CN109165832A - 信息安全管理方法及系统 - Google Patents

Abstract

本发明提供的信息安全管理方法及系统，该方法中，构建单元根据企业的生产情况或经营情况构建信息安全管理模型；评估单元根据预设的评估因素对信息安全管理模型进行风险评估，以获得风险评估结果；调整单元根据风险评估结果调整信息安全管理模型；归类单元根据信息安全管理模型和评估结果建立文档，并将文档按照类型和重要性进行分类存储。该方法在构建信息安全管理模型时，综合考虑了企业的生产情况和经营情况，对整个企业的各个环节进行综合考虑，并根据各个要素的变化情况对信息安全管理模型进行必要的调整，更加符合企业发展。

Description

信息安全管理方法及系统

技术领域

本发明属于信息安全技术领域，具体涉及信息安全管理方法及系统。

背景技术

根据网络安全相关统计表明，网络信息安全事故中由于管理问题导致出现安全事故的高达70％以上，因此解决网络信息的安全问题，除从技术层面进行改进外，还应加强网络信息的安全管理力度。

信息安全管理是指在信息的使用、存储、传输过程中做好安全保护工作，保持信息的保密性、完整性和可用性。其中，保密性是指保障信息仅能被具有使用权限的人获取或使用。完整性指为信息及其处理方法的准确性和完整性提供保护措施。可用性则指使用权限的人可在需要时获取和使用相关的信息资产。

但是现有技术缺乏一种对整个企业的各个环节进行综合考虑，能够更加符合企业发展的信息安全管理方法。

发明内容

针对现有技术中的缺陷，本发明提供一种信息安全管理方法及系统，对整个企业的各个环节进行综合考虑，能够更加符合企业发展。

第一方面，一种信息安全管理方法，包括以下步骤：

构建单元根据企业的生产情况或经营情况构建信息安全管理模型；

评估单元根据预设的评估因素对信息安全管理模型进行风险评估，以获得风险评估结果；

调整单元根据风险评估结果调整信息安全管理模型；

归类单元根据信息安全管理模型和评估结果建立文档，并将文档按照类型和重要性进行分类存储。

进一步地，所述构建单元根据企业的生产情况或经营情况构建信息安全管理模型具体包括：

构建单元接收企业输入的安全管理策略；

构建单元根据企业的生产情况或经营情况划定安全管理范围；

构建单元根据安全管理策略和安全管理范围构建信息安全管理模型。

进一步地，所述信息安全管理模型包括脆弱性模型；所述脆弱性模型通过UML模型构建，具体包括：

对UML的类图进行扩展，构造结构模型自适应类图；其中包括扩展类构造自适应类的集合CA、扩展关系构造自适应关系集合RA、扩展属性构造自适应属性集合AA，同时添加约束条件集合SCA；将自适应类图形式化描述为一个四元组ACD:＝(CA，RA，AA，SCA)；

对UML的序列图进行扩展，构造行为模型自适应序列图；其中包括扩展UML的对象构造自适应对象、扩展片段构造自适应片段，引入状态的概念，同时添加约束条件集合；将自适应序列图形式化描述为一个五元组ASD:＝(OA,STA,MA,FG,SsA)，其中，OA表示自适应对象的集合，STA表示对象生命线上状态的有限集合，MA是有穷消息的集合，FG是组合片段的集合，SsA是自适应序列图约束条件集合；

建立自适应软件形式化模型，得到所述脆弱性模型；具体包括在自适应软件行为模型和时间自动机模型之间-建立映射关系，设计模型转换算法将自适应软件的行为模型自适应序列图转换为时间自动机网络TAN。

