[发明专利]一种信息安全评估的实施用例的生成方法及系统

说明书

本申请提出了一种信息安全评估的实施用例的生成方法及系统，涉及信息安全领域。一种信息安全评估的实施用例的生成方法包括：获取信息安全评估信息中各基本要素值及源数据信息；根据基本要素值及源数据信息建立评估用例模型，评估用例模型包括各项评估标准对应的安全评估内容；利用评估用例模型计算得到待信息安全评估的风险要素值，断定是否处于安全或者不安全的状态。能够增强相关活动的规范性和一致性，改善评价效果，提高评估效率，提高评估项目的自动化管理水平。此外本申请还提出了一种信息安全评估的实施用例的生成系统，包括：信息采集模块、模型建立模块及信息安全评估模块。

技术领域

本申请涉及信息安全领域，具体而言，涉及一种信息安全评估的实施用例的生成方法及系统。

背景技术

目前，信息安全领域中的系统安全评估在实际的操作过程中一般是依据相关国家信息安全评估标准，采用以人工操作为主的方式实施。因此每个评估项目都会因实施人员的差异带有强烈的个性化特征，导致在相同的标准下，最终评估用的实施用例会也各不相同，评估的质量难以保证。

现有的以计算机为平台的评估系统通常提供一个保存了大量测试用例的数据库，在实际评估时调用相应的测试用例；而信息安全领域的评估中，情况较为复杂多变，评估标准、行业类型、应用场景、系统对象类型繁多，由其组合而成的实际评估项目的情况更是多种多样；如果照搬常规的测试用例数据库的组织思想，针对不同类型特点的系统安全评估项目分别设计一套实施用例，那么最后数据库中的实施用例数量规模将非常庞大，而且仍然有可能无法涵盖所有类型的评估项目；另外每当出现新的标准或新的行业应用时，都需要重新编写相关测试用例，工作很繁复、容易出错，应用的灵活性和扩展性都较差。因此现有的基于计算机实现的评估系统无法很好的适用于信息安全领域。

发明内容

本申请的目的在于提供一种信息安全评估的实施用例的生成方法，其能够增强相关活动的规范性和一致性，改善评价效果，提高评估效率，提高评估项目的自动化管理水平。

本申请的另一目的在于提供一种信息安全评估的实施用例的生成系统，其能够运行一种信息安全评估的实施用例的生成方法。

本申请的实施例是这样实现的：

第一方面，本申请实施例提供一种信息安全评估的实施用例的生成方法，其包括获取信息安全评估信息中各基本要素值及源数据信息；根据基本要素值及源数据信息建立评估用例模型，评估用例模型包括各项评估标准对应的安全评估内容；利用评估用例模型计算得到待信息安全评估的风险要素值，断定是否处于安全或者不安全的状态。

在本申请的一些实施例中，上述获取信息安全评估信息中各基本要素值及源数据信息包括：获取基本要素值及源数据信息中的基础数据、业务类型信息、行业类型信息、测试对象信息。

在本申请的一些实施例中，上述还包括：对源数据信息进行网络抓包，进行网络传输安全测试，得到网络传输安全测试信息，然后将网络传输安全测试信息作为信息安全评估信息。

在本申请的一些实施例中，上述根据基本要素值及源数据信息建立评估用例模型，评估用例模型包括各项评估标准对应的安全评估内容包括：根据各项评估标准的层次化关联关系，在信息安全标准库中建立层次逻辑、多个类别。

在本申请的一些实施例中，上述还包括：在建立评估用例模型时，建立安全评估内容和所保存的基本要素值及源数据信息之间的关联关系。

在本申请的一些实施例中，上述利用评估用例模型计算得到待信息安全评估的风险要素值，断定是否处于安全或者不安全的状态包括：生成的风险要素值对应的风险要素值，包括能够导致风险的安全事件和安全漏洞的概率，以及各种安全事件和安全漏洞所对应的安全风险等级。

在本申请的一些实施例中，上述还包括：利用评估用例模型计算得到待信息安全评估的风险要素值，其中，在评估用例模型中的各个安全域的风险基本要素的最大值对应的权重值最大。