首页 / 专利库 / 专利权 / 实施例 / 一种信息安全评估的实施用例的生成方法

一种信息安全评估的实施用例的生成方法

阅读:961发布:2020-05-11

专利汇可以提供一种信息安全评估的实施用例的生成方法专利检索,专利查询,专利分析的服务。并且本 发明 提供了一种信息安全评估的实施 用例 的生成方法,包括:保存各项评估标准所对应的安全评估内容;分别形成不同行业类型和业务类型的评估用例模板;所述评估用例模板包括所属行业类型和业务类型所包含的各项评估标准对应的安全评估内容,以及各安全评估内容所对应的测试方法;根据待评估项目的业务类型、行业类型选择对应的评估用例模板,构造该待评估项目的评估用例实例;根据该待评估项目的评估用例实例,以及该待评估项目中的测试对象选择测试方法,生成测试用例实例。本发明能够在信息安全评估领域中简便、灵活、规范、系统地自动生成实施用例。,下面是一种信息安全评估的实施用例的生成方法专利的具体信息内容。

1.一种信息安全评估的实施用例的生成方法,包括:
保存各项评估标准,其中,所述各项评估标准包含各自对应的安全评估内容;
分别形成不同行业类型和业务类型的评估用例模板;所述评估用例模板包括所属行业类型和业务类型所包含的各项评估标准对应的安全评估内容,以及各安全评估内容所对应的测试方法;
根据待评估项目的业务类型、行业类型选择对应的评估用例模板,构造该待评估项目的评估用例实例;
根据该待评估项目的评估用例实例,以及该待评估项目中的测试对象选择测试方法,生成测试用例实例。
2.如权利要求1所述的方法,其特征在于:
将各项评估标准所对应的安全评估内容保存为信息安全标准库。
3.如权利要求2所述的方法,其特征在于:
根据评估标准的层次化关联关系,在信息安全标准库中建立层次逻辑,在标准下包括多个类,每个类包括多个子类,每个子类包括多个组件,组件还可以分解为多个标准元素,各标准元素与测试方法相对应。
4.如权利要求3所述的方法,其特征在于,分别形成不同行业类型和业务类型的评估用例模板的步骤后还包括:
将形成的评估用例模板保存为评估用例模板库。
5.如权利要求4所述的方法,其特征在于,所述分别形成不同行业类型和业务类型的评估用例模板的步骤前还包括:
保存各安全评估内容所对应的测试方法;
在形成评估用例模板时,建立安全评估内容和所保存的测试方法之间的关联关系。
6.如权利要求5所述的方法,其特征在于:
将各安全评估内容所对应的测试方法保存为测试方法库;测试方法库的关键属性包括:测试方法名称、测试方法内容描述、测试对象、测试手段。
7.如权利要求6所述的方法,其特征在于:
测试方法库包含多个测试方法,每个测试方法对应于一个测试方法内容描述,对应于一种或多种测试手段和测试对象的组合。
8.如权利要求6所述的方法,其特征在于:
测试手段和测试对象的组合保存为二元组的形式;
一个测试对象有一种或多种测试手段,一种测试手段用于测试一种或多种测试对象。
9.如权利要求1到8中任一项所述的方法,其特征在于,所述构造待评估项目的评估用例实例的步骤前还包括:
获取待评估项目的基础数据,包括业务类型、行业类型、测试对象。
10.如权利要求9所述的方法,其特征在于,根据该待评估项目的评估用例实例,以及该待评估项目中的测试对象选择测试方法,生成测试用例实例的步骤具体可以包括:
根据待评估项目的资产信息,从该待评估项目的评估用例实例所包含的测试方法集合中,过滤出其测试对象与资产信息中的资产类型匹配的测试方法;
在过滤出的测试方法中,按照测试手段进行分类,归并为多个测试用例实例。