进一步地，所述将文档进行分类存储具体包括：

将数据库按预设容量值分配的多个存储区块；

将电子文档按所述预设容量值分割为多个部分，并分别存储至不同的所述存储区块；

为每个电子文档分配对应的电子文档辨识号。

第二方面，一种信息安全管理系统，包括：

构建单元：用于根据企业的生产情况或经营情况构建信息安全管理模型；

评估单元：用于根据预设的评估因素对信息安全管理模型进行风险评估，以获得风险评估结果；

调整单元：用于根据风险评估结果调整信息安全管理模型；

归类单元：用于根据信息安全管理模型和评估结果建立文档，并将文档按照类型和重要性进行分类存储。

进一步地，所述构建单元根据企业的生产情况或经营情况构建信息安全管理模型具体包括：

构建单元接收企业输入的安全管理策略；

构建单元根据企业的生产情况或经营情况划定安全管理范围；

构建单元根据安全管理策略和安全管理范围构建信息安全管理模型。

进一步地，所述信息安全管理模型包括脆弱性模型；所述脆弱性模型通过UML模型构建，具体包括：

对UML的类图进行扩展，构造结构模型自适应类图；其中包括扩展类构造自适应类的集合CA、扩展关系构造自适应关系集合RA、扩展属性构造自适应属性集合AA，同时添加约束条件集合SCA；将自适应类图形式化描述为一个四元组ACD:＝(CA，RA，AA，SCA)；

对UML的序列图进行扩展，构造行为模型自适应序列图；其中包括扩展UML的对象构造自适应对象、扩展片段构造自适应片段，引入状态的概念，同时添加约束条件集合；将自适应序列图形式化描述为一个五元组ASD:＝(OA,STA,MA,FG,SsA)，其中，OA表示自适应对象的集合，STA表示对象生命线上状态的有限集合，MA是有穷消息的集合，FG是组合片段的集合，SsA是自适应序列图约束条件集合；

建立自适应软件形式化模型，得到所述脆弱性模型；具体包括在自适应软件行为模型和时间自动机模型之间-建立映射关系，设计模型转换算法将自适应软件的行为模型自适应序列图转换为时间自动机网络TAN。

进一步地，所述将文档进行分类存储具体包括：

将数据库按预设容量值分配的多个存储区块；

将电子文档按所述预设容量值分割为多个部分，并分别存储至不同的所述存储区块；

为每个电子文档分配对应的电子文档辨识号。

由上述技术方案可知，本发明提供的信息安全管理方法及系统，在构建信息安全管理模型时，综合考虑了企业的生产情况和经营情况，对整个企业的各个环节进行综合考虑，并根据各个要素的变化情况对信息安全管理模型进行必要的调整，更加符合企业发展。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中，类似的元件或部分一般由类似的附图标记标识。附图中，各元件或部分并不一定按照实际的比例绘制。

图1为实施例一提供的信息安全管理方法的方法流程图。

图2为实施例二提供的构建信息安全管理模型的方法流程图。

图3为实施例三提供的信息安全管理系统的模块框图。

具体实施方式

下面将结合附图对本发明技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本发明的技术方案，因此只作为示例，而不能以此来限制本发明的保护范围。需要注意的是，除非另有说明，本申请使用的技术术语或者科学术语应当为本发明所属领域技术人员所理解的通常意义。

实施例一：

一种信息安全管理方法，参见图1，包括以下步骤：

S1：构建单元根据企业的生产情况或经营情况构建信息安全管理模型；

具体地，可以通过以下方法构建信息安全管理模型：根据企业的生产情况或经营情况创建不同的管理流程模型，在管理流程模型内设置多个过程节点。每个节点根据企业的生产情况或经营情况设置约束条件，当在每个节点添加的员工符合约束条件，该过程节点设置成功。通过该方法可以在信息安全管理过程中增加员工负责监督。这样，构建的信息安全管理模型能够综合地反应企业的情况，能够根据企业具体的业务开展进行信息安全管理。

S2：评估单元根据预设的评估因素对信息安全管理模型进行风险评估，以获得风险评估结果；

具体地，企业需要对风险评估对管理方案进行科学选择，在选择时应根据企业自身的实际情况进行风险评估，对目前所面临的信息安全风险和风险等级进行准确识别。企业的信息资产是风险评估的主要对象。

