技術領域

本發明涉及一種基于元數據的安全基線庫動態構建方法，屬于信息安全技術領域。

背景技術

安全基線用于描述計算機安全運行的所有相關配置和管理設置，包括服務和應用程序的設置、操作系統的配置、權限和權利分配等，作為整個信息系統的最小安全保證，各國對安全基線都提出了相關的標準及指導意見，例如美國的NIST SP800-53和中國的計算機信息安全保護等級劃分準則(以下簡稱等級保護標準)等。

在我國，實施具體安全基線項目時，項目組會根據其所在的行業特性結合等級保護標準構建安全基線庫，由于不同的行業，其業務需求和安全保護要求不同，所以，不同行業安全基線庫中基線的組織形式不同，例如有些是按照類-族-安全控制進行組織，有些是按照設備類型-設備-基線項-基線要求進行組織；同時，安全基線庫中最底層的基線要求的屬性也不同，具體屬性根據項目的實際業務需求調整變化。現有的安全基線庫構建方法，一般是針對各行業分別構建，無法根據不同業務、不同安全性要求動態配置、調整基線庫，額外增加了開發和維護成本。

發明內容

鑒于上述原因，本發明的目的在于提供一種基于元數據的安全基線庫動態構建方法，能夠動態的構建安全基線庫，滿足不同的業務需求和安全性要求。

為實現上述目的，本發明采用以下技術方案：

一種基于元數據的安全基線庫動態構建方法，包括以下步驟：

根據業務需要和安全性要求，制定安全基線；

以該安全基線為基礎，構建安全基線庫的層次模型，包括：

確定安全層面；

確定基線要求點；

確定基線要求點的擴展屬性及擴展屬性值；

構建用于描述各安全層面之間、安全層面與基線要求點之間關系的安全體系結構。

所述安全基線庫的層次模型為擴展的樹型結構，其中，所述安全層面可以是父節點、子節點，所述基線要求點是子節點，所述基線要求點的擴展屬性是該基線要求點屬性的橫向擴展。

所述安全層面的屬性信息包括：安全層面編號、安全層面名稱、使用狀態。

所述基線要求點的屬性信息包括：基線要求點編號、基線要求點名稱、優先級、權重、使用狀態。

所述基線要求點的擴展屬性信息包括：擴展屬性編號、擴展屬性編碼、擴展屬性名稱、擴展屬性說明、擴展屬性數據類型、擴展屬性小數個數、使用狀態。

所述基線要求點的擴展屬性值信息包括：擴展屬性值編號、所屬的擴展屬性編號、所屬的基線要求點編號、擴展屬性值、使用狀態。

所述安全體系結構的屬性信息包括：體系編號、父節點編號、父節點類型、子節點編號、子節點類型、使用狀態。

所述安全基線以等級保護標準為基礎。

本發明的優點在于：

1、本發明能夠動態構建安全基線庫，使其在滿足等級保護標準的基礎上，能夠滿足不同行業的業務需要和安全性要求，降低了開發和維護成本；

2、本發明能夠動態調整安全基線庫，既能夠避免基線過高導致的資源浪費和限制過度，又能夠避免基線過低導致的安全性不高等問題。

附圖說明

圖1是本發明的方法流程示意圖。

圖2是本發明一具體實施例構建的部分安全基線庫模型。

圖3是圖2所示具體實施例參考的等級保護標準。

具體實施方式

以下結合附圖和實施例對本發明作進一步的詳細說明。

圖1是本發明的方法流程示意圖。如圖所示，本發明公開的基于元數據的安全基線庫動態構建方法，包括以下步驟：

S1：根據業務需要和安全性要求，制定安全基線；

制定的安全基線應以等級保護標準為基礎，依據行業特性，同時能夠滿足行業的業務需要和安全性要求。

S2：在安全基線的基礎上，構建安全基線庫模型。

構建安全基線庫模型的方法是：

S21：確定安全層面；

安全層面的屬性信息包括：安全層面編號、安全層面名稱、使用狀態等。

S22：確定基線要求點；

基線要求點的屬性信息包括：基線要求點編號、基線要求點名稱、優先級、權重、使用狀態等。

S23：確定基線要求點的擴展屬性及擴展屬性值；