说明书全文

一种信息安全评估的实施用例的生成方法

技术领域

[0001] 本发明涉及信息安全领域,尤其涉及到一种信息安全评估的实施用例生成方法。

背景技术

[0002] 目前,信息安全领域中的系统安全评估在实际的操作过程中一般是依据相关国家信息安全评估标准,采用以人工操作为主的方式实施。因此每个评估项目都会因实施人员的差异带有强烈的个性化特征,导致在相同的标准下,最终评估用的实施用例会也各不相同,评估的质量难以保证。
[0003] 现有的以计算机为平台的评估系统通常提供一个保存了大量测试用例的数据库,在实际评估时调用相应的测试用例;而信息安全领域的评估中,情况较为复杂多变,评估标准、行业类型、应用场景、系统对象类型繁多,由其组合而成的实际评估项目的情况更是多种多样;如果照搬常规的测试用例数据库的组织思想,针对不同类型特点的系统安全评估项目分别设计一套实施用例,那么最后数据库中的实施用例数量规模将非常庞大,而且仍然有可能无法涵盖所有类型的评估项目;另外每当出现新的标准或新的行业应用时,都需要重新编写相关测试用例,工作很繁复、容易出错,应用的灵活性和扩展性都较差。因此现有的基于计算机实现的评估系统无法很好的适用于信息安全领域。

发明内容

[0004] 本发明要解决的技术问题是如何在信息安全评估领域中简便、灵活、规范、系统地自动生成实施用例,包括评估用例实例及与之相关测试用例实例。
[0005] 为了解决上述问题,本发明提供了一种信息安全评估的实施用例的生成方法,包括:
[0006] 保存各项评估标准,其中,所述各项评估标准包含各自对应的安全评估内容;
[0007] 分别形成不同行业类型和业务类型的评估用例模板;所述评估用例模板包括所属行业类型和业务类型所包含的各项评估标准对应的安全评估内容,以及各安全评估内容所对应的测试方法;
[0008] 根据待评估项目的业务类型、行业类型选择对应的评估用例模板,构造该待评估项目的评估用例实例;
[0009] 根据该待评估项目的评估用例实例,以及该待评估项目中的测试对象选择测试方法,生成测试用例实例。
[0010] 进一步地,将各项评估标准所对应的安全评估内容保存为信息安全标准库。
[0011] 进一步地,根据评估标准的层次化关联关系,在信息安全标准库中建立层次逻辑,在标准下包括多个类,每个类包括多个子类,每个子类包括多个组件,组件还可以分解为多个标准元素,各标准元素与测试方法相对应。
[0012] 进一步地,分别形成不同行业类型和业务类型的评估用例模板的步骤后还包括:
[0013] 将形成的评估用例模板保存为评估用例模板库。
[0014] 进一步地,所述分别形成不同行业类型和业务类型的评估用例模板的步骤前还包括:
[0015] 保存各安全评估内容所对应的测试方法;
[0016] 在形成评估用例模板时,建立安全评估内容和所保存的测试方法之间的关联关系。
[0017] 进一步地,将各安全评估内容所对应的测试方法保存为测试方法库;测试方法库的关键属性包括:测试方法名称、测试方法内容描述、测试对象、测试手段。
[0018] 进一步地,测试方法库包含多个测试方法,每个测试方法对应于一个测试方法内容描述,对应于一种或多种测试手段和测试对象的组合。
[0019] 进一步地,测试手段和测试对象的组合保存为二元组的形式;
[0020] 一个测试对象有一种或多种测试手段,一种测试手段用于测试一种或多种测试对象。
[0021] 进一步地,所述构造待评估项目的评估用例实例的步骤前还包括:
[0022] 获取待评估项目的基础数据,包括业务类型、行业类型、测试对象。
[0023] 进一步地,根据该待评估项目的评估用例实例,以及该待评估项目中的测试对象选择测试方法,生成测试用例实例的步骤具体可以包括:
[0024] 根据待评估项目的资产信息,从该待评估项目的评估用例实例所包含的测试方法集合中,过滤出测试对象与资产信息中的资产类型匹配的测试方法;
[0025] 在过滤出的测试方法中,按照测试手段进行分类,归并为多个测试用例实例。
[0026] 通过本发明提供的方法,可以建立一种标准化、自动化、组件化的通用信息安全实施用例(包括评估用例实例及与之相关联的测试用例实例)生成、任务规划和评估数据采集、汇总分析的软件实现框架,从而支持类似的信息安全评估活动能够采用规范、一致的评估要求和实施方法,高效地开展,从而提高评估工作的数据采集效率和评估分析效果。本发明提供的方法,还可以扩展到其他基于特定实施标准的评估活动中,从而增强相关活动的规范性和一致性,改善评价效果,提高评估效率,提高评估项目的自动化管理平。附图说明
[0027] 图1是实施例一的信息安全评估的实施用例的生成方法的流程图
[0028] 图2是实施例一中信息安全标准库的数据层次关系图;
[0029] 图3是实施例一中测试方法库的逻辑结构图;
[0030] 图4是实施例一的第一个例子中的主要数据实体关系和处理逻辑示意图;
[0031] 图5是实施例一的第二个例子中,评估用例实例和测试用例实例的生成流程图。

