CN106713267A - 一种网络安全评估方法及*** - Google Patents

Abstract

本发明是关于一种网络安全评估方法及***，该***包括安全评估管理平台，所述安全评估管理平台用于创建网络安全评估策略，具体方法为：建立多个有关网络安全评估的评估项；通过对所述评估项的安全等级进行层次分析，设定所述评估项的权重值V_i；通过对每个所述评估项进行评估，设定所述评估项的量化值P_i；计算每个所述评估项的评估值S_i，评估值S_i＝权重值V_i×量化值P_i；计算评估结果S，评估结果S＝S₁+S₂+...+S_i。本发明提供的网络安全评估***提供了一套完善的安全评估策略及其更新维护机制，从而实现了政府部门网络安全评估的标准化、统一化，不会出现不同的评估者对同一被评估对象得出不同的评估结果，从而大大提高了网络安全评估结果的准确性。

Description

一种网络安全评估方法及***

技术领域

本发明涉及网络安全评估技术领域，尤其涉及一种网络安全评估方法及***。

背景技术

随着互联网的迅速普及，针对网络的攻击日益增多，攻击手段、攻击技术也不断更新，虽然防火墙、入侵检测***等网络安全技术发展日益成熟，但是现实中总有一些攻击能够成功。实践证明，计算机网络安全风险的预先识别和网络安全性评估工作非常重要，这客观上要求我们应该有一套完善的安全评估***，加强对网络的安全评估工作。

现有的网络安全评估技术主要是按照《信息技术安全评估通用准则CC(ISO15408)》、ISO17799信息安全管理标准、SSE-CMM(System Security Engineering-Capability Maturity Model)及《信息***安全等级保护测评准则》等相关网络安全及安全评估的准则、规范条例开展网络安全性的评估。

但是，在现有的网络信息安全评估技术中，由于没有一个统一的评估标准，在网络信息评估过程中，大多数是到相关政府部门对网络安全评估数据进行人工采集和处理，大大降低了整个评估过程的效率；此外，得到网络安全评估数据后，往往通过人工打分汇总进行安全评估工作，使得评估结果缺乏客观性，常常出现不同的评估者对同一被评估对象得出不同的评估结果，这样就降低了网络信息完全评估结果的准确性。

发明内容

为克服相关技术中存在的问题，本发明提供一种提醒方法及装置。

为了解决上述技术问题，本发明提供如下技术方案：

本发明提供一种网络安全评估方法，所述方法包括：

建立多个有关网络安全评估的评估项；

通过对所述评估项的安全等级进行层次分析，设定所述评估项的权重值V_i；

通过对每个所述评估项进行评估，设定所述评估项的量化值P_i；

计算每个所述评估项的评估值S_i，评估值S_i＝权重值V_i×量化值P_i；

计算评估结果S，评估结果S＝S₁+S₂+...+S_i。

优选地，上述网络安全评估方法中，所述方法还包括：

获取评估项数据，并将所述评估项数据保存至数据中心；

读取所述评估项数据，计算所述评估项数据的评估项结果S；

根据所述评估项结果S判定所述评估项数据的网络安全评估等级。

优选地，上述网络安全评估方法中，所述获取评估项数据，具体包括：

根据多个所述评估项建立安全评估表单；

将所述评估项数据录入所述安全评估表单。

优选地，上述网络安全评估方法中，所述根据所述评估项结果S判定所述评估项数据的网络安全评估等级，具体包括：

设定所述评估结果S的阈值为N；

判断评估结果S是否低于所述阈值N；

若是，则记录所述评估项数据的评估对象，标记所述评估对象；

若否，则继续判断下一个评估结果S；

统计分析所述评估对象的数量。

基于本发明提供的网络安全评估方法，本发明还提供一种网络安全评估***，所述***包括:

