未经本人许可,不能转载、转发!
2021.6.20更新:
2021新版的等保测评报告6.17出炉,6.18启用,新版综合得分计算可以看这里
这里。
新版测评综合得分计算实例看
这里。
关于评论中说我抄袭一说,我去微信找了一下,把原文链接贴出:https://mp.weixin.qq.com/s/1LDaBPIQuBEqMxCUQzkccQ,大家可以自己对比一下。
我写这篇文章的时候是在实施等保的时候,计算分数的时候手上没有excel公式模板,没有办法自动计算这个分数,我第一次按百度结果(http://www.360doc.com/content/18/1120/00/29585900_795987087.shtml)算的,最后算了80多分,一位老前辈呵呵了我,说我算错了,痛定思痛,花了一个下午找资料,重新算,并且把自己算的过程以及项目的部分结果都截图写成了笔记,因此绝对不会有雷同!如果说公式这块有抄袭,大家都没法说清楚,这个东西是等保测评报告里面公开的:
本博客写的东西属于原创笔记,参考了网上的资料,然后经过自己的理解,重新整理,当然可以算原创。一些公用公开的东西没有什么抄袭之说,不然你别用中文,中文字是别人发明的,尤其是公式,随意替换里面的字母,谁也说不清。
M
=
100
−
[
∑
j
=
1
q
∑
k
=
1
p
(
j
)
(
∑
i
=
1
m
(
k
)
w
^
k
+
0.5
×
∑
i
=
1
m
(
k
)
w
k
′
)
∑
k
=
1
p
(
j
)
∑
i
=
1
m
(
k
)
w
k
q
]
×
100
(1)
M=100-\left [\cfrac{\sum_{j=1}^q\cfrac{\sum_{k=1}^{p(j)}(\sum_{i=1}^{m(k)}\hat w_k+0.5\times \sum_{i=1}^{m(k)}w_k')}{\sum_{k=1}^{p(j)}\sum_{i=1}^{m(k)}w_k}}{q}\right]\times100\tag1
M=100−⎣⎢⎢⎢⎢⎡q∑j=1q∑k=1p(j)∑i=1m(k)wk∑k=1p(j)(∑i=1m(k)w^k+0.5×∑i=1m(k)wk′)⎦⎥⎥⎥⎥⎤×100(1)
和
S
=
100
−
[
∑
j
=
1
q
∑
k
=
1
p
(
j
)
(
∑
i
=
1
m
(
k
)
w
ˉ
k
+
0.5
×
∑
i
=
1
m
(
k
)
w
^
k
)
∑
k
=
1
p
(
j
)
∑
i
=
1
m
(
k
)
w
k
q
]
×
100
(1)
S=100-\left [\cfrac{\sum_{j=1}^q\cfrac{\sum_{k=1}^{p(j)}(\sum_{i=1}^{m(k)}\bar w_k+0.5\times \sum_{i=1}^{m(k)}\hat w_k)}{\sum_{k=1}^{p(j)}\sum_{i=1}^{m(k)}w_k}}{q}\right]\times100\tag1
S=100−⎣⎢⎢⎢⎢⎡q∑j=1q∑k=1p(j)∑i=1m(k)wk∑k=1p(j)(∑i=1m(k)wˉk+0.5×∑i=1m(k)w^k)⎦⎥⎥⎥⎥⎤×100(1)
算抄袭么,我写数学笔记里面用了傅里叶变化公式,不可以么,每一个都标注,不用玩了。。。
例如我的概述里面就copy了测评指南里面测评报告样本的结论标准,当然现在看来是过时了。
另外本文所有公式均为MD公式,纯手打:
关于有人说抄袭这个事情我不再回复和讨论,读者可以自行比较原文和本文区别,如果觉得有帮助,能看懂,多多支持,如果觉得抄袭,可以举报,由CSDN进行判断。
概述
网络安全等级保护2.0正式实施后,等级测评结论的判定较等保1.0时代的判定方法有着重大的变化。
等级测评报告应给出等级保护对象的等级测评结论,确认等级保护对象达到相应等级保护要求的程度。
应结合各类的测评结论和对单项测评结果的风险分析给出等级测评结论:
a)符合:定级对象中未发现安全问题,等级测评结果中所有测评项的单项测评结果中部分符合和不符合项的统计结果全为0,综合得分为100分。
