本發明公開了基于等保差距分析的等保建設輔導方法及應用，涉及網絡安全技術領域。所述方法包括步驟：接收用戶選擇的等保服務對象，獲取該等保服務對象的信息系統安全現狀信息和已有資產資源信息，以及目標等保級別；基于預設的安全要求指標，從前述信息系統安全現狀信息中提取出各安全要求指標對應的相關信息；將前述安全要求指標對應的相關信息與等保要求信息進行比對，獲取等保差距分析結果；基于等保差距分析結果生成與前述已有資產資源匹配的等保建設輔導方案后輸出。本發明將等保建設輔導與等保服務對象的已有資產資源相結合，獲取了更符合對象實際情況的等保建設輔導方案，實用性強且操作簡單。

技術領域

本發明涉及網絡安全技術領域，具體涉及一種基于等保差距分析的等保建設輔導方法及應用。

背景技術

隨著GB/T 22239-2019《信息安全技術網絡安全等級保護要求》（簡稱“等保2.0”）的正式實施，對安全等保工作提出了新要求。信息安全等級保護測評（簡稱等保測評）工作是等級測評機構依據國家信息安全等級保護制度規定，按照有關管理規范和技術標準，對非涉及國家秘密信息系統安全等級保護狀況進行檢查評估的活動。

傳統的等保測評通常是以人力進行各種安全測試操作，通常是由專業人員現場測試和訪談，然后人工整理和計算測試得到的數據，編寫等保測評報告。當前，隨著信息系統逐步向云上發展，等級保護基本要求也融入云計算、大數據、移動互聯網、物聯網等技術，無論公安機關還是測評機構，在信息系統安全等級測評過程中，通常會結合半自動或自動的安全評估方法、技術工具等進行等保測評。作為舉例，比如中國專利zl2015101410972公開的一種面向等級保護的信息系統安全合規性檢查方法，其包括技術檢查工具集和等級保護檢查管理系統，技術檢查工具集用于搜集IT資產配置和脆弱性數據，等級保護檢查管理系統用于把技術檢查工具收集的IT資產配置和脆弱性數據進行集中智能關聯和合規評判，并利用每一個檢查項判定結果以及獲得的綜合評分，生成該所需檢查的IT資產的等級保護合規性報告。上述技術方案一方面可以避免因人員素質問題而影響安全評估工作，提高等保測評的客觀、公正和安全性，另一方面可以節約人力成本。

然而，現有的信息系統安全等級測評系統，比較關注的是信息系統的安全等級是否符合規定的等級保護需求。而客戶在實際的等保建設中，通常期望能根據自己的信息系統安全現狀和當前已有的資產資源，來獲取符合自己當前狀況的等保建設方案。因為客戶進行等保建設實際還是需要考慮等保建設的資源投入，等保建設的資源投入與已有的資產資源之間是具有相關性的，脫離上述相關性后，是無法得到符合企業的實際資產資源狀況的等保建設的。以安全物理環境為例，比如當防火、防水和防潮不符合要求時，基于當前的防火、防水和防潮現狀，是增加必要的防火、防水和防潮設備就可以符合對應的等保要求，還是需要建設基礎承臺，還是需要整改搬遷設備，不同方案的資源投入顯然是不同的。如果客戶恰好在臨近處有一處符合防火、防水和防潮條件的閑置建筑，也會導致不同方案的資源投入不同。

綜上所述，如何提供一種符合等保服務對象（比如企業）的當前已有的資產資源的等保建設輔導方案，是當前亟需解決的技術問題。

發明內容

本發明的目的是提供一種基于等保差距分析的等保建設輔導方法及應用。本發明在獲取等保服務對象的等保差距分析結果后，能夠基于前述等保差距分析結果生成與已有資產資源匹配的等保建設輔導方案，如此，通過將等保建設輔導與等保服務對象的已有資產資源相結合，獲取了更符合對象實際情況的等保建設輔導方案，實用性強且操作簡單。

為實現上述目標，本發明提供了如下技術方案：

一種基于等保差距分析的等保建設輔導方法，包括如下步驟：

接收用戶通過即時通信工具選擇的等保服務對象，從服務對象數據庫中獲取該等保服務對象的信息系統安全現狀信息和已有資產資源信息；以及，獲取前述等保服務對象的目標等保級別；

基于預設的安全要求指標，從前述信息系統安全現狀信息中提取出各安全要求指標對應的相關信息；