安全评估管理平台：用于建立和管理有关网络安全评估的评估项，创建网络安全评估策略；

所述安全评估管理平台包括：

评估策略管理模块：用于建立多个有关网络安全评估的评估项，生成网络安全评估表单。

优选地，上述网络安全评估***中，所述安全评估管理平台还包括：

统计分析模块：用于统计分析各评估对象的网络安全状况和趋势；

***运维模块：用于维护网络安全评估***的正常运行。

优选地，上述网络安全评估***中，所述统计分析模块包括：

区域统计单元：设定评估阈值，统计分析各区域内网络安全状况；

曲线分析单元：根据评估对象的历史评估结果，分析所述评估对象的网络安全趋势。

优选地，上述网络安全评估***中，所述***还包括：

安全评估上报子***：用于生成安全评估表单，录入评估项数据，根据所述评估项数据自动计算得到评估结果S；

数据中心：用于存储评估项数据、评估对象信息和评估人信息。

本发明提供的技术方案可以包括以下有益效果：

本发明提供一种网络安全评估方法及***，所述***包括安全评估管理平台，安全管理平台包括评估策略管理模块，评估策略管理模块用于提供表单，建立多个有关网络安全评估的评估项，创建网络安全评估策略；对建立的评估项的安全等级进行层次分析，设定评估项的权重值V_i；对每个评估项进行评估，设定评估项的量化值P_i；根据评估项的权重值V_i和量化值P_i计算每个评估项的评估结果S_i；根据每个评估项的评估结果S_i和评估项的数量，计算得到总的评估结果S。本发明提供的网络安全评估***根据一个地区的网络安全评估标准，创建一个网络安全评估策略，并根据网络安全评估策略评估区域内评估对象的网络安全状况。该评估***按照制定的网络安全评估策略评估网络安全情况，有统一的评估标准，不会出现不同的评估者对同一评估对象得出不同的评估结果，极大地提高了网络安全评估结果的准确性

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本发明。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种网络安全评估方法的流程示意图；

图2为本发明实施例提供的一种网络安全评估方法的流程示意图；

图3为本发明实施例提供的一种网络安全评估方法中步骤S600的详细流程示意图；

图4为本发明实施例提供的一种网络安全评估方法中步骤S800的详细流程示意图；

图5为本发明实施例提供的一种网络安全评估***的结构示意图；

图6为本发明实施例提供的一种网络安全评估***中安全评估表单的示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。

参见图1，该图示出了本发明实施例提供的一种网络安全评估方法的流程图。

S100：建立多个有关网络安全评估的评估项。

具体地，网络安全评估包含很多个评价要素，并且每一个评价要素都有对应的评价标准，即评估项，如明确一名主管领导负责本单位网络安全工作(主管领导应为本单位正职或副职领导)。一个区域可以建立多个评估项，根据建立的评估项来评估区域内网络安全状况。

S200：通过对所述评估项的安全等级进行层次分析，设定所述评估项的权重值V_i。

具体地，对建立的每个评估项的安全等级进行层次分析(分析每个评估项的安全重要性)，依据专业人士或专家的意见，设定每个评估项的权重值V_i，例如，评价要素有网路安全主管领导、网络安全管理结构和网络安全联络员，分析每个评估要素的安全等级，设定每个评估项的权重，网络安全主管领导对应的权重值V₁为3,网络安全管理结构对应的权重值V₂为2，网络安全联络员对应的权重值V₃为2。

S300：通过对每个所述评估项进行评估，设定所述评估项的量化值P_i。

具体地，确定每一个评估项的权重值V_i后，通过定性或定量的方式设定相关的量化方法，依据专业人士或专家的意见，对每个评估项进行评估，设定每个评估项对应的量化值P_i。例如，评价要素为网络安全主管领导，其权重值V_i为3，通过定性的方式设定量化值P_i，若网络安全主管领导已明确，本年度就网络安全工作作出批示或主持召开主题会议，则对应的量化值P_i为1；若网络安全主管领导已明确，本年度未就网络安全工作作出批示或主持召开主题会议，则对应的量化值P_i为0.5；若网络安全主管领导尚未明确，则对应的量化值P_i为0。

S400：计算每个所述评估项的评估值S_i，评估值S_i＝权重值V_i×量化值P_i。

具体地，确定每一个评估项的权重值V_i和量化值P_i以后，把每一个评估项的权重值V_i与量化值P_i相乘，得到每个评估项的评估值S_i。例如，S₁＝V₁(权重)×P₁(量化值)，S₂＝V₂(权重)×P₂(量化值)，S₃＝V₃(权重)×P₃(量化值)。

S500：计算评估结果S，评估结果S＝S₁+S₂+...+S_i。

具体地，将所有评估项的评估值S_i相加得到评估目标的评估结果，例如，S＝S₁+S₂+S₃。

根据上述方法创建网络安全评估策略，依据网络安全评估策略计算评估对象的评估结果S，创建一套完善的网络安全评估策略，实现区域内网络安全评估的标准化、统一化，提高网络安全评估结果的准确性。

如图2所示，创建网络安全评估策略后，根据评估对象提供的数据进行网络安全评估，具体方法如下：

S600：获取评估项数据，并将所述评估项数据保存至数据中心。

具体地，评估对象带着网络安全评估数据到相关部门进行网络安全评估，将评估数据录入***中，保存至***中的数据中心中，方便评估者依据网络安全评估策略计算得到评估对象的评估结果。