b)基本符合:定级对象中存在安全问题,部分符合和不符合项的统计结果不全为0,但存在的安全问题不会导致定级对象面临高等级安全风险,且综合得分不低于阈值。
c)不符合:定级对象中存在安全问题,部分符合项和不符合项的统计结果不全为0,而且存在的安全问题会导致定级对象面临高等级安全风险,或者中低风险所占比例超过阀值。
总而言之就是不能存在高风险项,以及分数要达到要求的阈值(一般为70,特殊行业要求会变高,例如金融行业)。
通俗的说,就是要满足两个条件:
1.不能有高风险项,如果有,直接不通过
2.分数要达到要求,这个要求一般是70分,也有特殊要求。
给出系统是否满足等保条件结论后,对于阈值,在新版等保测评报告中,这个分数和风险要求还有一个具体表格:
判别依据 |
测评结论 |
被测对象中存在安全问题,但不会导致被测对象面临中、高等级安全风险,且系统综合得分90分以上(含90分)。 |
优 |
被测对象中存在安全问题,但不会导致被测对象面临高等级安全风险,且系统综合得分80分以上(含80分)。 |
良 |
被测对象中存在安全问题,但不会导致被测对象面临高等级安全风险,且系统综合得分70分以上(含70分)。 |
中 |
被测对象中存在安全问题,而且会导致被测对象面临高等级安全风险,或被测对象综合得分低于70分。 |
差 |
这个分数计算公式看上去比较麻烦,第一次计算建议先用excel公式逐步分解计算(详见多个对象计算的图例)。考虑到将来等保即使通过后,网安部门还有可能复查,所以不要满足在做整改的时候只拿70或70多一点,务必要使得分数高于70。
下面,本文就等级测评综合得分的计算进行说明。
公式及说明
原版公式:
M
=
100
−
[
∑
j
=
1
q
∑
k
=
1
p
(
j
)
(
∑
i
=
1
m
(
k
)
w
^
k
+
0.5
×
∑
i
=
1
m
(
k
)
w
k
′
)
∑
k
=
1
p
(
j
)
∑
i
=
1
m
(
k
)
w
k
q
]
×
100
(1)
M=100-\left [\cfrac{\sum_{j=1}^q\cfrac{\sum_{k=1}^{p(j)}(\sum_{i=1}^{m(k)}\hat w_k+0.5\times \sum_{i=1}^{m(k)}w_k')}{\sum_{k=1}^{p(j)}\sum_{i=1}^{m(k)}w_k}}{q}\right]\times100\tag1
M=100−⎣⎢⎢⎢⎢⎡q∑j=1q∑k=1p(j)∑i=1m(k)wk∑k=1p(j)(∑i=1m(k)w^k+0.5×∑i=1m(k)wk′)⎦⎥⎥⎥⎥⎤×100(1)
把100提出来,变成:
M
=
100
⋅
[
1
−
1
q
⋅
∑
j
=
1
q
∑
k
=
1
p
(
j
)
(
∑
i
=
1
m
(
k
)
w
^
k
+
0.5
×
∑
i
=
1
m
(
k
)
w
k
′
)
∑
k
=
1
p
(
j
)
∑
i
=
1
m
(
k
)
w
k
]
(2)
M=100\cdot\left [1-\cfrac{1}{q}\cdot\sum_{j=1}^q\cfrac{\sum_{k=1}^{p(j)}(\sum_{i=1}^{m(k)}\hat w_k+0.5\times \sum_{i=1}^{m(k)}w_k')}{\sum_{k=1}^{p(j)}\sum_{i=1}^{m(k)}w_k}\right]\tag2
M=100⋅[1−q1⋅j=1∑q∑k=1p(j)∑i=1m(k)wk∑k=1p(j)(∑i=1m(k)w^k+0.5×∑i=1m(k)wk′)](2)
其中,
q
q
q为被测对象涉及的安全类,
p
(
j
)
p(j)
p(j)为某一安全类对应的测评项数(不含不适用项),
m
(
k
)
m(k)
m(k)为测评项
k
k
k对应的测评对象数。
w
^
k
\hat w_k
w^k为不符合测评项的权重,
w
k
′
w_k'
wk′为部分符合测评项的权重。