具体实施方式

[0032] 下面将结合附图及实施例对本发明的技术方案进行更详细的说明。
[0033] 需要说明的是,如果不冲突,本发明实施例以及实施例中的各个特征可以相互结合,均在本发明的保护范围之内。另外,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
[0034] 首先介绍一下本文中涉及的几个术语的定义:
[0035] 评估用例实例,是评估业务的具体工作内容的框架。
[0036] 测试用例实例,是为了完成评估用例实例各项具体安全评估内容需要执行的测试内容描述。
[0037] 实施用例,评估用例实例及与之相关联的测试用例实例构成实施用例。
[0038] 被评估对象,是指评估项目的实施对象,其中一般包含一系列的资产。
[0039] 实施例一、一种信息安全评估的实施用例的生成方法,过程如图1所示,包括:
[0040] 保存各项评估标准,其中,所述各项评估标准包含各自对应的安全评估内容;
[0041] 分别形成不同行业类型和业务类型的评估用例模板;所述评估用例模板包括所属行业类型和业务类型所包含的各项评估标准对应的安全评估内容,以及各安全评估内容所对应的测试方法;
[0042] 根据待评估项目的业务类型、行业类型选择对应的评估用例模板,构造该待评估项目的评估用例实例;
[0043] 根据该待评估项目的评估用例实例,以及该待评估项目中的测试对象选择测试方法,生成测试用例实例。
[0044] 本实施例生成的实施用例实例完整地涵盖了本评估项目需要的所有评估细则需要执行的测试用例实例集合。通过执行所生成的测试用例实例就可以保证完整、系统地采集并带回评估项目需要的各种数据;通过测试用例实例带回的数据向评估用例实例的数据回填,可建立安全评估内容的证据数据集合,以支持后续的安全评估分析。
[0045] 本实施例中,保存各项评估标准时可以但不限于保存为信息安全标准库,实际应用时也可以保存为其它形式;评估标准是进行安全评估的基本依据。标准类型决定了安全评估项目的业务类型,安全评估内容取决于对评估标准要求内容的取舍,因此信息安全标准库的建立,需要能够细致解析标准的内容,并能够在评估活动中方便地进行适用内容的组合。
[0046] 本实施例中,根据评估标准的详细内容都具有层次化关联关系的一般特点,可以对标准的内容按照类、子类、组建、元素的层次进行一致化的逐级细分,在信息安全标准库中,建立如图2所示的相对应的层次逻辑;在标准下包括多个类,每个类包括多个子类,每个子类包括多个组件,组件还可以分解为多个标准元素。
[0047] 信息安全标准库的最细分准则称之为元素,是基本的测评组件单元,各标准元素均有测试方法与之相对应。
[0048] 本实施例中,分别形成不同行业类型和业务类型的评估用例模板后还可以进一步包括:
[0049] 将形成的评估用例模板保存为评估用例模板库。
[0050] 可见,评估用例模板库包含一系列的评估用例模板,是依据不同行业的特点,有针对性地建立的适用的评估标准细则的集合。
[0051] 本实施例中,评估用例模板库的主体数据逻辑基本等同于信息安全标准库的数据层次逻辑。即同样采用类、子类、组件、元素的层次逻辑构建。
[0052] 本实施例的评估用例模板库在信息安全标准库的数据逻辑的架构下,进一步建立了各标准元素与测试方法之间的关联关系,一个标准元素可以对应于一种或多种测试方法。
[0053] 本实施例中,所述分别形成不同行业类型和业务类型的评估用例模板的步骤前还可以包括:
[0054] 保存各安全评估内容所对应的测试方法;
[0055] 在形成评估用例模板时,建立安全评估内容和所保存的测试方法之间的关联关系。
[0056] 保存时可以但不限于保存为测试方法库,实际应用时也可以保存为其它形式;测试方法库的相关关键属性主要包括:测试方法名称、测试方法内容描述、测试对象、测试手段。