如图3所示，获取、录入评估数据的具体方法如下：

S601：根据多个所述评估项建立安全评估表单。

S602：将所述评估项数据录入所述安全评估表单。

具体地，根据建立的多个有关网络安全的评估项自动生成安全评估表单，评估者将评估对象带来的评估数据逐条录入安全评估表单中，这样不需评估者人工采集和处理评估数据，大大提高了整个评估过程的效率。

S700：读取所述评估项数据，计算所述评估项数据的评估结果S。

具体地，从数据中心读取录入的评估数据，依据创建的网络安全评估策略，计算得道评估对象的网络安全评估结果S。

S800：根据所述评估结果S判定所述评估项数据的网络安全评估等级。

具体地，根据得到的评估结果S判定评估对象的网络安全评估等级。例如，设定三个安全等级，评估结果S≥80，判定网络安全等级为优；60≤评估结果S＜80，判定网络安全等级为良好，评估结果S＜60，判定网络安全等级为差。

如图4所示，为分析各区域内的网络安全状况，对评估结果S进行统计分析，具体方法如下：

S801：设定所述评估结果S的阈值为N。

S802：判断评估结果S是否低于所述阈值N。

具体地，根据专业人士或专家的意见，设定阈值N，将各个区域内的评估结果S与阈值N进行比较，例如将阈值N设定为80。若评估结果S小于或等于阈值N，则执行步骤S803；若评估结果S大于阈值N，则继续执行步骤S802。

S803：若是，则记录所述评估项数据的评估对象，标记所述评估对象。

S804：统计分析所述评估对象的数量。

具体地，若评估结果S小于或等于阈值N，则记录下该评估结果S对应的评估对象，最后统计这些评估对象的数量，分析各个区域内这些评估对象数量所占的比例，从而分析各区域内网络安全状况。例如，设定阈值N为80，经比较，统计出A区域内评估结果S低于80的有3个，B区域内评估结果S低于80的有4个，C区域内评估结果S低于80的有5个，可以得出A区域内评估结果S低于80的占(3/(3+4+5))×100％＝25％，B区域内评估结果S低于80的占(4/(3+4+5))×100％＝33.3％，C区域内评估结果S低于80的占(5/(3+4+5))×100％＝41.7％，最后以饼状图或柱状图展示三个区域的比例，从而对各个区域的网络安全状况一目了然。

本发明实施例提供的网络安全评估方法通过建立多个有关网络安全的评估项，创建网络安全评估策略，评估人录入各评估项对应的评估项数据，依据网络安全评估策略计算得到评估结果S，并根据评估结果S统计分析评估对象的网络安全等级和网络安全状况。本发明实施例提供的网络安全评估方法提供一种完善的网络安全评估方法，从而实现网络安全评估的标准化、统一化，不会出现不同的评估者对同一个被评估对象得出不同的评估结果，大大提高了网络安全评估结果的准确性；而且获取评估对象数据时，不需要人工采集和处理，大大提高了整个评估过程的效率。

基于本发明实施例提供的网络安全评估方法，本发明实施例还提供一种网络安全评估***。

如图5所示，本发明实施例提供的网络安全评估***包括安全评估管理平台100、安全评估上报子***200和数据中心300，其中：

安全评估管理平台100：用于建立和管理有关网络安全评估的评估项，创建网络安全评估策略。

安全评估管理平台100包括评估策略管理模块101、统计分析模块102和***运维模块103，其中:

评估策略管理模块101：用于根据建立的评估项，提供表单界面，实现网络安全评估策略的录入创建，并且该模块还提供对评估项的增、删、改、查等操作，实现对安全评估策略的更新和维护。网络安全评估策略表单如下表所示:

统计分析模块102：用于统计各评估对象的网络安全状况和趋势。

统计分析模块102包括区域统计单元1021和曲线分析单元1022，其中：

区域分析单元1021：用于统计分析各区域内的网络安全状况，具体方法为：设定评估结果阈值N，统计某次评估全市各区县低于该阈值N的政府数量及比例，统计结果以饼状图或柱状图等形式进行展示，可分析各区县域网络安全状况。

曲线分析单元1022：用于分析评估对象的网络安全趋势。以曲线图的形式展示各个政府部门任意时间范围内历史评估数据，可分析政府部门网路安全趋势。

通过区域统计单元1021和曲线分析单元1022的统计分析，了解各个政府部门网络安全状况和网络安全趋势，为管理层对政府网络安全的宏观把控、辅助决策提供数据支撑和技术支持。