本实施例给出一种风险评估方法，包括如下步骤：

S21：根据待评估类型获取该类型的所有资产列表、基本配置信息列表及风险基线；

S22：嵌套循环遍历所述资产列表和基本配置信息列表，获取根据所述资产列表的索引得到的所有信息；

S23：利用基本配置信息列表中的脆弱性或威胁性配置值，根据威胁风险系数的风险取值级别的自定义规则，得到脆弱性或威胁性的实际值；

S24：根据脆弱性和威胁性的实际值计算风险值；

S25：判断所述风险值是否超过所述待评估资产类型的风险基线，如果超过，则根据报警配置信息将报警预警信息发送给收信人，否则，返回资产安全提示。

该方法评估项全面、评估范围广、支持自定义规则的评估，及时对威胁与潜在威胁的发现，更好的做好预警处理，同时评估数据达到数据内容包含全面，风险可视化高、潜在威胁的体现和风险情况的描述和处理方案清晰。

本实施例还给出另一种风险评估方法，包括业务安全评估步骤、安全技术评估步骤及安全管理评估步骤。

所述业务风险评估步骤包括以下步骤：

S31：获取风险评估的业务流程中涉及的敏感信息。

具体地，所述敏感信息为根据预设保护规则来进行保护的信息。

在本实施例中，所述敏感信息通过类型及类别进行分类，敏感信息的类型为类别的上位分类概念，敏感信息的类型及类别可根据实际情况来进行设定。

在本步骤中，还获取用于存储所述敏感信息的数据库的信息，还获取用于管理所述敏感信息的后台管理系统的信息，还获取用于接收所述敏感信息的应用程序的信息。

S32：判断敏感信息的评估项是否符合对应的预设信息安全要求。

在本步骤中，所述评估项为针对信息生成、信息显示、信息访问、信息传输、信息使用、信息存储或信息销毁的评估项，每一个评估项分别对应一个预设信息安全要求，当然并不具体限定每一个评估项的评估内容及评估项的数量，均可根据实际情况进行设定。

在本步骤中，根据敏感信息的类别对每一个敏感信息分别设定一个敏感级别，对每一个敏感级别的敏感信息之间相同的评估项分别设定不同的预设信息安全要求。

在本实施例中，敏感级别分为一级、二级和三级，级别越高说明对信息安全的保护需求越高，因此级别高的敏感信息针对于相同的评估项，也需要更高的信息安全要求。

在本步骤中，若所述敏感信息的评估项符合对应的预设信息安全要求，设该评估项为符合评估项；若所述敏感信息的评估项不符合对应的预设信息安全要求，设该评估项为不符合评估项，并且根据预设评估规则对不符合评估项设定一个风险级别，所述风险级别为高风险、中风险或低风险。

S33：输出判断结果。

在本步骤中，分别输出符合评估项及不符合评估项的数量，计算并输出缺陷率，所述缺陷率的计算公式如下：

缺陷率＝不符合评估项的数量/评估项的总数量。

在本步骤中，还分别输出高风险、中风险及低风险的不符合评估项的数量，计算并输出风险值，所述风险值的计算公式如下：

风险值＝(高风险的不符合评估项的数量*x)+(中风险的不符合评估项的数量*y)+(低风险的不符合评估项的数量*z)，x>y>z。

在本实施例中，x为3，y为2，z为1，但并不仅限于此数值，可根据实际情况来进行设定。所述风险值用于表征所述敏感信息的信息安全程度，所述风险值越高说明所述敏感信息的信息安全程度越低，信息泄露风险高。

S3：调节单元根据风险评估结果调整信息安全管理模型；

具体地，在调节信息安全管理模型的过程中，应综合考虑了企业的实施目标和实施方式，使得企业可按照实施目标和实施方式对信息安全进行有效控制，使得实施结果与实施目标一致。

在信息安全管理模型实施过程中，实时调节信息安全管理模型，使得实施结果与实施目标一致，达到企业既定目标，制定最适合企业的信息安全管理模型。信息安全管理模型采用以下方法进行调整：设定每个管理流程模型的子目标；记录每个管理流程模型的实施结果，计算实施结果与子目标的差异，如果该差异大于预设的阈值时，调整该管理流程模型。

