(19)国家知识产权局
(12)发明 专利申请
(10)申请公布号
(43)申请公布日
(21)申请 号 202211066998.6
(22)申请日 2022.09.01
(71)申请人 中国电子科技 集团公司第十五研究
所
地址 100000 北京市海淀区北四环中路21 1
号
申请人 中电科 (北京) 信息测评认证有限公
司
(72)发明人 刘健 霍珊珊 张益 金达 刘赫
刘润一 杨龙 刘琛 孙琪 王磊
裴帅 李艳俊
(74)专利代理 机构 北京方韬法业专利代理事务
所(普通合伙) 11303
专利代理师 党小林(51)Int.Cl.
G06F 21/57(2013.01)
G06F 40/166(2020.01)
G06F 40/186(2020.01)
H04L 9/40(2022.01)
(54)发明名称
面向网络安全等级保护2.0的智能辅助测评
方法及系统
(57)摘要
本发明提供了面向网络安全等级保护2.0的
智能辅助测评方法及系统, 所述方法包括获取项
目基本信息; 根据安全保护等级、 通用和扩展要
求, 自动选定测评指标范围; 获取测评对象类型
信息; 根据测评指标范围和测评对象类型, 自动
形成测评指标、 测评方法等智能推荐信息1, 支持
在线修改形成测评记录; 自动计算综合得分; 自
动形成问题汇总、 风险分析范例和整改建议范例
等智能推荐信息2, 支持在线修改形成风险分析
结果; 自动形成已有安全措施、 主要安全问题等
智能推荐信息3, 支持在线修改; 获取网络拓扑
图、 被测系统情况等信息; 最后自动生成网络安
全等级保护测评报告。 本方法既提高等保测评工
作规范性、 准确性和高效性, 又能满足复杂多样
的测评需求。
权利要求书3页 说明书10页 附图2页
CN 115357906 A
2022.11.18
CN 115357906 A
1.面向网络安全等级保护2.0的智能辅助测评方法, 其特 征在于, 包括:
项目基本信 息模块获取被测系统 的项目基本信 息, 项目基本信 息包括: 系统名称、 测评
时间、 安全保护等级、 安全通用要求及扩展 要求的信息;
根据项目的安全保护等级、 安全通用要求及扩展要求, 智能推荐引擎依据标准指标库
自动完成测评指标 范围选定;
测评对象管理模块获取十个安全子类的各个测评对象基本信 息, 测评对象基本信 息包
括: 测评对象编号、 测评对象名称、 测评对象描述、 测评对象类型的信息;
根据测评指标范围和测评对象类型, 智能推荐引擎从标准指标库中读取相关知识库信
息形成智能推荐信息1, 自动推送给测 评对象管理模块。 所述智能推荐信息1, 包括: 测评指
标、 测评指标权重ω、 高风险提示、 测评方法、 测评记录填写 范例和判定准则、 不适用标注的
信息;
测评对象管理模块支持在智能推荐信息1基础上, 根据测评对象实 际情况在线修改和
确定测评方法、 测评记录和判定准则, 再根据判定准则确定测评对象的符合情况, 符合情况
分为符合、 部 分符合、 不符合和不适用4种; 根据测评对象的符合情况, 自动得出每个测评对
象得分k并显示在界面上, 还自动以不同颜色高亮显示不同符合情况的测评对象记录, 形成
最终的测评对象记录; 支持一键更新和导出导入测评记录的方式快捷修改和汇总测评对象
记录;
综合得分计算模块从测评对象管理模块中提取本项目的总测评对象数量n、 所有测评
对象得分k和测评指标权重ω, 再依据综合得分计算 公式, 自动计算得到基准分S、 每个测评
指标得分Xk、 综合得分V;
根据所有测评对象记录, 智能推荐引擎自动按测评指标维度汇总 多个同类型测评对象
存在的问题形成问题汇总信息, 再从标准指标库中读取相关知识库信息, 依据高风险判定
指引和符合情况自动判断测评指标项的风险等级, 并为高风险项、 中风险项以明显标志自
动标注为主要安全问题, 形成智能推荐信息2, 自动推送给问题风险分析模块。 所述智能推
荐信息2, 包括: 问题汇总信息、 风险等级、 主要安全问题标注、 风险分析范例和整改建议范
例的信息;
问题风险分析模块支持在智能推荐信 息2基础上在线修改问题汇总、 风险等级、 主要安
全问题标志、 风险分析、 整改建议的信息, 确认后形成问题风险分析结果; 支持导出导入问
题风险分析结果的方式快速汇总问题风险分析结果; 支持根据问题风险分析结果自动生成
整改建议书;
根据项目基本信 息、 测评对象记录、 问题风险分析结果的信 息, 智能推荐引擎自动按十
个安全子类维度分别汇总已有安全控制措施和主要安全问题, 再从标准指标库中读取相关
知识库信息形成智能推荐信息3, 自动推送给修改报告信息模块。 所述智能推荐信息3, 包