在等级2.0基本要求中,共包括10个安全类:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理(关于1.0和2.0要求的区别,可以看这里的第四章),分别用
D
1
、
D
2
、
D
3
、
D
4
、
D
5
、
D
6
、
D
7
、
D
8
、
D
9
、
D
10
D_1、D_2、D_3、D_4、D_5、D_6、D_7、D_8、D_9、D_{10}
D1、D2、D3、D4、D5、D6、D7、D8、D9、D10代表以上10个安全类/层面,其中只有
D
1
、
D
4
D_1、D_4
D1、D4会涉及多个对象。
多个对象意思就是:安全物理环境中能有多个机房,每个机房是一个对象,安全计算环境中有多个服务器,Web服务器是一个对象,数据库服务器是一个对象,应用服务器也是一个对象。
因测评项取值有三个,分别为
(
0
,
0.5
,
1
)
(0, 0.5, 1)
(0,0.5,1),于是公式(2)可以写成:
M
=
100
⋅
[
1
−
1
q
⋅
∑
j
=
1
q
∑
k
=
1
p
(
j
)
∑
i
=
1
m
(
k
)
(
1
−
x
k
)
×
w
k
∑
k
=
1
p
(
j
)
∑
i
=
1
m
(
k
)
w
k
]
=
100
⋅
[
1
−
1
10
(
D
1
+
D
2
+
⋯
+
D
10
)
]
(3)
M=100\cdot\left [1-\cfrac{1}{q}\cdot\sum_{j=1}^q\cfrac{\sum_{k=1}^{p(j)}\sum_{i=1}^{m(k)}(1-x_k)\times w_k}{\sum_{k=1}^{p(j)}\sum_{i=1}^{m(k)}w_k}\right]\\ =100\cdot\left [1-\cfrac{1}{10}(D_1+D_2+\cdots+D_{10})\right]\tag3
M=100⋅[1−q1⋅j=1∑q∑k=1p(j)∑i=1m(k)wk∑k=1p(j)∑i=1m(k)(1−xk)×wk]=100⋅[1−101(D1+D2+⋯+D10)](3)
也就是整个计算可以分两块:
【单个对象】
其中,当
i
=
2
,
3
,
5
,
6
,
7
,
8
,
9
,
10
i=2,3,5,6,7,8,9,10
i=2,3,5,6,7,8,9,10(没有1和4):
D
j
=
∑
k
=
1
p
(
j
)
(
1
−
x
k
)
×
w
k
∑
k
=
1
p
(
j
)
w
k
(4)
D_j=\cfrac{\sum_{k=1}^{p(j)}(1-x_k)\times w_k}{\sum_{k=1}^{p(j)}w_k}\tag4
Dj=∑k=1p(j)wk∑k=1p(j)(1−xk)×wk(4)
【多个对象】
当
i
=
1
,
4
i=1,4
i=1,4:
D
j
=
∑
k
=
1
p
(
j
)
[
∑
i
=
1
m
(
k
)
(
1
−
x
k
)
]
×
w
k
∑
k
=
1
p
(
j
)
∑
i
=
1
m
(
k
)
w
k
(5)
D_j=\cfrac{\sum_{k=1}^{p(j)}\left[\sum_{i=1}^{m(k)}(1-x_k) \right]\times w_k}{\sum_{k=1}^{p(j)}\sum_{i=1}^{m(k)}w_k}\tag5
Dj=∑k=1p(j)∑i=1m(k)wk∑k=1p(j)[∑i=1m(k)(1−xk)]×wk(5)
就是说对于
D
1
和
D
4
D_1和D_4
D1和D4,计算会麻烦一点,要针对多个对象,看公式(5)就知道,比公式(4)多了一个
∑
i
=
1
m
(
k
)
\sum_{i=1}^{m(k)}
∑i=1m(k),
m
(
k
)
m(k)
m(k)为测评项
k
k
k对应的测评对象数。
分子:先求得多个对象在同一测评项的
(
1
−
x
k
)
(1-x_k)
(1−xk)之和(先算中括号里面),再乘以各测评项的权重。
分母:多对象测评项权重和。
分子分母均不含计算过程中,不适用项不参与计算。
分类计算实例
实例数据纯属虚构,如有雷同,纯属巧合~!
