您好!欢迎来到懒虫工控!
上传视频 上传文档
首页 新闻 等保2.0测评得分大解密

等保2.0测评得分大解密

行业资信 2020-07-14 18:39:13
分享 
  收藏 

概述
网络安全等级保护2.0正式实施后,等级测评结论的判定较等保1.0时代的判定方法有着重大的变化。
等级测评报告应给出等级保护对象的等级测评结论,确认等级保护对象达到相应等级保护要求的程度。
应结合各类的测评结论和对单项测评结果的风险分析给出等级测评结论:
a)符合:定级对象中未发现安全问题,等级测评结果中所有测评项的单项测评结果中部分符合和不符合项的统计结果全为0,综合得分为100分。
b)基本符合:定级对象中存在安全问题,部分符合和不符合项的统计结果不全为0,但存在的安全问题不会导致定级对象面临高等级安全风险,且综合得分不低于阈值。
c)不符合:定级对象中存在安全问题,部分符合项和不符合项的统计结果不全为0,而且存在的安全问题会导致定级对象面临高等级安全风险,或者中低风险所占比例超过阀值。
总而言之就是不能存在高风险项,以及分数要达到要求的阈值(一般为70,特殊行业要求会变高)。
通俗的说,就是要满足两个条件:
1.不能有高风险项,如果有,直接不通过
2.分数要达到要求,这个要求一般是70分,也有特殊要求。
在新版等保测评报告中,这个分数和风险要求还有一个具体表格:
这个表格和最终的结论挂钩!
这个分数计算公式看上去比较麻烦,第一次计算建议先用excel公式逐步分解计算(详见多个对象计算的图例)。考虑到将来等保即使通过后,网安部门还有可能复查,所以不要偷懒,在做等保的时候只拿70或70多一点,起码分数应在75左右。
下面,本文就等级测评综合得分的计算进行说明。
公式及说明
原版公式:
其中,q为被测对象涉及的安全类,p(j)为某一安全类对应的测评项数(不含不适用项),m(k)为测评项k对应的测评对象数。wˆk为不符合测评项的权重,w′k为部分符合测评项的权重。
在网络安全等级保护基本要求中,共包括10个安全类:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理,分别用D1、D2、D3、D4、D5、D6、D7、D8、D9、D10代表10个安全类/层面,其中只有D1、D4会涉及多个对象。
因测评项量化集为(0,0.5,1) (0, 0.5, 1)(0,0.5,1),于是原公式可以写成:
其中,当i=2,3,5,6,7,8,9,10:
当i=1,4:
就是说对于D1和D4,计算会麻烦一点,要针对多个对象。
分子:先求得多个对象在同一测评项的(1−xk)之和,再乘以各测评项的权重。
分母:多对象测评项权重和。
分类计算实例
实例数据纯属虚构,如有雷同,纯属巧合!
单一计算
上表中,测评结果是根据等保对象是否符合或部分测评要求项是否:符合、部分符合、不符合、不适用得来的。这里不赘述。可信验证可以不要求,所以直接弄不适用。
安全通信网络只计算单一对象,因此根据公式(2):
多个对象
这里是针对安全计算环境中测评了三个对象,分别是web服务器,数据库DB 服务器,应用服务器,测评项得分结果见蓝色部分。
这里有三个对象,其中一个对象不适用该测评项,因此权重累加结果为:0.7+0.7=1.4
然后将所有测评项的权重结果累加,结果在上图中的右下角:28.5
最后根据公式(3):结果为:5.35/28.5=0.187719
PS,安全计算环境测评项很多,这里只列举了其中一小部分。
结果
分类结果计算完毕后,代入公式(1)即可得到结果。
最后算完分数后,给出安全风险汇总表,并填入相应结果:
加上这么一段话就可以收工:
依据GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》中对第X级系统的要求,对XXXX系统/平台的安全保护状况通过综合分析评价,等级测评结论如下:
XXXX系统/平台中存在不符合项或部分符合项,系统面临高/中/低(这里按理不能写高)安全风险,本次测评的等级测评结论为优/良/中/差(这里按表格中分数给出对应等级),综合得分为X分。

作者|毛华庆
出品|公众号 等级保护测评(ID:zgdjbh)

0 1 3183
参与评论
0/200
全部评论(0)