等保2.0测评得分大解密

信创咨询 2022-07-03

The following article is from 等级保护测评 Author 毛华庆

作者｜毛华庆

出品｜等级保护测评

作者独家授权，未经许可不得转载

概述

网络安全等级保护2.0正式实施后，等级测评结论的判定较等保1.0时代的判定方法有着重大的变化。
等级测评报告应给出等级保护对象的等级测评结论，确认等级保护对象达到相应等级保护要求的程度。
应结合各类的测评结论和对单项测评结果的风险分析给出等级测评结论：
a）符合：定级对象中未发现安全问题，等级测评结果中所有测评项的单项测评结果中部分符合和不符合项的统计结果全为0，综合得分为100分。
b）基本符合：定级对象中存在安全问题，部分符合和不符合项的统计结果不全为0，但存在的安全问题不会导致定级对象面临高等级安全风险，且综合得分不低于阈值。
c）不符合：定级对象中存在安全问题，部分符合项和不符合项的统计结果不全为0，而且存在的安全问题会导致定级对象面临高等级安全风险，或者中低风险所占比例超过阀值。
总而言之就是不能存在高风险项，以及分数要达到要求的阈值（一般为70，特殊行业要求会变高）。
通俗的说，就是要满足两个条件：
1.不能有高风险项，如果有，直接不通过2.分数要达到要求，这个要求一般是70分，也有特殊要求。
在新版等保测评报告中，这个分数和风险要求还有一个具体表格：

判别依据	测评结论
被测对象中存在安全问题，但不会导致被测对象面临中、高等级安全风险，且系统综合得分90分以上（含90分）。	优
被测对象中存在安全问题，但不会导致被测对象面临高等级安全风险，且系统综合得分80分以上（含80分）。	良
被测对象中存在安全问题，但不会导致被测对象面临高等级安全风险，且系统综合得分70分以上（含70分）。	中
被测对象中存在安全问题，而且会导致被测对象面临高等级安全风险，或被测对象综合得分低于70分。	差

这个表格和最终的结论挂钩！
这个分数计算公式看上去比较麻烦，第一次计算建议先用excel公式逐步分解计算（详见多个对象计算的图例）。考虑到将来等保即使通过后，网安部门还有可能复查，所以不要偷懒，在做等保的时候只拿70或70多一点，起码分数应在75左右。
下面，本文就等级测评综合得分的计算进行说明。

公式及说明

原版公式：

其中，q为被测对象涉及的安全类，p(j)为某一安全类对应的测评项数（不含不适用项），m(k)为测评项k对应的测评对象数。wˆk为不符合测评项的权重，w′k为部分符合测评项的权重。

在网络安全等级保护基本要求中，共包括10个安全类：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理，分别用D1、D2、D3、D4、D5、D6、D7、D8、D9、D10代表10个安全类/层面，其中只有D1、D4会涉及多个对象。
因测评项量化集为(0,0.5,1) (0, 0.5, 1)(0,0.5,1)，于是原公式可以写成：

其中，当i=2,3,5,6,7,8,9,10：

当i=1,4：

就是说对于D1和D4，计算会麻烦一点，要针对多个对象。分子：先求得多个对象在同一测评项的(1−xk)之和，再乘以各测评项的权重。分母：多对象测评项权重和。

分类计算实例

实例数据纯属虚构，如有雷同，纯属巧合！

单一对象

上表中，测评结果是根据等保对象是否符合或部分测评要求项是否：符合、部分符合、不符合、不适用得来的。这里不赘述。可信验证可以不要求，所以直接弄不适用。
安全通信网络只计算单一对象，因此根据公式(2)：

多个对象

这里是针对安全计算环境中测评了三个对象，分别是web服务器，数据库DB 服务器，应用服务器，测评项得分结果见蓝色部分。
分子计算：先分别计算每个对象的每个测评项的1−xk ，不适用的不用算或者记为0，把所有对象每个测评项的1−xk 结果进行累加：，然后乘上权重：，然后把没个测评项的结果进行累加，结果在上图中的右下角：5.35

分母计算：将每个测评项的权重按对象个数进行累加：，其中不适用项不加，例如：

这里有三个对象，其中一个对象不适用该测评项，因此权重累加结果为：0.7+0.7=1.4
然后将所有测评项的权重结果累加，结果在上图中的右下角：28.5
最后根据公式(3)：结果为：5.35/28.5=0.187719

PS，安全计算环境测评项很多，这里只列举了其中一小部分。

结果

分类结果计算完毕后，代入公式(1)即可得到结果。
最后算完分数后，给出安全风险汇总表,并填入相应结果：

高风险

问题数

中风险

问题数

低风险

问题数

综合

得分

计算结果

加上这么一段话就可以收工：

依据GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》中对第X级系统的要求，对XXXX系统/平台的安全保护状况通过综合分析评价，等级测评结论如下：
XXXX系统/平台中存在不符合项或部分符合项，系统面临高/中/低（这里按理不能写高）安全风险，本次测评的等级测评结论为优/良/中/差（这里按表格中分数给出对应等级），综合得分为X分。

欢迎扫描关注了解更多等级保护知识

免费下载资料

关注本公众号，在对话框：

回复“工业软件”，下载《工业软件：研究框架》PDF原文；

回复“图谱”，下载《中国长城网信产业生态图谱》全文PDF；

回复“数字经济”，下载《中国数字经济发展白皮书（2020年）》；回复“电子政务”，下载《国家电子政务标准体系建设指南》；回复“管理模板”，下载《华为项目管理10大模板Excel版(可直接套用)》；回复“0612”，下载《湛江市公安大数据智能化建设项目招标文件电子版》；回复“昆明新基建”，下载《下载昆明新基建项目投资清单》；回复“大数据”，下载《埃森哲大数据分析方法及工具应用；回复“政务云”，下载完整版《重庆市政务云招标书》；回复“定级指南”，下载《信息安全技术网络安全等级保护定级指南》;回复"政策“，下载《新基建政策白皮书》；回复"新基建“，下载《新基建产品手册》。

温馨提示

如果你喜欢本文，请分享到朋友圈，想要获得更多相关资料，请关注“信创工程咨询”。我们的推送时间是18：00或24：00，一定不要忘了给“信创工程咨询”设星标哦！获取投稿或入群方式，请在公众号对话框回复“投稿”或“入群”获取！

相关阅读

六大国产CPU | 全面梳理分析

工业软件：研究框架 (130页 | 附下载方式)

ARM架构要逆天？

碾压 Intel、AMD：基于 Arm 的 CPU 荣登超级计算机 500 强榜首

为什么说ARM可能是国产计算架构的最优选择

政务云转型进入黄金年代

速来围观！《中国长城网信产业生态图谱》隆重发布！

中国基础软件产业投资全景图

全国智慧城市最新政策及规划汇总