一种基于等级保护的安全测评方法及系统与流程

1.本发明涉及等级保护测评技术领域，更具体的说是涉及一种基于等级保护的安全测评方法及系统。


背景技术：

2.近年来，信息技术以及网络技术飞速发展，人们的生活也受到了越来越多的影响。从政府机关到企事业单位以及教育机构越来越多地使用信息系统处理业务。在享受到信息系统带来的便利的同时，也受到了信息系统安全问题的威胁。
3.信息安全等级保护是对信息和信息载体按照重要性等级分别进行保护的安全工作。其中的第四个阶段是信息系统安全等级测评，信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。依法落实信息安全等级保护工作，既能够快速了解和掌握企业信息安全现状，亦能有效提升企业网络安全意识、完善安全管理体系、提高安全防护水平。
4.现阶段测评大多依赖于专业的测评机构，但是面对信息系统基数不断扩大的趋势，目前的测评机构已无法满足现阶段的测评需求，并且针对以往已测评的信息系统，也会提出变更复测等情况，部分待测评单位需求比较紧急，可能会造成测评机构疲于应付，测评效率低，并且测评不够全面。
5.因此，如何提高等级保护测评结果的准确性和全面性，是本领域技术人员亟需解决的问题。


技术实现要素：

6.有鉴于此，本发明提供了一种基于等级保护的安全测评方法及系统。
7.为了实现上述目的，本发明提供如下技术方案：
8.一种基于等级保护的安全测评方法，包括以下步骤：
9.步骤1、获取待测网络设备的登陆信息、所述待测网络设备的配置信息、所述待测网络设备的等保级别；
10.步骤2、所述配置信息包括待测网络设备的类型，依据所述待测网络设备的类型，调取测评脚本库中该类型网络设备对应的测评脚本；
11.步骤3、所述测评脚本依据所述登陆信息登陆至所述待测网络设备，进行测评，基于评分结果与等级保护指标，获取第一测评结果；
12.步骤4、所述测评脚本登陆至所述待测网络设备后，还用于扫描当前待测网络设备下配置的工控元器件配置信息，基于所述工控元器件的配置信息，获取第二测评结果；
13.步骤5、基于所述第一测评结果和第二测评结果，得到待测网络设备所对应的安全测评结果。
14.可选的，所述待测网络设备的类型包括计算器、路由器、网关、交换机。
15.可选的，所述工控元器件包括变频器、工控机、传感器。
16.可选的，所述测评脚本库中存储有多种网络设备类型及测评脚本，每种类型网络设备与测评脚本之间均形成一一对应的映射关系。
17.可选的，所述步骤3具体包括：
18.步骤3.1、使用测评脚本对待测网络设备进行测评，得到待测网络设备的评分结果；
19.步骤3.2、基于待测网络设备的等保级别，调取等级保护指标库中对应等保级别的指标列表；
20.步骤3.3、将每一项测评内容的评分结果与指标列表中对应的指标值进行作差，并基于得到的差值以及指标值，得到每一项测评内容的风险率；
21.步骤3.4、调取预设的权重库中该类型网络设备对应的权重列表；
22.步骤3.5、基于所述权重列表以及每一项测评内容的风险率，得到第一测评结果。
23.可选的，对待测网络设备进行测评的内容包括身份鉴别检查、访问控制措施检查、审计容完整性检查、入侵防范措施检查、链接控制措施、恶意代码防范措施检查。
24.可选的，所述步骤4具体包括：
25.步骤4.1、使用测评脚本扫描当前待测网络设备下配置的工控元器件配置信息；
26.步骤4.2、基于所述工控元器件的配置信息，获取工控元器件的风险率；
27.步骤4.3、调取预设的权重库中工控元器件对应的权重列表；
28.步骤4.4、基于所述权重列表以及工控元器件的风险率，获取第二测评结果。
29.可选的，工控元器件的配置信息包括器件类型、使用年限、故障次数。
30.本发明还公开一种基于等级保护的安全测评系统，包括：
31.基础信息获取模块，用于获取待测网络设备的登陆信息、所述待测网络设备的配置信息、所述待测网络设备的等保级别；
32.测评脚本调取模块，用于依据所述待测网络设备的类型，调取测评脚本库中该类型网络设备对应的测评脚本；
33.第一测评结果获取模块，用于将所述测评脚本依据登陆信息登陆至所述待测网络设备，进行测评，基于评分结果与等级保护指标，获取第一测评结果；
34.第二测评结果获取模块，用于扫描当前待测网络设备下配置的工控元器件配置信息，基于所述工控元器件的配置信息，获取第二测评结果；
35.最终测评结果获取模块，用于获取待测网络设备所对应的安全测评结果。
36.经由上述的技术方案可知，本发明公开提供了一种基于等级保护的安全测评方法及系统，与现有技术相比，具有以下有益效果：