[0057] 本实施例中的测试方法库的逻辑结构可如图3所示。测试方法库包含多个测试方法,;比如图3中的测试方法1、......、测试方法M,根据具体的技术特点,每个测试方法对应于一个测试方法内容描述,可对应于一种或多种测试手段和测试对象的组合。其中,测试手段和测试对象的组合可以但不限于保存为二元组的形式,比如图3中的二元组1、......、二元组N;本实施例的测试方法库中,测试方法和二元组的映射关系是一对多的。
[0058] 本实施例的测试方法库中包含多种测试手段,比如图3中的测试手段1、......、测试手段n,也包含多种测试对象,比如图3中的测试对象1、......、测试对象m;一个测试对象可以有一种或多种测试手段,一种测试手段可以用于测试一种或多种测试对象。
[0059] 下面用一个例子进行说明。在该例子中,测试方法库中包括如表一所示的测试对象,包括如表二所示的测试手段。
[0060] 表一、测试对象
[0061]序号 测试对象分类
1 网络设备
2 操作系统
3 数据库
4 应用服务
5 业务系统
6 物理环境
7 文档
8 人员
9 数据
[0062] 表二、测试手段
[0063]序号 测试手段分类
1 漏洞扫描
2 渗透测试
3 取证分析
4 控制台审计
5 网络性能测试
6 人员访谈
7 文档审查
8 现场观测
[0064] 可以认为,本实施例是在评估用例模板库中建立并保存了信息安全标准库中标准元素和测试方法库中测试方法之间的一对多的映射关系(但不排除也存在一对一的情况)。
[0065] 本实施例中,所述构造待评估项目的评估用例实例的步骤前还可以包括:
[0066] 获取待评估项目的基础数据,如表三所示,包括业务类型、行业类型、测试对象;其中测试对象可表现为项目的详细资产信息;另外基础数据还可以包括应用特点,这个是一般性应用描述信息。
[0067] 表三、待评估项目的基础数据
[0068]
[0069] 上述信息在支持进行项目的分析和策划的同时,用于支持完成评估用例实例和测试用例实例的构建。
[0070] 本实施例中,评估用例实例的生成,要根据评估项目的业务类型和对应的行业类型,选定合适的评估用例模板;在此基础上,还可以对其中的安全评估内容根据需要进行调整或剪裁,生成评估用例实例。评估用例实例决定了一个评估项目的评估内容框架。
[0071] 可以看出,出现新标准时,只需增加标准内容,-并视需要适当补充测试方法库的内容,建立新标准内容与测试方法库中测试方法(可以包括新增的和原有的测试方法)的关联关系,即可建立起新标准的评估用例模板;当出现新的行业类型或应用场景类型时,利用已保存的安全评估用例模板形成新的评估用例模板即可。采用这种技术,增强了评估能的可扩展性、方便了评估知识的积累,提高了评估知识的利用效率。
[0072] 本实施例中,根据该待评估项目的评估用例实例,以及该待评估项目中的测试对象选择测试方法,生成测试用例实例的步骤具体可以包括:
[0073] 根据待评估项目的资产信息,从该待评估项目的评估用例实例所包含的测试方法集合中,过滤出其测试对象与资产信息中的资产类型匹配的测试方法;
[0074] 在过滤出的测试方法中,按照测试手段、测试对象进行分类,归并为多个测试用例实例。
[0075] 评估用例实例的数据关联关系中,包含了需要的测试方法的关联关系,该关系用以确定该项目执行数据采集所适用的测试方法的集合;而该测试方法集合中的每一个测试方法是否真正适用,取决于项目的被评估对象中是否存在和该测试方法中测试对象匹配的相关类型的资产。因此,生成测试用例的第一步处理是“确定有效的测试用例集合”。上述测试方法集合经被评估对象中的各个资产所属的分类过滤后得到的集合方为最终有效的测试用例集合。