S4：归类单元根据信息安全管理模型和评估结果建立文档，并将文档按照类型和重要性进行分类存储。

具体地，在信息安全管理模型的构建和实施过程中，应建立相关的文件和文档。记录企业的管理范围、管理框架、控制方式、具体操作过程等信息。为了达到节约资源的效果，采用电子文档存储。在对文档进行管理时，可根据文档的类型和重要性对其等级划分，并根据企业业务和规模的变化，对文档进行定期的修正和补充，而对于一些不再具有参考价值的文档，可定期进行废弃处理。

以下提供一种电子文档的管理方法。

首先，将数据库按预设容量值分配的多个存储区块。其次，将电子文档按所述预设容量值分割为多个部分，并分别存储至不同的所述存储区块，并分配对应的电子文档辨识号(ID)。电子文档在读取时，根据所述辨识号从所述不同存储区块将被分割的电子文档各部分还原成所述电子文档并读取。该方法快速，灵活，查询检索方便。该方法可以使用数据库相关的命令，快速查出符合条件的文件的存储位置，而不需要在一个大类中循环查找，查询的结果信息可以分页的方式返回，节省的服务器的资源和查找时间；并且拥有可以存储上百万的文件而无需担心的扩容性能。该方法还通过网页形式提供对电子文档的各种操作如检索、下载，即“云端”，为了在网页上实现预览文件，需要将所存存储的文件在存储的同时，预先做一个可供在网页上打开的流媒体格式的文档，这个流媒体格式文件的生成方式，主要可采用开源的open office等项目所提供的转换工具，将上传过来的原生的word、ppt、excel等文档，转换成如swf格式的flash文件，这个文件也同样可保存在NoSQL数据库中，当用户需要预览上传的文档时，实际在网页上打开的是转换生成的flash文件。因为flash插件支持在浏览器上以流的方式展现，所以，用户能即时地在网页上浏览这个预生成的flash文件，而不需要将原先上传的word、ppt、excel等文件下载后再打开查看。这样无疑能较大的减少不必要的网络传输。

该方法在解析所输入检索条件以提取检索关键词信息、以及对应电子文档内容栏位的文档内容栏位信息，并据以在所述电子文档内容对应栏位按所述关键词信息进行检索。在本实施例中，所述预设栏位包括：摘要、正文、关键信息，所述关键信息可以是跟预设关键词库，例如某个具体技术领域的关键词库相匹配的关键词信息等，所述栏位可以是电子文档编辑时预先设定形成的，也可以根据具体内容解析形成，当然优选的，自然是全文检索方式，对于上传文件中的关键内容或摘要，可以建立搜索索引，采用搜索引擎来实现全文搜索。全文检索是指计算机索引程序通过扫描文章中的每一个词，对每一个词建立一个索引，指明该词在文章中出现的次数和位置，当用户查询时，检索程序就根据事先建立的索引进行查找，并将查找的结果反馈给用户的检索方式。

该方法在构建信息安全管理模型时，综合考虑了企业的生产情况和经营情况，对整个企业的各个环节进行综合考虑，并根据各个要素的变化情况对信息安全管理模型进行必要的调整，更加符合企业发展。

实施例二：

实施例二提供的方法在实施例一的基础上，增加了以下内容：

参见图2，所述构建单元根据企业的生产情况或经营情况构建信息安全管理模型具体包括：

S11：构建单元接收企业输入的安全管理策略；

S12：构建单元根据企业的生产情况或经营情况划定安全管理范围；

具体地，一般来说，企业信息安全管理包括的项目主要有信息系统、信息资产、信息技术、实物场所等。信息系统是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统，包括企业的信息资产、核心技术等。信息资产是一个知识体系，作为一个单一的实体来组织和管理。与其他的公司资产相似，一个组织机构的信息资产有其财务价值。信息资产价值增值直接关系到能有效利用信息的人数。信息技术主要是应用计算机科学和通信技术来设计、开发、安装和实施信息系统及应用软件。实物场所包括企业的地理位置、硬件资产。

