(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115086022A(43)申请公布日2022.09.20(21)申请号202210668389.1(22)申请日2022.06.14(71)申请人中国银行股份有限公司地址100818北京市西城区复兴门内大街1号(72)发明人牙祖将袁青星(74)专利代理机构北京集佳知识产权代理有限公司11227专利代理师王宝筠(51)Int.Cl.H04L9/40(2022.01)H04L41/14(2022.01)权利要求书2页说明书8页附图3页(54)发明名称一种调整安全评估指标体系的方法及装置(57)摘要本申请实施例提供了一种调整安全评估指标体系的方法及装置。在执行所述方法时，系统首先获取目标安全威胁。当目标安全威胁不属于常规威胁时，确定目标安全威胁对应的第一保障措施。并根据第一保障措施的信息，调整安全评估指标体系的指标信息，生成第一评估指标体系。如此，通过识别和分析目标安全威胁的保障措施的基础信息，利用上述信息优化当前安全评估指标体系的方式，使得用于后续安全评估的评估指标体系更加全面。以更加全面的评估指标体系进行安全评价，从而提升安全评价结果的准确度，进而提升系统安全保障的可靠性。CN115086022ACN115086022A权利要求书1/2页1.一种调整安全评估指标体系的方法，其特征在于，所述方法包括：获取目标安全威胁；响应于所述目标安全威胁不属于常规威胁；确定所述目标安全威胁对应的第一保障措施；根据所述第一保障措施，确定第一信息集合；所述第一信息集合包括所述第一保障措施的定义、评价方法、保障等级和安全领域；根据所述第一信息集合，调整安全评估指标体系的指标信息；所述安全评估指标体系为现有企业中已经存在的安全性评估指标体系，所述指标信息包括指标名称、安全场景、安全领域、指标描述、评价方法、指标要求和保障等级；根据调整后的所述安全评估指标体系的所述指标信息，生成第一评估指标体系；所述第一评估指标体系为待评估系统的安全保障内容清单。2.根据权利要求1所述方法，其特征在于，所述根据所述第一信息集合，调整安全评估指标体系的指标信息，包括：根据所述第一信息集合，增加、删除、和/或修改所述安全评估指标体系的所述指标信息。3.根据权利要求2所述方法，其特征在于，所述方法还包括：根据所述第一评估指标体系，确定安全属性；所述安全属性用于指示待评估系统的安全保障程度；所述安全保障程度包括过度保障状态、保障状态不足和保障状态适宜；响应于所述安全属性不属于所述保障状态适宜，执行调整所述第一保障措施的基础信息；将调整后的所述第一保障措施的基础信息反馈给所述第一评估指标体系，调整所述第一评估指标体系。4.根据权利要求3所述方法，其特征在于，所述根据所述第一评估指标体系，确定安全属性，包括：根据所述第一评估指标体系和预设算法，确定所述待评估系统的安全保障的估计值；响应于所述估计值与预设安全需求值的差值超过预设区间阈值，确定所述安全属性属于所述过度保障状态；响应于所述估计值与所述预设安全需求值的差值低于预设区间阈值，确定所述安全属性属于所述保障状态不足；响应于所述估计值与所述预设安全需求值的差值满足预设区间阈值，确定所述安全属性属于所述保障状态适宜。5.根据权利要求4所述方法，其特征在于，所述根据所述安全属性，调整所述安全保障措施，包括：响应于所述安全属性为过度保障状态，降低所述安全保障措施的保障等级；响应于所述安全属性为保障状态不足，提高所述安全保障措施的保障等级。6.根据权利要求4所述方法，其特征在于，所述预设算法包括权重分析法，所述权重分析法包括：获取所述评估指标体系中指标的估计值和权重值；根据所述估计值和所述权重值的积，确定所述指标的安全保障的估计值。2CN115086022A权利要求书2/2页7.一种调整安全评估指标体系系统，其特征在于，所述系统包括：获取模块，用于获取目标安全威胁；响应模块，用于响应于所述目标安全威胁不属于常规威胁；确定所述目标安全威胁对应的第一保障措施；信息确定模块，用于根据所述第一保障措施，确定第一信息集合；所述第一信息集合包括所述第一保障措施的定义、评价方法、保障等级和安全领域；调整模块，用于根据所述第一信息集合，调整安全评估指标体系的指标信息；所述安全评估指标体系为现有企业中已经存在的安全性评估指标体系，所述指标信息包括指标名称、安全场景、安全领域、指标描述、评价方法、指标要求和保障等级；体系生成模块，用于根据调整后的所述安全评估指标体系的所述指标信息，生成第一评估指标体系；所述第一评估指标体系为待评估系统的安全保障内容清单。8.根据权利要求7所述系统，其特征在于，所述系统还包括：安全属性确定模块，用于根据所述第一评估指标体系，确定安全属性；所述安全属性用于指示待评