***运维模块103：用于维护网络安全评估***的正常运行。***运维模块103主要包括用户管理(安全评估工作人员)、角色管理、权限管理、政府部门组织机构管理、日志管理等，确保***安全有序地运行。

安全评估上报子***200：用于对评估项数据进行录入上报。

安全评估上报子***200包括用户登录模块201和安全评估上报模块202，其中；

用户登录模块201：用于提供用户登录验证，用户登录成功后，将用户信息保存到会话(session)中，以便安全评估上报模块202能够获取到用户信息。

安全评估上报模块202：用于网络安全评估数据的录入、上报。用户登录成功后，进入到安全评估界面，该界面主要包括评估对象(政府部门)选择框和安全评估表单两部分，安全评估表单通过请求安全评估管理后台中安全评估策略相关服务动态生成，如图6所示。通过对安全评估表单中每个评估项的定性或定量评估，***会自动计算评估值，评估完成后，点击“提交”按钮后，***会自动给出评估结果S，并且将评估数据、评估对象信息和评估人信息一并提交到数据中心300。

数据中心300：主要用于存储安全评估策略数据、安全评估数据、政府单位信息、用户信息及日志信息等数据，方便后续处理单元的处理。

本发明实施例提供的网络安全评估***包括安全评估管理平台、安全评估上报子***和数据中心，其中，该***通过安全评估管理平台一方面为移动端安全评估上报子***提供基础支撑，提供了一套完善的安全评估策略及其更新维护机制，实现了网络安全评估策略的动态化(随着政策法规、网络安全条例的变化而变化)管理，从而保证了政府部门网络安全评估的准确性、现势性；另一方面提供对评估项数据的统计分析功能，为管理层对政府网络安全的宏观把控、辅助决策提供数据支撑和技术支持；通过安全评估上报子***实现评估项数据的录入和上报，从而为政府网络安全评估提供一个信息化平台。

本领域技术人员在考虑说明书及实践这里发明的公开后，将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。

Claims (8)

1.一种网络安全评估方法，其特征在于，所述方法包括：

建立多个有关网络安全评估的评估项；

通过对所述评估项的安全等级进行层次分析，设定所述评估项的权重值V_i；

通过对每个所述评估项进行评估，设定所述评估项的量化值P_i；

计算每个所述评估项的评估值S_i，评估值S_i＝权重值V_i×量化值P_i；

计算评估结果S，评估结果S＝S₁+S₂+...+S_i。

2.根据权利要求1所述的网络安全评估方法，其特征在于，所述方法还包括：

获取评估项数据，并将所述评估项数据保存至数据中心；

读取所述评估项数据，计算所述评估项数据的评估结果S；

根据所述评估结果S判定所述评估项数据的网络安全评估等级。

3.根据权利要求2所述的网络安全评估方法，其特征在于，所述获取评估项数据，具体包括：

根据多个所述评估项建立安全评估表单；

将所述评估项数据录入所述安全评估表单。

4.根据权利要求2所述的网络安全评估方法，其特征在于，所述根据所述评估项结果S判定所述评估项数据的网络安全评估等级，具体包括：

设定所述评估结果S的阈值为N；

判断评估结果S是否低于所述阈值N；

若是，则记录所述评估项数据的评估对象，标记所述评估对象；

若否，则继续判断下一个评估结果S；

统计分析所述评估对象的数量。

5.一种网络安全评估***，用于网络安全评估，其特征在于，所述***包括：

安全评估管理平台：用于建立和管理有关网络安全评估的评估项，创建网络安全评估策略；

所述安全评估管理平台包括：

评估策略管理模块：用于建立有关网络安全评估的评估项，生成网络安全评估表单。

6.根据权利要求5所述的网络安全评估***，其特征在于，所述安全评估管理平台还包括：

统计分析模块：用于统计分析各评估对象的网络安全状况和趋势；

***运维模块：用于维护网络安全评估***的正常运行。

7.根据权利要求6所述的网络安全评估***，其特征在于，所述统计分析模块包括：

区域统计单元：设定评估阈值，统计分析各区域内网络安全状况；

曲线分析单元：根据评估对象的历史评估结果，分析所述评估对象的网络安全趋势。

8.根据权利要求5所述的网络安全评估***，其特征在于，所述***还包括：

安全评估上报子***：用于生成安全评估表单，录入评估项数据，根据所述评估项数据自动计算得到评估结果S；

数据中心：用于存储评估项数据、评估对象信息和评估人信息。