技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)安全技術(shù)領(lǐng)域，尤其是一種用于計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)的綜合定級(jí)方法。

背景技術(shù)

等級(jí)保護(hù)是：有關(guān)單位按照國(guó)家相關(guān)法律和國(guó)家標(biāo)準(zhǔn)，根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民法人和其他組織的合法權(quán)益的危害程度等因素，對(duì)重要的信息系統(tǒng)確定其應(yīng)該達(dá)到的安全保護(hù)等級(jí)(分為5個(gè)級(jí)別)，信息系統(tǒng)安全保護(hù)能力隨著其被確定的安全保護(hù)等級(jí)的增高，逐漸增強(qiáng)。在對(duì)信息系統(tǒng)進(jìn)行定級(jí)、采取安全防衛(wèi)措施后，還需要確認(rèn)該系統(tǒng)是否已經(jīng)達(dá)到相應(yīng)的保護(hù)等級(jí)及在未達(dá)到的情況下給出整改方案。其中，業(yè)務(wù)信息安全是指確保信息系統(tǒng)內(nèi)信息的保密性、完整性和可用性等。系統(tǒng)服務(wù)安全是指確保信息系統(tǒng)可以及時(shí)、有效地提供服務(wù)，以完成預(yù)定的業(yè)務(wù)目標(biāo)。

按照《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》等法規(guī)和標(biāo)準(zhǔn)，信息系統(tǒng)的安全等級(jí)保護(hù)流程分為：確定等級(jí)、安全建設(shè)、等級(jí)測(cè)評(píng)、安全整改、安全檢查等五個(gè)步驟。本發(fā)明專(zhuān)利利用層次分析法，通過(guò)定量計(jì)算，確定信息系統(tǒng)應(yīng)達(dá)到的信息安全保護(hù)等級(jí)，從而為開(kāi)展后續(xù)信息系統(tǒng)的安全等級(jí)保護(hù)工作奠定基礎(chǔ)。

現(xiàn)有方法對(duì)信息系統(tǒng)的定級(jí)流程如附圖1所示，分為以下幾個(gè)步驟：(1)確定作為定級(jí)對(duì)象的信息系統(tǒng)；(2)確定該定級(jí)對(duì)象的業(yè)務(wù)信息安全保護(hù)等級(jí)；(3)確定該定級(jí)對(duì)象的系統(tǒng)服務(wù)安全保護(hù)等級(jí)；(4)選擇兩個(gè)保護(hù)等級(jí)中最高者作為定級(jí)對(duì)象的最終保護(hù)等級(jí)。

針對(duì)定級(jí)流程的第(2)和第(3)步，又具體分為以下幾步。

(1)確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體；(2)分別評(píng)定業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全被破壞對(duì)客體的侵害程度；(3)分別依據(jù)業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣和系統(tǒng)服務(wù)安全保護(hù)等級(jí)矩陣，得到業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)。

現(xiàn)有方法在定級(jí)流程的第二和第三步，即評(píng)定定級(jí)對(duì)象的業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)時(shí)，國(guó)家標(biāo)準(zhǔn)GB?17859-1999《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》(以下簡(jiǎn)稱(chēng)“指南”)中建議各行業(yè)可根據(jù)本行業(yè)信息特點(diǎn)和系統(tǒng)服務(wù)特點(diǎn)，制定客體被侵害程度的綜合評(píng)定方法。

現(xiàn)實(shí)中缺乏一套通用的準(zhǔn)則和方法，因此在評(píng)價(jià)客體被侵害程度時(shí)受到人為因素的影響程度較大，主觀(guān)性強(qiáng)，對(duì)定級(jí)結(jié)果產(chǎn)生不利影響，如果定級(jí)不夠準(zhǔn)確，則將影響該信息系統(tǒng)的后續(xù)防護(hù)工作，留下較大的信息安全隱患。

現(xiàn)有定級(jí)工作只是按照指南給出的建議，主觀(guān)決定客體受到多大程度的侵害，然后對(duì)照兩個(gè)安全保護(hù)等級(jí)矩陣確定一個(gè)信息系統(tǒng)的安全保護(hù)等級(jí)，隨意性成分很大，未充分考慮定級(jí)過(guò)程中多個(gè)因素對(duì)定級(jí)準(zhǔn)確性的影響，很有可能定義了低于該信息系統(tǒng)實(shí)際安全防護(hù)等級(jí)的級(jí)別，給安全防護(hù)工作帶來(lái)較大的隱患。

發(fā)明內(nèi)容

本發(fā)明解決的技術(shù)問(wèn)題在于提供一種用于計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)的綜合定級(jí)方法；采取定性與定量結(jié)合的方式，克服現(xiàn)有定級(jí)工作中存在的：定級(jí)缺乏可行的準(zhǔn)則、定級(jí)結(jié)果主觀(guān)成分大、定量不足的缺點(diǎn)，提高信息系統(tǒng)的安全保護(hù)等級(jí)的定級(jí)準(zhǔn)確性，從而在接下來(lái)的安全建設(shè)環(huán)節(jié)根據(jù)定級(jí)結(jié)果做好重要信息系統(tǒng)的安全防護(hù)。

本發(fā)明解決上述技術(shù)問(wèn)題的技術(shù)方案是：

所述的方法包括：

一、確定定級(jí)對(duì)象

將較大的信息系統(tǒng)劃分為若干個(gè)較小的、可能具有不同安全保護(hù)等級(jí)的定級(jí)對(duì)象；作為定級(jí)對(duì)象的信息系統(tǒng)具有唯一確定的安全責(zé)任單位、具有信息系統(tǒng)的基本要素、承載單一或相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用；

二、確定受侵害的客體

定級(jí)對(duì)象受到破壞時(shí)所侵害的客體包括國(guó)家安全、社會(huì)秩序、公眾利益以及公民、法人和其他組織的合法權(quán)益；

三、確定對(duì)客體的侵害程度

根據(jù)不同的受侵害客體、不同危害后果分別確定其危害程度，將不同危害后果的三種危害程度描述如下：一般損害、嚴(yán)重?fù)p害、特別嚴(yán)重?fù)p害；

四、確定定級(jí)對(duì)象的安全保護(hù)等級(jí)

根據(jù)業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體以及對(duì)相應(yīng)客體的侵害程度，依據(jù)業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表，得到業(yè)務(wù)信息安全保護(hù)等級(jí)；

根據(jù)系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體以及對(duì)相應(yīng)客體的侵害程度，依據(jù)系統(tǒng)服務(wù)安全保護(hù)等級(jí)矩陣表，得到系統(tǒng)服務(wù)安全保護(hù)等級(jí)；

作為定級(jí)對(duì)象的信息系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)的較高者決定。