单一对象
上表中,测评结果是根据等保对象是否符合或部分测评要求项是否:符合、部分符合、不符合、不适用得来的。这里不赘述。可信验证可以不要求,所以直接设置为不适用(这里要说明一下,可信验证是等保2.0里面新加入的内容,记得好像是summer的课程里面有说过,目前这块还没要求,所以可以设置为不适用,但是目前是什么情况,还要根据具体要求来做)。
安全通信网络只计算单一对象,因此根据公式(4):
D
2
=
0.5
+
1
+
1
+
0.7
+
0.5
0.7
+
0.7
+
1
+
1
+
1
+
0.7
+
0.7
+
1
+
1
+
1
=
3.7
8.8
=
0.42
D_2=\cfrac{0.5+1+1+0.7+0.5}{0.7+0.7+1+1+1+0.7+0.7+1+1+1}=\cfrac{3.7}{8.8}=0.42
D2=0.7+0.7+1+1+1+0.7+0.7+1+1+10.5+1+1+0.7+0.5=8.83.7=0.42
多个对象
这里是针对安全计算环境中测评了三个对象,分别是web服务器,数据库db服务器,应用服务器,测评项得分结果见蓝色部分。
分子计算:
先分别计算每个对象的每个测评项的
1
−
x
k
1-x_k
1−xk,不适用的不用算或者记为0,把所有对象每个测评项的
1
−
x
k
1-x_k
1−xk结果进行累加:
∑
i
=
1
m
(
k
)
(
1
−
x
k
)
\sum_{i=1}^{m(k)}(1-x_k)
∑i=1m(k)(1−xk),然后乘上权重:
∑
i
=
1
m
(
k
)
(
1
−
x
k
)
⋅
w
k
\sum_{i=1}^{m(k)}(1-x_k)\cdot w_k
∑i=1m(k)(1−xk)⋅wk,然后把没个测评项的结果进行累加,结果在上图中的右下角:5.35
分母计算:
将每个测评项的权重按对象个数进行累加:
∑
i
=
1
m
(
k
)
w
k
\sum_{i=1}^{m(k)}w_k
∑i=1m(k)wk,其中不适用项不加,例如:
这里有三个对象,其中一个对象不适用该测评项,因此权重累加结果为:0.7+0.7=1.4
然后将所有测评项的权重结果累加,结果在上图中的右下角:28.5
最后根据公式(5):结果为:5.35/28.5=0.187719
PS:安全计算环境测评项很多,这里只列举了其中一小部分。
结果
分类结果计算完毕后,代入公式(3)即可得到结果。
最后算完分数后,给出安全风险汇总表,并填入相应结果
高风险问题数 |
中风险问题数 |
低风险问题数 |
综合得分 |
A |
B |
C |
计算结果 |
加上这么一段话就可以收工:
依据GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》中对第X级系统的要求,对XXXX系统/平台的安全保护状况通过综合分析评价,等级测评结论如下:
XXXX系统/平台中存在不符合项或部分符合项,系统面临高/中/低(这里按理不能写高)安全风险,本次测评的等级测评结论为优/良/中/差(这里按表格中分数给出对应等级),综合得分为X分。
最后补充一下,有些读者指出本文没有考虑高风险修正问题、以及单项的安全控制点得分计算,我这里没写,有空再加一篇。