[0076] 测试用例实例的应用,一般是根据现场测试所需要采取的的测试手段、测试对象的分类进行分工组织,比如在险评估项目中,进行对主机系统进行控制台审计,就是有固定的专人实施。因此,生成测试用例实例的第二步处理是测试用例实例化,任务是:依据现场实施测试的工程要求,将测试用例集合按照测试手段分类进行整理,归并为方便相关的测试实施人员使用的测试用例实例。
[0077] 本实施例的一个具体例子的实施过程如图4所示,首先进行基础数据构造阶段,建立如图4虚线上方所示的三个数据库。
[0078] 其中,信息安全标准库中保存各行业类型及业务类型包含的评估标准,包括各评估标准的标准细则,及各标准细则中的多项安全评估内容。
[0079] 测试方法库中保存各测试方法,每个测试方法对应测试方法内容描述(即图4中的测试内容)以及一个或多个测试手段和测试对象的组合。
[0080] 评估用例模板库中保存各行业的评估用例模板;一个评估用例模板中,包括来自信息安全标准库中相应于本行业类型和业务类型的标准细则及安全评估内容,还包括各安全评估内容与测试方法库中一个或多个测试方法的映射关系。
[0081] 评估用例模板库建立完成后,在评估应用阶段就可以使用;如图4中虚线下方所示,启动安全评估后,根据项目的基础信息获知待评估项目的行业类型和业务类型,然后据此在评估用例模板库中选取匹配的评估用例模板,形成该待评估项目的评估用例实例;然后在形成的评估用例实例关联的测试方法中,选择测试对象与待评估项目资产表中资产信息里的资产类型匹配的测试方法,从测试方法库中获取所选择的测试方法生成测试用例集合;最后依据测试手段并结合测试对象分类,对测试用例集合进行重新分组得到该待评估项目对应的测试用例实例。
[0082] 最后使用评估用例实例和测试用例实例就可以对项目进行安全评估,也就是进行实施用例应用,具体怎么应用可参考现有的评估方案;得到回填数据后,基于测试用例实例与评估用例实例中各标准细则的映射关系,回填数据能够自动关联到相关的标准细则上,从而支撑评估人员对各种基础测试信息进行综合,编写对应的标准细则的综合测试结果;至此,安全评估结束。
[0083] 本实施例的另一个具体例子中,评估用例实例和测试用例实例的生成的过程如图5所示,包括:
[0084] 先根据待评估项目的基础信息中的业务类型和行业类型,从评估用例模板库中选择评估用例模板,构造评估用例实例并保存。
[0085] 然后提取所保存的评估用例实例,构造安全评估内容列表、及测试方法库中相关的包括(测试手段,测试对象)二元组的测试方法的列表。
[0086] 从待评估项目的基础信息中提取资产信息,建立并保存评估用例实例中安全评估内容关联的测试方法及实际测试对象(本例子中为资产)的关系映射;
[0087] 滤除评估用例实例中无对应测试对象(即资产)的测试方法,依据测试手段并结合测试对象分类,对测试方法集合进行重新分组;
[0088] 将重新分组后得到的测试用例实例保存在测试用例实例库中;结束。
[0089] 基于测试用例实例与评估用例实例中各评估细则的映射关系,多种测试用例实例中的回填数据,能够自动关联到相关的评估细则上,从而支撑评估人员对各种基础测试信息进行综合,编写对应的评估细则的综合测试结果。
[0090] 当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明的权利要求的保护范围。
高效检索全球专利

专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。

我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。

申请试用

分析报告

专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。

申请试用

QQ群二维码
意见反馈