S13：构建单元根据安全管理策略和安全管理范围构建信息安全管理模型。

具体地，所述信息安全管理模型包括脆弱性模型；所述脆弱性模型通过UML模型构建，具体包括：

对UML的类图进行扩展，构造结构模型自适应类图；其中包括扩展类构造自适应类的集合CA、扩展关系构造自适应关系集合RA、扩展属性构造自适应属性集合AA，同时添加约束条件集合SCA；将自适应类图形式化描述为一个四元组ACD:＝(CA，RA，AA，SCA)；

具体地，CA代表自适应类的有限集合CA＝{Monitor，Analyzer，Planner，Executer，Knowledgebase，User，Environment，Soft-self}，CA基于UML的Class构造，用符号&lt；&lt；stereotype&gt；&gt；表示，Monitor表示监测类，Analyzer表示分析类，Planner表示规划类，Executer表示执行类，Knowledgebase表示知识库类，User表示用户类，Environment表示环境类，Soft-self表示软件自身类。

RA代表自适应关系的有限集合，RA＝{select，precede，trigger，monitor，invoke，adjust}，RA基于UML的Relationship构造，表示自适应软件各功能单元之间的连接关系，select表示选择关系，precede表示优先关系，trigger表示触发关系，monitor表示监测关系，invoke表示调用关系，adjust表示调整关系。

AA代表自适应属性的集合，部分属性以标记值的形式附加在CA的构造型中，即AA＝A∪Tag，其中，A是Class的属性Attribute的集合，Tag是所添加标记值Tag的集合，其形式为[Tag]＝[Value]，Tag用于显示化刻画各功能单元的类型和属性。

SCA代表约束条件的集合，SCA＝TimeCons∪EventCons，TimeCons为时间约束、EventCons为事件约束，采用对象约束语言OCL描述和定义约束条件。

对UML的序列图进行扩展，构造行为模型自适应序列图；其中包括扩展UML的对象构造自适应对象、扩展片段构造自适应片段，引入状态的概念，同时添加约束条件集合；将自适应序列图形式化描述为一个五元组ASD:＝(OA,STA,MA,FG,SsA)，其中，OA表示自适应对象的集合，STA表示对象生命线上状态的有限集合，MA是有穷消息的集合，FG是组合片段的集合，SsA是自适应序列图约束条件集合；

具体地，OA表示参与软件自适应过程的对象的有限集合，OA＝{monitor,analyzer,planner,executer,knowledgebase,user,environment,soft-self}，分别是自适应类CA的实例化。

STA表示对象生命线上状态的有限集合，ST*A表示不包括空事件在内的所有不复状态的集合，即STA＝ε∪ST*A，ε表示空事件，自适应序列图中的状态用对象生命线上的圆角矩形表示。

MA是有穷消息的集合，对每个消息m∈MA，m！表示消息的发送事件,m？表示消息的接收事件。

FG是组合片段的集合，自适应序列图在UML序列图基础上定义了sim,alt,loop三种片段，即FG＝{sim,alt,loop}，每个片段由片段名和执行条件组成即[Name]:[Condition]；sim为简单片段，执行条件为空；alt为分支选择片段，执行条件决定对象下一个状态的流向；loop为循环片段，条件为真时所包含对象转为激活状态。

SsA代表约束的有限集合，SsA＝Sintra∪Sinter，Sintra表示状态内部、Sinter表示状态之间的约束集合。

建立自适应软件形式化模型，得到所述脆弱性模型；具体包括在自适应软件行为模型和时间自动机模型之间-建立映射关系，设计模型转换算法将自适应软件的行为模型自适应序列图转换为时间自动机网络TAN。

