模型，其特征在于，所述网络安全成熟度指标的建立模块用于建立成熟度评估中需要使用的指标，指标分为3个层级：域，对象，措施，其中，域包含6个指标，每个域指标包含数量不等的对象指标，每个对象指标包含数量不等的安全措施指标。