概述
網絡安全等級保護2.0正式實施後,等級測評結論的判定較等保1.0時代的判定方法有着重大的變化。
等級測評報告應給出等級保護對象的等級測評結論,確認等級保護對象達到相應等級保護要求的程度。
應結合各類的測評結論和對單項測評結果的風險分析給出等級測評結論:
a)符合:定級對象中未發現安全問題,等級測評結果中所有測評項的單項測評結果中部分符合和不符合項的統計結果全爲0,綜合得分爲100分。
b)基本符合:定級對象中存在安全問題,部分符合和不符合項的統計結果不全爲0,但存在的安全問題不會導致定級對象面臨高等級安全風險,且綜合得分不低於閾值。
c)不符合:定級對象中存在安全問題,部分符合項和不符合項的統計結果不全爲0,而且存在的安全問題會導致定級對象面臨高等級安全風險,或者中低風險所佔比例超過閥值。
總而言之就是不能存在高風險項,以及分數要達到要求的閾值(一般爲70,特殊行業要求會變高)。
本文就等級測評綜合得分的計算進行說明。
公式及說明
原版公式:
M=100⋅[1−q1⋅j=1∑q∑k=1p(j)∑i=1m(k)wk∑k=1p(j)(∑i=1m(k)w^k+0.5⋅∑i=1m(k)wk′)]
其中,q爲被測對象涉及的安全類,p(j)爲某一安全類對應的測評項數(不含不適用項),m(k)爲測評項k對應的測評對象數。w^k爲不符合測評項的權重,wk′爲部分符合測評項的權重。
在網絡安全等級保護基本要求中,共包括10個安全類:安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理,分別用D1、D2、D3、D4、D5、D6、D7、D8、D9、D10代表10個安全類/層面,其中只有D1、D4會涉及對對象。
因測評項量化集爲(0,0.5,1),於是原公式可以寫成:
M=100⋅[1−q1⋅j=1∑q∑k=1p(j)∑i=1m(k)wk∑k=1p(j)∑i=1m(k)(1−xk)⋅wk]=100⋅[1−q1(D1+D2+⋯+D10)](1)
其中,當i=2,3,5,6,7,8,9,10:
Dj=∑k=1p(j)wk∑k=1p(j)(1−xk)⋅wk(2)
當i=1,4:
Dj=∑k=1p(j)∑i=1m(k)wk∑k=1p(j)∑i=1m(k)(1−xk)⋅wk(3)
就是說對於D1和D4,計算會麻煩一點,要針對多個對象。
分子:先求得多個對象在同一測評項的(1−xk)之和,再乘以各測評項的權重。
分母:多對象測評項權重和。
分類計算實例
實例數據純屬虛構,如有雷同,純屬巧合~!
單一對象
上表中,測評結果是根據等保對象是否符合或部分測評要求項是否:符合、部分符合、不符合、不適用得來的。這裏不贅述。可信驗證可以不要求,所以直接弄不適用。
安全通信網絡只計算單一對象,因此根據公式(2):
D2=0.7+0.7+1+1+1+0.7+0.7+1+1+10.5+1+1+0.7+0.5=8.83.7=0.42
多個對象
這裏是針對安全計算環境中測評了三個對象,分別是web服務器,數據庫db服務器,應用服務器,測評項得分結果見藍色部分。
分子計算:
先分別計算每個對象的每個測評項的1−xk,不適用的不用算或者記爲0,把所有對象每個測評項的1−xk結果進行累加:∑i=1m(k)(1−xk),然後乘上權重:∑i=1m(k)(1−xk)⋅wk,然後把沒個測評項的結果進行累加,結果在上圖中的右下角:5.35
分母計算:
將每個測評項的權重按對象個數進行累加:∑i=1m(k)wk,其中不適用項不加,例如:
這裏有三個對象,其中一個對象不適用該測評項,因此權重累加結果爲:0.7+0.7=1.4
然後將所有測評項的權重結果累加,結果在上圖中的右下角:28.5
最後根據公式(3):結果爲:5.35/28.5=0.187719
PS,安全計算環境測評項很多,這裏只列舉了其中一小部分。
結果
分類結果計算完畢後,代入公式(1)即可得到結果。