具体地，所述映射关系包括，一个自适应序列图ASD可映射为一个时间自动机网络TAN；每个自适应对象和它生命周期内的状态迁移映射为一个时间自动机TA；自适应序列图的状态State映射为时间自动机中的位置Location；自适应序列图ASD中每个对象纵轴状态的集合对应每个自动机TA位置的集合；自适应序列图的消息message映射为时间自动机的通道Chan；ASD的每个消息m∈MA对应于TA的一对发送事件a！和接收事件a？，其中时间自动机的事件集合Events＝({a！|a∈Chan}∪{a？|a∈Chan})；自适应序列图的约束SsA对应TA的约束S，其中状态间约束Sinter和片段执行条件Condition对应TA边E上的约束S，状态内部约束Sintra对应TA的位置不变式Invariant；ASD中的变量对应TAN中的数据变量Var和时钟变量Clock。

进一步地，所述评估因素包括信息资产所受到的威胁、薄弱点以及受到攻击后对企业的影响。

本发明实施例所提供的方法，为简要描述，实施例部分未提及之处，可参考实施例一中相应内容。

实施例三：

一种信息安全管理系统，参见图3，包括：

构建单元：用于根据企业的生产情况或经营情况构建信息安全管理模型；

评估单元：用于根据预设的评估因素对信息安全管理模型进行风险评估，以获得风险评估结果；

调整单元：用于根据风险评估结果调整信息安全管理模型；

归类单元：用于根据信息安全管理模型和评估结果建立文档，并将文档按照类型和重要性进行分类存储。

进一步地，所述构建单元根据企业的生产情况或经营情况构建信息安全管理模型具体包括：

构建单元接收企业输入的安全管理策略；

构建单元根据企业的生产情况或经营情况划定安全管理范围；

构建单元根据安全管理策略和安全管理范围构建信息安全管理模型。

进一步地，所述信息安全管理模型包括脆弱性模型；所述脆弱性模型通过UML模型构建，具体包括：

对UML的类图进行扩展，构造结构模型自适应类图；其中包括扩展类构造自适应类的集合CA、扩展关系构造自适应关系集合RA、扩展属性构造自适应属性集合AA，同时添加约束条件集合SCA；将自适应类图形式化描述为一个四元组ACD:＝(CA，RA，AA，SCA)；

对UML的序列图进行扩展，构造行为模型自适应序列图；其中包括扩展UML的对象构造自适应对象、扩展片段构造自适应片段，引入状态的概念，同时添加约束条件集合；将自适应序列图形式化描述为一个五元组ASD:＝(OA,STA,MA,FG,SsA)，其中，OA表示自适应对象的集合，STA表示对象生命线上状态的有限集合，MA是有穷消息的集合，FG是组合片段的集合，SsA是自适应序列图约束条件集合；

建立自适应软件形式化模型，得到所述脆弱性模型；具体包括在自适应软件行为模型和时间自动机模型之间-建立映射关系，设计模型转换算法将自适应软件的行为模型自适应序列图转换为时间自动机网络TAN。

进一步地，所述评估因素包括信息资产所受到的威胁、薄弱点以及受到攻击后对企业的影响。

进一步地，所述将文档进行分类存储具体包括：

将数据库按预设容量值分配的多个存储区块；

将电子文档按所述预设容量值分割为多个部分，并分别存储至不同的所述存储区块；

为每个电子文档分配对应的电子文档辨识号。

该系统在构建信息安全管理模型时，综合考虑了企业的生产情况和经营情况，对整个企业的各个环节进行综合考虑，并根据各个要素的变化情况对信息安全管理模型进行必要的调整，更加符合企业发展。

本发明实施例所提供的系统，为简要描述，实施例部分未提及之处，可参考方法实施例中相应内容。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。

Claims (8)