37.本发明首先获取待测目标的类型，并调用对应的测评脚本进行测评，获取第一测评结果，同时扫描该待测目标下的工控元器件，对所有工控元器件进行测评，获取第二测评结果，结合所述第一测评结果和第二测评结果，得到最终测评结果，用于判定待测目标是否满足相应的安全保护等级。本发明能够为用户展示第一测评结果和第二测评结果的详细内容，直观得出每个测评项以及元器件所存在的问题，并且可以用于展示整体的测评结果。本发明技术方案能够更准确地对待测目标进行安全等级测评，测评结果更全面，充分反映出待测目标所存在的风险项，为待测目标的整体系统的改进提供了科学依据。
附图说明
38.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
39.图1为本发明的方法步骤示意图；
40.图2为本发明的系统结构示意图。
具体实施方式
41.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
42.本发明实施例公开了一种基于等级保护的安全测评方法，参见图1，包括以下步骤：
43.步骤1、获取待测网络设备的登陆信息、所述待测网络设备的配置信息、所述待测网络设备的等保级别；
44.步骤2、所述配置信息包括待测网络设备的类型，待测网络设备的类型包括计算器、路由器、网关、交换机等。依据所述待测网络设备的类型，调取预设的测评脚本库中该类型网络设备对应的测评脚本；
45.步骤3、所述测评脚本依据所述登陆信息登陆至所述待测网络设备，进行测评，基于评分结果与等级保护指标，获取第一测评结果；
46.该步骤具体包括：
47.步骤3.1、使用测评脚本对待测网络设备进行测评，得到待测网络设备的评分结果；
48.步骤3.2、基于待测网络设备自身所设定的等保级别，调取等级保护指标库中对应等保级别的指标列表；所述等保级别通常按照自主定级原则，按照国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定；
49.步骤3.3、将每一项测评内容的评分结果与指标列表中对应的指标值进行作差，并基于得到的差值以及指标值，得到每一项测评内容的风险率：
50.风险率＝差值/指标值
×
100％；
51.步骤3.4、调取预设的权重库中该类型网络设备对应的权重列表；
52.所述权重库为预先设置的包含有各类型网络设备测评内容所占权重的数据库。
53.步骤3.5、基于所述权重列表以及每一项测评内容的风险率，将所有项的风险率进行加权求和，得到第一测评结果：
54.第一测评结果＝∑测评内容风险率
×
权重值；
55.具体的，对待测网络设备进行测评的内容包括身份鉴别检查、访问控制措施检查、审计容完整性检查、入侵防范措施检查、链接控制措施、恶意代码防范措施检查等。
56.步骤4、所述测评脚本登陆至所述待测网络设备后，还用于扫描当前待测网络设备下配置的工控元器件配置信息，基于所述工控元器件的配置信息，获取第二测评结果；
57.该步骤具体包括：
58.步骤4.1、使用测评脚本扫描当前待测网络设备下配置的工控元器件配置信息；
59.步骤4.2、基于所述工控元器件的配置信息，获取工控元器件的风险率；
60.具体的，可以通过权重库中预设的各项配置信息的权重，基于加权求和法，获取每个工控元器件对应的风险率；
61.步骤4.3、调取预设的权重库中工控元器件对应的权重列表；
62.步骤4.4、基于所述权重列表以及工控元器件的风险率，具体的，将所有工控元器件的风险率进行加权求和，获得第二测评结果：
63.第二测评结果＝∑工控元器件风险率
×
权重值。
64.工控元器件包括变频器、工控机、传感器等，工控元器件的配置信息包括器件类型、使用年限、故障次数等。
65.步骤5、基于所述第一测评结果和第二测评结果，得到待测网络设备所对应的安全测评结果。
66.可选的，所述测评脚本库中存储有多种网络设备类型及测评脚本，每种类型网络设备与测评脚本之间均形成一一对应的映射关系。
67.本发明中，所述安全测评结果表征了待测设备与其所设定安全等级之间的差异性，安全测评结果的值越大，表明待测设备与其安全等级应当具有的安全性差异越大，越不符合其所设定的保护等级。
68.在另一种实施例中，还公开一种基于等级保护的安全测评系统，参见图2，包括：
69.基础信息获取模块，用于获取待测网络设备的登陆信息、所述待测网络设备的配置信息、所述待测网络设备的等保级别；
70.测评脚本调取模块，用于依据所述待测网络设备的类型，调取测评脚本库中该类型网络设备对应的测评脚本；
71.第一测评结果获取模块，用于将所述测评脚本依据登陆信息登陆至所述待测网络设备，进行测评，基于评分结果与等级保护指标，获取第一测评结果；
72.第二测评结果获取模块，用于扫描当前待测网络设备下配置的工控元器件配置信息，基于所述工控元器件的配置信息，获取第二测评结果；
73.最终测评结果获取模块，用于获取待测网络设备所对应的安全测评结果。
74.本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
75.对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。