括: 测评依据、 已有安全 控制措施 汇总、 主要安全问题 汇总分析的信息;
修改报告信息模块支持在智能推荐信息3的基础上在线修改和确认测评依据、 已有安
全控制措施汇总、 主要安全问题汇总分析 的信息, 并以不同颜色分别高亮显示已有安全控
制措施汇总和主要安全问题汇总分析; 导入网络拓扑图、 测试接入点示意图、 漏洞扫描结
果, 获取被测系统情况信息;
从测评对象管理模块、 问题风险分析模块、 修改报告信 息模块、 综合得分计算模块中自权 利 要 求 书 1/3 页
2
CN 115357906 A
2动提取测评报告各要素信息, 生成网络安全等级保护测评报告。
2.根据权利要求1所述的面向网络安全等级保护2.0的智能辅助测评方法, 其特征在
于, 所述安全保护等级, 包括: 业务信息安全等级、 系统服务保证等级、 通用安全保护要求等
级的三个方面, 每个方面分为4级; 上述三个方面通过 组合形成安全保护等级, 分为第一级、
第二级、 第三级和第四级。
3.根据权利要求1所述的面向网络安全等级保护2.0的智能辅助测评方法, 其特征在
于, 所述安全通用要求及 扩展要求, 分为: 安全通用要求、 云计算安全扩展要求、 移动互联安
全扩展要求、 物联网安全扩展要求、 工业控制系统安全扩展要求、 大数据参考安全控制措施
的6个方面。
4.根据权利要求1所述的面向网络安全等级保护2.0的智能辅助测评方法, 其特征在
于, 所述标准指标库集成了网络安全等级保护测评相关的知识库, 包括国家标准GB/T
22239‑2019测评指标、 高风险判定指引、 测评指标权重ω、 不同测评指标和测评对象类型的
测评方法、 测评记录填写 范例和判定准则、 不适用情况、 风险分析范例、 整改建议范例; 标准
指标库以测评指标为索引, 建立测评指标与其 他知识库信息的关联关系。
5.根据权利要求1所述的面向网络安全等级保护2.0的智能辅助测评方法, 其特征在
于, 所述测评指标范围, 覆盖国家标准GB/T 22239‑2019规定的安全通用要求和扩展要求的
十个安全子类的测评指标; 十个安全子类 分别是安全物理环 境、 安全通信网络、 安全区域边
界、 安全计算环境、 安全管理中心、 安全管理制度、 安全管理机构、 安全管理人员、 安全建设
管理、 安全运维管理。
6.根据权利要求1所述的面向网络安全等级保护2.0的智能辅助测评方法, 其特征在
于, 所述测评对象类型, 包括: 安全物理环境、 安全通信网络、 安全区域边界、 安全计算环 境‑
网络设备/安全设备、 安全计算环境 ‑服务器/存储设备/终端/控制设备、 安全计算环境 ‑密
码产品、 安全计算环境 ‑系统管理软件、 安全计算环境 ‑业务应用系统、 安全管理中心、 安全
管理制度、 安全管理机构、 安全管理人员、 安全建 设管理、 安全运维管理。
7.面向网络安全等级保护2.0的智能辅助测评系统, 其特 征在于, 包括:
所述面向网络安全等级保护2.0的智能辅助测评系统由项目基本信息模块、 标准指标
库、 智能推荐引擎、 测评对象管 理模块、 综合得分计算模块、 问题 风险分析模块、 修改报告信
息模板、 测评报告自动生成模块组成;
项目基本信息模块用于获取被测系统的项目基本信息, 项目基本信息包括系统名称、
测评时间、 安全保护等级、 安全通用要求及扩展 要求的信息;
标准指标库集成了网络安全等级保护测评相关的知识库, 包括: 国家标准GB/T 22239‑
2019测评指标、 高风险判定指引、 测评指标权重ω、 不同测评指标和测评对象类型的测评方
法、 测评记录填写 范例和判定准则、 不适用情况、 风险分析范例、 整改建议范例; 标准指标库
以测评指标为索引, 建立测评指标与其 他知识库信息的关联关系;
智能推荐引擎是系统 的核心模块, 与项目基本信息模块、 标准指标库、 测评对象管理模
块、 问题风险分析模块、 修改报告信息模板的五个模块连接进 行信息交换, 实现测评指标范
围选定, 按测评指标和安全子类两个维度分别汇总问题、 安全控制措施, 提取知识库信息形
成智能推荐信息, 向测评对象管理模块推送智能推荐信息1, 向问题风险分析模块自动推送
智能推荐信息2, 向修改报告信息模板推送智能推荐信息 3;权 利 要 求 书 2/3 页
3
CN 115357906 A
3
专利 面向网络安全等级保护2.0的智能辅助测评方法及系统
文档预览
中文文档
16 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共16页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 SC 于 2024-03-03 12:05:24上传分享