1.一种信息安全管理方法，其特征在于，包括以下步骤：

构建单元根据企业的生产情况或经营情况构建信息安全管理模型；

评估单元根据预设的评估因素对信息安全管理模型进行风险评估，以获得风险评估结果；

调整单元根据风险评估结果调整信息安全管理模型；

归类单元根据信息安全管理模型和评估结果建立文档，并将文档按照类型和重要性进行分类存储。

2.根据权利要求1所述信息安全管理方法，其特征在于，所述构建单元根据企业的生产情况或经营情况构建信息安全管理模型具体包括：

构建单元接收企业输入的安全管理策略；

构建单元根据企业的生产情况或经营情况划定安全管理范围；

构建单元根据安全管理策略和安全管理范围构建信息安全管理模型。

3.根据权利要求1所述信息安全管理方法，其特征在于，所述信息安全管理模型包括脆弱性模型；所述脆弱性模型通过UML模型构建，具体包括：

对UML的类图进行扩展，构造结构模型自适应类图；其中包括扩展类构造自适应类的集合CA、扩展关系构造自适应关系集合RA、扩展属性构造自适应属性集合AA，同时添加约束条件集合SCA；将自适应类图形式化描述为一个四元组ACD:＝(CA，RA，AA，SCA)；

对UML的序列图进行扩展，构造行为模型自适应序列图；其中包括扩展UML的对象构造自适应对象、扩展片段构造自适应片段，引入状态的概念，同时添加约束条件集合；将自适应序列图形式化描述为一个五元组ASD:＝(OA,STA,MA,FG,SsA)，其中，OA表示自适应对象的集合，STA表示对象生命线上状态的有限集合，MA是有穷消息的集合，FG是组合片段的集合，SsA是自适应序列图约束条件集合；

建立自适应软件形式化模型，得到所述脆弱性模型；具体包括在自适应软件行为模型和时间自动机模型之间-建立映射关系，设计模型转换算法将自适应软件的行为模型自适应序列图转换为时间自动机网络TAN。

4.根据权利要求1所述信息安全管理方法，其特征在于，所述将文档进行分类存储具体包括：

将数据库按预设容量值分配的多个存储区块；

将电子文档按所述预设容量值分割为多个部分，并分别存储至不同的所述存储区块；

为每个电子文档分配对应的电子文档辨识号。

5.一种信息安全管理系统，其特征在于，包括：

构建单元：用于根据企业的生产情况或经营情况构建信息安全管理模型；

评估单元：用于根据预设的评估因素对信息安全管理模型进行风险评估，以获得风险评估结果；

调整单元：用于根据风险评估结果调整信息安全管理模型；

归类单元：用于根据信息安全管理模型和评估结果建立文档，并将文档按照类型和重要性进行分类存储。

6.根据权利要求5所述信息安全管理系统，其特征在于，所述构建单元根据企业的生产情况或经营情况构建信息安全管理模型具体包括：

构建单元接收企业输入的安全管理策略；

构建单元根据企业的生产情况或经营情况划定安全管理范围；

构建单元根据安全管理策略和安全管理范围构建信息安全管理模型。

7.根据权利要求5所述信息安全管理系统，其特征在于，所述信息安全管理模型包括脆弱性模型；所述脆弱性模型通过UML模型构建，具体包括：

对UML的类图进行扩展，构造结构模型自适应类图；其中包括扩展类构造自适应类的集合CA、扩展关系构造自适应关系集合RA、扩展属性构造自适应属性集合AA，同时添加约束条件集合SCA；将自适应类图形式化描述为一个四元组ACD:＝(CA，RA，AA，SCA)；

对UML的序列图进行扩展，构造行为模型自适应序列图；其中包括扩展UML的对象构造自适应对象、扩展片段构造自适应片段，引入状态的概念，同时添加约束条件集合；将自适应序列图形式化描述为一个五元组ASD:＝(OA,STA,MA,FG,SsA)，其中，OA表示自适应对象的集合，STA表示对象生命线上状态的有限集合，MA是有穷消息的集合，FG是组合片段的集合，SsA是自适应序列图约束条件集合；

建立自适应软件形式化模型，得到所述脆弱性模型；具体包括在自适应软件行为模型和时间自动机模型之间-建立映射关系，设计模型转换算法将自适应软件的行为模型自适应序列图转换为时间自动机网络TAN。

8.根据权利要求5所述信息安全管理系统，其特征在于，所述将文档进行分类存储具体包括：

将数据库按预设容量值分配的多个存储区块；

将电子文档按所述预设容量值分割为多个部分，并分别存储至不同的所述存储区块；

为每个电子文档分配对应的电子文档辨识号。